APP下载

监控视频时间信息调查与分析

2015-12-19李子川

中国刑警学院学报 2015年2期
关键词:视频文件磁盘日志

李子川

(中国刑警学院 辽宁 沈阳 110035)

监控视频时间信息调查与分析

李子川

(中国刑警学院 辽宁 沈阳 110035)

通过分析监控视频系统中时间属性信息特征与关系,总结相关监控视频时间信息调查方法,为电子数据取证工作提供一些有建设性的鉴定思路。

监控视频 文件系统 内嵌时间 创建时间

监控视频案件调查的过程中常常将分析焦点集中在时间上,[1]导致监控视频文件时间信息成为最基本也是最重要的数字证据。监控视频的时间信息是连接现实世界的桥梁,通过研究监控视频文件时间信息可以辨认可疑监控视频文件何时被建立、何时被删除,是否进行过覆盖修改等操作。

1 引言

监控视频设备的种类繁多,例如,个人电脑、嵌入式的硬盘录像机、车载行车记录仪,这些设备中的时间信息都来自于主板上的一块可读写的RAM芯片,芯片由主板的电池单独供电,即使系统掉电,时间信息也不会丢失。相反,如果芯片时间设置错误或者电池电量不足,那么监控视频文件中时间信息也将是错误的。监控视频时间信息只能表示该设备本身设置的系统时间信息,并不一定能代表显示世界的时间,因此确定时间信息的正确性需要通过分析视频内容进行校正。调查人员应该意识到监控视频时间证据的复杂性和包含的不确定性,[2]多数情况下需要大量的研究和实验才能获得一个合理的监控视频时间信息。但是监控视频系统中记录的时间信息与现实世界中时间信息也有着许多相同的特点,监控视频系统中的时间计量单位与现实世界中时间是一致的,即现实世界中经过一秒,监控系统中也经过一秒,因此监控系统中时间与现实世界时间的相对关系是固定,此监控系统中的时间运行都是相对独立的,它本身具有时间序列前后的关系,调查人员可以充分利用以上两个特点证明监控视频是伪造或是经过篡改过的。

2 监控视频时间信息的类型

监控视频时间信息主要来源于三类信息,内嵌监控视频的系统时间、文件系统时间、监控系统日志记录的时间信息。其中文件系统时间还分为创建时间、修改时间、访问时间。

2.1 监控视频内嵌时间信息

监控视频中的内嵌时间是监控视频录制时写入文件内部的系统时间信息,内嵌时间信息不随文件的复制或移动而改变。值得注意的是,由于某些监控视频循环录制的原因,同一个视频文件内部可能提取出两段不连续的视频片断,进而显示不同的嵌入时间信息,如图1所示,监控视频开始部分显示的2014年1月21日,而结束部分的显示的2015年2月1日。鉴于此调查人员在检视监控录像的过程中,对于跳跃时间段的监控视频更应仔细观察,防止漏看涉案监控视频。[3]

图1 同一监控视频文件提取出两段时间信息的情况

除了可在监控视频中直接观察到内嵌时间信息外,对于一些特定的监控视频设备,例如海康威视,也可以通过提取监控视频内部潜在的水印信息获得时间信息,里面还包括录制的视频设备的MAC地址、设备号、通道号等信息,如图2所示。通过水印信息可以将检材磁盘与监控设备进行匹配,判断磁盘中的信息内容是否为该监控视频设备所录制。

图2 监控视频水印时间信息

2.2 监控视频文件系统时间信息

监控视频文件系统时间信息是监控设备为每个监控视频文件记录的创建时间,修改时间或者访问时间信息,它并没有存放在监控视频文件的内部,而是存放在文件系统的文件分配表中,图3中给出了文件分配表中监控视频文件的创建时间的ASCII码表示,例如,文件VSRCD0001.gh1的创建时间为2015年2月1日7点44分30秒。

图3 文件系统中时间信息表现形式

监控视频文件系统时间信息即便视频文件被删除仍能从文件分配表中找到相关的监控视频时间信息,间接地证明了该时间段曾经录制过监控视频。

常规情况下文件系统的创建时间和监控视频文件嵌入时间一致,如图4所示,文件系统中的修改时间为本段监控视频录制的结束时间,文件的修改时间与创建时间的差值为视频文件的录制时间,访问时间为最后一次浏览监控视频文件的时间。

图4 常规监控视频文件系统时间属性信息

在监控视频系统中连续复制其它时段监控视频文件进行伪造内容时,各监控视频文件的创建时间之间差值与该段时间内复制进入的磁盘空间大小的比值接近于磁盘读写速度,同时监控视频的起始内嵌时间出现与文件系统中创建时间不一致的情况,如果不连续复制视频文件创建时间的变化会很明显,同样也较为容易判别。本文第五部分中会给出实验结果进步说明二者间的关系。

此外,在某些监控设备中文件系统时间在初始化后将不再修改,导致文件系统中的所有监控视频文件的创建时间和修改时间近似一致的情况,利用上述方法仍能辨别出是否是经过磁盘格式化或系统初始化造成的这种情况的发生,因为复制文件的磁盘运行速度不可能超过硬件的参数设定。

2.3 监控视频日志文件中的时间信息

监控视频系统中日志一般记录各通道监控视频开启录制的时间,监控视频录制的原因,用户的登录退出监控系统的信息,磁盘满删除较早的监控视频文件信息等,有些的日志中还存有GPS信息。图5中提供两种不同类型视频监控系统记录的日志文件信息。

图5 监控视频日志文件内容

监控视频日志文件一般按录制监控视频的日期创建,监控视频系统启动成功,就会生成相应的日志文件,多数情况下扩展名为.log,通过分析监控视频日志文件记录的时间信息判断案发时段是否录制过监控视频信息。

调查人员应重视日志文件在监控视频时间信息分析中实际发挥的重要作用,尤其对于大量监控视频数据相互覆盖的情况下,由于日志文件多数情况下不会被进行覆盖,所以调查人员可以通过日志文件判定监控视频的存在性。但是应该注意的是,不是所有的监控系统日志文件的名称的扩展名都是.log,这些具体内容需要调查人员在检验过程中,根据监控录像系统具体型号进行个体分析。

3 监控视频时间边界的认定

监控视频时间信息的辨认与鉴定工作的重点是时间信息的合理性和准确性,不论是监控中的内嵌时间或是文件系统中的时间都来源于设备芯片设置时间,为了较小偏差的存在,调查人员有必要分析各种因素形成的外部时间戳为监控视频中的时间设置边界,例如图6左图显示的是待检硬盘生产日期2014年3月5日,图6右图中显示该待检硬盘的购买日期为2014年3月31日,如果监控视频中出现2014年3月31日之前的监控视频时间信息,显然是不合理。再比如封装固定日期2014年4月5日,案件受理检验的日期2014年4月7日,如果监控视频中出现2014年4月5日之后的监控视频时间信息,同样也是不合理的。由此可以看出影响监控视频时间信息边界的因素很多,而这些综合因素自然确定了监控视频时间信息的上下边界。

图6 影响监控录像时间下边界的因素

假定:所有影响下边界时间信息的集合为Bmin,对象为On,Bmin={O1,O2,...,On};所有影响上边界时间信息的集合为Bmax,对象为 Om,Bmax={O1,O2,...,Om}。所有监控视频时间信息集合为T,T为监控视频内嵌时间、文件系统时间、日志文件中时间信息的集合。

推论:监控视频中出现的任何时间信息T都应在上边界集合最大值与下边界集合的最小值之间,即Max(Bmin)<∀T<Min(Bmax)。

图6中所示下边界集合Bmin={O1=购买日期,O2=硬盘生日期},Max(Bmin)=购买日期;上边界集合Bmax= {O1=封装固定日期,O2=案件受理检验日期},Max (Bmax)=封装固定日期。那么无论视频系统中保存的是何种时间信息都应该在Bmin与Bmax之间。如果在图8中所示案例的检验要求中要恢复2015年3月28日的录像,这显然是不可能的。

4 监控视频时间信息调查方法总结

监控视频时间信息的比对,实质上是利用监控时间信息的综合分析达到辨别出监控录像是否经过伪造、篡改或者复制形成的目的,例如将案发后对录制的监控视频录像进行覆盖,以至于毁灭证据。结合上述内容,监控视频时间信息的检验建议按以下步骤进行。

(1) 确定监控视频存储介质与监控设备间的匹配关系,因为监控视频设备在购买时,存储介质是后期购置的,存储介质是可以更换的,调查人员在办理案件时应注意类似事件发生的可能性。

(2) 对待检监控视频时间信息综合各种因素确定时间信息的上下边界,如果监控视频中出现区域外的时间信息,判定该时间信息为假。

(3) 判断监控视频文件时间信息三种类型是否具有正常的对应关系,即监控视频开始录制的时间等于文件系统中的创建时间,监控视频内嵌视频录制结束的时间是否等于文件系统中监控视频文件的修改时间。

(4) 不满足正常录制监控视频的时间信息特征,进一步判断监控视频文件是否被格式化或者进行过复制操作,其相应的时间特征信息在上文中已经进行过论述。

(5) 最后通过监控视频日志对监控视频文件中的视频信息进行验证,统计监控视频系统中曾经录制视频日期信息,确定被删除了的监控视频文件时间信息。

5 实验

随机选取N个监控视频文件以连续复制的方式,分别以单一磁盘内和磁盘间的拷贝到监控视频系统的存储介质中,假设磁盘读和写的速度大致相等,本实验选取了32个视频文件,每个视频文件的大小定义为128MB,在单一磁盘复制文件表现出的时间信息特征如表1所示。其中△t等于vscd026的创建时间减去vscd025的创建时间等于2秒,表示复制入磁盘128MB耗时2秒。S表示到当前时刻复制的磁盘空间总大小,单位为MB。表1中的创建时间起始点t0设置为11∶45∶31,表2中创建时间的起始点设置为12∶23∶08。

表1 单一磁盘连续复制创建时间序列

表2 磁盘间连续复制创建时间序列

设ti和Si分别表示创建时间生成序列和总复制磁盘容量大小,带入相关系数计算公式:

对于表1的数据的相关系数r1=0.99,表2的相关系数r2=0.99,说明二者成线形相关。利用线性回归方程对二组数据进行拟合,求出表1、2直线的斜率b1=45.3MB/s,b2=94.6MB/s表示文件复制的平均速度。由于表1的数据是在同一块盘上进行读写,因此文件连续读写速度应为2b1=90.6MB/s,表2是两个磁盘间的相互传输数据,文件读写的速度是由比较慢的磁盘速度决定为94.6MB/s。而采用相关软件对磁盘进行读写测速得到表1中使用磁盘的平均读写速度为106MB/s,表2中速度较慢的磁盘也是表1中使用的磁盘,所以平均读写速度同样是106MB/s,通过两个实验我们可以看出,监控视频文件创建时间序列在连续复制的情况下,生成的文件速度基本与磁盘运行的平均速度相等。

按照上述表格中的数据,将上述数据利用折线图表示为图7、8所示。

图7 表1实验数据折线图

图8 表2实验数据折线图

6 结束语

通过介绍各种监控视频文件时间信息的特征,从而给出了验证监控视频文件时间信息的基本方法和步骤。但是,监控视频文件中的时间信息是多样而且复杂的,监控视频中的时间信息有些情况下不一定全部出现在监控系统中,例如文件系统时间和日志文件中的时间信息在一些监控视频设备中是不记录的,再比如有些监控视频文件系统的时间在磁盘初始化之后监控系统就不再对其进行修改。因此,创建时间、修改时间与监控视频内嵌时间信息的对应关系在这些监控视频设备中不适用,但这些因素都不影响常规判定的一般规则。

[1]刘浩阳.数字时间取证技术原理与应用[J].信息网络安全,2010,(03):47-49.

[2]程琳,张鸿洲.论视频侦查技术专业建设与人才培养[J].中国人民公安大学学报(社会科学版),2013,(5):48-54.

[3]段成阁,等.汉邦监控录像时间信息研究[J].刑事技术,2013,(1):42-43.

(责任编辑:孟凡骞)

DF793.2

A

2095-7939(2015)02-0049-04

2015-04-06

2014年东穗科技创新基金项目(编号:2014-11);网络安全执法与公安技术信息化协同创新中心资助项目。

作简简介:李子川(1979-),男,辽宁沈阳人,中国刑警学院网络犯罪侦查系讲师,博士,主要从事电子物证检验研究。

猜你喜欢

视频文件磁盘日志
流媒体视频文件相似性识别的方法
叶腊石聚合成型及其旋转磁盘的制作方法
一名老党员的工作日志
随心定制视频文件的缩略图
它的好 它的坏 详解动态磁盘
扶贫日志
解决Windows磁盘签名冲突
雅皮的心情日志
雅皮的心情日志
快速检索,抓取电影中的精彩篇章