◆夏 榮 吳 彬 袁文勤

監(jiān)控視頻恢復(fù)技術(shù)研究

◆夏 榮 吳 彬 袁文勤

（上海市公安局 上海 200025）

在公安取證工作中，一項(xiàng)重要的工作就是在嫌疑電子存儲介質(zhì)中挖掘有價(jià)值的線索和證據(jù)數(shù)據(jù)，隨著監(jiān)控視頻錄像在案件偵破中的作用越來越大，視頻錄像的恢復(fù)提取一直是當(dāng)前案件偵破中難點(diǎn)和瓶頸。視頻監(jiān)控被無意和惡意破壞和刪除的情況下，如何提高視頻恢復(fù)的成功率和恢復(fù)的速度是當(dāng)前電子數(shù)據(jù)取證行業(yè)共同面臨的問題。本文就視頻恢復(fù)的方法和技巧、以及用Winhex的腳本編程工具進(jìn)行高效視頻恢復(fù)取證的方法進(jìn)行闡述。

計(jì)算機(jī)取證；視頻；數(shù)據(jù)恢復(fù)

0 前言

監(jiān)控視頻是案件偵破中的重要證據(jù)，視頻圖像偵查已經(jīng)成為公安機(jī)關(guān)辦案新方法和手段。監(jiān)控視頻作為《刑訴法》規(guī)定的八大證據(jù)之一，地位非常重要。目前在視頻監(jiān)控被無意、惡意破壞和刪除的情況下，如何提高視頻恢復(fù)的成功率和恢復(fù)的速度是當(dāng)前電子數(shù)據(jù)取證工作面臨的問題，該技術(shù)的突破可以使案件的偵破率和偵破速度大大提高，有效地提高公安工作核心戰(zhàn)斗力。

1 監(jiān)控視頻研究的現(xiàn)狀

目前我國監(jiān)控視頻的狀態(tài):視頻監(jiān)控系統(tǒng)的沒有統(tǒng)一的標(biāo)準(zhǔn)，涉及的產(chǎn)品種類繁多，主要表現(xiàn)在以下幾方面:

（1）硬盤錄像機(jī)和視頻存儲服務(wù)器的品牌類型種類多。

（2）視頻格式類型種類多:硬盤錄像機(jī)的所有操作系統(tǒng)文件格式種類多，主要嵌入式和通用式。嵌入式用的主要是linux操作系統(tǒng)，通用式用的是普通windows操作系統(tǒng)。嵌入式硬盤錄像機(jī)用的是linux文件系統(tǒng)或自定義的視頻流格式，也有用標(biāo)準(zhǔn)的Fat32文件系統(tǒng)；通用式錄像機(jī)（卡）用的是FAT格式或NTFS格式。

這些種類繁多的硬盤錄像機(jī)類型和視頻格式造成視頻恢復(fù)程序通用性難度的加大，幾乎每種類型和視頻格式都需要單獨(dú)的程序來實(shí)現(xiàn)視頻恢復(fù)。但是大部分視頻格式都是標(biāo)準(zhǔn)H.264格式的變種，每個(gè)廠家或產(chǎn)品系列在H.264格式的基礎(chǔ)上加了一些特殊的格式或標(biāo)志。這就為我們用一些如Winhex等軟件進(jìn)行視頻恢復(fù)提供了可能性。

通過研究總結(jié)分析，我們把需要恢復(fù)的視頻種類歸類如下:

（1）現(xiàn)有視頻:就是現(xiàn)有的硬盤錄像機(jī)上能看到、但在離開錄像機(jī)環(huán)境后不能看到的視頻；

（2）刪除的視頻:就是通過硬盤錄像機(jī)本身自帶的工具刪除掉了某個(gè)時(shí)間段或某個(gè)通道的視頻；

（3）丟失的視頻:就是硬盤錄像機(jī)硬盤上的視頻索引被破壞，導(dǎo)致用硬盤錄像機(jī)本身的工具環(huán)境下也看不到的視頻；

（4）視頻的碎片:因硬盤的容量有限，一般硬盤錄像都有循環(huán)周期，硬盤容量越大循環(huán)周期越長，在循環(huán)周期之外的視頻一般都本循環(huán)周期內(nèi)的視頻覆蓋了。但是由于硬盤對數(shù)據(jù)和文件管理是用數(shù)據(jù)塊（扇區(qū)或簇），使得在循環(huán)周期之外的視頻可能還會殘留碎片在循環(huán)周期之內(nèi)的視頻存儲空間中，這為我們恢復(fù)覆蓋后的視頻提供了可能。

而導(dǎo)致視頻需要恢復(fù)的原因不外乎以下幾種:

（1）嵌入式錄像機(jī)的硬盤被自帶的環(huán)境工具格式化；

（2）硬盤錄像機(jī)的硬盤被windows等操作格式化；

（3）硬盤錄像機(jī)的視頻被自帶的環(huán)境工具刪除；

（4）需要恢復(fù)的視頻在循環(huán)周期之外；

（5）視頻從硬盤錄像機(jī)導(dǎo)出后保存在Windows等系統(tǒng)中后被刪除或系統(tǒng)硬盤被格式化。

按照上述歸類分析，此次案件中的視頻恢復(fù)屬于典型的丟失視頻的待恢復(fù)情況。錄像機(jī)硬盤被格式化一次后，又重新開始錄制了2個(gè)小時(shí)的錄像，里面的視頻索引和目錄就不但被刪除了，而且被新的視頻索引和目錄給覆蓋了。但是原來的視頻數(shù)據(jù)還在，只不過被覆蓋了2個(gè)小時(shí)新的視頻數(shù)據(jù)。我們可以利用這種視頻的特征來把需要的時(shí)間段和通道的視頻幀串起來，形成連續(xù)的完整的視頻文件。

（1）視頻恢復(fù)的幾個(gè)關(guān)鍵要素；

（2）視頻頭標(biāo)志；

（3）幀頭標(biāo)識；

（4）幀長度；

（5）幀類別（有些監(jiān)控錄像還能記錄聲音）；

（6）通道標(biāo)志；

（7）幀時(shí)間。

2 監(jiān)控視頻恢復(fù)技術(shù)研究實(shí)例

某案件中獲取嵌入式錄像機(jī)，通過了解和分析得知該硬盤錄像機(jī)在2013-6-31日9點(diǎn)左右用錄像機(jī)自帶硬盤初始化功能對錄像機(jī)硬盤格式化過兩次，格式化后又開機(jī)錄制了一小時(shí)左右的視頻。案件需要恢復(fù)2013-6-13日15:30-20:30期間5小時(shí)的視頻。我們試圖通過對這個(gè)案例的研究來了解視頻恢復(fù)的方法和技巧。

我們采用普通常規(guī)的軟件硬件取證設(shè)備去試圖打開該硬盤，看不到任何的文件系統(tǒng)和分區(qū)，而且操作系統(tǒng)都會提示硬盤需要初始化，采用常規(guī)的數(shù)據(jù)恢復(fù)軟件掃描硬盤也找不到任何的文件系統(tǒng)和文件。

2.1 監(jiān)控視頻存儲格式

通過提取分析標(biāo)準(zhǔn)的可播放視頻片斷發(fā)現(xiàn)，該錄像機(jī)的視頻文件有如下圖所示的十六進(jìn)制內(nèi)容。格式的特點(diǎn)，就是視頻文件以“DALI240.R”開頭標(biāo)志，后面還有通道標(biāo)志，如圖1所示。

圖1 視頻文件

其次分析視頻幀的內(nèi)容發(fā)現(xiàn)，視頻幀的格式如下圖:

圖2 視頻幀的格式

在視頻文件頭偏移0x100處有“55AAAA55”作為視頻幀的頭標(biāo)識。

圖3 幀偏移

在幀開始偏移0xC位置的”05”代表該幀視頻是6通道。

圖4 該視頻幀的時(shí)間

在幀開始偏移0xD位置的”19 9D 10 27”代表該視頻幀的時(shí)間（十六進(jìn)制表示的秒數(shù)），具體是2000年1月1日 00:00:00開始加上這個(gè)秒數(shù)后轉(zhuǎn)換的日期時(shí)間。

上圖中的“00 00 0E 70”是上一幀的長度，“00 00 01 40”是本幀的長度。

“05 00 03 00”中的”03”是位置是幀類型標(biāo)志:

幀類型 標(biāo)志內(nèi)容I幀 0x00 P幀 0x01 B幀 0x02音頻幀 0x03

2.2 監(jiān)控視頻恢復(fù)方法

通過本次研究，掌握了該嵌入式視頻監(jiān)控錄像機(jī)監(jiān)控視頻碎片的重組和通道分離技術(shù)。視頻恢復(fù)流程中的關(guān)鍵在于讀取視頻監(jiān)控錄像機(jī)硬盤鏡像文件時(shí)判斷當(dāng)前數(shù)據(jù)是否是幀頭，掃描數(shù)據(jù)塊判定幀的完整性。在掃描得到數(shù)據(jù)塊后根據(jù)其幀存儲格式提取各通道的視頻分別按通道生成新的視頻文件。

概要流程圖如下:

圖5 概要流程

重組視頻幀的步驟為:

（1）掃描整個(gè)存儲空間，查找55AAAA55標(biāo)志的數(shù)據(jù)特征，然后判斷后續(xù)第9字節(jié)的數(shù)字是否是需要恢復(fù)的通道，如果是則進(jìn)一步解析幀頭信息；

（2）分析當(dāng)前幀長度和上一幀幀長度；

（3）分析當(dāng)前幀的時(shí)間；

（4）按幀時(shí)間順序重組幀。

該監(jiān)控視頻恢復(fù)技術(shù)是基于Winhex腳本實(shí)現(xiàn)的。Winhex腳本是運(yùn)行于winhex的一種腳本語言，用于數(shù)據(jù)的批量搜索、定位、修改[3]。

用winhex腳本實(shí)現(xiàn)對9通道的幀合并成視頻，腳本如下:

//9通道視頻錄像恢復(fù)

3 提高視頻恢復(fù)效率的解決方案

目前市場上常見的視頻監(jiān)控錄像機(jī)的品牌眾多，生產(chǎn)廠商不公開自有產(chǎn)品的技術(shù)細(xì)節(jié)，給監(jiān)控視頻恢復(fù)帶來較大的技術(shù)難度，要提高視頻恢復(fù)效率要注意以下幾點(diǎn):

3.1 提高監(jiān)控視頻恢復(fù)的成功率

（1）正確的操作和處理方式。當(dāng)發(fā)現(xiàn)涉案的視頻監(jiān)控錄像機(jī)時(shí)要在第一時(shí)間停止繼續(xù)錄制視頻并斷電、拆卸錄像機(jī)硬盤，在拆卸硬盤的過程中避免碰撞。錄像機(jī)硬盤要用專用的硬盤保護(hù)盒或泡沫海綿封裝，硬盤在裝入視頻恢復(fù)專用設(shè)備之前不能連接到非專用設(shè)備如:普通的計(jì)算機(jī)、服務(wù)器等設(shè)備，避免造成二次破壞。

（2）及時(shí)停止視頻監(jiān)控錄像機(jī)。需要恢復(fù)的監(jiān)控視頻時(shí)間點(diǎn)距離視頻監(jiān)控錄像機(jī)停止錄制的時(shí)間點(diǎn)越短恢復(fù)的成功率越高。當(dāng)需要恢復(fù)的視頻已經(jīng)超過了錄像的循環(huán)周期這將增加涉案監(jiān)控視頻恢復(fù)的難度。

（3）需關(guān)注監(jiān)控視頻恢復(fù)設(shè)備對各品牌視頻監(jiān)控錄像機(jī)及監(jiān)控視頻格式的支持程度。監(jiān)控視頻恢復(fù)設(shè)備支持的視頻監(jiān)控錄像機(jī)品牌及監(jiān)控視頻格式越多，監(jiān)控視頻恢復(fù)的成功率越大。

（4）注意保護(hù)視頻監(jiān)控錄像機(jī)硬盤數(shù)據(jù)的完整性。一是只有在確認(rèn)硬盤無任何硬件類故障的情況下才能進(jìn)行監(jiān)控視頻恢復(fù)；二是禁止向出現(xiàn)數(shù)據(jù)丟失的硬盤中寫入任何數(shù)據(jù),包括系統(tǒng)卷標(biāo)信息、回收站、縮略圖緩存、操作系統(tǒng)的虛擬內(nèi)存等；三是禁止對出現(xiàn)數(shù)據(jù)丟失的硬盤執(zhí)行“磁盤掃描修復(fù)”與“碎片整理”操作。

3.2 提高監(jiān)控視頻恢復(fù)的速度

（1）提高監(jiān)控視頻恢復(fù)設(shè)備的硬件性能。硬件性能（主要是讀寫性能和運(yùn)算性能）越高恢復(fù)速度越快；監(jiān)控視頻恢復(fù)需要不停的讀寫硬盤以及通過運(yùn)算來判斷監(jiān)控視頻的時(shí)間和重組視頻，因此硬件性能決定了視頻恢復(fù)的速度。

（2）使用完善的監(jiān)控視頻恢復(fù)算法。好的監(jiān)控視頻恢復(fù)算法能成倍地提高視頻恢復(fù)的速度。

（3）關(guān)注視頻恢復(fù)軟件程序語言的執(zhí)行效率。依賴于磁盤編輯軟件的腳本語言執(zhí)行效率要低于高級語言或匯編語言的執(zhí)行效率[2]。

4 結(jié)束語

對于監(jiān)控視頻的恢復(fù)必須全面分析監(jiān)控視頻存儲的格式及視頻幀格式，掌握視頻幀中用于標(biāo)識別幀類型、幀大小、幀所在通道號以及當(dāng)前幀對應(yīng)時(shí)間的位置和字節(jié)數(shù)。通過識別視幀頭特征來確定視頻幀，再通過幀類型、幀大小、幀所在通道號以及當(dāng)前幀對應(yīng)的時(shí)間來按通道或按時(shí)間重組幀，最終形成可以連續(xù)播放的視頻流。

[1]張?jiān)浇?網(wǎng)絡(luò)安全與計(jì)算機(jī)犯罪勘查技術(shù)學(xué).清華大學(xué)出版社，2003.

[2]羅文華，湯艷君.電子物證技術(shù)基礎(chǔ).清華大學(xué)出版社，2014.

[3]吳琪.基于Winhex的數(shù)據(jù)恢復(fù)技術(shù)在計(jì)算機(jī)取證中的應(yīng)用.凈月學(xué)刊，2014.