Ninas Schmierblo(g)ck

Konservierungsmittel...

Geocaching Mysteries lösen - Kapitel 5 - Bilderanalyse - Teil 2: Technische Bilderverstecke

Geschrieben von Nina • Montag, 14. Januar 2013 • Kategorie: Mysteries lösen
Geocaching Mysteries lösen

5.2 Bilderanalyse - Teil 2: Technische Bilderverstecke

Neben dem rein optischen Varianten lassen sich mit digitalen Bildern auf technische Weise eine Menge Scheußlichkeiten anstellen. Bei Geocaching-Mysteries am Schlimmsten finde ich computergestützte Steganografie. So schön es ist, unsichtbar und fast unknackbar mit kostenlos erhältlichen Programmen fast alle erdenklichen Dinge in Bildern zu verstecken, so ist es für den Mysterylöser eher mühsam, da man zum Entschlüsseln genau die Software benutzen muss, mit der auch verschlüsselt worden ist. Weiß man welche es ist, muss man möglicherweise nur noch ein Passwort ermitteln und ist eine Runde weiter. Kennt man die Software nicht, ist es ein frustrierend langweiliges Durchprobieren der üblichen Verdächtigen.



Es gibt aber viel schönere und einfachere Methoden, Informationen in Bildern zu verstecken und wiederzufinden. So könnte einfach die Bildgröße, Höhe und Breite in Pixeln, die fehlende Nord- und Ostkoordinate sein (oder doch wenigstens deren letzte drei Ziffern). Alternativ könnte auch die Stelle eines relevanten Pixels die Koordinate anzeigen.



Ist das Bild ein JPEG (die Endung des Bildes .jpg), kann es EXIF-Zusatzinformationen beinhalten. Gedacht sind diese für Autorenvermerke, Kommentare oder Daten zu Kameras und Fotoeinstellungen. Neuere Fotoapparate enthalten oft schon einen GPS-Empfänger und speichern die Koordinate, an der das Bild gemacht wurde, gleich mit. Smartphones können dies ebenfalls. Und so mancher Mystery verrät seine Finalkoordinaten so schon durch unachtsame Geocacher, die Fotos mit derart interessanten Zusatzinformationen unwissentlich in ihren Logs mit hochladen.



Für das Sichtbarmachen dieser Zusatzinformationen (EXIF, IPTC, Comments) kann man Bildbetrachter benutzen (das erwähnte IrfanView oder xnview) oder das Internet bemühen (Jeffreys Exif viewer) . Bildbearbeitungsprogramme zeigen dieses ebenfalls an. Mein Favorit hierbei ist die Freeware Gimp, die ihrem großen Bruder Photoshop zumindest in meinen semi-professionellen Anwendungsgebieten in nichts nachsteht. Wer Firefox nutzt, kann auch auf einige entsprechende Add-ons zurückgreifen, welche das Herunterladen des Bildes möglicherweise überflüssig machen. Bei meinen Tests funktionierten diese aber eher nur mäßig gut.



Findet sich in den Bildereigenschaften nichts sinnvolles, sollte man sich das Bild mal in einem Hexeditor anschauen. Im IrfanView kann man dies mit View -> Show hex view bzw. durch das Drücken der Taste F3. Im IrfanView werden dann in einem Extrafenster links die Hexadezimaldaten angezeigt, rechts der "Klartext", der bei einem Bild natürlich weitestgehend nicht menschenlesbar ist.

Ein normaler Hexeditor (wie z.B. HxD) tut selbiges natürlich ebenfalls. In der Hexansicht kann man nun vielleicht Informationen oder auch Manipulationen entdecken, die man dem Bild selber nicht ansieht. Das Format jpg ist zwar grundsätzlich an feste Regeln gebunden, nur kann man diese ziemlich beugen und das Bild wird noch immer fehlerfrei angezeigt. So lässt sich an einigen Stellen (im oberen Bereich und ganz unten) Text verbergen, den der geneigte Leser nur in der Hexansicht zu lesen bekommt. Beim Geocaching gern benutzt ist das Anhängen eines Zips, also einer gepackten Datei, an das jpeg-Bild. Öffnet man dieses jpg in einem Zip-Programm (z.B. Winrar), öffnet sich das Archiv und man kann den Inhalt entpacken. Manchmal hat der Owner des Mysterys noch ein Passwort eingebaut, was sich dann hoffentlich aus dem Listing ergibt (vielleicht Cachetitel, GC-Code oder Ownername?).



Ob einem Jpeg-Bild etwas angehängt worden ist, lässt sich über die Hex-Ansicht leicht überprüfen. Laut den JPEG-Spezifikationen muss ein JPEG-Bild mit dem Hexadezimal-Wert FF D8 beginnen und mit FF D9 enden. Endet es anders, ist es manipuliert. Etwas ist wie das Gezippte ist angehängt worden, oder möglicherweise einfach Text am Ende eingefügt. Um diesem Geheimnis auf die Spur zu kommen, muss man - wenn die Infos nicht schon direkt ablesbar sind - mit einem Hex-Editor alles, was nach dem eigentlichen Ende des JPEG-Bildes, also dem Hex FF D9 , abschneiden und in eine neue Datei packen (das FF D9 kann, beabsichtigt oder nicht, mehrfach vorkommen! Dann müssen eventuell alle möglichen "Schnittvarianten" ausprobiert werden). Dieses neue Dokument nun unter einem passenden Namen speichern und mit sinnvollen Programmen öffnen. Es könnte sich ja ebenfalls um ein Bild handeln, dann wäre ein Bildbetrachter angebracht. Vielleicht auch ein Texteditor. Ein Video- oder Musikplayer vielleicht? Mag möglicherweise ein PDF-Reader Inhalte anzeigen?

Auch an PNG-Dateien lassen sich Daten anhängen. In HEX betrachtet fängt ein PNG mit den HEX-Zahlen 89 50 4E 47 an und endet mit 49 45 4E 44 AE 42 60 82 . Gibt es nach der Endung noch weiteren Hexcode, würde ich den per HEX-Editor mal abschneiden, abspeichern und gucken, was es wohl sein könnte. Sollte es wieder mit 89 50 4E 47 beginnen, ist es ein neues PNG. Alternativ kann man unbekannte Dateien mit den typischen Programmen (Bildbetrachter, Audioanalyser, Notepad, o.äh.) zu öffnen versuchen. Oder das Internet bemühen und die ersten HEX-Zeichen einer Suchmaschine geben. Die allermeisten Dateiformate haben spezielle Startsequenzen.

Zur tieferen Analyse von PNG-Dateien kann ich das Tool tweakpng empfehlen.

Eine weitere Entzauberung fieser Bilderrätsel kann man über die Farb-/Kontrast-/Sättigungs- und Gammaregler einer geneigten Bildbetrachtungs- oder -bearbeitungssoftware durchführen. Einfach mal die vorhandenen Regler (im IrfanView unter Image / Color correction zu finden, im Gimp gibt es verschiedene Fenster unter dem Menüpunkt Farben) hin und her schieben. Besonders den Gammaregler auch gern komplett mal an beide Enden bewegen, so manches Mal taucht dann, wie von Zauberhand, etwas im Bild auf, was vorher definitiv unsichtbar gewesen ist. Nun... eigentlich nicht ganz unsichtbar, je nach Bildart und Farbfüllung wäre man diesem Trick auch auf die Schliche gekommen, wenn man die Bearbeitungsfunktion (zB. Im IrfanView Edit, Paint Dialog) benutzt und mit diesem schicken Eimerchensymbol Farbe über diverse, optisch einfarbige Bereiche kippt (Toleranzschwelle auf so klein wie möglich setzen). Dieser Gegenzauber hilft aber nur bei Bildern mit wenig Details und großflächig einfarbigen Stellen. Alternativ kann man auch mit dem "Zauberstab" der Bildbearbeitungssoftware und einer Empfindlichkeit von "0" oder "1" versuchen, alle exakt gleichfarbigen Stellen zu markieren und erhält so die, die sich vielleicht nur marginal und optisch unsichtbar unterscheiden.

Hat man ein Bild vorliegen, was nur aus zwei Farben besteht oder besonders auffällige Bildbereiche besitzt, könnten die Farbwerte der Schlüssel sein. Mit Gimp und der Pipette im Werkzeugfenster kann man den Farbwert "aufnehmen" und mit einem Doppelklick auf das Quadrat, welches nun im Werkzeugfenster nun die Farbe angenommen hat, erfährt man Details zu ihr. Zum Beispiel die RGB-Farbwerte, bei denen Rot, Gelb und Blau jeweils mit einer Zahl dargestellt werden (R 52/G 12/B 33) oder der Hexadezimalwert der Farbe, wie #4fad91. Oh wie hübsch, dezimal ist das 5221777, eine Nordkoordinate! ;) . Was man alles mit Farben in Geocaches anstellen kann, habe ich hier versucht zu erklären.

Hat man eine GIF-Datei vorliegen (endet mit .gif), kann diese aus mehreren Teilen bestehen, die nach einer vorbestimmten Zeit wie ein Daumenkino ablaufen. Das kann so schnell sein, dass es wie ein solches aussieht, oder so langsam, dass man vermutlich gar nicht mehr hinschaut, wenn das Bild endlich mal wechselt. Daher sollte man GIFs immer auseinandernehmen. Im Gimp geöffnet erkennt man dann im Ebenenfenster die verschiedene Ebenen, in xnview kann man unter Ansicht -> Frame zwischen den einzelnen hin und herspringen und sieht deren Anzahl und die eigene Position unten links in der Statusleiste. Jeffreys Exif viewer zeigt alle Einzelbilder auch online an.

GIFs und PNGs können Informationen beinhalten, die man vor einem weißen Hintergrund nicht sieht (der sowohl bei geocaching.com als auch bei den üblichen Bildbetrachtern üblich ist). Vor einem anders farbigen erkennt man vielleicht, was vorher nicht zu sehen war.

Handelt es sich um ein bekanntes Bild oder ist das Bild vielleicht zwei Mal im Listing, lohnt es sich, nach Unterschieden zu suchen. Sollten die nicht optisch offenkundig sein, kann man in einem Bildbearbeitungsprogramm, welches Ebenen beherrscht (gimp zum Beispiel mal wieder als Vertreter der Freeware-Fraktion oder natürlich der fast-alles-Könner Photoshop), diese beiden Bilder als solche übereinander legen. Dann das oben liegende Bild durchscheinend (transparent) machen, vielleicht noch etwas an den Kontrast- und Transparenzreglern spielen oder den Modus auf Abziehen stellen und gucken, ob der Zauber wirkt.

Kann man auf dem Bild nichts erkennen außer einer wirren "Tapetengrafik" eines Designers unter LSD, könnte es sich um ein Stereogramm handeln. Mit ausreichend Training, etwas schielen und den passenden Augen lassen sich von vielen Menschen nach einer Weile Dinge hier drin sehen, die ich leider nicht erkennen kann. Ich nehme, wenn ich gerade keinen passenden "Schieler" in der Nähe habe, Software, die mir die verborgene Information im Stereogramm anzeigt. Derer gibt es inzwischen eine wahre Flut, so dass ich mir eine Empfehlung lieber spare. Wer gut mit Bildbearbeitungssoftware umgehen kann, dem mag auch diese hierfür reichen: das Bild in eine neue Ebene kopieren, auf Differenzmodus stellen (in Gimp im Ebenenfenster, Modus, Abziehen). Nun hat man ein schwarzes Bild und kann die neue Ebene so lange hin- und herschieben, bis sichtbar wird, was versteckt sein wollte. Die Verschiebung kann gut und gern 50 Pixel betragen.

Mein vorerst letzter Bildertipp, den ich fast täglich nutze: tineye und (meist noch ergiebiger) die Google-Bildersuche! Will man bestimmte Informationen zu einem bestimmten Bild, weiß man nicht, wer oder was hier gerade abgebildet ist, diese beiden Dienste leisten großartige Arbeit! Tineye gibt es als Firefox-Plugin, mein absolutes Lieblingsplugin. Dafür kann die google-Bildersuche mehr finden, tineye findet nur, was genau den gleichen Ausschnitt hat, wie das gesuchte Bild. Die google Bildersuche benutzt sich für mich am einfachsten, in dem ich die komplette URL des Bildes bei Google ins Suchfenster packe und im folgenden Fenster oben auf "Passende Bilder finden Sie mit der Bildersuche" klicke.


Zurück zum Inhaltsverzeichnis
Zurück zum Teil 1 der Bilderanalyse - Einleitung und optisches Verstecken

0 Trackbacks

  1. Keine Trackbacks

4 Kommentare

Ansicht der Kommentare: (Linear | Verschachtelt)
  1. Vielen Dank für die Tipps. Damit bin ich schon oft weitergekommen.
    Aber was kann ich den machen, wenn ich durch das Verstellen der Farbe nun einen neuen Hinweis hab, ein Teil dessen aber ausgeschnitten wurde?
  2. Danke für deine großartigen Lösungsansätze. Dank dieser habe ich gerade meinen ersten D5 geschafft :-)
  3. Hey, Danke für diese unglaublich ausführliche Hilfestellung! Hab damit schon so einige Mysteries lösen können! :-)
  4. Hallo aus dem Sauerland,

    erst einmal möchte ich mich für die ganzenHilfestellungen bedanken. Ich denke es hat mich bei einem Mystery der mich schon lange beschäftigt ein gutes Stück weiter gebracht. 
    Genau gesagt geht es um diesen hier:

    https://www.geocaching.com/geocache/GC3E22X_minimalismus#

    Leider bin ich was das lösen von D5er angeht noch nicht so auf der Höhe...
    Mit den Tipps konnte ich einen externen Link zu einer Hintergrunddatei finden, dessen Dateiname (2drc4ad55g32v663w3cd) mir sehr verdächtig vorkommt. Aber auch nach reichlich googlelei konnte ich aus diesem Code nicht schlau werden. Auch das betrachten mit diversen Grafikprogrammen und suchen im Quelltext bzw Hex-Code brachte mich bisher nicht ans Ziel.

    Wenn es dir nicht zu viel Mühe macht wäre ich dir sehr dankbar wenn du mal kurz drüber schauen würdest ob dir nicht spontan was auffällt und du mir den evtl entschscheidenden Tipp geben könntest.
    Vielleicht habe ich mich ja auch auf eine ganz falsche Stelle versteift...


    Vielen Dank und beste Grüße

    Martin

Kommentar schreiben


Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
BBCode-Formatierung erlaubt
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.

Um maschinelle und automatische Übertragung von Spamkommentaren zu verhindern, bitte die Zeichenfolge im dargestellten Bild in der Eingabemaske eintragen. Nur wenn die Zeichenfolge richtig eingegeben wurde, kann der Kommentar angenommen werden. Bitte beachten Sie, dass Ihr Browser Cookies unterstützen muss, um dieses Verfahren anzuwenden.
CAPTCHA


gratis Counter by GOWEB