Дисклеймер: Все материалы, приведенные в данной статье, взяты из открытых источников, носят исключительно учебный и ознакомительный характер с целью продемонстрировать принципы исследования файлов. Все, что вы себе надумаете плохого - исключительно на вашей совести и плод вашего воображения. Живите с этим сами.

О метаданных файлов изображений мы уже говорили и не секрет, что их тоже можно редактировать, в том же Exif-pilot, например. Как распознать фейк, если метаданные на изображении корректные? Кэп очевидность утверждает, что только анализом контента. Логично.

— Возьмем какой-нибудь файл с зачищенными метаданными и проанализируем его на предмет манипуляций в Фотошопе или еще каком-нибудь редакторе. В том же Пейнте :)))

Закинем его на уже упоминавшийся https://29a.ch/photo-forensics и посмотрим, что он нам расскажет. Самый верхний пункт меню — Magnifier/ Увеличилка, чтобы можно было глазками прошерстить картиночку и пальчиком везде потыкать: вдруг кто-то неаккуратненько подработал. Но такое можно не только тут.
Нас интересует другая опция в меню: Clone Detection — детектор клонов показывает применение инструмента типа "штамп" при обработке, он выделяет клонированные участки розовым светом. Как видно, тут этого добра преизрядно.

Clone Detection
Clone Detection

Следующий пункт: Error Level Analysis (ELA) — он сравнивает исходное изображение с его пересжатой версией, это позволяет выделять измененные регионы различными способами. Например, они могут быть темнее или светлее, чем аналогичные регионы, которые не подвергались манипуляциям. Он хорош в качестве дополнительного инструмента. Он позволяет выявлять области изображения, имеющие разный уровень сжатия. В случае изображений JPEG весь снимок должен иметь примерно одинаковый уровень сжатия. Если же какой-либо участок изображения имеет значительно отличающийся уровень ошибки, это указывает на цифровую модификацию.

На что обратить внимание: функция ELA выделяет различия в степени сжатия JPEG, области с однородной цветовой гаммой, такие как сплошное голубое небо или белая стена, скорее всего, будут иметь более низкий результат ELA (более темный цвет), чем высококонтрастные края.

Error level Analisis
Error level Analisis

Разберем поэлементно:
— Края: В результате ELA похожие края должны иметь схожую яркость. Все высококонтрастные края должны выглядеть похожими друг на друга, и все низкоконтрастные края также должны выглядеть похожими. На исходной фотографии низкоконтрастные края должны быть почти такими же яркими, как и высококонтрастные.
— Текстуры: При использовании ELA схожие текстуры должны иметь схожую окраску. Участки с большей детализацией поверхности, например, крупный план баскетбольного мяча, скорее всего, будут иметь более высокий результат ELA, чем гладкая поверхность.
— Поверхности: Независимо от фактического цвета поверхности, все плоские поверхности должны иметь примерно одинаковую окраску под линейным красителем.
Повторное сохранение изображения в формате JPEG удаляет высокочастотные составляющие и уменьшает различия между высококонтрастными краями, текстурами и поверхностями. Изображение JPEG очень низкого качества будет выглядеть очень темным. Уменьшение же масштаба изображения может усилить контрастность краев, делая их ярче при использовании ELA. Аналогично, сохранение JPEG-файла с помощью продукта Adobe автоматически повышает резкость контрастных краев и текстур, делая их значительно ярче, чем поверхности с низкой текстурой.
— Анализ шума (Noise Analysis):
Этот инструмент, по сути, представляет собой алгоритм обратного шумоподавления. Для выделения шума используется очень простой разделяемый медианный фильтр. Это может быть полезно для выявления манипуляций с изображением, например: Аэрография, деформации, искажения и клонирование с коррекцией перспективы. Наилучшие результаты достигаются на изображениях высокого качества.
— Равномерная очистка (Level Sweep):
Позволяет быстро просматривать гистограмму изображения. Это увеличивает контрастность при определенных уровнях яркости. Цель использования этого инструмента — сделать более заметными края, появившиеся при копировании и вставке контента.
Для использования этого инструмента просто наведите курсор мыши на изображение и прокрутите колесико мыши. Обратите внимание на интересные разрывы на изображении. 
— Градиент яркости: 
Инструмент «Градиент яркости» анализирует изменения яркости вдоль осей x и y изображения. Очевидное применение этого метода заключается в изучении освещения различных частей изображения с целью выявления аномалий. Части изображения, расположенные под схожим углом (к источнику света) и при схожем освещении, должны иметь схожий цвет; Ещё один способ применения — проверка рёбер. Похожие рёбра должны иметь похожие градиенты. Если градиенты на одном краю значительно резче, чем на остальных, это признак того, что изображение могло быть скопировано и вставлено. Он также довольно хорошо выявляет шумы и артефакты сжатия.

Градиент яркости
Градиент яркости

Следующий пункт: Error Level Analysis (ELA)Он сравнивает исходное изображение с его пересжатой версией — это позволяет выделять измененные регионы различными способами.

Например, они могут быть темнее или светлее, чем аналогичные регионы, которые не подвергались манипуляциям. Он хорош в качестве дополнительного инструмента. Он позволяет выявлять области изображения, имеющие разный уровень сжатия. В случае изображений JPEG весь снимок должен иметь примерно одинаковый уровень сжатия. Если же какой-либо участок изображения имеет значительно отличающийся уровень ошибки, это указывает на цифровую модификацию.

На что обратить внимание: Функция ELA выделяет различия в степени сжатия JPEG. Области с однородной цветовой гаммой, такие как сплошное голубое небо или белая стена, скорее всего, будут иметь более низкий результат ELA (более темный цвет), чем высококонтрастные края.

Error level Analisis
Error level Analisis

Разберем поэлементно:
Края: В результате ELA похожие края должны иметь схожую яркость. Все высококонтрастные края должны выглядеть похожими друг на друга, и все низкоконтрастные края также должны выглядеть похожими. На исходной фотографии низкоконтрастные края должны быть почти такими же яркими, как и высококонтрастные.
Текстуры: При использовании ELA схожие текстуры должны иметь схожую окраску. Участки с большей детализацией поверхности, например, крупный план баскетбольного мяча, скорее всего, будут иметь более высокий результат ELA, чем гладкая поверхность.
Поверхности: Независимо от фактического цвета поверхности, все плоские поверхности должны иметь примерно одинаковую окраску под линейным красителем. Повторное сохранение изображения в формате JPEG удаляет высокочастотные составляющие и уменьшает различия между высококонтрастными краями, текстурами и поверхностями. Изображение JPEG очень низкого качества будет выглядеть очень темным. Уменьшение же масштаба изображения может усилить контрастность краев, делая их ярче при использовании ELA. Аналогично, сохранение JPEG-файла с помощью продукта Adobe автоматически повышает резкость контрастных краев и текстур, делая их значительно ярче, чем поверхности с низкой текстурой.
Анализ шума (Noise Analysis): Этот инструмент, по сути, представляет собой алгоритм обратного шумоподавления. Для выделения шума используется очень простой разделяемый медианный фильтр. Это может быть полезно для выявления манипуляций с изображением, например: Аэрография, деформации, искажения и клонирование с коррекцией перспективы. Наилучшие результаты достигаются на изображениях высокого качества.
Равномерная очистка (Level Sweep): Позволяет быстро просматривать гистограмму изображения. Это увеличивает контрастность при определенных уровнях яркости. Цель использования этого инструмента — сделать более заметными края, появившиеся при копировании и вставке контента. Для использования этого инструмента просто наведите курсор мыши на изображение и прокрутите колесико мыши. Обратите внимание на интересные разрывы на изображении. 
Градиент яркости: Инструмент «Градиент яркости» анализирует изменения яркости вдоль осей x и y изображения. Очевидное применение этого метода заключается в изучении освещения различных частей изображения с целью выявления аномалий. Части изображения, расположенные под схожим углом (к источнику света) и при схожем освещении, должны иметь схожий цвет; Ещё один способ применения — проверка рёбер. Похожие рёбра должны иметь похожие градиенты. Если градиенты на одном краю значительно резче, чем на остальных, это признак того, что изображение могло быть скопировано и вставлено. Он также довольно хорошо выявляет шумы и артефакты сжатия.

Градиент яркости
Градиент яркости

Анализ главных компонент:
По сути, метод главных компонент (PCA) предлагает иной взгляд на данные, позволяющий выявлять выбросы легче. Например, цвета, которые не совсем соответствуют изображению, часто будут более заметны. при рассмотрении основных компонентов изображения. Артефакты сжатия также, как правило, гораздо более заметны, особенно в вторая и третья главные компоненты.

Нам, как ленивым осинтерам — подробности без надобности. Важно то, что все эти инструменты в комплексе позволяют выявить фейк и манипуляции в редакторах.
1. Метаданные — отображает скрытые метаданные EXIF ​​в изображении, если таковые имеются.
2. Геотег показывает местоположение по GPS, где был сделан снимок, если оно сохранено в изображении.
3. Анализ миниатюр — отображает скрытое изображение предварительного просмотра внутри исходного изображения, если таковое имеется. Очень удобно выявлять фейк, если одно изображение было вставлено поверх другого.
4. Анализ JPEG — дает нам таблицу структурных значений и матрицы квантования. Для того, чтобы не сильно не заморачиваться, достаточно посмотреть таблицу структурных значений. Эта таблица показывает нам, что:
✔ Это прогрессивный JPEG
✔ Есть IPTC-метаданные, то есть файл редактировался в стороннем редакторе
✔ Файл пересохранялся редактором
✔ Много SOS/DHT → сохранен с оптимизацией

Jpeg Analysis
Jpeg Analysis

5. Извлечение строк — сканирует изображение на наличие двоичного содержимого, ища последовательности символов ASCII. Это отличный запасной вариант для просмотра метаданных изображения в формате, который Forensically пока не понимает. Программа будет выводить последовательности буквенно-цифровых символов длиннее 4, или последовательности из 8 и более символов ASCII, не являющихся управляющими символами. Это позволяет обнаруживать метаданные, скрытые или не распознаваемые средствами криминалистической экспертизы. Соответствующие данные обычно хранятся в начале или в конце файла.Интересная строка, на которую стоит обратить внимание, — это bFBMD, за которой следует последовательность цифр и букв af (шестнадцатеричное кодирование). Эта строка добавляется к (некоторым) изображениям Facebook.Он создан по образцу классической команды строк Unix. В первых же строках видим Photoshop 3.0 Это тип заголовка, который указывает, что этот jpeg файл обрабатывался в Фотошопе.

Извлечение строк
Извлечение строк

Таким образом, мы можем однозначно сказать, что данная картинка — фейк. Пусть вас не пугает много букв и много картинок. На практике вся эта проверка займет не более 1,5...2 минуты.

Конечно, если зарыться в подробности и начать глубоко ковырять пальцем каждый пиксель, то и недели не хватит. Но зачем оно тебе?

Попробуй поработать со своими вариантами. Это даст опыт и понимание как работает этот ресурс. По большому счету, алгоритмы, которые он использует не дадут шансов спрятать фейк. Каждый пиксель несет в себе информацию.
Но это уже для гиков, а не для ленивых осинтеров.