北京天宇宁达科技有限公司

电话
当前位置: 主页 > 新闻中心 > 公司新闻 >

2017/9 某监控视频勘验报告


一、   情况简介


2017年9月12日晚,某小区发生打架斗殴。案件现场有视频监控探头,为了解案件情况,办案单位将视频监控主机送检进行勘验,要求提取9月12日晚19:30~20:30之间的监控视频记录。


二、   勘验过程


送检主机为普通兼容台式计算机,外观封存完好无破损。进入BIOS确认时间无误,将主机拆封后拆卸硬盘,硬盘型号为希捷ST1000DM010, 容量1TB,SN:XXXXXXX

通过只读接口将主机硬盘连接至勘验计算机,使用CFlab “法证通”电子数据取证与综合分析系统进行勘验。

1.系统基本信息

硬盘上检测到操作系统Windows(Windows 7 SP1 x64),系统用户账户(XXX),最后一次正常关机时间为(2017年9月13日00:12:43)。安装软件65个,其中中维数字监控系统为视频监控软件。

由此可以确定该计算机并非专用视频监控主机,而是日常办公用计算机,通过视频监控软件进行监控录像。

2.监控数据恢复

使用CFlab “法证通”电子数据取证与综合分析系统的磁盘文件分析功能,对硬盘数据进行删除恢复、签名恢复及格式化恢复。



对恢复后的文件进行过滤查找及查看,没有发现指定时间段的视频监控文件。

查看NTFS磁盘日志,指定时间段内没有发现文件删除动作。


723047517974313997


3.数据分析

查看硬盘中保存的视频监控文件,发现视频监控软件对监控记录的保存规则:在保存路径下,每天自动生成一个文件夹,以日期命名,用于保存当天的视频监控文件。



查看每个文件夹下的视频文件,发现不同文件夹(不同日期)内的视频文件基本重名。视频监控文件命名规则:N25_01******(*号为视频生成时间)。按照每个文件夹内视频监控文件名的排序统计,发现视频监控软件保存视频文件的规律:软件每半小时自动生成一个视频文件进行保存,文件创建时间作为文件名部分,保存结束后记录文件修改时间。



按照这个规律,详细查看9月12日监控视频文件,发现20170912目录下有2个连续视频文件名称异常,且时间不符合规律。具体如下表:

文件名

创建时间

修改时间

N25_01160000.mp4

2017/09/12  16:00:00

2017/09/12  16:10:44

N25_01203553.mp4

2017/09/12  20:35:53

2017/09/12  21:00:00

 


按照视频文件保存规律及命名规律判断,9月12日16:00监控软件连续正常记录,生成新的记录文件。之后在16:10:44进行保存。软件至20:35:53开始生成新记录文件,并在21:00:00正常保存。

由于保存时间及之后的生成时间并不符合自动保存规律,因此可以判断16:10:44时监控软件被停止,直到20:35:53才重新开始记录。

导出视频文件N25_01160000.mp4进行播放,发现在该视频记录的最后位置,16:09:57有疑似关机的动作。


112829758105100603


对照系统开关机时间记录,发现12日下午16:11:01分关机,16:11:54开机,结合N25_01160000.mp4视频记录的情况,能看出某人在打印资料,由于某种原因重启主机。

对用户行为进行分析,主机重启后,并未启动视频监控软件。直至20:35:53才打开视频监控软件进行记录。


542118681979724267


三、勘验结论


基于上述数据勘验及分析,可以确定9月12日16:10:44~20:35:53之间,视频监控软件没有开启,监控主机上不存在19:30~20:30之间的监控视频记录。

 

 

北京天宇宁达科技有限公司

刘典涛

2017-9-14