對汽車行車記錄儀存儲卡的一次取證經(jīng)歷

黃步根 熊道泉 黃政 劉建軍

一、案情簡介

2012年9月19日晚上，在江蘇某地的公路旁有一人被害。22日中午提取路過現(xiàn)場的汽車上行車記錄儀存儲卡（16GB SD卡）一個，檢查發(fā)現(xiàn)經(jīng)過現(xiàn)場的時間段（19:48前后）的視頻已經(jīng)被自動刪除。要求恢復(fù)該時段車上汽車行車記錄儀可能拍攝到的車右側(cè)場景。

二、初步檢查存儲卡

對存儲卡初步檢查，F(xiàn)AT32文件系統(tǒng)，每簇16扇區(qū)（8KB）。視頻文件以日期作為文件夾，文件名包含時間信息和探頭編號，如“2012-09-20”文件夾，F(xiàn)055957P3N1C0.asf、F055957P3N2P0.asf、F055957P3N3P0.asf、F055957P3N4P0.asf文件，文件名中F后為時間信息hhmmss（時分秒），N后為探頭編號，共4個探頭，查看視頻內(nèi)容發(fā)現(xiàn):N1車前向外，N2車前向內(nèi)，N3車后向外左側(cè)，N4車后向外右側(cè)。重點(diǎn)查看N1、N4探頭2012-9-1919:48前后。

根目錄有2012-09-20到2012-09-22的三天3個文件夾，還有幾個數(shù)據(jù)文件，如表1。

表1 存儲卡根目錄

文件的修改時間全部是1980.01.010:00:00，沒有參考價值。文件夾內(nèi)全部是ASF格式的視頻文件，按照時間排列，長度不固定。文件的起始簇順序排列。文件統(tǒng)計信息如表2，總共已占用12.3GB，空閑2.58GB，文件占用空間83%。

表2 文件統(tǒng)計信息

初步判斷:視頻文件按照形成過程順序存放，空閑2.58GB，所需視頻已經(jīng)被刪除，如果是循環(huán)覆蓋，所需視頻可能在空閑扇區(qū)，需要按取證要求進(jìn)行數(shù)據(jù)恢復(fù)。①黃步根:《數(shù)據(jù)恢復(fù)與計算機(jī)取證》，《計算機(jī)安全》2006年第6期。

文件名和持續(xù)時間兩項(xiàng)表明，錄像時間不連續(xù)，如圖1。經(jīng)查，視頻文件最長約30分鐘。

圖1 視頻文件屬性

三、深度檢查存儲卡

為了恢復(fù)數(shù)據(jù)，需要進(jìn)行操作痕跡檢驗(yàn)。②黃步根:《FAT系統(tǒng)文件操作痕跡特征分析》，《計算機(jī)工程與應(yīng)用》2007年第7期。對根目錄中的數(shù)據(jù)文件進(jìn)行檢查:

1、FAT鏈表檢查

檢查FAT表，除了簇3空閑，一直到0x18a794(=1615764)全部占用，此后全部空閑。文件鏈表情況如下:

（1）DebugLog.txt鏈表

4,144b,1799,1a0d,2247,269f,2b1a,2f70,3443,4b7a,…,18a534,fffffff

結(jié)論:文件DebugLog.txt跨越整個卷，不斷追加數(shù)據(jù)。

（2）index0.conf鏈表

5,1769,21a5,29ee,32ad,5507,25746,114b46,115602,115fd7,…,18a0d2,fffffff

結(jié)論:文件index0.conf跨越整個卷，不斷追加數(shù)據(jù)。

（3）mudvr.log鏈表

6,7,8,9,a,b,c,d,e,f,10,11,12,13,14,15,16,17,18,…,104,105,fffffff

結(jié)論:文件mudvr.log是連續(xù)存儲的。

（4）視頻文件形成過程

檢查9月20日幾個ASF視頻文件的鏈表，查看數(shù)據(jù)簇分配情況，如表3。

表3 4個視頻文件的存儲空間（簇號）分配情況

結(jié)論:從表3看出，視頻文件不連續(xù)存放，4個探頭不規(guī)則交替存放。如果搜索刪除的文件，文件大于1簇時，由于存儲的無規(guī)則不連續(xù)性，難以確定哪個簇屬于哪個文件。

2、文件index0.conf

通過對文件index0.conf的內(nèi)容和FAT存儲情況看，為索引文件，二進(jìn)制文件，記錄了文件夾和文件名，伴隨ASF文件生成過程不斷追加。數(shù)據(jù)格式不明，有日期和文件名，其余不詳。

3、文件DebugLog.txt

頭尾幾行內(nèi)容如下:

停止錄像!

可以看出，這是操作日志文件，文本類型。記錄了“12-9-205:59:55”到“12-9-2212:6:31停止錄像!”的全部操作。

4、在空閑區(qū)搜索

（1）搜索文件夾

搜索出2個有效文件夾（簇號:1812271,1821247），1821247(0x1bca3f)文件夾下部分文件如表4。由于文件的時間屬性不準(zhǔn)確，不知道文件是哪兩天的。

表4 搜索文件夾得到的文件

起始簇符合表3存儲分配特征。

（2）根據(jù)ASF視頻文件特征搜索文件

分析ASF視頻文件的文件頭，尋找文件特征，進(jìn)而搜索文件，①黃步根:《存儲介質(zhì)上電子證據(jù)的發(fā)現(xiàn)和提取技術(shù)》，《計算機(jī)應(yīng)用與軟件》2008年第1期。搜索出44個ASF文件，如表5。因?yàn)镕AT鏈已經(jīng)為0，不連續(xù)存放，4個探頭不規(guī)則交替存放，不能恢復(fù)刪除的完整文件，對每個搜索出的視頻文件嘗試復(fù)制1簇16扇區(qū)，以便作進(jìn)一步分析。

表5 根據(jù)ASF文件特征搜索出的文件

根據(jù)文件特征搜索ASF視頻文件，文件名未知，暫以扇區(qū)號作為文件名，但是有文件的簇號，簇號可以用于與4—（1）搜索的文件夾下文件進(jìn)行匹配檢查，使用Excel的COUNTIF函數(shù)進(jìn)行匹配檢查，②肖華、劉美琪:《精通Office 2007》，清華大學(xué)出版社2007年版，第10頁。搜索出的ASF文件全部“有主”，匹配上搜索的文件夾，但是4—（1）搜索的文件夾下文件不全部找到ASF特征，表明搜索出的兩個文件夾下部分文件已經(jīng)被覆蓋。

（3）搜索操作日志文件

為了尋找空閑簇中刪除文件的操作過程情況，根據(jù)操作日志文件（DebugLog.txt）的特征搜索，在26583632扇區(qū)發(fā)現(xiàn)未被覆蓋的日志（1簇），保存為文本文件，檢查其內(nèi)容，記錄了12-9-1616:30:0至12-9-177:0:0的操作過程，包含一些磁盤空間不夠時的處理，比如:

四、ASF文件特征研究

為了對空閑區(qū)中沒有被覆蓋的視頻文件進(jìn)行分析和恢復(fù)，需要進(jìn)一步分析ASF文件的特征。根據(jù)微軟公布的文獻(xiàn)“Advanced Systems Format(ASF)Specification”樣本文件2012-09-22F055926P3N1C0.asf分析，①M(fèi)icrosoft.‘Advanced Systems Format(ASF)Specification’,http://download.microsoft.com/download/8/0/5/-C95A-47AE-99CF-0D6D6D028ABA/ASF_Specification.pdf.2012.1.長度50193（0xc411），持續(xù)時間9秒，尺寸352*288（0x160*0x120），文件頭部的部分?jǐn)?shù)據(jù)如圖2。

圖2 F055926P3N1C0.asf文件數(shù)據(jù)

ASF文件由頭對象（Header Object，存放文件屬性和流屬性）、數(shù)據(jù)對象（Data Object，緊跟在Header Object后，存放一個或多個數(shù)字媒體流）和其他頂層索引對象（Index Object_1,…,Index Object_k）組成。Header Object是唯一包含其他對象的，如表6。

表6 ASF文件的Header Object

根據(jù)表6對圖2樣本文件進(jìn)行解析，Head Object的ObjectSize=0x365，由6個子項(xiàng)組成，第1個子項(xiàng)如表7。

表7 ASF文件的Header Object子項(xiàng)1

對于圖2樣本文件，第1個子項(xiàng)的ObjectSize=0068，+1e=86，是下一子項(xiàng)的位置。

File Size=0xc411=50193，這是文件長度。

Creation Date=0x01cd98876c624980，文件的創(chuàng)建時間，是從1601年1月1日開始的納秒數(shù)，計算可得創(chuàng)建時間是2012-9-2205:59:27，這與文件名的時間相差1秒，這是由于在FAT文件系統(tǒng)中，目錄項(xiàng)中的時間存儲秒數(shù)存儲的是“半值”，27秒的一半是13，還原時加倍得到的是26，所以文件名中的秒數(shù)為26。FAT文件系統(tǒng)中的文件時間秒數(shù)一定是雙數(shù)。

依次分析其他子項(xiàng)，還能得到文件的許多其他屬性，①M(fèi)icrosoft.‘Media Foundation Attributes forASF Header Objects’,http://msdn.microsoft.com/ZH-CN/library/windows/desktop/bb970440(v=vs.85).aspx.2012.11.比如在0x184處0x00000160=352，是水平分辨率，在0x188處0x00000120=288，是垂直分辨率。

ASF文件的0x4e處8字節(jié)為文件的創(chuàng)建時間，對根據(jù)文件特征搜索出得ASF進(jìn)行檢查，發(fā)現(xiàn)所有文件的創(chuàng)建時間大致是2012-9-1616:30:00～19:00:00和2012-9-1706:00:00～08:00:00，沒有2012-9-1917:48前后的視頻。至此，可以斷定，樣本存儲卡中空閑位置沒有所需時間段的視頻資料，取證無法繼續(xù)。

五、結(jié)論

樣本存儲卡中視頻文件的物理分布順序是2012年9-20，9-21，9-22，9-16，9-17，這后兩天是已經(jīng)刪除的“空閑”區(qū)域，沒有所需時間段的視頻資料。

為什么不是簡單地循環(huán)覆蓋？從搜索的日志進(jìn)行解釋:

12-9-1617:4:29出現(xiàn)“磁盤空間不夠！”和“磁盤覆蓋開關(guān)打開！”

currenttime:12-9-1617:4:30/sd/2012-09-14/F180000P3N1P0.asf

在順序?qū)懳募倪^程中，如果出現(xiàn)磁盤空間不夠，則“磁盤覆蓋開關(guān)打開！”，刪除文件后繼續(xù)寫文件。這就應(yīng)該是循環(huán)覆蓋，但是現(xiàn)在文件是2012-9-20早晨開始從SD卡的頭部寫起的，表明在某個時刻，可能是人為操作或在某種條件下“歸零”，新的一天從頭開始。有待收集更多樣本進(jìn)行分析。從當(dāng)前痕跡看，9-178:30后從SD卡頭部開始刪除文件，覆蓋，9-20“歸零”，從頭部開始寫。

可能這種“歸零”機(jī)制是系統(tǒng)設(shè)計的一個缺陷，不利于證據(jù)的保存。此次取證經(jīng)歷是一次“失敗”，沒有能夠提取所需要的視頻。但也是成功的，即確認(rèn)沒有所需要的視頻，應(yīng)該從其他方面繼續(xù)開展案件偵查。