盘点进水监控硬盘的数据恢复方法!

[复制链接]

该用户从未签到

6

主题

5

回帖

80

积分

[INTOHARD]班长

Rank: 2

积分
80
发表于 2018-7-23 15:52:51 | 显示全部楼层 |阅读模式

     事件简述

  2017年9月10日早上8点左右,山东某地液化气站发生爆炸,当地相关单位第一时间赶到现场进行扑救,火势得到控制。在调查起火原因时需要通过调取站点监控视频查找起火原因,但是因为救火导致监控主机及其数据硬盘浸水,不敢直接通电,当地相关单位连夜将监控机连同监控硬盘送检至效率源科技,希望效率源科技对硬盘进行修复,恢复里面的数据,为爆炸案进行监控数据恢复取证,提供线索。

  效率源科技接到案件协助后,立马投入工作,成功获取了所需时间段的监控机视频数据,为相关单位侦破爆炸案提供了有价值的数据信息。

  涉案检材情况

  监控机丨中维世纪

  硬盘丨西数(3T内存)

  案件需要视频数据

  2017年9月10号6点至案发时间段的视频

  监控视频数据恢复思路

  由于本次涉及的是监控视频的案件,针对监控视频案件的监控数据恢复取证需要注意以下事项:

  1、需要对涉案时间段的监控视频的状态做出准确分析,主要有以下几点:

  1)北京时间校准,明确监控主机时间和实际北京时间的时间差;

  2)监控日志分析,排除一些不确定因素,例如:从日志分析中得出在涉案时间段监控主机处于关机状态,就可以明确监控主机在涉案时间段并未录制;

  3)案件相关通道的确认;

  4)监控录制周期确认;

  5)存储方式确认:硬盘、阵列、SD卡等;

  6)其他周边情况等;

  注:以上操作都必须在监控机可正常通电开机的情况下才可以做出判断。

  2、针对火灾、爆炸现场的监控主机,其内部的数据硬盘可能会有高温损坏、浸水损坏、震荡损坏等情况,处理时需要注意以下几点:

  1)拿到硬盘后严禁通电(火烧、水浸后盘腔内会产生杂质,通电会加重硬盘的损坏程度,影响硬盘数据恢复的成功率);

  2)硬盘如果进水,为了防止硬盘电路结构生锈,可先拆下电路板,室温风干;

  2)寻求专业人士在特定环境下进行全方位检测(例如开盘);

  3)开盘后对水渍或杂质进行处理,并根据相应故障情况进行物理修复,固件修复;

  4)修复后再选择专业数据恢复工具(如:效率源DRS6800数据恢复系统,(以下简称DRS)、HPE硬盘盘体拆卸专用设备(以下简称HPE))进行恢复;

  需求数据恢复的具体操作过程


  1、监控主机处理

  通过查看监控机的状态,发现监控主机处于严重损坏状态,没有办法直接通电查看监控视频和监控日志等信息,通过监控系统管理人员得知,监控主机时间与北京时间无明显时间差,故此决定直接拆卸监控硬盘分析;

  TIPS:

  一般来说监控日志存储在监控机中,可以通过监控日志来判断需要时间段视频的数据状态,是正常、丢失、或者覆盖。

  千万注意,一定不要接原始的监控硬盘在监控机上,以防止数据录入;

  


                               
登录/注册后可看大图

  2、监控硬盘外部处理

  将监控主机的监控硬盘拆卸下来,通过外观查看发现监控硬盘并未严重受损,其外部最重要的电路板情况如下:

  


                               
登录/注册后可看大图

  3、监控硬盘电路板处理

  将电路板拆卸下来,发现有水渍,经过简单的处理后,使用DRS单接电路板,系统未显示异常,说明电路板完好。

  TIPS:

  进水硬盘的电路板拆卸下来后,要看下有没有水渍,如果有的话可以利用吹风机(注意控制温度)、海绵垫、放通风处风干等方式进行处理;

  如果电路板有问题,接入DRS后系统会报警;

  


                               
登录/注册后可看大图

  4、监控硬盘内部处理

  进行开盘操作,通过效率源专用硬盘开盘工具HPE在标准洁净间开盘处理,发现盘腔内部无水渍,硬盘内部的磁头物理状态正常,盘片无损坏,其他结构件无明显损坏;

  TIPS:

  如果磁头损坏需要更换新的磁头,而如果盘片出现严重损坏的话数据恢复的可能性就非常低了。

  


                               
登录/注册后可看大图


  5、查找所需视频数据

  没有发现问题之后,使用DRS给硬盘进行通电检测,发现硬盘能够正常识别,在硬盘存储的中间位置有一些坏道影响,但硬盘数据访问没有什么问题。

  进入DRS数据恢复界面,识别到该硬盘有十个FAT32分区,属于windows可见的监控系统。

  使用DRS扫描分区里面的数据,发现9月10号的数据在其中一个分区,为了更好的提取完整数据或规避坏道区的影响,使用效率源DRS特有的数据镜像的专家模式进行数据固定,将这个分区镜像出来;(如果监控主机的文件系统是厂家私有的,则需要使用专门的视频提取恢复工具:如效率源的VIP视频侦查单兵系统);

  6、数据恢复

  通过DRS中加载镜像的功能,对镜像分区进行数据恢复,然后将想要时间段的数据保存出来(为了更好的找到相关线索,同时将前两天的视频给恢复了出来);

  


                               
登录/注册后可看大图

  


                               
登录/注册后可看大图

  7、查看相关视频数据能否正常播放

  进行视频浏览、查看 ,发现每个通道里最后一个视频都不能正常查看,使用DRS的MP4修复工具进行修复,修复之后视频能够正常查看了;

  


                               
登录/注册后可看大图

  8、成功找到所需视频素材,出具相关报告

  通过对找到并修复的涉案时间段的监控视频查看,成功找到爆炸原因,通过DRS的报告模块生成操作报告并结合分析处理情况出具本次检验报告。

  进水硬盘处理温馨小贴士

  1、针对这种有进水可能的硬盘,切记的一点就是不能够直接通电;

  2、需要先对硬盘的硬件进行检测,查看硬盘是否有问题,如果有的话就需要更换硬件;

  3、如果有更换磁头等操作,最好先直接对源盘做镜像,以防止操作时造成硬盘再次损坏;

  4、镜像软件最好选择专业的,比如效率源科技的DR

该用户从未签到

0

主题

3

回帖

4

积分

[INTOHARD]工兵

Rank: 1

积分
4
发表于 2018-8-14 16:25:35 | 显示全部楼层
火烧硬盘数据恢复怎么判断?
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表