基于十六进制编码信息的音频篡改技术
2019-09-17艾绍新顾丽丽张宇曲福娟张薇
文/艾绍新 顾丽丽 张宇 曲福娟 张薇
1 前言
近年来,科技发展越来越快,数字信息已经渗透到人们身边的方方面面,音频处理软件的种类也越来越多。在给人们带来便利的用时,也产生了许多隐患,比如司法鉴定中音频真实性验证,这样会对社会的安定与和和谐带来影响。早在1960年,美国联邦调查局就已经展开对音频文件的研究,1970年“水门事件”的发生,逐步将音频文件鉴定发展成为司法鉴定的一个重要分支,早期的音频文件鉴定主要是对模拟声音信号进行鉴定,到目前为止,已经取得了不错的成果,近年来,美国Dartmouth大学的研究团队,将篡改音频会引入非自然的高阶相关性的性质,取得了较好的研究成果,罗马尼亚的取证工作者通过分析电网频率的变化,实现了篡改音频的鉴定,德国马格德堡大学的研究团队提出了用于说话人所处环境的检测方法。目前,图像与视频的鉴定取证技术已经取得重大突破,但是音频文件的真实性鉴定还处于探索阶段,所以本文对于音频文件的篡改技术研究具有重大意义。
2 实验环境介绍
本次研究实验主要借助的是GoldWave、Adobe Audition和HexCmp三个软件。进行的篡改操作包括增加,删除,剪切与原文件导出等,本实验的单类型文件均达到一定数量,且篡改操作也做了多种样本。增加操作是在原文件上随机位置复制随机长度的文件粘贴到原文件的随机位置,删除操作是在随机位置删除随机长度的文件,剪切操作是在原文件上随机位置剪切一段长度后粘贴到原文件上,保持原文件长度不变,本次实验研究用到的所有样本处理前后的采样率、位深、码率等基础信息不发生变化。
图1:原文件
图2:处理后文件
图3:原文件
图4:处理后文件
图5:原文件
图6:处理后文件
GoldWave是一个功能强大的数字音乐编辑器,是一个集声音编辑、播放、录制和转换的音频工具。它还可以对音频内容进行转换格式等处理,支持许多格式的音频文件,包括WAV、OGG、VOC、 IFF、AIFF、 AIFC、AU、SND、MP3、 MAT、 DWD、 SMP、 VOX、SDS、AVI、MOV、APE等音频格式。你也可从CD、VCD和DVD或其它视频文件中提取声音。内含丰富的音频处理特效,从一般特效如多普勒、回声、混响、降噪到高级的公式计算(利用公式在理论上可以产生任何你想要的声音)。
Audition专为在照相室、广播设备和后期制作设备方面工作的音频和视频专业人员设计,可提供先进的音频混合、编辑、控制和效果处理功能。最多混合 128 个声道,可编辑单个音频文件,创建回路并可使用 45 种以上的数字信号处理效果。它是 Cool Edit Pro 2.1 的更新版和增强版。此汉化程序已达到98%的信息汉化程度。
Fairdell HexCmp 是一个可视化的十六进制文件编辑工具,程序可以帮助你快速的轻松的比较两个文件,并可以对文件进行编辑操作,程序还拥有强大的搜索功能,可以执行基于十六进制或者字符的搜索操作。
3 实验操作
3.1 MP3文件
MP3是一种音频压缩技术,其全称是动态影像专家压缩标准音频层面3(Moving Picture Experts Group Audio Layer III),简称为MP3。它被设计用来大幅度地降低音频数据量。利用 MPEG Audio Layer 3 的技术,将音乐以1:10 甚至 1:12 的压缩率,压缩成容量较小的文件,而对于大多数用户来说重放的音质与最初的不压缩音频相比没有明显的下降。它是在1991年由位于德国埃尔朗根的研究组织Fraunhofer-Gesellschaft的一组工程师发明和标准化的。
本部分实验样本包括,Sony系列录音、OPPO系列录音、Philips系列录音。
3.2 Sony系列音频文件
GoldWave软件对Sony录音笔音频文件进行实验操作后结果如图1、图2所示。
经对比发现GoldWave音频处理软件对MP3文件进行处理后,原文件偏移位置00000000行至00000050行只有GEOB(封装方式)信息,处理之后偏移位置00000000行至00000090行处出现GEBO封装方式、TIT2文件标题(180330_007)、TPE1作者(my recording)、TENC录制编码方式(Sony)。
Adobe audition软件对同一音频文件进行实验操作后结果如图3、图4所示。
图7:原文件
图8:处理后文件
图9:原文件
图10:处理后文件
图11:原文件
对比发现,经过Adobe Audition/Adobe audition cc 2018软件处理后文件偏移位置00000000行至00000050行未发生任何变化。文件在“GEBO”后会出现操作记录,类似于软件的操作日志,包括操作的类型、时间、和之后的保存动作,增加、剪切与删除操作相同。日志长度截止到偏移位置000018A0行。
图12:处理后文件
4 HYUNDAI系列录音笔文件处理
如图5、图6所示。
本文件未出现MP3文件标志性的ID3相关信息,对文件使用GoldWave音频处理软件进行删除、增加、剪切操作均产生乱码,进行操作后文件在偏移位置00000010行出现LAME3.99.5信息,其为编码方式,且删除、增加、剪切操作均出现该信息,且删除、增加、剪切后文件信息相同。
经过Adobe audition / Adobe audition cc2018软件处理,文件在偏移位置00000010行后会出现操作记录,类似于软件的操作日志,包括操作的类型、时间、和之后的保存动作,增加、剪切与删除操作相同,日志长度截止到偏移位置000018A0行。
5 OPPO系列录音
如图7、图8所示。
对比发现,经过GoldWave音频处理软件删除、增加、剪切后的文件在偏移位置00000070行“LAME”信息由原来的3.98.2变成3.99.2,LAME为软件的编码方式。
对比发现经过Adobe audition / Adobe audition cc 2018软件处理,文件在00000010行后会出现操作记录,类似于软件的操作日志,包括操作的类型、时间、和之后的保存动作,增加、剪切与删除操作相同,日志长度截止到偏移位置000018A0行。
5.1 M4A文件
M4A是MPEG-4 音频标准的文件的扩展名。在MPEG4标准中提到,普通的MPEG4文件扩展名是".mp4"。自从Apple开始在它的iTunes以及 iPod中使用".m4a"以区别MPEG4的视频和音频文件以来,".m4a"这个扩展名变得流行了。目前,几乎所有支持MPEG4音频的软件都支持".m4a"。
本部分m4a文件样本主要来自于手机,品牌包括,HUAWEI系列、VIVO系列、三星系列、iPhone系列,如图9、图10所示。
对比发现,原文件在偏移位置00000010行出现“isommp42”信息,文件经过GoldWave软件处理后变为“mp4lisom”,在原文件偏移位置00001910行左右会出现几组规律的数字+字母组合的信息位,手机型号不同出现的组数也各不相同,但对文件进行删除、增加、剪切后该规律性信息均变成00。
所有MP3和M4A文件经过GoldWave软件处理后,即使未进行任何操作直接另存为导出默认格式,与进行删除、增加、剪切操作文件变化相同。
Adobe audition软件无法导入M4A文件,Adobe audition CC 2018软件可导入M4A文件,但处理后导出文件格式软件默认为WAV格式,不可导出为M4A格式,相近格式为ACC格式,参考价值不大。
5.2 WAV文件
WAV为微软公司(Microsoft)开发的一种声音文件格式,它符合RIFF(Resource Interchange File Format)文件规范,用于保存Windows平台的音频信息资源,被Windows平台及其应用程序所广泛支持,该格式也支持MSADPCM,CCITT A LAW等多种压缩运算法,支持多种音频数字,取样频率和声道,标准格式化的WAV文件和CD格式一样,也是44.1K的取样频率,16位量化数字,因此在声音文件质量和CD相差无几! WAV打开工具是WINDOWS的媒体播放器。WAV文件头长度从偏移位置00000000~000001E0行。
本部分实验样本主要来自于录音笔,品牌包括,HYUNDAI A700R、PHILIPS系列、夏新系列、金正系列、SANSUI系列、紫电系列。如图11、图12所示。
原文件在00000000行处的RIFF+WAVE信息后会出现数行00信息,对文件进行操作后该部分信息消失。对文件进行删除、增加、剪切操作后,经过对比,发现只在文件偏移位置00000004~00000006、00000028~0000002A信息有所不同,且呈现不规律性变化。
Adobe audition与Adobe audition CC 2018软件处理结果与GoldWave软件处理结果相同。
6 结论
本文通过采用电子物证检验角度的方法,使用HexCmp软件对处理后的音频文件进行分析,通过十六进制编码直观的观察到音频文件信息位经过处理前后的变化,经过大量实验验证得出了,MP3、WAV、M4a文件经过处理后文件数据与标签域均发生规律性变化,且经过Adobe Audition软件处理后的文件会留下标志性的信息,本课题音频文件的研究对音频证据的真实性验证起到了关键的作用,未来对于音频证据的研究也起到了一定的引导意义。