各位读者您好!
数据安全与取证开启了【专家约稿专栏】,之后会不定期邀请行业内专家和大家做分享。
都说最快的学习方式,就是向牛人学习。
今天,为各位分享的是Wendy眼中的“数据恢复第一人”——八爷,希望各位能从他不羁的描述中获得启发哦。
正文
今天我们不分析DHFS的物理层架构存储,今天主要分析视频码流的编码和存储规则,教大家手工解析此格式的大华的视频编码(以下默认此格式),因为大华监控有采用FAT32、NTFS的MP4,今天分析DHFS。
当我们打开一个监控硬盘查看第一个扇区,发现16进制是0x44 48 46 53(DHFS)的时候,正常情况下说明这是块采用DHFS嵌入式文件系统的大华监控录像机。
大华监控视频编码分析:
001
编码头0x44 48 41 56,我们可以搜索16进制0x44 48 41 56,快速找到每个帧头,找到后,就可以手动解码里面的视频数据,包括通道号,时间,帧号......
002
下图是我用C语言写的结构体,用于描述整个视频帧的情况
003
我截取连续的两个视频帧实例对照分析,我们手工去分析视频帧的每个字节会发现,原来这么有规律,红色标识对应上面结构体的实际成员,通过header我们定位所有视频帧,帧1的tail和tail_size是描述上一帧数据,也就是帧2描述的是帧1,我们可以看到帧2的tail_size实际是等于帧1的size==0x0D 0A(大小端问题),这个有什么用呢?
我们通过header定位一个帧,那么如果以header为起始偏移size字节,就是第二个连续帧,可以验证通道数据是否交叉(有时间聊聊具体重组的算法),channel就是记录视频的实际通道号,但大华的通道号比实际的小1,所以具体得到数据是0x0000+1,才是实际通道号,date是记录的监控录像的时间,只是以十进制的形式存储,稍加转换就可以得到年月日时分秒,frameNO是帧号,我们可以看到,帧1和帧2和date和frameNO是连续的,也就是说这两个视频数据是连续,无通道和时间交叉。
004
所有上述的分析都是为了最后对多通道时间交叉的视频碎片进行重组,形成一个完整的文件,这个是录像机本身的多通道存储规则
最后:
上面的这些都是没有任何文档可查,都是我一字节一字节分析,扣出来的,如果有问题可以留言,我很愿意跟大伙一起交流,把一些分析经验和结果跟大家分享。
声明:本文来自数据安全与取证,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
