郭麗莉，康艷榮，龍 源，周冬林

（公安部物證鑒定中心，北京 100038）

一類視頻監(jiān)控錄像數(shù)據(jù)恢復的新方法

郭麗莉，康艷榮，龍 源，周冬林

（公安部物證鑒定中心，北京 100038）

本文就一款“九安”品牌硬盤錄像機的數(shù)據(jù)恢復案例，詳細介紹了檢材特點、檢驗思路和檢驗過程。使用常規(guī)檢驗方法對檢材進行檢驗，需要花費大量的人力和時間，且效果不佳。通過分析視頻監(jiān)控錄像的二進制數(shù)據(jù)，研究該品牌硬盤錄像機的技術(shù)資料，最后結(jié)合利用該產(chǎn)品的備份數(shù)據(jù)軟件，摸索出恢復“九安”品牌監(jiān)控錄像數(shù)據(jù)的新方法。通過與常規(guī)方法對比，結(jié)果證明新方法檢驗效率更高、檢出數(shù)據(jù)更精煉，從而為該類檢材建立了一種新的檢驗方法。

視頻監(jiān)控錄像；數(shù)據(jù)恢復；格式轉(zhuǎn)換

DOΙ: 10.16467/j.1008-3650.2015.02.024

隨著視頻監(jiān)控技術(shù)和信息存儲技術(shù)的不斷發(fā)展，視頻監(jiān)控錄像作為最直觀的案情線索和犯罪證據(jù)，其數(shù)據(jù)恢復成為了電子物證專業(yè)的主要檢驗內(nèi)容之一。目前，針對一些常見品牌、格式的視頻監(jiān)控錄像，已經(jīng)形成了一些有效的檢驗方法。但由于視頻監(jiān)控設備出自不同的廠家，型號各異，其存儲格式和設計方式也各有不同，一種檢驗方法并不能應用于所有檢材。尤其近年來存儲技術(shù)發(fā)展迅速，視頻監(jiān)控錄像往往存儲著海量的視頻數(shù)據(jù)，再加上檢材提取不規(guī)范等諸多原因，檢驗工作猶如大海撈針。本文研究了一種視頻監(jiān)控錄像設備視頻數(shù)據(jù)的存儲結(jié)構(gòu)，提出新的數(shù)據(jù)恢復的方法，并應用于硬盤錄像機的數(shù)據(jù)恢復案例中。

1 案件簡介

某年6月，在某地飯店用餐的兩桌顧客因瑣事引發(fā)爭吵，繼而發(fā)生打架斗毆，致使一名外籍男士和一名外籍女士頭部受重傷。提取飯店視頻監(jiān)控錄像機，發(fā)現(xiàn)案發(fā)時段的視頻監(jiān)控錄像數(shù)據(jù)丟失，懷疑被人為刪除?，F(xiàn)試圖恢復這部分數(shù)據(jù)。

2 檢驗過程

2.1 常規(guī)檢驗

檢材為一臺“九安”品牌硬盤監(jiān)控錄像機，內(nèi)置容量為500GB的硬盤存儲視頻監(jiān)控錄像數(shù)據(jù)。以只讀方式將硬盤接入檢驗工作站，使用X-ways Forensic v17.3檢驗軟件加載硬盤查看，硬盤包含大小分別為5GB（分區(qū)1）和461GB（分區(qū)2）的兩個分區(qū)，其中分區(qū)1內(nèi)數(shù)據(jù)為“0”；分區(qū)2包含460個大小皆為1GB的文件夾，每個文件夾內(nèi)包含128個大小為8MB、后綴名為dat的數(shù)據(jù)文件，分區(qū)2空余空間為628MB，且空余空間的數(shù)據(jù)非“0”，由此可判斷出視頻監(jiān)控錄像數(shù)據(jù)存放在硬盤的分區(qū)2中。

使用X-ways Forensic v17.3檢驗軟件提取分區(qū)2空余空間的數(shù)據(jù)，并使用暴風影音軟件打開提取的數(shù)據(jù)文件，可直接播放視頻圖像，經(jīng)查看后確定空余空間中未包含案發(fā)時段的視頻監(jiān)控錄像數(shù)據(jù)。使用檢驗軟件X-ways Forensic v17.3、FinalData v2.0和EasyRecovery v5.3分別對硬盤進行數(shù)據(jù)恢復，通過查看恢復出的視頻錄像監(jiān)控數(shù)據(jù)文件，確定無案發(fā)時段的視頻監(jiān)控錄像文件。

2.2 視頻監(jiān)控錄像數(shù)據(jù)丟失原因分析

在系統(tǒng)資源管理器中仔細查看硬盤中的文件，發(fā)現(xiàn)文件夾1、2中的全部文件及文件夾3中部分文件的創(chuàng)建時間為案發(fā)后的時間，且創(chuàng)建時間按時序連續(xù)，而其它文件都無創(chuàng)建時間。使用多款視頻播放軟件嘗試打開硬盤中的dat文件，無法播放視頻；使用暴風影音軟件打開dat文件，可播放視頻圖像，但各通道視頻圖像快速跳躍切換，不能正常連續(xù)播放，而且各通道圖像時間也不連續(xù)。鑒于此種情況，雖然通過暴風影音軟件依次播放全部dat文件，采用人工篩選過濾的方法，可以大致過濾出案發(fā)時間段的視頻監(jiān)控錄像數(shù)據(jù)文件，但耗時長，且播放效果極差，無法辨清嫌疑人，因此不能作為最佳的檢驗結(jié)果，還需要做進一步研究。

分析部分dat文件后找出規(guī)律：有創(chuàng)建時間屬性的文件，視頻圖像的顯示時間與創(chuàng)建時間一致；而無創(chuàng)建時間的文件，視頻圖像的顯示時間則為案發(fā)之前的時間，因此推斷在案發(fā)后監(jiān)控錄像機可能被做過數(shù)據(jù)刪除或硬盤初始化操作。由于檢材在案發(fā)后及時被送檢單位提取，因而推斷案發(fā)時間段的視頻監(jiān)控錄像數(shù)據(jù)不存在被覆蓋的情況，可能仍保留在硬盤的460個文件夾中。

2.3 視頻監(jiān)控錄像數(shù)據(jù)分析提取

2.3.1 查找合適的播放器播放視頻圖像 根據(jù)監(jiān)控錄像機品牌“九安”搜索原廠提供的播放器，只能播放mp4文件，無法播放硬盤中的dat文件，因此推斷硬盤中的文件為特殊的dat視頻格式，需要對視頻數(shù)據(jù)進行技術(shù)處理。

2.3.2 分析視頻監(jiān)控錄像數(shù)據(jù)格式 使用X-ways Forensic檢驗軟件查看、對比硬盤中的dat文件，經(jīng)過分析在二進制數(shù)據(jù)中發(fā)現(xiàn)有視頻圖像顯示時間對應的二進制編碼（如圖1），因此可以從時間數(shù)據(jù)的角度進行技術(shù)分析。

圖1 視頻時間的二進制編碼Fig.1 Binary encoding of video time

2.3.3 鎖定案發(fā)時段視頻監(jiān)控錄像數(shù)據(jù) 查閱“九安”監(jiān)控錄像機資料，官網(wǎng)提供的備份數(shù)據(jù)軟件具有按照通道選擇、時段條件選定視頻數(shù)據(jù)的功能，同時還具有轉(zhuǎn)換視頻監(jiān)控錄像數(shù)據(jù)文件格式的功能。按照案發(fā)時段設定時間條件，對硬盤中的文件進行全盤掃描，卻未能發(fā)現(xiàn)需要的視頻監(jiān)控錄像數(shù)據(jù)文件。

重新設定備份軟件的時間值，將時間條件改為案發(fā)后的時間段，可搜索并轉(zhuǎn)換出各通道avi格式的視頻監(jiān)控錄像數(shù)據(jù)文件，播放后都為案發(fā)后的視頻監(jiān)控錄像數(shù)據(jù)文件。分析該軟件的功能，并進行多次實驗后，推斷硬盤可能被做過初始化操作，受其影響，備份數(shù)據(jù)軟件的搜索范圍從硬盤分區(qū)2的首文件夾開始，只識別初始化后的視頻監(jiān)控錄像數(shù)據(jù)文件。重新限定搜索文件夾的范圍，忽略有創(chuàng)建時間的文件夾，最終篩選出案發(fā)時段的視頻監(jiān)控錄像數(shù)據(jù)（如圖2）。

圖2 備份數(shù)據(jù)軟件Fig.2 Diskbackup software

2.3.4 轉(zhuǎn)換導出案發(fā)時段視頻監(jiān)控錄像數(shù)據(jù)文件對篩選出的案發(fā)時間范圍內(nèi)的視頻監(jiān)控錄像數(shù)據(jù)，使用備份數(shù)據(jù)軟件按照通道號轉(zhuǎn)換導出視頻監(jiān)控錄像原數(shù)據(jù)對應的avi格式文件，并且文件數(shù)據(jù)不經(jīng)壓縮，圖像質(zhì)量高，畫面清晰（如圖3）。通過查看文件，發(fā)現(xiàn)案發(fā)時段打斗現(xiàn)場的視頻圖像（圖像顯示時間比辦案單位提出的鑒定要求時間推遲2h左右），從而為案件的偵查提供了重要的線索和證據(jù)。

圖3 視頻截圖Fig.3 Data of the video screenshot recovered with Diskbackup

2.4 方法對比

根據(jù)檢材的數(shù)據(jù)存儲特點，采用提取法，直接使用X-ways Forensic檢驗軟件提取硬盤分區(qū)2中的視頻監(jiān)控錄像數(shù)據(jù)，采用人工篩查、過濾的方式，也可以檢出案發(fā)時間段的視頻。實驗操作后與前一種檢驗方法對比，直接提取出的視頻監(jiān)控錄像數(shù)據(jù)文件包括各通道交錯存儲的數(shù)據(jù)，尤其在本案例中視頻圖像的顯示時間晚于實際案發(fā)時間2h，確定打斗現(xiàn)場的視頻監(jiān)控錄像數(shù)據(jù)需要人工逐個文件地查看、篩選視頻圖像，需要花費大量的檢驗時間和人力資源。同時由于直接提取的視頻監(jiān)控錄像數(shù)據(jù)文件不能按照通道號整合，檢出的視頻監(jiān)控錄像數(shù)據(jù)文件中會包括非案發(fā)現(xiàn)場的其他通道的視頻數(shù)據(jù)，檢出結(jié)果的數(shù)據(jù)量比較大。因此經(jīng)過對比，第一種檢驗方法得出的數(shù)據(jù)結(jié)果精煉、準確，且可視性更好。

3 討 論

對于視頻監(jiān)控錄像而言，數(shù)據(jù)恢復的效果主要取決于數(shù)據(jù)覆蓋程度和視頻解碼兩方面因素。如果有正確的視頻解碼器，而沒有殘余的、未被覆蓋的視頻數(shù)據(jù)，那么數(shù)據(jù)恢復工作就沒有意義；但如果需要的視頻數(shù)據(jù)未被覆蓋，卻沒有合適的解碼器，依然無法檢出有價值的視頻圖像。因此視頻監(jiān)控錄像數(shù)據(jù)恢復不僅依靠檢驗技術(shù)方法，還需要大量的經(jīng)驗積累和資料收集。在本案例中，通過查閱檢材官網(wǎng)的產(chǎn)品信息和技術(shù)文檔，不僅收集了專用播放器，而且還發(fā)現(xiàn)了專用的備份數(shù)據(jù)軟件，為此類格式的檢材建立了一種新的檢驗方法。

［1］ 徐煉，張國臣.非通用存儲格式數(shù)字監(jiān)控錄像的鑒定技巧［J］.刑事技術(shù)，2010（2）: 52-53.

［2］ X-Ways Forensics ［EB/OL］.［2014］.http://www.x-ways.net/winhex/manual.pdf.

［3］ Juanvison ［EB/OL］.［2014］.http://www.juanvision.com/ DownLoad.asp？aid=1.

引用本文格式：郭麗莉，康艷榮，龍源，等.一類視頻監(jiān)控錄像數(shù)據(jù)恢復的新方法［J］.刑事技術(shù)，2015，40（2）：170-172.

A New Data-recovering Method for Video Surveillance Device

GUO Li-li， KANG Yan-rong， LONG Yuan， ZHOU Dong-lin
（Ιnstitute of Forensic Science， Ministry of Public Security， Beijing 100038， China）

An electronic forensic case， in which video data was deleted from its video surveillance device named “Juanvision”， was presented for us to recover the video data.Some traditional methods were tried but did no t work.Through searching and analyzing the documents developed by the manufacturer of that video surveillance， we found the software named Diskbackup.The data-recovery method was established by analyzing the binary encoding of the video time and utilizing Diskbackup.The deleted data was successfully recovered， and the method established was proven to be more effi cient， accurate.

video surveillance； data recovery； format conversion

DF793.2

B

1008-3650（2015）02-0170-03

郭麗莉（1979—），女，副研究員，碩士，研究方向為電子物證。 E-mail：364367336@qq.com

2014-07-31