https://blog.ampedsoftware.com/category/five/https://ampedsoftware.com/five
Traducción del inglés desde el Blog Amped, Procesamiento forense de imagen y video
https://blog.ampedsoftware.com/2020/04/02/where-is-the-rest-of-the-video/
Los investigadores de video a menudo reciben archivos con poca o ninguna información sobre su fuente, adquisición o manejo. Los archivos a menudo son creados por personas con poco conocimiento de los requisitos legales de tipo de datos y cadena de custodia. Estos problemas y muchos otros, impactan en la investigación inicial, ya que las discrepancias pueden causar problemas importantes más adelante en un caso.
Veamos este archivo, por ejemplo ...
Todas las imágenes con datos sensibles han sido redactadas.
Al ver en Windows, se muestran la miniatura y la extensión, y al pasar el cursor sobre la miniatura se muestra más información.
Se informa que es un video de Windows Media, tiene poco menos de 4 Gb y tiene una duración de poco menos de 27 horas.
La solicitud de imágenes de CCTV detallaba una duración de 27 horas, por lo que todo se ve bien hasta ahora.
Como el título de esta publicación del blog es "¿Dónde está el resto del video?", ¡Sabes que las cosas van a salir mal!
Ahora es el momento de revisar este video, así que vamos a incluirlo en un proyecto Amped FIVE .
Al cargar, podemos ver un problema: el video solo dura 11 horas y 53 minutos.
La reproducción con el motor de video predeterminado (FFMS) está bien, sin problemas en el movimiento cuadro por cuadro, la búsqueda o el avance rápido.
En las Herramientas, Información básica del archivo, también vemos una duración de más de 11 horas.
Antes de profundizar, generalmente me gusta probar otros motores de video.
Dentro de Amped FIVE podemos tener diferente información de archivo, con diferentes motores de video y diferentes herramientas de información de archivo. Muchas veces sucede que los usuarios nos contactan porque están viendo información diferente dentro de distintas herramientas en FIVE. Esto puede ser un problema con su investigación, pero en realidad es una ventaja. Los videos problemáticos a menudo dan resultados diferentes con distintas herramientas avaladas por la industria. Esta es la clave del análisis forense: ¡estudia, experimenta y valida! ¿Entonces pensabas que el video era fácil?
Tener la capacidad de decodificar un video a través de diferentes motores dentro de la misma aplicación es un gran ahorro de tiempo y brinda a los usuarios una forma mucho más fácil de probar y comparar.
Dirigiéndome a DirectShow de Microsoft primero, ya que este en teoría, debería poder reproducir un archivo multimedia de Windows fácilmente, veo problemas más interesantes.
¡El video se reproduce muy rápido, con una duración de 48 minutos y 36 segundos! Tampoco avanza correctamente.
(Scrubbing: en la edición de video digital, scrubbing es una interacción en la que un usuario arrastra un cursor o cursor de reproducción a través de un segmento de un clip de video para verlo. Scrubbing es una forma conveniente de navegar rápidamente un archivo de video. El término aparentemente proviene de los primeros días de la industria de la grabación y se refiere al proceso de mover físicamente los carretes de cinta para localizar un punto específico en una pista de video o audio; esto le dio al ingeniero la impresión de que la cinta se estaba limpiando - Tomado de Wikipedia en Audio Scrubbing.)
Con FFmpeg, avanzó correctamente y se reprodujo a la velocidad correcta, pero presentó una duración de 26:59:59.800.
Al revisar el archivo, se reveló que se detuvo a las 11:53:43, lo mismo que la duración total dada por FFMS.
¿Entonces qué está pasando?
La duración solicitada para la recuperación fue de 27 horas.
Windows dice 27 horas (bueno, justo por debajo).
FFmpeg dice 27hrs.
DirectShow reproduce muy rápido, lo que explicaría la duración de 48 minutos.
FFMS muestra 11:53:43
Es hora de echar un vistazo a la Información Avanzada de Archivo .
Como podemos ver, el resumen nos da 27 horas nuevamente.
Así como podríamos decodificar y revisar el archivo con diferentes motores, también podemos utilizar los diferentes programas de análisis integrados en FIVE. Nuevamente, hace que las cosas sean mucho más fáciles de comparar, para identificar problemas.
Mirando en MediaInfo , esto trae información nueva.
También ofrece 27 horas de duración pero, además de eso, reporta 30 FPS. Esto sería lo mismo que la velocidad de reproducción presentada usando DirectShow como un motor de video.
Revisemos la siguiente pestaña, ffprobe ….
¡La duración aquí se informa en segundos y equivale a apenas 27 horas!
A continuación, tenemos ExifTool, una herramienta de metadatos que a menudo se pasa por alto cuando se trata de CCTV.
¿Qué es esto?
Send Duration es el tiempo que tenemos, pero el video presenta una duración mucho más larga y es el tiempo que esperábamos.
Antes de continuar, es hora de investigar estos atributos en el formato ASF.
Dentro de este documento, dice: “…. Especifica el tiempo, en unidades de 100 nanosegundos, necesario para enviar un archivo de formato de sistema avanzado (ASF) por Advanced Systems Format. El tiempo de envío de un paquete es el momento en que el paquete debe entregarse a través de la red ".
En este punto, empiezo a formar algunas teorías ...
Posiblemente sea una transcodificación basada en la codificación WMV V8.
El archivo se estaba escribiendo como un archivo de 27 horas y alcanzó el límite de tamaño de archivo de 4 Gb del destino de escritura. Esto fue 11 horas y 53 minutos en el metraje.
El contenedor se guardó con los datos solicitados, de modo que tenga la duración esperada, no la real.
Para probar algunas de estas teorías e identificar exactamente qué video está dentro del contenedor, simplemente podemos usar ConvertDVR dentro de la configuración del filtro Video Loader para escribir el video en un nuevo contenedor WMV.
Solo debemos copiar la trasmisión (Copy Stream) ...
Debemos usar el mismo formato contenedor ...
Es una buena práctica deshabilitar la eliminación si se está realizando simplemente un reformateo.
Esto da como resultado un archivo con el mismo conteo de cuadros y la duración de más de 11 horas sin errores.
¡Es hora de un resumen!
La investigación recibe un archivo después de solicitar 27 horas de video.
El archivo informa 27 horas de metraje, pero FIVE solo muestra más de 11 horas.
¿Donde esta el resto? Bueno, nunca se envió, o puede que nunca se haya creado. ¿Por qué? Es posible que nunca lo sepamos, pero el archivo solo contiene las, poco más de 11 horas.
Me pareció importante compartir este archivo con ustedes, ya que destaca varios puntos clave.
Los archivos recibidos deben verificarse correctamente inmediatamente después de ser recibidos. Los sistemas de CCTV se sobrescriben. Cualquier demora en la identificación de errores puede causar problemas, ya que la evidencia que creía tener probablemente ahora haya sido eliminada.
Usa las herramientas disponibles. Tener todas las herramientas de metadatos en un solo lugar es un gran beneficio. Revisa tus archivos y observa cualquier discrepancia o diferencia.
Recuerda usar motores de video. Observa qué hace cada uno con el video puede ayudarte a identificar problemas y compararlos con los metadatos informados.
Usa ConvertDVR para volver a formatear un video o transcodificar si es necesario, para revisar el tiempo y el conteo de cuadros.
Los contenedores pueden tener un conjunto de información y, a menudo, pueden anular la información proporcionada por la secuencia.
Espero que hayas disfrutado de este pequeño tutorial de análisis de archivos para tratar de responder preguntas en los problemas de duración.
¡Mantente a salvo allí!
Esta entrada fue publicada en Casos , FIVE , Tutoriales el 2 de abril de 2020 por David Spreadborough.
Comments