对汽车行车记录仪存储卡的一次取证经历

黄步根 熊道泉 黄政 刘建军

一、案情简介

2012年9月19日晚上，在江苏某地的公路旁有一人被害。22日中午提取路过现场的汽车上行车记录仪存储卡（16GB SD卡）一个，检查发现经过现场的时间段（19:48前后）的视频已经被自动删除。要求恢复该时段车上汽车行车记录仪可能拍摄到的车右侧场景。

二、初步检查存储卡

对存储卡初步检查，FAT32文件系统，每簇16扇区（8KB）。视频文件以日期作为文件夹，文件名包含时间信息和探头编号，如“2012-09-20”文件夹，F055957P3N1C0.asf、F055957P3N2P0.asf、F055957P3N3P0.asf、F055957P3N4P0.asf文件，文件名中F后为时间信息hhmmss（时分秒），N后为探头编号，共4个探头，查看视频内容发现:N1车前向外，N2车前向内，N3车后向外左侧，N4车后向外右侧。重点查看N1、N4探头2012-9-1919:48前后。

根目录有2012-09-20到2012-09-22的三天3个文件夹，还有几个数据文件，如表1。

表1 存储卡根目录

文件的修改时间全部是1980.01.010:00:00，没有参考价值。文件夹内全部是ASF格式的视频文件，按照时间排列，长度不固定。文件的起始簇顺序排列。文件统计信息如表2，总共已占用12.3GB，空闲2.58GB，文件占用空间83%。

表2 文件统计信息

初步判断:视频文件按照形成过程顺序存放，空闲2.58GB，所需视频已经被删除，如果是循环覆盖，所需视频可能在空闲扇区，需要按取证要求进行数据恢复。①黄步根:《数据恢复与计算机取证》，《计算机安全》2006年第6期。

文件名和持续时间两项表明，录像时间不连续，如图1。经查，视频文件最长约30分钟。

图1 视频文件属性

三、深度检查存储卡

为了恢复数据，需要进行操作痕迹检验。②黄步根:《FAT系统文件操作痕迹特征分析》，《计算机工程与应用》2007年第7期。对根目录中的数据文件进行检查:

1、FAT链表检查

检查FAT表，除了簇3空闲，一直到0x18a794(=1615764)全部占用，此后全部空闲。文件链表情况如下:

（1）DebugLog.txt链表

4,144b,1799,1a0d,2247,269f,2b1a,2f70,3443,4b7a,…,18a534,fffffff

结论:文件DebugLog.txt跨越整个卷，不断追加数据。

（2）index0.conf链表

5,1769,21a5,29ee,32ad,5507,25746,114b46,115602,115fd7,…,18a0d2,fffffff

结论:文件index0.conf跨越整个卷，不断追加数据。

（3）mudvr.log链表

6,7,8,9,a,b,c,d,e,f,10,11,12,13,14,15,16,17,18,…,104,105,fffffff

结论:文件mudvr.log是连续存储的。

（4）视频文件形成过程

检查9月20日几个ASF视频文件的链表，查看数据簇分配情况，如表3。

表3 4个视频文件的存储空间（簇号）分配情况

结论:从表3看出，视频文件不连续存放，4个探头不规则交替存放。如果搜索删除的文件，文件大于1簇时，由于存储的无规则不连续性，难以确定哪个簇属于哪个文件。

2、文件index0.conf

通过对文件index0.conf的内容和FAT存储情况看，为索引文件，二进制文件，记录了文件夹和文件名，伴随ASF文件生成过程不断追加。数据格式不明，有日期和文件名，其余不详。

3、文件DebugLog.txt

头尾几行内容如下:

停止录像!

可以看出，这是操作日志文件，文本类型。记录了“12-9-205:59:55”到“12-9-2212:6:31停止录像!”的全部操作。

4、在空闲区搜索

（1）搜索文件夹

搜索出2个有效文件夹（簇号:1812271,1821247），1821247(0x1bca3f)文件夹下部分文件如表4。由于文件的时间属性不准确，不知道文件是哪两天的。

表4 搜索文件夹得到的文件

起始簇符合表3存储分配特征。

（2）根据ASF视频文件特征搜索文件

分析ASF视频文件的文件头，寻找文件特征，进而搜索文件，①黄步根:《存储介质上电子证据的发现和提取技术》，《计算机应用与软件》2008年第1期。搜索出44个ASF文件，如表5。因为FAT链已经为0，不连续存放，4个探头不规则交替存放，不能恢复删除的完整文件，对每个搜索出的视频文件尝试复制1簇16扇区，以便作进一步分析。

表5 根据ASF文件特征搜索出的文件

根据文件特征搜索ASF视频文件，文件名未知，暂以扇区号作为文件名，但是有文件的簇号，簇号可以用于与4—（1）搜索的文件夹下文件进行匹配检查，使用Excel的COUNTIF函数进行匹配检查，②肖华、刘美琪:《精通Office 2007》，清华大学出版社2007年版，第10页。搜索出的ASF文件全部“有主”，匹配上搜索的文件夹，但是4—（1）搜索的文件夹下文件不全部找到ASF特征，表明搜索出的两个文件夹下部分文件已经被覆盖。

（3）搜索操作日志文件

为了寻找空闲簇中删除文件的操作过程情况，根据操作日志文件（DebugLog.txt）的特征搜索，在26583632扇区发现未被覆盖的日志（1簇），保存为文本文件，检查其内容，记录了12-9-1616:30:0至12-9-177:0:0的操作过程，包含一些磁盘空间不够时的处理，比如:

四、ASF文件特征研究

为了对空闲区中没有被覆盖的视频文件进行分析和恢复，需要进一步分析ASF文件的特征。根据微软公布的文献“Advanced Systems Format(ASF)Specification”样本文件2012-09-22F055926P3N1C0.asf分析，①Microsoft.‘Advanced Systems Format(ASF)Specification’,http://download.microsoft.com/download/8/0/5/-C95A-47AE-99CF-0D6D6D028ABA/ASF_Specification.pdf.2012.1.长度50193（0xc411），持续时间9秒，尺寸352*288（0x160*0x120），文件头部的部分数据如图2。

图2 F055926P3N1C0.asf文件数据

ASF文件由头对象（Header Object，存放文件属性和流属性）、数据对象（Data Object，紧跟在Header Object后，存放一个或多个数字媒体流）和其他顶层索引对象（Index Object_1,…,Index Object_k）组成。Header Object是唯一包含其他对象的，如表6。

表6 ASF文件的Header Object

根据表6对图2样本文件进行解析，Head Object的ObjectSize=0x365，由6个子项组成，第1个子项如表7。

表7 ASF文件的Header Object子项1

对于图2样本文件，第1个子项的ObjectSize=0068，+1e=86，是下一子项的位置。

File Size=0xc411=50193，这是文件长度。

Creation Date=0x01cd98876c624980，文件的创建时间，是从1601年1月1日开始的纳秒数，计算可得创建时间是2012-9-2205:59:27，这与文件名的时间相差1秒，这是由于在FAT文件系统中，目录项中的时间存储秒数存储的是“半值”，27秒的一半是13，还原时加倍得到的是26，所以文件名中的秒数为26。FAT文件系统中的文件时间秒数一定是双数。

依次分析其他子项，还能得到文件的许多其他属性，①Microsoft.‘Media Foundation Attributes forASF Header Objects’,http://msdn.microsoft.com/ZH-CN/library/windows/desktop/bb970440(v=vs.85).aspx.2012.11.比如在0x184处0x00000160=352，是水平分辨率，在0x188处0x00000120=288，是垂直分辨率。

ASF文件的0x4e处8字节为文件的创建时间，对根据文件特征搜索出得ASF进行检查，发现所有文件的创建时间大致是2012-9-1616:30:00～19:00:00和2012-9-1706:00:00～08:00:00，没有2012-9-1917:48前后的视频。至此，可以断定，样本存储卡中空闲位置没有所需时间段的视频资料，取证无法继续。

五、结论

样本存储卡中视频文件的物理分布顺序是2012年9-20，9-21，9-22，9-16，9-17，这后两天是已经删除的“空闲”区域，没有所需时间段的视频资料。

为什么不是简单地循环覆盖？从搜索的日志进行解释:

12-9-1617:4:29出现“磁盘空间不够！”和“磁盘覆盖开关打开！”

currenttime:12-9-1617:4:30/sd/2012-09-14/F180000P3N1P0.asf

在顺序写文件的过程中，如果出现磁盘空间不够，则“磁盘覆盖开关打开！”，删除文件后继续写文件。这就应该是循环覆盖，但是现在文件是2012-9-20早晨开始从SD卡的头部写起的，表明在某个时刻，可能是人为操作或在某种条件下“归零”，新的一天从头开始。有待收集更多样本进行分析。从当前痕迹看，9-178:30后从SD卡头部开始删除文件，覆盖，9-20“归零”，从头部开始写。

可能这种“归零”机制是系统设计的一个缺陷，不利于证据的保存。此次取证经历是一次“失败”，没有能够提取所需要的视频。但也是成功的，即确认没有所需要的视频，应该从其他方面继续开展案件侦查。