收到客户一个大华监控设备,需要数据恢复,客户是在WINDOWS执行了格式化操作,破坏了原本的数据,需要提取10-5 15:33 - 15:36 这个时间段的视频数据。
思路:设定以10-5这个时间点为中点,向两边设定1个开始点与结束点,开始位为整点的,算出扇区/秒的速率,中间时差向前向后推算出10-5 的位置。
预准备工作:
1.截取硬盘数据
A:1024000000开始 取20000个扇区,保存扩展名为mp4,播放时间得知 10-3 01:17:49
B:2048000000开始 取20000个扇区,保存扩展名为mp4,播放时间得知 10-7 09:18:41
2.换算结果 算算共多少秒 一天=86400秒 3.B与A相差的时间: B-A=864004+8:00,52 =864004+8*3600+52 =374452秒 4.374452秒,使用了1024000000个扇区,秒使用扇区数大约为:2734扇区 1024000000/374452=2734.66扇区/秒
现在需要数据为10-5 15:33 - 15:36 分 试提取10-5 15:20:00 的数据
第一步 换算β与A的时差秒数
10-5 15:20:00 ~10-3 02:17:49 =864002+133600+2*60+11= 219731秒
第二步 转换扇区开始位置(β地址)
219731秒 * 每秒2734扇区 +(开始位置A)1024000000 = 1624744554
第三步 截取长度为30分钟,换算扇区数,并计算结束位置
30 * 60 * 2734 + 1624744554 = 1629665754
第四步 截取1624744554-1629665754 后阅览 为 10-5 15:43:19 - 16:12:40 看到此段视频的时间段是比目标数据的时间段要延迟了,也就是说估算出错,可能和视频占位大小和颜色有关,那我们则需要把β位置前调半小时即β’,那段才是客户数据了。
第五步 截取范围:
β’=β位置-30分钟扇区速率
大概是客户需求范围
1624744554-3060*2734 = 1624744554-4921200=1619823354
第六步 winhex分析 是大华监控 大写DHAV是视频开始标识,dhav小写是结束标识
44484156 FC000000 A9551500 38350000 60E3CA46 A6AD084D 885A346219000000 00000001
44484156 FC000000 AA551500 A5320000 60E3CA46 EDAD08FF 883D981F5D000000 00000001
技术提供 一研数据恢复
