天宇宁达丨案例分享

2017年9月12日晚，某小区发生打架斗殴。案件现场有视频监控探头，为了解案件情况，办案单位将视频监控主机送检进行勘验，要求提取9月12日晚19:30~20:30之间的监控视频记录。

送检主机为普通兼容台式计算机，外观封存完好无破损。进入BIOS确认时间无误，将主机拆封后拆卸硬盘，硬盘型号为希捷ST1000DM010, 容量1TB，SN：XXXXXXX 。

通过只读接口将主机硬盘连接至勘验计算机，使用CFlab “法证通”电子数据取证与综合分析系统进行勘验。

硬盘上检测到操作系统Windows（Windows 7 SP1 x64），系统用户账户（XXX），最后一次正常关机时间为（2017年9月13日00:12:43）。安装软件65个，其中中维数字监控系统为视频监控软件。

由此可以确定该计算机并非专用视频监控主机，而是日常办公用计算机，通过视频监控软件进行监控录像。

使用CFlab “法证通”电子数据取证与综合分析系统的磁盘文件分析功能，对硬盘数据进行删除恢复、签名恢复及格式化恢复。

对恢复后的文件进行过滤查找及查看，没有发现指定时间段的视频监控文件。

查看NTFS磁盘日志，指定时间段内没有发现文件删除动作。

查看硬盘中保存的视频监控文件，发现视频监控软件对监控记录的保存规则：在保存路径下，每天自动生成一个文件夹，以日期命名，用于保存当天的视频监控文件。

查看每个文件夹下的视频文件，发现不同文件夹（不同日期）内的视频文件基本重名。视频监控文件命名规则：N25_01******（*号为视频生成时间）。按照每个文件夹内视频监控文件名的排序统计，发现视频监控软件保存视频文件的规律：软件每半小时自动生成一个视频文件进行保存，文件创建时间作为文件名部分，保存结束后记录文件修改时间。

按照这个规律，详细查看9月12日监控视频文件，发现20170912目录下有2个连续视频文件名称异常,且时间不符合规律。具体如下表：

按照视频文件保存规律及命名规律判断，9月12日16:00监控软件连续正常记录，生成新的记录文件。之后在16:10:44进行保存。软件至20:35:53开始生成新记录文件，并在21:00:00正常保存。

由于保存时间及之后的生成时间并不符合自动保存规律，因此可以判断16:10:44时监控软件被停止，直到20:35:53才重新开始记录。

导出视频文件N25_01160000.mp4进行播放，发现在该视频记录的最后位置，16:09:57有疑似关机的动作。

对照系统开关机时间记录，发现12日下午16:11:01分关机，16:11:54开机，结合N25_01160000.mp4视频记录的情况，能看出某人在打印资料，由于某种原因重启主机。

对用户行为进行分析，主机重启后，并未启动视频监控软件。直至20:35:53才打开视频监控软件进行记录。