監(jiān)控視頻時(shí)間信息調(diào)查與分析

李子川

（中國(guó)刑警學(xué)院 遼寧 沈陽(yáng) 110035）

監(jiān)控視頻時(shí)間信息調(diào)查與分析

李子川

（中國(guó)刑警學(xué)院 遼寧 沈陽(yáng) 110035）

通過(guò)分析監(jiān)控視頻系統(tǒng)中時(shí)間屬性信息特征與關(guān)系，總結(jié)相關(guān)監(jiān)控視頻時(shí)間信息調(diào)查方法，為電子數(shù)據(jù)取證工作提供一些有建設(shè)性的鑒定思路。

監(jiān)控視頻 文件系統(tǒng) 內(nèi)嵌時(shí)間 創(chuàng)建時(shí)間

監(jiān)控視頻案件調(diào)查的過(guò)程中常常將分析焦點(diǎn)集中在時(shí)間上，[1]導(dǎo)致監(jiān)控視頻文件時(shí)間信息成為最基本也是最重要的數(shù)字證據(jù)。監(jiān)控視頻的時(shí)間信息是連接現(xiàn)實(shí)世界的橋梁，通過(guò)研究監(jiān)控視頻文件時(shí)間信息可以辨認(rèn)可疑監(jiān)控視頻文件何時(shí)被建立、何時(shí)被刪除，是否進(jìn)行過(guò)覆蓋修改等操作。

1 引言

監(jiān)控視頻設(shè)備的種類繁多，例如，個(gè)人電腦、嵌入式的硬盤(pán)錄像機(jī)、車載行車記錄儀，這些設(shè)備中的時(shí)間信息都來(lái)自于主板上的一塊可讀寫(xiě)的RAM芯片，芯片由主板的電池單獨(dú)供電，即使系統(tǒng)掉電，時(shí)間信息也不會(huì)丟失。相反，如果芯片時(shí)間設(shè)置錯(cuò)誤或者電池電量不足，那么監(jiān)控視頻文件中時(shí)間信息也將是錯(cuò)誤的。監(jiān)控視頻時(shí)間信息只能表示該設(shè)備本身設(shè)置的系統(tǒng)時(shí)間信息，并不一定能代表顯示世界的時(shí)間，因此確定時(shí)間信息的正確性需要通過(guò)分析視頻內(nèi)容進(jìn)行校正。調(diào)查人員應(yīng)該意識(shí)到監(jiān)控視頻時(shí)間證據(jù)的復(fù)雜性和包含的不確定性，[2]多數(shù)情況下需要大量的研究和實(shí)驗(yàn)才能獲得一個(gè)合理的監(jiān)控視頻時(shí)間信息。但是監(jiān)控視頻系統(tǒng)中記錄的時(shí)間信息與現(xiàn)實(shí)世界中時(shí)間信息也有著許多相同的特點(diǎn)，監(jiān)控視頻系統(tǒng)中的時(shí)間計(jì)量單位與現(xiàn)實(shí)世界中時(shí)間是一致的，即現(xiàn)實(shí)世界中經(jīng)過(guò)一秒，監(jiān)控系統(tǒng)中也經(jīng)過(guò)一秒，因此監(jiān)控系統(tǒng)中時(shí)間與現(xiàn)實(shí)世界時(shí)間的相對(duì)關(guān)系是固定，此監(jiān)控系統(tǒng)中的時(shí)間運(yùn)行都是相對(duì)獨(dú)立的，它本身具有時(shí)間序列前后的關(guān)系，調(diào)查人員可以充分利用以上兩個(gè)特點(diǎn)證明監(jiān)控視頻是偽造或是經(jīng)過(guò)篡改過(guò)的。

2 監(jiān)控視頻時(shí)間信息的類型

監(jiān)控視頻時(shí)間信息主要來(lái)源于三類信息，內(nèi)嵌監(jiān)控視頻的系統(tǒng)時(shí)間、文件系統(tǒng)時(shí)間、監(jiān)控系統(tǒng)日志記錄的時(shí)間信息。其中文件系統(tǒng)時(shí)間還分為創(chuàng)建時(shí)間、修改時(shí)間、訪問(wèn)時(shí)間。

2.1 監(jiān)控視頻內(nèi)嵌時(shí)間信息

監(jiān)控視頻中的內(nèi)嵌時(shí)間是監(jiān)控視頻錄制時(shí)寫(xiě)入文件內(nèi)部的系統(tǒng)時(shí)間信息，內(nèi)嵌時(shí)間信息不隨文件的復(fù)制或移動(dòng)而改變。值得注意的是，由于某些監(jiān)控視頻循環(huán)錄制的原因，同一個(gè)視頻文件內(nèi)部可能提取出兩段不連續(xù)的視頻片斷，進(jìn)而顯示不同的嵌入時(shí)間信息，如圖1所示，監(jiān)控視頻開(kāi)始部分顯示的2014年1月21日，而結(jié)束部分的顯示的2015年2月1日。鑒于此調(diào)查人員在檢視監(jiān)控錄像的過(guò)程中，對(duì)于跳躍時(shí)間段的監(jiān)控視頻更應(yīng)仔細(xì)觀察，防止漏看涉案監(jiān)控視頻。[3]

圖1 同一監(jiān)控視頻文件提取出兩段時(shí)間信息的情況

除了可在監(jiān)控視頻中直接觀察到內(nèi)嵌時(shí)間信息外，對(duì)于一些特定的監(jiān)控視頻設(shè)備，例如?？低?，也可以通過(guò)提取監(jiān)控視頻內(nèi)部潛在的水印信息獲得時(shí)間信息，里面還包括錄制的視頻設(shè)備的MAC地址、設(shè)備號(hào)、通道號(hào)等信息，如圖2所示。通過(guò)水印信息可以將檢材磁盤(pán)與監(jiān)控設(shè)備進(jìn)行匹配，判斷磁盤(pán)中的信息內(nèi)容是否為該監(jiān)控視頻設(shè)備所錄制。

圖2 監(jiān)控視頻水印時(shí)間信息

2.2 監(jiān)控視頻文件系統(tǒng)時(shí)間信息

監(jiān)控視頻文件系統(tǒng)時(shí)間信息是監(jiān)控設(shè)備為每個(gè)監(jiān)控視頻文件記錄的創(chuàng)建時(shí)間，修改時(shí)間或者訪問(wèn)時(shí)間信息，它并沒(méi)有存放在監(jiān)控視頻文件的內(nèi)部，而是存放在文件系統(tǒng)的文件分配表中，圖3中給出了文件分配表中監(jiān)控視頻文件的創(chuàng)建時(shí)間的ASCII碼表示，例如，文件VSRCD0001.gh1的創(chuàng)建時(shí)間為2015年2月1日7點(diǎn)44分30秒。

圖3 文件系統(tǒng)中時(shí)間信息表現(xiàn)形式

監(jiān)控視頻文件系統(tǒng)時(shí)間信息即便視頻文件被刪除仍能從文件分配表中找到相關(guān)的監(jiān)控視頻時(shí)間信息，間接地證明了該時(shí)間段曾經(jīng)錄制過(guò)監(jiān)控視頻。

常規(guī)情況下文件系統(tǒng)的創(chuàng)建時(shí)間和監(jiān)控視頻文件嵌入時(shí)間一致，如圖4所示，文件系統(tǒng)中的修改時(shí)間為本段監(jiān)控視頻錄制的結(jié)束時(shí)間，文件的修改時(shí)間與創(chuàng)建時(shí)間的差值為視頻文件的錄制時(shí)間，訪問(wèn)時(shí)間為最后一次瀏覽監(jiān)控視頻文件的時(shí)間。

圖4 常規(guī)監(jiān)控視頻文件系統(tǒng)時(shí)間屬性信息

在監(jiān)控視頻系統(tǒng)中連續(xù)復(fù)制其它時(shí)段監(jiān)控視頻文件進(jìn)行偽造內(nèi)容時(shí)，各監(jiān)控視頻文件的創(chuàng)建時(shí)間之間差值與該段時(shí)間內(nèi)復(fù)制進(jìn)入的磁盤(pán)空間大小的比值接近于磁盤(pán)讀寫(xiě)速度，同時(shí)監(jiān)控視頻的起始內(nèi)嵌時(shí)間出現(xiàn)與文件系統(tǒng)中創(chuàng)建時(shí)間不一致的情況，如果不連續(xù)復(fù)制視頻文件創(chuàng)建時(shí)間的變化會(huì)很明顯，同樣也較為容易判別。本文第五部分中會(huì)給出實(shí)驗(yàn)結(jié)果進(jìn)步說(shuō)明二者間的關(guān)系。

此外，在某些監(jiān)控設(shè)備中文件系統(tǒng)時(shí)間在初始化后將不再修改，導(dǎo)致文件系統(tǒng)中的所有監(jiān)控視頻文件的創(chuàng)建時(shí)間和修改時(shí)間近似一致的情況，利用上述方法仍能辨別出是否是經(jīng)過(guò)磁盤(pán)格式化或系統(tǒng)初始化造成的這種情況的發(fā)生，因?yàn)閺?fù)制文件的磁盤(pán)運(yùn)行速度不可能超過(guò)硬件的參數(shù)設(shè)定。

2.3 監(jiān)控視頻日志文件中的時(shí)間信息

監(jiān)控視頻系統(tǒng)中日志一般記錄各通道監(jiān)控視頻開(kāi)啟錄制的時(shí)間，監(jiān)控視頻錄制的原因，用戶的登錄退出監(jiān)控系統(tǒng)的信息，磁盤(pán)滿刪除較早的監(jiān)控視頻文件信息等，有些的日志中還存有GPS信息。圖5中提供兩種不同類型視頻監(jiān)控系統(tǒng)記錄的日志文件信息。

圖5 監(jiān)控視頻日志文件內(nèi)容

監(jiān)控視頻日志文件一般按錄制監(jiān)控視頻的日期創(chuàng)建，監(jiān)控視頻系統(tǒng)啟動(dòng)成功，就會(huì)生成相應(yīng)的日志文件，多數(shù)情況下擴(kuò)展名為.log，通過(guò)分析監(jiān)控視頻日志文件記錄的時(shí)間信息判斷案發(fā)時(shí)段是否錄制過(guò)監(jiān)控視頻信息。

調(diào)查人員應(yīng)重視日志文件在監(jiān)控視頻時(shí)間信息分析中實(shí)際發(fā)揮的重要作用，尤其對(duì)于大量監(jiān)控視頻數(shù)據(jù)相互覆蓋的情況下，由于日志文件多數(shù)情況下不會(huì)被進(jìn)行覆蓋，所以調(diào)查人員可以通過(guò)日志文件判定監(jiān)控視頻的存在性。但是應(yīng)該注意的是，不是所有的監(jiān)控系統(tǒng)日志文件的名稱的擴(kuò)展名都是.log，這些具體內(nèi)容需要調(diào)查人員在檢驗(yàn)過(guò)程中，根據(jù)監(jiān)控錄像系統(tǒng)具體型號(hào)進(jìn)行個(gè)體分析。

3 監(jiān)控視頻時(shí)間邊界的認(rèn)定

監(jiān)控視頻時(shí)間信息的辨認(rèn)與鑒定工作的重點(diǎn)是時(shí)間信息的合理性和準(zhǔn)確性，不論是監(jiān)控中的內(nèi)嵌時(shí)間或是文件系統(tǒng)中的時(shí)間都來(lái)源于設(shè)備芯片設(shè)置時(shí)間，為了較小偏差的存在，調(diào)查人員有必要分析各種因素形成的外部時(shí)間戳為監(jiān)控視頻中的時(shí)間設(shè)置邊界，例如圖6左圖顯示的是待檢硬盤(pán)生產(chǎn)日期2014年3月5日，圖6右圖中顯示該待檢硬盤(pán)的購(gòu)買日期為2014年3月31日，如果監(jiān)控視頻中出現(xiàn)2014年3月31日之前的監(jiān)控視頻時(shí)間信息，顯然是不合理。再比如封裝固定日期2014年4月5日，案件受理檢驗(yàn)的日期2014年4月7日，如果監(jiān)控視頻中出現(xiàn)2014年4月5日之后的監(jiān)控視頻時(shí)間信息，同樣也是不合理的。由此可以看出影響監(jiān)控視頻時(shí)間信息邊界的因素很多，而這些綜合因素自然確定了監(jiān)控視頻時(shí)間信息的上下邊界。

圖6 影響監(jiān)控錄像時(shí)間下邊界的因素

假定：所有影響下邊界時(shí)間信息的集合為Bmin，對(duì)象為On，Bmin={O1，O2,...,On}；所有影響上邊界時(shí)間信息的集合為Bmax，對(duì)象為 Om，Bmax={O1,O2,...，Om}。所有監(jiān)控視頻時(shí)間信息集合為T(mén)，T為監(jiān)控視頻內(nèi)嵌時(shí)間、文件系統(tǒng)時(shí)間、日志文件中時(shí)間信息的集合。

推論：監(jiān)控視頻中出現(xiàn)的任何時(shí)間信息T都應(yīng)在上邊界集合最大值與下邊界集合的最小值之間，即Max(Bmin)＜?T＜Min(Bmax)。

圖6中所示下邊界集合Bmin={O1=購(gòu)買日期，O2=硬盤(pán)生日期}，Max(Bmin)=購(gòu)買日期；上邊界集合Bmax= {O1=封裝固定日期，O2=案件受理檢驗(yàn)日期}，Max (Bmax)=封裝固定日期。那么無(wú)論視頻系統(tǒng)中保存的是何種時(shí)間信息都應(yīng)該在Bmin與Bmax之間。如果在圖8中所示案例的檢驗(yàn)要求中要恢復(fù)2015年3月28日的錄像，這顯然是不可能的。

4 監(jiān)控視頻時(shí)間信息調(diào)查方法總結(jié)

監(jiān)控視頻時(shí)間信息的比對(duì)，實(shí)質(zhì)上是利用監(jiān)控時(shí)間信息的綜合分析達(dá)到辨別出監(jiān)控錄像是否經(jīng)過(guò)偽造、篡改或者復(fù)制形成的目的，例如將案發(fā)后對(duì)錄制的監(jiān)控視頻錄像進(jìn)行覆蓋，以至于毀滅證據(jù)。結(jié)合上述內(nèi)容，監(jiān)控視頻時(shí)間信息的檢驗(yàn)建議按以下步驟進(jìn)行。

（1） 確定監(jiān)控視頻存儲(chǔ)介質(zhì)與監(jiān)控設(shè)備間的匹配關(guān)系，因?yàn)楸O(jiān)控視頻設(shè)備在購(gòu)買時(shí)，存儲(chǔ)介質(zhì)是后期購(gòu)置的，存儲(chǔ)介質(zhì)是可以更換的，調(diào)查人員在辦理案件時(shí)應(yīng)注意類似事件發(fā)生的可能性。

（2） 對(duì)待檢監(jiān)控視頻時(shí)間信息綜合各種因素確定時(shí)間信息的上下邊界，如果監(jiān)控視頻中出現(xiàn)區(qū)域外的時(shí)間信息，判定該時(shí)間信息為假。

（3） 判斷監(jiān)控視頻文件時(shí)間信息三種類型是否具有正常的對(duì)應(yīng)關(guān)系，即監(jiān)控視頻開(kāi)始錄制的時(shí)間等于文件系統(tǒng)中的創(chuàng)建時(shí)間，監(jiān)控視頻內(nèi)嵌視頻錄制結(jié)束的時(shí)間是否等于文件系統(tǒng)中監(jiān)控視頻文件的修改時(shí)間。

（4） 不滿足正常錄制監(jiān)控視頻的時(shí)間信息特征，進(jìn)一步判斷監(jiān)控視頻文件是否被格式化或者進(jìn)行過(guò)復(fù)制操作，其相應(yīng)的時(shí)間特征信息在上文中已經(jīng)進(jìn)行過(guò)論述。

（5） 最后通過(guò)監(jiān)控視頻日志對(duì)監(jiān)控視頻文件中的視頻信息進(jìn)行驗(yàn)證，統(tǒng)計(jì)監(jiān)控視頻系統(tǒng)中曾經(jīng)錄制視頻日期信息，確定被刪除了的監(jiān)控視頻文件時(shí)間信息。

5 實(shí)驗(yàn)

隨機(jī)選取N個(gè)監(jiān)控視頻文件以連續(xù)復(fù)制的方式，分別以單一磁盤(pán)內(nèi)和磁盤(pán)間的拷貝到監(jiān)控視頻系統(tǒng)的存儲(chǔ)介質(zhì)中，假設(shè)磁盤(pán)讀和寫(xiě)的速度大致相等，本實(shí)驗(yàn)選取了32個(gè)視頻文件，每個(gè)視頻文件的大小定義為128MB，在單一磁盤(pán)復(fù)制文件表現(xiàn)出的時(shí)間信息特征如表1所示。其中△t等于vscd026的創(chuàng)建時(shí)間減去vscd025的創(chuàng)建時(shí)間等于2秒，表示復(fù)制入磁盤(pán)128MB耗時(shí)2秒。S表示到當(dāng)前時(shí)刻復(fù)制的磁盤(pán)空間總大小，單位為MB。表1中的創(chuàng)建時(shí)間起始點(diǎn)t0設(shè)置為11∶45∶31，表2中創(chuàng)建時(shí)間的起始點(diǎn)設(shè)置為12∶23∶08。

表1 單一磁盤(pán)連續(xù)復(fù)制創(chuàng)建時(shí)間序列

表2 磁盤(pán)間連續(xù)復(fù)制創(chuàng)建時(shí)間序列

設(shè)ti和Si分別表示創(chuàng)建時(shí)間生成序列和總復(fù)制磁盤(pán)容量大小，帶入相關(guān)系數(shù)計(jì)算公式：

對(duì)于表1的數(shù)據(jù)的相關(guān)系數(shù)r1=0.99，表2的相關(guān)系數(shù)r2=0.99，說(shuō)明二者成線形相關(guān)。利用線性回歸方程對(duì)二組數(shù)據(jù)進(jìn)行擬合，求出表1、2直線的斜率b1=45.3MB/s，b2=94.6MB/s表示文件復(fù)制的平均速度。由于表1的數(shù)據(jù)是在同一塊盤(pán)上進(jìn)行讀寫(xiě)，因此文件連續(xù)讀寫(xiě)速度應(yīng)為2b1=90.6MB/s，表2是兩個(gè)磁盤(pán)間的相互傳輸數(shù)據(jù)，文件讀寫(xiě)的速度是由比較慢的磁盤(pán)速度決定為94.6MB/s。而采用相關(guān)軟件對(duì)磁盤(pán)進(jìn)行讀寫(xiě)測(cè)速得到表1中使用磁盤(pán)的平均讀寫(xiě)速度為106MB/s，表2中速度較慢的磁盤(pán)也是表1中使用的磁盤(pán)，所以平均讀寫(xiě)速度同樣是106MB/s，通過(guò)兩個(gè)實(shí)驗(yàn)我們可以看出，監(jiān)控視頻文件創(chuàng)建時(shí)間序列在連續(xù)復(fù)制的情況下，生成的文件速度基本與磁盤(pán)運(yùn)行的平均速度相等。

按照上述表格中的數(shù)據(jù)，將上述數(shù)據(jù)利用折線圖表示為圖7、8所示。

圖7 表1實(shí)驗(yàn)數(shù)據(jù)折線圖

圖8 表2實(shí)驗(yàn)數(shù)據(jù)折線圖

6 結(jié)束語(yǔ)

通過(guò)介紹各種監(jiān)控視頻文件時(shí)間信息的特征，從而給出了驗(yàn)證監(jiān)控視頻文件時(shí)間信息的基本方法和步驟。但是，監(jiān)控視頻文件中的時(shí)間信息是多樣而且復(fù)雜的，監(jiān)控視頻中的時(shí)間信息有些情況下不一定全部出現(xiàn)在監(jiān)控系統(tǒng)中，例如文件系統(tǒng)時(shí)間和日志文件中的時(shí)間信息在一些監(jiān)控視頻設(shè)備中是不記錄的，再比如有些監(jiān)控視頻文件系統(tǒng)的時(shí)間在磁盤(pán)初始化之后監(jiān)控系統(tǒng)就不再對(duì)其進(jìn)行修改。因此，創(chuàng)建時(shí)間、修改時(shí)間與監(jiān)控視頻內(nèi)嵌時(shí)間信息的對(duì)應(yīng)關(guān)系在這些監(jiān)控視頻設(shè)備中不適用，但這些因素都不影響常規(guī)判定的一般規(guī)則。

[1]劉浩陽(yáng).數(shù)字時(shí)間取證技術(shù)原理與應(yīng)用[J].信息網(wǎng)絡(luò)安全，2010，（03）：47-49.

[2]程琳，張鴻洲.論視頻偵查技術(shù)專業(yè)建設(shè)與人才培養(yǎng)[J].中國(guó)人民公安大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2013，（5）：48-54.

[3]段成閣，等.漢邦監(jiān)控錄像時(shí)間信息研究[J].刑事技術(shù)，2013，（1）：42-43.

（責(zé)任編輯：孟凡騫）

DF793.2

A

2095-7939(2015)02-0049-04

2015-04-06

2014年?yáng)|穗科技創(chuàng)新基金項(xiàng)目（編號(hào)：2014-11）；網(wǎng)絡(luò)安全執(zhí)法與公安技術(shù)信息化協(xié)同創(chuàng)新中心資助項(xiàng)目。

作簡(jiǎn)簡(jiǎn)介：李子川（1979-），男，遼寧沈陽(yáng)人，中國(guó)刑警學(xué)院網(wǎng)絡(luò)犯罪偵查系講師，博士，主要從事電子物證檢驗(yàn)研究。