【首页】玄武注册【首页】2017年9月10日早上8点左右，山东某地液化气站发生爆炸，当地相关单位第一时间赶到现场进行扑救，火势得到控制。在调查起火原因时需要通过调取站点监控视频查找起火原因，但是因为救火导致监控主机及其数据硬盘浸水，不敢直接通电，当地相关单位连夜将监控机连同监控硬盘送检至效率源科技，希望效率源科技对硬盘进行修复，恢复里面的数据，为爆炸案进行监控数据恢复取证，提供线索。

　　效率源科技接到案件协助后，立马投入工作，成功获取了所需时间段的监控机视频数据，为相关单位侦破爆炸案提供了有价值的数据信息。

　　由于本次涉及的是监控视频的案件，针对监控视频案件的监控数据恢复取证需要注意以下事项：

　　2）监控日志分析，排除一些不确定因素，例如：从日志分析中得出在涉案时间段监控主机处于关机状态，就可以明确监控主机在涉案时间段并未录制；

　　2、针对火灾、爆炸现场的监控主机，其内部的数据硬盘可能会有高温损坏、浸水损坏、震荡损坏等情况，处理时需要注意以下几点：

　　1）拿到硬盘后严禁通电（火烧、水浸后盘腔内会产生杂质，通电会加重硬盘的损坏程度，影响硬盘数据恢复的成功率）；

　　3）开盘后对水渍或杂质进行处理，并根据相应故障情况进行物理修复，固件修复；

　　4）修复后再选择专业数据恢复工具（如：效率源DRS6800数据恢复系统，（以下简称DRS）、HPE硬盘盘体拆卸专用设备（以下简称HPE））进行恢复；

　　通过查看监控机的状态，发现监控主机处于严重损坏状态，没有办法直接通电查看监控视频和监控日志等信息，通过监控系统管理人员得知，监控主机时间与北京时间无明显时间差，故此决定直接拆卸监控硬盘分析；

　　一般来说监控日志存储在监控机中，可以通过监控日志来判断需要时间段视频的数据状态，是正常、丢失、或者覆盖。

　　将监控主机的监控硬盘拆卸下来，通过外观查看发现监控硬盘并未严重受损，其外部最重要的电路板情况如下：

　　将电路板拆卸下来，发现有水渍，经过简单的处理后，使用DRS单接电路板，系统未显示异常，说明电路板完好。

　　进水硬盘的电路板拆卸下来后，要看下有没有水渍，如果有的话可以利用吹风机（注意控制温度）、海绵垫、放通风处风干等方式进行处理；

　　进行开盘操作，通过效率源专用硬盘开盘工具HPE在标准洁净间开盘处理，发现盘腔内部无水渍，硬盘内部的磁头物理状态正常，盘片无损坏，其他结构件无明显损坏；

　　如果磁头损坏需要更换新的磁头，而如果盘片出现严重损坏的话数据恢复的可能性就非常低了。

　　没有发现问题之后，使用DRS给硬盘进行通电检测，发现硬盘能够正常识别，在硬盘存储的中间位置有一些坏道影响，但硬盘数据访问没有什么问题。

　　进入DRS数据恢复界面，识别到该硬盘有十个FAT32分区，属于windows可见的监控系统。

　　使用DRS扫描分区里面的数据， 发现9月10号的数据在其中一个分区，为了更好的提取完整数据或规避坏道区的影响，使用效率源DRS特有的数据镜像的专家模式进行数据固定，将这个分区镜像出来；（如果监控主机的文件系统是厂家私有的，则需要使用专门的视频提取恢复工具：如效率源的VIP视频侦查单兵系统）；

　　通过DRS中加载镜像的功能，对镜像分区进行数据恢复，然后将想要时间段的数据保存出来（为了更好的找到相关线索，同时将前两天的视频给恢复了出来）；

　　进行视频浏览、查看 ，发现每个通道里最后一个视频都不能正常查看，使用DRS的MP4修复工具进行修复，修复之后视频能够正常查看了；

　　通过对找到并修复的涉案时间段的监控视频查看，成功找到爆炸原因，通过DRS的报告模块生成操作报告并结合分析处理情况出具本次检验报告。

　　2、需要先对硬盘的硬件进行检测，查看硬盘是否有问题，如果有的线、如果有更换磁头等操作，最好先直接对源盘做镜像，以防止操作时造成硬盘再次损坏；