摘要:无论是 SMTP 邮件伪造、截图拼接、邮件头造假,都会在元数据、编码、分辨率、头信息、服务器路径里留下极难抹掉的技术痕迹。
无论是 SMTP 邮件伪造、截图拼接、邮件头造假,都会在元数据、编码、分辨率、头信息、服务器路径里留下极难抹掉的技术痕迹。
本文列出的工具全部可在线使用,不需要编程,不需要昂贵软件。
只靠肉眼是远远不够的,必须留痕、可复核,让法官看得懂、采得上。
用途:解析发件服务器、路径、跳转节点、IP 来源地
地址:mxtoolbox.com / Email Header Analyzer
可识别:
典型用途:证明“对方伪造邮件发件方”
用途:验证 Gmail 邮件是否真从 Google 服务器送达。
特点:
典型用途:反击“伪造 Gmail 邮件证据”
用途:检测一个邮箱是否具备真实发送能力。
可以验证:
用途:确定发件 IP 是否真实属于腾讯 / 网易 / Gmail
识别:
网址:forensically.org
功能包含:
可直接查出微信聊天截图是否拼接/修改
司法鉴定机构常用。
6. PhotoForensics(另一款 ELA 拼接检测工具)特点:
检查 JPEG 压缩层级自动识别修改区域适合检测“截图中某一段文字是否被单独修改”。
用途:查看截图的拍摄设备、时间、分辨率、坐标
特别适用:
能查出的典型问题:
截图实际创建时间与聊天时间不符截图来自另一台手机图片修改软件(Photoshop)痕迹8. iOS/Android 原图验证工具(逆向查出设备型号)典型用途:
查截图是否来自同一设备查是否为模拟器截图查设备分辨率是否对得上在线工具例如:
用途:验证邮件内容是否被修改。
如果 DKIM fail,则证明:
虚假诉讼中最强反制点之一。
10. SMTP Log Replay 工具(审查邮件发出路径)适用场景:
对方提交“企业邮件往来截图”公司内部无法查到怀疑 SMTP 是假造的工具能重建发送路径,检测跳板。
国内外多个项目:
用 CNN 识别像素层级变化判断是否经过局部修改适合识别:
把对话改一个词在合同照片加签名用来比较:
原图 vs 对方提交图是否存在像素级修改证据链对不上五、普通人可直接操作的“快速自查流程图”第一步:看元数据(3 分钟)截图 → 用 EXIF 工具查看:
拍摄时间修改软件机型分辨率80% 的伪造会在此暴露。
Forensically → ELA / Noise Analysis
气泡颜色异常噪点断层JPG 层级错位聊天截图伪造逃不掉这一关。
复制邮件头 → MXToolbox
查:
一旦 fail,邮件证据几乎必是假。
来源:在海滩踏浪的行者
