Bilderflut

Formatiert man versehentlich die Speicherkarte der Digital-Kamera, dann lässt sich das Mißgeschick in der Regel schnell beheben. Bei einer Videoüberwachung ist das nicht ganz so einfach.

Der Kunde hatte die Aufzeichnungen seiner Überwachungsanlage etwas voreilig gelöscht. Ob ich die vielleicht mal eben wiederherstellen könne?

Das Gehäuse der Zentraleinheit ist schnell geöffnet und enthält eine 2,5" Festplatte. Zum Glück ist es mit ca. 12 GB ein kleineres Exemplar seiner Art. Über einen Tableau-Writeblocker lässt sich die Platte problemlos sichten. Es gibt nur eine Partition und die ist mit FAT32 formatiert. Mühelos sind sechs jeweils 2 GB (FAT32!) große Dateien zu erkennen. Ein Blick an den Anfang einer solchen Datei zeigt auch gleich den fürJPEG üblichen JFIF-Header.

Das sieht also alles sehr gut aus, bis auf einen klitzekleinen Unterschied: Urlaubsfotos sind farbig und werden mit Kameras geschossen, die sich mit Millionen von Bildpunkten brüsten. So ein Bild ist entsprechend ca. 1 MB (oder mehr) groß.

Die Fotos der Überwachungsanlage aber sind schwarz/weiß und maximal 32 kb groß, die meisten kommen kaum auf 20 kb. In den knapp 12 GB der Containerdateien können sich also gut 600.000 Bilder verbergen!

Die Datenwiederherstellung mit Ontrack EasyRecovery Pro 6.0 verläuft mit der RawRecovery zunächst reibungslos. Diese Funktion sucht nach charakteristischen Start- und Endesequenzen des JPEG-Formats und kopiert die Daten dazwischen in eine neue Datei. Recht schnell sucht EasyRecovery die Platte ab und korrigiert meine erste Abschätzung auf gut 750.000 Dateien. Ich soll auf "Weiter" klicken, um die wiederherzustellenden Dateien zu markieren. Also weiter! Es kommt....

... nichts! Nach sechs Stunden ist die Auswahlliste immer noch leer, die CPU auf Vollast, und meine Geduld am Ende. Als nächsten Kandidaten rufe ich foremost auf. Unter Linux ist es bereits ein alter Bekannter, seit einigen Tagen gibt es auch eine Version für Windows. Die verrichtet als Konsolenapplikation zwar schmucklos, aber wirkungsvoll ihre Arbeit.

Für jede der sechs Containerdateien gibt es nun ein Ausgabeverzeichnis, das bis zu 150.000 Bilder enthält. Für das Dateisystem NTFS ist eine derart große Anzahl von Einträgen in einem Verzeichnis kein Problem. Der Explorer und einige andere GUI-Programme zwingen beim Öffnen des Verzeichnisses aber jedesmal zu einer Kaffeepause. Abhilfe lässt sich hier durch Unterverzeichnisse und verschieben der Dateien schaffen.

In der DOS-Box (cmd.exe):
FOR /L %i IN (0,1,9) DO mkdir %i
FOR /L %i IN (0,1,9) DO move *%i.jpg %i

Foremost stellte übrigens nicht nur wie erwartet die aktuellen Grafiken wieder her: Vermutlich um die Aufzeichnung zu beschleunigen, speichert der Videoserver die Bilder in Blöcken fester Größe. Zwischen den aktuellen Bildern befinden sich deshalb Reste älterer Aufnahmen. Und die zeigen, wie ich höre, den Betrieb des Vorbesitzers...

Archiv

Impressum

Dieses Blog ist ein Projekt von:
Andreas Schuster
Im Äuelchen 45
D-53177 Bonn
impressum@forensikblog.de

Copyright © 2005-2012 by
Andreas Schuster
Alle Rechte vorbehalten.