那个的硬盘录像的解码\调取及取证规范
时间:2022-10-08 03:42:53
【摘要】视频监控技术伴随着计算机、网络、存储、芯片技术的发展也迅速发展起来。从早期的模拟视频监控、中期的数字视频监控发展到目前的智能网络视频监控技术,产品不断的升级,结构也不断的变化,功能不断的完善,应用领域不断的扩展。其功能之一是实现海量的视频数据存储,视频数据存储在硬盘上需要文件系统对其进操作管理。目前存储数据的方式有两种:视频流式和文件打包方式。
中图分类号: TN946文献标识码:A
视频流式存储的数据采用私有文件管理系统,如大华的DHFS,是硬盘录像机厂商自建的文件系统。私有文件管理系统建立区块索引表,不同的通道对应不同的录像文件,实现了视频数据高效管理,提高了视频数据可靠性和完整性。采用私有文件格式存储的视频数据具有更高的安全性,可以防止视频数据被删除、窃取或任意的篡改,文件必须通过厂家提供的播放软件才能进行解码播放。文件打包方式存储的数据采用操作系统自带的文件管理系统,如NTFS。硬盘录像机将完整的录像数据分成若干个小文件包,比如每10分钟或半小时自动生成一个文件存储在硬盘上。此种方式存储效率比视频流式存储方式低,但由于是通用的文件系统,文件可以直接使用,在文件恢复时也有更多的工具予以支持。
硬盘录像机作为视频监控中最常用的设备,其记录的大量电子数据往往为查办案件提供有力的证据支持。对于监控录像的数据恢复工作是比较精细的一个工作,通过对因逻辑故障导致的硬盘数据丢失的恢复,可以有效的为办案人员提供查找破案线索、追踪犯罪嫌疑人的活动痕迹以及真实再现案发现场等一系列的办案需求。硬盘录像数据作为一种重要的电子数据,其取证规则、取证方式都有别于传统证据,需要通过特定的技术手段进行分析和获取,因此在硬盘录像数据的取证过程中应当注意规范取证流程,遵循一定的原则和方法。
【关键词】 视频监控技术;硬盘录像机;电子数据
概述
在当今信息化技术高速发展的背景下,信息量的爆炸式增长正日益改变着人们的生活,信息的井喷产生了海量的数据,记录了人们日常生活、工作的方方面面,由此引申出的数据存储技术,其重要性不言而喻。在这其中,视频监控技术就是一项与我们息息相关的数据存储技术,在金融、交通、司法等领域都有广泛深入的应用,为我们的出行、安全交易、自身权益维护等各个方面保驾护航。那么当我们自身受到不法侵害时,在没有人证、物证匮乏的情况下,我们个人的权益如何通过视频监控技术得到有效维护呢?
只要我们留意,就会发现生活中视频监控技术如影随形,贯穿金融、交通、司法等重要行业领域。当我们在金融交易、交通安全、司法践行等行为中出现矛盾纠纷、不法侵害时,特别是在弱势个体面对强势集团的依法维权过程中,当双方僵持不下或一方百口难辨时,视频监控系统能真实还原事发现场,对于最终的裁决往往起着“一锤定音”的决定性作用。
硬盘录像机是数字硬盘录像监控系统的重要组成部分。数字硬盘录像监控系统是指以计算机硬盘为图像记录媒体,集成画面分割、切换、云镜控制、录像、网络传输、视频报警及报警联动等多功能为一体的,高度智能化的监控系统。具有连续长时间记录,可免去录像机录像频繁更换磁带的烦琐,检索方便快捷,同时又具有视频报警录像和网络传输与控制等特点。目前市场上应用比较广泛的录像机是PC型硬盘录像机与嵌入式硬盘录像机。
PC型硬盘录像系统和嵌入式硬盘录像系统各有所长,要根据监控场合的具体情况而定。拿金融系统举例,嵌入式产品由于其稳定可靠,无需人工干预、来电重新启动时间短等特点,在ATM柜员机监控领域得到了较广泛的应用。而PC型产品则在远程监控、网络监控领域得到了较广泛的应用。最明显的就是支行营业网点,由于其一般要求连续监控,且不可能为监控配备专业的管理人员,故一般会选用嵌入式硬盘录像系统,而总行对所有支行的综合监控和远程监控,则大多数会选用PC型硬盘录像系统。
对于不同类型硬盘录像系统的使用场合的熟知和了解,对于取证人员做好提取录像的前期准备工作是非常必要的。
硬盘录像机技术
常见监控录像文件后缀名及视频文件的封装
监控录像文件就是视频文件,而一个完整的视频文件又是由音频和视频两部分组成的。例如H264、Xvid等就是视频编码格式,MP3、AAC等就是音频编码格式。在实际工作中,我们常见的监控录像文件后缀名主要有AVI、MPG、MKV、MP4、MPH、MV4、SM4、TM4、DAV、H64、h264、264、HE4、JP4、JP7、DVR、BOX等等,不同后缀名称的视频文件可能采用了同样的编码压缩标准但采取了不同的封装标准,也就是说文件后缀名只是一层外衣,是一种视频封装格式。所谓视频封装就是将已经编码压缩好的视频轨和音频轨按照一定的标准放到一个文件中,或者大家把它当成一个放视频轨和音频轨的文件夹也可以,而往往这个“一定的标准”就决定了录像文件的后缀名。例如将一个Xvid视频编码文件和一个MP3视频编码文件按AVI封装标准封装以后,就得到一个AVI后缀的视频文件,这个就是我们常见的AVI视频文件了。
常见监控录像文件的编码标准(压缩标准)
前文提到监控录像文件的后缀名可以有很多,即文件的封装格式可以有很多,但是不同的封装格式有可能采用的是相同的编码标准及压缩标准,而其所包含的压缩编码标准才是决定如何能够顺利播放该视频文件的关键,了解了采用的压缩标准就可以使用相应的解码器对视频文件进行解码播放了。
当前主流的视频编码标准主要有两大系统MPEG和ITU-T,另外还有一种Engine-K近年来也为众多硬盘录像机厂商使用。而MPEG和ITU-T两大组织在视频编码标准方面也有很多渊源。
MPEG的全名为Moving Pictures Experts Group/Motin Pictures Experts Group,中文译名是动态图像专家组。MPEG标准主要有以下六个,MPEG-1、MPEG-2、MPEG-3、MPEG-4、MPEG-7及MPEG-21等。大家现在泛指的MPEG-X版本,就是由ISO所制定而的视频、音频、数据的压缩标准。其中以MPEG-1、MPEG-2、MPEG-4最为流行和通用。
ITU-T的中文名称是国际电信联盟远程通信标准化组织(ITU-T for ITU Telecommunication Standardization Sector), 它是国际电信联盟管理下的专门制定远程通信相关国际标准的组织。他制定的H.26X系列标准为视频压缩编码标准。
为什么说二者之间有着比较深的渊源,是因为二者在视频编码压缩标准的制定上有过合作。二者分别制定的各自视频编码压缩系列标准有的内容是完全相同而只是名字不同。
硬盘录像的解码
前文已经对监控录像的封装格式及编码标准进行了介绍,那么当我们调去了监控录像后,如何对录像文件进行解码和顺利播放,是接下来要讨论的问题。我们对日常案件办理过程中遇到的监控录像播放的解决办法的整理和归纳,总结出以下一些方法。
许多监控系统都自带有针对其视频压缩格式的播放器,一般存放于监控软件的安装目录下文件名如“*player.exe”的,在调去监控录像文件的同时将其调去,但需要注意的是拷贝播放器必须连同相关动态链接库文件(*.dll)一同拷贝,否则无法播放,如果无法确定动态链接库文件的话,那就将整个安装目录都拷贝下来,当然播放软件也可以在设备制造商处得到。
但是在日常办案工作中,遇到的情况是常常拿到监控录像文件,但是没有播放器,此时可以考虑使用兼容性较强的播放器尝试。
目前一些较知名的大型监控设备生产商一般采用较成熟先进的压缩技术,一些小厂生产的设备会采用这些名牌大厂的压缩卡,所采用的编码压缩标准也是这些大型监控设备厂商的标准,所以大型厂商提供的播放软件具有较强的兼容性。例如浙江大华控股有限公司提供的“大华”播放器和杭州海康威视数字技术有限公司提供的“海康威视”播放器等。
“大华”播放器可在浙江大华控股有限公司主页(/)下载,主要针对MPEG-1和MPEG-4 PART2压缩标准,支持的视频文件扩展名有:MPG、MLV、MPE、MPEG、DAT、MPH、MP4、DAV、AVI、QT、MOV、ASF、WMV、MPH、MV4、SM4、TM4,当然,随着技术的不断提升,现在大华的播放器也逐渐支持H.264/MPEG PART10的编码压缩标准。海康威视播放器主要针对H.264压缩标准,支持的文件扩展名有:MP4、AVI、H64、264、H264、HE4等。
当遇到调去监控录像而没有特定播放器而且没有兼容播放器的情况下,我们要在电脑上播放监控录像文件,可以考虑使用通用播放器来播放,例如使用Windows Media Player通用播放器。
三.硬盘录像机的存储原理
视频监控场所一般都需要有十几甚至上千个视频头,才能满足全方位监控的需要,而且通常要求所录摄的监控视频文件要保存至一个月以上。同时视频格式的文件与其它格式的文件相比较,由于其码率大,含有的信息量多,容量也就相对比较大。这就需要海量的数据存储空间来存储这些视频文件,从这个意义上说,普通的一块或几块TB容量的物理硬盘根本不能满足这种海量数据存储的需求,目前最常用的方式就是用数块甚至数百块硬盘组成一个磁盘阵列。
磁盘阵列的全称是:Redundan Array of Independent Disk,简称RAID技术。它是1988年由美国加州大学Berkeley分校的D.A.Patterson教授等人提出来的磁盘冗余技术。
磁盘阵列(DiscArray)是由许多块物理硬盘按一定的规则,如分条(Striping)、分块(Declustering)、交叉存取(Interleaving)等,在阵列控制器的控制和管理下,实现快速、并行或交叉存取,并有较强的容错能力,从而获取比单个硬盘更高的速度、更好的稳定性、更大的存储能力的存储解决方案。从用户方面来说,磁盘阵列虽然是由几个、几十个甚至上千个独立的硬盘组成,但用户不必关心磁盘阵列究竟由多少块硬盘组成,在使用中整个阵列就如同一块超大容量的单一硬盘一样,其容量可以高达几百~上万TB字节。
磁盘阵列中针对不同的应用需求而使用的不同技术类别,这些类别被称为RAID 级别,而每一级别代表一种技术,目前业界公认的标准是RAID 0~RAID 5。这些不同的级别并不代表技术的高低,也就是说RAID 5并不高于RAID 3,RAID 1也不低过RAID 4,至于要选择那一种RAID级别的产品,纯视用户的操作环境(operating environment)及应用(application)而定,与级别的高低没有必然的关系。除RAID 0~RAID 5这6个级别外,还有近年来很多厂商推出的几种新RAID级别,如:RAID 6、JBOD结构、RAID 10、RAID 50等。
四.硬盘录像的调取方法
由于不同的监控设备生产厂商所生产的监控设备不同,尤其是输出接口和输出设备存在着差异,此外监控录像的调取还可分为单帧静止画面调取和连续运动图像调取等,这就要求我们根据实际需要采取相应的调取方法。实际工作中常用的调取方法主要有如下几种:拍屏法:是指用照相机或摄像机直接对显示设备屏幕进行拍摄从而实现对所需内容的提取。由于显示设备刷新频率与摄录设备快门速度难以达到一致,这种方法所得到的图像质量不高,适用范围有限,建议除非其他方法不能提取的情况下才采用此方法。采用此方法时应提高显示设备刷新频率,同时控制好摄录设备的快门速度以达到最佳效果。
摄像转录法:是指将监控系统视频信号直接输出到具有刻录功能的摄像机中,利用摄像机的刻录功能将所需图像资料转录到录像带等介质上,再通过视频采集卡将数据采集到电脑硬盘上,或直接将视频信号接入视频采集卡导入电脑硬盘中。这种方法适用于监控系统输出接口为视频端子(即S视频端子或模拟视频端子),显示设备为监视器(即电视机)的情况下,早期的模拟和部分数字视频监控系统采用此种输出接口和显示设备。
软件下载法:是指用双绞线将监控系统主机与计算机连接并用专门软件将保存在监控系统中的录像数据下载到计算机中。这种方法主要适用于输出方式为双绞线(即网线)的监控系统中(常见于银行自动提款机),所需软件一般由监控设备制造厂商提供。
显示信号转录法:目前市场上有一种专门设备可以将监控系统主机的显示信号输出接口连接至该设备,通过该设备将显示器输出信号转录为数据文件。也就是说只要显示器上能够显示的内容都可以通过该设备进行录制,其采用的原理类似于屏幕录像功能,所以得到的数据质量也不高,且设备价格昂贵。
直接拷贝法:是指将保存在监控系统中的原始视频数据用移动存储介质(软盘、可写光盘、U盘、移动硬盘、存储卡等)直接拷贝到电脑中,这种方法由于最大限度地保留了图像数据的原始性,因而是调取监控录像的最佳方法。具体使用哪种移动存储介质主要取决于监控系统提供了哪些输出接口。软盘由于其容量小、可靠性差,只适用于调取少量静止图像;一般监控系统很少具有刻录设备,实际工作中可写光盘也较少采用;目前大多数监控系统具有USB接口,在这种情况下,我们就可以使用U盘、移动硬盘、存储卡(需附带USB读卡器)等进行监控录像的调取。了解了使用何种存储介质,还需要知道如何将监控系统中的数据拷贝到存储介质中,这里主要有两种方法: 一是通过监控程序的界面,按照提示一步步操作导出;二是直接进入“我的电脑”,找到录像文件,进行拷贝。但有时这些方法会行不通,因为有些监控安装人员在安装程序时进行了较高安全级别的设置,这样会看不到电脑桌面,并且退出监控系统软件后就自动关机。如果遇到这种情况,可以试试以下方法:按键盘上的“Ctrl+Alt+Del”的三个键,在跳出的窗口中,选择“任务管理器”,然后点击“新建”“新建任务”“浏览”,在弹出的窗口中从Windows系统目录下找到“explorer.exe”,并选择之,然后点击“确定”,这样电脑桌面就出来了。
刑诉法修改后,电子数据作为证据中的一类被明确写入《中华人民共和国刑事诉讼法》,其物理特征和技术特征不同于其他传统证据,因此对其的取证如现场收集、分析证据材料、使用的技术工具、技术人员构成等方面都存在差异。监控录像属于电子数据,其对于案件承办人员查明事实真相起着举足轻重的作用。为了保证证据的客观性、合法性、关联性,这就要求在监控录像取证的过程中,遵循规定程序。
基本要求
监控录像取证是指根据案件侦查、调查的需要,由专业技术人员运用电子信息技术手段,协助案件承办人通过扣押、现场勘验、远程勘验、实验室检验,发现、收集、固定、分析、判断监控录像数据的一项法律活动。取证范围是对监控录像机存储介质或设备存储数据内容的获取或恢复。取证协作配合的方式包括:监控设备或载体扣押、现场勘验、远程勘验、实验室检验分析、第三方数据调取。
监控录像取证工作由具备电子信息专业知识或具有电子证据检验鉴定资格的技术人员承担。技术人员的职责是协助案件承办人发现涉案监控录像;采取技术手段提取、固定涉案监控录像;运用专业技术和理论分析、判断涉案监控录像;制作监控录像取证协作配合工作中相关记录;制作工作报告;负责相关材料的归档;妥善保管涉案监控录像;遵守办案纪律、执行办案制度。
取证规范
监控录像的取证属于电子取证的一个分支有其自身的特点,在证据调取的过程中需要从以下几个方面加以规范。
受理案件
委托
案件承办人需要进行监控录像取证的,经案件承办部门负责人同意,向技术部门提交《电子数据取证委托书》,提出书面委托,同时向技术人员提供必要案情。
(2)受理
技术人员在了解案件详情的基础上,全面了解与案件事实相关的电子证据材料和承办人的具体需求,如监控录像机的型号、存储格式等监控设备的情况和犯罪嫌疑人出现的时间、地点等,认为具备取证条件的,填写《电子数据取证受理登记表》,经技术部门负责人批准受理,指派专业技术人员完成取证工作。技术人员应当根据案件情况提前制订工作方案。
(二)监控录像证据的封存和固定
封存和固定监控录像证据的目的是保护监控录像证据的完整性、真实性和原始性。
1.封存
采用的封存方法应当保证在不解除封存状态的情况下,无法启动被封存监控设备和使用被封存的存储介质。封存前后应当拍摄被封存监控设备和存储介质的照片,照片应当从各个角度反映设备封存前后的状况,清晰反映封口或张贴封条处的状况。
2.固定监控录像证据包括以下方式
(1)完整性校验方式。
是指对监控录像存储介质或调取的过程中生成的电子数据进行完整性校验,得出完整性校验值,并制作、填写《固定电子数据清单》;
(2)备份方式。
是指复制、制作原始存储介质的备份,并依照上述封存方法封存原始存储介质;
(3)封存方式。
对于无法计算存储介质完整性校验值或制作备份的情形,应当依照上述封存的方法封存原始存储介质,并在勘验检查笔录上注明不计算完整性校验值或制作备份的理由。
(三)直接扣押
对于需要扣押的监控设备或存储介质,技术人员可根据案件承办人的要求协助扣押。扣押的监控设备和存储介质需要进行检验鉴定,作为证据使用的,按上述封存和固定方法保存。扣押手续由承办人按照相关程序办理。
(四)现场勘验检查
对于不具备直接扣押条件的,由技术人员开展监控录像证据的现场勘验。现场勘验是指在现场实施勘验,以提取、固定现场存留的与犯罪有关电子证据和其它相关证据。现场勘验活动由主办案件的人员统一指挥,对监控录像的现场进行勘验不得少于二人。现场勘验检查,应当邀请一至两名与案件无关的公民作见证人。监控录像证据的现场勘验活动应当按照监控场所勘验、监控设备或存储介质勘验、监控录像勘验的顺序进行。现场勘验活动应当通过文字、照相等进行记录,必要时可以对活动情况进行录像。现场勘验结束后,由技术人员制作《电子数据现场勘验工作笔录》。
应当记录监控录像证据的现场环境,监控设备或存储介质的存放地点、方位等。记录监控设备或存储介质的名称、品牌、型号、数量、序列号,以及设备运行状况等。
对于承办人有明确调取需求的如某段具体时间的监控录像,且监控录像内容确实存在的,技术人员可以直接调取相应要求的监控录像,通过光盘或其它存储介质保存导出录像,应当记录目标系统、设备和工具的名称、版本号、系统时间及误差等信息。对于直接调取的监控录像固定和封存方法见上。
使用安全的设备和工具,在确保不污染原始介质的前提下,使用复制设备制作监控录像存储介质复制件,并进行完整性校验。固定和封存方法见上。
(五)远程勘验
是指通过网络对远程目标系统实施勘验,以提取、固定监控录像在远程目标系统的状态和存留的电子数据。远程勘验结束后,应当及时制作《电子数据远程勘验工作记录》。
1.远程勘验过程中的提取
远程勘验过程中提取的目标系统状态信息、目标系统存储的录像内容以及勘验过程中生成的其它电子数据,应当计算其完整性校验值并制作《固定电子数据证据清单》。应当采用录像、照相、截获计算机屏幕内容等方式记录远程勘验过程中提取、生成电子证据等关键步骤。《电子数据远程勘验工作记录》由《电子数据远程勘验笔录》、《固定电子数据清单》、《勘验检查照片记录表》以及截获的屏幕截图等内容组成。
(六)调取第三方监控录像
当有必要向第三方机构调取监控录像的,案件承办人应当出具《调取证据通知书》。技术人员应当严格按照操作规范对监控录像予以固定,并协助案件承办人制作《调取证据清单》。《调取证据清单》一式两份,应由案件承办人、证据提供人签字或盖章。
(七)实验室检验
对于需要进行监控录像检验的,应当运用实验室工具进行检验分析,实现委托要求。
基本要求
实验室检验应当使用安全的设备和工具对检材复制件进行,复制完成后应当依照上述封存方法重新封存原始存储介质。特殊情况无法复制的,应当采取必要措施,确保检材不被修改。在实验室复制检材的,可以进行全程录像。
2.冗余备份
监控录像证据在保存时可以有两个或两个以上完整的拷贝,冗余备份不仅可以避免电子证据本身的不稳定性造成数据的丢失,还可以在数据分析的过程中同时对拷贝文件进行分析,提高取证效率。
3.证据的保管
存储证据的介质必须按照科学方法保全,应该远离磁场、高温、灰尘、潮湿、静电环境,避免造成电磁介质数据丢失,防止破坏重要的线索和证据。还要注意防磁,特别是使用安装了无线电通讯设备的交通工具运送电子证据时,要关掉车上的无线设备,以免其工作时产生的电磁场破坏监控录像存储介质的数据。
4.期限
进行实验室检验,应当在直接扣押或现场勘验后十个工作日内完成。特殊情况不能完成的,经主管领导批准,可以适当延长,并告知委托单位。对于实验室检验活动,应当制作《电子数据实验室检验工作记录》
(八)完成《电子数据取证工作报告》
在完成直接扣押、现场勘验、实验室检验或第三方数据调取后应当形成《电子数据取证工作报告》,经技术部门负责人审核,加盖部门印章。确有困难无法在规定期限内完成报告的,经部门负责人同意,同案件委托部门协商延长期限。《电子数据取证工作报告》是协作配合的结论性文件,正本送委托部门,副本存档。
参考文献
1. 麦永浩,孙国梓,许榕生,戴士剑.计算机取证与司法鉴定. 清华大学出版社,2009.3
2. 西刹子.安防天下——智能网络视频监控技术详解与实践.清华大学出版社,2010.2
3.马林.数据重现——文件系统原理精解与数据恢复最佳实践. 清华大学出版社,2010.2
