从Netflix《Carry-On》电影中鉴定截图真实性
在冬季假期观看Netflix的《Carry-On》时,我注意到屏幕上出现了一个真实的URL!通常影视作品中的"网页浏览器"都是模拟的(要么看起来极具未来感,要么糟糕得可笑)。但这不仅是一个显示真实网页的现实浏览器,还是一个Google搜索结果页面(SERP),我知道其中编码了大量有趣的信息。妻子看着我暂停电影仔细研究时不禁笑了(她已经习惯了这一幕)。
提取与分析URL参数
第二天,我回到电影中的那个场景(大约47分钟处),尽力输出了URL。在达到oq查询字符串参数后我放弃了,因为图像变得模糊,但我已经获得了相当多的信息。对于Google SERP URL,我成功读取了q、rlz、ei、ved、uact和oq查询字符串参数。
将URL输入Unfurl后,我得到了丰富的数据:
- q: “nova shock” - Google搜索查询中使用的术语
- oq: “nova shock” - 用户输入的"原始查询"术语
- rlz: 用于分组推广事件信号和匿名用户群组
- 搜索使用Chrome Omnibox执行
- 语言为英语
- 用于执行搜索的Chrome浏览器于2020-11-16当周在美国安装
- ei: 包含搜索会话开始时间信息
- 搜索会话开始时间:2023-05-17 20:59:08.757567+00:00
- ved: 当用户点击Google页面上的链接时出现,包含被点击链接的位置、类型和时间信息
截图真实性验证
现在我们可以提出一个不同的问题:URL中编码的内容与我们看到的一致吗?换句话说,截图是否被篡改过?
| 属性 | 屏幕上显示 | 提取的数据点 | 匹配情况 |
|---|---|---|---|
| 搜索查询 | “Nov Chuck” | “nova shock” | ❌ |
| 浏览器是Chrome | 是 | 是 | ✅ |
| 搜索位置 | Google主页或新标签页 | Omnibox | ❌ |
| 语言 | 英语 | 英语 | ✅ |
| 浏览器安装时间2020-11-16 | 未知 | 未知 | ❔ |
| 搜索会话开始时间 | 2023-05-17 | 202?-12-24 | ❌ |
结论:截图已被修改! 😲
URL中的搜索查询与屏幕上显示的内容不匹配,这是我能看到的最明确的不一致。两个匹配的属性(浏览器是Chrome和语言是英语)非常常见,如果不匹配反而会奇怪。
实际应用:评估截图的真实性
虽然这只是一个有趣的练习(没人期望电影中的截图与现实匹配),但它确实有更严肃的类似应用。如果你遇到截图,无论是在DFIR调查、OSINT研究期间,或者只是在社交媒体上,如果该截图中有URL,你可能有更多关于该截图真实性的数据点。
本文强调了搜索引擎URL等内容的实用性,但各种URL都可以在其中编码有趣的信息,比如来自Twitter/X、Discord、TikTok等的URL!
验证的重要性
当我第一次将转录的URL放入Unfurl时,仔细观察结果后发现事情不太对劲。ei参数中的最后一个(或第3个)值应与ved参数中的13-3值匹配,但在我的第一个转录示例中…它们不匹配。ved和ei中的时间戳也应该匹配,但它们也不匹配。
经过实验,我发现最初误读了ei参数中的两个字符。正确的值是HEBlZL-eLrOmptQP3pmK4AI;之前我将第4个和最后一个字符与它们的同形异义词交换了(HEBIZL-eLrOmptQP3pmK4Al)。这有助于说明即使是"琐事"类型的知识也有其用途。
尝试一下!
如果你觉得这很有趣,我鼓励你尝试在你找到的截图上进行类似分析!Unfurl对此很有用,你可以在线或本地使用它。