基于JPEG文件結(jié)構(gòu)對(duì)數(shù)字圖像真實(shí)性的分析

張博，曾祥燕

（海南政法職業(yè)學(xué)院，海南公平司法鑒定中心，海口 571100）

1 研究背景

1.1 多媒體壓縮技術(shù)

隨著多媒體技術(shù)的不斷發(fā)展，信息化數(shù)據(jù)已經(jīng)成為現(xiàn)階段所有數(shù)據(jù)的主要存儲(chǔ)形式，有別于原有的數(shù)據(jù)介質(zhì)，如照片紙、傳統(tǒng)膠片等，數(shù)字圖像、視頻技術(shù)有著傳統(tǒng)媒介無法企及的、廣泛的應(yīng)用場(chǎng)景。較之越來越普及的數(shù)字多媒體存儲(chǔ)技術(shù)，電子數(shù)據(jù)的容量已經(jīng)成幾何級(jí)數(shù)的增長(zhǎng)趨勢(shì)，使得多媒體壓縮技術(shù)本身成為解決容量需求的重要一環(huán)。

多國研究數(shù)字壓縮技術(shù)的前提就是盡可能的保證原有數(shù)字影像不會(huì)失真，在較高的壓縮限度內(nèi)，能夠保證用戶仍舊接收?qǐng)D像的原有信息，無不適感，壓縮后的重建數(shù)據(jù)能夠和原圖像相差無幾，察覺不到差異。

多媒體數(shù)據(jù)壓縮和普通的電子數(shù)據(jù)壓縮一致，即是將高度相關(guān)的信息，采用合適的編碼技術(shù)進(jìn)行去冗余的處理加工，并在達(dá)到不失真的情況下，盡可能多的保留原圖信息，壓縮文件占位比特。

1.2 JPEG壓縮技術(shù)

現(xiàn)階段常見的壓縮格式有很多種，如用于網(wǎng)頁的、邊緣可以透明化的PNG圖片格式，用于表情包制作的動(dòng)態(tài)化圖片格式GIF，以及現(xiàn)階段較為流行的網(wǎng)頁矢量icon用圖SVG格式等等，雖然動(dòng)圖在圖片的生動(dòng)形象上更具優(yōu)勢(shì)，矢量圖在圖像放大縮小的時(shí)候都不會(huì)失真，但是JPEG圖片格式作為老牌壓縮格式，仍占主流圖片格式的50%以上份額。其主要原因在于，該格式長(zhǎng)期主導(dǎo)各大數(shù)碼相機(jī)廠商生成的靜態(tài)圖，也就是電子照片，同時(shí)各大手機(jī)制造商也沿用數(shù)碼相機(jī)的成像原理及結(jié)構(gòu)，使得JPEG圖片格式經(jīng)久不衰。盡管不同的廠商也制作出自己的圖片格式，如佳能相機(jī)的RAW格式、蘋果相機(jī)的heic格式等，但是最終用來傳輸?shù)奈募袷饺耘f會(huì)轉(zhuǎn)換成JPEG圖片格式。

2 圖像真實(shí)性的鑒別

2.1 司法鑒定中的檢材

基于司法鑒定技術(shù)的電子數(shù)據(jù)有效性、真實(shí)性的鑒別，主要是基于手機(jī)或者數(shù)碼相機(jī)拍攝的照片、視頻或者音頻加以鑒別，因此在大量的聲像司法鑒定的案件中，數(shù)碼照片（或視頻）的真實(shí)性鑒別占全部聲像及電子數(shù)據(jù)鑒定的75%以上。同時(shí)，所涉及的檢材文件中的全部照片文件全部為JPEG壓縮的格式文件，如果相機(jī)生成的原圖不是JPEG文件（如iphone的heic格式），但是通過原生軟件導(dǎo)出的文件格式也是JPEG壓縮格式。因此對(duì)JPEG壓縮格式的研究，就是計(jì)算機(jī)電子聲像的鑒別中一個(gè)較為重要的研究課題。

作為檢材文件的數(shù)字圖像文件普遍使用JPEG格式，能夠作為有效檢材的前提就是能夠在提供檢材數(shù)字圖像的同時(shí)，盡可能的提供用于攝錄的設(shè)備，這樣能夠保證證據(jù)的嚴(yán)謹(jǐn)。

2.2 JPEG格式結(jié)構(gòu)

研究JPEG的壓縮格式，要從其結(jié)構(gòu)入手，其壓縮技術(shù)主要是先從圖像的整體分塊入手，將原有圖像按照區(qū)域分為相互獨(dú)立的數(shù)據(jù)塊，再對(duì)每一個(gè)小塊采用DCT（二維離散余弦）變換。變換后進(jìn)行量化、重新掃描后進(jìn)行哈夫曼編碼，保留低頻部分的系數(shù)，從而達(dá)到數(shù)據(jù)壓縮的結(jié)果。通過JPEG的結(jié)構(gòu)化識(shí)別觀察，即可發(fā)現(xiàn)圖片真實(shí)性是否被破壞，即圖片是否被篡改（編輯、修改）。JPEG文件結(jié)構(gòu)主要由以下幾個(gè)部分構(gòu)成：

首先，所有圖像都是由SOI（start of image）即圖像開始標(biāo)識(shí)符，標(biāo)志著數(shù)字圖片從這里開始編碼，形成編碼結(jié)構(gòu)；接著是應(yīng)用標(biāo)識(shí)Applica?tion，簡(jiǎn) 稱APP，一般 是APP0（0xFFE0）或APP1（0xFFE1），但是絕大部分原圖沒有APP0，都是從APP1開始，此段結(jié)構(gòu)用來存儲(chǔ)EXIF信息，后續(xù)可能存在多個(gè)APPn字段，這系列字段中可能存在圖片被編輯過的痕跡。

再者是DQT（define quantization table）字段，就是該JPEG文件的編碼表，其定義該圖像的壓縮率及圖像的壓縮質(zhì)量，最重要的是該信息內(nèi)存有特定相機(jī)廠商的特有的結(jié)構(gòu)表，這樣也可以分辨圖像的廠商是否是其對(duì)應(yīng)設(shè)備，即圖像真實(shí)性鑒別的重要依據(jù)。

后續(xù)標(biāo)識(shí)幾乎不包含結(jié)構(gòu)變化相關(guān)信息，對(duì)圖像鑒定無意義，不在討論之列。

3 實(shí)例分析

在理論研究的基礎(chǔ)上，需要根據(jù)真實(shí)的案例進(jìn)行理論研究的驗(yàn)證，特此引用真實(shí)的數(shù)字圖片真實(shí)性案例對(duì)以上理論研究進(jìn)行佐證，通過對(duì)鑒定實(shí)例全流程的分析討論，增強(qiáng)JPEG圖片真實(shí)性論證的理論根基。

該實(shí)例中委托方提交一臺(tái)紅米2手機(jī)作為檢材數(shù)碼照片的載體，手機(jī)中兩張數(shù)碼照片作為檢材，獲得檢材后應(yīng)在規(guī)定程序下，當(dāng)事人在場(chǎng)且當(dāng)事人簽字確認(rèn)的前提下，確保成像的以該成像的硬件準(zhǔn)確的提交，這樣攝錄的硬件載體才具有法律效力。進(jìn)一步使用確定的攝錄硬件，拍攝樣本照片以作為樣本比對(duì)。此方法能夠確保證據(jù)留存中不會(huì)產(chǎn)生異議。

為了方便表述，將需要鑒定的檢材圖片按照時(shí)間先后定義為“檢材1”“檢材2”，同樣的方法將后期拍攝的樣本文件定義為“樣本1”“樣本2”。即可開始相關(guān)鑒定工作。

3.1 證據(jù)固定

電子數(shù)據(jù)的特點(diǎn)是可以添加無法觀察的文件信息，因此經(jīng)常會(huì)有人將病毒數(shù)據(jù)或其他冗余信息數(shù)據(jù)添加在原有數(shù)據(jù)的封包內(nèi)，使得數(shù)據(jù)在復(fù)制或者移動(dòng)的時(shí)候會(huì)發(fā)生變化，有時(shí)為了數(shù)據(jù)保護(hù)也會(huì)添加數(shù)據(jù)變量，保證數(shù)據(jù)在未經(jīng)允許的轉(zhuǎn)移下，其數(shù)據(jù)原始性即刻破壞導(dǎo)致數(shù)據(jù)無效。尤其是JPEG壓縮的圖像中這種手段較為常見，因此證據(jù)固定有其必要性。

所謂的證據(jù)固定就是保證數(shù)據(jù)在復(fù)制或者移動(dòng)后其數(shù)據(jù)信息沒有發(fā)生改變，這可以從數(shù)據(jù)的MD5編碼是否變化判斷。因此獲取照片文件后完成一下操作：首先，將此次檢材相關(guān)文件的硬件載體拍照記錄，使用數(shù)據(jù)線讀取檢材文件，并將所有檢材及樣本文件復(fù)制在圖像工作站中；其次，使用文件MD5校驗(yàn)工具分別對(duì)送檢光盤中的檢材及樣本文件、復(fù)制后的文件，進(jìn)行MD5唯一編碼讀取，并比對(duì)同一檢材原始文件和復(fù)制后的文件MD5值，所有檢材在復(fù)制后MD5編碼值均未改變，證據(jù)固定有效。具體編碼詳見表1。

表1 檢材MD5編碼匯總表

3.2 JPEG文件結(jié)構(gòu)比對(duì)

不同的JPEG文件編碼器（例如不同的相機(jī)和圖片編輯軟件）生成JPEG文件時(shí)可能會(huì)有不同的JPEG文件結(jié)構(gòu)，尤其是原始的拍攝設(shè)備和圖片編輯軟件會(huì)有較大差異，如果檢材和樣本的JPEG文件結(jié)構(gòu)有差異，可判斷為檢材與樣本為不同設(shè)備或軟件生成。實(shí)際上查看文件結(jié)構(gòu)就是本文2.2節(jié)提出的JPEG格式結(jié)構(gòu)，如果是相同的設(shè)備、拍攝相同格式的文件，那么其編碼結(jié)構(gòu)應(yīng)高度一致。在此案例中使用JPEG段編輯器查看檢材及樣本的JPEG文件結(jié)構(gòu)，“檢材1”“檢材2”“樣本1”“樣本2”的JPEG文件結(jié)構(gòu)匯總比較見表2。

表2 檢材及樣本JPEG文件結(jié)構(gòu)對(duì)比

從JPEG文件結(jié)構(gòu)分析比對(duì)結(jié)果看“檢材1”與“樣本1”“樣本2”文件的結(jié)構(gòu)是一致的，而“檢材2”的文件結(jié)構(gòu)與樣本文件差異較大。以此結(jié)果來看，“檢材1”與“樣本1”“樣本2”文件是同一設(shè)備或軟件生成的，而“檢材2”與樣本文件不是同一設(shè)備或軟件生成的，進(jìn)一步判斷出“檢材2”不是該設(shè)備原始生成的文件，與鑒定案件事實(shí)不符。

3.3 JPEGsnoop深度分析

在3.2節(jié)的基礎(chǔ)上，我們還需進(jìn)一步使用JPEGsnoop深度分析檢材JPEG文件結(jié)構(gòu)和照片原始性，在2.2節(jié)中提出過，JPEG表結(jié)構(gòu)中DQT量化表的特征可以成為判斷是否是某廠商硬件攝取原圖的重要依據(jù)。

首先DQT量化表分析，查看“檢材1”與樣本DQT量化表比對(duì)，可見檢材與樣本的表結(jié)構(gòu)完全一致，詳見圖1；DQT量化表的每一行ROW的數(shù)據(jù)完全一致的，即可確認(rèn)為同一硬件設(shè)備生成的圖片文件，如有任何差異均可判斷該文件之間出自不同設(shè)備，或者某一文件被篡改。此案例中，能夠保證樣本文件為可信任文件，即圖像真實(shí)性得以保證，那有別于樣本文件的數(shù)據(jù)即為非真實(shí)數(shù)據(jù)。

圖1 檢材1與樣本DQT量化表比對(duì)

用上述方法，查看“檢材2”與樣本文件的DQT量化表比對(duì)，可見檢材與樣本的表結(jié)構(gòu)不一致，詳見圖2；此處的不一致是指DQT量化表中，任何一位的差異均為不一致。

圖2 檢材2與樣本DQT量化表比對(duì)

3.4 原圖檢測(cè)級(jí)別

原圖檢測(cè)級(jí)別是JPEGsnoop根據(jù)圖片的JPEG結(jié)構(gòu)表得出的結(jié)論，分為4個(gè)等級(jí)，從Class1到Class4。其中Class1和Class2分別標(biāo)明照片被修改過以及極有可能被修改過；Class3表示極有可能是原圖，但是此等級(jí)中Class4表示的不是確認(rèn)未被修改過，而是無法匹配到原圖特征；這里的特征是需要軟件不斷更新收錄的數(shù)碼相機(jī)廠商的DQT表所決定的，因此不代表Class4的結(jié)果表示的無法匹配即為修改過的圖片，僅代表無其他可檢測(cè)的更改信息，但數(shù)碼相機(jī)參數(shù)無法核驗(yàn)。

此實(shí)例中進(jìn)一步查看“檢材1”的表和原圖檢測(cè)的級(jí)別為Class4，表明JPEGsnoop無法匹配到原圖數(shù)據(jù)庫記錄的攝像器材的具體特征，所以不能證明是何種型號(hào)設(shè)備拍攝，見圖3。其原因是手機(jī)的數(shù)碼成像原件不被列入數(shù)碼相機(jī)廠商的目錄，因此無法匹配到特征表庫。

圖3 檢材1文件檢測(cè)級(jí)別

用上述方法，繼續(xù)查看“檢材2”的表和原圖檢測(cè)的級(jí)別為Class1，表明Image is processed/edited，可以確定照片被修改過，并匹配到Adobe Photoshop的特征，見圖4?？梢姶_認(rèn)檢材2是被Photoshop軟件編輯過的。

圖4 檢材2文件檢測(cè)級(jí)別

使用同樣的方法檢測(cè)“樣本1”“樣本2”文件，發(fā)現(xiàn)同樣的評(píng)級(jí)均為Class4，進(jìn)一步驗(yàn)證“檢材1”和樣本文件是同一設(shè)備或軟件生成的，但是未列入軟件的數(shù)碼廠商庫內(nèi)；而“檢材2”與樣本文件不是同一設(shè)備或軟件生成的，并確認(rèn)“檢材2”不是原始照片，而是經(jīng)過軟件修改。

3.5 JPEG壓縮簽名分析

JPEG壓縮簽名是JPEG壓縮設(shè)備或軟件在生成JPEG文件的時(shí)候產(chǎn)生的特征碼，同一設(shè)備產(chǎn)生的JPEG圖片應(yīng)具有同樣的簽名。此處的特征碼和DQT量化表的算法基本相符，因此DQT量化表一致，此處的JPEG壓縮簽名也應(yīng)該一致。采用此方法得到的所有檢材及樣本的壓縮簽名對(duì)比如表3所示。從JPEG文件壓縮簽名分析來看，“檢材1”與“樣本1”“樣本2”文件是同一設(shè)備或軟件生成的，而“檢材2”與樣本文件不是同一設(shè)備或軟件生成的。

表3 檢材及樣本的JPEG壓縮簽名

4 其他方法

通過以上案例可知，在任何司法鑒定有關(guān)電子數(shù)據(jù)的案件中，圖片、聲音、電子郵件等文件，由于其電子文件的特殊性，在拷貝或者存儲(chǔ)的過程中都有可能導(dǎo)致證據(jù)文件被破壞，因此都需要首先進(jìn)行證據(jù)固定，這在公安系統(tǒng)也稱作證據(jù)保全工作。

在圖像有關(guān)的司法鑒定中基于JPEG壓縮技術(shù)判斷圖像真實(shí)性鑒別的方法確實(shí)是比較科學(xué)嚴(yán)謹(jǐn)?shù)囊环N鑒別方式，僅憑這種方法對(duì)圖像的證偽是足夠的，但是證真卻遠(yuǎn)遠(yuǎn)不夠，因?yàn)樵诩夹g(shù)層面可以通過修改JPEG的底層結(jié)構(gòu)來改變DQT樹的內(nèi)容，保證被修改的檢材偽裝成與原檢材一致性的結(jié)構(gòu)。這使得在技術(shù)層面對(duì)數(shù)碼圖片證真成為驗(yàn)證的難點(diǎn)。

比較傳統(tǒng)的做法是將多種方法應(yīng)用在圖像真實(shí)性鑒別的過程中，保證在已知層面圖片沒有作假的痕跡，其中包括放大觀察、信息邏輯判斷、光線投影比較、ELA邊緣過渡檢測(cè)、SIFT同圖復(fù)制檢測(cè)，等等。這些方法都能夠在圖像證偽上成為重要的證據(jù)。在真實(shí)案例中，也存在根據(jù)反向推導(dǎo)的方式，例如圖片修改后為嫌疑對(duì)象所帶來的社會(huì)意義或價(jià)值，推斷圖片被篡改的可能。