diskgenius

杂牌MP4(3GP)监控视频数据恢复

2015-5-29 08:45| 发布者: 蝴蝶| 查看: 7005| 评论: 18|原作者: 蝴蝶

摘要: 很久之前这种杂牌mp4监控就已经很多了,特别是3GP格式的,基本上看到就会放弃,也没有深入做过研究,因为河南的客户仅需要03-02的数据只有一个小时的,觉得还有机会,因此这次拿到客户盘后,做了一次深入分析。 ...
很久之前这种杂牌mp4监控就已经很多了,特别是3GP格式的,基本上看到就会放弃,也没有深入做过研究,因为河南的客户仅需要03-02的数据只有一个小时的,觉得还有机会,因此这次拿到客户盘后,做了一次深入分析。

001.png

客户1tb的盘,分了10个FAT32的分区存储录像,录像格式为MP4视频文件以及JDX索引文件交叉存储,客户格式化所有存储后之后大概又录了一个小时,这给分析带来了一定的便利。mp4视频文件无法直接播放,因为其余索引文件jdx是完全分离的状态,未找到官方播放器,还好客户用管理器曾经导出过一个好的样本做参考。

002.png

003.png

对监控的存储结构进行一个初步的分析。发现存储无规律,并且根据客户从新录制的1个小时左右的视频绘制存储map,发现也无太多规律可用。并且每个文件都有大概495-500个碎片.

004.png

005.png

初步分析的结论就是:这个case远超想象。

接下来对这个3GP编码的mp4文件结构进行分析,将视频元数据信息进行分解。和大概预测的情况一样,我们遇到了最坏的情况,绝大部分的3GP无可用标志或者可参考数据。

006.png

进一步对上述的工作进行进一步的整理,首先,fat32分区在这种碎片化如此严重的情况下,文件系统能提供有用的信息已经不多了,但是依然有,就是簇,簇大小是16384字节,有4个通道的录像,交替进行存储,有这些作为参考将为下一步的参考简化一点工作量。

将整个磁盘按照簇大小进行hash计算,对片段进行模拟配对,并输出所有可能配对结果。因为客户需要的时间只有1小时,数据量大概有6G,因此生成大量数据后,最终成功恢复(再说一下,因为数据全是raw的3gp编码 因此需要对raw的数据重新生成索引以及文件头重构整个文件后才可以播放)。(ozone)

007.jpg
1

开心

鄙视
9

鼓掌

愤怒

可怜

刚表态过的朋友 (10 人)

发表评论

最新评论

引用 fenglin100 2015-7-13 09:54
哥们,求指导啊 我这个和你情况一抹一样,2块3TB硬盘 , 就要一天的,你是怎么修复的
引用 英胜数据恢复 2015-8-4 17:48
这个明显的是中维世纪监控。这两天也处理了一个。。。
引用 zhaoqian 2015-9-12 16:44
有点厉害!
引用 tsqy666 2015-10-14 13:05
恩恩,中维世纪的,我也遇见过
引用 轩辕无名 2016-1-8 11:08
我手头也有一个,谁能搞?
引用 yuchen12345 2016-12-3 20:26
高手~~~~~~~~
引用 青岛金钰维修 2017-5-23 17:55
请问楼主,HASH计算是如何算的,能说下吗
引用 云松志 2017-12-9 16:30
牛,支持一个!
引用 hdddr 2018-4-11 17:15
引用 云松志 2018-11-15 22:02
一年后再次看到这篇文章,因为我也遇到了和这个一模一样的MPA文件
引用 JackMacros 2019-11-6 09:30
感谢LZ分享精神,很有用的东西!!!
引用 mamuncorp 2020-4-5 19:20
哪个软件用于碎片数据恢复?
引用 天道酬勤666 2020-5-14 19:31
哪个软件用于碎片数据恢复?
引用 mamuncorp 2020-6-19 12:55
哪个软件用于碎片数据恢复?
引用 JHS 2020-9-17 10:11
脚本提取的数据完整性还可以
引用 yumiao0625 2020-9-28 17:44
片段模拟配对怎么搞的呀
引用 18082781468 2021-8-18 18:34
好想学学,但不知道从何下手
引用 华迅数据恢复 2022-5-8 08:04
高手,举手投足都是技术

查看全部评论(18)

返回顶部