Expertiza criminalistică pentru imagini şi secvenţe

video
Medii de stocare utilizate pentru înregistrarea
imaginilor
HDD:
Rata de transfer: tipic 1030 Mbits/sec, 7200 RPM.
Rata este afectată de fragmentare;
-se întâlnesc la echipamente DVR, NVR şi la unele camere video.
Recuperarea datelor:
-programe specializate, pentru recuperarea în urma ștergerii;
-metode fizice, pentru recuperarea datelor pierdute prin
suprascriere sau în urma deteriorării fizice.

Microdrive (MD): denumire consacrată pentru

HDD miniatură (1-inch), cu un factor de formă similar
cu CompactFlash (CF) Type II. Se întâlnesc la unele
modele de camere video.
Recuperarea datelor: idem HDD
Carduri CompactFlash:
Rată de transfer R = {K *150}, kbyte/s (ex. 133x), unde 150 kbyte/s este rata unitară CD
audio.
CompactFlash Revision 6.0 (Noiembrie 2010): UltraDMA Mode 7 (167 Mbyte/s),
La fluxuri mari de date (video cu rezoluție mare) se utilizează scrierea în paralel pe mai
multe carduri. Se întâlnesc la unele modele profesionale de camere sau înregistratoare.

Recuperarea datelor: idem HDD, cu o excepție – pentru accesarea directă a memoriei este
necesară cunoașterea algoritmilor de mapare a memoriei pentru modelul/producătorul
respectiv.
L2 - Recuperarea datelor foto/video din medii de
stocare
 Expertiza criminalistică pentru imagini şi secvenţe
video
Carduri de memorie Secure Digital
(SD):
Rată de transfer R = {K *1}, Mbyte/s (ex. Class 10).
Facilități DRM:
- Content Protection forRecordable Media (CPRM).
Recuperarea datelor: Phone
- Protecție Windows idem CompactFlash.
7.

Carduri Memory Stick (Sony):

Ultima versiune: Memory Stick PRO-HG Duo HX, rată teoretică de transfer 50
MB/s.
Recuperarea datelor: idem CompactFlash.

Discuri SSD:
Timp pornire: aproape instantaneu;
Timp acces: circa 0,1 ms;
Consum redus.
Caracteristici:
- Defragmentarea nu duce la îmbunătățirea performanțelor.
- Nu asigură implicit suprascrierea controlată a datelor.
Recuperarea datelor: idem CompactFlash.

L2 - Recuperarea datelor foto/video din medii de

stocare
 Expertiza criminalistică pentru imagini şi secvenţe
video

Casete MiniDV:
Asigură redarea/înregistrarea audio-video în format DV.
Schemă de compresie intra-cadre, bazată pe DCT, similară MJPEG.
Formate similare: Digital 8.
Recuperarea datelor: posibilităţi limitate, prin folosirea unor echipamente
de referinţă.

Casete video VHS:

Asigură redarea/înregistrarea audio-video în format analogic.
Date suplimentare: Coduri VITC/LTC
Formate similare: S-VHS, VHS-C.
Recuperarea datelor: posibilităţi limitate, prin folosirea unor
echipamente de referinţă.

L2 - Recuperarea datelor foto/video din medii de

stocare
 Expertiza criminalistică pentru imagini şi secvenţe
video
Recuperarea datelor imagine din medii de s tocare.

RECUPERAREA DATELOR
•P rograme de analiză a datelor digitale: Acces Data FTK, Encase (foa rte bune re z ultate şi pe ntru
recuperarea datelor și de pe suporți de tip CD/DVD/BRdeteriorați)
•Programe specializate pentru identificarea și recuperarea unor formate specifice.

Procedură: pentru a prezerva integritatea date lo r, mediile inscriptibile se conectează la stația de analiză
prin intermediul unei interfețe ce garantează accesulunidirecțional – IDE/SATA/USB write blocker.

R ecuperarea datelor pierdute prinște rge re sau formatare es te posibilă prin utilizarea
programelormenționate.

L2 - Recuperarea datelor foto/video din medii de

stocare
 Expertiza criminalistică pentru imagini şi secvenţe
video

Fo rmate ras ter Fo rmate video

FORMATE CODEC-
•JPEG/JFIF CONTAINER: URI:
•PNG •AVI Lossless: Lossy:
•TGA •3GP •Huffyuv •DV
•TIFF •MOV •MSU •MJPEG
•RAW •MP4 •Lagarith •MPEG1/2
•BMP •FLV
•RM •MPEG4, AVC
•JPEG 2000 •MKV •VP3…8
•RV
Formatele uzuale sunt JPEG și AVI. Codec-urile cele mai răspândite sunt cele de tip MPEG4.

Structură MPEG:
I-Frames (intra-codedpicture) structură similară JPEG - proprietate exploatată de procedeele de recuperare
P-Frames (predicted picture)
B-Frames (bi-predictive picture)

P rograme pentru recuperarea datelor de tip imagine:

•programe de analiză forensic a datelor,
•programe utilitare furnizate de producătorii mediilor des tocare,
•programe dedicate, ce utilizează file carving.

L2 - Recuperarea datelor foto/video din medii de

stocare
 Expertiza criminalistică pentru imagini şi secvenţe
video
FILE CA RVING: procedeu de s canare a fişierelor, în scopulseparării datelor de un anumit tip.
Metode:
-prin căutarea identificatorilor specifici de tip header şi/sau footer;
- extragerea datelorgăsite între o secvenţă de header şi una de footer;
-extragerea datelor găsite după o secvenţă de header, cu o lungime/dimensiune previzionată;
-extragerea datelor găsite după o secvenţă de header, cu o lungime citită din conţinutul heade r- ului;
- extragerea datelor găsite înainte de o secvenţă de footer, cu o lungime/dimensiune previzionată;
-complex, prin analiza semantică a conţinutului de da te – exemplu princunoaşterea structurii interne a fişierului de
căutat.

P rogram NFI Dfras er, pe ntru detecţia

înregistrărilor multimedia în s tructuri de
date – foloseşte proceduri de file carving.

Alte metode pentru recuperarea datelor video

-forţarea conversiei blocurilor de date folosind codec-uri generice (ex. FFMP EG ).

L2 - Recuperarea datelor foto/video din medii de

stocare
 Expertiza criminalistică pentru imagini şi secvenţe
video

Structură JPEG Structură AVI

typedef struct
{
DWORD
frame display rate (or 0)//
dwMicroSecPerFrame;
...
// size;
DWORD dwTotalFrames; // # frames
in file
...
DWORD dwWidth;
DWORD dwHeight;
} MainAVIHeader;

Exemplu structură AVI

L2 - Recuperarea datelor foto/video din medii de

stocare
 Expertiza criminalistică pentru imagini şi secvenţe
video

Exemplu structură JPEG

L2 - Recuperarea datelor foto/video din medii de

stocare
 Expertiza criminalistică pentru imagini şi secvenţe
video

Exemplu structură format înregistrare video DVR

Header- ele cadrelor conţin, în mod uzual, informaţii specifice:

• Indicele canalului;
• Informaţii de dată/timp.

L2 - Recuperarea datelor foto/video din medii de

stocare
 Expertiza criminalistică pentru imagini şi secvenţe
video
Conversia şi editarea formatelor raster
Programe profesionale: Adobe Photoshop,
Programe Open Source: Gimp ş.a.

Conversia şi editarea formatelor video

Programe profesionale: Adobe Premiere, Avid,
Programe Open Source: VideoLan (VLC),
VirtualDub,
Mencoder ş.a.
Cazul specific al înregistrărilor DVR pentru care
nu
sunt disponibile programe de conversie, dar există
player: se folosesc programe de captură de ecran
specializate (ex. Ocean Systems DVR dCoder).

L2 - Recuperarea datelor foto/video din medii de

stocare
 Expertiza criminalistică pentru imagini şi secvenţe video

Demultiplexarea înregistrărilor video recuperate

Uzual, înregistrările recuperate reprezintă secvențe multiplexate temporal, neordonate, rezultate ca urmare a
fragmentării de scriere/suprascriere și a efectului transcodării (pierderi aleatorii de cadre în cazul forțării codec-
urilor).

Demultiplexarea se realizează:
• folosind datele de header ale cadrelor (indicele de canal / cameră, atunci când există sau s-au păstrat după
rularea procedeului de recuperare);
• prin analiza conținutului imaginii.
Exemplu demultiplexare vizuală:
• Se identifică scenele independente, se extrag cadre de referință;
• Se rulează algoritmi de comparare cu cadrele de referință, parametrizați în funcție de variația conținutului
scenelor.
Programe dedicate: Ocean Systems dPlex Pro, Cognitech Video Active.

CH1

CH2

L2 - Recuperarea datelor foto/video din medii de

stocare