Es könnte mit Lisanne's Handy gemacht sein (??)Diebold schrieb:Aber woher stammt das Foto eigentlich? Lt. Koude Kaas ist es zumindest nicht mit der Canon aufgenommen worden, sondern vielleicht mit dem Handy (von wem?).
Original anzeigen (0,3 MB)Das ist ja verrückt. Aber der Inhalt ist nicht überliefert?Doctective schrieb:So haben wir beispielsweise auch Daten zu SMS, die sich Kris und Lisanne gegenseitig geschrieben haben sollen, als sie in Bocas waren, vorliegen, obwohl das ja eigentlich nicht möglich sein könnte, weil ja festgestellt wurde, dass weder Kris noch Lisanne Mobilfunk genutzt haben, sondern immer nur Internet/Whatsapp.
Vielleicht eine doofe Frage, weil ich es einfach nicht besser weiß: Aber waren da nicht dann auch die niederländischen Anbieter gefragt?
Danke fürs Aufhellen! Die Frau in gelb wirkt auf mich nun noch mehr wie Ingrid.
Teilweise. Der Inhalt der SMS, die Lisanne geschrieben oder erhalten hat, ist vorhanden durch das Auslesen der Daten ihrer SIM-Karte. Hier sind aber keine Daten zur Zeit in Bocas ersichtlich. Wiederum existiert eine Übersicht eines Mobilfunkanbieters über Mobilfunkverbindungen und SMS beider Nummern für die Zeit in Bocas. Da sieht man, dass SMS von Lisannes Nummer an Kris’ Nummer geschickt wurden und umgekehrt. Hier aber ohne, dass der Inhalt bekannt ist.
Und das ist Breaking News wenn dies der Fall sein sollte!
Das meine ich mit Unstimmigkeiten, die wir selbst (noch) nicht verstehen.
Ich habe mich mit diesem Foto nie beschäftigt. Es ist hochinteressant, hat auch noch keiner thematisiert. Meines Erachtens ist die Frau in Jeanskleidung rechts ziemlich sicher Kris. Die Frau im gelben Kleid ist ziemlich sicher Ingrid. Und Lisanne könnte auf der hinteren Seite schräg links von Kris zu sehen sein. Macht ja auch Sinn, dass sie Volleyball spielt.
Ja, das entspricht meinen ersten Tests, gut dass du das inkl. Kamera-Prozedur schon mal so bestätigen kannst. Matt behauptete vor Kurzem, dass nur 1 oder 2 Bilder gedreht wurden, widerlegt sich aber selbst in seinem eigenen Artikel auf IP, wo ja ein kleiner Auszug des NFI mit bereits 3 gelöschten Originalen von gedrehten Bildern zu sehen ist. Die Infolage ist dünn und unpräzise. :-)cyclic schrieb:Ich habe jetzt endlich mal mit photorec (bzw. der graphischen Oberfläche qphotorec) in der Version 7.1 ein paar Tests gemacht.
Nicht wenn sie die Fotos per Formatierung "gelöscht" hat, denn im neuen Dateisystem gibt es keine Lücken, welche die Kamera füllen könnte. Die Daten der alten Bilder sind aber dennoch vorhanden, insofern sie nicht "zufällig" ganz oder teilweise überschrieben werden.
WiFi-Calling (Mobilfunk-Weiterleitung per WLAN) können wir wohl ausschließen, obwohl das oft als Roaming-Ersatz verwendet wurde. Diese Funktion gab es beim S3 und iPhone 4 mE aber noch nicht.
Gab es auch noch nicht. Android ab 6.0 und iOS ab 8.Offshore7 schrieb:WiFi-Calling (Mobilfunk-Weiterleitung per WLAN) können wir wohl ausschließen, obwohl das oft als Roaming-Ersatz verwendet wurde. Diese Funktion gab es beim S3 und iPhone 4 mE aber noch nicht.
Ohne eine Anbindung ist es unmöglich. Evtl. Haben sie eben doch Mobilfunk gehabt.
Es passt alles vorne und hinten nicht zusammen. Das ist erstmal noch nicht so erstaunlich in diesem Fall, wo es massenhaft frei erfundene Gerüchte gibt, die sich dann im Stille-Post-Verfahren zum "Fakt" verfestigt haben.
Dann kann man meiner (vorläufigen) Meinung nach das Drehen von Bildern als Ursache komplett ausschließen.
Dann können das alles nur von einem Viewer separat angelegte Miniaturbilddateien sein. Die Anzahl von 40 passt auch ganz gut: eine Überblicks-Seite mit 5x8 oder 4x10 Bildchen wurde erstellt (ggf. auch zwei Seiten). Dann kam der Kollege dazu und meinte "Du schaust dir die Bilder aber jetzt nicht direkt auf der SD-Karte an, oder? ODER?". Und dann hat man versucht den Fauxpas durch Löschen dieser Thumbnail-Dateien auszubügeln. So ungefähr könnte ich mir das z.B. vorstellen.
2. Ja, 40, allesamt Miniaturansichten (Vorschaubilder) von existierenden Fotos. Keine manuell gelöschten "Hauptbilder".
Es ist tatsächlich so, dass das 160x120-Thumbnail innerhalb der Bilddatei zuerst kommt. Dann kommt das 4000x3000-Hauptbild und (kleine Überraschung) erst danach kommt noch das 1440-1080-Preview-Bild, das
photorec aber ohnehin ignoriert1). Diese Schlussfolgerung kann ich nach wie vor nicht nachvollziehen, denn warum sollten aus den 3 TMP-Dateien die enthaltenen mind. 6 Fotos / Thumbnails nicht wiederherstellbar gewesen sein?
Das "version before Rotation of photo" hat sich aber nicht IP oder Matt ausgedacht, sondern der Forensiker des NFI. Deshalb müssten mind. 6 der 40 wiederhergestellten Bilder zu 505-507 gehören oder es fehlen Infos, was mit den wiederhergestellten Daten der gedrehten Fotos passierte.
Generell müssen wir das was IP schreibt mal auf Konsistenz prüfen. Ich habe IP in meinen letzten Posts ignoriert und mich nur auf das von @Doctective bezogen - sprich 40 gelöschte kleinere Bildversionen existierender Bilder waren rekonstruierbar und das ist alles was bzgl. gelöschter Dateien (Bilder/Videos) in den Akten steht.
With image recovery software 64 images and 4 videos that were deleted and partially overwritten were found. No trace of image 509 was found or recovered, but 40 JPG images could be recovered.Gut auch 40 wiederherstellbare Bilder, das passt. Aber wo kommen die 64 Bilder und 4 Videos nun her, wenn nichts davon in den Akten steht? Und sind die 40 in den 64 enthalten? Und was soll "partiell überschrieben" heißen. Partiell kann normalerweise nur eine Datei überschrieben sein. Die anderen sind ganz oder gar nicht überschrieben.
All recovered images were thumbnails and other formats of images “IMG_0476.JPG” through “IMG_0609.JPG”. Forensics commented that those thumbnails were likely created by the camera to preview images when they are replayed in the camera. However, this is not correct as the camera does not create or store thumbnails and the [p]review images are created from small versions of the image that are embedded in the EXIF information, which can be seen in Picture 2 below.Da haben sie den falschen Teil extra noch fett gemacht. Richtig ist, dass die Kamera keine Thumbnails als separate Dateien ablegt, aber wie in meinem letzten Post gezeigt, sowohl 160x120-Pixel Thumbs als auch 1440x1080-Pixel Preview-Bilder in die Bilddatei einbettet. Und
photorec stellt ja nun genau diese Thumbs aus irgendeinem Grund zusätzlich extra als eigene Dateien wieder her. Das macht also irgendwie auch keinen Sinn, oder ich verstehe da was ganz falsch.Another noteworthy observation are the image names of images 505, 506 and 507, which do not have the expected image name of “IMG_0xxx.JPG” but contain an appended string “~RF1xxxxx.TMP”, e.g. “IMG_0505.JPG~RF17df08.TMP”.Das ist seltsam, aber das können mE keine wiederhergestellten gelöschten Dateien sein (steht da auch nicht, soweit ich sehe).
photorec jedenfalls stellt keine Dateinamen wieder her und das macht auch Sinn, denn der Dateiname dürfte nicht rekonstruierbar sein. Warum sind nur diese TMP-Dateien (also offenbar temporäre Dateien) erhalten, nicht aber die richtigen Jpeg-Files? Egal, die originalen wären dann jedenfalls gelöscht worden und könnten theoretisch von einer SW wie photorec wiederhergestellt werden. Da gilt aber wieder dasselbe: nur eine davon kann nur partiell überschrieben worden sein, die andere ganz (nichts wiederherstellbar) oder gar nicht (ganze Datei wiederherstellbar, nicht nur Thumb oder Preview).photorec in diesem Fall macht, also ob es dann doch das Preview-Bild erkennt und rettet - gilt aber trotzdem unter normalen Umständen nur für max. eine einzige Datei.
Das ist die Frage. Der Forensiker erklärt es so, dass jemand die Fotos von der Speicherkarte geöffnet hat und dort nach Bearbeitung/Drehung wieder gespeichert hat, was zu dem „temporären" File führt. Was aber ist dann mit der Originaldatei passiert, wenn diese ja offensichtlich nicht auffindbar war. Kann man sie spurlos auf einen PC übertragen, ohne sie zu löschen? Das wäre doch das Gleiche wie löschen? Oder überschreibt die temporäre Datei das Original tatsächlich so, dass die Originaldatei nicht mehr auffindbar ist? So habe ich die Analyse des Forensikers verstanden, und daher hat er eben auch nur die "TMP-Datei" aufgelistet. Allerdings müsste das entsprechende Vorschaubild, wenn es von der Kamera stammt, ja das des Originals sein. Aber so wie ich Cyclic jetzt verstanden habe, stammen die Vorschaubilder vom Photoviewer selbst?
Natürlich sind das keine wiederhergestellten Dateien, sondern vom MS Viewer umbenannte (und als gelöscht markierte) "unberührte" Originale.
Weil das ne Sortierung nach Sektoren ist, für die Identifizierung der "richtigen" JPEG-Files (originaler Dateiname, aber gedrehter Inhalt) ist der Auszug zu kurz, die werden vermutl. in den Sektoren nach #609 liegen.
Ja genau. Nur nicht absichtlich. Der MS Viewer markiert das Originalfoto als gelöscht (IMG_505.JPG~RF17df08.TMP), verändert aber den Inhalt des Originals nicht, sondern speichert automatisch ein neues Bild IMG_505.JPG an einer anderen Stelle, hier ist dann zwar der Dateiname original, aber der Inhalt nicht.
Okay, ich verstehe, und das ist ziemlich wichtig, weil eben nicht extra aufgeführt ist, auch in anderen Übersichten nicht, dass noch eine bearbeitete "Normalversion", also nicht das TMP-File auf der Karte vorhanden ist. Das bedeutet also, das TMP-File wurde nicht von dem Bearbeiter in Panama erstellt, sondern von der forensischen Software. Demnach müsste das TMP-File dem ursprünglichen Original entsprechen und das Original-File ist manipuliert. Der Forensiker kann dies also nur erkennen, weil seine Software das ursprüngliche Original wiederhergestellt hat. Daher sieht er: Aha, das Bild wurde gedreht. Aber er würde dann auch sehen, ob etwas anderes mit dem Bild gemacht worden ist außer "Drehen"? Ein Drehen des Bildes per Photoviewer und nachträglichem Wiederspeichern auf der Karte würde also den Dateinamen nicht verändern? Wie erklärst du dir die Prozedur dann? Versehen oder Absicht?
Ach ja das hattest du schon selbst ausprobiert, richtig? Ich verstehe aber noch nicht was bedeutet hier "als gelöscht markiert"? Weil wenn sie gelöscht ist, dann rekonstruiert
photorec halt den Dateinamen nicht. Meinst du sie ist nicht gelöscht, aber wird wegen des Suffixes halt nicht mehr als JPG-Bild erkannt (was nicht zwangsläufig funktioniert, da JPGs eben eine eindeutige Start- und End-Sequenz enthalten)?Macht Sinn. Diese TMP-Dateien müssen ja auch die originalen sein, die nur umbenannt wurden, sonst können sie nicht in diesen Sektoren vor #508 liegen.
Doch Microsoft Viewer von irgendwem in Panama.
Ja, vermutlich gedreht, wobei gedreht auch bedeuten kann, das von Drehanweisung in EXIF in "physikalisch" gedreht (andere logische Pixelreihenfolge) gewechselt wurde, die Darstellung aber exakt gleich bleibt.
Das glaube ich aus genannten Gründen nicht. Beide Dateiversionen dürften ungelöscht vorhanden gewesen sein, ohne dass eine Wiederherstellungssoftware nötig war. Aber vielleicht übersehe ich etwas(?)
Ja klar, man vergleicht die Bilder, macht ggf. ein Diff-Bild, schaut sich Helligkeitsspektren an, usw. Ggf. macht sogar ein Diff auf Byte-Ebene Sinn (eher unwahrscheinlich). Insbesondere wenn mehrere Filter/Manipulationen angewendet/vorgenommen wurden, wird man u.U. nicht mehr präzise nachvollziehen können was genau in welcher Reihenfolge gemacht wurde, aber die Unterschiede sieht man natürlich (kann sie finden).
Technisch ist es eine neue Datei mit dem alten Namen, nachdem die alte umbenannt wurde.
Hört sich für mich soweit nach Versehen an.
Der Bearbeiter in Panama nutzte den MS-Viewer, der damals bei Windows 7 Standard war. Was der MS-Viewer da im Hintergrund für Aktionen durchgeführt hat (Original löschen, neues Bild speichern), davon hat der Bearbeiter null mitbekommen.
Genau. Aber am File selbst, also an den Bilddaten, wurde nix geändert, nur der Verzeichniseintrag hat sich geändert.
Zum Beispiel. Oder mit einem Low Level Dateiprogramm. Auf der Kamera oder in Windows ist das für normale Anwender nicht ersichtlich.
Zumindest der MS-Viewer konnte damals gar nix anderes. Aber klar, wenn das Original wiederherstellbar ist, kann der Forensiker vergleichen. Lt. Matt wurde aber nix anderes gemacht, außer Drehen.
Richtig. Ein völlig neues Bild (das gedrehte) erhält einfach den Originaldateinamen.
Bilder am 17. Juni durchgeschaut und Hochformatbilder zwecks besser Ansicht gedreht. Nie was gelöscht oder gespeichert, das hat der bekloppte Viewer heimlich gemacht.
1. Im Directory-Bereich / Verzeichnis 1 Byte geändert. Der Rest der Metadaten (Rest-Dateiname, Größe, Timestamps, Start-Cluster bleibt bestehen).
Diese .TMP Dateien sind nicht sichtbar, wie normale .tmp Dateien, weil als gelöscht markiert. Löscht man ein Bild einfach so im Explorer, wird nur der Löschmarker gesetzt (erstes Zeichen Dateiname). Dreht man mit dem MS Viewer passiert beides, Löschmarker und zweiter Verzeichniseintrag ..RFxxxxxx.TMP als Dateiname. Und in beiden Fällen natürlich das Bereinigen der FAT-Tabellen.
photorec (bzw. qphotorec): Zwei der originalen Dateien werden wiederhergestellt und heißen dann:photorec) gerettet werden, haben dann aber autom. vergebene Namen.photorec dazu bringen kann auszugeben wo genau eine gelöschte Datei gefunden wurde (Sektoren) - qphotorec zeigt jedenfalls nichts an, aber das könnte in der Commandline-Version anders sein.Mit Tools wie WinHex oder DMDE https://dmde.com/ (auch Linux) siehst du sie aber noch, auch wenn du den Viewer schließt. Und zwar sektormäßig so, wie es auf IP aussieht.