Generator-Signaturen
Die Generator-Signatur ist ein Konzept, mit dem verbreitete Dateitypen wie JPEG und PDF in Untertypen aufgeteilt werden können, die bestimmten Geräten (Scanner, Kamera) oder Anwendungen (z. B. Photoshop) zugeordnet werden können. Die JPEG-Generator-Signatur basiert auf der JPEG-Quantisierungstabelle und einigen anderen invarianten Eigenschaften, die bei jeder JPEG-Datei immer vorhanden sind. Die Generator-Signatur wird bei den Metadaten einmal als 32-Bit Wert in hexadezimaler Form ausgegeben gefolgt von einer Beschreibung, die aus der Datei Generator Signatures.txt stammt.
607AE169 (IJG Library 94 / Paint)
In diesem Beispiel handelt es sich um die Signatur einer Datei, die mit Microsoft Paint erzeugt wurde. Die Zahl 94 gibt hier die Qualtitätsstufe (1..100) an, die bei Paint fest voreingestellt ist.
Die JPEG-Signaturen können in drei Hauptgruppen aufgeteilt werden. Die erste Gruppe heißt Standard (identisch mit IJG Library). Hier werden die Quantisierungstabellen verwendet, so wie sie im JPEG Standard beschrieben sind. Es gibt hier genau 99 Qualitätsstufen. Die zweite Gruppe heißt Extended. Hier wird eine Qualitätsstufe in etwa 100 Zwischenstufen aufgeteilt, wobei die Quantisierungstabellen des Standards interpoliert werden. Solche Signaturen gehören i. d. R. zu günstigen Kameraeinsteigermodellen, die nach der Komprimierungsmethode size-priority arbeiten.
D3D8AD02 (Extended 95.10 / 10 MP camera)
Die Qualtitätsstufe wird sowohl in der Signatur als auch bei den JPEG-Details unter DQT-Marker
mit zwei Nachkommastellen angegeben. Ob eine bestimmte Kamera nach size-priority arbeitet, kann man bei den Exif-Metadaten i. d. R. an dem Feld CompressedBitsPerPixel ablesen.
Die dritte Gruppe heißt Custom. Hier werden herstellerspezifische Quantisierungstabellen benutzt. Auch hier wird die Qualitätsstufe zwischen 0 und 100 mit zwei Nachkommastellen angegeben. Ausnahmen davon bilden Photoshop mit den Stufen 0 bis 12, Apple Quicktime 1 bis 1024 und LEAD Technologies 2 bis 255.
53631B67 (LEAD Technologies 2 / Scan)
Im zweiten Teil der Beschreibung, hier Scan, kann außerdem noch Facebook, WhatsApp oder MsPhoto stehen. MsPhoto bedeutet hier, daß die Datei mit Micosoft Photo Gallery bearbeitet wurde.
Die Generator-Signaturen werden intern als Grundlage für die Berechnung der generischen Relevanz benutzt. Zusätzlich werden sie auch bei der Datei-Header-Signatur-Suche in X-Ways Forensics zur Benennung von aus Sektoren ausgegliederten JPEG-Dateien eingesetzt, wenn keine besseren Metadaten vorhanden sind (z. B. Kameramodell und Zeitstempel aus den Exif-Daten). Wenn die Metadaten-Extraktion keine besseren Metadaten findet, kann immer noch die Generator-Signatur ausgegeben werden, und diese erlaubt es Ihnen zumindest, Gruppen zusammengehöriger Dateien zu identifizieren, die wahrscheinlich dieselbe Herkunft haben. Wenn Exif-Metadaten vorhanden sind, können Sie überprüfen, ob Generator-Signatur und Exif-Metadaten miteinander konsistent sind, und das kann zeigen, ob ein Bild bearbeitet und erneut gespeichert wurde.
Insbesondere erlaubt die Generator-Signatur es, JPEGDateien zu erkennen, die von Scannern erzeugt wurde, da nur eine handvoll Generatoren in Scannern üblich sind. D. h. damit kann man eingescannte Bilder als solche auch dann erkennen, wenn sie nicht schwarz-weiß sind und nicht zu 100% nur Graustufen-Farben enthalten. Mit Hilfe der PDF-Generator-Signaturen können auch PDF-Dokumente als eingescannt identifiziert werden. So identifizierte Dateien werden mit einer Berichtstabelle namens Scan verknüpft.
PDF-Generator-Signaturen stehen immer zur Verfügung, auch wenn sonst keine Metadaten vorhanden sind oder keine extrahiert werden können. Mit etwa 4.700 Signaturen (Stand v19.0) können mehr als 99% der PDF-Dateien zugeordnet werden. Bei der dokumentenorientierten Analyse kann auch die Kategorie Reporting/Records in der Datei Generator Signatures.txt von Interesse sein. Die Signaturen in dieser Kategorie gehören etwa zu Kontoauszügen oder Rechnungen.
Die Datei Generator Signatures.txt enthält die Zuordungen von bestimmten Signaturen zu den dazugehörigen Beschreibungen und zusätzlich einer Rang-Angabe für die Berechnung der generischen Relevanz. Diese Datei ähnelt vom Aufbau her den anderen bei X-Ways Forensics mitgelieferten Textdateien und kann wie diese vom Benutzer für seine Ziele angepaßt werden. Anstatt die Bewertung einer jeder einzelnen Signatur anzupassen kann man auch die Bewertung einer Kategorie z. B. JPEG/Scan insgesamt anpassen. Das ist die Zahl hinter dem Tabulatorzeichen in der Zeile, die mit *** beginnt. Der Rang für eine bestimmte Signatur muß zwischen 0 und 9 liegen. Für den Rang der Kategorien gilt diese Beschränkung nicht.
The model designations of known scanning devices can be manually extended in the section "KnownScanner" of "Generator Signatures.txt". Identification by model name can help to identify scanned images if they contain Exif data or were edited. Generally the detection as scanned images is based on 1) generator signature, 2) generic properties of the Exif metadata (FileSource, Density, ...) and 3) the KnownScanner list.
The prefix "Reporting::" in generator signature definitions allows for easier filtering for the category reporting/records.