【原创】利用时间差与扇区速率推算视频数据地址段

2017-12-07 12:42:46 ming 111

收到客户一个大华监控设备,需要数据恢复,客户是在WINDOWS执行了格式化操作,破坏了原本的数据,需要提取10-5 15:33 - 15:36 这个时间段的视频数据。


思路:设定以10-5这个时间点为中点,向两边设定1个开始点与结束点,开始位为整点的,算出扇区/秒的速率,中间时差向前向后推算出10-5 的位置。

 

预准备工作:

1.截取硬盘数据

A:1024000000开始 取20000个扇区,保存扩展名为mp4,播放时间得知 10-3 01:17:49

B:2048000000开始 取20000个扇区,保存扩展名为mp4,播放时间得知 10-7 09:18:41

image.png


2.换算结果

算算共多少秒

一天=86400秒

3.B与A相差的时间:

B-A=86400*4+8:00,52

   =86400*4+8*3600+52

   =374452秒

4.374452秒,使用了1024000000个扇区,秒使用扇区数大约为:2734扇区

1024000000/374452=2734.66扇区/秒

 

现在需要数据为10-5 15:33 - 15:36 分

试提取10-5 15:20:00 的数据

 

第一步 换算βA的时差秒数

10-5 15:20:00 ~10-3 02:17:49 =86400*2+13*3600+2*60+11= 219731秒

第二步 转换扇区开始位置(β地址

219731秒 * 每秒2734扇区 +(开始位置A)1024000000  =  1624744554

第三步 截取长度为30分钟,换算扇区数,并计算结束位置

30 * 60 * 2734 + 1624744554  =  1629665754



image.png


第四步 截取1624744554-1629665754 后阅览 为 10-5 15:43:19 -  16:12:40

看到此段视频的时间段是比目标数据的时间段要延迟了,也就是说估算出错,可能和视频占位大小和颜色有关,那我们则需要把β位置前调半小时即β’,那段才是客户数据了。

 

截取范围:

β’=β位置-30分钟*扇区速率

大概是客户需求范围

1624744554-30*60*2734 =  1624744554-4921200=1619823354


image.png


第六步 winhex分析 是大华监控 大写DHAV是视频开始标识,dhav小写是结束标识

 

 

44484156 FC000000 A9551500 38350000 60E3CA46 A6AD084D 885A346219000000 00000001

44484156 FC000000 AA551500 A5320000 60E3CA46 EDAD08FF 883D981F5D000000 00000001


QQ图片20171205201214.png



技术提供:广州一研数据恢复  qq:6016465