Quando olhamos para um cabeçalho jpeg existem várias partes que podemos usar para identificar o tipo de imagem e formatos utilizados. A primeira parte é olhar para os dois primeiros bytes do arquivo. Os valores hex FF D8 irá identificar o início do arquivo de imagem. Isso é muitas vezes suficiente para saber que você tem um arquivo JPEG real. Os próximos dois bytes são o marcador Aplicação normalmente FF E0. Este marcador pode mudar, dependendo do aplicativo usado para modificar ou salvar a imagem. Eu já vi esse marcador como FF E1 quando as imagens foram criadas por câmeras digitais da Canon. Os próximos dois bytes são ignorados. Leia os próximos cinco bytes para identificar especificamente o marcador aplicação. Este normalmente seria 4A 46 49 46 (JFIF) e 00 para terminar a string. Normalmente, essa seqüência de zero encerradas será "JFIF", mas usando o exemplo anterior de câmeras digitais Canon esta string será 45 78 69 66 (Exif). Maioria dos editores de imagem de lidar com todos os formatos JPEG, a menos que um formato proprietário é usado que não seguem o padrão JPEG.
Aqui está um resumo rápido. Procure a seqüência de byte seguinte, que começa no início do arquivo, mas lembre-se os marcadores de aplicação que pode variar: FF FF E0 D8 <skip dois bytes> 4A 46 49 46 00
| Byte | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| Hex | FF | D8 | FF | E0 | Skip | Skip | 4A | 46 | 49 | 46 | 00 |
| Char | ÿ | Ø | ÿ | à | Skip | Skip | J | F | I | F |
Sendo assim, você pode estar verificando se realmente não passa de uma falsificação ou farsa.
Autor: Lucas MartinhoEm: 08/08/2011 - 11:51AM
Blog LY2F - Sessão de Pericia Forense
0 comentários:
Postar um comentário