ФотоРек

ФотоРек
	Демонстрация работы PhotoRec в Linux
Разработчик(и)	Кристофер Гренье
Первоначальный выпуск	30 апреля 2002 г .; 22 года назад
Стабильная версия	7.2 / 22 февраля 2024 г .; 5 месяцев назад
Репозиторий	мерзавец .cgsecurity .org /cgit /тестдиск /
Написано в	C ( nCurses )
Операционная система	Кросс-платформенный
Платформа	интерфейс командной строки
Тип	Восстановление данных
Лицензия	GNU GPL v2+ ( свободное программное обеспечение )
Веб-сайт	www .cgsecurity .org /неделя /Фоторек

PhotoRec — это с открытым исходным кодом бесплатная утилита для восстановления данных с текстовым пользовательским интерфейсом с использованием методов вырезания данных , предназначенная для восстановления потерянных файлов из памяти различных цифровых камер, жесткого диска и компакт-дисков . Он может восстанавливать файлы с более чем 480 расширениями (около 300 семейств файлов). ^[1] Также можно добавить собственную подпись файла для обнаружения менее известных файлов. ^[2]

PhotoRec не пытается выполнить запись на поврежденный носитель, с которого пользователь собирается восстановиться. Вместо этого восстановленные файлы записываются в каталог, из которого запускается PhotoRec; можно выбрать любой другой каталог. Его можно использовать для восстановления данных или в контексте цифровой криминалистики . ^[3]^[4]^[5] ^[6] ^[7] PhotoRec поставляется вместе с TestDisk . ^[8]

Функциональность

FAT , NTFS , ext2 / ext3 / ext4 Файловые системы хранят файлы в блоках данных (также называемых кластерами данных в Windows). Размер кластера или блока остается постоянным после инициализации во время форматирования файловой системы. В целом, большинство операционных систем стараются хранить данные непрерывно, чтобы минимизировать фрагментацию данных . Время поиска механических дисков важно для записи и чтения данных на жесткий диск и с него, поэтому важно поддерживать фрагментацию на минимальном уровне.

При удалении файла метаинформация об этом файле (имя файла, дата/время, размер, расположение первого блока/кластера данных и т.д.) теряется; например, в файловой системе ext3/ext4 имена удаленных файлов все еще присутствуют, но местоположение первого блока данных удаляется. Это означает, что данные все еще присутствуют в файловой системе, но только до тех пор, пока некоторые или все они не будут перезаписаны новыми данными файла.

Чтобы восстановить эти «потерянные» файлы, PhotoRec сначала пытается определить размер блока данных (или кластера). Если файловая система не повреждена, это значение можно прочитать из суперблока (ext2/ext3/ext4) или загрузочной записи тома (FAT, NTFS). В противном случае PhotoRec считывает носитель посекторно в поисках первых десяти файлов, на основе которых рассчитывает размер блока/кластера по их местоположению. Как только размер блока станет известен, PhotoRec считывает носитель поблочно (или кластер за кластером). Каждый блок проверяется по базе данных сигнатур; который поставляется вместе с программой, и с момента выхода первой версии PhotoRec количество типов файлов, которые он может восстановить, постоянно растет. Это распространенный метод восстановления данных, называемый вырезанием файлов .

Например, PhotoRec идентифицирует файл JPEG , если блок начинается с:

Начало изображения + APP0: 0xff, 0xd8, 0xff, 0xe0
Начало изображения + APP1: 0xff, 0xd8, 0xff, 0xe1
или начало изображения + комментарий: 0xff, 0xd8, 0xff, 0xfe

Если PhotoRec уже начал восстанавливать файл, он останавливает его восстановление, проверяет целостность файла, если это возможно, и начинает сохранять новый файл (который он определил по найденной сигнатуре).

Если данные не фрагментированы, восстановленный файл должен быть идентичен (или, возможно, больше) исходного файла по размеру. В некоторых случаях PhotoRec может узнать исходный размер файла по заголовку файла, поэтому восстановленный файл обрезается до нужного размера. Однако если восстановленный файл оказывается меньше, чем указано в его заголовке, он отбрасывается. Некоторые файлы, например файлы *.MP3, представляют собой потоки данных. В этом случае PhotoRec анализирует восстановленные данные, а затем останавливает восстановление после завершения потока.

При успешном восстановлении файла PhotoRec проверяет предыдущие блоки данных, чтобы определить, была ли найдена подпись файла, но файл не удалось успешно восстановить (т. е. файл был слишком мал), и пытается снова. Таким образом, некоторые фрагментированные файлы могут быть успешно восстановлены. ^[9]

Примечательно, что PhotoRec не восстанавливает исходные имена файлов, но можно, например, переименовать файлы JPG с изображениями с помощью exiftool : https://www.cgsecurity.org/testdisk_doc/after_using_photorec.html#renaming-files-using-exiftool

PhotoRec превосходит Scalpel и обеспечивает технически более правильные файлы. В обсуждении на https://github.com/sleuthkit/scalpel/issues/35 выяснилось, что «Scalpel не восстанавливает сломанные заголовки/маркеры EOF, как PhotoRec в Autopsy. Если вы используете шестнадцатеричный редактор для восстановления восстановленных файлов вручную, тогда вы получите те же изображения/файлы». Scalpel предоставляет больше испорченных файлов JPG, в которых PhotoRec выполнил правильную задачу в файловой системе ext4.

PhotoRec (Testdisk) входит в состав пакетов Autopsy и WondershareRecoverIt (платных).

Совместимость

PhotoRec совместим с: ^[10]

DOS (либо настоящий, либо в виде коробки DOS для Windows 9x)
Microsoft Windows : NT4 , 2000 , XP , 2003 , 2008 , 2016 , Vista , Windows 7 , Windows 8 , Windows 8.1 , Windows 10 , Windows 11
Линукс
FreeBSD , NetBSD , OpenBSD
СанОС
macOS

Распределение

PhotoRec и TestDisk поставляются вместе. Их можно скачать с сайта CGSecurity . Эти утилиты можно найти на различных Linux Live CD :

GParted Live CD ^[11]
Расставающаяся магия ^[12]
Slax-LFI, Slax дистрибутив, производный от ^[13]
SystemRescueCD ^[14]
Ubuntu Rescue Remix, Ubuntu производная версия ^[15]

Они также упакованы для многочисленных *nix (в основном на базе Linux дистрибутивов ):

ВСЕ Linux ^[16]
Arch Linux Дополнительный репозиторий ^[17]
Debian вклад ^[18]
Федоры Дополнительные возможности ^[19]
Красная Шапочка Эпель ^[20]
FreeBSD Порт ^[21]
OpenBSD порт ^[22]
Генту ^[23] и Gentoo Portage ^[24]
Мандривы Вклад
Исходный код Мага Linux ^[25]
Убунту ^[26]

См. также

Ссылки

^ «Форматы файлов, восстановленные PhotoRec» . Апрель 2015.
^ «Добавьте собственное расширение в PhotoRec» . 18 мая 2016 г.
^ Джек Уайлс, Кевин Кардвелл, Энтони Рейес (2007). Лучшая книга периода о киберпреступности и цифровой криминалистике , с. 220. Сингресс Паблишинг Инк. ISBN 978-1-59749-228-7 .
^ Кэмерон Х. Малин, Эоган Кейси, Джеймс М. Аквилина (2008). Криминалистика вредоносных программ: исследование и анализ вредоносного кода , стр. xxviii. Издательство Сингресс Паблишинг Инк. ISBN 978-1-59749-268-3 .
^ Натан Кларк (2010), Компьютерная криминалистика: Карманный справочник , стр. 67. Издательство «Управление ИТ». ISBN 978-1-84928-039-6 .
^ Результаты испытаний NIST для инструмента вырезания графических файлов: PhotoRec v7.0-WIP ^{[ постоянная мертвая ссылка ]}.
^ Результаты испытаний NIST для инструмента вырезания видеофайлов: PhotoRec v7.0-WIP. Архивировано 22 апреля 2015 г. на archive.today .
^ Скотт Мюллер, Брайан Книттель (2008). Обновление и восстановление Microsoft Windows, второе издание , стр. 685. Pearson Education Inc. ISBN 978-0-7897-3695-6 .
^ Как работает PhotoRec (Описание с сайта автора).
^ «Фоторек — CGSecurity» . Проверено 1 марта 2013 г.
^ «GParted — Live CD/USB/PXE/HD» . Проверено 1 марта 2013 г.
^ "программы – Parted Magic" . Архивировано из оригинала 2 января 2011 года . Проверено 1 марта 2013 г.
^ «Восстановить файл с помощью PhotoRec» . Архивировано из оригинала 2 мая 2013 года . Проверено 1 марта 2013 г.
^ «Системные инструменты — SystemRescueCd» . Проверено 1 марта 2013 г.
^ «Программное обеспечение Ubuntu Rescue Remix» . Архивировано из оригинала 23 января 2013 г. Проверено 1 марта 2013 г.
^ «ТестДиск на ALT Linux» . Архивировано из оригинала 11 августа 2011 г. Проверено 25 мая 2011 г.
^ Дополнительный репозиторий ArchLinux
^ TestDisk в Debian
^ TestDisk в Fedora. Архивировано 10 марта 2011 г. на Wayback Machine.
^ "RepoView: "Fedora EPEL 6 - x86_64" " . Архивировано из оригинала 13 сентября 2015 г. Проверено 27 июля 2013 г.
^ TestDisk в портах FreeBSD
^ TestDisk в портах OpenBSD
^ TestDisk в Gentoo
^ TestDisk в Gentoo Portage. Архивировано 7 июня 2011 г. на Wayback Machine.
^ TestDisk в Source Mage. Архивировано 19 мая 2011 г. на Wayback Machine.
^ «Удалить Hui Photo Waapas Kese Laaye || Как вернуть удаленные фотографии за 2 минуты?» , Архивировано из оригинала 8 июня 2019 г. Проверено 8 июня 2019 г.

Внешние ссылки

Официальный сайт

[FileFormats-1] «Форматы файлов, восстановленные PhotoRec» . Апрель 2015.

[2] «Добавьте собственное расширение в PhotoRec» . 18 мая 2016 г.

[3] Джек Уайлс, Кевин Кардвелл, Энтони Рейес (2007). Лучшая книга периода о киберпреступности и цифровой криминалистике , с. 220. Сингресс Паблишинг Инк. ISBN 978-1-59749-228-7 .

[4] Кэмерон Х. Малин, Эоган Кейси, Джеймс М. Аквилина (2008). Криминалистика вредоносных программ: исследование и анализ вредоносного кода , стр. xxviii. Издательство Сингресс Паблишинг Инк. ISBN 978-1-59749-268-3 .

[5] Натан Кларк (2010), Компьютерная криминалистика: Карманный справочник , стр. 67. Издательство «Управление ИТ». ISBN 978-1-84928-039-6 .

[GraphicFileCarvingTool-6] Результаты испытаний NIST для инструмента вырезания графических файлов: PhotoRec v7.0-WIP ^{[ постоянная мертвая ссылка ]}.

[VideoFileCarvingTool-7] Результаты испытаний NIST для инструмента вырезания видеофайлов: PhotoRec v7.0-WIP. Архивировано 22 апреля 2015 г. на archive.today .

[8] Скотт Мюллер, Брайан Книттель (2008). Обновление и восстановление Microsoft Windows, второе издание , стр. 685. Pearson Education Inc. ISBN 978-0-7897-3695-6 .

[PhotoRec-9] Как работает PhotoRec (Описание с сайта автора).

[10] «Фоторек — CGSecurity» . Проверено 1 марта 2013 г.

[11] «GParted — Live CD/USB/PXE/HD» . Проверено 1 марта 2013 г.

[12] "программы – Parted Magic" . Архивировано из оригинала 2 января 2011 года . Проверено 1 марта 2013 г.

[13] «Восстановить файл с помощью PhotoRec» . Архивировано из оригинала 2 мая 2013 года . Проверено 1 марта 2013 г.

[14] «Системные инструменты — SystemRescueCd» . Проверено 1 марта 2013 г.

[15] «Программное обеспечение Ubuntu Rescue Remix» . Архивировано из оригинала 23 января 2013 г. Проверено 1 марта 2013 г.

[ALT_Linux-16] «ТестДиск на ALT Linux» . Архивировано из оригинала 11 августа 2011 г. Проверено 25 мая 2011 г.

[Arch_Linux-17] Дополнительный репозиторий ArchLinux

[Debian_contrib-18] TestDisk в Debian

[Fedora_Extras-19] TestDisk в Fedora. Архивировано 10 марта 2011 г. на Wayback Machine.

[RedHat_Epel-20] "RepoView: "Fedora EPEL 6 - x86_64" " . Архивировано из оригинала 13 сентября 2015 г. Проверено 27 июля 2013 г.

[FreeBSD_ports-21] TestDisk в портах FreeBSD

[OpenBSD_ports-22] TestDisk в портах OpenBSD

[Gentoo-23] TestDisk в Gentoo

[Gentoo_Portage-24] TestDisk в Gentoo Portage. Архивировано 7 июня 2011 г. на Wayback Machine.

[Source_Mage-25] TestDisk в Source Mage. Архивировано 19 мая 2011 г. на Wayback Machine.

[technicalmamas-26] «Удалить Hui Photo Waapas Kese Laaye || Как вернуть удаленные фотографии за 2 минуты?» , Архивировано из оригинала 8 июня 2019 г. Проверено 8 июня 2019 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]