[分享] 杂牌MP4(3GP)监控视频数据恢复

[复制链接]
  • TA的每日心情
    开心
    2015-4-15 14:15
  • 签到天数: 1 天

    [LV.1]布衣百姓

    发表于 2015-5-29 08:44:42 | 显示全部楼层 |阅读模式
    很久之前这种杂牌mp4监控就已经很多了,特别是3GP格式的,基本上看到就会放弃,也没有深入做过研究,因为河南的客户仅需要03-02的数据只有一个小时的,觉得还有机会,因此这次拿到客户盘后,做了一次深入分析。

    001.png

    客户1tb的盘,分了10个FAT32的分区存储录像,录像格式为MP4视频文件以及JDX索引文件交叉存储,客户格式化所有存储后之后大概又录了一个小时,这给分析带来了一定的便利。mp4视频文件无法直接播放,因为其余索引文件jdx是完全分离的状态,未找到官方播放器,还好客户用管理器曾经导出过一个好的样本做参考。

    002.png

    003.png

    对监控的存储结构进行一个初步的分析。发现存储无规律,并且根据客户从新录制的1个小时左右的视频绘制存储map,发现也无太多规律可用。并且每个文件都有大概495-500个碎片.

    004.png

    005.png

    初步分析的结论就是:这个case远超想象。

    接下来对这个3GP编码的mp4文件结构进行分析,将视频元数据信息进行分解。和大概预测的情况一样,我们遇到了最坏的情况,绝大部分的3GP无可用标志或者可参考数据。

    006.png

    进一步对上述的工作进行进一步的整理,首先,fat32分区在这种碎片化如此严重的情况下,文件系统能提供有用的信息已经不多了,但是依然有,就是簇,簇大小是16384字节,有4个通道的录像,交替进行存储,有这些作为参考将为下一步的参考简化一点工作量。

    将整个磁盘按照簇大小进行hash计算,对片段进行模拟配对,并输出所有可能配对结果。因为客户需要的时间只有1小时,数据量大概有6G,因此生成大量数据后,最终成功恢复(再说一下,因为数据全是raw的3gp编码 因此需要对raw的数据重新生成索引以及文件头重构整个文件后才可以播放)。(ozone)

    007.jpg

    该用户从未签到

    发表于 2015-7-13 09:54:35 | 显示全部楼层
    哥们,求指导啊 我这个和你情况一抹一样,2块3TB硬盘 , 就要一天的,你是怎么修复的
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2018-12-27 14:43
  • 签到天数: 1415 天

    [LV.10]一品大学士

    发表于 2015-8-4 17:48:59 | 显示全部楼层
    这个明显的是中维世纪监控。这两天也处理了一个。。。
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2015-10-14 13:05:18 | 显示全部楼层
    恩恩,中维世纪的,我也遇见过
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2018-3-20 15:15
  • 签到天数: 352 天

    [LV.8]三品御史

    发表于 2016-1-8 11:08:25 | 显示全部楼层
    我手头也有一个,谁能搞?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2017-5-23 17:58
  • 签到天数: 11 天

    [LV.3]八品县丞

    发表于 2017-5-23 17:55:42 | 显示全部楼层
    请问楼主,HASH计算是如何算的,能说下吗
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2017-12-9 16:30:18 | 显示全部楼层
    牛,支持一个!
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册

    本版积分规则

    快速回复 返回顶部 返回列表