bmp文件头_【华为录音缓存文件的分析与播放】“恢复”手机录音文件

来源：上海歆仁

一步较老的华为手机需要恢复一些手机录音，最终根据手机录音的“缓存”文件成功找到了手机录音的原始文件并解析，完成了录音文件的“恢复”工作，为该案件提供了关键性证据。

01 初步排查

根据线索提供的信息得知该检材中存在一些录音，但是提取到的录音文件却没有相关的，疑似是删除或清理了录音文件等情况。查看手机中Sounds目录确实不存在录音文件。常规恢复删除文件需要Root手机提取手机原始Ext4物理镜像，然后使用镜像扫描删除的文件，无论是复杂程度还是恢复率都不乐观。但是技术员分析发现Sounds目录中存在一个.vtdata的隐藏目录，里面包含了时间戳开头的text文件，文件大小较大，引起了技术员注意。

注：配图为测试机数据截图，与检材数据格式雷同

02 文件分析

初步排查

文件大小较大，可能与音频有关。众所周知安卓图片的缓存(缩略图)也是存储在“.”开头的隐藏目录中，那这些文件是否可能是语音的“缓存”文件呢？首先百度搜索一下-_-!

华为官方论坛上有人问过此问题，“官方”技术回答是这些文件是8.x系统下为了录音转文字功能做的备份文件。9.0系统的录音转文字已经不依赖这个功能了，所以如果已经升了9.0可以删。除此结果之外没有其他有用信息了。 大致明白这个文件是干什么的了，那这个文件很有可能就是某种格式的音频文件。十六进制看下文件内容：

开头部分大片的00区域，没有任何文件头相关的信息，下面包含数据的内容类似重复的块状。

03 思考

手机上的音频文件一般来说m4a、amr编码格式的居多，但是此类编码格式的文件有明显的文件头信息，并且大小一般都比较小(因为编码就是压缩)。例如m4a的文件头信息为：

所以排除是常见的编码格式音频文件。 刚才在网上搜索到的信息中，提到了一句“为了录音转文字功能做的备份文件”。根据开发的经验，录音转文字功能输入的音频一般格式为mp3、wav、pcm等比较常规的格式。mp3格式首先排除因为没有文件头也比较大。wav和pcm是原始音频流并且文件大小通常都比较大， wav格式带有文件头所以也排除掉。pcm是原始音频流，不包含文件头信息，存储的仅仅是音频内容，那么这个文件是否可能是pcm原始音频流呢？ 注：wav就是加了文件头的pcm，文件头包含采样率、声道、位数等信息，wav与mp3的关系有点像bmp和jpg之间的关系，bmp是位图原始数据，jpg是在画质损失极小的情况下编码压缩，在质量损失较小的情况下大幅度压缩文件大小。

04 尝试

拿出来万能播放器ffplay以pcm格式尝试播放，ffplay主要参数为：ffplay -ar 采样率 -ac 声道 -f 位数信息 -i 文件名 这里问题来了，有几个信息不知道。一般来说采样率是4000的倍数，手机录音、微信语音等一般都用的8000-24000之间，声道一般都是1，位数使用默认常见的16位，结合起来第一次尝试播放命令参数为：ffplay -ar 24000 -ac 1 -f s16le -i 20190221_105211_text

执行后顺利听到了声音，不过明显感觉说话速度快了非常多，就像平时看视频开启了倍速功能一样，这就是采样率设置太高了，尝试调整低一些。当调整到16000时，语音听起来非常清晰正常，到此验证了该语音就是pcm音频流并且确认了参数。最终播放命令为：ffplay -ar 16000 -ac 1 -f s16le -i 20190221_105211_text

05 格式转换

语音已经可以播放了，但是pcm毕竟播放起来较为麻烦，为了不损失任何音质所以讲pcm转为wav格式，ffmpeg命令参数为：ffmpeg -f s16le -ar 16000 -ac 1 -i 20180920_150048_text 20180920_150048_text.wav

生成同名的wav文件，使用vlc播放器正常播放。

06 总结

安卓手机的各种应用缓存非常多，而且各个厂商定制系统加入了很多非Google官方的东西，这在检材数据分析中会有不小的发现。办案过程中数据分析是一个需要极度细心又耐心的工作，本文提供的思路和方法也为广大办案人员提供一点点的帮助。