郭麗莉，康艷榮，龍 源，周冬林

（公安部物證鑒定中心，北京 100038）

一類視頻監(jiān)控錄像數(shù)據(jù)恢復(fù)的新方法

郭麗莉，康艷榮，龍 源，周冬林

（公安部物證鑒定中心，北京 100038）

本文就一款“九安”品牌硬盤錄像機(jī)的數(shù)據(jù)恢復(fù)案例，詳細(xì)介紹了檢材特點(diǎn)、檢驗(yàn)思路和檢驗(yàn)過程。使用常規(guī)檢驗(yàn)方法對(duì)檢材進(jìn)行檢驗(yàn)，需要花費(fèi)大量的人力和時(shí)間，且效果不佳。通過分析視頻監(jiān)控錄像的二進(jìn)制數(shù)據(jù)，研究該品牌硬盤錄像機(jī)的技術(shù)資料，最后結(jié)合利用該產(chǎn)品的備份數(shù)據(jù)軟件，摸索出恢復(fù)“九安”品牌監(jiān)控錄像數(shù)據(jù)的新方法。通過與常規(guī)方法對(duì)比，結(jié)果證明新方法檢驗(yàn)效率更高、檢出數(shù)據(jù)更精煉，從而為該類檢材建立了一種新的檢驗(yàn)方法。

視頻監(jiān)控錄像；數(shù)據(jù)恢復(fù)；格式轉(zhuǎn)換

DOΙ: 10.16467/j.1008-3650.2015.02.024

隨著視頻監(jiān)控技術(shù)和信息存儲(chǔ)技術(shù)的不斷發(fā)展，視頻監(jiān)控錄像作為最直觀的案情線索和犯罪證據(jù)，其數(shù)據(jù)恢復(fù)成為了電子物證專業(yè)的主要檢驗(yàn)內(nèi)容之一。目前，針對(duì)一些常見品牌、格式的視頻監(jiān)控錄像，已經(jīng)形成了一些有效的檢驗(yàn)方法。但由于視頻監(jiān)控設(shè)備出自不同的廠家，型號(hào)各異，其存儲(chǔ)格式和設(shè)計(jì)方式也各有不同，一種檢驗(yàn)方法并不能應(yīng)用于所有檢材。尤其近年來存儲(chǔ)技術(shù)發(fā)展迅速，視頻監(jiān)控錄像往往存儲(chǔ)著海量的視頻數(shù)據(jù)，再加上檢材提取不規(guī)范等諸多原因，檢驗(yàn)工作猶如大海撈針。本文研究了一種視頻監(jiān)控錄像設(shè)備視頻數(shù)據(jù)的存儲(chǔ)結(jié)構(gòu)，提出新的數(shù)據(jù)恢復(fù)的方法，并應(yīng)用于硬盤錄像機(jī)的數(shù)據(jù)恢復(fù)案例中。

1 案件簡(jiǎn)介

某年6月，在某地飯店用餐的兩桌顧客因瑣事引發(fā)爭(zhēng)吵，繼而發(fā)生打架斗毆，致使一名外籍男士和一名外籍女士頭部受重傷。提取飯店視頻監(jiān)控錄像機(jī)，發(fā)現(xiàn)案發(fā)時(shí)段的視頻監(jiān)控錄像數(shù)據(jù)丟失，懷疑被人為刪除?，F(xiàn)試圖恢復(fù)這部分?jǐn)?shù)據(jù)。

2 檢驗(yàn)過程

2.1 常規(guī)檢驗(yàn)

檢材為一臺(tái)“九安”品牌硬盤監(jiān)控錄像機(jī)，內(nèi)置容量為500GB的硬盤存儲(chǔ)視頻監(jiān)控錄像數(shù)據(jù)。以只讀方式將硬盤接入檢驗(yàn)工作站，使用X-ways Forensic v17.3檢驗(yàn)軟件加載硬盤查看，硬盤包含大小分別為5GB（分區(qū)1）和461GB（分區(qū)2）的兩個(gè)分區(qū)，其中分區(qū)1內(nèi)數(shù)據(jù)為“0”；分區(qū)2包含460個(gè)大小皆為1GB的文件夾，每個(gè)文件夾內(nèi)包含128個(gè)大小為8MB、后綴名為dat的數(shù)據(jù)文件，分區(qū)2空余空間為628MB，且空余空間的數(shù)據(jù)非“0”，由此可判斷出視頻監(jiān)控錄像數(shù)據(jù)存放在硬盤的分區(qū)2中。

使用X-ways Forensic v17.3檢驗(yàn)軟件提取分區(qū)2空余空間的數(shù)據(jù)，并使用暴風(fēng)影音軟件打開提取的數(shù)據(jù)文件，可直接播放視頻圖像，經(jīng)查看后確定空余空間中未包含案發(fā)時(shí)段的視頻監(jiān)控錄像數(shù)據(jù)。使用檢驗(yàn)軟件X-ways Forensic v17.3、FinalData v2.0和EasyRecovery v5.3分別對(duì)硬盤進(jìn)行數(shù)據(jù)恢復(fù)，通過查看恢復(fù)出的視頻錄像監(jiān)控?cái)?shù)據(jù)文件，確定無案發(fā)時(shí)段的視頻監(jiān)控錄像文件。

2.2 視頻監(jiān)控錄像數(shù)據(jù)丟失原因分析

在系統(tǒng)資源管理器中仔細(xì)查看硬盤中的文件，發(fā)現(xiàn)文件夾1、2中的全部文件及文件夾3中部分文件的創(chuàng)建時(shí)間為案發(fā)后的時(shí)間，且創(chuàng)建時(shí)間按時(shí)序連續(xù)，而其它文件都無創(chuàng)建時(shí)間。使用多款視頻播放軟件嘗試打開硬盤中的dat文件，無法播放視頻；使用暴風(fēng)影音軟件打開dat文件，可播放視頻圖像，但各通道視頻圖像快速跳躍切換，不能正常連續(xù)播放，而且各通道圖像時(shí)間也不連續(xù)。鑒于此種情況，雖然通過暴風(fēng)影音軟件依次播放全部dat文件，采用人工篩選過濾的方法，可以大致過濾出案發(fā)時(shí)間段的視頻監(jiān)控錄像數(shù)據(jù)文件，但耗時(shí)長(zhǎng)，且播放效果極差，無法辨清嫌疑人，因此不能作為最佳的檢驗(yàn)結(jié)果，還需要做進(jìn)一步研究。

分析部分dat文件后找出規(guī)律：有創(chuàng)建時(shí)間屬性的文件，視頻圖像的顯示時(shí)間與創(chuàng)建時(shí)間一致；而無創(chuàng)建時(shí)間的文件，視頻圖像的顯示時(shí)間則為案發(fā)之前的時(shí)間，因此推斷在案發(fā)后監(jiān)控錄像機(jī)可能被做過數(shù)據(jù)刪除或硬盤初始化操作。由于檢材在案發(fā)后及時(shí)被送檢單位提取，因而推斷案發(fā)時(shí)間段的視頻監(jiān)控錄像數(shù)據(jù)不存在被覆蓋的情況，可能仍保留在硬盤的460個(gè)文件夾中。

2.3 視頻監(jiān)控錄像數(shù)據(jù)分析提取

2.3.1 查找合適的播放器播放視頻圖像 根據(jù)監(jiān)控錄像機(jī)品牌“九安”搜索原廠提供的播放器，只能播放mp4文件，無法播放硬盤中的dat文件，因此推斷硬盤中的文件為特殊的dat視頻格式，需要對(duì)視頻數(shù)據(jù)進(jìn)行技術(shù)處理。

2.3.2 分析視頻監(jiān)控錄像數(shù)據(jù)格式 使用X-ways Forensic檢驗(yàn)軟件查看、對(duì)比硬盤中的dat文件，經(jīng)過分析在二進(jìn)制數(shù)據(jù)中發(fā)現(xiàn)有視頻圖像顯示時(shí)間對(duì)應(yīng)的二進(jìn)制編碼（如圖1），因此可以從時(shí)間數(shù)據(jù)的角度進(jìn)行技術(shù)分析。

圖1 視頻時(shí)間的二進(jìn)制編碼Fig.1 Binary encoding of video time

2.3.3 鎖定案發(fā)時(shí)段視頻監(jiān)控錄像數(shù)據(jù) 查閱“九安”監(jiān)控錄像機(jī)資料，官網(wǎng)提供的備份數(shù)據(jù)軟件具有按照通道選擇、時(shí)段條件選定視頻數(shù)據(jù)的功能，同時(shí)還具有轉(zhuǎn)換視頻監(jiān)控錄像數(shù)據(jù)文件格式的功能。按照案發(fā)時(shí)段設(shè)定時(shí)間條件，對(duì)硬盤中的文件進(jìn)行全盤掃描，卻未能發(fā)現(xiàn)需要的視頻監(jiān)控錄像數(shù)據(jù)文件。

重新設(shè)定備份軟件的時(shí)間值，將時(shí)間條件改為案發(fā)后的時(shí)間段，可搜索并轉(zhuǎn)換出各通道avi格式的視頻監(jiān)控錄像數(shù)據(jù)文件，播放后都為案發(fā)后的視頻監(jiān)控錄像數(shù)據(jù)文件。分析該軟件的功能，并進(jìn)行多次實(shí)驗(yàn)后，推斷硬盤可能被做過初始化操作，受其影響，備份數(shù)據(jù)軟件的搜索范圍從硬盤分區(qū)2的首文件夾開始，只識(shí)別初始化后的視頻監(jiān)控錄像數(shù)據(jù)文件。重新限定搜索文件夾的范圍，忽略有創(chuàng)建時(shí)間的文件夾，最終篩選出案發(fā)時(shí)段的視頻監(jiān)控錄像數(shù)據(jù)（如圖2）。

圖2 備份數(shù)據(jù)軟件Fig.2 Diskbackup software

2.3.4 轉(zhuǎn)換導(dǎo)出案發(fā)時(shí)段視頻監(jiān)控錄像數(shù)據(jù)文件對(duì)篩選出的案發(fā)時(shí)間范圍內(nèi)的視頻監(jiān)控錄像數(shù)據(jù)，使用備份數(shù)據(jù)軟件按照通道號(hào)轉(zhuǎn)換導(dǎo)出視頻監(jiān)控錄像原數(shù)據(jù)對(duì)應(yīng)的avi格式文件，并且文件數(shù)據(jù)不經(jīng)壓縮，圖像質(zhì)量高，畫面清晰（如圖3）。通過查看文件，發(fā)現(xiàn)案發(fā)時(shí)段打斗現(xiàn)場(chǎng)的視頻圖像（圖像顯示時(shí)間比辦案單位提出的鑒定要求時(shí)間推遲2h左右），從而為案件的偵查提供了重要的線索和證據(jù)。

圖3 視頻截圖Fig.3 Data of the video screenshot recovered with Diskbackup

2.4 方法對(duì)比

根據(jù)檢材的數(shù)據(jù)存儲(chǔ)特點(diǎn)，采用提取法，直接使用X-ways Forensic檢驗(yàn)軟件提取硬盤分區(qū)2中的視頻監(jiān)控錄像數(shù)據(jù)，采用人工篩查、過濾的方式，也可以檢出案發(fā)時(shí)間段的視頻。實(shí)驗(yàn)操作后與前一種檢驗(yàn)方法對(duì)比，直接提取出的視頻監(jiān)控錄像數(shù)據(jù)文件包括各通道交錯(cuò)存儲(chǔ)的數(shù)據(jù)，尤其在本案例中視頻圖像的顯示時(shí)間晚于實(shí)際案發(fā)時(shí)間2h，確定打斗現(xiàn)場(chǎng)的視頻監(jiān)控錄像數(shù)據(jù)需要人工逐個(gè)文件地查看、篩選視頻圖像，需要花費(fèi)大量的檢驗(yàn)時(shí)間和人力資源。同時(shí)由于直接提取的視頻監(jiān)控錄像數(shù)據(jù)文件不能按照通道號(hào)整合，檢出的視頻監(jiān)控錄像數(shù)據(jù)文件中會(huì)包括非案發(fā)現(xiàn)場(chǎng)的其他通道的視頻數(shù)據(jù)，檢出結(jié)果的數(shù)據(jù)量比較大。因此經(jīng)過對(duì)比，第一種檢驗(yàn)方法得出的數(shù)據(jù)結(jié)果精煉、準(zhǔn)確，且可視性更好。

3 討 論

對(duì)于視頻監(jiān)控錄像而言，數(shù)據(jù)恢復(fù)的效果主要取決于數(shù)據(jù)覆蓋程度和視頻解碼兩方面因素。如果有正確的視頻解碼器，而沒有殘余的、未被覆蓋的視頻數(shù)據(jù)，那么數(shù)據(jù)恢復(fù)工作就沒有意義；但如果需要的視頻數(shù)據(jù)未被覆蓋，卻沒有合適的解碼器，依然無法檢出有價(jià)值的視頻圖像。因此視頻監(jiān)控錄像數(shù)據(jù)恢復(fù)不僅依靠檢驗(yàn)技術(shù)方法，還需要大量的經(jīng)驗(yàn)積累和資料收集。在本案例中，通過查閱檢材官網(wǎng)的產(chǎn)品信息和技術(shù)文檔，不僅收集了專用播放器，而且還發(fā)現(xiàn)了專用的備份數(shù)據(jù)軟件，為此類格式的檢材建立了一種新的檢驗(yàn)方法。

［1］ 徐煉，張國(guó)臣.非通用存儲(chǔ)格式數(shù)字監(jiān)控錄像的鑒定技巧［J］.刑事技術(shù)，2010（2）: 52-53.

［2］ X-Ways Forensics ［EB/OL］.［2014］.http://www.x-ways.net/winhex/manual.pdf.

［3］ Juanvison ［EB/OL］.［2014］.http://www.juanvision.com/ DownLoad.asp？aid=1.

引用本文格式：郭麗莉，康艷榮，龍?jiān)?，?一類視頻監(jiān)控錄像數(shù)據(jù)恢復(fù)的新方法［J］.刑事技術(shù)，2015，40（2）：170-172.

A New Data-recovering Method for Video Surveillance Device

GUO Li-li， KANG Yan-rong， LONG Yuan， ZHOU Dong-lin
（Ιnstitute of Forensic Science， Ministry of Public Security， Beijing 100038， China）

An electronic forensic case， in which video data was deleted from its video surveillance device named “Juanvision”， was presented for us to recover the video data.Some traditional methods were tried but did no t work.Through searching and analyzing the documents developed by the manufacturer of that video surveillance， we found the software named Diskbackup.The data-recovery method was established by analyzing the binary encoding of the video time and utilizing Diskbackup.The deleted data was successfully recovered， and the method established was proven to be more effi cient， accurate.

video surveillance； data recovery； format conversion

DF793.2

B

1008-3650（2015）02-0170-03

郭麗莉（1979—），女，副研究員，碩士，研究方向?yàn)殡娮游镒C。 E-mail：364367336@qq.com

2014-07-31