如何验证照片的拍摄时间（并识破伪造的日期）

快速解答： 要验证照片的日期，在一个免费的 EXIF viewer 中打开它，并对比 EXIF 记录的三个时间戳：DateTimeOriginal（快门触发的时刻）、CreateDate（也叫 DateTimeDigitized，文件首次写入的时刻），以及 ModifyDate（最后一次保存的时间）。在一张真实的新鲜拍摄中，三者几乎完全相同。如果它们以可疑的方式相互矛盾，或者 DateTimeOriginal 缺失而 ModifyDate 很近，那么日期可能被改动过。GPS 时间、序列中的文件顺序和内容凭证会增加可信度。用 EXIF viewer 读取时间戳，用我们的 照片取证工具 深入挖掘。

当一张照片的日期对保险理赔、法律纠纷、保修期限，或者"这处损坏是何时发生的"争论很重要时，你不能仅仅信任文件所声称的日期。EXIF 日期用免费工具几秒钟就能编辑，所以仅凭日期不是证据。本指南是关于正当的验证：如何读取照片携带的时间戳、正常模式与被篡改模式分别是什么样子，以及如何把日期与更难伪造的信号交叉核对。它严格地从检测的角度出发，而不是为了改动任何东西。

三个 EXIF 时间戳

EXIF 存储三个独立的日期字段，而它们之间的关系是你能读取到的最有用的信息。

• DateTimeOriginal 旨在记录快门触发的时刻。这是"这是何时拍的"日期。
• CreateDate（EXIF 标签 DateTimeDigitized）记录图像首次被数字化或写入文件的时间。在数码相机上，这与 DateTimeOriginal 是同一时刻。
• ModifyDate 记录文件最后一次被保存的时间。任何重新保存、编辑或导出都会更新它。

正常模式。 一张用手机或相机拍摄且从未编辑过的照片，其 DateTimeOriginal、CreateDate 和 ModifyDate 都在彼此一两秒之内。那种紧密的一致正是未经处理的拍摄应有的样子。

可疑模式。 留意这些：

• DateTimeOriginal 缺失，ModifyDate 很近。 如果快门日期不见了，但文件最近被保存过，那么原始拍摄数据可能被剥离了，或者文件是被生成或重新导出的，而不是拍摄的。
• ModifyDate 早于 DateTimeOriginal。 一个文件在逻辑上不可能在拍摄之前就被保存。这通常意味着其中一个字段被手动编辑过。
• 整齐的或看起来虚假的相同值。 设为正好午夜的日期，或所有字段被强制设为同一个任意日期，都可能表明存在手动编辑。
• 指向某个编辑器的 Software 标签。 如果 DateTimeOriginal 看起来干净，但 Software 字段写的是"Adobe Photoshop"或某个元数据工具，那么这些日期经过了可能重写它们的软件。

在我们的 EXIF viewer 中读取这三者。关于这些字段的背景，请参阅 如何查看照片的拍摄时间。

EXIF 日期之外的交叉核对

由于 EXIF 日期可编辑，最强的验证是把它们与一个随意的造假者不太可能对齐的信号进行对比。

GPS 时间戳。 当定位服务开启时，相机还会写入一个 GPS 块，其中包含它自己的 UTC 日期和时间，取自卫星时间。把 GPS 日期与 DateTimeOriginal 对比。它们应该匹配（考虑时区偏移）。如果 EXIF 说的是一天，而嵌入的 GPS 时间说的是另一天，那么其中之一被改动过，而 GPS 时间是更难伪造的那个。

太阳位置和阴影。 阴影的长度和方向对一个给定地点编码了一天中的时间和季节。如果一张照片声称是冬日午后，却显示出与夏日正午一致的短而垂直的阴影，那么所声称的日期与场景不一致。这是一种合理性检查，而非精确的时钟，但它能抓住那些大错特错的日期。

序列中周围的照片。 相机和手机按顺序分配文件名和编号（IMG_0412、IMG_0413）。如果有问题的照片携带的日期打破了它周围帧的单调顺序，或者位于一个其邻居都与它相隔数月的文件夹中，那么这个日期值得质疑。

文件系统日期。 操作系统在文件上的创建和修改时间戳很弱（它们在复制和下载时会重置），但一个早于所声称的 DateTimeOriginal 的文件系统日期是一个值得再看一眼的矛盾。

为什么烧录进画面的时间戳更难伪造

EXIF 存在于文件头中，与像素分离，这正是它容易被重写的原因。在拍摄时烧录进像素的时间戳则是另一回事。要改变它，必须编辑图像本身：把旧数字涂掉，并渲染出与原件的字体、光照和压缩相匹配的新数字。那会留下 如何判断一张照片是否被编辑 中所述的那种痕迹，而在 照片取证工具 中用误差水平分析仔细查看，往往能揭示出那块补丁。

这就是为什么，对于日期日后可能受到质疑的照片，最经得起推敲的做法是在拍摄时把日期盖印到图像上。你可以在拍照的那一刻 给照片添加时间戳，让日期同时存在于像素和 EXIF 中。关于法院和理赔员如何看待这些，请参阅 带时间戳的照片是否能作为法律证据。

内容凭证

C2PA Content Credentials 在所有这些之上增加了一个密码学层。越来越多的相机，包括近期的 iPhone 机型，可以附加一份签名的拍摄凭证，记录图像是何时、用什么设备生成的。由于清单是签名的，改动记录的日期会破坏签名。把文件拖入 contentcredentials.org/verify，或阅读 如何检查内容凭证（C2PA），来查看凭证是否存在且完好无损。当它存在时，它是可获得的最强的日期证据。

诚实的局限

这里没有任何方法是万无一失的。EXIF 日期几秒钟就能编辑，所以一组看起来干净的时间戳只能证明没人费心去让它们相互矛盾，而不能证明日期是真的。如果定位关闭，GPS 时间可能缺失。内容凭证是选择性加入的，且在上传时被许多平台剥离，所以它们的缺失什么也证明不了。经过一个消息应用的重新导出，可能悄悄地把三个 EXIF 日期全部标准化，并抹除你正在寻找的那些不一致。可靠的做法是结合多个信号：读取三个时间戳、交叉核对 GPS 和照片序列、寻找编辑痕迹，并从源头索取原始文件及其内容凭证。把单一可疑信号视为调查的理由，而不是判决，而对于任何日期你日后可能需要证明的照片，请在拍摄时盖印日期，让证据从一开始就被固化进去。