Меню
Восстановление данных24 часа в сутки 7 дней в неделю
+38 044 362-05-12
501-60-67
Обратный звонок
сделать заявку

Криминалистический анализ JPEG-файлов без служебных блоков

Получили кейс на восстановление данных с цифрового носителя SSD 128Gb. Повреждена файловая система ExFAT. Данные восстанавливали с помощью собственного программного обеспечения RAW Universal 512 БАЙТ.

Было восстановлено JPEG файлов:

  • 2571 нефрагментированных
  • 201 фрагментированный
  • 288 заголовков (поврежденные файлы, но могут частично отображаться)

На носителе могли остаться необработанными фрагменты JPEG не связанные с заголовком. Программное обеспечение ориентировано на поиск сигнатур (заголовков). В случае JPEG это 0xFFD8FF.

Эти фрагменты можно идентифицировать как собственно закодированные с помощью алгоритма JPEG (алгоритма кодирования Хаффмана и дискретного косинусного преобразования) цифровые данные, идущие после маркера SOS (Start of Scan) 0xFFDA и являющиеся основной частью JPEG-файла.

Отличительными признаками таких данных являются пары байт 0xFF00, возможное наличие маркеров перезапуска RSTn 0xFFDn  и маркера конца закодированной части изображения EOI (End of Image) 0xFFD9. Возможна последовательность повторений байта FF (паддинг). Других байт при FF после 0xFFDA до 0xFFD9 быть не может в исправном JPEG-файле (baseline-кодирование).

В остатке обнаружились 252 именно таких фрагмента, собственно закодированных данных JPEG. Для более качественного анализа фотоданных возник вопрос, а можно ли получить изображения этих фрагментов? Соответственно провели следующие исследования с одним из фрагментов:

1) доклеили спереди заголовок исправного JPEG-файла с необходимиыми служебными блоками (DQT, SOF), а так же  маркер SOS и заголовок скана (Scan header)

2) при просмотре файла наблюдали такой результат

3) сделали вывод про несоответствия ширины изображения фрагмента и значением соответствующего параметра в блоке SOF и попробовали подобрать значение параметра. Промежуточные результаты анализировали визуально

4) получили оптимальное значение ширины

5) для автоматизации процесса написали дополнительный модуль к программе RAW Universal, используя который получили изображения оставшихся фрагментов

Вывод: Полученное решение, может дать дополнительную информацию (визуальные фрагменты) экспертам при криминалистическом анализе JPEG файлов.