Восстановление данных с видеорегистратора

    image

    Уже много лет к нам в лабораторию DATALABS приносят на восстановление данных диски и флешки из систем видеонаблюдения. Это и стационарные видеорегистраторы и автомобильные регистраторы. В большинстве своём однодисковые, но бывают и много дисковые, а автомобильные как правило с microSD.
    Под катом обзор как происходит процесс восстановления.


    Проблемы потери данных бывают разные:

    1. Инициализация Windows.


    Данные на диске были. Либо не знали о софте на сайте производителя, либо на сайте вообще нет такого софта, но захотели слить на компьютер нужное событие. Чаще всего различного рода преступления.
    Так как в огромном большинстве видеорегистраторов, в нулевом секторе не стандартный виндовый загрузчик, то есть нет мэйджик сигнатуры «55AA», винда предлагает инициализировать диск, с чем народ успешно соглашается и тем самым убивает нулевой сектор с инфой регистратора. И не всегда только нулевой…
    Классика Windows XP — это нулевой сектор, а вот другие винды любят GPT, то есть EFI, а оно трёт и начало и конец диска. Беда в этом, что у некоторых видеорегистраторов служебная информация хранится не в начале, а в последних секторах диска.
    Восстановление данных в таких случаях сводится к установке в видеорегистатор пустого диска, форматирования через меню и последующий анализ начальных и последних секторов. Иногда можно тупо подменить сектор, но в большинстве случаев нужно его править, так как там может быть информация о размере диска, начале и конце видео-потока и что-нибудь ещё что взбредёт братьям китайцам в голову. Если подмена произошла удачно, то можно открыть диск софтом с сайта производителя, либо на самом регистраторе.

    Пример нулевого сектора Avtech AVC-776

    image

    2. Носороги полазили по меню.


    Данные на диске были. Но не квалифицированные люди нечаянно или преднамеренно нажимают очистку диска в меню самого регистратора. Это пожалуй, наиболее страшные случаи, с точки зрения сложности восстановления данных. Так как трутся основные служебные данные, календари, атрибуты заполненности и прочие прелести.
    Тут придётся серьёзно реинжинирить устройство хранения данных на диске. Наивный народ натравливает обычные программы для восстановления, но естественно получает банан. У 95% видеорегистраторов не используются типичные файловые структуры, не смотря что у всех написанно что ос Linux, не факт что используется ext2/3/xfs. Так что искать файлы бессмысленно.
    Восстанавливать можно двумя способами, разобраться как описывается поток, либо резать сам поток. Второе в большинстве случаев проще, найти где описание номера камеры и раскидать поток по камерам, потом отконвертировать полученные файлики в удобоваримый формат тем же виртуалдабом или аналогичным софтом. В обоих случаях придётся писать софт.
    Подводные камни могут быть такие: не всегда можно программно эмулировать работу процессора регистратора, то есть программа кодирования не сможет его конвертнуть, тут можно попробовать скормить эти файлики софту от производителя вирега (если таковой имеется). Этот софт может и не проглотит поток в тупую, нужно будет скачивать с самого регистратора бэкап файлы и смотреть их структуру. При бэкапе регистратор может формировать шапку над потоком нужно будет разбираться с этой шапкой, что бы формировать свою. Самое страшное когда эти файлы сразу конвертятся допустим в avi, и поток там уже не такой как на диске, для анализа не подойдёт.
    Хоть что-то приятное в современных регистраторах есть, большинство пишут в кодаке H.264 и софт кодирования спокойно проглотит поток, или вообще халява когда можно дать файлу с потоком расширение mpeg и скормить Vlc… Но опять же не забываем про камеры, может быть один кадр с одной камеры, за ним один кадр с другой и т.д., а может быть по 25 кадров, а может вообще кусками по времени.
    Если с потоком ничего не получилось, нужно заставить регистратор показывать данные. С точки зрения реинжиниринга это самое сложное. Разобраться где и как описываются данные, написать софт который это заново сгенерит, вдуть обратно в регистратор, иногда не это уходят недели, а клиентам как обычно нужно срочно… ведь скоро суд))) (чуть не написал судный день))
    Слава богу если софт под такой регистратор уже написан, рисёрчить ничего не надо, но разнообразие регистраторов велико и у нас что ни кейс, то праздник.

    image

    3. Прошёл цикл.


    Часто обращаются когда видео потребовалось сейчас, а событие было давно. Диски на регистраторах не резиновые и в зависимости от качества картинки и количества камер, пишут определённый интервал времени, а потом начинают перетирать старые данные, ну по кругу вообщем.
    В большинстве случаев тут ловить нечего, так как всё перетёрто. Но были редкие случаи, когда цикл только начался и можно поискать «в хвосте» какие-нибудь ошмётки.

    4. Сломался сам регистратор.


    Ну тут восстанавливать ничего не надо, данные то на диске остались. Однако бывает засада, что на сайте производителя нет ПО способного отображать видео с диска, тогда либо искать точно такой же видеорегистратор, либо всё-таки восстанавливать данные, вышеописанными способами.

    5. Автомобильные.


    Тут две беды: удаление и недозапись.
    С удалёнными может справиться любой софт из интернета, так как есть файловая структура и файлы как таковые, главное не писать после удаления.
    А вот с недозаписью сложнее, тут софт уже не поможет. Ручками, батенька, ручками. Автомобильные хранят файлы MOV, AVI и т.д. то есть это уже контейнеры с оформленным потоком. Со своей «шапкой», «атомами» и т.п., в нете есть статьи о их структуре.
    Регистратор создаёт, пустую или с минимальными данными, шапку-хидер, потом пишет непосредственно поток видео и только в конце записи формирует валидный хидер, таким образом получается нормальный файл.
    В момент аварии, либо вылетает флешка из видеорегистратора, либо вылетает аккумулятор, либо божье провидение (скорее сатаны)не даёт сформироваться валидному хидеру и файл получается не рабочим.
    Для восстановления такого файла требуется серьёзная медитация и знание формата.
    Бывает и халява, если формат видеорегистратора MJPEG. Когда поток представляет из себя кучу JPG картинок. Тупо рекаверишь все джипеги, и пресловутым мувмейкером делаешь видео. Хотя некоторым клиентам и раскадровка нравится, так как авария это секундное дело и по-кадрово как в матрице).

    Ну вот и всё вроде, на остальное отвечу в комментах.
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 32

      +4
      А мораль отсюда такова: Делайте бэкапы, Господа.
        0
        И бэкапы бэкапов тоже желательно. На разных носителях. Географически разнесённых.
        +5
        Не не не) мы без работы останемся)))
          +13
          Не останетесь. Будут приходить с мертвыми бэкапами.

          Ведь тестировать сделанные бэкапы — это следующий уровень, он дается только после N лет беззаботного «фарминга» и очередного «босса» — потери данных.
          +4
          В момент аварии, либо вылетает флешка из видеорегистратора, либо вылетает аккумулятор, либо божье провидение (скорее сатаны)не даёт сформироваться валидному хидеру и файл получается не рабочим.
          Пошел заматывать рег тремя слоями синей изоленты…
            0
            Ну да, казалось бы мелочь, а в самый ответственный момент подводит. Если разъём флехи без крышечки, то надо позаботится о фиксировании.
              +3
              Интересная вяснилась штука в моем регистраторе
              он расчитан под SD флешку, но так получилось что стоит microSD карта через переходник
              так вот SD переходник в ней хорошо фиксируется — чтобы вынуть её наружу нужно сначала нажать на неё как на кнопку
              и тут подкрадывается хитрое «НО...»
              microSD карта в этом преходнике просто вставляется без всякой фиксации — так что есть риск что вылетит именно карта из переходника

              В общем я приклеил края карты и акамулятора клеем момент — при желании можно будет выдрать, клей довольно эластичный,
              и уже меньше шансов что всё это разлетится в разные стороны в самый неподходящий момент…

              datalabs cпасибо за такую подсказку!

              P.S. Всем безопасной езды, берегите себя…
            +1
            Я никогда не пойму почему производители регистраторов не делают нормального софта для восстановления или хотя бы описания контейнеров
            Умер регистратор — или ищи такой же или пиндец информации. Может воры специально хренакнули по рекордеру — итог: записи не посмотреть.
              0
              зачем хренакать если его можно просто забрать и потом продать,
              порой воришки зарятся непосредственно на сам регистратор…

              а вот тот аспект что он должен выживать в условиях аварии это уже намного важнее мне кажется…
                0
                это я про автомобильный регистратор подумал, а про страционарый вы таки правы…
                  0
                  Хорошая практика — монтировать его к чему либо и лучше в антивандальный ящик. хотя бы шурупами к стелажу деревянному — у нас был такой случай. точка на рынке. ночью забрались, наворовали товара. разбили камеры и монтировкой по регистратору постучали. винт цел, а информацию вытащить не получается. + там только винты seagate определенных моделей можно было ставить. То есть вроде информация есть, а вроде и нет. Прочитать нечем
                    0
                    Смотрите софт на сайте производителя, если нет, то велкам.
                  0
                  Для отображения данных делают, но не все. А для восстановления никто не делает, только реинжиниринг и написание своего. Майкрософт же пишет софт для восстановления данных с нтфс. Но на ntfs можно найти низкоуревневую инфу, опять же продукт реинжиниринга (линукс проджект например), а на регистраторы производители ничего не выкладывают, это типа их ноу-хау.
                  0
                  У нас на работе 5 сверху девайс (золотистый) — редкостная дрянь.
                  Очень часто виснет, переставая писать(но визуально все ок(часики тикают, камеры работают), либо циклически перезагружается.
                    +3
                    не смотря что у всех написанно что ос Linux, не факт что используется ext2/3/xfs
                    Очень интересно, а что тогда? Расскажите хотя бы в двух словах. (FAT32/exFAT не считается :)
                      +2
                      P.S. В вопросе нет никакой иронии, просто может действительно сталкивались с интересными, нестандартными решениями в области файловых систем?
                        0
                        Может отдельно напишу мини-статейку про подобие ФС, естественно поток должен чем описываться и без описания никак, но на разных по разному, и разлобать сложно.
                        +1
                        Я уверен просто свое примитивное подобие ФС. Там надо то индекс файлов, а дальше заголовок-поток, заголовок-поток…
                        0
                        Как же так, даже китайский превдорегистратор за 7$ (!!) пишет на флешку в FAT32, никаких особых файловых систем, всё прекрасно видится компьютером. Даже и не знал, что бывают мудреные случаи. Сейчас вот проверил свой, тоже FAT32
                          +1
                          в статье же сказано — в случае авторегистраторов как правило проблем нет с ФС, есть только с «неполными» файлами.
                            +2
                            Что же мешает и в не-авто регистраторах использовать FAT32? Неужто специально усложняют дело
                              0
                              ничего не мешает, но просмотр архива, поиск и аналитика усложняются, поэтому и не делают, видимо.
                                0
                                Вы правы они триплексные и боле плексные фат с этим не справится, но на самом деле не знаю, почему НЕ юзаются обычные файловые структтуры
                                  0
                                  для регистраторов как на картинках — на всех за глаза и за уши простого фата.

                                  когда же вы пишете 40 камер на один диск — лучше вообще не использовать ФС, а писать просто линейно на диск от каждой камеры полученный кадр + метка времени + синхро с аудио, а индекс для проигрывания вести отдельно.
                                  Это просто способ обойти ограничения обычных дисков на IOPS по записи — вся запись приводится к линейной.
                          0
                          Извините за оффтоп, но не тот ли это бубен, на котором когда-то было прифотошоплено «cisco» и сделано с ним фото волосатого админа?
                            0
                            Это мой друг!!! Не надо грязи, никакого фотошопа. Друг помогает в особо тяжких кейсах. Когда стандартные средства не помогают. Куплен в Саратове за 10к.
                              0
                              Анди, спасибо, значит не хидер, а хедер.
                              0
                              Вдогонку добавлю свои пять копеек… Существуют такие устройства, как бытовые видеорекордеры с встроенным жестким диском и пишущим DVD-приводом. Когда работал в сервисном центре, приходили люди, которые хранили видео- или фото-архив на жестком диске такого агрегата… и частенько бывало так, что при записи очередной порции данных с карты памяти фотика или DVD-болванки моргал свет или рекордер тупо зависал.
                              Приходилось разбираться — жесткий диск переставлялся в компьютер и снимался образ — а далее анализ файловой системы — например у Sony была кастрированная(непонятно зачем) файловая система FAT32.После анализа и сравнения с оригинальной FAT32 и приведением к стандарту удавалось обработать образ testdisk-ом.
                              В более клинческих случаях файловая система при перебое питания недополучала порцию данных из буфера устройства.Тогда ничего кроме HEX-редактора не помогало.
                              Для рекордеров Samsung даже приходилось писать простенький экспортер архива, так как по непонятным причинам, внезапно жесткий диск переставал проходить проверки на валидность внутри рекордера и предлагал решить проблему форматированием))).
                                0
                                Везло Вам с фатом, мне обычно Panasonic-и приносили, а там шифрование. Казалось бы, зачем тв-пристаке шифрация....??
                                  0
                                  Автор подскажите как числа красным шрифтом получены с Вашей картинки hex -редактора?

                                  пытаюсь по аналогии разобраться с диском от неизвесного регистратора…
                                    0
                                    Очень просто, откройте калькулятор, включите режим «Инженерный», напишите 590079 в Dec, и переведите в Hex сразу станёт всё понятно.

                                    Only users with full accounts can post comments. Log in, please.