eCDFP (Data Representation & File Examination) (Part-4)

 JPEG Analysis

    JPEG (Joint Photographic Experts Group) က အခြားသော File Type Format တွေလိုပဲ သတ်မှတ်ထားတဲ့ Structure (Header, Metadata, footer)  ရှိပါတယ်။ JPEG အပြင် JPG,jpg,jfif စတဲ့ Extension တွေလဲရှိပါတယ်။ JFIF,TIFF,EXIF တို့က JPEG နဲ့ File Format မတူညီပေမဲ့ Compression နဲ့ Encoding တို့မှာ JPEG ရဲ့ Algorithm ကိုပဲ အသုံးပြုထားပါတယ်။ JPEG File အစက FF D8 နဲ့စပါတယ်။ Section တွေပါဝင်ပြီး FF က  Section အသစ်တစ်ခုဖြစ်ကြောင်း ပြသပါတယ်။ တစ်ခါတစ်ရံ  JPEG က FF D8 နဲ့မစပဲ FF EO, FF E1 တို့နဲ့စပါတယ်။  File Header ထဲမှာ Investigator အတွက် စိတ်ဝင်စားဖို့ကောင်းတဲ့ Software Signature, Date , Camera နဲ့ OS လိုမျိုး စတဲ့ အချက်အလက်တွေ အများကြီး ပါဝင်ပါတယ်။ 

ဥပမာ အနေနဲ့ FF D8 FF E0 Signature ကို Header မှာတွေ့ရပြီး  JFIF  Type ဖြစ်တာကိုတွေ့ရပါတယ်။ 

ပြီးရင် Photoshop Signature ကိုပါတွေ့ရတဲ့အတွက် Photoshop ထဲမှာထည့်ပြင်ထားတာကိုတွေ့ရပါမယ်။ 


နောက်ထပ် ဥပမာ အနေနဲ့  FF D8 FF E1 ဆိုပြီး Header မှာတွေ့ရမှာဖြစ်ပြီး EXIF File Type ဆိုတာကိုတွေ့ရမှာဖြစ်ပါတယ်။ အဲဒီပုံကို Iphone6 နဲ့ရိုက်ထားတယ်ဆိုတာကိုပါတွေ့ရမှာဖြစ်ပါတယ်။ 

(Facebook, Instagram လိုမျိုး Social Media တွေနဲ့ အချို့သော Website များမှာ Metadata ကိုတွေ့ရမှာမဟုတ်ပါဘူး။ EXIF Information ဖျက်တဲ့ PC/Phone App တွေ ယခုအချိန် လဲများစွာပေါ်နေပါပြီ။EXIF Data ကိုကြည့်ဖို့ OSINT LINK တွေလဲ Vlog မှာဖော်ပြပြီးဖြစ်ပါတယ်။ )

JPEG  File တွေက နောက်ဆုံးမှာ FF D9 String  နဲ့အဆုံးသတ်တာကိုတွေ့ရမှာဖြစ်ပါတယ်။ အဲဒီ Field တွေကို Hex Editior နဲ့ အလွယ်တစ်ကူပြင်ဆင်လို့ရတယ်ဆိုတာကို သတိထားရမှာဖြစ်ပါတယ်။ 


Edit With Hex Editor 


PDF Analysis 

PDF Analysis 

PDF Header က 25 50 44 46 ဖြစ်ပါတယ်။ 2D 31 2E 35 ကတော့ PDF Version ဖြစ်ပါတယ်။  PDF ရဲ့ BODY ထဲမှာတော့  (String, Image, Flash, Etc ..) စတာတွေပါဝင်ပါတယ်။ Different data Type တွေကို Object အဖြစ်ရည်ညွှန်းပါတယ်။ Body ဆိုတာကို Reader ကနေ User ကိုပြသတဲ့ အကြောင်းအရာတွေဖြစ်ပါတယ်။ Object တွေကလဲ အခြားသော Object ကိုရည်ညွှန်းတာတွေလဲရှိပါတယ်။ Example – Website Link. Object Pointer တွေမှည Object Identifier နဲ့ Generator Number တွေပါဝင်ပါတယ်။ Object Body က Obj နဲ့ endobj ကြားထဲမှာရှိပါတယ်။ 


 တူညီတဲ့ Object Series တွေကိုတော့ Stream လို့ခေါ်ပါတယ်။ Stream တွေက Large Date Type တွေဖြစ်တဲ့ Image File, Flash, Video စတာတွေဖြစ်ပါတယ်။ Stream မှာ Stream နဲ့ EndStream တို့ရှိပါတယ်။ Stream တွေက Size နည်းအောင် Compressed လုပ်ထာပါတယ်။ Stream ထဲမှာ Content တွေအများကြီးပါရှိတာကြောင့် Analysis မလုပ်ခင်မှာ  Decompressing နဲ့ Decoding လိုအပ်ပါတယ်။ 



Xref Table ကတော့ PDF တစ်ခုလုံးမှာရှိတဲ့ Object တိုင်းကို Pointer  အနေနဲ့ Point လုပ်ပေးပါတယ်။ PDF File တစ်ခုလုံးကို ကြည့်စရာမလိုပဲ PPDF အတွင်းမှာရှိတဲ့ Object တိုင်းကို Access လုပ်လို့ ကြည့်လို့ရအောင် လုပ်ပေးပါတယ်။



ပထမဆုံးလိုင်းက Table ထဲမှာရှိတဲ့  Entry အရည်အတွက်ကိုဖော်ပြထာဖြစ်ပါတယ်။ Number Of Entries = 19 ဖြစ်ပါတယ်။ 0 ကတော့ Object အစနံပတ်ဖြစ်ပါတယ်။ Object Start From 0 

ဒုတိယလိုင်းမှာရှိတဲ့ 10 bytes က PDF Document ထဲမှာရှိတဲ့ Object ရဲ့ Offset ကိုညွှန်ပြတာဖြစ်ပါတယ်။ ကျန်တာတွေကတော့ Object Generation Number ဖြစ်ပါတယ်။ (F/N) ကတော့ Object က အသုံးပြုထားလား မသုံးထားလားဆိုတာကိုပြတာဖြစ်ပါတယ်။ 




Trailer ကတော့ PDF ရဲ့ နောက်ဆုံး Last Session ပဲဖြစ်ပါတယ်။ Trailer နဲ့စပြီး %EOF နဲ့ အဆုံးသတ်ပါတယ်။ 
Trailer ရဲ့ Content တွေက << >> Sign အတွင်းမှာရှိပါတယ်။ Size ကတော့ xref table ထဲမှာရှိတဲ့ Entries အရည်အတွက်ကိုဖော်ပြတာဖြစ်ပါတယ်။ 

                                                            
startxref Filed မှာဖော်ပြထားတာကတော့ xref table ရဲ့ Size က 1689 Bytes ရှိပါတယ်။ 

ပုံမှာပြထားတဲ့အတိုင်း PDF ကို Microsoft 2010 ကနေ PDF လုပ်ထားတာကို တွေ့ရပါတယ်။ ဒါ့အပြင် MAC Time , Name တို့ကိုတွေ့မြင်ရမှာဖြစ်ပါတယ်။အချို့ PDF Reader တွေမှာ ဒါမျိုးကို တိုက်ရိုက်ဖတ်နိုင်ပါတယ်။ Example – Adobe Reader (Document Properties)  ဒီအချက်အလက်တွေက HEX Editor နဲ့ပြောင်းလဲပြင်ဆင်နိုင်ပါတယ်။ 













Comments

Popular posts from this blog

B-Trees (NTFS)

NTFS Index Attributes

Volatility Workbench (GUI) for the Volatility tool