目前行動裝置的種類及數量不斷增長,依功能可概分為複合式及簡單式二種,常見具有複合功能式行動裝置,如整合行動通訊及照相等功能的行動電話(Mobile)及個人數位助理(PDA)等等,或提供照相及攝影的數位相機裝置等簡單功能之行動裝置,這些裝置每年均以驚人的數量不斷增加,根據統計資料顯示,全球1/3人口將在2011年擁有具備照相功能的手機或PDA行動裝置,這些行動裝置可能記錄著與犯罪案情有關之數位相片JPEG影像檔及3GP/MP4視訊檔影片資料,當這些數位相片及視訊影片因案扣押而成為重要數位物證時,如何在第一時間快速判定所鑑定之JPEG影像檔及3GP/MP4視訊檔有無經過任何影像處理軟體處理?或數位相片影像及視訊影片內容是否已遭到特定工具軟體或反鑑識工具軟體修改?實為數位影像及視訊內容鑑識作業的一大挑戰。 由行動裝置拍攝之數位相片JEPG影像檔,幾乎都會內嵌Exif元資料,而此元資料可以藉由特定之編修軟體進行內容之竄改與變造,因而導致在鑑定此數位相片影像內容時,會產生嚴重誤差,亦會使數位相片之數位證據的效力降低;另外一個與行動裝置影像鑑識有關的實務議題,就是能否將存在於行動裝置內嵌或外部記憶體中可能與案情有關之殘存JPEG影像資料加以復原及修復為可檢視狀態,以提供數位鑑識人員判別該影像是否為案關資料;目前由行動裝置所拍攝的檔案格式為MP4或3GP的視訊影片可經由3GP/MP4視訊編輯或視訊轉檔軟體來直接進行增、刪、連結及格式轉換等後製處理,這些經過加工處理之3GP/MP4檔案,數位鑑識人員能否在鑑定作業開始之初,即可快速鑑別此類影片是否為原件?亦或影片內容係使用特定之3GP/MP4視訊編輯或視訊轉檔軟體所處理之後製加工影片,而非犯罪嫌疑人或被告所宣稱之行動裝置機型所拍攝之原件?實為多媒體檔案鑑識實務議題上之一大挑戰;在訊檔案之鑑定案件需求方面,實務上通常會提出復原及修復此類行動裝置內嵌或外部記憶卡中已刪除之3GP/MP4視訊影片檔案資料,因此如何將復原之已毀損3GP/MP4視訊檔及殘存零碎之片段視訊影像資料加以萃取及修復為可以免費的播放程式軟體加以撥放,亦為多媒體視訊檔案鑑識實務議題之另一挑戰,本篇論文旨在探討並設計簡易行動裝置JPEG影像及3GP/MP4視訊內容偽變偵測暨修復數位鑑識工具,並提出如何在鑑識實務作業中針對數位相片影像之Exif元資料及MP4及3GP視訊影片檔案中所內嵌特定之atoms元資料欄位內容來進行判讀,以鑑定數位相片影像及視訊影片是否為經竄改及編修,並嘗試個可用於偽變造之Exif編輯或清除軟體及用於偽變造視訊影片內容之3GP/MP4視訊編輯軟體的特徵項目或工具痕,並嘗試歸納可列為反電腦鑑識(Anti-Computer Forensics)工具之軟體;本論文亦探討有關行動裝置之內嵌或外部記憶媒體中所殘存之JPEG影像資料如何修復,並針對已毀損或零碎3GP/MP4視訊影片資料,已萃取關鍵視訊解碼參數資訊技術,並搭配MP4BOX簡易公用程式來完成3GP/MP4視訊檔修復作業。 由實驗結果得知,本論文用於實驗的某些Exif元資料編輯或清除軟體或3GP/MP4視訊影片編輯及轉換軟體可識別出不同之特徵或工具痕,可滿足數位鑑識人員快速判讀所鑑定之手持式裝置JPEG影像及3GP/MP4視訊影片內容偽變偵測之鑑識需求;另透過分析行動裝置之不同機型所拍攝之JPEG影像檔解碼資訊內容,整理並個化出之個機型之JPEG標準修復樣本檔,與欲修復之殘存影像資料合併,可快速有效的達到JPEG檔案修復與可檢視之鑑識需求;而藉由特定之3GP/MP4視訊影片atom元資料分析及視訊解碼參數萃取,並搭配簡易的MP4轉檔公用程式,可有效的修復已毀損或刪除之零碎空間視訊影片殘存資料。In this thesis,we present two mobile device images and videos content forensics method. In the first method, Exif editor is used to edit or strip the content of jpeg image files, After that, compare the difference of Quantization table (DQT), Huffman table(DHT),Exif Tag ID, and Marker ID of the jpeg primary image and thumbnail image to detect the existence of tampering. Experimental results indicate that the proposed method can successfully decide whether jpeg image files were tampered or not. In the meantime, the method can also recognize the Exif editor, stripper tool mark or software signature. The second method use 3GP/MP4 video editor or converter to edit or convert 3GP/MP4 video files, After that, find the change embedded atom value of 3GP/MP4 video files to detect the existence of tampering. Experimental results also indicate that the proposed method can quickly identify whether the 3GP/MP4 video file were tampered or not.In this thesis, we also present two mobile device images and videos content recovery methods. In the first method, we try to recover deleted and damaged jpeg files in the external storage media. As to the second method, we try to recover deleted and damaged 3GP/MP4 video clips in the external memory cards. Experimental results indicate that some of Exif editing tools and video editing and convert tools can be recognized with specific tool mark. The accuracy rate is very high and while the false-positive is very low. Experimental results also indicate that using specific marker parameters of jpeg image file can quickly and effectively recover the deleted and damaged JPEG files. As to the experimental results of 3GP/MP4 video file content that tampered by using 3GP/MP4 video editor or converter, it also indicates that high accuracy rate and low false-positive rate can be accomplished simultaneously.