Исследование записей автомобильного видеорегистратора
Компьютерно-техническое исследование по Техническому Заданию № 45532, 2018 г
Объекты исследования
- автомобильный видеорегистратор SHO-ME Combo №3 A7, серийный номер 1605****;
- Цифровой носитель информации Flash Micro SD Silicon Power HC 6 E516G1233 с серийным номером TP2T0M2******;
На разрешение компьютерно-технического исследования поставлены следующие вопросы
- Имеются ли на предоставленных объектах видеоматериалы с запечатленным моментом дорожно-транспортного происшествия с участием транспортного средства, на котором были установлен предоставленный видеорегистратор;
- Если указанных файлов нет, то есть ли возможность их восстановить с использованием специальных средств;
- Есть ли признаки внесения изменений в содержимое цифрового носителя, предоставленного на исследование, при помощи предоставленного видеорегистратора или иных средств, которые могут быть причиной отсутствия указанных файлов и/или невозможности их восстановления.
Компьютерно-техническое исследование провел: Рыжиков Александр Сергеевич
Описание объектов, поступивших на исследование
На исследование поступил автомобильный видеорегистратор SHO-ME Combo №3 A7 и карта памяти SP microSD HC C6 16 GB.
По информации с официального сайта производителя SHO-ME Combo №3 A7 – регистратор с GPS/ГЛОНАСС-модулем и радар-детектор с комбинацией – запись происходящего на видео в высоком качестве (Full HD) и оповещение о сигналах полицейских радаров. В данный момент снят с производства.
Системное время видеорегистратора соответствует фактическому местному (московскому) времени.
Для корректной работы данного видеорегистратора предъявляются следующие требования к используемым картам памяти: SD: Class 10, поддержка UHS-I, UHS-I Speed Class 3 (U3).
Рекомендованный к использованию список карт памяти:
- Micro SD Ultimate HC, UHS-I, U3, v30, объем 16 – 64 Гб
- Micro SD SanDisk Extreme HC, UHS-I, U3, v30, объем 16 – 64 Гб,
- Micro SD Toshiba Exceria XC, UHS-I, U3, объем 16 – 64 Гб,
- Micro SD Samsung PRO Plus XC, UHS-I, U3, объем 16 – 64 Гб,
- Micro SD Samsung EVO Plus XC, UHS-I, U3, объем 16 – 64 Гб
Карта памяти SP microSD HC C6 16 GB относится к классу накопителей монолитного исполнения, у которых контроллер управления и кристалл памяти расположены в одном корпусе без возможности извлечения. На обратной стороне карты памяти расположена надпись E516G1233 TP2T0M2B33103. Карта памяти исправна.
Предоставленная карта памяти имеет класс скорости class 6, что ниже заявленного в требованиях производителя видеорегистратора (class 10). Эта карта не соответствует требованиям производителя видеорегистратора и отсутствует в списке рекомендованных к использованию.
Исследование проведено на основе
- специальных знаний о принципах записи и хранения данных на цифровых носителях (в частности картах памяти);
- практических навыков восстановления утерянной и удаленной информации с цифровых носителей;
- владения специальными знаниями о принципах работы средств видеофиксации;
В ходе проведения исследования экспертом применялись следующие методы:
- визуальный осмотр оборудования;
- использование программных средств восстановления данных по различным алгоритмам (1. Основываясь на содержимом файловой системы, 2. Основываясь на внутреннем формате файлов);
- просмотр видеофайлов;
- посекторное копирование цифрового носителя в файл-образ;
- использование специальных средств программно-аппаратного комплекса РС3000 и DataExtractor для работы с незанятым пространством логического раздела;
- анализ содержимого файловой системы;
- анализ метаданных видеофайлов;
- анализ цепочек кластеров файлов.
В ходе исследования проводились следующие работы:
Исследованию подвергалась карта памяти, подключенная к АРМ через карт-ридер TS-RDF8K USB3.0 серийный номер 601849-0770. При этом предварительно была произведена блокировка через реестр операционной системы автоматического монтирования раздела карты памяти для исключения записи.
Для исследования содержимого карты памяти и ответа на поставленные вопросы было использовано следующее программное обеспечение:
- WinHex 18.3;
- программно-аппаратный комплекс РС3000 совместно с DataExtractor;
- ПО от регистратора фирмы DATAKAM;
- UFS Explorer Professional Recovery.
- R-Studio 7.16
В ходе исследования было установлено, что карта памяти имеет один логический раздел, на котором заполнено 14 528 450 560 байт. Общий размер логического тома, куда происходит запись, составляет 15 468 593 152 байт.
Сведения о временных параметрах, указанных в исследовательской части, определялись относительно системного времени по датам создания или изменения файлов, либо по иной информации содержащихся в файлах. Эти параметры могут изменяться пользователем путем изменения системного времени записывающего устройства при создании или изменении файла, или другими способами.
- Для ответа на первый вопрос необходимо установить, есть ли момент дорожно-транспортного происшествия с участием транспортного средства, на котором был установлен предоставленный видеорегистратор, в файлах, записанных на предоставленную карту памяти.
Список существующих файлов и папок, записанных на карту памяти, представлен в табличном виде.
При просмотре содержимого видеофайлов посредством кроссплатформенного медиапроигрывателя VLC, записанных на карту памяти на момент предоставления ее на исследование, установлено, что такого события как дорожно-транспортное происшествие не обнаружено.
- Для ответа на второй вопрос необходимо восстановить удаленные файлы и проанализировать незанятое пространство логического раздела карты памяти.
Для восстановления удаленных файлов использовалось ПО R-Studio 7.16, посредством сканирования на поиск удаленных файлов подключенной карты памяти через карт-ридер. В результатах восстановления были найдены удаленные видеофайлы. Список восстановленных и сохраненных файлов представлен в табличном виде.
После сохранения файлов и при попытке просмотреть их с помощью кроссплатформенного медиапроигрывателя VLC было установлено, что файлы повреждены и не воспроизводятся.
При просмотре содержимого файлов, записанных на карту памяти, было установлено, что последний файл, записанный до момента аварии, – это файл 12071834_4055.MP4. Так как это файл меньшего объема, чем файлы, записанные до него и после, то была предпринята попытка найти его продолжение в свободном незанятом пространстве на логическом разделе карты памяти.
Для поиска только по незанятому пространству требовалось исключить существующие данные на карте памяти. Для решения этой задачи был использован программно-аппаратный комплекс РС3000 и DataExtractor. Была создана задача посекторного копирования в файл-образ карты памяти и сделан полный образ. Затем в DataExtractor были отмечены все существующие папки и файлы и построена «Карта отмеченных каталогов и файлов». Таким образом, получены цепочки выделенных секторов для каждого файла, который доступен стандартными средствами компьютера, если напрямую подключить регистратор к компьютеру посредством usb кабеля или только карту памяти через карт-ридер. Выделенные цепочки секторов были очищены, то есть сектора были перезаписаны 0х00. Полученный в результате такой операции файл-образ «TaskImage.bin» был использован для дальнейшей работы по поиску нужного видеофрагмента.
Программа «DATAKAM PLAYER.exe» для просмотра файлов регистраторов фирмы DATAKAM имеет встроенную функцию ремонта поврежденных файлов в двух режимах:
- Найти и восстановить заголовок файлы внутри самого файла. Сработает для MOV и MP4 файлов, созданных большинством популярных регистраторов на базе чипа Ambrella.
- Полное сканирование файла и попытка декодировать все байты. Это создаст новый файл, который содержит все распознанные кадры.
В целях проводимого исследования выбран второй режим восстановления. В качестве образцового предварительно был сохранен файл 12071739_4000.MP4. В качестве поврежденного был использован полученный файл образ «TaskImage.bin» и запущен процесс восстановления.
В результате работы программы было сформировано 13 видеофайлов общим объемом 928 943 499 байт.
Список сформированных(восстановленных) файлов с карты памяти из свободного незанятого пространства представлен в табличном виде.
При просмотре с помощью кроссплатформенного медиапроигрывателя VLC содержимого видеофайлов, сформированных(восстановленных) с карты памяти, момента дорожно-транспортного происшествия не найдено.
- Для ответа на третий вопрос были проанализированы с помощью ПО WinHex элементы файловой системы FAT32, в которую отформатирована карта памяти, расположение файлов по кластерам, временные характеристики файлов на карте памяти.
В ходе исследования было установлено, что файлы видео длительностью в 1 минуту занимают 3202 кластера, где 1 кластер – это блок в 32 Кб. Файлы пишутся последовательно друг за другом и при записи сначала начинает писаться основное «тело» файла, а по завершении формируется корректный заголовок и заносятся соответствующие записи в файловую структуру о имени файла и его расположении на карте памяти. На Иллюстрациях представлены скриншоты программы WinHex, на которых изображены файлы до и после последнего файла предположительно перед моментом аварии 12071834_4055.MP4. На этих иллюстрация представлен встроенный проводник файловой системы программы WinHex со следующими полями: Name (Имя файла/папки), Ext. (Расширение файла), Size (Размер файла), Created (Дата и время создания файла), Modified (Дата и время последнего изменения файла), Record changed (Изменение записи, относится к файловой системе NTFS, Attr.(Атрибуты файла), 1st sector(Сектор логического тома, в котором начитается файл) и в отдельном поле указаны кластера, которые занимает файл на карте памяти.
Анализ размещения кластеров, занимаемых файлами, показал, что после последнего кластера, принадлежащего файлу 12071834_4055.MP4, следующий кластер относится к файлу 12071835_4056.MP4. Какого-либо разрыва в последовательности цепочек кластеров не обнаружено. Таким образом, на предоставленном носителе информации не обнаружено признаков внесения изменений посредством перезаписи файла 12071834_4055.MP4 его копией, обработанной (урезанной) с помощью программных средств видеомонтажа.
В ходе исследования установлено, что на изображении видеофайла в нижнем правом углу есть указание на метаданные движения автомобиля: фирма видеорегистратора, скорость и gps координаты движения автомобиля, дата и время съемки.
Время, указанное на изображении видеофайла, и время создания и изменения, зафиксированное в файловой системе, совпадают, имея погрешность в 1-2 секунды, что связано с технической реализацией алгоритма записи. Согласно временным показателям, разница между временем завершения записи последнего файла перед возможным дорожно-транспортным происшествием и временем создания следующего файла, зафиксированным в файловой системе FAT32, составляет 5 секунд. Это позволяет сделать вывод о том, что на предоставленной карте памяти нет признаков внесения изменений путем удаления искомого файла и последующей его перезаписью новым видеофрагментом.
На основе исследования расположения файлов по кластерам и временным характеристикам файлов на карте памяти можно утверждать, что видеоматериалы в исследованных файлах, заголовки соответствующих файлов и содержимое файловой системы соответствуют друг другу.
Признаки внесения изменений в содержимое цифрового носителя, предоставленного на исследование, при помощи предоставленного видеорегистратора или иных средств, которые могут быть причиной отсутствия указанных в вопросах 1-2 файлов и/или невозможности их восстановления, не обнаружены.
По мнению специалиста, причиной отсутствия искомого видеофрагмента является прерывание записи данных видеорегистратором в момент ДТП и несохранение искомого видеофрагмента на карту памяти. По опыту работы с аналогичным оборудованием, а также на основании консультации с представителями технической поддержки производителя исследуемого видеорегистратора, наиболее вероятной причиной сбоя в работе исследуемого оборудования специалист считает недостаточную производительность используемой карты памяти, не соответствующей списку рекомендованных производителем видеорегистратора.
Выводы
По первому вопросу
На представленном автомобильном видеорегистраторе и карте памяти среди записанных на момент исследования файлов видеоматериалов с запечатленным моментом дорожно-транспортного происшествия с участием транспортного средства, на котором был установлен предоставленный видеорегистратор, не обнаружено.
По второму вопросу
После проведенных работ по восстановлению удаленных файлов по файловой системе и по свободному незанятому пространству можно утверждать, что восстановить видеоматериалы с запечатленным моментом дорожно-транспортного происшествия с участием транспортного средства, на котором был установлен предоставленный видеорегистратор, невозможно.
По третьему вопросу
Проанализировав месторасположение файлов на карте памяти, время создания файлов, признаков внесения изменений в содержимое цифрового носителя, предоставленного на исследование, при помощи предоставленного видеорегистратора или иных средств, которые могут быть причиной отсутствия указанных файлов и/или невозможности их восстановления, не обнаружено.