苏州绿数数据恢复中心成功解决海康监控硬盘视频数据恢复问题
[ 日期:2011/8/2 人气:2460 ]
苏州绿数数据恢复中心成功解决海康监控硬盘视频数据恢复问题
2011年3月28日苏州绿数数据中心客服接到客户咨询说有三块监控硬盘数据丢失,需要紧急恢复,客户具体描述是海康监控视频有三块硬盘接在了新机子上面然后误操作进行了初始化导致数据丢失了。经过电话沟通我们技术服务人员立刻赶到客户公司接到盘后发现后面的两块盘的分区是好的,256M的MP4格式的文件也是能看到的,可是打开的时候确是打开不了的,如下图:
当时用winhex仔细看了几个文件发现文件头都是不对的,就怀疑文件可能有问题,与客户沟通客户表示只是对硬盘做了初始化没做其他的操作,打开第二个盘还是这样,再次与客户确认,客户非常肯定的说只做过初始化没做过其他的操作,我们也就没有继续深究。打开最后一个盘查看MBR主引导确实分区已经被删除了,如果只对磁盘做过初始化的话,我们知道其实是很简单的,就是重写主引导记录,在最后两个字节填上55AA标记,并清空分区表。搜索后面的分区引导记录,找到所有的分区后,在MBR里面重建分区表,所有分区都能正常打开了,尝试打开其中的一个文件发现文件根本打不开,提示播放器无法解码,我们怀疑客户是否给文件加过密或者编过码,经沟通后客户表示都没有,用普通的播放器就可以直接打开文件的。由此我们感觉到介质故障不是客户描述的只是做了初始化操作那么简单了,于是先找一个正常的海康监控的视屏文件打开分析发现文件头是4HKH,从分区的零扇区开始往下搜索34 48 4B 48,找到了一个文件头,按文件大小256M(80000H)往下跳这么多个扇区另存为文件,打开发现已经能正常打开了,如下图:
同时还得到了一个很关键的信息就是这个文件的结束位置是下一个文件的开头,这说明了文件是连续存储的,如下图所示:
既然文件是连续存储的话,那应该就不会有什么碎片的问题了(当然我们知道一般监控盘是不会有碎片的,而且所有的文件大小应该都是统一的),那现在可以确定的是文件出现了偏移,下面我们就来验证一下。
用winhex打开根目录:
分析其中的一个叫hiv00000.mp4的文件的目录项,其他的属性不用研究,分析1415和1A1B的位置发现文件的起始簇号为293(00000125H),跳转到293号簇:
查看分析发现此扇区明显不是海康专有的文件头,既然不是海康的文件头的话那我们从这个位置往上搜索34 48 4B 48看能不能找到文件头:
很遗憾,我们往上搜索没搜到34 48 4B 48标记。
那我们往下搜索看看,很快我们在322066(4098号簇)扇区找到了一个文件头,那这个到底是不是跟我们要找的文件对应呢?往上跳一个扇区发现还是4098号簇,难道是数据发生了偏移,直接跳转到4098号簇的起始位置:
打开此分区的DBR:
分析发现每簇扇区数为64,看来数据在簇里面就整整偏移了50(322066-322016)个扇区,至此可以判定此硬盘的数据发生了偏移。因为数据是整扇区的偏移而不是整簇的偏移,因此通过文件系统层的恢复是不可能实现的了,只能通过RAW按照文件结构来进行恢复了。经过以上分析此次视频监控数据并不是简单的初始化造成的,客户的数据已经发生偏移,因此故障类型及恢复你难易程度发生很大变化,在与客户进一步沟通过后客户表示需要继续恢复数据。在这里给大家分析一下思路,先搜索文件头34 48 4B 48找到之后往后面跳256M空间的大小,把这部分给提取出来并保存为MP4格式的文件,提完之后返回到文件头再往下搜索34 48 4B 48文件头,找到之后再用同样的方法把文件提出来并保存,接下来就是重复循环上面的操作直到分区结束然后对另一个分区进行相同的操作。这个过程如果通过人工提取的话,2T的数据耗时在一周左右,然而客户数据非常正要,需求必要急迫。所以苏州绿数数据恢复工程师又着重对客户数据偏移量进行分析,采样对比找到一定规律之后编写了程序来代替手工操作,客户数据第二天顺利恢复成功。
至此,本次数据恢复的工作虽然结束了,但是在工作过程中我们还是有很多总结的地方。首先在分析海康监控视频过程中,我们也对大华内嵌式监控视频及汉邦普式监控视频都做了类比分析类比,为今后硬盘监控视频的恢复都有很大的帮助。再者苏州绿数数据恢复中心根据本次监控视频恢复经历提醒同行,在恢复不常见数据存储介质时一定要对介质数据结构进行仔细分析,有时候客户对介质并不是很熟悉导致客户的故障描述有可能是的不完善甚至会误导后面的数据分析的,因此数据恢复工程师一定需要静下心来仔细分析研究,不能人云亦云草草了事。最后我们提醒用户在介质出现问题之后尽可能的保证故障介质不被二次破坏,尽可能减少故障介质通电,并且在数据恢复的时候尽可能将故障起因的每个细节描述清楚些,这样可以让数据恢复工程师对故障介质有个更加清楚的了解有利于提高恢复的成功率及恢复时间。
