PhotoRec

Описание PhotoRec

PhotoRec – это программное обеспечение для восстановления файлов данных, предназначенное для восстановления потерянных файлов, включая видео, документы и архивы с жёсткого диска, CD-ROM и потерянных картинок (восстановление фотографий) с карт памяти цифровых камер. PhotoRec игнорирует файловую систему и работает с лежащими в основе данными, поэтому она будет работать даже если файловая система медиа носителя сильно повреждена или переформатированна.

PhotoRec — это бесплатное, с открытым исходным кодом, мультиплатформенное приложение. PhotoRec является программой-компаньоном для TestDisk, приложения для восстановления потерянных разделов на самых разнообразных файловых системах и делающее не загружаемые диски снова загрузочными.

Для большей безопасности, PhotoRec использует доступ только с правами чтения, чтобы не допустить потерю данных с диска или карты памяти, с которых вы восстанавливаете потерянные данные.

Важно: как только картинка или файл случайно удалены, или вы обнаружили недостающие, НЕ сохраняйте ещё картинки или файлы на эту карту памяти или жёсткий диск; в противном случае, вы можете перезаписать потерянные данные. Это означает, что во время использования PhotoRec вы не должны выбирать запись восстановленных файлов на тот же раздел, где они были сохранены.

PhotoRec работает в операционных системах:

DOS/Windows 9x
Windows NT 4/2000/XP/2003/Vista/2008/7/10
Linux
FreeBSD, NetBSD, OpenBSD
Sun Solaris
Mac OS X

и может быть скомпилирована практически на любой Unix системе.

Файловые системы

PhotoRec игнорирует файловые системы; таким образом она работает даже если файловая система сильно повреждена.

Программа может восстанавливать потерянные файлы как минимум с:

FAT
NTFS
exFAT
файловых систем ext2/ext3/ext4
HFS+

ReiserFS включает некоторые специальные оптимизации, сосредоточенные вокруг хвостов, имени для файлов и окончательной части файлов, которые меньше, чем блок файловой системы. Для увеличения производительности, ReiserFS способна сохранять файлы внутри самих узлов листа b*tree, не сохраняя данные где-то ещё на диске, а просто указывая на них. К сожалению, PhotoRec не в состоянии справится с этим — поэтому программа работает не очень хорошо с ReiserFS.

Носители информации

PhotoRec работает с жёсткими дисками, CD-ROM, картами памяти (CompactFlash, Memory Stick, Secure Digital/SD, SmartMedia, Microdrive, MMC и др.), запоминающими устройствами USB, сырыми образами DD, образами EnCase E01 и т.д.

PhotoRec успешно протестирована с различными портативными медиа плеерами, включая iPod и следующими цифровыми камерами:

Canon EOS 60D, 300D, 10D
Casio Exilim EX-Z 750
Fujifilm X-T10
HP PhotoSmart 620, 850, 935
Nikon CoolPix 775, 950, 5700
Olympus C350N, C860L, Mju 400 Digital, Stylus 300
Sony Alpha DSLR, DSC-P9, NEX-6
Pentax K20D
Praktica DCZ-3.4

Известные файловые форматы

PhotoRec ищет по известным файловым заголовкам. Если отсутствует фрагментация данных, которая часто бывает, она способна восстановить файл целиком. PhotoRec распознаёт и восстанавливает ряд файловых форматов, включая ZIP, Office, PDF, HTML, JPEG и различные графические файловые форматы. Полный список форматов, восстанавливаемых PhotoRec содержит более чем 480 расширений файлов (около 300 файловых семей).

Домашняя страница: http://www.cgsecurity.org/wiki/PhotoRec

Автор: Christophe GRENIER

Лицензия: GPLv2

Справка по PhotoRec

Использование:

photorec [/log] [/debug] [/d recup_dir] [file.dd|file.e01|device]
photorec /version

/log          : создаёт файл журнала photorec.log
/debug        : добавляет отладочную информацию

Руководство по PhotoRec

Страница man присутствует, но ничего не добавляет к справке.

Для возврата в предыдущее меню используйте клавишу q.

Примеры запуска PhotoRec

Запустите PhotoRec с привилегиями рута:

sudo photorec

Для восстановления файлов с образа носителя запустите по одному из следующих вариантов.

Для выскабливания данных с сырого образа диска:

sudo photorec image.dd

Для восстановления файлов с образа Encase EWF:

sudo photorec image.E01

Если образ Encase разбит на несколько файлов:

sudo photorec 'image.???'

Если образ Encase разбит на несколько файлов в директории d:\evidence:

sudo photorec '/cygdrive/d/evidence/image.???'

Большинство устройств должны быть обнаружены автоматически, включая программный Linux RAID (это /dev/md0) и зашифрованные cryptsetup, dm-crypt, LUKS, TrueCrypt или VeraCrypt файловые системы (например, /dev/mapper/truecrypt0). Для восстановления данных с других устройств, запустите:

sudo photorec устройство

Криминалисты могут использовать параметр /log для создания файла журнала с именем photorec.log; в него записываются расположения файлов, восстановленных PhotoRec.

Также можно указать путь до диска, с которого вы хотите восстанавливать данные: