被称为“拿着照相机的诗人”的法国摄影家爱德华·布巴，曾经说过这样一句话：“一个摄影家知道在花朵后面有全世界的苦难，经由这朵花，他可以触碰到别的东西”。图像是一种比文字更直观、更生动的载体，它记录真实世界的点点滴滴。

俗话说无图无真相，但是是否有图就一定有真相呢？随着以Photoshop为代表的图片编辑软件的普及，图片造假变得屡见不鲜，你所见的不一定是真实的，就连最严谨的新闻报道也经常曝光新闻图片造假事件，更遑论普通人的生活场景。“领导悬浮视察照”、“抠脚大汉”、“网红照骗”这些事件屡屡见诸报端。

图 1 悬浮视察照

（照片引用：2011年6月16日，四川凉山自治州会理县政府网站在首页发布的一条题为 《会理县高标准建设通乡公路》的新闻中，使用了合成痕迹明显的照片）

那么，我们是否能对图像的真实性进行鉴定呢？答案是肯定的，我们可以用元数据分析、成像分析、处理痕迹分析、图像信号技术分析等技术手段，对图像是否经过后期加工（或篡改）处理进行科学判断。有经验的摄影师、图像专家可以借助图像中的光线、色彩、空间等要素，基于光学原理进行成像分析，判断图像的真伪。对于一些足以以假乱真的图像，有时也需要专业的工具辅助鉴别。JPEGsnoop就是一款国外著名的用来分析 JPEG 文件结构和照片原始性的免费工具，也是业内检测原图的最常用工具之一。

一、检测原理

相机、手机等影像设备在拍摄过程中会采集一系列的信息，然后把信息存储在JPEG/TIFF 文件的头部，这就是图片的EXIF信息。EXIF 信息是存储在 JPEG/TIFF 图像文件格式内的一组拍摄参数，主要包括摄影时的光圈、快门、ISO、日期时间、相机品牌型号、色彩编码、拍摄时录制的声音以及全球定位系统（GPS）等各种与当时摄影条件相关的信息。另外，JPEG图片为了获得较高的压缩比，采用了有损压缩的算法。压缩过程中，编码器会进行离散余弦变化和量化操作，不同的编码器会在JPEG文件中留下不同的特征——图像压缩指纹。相机（手机）原厂编码器的图像压缩指纹一般都是独有的，是鉴别原图的主要依据。

图 2 JPEG图片的EXIF信息

JPEGsnoop通过检测JPEG图像的EXIF信息（元数据）和图像的压缩指纹，并与其内置的相机特征数据库进行比对，根据比对结果判断图像的原始性。JPEGsnoop鉴别的结果有以下四种：

• Class 1——Image is processed/edited（图像已经被编辑）

• Class 2——Image has high probability of being processed/edited (图像非常可能被修改)

• Class 3——Image has high probability of being original（图像非常可能为原图）

• Class 4——Uncertain if processed or original（不确定是否被编辑过或为原图）

  
  

图 3 评估结果

下面以如下两幅图为例，介绍JPEGsnoop软件的检测过程。其中，左图是采用iPhone SE2拍摄的原图，右图则是通过Windows图片编辑器对原图进行了加滤镜操作。

图 4 原图和滤镜图

使用JPEGsnoop分别对左右两图进行检测，左图的图片特征比对成功，判定为Class 3（见图3），右图的图片特征比对失败，判定为Class 4（无法确定是否被编辑或为原图），评估结果如下：

图 5 滤镜图评估结果

二、检测可信度

如上所述，JPEGsnoop检测原图可能有四种结果，那么JPEGsnoop判定为“Class 3”的图片是否一定就是原图呢？答案是否定的。其实，上述例子已经反映出了问题：右图明显是通过Windows图片编辑器进行了处理，JPEGsnoop仍然给出了“Class 4”（无法确定是否被编辑或为原图）的结果。

这也从侧面反映出JPEGsnoop的检测可信度并不是100%，Class 3的图片并不一定都是原图。正如以上所述，JPEGsnoop 判断原图的标准是基于内置数据库的匹配程度，也就是说它不能根据照片数据的完整性和原始性来判断照片是不是原图。所以，有时候难免会出现带有原图特征的非原图也可能给出 “Class 3”的评估结果。但是，真正原图的数据不仅带有原图的压缩特征，其数据更应该是既原始又完整的。

JPEGsnoop无法对图片的原始性和完整性进行检测，需要结合其它图像检测工具一起完成原图的鉴别，比如MagicEXIF图像校验器。同样以上述两图为例，MagicEXIF图像校验器准确检测出该图被Windows图片编辑器编辑过，给出了原图可信度1级的评估结果（被编辑），如下图所示：

图 6 MagicEXIF图像校验器滤镜图评估结果

但是，MagicEXIF图像校验器也不是100%准确，其对原图给出的只是原图可信度3级的评估结果（证据不足），如下图所示：

图 7 MagicEXIF图像校验器原图评估结果

JPEGsnoop是业内著名的免费原图检测工具，通过检测JPEG图片的EXIF信息、计算图像压缩指纹，并与内置的相机原厂编码特征数据库比对，根据比对结果来判断图片是否为原图。基于此原理，JPEGsnoop能够检测出图片是否具有编码特征，但并不能够检测图片的完整性及原始性，正因为如此其检测结果并不具有100%可信度，需要综合其它原图检测工具的检测结果。

安全为先，洞鉴未来，奇安信盘古石取证团队竭诚为您提供电子数据取证专业的解决方案与服务。如需试用，请联系奇安信各区域销售代表，或致电95015，期待您的来电！

“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队，由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先，洞鉴未来”为使命，以“漏洞思维”解决电子数据取证难题，以“数据驱动安全”为技术思想，以安全赋能取证，研发新一代电子数据取证产品，产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案，为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。

原文始发于微信公众号（盘古石取证）：图片照妖镜JPEGsnoop