PhotoDNA

WinHex & X-Ways

previous page next page

PhotoDNA

 

X-Ways Forensics kann bis auf weiteres den sog. PhotoDNA-Hash-Algorithmus auf Fotos anwenden. Dank der Robustheit des Algorithmus' und seiner Spezialisierung auf Fotos kann er Bilder normalerweise auch dann automatisch wiedererkennen, wenn sie wiederholt einer verlustbehafteten Kompression unterworfen wurden (JPEG), wenn sie in einem anderen Dateiformat gespeichert wurden oder vergrößert oder verkleinert wurden, wenn die Bildschärfe herauf- oder herabgesetzt wurde, wenn Bildteile verpixelt wurden, wenn die Farben oder Kontraste angepaßt wurden usw. Anders als Hash-Werte von konventionellen, zu allgemeinen Zwecken für Daten generischer Art entwickelten Algorithmen, sind PhotoDNA-Hashes resistent gegen diverse Bildoperationen oder ändern sich nur leicht. Optional können Fotos auch dann wiedererkannt werden, wenn sie gespiegelt wurden. Aus Zeitersparnisgründen und wegen vermuteter Irrelevanz werden Bilder mit einer Höhe oder Breite von weniger als 50 Pixeln nicht mit PhotoDNA untersucht.

 

Aus Gründen der Lizenzierung kann der die PhotoDNA-Funktionalität nur Strafverfolgungsbehörden zugänglich gemacht werden, als separater Download. Diese Behörden dürfen PhotoDNA verwenden zur Verhinderung der Verbreitung von Kindesmißbrauchsinhalten und für Ermittlungen, die das Ziel haben, die Verbreitung und den Besitz solcher Inhalte zu stoppen. Weitere Details über PhotoDNA finden Sie in dieser technischen Erläuterung und dieser Pressemitteilung.

 

Wenn die PhotoDNA-Funktionalität in X-Ways Forensics verfügbar ist, kann eine Hash-Datenbank mit PhotoDNA-Hash-Werten von Fotos (Bilddateien) erzeugt und verwaltet werden, und andere Bilddateien können mit dieser Hash-Datenbak in X-Ways Forensics und X-Ways Investigator abgeglichen werden, um bekannte Inhalte automatisch zu identizieren.

 

Strafverfolgungsbehörden können eine eigene Sammlung solcher Hash-Werte anlegen, basierend auf Bildern früherer Fälle, und mit anderen Benutzern teilen. Oder sie können eine existierende umfangreiche Sammlung von Project Vic importieren (JSON/ODATA-Format Version 1.0, ab v18.1 von X-Ways Forensics auch Version 1.1, ab v18.2 von X-Ways Forensics auch Version 1.2). Sie können auch PhotoDNA-Hash-Datenbanken anderer X-Ways-Benutzer importieren (wählen Sie dazu die Datei "RHDB" aus!), nicht mehr benötigte Hash-Kategorien löschen und Kategorien in der Datenbank verschmelzen und umbenennen. Beim Importieren der Datenbank eines anderen Benutzers werden Kategorien mit gleichem Namen verschmolzen. PhotoDNA-Hash-Werte können auch aus Textdateien importiert werden, wenn diese in der ersten Zeile den Ausdruck "PhotoDNA" enthalten, gefolgt von 1 PhotoDNA-Hash-Wert pro Zeile in Hex-ASCII oder Base64.

 

Hash-Werte von Bildern im Datei-Überblick eines Asservats können der PhotoDNA-Hash-Datenbank auf dieselbe Weise hinzugefügt werden wie konventionelle Hash-Sets zu einer konventionellen Hash-Datenbank, über den Befehl “In Hash-Datenbank aufnehmen” im Verzeichnis-Browser-Kontextmenü. Die Datenbank ist eine der zahlreichen Datenbanken, die über den Befehl Extras | Hash-Datenbank verwaltet werden können. Die PhotoDNA-Hash-Datenbank wird in einem Verzeichnis gespeichert neben dem Verzeichnis für Hash-Datenbank Nr. 1.

 

Wenn Sie PhotoDNA-Hash-Sammlungen importieren oder die PhotoDNA-Hash-Werte von ausgewählten Dateien direkt in X-Ways Forensics in die Datenbank aufnehmen, werden die hinzuzufügenden Einträge untereinander und mit den in der Datenbank bereits bestehenden Einträgen abgeglichen, um Redundanzen und sich widersprechende Kategorisierungen aufzudecken und die Datenbank so kompakt, schnell und nützlich wie möglich zu halten. This is recommended, but optional, and if you skip this step and if the data set is very large, you potentially save hours of time, at the cost that matching pictures against the database during volume snapshot refinement will take more time, and that for variations of the same picture you may get different classifications returned. You may define the import strictness separately to define how similar hash values have to be to warrant a re-classification of existing values (to keep the database consistent) and to define how similar hash values have to be to overwrite (replace) an existing value with new value (to keep the database compact and less redundant). The latter strictness must not be less than the former. Ein Hash-Wert kann entweder ein existierender, alter Hash in der Datenbank sein, ein neuer Hash, der gerade erst von der laufenden Import-Operation hinzugefügt wurde, oder ein noch hinzuzufügender Hash.

1) Wenn ein hinzuzufügender Hash-Wert Y absolut identisch ist zu einem alten oder neuen Hash-Wert X, wird Y ausgelassen. Wenn Y und X bloß ähnlich sind, wird Y hinzugefügt. Wenn Y und X nahezu identisch sind, wird X direkt durch Y ersetzt (überschrieben).

2) Wenn Y und X identisch oder ähnlich sind, aber zu verschiedenen Kategorien gehören, und X neu ist, dann bedeutet das, daß die Qualität der Importdatei gering ist. Sie sehen dann eine Warnung. Im Fall eines Imports von ProjectVic, wenn die beiden Kategorien die relativ ähnlichen Kategorien "Child Abuse" und "Child Exploitation" sind, wird nichts Besonderes gemacht. Falls die beiden betroffenen Kategorien nicht diese beiden sind: Wenn entweder X oder Y zur Kategorie "Non-pertinent" gehört und das Bild größtenteils einfarbig ist, wird X der Kategorie "Non-pertinent" zugeordnet. Ansonsten werden die sich widersprechenden Kategorisierungen aufgelöst, indem X der Kategory "Uncategorized" zugeschlagen wird.

3) Wenn Y und X identisch oder ähnlich sind, aber zu verschiedenen Kategorien gehören, und X alt ist, wird X derselben Kategorie wie Y zugeordnet, unter der Annahme, daß die vorherige Kategorisierung falsch oder veraltet ist und die Importdatei korrekte/neue Informationen enthält. Das ist von Vorteil z. B. bei Einträgen mit einer Kategorisierung, die im Ausland vorgenommen wurde (z. B. Project Vic) und die aufgrund hiesiger anderer Gesetzgebung oder Rechtsprechung angepaßt werden muß. Oder auch einfach aufgrund von Kategorisierungsfehlern oder unterschiedlicher Interpretation. Was in Land A als Kipo angesehen wird, wird in Land B evtl. anders eingestuft (Beispiel: computergenerierte Bilder). Die Umkategorisierung erfordert jedoch, daß Sie Kopien derselben Bilder in Ihrer Sammlung haben (nicht notwendigerweise die exakt gleichen Dateien) oder wissen, welcher Hash-Wert zu genau welchem Bild gehört.

 

Beim Aufnehmen von PhotoDNA-Hash-Werten in die interne PhotoDNA-Hash-Datenbank mit dem entsprechenden Kontextmenü-Befehl haben Sie jetzt die Möglichkeit, Ihre Kommentare zu den ausgewählten Dateien in diese Datenbank als Beschreibungen aufnehmen zu lassen. Diese Beschreibungen können automatisch wieder als Kommentare übernommen werden, wenn beim nächsten Mal dieselben Bilder in einem anderen Fall gefunden werden. Diese können bestehende Kommentare in dem anderen Fall ersetzen oder (falls das entsprechende Feld nur halb angekreuzt ist) zu bestehenden Kommentaren hinzugefügt werden. Dies ist insbesondere für Benutzer bei der Polizei in Deutschland von Vorteil, die aufgrund eines BGH-Urteils (2 StR 279/07) für jedes kinderpornographische Bild für gerichtliche Zwecke eine Textbeschreibung bereitstellen müssen, um ihnen zumindest die wiederholte Eingabe der Beschreibung bereits bekannter Bilder zu ersparen. Ebenfalls nützlich, um Informationen wie z. B. bekannte Identitäten der Personen in einem Bild, frühere Fallnummern, etc. für zukünftige Verwendung zu hinterlegen, falls dieselben Bilder nochmal woanders gefunden werden.

 

Die Beschreibungen in der Hash-Datenbank können mit Ihren Kommentaren aktualisiert werden, indem man einfach die PhotoDNA-Hash-Werte derselben Dateien erneut durch den entsprechenden Befehl in die interne Datenbank aufnehmen läßt. Wenn Sie die interne Hash-Datenbank eines Kollegen importieren (durch Auswahl deren RHDB-Datei), stellen Sie sicher, dass Sie nicht nur die entsprechende RHCN-Datei (mit den Kategorie-Namen) im selben Verzeichnis haben, sondern auch die neuen Unterverzeichnisse, die die Beschreibungen enthalten, falls vorhanden, falls Sie auch diese Beschreibungen mit importieren möchten.

 

Um all diese internen Beschreibungen zu löschen, können Sie schlicht die "D*" genannten Unterverzeichnisse des PhotoDNA-Hash-Datenbank-Verzeichnisses löschen. Oder falls Sie Ihre Datenbank anderen Benutzern ohne die Beschreibungen weitergeben möchten, fügen Sie die D* Unterverzeichnisse einfach nicht bei. Sie können auch einzelne Beschreibungen in den Text-Dateien in den D* Unterverzeichnissen jederzeit manuell löschen oder aktualisieren. Beschreibungen, die Sie bereits in Ihrer Datenbank haben, werden durch das erneute Importieren der gleichen Hash-Werte aus anderen Quellen nicht verloren gehen; sie werden aber überschrieben, falls es sich bei der anderen Quelle um eine PhotoDNA-Hash-Datenbank von X-Ways Forensics handelt, die Beschreibungen für dieselben Bilder enthält.

 

Bei der Erzeugung eines PhotoDNA-Hash-Sets aus ausgewählten Bilder können Sie alternativ das Hash-Set nicht in die interne Datenbank aufnehmen, sondern statt dessen eine separate Text-Datei mit PhotoDNA-Hash-Werten erzeugen lassen. Kreuzen Sie zu dem Zweck "Speichern unter..." an. Solche Dateien können an andere Nutzer weitergegeben werden, falls diese die angegebenen Hash-Werte zu ihren Datenbanken hinzufügen möchten, oder selbige entfernen wollen.

 

Es ist möglich, eine PhotoDNA-Hash-Datenbank um ungewollte Hash-Werten zu bereinigen. Dafür gibt es einen Schalter im Verwaltungs-Dialogfenster für die PhotoDNA-Datenbank. Die zu entfernenden Hash-Werte werden als einfache Text-Datei übergeben, mit einem Hash-Wert in Hex-ASCII-Notation pro Zeile und "PhotoDNA" in der ersten Zeile. Die angegebenen Hash-Werte betreffen sowohl exakte Übereinstimmungen in der Datenbank als auch kleine Abweichungen (dieselbe Abweichung ist erlaubt wie für den Abgleich eingestellt). Es kann notwendig werden, die PhotoDNA-Hash-Datenbank zu bereinigen, wenn Sie Hash-Sets aus einer fremden Quelle importiert haben, deren Inhalte teilweise Ihren Anforderungen nicht entsprechen, was offenkundig wird, wenn Sie falsche Treffer erhalten, falls Sie dennoch nicht das ganze Hash-Set entfernen wollen, oder falls Sie selbst versehentlich das falsche Bild in Ihre Hash-Datenbank aufgenommen haben.

 

There is a button that allows to export selected hash collections into text files to share them with other users or to check which hash values are contained/which ones were deduplicated etc. Another function (the button with the magnifying glass) will help you to check the database for the presence of a specific hash value, specified in Hex ASCII or Base64 notation. If there is a hit, you will be shown the name of the hash collection that contains the hash value. If the matching entry in the database has a textual description, that description will be shown as well. Up to 19 matches are returned, and for each you will see how precise the match is (the higher, the more precise; same basic scale as the user-specified strictness for matching, i.e. level 1 means very rough match). You have the option to narrow down the result list to more precise matches by enforcing a higher minimum strictness level, which is useful if there are more matches than can be listed.

 

There is a function to mark selected PhotoDNA categories as "preferred", with a black star. That way they will get priority if for a picture in the volume snapshot matches are found with hash values in different categories. Such preferred categories will be reported as a match even if alternative matches with non-preferred categories are much closer matches. That is useful for example if you have categories in your database that you trust to be accurate and suitable and others that you trust less, for example because they are known to contain errors (e.g. the same picture classified as CP and non-pertinent at the same time) and/or because they are from a foreign source and based on different laws and jurisdiction.

 

Der Abgleich ist Teil der Operation "Bildanalyse und -verarbeitung" in Specialist | Datei-Überblick erweitern. Wenn es beim Abgleich zum selben Bild mehrere Treffer in verschiedenen Kategorien der Datenbank gab, können Sie dies im Verzeichnis-Browser erkennen: Der Name der Kategorie mit der exaktesten Übereinstimmung wird angezeigt gefolgt von einem Komma und drei Punkten. In den seltenen Fällen, in denen dies passiert, kann es wichtig sein, solche Bilder noch einmal gezielt anzusehen und die endgültige Entscheidung über deren Relevanz für den Fall zu treffen. Sie können auch nach Bildern filtern, die in mehr als einer Kategorie gefunden wurden. Solchen Bildern sollte evtl. genauso viel Aufmerksamkeit zuteil werden wie doppelten Hash-Werten in konventionellen Datenbanken, die gleichzeitig zur Kategorie "irrelevant" und "verdächtig" gehören und die normalerweise auf eine inkonsistente Befüllung der Datenbank hindeuten, etwa versehentliche Fehlkategorisierung oder korrekte Kategorisierungen durch Benutzer in unterschiedlichen Rechtsräumen. Wenn die zurückgemeldete am besten passende Kategorie zu einem Bild Ihrer Ansicht nach falsch ist, können Sie dies heilen, indem Sie den PhotoDNA-Hash-Wert des Bildes der Database erneut hinzufügen, unter Angabe der korrekten Kategorie.

previous page start next page