中维世纪监控某一特定时间段视频的恢复
视频文件格式:MP4(3gp)
案例中硬盘被格式化,又录了一部分视频。此硬盘中有很多分区,用R-Studio扫描后基本确定了这一时段视频所在的分区,并且把分区镜像了出来。
在R-Studio中确定文件的时间信息(本地时间需要加8小时),当然这个时间不一定准确,只作为参考。之后要在文件结构中确认准确的时间。
在RS中确认这个文件的文件头所在扇区:202035786 。见下图:
打开winhex,跳转到文件头扇区。根据文件结构向下分析,搜索文件的索引, 找到后根据索引记录再继续分析文件结构,判断出现碎片的位置。
下图为碎片的结束位置数据对比。
经过近5天的奋斗:分析结构并确定出所有碎片的位置及大小,提取出来,再合并。最终成功恢复这一时段的2个文件,15分钟的视频。
总结:这种监控视频文件碎片化非常严重,每个碎片最大不超过512K。其中第1个文件(如上图)有299个碎片。虽然写了脚本,但是工作量还是非常的巨大。整个恢复过程可以用痛苦来表示!!!所幸最后成功恢复,心情也就完全放松了。呵呵。
这类文件碎片的重组恢复,是建立在对文件结构有一定的了解基础上的。
保定图锐数据恢复工作室:齐立民(bsmao)
qq : 281935223
2016 . 06 . 01
时间: 2024-10-09 02:57:02