中維世紀監控某一特定時間段視頻的恢復
視頻文件格式:MP4(3gp)
案例中硬盤被格式化,又錄了一部分視頻。此硬盤中有很多分區,用R-Studio掃描後基本確定了這一時段視頻所在的分區,並且把分區鏡像了出來。
在R-Studio中確定文件的時間信息(本地時間需要加8小時),當然這個時間不一定準確,只作爲參考。之後要在文件結構中確認準確的時間。
在RS中確認這個文件的文件頭所在扇區:202035786 。見下圖:
打開winhex,跳轉到文件頭扇區。根據文件結構向下分析,搜索文件的索引, 找到後根據索引記錄再繼續分析文件結構,判斷出現碎片的位置。
下圖爲碎片的結束位置數據對比。
經過近5天的奮鬥:分析結構並確定出所有碎片的位置及大小,提取出來,再合併。最終成功恢復這一時段的2個文件,15分鐘的視頻。
總結:這種監控視頻文件碎片化非常嚴重,每個碎片最大不超過512K。其中第1個文件(如上圖)有299個碎片。雖然寫了腳本,但是工作量還是非常的巨大。整個恢復過程可以用痛苦來表示!!!所幸最後成功恢復,心情也就完全放鬆了。呵呵。
這類文件碎片的重組恢復,是建立在對文件結構有一定的瞭解基礎上的。
保定圖銳數據恢復工作室:齊立民(bsmao)
qq : 281935223
2016 . 06 . 01