File Metadata в OSINT: как извлекать скрытую информацию из файлов

File Metadata — это скрытые служебные данные, которые файл «носит» внутри себя.
Для осинтера метаданные часто ценнее самого содержимого, потому что они отвечают на вопросы:

• кто создал файл
• когда он был создан и изменён
• на каком устройстве или в какой программе
• где физически был создан файл (GPS)
• проходил ли файл редактирование

Метаданные присутствуют в фотографиях, видео, документах, PDF, презентациях и даже аудиофайлах.

Какие типы метаданных бывают

• EXIF — фото и видео (камера, дата, GPS, параметры съёмки)
• IPTC / XMP — редакционные и авторские данные
• Document metadata — автор, компания, ПО, время правок
• Filesystem metadata — даты создания/изменения файла

Что можно узнать из метаданных изображения (EXIF)

• точная дата и время съёмки
• модель камеры или телефона
• координаты GPS
• используемое ПО для редактирования
• параметры съёмки (ISO, выдержка, диафрагма)

Если фото не прошло через соцсети и доступен оригинал — это золото для OSINT.

Метаданные документов (DOCX, PDF, PPTX)

Документы часто «сливают» больше информации, чем ожидается:

• имя автора
• название организации
• имена предыдущих редакторов
• версию ПО (например, Microsoft Office)
• время создания и правок

Иногда по этим данным можно установить конкретного сотрудника или компанию.

Инструменты для анализа метаданных

• ExifTool — универсальный инструмент для любых типов файлов
• Jeffrey’s Image Metadata Viewer — онлайн-анализ EXIF
• MediaInfo — метаданные видео и аудио
• FOCA — анализ метаданных документов

Типичные находки в OSINT через метаданные

• GPS-координаты места съёмки фото
• Имя пользователя компьютера в свойствах документа
• Следы редактирования в Photoshop
• Несоответствие даты файла заявленным событиям
• Определение модели устройства, на которое велась съёмка

Когда метаданные отсутствуют

Социальные сети и мессенджеры удаляют метаданные. В этом случае:

• ищите оригинал файла
• используйте визуальный анализ и reverse image search
• проверяйте файловые свойства, если файл скачан напрямую

Пошаговый алгоритм проверки файла

1. Скачайте оригинальный файл (не скриншот)
2. Прогоните через ExifTool или аналог
3. Изучите даты, авторов, устройства, ПО
4. Проверьте наличие GPS
5. Сопоставьте данные с заявленным контекстом

Чек-лист осинтера

• Есть ли в файле EXIF/IPTC/XMP?
• Совпадает ли дата создания с заявлением?
• Есть ли имена пользователей или компаний?
• Есть ли следы редактирования?
• Есть ли координаты GPS?

Вывод

File Metadata — это скрытый слой информации, который часто остаётся без внимания.

Один анализ метаданных может дать больше фактов, чем длительный визуальный анализ содержимого файла.