Hoy veremos cómo es posible detectar indicios de alteraciones por corte de archivos de video a partir de técnica forense simple de análisis de metadatos.
Para el caso que existan numerosos archivos, el análisis forense de metadatos es el primero que debería encararse y su objetivo consiste encontrar el archivo que presente alguna diferencia, particularmente en la cantidad de campos contenidos en el registro de metadatos o bien en el orden o en el nombre de alguno de ellos. Para ello plantearemos aquí una implementación utilizando el lenguaje Python.
1. Técnica antiforense de cortado de video.
1.1. Se procederá a cortar el archivo de video ofrecido como prueba. En el mercado existen numerosas herramientas para realizar esta tarea, con lo que en principio deberían utilizarse todas a fines de realizar un análisis exhaustivo. En esta oportunidad analizaremos dos de ellas, la primera es un servicio en la nube online y la segunda, un aplicativo de escritorio utilizado también para realizar la peritación de los archivos de video.
1.1.1. https://online-video-cutter.com/es/
Ingresar al sitio, incorporar un archivo de video indubitado tomado en acto pericial. Debajo se desplegará una cinta de video.
En el menú de opciones (ícono de engranaje) seleccionar la opción "no reencoding" a fines de preservar el video en su formato original.
Seleccionar una porción del video haciendo uso de las barras ubicadas a ambos costados de la cinta de video.
Botón Save y/o Guardar para descargar la porción de video cortada.
Extraer los metadatos del archivo indubitado y compararlos con los metadatos del archivo recientemente editado.
Notar que este proceso de cortado incorpora una etiqueta en los metadatos conteniendo la siguiente información: TAG:encoder=Lavf58.65.101. Dicha etiqueta no se encuentra presente en el archivo original indubitado y representa un indicio de adulteración en el mismo.
1.1.2. FFMPEG
Descargar el aplicativo ffmpeg del sitio https://ffmpeg.org/download.html
Copiar el archivo ffmpeg.exe a la carpeta donde se encuentra el video indubitado (ej. indubitado.avi)
Ejecutar el siguiente comando:
c:\> ffmpeg -ss 00:00 -i indubitado.avi -t 01:00 -c copy out.avi
Extraer los metadatos del archivo indubitado.avi y compararlos con los metadatos del archivo recientemente editado out.avi.
Notar que este proceso de cortado incorpora una etiqueta en los metadatos conteniendo la siguiente información: TAG:encoder=Lavf58.65.101. Dicha etiqueta no se encuentra presente en el archivo original indubitado y representa un indicio de adulteración en el mismo.
Código Python para realizar la comparación:
Comentarios
Publicar un comentario