四川效率源电子数据司法鉴定所对监控录像机及视频数据的电子数据司法鉴定案
- 案例时间:2019-05-06 00:00:00
- 浏览量:0
- 案例编号:SCSJYW1553219082
- 案例类型:司法鉴定出庭作证案例
【案情简介】
2017年9月18日10时至11时30分,作为学校老师的李XX打了一名学生,之后该名学生跳楼自杀,李XX的同事王XX在事发后帮助李XX毁灭其打学生的监控录像证据。公安机关委托本鉴定机构恢复送检监控录像机中涉案视频文件,提取监控设备操作痕迹记录,检测该监控设备中的硬盘是否为原始硬盘。
【鉴定过程】
(一)技术规范
1.GA/T 756-2008数字化设备证据数据发现提取固定方法
2.GB/T 29362-2012电子物证数据搜索检验规程
3.GB/T 29360-2012电子物证数据恢复检验规程
(二)鉴定工具
设备:鉴定工作站(ED-SP9200)
软件:360杀毒软件 8.8.0.1078、R-Studio Network 8.3.169775(以下简称:R-Studio)、WinHex 18.3、效率源VIP8800视频侦查单兵系统 1.0.15.7996(以下简称:VIP8800)
(三)鉴定步骤
1.检材编号
对检材进行唯一性编号:将检材监控主机编号为2018-0025-JW,将监控录像机内硬盘编号为2018-0025-JC。
2.准备鉴定环境
使用360 Total Security Essential杀毒软件对工作站进行全盘扫描,未发现病毒。
杀毒软件版本:8.8.0.1078
病毒库日期:2018年3月28日
同时对检验工作站及周边环境进行了防磁、防水、防静电和防震保护。
3.固定数据
将检材硬盘以只读方式连接至鉴定工作站。运行WinHex软件,对硬盘进行MD5校验并产生镜像文件“2018-0025-JC.dd”,大小为465GB(500107862016字节)。随后对检材的镜像文件进行MD5校验,两次校验的MD5值见表3-3-1。
表3-3-1 检材与镜像文件校验结果
|
校验对象 |
MD5检验值 |
|
666C2674EED1235231FF00EFBB5A7938 |
|
|
镜像:2018-0025-JC.dd |
666C2674EED1235231FF00EFBB5A7938 |
经过比对,编号为的检材源盘与其镜像文件的校验值相同,可以确认二者的数据完全一致,在司法鉴定操作过程中将镜像文件视作检材源盘。
数据固定完成后断开连接,取出检材,放回封装袋后封存。
4.提取数据
(1)提取检材硬盘数据
运行VIP8800软件,提取硬盘中的录像视频数据。加载镜像文件“2018-0025-JC.dd”,使用软件深度扫描功能提取硬盘内监控视频,共提取到视频文件44个,大小共计1.04GB(1122215936字节)。提取结果的局部截图如图4-1-1所示。
图4-1-1 检材硬盘中扫描到的监控视频文件
运行R-Studio软件,提取硬盘中的非录像视频文件数据。加载镜像文件“2018-0025-JC.dd”并对其进行全盘扫描,解析出4个NTFS分区,每个分区内有少量数据,这些数据为Windows系统文件。将这些数据导出至本地鉴定专用硬盘,文件共计25847个,大小共计3.85GB(4144784394字节),其中第一个分区的文件如图4-1-2所示。
图4-1-2 第一个分区的文件系统及路径
(2)提取监控主机中操作痕迹数据
经检验,监控录像机系统日志存储在监控主机的存储芯片内。配置好本地硬件环境后,将检材监控录像机开机,登录后查询“2017年9月1日至2017年12月1日”时间段的日志记录,共计209条。由于该监控录像机无日志导出功能,故对其进行逐屏拍照记录,共得到记录图片文件29个,大小共计63MB。
【分析说明】
1.硬盘的监控视频文件分析
在检材硬盘中恢复和提取到44个监控视频文件,这些文件分布在16个视频通道中,视频文件详细信息如表1-1所示。
表1-1 视频文件详细信息
|
文件名 |
通道号 |
日期 |
开始时间 |
结束时间 |
视频时长 |
|
17 17 20171012140024-20171012140828.dav |
17通道 |
2017年10月12日 |
14:00:24 |
14:08:28 |
0:08:04 |
|
17 17 20171024090811-20171024092344.dav |
17通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
18 18 20171012140024-20171012140024.dav |
18通道 |
2017年10月12日 |
14:00:24 |
14:00:24 |
0:00:00 |
|
18 18 20171012140024-20171012140829.dav |
18通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
18 18 20171024090811-20171024092344.dav |
18通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
19 19 20171012140024-20171012140829.dav |
19通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
19 19 20171024090811-20171024092344.dav |
19通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
20 20 20171012140024-20171012140829.dav |
20通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
20 20 20171024090811-20171024092344.dav |
20通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
21 21 20171012140024-20171012140829.dav |
21通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
21 21 20171024090811-20171024090811.dav |
21通道 |
2017年10月24日 |
09:08:11 |
09:08:11 |
0:00:00 |
|
21 21 20171024090811-20171024092344.dav |
21通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
22 22 20171012140024-20171012140024.dav |
22通道 |
2017年10月12日 |
14:00:24 |
14:00:24 |
0:00:00 |
|
22 22 20171012140024-20171012140829.dav |
22通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
22 22 20171024090811-20171024090811.dav |
22通道 |
2017年10月24日 |
09:08:11 |
09:08:11 |
0:00:00 |
|
22 22 20171024090811-20171024092344.dav |
22通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
23 23 20171012140024-20171012140829.dav |
23通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
23 23 20171024090811-20171024090811.dav |
23通道 |
2017年10月24日 |
09:08:11 |
09:08:11 |
0:00:00 |
|
23 23 20171024090811-20171024092344.dav |
23通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
24 24 20171012140024-20171012140024.dav |
24通道 |
2017年10月12日 |
14:00:24 |
14:00:24 |
0:00:00 |
|
24 24 20171012140024-20171012140829.dav |
24通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
24 24 20171024090811-20171024092344.dav |
24通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
25 25 20171012140024-20171012140829.dav |
25通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
25 25 20171024090811-20171024092344.dav |
25通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
26 26 20171012140024-20171012140024.dav |
26通道 |
2017年10月12日 |
14:00:24 |
14:00:24 |
0:00:00 |
|
26 26 20171012140024-20171012140829.dav |
26通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
26 26 20171024090811-20171024090811.dav |
26通道 |
2017年10月24日 |
09:08:11 |
09:08:11 |
0:00:00 |
|
26 26 20171024090811-20171024092344.dav |
26通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
27 27 20171012140024-20171012140024.dav |
27通道 |
2017年10月12日 |
14:00:24 |
14:00:24 |
0:00:00 |
|
27 27 20171012140024-20171012140829.dav |
27通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
27 27 20171024090811-20171024092344.dav |
27通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
28 28 20171012140024-20171012140829.dav |
28通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
28 28 20171024090811-20171024092344.dav |
28通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
29 29 20171012140024-20171012140829.dav |
29通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
29 29 20171024090811-20171024092344.dav |
29通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
30 30 20171012140024-20171012140024.dav |
30通道 |
2017年10月12日 |
14:00:24 |
14:00:24 |
0:00:00 |
|
30 30 20171012140024-20171012140829.dav |
30通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
30 30 20171024090811-20171024090811.dav |
30通道 |
2017年10月24日 |
09:08:11 |
09:08:11 |
0:00:00 |
|
30 30 20171024090811-20171024092344.dav |
30通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
31 31 20171012140024-20171012140829.dav |
31通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
31 31 20171024090811-20171024090811.dav |
31通道 |
2017年10月24日 |
09:08:11 |
09:08:11 |
0:00:00 |
|
31 31 20171024090811-20171024092344.dav |
31通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
|
32 32 20171012140024-20171012140829.dav |
32通道 |
2017年10月12日 |
14:00:24 |
14:08:29 |
0:08:05 |
|
32 32 20171024090811-20171024092344.dav |
32通道 |
2017年10月24日 |
09:08:11 |
09:23:44 |
0:15:33 |
经检验,这些视频均为2017年10月12日和2017年10月24日两天记录的视频文件,未发现2017年9月18日的视频文件。
2.硬盘中非监控视频数据分析
由于在数据提取过程中发现检材硬盘有4个NTFS分区,且每个分区内有少量Windows系统环境产生的文件,故对全盘数据进行扫描和分析。运行WinHex软件,加载硬盘镜像文件并查看其中数据。以其中分区1引导扇区数据作为示例,如图2-1所示。每个分区的起始扇区和结束扇区在硬盘中的位置如表2-1所示。
图2-1 “分区1”引导扇区数据展示
表2-1 NTFS分区起始扇区和结束扇区的存储位置
|
各分区起始扇区与结束扇区所在位置 |
||
|
分区编号 |
起始扇区 |
结束扇区 |
|
分区1 |
63 |
104858207 |
|
分区2 |
104858271 |
396363743 |
|
分区3 |
396363807 |
687869279 |
|
分区4 |
687869343 |
976773167 |
使用WinHex软件的搜索功能,查找硬盘中数据为全“00”的扇区,共找到962673532个。经计算,这些扇区占用的硬盘空间大小为459GB(492888848384字节),约占整个硬盘容量的98%。搜索结果如图2-2所示。
图2-2全“00”扇区搜索结果
3.监控机的系统日志分析
在2017年9月1日至2017年12月1日之间共找到监控机系统日志209条。通过检索发现在2017年9月18日22点17分51秒,监控录像机有格式化硬盘的操作,进行该操作的系统用户名为“888888”,如图3-1所示。
4.综合分析
(1)经检验发现,检材硬盘中曾建立过Windows系统的NTFS分区并存储过2012年的文件,这些文件均是在Windows系统环境下才能够产生。如果在产生这些文件后硬盘被用做监控录像机的硬盘,这些文件会被之后的专用格式监控视频数据循环覆盖多次,不可能再恢复提取出非监控视频格式的完整分区和文件。
(2)监控录像机的工作方式是硬盘存满视频文件后从头循环覆盖存储,即使是在监控机上进行了格式化操作,也不具有将硬盘上原来的数据代码全部填“00”的功能。但事实上,硬盘又存在着98%的全“00”存储扇区,如果这是格式化操作产生的全“00”数据,则2012年在Windows系统环境下产生的分区和数据也将不复存在。
(3)根据上述分析可以确认,检材硬盘不是检材监控录像机案发时使用的原始硬盘。结合监控录像机系统日志记录分析,存储有2012年产生的Windows文件系统数据的该检材硬盘,于案发时间2017-09-18 10:00~11:30分之后接入该监控录像机,然后,用户名为“888888”的操作者于2017-09-18 22:17:51对监控录像机硬盘进行了格式化操作,并于2017年10月12日和24日开启监控录像机进行录像,在硬盘上存储了这两天的视频数据。
【鉴定意见】
对编号为“2018-0025-JC”、“2018-0025-JW”的检材进行技术检验和取证,鉴定意见如下:
1.未发现案发时间段的监控视频数据;
2.提取到2017年9月8日至2017年11月8日监控录像机系统日志记录209条,其中包括2017-09-18 22:17:51对硬盘进行格式化操作的记录;
3.检材硬盘不是检材监控录像机案发时使用的原始硬盘。
提取的数据和拍摄的系统日志照片存储在光盘内的压缩文件“2018-0025.zip”中,将压缩文件解压后打开相应文件夹即可查看。
光盘唯一性编号及压缩文件MD5校验值如表6-1所示。
表6-1 光盘信息
|
光盘信息 |
||
|
光盘唯一性编号 |
压缩文件名 |
压缩文件MD5(128bit)校验值 |
|
2018-0025 |
2018-0025.zip |
38ECAD3402D68FD3B93158A4AB0B95EF |
