如何用 ExifTool 确认元数据
在匿名发布文件前,需要确认文件中残留了什么。
图片、PDF、Office 文档、音频、视频中,可能包含屏幕上看不到的元数据。
ExifTool 是用于在本地确认这些元数据的代表性工具。
因为不必把文件上传到浏览器上的确认网站也能调查,所以在匿名性、信源保护、内部告发前确认中,它是重要候选。
但是,使用 ExifTool 并不会自动变得安全。
需要读取显示的信息,判断什么是风险,并在删除后重新确认。
什么是 ExifTool
ExifTool 是可以读写多种文件格式元数据的工具。
它不仅用于图片 ,也用于 PDF、Office 文档、音频、视频等多种格式的元数据确认。
官方网站可以确认支持格式、标签列表、使用方法、更新信息。
URL : https://exiftool.org/
在匿名性的语境中介绍 ExifTool,是因为它可以在本地使用。
如果把文件上传到外部网站进行确认,文件内容、来源 IP、时间、浏览器信息都会交给该网站。
对于高风险文件,先在本地确认更安全。
能确认什么
ExifTool 能确认的信息,会因文件格式而变化。
| 格式 | 确认的信息 | 匿名性上的注意点 |
|---|---|---|
| 图片 | GPS、拍摄日期和时间、机型名、编辑软件 | 拍摄地点或日常活动范围会显现 |
| 创建者、创建应用、更新时间 | 文档来源或工作环境会显现 | |
| Office | 作者、公司名、与编辑历史相关的信息 | 接近所属关系或创建环境 |
| 音频 | ID3 标签、创建日期和时间、应用名 | 录音环境或作者信息会残留 |
| 视频 | 创建应用、拍摄日期和时间、位置信息 | 会与影像内容组合起来 |
ExifTool 是查看文件内部信息的工具。
它不会自动判断照片背景、视频声音、文档正文、发送文件所用的通信路径。
用 ExifTool 看过并不代表结束
执行 ExifTool 并显示信息后,并不是到此结束。
接下来,要判断这些信息与匿名性有什么关系。
| 显示的信息 | 查看理由 |
|---|---|
| GPS Latitude / GPS Longitude | 确认是否残留拍摄地点 |
| Create Date / Date Time Original | 查看拍摄或创建时间是否会与行为关联 |
| Make / Model | 查看相机或手机型号是否会成为线索 |
| Author / Creator | 确认是否残留创建者名或账号名 |
| Software | 查看是否出现编辑应用或工作环境 |
显示项目的名称会因文件格式和创建应用而变化。
如果出现不熟悉的项目,不要立刻当作安全。
要看项目名、值、文件的语境,再判断是否是可以发布的信息。
如何读取显示的值
ExifTool 的输出中,项目名很多时候会以英语显示。
不需要完美理解所有项目。
先优先查看容易关系到匿名性的值。
| 优先级 | 查看项目 | 理由 |
|---|---|---|
| 高 | GPS、位置、纬度经度 | 直接显示地点 |
| 高 | Author、Creator、Owner | 显示创建者或账号名 |
| 高 | Date、Create、Modify | 与活动时间或作业时间关联 |
| 中 | Make、Model、Software | 成为设备或编辑环境的线索 |
| 中 | File Name、Directory | 文件名或保存位置中可能出现个人信息 |
大量出现不熟悉的项目时,会让人不安。
但是,最先应该查看的是地点、姓名、时间、设备、文件名。
这些是容易直接关系到匿名性的信息。
不要先执行删除命令
ExifTool 也可以用于删除元数据。
但是,初学者应避免一开始就执行删除命令。
先读取里面有什么,理解删除对象。
| 先做的事 | 理由 |
|---|---|
| 复制原文件 | 为了不损坏原本 |
| 查看删除前的输出 | 能知道什么是风险 |
| 制作发布用文件 | 将原本和发布用分开 |
| 删除后重新确认 | 判断是否已经删除 |
| 也确认外观 | 查看元数据以外的线索 |
删除操作很方便,但仅凭已经删除这一事实,不能判断安全性。
删除前后的比较很重要。
基本确认步骤
使用 ExifTool 时的思路如下。
| 顺序 | 作业 | 理由 |
|---|---|---|
| 1 | 复制原文件 | 不混淆原本和发布用 |
| 2 | 对副本确认元数据 | 把握残留了什么 |
| 3 | 分类危险项目 | 分开 GPS、创建者、日期和时间、应用名 |
| 4 | 进行删除或重新生成 | 制作发布用文件 |
| 5 | 删除后再次用 ExifTool 确认 | 查看处理是否成功 |
| 6 | 确认图片或正文的外观 | 查看元数据以外的线索 |
对于高风险文件,要比较删除前结果和删除后结果。
如果不确认什么消失了、什么留下了,就无法判断是否删除成功。
在 PDF 等部分格式中,即使用 ExifTool 看起来已经删除,原始元数据仍可能残留在文件内部。要确认各格式的限制,必要时也使用 qpdf 或重新生成等其他步骤后再重新确认。
不上传到外部服务的理由
元数据确认网站很方便。
但是,对于匿名性重要的文件,上传到外部网站这件事本身会成为新的风险。
| 确认方法 | 优点 | 注意点 |
|---|---|---|
| 本地 ExifTool | 可以不把文件交给外部就确认 | 设备本身仍需要安全 |
| 在线确认服务 | 使用方便 | 文件内容、IP、时间会交给服务方 |
| 上传到社交媒体后确认 | 接近实际公开状态 | 可能已经公开或发送 |
对于高度机密文件、采访资料、内部告发资料、个人照片,从一开始就决定不交给外部网站很重要。
本地确认并非万能,但它有避免增加不必要信任对象的意义。
ExifTool 的限制
ExifTool 很强大,但它不是判断整体匿名性的工具。
即使元数据消失,以下信息仍会残留。
- 照片背景和反射
- 视频或音频中的声音、环境音
- PDF 或文档的正文内容
- 文件名
- 发送时间和上传目标的日志
- 账号和云共享历史
ExifTool 是“查看文件内部元数据的工具”。
为了保护匿名性,内容、外观、发送路径、账号管理方式也要另外确认。
高风险场景中的用法
在内部告发、采访资料、活动记录、个人照片等场景中,也要谨慎考虑 ExifTool 的使用方式。
如果在工作设备或学校设备上确认,可能会留下设备使用日志、文件访问历史、云同步、杀毒软件日志。
另外,如果把确认结果以截图保存,截图中也可能拍到文件路径或用户名。
在高风险场景中,要连同文件在哪里打开、保存在哪里、如何处理确认结果一起判断。
ExifTool 是用于确认的强大工具。
但是,如果操作不当,确认作业本身会成为新的痕迹。
总结
ExifTool 是用于在本地确认文件元数据的代表性工具。
它可以确认图片、PDF、Office、音频、视频等文件中残留的创建者、拍摄日期和时间、GPS、应用名、编辑信息。
匿名性中重要的不是使用 ExifTool 这件事本身。
而是读取显示的信息,判断什么是风险,并在删除后重新确认。
如果把文件上传到外部网站确认,就会把文件和访问信息交给该网站。
对于高风险文件,应优先本地确认,最后还要确认元数据以外的背景、反射、正文、发送路径。
相关工具
ExifTool
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。
URL : https://exiftool.org/
MAT2
与本文相关的外部资源。只有在符合你的处境和威胁模型时再打开。
列在这里的原因: 它可能有助于理解本文主题,但位于 Anonymity Sense 之外,使用前应先自行确认。