JPEGsnoop von Calvin Hass ermöglicht tiefe Einblicke in JPEG-Dateien. Das Programm erkennt außerdem Digitalkameras und Bildbearbeitungsprogramme anhand der Quantisierungstabellen.
JPEGsnoop von Calvin Hass wurde nicht speziell für die forensische Analyse von JPEG-Bildern entwickelt. Das Programm enthält jedoch einige Funktionen, die in einer Untersuchung nützlich sein können.
JPEGsnoop dekodiert die einzelnen Segmente einer JPEG-Datei. Hierzu zählen auch die DQT-Segmente mit den Quantisierungstabellen (vollständiges Protokoll hier).
*** Marker: DQT (xFFDB) ***
Define a Quantization Table.
OFFSET: 0x00000014
Table length = 67
----
Precision=8 bits
Destination ID=0 (Luminance)
DQT, Row #0: 5 3 3 5 7 12 15 18
DQT, Row #1: 4 4 4 6 8 17 18 17
DQT, Row #2: 4 4 5 7 12 17 21 17
DQT, Row #3: 4 5 7 9 15 26 24 19
DQT, Row #4: 5 7 11 17 20 33 31 23
DQT, Row #5: 7 11 17 19 24 31 34 28
DQT, Row #6: 15 19 23 26 31 36 36 30
DQT, Row #7: 22 28 29 29 34 30 31 30
Approx quality factor = 84.93 (scaling=30.13 variance=1.05)
Das Programm kann dann in anderen Dateien nach dieser Tabelle suchen. Auf diese Weise lässt sich zum Beispiel eine Verbindung zwischen dem mit einem Handy aufgenommenen Foto und der entsprechenden Firmware-Datei herstellen. Natürlich setzt das voraus, dass die Quantisierungstabelle nicht dynamisch berechnet wird und dass die Firmware-Datei nicht komprimiert oder verschlüsselt ist.
JPEGsnoop berechnet außerdem Signaturen aus den Quantisierungstabellen. Mehr als 3100 Einträge von Digitalkameras und Bildbearbeitungsprogrammen sind bereits in der internen Datenbank vorhanden. Neue Einträge lassen sich direkt aus JPEGsnoop erstellen und auf Wunsch auch an den Programmautor übermitteln.
Auf der Website des Autors sind zahlreiche Quantisierungstabellen übersichtlich dargestellt. Dort lassen sich auch Tabellen vergleichen.
Auf der Basis von EXIF-Informationen und den Quantisierungstabellen will JPEGsnoop erkennen, ob Bilddateien nachbearbeitet wurden:
*** Searching Compression Signatures ***Signature: 0155D875C95B74D0F3C5835A62516F48 Signature (Rotated): 01D38A25358EB7649A254E19F1D46600 File Offset: 0 bytes Chroma subsampling: 2x2 EXIF Make/Model: NONE EXIF Makernotes: NONE EXIF Software: NONE
Searching Compression Signatures: (3314 built-in, 1 user(*) )
EXIF.Make / Software EXIF.Model Quality Subsamp Match? ----------------------- ---------------- ------------ -------------- CAM:[NIKON ] [E2500 ] [FINE ] No CAM:[Nokia ] [N73 ] [ ] No CAM:[OLYMPUS OPTICAL CO.,LTD] [C2000Z ] [ ] No CAM:[OLYMPUS OPTICAL CO.,LTD] [C3040Z ] [ ] No CAM:[PENTAX ] [PENTAX Optio 550] [ ] No CAM:[SEIKO EPSON CORP. ] [PhotoPC 3000Z ] [ ] No SW :[IJG Library ] [085 ] SW :[Picasa ] [085 (Normal)] SW :[ZoomBrowser EX ] [medium ]
The following IJG-based editors also match this signature: SW :[GIMP ] [085 ] SW :[IrfanView ] [085 ] SW :[idImager ] [085 ] SW :[FastStone Image Viewer ] [085 ] SW :[NeatImage ] [085 ] SW :[Paint.NET ] [085 ] SW :[Photomatix ] [085 ] SW :[XnView ] [085 ]
ASSESSMENT: Image is processed/edited
This may be a new software editor for the database. If this file is processed, and editor doesn't appear in list above, PLEASE ADD TO DATABASE with [Tools->Add Camera to DB]
