مقال : إستخدام exiftool للتعديل على البيانات الوصفية metadata
في الكثير من الأحيان وعندما تقوم بتحليل ملف معين لإستخراج بعض المعلومات منه , تلاحظ أن هنالك بعض البيانات المغلوطة أو غير الطبيعية في هذا الملف , مثل إسم البرنامج المستخدم , تاريخ التعديل أو حتى تاريخ الإنشاء الأصلي , حيث أن جميع هذه المعلومات يمكن ظاهرياً التعديل عليها والتلاعب بها.
في مقالات سابقة تكلمنا عن البيانات الوصفية أو ما يعرف ب Metadata , وتحدثنا بأن هذه البيانات تكون موجوده داخل الملفات وتختلف طبيعة المعلومات المخزنة من ملف لأخر , فمثلاً من الممكن أن يوجد بالصور إحداثيات جغرافية لمكان إلتقاط الصورة مثل خط الطول ودوائر العرض أو مثلاً الكاميرا التي تم إلتقاط الصورة منها وحتى درجة سطوع الفلاش الخاص بهذه الكاميرا بينما لا توجد مثل هذه المعلومات داخل ملف pdf أو ملف xls مثلاً.
بعد هذه المقدمة البسيطة يجب أن أذكر ما سوف يتم شرحه في هذا المقال , حيث سوف نقوم بالتعديل على هذه البيانات بإستخدام أداة exiftool المختصة بمثل هذه الأمور.
حسناً ربما يتسائل الكثير منكم كيف من الممكن أن يستفيد المخترق من هذه البيانات الموجوده بملف pdf مثلاً ؟ بكل بساطة في حال كان المخترق يقوم بجمع بيانات عن شركة معينة , وقام بتحميل ملف pdf أو docx من موقع الشركة , وقام بتحليل هذا الملف وقام بإكتشاف أن البرنامج الذي تم صناعة الملف من خلاله أو التعديل عليه هو Microsoft word 2007 , من البديهي أن يقوم المخترق بتركيز بحثه على ثغرات في برنامج Microsoft word 2007 ويقوم بإستغلالها داخل أجهزة هذه الشركة ويقوم بعملية إختراق كاملة !
كذلك معرفتك بكيفية التعديل على هذه المعلومات سوف يوسع دائرة المعرفة المرتبط بالبيانات الوصفية لديك لأنها بالفعل تحتوي على كمية معلومات ضخمة ومهمة ويجب على أي هاكر أخلاقي أن يُلّم بها.
إذن دعونا نبدأ بإستخدام أداة exiftool حيث يمكنك تحمليها من خلال الأمر التالي في حال كنت من أحد مستخدمي عائلة Debian :
sudo apt-get install libimage-exiftool-perl
بعد تنصيب الأداة تستطيع تشغيلها من خلال سطر الأوامر بإستخدام الأمر exiftool :
الأن لدينا ملف يحمل الإسم about.pdf سوف نقوم بإستخراج البيانات الوصفية له بإستخدام أداة exiftool :
أداة exiftool تستخدم للعديد من عمليات تحليل وإستخراج البيانات الوصفية , حيث يمكننا إستعراض البيانات والتعديل عليها وكذلك بعض الأمور الأخرى من خلال نفس الأداة.
سوف نقوم بهذه العملية من خلال تنفيذ الأمر exiftool filename
كما نشاهد هنالك العديد من معلومات تم إستخراجها من قبل الأداة , حيث تم إستخراج تاريخ إنشاء الملف , البرنامج الذي تم إنشاء الملف من خلاله , وكذلك لغة البرنامج بالإضافة إلى إسم المستخدم الذي قام بإنشاء هذا الملف.
من خلال إسم المستخدم يمكننا التخمين على أي خدمة مرتبطة بسيرفرات الشركة في حال كان هذا الشخص من الفريق التقني أو حتى في حال كان لديك وصول للشبكة.
حسناً , بعد ما قمنا بإكتشاف هذه المعلومات دعونا نحاول التعديل عليها , عملية التعديل بسيطة جداً حيث أننا سوف نقوم بإضافة إسم ال meta tag ومن ثم المعلومات الجديدة التي نريدها , فمثلاً لو أردنا التعديل على Author أو صاحب هذا الملف نستطيع القيام بذلك من خلال الأمر exiftool -Author=”not askar” about.pdf كما هو موضح بالصورة التالية :
كما نشاهد تم التعديل بالفعل على الملف بعد تنفيذ الأمر السابق , وتم تغير إسم المستخدم بالفعل , ولكن نلاحظ ظهور meta tag جديد بإسم XMP toolkit , سوف نقوم بحذفه من خلال جعل قيمة XMPToolKit تساوي 0 كما بالصورة التالية :
الأن سوف نقوم بتغير إسم البرنامج إلى أي إسم عشوائي مثلاً وليكن XXXX , سوف نقوم بعملية التغير كما بالصورة التالية :
كما نشاهد تم تغير الوسم إلى المعلومات التي قمنا بإدخالها , ولكن ظهر الوسم XMPToolkit مره أخرى , وتستطيعون حذفه مجدداً كما شاهدنا مسبقاً , هذا الوسم يظهر كتوقيع لأداة exiftool.
الأن نستطيع تكرار العملية مراراً وتكراراً على جميع الوسوم وبالطبع نستطيع تغير جميع الوسوم دفعة واحده لكن أحببت أن أقوم بتفصيل بعض الأمور لكم.
سوف نقوم بالتعديل على الوسم الأخير وهو CreateDate ونقوم بإدخاله بصيغة “YYYY:mm:dd HH:MM:SS” أي السنة والشهر واليوم والساعة والدقيقة والثانية , قمت بإدخال قيمة وهمية وكانت النتيجة كالتالي :
كما نرى تم تعديل على تاريخ الإنشاء ووضعه يوم 11 من شهر 22 بسنة 2222 😀
ولكن خلال الفترة الماضية كنت أتناقش أنا ومجموعة من الزملاء حول كيفية كشف أي تعديل على هذه البيانات أو وجود أمور يمكن أن تفضح أن هذا الملف تم التعديل عليه والتلاعب بالبيانات الوصفية الخاص بها , هنا سوف أترك لكم النقاش وأرجوا منكم كتابة أرائكم حول هذا الموضوع والمشاركة فيه من خلال التعليقات.
بإذن الله سوف نحاول قدر الإمكان تغطية بعض الأمور الخاصة بتحليل الملفات , والدرس القادم سوف نقوم بشرح بعض الأمور الخاصة بتحديد المواقع الجغرافية من خلال الصور وبرمجة نظام تتبع كامل لهذا الغرض بإستخدام python بإذن الله تعالى.
شكرا لك اخي على هذا الموضوع
هل ممكن تعديل على حتى على البرامج ( binary ) .. او فلاش مموري ( dump )
شكرا على المعلومات الرائعة …