此案例由于合同原因不對文件結構等具體性內容進行描述，也沒有截圖，只是把奮戰兩天的過程記錄下來，算是個紀念吧！

客戶描述如下：

???? 有一專用高速拍攝設備生成的擴展名為CI**的文件（其3 4秒鐘的視頻可能就有7 8G），大約為7G左右，使用文件系統為NTFS，邏輯盤大小為450G，在某次執行完畢時操作員從設備下載視頻文件成功，在進行合成操作過程中進行了刪除操作，操作員發現刪除后，直接使用了FINADATA軟件進行了掃描操作，產生了一定大約600多M的碎片很多的臨時文件（當然這個是后續分析才知道的）。針對此種情況，客戶提出了上門的要求，根據合同我們提供了×××。

分析過程：

?????? 經過分析發現此類文件為特殊文件，文件結構和標準的AVI MPG等視頻有極其大的差別，主要區別表現在標準的視頻類壓縮比例較高，而此文件可以說是高清了。在現場經過分析知道了文件頭標識及相應的日期 時間在文件頭中的偏移值（使用UNIX時間表示方法）。根據此情況，又根據該邏輯盤的其它正常的視頻文件的分析情況（都是不連續的），得出結論此文件產生碎片的機率極高！

據此提供了第一套方案：

STEP1.通過對文件系統中的空閑簇搜索文件頭標識，如果符合條件對文件頭日期進行篩選，指定到用戶所描述的日期，為了不漏掉對日期進行了模糊篩選的方法，即定一大概日期，只要符合此條件就為須要文件。

STEP2.定位到文件頭所在位置后進行文件結構深入分析，看是否存在碎片，如果存在進行碎片定位。

第2步是建立在第1步的基礎之上，所以先不進行第2步的深入分析。開始寫程序，經過進行調試，程序可以正常運行，程序在掃描時會對空閑簇中全部為0的簇進行跳過的操作，這樣會加快掃描速度。經過1個多小時掃描，得到了結果，令人遺憾的是沒有發現用戶所說日期的文件，此方案的失敗，開始對用戶所描述的末做任何操作產生懷疑！在WINHEX中對比文件日期發現有一大約有90多個碎片且簇跨度很大的文件是在做過刪除操作的同一日期，看文件頭為FINADATA*****（后續貌似是標簽的意思想不起來了），再次溝通，用戶說是做過掃描操作，用的就是FINADATA，但是他能看到文件名，文件大小卻為0（在刪除大于4G的文件時管理 文件會對文件記錄中的文件長度為簇位置分布DATARUN進行清0操作），之后就再沒有做過操作了。

到了這一步得到如下結論：

此刪除的視頻文件很有可能被部分覆蓋了，因為那個FINDATA的文件跨度很大，但是長度卻不是很大，而視頻文件頭可能就是被覆蓋了，導致程序定位不到。下一步進行操作就必須對此視頻文件進行深入分析，看其在數據區等位置有無標識區。對比樣本文件，由于時間緊張，用戶找來了做合成的老師做配合，通過電話溝通對此類文件有一個深入了解，很快制定了第二套方案。

STEP1.先進行管理區定位，看管理區是否存在，（由于 此文件管理區占用較少扇區也就20多個扇區，簇大小為8SEC，所以認為覆蓋的可能性很大）

STEP2.直接進行數據區定位，由于搞清楚了此類文件的封裝模式，搞清楚了分辯率（1600*1600，此類文件有兩種封裝模式，具體由于合同原因就不細說），進行數據區數據定位

STEP3.分析NTFS中原文件$BITMAP，得出空閑簇分配表，對大塊區間進行重點關注

STEP4.提取符合條件的內容，進行合成。由于要合成須要寫新的合成程序，通過和合成軟件的老師溝通，針對合成的情況給出一個通過修改一個正常的視頻文件的數據區（使用提取出來的數據區），并進行修改管理區參數的操作，從而“騙”過合成軟件直接進行合成。經過測試此方案可行。

2號方案制定后和客戶溝通，得到其認可。立刻進行修改程序的操作，經過程序進行掃描，提取了大量符合條件的內容（因為此盤也存在過很多同樣格式的視頻文件，做過很多刪除提取操作）。對提取的內容進行在新視頻中的修改，進行合成，合成 后讓用戶對比那些是其所須。

經過對比用戶發現了其中很多符合條件的內容，對這些內容所在的提取文件名進行分析（文件名在程序中設定為偏移扇區所在），經過對比發現此文件可能產生過臨時文件，剔除臨時文件。繼續分析數據區，通過比對，發現存在大約7個碎片，使用WINHEX合成碎片，重新生成新視頻并修改管理區進行合成軟件合成。合成后數據的連貫性得到了客戶的認可，同時在起始和結束的一大部分可能是被覆蓋了，起始部分破壞最大，這是比較遺憾的地方。

??????? 至此恢復工作完成，用戶對恢復的時間、質量給予極大的評價！綜合恢復過程，可以大致判斷文件在第一次刪除后應該是完整的，但是后續產生的FINDATA臨時文件由于跨度大的原因，對刪除視頻文件的起始和結束部分造成了破壞。

???????此案例完成后我們也收獲了此類特殊視頻的碎片提取程序，有遇到此類特殊視頻的朋友可以和我們聯系。

?

轉載于:https://blog.51cto.com/chs163/948884

總結

以上是生活随笔為你收集整理的特殊视频文件恢复的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。