监控录像文件的碎片提取

华山剑客
 
   一恢复商发盘要求恢复一监控录像中删除的4个小时共16个文件的数据(应该是取证用!),恢复商发盘前描述:NTFS分区;文件大小一般在60M左右;恢复软件中显示文件的大小是0;可以找到文件头,但按文件头方式恢复失败;可能要提取碎片!!当时我感觉很奇怪,一般只有大文件在删除时才出现文件大小为0的现象;监控录像一般产生碎片的可能性比较小。接到盘后分析,发现这个硬盘中90%的文件都有20属性,碎片是相当的多,一个文件的dataruns平均占用两个文件记录的大小,晕!以前没接触过监控录像文件,没想到碎片这么多, 20属性的修复+碎片的提取应该是一个高难度的恢复。 硬盘录像机中的文件,不同的厂商,文件格式不一样,提取碎片的方案也不一样,连续研究三个晚上(白天要上班,没办法,每天晚上都研究到凌晨3点,晚上研究东西没人打扰效率高!),第一天晚上分析文件结构,把碎片提取方案确定下来;第二天晚上研究20属性的修复,并恢复出一个文件;第三天晚上编写碎片提取的脚本(Winhex中的脚本)。第四天,看完国庆阅兵直播后,马上投入数据恢复中......恢复第一个,成功!第二个,成功!!分析第三个文件时,感觉这个文件有覆盖的现象,准备放弃这次恢复,但还是有点不大想放弃,第二天又研究了一下文件结构,发现一个新的更准确的方案来找碎片,然后改写脚本,再扫数据,在离上一个碎片很远的位置发现了下一个碎片,最后用这个脚本顺利找到后面的碎片,原来数据没有覆盖,按这种方法把余下的文件全部恢复出来了。恢复成功后,恢复商远程验证数据,然后收钱,发硬盘给恢复商。