◆夏 榮 吳 彬 袁文勤

監(jiān)控視頻恢復(fù)技術(shù)研究

◆夏 榮 吳 彬 袁文勤

（上海市公安局 上海 200025）

在公安取證工作中，一項重要的工作就是在嫌疑電子存儲介質(zhì)中挖掘有價值的線索和證據(jù)數(shù)據(jù)，隨著監(jiān)控視頻錄像在案件偵破中的作用越來越大，視頻錄像的恢復(fù)提取一直是當前案件偵破中難點和瓶頸。視頻監(jiān)控被無意和惡意破壞和刪除的情況下，如何提高視頻恢復(fù)的成功率和恢復(fù)的速度是當前電子數(shù)據(jù)取證行業(yè)共同面臨的問題。本文就視頻恢復(fù)的方法和技巧、以及用Winhex的腳本編程工具進行高效視頻恢復(fù)取證的方法進行闡述。

計算機取證；視頻；數(shù)據(jù)恢復(fù)

0 前言

監(jiān)控視頻是案件偵破中的重要證據(jù)，視頻圖像偵查已經(jīng)成為公安機關(guān)辦案新方法和手段。監(jiān)控視頻作為《刑訴法》規(guī)定的八大證據(jù)之一，地位非常重要。目前在視頻監(jiān)控被無意、惡意破壞和刪除的情況下，如何提高視頻恢復(fù)的成功率和恢復(fù)的速度是當前電子數(shù)據(jù)取證工作面臨的問題，該技術(shù)的突破可以使案件的偵破率和偵破速度大大提高，有效地提高公安工作核心戰(zhàn)斗力。

1 監(jiān)控視頻研究的現(xiàn)狀

目前我國監(jiān)控視頻的狀態(tài):視頻監(jiān)控系統(tǒng)的沒有統(tǒng)一的標準，涉及的產(chǎn)品種類繁多，主要表現(xiàn)在以下幾方面:

（1）硬盤錄像機和視頻存儲服務(wù)器的品牌類型種類多。

（2）視頻格式類型種類多:硬盤錄像機的所有操作系統(tǒng)文件格式種類多，主要嵌入式和通用式。嵌入式用的主要是linux操作系統(tǒng)，通用式用的是普通windows操作系統(tǒng)。嵌入式硬盤錄像機用的是linux文件系統(tǒng)或自定義的視頻流格式，也有用標準的Fat32文件系統(tǒng)；通用式錄像機（卡）用的是FAT格式或NTFS格式。

這些種類繁多的硬盤錄像機類型和視頻格式造成視頻恢復(fù)程序通用性難度的加大，幾乎每種類型和視頻格式都需要單獨的程序來實現(xiàn)視頻恢復(fù)。但是大部分視頻格式都是標準H.264格式的變種，每個廠家或產(chǎn)品系列在H.264格式的基礎(chǔ)上加了一些特殊的格式或標志。這就為我們用一些如Winhex等軟件進行視頻恢復(fù)提供了可能性。

通過研究總結(jié)分析，我們把需要恢復(fù)的視頻種類歸類如下:

（1）現(xiàn)有視頻:就是現(xiàn)有的硬盤錄像機上能看到、但在離開錄像機環(huán)境后不能看到的視頻；

（2）刪除的視頻:就是通過硬盤錄像機本身自帶的工具刪除掉了某個時間段或某個通道的視頻；

（3）丟失的視頻:就是硬盤錄像機硬盤上的視頻索引被破壞，導致用硬盤錄像機本身的工具環(huán)境下也看不到的視頻；

（4）視頻的碎片:因硬盤的容量有限，一般硬盤錄像都有循環(huán)周期，硬盤容量越大循環(huán)周期越長，在循環(huán)周期之外的視頻一般都本循環(huán)周期內(nèi)的視頻覆蓋了。但是由于硬盤對數(shù)據(jù)和文件管理是用數(shù)據(jù)塊（扇區(qū)或簇），使得在循環(huán)周期之外的視頻可能還會殘留碎片在循環(huán)周期之內(nèi)的視頻存儲空間中，這為我們恢復(fù)覆蓋后的視頻提供了可能。

而導致視頻需要恢復(fù)的原因不外乎以下幾種:

（1）嵌入式錄像機的硬盤被自帶的環(huán)境工具格式化；

（2）硬盤錄像機的硬盤被windows等操作格式化；

（3）硬盤錄像機的視頻被自帶的環(huán)境工具刪除；

（4）需要恢復(fù)的視頻在循環(huán)周期之外；

（5）視頻從硬盤錄像機導出后保存在Windows等系統(tǒng)中后被刪除或系統(tǒng)硬盤被格式化。

按照上述歸類分析，此次案件中的視頻恢復(fù)屬于典型的丟失視頻的待恢復(fù)情況。錄像機硬盤被格式化一次后，又重新開始錄制了2個小時的錄像，里面的視頻索引和目錄就不但被刪除了，而且被新的視頻索引和目錄給覆蓋了。但是原來的視頻數(shù)據(jù)還在，只不過被覆蓋了2個小時新的視頻數(shù)據(jù)。我們可以利用這種視頻的特征來把需要的時間段和通道的視頻幀串起來，形成連續(xù)的完整的視頻文件。

（1）視頻恢復(fù)的幾個關(guān)鍵要素；

（2）視頻頭標志；

（3）幀頭標識；

（4）幀長度；

（5）幀類別（有些監(jiān)控錄像還能記錄聲音）；

（6）通道標志；

（7）幀時間。

2 監(jiān)控視頻恢復(fù)技術(shù)研究實例

某案件中獲取嵌入式錄像機，通過了解和分析得知該硬盤錄像機在2013-6-31日9點左右用錄像機自帶硬盤初始化功能對錄像機硬盤格式化過兩次，格式化后又開機錄制了一小時左右的視頻。案件需要恢復(fù)2013-6-13日15:30-20:30期間5小時的視頻。我們試圖通過對這個案例的研究來了解視頻恢復(fù)的方法和技巧。

我們采用普通常規(guī)的軟件硬件取證設(shè)備去試圖打開該硬盤，看不到任何的文件系統(tǒng)和分區(qū)，而且操作系統(tǒng)都會提示硬盤需要初始化，采用常規(guī)的數(shù)據(jù)恢復(fù)軟件掃描硬盤也找不到任何的文件系統(tǒng)和文件。

2.1 監(jiān)控視頻存儲格式

通過提取分析標準的可播放視頻片斷發(fā)現(xiàn)，該錄像機的視頻文件有如下圖所示的十六進制內(nèi)容。格式的特點，就是視頻文件以“DALI240.R”開頭標志，后面還有通道標志，如圖1所示。

圖1 視頻文件

其次分析視頻幀的內(nèi)容發(fā)現(xiàn)，視頻幀的格式如下圖:

圖2 視頻幀的格式

在視頻文件頭偏移0x100處有“55AAAA55”作為視頻幀的頭標識。

圖3 幀偏移

在幀開始偏移0xC位置的”05”代表該幀視頻是6通道。

圖4 該視頻幀的時間

在幀開始偏移0xD位置的”19 9D 10 27”代表該視頻幀的時間（十六進制表示的秒數(shù)），具體是2000年1月1日 00:00:00開始加上這個秒數(shù)后轉(zhuǎn)換的日期時間。

上圖中的“00 00 0E 70”是上一幀的長度，“00 00 01 40”是本幀的長度。

“05 00 03 00”中的”03”是位置是幀類型標志:

幀類型 標志內(nèi)容I幀 0x00 P幀 0x01 B幀 0x02音頻幀 0x03

2.2 監(jiān)控視頻恢復(fù)方法

通過本次研究，掌握了該嵌入式視頻監(jiān)控錄像機監(jiān)控視頻碎片的重組和通道分離技術(shù)。視頻恢復(fù)流程中的關(guān)鍵在于讀取視頻監(jiān)控錄像機硬盤鏡像文件時判斷當前數(shù)據(jù)是否是幀頭，掃描數(shù)據(jù)塊判定幀的完整性。在掃描得到數(shù)據(jù)塊后根據(jù)其幀存儲格式提取各通道的視頻分別按通道生成新的視頻文件。

概要流程圖如下:

圖5 概要流程

重組視頻幀的步驟為:

（1）掃描整個存儲空間，查找55AAAA55標志的數(shù)據(jù)特征，然后判斷后續(xù)第9字節(jié)的數(shù)字是否是需要恢復(fù)的通道，如果是則進一步解析幀頭信息；

（2）分析當前幀長度和上一幀幀長度；

（3）分析當前幀的時間；

（4）按幀時間順序重組幀。

該監(jiān)控視頻恢復(fù)技術(shù)是基于Winhex腳本實現(xiàn)的。Winhex腳本是運行于winhex的一種腳本語言，用于數(shù)據(jù)的批量搜索、定位、修改[3]。

用winhex腳本實現(xiàn)對9通道的幀合并成視頻，腳本如下:

//9通道視頻錄像恢復(fù)

3 提高視頻恢復(fù)效率的解決方案

目前市場上常見的視頻監(jiān)控錄像機的品牌眾多，生產(chǎn)廠商不公開自有產(chǎn)品的技術(shù)細節(jié)，給監(jiān)控視頻恢復(fù)帶來較大的技術(shù)難度，要提高視頻恢復(fù)效率要注意以下幾點:

3.1 提高監(jiān)控視頻恢復(fù)的成功率

（1）正確的操作和處理方式。當發(fā)現(xiàn)涉案的視頻監(jiān)控錄像機時要在第一時間停止繼續(xù)錄制視頻并斷電、拆卸錄像機硬盤，在拆卸硬盤的過程中避免碰撞。錄像機硬盤要用專用的硬盤保護盒或泡沫海綿封裝，硬盤在裝入視頻恢復(fù)專用設(shè)備之前不能連接到非專用設(shè)備如:普通的計算機、服務(wù)器等設(shè)備，避免造成二次破壞。

（2）及時停止視頻監(jiān)控錄像機。需要恢復(fù)的監(jiān)控視頻時間點距離視頻監(jiān)控錄像機停止錄制的時間點越短恢復(fù)的成功率越高。當需要恢復(fù)的視頻已經(jīng)超過了錄像的循環(huán)周期這將增加涉案監(jiān)控視頻恢復(fù)的難度。

（3）需關(guān)注監(jiān)控視頻恢復(fù)設(shè)備對各品牌視頻監(jiān)控錄像機及監(jiān)控視頻格式的支持程度。監(jiān)控視頻恢復(fù)設(shè)備支持的視頻監(jiān)控錄像機品牌及監(jiān)控視頻格式越多，監(jiān)控視頻恢復(fù)的成功率越大。

（4）注意保護視頻監(jiān)控錄像機硬盤數(shù)據(jù)的完整性。一是只有在確認硬盤無任何硬件類故障的情況下才能進行監(jiān)控視頻恢復(fù)；二是禁止向出現(xiàn)數(shù)據(jù)丟失的硬盤中寫入任何數(shù)據(jù),包括系統(tǒng)卷標信息、回收站、縮略圖緩存、操作系統(tǒng)的虛擬內(nèi)存等；三是禁止對出現(xiàn)數(shù)據(jù)丟失的硬盤執(zhí)行“磁盤掃描修復(fù)”與“碎片整理”操作。

3.2 提高監(jiān)控視頻恢復(fù)的速度

（1）提高監(jiān)控視頻恢復(fù)設(shè)備的硬件性能。硬件性能（主要是讀寫性能和運算性能）越高恢復(fù)速度越快；監(jiān)控視頻恢復(fù)需要不停的讀寫硬盤以及通過運算來判斷監(jiān)控視頻的時間和重組視頻，因此硬件性能決定了視頻恢復(fù)的速度。

（2）使用完善的監(jiān)控視頻恢復(fù)算法。好的監(jiān)控視頻恢復(fù)算法能成倍地提高視頻恢復(fù)的速度。

（3）關(guān)注視頻恢復(fù)軟件程序語言的執(zhí)行效率。依賴于磁盤編輯軟件的腳本語言執(zhí)行效率要低于高級語言或匯編語言的執(zhí)行效率[2]。

4 結(jié)束語

對于監(jiān)控視頻的恢復(fù)必須全面分析監(jiān)控視頻存儲的格式及視頻幀格式，掌握視頻幀中用于標識別幀類型、幀大小、幀所在通道號以及當前幀對應(yīng)時間的位置和字節(jié)數(shù)。通過識別視幀頭特征來確定視頻幀，再通過幀類型、幀大小、幀所在通道號以及當前幀對應(yīng)的時間來按通道或按時間重組幀，最終形成可以連續(xù)播放的視頻流。

[1]張越今.網(wǎng)絡(luò)安全與計算機犯罪勘查技術(shù)學.清華大學出版社，2003.

[2]羅文華，湯艷君.電子物證技術(shù)基礎(chǔ).清華大學出版社，2014.

[3]吳琪.基于Winhex的數(shù)據(jù)恢復(fù)技術(shù)在計算機取證中的應(yīng)用.凈月學刊，2014.