28 ene. 2015

Ghiro: herramienta forense para el análisis masivo de imágenes

En muchos casos los investigadores forenses necesitan procesar imágenes digitales como evidencia. En un análisis forense en el que se manejan muchas imágenes es difícil manejar tanta información al menos que se utilice una herramienta que facilite el trabajo.

Ghiro es una herramienta capaz de soportar gigas de imágenes, extraer y organizar la información y mostrarla en un informe en un formato agradable.
Todas las tareas están totalmente automatizadas, sólo tienes que cargar las imágenes y dejar que Ghiro haga el trabajo.
Además Ghiro es un entorno multiusuario, que permite diferentes permisos que se pueden asignar a cada usuario. Cada caso permite agrupar imágenes por tema, y elegir lo que cada usuario pueda ver según el esquema de permisos.

Principales características

  • Extracción de metadatos: Los metadatos se dividen en varias categorías según el estándar. Los metadatos de la imagen se extraen y se clasifican. Por ejemplo: EXIF, IPTC, XMP.
  • Localización GPS: en los metadatos de cada imagen a veces hay una etiqueta geográfica, información GPS que proporciona la longitud y latitud de donde se tomó la foto. Se lee y la posición se muestra en un mapa.
  • Información MIME: El tipo de imagen MIME se detecta para conocer el tipo de imagen que se está tratando, de forma simple (ejemplo: image/jpeg) y extendida.
  • Análisis del nivel de error: el análisis del nivel de error (ELA) identifica las áreas dentro de una imagen que se encuentran en diferentes niveles de compresión. La imagen completa debe ser de aproximadamente del mismo nivel, si se detecta alguna diferencia, entonces es probable que haya realizado alguna modificación.
  • Extracción de miniaturas (thumbnails): Las miniaturas y sus datos relacionados se extraen de los metadatos de la imagen y se almacenan para su revisión.
  • Consistencia de las miniaturas: a veces, cuando una foto es editada, la imagen original se edita pero la miniatura no. Ghiro detecta las diferencias entre las miniaturas y sus correspondientes imágenes.
  • Motor de firmas: Más de 120 firmas proporcionan evidencia sobre la mayoría de los datos críticos para resaltar los puntos focales y exposiciones comunes.
  • Coincidencia de hashes: supón que estas buscando una imagen y tienes sólo el hash. Puedes proporcionar una lista de hashes y se buscarán todas las imágenes en base a ese/esos hashes.
Fuente: HackPlayers y www.getghiro.org

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!