一类视频监控录像数据恢复的新方法
[郭丽莉
, 康艳荣, 龙源, 周冬林]
, 康艳荣, 龙源, 周冬林]
引用本文
郭丽莉, 康艳荣, 龙源, 周冬林. 一类视频监控录像数据恢复的新方法[J]. 刑事技术,2015,40(2): 170-172
GUO Li-li, KANG Yan-rong, LONG Yuan, ZHOU Dong-lin. A New Data-recovering Method for Video Surveillance Device[J]. Forensic Science and Technology,2015,40(2): 170-172
Permissions
GUO Li-li, KANG Yan-rong, LONG Yuan, ZHOU Dong-lin. A New Data-recovering Method for Video Surveillance Device[J]. Forensic Science and Technology,2015,40(2): 170-172
Copyright©2015, 《刑事技术》编辑部
《刑事技术》编辑部
一类视频监控录像数据恢复的新方法
作者简介:郭丽莉(1979—),女,副研究员,硕士,研究方向为电子物证。 E-mail:364367336@qq.com
摘要
本文就一款“九安”品牌硬盘录像机的数据恢复案例,详细介绍了检材特点、检验思路和检验过程。使用常规检验方法对检材进行检验,需要花费大量的人力和时间,且效果不佳。通过分析视频监控录像的二进制数据,研究该品牌硬盘录像机的技术资料,最后结合利用该产品的备份数据软件,摸索出恢复“九安”品牌监控录像数据的新方法。通过与常规方法对比,结果证明新方法检验效率更高、检出数据更精炼,从而为该类检材建立了一种新的检验方法。
关键词:
视频监控录像; 数据恢复; 格式转换
中图分类号:DF793.2
文献标志码:B
文章编号:1008-3650(2015)02-0170-03
doi: 10.16467/j.1008-3650.2015.02.024
A New Data-recovering Method for Video Surveillance Device
Abstract
An electronic forensic case, in which video data was deleted from its video surveillance device named “Juanvision”, was presented for us to recover the video data. Some traditional methods were tried but did not work. Through searching and analyzing the documents developed by the manufacturer of that video surveillance, we found the software named Diskbackup. The data-recovery method was established by analyzing the binary encoding of the video time and utilizing Diskbackup. The deleted data was successfully recovered, and the method established was proven to be more efficient, accurate.
Keyword:
video surveillance; data recovery; format conversion
随着视频监控技术和信息存储技术的不断发展, 视频监控录像作为最直观的案情线索和犯罪证据, 其数据恢复成为了电子物证专业的主要检验内容之一。目前, 针对一些常见品牌、格式的视频监控录像, 已经形成了一些有效的检验方法。但由于视频监控设备出自不同的厂家, 型号各异, 其存储格式和设计方式也各有不同, 一种检验方法并不能应用于所有检材。尤其近年来存储技术发展迅速, 视频监控录像往往存储着海量的视频数据, 再加上检材提取不规范等诸多原因, 检验工作犹如大海捞针。本文研究了一种视频监控录像设备视频数据的存储结构, 提出新的数据恢复的方法, 并应用于硬盘录像机的数据恢复案例中。
1 案件简介
某年6月, 在某地饭店用餐的两桌顾客因琐事引发争吵, 继而发生打架斗殴, 致使一名外籍男士和一名外籍女士头部受重伤。提取饭店视频监控录像机, 发现案发时段的视频监控录像数据丢失, 怀疑被人为删除。现试图恢复这部分数据。
2 检验过程
2.1 常规检验
检材为一台“ 九安” 品牌硬盘监控录像机, 内置容量为500GB的硬盘存储视频监控录像数据。以只读方式将硬盘接入检验工作站, 使用X-ways Forensic v17.3检验软件加载硬盘查看, 硬盘包含大小分别为5GB(分区1)和461GB(分区2)的两个分区, 其中分区1内数据为“ 0” ; 分区2包含460个大小皆为1GB的文件夹, 每个文件夹内包含128个大小为8MB、后缀名为dat的数据文件, 分区2空余空间为628MB, 且空余空间的数据非“ 0” , 由此可判断出视频监控录像数据存放在硬盘的分区2中。
使用X-ways Forensic v17.3检验软件提取分区2空余空间的数据, 并使用暴风影音软件打开提取的数据文件, 可直接播放视频图像, 经查看后确定空余空间中未包含案发时段的视频监控录像数据。使用检验软件X-ways Forensic v17.3、FinalData v2.0和EasyRecovery v5.3分别对硬盘进行数据恢复, 通过查看恢复出的视频录像监控数据文件, 确定无案发时段的视频监控录像文件。
2.2 视频监控录像数据丢失原因分析
在系统资源管理器中仔细查看硬盘中的文件, 发现文件夹1、2中的全部文件及文件夹3中部分文件的创建时间为案发后的时间, 且创建时间按时序连续, 而其它文件都无创建时间。使用多款视频播放软件尝试打开硬盘中的dat文件, 无法播放视频; 使用暴风影音软件打开dat文件, 可播放视频图像, 但各通道视频图像快速跳跃切换, 不能正常连续播放, 而且各通道图像时间也不连续。鉴于此种情况, 虽然通过暴风影音软件依次播放全部dat文件, 采用人工筛选过滤的方法, 可以大致过滤出案发时间段的视频监控录像数据文件, 但耗时长, 且播放效果极差, 无法辨清嫌疑人, 因此不能作为最佳的检验结果, 还需要做进一步研究。
分析部分dat文件后找出规律:有创建时间属性的文件, 视频图像的显示时间与创建时间一致; 而无创建时间的文件, 视频图像的显示时间则为案发之前的时间, 因此推断在案发后监控录像机可能被做过数据删除或硬盘初始化操作。由于检材在案发后及时被送检单位提取, 因而推断案发时间段的视频监控录像数据不存在被覆盖的情况, 可能仍保留在硬盘的460个文件夹中。
2.3 视频监控录像数据分析提取
2.3.1 查找合适的播放器播放视频图像 根据监控录像机品牌“ 九安” 搜索原厂提供的播放器, 只能播放mp4文件, 无法播放硬盘中的dat文件, 因此推断硬盘中的文件为特殊的dat视频格式, 需要对视频数据进行技术处理。
2.3.2 分析视频监控录像数据格式 使用X-ways Forensic检验软件查看、对比硬盘中的dat文件, 经过分析在二进制数据中发现有视频图像显示时间对应的二进制编码(如图1), 因此可以从时间数据的角度进行技术分析。
 | 图1 视频时间的二进制编码Fig.1 Binary encoding of video time |
2.3.3 锁定案发时段视频监控录像数据 查阅“ 九安” 监控录像机资料, 官网提供的备份数据软件具有按照通道选择、时段条件选定视频数据的功能, 同时还具有转换视频监控录像数据文件格式的功能。按照案发时段设定时间条件, 对硬盘中的文件进行全盘扫描, 却未能发现需要的视频监控录像数据文件。
重新设定备份软件的时间值, 将时间条件改为案发后的时间段, 可搜索并转换出各通道avi格式的视频监控录像数据文件, 播放后都为案发后的视频监控录像数据文件。分析该软件的功能, 并进行多次实验后, 推断硬盘可能被做过初始化操作, 受其影响, 备份数据软件的搜索范围从硬盘分区2的首文件夹开始, 只识别初始化后的视频监控录像数据文件。重新限定搜索文件夹的范围, 忽略有创建时间的文件夹, 最终筛选出案发时段的视频监控录像数据(如图2)。
 | 图2 备份数据软件Fig.2 Diskbackup software |
2.3.4 转换导出案发时段视频监控录像数据文件
对筛选出的案发时间范围内的视频监控录像数据, 使用备份数据软件按照通道号转换导出视频监控录像原数据对应的avi格式文件, 并且文件数据不经压缩, 图像质量高, 画面清晰(如图3)。通过查看文件, 发现案发时段打斗现场的视频图像(图像显示时间比办案单位提出的鉴定要求时间推迟2h左右), 从而为案件的侦查提供了重要的线索和证据。
 | 图3 视频截图Fig.3 Data of the video screenshot recovered with Diskbackup |
2.4 方法对比
根据检材的数据存储特点, 采用提取法, 直接使用X-ways Forensic检验软件提取硬盘分区2中的视频监控录像数据, 采用人工筛查、过滤的方式, 也可以检出案发时间段的视频。实验操作后与前一种检验方法对比, 直接提取出的视频监控录像数据文件包括各通道交错存储的数据, 尤其在本案例中视频图像的显示时间晚于实际案发时间2h, 确定打斗现场的视频监控录像数据需要人工逐个文件地查看、筛选视频图像, 需要花费大量的检验时间和人力资源。同时由于直接提取的视频监控录像数据文件不能按照通道号整合, 检出的视频监控录像数据文件中会包括非案发现场的其他通道的视频数据, 检出结果的数据量比较大。因此经过对比, 第一种检验方法得出的数据结果精炼、准确, 且可视性更好。
3 讨 论
对于视频监控录像而言, 数据恢复的效果主要取决于数据覆盖程度和视频解码两方面因素。如果有正确的视频解码器, 而没有残余的、未被覆盖的视频数据, 那么数据恢复工作就没有意义; 但如果需要的视频数据未被覆盖, 却没有合适的解码器, 依然无法检出有价值的视频图像。因此视频监控录像数据恢复不仅依靠检验技术方法, 还需要大量的经验积累和资料收集。在本案例中, 通过查阅检材官网的产品信息和技术文档, 不仅收集了专用播放器, 而且还发现了专用的备份数据软件, 为此类格式的检材建立了一种新的检验方法。
The authors have declared that no competing interests exist.
参考文献
| [1] |
|
| [2] |
|
| [3] |
|