◆夏 荣 吴 彬 袁文勤

监控视频恢复技术研究

◆夏 荣 吴 彬 袁文勤

（上海市公安局 上海 200025）

在公安取证工作中，一项重要的工作就是在嫌疑电子存储介质中挖掘有价值的线索和证据数据，随着监控视频录像在案件侦破中的作用越来越大，视频录像的恢复提取一直是当前案件侦破中难点和瓶颈。视频监控被无意和恶意破坏和删除的情况下，如何提高视频恢复的成功率和恢复的速度是当前电子数据取证行业共同面临的问题。本文就视频恢复的方法和技巧、以及用Winhex的脚本编程工具进行高效视频恢复取证的方法进行阐述。

计算机取证；视频；数据恢复

0 前言

监控视频是案件侦破中的重要证据，视频图像侦查已经成为公安机关办案新方法和手段。监控视频作为《刑诉法》规定的八大证据之一，地位非常重要。目前在视频监控被无意、恶意破坏和删除的情况下，如何提高视频恢复的成功率和恢复的速度是当前电子数据取证工作面临的问题，该技术的突破可以使案件的侦破率和侦破速度大大提高，有效地提高公安工作核心战斗力。

1 监控视频研究的现状

目前我国监控视频的状态:视频监控系统的没有统一的标准，涉及的产品种类繁多，主要表现在以下几方面:

（1）硬盘录像机和视频存储服务器的品牌类型种类多。

（2）视频格式类型种类多:硬盘录像机的所有操作系统文件格式种类多，主要嵌入式和通用式。嵌入式用的主要是linux操作系统，通用式用的是普通windows操作系统。嵌入式硬盘录像机用的是linux文件系统或自定义的视频流格式，也有用标准的Fat32文件系统；通用式录像机（卡）用的是FAT格式或NTFS格式。

这些种类繁多的硬盘录像机类型和视频格式造成视频恢复程序通用性难度的加大，几乎每种类型和视频格式都需要单独的程序来实现视频恢复。但是大部分视频格式都是标准H.264格式的变种，每个厂家或产品系列在H.264格式的基础上加了一些特殊的格式或标志。这就为我们用一些如Winhex等软件进行视频恢复提供了可能性。

通过研究总结分析，我们把需要恢复的视频种类归类如下:

（1）现有视频:就是现有的硬盘录像机上能看到、但在离开录像机环境后不能看到的视频；

（2）删除的视频:就是通过硬盘录像机本身自带的工具删除掉了某个时间段或某个通道的视频；

（3）丢失的视频:就是硬盘录像机硬盘上的视频索引被破坏，导致用硬盘录像机本身的工具环境下也看不到的视频；

（4）视频的碎片:因硬盘的容量有限，一般硬盘录像都有循环周期，硬盘容量越大循环周期越长，在循环周期之外的视频一般都本循环周期内的视频覆盖了。但是由于硬盘对数据和文件管理是用数据块（扇区或簇），使得在循环周期之外的视频可能还会残留碎片在循环周期之内的视频存储空间中，这为我们恢复覆盖后的视频提供了可能。

而导致视频需要恢复的原因不外乎以下几种:

（1）嵌入式录像机的硬盘被自带的环境工具格式化；

（2）硬盘录像机的硬盘被windows等操作格式化；

（3）硬盘录像机的视频被自带的环境工具删除；

（4）需要恢复的视频在循环周期之外；

（5）视频从硬盘录像机导出后保存在Windows等系统中后被删除或系统硬盘被格式化。

按照上述归类分析，此次案件中的视频恢复属于典型的丢失视频的待恢复情况。录像机硬盘被格式化一次后，又重新开始录制了2个小时的录像，里面的视频索引和目录就不但被删除了，而且被新的视频索引和目录给覆盖了。但是原来的视频数据还在，只不过被覆盖了2个小时新的视频数据。我们可以利用这种视频的特征来把需要的时间段和通道的视频帧串起来，形成连续的完整的视频文件。

（1）视频恢复的几个关键要素；

（2）视频头标志；

（3）帧头标识；

（4）帧长度；

（5）帧类别（有些监控录像还能记录声音）；

（6）通道标志；

（7）帧时间。

2 监控视频恢复技术研究实例

某案件中获取嵌入式录像机，通过了解和分析得知该硬盘录像机在2013-6-31日9点左右用录像机自带硬盘初始化功能对录像机硬盘格式化过两次，格式化后又开机录制了一小时左右的视频。案件需要恢复2013-6-13日15:30-20:30期间5小时的视频。我们试图通过对这个案例的研究来了解视频恢复的方法和技巧。

我们采用普通常规的软件硬件取证设备去试图打开该硬盘，看不到任何的文件系统和分区，而且操作系统都会提示硬盘需要初始化，采用常规的数据恢复软件扫描硬盘也找不到任何的文件系统和文件。

2.1 监控视频存储格式

通过提取分析标准的可播放视频片断发现，该录像机的视频文件有如下图所示的十六进制内容。格式的特点，就是视频文件以“DALI240.R”开头标志，后面还有通道标志，如图1所示。

图1 视频文件

其次分析视频帧的内容发现，视频帧的格式如下图:

图2 视频帧的格式

在视频文件头偏移0x100处有“55AAAA55”作为视频帧的头标识。

图3 帧偏移

在帧开始偏移0xC位置的”05”代表该帧视频是6通道。

图4 该视频帧的时间

在帧开始偏移0xD位置的”19 9D 10 27”代表该视频帧的时间（十六进制表示的秒数），具体是2000年1月1日 00:00:00开始加上这个秒数后转换的日期时间。

上图中的“00 00 0E 70”是上一帧的长度，“00 00 01 40”是本帧的长度。

“05 00 03 00”中的”03”是位置是帧类型标志:

帧类型 标志内容I帧 0x00 P帧 0x01 B帧 0x02音频帧 0x03

2.2 监控视频恢复方法

通过本次研究，掌握了该嵌入式视频监控录像机监控视频碎片的重组和通道分离技术。视频恢复流程中的关键在于读取视频监控录像机硬盘镜像文件时判断当前数据是否是帧头，扫描数据块判定帧的完整性。在扫描得到数据块后根据其帧存储格式提取各通道的视频分别按通道生成新的视频文件。

概要流程图如下:

图5 概要流程

重组视频帧的步骤为:

（1）扫描整个存储空间，查找55AAAA55标志的数据特征，然后判断后续第9字节的数字是否是需要恢复的通道，如果是则进一步解析帧头信息；

（2）分析当前帧长度和上一帧帧长度；

（3）分析当前帧的时间；

（4）按帧时间顺序重组帧。

该监控视频恢复技术是基于Winhex脚本实现的。Winhex脚本是运行于winhex的一种脚本语言，用于数据的批量搜索、定位、修改[3]。

用winhex脚本实现对9通道的帧合并成视频，脚本如下:

//9通道视频录像恢复

3 提高视频恢复效率的解决方案

目前市场上常见的视频监控录像机的品牌众多，生产厂商不公开自有产品的技术细节，给监控视频恢复带来较大的技术难度，要提高视频恢复效率要注意以下几点:

3.1 提高监控视频恢复的成功率

（1）正确的操作和处理方式。当发现涉案的视频监控录像机时要在第一时间停止继续录制视频并断电、拆卸录像机硬盘，在拆卸硬盘的过程中避免碰撞。录像机硬盘要用专用的硬盘保护盒或泡沫海绵封装，硬盘在装入视频恢复专用设备之前不能连接到非专用设备如:普通的计算机、服务器等设备，避免造成二次破坏。

（2）及时停止视频监控录像机。需要恢复的监控视频时间点距离视频监控录像机停止录制的时间点越短恢复的成功率越高。当需要恢复的视频已经超过了录像的循环周期这将增加涉案监控视频恢复的难度。

（3）需关注监控视频恢复设备对各品牌视频监控录像机及监控视频格式的支持程度。监控视频恢复设备支持的视频监控录像机品牌及监控视频格式越多，监控视频恢复的成功率越大。

（4）注意保护视频监控录像机硬盘数据的完整性。一是只有在确认硬盘无任何硬件类故障的情况下才能进行监控视频恢复；二是禁止向出现数据丢失的硬盘中写入任何数据,包括系统卷标信息、回收站、缩略图缓存、操作系统的虚拟内存等；三是禁止对出现数据丢失的硬盘执行“磁盘扫描修复”与“碎片整理”操作。

3.2 提高监控视频恢复的速度

（1）提高监控视频恢复设备的硬件性能。硬件性能（主要是读写性能和运算性能）越高恢复速度越快；监控视频恢复需要不停的读写硬盘以及通过运算来判断监控视频的时间和重组视频，因此硬件性能决定了视频恢复的速度。

（2）使用完善的监控视频恢复算法。好的监控视频恢复算法能成倍地提高视频恢复的速度。

（3）关注视频恢复软件程序语言的执行效率。依赖于磁盘编辑软件的脚本语言执行效率要低于高级语言或汇编语言的执行效率[2]。

4 结束语

对于监控视频的恢复必须全面分析监控视频存储的格式及视频帧格式，掌握视频帧中用于标识别帧类型、帧大小、帧所在通道号以及当前帧对应时间的位置和字节数。通过识别视帧头特征来确定视频帧，再通过帧类型、帧大小、帧所在通道号以及当前帧对应的时间来按通道或按时间重组帧，最终形成可以连续播放的视频流。

[1]张越今.网络安全与计算机犯罪勘查技术学.清华大学出版社，2003.

[2]罗文华，汤艳君.电子物证技术基础.清华大学出版社，2014.

[3]吴琪.基于Winhex的数据恢复技术在计算机取证中的应用.净月学刊，2014.