- 这篇文章是警方取证专家写的。如果您关心数字取证技术,可以下载阅读我们提供过的相关书籍和文档
只要人类一直在制作图像,我们就可以一直操纵他们。
曾经需要使用复杂的暗室技术来修改图像,但是现在,任何拥有智能手机的人都可以使用免费工具来实现数百种更改。
尽管这对于您的 Instagram feed 来说可能很方便,但它对执法提出了独特的挑战。这意味着:眼见不能为实。
于是警方和政府越来越多地要求图像要由取证专家鉴定,但是,该如何进行、以及走向何方?
- 关于数字取证《数字取证正在泛滥:政府可以从你的手机中提取哪些数据?》
- 您的手机和电脑如何作为呈堂证供,您可以在这里下载:https://t.me/iyouport/6313
- 还有这里:https://t.me/iyouport/6315
- 另外还有一本手册,讲述专业的数字取证技术,通过它,您将能知道数字取证都考虑哪些方面、如何串联信息、如何形成证据以协助法庭定罪。于是您能知道该避免什么、如何避免、尤其是在被不合理定罪时,您和您的律师应该知道该如何反驳。在这里下载:https://t.me/iyouport/6419
图像识别
目前,分析人员依靠 “图像识别” 的知识来检查和验证图像。
该识别通常分为六个关键区域:
- 物理的:阴影、照明和反射
- 几何的:消失点、图像和3D模型中的距离
- 光学的:镜头畸变或像差
- 图像传感器:修复了图案噪声和滤色器缺陷
- 文件格式:元数据、文件压缩、缩略图和标记
- 像素:缩放、裁剪、克隆或重新保存
我们的调查通常是从看不见的部分开始,而不是可以看到的部分。在这里,我们将重点关注图像中捕获的元数据(上面架构中的第5级)。
文件格式取证:元数据
保存图像时,文件通常包含有关图像的数据,称为元数据。
用于数码相机的可交换图像文件格式中有460多个元数据标签(EXIF 2.3)。该规范可帮助相机使用可以在设备之间交换的格式,例如,确保 iPhone 照片在三星设备上正确显示。
可以包括图像尺寸、位置数据、较小的缩略图、甚至包括相机的品牌和型号等等。
确定哪个相机拍了什么照片
在最近的调查中,我们验证了一组称为 “Byethorne鸭” 的图像。
RSPCA 提供给广告商的图像显示了一只鸭子,头上插着一把刀。很快就出现了指责,有人说该照片是PS的。
我们使用 Phil Harvey 的 ExifTool 检查了这些图像,并确定其中四幅图像(左侧)是由用一台相机拍摄的,右边的图像是由另一台相机拍摄的。
- 在这里看到更多检测元数据的工具《都是工具,从自我保护到有效利用 — — 亦正亦邪元数据 (下篇) 熟练使用它们是数字公民的基本功》
使用传感器模式噪声和统计方法对此进行了验证。我们使用信号处理滤波器从每个图像中提取了唯一的指纹,并比较了它们彼此之间的相似程度。
较高的值表示它们非常相似并且很可能相关,而较低的值表示它们不相似并且不太可能相关。
当我们比较五个图像指纹中的四个时,获得的值远高于2,000。考虑到它们之间的相关性,我们可以说这些图像可能来自同一台摄像机。
当我们测试第五张图像时,获得的相似度值接近于零。
唯一图像ID字段还包含相机固件编号。通过与元数据中还包含的图像和传感器大小进行交叉引用,建议的结论是使用 Samsung Galaxy S7 或 S7 Edge 捕获的前四张图像,使用 Samsung Galaxy S5 捕获的第五张图像。
在元数据中还显示了拍摄图像的时间,从而提供了什么时间拍摄的以及由什么设备拍摄的时间线。
由于照片是由两个不同的相机在大约一小时的时间内拍摄的,因此这些图像极不可能是伪造的。
RSPCA发言人证实,它从两个不同的人那里收到了鸭子的图像,与这些调查得出的结论相符。迄今为止,还没有足够的证据确定肇事者的身份。
如何从图像中找到一个人的位置
相机型号不是唯一可以从元数据中获得的东西。
上图是我在办公桌前拍摄的书籍的图像,从中你可以看到我的办公室在哪里。
GPS坐标直接嵌入图像元数据中。通过将这些坐标放入Google地图,可以显示我办公室的确切位置。
这种明显的隐私问题就是为什么社交媒体通常会从上传的图像中删除元数据的原因。
图像取证的未来
元数据永远不会孤立使用。
对图像进行身份验证以确保其未被修改,并维护监管链,对警察来说越来越重要。
协助警察的工具可能包括直接内置在相机中的审计日志或插入水印。
我目前正在对以前的研究进行扩展,该研究表明每个图像传感器(实际拍摄图像的电子设备)由于其对光的反应不均匀而具有唯一的指纹。
就如《Facebook 知道如何使用相机镜头上的灰尘跟踪你》。
总之,下次你拍摄照片时请考虑一下它可以讲述的故事。⚪️