上海浦东软件园信息技术股份有限公司计算机司法鉴定所对计算机视频提取与恢复进行司法鉴定案例

XX市某区市场监督管理局对某公司涉嫌保健品诈骗案的调查过程中，需要对送检计算机进行数据保全，提取并恢复“AA”相关的视频文件。

本次检验从数据保全开始，提取分析的过程主要分为三大部分：

第一部分是动态仿真分析，通过对检材中检出的操作系统进行仿真，对系统的软件安装记录、播放器软件播放记录、本地文件以及操作系统回收站进行勘验；

第二部分是静态分析，使用取证软件对检材的镜像文件进行解析，对系统信息、最近打开的文件记录、多媒体文件等进行检验；

第三部分是数据恢复提取，根据MP4文件的特征对检材的镜像文件进行数据恢复，并对恢复的结果进行检验。

数据保全：

将送检计算机中的硬盘插入取证专用主机的只读盘仓，使用Winhex对其进行数据保全。

数据提取：

1.仿真动态提取

从检材镜像操作系统控制面板中检出2条视频播放器软件的安装记录，分别为QQ影音播放器软件和暴风影音播放器软件，对二者的播放列表进行检验，检出暴风影音播放器本地播放记录21条，上述21条记录中有11条播放记录含有“AA”或“BB”的字样，其中，仅“AAA.mp4”的记录显示有“38分钟”的字样。

在该操作系统的文件管理器中以“AA”作为关键字进行检索，命中31条记录，经检验，上述31条命中记录中有3个是能够链接到本地的文件，其他均是文件的访问记录。

使用该操作系统中安装的“QQ影音”及“暴风影音”软件均无法播放“AAA.mp4”。在该MP4文件所在目录中检出一个名称为“XXX播放器高级版.exe”的播放器软件，经技术处理，该播放器软件可以播放“AAA.mp4”文件，此视频时长36：26。

检验过程中发现，桌面“回收站”中的文件“BBB.mp4”，大小为“1.77GB”，还原后用“XXX播放器高级版.exe”打开，播放器软件显示视频时间长度为“1：7：38”。

2.静态分析

最近打开的文档中和“AA”或者“BB”有关的文档访问记录有42条，过滤检材镜像中文件名称包含“AA”或“BB”的文件，命中17个文件，其中14个lnk文件，3个mp4文件。

过滤检材镜像中文件类型为“mp4”的文件，检出125个文件，其中27个为已删除文件。逐一对检出文件进行查看，仅回收站目录中的“YYY.mp4”与“AA”和“BB”相关。根据回收站记录：“YYY.mp4”于2017-06-15 20：05：44被删除至回收站，与仿真分析时发现的回收站中的文件是同一个文件，两者hash相同，使用SafeAnalyzer导出该视频文件。

3.数据恢复

使用数据恢复软件R-Studio对检材镜像（编号：XXX 01-02.dd）进行扫描，在“XXX”文件中恢复出367个MP4文件，并未发现文件特征与“AA和AAA.mp4”、“BBB.mp4”一致或者内容与“AA”或“BB”相关的视频文件。

本次鉴定对委托方送检笔记本计算机中的硬盘进行数据保全，使用动态仿真和静态分析的方式对相关视频文件进行提取，并使用专业数据恢复软件对硬盘中的mp4文件进行恢复。分析如下：

静态分析时检出的文件名为“YYY.mp4”的视频文件在被删除时，被操作系统移至回收站并重命名，回收站记录显示该文件原文件名为“AAA.mp4”与动态仿真分析时发现的系统回收站中的“AAA.mp4”文件hash值相同，文件名相同，来源相同，是同一个文件。

检验过程中，在发现“XXX播放器高级版.exe”时，运行该软件，软件提示“免费体验已经到期”，根据“BBB.mp4”和“YYY.mp4（AAA.mp4）”的最后访问时间判断，该软件于“2017年6月15日”之前能够运行。将当前操作系统时间修改为“2017年6月1日”，再次运行该播放器，提示“检测到系统时钟被修改，将停止播放”，选择另外一台取证主机，将其系统时间设置为：2017年6月1日，将前文导出的“XXX播放器高级版.exe”、“AAA.mp4”和“BBB.mp4”拷贝至该取证主机中提前搭建好的Win7虚拟机里，系统时间与主机保持一致。在该虚拟机中运行“XXX播放器高级版.exe”，能够正常播放“BBB.mp4”。

经鉴定小组分析及检验，鉴定意见如下：

对送检笔记本计算机（检材编号：XXX00-01）中的硬盘（检材编号：XXX01-02）进行数据保全，在上述检材镜像（镜像名称：XXX01-02.dd）中检出与“AABB”相关的视频文件2个，文件名称分别为：“AAA.mp4”和“BBB.mp4”。