刘森 徐丽娅
(济宁市公安局刑事科学技术研究所,山东济宁 272019)
摘要:本文对硬盘录像机检验工作的部分细节性问题初略探讨,以期引发读者思考,扩大此类检验的广度和深度,更好的服务于侦查破案。
关键词:监控系统、硬盘录像机(嵌入式DVR)、数据恢复
随着视频监控技术的飞速发展,视频监控系统的应用已经渗透到社会的各个领域,基本形成了网格化的立体监控网络。通过监控录像资料记录的画面、声音来查找案件线索和提供庭审证据,成为打击犯罪、维护社会治安的有力技术保障。近年来受理的针对硬盘录像机进行数据恢复的检验需求日益增多,但是受种种因素的影响,此类检验往往得不到预期的结果,给案件的办理造成了极大的不便。在此,笔者对硬盘录像机的检验进行简单探讨,并针对如何进一步发掘硬盘录像机涉案信息提出对策。
一、视频监控系统的组成
1、视频监控系统一般由前端、传输、控制及显示记录四个主要部分组成。
前端部分:包括一台或多台摄像机以及与之配套的镜头、云台、解码驱动器等,通过有线或无线与中心控制系统建立相应的联系。
传输部分:包括电缆和/或光缆,以及可能的有线/无线信号调制解调设备等。
控制部分:主要包括视频切换器、云台镜头控制器、操作键盘、种类控制通信接口等。
显示记录设备:主要包括监视器、录像机、多画面分割器等。
2、一体化监控系统控制设备——DVR
DVR即是Digital Video Recorder——数字视频录像机或数字硬盘录像机,常被称为硬盘录像机。
目前,市面上流行的产品有PC平台DVR和嵌入式DVR。
PC平台DVR(或称PC式硬盘录像机):以传统的PC机为基本硬件,以Windows、Linux操作系统为基本软件,配备图像采集或图像采集压缩卡,编制软件成为一套完整的系统。PC机是一种通用的平台,产品性能提升较容易,同时软件修正、升级也比较方便。
嵌入式DVR(EM-DVR):嵌入式系统一般指非PC系统,它是以应用为中心,软硬件可裁减的,对功能、体积、功耗等严格要求的微型专用计算机系统。嵌入式DVR系统建立在一体化的硬件结构上,整个视音频的压缩、显示、网络等功能全部可以通过一块单板来实现,在设计制造时对软、硬件的稳定性进行了针对性的规划,因此类产品品质稳定,就功能来说丝毫不比PC式DVR逊色。[1]
二、硬盘录像机常用技术简介
1、操作系统:目前市面上的嵌入式DVR采用的操作系统主要分为三类:第一类为厂家自己开发的简单RTOS(实时操作系统);第二类为商业化的专用嵌入式操作系统,如VXWORKS/WinCE;第三类为源代码开放的LINUX操作系统。RTOS最简单高效,但其扩展性比较差,复杂功能实现比较困难;第二类操作系统有很好的系统特性,但其扩展性不是很好,许多功能扩展依赖第三方,且许可费用也比较高;第三类LINUX操作系统采用开放性的架构与模块化设计,可针对应用量身定做,去除与监控无关的多余功能。而且,LINUX支持多人、多工工作,只需要很少的硬件支持,这样的系统,效率更高,出错的机率更低。
2、硬盘管理技术
嵌入式DVR硬盘管理系统分为两类,一是与PC机相同的FAT格式管理系统,第二种是嵌入式DVR生产厂家自行开发的,适合存储媒体数据流的硬盘管理系统。前者的优势在于无需投入研发成本,可以利用现成的PC技术。但此系统无法管理大数据包,只能进行分包存储,易产生包与包之间丢帧现象;同时硬盘磁头需要频繁地读写数据与文件索引,易造成硬盘故障,并在硬盘上产生大量碎片空间,影响硬盘的使用和系统效率;另外,FAT文件系统用做录像机录像资料管理还存在两个风险,一是文件分配表如果损坏,则录像资料大多会丢失,二是系统突然断电或遭到人为破坏,当前的录像数据不能够保存。
而第二种方式就可以从根本上修正上述的问题,大幅度提高硬盘录像机的可靠性。但专用的文件系统需要专业公司具备相当的开发硬盘文件系统的能力与经验,目前国内只有少数几个厂家拥有该项技术。
3、算法技术
嵌入式DVR从2003年开始发展,到现在进入高清预览和回放时代,嵌入式DVR芯片方案从飞利浦半导体的SAA7113+PNX13××方案,到TechwellTW2835+ADI BF561的主流方案,再到目前的TW2835+SOC方案(SOC,系统级芯片),几经更迭。
尤其是SOC的出现后,由于其开发门槛较低且在成本利润方面更有优势,吸引了大量消费类电子厂家转入安防行业。
三、常见硬盘录像机的存储格式
硬盘录像机存储的文件系统和我们常见的如NTFS、FAT等文件系统存在着较大的差异,常用的监控视频数据存储方式主要有以下三种:
1、厂商自定义的存储方式:对整个磁盘以自定义的格式进行存储,在指定的位置存储索引,在指定的位置存储数据,在Windows系统下无法识别到磁盘里面的数据,需要借助专用软件才能够获取到视频数据信息。
2、采用传统分区与自定义数据区混合的方式:在磁盘中建立专用分区存储监控视频索引等相关信息,剩余空间用来存储视频数据,通过索引记录的数据区来组织磁盘中的数据。在Windows系统下只能看到一些索引信息,需要借助专用软件才能够对视频数据进行提取。
3、使用FAT32、XFS、JFS等标准的文件系统存储监控视频数据:系统先在磁盘中创建满空文件,录像时每个通道分配一个创建好的文件,然后将录制的数据写入文件中,如此来避免产生碎片,当一个文件写满后,再对下一个空文件进行写入。同时每个文件生成一个索引文件记录时间、通道等属性。在Windows系统下可以直接看到视频文件,视频文件也可以直接播放。
四、硬盘录像机常见数据丢失原因分析
1、循环覆盖。摄像头的数量、采集视频的清晰度等会直接决定数据量的大小,而录像机内置硬盘的容量是有限的,当写入数据量达到录像机设定容量的极值后,开始从前往后覆盖之前的数据。这种情况是最常见的,而且覆盖之后以现有的技术水平无法恢复数据。
2、硬件故障,常见的有硬盘损坏和控制电路损坏,前者直接导致数据丢失或无法访问,后者可能会出现往硬盘里写空白数据的情况,造成数据被覆盖而丢失。当硬盘出现损坏时,需要先对硬盘进行维修才能进行下一步的恢复操作。
3、人为删除或破坏,包括删除特定时间段数据、格式化硬盘、初始化设备甚至更换硬盘或破坏硬盘。这是笔者工作中所见到的最多的情况,借助专用的数据恢复软件,有着一定的恢复成功率。
五、硬盘录像机数据的恢复和技术难点
视频监控系统是一个复杂有序的体系,在电子物证检验过程中,我们重点关注的是它的记录部分,对于硬盘录像机而言就是硬盘。监控视频的数据存储一般由磁盘信息、索引、数据,三部分组成。理论上,研究每个厂商这三要素的存储方式,则可以对厂商的监控数据进行提取,对丢失的数据进行恢复。
1、硬盘结构方面。目前,电子物证实验室的检验环境大多为Windows界面,而嵌入式DVR硬盘管理的方式与Windows不同,造成多数嵌入式DVR的硬盘在无法被取证系统识别,而常规的数据恢复软件基于Windows或Mac硬盘管理模式开发,对这类特殊的硬盘结构无能为力。
2、编解码算法方面。由于我国安防监控市场庞大,市面上的SOC提供厂众多,其产品音视频编解码算法相对随意,且部分集成商仍会对标准方案进行修改,造成品牌之间,甚至同品牌不同系列、不同型号的产品编解码算法可能都不相同。
上述两点,是硬盘录像机数据恢复最大的技术难点。目前市面上没有一款软件或一家公司开发的视频数据读取或恢复产品能够覆盖市面所有的监控品牌。即便使用16进制编辑软件从底层进行人工解析,也经常遇到多通道数据存储在单一文件内无法分离、碎片文件多、恢复文件无法播放等问题,无法从根本上解决恢复难题。
六、硬盘录像机日志的检验
硬盘录像机的系统日志较为简单,但会详细记录硬盘录像机的每一个动作,包括开关机时间、各通道视频开始录制时间、设备连接和故障情况、报警信息、用户的登录登出时间、初始化磁盘时间、格式化磁盘时间等等。这些信息对与分析案发前中后各个时间段内硬盘录像机的工作情况,辨别视频真伪,并借此分析相关人物的属性和活动情况等有十分重要的价值。长时间运行的硬盘录像机的系统日志会比较冗长,检验时可将日志导出,重点查看案发时间段的记录内容,必要时可利用“开机”、“登录”、“删除”、“格式化”、“初始化”等关键字进行搜索,查找异常的操作。在对硬盘录像机进行检验的过程中,通过系统日志结合文件系统时间进行分析可对检验结过进行辅助说明,可为案件侦办提供有价值的线索。
由于硬盘录像机市场的复杂性、电子物证领域相关检验标准和视频文件编码特征数据数据库的缺失,给电子无证检验工作造成了极大的困难。虽然算法技术的统一将是未来发展的趋势,但这种统一不是以国内哪个企业的标准为标准,需要政府职能部门与DVR产业链上的各类企业的广泛参与。
参考文献:
[1]“数字硬盘录像机(DVR)方
案”.https://wenku.baidu.com/view/69a1e20f7cd184254b3535b2.html,2011.3
[2]“硬盘录像机协议与技术汇总”. http://tech.hexun.com/2012-06-11/142323108.html,2012.6