海安行车记录仪,听名字就知道是个小小小品牌,而且用的文件格式是比较古老的AVI,这种文件格式是微软设计的,后来并没有普及(不支持4G以上大文件而且结构过于松散)。这个恢复案例比较特殊的地方是不太清楚做过什么操作导致文件丢失,但是存在中病毒并杀病毒的操作,下面我们来看看这个奇怪的案例。
故障存储: 32G SD卡,采用FAT32文件系统
故障现象:
客户描述发生了事故看过记录仪回放文件是在的,后取下记录仪接电脑备份文件,结果在第一台电脑上没有发现文件,所有文件都看不到,接第二台发现有病毒,然后杀病毒后找不到碰撞时的文件。客户自行使用通用型恢复软件扫描无果。
故障分析:
经过使用WINHEX查看发现,确实存在中病毒的情况,可能是EXE病毒(图1)。这种病毒的特征如下:
- 感染目录生成同名的EXE文件和病毒本身进行关联,并隐藏原文件夹。
- 病毒会把EXE文件伪装成文件夹图标,这样使用者在打开时会再次运行EXE文件达到检测自身是否存在的目的。
此类病毒结构比较单一,实际上编写一个windows的BAT批处理就可以完全清理,所以这一类病毒对于360系、金山系等杀毒软件来说不是事儿。不过之前确实遇到过使用某数字杀毒软件后导致文件丢失的情况,所以文件莫名丢失可能和杀病有一定关系,但也不排除人为误删除的可能性。
从图2中也能看到,此记录仪使用的是连续文件名方式,其规律是某种数字不断累加,可以看到从5817开始就直接跳到5828了,这中间缺失了至少8个文件(5828为出事故后的时间)。
图1:从WINHEX中可看到确实是存在中病毒的情况
图2:文件名并不连续,说明文件存在缺失
故障处理:
STEP1: 使用CHS零壹视频恢复程序专业版(或者高级版)进行扫描。选择逻辑盘,强烈建议扫描时选择逻辑盘(说了很多次原因就是有簇边界),如果是镜像可以点击镜像文件创建区域来创建逻辑盘。
大类->记录仪,然后选择打开样本文件,这个也说了很多次,样本文件可以为程序扫描、重组算法建立精确模型,所以建议添加。最后点击扫描即可。
STEP2: 等待扫描完成,可以看到日志中已经显示了样本文件的相关参数。
STEP3:查看扫描结果,由于AVI文件本身并不记录拍摄日期(AVI的众多缺点之一),找出来477个文件,数量也不算少,所以这里使用“OCR获取”来得到画面时间(具体OCR原理和使用方法请参考公众号)
STEP4: 点击“开始”即可
STEP5:等待OCR完成
STEP6:可以看到扫描结果中已经有日期存在了,经过对比查看发现423号文件正是客户所需要的,保存后查看再次确定此文件为事故发生时的最重要文件,记录了整个事故过程。至此恢复工作完成!
这就是海安行车记录仪avi文件杀病毒导致文件丢失的恢复方法,大家遇到此类问题可以参考引案例。
