邢文博 杜志淳

摘 ?要： 通過WinHex軟件提取JPEG格式圖像數(shù)據(jù)，對獲取的數(shù)據(jù)進(jìn)行解析，獲取JPEG圖像文件頭的信息。從JPEG格式圖像文件頭中提取到圖像的Exif信息，GPS信息，縮略圖信息，量化表等數(shù)據(jù)。對從JPEG圖像文件頭得到的圖像信息進(jìn)行判斷，可以確定JPEG格式圖像是否經(jīng)過圖像處理軟件處理。

關(guān)鍵詞： 圖像文件頭; Exif信息; GPS信息; 數(shù)字圖像取證

中圖分類號(hào)：TP391 ? ? ? ? ?文獻(xiàn)標(biāo)志碼：A ? ? 文章編號(hào)：1006-8228（2019）10-11-05

Abstract： Extracting JPEG format image data by WinHex software， parsing the acquired data， get the information of the JPEG image file header. Then extract the Exif （Exchangeable image file format） information， GPS （Global Positioning System） information， Thumbnail information， and Quantization table from the JPEG format image header. By judging the image information obtained from the JPEG image file header， it is possible to determine whether the image has been processed by image processing software.

Key words： image file header; Exif information; GPS information; digital image forensics

0 引言

JPEG圖像文件的后綴是.jpg或.jpeg。由于它是有損壓縮圖像文件，所以圖像文件小，但圖像質(zhì)量能滿足人眼的觀察要求。其在圖像的網(wǎng)絡(luò)傳輸以及圖像存儲(chǔ)中都有廣泛應(yīng)用。人們在日常生活中從數(shù)碼相機(jī)、手機(jī)、掃描儀等圖像獲取設(shè)備中得到的數(shù)字圖像大多是JPEG格式的數(shù)字圖像。數(shù)字圖像處理軟件的易用性，使得數(shù)字圖像很容易被篡改，修飾等操作，改變數(shù)字圖像記錄內(nèi)容的真實(shí)性。數(shù)字圖像一旦作為證據(jù)使用，首先要確保數(shù)字圖像的真實(shí)性。JPEG圖像文件頭中包含了數(shù)字圖像文件的很多信息，從JPEG圖像文件頭中提取圖像文件信息，以證實(shí)圖像文件的一些基本事實(shí)。所以對于JPEG格式的數(shù)字圖像取證必須從圖像文件頭開始。

Farid[1]利用JPEG格式圖像量化表對其進(jìn)行取證，Kornblum[2]從JPEG圖像量化表判斷圖像被處理的軟件，F(xiàn)arid[3]從JPEG圖像縮列圖來判斷圖像的真實(shí)性，Kee[4]利用JPEG圖像文件頭信息判斷圖像的真實(shí)性。盧啟萌[5]等利用JPEG格式圖像中的Exif信息對其進(jìn)行取證，邢賽鵬[6]等對JPEG圖像文件頭數(shù)據(jù)進(jìn)行了初步的分析。對JPEG格式數(shù)字圖像進(jìn)行取證，我們需要認(rèn)識(shí)了解JPEG格式圖像文件結(jié)構(gòu)以及內(nèi)容。

1 JPEG格式圖像壓縮重建過程

JPEG是聯(lián)合圖像專家組（Joint Photographic Experts Group）的縮寫，這個(gè)圖像壓縮標(biāo)準(zhǔn)是國際電信聯(lián)盟（International Telecommunication Union，ITU）、國際標(biāo)準(zhǔn)化組織（International Organization for Standardization，ISO）和國際電工委員會(huì)（International Electrotechnical Commission，IEC）合作努力的成果。JPEG標(biāo)準(zhǔn)正式地稱為ISO/IEC IS（國際標(biāo)準(zhǔn)）10918-1連續(xù)色調(diào)靜態(tài)圖像數(shù)字壓縮和編碼（Digital Compression and Coding of Continuous-tone Still Images）和ITU-T建議T.81[7]。

JPEG的壓縮模式有以下四種。

⑴ 順序式編碼（Sequential Encoding）

依次將圖像由左到右、由上到下順序處理。

⑵ 遞增式編碼（Progressive Encoding）

當(dāng)圖像傳輸?shù)臅r(shí)間較長時(shí)，可將圖像分?jǐn)?shù)次處理，以從模糊到清晰的方式來傳送圖像。

⑶ 無損編碼（Lossless Encoding）

⑷ 階梯式編碼（Hierarchical Encoding）

圖像以數(shù)種分辨率來壓縮，其目的是為了讓具有高分辨率的圖像也可以在較低分辨率的設(shè)備上顯示。

現(xiàn)在流行的JPEG圖像文件格式是順序式的基于DCT變換的有損壓縮編碼模式。

由于人眼對亮度的改變比對色彩的改變敏感的多，將圖像從RGB彩色系統(tǒng)轉(zhuǎn)換為YCbCr彩色系統(tǒng)，以便對彩色信息進(jìn)行降采樣處理，提高圖像的壓縮率。JPEG采用YUV411或YUV422兩種采樣方式。YUV411采樣方式是每取4個(gè)Y數(shù)據(jù)，取1個(gè)Cb數(shù)據(jù)，取1個(gè)Cr數(shù)據(jù)，在數(shù)據(jù)沒有被處理前數(shù)據(jù)已經(jīng)被壓縮了50%。YUV422采樣方式是指每取4個(gè)Y數(shù)據(jù)，取2個(gè)Cb數(shù)據(jù)，2個(gè)Cr數(shù)據(jù)，在數(shù)據(jù)沒有被處理前已經(jīng)被壓縮了1/3。

連續(xù)色調(diào)靜態(tài)圖像數(shù)字壓縮和編碼對圖像從左到右、從上到下進(jìn)行的8×8像素的分塊，不足部分補(bǔ)0。然后通過零偏置，將每個(gè)像素的值從0-255轉(zhuǎn)變?yōu)?128-127。再對每一個(gè)圖像塊進(jìn)行正向離散余弦變換，并用量化表中量化步長對變換的像素值進(jìn)行量化并取整，在此造成圖像信息的損失，在圖像重建時(shí)只能近似恢復(fù)，而不能完全重建，所以是圖像的有損壓縮。隨后在最小處理單元內(nèi)對量化的直流成分進(jìn)行差分編碼，對量化的交流部分進(jìn)行行程編碼，然后再對形成的數(shù)據(jù)進(jìn)行哈夫曼編碼，最后形成對圖像的壓縮編碼數(shù)據(jù)。

圖像重建過程就是對圖像的壓縮數(shù)據(jù)進(jìn)行解碼。對圖像壓縮數(shù)據(jù)按照圖像編碼的逆過程進(jìn)行解碼，得到圖像像素的量化數(shù)據(jù)，再對得到的量化數(shù)據(jù)按照量化表進(jìn)行去量化，得到圖像中每個(gè)像素的離散余弦變換數(shù)據(jù)，隨后對得到的數(shù)據(jù)進(jìn)行逆離散余弦變換，根據(jù)原圖像的大小進(jìn)行數(shù)據(jù)裁切，得到圖像的像素值并將其值轉(zhuǎn)化為0-255范圍，然后將其轉(zhuǎn)化為RGB像素值得到重建的數(shù)字圖像。

為了在JPEG圖像文件數(shù)據(jù)中區(qū)分?jǐn)?shù)據(jù)的各個(gè)部分，連續(xù)色調(diào)靜態(tài)圖像數(shù)字壓縮和編碼標(biāo)準(zhǔn)規(guī)定了各個(gè)數(shù)據(jù)部分的標(biāo)記，表示各部分?jǐn)?shù)據(jù)的起始位置。

2 JPEG圖像文件結(jié)構(gòu)

JPEG本身只是描述如何將一個(gè)圖像轉(zhuǎn)換為字節(jié)的數(shù)據(jù)串流（Data Streaming），但并沒有說明這些字節(jié)如何在任何特定的儲(chǔ)存媒體上被封存起來。JPEG文件交換格式JFIF[8]（JPEG File Interchange Format）對JPEG圖像數(shù)據(jù)流進(jìn)行了封裝，可以使JPEG圖像數(shù)據(jù)流在不同的平臺(tái)及應(yīng)用程序之間進(jìn)行數(shù)據(jù)交換的最小的文件格式。圖1是JFIF格式JPEG圖像壓縮文件基本結(jié)構(gòu)。

JFIF把JPEG格式圖像中的量化表，哈夫曼表與圖像的數(shù)據(jù)流組合在一起，形成了復(fù)雜的JPEG格式圖像文件頭。用APP0標(biāo)記確認(rèn)是使用JFIF格式的JPEG文件交換格式，并緊跟在JPEG格式圖像標(biāo)識(shí)0XFFD8后面。沒有縮略圖的APP0一般有16個(gè)字節(jié)。其中兩個(gè)字節(jié)用來表示APP0應(yīng)用程序段的長度，五個(gè)字節(jié)是JFIF+NUL的ASCII字符，兩個(gè)字節(jié)標(biāo)示JFIF的版本號(hào)，一個(gè)字節(jié)表示像素單位，兩個(gè)字節(jié)表示水平像素密度，兩個(gè)字節(jié)表示垂直像素密度，一個(gè)字節(jié)0表示縮略圖的水平像素，一個(gè)字節(jié)0表示縮略圖的垂直像素。如果縮略圖的像素?cái)?shù)不是0，則后面緊跟RGB縮略圖像素。如果縮略圖像素是0，則APP0應(yīng)用程序段結(jié)束。此后可以有JFIF的擴(kuò)展APP0應(yīng)用程序，兩個(gè)字節(jié)的擴(kuò)展APP0長度，擴(kuò)展JFIF（Extension JFIF）標(biāo)志的JFXX+NUL的ASCII碼，不同的擴(kuò)展代碼代表縮略圖的存儲(chǔ)格式不同，有JPEG壓縮的縮略圖，索引圖像的縮略圖，以及每個(gè)像素用3個(gè)字節(jié)存儲(chǔ)的無壓縮縮略圖。

在2010年4月，日本相機(jī)圖像產(chǎn)品協(xié)會(huì)（Camera & Imaging Products Association CIPA）和日本電子信息技術(shù)工業(yè)協(xié)會(huì)（Japan Electronics and Information Technology Industries Association JEITA）聯(lián)合制定了數(shù)碼相機(jī)的可交換圖像文件格式Exif（Exchangeable image file format for digital still cameras）并在2012年12月修訂為 Exif Versin 2.3[9]。數(shù)碼相機(jī)中的JPEG格式圖像文件就具有交換圖像文件的內(nèi)容。圖2是具有壓縮縮略圖的Exif圖像文件結(jié)構(gòu)。

Exif格式的JPEG圖像文件是應(yīng)用APP1應(yīng)用程序，而沒有APP0的應(yīng)用程序。在APP1應(yīng)用程序中，一般有2個(gè)圖像文件目錄IFD（Image File Directory），第0個(gè)圖像文件目錄（0th IFD），第1個(gè)圖像文件目錄（1th IFD）。在JPEG格式圖像標(biāo)記0XFFD8后面是APP1的標(biāo)記，隨后的兩個(gè)字節(jié)表示APP1應(yīng)用程序的字節(jié)數(shù)，4個(gè)字節(jié)是Exif的ASCII碼，2個(gè)字節(jié)的0，8個(gè)字節(jié)的TIFF文件頭，0X4D4D或0X4949。0X4D4D表示大端在前，0X4949表示小端在前，002A是固定的字節(jié)，為十進(jìn)制數(shù)42，進(jìn)一步確認(rèn)該圖像文件是TIFF格式。4個(gè)字節(jié)表示圖像文件目錄的開始時(shí)相對TIFF文件頭的偏移量。隨后是第0個(gè)圖像文件目錄的內(nèi)容，開始后的2個(gè)字節(jié)表示在第0個(gè)圖像文件目錄中包含的圖像標(biāo)簽（Tag）個(gè)數(shù)。緊接著是圖像標(biāo)簽的內(nèi)容。每一個(gè)標(biāo)簽有12個(gè)字節(jié)，2個(gè)字節(jié)表示圖像標(biāo)簽（Tag），2個(gè)字節(jié)表示該標(biāo)簽的類型，4個(gè)字節(jié)表示該標(biāo)記類型的數(shù)量，如果標(biāo)記內(nèi)容小于4個(gè)字節(jié)，后面的4個(gè)字節(jié)表示標(biāo)簽內(nèi)容，如果多于4個(gè)字節(jié)，則這4個(gè)字節(jié)表示該圖像文件目錄內(nèi)容相對于TIFF文件頭的偏移量。如果沒有下一個(gè)圖像文件目錄則以4個(gè)字節(jié)的00000000結(jié)束。如果還有下一個(gè)圖像文件目錄，在這個(gè)圖像文件目錄的最后的2個(gè)字節(jié)，表示下一個(gè)圖像文件目錄（1th IFD）相對于TIFF文件頭的偏移量。下一個(gè)圖像文件目錄的開始的2個(gè)字節(jié)表示在這個(gè)圖像文件目錄中應(yīng)有的標(biāo)簽數(shù)量。隨后是每一個(gè)標(biāo)簽的內(nèi)容。JPEG格式圖像文件所具有的縮略圖就在這個(gè)圖像文件目錄內(nèi)，標(biāo)簽0X0201是JPEG交換格式的標(biāo)簽，0X0004表示是32位無符號(hào)整數(shù)類型，4個(gè)字節(jié)表示32位無符號(hào)整數(shù)的個(gè)數(shù)，4個(gè)字節(jié)表示縮略圖數(shù)據(jù)相對于TIFF頭的偏移量，標(biāo)簽0X0202表示縮略圖數(shù)據(jù)字節(jié)長度，0X0004表示縮略圖字節(jié)長度是32位無符號(hào)整數(shù)類型，4個(gè)字節(jié)表示32位無符號(hào)整數(shù)的個(gè)數(shù)，4個(gè)字節(jié)表示縮略圖數(shù)據(jù)的字節(jié)數(shù)。如果沒有其他的圖像文件目錄，在標(biāo)簽結(jié)束后以4個(gè)字節(jié)00000000結(jié)束?？s略圖數(shù)據(jù)是一個(gè)完整的JFIF格式的JPEG圖像壓縮數(shù)據(jù)。

在第0個(gè)圖像文件目錄中有Exif專有的圖像文件目錄指針標(biāo)簽，GPS的圖像文件目錄指針標(biāo)簽，互操作的文件目錄指針標(biāo)簽。Exif的圖像文件目錄指針標(biāo)簽0X8769，在偏移量處的2個(gè)字節(jié)表示Exif標(biāo)簽的數(shù)量，隨后是Exif的標(biāo)簽。Exif2.3規(guī)定了69個(gè)Exif圖像文件的標(biāo)簽（Tag），另外還有30個(gè)TIFF Ver.6.0版中的標(biāo)簽應(yīng)用在Exif信息中以及自定義的一些標(biāo)簽。GPS的圖像文件目錄指針標(biāo)簽0X8825，在偏移量處的2個(gè)字節(jié)表示GPS信息的數(shù)量，隨后是GPS的標(biāo)簽。Exif2.3規(guī)定了32個(gè)GPS信息標(biāo)記。互操作的文件目錄指針標(biāo)簽0XA005。

3 JPEG圖像數(shù)據(jù)的解讀

Winhex、UltraEdit軟件直接對JPEG格式圖像讀取圖像文件頭信息。可根據(jù)文件頭信息對JPEG圖像的信息進(jìn)行解讀，以獲取圖像文件的相關(guān)信息。分別以Windows畫圖板生成一副100×100藍(lán)色的JPEG圖像，以PhotoshopCS4生成一副100×100藍(lán)色的JPEG圖像，用數(shù)碼相機(jī)Canon D70拍攝一副JPEG圖像，用小米redmi Note4手機(jī)拍攝一副JPEG圖像，對用數(shù)碼相機(jī)和手機(jī)拍攝的圖像用Photoshop進(jìn)行裁切，并存儲(chǔ)為JPEG格式的圖像，來分析這6副圖像圖像文件頭的差異。圖3是將要提取圖像文件頭的6副圖像。

1是Windows畫圖板生成的圖像。2是Photoshop生成的圖像。3是CanonD70拍攝的圖像。4是CanonD70拍攝的圖像經(jīng)過Photoshop裁切的圖像。5是小米手機(jī)紅米Note4拍攝的圖像。6是小米手機(jī)紅米Note4拍攝圖像經(jīng)Photoshop裁切的圖像

圖4是Windows畫圖板生成JPEG圖像JFIF格式的圖像文件頭數(shù)據(jù)，它使用了APP0應(yīng)用程序。在JPEG圖像文件開始代碼0XFFD8后面是APP0應(yīng)用程序代碼0XFFE0。0X0010表示APP0應(yīng)用程序長度是16個(gè)字節(jié)，0X4A46494600是應(yīng)用程序標(biāo)示JFIF與NUL的ASCII碼，0X0101是JFIF的版本號(hào)，表示1.01版。0X01是像素密度單位，表示每英寸多少個(gè)點(diǎn)（dots per inch）。0X0060是水平像素密度，表示每英寸96個(gè)像素。0X0060是垂直像素密度，表示每英寸96個(gè)像素。0X00是縮略圖水平像素?cái)?shù)，表示縮略圖水平像素為0。0X00是縮略圖垂直像素?cái)?shù)，表示縮略圖垂直像素為0。

PhotoshopCS4生成的JPEG圖像具有APP0應(yīng)用程序，以及APP1應(yīng)用程序。其中APP1應(yīng)用程序標(biāo)示圖像的Exif信息，在APP0應(yīng)用程序后面是APP1應(yīng)用程序代碼0XFFF1。0X045C是應(yīng)用程序的長度，表示APP1應(yīng)用程序所具有的字節(jié)數(shù)。0X457869660000是應(yīng)用程序Exif與2個(gè)NUL的ASCII代碼。0X4D4D是TIFF（Tag Image File Format）格式文件開始代碼。0X002A是TIFF文件確認(rèn)數(shù)字即10進(jìn)制的42。0X00000008是第0個(gè)圖像文件目錄（0th IFD）相對于TIFF文件頭的偏移量。0X0007是第0個(gè)圖像文件目錄包含的標(biāo)簽數(shù)量，即7個(gè)標(biāo)簽。隨后每12個(gè)字節(jié)表示一個(gè)標(biāo)簽（Tag）內(nèi)容。7個(gè)標(biāo)簽后的0X000000D0是第1個(gè)圖像文件目錄（1th IFD）相對于TIFF文件頭的偏移量。在第1個(gè)圖像文件目錄中有JPEG圖像文件的縮略圖數(shù)據(jù)。

數(shù)碼相機(jī)Canon D70拍攝JPEG圖像是Exif格式的圖像文件頭。它沒有APP0應(yīng)用程序，只有APP1應(yīng)用程序。0X51F0是APP1應(yīng)用程序的字節(jié)數(shù)。0X4949是TIFF文件格式代碼，表示數(shù)據(jù)的小端在前。0X2A00是TIFF文件的確認(rèn)數(shù)字是10進(jìn)制數(shù)42。0X08000000是第0個(gè)圖像文件目錄（0th IFD）相對于TIFF文件頭的偏移量。0X0C00是第0個(gè)圖像文件目錄包含的標(biāo)簽數(shù)量，是12個(gè)標(biāo)簽。隨后每12個(gè)字節(jié)表示一個(gè)標(biāo)簽（Tag）內(nèi)容。0X6987是Exif圖像文件目錄的指針標(biāo)簽，0X0400是指針的類型，表示指針是32為無符號(hào)整數(shù)，0X01000000是指針的數(shù)量，表示是1個(gè)指針。0X68010000是Exif信息相對于TIFF文件頭的偏移量。在那里有數(shù)碼相機(jī)記錄的Exif信息。0X2588是GPS信息指針標(biāo)簽，0X0400是指針的類型，表示指針是32為無符號(hào)整數(shù)，0X01000000是指針的數(shù)量，表示是1個(gè)指針。0XB8240000是GPS信息相對于TIFF文件頭的偏移量。在那里有數(shù)碼相機(jī)記錄的GPS信息，12個(gè)標(biāo)簽后的0XBA2A0000是第1個(gè)圖像文件目錄（1th IFD）相對于TIFF文件頭的偏移量。在第1個(gè)圖像文件目錄中有JPEG圖像文件的縮略圖數(shù)據(jù)。

數(shù)碼相機(jī)Canon D70拍攝的圖像經(jīng)過Photoshop處理，其部分文件數(shù)據(jù)具有APP0、APP1應(yīng)用程序。

小米手機(jī)redmi Note 4拍攝的圖像，它有APP1應(yīng)用程序，其中具有一些自定義的一些標(biāo)簽如0X2002，0X2102，0X2502等。

小米手機(jī)redmi Note 4拍攝的圖像經(jīng)過Photoshop處理，其文件數(shù)據(jù)有APP0、APP1應(yīng)用程序。

4 JPEG圖像文件縮略圖差異

Windows畫圖板生成的圖像沒有自帶的縮略圖數(shù)據(jù)。Photoshop CS4生成的圖像、佳能D70數(shù)碼相機(jī)，紅米手機(jī)等拍攝的JPEG圖像文件頭中都有縮略圖數(shù)據(jù)。圖像經(jīng)過Photoshop處理過后的圖像都有縮略圖數(shù)據(jù)。圖5是從圖像文件頭中提取的圖像縮略圖。

1是Photoshop CS4生成圖像縮略圖，2是數(shù)碼相機(jī)Canon D70拍攝圖像縮略圖，3是數(shù)碼相機(jī)Canon D70拍攝圖像經(jīng)過Photoshop CS4處理后生成圖像縮略圖，4是小米手機(jī)Redmi Note 4拍攝圖像縮略圖，5是小米手機(jī)Redmi Note 4拍攝圖像經(jīng)過Photoshop CS4處理后生成圖像的縮略圖。

根據(jù)DCF（Design rule for Camera File system）2.0版的規(guī)定，數(shù)碼相機(jī)拍攝圖像的縮略圖像素應(yīng)該是160×120，如果拍攝圖像本身的大小不是4：3，則會(huì)將圖像以0填補(bǔ)成4：3，則圖像會(huì)生成黑邊。所以我們看到數(shù)碼相機(jī)Canon D70拍攝的圖像圖3中的3圖，圖像大小是5184×3456，其圖像文件中的縮略圖是圖5中的2圖，具有黑邊。其他JPEG圖像文件中的縮略圖根據(jù)各自的采樣規(guī)則生成大小不同的縮略圖。Photoshop CS4生成100×100像素圖像的縮略圖像素是100×100。數(shù)碼相機(jī)Canon D70拍攝的圖像經(jīng)過Photoshop CS4處理后的圖像是圖3中的4圖，大小是3918×2574，圖像文件中縮略圖大小是160×105即圖5中的3圖，小米手機(jī)Redmi Note 4拍攝的圖像是圖3中的5圖大，小是4160×3120，圖像文件中縮略圖的大小是192×144即圖5中的4圖，小米手機(jī)Redmi Note 4拍攝的圖經(jīng)過Photoshop CS4處理后的圖像是圖3中的6號(hào)，大小是3250×2982，圖像文件中縮略圖大小是160×147即圖5中的5號(hào)。

5 Exif信息查看修改軟件

Opanda PowerExif采用圖形用戶界面可以查看編輯Exif信息，功能強(qiáng)大，操作簡單，可以修改Exif信息，添加Exif信息，刪除Exif信息，全部清除Exif信息。

只有Exif信息的JPEG格式圖像，全部清除Exif信息后，會(huì)給圖像加上APP0應(yīng)用程序，使圖像具備JFIF格式的Jpeg格式圖像。如果刪除Exif信息進(jìn)行保存或另存為處理，則在文件頭中加入APP1應(yīng)用程序頭，但沒有應(yīng)用程序內(nèi)容。在沒有Exif信息的JPEG格式的圖像中添加Exif信息，將在圖像文件頭中添加APP1應(yīng)用程序，同時(shí)保留APP0應(yīng)用程序。

6 量化表的提取和查看

JPEGsnoop軟件查看JPEG圖像文件頭信息，提取圖像Exif信息，量化表，哈夫曼表，縮略圖的量化表，哈夫曼表等信息，并根據(jù)壓縮特征與Exif元數(shù)據(jù)的分析對檢測圖像進(jìn)行評估分級(jí)。JPEGsnoop的原圖檢測一共有四個(gè)等級(jí)，Class 1表明可以確定照片被修改過，Class 2表明照片極可能被修改過，Class 3表明照片極可能是原圖，Class 4表明JPEGsnoop無法匹配到原圖特征。

JPEG圖像的量化表和Exif信息可以通過Winhex或UltraEdit進(jìn)行修改?？梢愿淖儓D像被處理過程中附加的應(yīng)用程序信息。

圖6是對畫圖板圖像添加數(shù)碼相機(jī)拍攝圖像的Exif信息，并從添加數(shù)碼相機(jī)Exif信息的畫圖板圖像中提取縮略圖圖像。

1是畫圖板圖像。2是數(shù)碼相機(jī)拍攝的具有Exif信息的圖像。3是將2圖中的Exif信息添加到1圖中的圖像。4是從3圖中提取的Exif信息中的縮略圖。

圖像的元數(shù)據(jù)本該是標(biāo)示圖像真實(shí)性的一組數(shù)據(jù)，但是它可被數(shù)據(jù)處理軟件修改，從而改變圖像元數(shù)據(jù)記錄圖像數(shù)據(jù)的真實(shí)性。圖像元數(shù)據(jù)與數(shù)碼相機(jī)記錄的元數(shù)據(jù)一致并不能當(dāng)然認(rèn)定圖像的真實(shí)性。

7 結(jié)論

JPEG圖像文件格式分為JFIF的JPEG圖像文件格式以及Exif的JPEG圖像文件格式。從圖像文件頭中可以提取圖像文件的一些信息，比如圖像量化表，圖像獲取時(shí)數(shù)碼相機(jī)的相關(guān)參數(shù)，圖像獲取時(shí)的GPS參數(shù)，以及圖像獲取設(shè)備生產(chǎn)的圖像縮略圖等。在圖像文件頭信息沒有被修改時(shí)，可以從中獲取圖像被篡改的相關(guān)信息。在圖像文件頭信息被修改后，沒有獲取圖像被篡改信息，并不等于圖像沒有被篡改。要獲取圖像被篡改信息還需要對圖像數(shù)據(jù)進(jìn)行分析取證。JPEG圖像文件頭信息，是對數(shù)字圖像進(jìn)行分析取證首先要做的工作。

參考文獻(xiàn)（References）：

[1] Farid H. Digital Image Ballistics from JPEG Quantization[J].Comput.sci.dartmouth College Tech.rep，2008.

[2] Kornblum J D.Using JPEG quantization tables to identify imagery processed by software[J].Digital Investigation，2008.5（1）：21-25

[3] Farid H. Digital image authentication from thumbnails[C]//Media Forensics and Security II.DBLP，2009：75410

[4] Kee E， Johnson M K， Farid H. Digital Image Authentication From JPEG Headers[J]. IEEE Transactions on Information Forensics & Security，2011.6（3）：1066-1075

[5] 盧啟萌，施少培.Exif信息在數(shù)碼照片真實(shí)性鑒定中的應(yīng)用[J].中國司法鑒定，2012.5：86-90

[6] 邢賽鵬，平西建，詹杰勇.JPEG圖像數(shù)據(jù)格式簡明分析[J]. 微計(jì)算機(jī)信息，2005.26：166-168

[7] CCITT T.81，Information Technology Digital Compression and Coding of Continuous -Tone Still Images Requirements and Guidelines.[S].

[8] Hamilton E.JPEG File Interchange Format[M].Fer Publishing，2004.

[9] CIPA DC -008 -Translation_2010，Exchangeable image file format for digital still cameras：Exif Version 2.3.[S].