【技术视界】第8期:视频侦查-监控主机自动识别技术研究
本期,数据恢复四川省重点实验室科研人员重点介绍一种自动识别视频监控主机的技术方案,在视频侦查实战中,该技术可助力一线干警快速识别监控主机,完成视频监控录像的提取。
当前,视频侦查技术在刑事案件侦破中的重要性日趋凸显,已经成为继刑事技术、行动技术、网侦技术之后侦查破案的第四大技术支撑,是否拥有一个完整、高效的视频侦查实战应用平台,已经成为衡量相关部门办案实力的重要指标,也是一个国家刑事侦查技术是否与时俱进的重要体现。因此,国家对视频侦查建设异常重视,不仅面向全国公安刑事技术部门明确提出了视频侦查装备的配备要求,同时,还要求各省市县级公安部门要打造适用于当地及其下属部门的视频侦查实战应用平台。
网络提取功能是视频侦查过程中最重要、最实用的功能之一,也被称为视频采集中最重要的一个环节,与监控视频采集、监控视频恢复、视频万能播放、网络提取、视频检索、图像增强、地图标注、非线编、案件管理等一起,组成强大的视频侦查作战系统,为公安一线办案提供强大助力。而网络提取功能之所以如此受欢迎,主要有三方面原因:
使用网络提取功能下载监控主机视频,不需要拆卸监控主机,只需要插上网线即可。
以前到了现场,办案人员需要询问管理员网络的网段、手动配置本机IP,往往会浪费大量时间。网络提取功能,插上网线后,就能自动识别网络的网段、网关,并自动配置VIP系统设备的IP地址,省略掉繁琐的问答。
目前,市面上有少量面向视频侦查行业的NVR、DVR视频监控主机网络提取设备,但存在如下问题:必须手工输入NVR、DVR监控主机的IP地址、端口号,且不能保证每个IP地址和端口号都能取得。同时,也不能准确地得知当前网络中有多少NVR、DVR设备。研究一种自动识别视频监控主机的技术,对提高视频侦查业务能力非常重要。
据数据恢复四川省重点实验室科研人员介绍,现在可通过协议探测、SDK搜索、穷举探测三种技术方案达到监控主机自动识别的目的。
技术方案一:协议探测
协议探测是指通过TCP、UDP协议向局域网内广播特定的数据包,监控主机在收到特定数据包后会返回监控主机的品牌、型号、IP地址、端口、类型、通道数等数据,非监控主机则不会返回任何数据或返回错误数据,通过判断返回的数据即可确定哪些IP是监控主机。
这个方案类似老师点名,老师要知道小明在不在,只需要喊“小明”,如果小明在则会回答“在”,否则收不到任何答复。
各监控厂商的探测协议都是非公开的,要拿到这些协议还需要一番周折。推荐使用厂商测试程序 + 网络嗅探工具(如:著名的WinPcap)的方案分析探测协议。
这里以海康监控主机探测协议分析为例。通过使用海康测试程序的搜索主机功能,利用WinPcap抓取返回的数据包,并经过多次分析、发包尝试后,最后确定海康监控主机的探测协议包如下(部分机型):
其中:
FFFFFFFFFFFF为接收包的Mac地址。
BCEE7BE30291为发送包的Mac址,在反馈时则为接收包的Mac地址,所以要将此地址替换为本机的Mac地址
直接向局域网广播此包即可实现海康监控主机的探测功能。
协议探测方案优势在于探测速度快,如果局域网内有多个监控主机,可以实现批量探测;劣势在于探测协议不公开,分析协议是个技术活。
在使用协议探测不可行的情况下,可以使用SDK搜索方案。目前很多监控厂商都提供公开的SDK包用于客户的二次开发工作,部分厂商在SDK包中提供了相应的监控主机搜索函数。我们可以利用这些搜索函数,实现对应品牌监控主机的探测。
下面以安联锐视和沃世达监控主机的搜索函数为例:
SDK搜索方案优势在于SDK包获取容易,探测准确,兼容性强,劣势在于不同的监控厂商必须要用对应的SDK搜索函数进行探测。
穷举探测方案通过建立各监控厂商的默认端口数据库,在探测时穷举网络内的所有IP,用telnet协议测试数据库中的默认端口是否打开,如果打开则认为是对应的监控主机,否则不是。
此方案的优势在于实现简单,劣势在于准确性不高,因为部分软件会使用监控主机的默认端口、部分监控机在部署时也可能修改默认端口。
本技术方案优点在于:整个过程中,不需要进行人工操作,只需将取证工具插上网线,就能通过协议探测、SDK搜索、穷举探测三个技术方案自动完成监控主机识别,省时省力,提高取证效率。目前,该技术方案已经运用效率源视频侦查拳头产品“VIP视频侦查单兵系统”中,感兴趣的读者欢迎一同探讨。
【技术视界】系列推荐:
2、【技术视界】第2期:精确读取 提高缺陷硬盘数据恢复成功率
3、【技术视界】第3期: 如何利用S.M.A.R.T.技术对硬盘进行健康体检?
4、【技术视界】第4期: 电子取证-WD硬盘固件损坏的文件恢复提取技术研究
5、【技术视界】第5期:电子取证——智能手机定位痕迹如何快速提取?
6、【技术视界】第6期:电子取证——日立硬盘BIOS加密无法访问的快速解密方法技术研究
7、【技术视界】第7期:手机取证-SQLite数据库文件恢复提取技术研究