如何检测照片的元数据是否已更改？

当时有一场摄影比赛，只限拍摄三天-但获胜的照片似乎有点过时了。

因此，我怀疑获胜者更改了照片上的元数据。有什么方法可以检测是否对元数据进行了任何更改？还是以任何方式回滚到原始数据？

可悲的是，不可能证明图像（或与此有关的任何文件）是何时产生的。可以（如果作者愿意）通过从第三方时间戳服务器对文件进行签名来证明文件在给定时间之前存在（第三方通过该文件证明文件在签名时已存在）但是此类信息并非自动可用，因此很容易被剥离。

我也是IT安全人员，如果用户控制系统使用我所知道的最新技术来创建文件，则没有任何安全的方法可以证明任何文件的创建日期。最好的选择是时钟锁定的设备，该设备将具有隐藏的密钥库，用户不应访问该密钥库，并基于该密钥库创建签名，以使他们无法伪造自己的签名，但是由于密钥必须仍然驻留在设备中，即使很难获得所有必要的信息，仍然可能有人破坏。

至于检测业余工作，通常在文件系统本身的元数据中有一个文件创建日期，可以检查该日期并将其与EXIF元数据进行比较，但是如果他们擅长的话，它们都会改变两者，并且存在文件系统值丢失的可能性取决于文件的传输方式，因此它甚至可能不可靠。

如果做得好，绝对不可能检测到（只是文件中的位）。如果做得很粗糙，可能会有一些明显的迹象……但是我个人的猜测是，它根本没有被篡改过，它只是一名优秀的摄影师。

事后，很难说出来，除非图像已被发布在其他地方，带有不同的时间戳或沿这些方向的东西。请记住，几乎总是在春季/夏季/秋季/冬季的某个地方，如果它们是全球性的，则可能已经合法拍摄了该图像（或将其更改为这种外观，具体取决于您针对该比赛的编辑策略）。

对于想证明自己的情况的人，佳能在某些相机上具有自定义功能，可以“添加图像验证数据”，该功能基本上可以对每张图像进行签名。现在，这不会阻止某人在拍摄照片之前更改相机的时间，但是会显示此后是否对图像进行了编辑。这不是针对创意类型，而是针对将在法庭等场合用作证据的事物。

如果图像文件中唯一的修改与EXIF DateTime字段相关，则可以轻松进行更改而不会留下任何痕迹。可以在文件系统级别验证不兼容性：理想情况下，EXIF日期时间应与操作系统设置的“上次修改时间”相匹配，但是出于合法原因，例如文件副本，这可以有所不同，并且在任何情况下都可以简单地被适当的工具覆盖。

如果您认为在像素级别还发生了其他一些修改，则通常可以通过适当的技术来识别。您可以看到使用专门用于图像取证的工具进行分析的一些示例，例如Amped Authenticate（http://ampedsoftware.com/authenticate-samples-免责声明：我是公司创始人）。