使用Amped FIVE进行法证视频分析:证据处理工作流程详解

本文详细介绍了使用Amped FIVE软件进行法证视频分析的完整工作流程,包括文件分析、时间戳验证、元数据检查、帧率转换等技术内容,展示了专业视频取证的实际操作过程。

使用Amped FIVE进行法证视频工作流程 - 第二部分:证据分析

现在是本系列的第二部分,视频证据分析:将混乱的时间戳和不一致的元数据转化为时间线。在FIVE内部,我们协调时间、检查结构,并准备清晰的片段,讲述一个故事:嫌疑人的一举一动。

欢迎回到本系列,我们将跟随一个完整的Amped FIVE工作流程来处理一个案件。如果您错过了第一部分,请务必查看。简要概括一下,我将处理各种类型的数字媒体证据,从初步步骤到文件分析,再到呈现,以应对一起谋杀调查。我们有随身摄像机视频、行车记录仪镜头、无人机镜头、手机镜头、闭路电视镜头和运动相机镜头。

文件分析

作为文件分析的一部分,我首先将重点关注时间,因为我们许多视频文件没有可靠的时间戳。

让我们从文件"MOVI0002.mp4"开始,这是警用隐蔽随身摄像机视频。

我已经注意到这个文件开头的奇怪颜色问题。这可能是由于设备对光线和曝光的处理不当(因为颜色在文件后面似乎稳定下来)。然而,我并不太担心这个问题,我倾向于避免评论颜色,因为它非常主观且容易受到干扰。

我担心的是巨大的时间戳不准确性,以及我们在元数据中可用的其他时间信息,因为我需要能够解释这里的差异。该文件有一个像素嵌入的时间戳显示"2025/06/10",但我们知道逮捕实际上发生在11日,也就是第二天!我们绝对需要找出原因并解释这一点,甚至可能借此教育我们的前线警官如何确保日期和时间准确(如果可能的话)。

我们将为此使用高级文件信息,让我们看一些文件时间信息:

…哇。好吧,这里有不少问题!文件创建日期似乎最合理,因为这将是6月11日14:30逮捕后从摄像机下载镜头的时间。这个时间戳包括本地时间,当时比UTC早一小时。

我已经请求了这种隐蔽摄像机的设备品牌和型号,并研究了它的工作原理。我可以看到时间和日期是通过存储在SD卡上的文本文件设置的。这种在设备上设置时间的方法似乎导致了各种奇怪的问题。这种设备也没有提供专用的播放软件来正确(或不正确…)解码任何其他时间戳,所以我们只有这些。

这意味着我不能完全依赖这个文件的许多时间数据。但是,我可以解释它,并在需要时通过警方无线电记录和警官陈述来验证这次捕获的时间和日期。

幸运的是,无人机镜头包含EXIF CreateDate时间戳,与逮捕前搜索嫌疑人的时间相符:

如前所述,这个无人机镜头包括一个带有飞行数据的字幕文件,我们可以在以后用于呈现目的。

这样我们就查看了警方生成的镜头,现在来看见证人提供的镜头,从行车记录仪视频"20151001_171451.MOV"开始。

这是一个经典的故事;见证人车里有一个行车记录仪,用了好几年,但他们从未想过检查或更改时间和日期。现在我们又有一个不可靠的时间戳!我们将再次不得不依赖文件创建时间而不是编码时间。对于这个文件,创建时间显示本地时间戳为2025-06-11 15:53:46.796,这表明它被保存到外部驱动器的时间。

查看高级文件信息中的GOP分析选项卡,我们看到一些有趣的东西:

GOP似乎以两个B帧开始,并以部分GOP结束。GOP应该以I帧开始,所以在文件开头看到这表明之前的GOP不再在此文件中。也许,这是由于流剪辑和这种特定相机将文件写入SD卡的方式造成的。我以前在随身摄像机视频中也见过这种行为。

在这种情况下,我的行车记录仪镜头显示嫌疑人逃离现场,并将用于连续性和故事构建。但是,如果我将其用于速度估计,我肯定会考虑从这个文件中获得的帧分析、时间和GOP信息。所以值得记住这种分析并做到细致入微!

在其他时间方面,现场(公寓楼)的闭路电视显示CreateDate为"2025:06:11 – 10:20:51",这与病理学家提供的时间和日期相符。我们不能依赖GoPro相机或手机镜头的任何时间,因为在通过WhatsApp发送后,这些镜头的元数据已被剥离。线索就在文件名中:“WhatsApp Video 2025-06-11 at 13.46.41_bc958cf2.mp4”!

这就是为什么我们应该尽可能尝试恢复原始文件,因为在使用云资产或社交媒体图像或视频时,我们有可能丢失有价值的文件数据。

我还从高级文件信息中对每个文件运行了帧哈希,以检查重复帧,在这个案例中证明没有任何重复帧。

编辑、调整和纠正问题

现在我将执行任何可能必要的编辑或调整,以帮助后续的呈现目的。首先,我将使用范围选择器剪辑视频的部分到我想要的位置。这将只显示嫌疑人从现场移动到武器藏匿地点,最后被抓获的过程。

您可以在下面看到文件"VID_20250611_062051_00_021.mp4"的快照,该文件来自公寓大楼。我现在已经使用添加时间戳,基于我早期文件分析中的文件时间信息添加了一个时间戳。

我能够通过使用"添加文本"来显示"PTSTime"和"PTSDuration"宏,并在逐帧搜索文件和使用基于PTS的播放时检查这一点,来帮助验证从文件元数据中获取的时间戳似乎是正确的。这是在播放过程中比较时间和识别间隙或运动检测的一个方便技巧。

所以我现在已经选择了案件下一步所需的所有镜头部分。如果需要,我也会在这个阶段执行任何增强和调整。但是,在这个实例中,不需要这样做。

因为我最终想使用时间线来呈现我的镜头,所以我需要使用转换帧率来确保我所有的文件具有相同的帧率。我将保留我的原始文件以及我的呈现副本,并明确说明对文件进行了哪些更改。在这个实例中,我的文件帧率范围从22fps一直到60fps(有些可变)。我宁愿复制帧也不愿丢失任何帧,所以我们将选择60fps作为我们的转换帧率。

最后说明

我的文件现在已经分析并准备好了。我工作流程的下一阶段将是记录我的呈现任务,我将在本系列的下一篇也是最后一篇文章中讨论。所以,在本调查的最后一章再见!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次