使用FIVE进行法证视频分析:证据处理工作流详解

本文详细介绍了使用Amped FIVE软件进行法证视频证据分析的完整流程,包括文件时间戳分析、元数据验证、帧率转换等技术操作,帮助调查人员构建可靠的时间线证据。

使用FIVE进行法证视频工作流 - 第二部分:证据分析

Lucy Carey-Shields 2025年10月14日

在第二集中,我们将进行视频证据分析:将混乱的时间戳和不一致的元数据转化为清晰的时间线。在FIVE内部,我们协调时间、检查结构,并准备清晰的视频片段,逐分钟还原嫌疑人的行动轨迹。

欢迎回到本系列,我们将跟随一个完整案例的Amped FIVE工作流程。在第一部分中,我们处理了各种类型的数字媒体证据,从初始步骤到文件分析,为一起谋杀调查构建法证视频案例。我们涉及了随身摄像机视频、行车记录仪 footage、无人机 footage、手机 footage、CCTV footage和运动相机 footage。

文件分析

作为文件分析的一部分,我首先关注时间问题,因为许多视频文件没有可靠的时间戳。

让我们从文件"MOVI0002.mp4"开始,这是警方隐蔽随身摄像机视频。

我已经注意到文件开头的奇怪颜色问题。这可能是由于设备对光线和曝光的处理不佳造成的。然而,我更关心的是时间戳的巨大不准确性,以及元数据中可用的其他时间信息,因为我需要能够解释这里的差异。

文件有一个像素嵌入的时间戳显示"2025/06/10",但我们知道逮捕实际上发生在11日,也就是第二天!我们绝对需要找出原因并解释这一点,甚至可能需要对前线警官进行教育,告诉他们如何确保日期和时间准确。

我们将使用高级文件信息工具,让我们查看一些文件时间信息:

文件创建日期似乎最有意义,因为这应该是6月11日14:30逮捕后从摄像机下载footage的时间。这个时间戳包括本地时间,当时比UTC提前一小时。

我已经请求了这种隐蔽摄像机的设备型号,并研究了它的工作原理。我可以看到时间和日期是通过存储在SD卡上的文本文件设置的。这种在设备上设置时间的方法似乎导致了各种奇怪的问题。这种设备也没有提供专门的播放软件来正确(或不正确…)解码任何其他时间戳,所以这就是我们所有的信息。

这意味着我不能完全依赖这个文件的许多时间数据。但是,我可以解释它,并在需要时通过警方无线电记录和警官陈述来验证这次捕获的时间和日期。

幸运的是,无人机footage包含与逮捕前搜索嫌疑人时间匹配的EXIF CreateDate时间戳:

如前所述,这个无人机footage包含一个带有飞行数据的字幕文件,我们可以在以后的演示中使用。

现在让我们看看见证人提供的footage,从行车记录仪视频"20151001_171451.MOV"开始。

这是一个经典的故事:见证人车里有一个行车记录仪,用了多年,但从未想过检查或更改时间日期。现在我们又有一个不可靠的时间戳!我们将再次不得不依赖文件创建时间而不是编码时间。对于这个文件,创建时间显示本地时间戳为2025-06-11 15:53:46.796,表示它保存到外部驱动器的时间。

查看高级文件信息中的GOP分析选项卡,我们看到一些有趣的东西:

GOP似乎以两个B帧开始,并以部分GOP结束。GOP应该以I帧开始,所以在文件开头看到这表明之前的GOP不再在此文件中。也许,这是由于流裁剪和这种特定相机将文件写入SD卡的方式造成的。我之前在随身摄像机footage中也见过这种行为。

在这种情况下,我的行车记录仪footage显示了嫌疑人逃离现场,将用于连续性和故事构建。但是,如果我将其用于速度估计,我肯定会考虑从这个文件进行的帧分析、时间和GOP信息。所以值得记住这种分析并做到细致!

在其他时间方面,现场(公寓楼)的CCTV显示CreateDate为"2025:06:11 - 10:20:51",与病理学家提供的时间和日期匹配。我们不能依赖GoPro摄像机的任何时间,也不能依赖手机footage,因为在通过WhatsApp发送后,其元数据已被剥离。线索就在文件名中:“WhatsApp Video 2025-06-11 at 13.46.41_bc958cf2.mp4”!

这就是为什么我们应该尽可能尝试恢复原始文件,因为在使用云资产或社交媒体图像或视频时,我们冒着丢失宝贵文件数据的风险。

我还从高级文件信息中对每个文件运行了帧哈希,以检查重复帧,在这种情况下证明没有任何重复帧。

编辑、调整和纠正问题

现在我将执行任何可能有助于后续演示目的的编辑或调整。首先,我将使用范围选择器剪辑视频的部分到我想要的位置。这将只显示嫌疑人从现场移动到武器藏匿地点,最后被抓获的过程。

你可以在下面看到文件"VID_20250611_062051_00_021.mp4"的快照,这是来自公寓楼的。我现在已经使用添加时间戳,基于我早期文件分析中的文件时间信息添加了一个时间戳。

我能够通过使用"添加文本"显示"PTSTime"和"PTSDuration"宏,并在逐帧搜索文件和使用基于PTS的播放时检查这一点,来帮助验证从文件元数据中获取的时间戳似乎是正确的。这是在播放过程中比较时间和识别间隙或运动检测的一个方便技巧。

所以我现在已经选择了我案件下一步所需的所有footage部分。如果需要,我也会在这个阶段执行任何增强和调整。但是,在这种情况下,不需要这样做。

因为我最终想使用时间线来呈现我的footage,所以我需要使用转换帧率来确保我所有的文件具有相同的帧率。我将保留我的原始文件以及我的演示副本,并明确说明对文件进行了哪些更改。在这种情况下,我的文件范围从22fps一直到60fps(有一些变化)。我宁愿复制帧也不愿丢失任何帧,所以我们将选择60fps作为我们的转换帧率。

最后说明

我的文件现在已经分析并准备好了。我工作流程的下一阶段将是记录我的演示任务,我将在本系列的下一篇也是最后一篇文章中讨论。所以在这个调查的最后一章见!

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次