此案例由于合同原因不對文件結(jié)構等具體性內(nèi)容進行描述，也沒有截圖，只是把奮戰(zhàn)兩天的過程記錄下來，算是個紀念吧！

客戶描述如下：

???? 有一專用高速拍攝設備生成的擴展名為CI**的文件（其3 4秒鐘的視頻可能就有7 8G），大約為7G左右，使用文件系統(tǒng)為NTFS，邏輯盤大小為450G，在某次執(zhí)行完畢時操作員從設備下載視頻文件成功，在進行合成操作過程中進行了刪除操作，操作員發(fā)現(xiàn)刪除后，直接使用了FINADATA軟件進行了掃描操作，產(chǎn)生了一定大約600多M的碎片很多的臨時文件（當然這個是后續(xù)分析才知道的）。針對此種情況，客戶提出了上門的要求，根據(jù)合同我們提供了×××。

分析過程：

?????? 經(jīng)過分析發(fā)現(xiàn)此類文件為特殊文件，文件結(jié)構和標準的AVI MPG等視頻有極其大的差別，主要區(qū)別表現(xiàn)在標準的視頻類壓縮比例較高，而此文件可以說是高清了。在現(xiàn)場經(jīng)過分析知道了文件頭標識及相應的日期 時間在文件頭中的偏移值（使用UNIX時間表示方法）。根據(jù)此情況，又根據(jù)該邏輯盤的其它正常的視頻文件的分析情況（都是不連續(xù)的），得出結(jié)論此文件產(chǎn)生碎片的機率極高！

據(jù)此提供了第一套方案：

STEP1.通過對文件系統(tǒng)中的空閑簇搜索文件頭標識，如果符合條件對文件頭日期進行篩選，指定到用戶所描述的日期，為了不漏掉對日期進行了模糊篩選的方法，即定一大概日期，只要符合此條件就為須要文件。

STEP2.定位到文件頭所在位置后進行文件結(jié)構深入分析，看是否存在碎片，如果存在進行碎片定位。

第2步是建立在第1步的基礎之上，所以先不進行第2步的深入分析。開始寫程序，經(jīng)過進行調(diào)試，程序可以正常運行，程序在掃描時會對空閑簇中全部為0的簇進行跳過的操作，這樣會加快掃描速度。經(jīng)過1個多小時掃描，得到了結(jié)果，令人遺憾的是沒有發(fā)現(xiàn)用戶所說日期的文件，此方案的失敗，開始對用戶所描述的末做任何操作產(chǎn)生懷疑！在WINHEX中對比文件日期發(fā)現(xiàn)有一大約有90多個碎片且簇跨度很大的文件是在做過刪除操作的同一日期，看文件頭為FINADATA*****（后續(xù)貌似是標簽的意思想不起來了），再次溝通，用戶說是做過掃描操作，用的就是FINADATA，但是他能看到文件名，文件大小卻為0（在刪除大于4G的文件時管理 文件會對文件記錄中的文件長度為簇位置分布DATARUN進行清0操作），之后就再沒有做過操作了。

到了這一步得到如下結(jié)論：

此刪除的視頻文件很有可能被部分覆蓋了，因為那個FINDATA的文件跨度很大，但是長度卻不是很大，而視頻文件頭可能就是被覆蓋了，導致程序定位不到。下一步進行操作就必須對此視頻文件進行深入分析，看其在數(shù)據(jù)區(qū)等位置有無標識區(qū)。對比樣本文件，由于時間緊張，用戶找來了做合成的老師做配合，通過電話溝通對此類文件有一個深入了解，很快制定了第二套方案。

STEP1.先進行管理區(qū)定位，看管理區(qū)是否存在，（由于 此文件管理區(qū)占用較少扇區(qū)也就20多個扇區(qū)，簇大小為8SEC，所以認為覆蓋的可能性很大）

STEP2.直接進行數(shù)據(jù)區(qū)定位，由于搞清楚了此類文件的封裝模式，搞清楚了分辯率（1600*1600，此類文件有兩種封裝模式，具體由于合同原因就不細說），進行數(shù)據(jù)區(qū)數(shù)據(jù)定位

STEP3.分析NTFS中原文件$BITMAP，得出空閑簇分配表，對大塊區(qū)間進行重點關注

STEP4.提取符合條件的內(nèi)容，進行合成。由于要合成須要寫新的合成程序，通過和合成軟件的老師溝通，針對合成的情況給出一個通過修改一個正常的視頻文件的數(shù)據(jù)區(qū)（使用提取出來的數(shù)據(jù)區(qū)），并進行修改管理區(qū)參數(shù)的操作，從而“騙”過合成軟件直接進行合成。經(jīng)過測試此方案可行。

2號方案制定后和客戶溝通，得到其認可。立刻進行修改程序的操作，經(jīng)過程序進行掃描，提取了大量符合條件的內(nèi)容（因為此盤也存在過很多同樣格式的視頻文件，做過很多刪除提取操作）。對提取的內(nèi)容進行在新視頻中的修改，進行合成，合成 后讓用戶對比那些是其所須。

經(jīng)過對比用戶發(fā)現(xiàn)了其中很多符合條件的內(nèi)容，對這些內(nèi)容所在的提取文件名進行分析（文件名在程序中設定為偏移扇區(qū)所在），經(jīng)過對比發(fā)現(xiàn)此文件可能產(chǎn)生過臨時文件，剔除臨時文件。繼續(xù)分析數(shù)據(jù)區(qū)，通過比對，發(fā)現(xiàn)存在大約7個碎片，使用WINHEX合成碎片，重新生成新視頻并修改管理區(qū)進行合成軟件合成。合成后數(shù)據(jù)的連貫性得到了客戶的認可，同時在起始和結(jié)束的一大部分可能是被覆蓋了，起始部分破壞最大，這是比較遺憾的地方。

??????? 至此恢復工作完成，用戶對恢復的時間、質(zhì)量給予極大的評價！綜合恢復過程，可以大致判斷文件在第一次刪除后應該是完整的，但是后續(xù)產(chǎn)生的FINDATA臨時文件由于跨度大的原因，對刪除視頻文件的起始和結(jié)束部分造成了破壞。

???????此案例完成后我們也收獲了此類特殊視頻的碎片提取程序，有遇到此類特殊視頻的朋友可以和我們聯(lián)系。

?

轉(zhuǎn)載于:https://blog.51cto.com/chs163/948884

總結(jié)

以上是生活随笔為你收集整理的特殊视频文件恢复的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。