A cosa serve questa pagina
Quando ExistBefore estrae i metadati da un file, il risultato è una lista di campi tecnici: dateTimeOriginal, producer, exifByteOrder, e così via. Questo glossario spiega, in linguaggio chiaro, cosa ciascun campo rivela a un analista forense — e quali combinazioni sono segnali di integrità che meritano un approfondimento.
Versione del catalogo: existbefore-rationale-v1. Ogni voce ha un'ancora stabile (#field-nome) in modo che i tooltip dell'app, il piè di pagina del PDF e gli strumenti esterni possano farvi deep-link.
L'assenza di una segnalazione non è prova di autenticità. Questi campi documentano evidenze; non emettono verdetti.
Acquisizione e dispositivo
- Data e ora dello scatto
dateTimeOriginal - Momento esatto in cui il firmware della fotocamera ha registrato la foto. Le fotocamere lo scrivono una sola volta, allo scatto, e gli editor di solito lo preservano. Una discrepanza con i timestamp del file system o con le date XMP/IPTC è un forte segnale forense.
- Produttore della fotocamera
make - Produttore dichiarato dal firmware della fotocamera. Combinato con il modello e con l'ordine dei byte EXIF, identifica il dispositivo. Un produttore in disaccordo con l'ordine dei byte EXIF che scrive normalmente (vedi F21) suggerisce che il blocco EXIF sia stato ricodificato o che il campo sia stato falsificato.
- Modello della fotocamera
model - Modello dichiarato dal firmware della fotocamera. Si incrocia con il produttore e con i parametri di scatto noti; utile nell'analisi della catena di custodia quando si confrontano più foto che dovrebbero provenire dallo stesso dispositivo.
- Ultima applicazione di scrittura
software - Applicazione che ha scritto il blocco EXIF. Nomi di firmware fotocamera (es. "Apple iOS 17.5") indicano una cattura non modificata; nomi di editor (Photoshop, Lightroom, GIMP, Affinity) indicano un'opera derivata. Un disaccordo con l'XMP creator tool segnala una catena di custodia multi-strumento.
- Strumento creatore XMP
xmpCreatorTool - Applicazione che ha scritto il blocco XMP. Solitamente l'editor che ha salvato il file per ultimo. Indipendente dal campo software EXIF; il confronto tra i due rivela se un solo strumento o una catena di strumenti ha toccato il file (vedi F20).
- Ordine dei byte EXIF
exifByteOrder - I blocchi EXIF sono marcati little-endian (Intel, II) o big-endian (Motorola, MM). Ogni produttore di fotocamere ha un ordine nativo stabile. Un disaccordo tra l'ordine dei byte e il produttore dichiarato (vedi F21) è coerente con una ricodifica a valle o con un campo Make falsificato.
- Data IPTC di scatto
iptcDateCreated - Data di scatto memorizzata nel blocco IPTC IIM, spesso usata da agenzie fotografiche e redazioni. Una discrepanza con EXIF DateTimeOriginal oltre 24 ore (vedi F01) suggerisce una modifica manuale o una riscrittura parziale dei metadati.
- Data di creazione XMP
xmpCreateDate - Data di creazione memorizzata nel blocco Adobe XMP. Una discrepanza con EXIF DateTimeOriginal oltre 24 ore (vedi F02) è un segnale di ricodifica o manomissione.
- Storico delle modifiche XMP
xmpHistory - Catena di azioni di editing registrate dagli strumenti compatibili Adobe. Utile come segnale di provenance — la sua presenza non è di per sé indicatore di manomissione, ma documenta cosa è stato fatto al file e quando.
Posizione
- Coordinate GPS
gps - Latitudine e longitudine incorporate nel blocco GPS EXIF. Dato di posizione ad alta fedeltà — valutate se pubblicare il file con queste informazioni ancora incorporate (l'opzione "Includi GPS" le rimuove dal certificato; vedi F15).
- Marca temporale GPS
gpsDateStamp - Data UTC con precisione al giorno associata al fix GPS. Quando è in disaccordo con EXIF DateTimeOriginal oltre 24 ore (vedi F17), il GPS potrebbe essere stato iniettato dopo lo scatto oppure la data EXIF potrebbe essere stata riscritta in isolamento.
Documenti PDF
- Numero di pagine
pages - Numero di pagine del documento. Utile come controllo di integrità di base: un numero di pagine diverso da quello atteso può indicare un file sostituito.
- Produttore PDF
producer - Libreria che ha scritto i byte del PDF. Distinta dal creator (l'applicazione che ha originato il contenuto). Esempi: "Adobe PDF Library 17.0", "Skia/PDF m120". Cambi improvvisi tra revisioni dello stesso documento indicano un risalvataggio attraverso una toolchain diversa.
- Creator PDF
creator - Applicazione che ha originato il contenuto PDF. Esempi: "Microsoft Word", "LibreOffice", "Pages". Un creator in disaccordo con il producer è normale (Word ha generato, poi Acrobat ha risalvato) ma vale la pena annotarlo nell'analisi della catena di custodia.
- Data di creazione PDF
creationDate - Timestamp che il creatore del documento ha scritto nel dizionario Info del PDF. Non firmato; banalmente retrodatabile. Utile solo come dichiarazione propria — combinatelo con il timestamp di attestazione ExistBefore per evidenza temporale affidabile.
- Data di modifica PDF
modificationDate - Timestamp dell'ultimo salvataggio. Quando precede la data di creazione (vedi F03), i metadati sono logicamente impossibili e sono stati falsificati o resettati.
- Cifratura PDF
encryption - Indica che il PDF è protetto da password, da un permesso owner o da uno schema DRM. Segnale puramente informativo; i PDF cifrati possono comunque presentare tutte le anomalie forensi dei PDF non cifrati.
- PDF fast-web-view (linearizzato)
linearized - I PDF linearizzati sono riorganizzati in modo che la prima pagina possa essere visualizzata prima del download completo del file. Comune nei PDF serviti via web; l'assenza è normale per i PDF prodotti da suite per ufficio.
Documenti Office
- Numero di revisione Office
revision - Numero di volte in cui il documento è stato salvato. Revisione 1 con migliaia di parole (vedi F12) è inusuale per contenuti redatti ed è coerente con un incolla da altra fonte.
- Tempo totale di editing Office
totalTime - Minuti cumulativi in cui il documento è rimasto aperto in modalità editing. Zero minuti con contenuti sostanziosi (vedi F11) è coerente con incolla da fonte esterna o contenuto plagiato.
- Conteggio parole Office
words - Conteggio parole tracciato dalla suite per ufficio. Si incrocia con totalTime e numero di revisione per valutare se l'impronta di editing corrisponde all'apparente lavoro prodotto.
Forense universale
- Header del file (primi 64 byte)
rawHeader - Primi 64 byte del file, codificati in esadecimale. Usati per verificare che i byte corrispondano alla firma magic-bytes per il MIME type dichiarato (vedi F19). Universale tra tipi di file — estratto al confine del dispatcher indipendentemente dal MIME.
- Validazione C2PA Content Credentials
c2paValidation - Risultato della validazione del manifest C2PA Content Credentials incorporato. "Valid" significa che la catena crittografica risulta corretta per questo file. Qualsiasi altro esito (vedi F06) è un segnale negativo più forte rispetto all'assenza totale del manifest.
Come le segnalazioni citano le voci del glossario
Le regole di Integrità forense (F01–F21) fanno riferimento alle voci del glossario per nome. Per esempio, F21 ("disaccordo sull'ordine dei byte del dispositivo") cita make e exifByteOrder. Usate queste ancore quando condividete un'analisi con collaboratori o nella corrispondenza legale.
English version: forensic field glossary. Vedi anche: come funziona, panoramica tecnica, FAQ.