网上突然传出来一张截图,如何才能知道是真的“证据”,还是 PS 出来的谣言?
比如,近期热议的“美当铺疑现南京大屠杀新照片”事件,你第一反应会如何鉴别相册中图片的真假呢?
9月初“美当铺疑现南京大屠杀新照片”事件中,相册的来源及真假引起热议
在此,小编介绍几种可以检测图像“真假”的方法与工具。
查看EXIF/元数据EXIF 代表可交换图像文件,它用于在使用 JPG 压缩的数码照片中存储信息。通常来说,图片生成时会带有 EXIF 。
EXIF 文件中包含的信息包括手机型号,相机信息如 F 光圈、闪光灯、ISO 编号、曝光、快门速度、镜头、分辨率、白平衡和 GPS 坐标等。而用 PS 处理过的图片,也会带有 Photoshop 的软件信息。
此类数据可用于各种 OSINT 原因调查。比如可以调查拍摄相机类型,或是通过照片的 GPS 坐标来寻找某人的位置。
想要查看图片的EXIF信息,最简单也是最直接的方法是右键单击图片属性,查看详细信息。
此外,还有许多工具可以帮助我们查看 EXIF ,比如下面介绍的这款在线工具ExifData。操作也很简单,只需要访问 ExifData.com,从计算机上传图像或提交 URL。图片加载到网站后,我们就可以在图片右侧看到详细信息摘要。点击左侧的“详细”按钮提供更多详细信息,例如文件权限、大小、GPS 坐标(如果可用)等。我们可以通过 Exif 信息,来判别某张图片是否是未经篡改的原图。最简单的方法,是直接查看文件头。例如一张图片是在 PS 中修改过、然后保存的,那么用记事本开启这张图片,就可以在它的文件头中,找到 “Photoshop”的字样,如下图所示:用记事本打开图片文件,有 “Photoshop”字样,说明这是一张用 PS 保存的图片能修改图片的软件不止 PS,如果是用其他软件来修改,我们还可以通过第三方软件来鉴别其 Exif,例如下面的这款 “JPEGsnoop”。
JPEGsnoop 是一款免费的 Windows 应用程序,可检查和解码 JPEG、MotionJPEG AVI 和 Photoshop 文件的内部细节,还可用于分析图像的来源以测试其真实性;可确定相机在拍摄照片时使用的各种设置(EXIF 元数据,IPTC),还可以提取指示相机在保存照片时使用的 JPEG 图像压缩的质量和性质的信息文件。每个数码相机都指定了压缩质量级别,其中许多的级别大不相同,导致某些相机产生的 JPEG 图像比其他相机好很多。JPEGsnoop 报告了大量信息,包括:量化表矩阵(色度和亮度)、色度子采样、JPEG 预估质量设置、JPEG 分辨率设置、霍夫曼表、EXIF 元数据、Makernotes、RGB 直方图等。如果我们要鉴定一张图片是否被修改过,可以直接将图片拖移到它的界面当中,JPEGsnoop 就会对图片的 Exif 等信息进行分析。JPEGsnoop 呈现的分析非常多,但我们只需要关注最下面的 “ASSEMSSMENT”一项,例如下图:根据 JPEGsnoop 给出的信息,这张图片是经过处理或者编辑的,也就是说它不是原图。再看下面这张图,JPEGsnoop 判断它“毫无PS痕迹”,鉴定为原图。除了查看EXIF之外,反向图像搜索(Reverse image search)也是常用的鉴定“原图”与否的方法,它可以帮助我们了解有关图片更多的信息或找到与之相似的图片。比如本篇开头提到的“美当铺疑现南京大屠杀新照片”事件,网友们试图自行验证事件和照片的真假,一开始采用的也是“谷歌识图”等反向图像搜索工具。
在开源调查中,我们可以使用反向搜索选项来查找图片的原始来源或了解图片首次在 Internet 上发布的大概日期 。摄影师可以使用“按图像搜索”功能了解其他未经许可使用其照片的网站 。首先,我们需要一张原始图片,将图片保存至电脑,点击“上传图片”按钮,然后将该图片上传。接下来,单击“显示匹配图像”按钮,它会将您的照片发送到 Google、Bing 或Yandex 的图像数据库并显示视觉上相似的照片。在这里,我们可以选择 Yandex 来演示:(现阶段就情报君个人经验来说,Yandex甚至相对于谷歌识图更好用,可优先使用;不过由于各家识图功能可能会动态更新,在具体现实调查中我们最好还是多掌握几个方法,对比验证、结合使用。)在 Yandex 主页上,选择图像,然后选择相机图标以在计算机上找到保存的照片,或者也可直接粘贴网址。
滚动浏览图像列表后,我们可以看到原始图像,它向我们展示了图示中的照片是经过数字修改的。有时候我们需要滚动浏览一堆图像才能找到所需的内容。除了图片搜索引擎外,还有一些免费的反向图像搜索工具。比如Chrome 插件RevEye,可以搜索 Bing、Google、Yandex、TinEye 和百度。
使用 RevEye,只需右键单击图像并直接转到列表中的相应搜索引擎。我们可以通过 Exif 鉴别图片是否是原图,但这种方法也有其局限,那就是它只能鉴定图片是否是“原图”,而不能鉴定图片内容是否“保真”。比如用 QQ、微信发送的图片,很可能会被压缩;图片内容没有被修改,但通过 Exif 鉴别,仍属于处理过的图片,如此一来不免会“错杀无辜”。如果想进一步鉴别图片内容是否被修改,我们不妨直接鉴别图片的内容。别担心,这不仅仅是一门高大上的“技术活”,情报君可以教你更傻瓜智能的方法。Forensically 是一款基于 Web 的免费图像分析工具,可用于检测克隆、错误级别分析、图像元数据、噪声分析、水平扫描等。错误级别分析或 ELA 用于识别 jpg 图像中不同级别的压缩伪影。
jpg 图像保存得越多,压缩得越多,因此在对其进行分析时,图像的编辑部分变得不那么均匀,因此更加明显。许多人通常认为错误级别分析是主观的,但它可以像放大镜一样帮助您识别图像中被隐藏的细节,帮助揭示真相。首先来说一说Forensically “克隆检测(Clone Detection)”功能。克隆检测,顾名思义,可以检测图片是否存在克隆现象。通常来说,我们在修改图片时,如去除水印、杂物等,都会用到 PS 中的像素克隆工具,Forensically 的检测原理就在于识别图片中重复的像素,来判断这张图片有没有被像素克隆工具修改过,如下图是 Forensically 默认提供的样张。https://29a.ch/photo-forensics/#forensic-magnifier这些红线连起来的区域,像素是一模一样的,证明经过 PS 克隆工具的涂抹在 Forensically 的鉴别结果中,白斑代表一模一样的像素,红线代表相同像素的平移路径。可以看到,图中有大面积相邻像素都是一模一样的,这就是经过克隆的痕迹,这无疑就是一张 PS 过的图片。在下面这张“海龟人”的图像中,我们可以很清楚地看到它被编辑了哪个部分。
如果点击右侧的“错误级别分析” ( Error Level Analysis,简称ELA)按钮并调整滑块,可以很快看到海龟头部比身体的其他部分和背景更亮、更不均匀。
使用 ELA,所有高对比度和低对比度边缘都应该看起来相似。如果存在巨大差异,我们就可以怀疑图像已被更改。Forensically 中可用的另一个工具是是克隆检测工具。使用此工具,可以查看已克隆图像的所有位置。此工具的准确性在很大程度上取决于滑块的位置和原始图像的质量。例如,并非下图中突出显示的所有点都被克隆,但如果我们调整滑块位置,则可以更好地定位实际编辑。我们可以很容易地看到 Forensically 如何为调查增加一些价值。确保检查程序中的其他工具,如元数据分析。这张照片是没有经过 PS 的,在 Forensically 中尽管也鉴别出了一模一样的像素,但分布面积小且零散,因此可以认为这张图片没有被克隆工具修改过。Forensically 的 Clone Detection 只适用于使用克隆工具修改的照片,对于其他 P 图情况,我们可以使用 Forensically 的其他工具鉴别。例如,Forensically 的 “Error Level Analysis”功能,可以突出显示某些肉眼看上去差不多、但从计算机角度来看非常突兀的像素。例如这张示例图中的飞碟,就很显眼了,这明显就是 P 上去的。经过一定算法处理,发现某一块像素的特征和周围的明显不同,这显然是 P 上去的图像再来看看原始拍摄未经处理的照片,可见计算机认为像素特征是均匀的,没有突兀的像素群。当然,Forensically 也是存在局限的,它的原理决定它只能适用于鉴定拍摄的照片(还不能有太多过曝之类造成的 “死像素”),对于截图或者 CG 这样的人造图像不那么适用。http://fotoforensics.com/FotoForensics(以下简称FF)使用先进的算法来解码任何可能的 photoshopped 图片和操作;它使用错误级别分析 (ELA) 来识别图像中处于不同压缩级别的区域,以百分比显示对原始照片的边缘、纹理和表面所做的更改的修改。对于 JPEG 图像,整个图像应该处于大致相同的错误级别。如果图像的某个部分处于明显不同的错误级别,则可能表明进行了数字修改。
FF可以帮助我们简化判断的过程,像一款显微镜一样——通过突出人眼可能无法识别的伪影和细节,帮助大多数人快速识别图片。由于图片直接来自相机或经过 Photoshop 处理,因此可以轻松找到嵌入在元数据中的其他重要细节。不过,小编需要提醒的是,不要上传私人照片或安全级别较高的图片进行分析,因为结果图像将保存在服务器的公共 URL 中。第一张图片展示了金正恩手中的假软盘,这实际上是别的东西。通过 ELA 识别证书的真实性,假邮票的亮度和边缘的ELA会发生变化。FF 网站的开发者 Neal Krawetz 还提出了一些有用的教程和挑战实践。感兴趣的粉丝可以去看看。Diff Checker 是一个图片对比工具,可以并排或重叠比较两张照片以查看它们之间的差异。此工具可用于捕捉图像的微小变化。在Diff Checker的主页上,我们需要上传两张图片进行比较。
查看更改的第一个选项是淡入淡出。可以将一个图像放在另一个顶部,并可以切换不透明度以查看图像之间的变化。或者将两张图像在一起,来回滑动比较。还可以将两个图像放在一起并反转颜色,以便我们可以看到两张照片之间的差异。其实,很多工具的功能都比较类似,但又各有不同的优势。我们可以多积累类似的工具,大多数开源工具都免费可用。我们可以利用工具帮助我们分析,但实际上,最好用的工具可能还是我们自己的“火眼金睛”——有许多微妙的线索可以表明图像已被P过。比如通过常识、逻辑来判断。参考外国调查记者曾经提出的几点“常识判断方法”:(感兴趣的话,情报君后续会继续更新相关专题)1. 这张照片什么时候被第一次使用?(第一次使用的时间点是否早于这张图被拍摄的时间?)
2. 这张照片在什么文章、背景中被提及?(误区举例:来自叙利亚或阿富汗的旧照片有时在加沙的突发事件中弹出。)
3. 照片中的人物穿着如何?他们的衣饰符合文中提及的国家的风格吗?
4. 照片中的天气如何?在北半球夏季拍摄的照片中,如果出现了大雪,就表明这张照片要么是很久以前拍摄的,要么来自其他地方。
5. 寻找路标、店面和广告牌。看上面的文字是否当地语言?
6. 在照片中寻找不一致的照明。相互靠近的物体的亮度和光照的方向是否一致,是否有些看起来更明亮或更暗淡?如果是这样,照片很有可能被修改过。
7. 人或物体边缘是否扭曲?扭曲的部分通常很容易被识别出来。
8. 自然界中的光线、颜色和色调通常有轻微的变化,用软件程序修改过的照片中,可能大面积区域都是相同的颜色。
9. 发布在社交网络之前多次核实。
10.如果图片中有违反常识的部分,这张图可能是假的。
11.如果有人发布过时或“假”的图片,请有礼貌地告诉他们。
12.你可以选择成为传播“假新闻”的一份子,或是成为说出事实的那个人。
数字图像分析是一个技术活,我们不可能通过算法自动判断出所有的图片的真假。更何况”道高一尺魔高一丈“,不断发展的“毫无PS痕迹”的AI技术也不是吃白饭,和攻防技术一样,都在相辅相成地发展。我们在日常工作中,一方面要多积累与应用辅助工具,一方面也要充分利用开源网络情报的方法和技巧,结合分析师的经验和脑力去判断,长此以往,练就“火眼金睛”不在话下。