Mjukvaran som återskapar videomaterial

Bild- och ljudgruppen på NFC har tagit fram en programvara – IFrameIT – som hjälper till att återskapa videomaterial från digitala lagringsmedier.

Återskapning av videomaterial som raderats eller förstörts.

Återskapning av videomaterial som raderats eller förstörts. Bild: Maria Åsén, NFC

Olika typer av digitala lagringsmedier, till exempel minnes kort, hårddiskar, USB-minnen och telefoner, blir allt vanligare som bevismaterial i brottsutredningar. I takt med att våra lagringsutrymmen rymmer allt mer data blir materialet ofta svårt att hantera på grund av just mängden, men också för att användaren använt mediet under fl era år och då raderat gammalt innehåll och lagrat nytt.

En film består av en mängd olika "frames", bildrutor, som spelas upp i rätt ordning i en viss hastighet. Det tre vanligaste typerna av frames är:

  1. I-frame, som är en fullständigt kodad ruta och är en referensbild. Varje sekvens av bildrutor ska börja med en I-frame. 
  2. P-frame, innehåller förändringar från föregående bildruta. 
  3. B-frame, fungerar ungefär som en P-frame men innehåller förändringar från föregående och efterföljande bildruta.

Rätt videokodekhuvud krävs

Med hjälp av de tre typerna av bildrutor skapas våra fi lmer men för att dessa ska kunna läsas och spelas upp krävs ytterligare en komponent – videokodekhuvud. Huvudet talar om för spelaren hur den ska avkoda och tolka innehållet. Huvudet ligger vanligtvis i början av sekvensen och förekommer alltid minst en gång per fi lm. Ett videokodekhuvud ser olika ut beroende på vilken apparatur som används för att spela in filmen. Det innebär att det finns mängder av olika videokodekhuvuden. För att spela upp en film behövs det rätta huvudet.

Testar alla kombinationer

När ett lagringsmedium analyseras med avsikten att återskapa videomaterial hittas vanligtvis enorma mängder strömmar av videoinformation som kan vara fragment av filmmaterial. Ofta kan det röra sig om 10 000-tals strömmar men det finns ingen spårbarhet mellan fragmenten. Videokodekhuvuden kan vara raderade så spelaren inte vet vad som hör ihop eller hur den ska spela upp det. Att manuellt gå igenom allt material är inte hanterbart. Istället använder bild- och ljudgruppen på NFC en programvara som detekterar huvuden och bildrutor samt specificerar all information i en loggfil som talar om vad som finns lagrat och var. Därefter matas informationen in i IFrameIT och alla kombinationer av huvuden och fullständigt kodade bildrutor, I-frames, testas för att se vilka som passar ihop. Sedan presenterar IFrameIT resultatet genom att visa stillbilder av alla fullständigt kodade bildrutor.

Sparar mycket tid

Nu kan it-forensikerna tala om för utredarna vilken typ av material som finns på mediet och de vet nu också var den finns lagrad på mediet. Om en sekvens av bildrutor är intressant för utredningen kan den sekvensen återskapas som en videosekvens. På detta sätt sparas väldigt mycket tid genom att man endast återskapar den sekvens av en video som är relevant för utredningen.

Text: Niklas Boman
Foto: Maria Åsén, NFC