尽管各种品牌的硬盘录像机的文件系统都不同, 且其存储机制都不公开, 但都有一定的共性, 从硬盘数据的分布上看, 基本上都包括文件系统标志字节、目录区(或者索引区)、数据区, 并且真正的录像数据都存储于数据区内, 最重要的是, 多数录像机的录像数据具有一定的文件特征, 即有标志性的文件头和文件尾。只要确定了文件头和文件尾标志, 将其作为关键字, 在数据区内搜索, 将命中数据导出为文件, 即可用专用视频播放器去播放查看了。

本方法首先要做的也是最关键的是确定录像数据的文件头和文件尾标志, 即要搜索的关键字。确定关键字主要有两个方法:直接法和间接法。

1.2.1 直接法 即通过直接查看数据区底层数据的方法, 找出规律性出现的数值(通常是几个数值)。这种方法, 可能需要查看大量数据, 效率不一定高。不过, 通常在数据区的起始部分, 关键数值的出现几率较高。下面以大华嵌入式硬盘录像机为例说明。

查看硬盘底层数据有很多工具, 这里用数据恢复领域常用的WinHex软件^[2]。查看大华嵌入式硬盘录像机硬盘分区的起始段数据, 前面7个数值为44 48 46 53 34 2E 31, 这是大华录像机的文件系统标志, 即DHFS4.1(见图1)。

图1

	Figure Option ViewDownloadNew Window
	图1 大华硬盘录像机文件系统标志

根据经验, 多数硬盘录像数据的文件头、尾标志通常为非“ 00“ 的4至6个数值, 而且文件头、尾标志会贯穿于整个硬盘数据区而重复出现。

在数据区起始段(硬盘偏移地址09EA0000开始)的数据中, 可以看到一些数值(见图2, 带下划线的数据)重复出现。

第一个重复出现的非“ 00“ 数值是44 48 41 56 FC, 这5个数值第二次出现则是在偏移地址09EA0039处, 试着将09EA0001至09EA0035之间的数据导出, 生成一个文件, 用大华录像机专用播放器播放, 回放不了, 说明44 48 41 56 FC可能不是要找的文件头。

通常视频文件占用的空间都比较大, 在视频文件头、文件尾之间会存有大量杂乱无章的数值。而这段数据占用空间不到一个扇区, 重复出现的数值却有五、六种, 所以, 这段数据可能不具有代表性, 可先不去深究。

图2

	Figure Option ViewDownloadNew Window
	图2 硬盘数据区起始段数据

继续看下面的数据, 在偏移地址009EA01F9(见图3)处偶然发现了44 48 41 56 FD 5个数值, 这与之前看到的44 48 41 56 FC仅差一个数值, 必然存在某种联系。而且在这5个数值之后有大量显示为乱码的数据, 这比较符合视频文件的特征, 推测这部分可能包含与视频图像相关的信息。

图3

	Figure Option ViewDownloadNew Window
	图3 硬盘数据区起始段部分数据

接下来使用WinHex软件的搜索功能, 将44 48 41 56 FD 5个数值作为关键字, 命中结果设为1, 向下搜索(见图4), 结果在偏移地址009EA4180处又出现了44 48 41 56 FD这5个数值(见图5)。

图4

	Figure Option ViewDownloadNew Window
	图4 搜索设置对话框

图5

	Figure Option ViewDownloadNew Window
	图5 搜索结果

将偏移地址009EA01F9至009EA418A之间的数据导出, 生成一个文件, 用大华录像机专用播放器播放, 回放出了视频。至此, 初步确定44 48 41 56 FD是文件头标志, 还需要进行两次验证。

验证的方法是分别在硬盘数据区的中部、尾部任意选定一段数据, 数据长度可自由选择(数千个扇区即可), 再利用WinHex软件的搜索功能在这段数据中搜44 48 41 56 FD数值, 搜索完毕, 将2个命中之间的数据导出, 生成一个文件, 用大华录像机专用播放器播放, 两次回放都正常, 验证成功, 说明文件头标志就是44 48 41 56 FD。

文件头标志确定后, 就要查找文件尾标志, 其实, 找到了文件头, 文件尾标志也就很容易找到, 因为硬盘录像机中的视频文件基本上是按照时间的先后顺序存储的, 而且相邻的两个视频文件之间通常用若干个“ 00” 间隔, “ 00” 之前是上一个视频文件的文件尾标志, “ 00” 之后是下一个视频文件的文件头标志。

按照这个规律, 初步确定25 64 68 61 76 38为文件尾标志。同样, 也需要进行验证, 验证方法比较简单, 只要分别在硬盘中部、尾部任意位置搜出一个文件头标志, 向前查看非“ 00” 字节即可。

经过验证, 在硬盘中部、尾部的数据呈现出不同规律(见图6、图7), 只有64、68、61、76四个数值是相同的, 分析认为, 这4个数值应是文件尾标志, 而后面的一个数值的含义不能确定。

图6

	Figure Option ViewDownloadNew Window
	图6 硬盘中部部分数据

图7

	Figure Option ViewDownloadNew Window
	图7 硬盘尾部部分数据

事实上, 确定了文件头标志, 就可以进行视频恢复了, 经试验, 即使将“ 00” 间隔设为文件尾, 也可以回放出视频。

1.2.2 间接法 利用硬盘录像机的备份功能生成备份文件, 通过备份文件的底层数据与录像机数据区的数据比较分析, 进而确定文件头和文件尾标志。目前的硬盘录像机都有备份的功能, 通过录像机的USB或网络端口可以将机内的录像备份出来, 以文件形式存储。

备份文件与录像原数据的文件头、尾标志可能相同, 也可能不同, 但除了文件头、尾部分外, 绝大部分的数据应当是完全一样的。根据这个特征, 先备份出3个视频文件, 在备份文件的起始部分连续选择4至5个数值(注意不要选开头的几行数值)作为关键字, 在硬盘的数据区中搜索, 通过比较3个备份文件的搜索命中数据, 在命中结果的前面会找到文件头标志数值。再通过文件头标志找出文件尾标志。

图8所示是3个备份文件起始段的部分数据, 为便于比较, 均选择偏移地址00000050开始的4个数值作为关键字, 在硬盘的数据区中搜索。

图8

	Figure Option ViewDownloadNew Window
	图8 备份文件的部分数据

图9所示是硬盘数据区中的部分数据, 通过比较和分析, 确定44 48 41 56 FD 5个数值是文件头标志。

图9

	Figure Option ViewDownloadNew Window
	图9 备份录像在硬盘中的相应数据

同样方法, 可以确定文件尾标志。

需要说明的是, 应用间接法的前提条件是录像机中必须有录像, 如果录像全被删除或者硬盘被初始化了, 则无法使用录像机的备份功能。

文件头、尾标志数值都确定后, 将其作为关键字进行搜索, 再将命中结果导出为文件(通常选择1000个命中结果导出为一个文件), 就可以用专用播放器进行播放了。

应当注意的是, 视频数据文件的存储通常是以帧为单位的, 并且基本上是按照时间的先后顺序存储的。本案中, 一帧数据的开始标志是44 48 41 56 FD 5个数值, 结束标志是64、68、61、76四个数值, 一帧数据的长度是个不固定值, 它与图像内容有关; 一段连续视频就是由无数段帧数据组成, 如果将此段数据导出, 存为一个文件, 即可用专用的视频播放器播放。