基于图片文件真实性验证方法研究

基于图片文件真实性验证方法研究

张浩 1   曾海俊 2   何怡龙 2   谭东宁 2

（1 杭州平航科技有限公司，浙江杭州 310000 2 广东省湛江市公安局刑事警察支队，广东湛江 524000）

【摘要】如今几乎每个人都有一部手机或者数码相机,  随时可以拍下一张照片记录当下,  各种强大的图形编辑器和复杂的图像处理技术使得修改原始图像变得极为容易。在大多数情况下编辑图片是可以的，但某些类型的图片永远不允许修改；特别是不得以任何方式修改作为法庭证据的图片；否则图片将失去作为可接受证据的可信度。所以在特定的环境下鉴定图片是否修改显得尤为重要，但是除了肉眼观察鉴别以外，我们还可以使用一些工具来帮助我们判断这一张图片是否修改。

【关键词】电子物证；法庭证据；刑事技术；

1常见的图片格式

图片格式是计算机存储图片的格式，常见的存储的格式有 JPEG，PNG，BMP 等。

1.1JPEG 格式

JPEG[1]是最常见的一种图像格式，文件后辍名为".jpg"或".jpeg"，由一个软件开发联合会组织制定，是一种有损压缩格式，能够将图像压缩在很小的储存空间，图像中重复或不重要的资料会被丢失，因此容易造成图像数据的损伤。JPEG 用有损压缩方式去除冗余的图像数据，在获得极高的压缩率的同时能展现十分丰富生动的图像，换句话说，就是可以用最少的磁盘空间得到较好的图像品质。

1.2PNG 格式

PNG[2]也是常见的一种图片格式，它最重要的特点是支持 alpha 通道透明度，也就是说，PNG 图片支持透明背景。比如在使用Photoshop 制作透明背景的圆形logo 时，如果使用 JPG 格式，则图片背景会默认地存为白色，使用PNG 格式则可以存为透明背景图片。PNG 格式图片也支持有损耗压缩，虽然 PNG 提供的压缩量比 JPG 少，但 PNG 图片却比 JPEG 图片有更小的文档尺寸，因此现在越来越多的网络图像开始采用PNG 格式。

1.3BMP 格式

BMP 是一种与硬件设备无关的图像文件格式，使用非常广。BMP 格式包含的图像信息较丰富，采用位映射存储格式，除了图像深度可选以外，不采用其他任何压缩，因此，BMP 文件所占用的空间很大。

2图片处理与分析工具

工欲善其事必先利其器，判断一张图片是否经过修改不可能单靠肉眼来识别。下面介绍三种比较实用的图片真实性检测分析工具,供大家参考使用。

2.1FotoForensics

该在线工具使用的技术是(ELA)误差水平分析,是一种非常有用的检测图像操作的方法，属于一种常见图像分析方式。ELA 的工作原理是以 95%的压缩率重新保存图像，并评估与原始图像的差异。由于其在 ELA 表示中的特性修改区域很容易被看到,所以可以很方便大家判断。该软件官网网站可参考链接： http://fotoforensics.com/

FotoForensics 使用方法如下：

第一步是生成ELA 图像。在 http://fotoforensics.com 上传一个图片，或者简单地提供它的URL。如图 1 所示。

图 1 图片上传页面

第二步按下“处理”按钮后 然后我们可以看到下面如图 2 所示结果，即ELA 会突出代表较高 ELA 值和亮白色的“更改”部分。

图 2 ELA 结果展示

注意：在高频区域的物体轮廓中，它们通常比图像的其他部分具有更高的 ELA 值，对于对比度产生了高频边的，比较边与边和面与面。如果除了一个曲面外的所有曲面都具有相似的 ELA 值，则这个曲面应怀疑异常值。

ELA 分析依赖于图像的质量,对多次重新保存操作产生的图片进行处理是无效的，例如在聊天软件里被多次保存转发的图片。如果一个图像被多次重新保存，那么它可能有一个最小的错误级别，其中更多的重新保存会改变图像。ELA 将返回黑色图像，不会检测到任何问题,这也是 ELA 的局限性,出现这个情况可以使用下面介绍的工具。

2.2JPEGsnoop

JPEGsnoop 是一款用来分析 JPEG 文件结构和照片原始性的著名免费工具，也是业内检测图片原图的最常用工具之一。它能根据  JPEG  图片中的其它编码信息来判断照片是否“原汁原味”。JPEGsnoop不仅支持普通的 JPG 图片，也支持内嵌在其它媒体文件中的 JPG 图片（如 PDF、AVI、MOV 等）。该工具的参考链接如下

(运行环境要求 Windows 系统)：https://github.com/ImpulseAdventure/JPEGsnoop

JPEGsnoop 使用方法如下：

运行 JPEGsnoop，同意协议后，把需要分辨的图片拖到 JPEGsnoop 窗口里，稍等片刻后 JPEGsnoop 就可完成分析，并报告了大量图片有关信息，包括：量化表矩阵（色度和亮度）、色度子采样、估计 JPEG 质量设置、JPEG 分辨率、霍夫曼表、EXIF 元数据、RGB 直方图等,

结果很长，我们可以拖到最后看

ASSESSMENT 结果,如图 3 所示。

图 3 JPEGsnoop 检测结果

JPEGsnoop 的原图检测一共有四个等级[3]，但不是越高越好。Class 1 表明可以确定照片被修改过，Class 2 表明照片极可能被修改过，Class 3 表明照片极可能是原图，Class 4 表明 JPEGsnoop 无法匹配到原图特征，所以不能准确判断。所以说Class 3 的原图事实上比 Class 4 的要高出了一级。当且仅当照片没有发现 PS 痕迹并且匹配到原图特征的时候，照片才能得到 Class 3 的结果；如果没有发现PS 痕迹，但是却不能匹配到任何原图特征，那么只能是 Class 4 的结果。

对于Class 4 的结果，建议使用下面介绍的 MagicEXIF 校验工具配合FotoForensics 一起使用，一个用于检查数据的原始性和完整性,一个用于做压缩特征匹配和图像结构分析。

2.3MagicEXIF

MagicEXIF 是一款原图检测的得力助手，MagicEXIF 图像校验器可以通过分析照片的元数据以及比对编码特征来计算图像可信度，从而判断照片是否被修改。该工具采用目前最严格的校验标准，检测范围除了 EXIF 数据原始性外，还包括 MPF 可读性、厂商注释可读性、压缩指纹原始性等等，可检测到字节水平上的文件改动。但该工具软件的高级版功能需要付费激活，功能区别和价格参考：https://www.magicexif.com/pricing

MagicEXIF 使用方法如下：

该工具目前要求运行在Windows 系统，安装完成后运行 MagicEXIF,添加需要检测的图片，如图 4 所示。

图 4 MagicEXIF 分析图片文件

分析的结果很直观,可以在右下角直接查看分析结果，和 JPEGsnoop 类似根据多个不同的检测维度对照片的来源进行科学、综合的分析，并生成一个原始性评级，用户可以通过这个评级快速了解到照片的可信度。该评级一共包含下列五种不同的结果：1 级--非原图、2 级--很可能非原图、3--未知原始性、4--很可能为原

图、5 级--极可能为原图。

测完成后，程序会在界面左侧列表自动生成一个简单的检测报告，该报告包含了多个不同检测维度的受测项检测结果。每个检测维度可以单独产生 5 中可能的结果：通过、未知、可疑、高度可疑、不通过。你可以根据该维度的检测结果来判断照片是在哪个环节的测试中没有通过检测。

3结语

图片的检测工具还很多，各种工具检测的侧重方向不一样，在遇到真假难辨的图片时建议大家多使用一些方法检测进行判断。随着照片元素越来越丰富，多媒体信息的传播方式越发多样化，因此对于图片的真实性检测也需要在合理利用检测技术和工具的同时，结合多方信息进行判断和验证。

参考文献

[1]图片格式 [EB/OL]. [2023.09.15]. https://baike.baidu.com/item/%E5%9B%BE%E7%89%87%E6%A0%BC%E5%BC%8F/381122. [2]几种常见图片格式的区别 [EB/OL]. (2020.06.11) [2023.08.29]. https://zhuanlan.zhihu.com/p/143649897.

[3]酷软客.轻松识别数码照片是否为原装[J].电脑爱好者,2010(16):43.

作者联系方式

手机：18814103635

邮箱：420645131@qq.com

地址：广东省湛江市北站路 37 号湛江公安司法鉴定中心