如果说生孩子扎堆,那很显然最近智能摄像头多碎片的恢复也扎堆了,这次恢复的是一个不知名的小品牌。其采用了mp4视频文件方案,不过这个案例的特殊之处在于其感染了病毒且不只一次,我们来看看这个小品牌的智能恢复头格式化的恢复方法。
故障存储:
32G TF卡/fat32文件系统/簇大小64sec
故障现象:
客户描述此卡被格式化需要恢复指定时间段的数据,可以看到剩余空间还有29.3G(如图1),可以看到图1红框1中的内容能看到这是中病毒了(恶名昭著的EXE病毒),这种病毒就是不断的把文件夹关联到病毒EXE程序,这样就可以实现每次双击文件夹就自动调用病毒主程序的目地。所以在底层上就能看到有大量的同名EXE文件(有可能是杀毒软件删除的也有可有是病毒自身不断删除不断创建),而这种不断的创建有可能导致一些覆盖产生。
图1:卡的剩余空间还有29.5G
故障分析:
之前客户已经自行使用过不同的恢复软件扫描过,能发现文件,但是恢复后都不能播放。而原因就是类严重碎片化导致的(如图2),客户对数据的质量要求极高至少要做到如下两点:
- 声音和画面必须同步
- 画面解码时不允许出现花帧或者错帧的情况
当然保证这两个条件的前提是摄像头本身功能性正常才可以,这一点已经确认所以不需要额外考虑。通过统计客户需要的文件大约有500多个,当然常见的碎片化情况还是推荐大家使用CHS零壹视频恢复程序高级版扫描,而针对碎片化严重的则只能手工去处理,之前的案例中已经对辅助小程序进行了升级所以对于数量较多的情况也可以从容应对。
图2:针对碎片多的文件通用恢复软件无能为力
这一类的智能摄像头之前处理过不少,基本上规律如下:
1、一般一分钟一个文件,此案例中时长部分并不是一分钟而是动态最长的有12分钟。
- 文件格式为MP4,本例中视频编码使用的是AVC,音频为M4A。
3、采用的方案是在生成当前MP4文件结构体时,已经在采集新的视频画面数据,此时会导致两个文件碎片交叉,糟糕的是有时候碎片的大小仅仅只有一个簇,即碎片又小又多。
第3条会产生最不愿意看到的情况-----“音视频”数据区交叉,HVC采用的也是压缩算法,其会对采集画面进行量化后压缩,对于压缩来讲就是为了让数据不在松散,所以根本没有任何规律而言(有规律的一定是结构体而不是数据本身),此种情况下恢复难度是很大的,因为就算用CHS零壹视频恢复系列软件,也无法甄别数据区交叉碎片的情况,这个时候只能通过穷举遍历法结合恢复经验来判断。
而且更糟糕的是随着写入文件数量越来越多,碎片化会越来越严重,可能一开始的文件碎片数量较少,随着时间推移IO次数增加碎片数量会越来越多。这也是所有采用此类方案智能摄像头的共同点:
- 块(簇)大小为64SEC,块(簇)是文件系统分配的最小单元,其值越小意味着碎片数量更多;
- 碎片数量多,基本上是一簇就是一个碎片。
- 时间跨度近6小时,文件数量超过500个。
故障处理:
以下是之前一些同类案例原理说明,懒得码字了直接ctrl+v:
由于文件名中就包含了日期和时间所以这个也可以精确定位到客户需要的文件,经过通用软件扫描发现客户要的文件名都在,而且第一簇起始是相对靠中间的,所以恢复的机率还是比较大的。
下边这些话照抄之前的案例,解释的很清楚,就不再码字了 :-) :-) :-)
下图可以看到通用恢复软件只会定位到文件目录所在的第一个簇,也就是文件头所在,但是后边的区域就是直接以长度获取了,所以肯定是不能用的。通过这个方法成功定位了客户所要的时间段,由于是采用裸流,所以计划提取文件头所在的簇,得到第一帧画面,来和客户确定数据。但是发现失败了,因为以一个簇为单位进行提取发现视频帧是不完整的,说明碎片极小可能只有一个簇的大小(可以理解为首帧长度>簇长度)。其原理如图5,第一帧至少有三个DATA分割分别是DATA0~DATA2,注意DATA区本身就是对现实环境抽象化取值再转换成数字化的底层数据其是压缩类数据,没有参考值。另外就是图5中是为了方便介绍用了比较简单的方式,现实中可能DATA1和DATA0会“距离”很远,极端情况下也有可能DATA1位于DATA0之前(这在所有文件系统中都是允许的)。
图4:视频、音频帧数据存在碎片的简略图
运行“moov视频RAW级重组程序“解析FAT32目录项,然后解析指定的目录簇(图5),再点击“目录自动处理”功能,此时程序会依次处理已解析目录项中的文件,这样做到了半自动化。同时引入了全局簇概念,这样可以大幅度提升重组的效率,经过近一周的处理最终成功恢复所有数据(图7)。
图5: FAT32目录解析
图6:目录自动处理功能
图7:重组好的部分视频文件
这就是智能摄像头格式化后的恢复方法,对于此类智能摄像头,CHS恢复的效果可以做到取证级---确保每一帧声音、画面都100%正常,目前成功助力国内各大公检法机构的取证请求,大家在遇到此类问题时,欢迎和我们联系!