盘点进水监控硬盘的数据恢复方法!
事件简述 2017年9月10日早上8点左右,山东某地液化气站发生爆炸,当地相关单位第一时间赶到现场进行扑救,火势得到控制。在调查起火原因时需要通过调取站点监控视频查找起火原因,但是因为救火导致监控主机及其数据硬盘浸水,不敢直接通电,当地相关单位连夜将监控机连同监控硬盘送检至效率源科技,希望效率源科技对硬盘进行修复,恢复里面的数据,为爆炸案进行监控数据恢复取证,提供线索。 效率源科技接到案件协助后,立马投入工作,成功获取了所需时间段的监控机视频数据,为相关单位侦破爆炸案提供了有价值的数据信息。 涉案检材情况 监控机丨中维世纪 硬盘丨西数(3T内存) 案件需要视频数据 2017年9月10号6点至案发时间段的视频 监控视频数据恢复思路 由于本次涉及的是监控视频的案件,针对监控视频案件的监控数据恢复取证需要注意以下事项: 1、需要对涉案时间段的监控视频的状态做出准确分析,主要有以下几点: 1)北京时间校准,明确监控主机时间和实际北京时间的时间差; 2)监控日志分析,排除一些不确定因素,例如:从日志分析中得出在涉案时间段监控主机处于关机状态,就可以明确监控主机在涉案时间段并未录制; 3)案件相关通道的确认; 4)监控录制周期确认; 5)存储方式确认:硬盘、阵列、SD卡等; 6)其他周边情况等; 注:以上操作都必须在监控机可正常通电开机的情况下才可以做出判断。 2、针对火灾、爆炸现场的监控主机,其内部的数据硬盘可能会有高温损坏、浸水损坏、震荡损坏等情况,处理时需要注意以下几点: 1)拿到硬盘后严禁通电(火烧、水浸后盘腔内会产生杂质,通电会加重硬盘的损坏程度,影响硬盘数据恢复的成功率); 2)硬盘如果进水,为了防止硬盘电路结构生锈,可先拆下电路板,室温风干; 2)寻求专业人士在特定环境下进行全方位检测(例如开盘); 3)开盘后对水渍或杂质进行处理,并根据相应故障情况进行物理修复,固件修复; 4)修复后再选择专业数据恢复工具(如:效率源DRS6800数据恢复系统,(以下简称DRS)、HPE硬盘盘体拆卸专用设备(以下简称HPE))进行恢复; 需求数据恢复的具体操作过程1、监控主机处理 通过查看监控机的状态,发现监控主机处于严重损坏状态,没有办法直接通电查看监控视频和监控日志等信息,通过监控系统管理人员得知,监控主机时间与北京时间无明显时间差,故此决定直接拆卸监控硬盘分析; TIPS: 一般来说监控日志存储在监控机中,可以通过监控日志来判断需要时间段视频的数据状态,是正常、丢失、或者覆盖。 千万注意,一定不要接原始的监控硬盘在监控机上,以防止数据录入; http://dingyue.nosdn.127.net/9sHYzi3C7Fy0n8E9gEr6ynz1q1cCtiNaiB4do5B4Z4Rni1527559896832.jpg 2、监控硬盘外部处理 将监控主机的监控硬盘拆卸下来,通过外观查看发现监控硬盘并未严重受损,其外部最重要的电路板情况如下: http://dingyue.nosdn.127.net/Qc46qHiEDJvLlijVuyKwayjPBrf=qL4bTzl8VNwzjvPAc1527559896832.jpg 3、监控硬盘电路板处理 将电路板拆卸下来,发现有水渍,经过简单的处理后,使用DRS单接电路板,系统未显示异常,说明电路板完好。 TIPS: 进水硬盘的电路板拆卸下来后,要看下有没有水渍,如果有的话可以利用吹风机(注意控制温度)、海绵垫、放通风处风干等方式进行处理; 如果电路板有问题,接入DRS后系统会报警; http://dingyue.nosdn.127.net/s2feYpZjQgBsNmrW0XDg5t2hTbrULetx5k8oX8f8cmGm91527559896832.jpg 4、监控硬盘内部处理 进行开盘操作,通过效率源专用硬盘开盘工具HPE在标准洁净间开盘处理,发现盘腔内部无水渍,硬盘内部的磁头物理状态正常,盘片无损坏,其他结构件无明显损坏; TIPS: 如果磁头损坏需要更换新的磁头,而如果盘片出现严重损坏的话数据恢复的可能性就非常低了。 http://dingyue.nosdn.127.net/o2r7zHcAQQfLOP6dJX4=O0iAFmhynmso9mmcL58qK8OjF1527559896832.jpg
5、查找所需视频数据 没有发现问题之后,使用DRS给硬盘进行通电检测,发现硬盘能够正常识别,在硬盘存储的中间位置有一些坏道影响,但硬盘数据访问没有什么问题。 进入DRS数据恢复界面,识别到该硬盘有十个FAT32分区,属于windows可见的监控系统。 使用DRS扫描分区里面的数据,发现9月10号的数据在其中一个分区,为了更好的提取完整数据或规避坏道区的影响,使用效率源DRS特有的数据镜像的专家模式进行数据固定,将这个分区镜像出来;(如果监控主机的文件系统是厂家私有的,则需要使用专门的视频提取恢复工具:如效率源的VIP视频侦查单兵系统); 6、数据恢复 通过DRS中加载镜像的功能,对镜像分区进行数据恢复,然后将想要时间段的数据保存出来(为了更好的找到相关线索,同时将前两天的视频给恢复了出来); http://dingyue.nosdn.127.net/gj80UnpcO2RiydtPD5lvKFkUfYZWkZPh0K2xuEFhpWleU1527559896832.jpg http://dingyue.nosdn.127.net/m622h=HFj3hxtmTUfOlYHNfH3HBGlsFldzBSSkYMgPXiW1527559896832.jpg 7、查看相关视频数据能否正常播放 进行视频浏览、查看 ,发现每个通道里最后一个视频都不能正常查看,使用DRS的MP4修复工具进行修复,修复之后视频能够正常查看了; http://dingyue.nosdn.127.net/hkHbjrSVAkn8o5PuBmEas5B3RL7p19ZhiR1FNc=Elv6ek1527559896833.jpg 8、成功找到所需视频素材,出具相关报告 通过对找到并修复的涉案时间段的监控视频查看,成功找到爆炸原因,通过DRS的报告模块生成操作报告并结合分析处理情况出具本次检验报告。 进水硬盘处理温馨小贴士 1、针对这种有进水可能的硬盘,切记的一点就是不能够直接通电; 2、需要先对硬盘的硬件进行检测,查看硬盘是否有问题,如果有的话就需要更换硬件; 3、如果有更换磁头等操作,最好先直接对源盘做镜像,以防止操作时造成硬盘再次损坏; 4、镜像软件最好选择专业的,比如效率源科技的DR 火烧硬盘数据恢复怎么判断?
页:
[1]