手工深度分析大华监控DHFS文件系统的码流存储规则(H.264)

栏目: 后端 · 发布时间: 5年前

内容简介:各位读者您好!数据安全与取证开启了【专家约稿专栏】,之后会不定期邀请行业内专家和大家做分享。都说最快的学习方式,就是向牛人学习。

各位读者您好!

数据安全与取证开启了【专家约稿专栏】,之后会不定期邀请行业内专家和大家做分享。

都说最快的学习方式,就是向牛人学习。

今天,为各位分享的是Wendy眼中的“数据恢复第一人”——八爷,希望各位能从他不羁的描述中获得启发哦。

正文

今天我们不分析DHFS的物理层架构存储,今天主要分析视频码流的编码和存储规则,教大家手工解析此格式的大华的视频编码(以下默认此格式),因为大华监控有采用FAT32、NTFS的MP4,今天分析DHFS。

当我们打开一个监控硬盘查看第一个扇区,发现16进制是0x44 48 46 53(DHFS)的时候,正常情况下说明这是块采用DHFS嵌入式文件系统的大华监控录像机。

手工深度分析大华监控DHFS文件系统的码流存储规则(H.264)

大华监控视频编码分析:

001

编码头0x44 48 41 56,我们可以搜索16进制0x44 48 41 56,快速找到每个帧头,找到后,就可以手动解码里面的视频数据,包括通道号,时间,帧号......

002

下图是我用 C语言 写的结构体,用于描述整个视频帧的情况

手工深度分析大华监控DHFS文件系统的码流存储规则(H.264)

003

我截取连续的两个视频帧实例对照分析,我们手工去分析视频帧的每个字节会发现,原来这么有规律,红色标识对应上面结构体的实际成员,通过header我们定位所有视频帧,帧1的tail和tail_size是描述上一帧数据,也就是帧2描述的是帧1,我们可以看到帧2的tail_size实际是等于帧1的size==0x0D 0A(大小端问题),这个有什么用呢?

我们通过header定位一个帧,那么如果以header为起始偏移size字节,就是第二个连续帧,可以验证通道数据是否交叉(有时间聊聊具体重组的算法),channel就是记录视频的实际通道号,但大华的通道号比实际的小1,所以具体得到数据是0x0000+1,才是实际通道号,date是记录的监控录像的时间,只是以十进制的形式存储,稍加转换就可以得到年月日时分秒,frameNO是帧号,我们可以看到,帧1和帧2和date和frameNO是连续的,也就是说这两个视频数据是连续,无通道和时间交叉。

手工深度分析大华监控DHFS文件系统的码流存储规则(H.264)

004

所有上述的分析都是为了最后对多通道时间交叉的视频碎片进行重组,形成一个完整的文件,这个是录像机本身的多通道存储规则

最后:

上面的这些都是没有任何文档可查,都是我一字节一字节分析,扣出来的,如果有问题可以留言,我很愿意跟大伙一起交流,把一些分析经验和结果跟大家分享。

声明:本文来自数据安全与取证,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上所述就是小编给大家介绍的《手工深度分析大华监控DHFS文件系统的码流存储规则(H.264)》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

深入理解LINUX内核(第三版)

深入理解LINUX内核(第三版)

(美)博韦,西斯特 / 陈莉君;张琼声;张宏伟 / 中国电力出版社 / 2007-10-01 / 98.00元

为了彻底理解是什么使得Linux能正常运行以及其为何能在各种不同的系统中运行良好,你需要深入研究内核最本质的部分。内核处理CPU与外界间的所有交互,并且决定哪些程序将以什么顺序共享处理器时间。它如此有效地管理有限的内存,以至成百上千的进程能高效地共享系统。它熟练地统筹数据传输,这样CPU 不用为等待速度相对较慢的硬盘而消耗比正常耗时更长的时间。 《深入理解Linux内核,第三版》指导你对内核......一起来看看 《深入理解LINUX内核(第三版)》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码

URL 编码/解码
URL 编码/解码

URL 编码/解码