Mnogi datotečni formati podpirajo zapis metapodatkov. Ti ponavadi vključujejo datum in čas nastanka datoteke, avtorja in program, s katerim je bila ustvarjena. Poleg tega lahko recimo slika vsebuje podatke o lokaciji in napravi, s katero je bila zajeta. Te podatke je enostavno spregledati, saj jih programi pogosto ne prikažejo, zato so pogosto vir uporabnih forenzičnih informacij.

Med najširše uporabljanimi standardi za zapis metapodatkov v slikah in videoposnetkih so Exif, IPTC in XMP, ki jih lahko obdelujemo z uporabo knjižnice in orodij Exiv2. Dokumenti v sodobnih formatih, kot so Office Open XML, OpenDocument in EPUB, so shranjeni kot navadne datoteke ZIP, v kateri je med drugim tudi datoteka z metapodatki (ponavadi zapisana v formatu XML).

Naloga: odkrivanje metapodatkov

Iz datoteke lovec-nabiralec.jpg preberite metapodatke in odgovorite na spodnja vprašanja.

  • S kakšno napravo je bila zajeta?
  • Je bila uporabljena bliskavica?
  • Kdaj in kje je nastala?

Preglejte še metapodatke v datoteki blinkenlichten.odt.

  • Kdo je originalni avtor dokumenta?
  • Ga je spreminjal še kdo drug?
  • Kdaj in na katerem operacijskem sistemu je nastal?

Naloga: brisanje metapodatkov

Iz datotek lovec-nabiralec.jpg in blinkenlichten.odt pobrišite vse metapodatke.


Many file formats support metadata, which can include the date and time when the file was created, its author and the program used to make it. Pictures can also contain data about the location and the device used to take it. Metadata is easy to overlook and can be a rich source of forensic data.

The most common standards for encoding metadata in pictures are Exif, IPTC and XMP, which can be accessed and modified using the Exiv2 library and tools. Modern document formats such as Office Open XML, OpenDocument and EPUB are packed into an ordinary ZIP file, which includes a file with metadata (usually encoded in XML).

Task: discovering metadata

Read the metadata from the picture lovec-nabiralec.jpg and answer the following questions.

  • Which device was used to take the picture?
  • Was the flash used?
  • When and where was the picture taken?

Look at the metadata in the file blinkenlichten.odt.

  • Who is the original author of the document?
  • Was it modified by anyone else?
  • When was it created, and on which operating system?

Task: removing metadata

Remove all metadata from the files lovec-nabiralec.jpg and blinkenlichten.odt.

Последна промена: среда, 29 април 2020, 09:59