張博，曾祥燕

（海南政法職業(yè)學院，海南公平司法鑒定中心，?？?571100）

1 研究背景

1.1 多媒體壓縮技術

隨著多媒體技術的不斷發(fā)展，信息化數(shù)據(jù)已經(jīng)成為現(xiàn)階段所有數(shù)據(jù)的主要存儲形式，有別于原有的數(shù)據(jù)介質(zhì)，如照片紙、傳統(tǒng)膠片等，數(shù)字圖像、視頻技術有著傳統(tǒng)媒介無法企及的、廣泛的應用場景。較之越來越普及的數(shù)字多媒體存儲技術，電子數(shù)據(jù)的容量已經(jīng)成幾何級數(shù)的增長趨勢，使得多媒體壓縮技術本身成為解決容量需求的重要一環(huán)。

多國研究數(shù)字壓縮技術的前提就是盡可能的保證原有數(shù)字影像不會失真，在較高的壓縮限度內(nèi)，能夠保證用戶仍舊接收圖像的原有信息，無不適感，壓縮后的重建數(shù)據(jù)能夠和原圖像相差無幾，察覺不到差異。

多媒體數(shù)據(jù)壓縮和普通的電子數(shù)據(jù)壓縮一致，即是將高度相關的信息，采用合適的編碼技術進行去冗余的處理加工，并在達到不失真的情況下，盡可能多的保留原圖信息，壓縮文件占位比特。

1.2 JPEG壓縮技術

現(xiàn)階段常見的壓縮格式有很多種，如用于網(wǎng)頁的、邊緣可以透明化的PNG圖片格式，用于表情包制作的動態(tài)化圖片格式GIF，以及現(xiàn)階段較為流行的網(wǎng)頁矢量icon用圖SVG格式等等，雖然動圖在圖片的生動形象上更具優(yōu)勢，矢量圖在圖像放大縮小的時候都不會失真，但是JPEG圖片格式作為老牌壓縮格式，仍占主流圖片格式的50%以上份額。其主要原因在于，該格式長期主導各大數(shù)碼相機廠商生成的靜態(tài)圖，也就是電子照片，同時各大手機制造商也沿用數(shù)碼相機的成像原理及結構，使得JPEG圖片格式經(jīng)久不衰。盡管不同的廠商也制作出自己的圖片格式，如佳能相機的RAW格式、蘋果相機的heic格式等，但是最終用來傳輸?shù)奈募袷饺耘f會轉(zhuǎn)換成JPEG圖片格式。

2 圖像真實性的鑒別

2.1 司法鑒定中的檢材

基于司法鑒定技術的電子數(shù)據(jù)有效性、真實性的鑒別，主要是基于手機或者數(shù)碼相機拍攝的照片、視頻或者音頻加以鑒別，因此在大量的聲像司法鑒定的案件中，數(shù)碼照片（或視頻）的真實性鑒別占全部聲像及電子數(shù)據(jù)鑒定的75%以上。同時，所涉及的檢材文件中的全部照片文件全部為JPEG壓縮的格式文件，如果相機生成的原圖不是JPEG文件（如iphone的heic格式），但是通過原生軟件導出的文件格式也是JPEG壓縮格式。因此對JPEG壓縮格式的研究，就是計算機電子聲像的鑒別中一個較為重要的研究課題。

作為檢材文件的數(shù)字圖像文件普遍使用JPEG格式，能夠作為有效檢材的前提就是能夠在提供檢材數(shù)字圖像的同時，盡可能的提供用于攝錄的設備，這樣能夠保證證據(jù)的嚴謹。

2.2 JPEG格式結構

研究JPEG的壓縮格式，要從其結構入手，其壓縮技術主要是先從圖像的整體分塊入手，將原有圖像按照區(qū)域分為相互獨立的數(shù)據(jù)塊，再對每一個小塊采用DCT（二維離散余弦）變換。變換后進行量化、重新掃描后進行哈夫曼編碼，保留低頻部分的系數(shù)，從而達到數(shù)據(jù)壓縮的結果。通過JPEG的結構化識別觀察，即可發(fā)現(xiàn)圖片真實性是否被破壞，即圖片是否被篡改（編輯、修改）。JPEG文件結構主要由以下幾個部分構成：

首先，所有圖像都是由SOI（start of image）即圖像開始標識符，標志著數(shù)字圖片從這里開始編碼，形成編碼結構；接著是應用標識Applica?tion，簡 稱APP，一般 是APP0（0xFFE0）或APP1（0xFFE1），但是絕大部分原圖沒有APP0，都是從APP1開始，此段結構用來存儲EXIF信息，后續(xù)可能存在多個APPn字段，這系列字段中可能存在圖片被編輯過的痕跡。

再者是DQT（define quantization table）字段，就是該JPEG文件的編碼表，其定義該圖像的壓縮率及圖像的壓縮質(zhì)量，最重要的是該信息內(nèi)存有特定相機廠商的特有的結構表，這樣也可以分辨圖像的廠商是否是其對應設備，即圖像真實性鑒別的重要依據(jù)。

后續(xù)標識幾乎不包含結構變化相關信息，對圖像鑒定無意義，不在討論之列。

3 實例分析

在理論研究的基礎上，需要根據(jù)真實的案例進行理論研究的驗證，特此引用真實的數(shù)字圖片真實性案例對以上理論研究進行佐證，通過對鑒定實例全流程的分析討論，增強JPEG圖片真實性論證的理論根基。

該實例中委托方提交一臺紅米2手機作為檢材數(shù)碼照片的載體，手機中兩張數(shù)碼照片作為檢材，獲得檢材后應在規(guī)定程序下，當事人在場且當事人簽字確認的前提下，確保成像的以該成像的硬件準確的提交，這樣攝錄的硬件載體才具有法律效力。進一步使用確定的攝錄硬件，拍攝樣本照片以作為樣本比對。此方法能夠確保證據(jù)留存中不會產(chǎn)生異議。

為了方便表述，將需要鑒定的檢材圖片按照時間先后定義為“檢材1”“檢材2”，同樣的方法將后期拍攝的樣本文件定義為“樣本1”“樣本2”。即可開始相關鑒定工作。

3.1 證據(jù)固定

電子數(shù)據(jù)的特點是可以添加無法觀察的文件信息，因此經(jīng)常會有人將病毒數(shù)據(jù)或其他冗余信息數(shù)據(jù)添加在原有數(shù)據(jù)的封包內(nèi)，使得數(shù)據(jù)在復制或者移動的時候會發(fā)生變化，有時為了數(shù)據(jù)保護也會添加數(shù)據(jù)變量，保證數(shù)據(jù)在未經(jīng)允許的轉(zhuǎn)移下，其數(shù)據(jù)原始性即刻破壞導致數(shù)據(jù)無效。尤其是JPEG壓縮的圖像中這種手段較為常見，因此證據(jù)固定有其必要性。

所謂的證據(jù)固定就是保證數(shù)據(jù)在復制或者移動后其數(shù)據(jù)信息沒有發(fā)生改變，這可以從數(shù)據(jù)的MD5編碼是否變化判斷。因此獲取照片文件后完成一下操作：首先，將此次檢材相關文件的硬件載體拍照記錄，使用數(shù)據(jù)線讀取檢材文件，并將所有檢材及樣本文件復制在圖像工作站中；其次，使用文件MD5校驗工具分別對送檢光盤中的檢材及樣本文件、復制后的文件，進行MD5唯一編碼讀取，并比對同一檢材原始文件和復制后的文件MD5值，所有檢材在復制后MD5編碼值均未改變，證據(jù)固定有效。具體編碼詳見表1。

表1 檢材MD5編碼匯總表

3.2 JPEG文件結構比對

不同的JPEG文件編碼器（例如不同的相機和圖片編輯軟件）生成JPEG文件時可能會有不同的JPEG文件結構，尤其是原始的拍攝設備和圖片編輯軟件會有較大差異，如果檢材和樣本的JPEG文件結構有差異，可判斷為檢材與樣本為不同設備或軟件生成。實際上查看文件結構就是本文2.2節(jié)提出的JPEG格式結構，如果是相同的設備、拍攝相同格式的文件，那么其編碼結構應高度一致。在此案例中使用JPEG段編輯器查看檢材及樣本的JPEG文件結構，“檢材1”“檢材2”“樣本1”“樣本2”的JPEG文件結構匯總比較見表2。

表2 檢材及樣本JPEG文件結構對比

從JPEG文件結構分析比對結果看“檢材1”與“樣本1”“樣本2”文件的結構是一致的，而“檢材2”的文件結構與樣本文件差異較大。以此結果來看，“檢材1”與“樣本1”“樣本2”文件是同一設備或軟件生成的，而“檢材2”與樣本文件不是同一設備或軟件生成的，進一步判斷出“檢材2”不是該設備原始生成的文件，與鑒定案件事實不符。

3.3 JPEGsnoop深度分析

在3.2節(jié)的基礎上，我們還需進一步使用JPEGsnoop深度分析檢材JPEG文件結構和照片原始性，在2.2節(jié)中提出過，JPEG表結構中DQT量化表的特征可以成為判斷是否是某廠商硬件攝取原圖的重要依據(jù)。

首先DQT量化表分析，查看“檢材1”與樣本DQT量化表比對，可見檢材與樣本的表結構完全一致，詳見圖1；DQT量化表的每一行ROW的數(shù)據(jù)完全一致的，即可確認為同一硬件設備生成的圖片文件，如有任何差異均可判斷該文件之間出自不同設備，或者某一文件被篡改。此案例中，能夠保證樣本文件為可信任文件，即圖像真實性得以保證，那有別于樣本文件的數(shù)據(jù)即為非真實數(shù)據(jù)。

圖1 檢材1與樣本DQT量化表比對

用上述方法，查看“檢材2”與樣本文件的DQT量化表比對，可見檢材與樣本的表結構不一致，詳見圖2；此處的不一致是指DQT量化表中，任何一位的差異均為不一致。

圖2 檢材2與樣本DQT量化表比對

3.4 原圖檢測級別

原圖檢測級別是JPEGsnoop根據(jù)圖片的JPEG結構表得出的結論，分為4個等級，從Class1到Class4。其中Class1和Class2分別標明照片被修改過以及極有可能被修改過；Class3表示極有可能是原圖，但是此等級中Class4表示的不是確認未被修改過，而是無法匹配到原圖特征；這里的特征是需要軟件不斷更新收錄的數(shù)碼相機廠商的DQT表所決定的，因此不代表Class4的結果表示的無法匹配即為修改過的圖片，僅代表無其他可檢測的更改信息，但數(shù)碼相機參數(shù)無法核驗。

此實例中進一步查看“檢材1”的表和原圖檢測的級別為Class4，表明JPEGsnoop無法匹配到原圖數(shù)據(jù)庫記錄的攝像器材的具體特征，所以不能證明是何種型號設備拍攝，見圖3。其原因是手機的數(shù)碼成像原件不被列入數(shù)碼相機廠商的目錄，因此無法匹配到特征表庫。

圖3 檢材1文件檢測級別

用上述方法，繼續(xù)查看“檢材2”的表和原圖檢測的級別為Class1，表明Image is processed/edited，可以確定照片被修改過，并匹配到Adobe Photoshop的特征，見圖4?？梢姶_認檢材2是被Photoshop軟件編輯過的。

圖4 檢材2文件檢測級別

使用同樣的方法檢測“樣本1”“樣本2”文件，發(fā)現(xiàn)同樣的評級均為Class4，進一步驗證“檢材1”和樣本文件是同一設備或軟件生成的，但是未列入軟件的數(shù)碼廠商庫內(nèi)；而“檢材2”與樣本文件不是同一設備或軟件生成的，并確認“檢材2”不是原始照片，而是經(jīng)過軟件修改。

3.5 JPEG壓縮簽名分析

JPEG壓縮簽名是JPEG壓縮設備或軟件在生成JPEG文件的時候產(chǎn)生的特征碼，同一設備產(chǎn)生的JPEG圖片應具有同樣的簽名。此處的特征碼和DQT量化表的算法基本相符，因此DQT量化表一致，此處的JPEG壓縮簽名也應該一致。采用此方法得到的所有檢材及樣本的壓縮簽名對比如表3所示。從JPEG文件壓縮簽名分析來看，“檢材1”與“樣本1”“樣本2”文件是同一設備或軟件生成的，而“檢材2”與樣本文件不是同一設備或軟件生成的。

表3 檢材及樣本的JPEG壓縮簽名

4 其他方法

通過以上案例可知，在任何司法鑒定有關電子數(shù)據(jù)的案件中，圖片、聲音、電子郵件等文件，由于其電子文件的特殊性，在拷貝或者存儲的過程中都有可能導致證據(jù)文件被破壞，因此都需要首先進行證據(jù)固定，這在公安系統(tǒng)也稱作證據(jù)保全工作。

在圖像有關的司法鑒定中基于JPEG壓縮技術判斷圖像真實性鑒別的方法確實是比較科學嚴謹?shù)囊环N鑒別方式，僅憑這種方法對圖像的證偽是足夠的，但是證真卻遠遠不夠，因為在技術層面可以通過修改JPEG的底層結構來改變DQT樹的內(nèi)容，保證被修改的檢材偽裝成與原檢材一致性的結構。這使得在技術層面對數(shù)碼圖片證真成為驗證的難點。

比較傳統(tǒng)的做法是將多種方法應用在圖像真實性鑒別的過程中，保證在已知層面圖片沒有作假的痕跡，其中包括放大觀察、信息邏輯判斷、光線投影比較、ELA邊緣過渡檢測、SIFT同圖復制檢測，等等。這些方法都能夠在圖像證偽上成為重要的證據(jù)。在真實案例中，也存在根據(jù)反向推導的方式，例如圖片修改后為嫌疑對象所帶來的社會意義或價值，推斷圖片被篡改的可能。