Linux photorec восстановление файлов

Восстановление удаленных файлов в Linux

Удаление файла, как правило, не означает, что он потерян навсегда. При удалении файла его метаданные (т.е. имя файла, размер, время создания, расположение и т.д.) теряются, но фактические данные, содержащиеся в файле, остаются нетронутыми до тех пор, пока этот блок файловой системы не будет перезаписан данными другого файла. Это значит, что если вы случайно удалили файл, есть шансы его восстановить.
В этом руководстве я опишу восстановление удаленных файлов в Linux. Для этого предназначены несколько утилит. Среди них необходимо отметить PhotoRec , так как это программа с открытым исходным кодом, распространяющаяся под лицензией GPLV v2+. PhotoRec работает в Linux, BSD, MacOS X и Windows.

Возможности PhotoRec

Как можно понять из названия программы, изначально PhotoRec предназначался для восстановления случайно удаленных цифровых фотографий. Тем не менее, на сегодняшний день он достаточно универсален и поддерживает различные форматы файлов. PhotoRec восстанавливает файлы, просматривая блоки данных один за другим и сравнивая их с хранящимися в его базе данных сигнатурами для различных типов файлов.

Поддерживаемые типы файлов: видео (avi, mov, mp3, mp4, mpg), изображения (jpg, gif, png), документы (doc(x), ppt(x), xls(x), html), аудио (mp3, ogg), архивы (gz, zip) и т.д.
Поддерживаемые файловые системы: EXT2, EXT3, EXT4, HFS+, FAT, NTFS, exFAT.
Помимо жестких дисков, PhotoRec может восстанавливать файлы, хранимые на CD/DVD, USB-флешках, картах памяти (CompactFlash, Memory Stick, Secure Digital/SD, SmartMedia) и так далее. Если вы случайно удалили цифровые фотографии, хранившиеся на карте памяти или в фотоаппарате, то можете использовать PhotoRec для их восстановления.

Установка PhotoRec в Linux

На официальном сайте PhotoRec предлагают скачать бинарные файлы для различных платформ. Поэтому вы можете скачать статически скомпонованный бинарник для вашей системы Linux.

Для 32-битного Linux:

Для 64-битного Linux:

В директории с распакованным архивом вы найдете исполняемый файл PhotoRec (photorec_static).

Восстановление удаленных фотографий и видео

В этом руководстве я покажу вам, как восстанавливать фото и видео, удаленные с SD-карты, которые были созданы камерой Canon EOS Rebel T3i. Если вы случайно удалили файлы, очень важно не сохранять больше никаких файлов на этот диск или карту памяти, чтобы не перезаписать удаленные файлы. Как только вы обнаружили, что удалили файлы, сразу же запустите PhotoRec.

Вы увидите список доступных носителей. Выберите нужный.

Далее, выберите раздел, который содержит удаленные файлы.

Выберите тип используемой файловой системы. В целом, вы можете идентифицировать файловую систему из вывода команды mount. В случае SD-карты из Canon, она отформатирована в файловую систему VFAT. Поэтому выберите «Other».

Выберите, нужно ли анализировать весь диск. В нашем случае выберите «Free», чтобы просканировать только свободное пространство.

Выберите папку, в которой хранились удаленные файлы. Теперь вам нужно выбрать другой раздел или диск, после чего нажать «C».

Теперь PhotoRec начинает считывать отдельные сектора в поиске потерянных файлов. Вы будете видеть ход процесса. В зависимости от размера носителя, он может занять пару минут или даже больше.

После окончания сканирования восстановленные файлы будут сохранены в выбранной вами папке назначения. Обратите внимание, что размер восстановленного файла может быть таким же или большим, чем размер оригинального файла.

Источник

Инструменты Kali Linux

Список инструментов для тестирования на проникновение и их описание

PhotoRec

Описание PhotoRec

PhotoRec – это программное обеспечение для восстановления файлов данных, предназначенное для восстановления потерянных файлов, включая видео, документы и архивы с жёсткого диска, CD-ROM и потерянных картинок (восстановление фотографий) с карт памяти цифровых камер. PhotoRec игнорирует файловую систему и работает с лежащими в основе данными, поэтому она будет работать даже если файловая система медиа носителя сильно повреждена или переформатированна.

PhotoRec — это бесплатное, с открытым исходным кодом, мультиплатформенное приложение. PhotoRec является программой-компаньоном для TestDisk, приложения для восстановления потерянных разделов на самых разнообразных файловых системах и делающее не загружаемые диски снова загрузочными.

Для большей безопасности, PhotoRec использует доступ только с правами чтения, чтобы не допустить потерю данных с диска или карты памяти, с которых вы восстанавливаете потерянные данные.

Важно: как только картинка или файл случайно удалены, или вы обнаружили недостающие, НЕ сохраняйте ещё картинки или файлы на эту карту памяти или жёсткий диск; в противном случае, вы можете перезаписать потерянные данные. Это означает, что во время использования PhotoRec вы не должны выбирать запись восстановленных файлов на тот же раздел, где они были сохранены.

PhotoRec работает в операционных системах:

• DOS/Windows 9x
• Windows NT 4/2000/XP/2003/Vista/2008/7/10
• Linux
• FreeBSD, NetBSD, OpenBSD
• Sun Solaris
• Mac OS X

и может быть скомпилирована практически на любой Unix системе.

Файловые системы

PhotoRec игнорирует файловые системы; таким образом она работает даже если файловая система сильно повреждена.

Программа может восстанавливать потерянные файлы как минимум с:

ReiserFS включает некоторые специальные оптимизации, сосредоточенные вокруг хвостов, имени для файлов и окончательной части файлов, которые меньше, чем блок файловой системы. Для увеличения производительности, ReiserFS способна сохранять файлы внутри самих узлов листа b*tree, не сохраняя данные где-то ещё на диске, а просто указывая на них. К сожалению, PhotoRec не в состоянии справится с этим — поэтому программа работает не очень хорошо с ReiserFS.

Носители информации

PhotoRec работает с жёсткими дисками, CD-ROM, картами памяти (CompactFlash, Memory Stick, Secure Digital/SD, SmartMedia, Microdrive, MMC и др.), запоминающими устройствами USB, сырыми образами DD, образами EnCase E01 и т.д.

PhotoRec успешно протестирована с различными портативными медиа плеерами, включая iPod и следующими цифровыми камерами:

• Canon EOS 60D, 300D, 10D
• Casio Exilim EX-Z 750
• Fujifilm X-T10
• HP PhotoSmart 620, 850, 935
• Nikon CoolPix 775, 950, 5700
• Olympus C350N, C860L, Mju 400 Digital, Stylus 300
• Sony Alpha DSLR, DSC-P9, NEX-6
• Pentax K20D
• Praktica DCZ-3.4

Известные файловые форматы

PhotoRec ищет по известным файловым заголовкам. Если отсутствует фрагментация данных, которая часто бывает, она способна восстановить файл целиком. PhotoRec распознаёт и восстанавливает ряд файловых форматов, включая ZIP, Office, PDF, HTML, JPEG и различные графические файловые форматы. Полный список форматов, восстанавливаемых PhotoRec содержит более чем 480 расширений файлов (около 300 файловых семей).

Автор: Christophe GRENIER

Справка по PhotoRec

Руководство по PhotoRec

Страница man присутствует, но ничего не добавляет к справке.

Для возврата в предыдущее меню используйте клавишу q.

Примеры запуска PhotoRec

Запустите PhotoRec с привилегиями рута:

Для восстановления файлов с образа носителя запустите по одному из следующих вариантов.

Для выскабливания данных с сырого образа диска:

Для восстановления файлов с образа Encase EWF:

Если образ Encase разбит на несколько файлов:

Если образ Encase разбит на несколько файлов в директории d:\evidence:

Большинство устройств должны быть обнаружены автоматически, включая программный Linux RAID (это /dev/md0) и зашифрованные cryptsetup, dm-crypt, LUKS, TrueCrypt или VeraCrypt файловые системы (например, /dev/mapper/truecrypt0). Для восстановления данных с других устройств, запустите:

Криминалисты могут использовать параметр /log для создания файла журнала с именем photorec.log; в него записываются расположения файлов, восстановленных PhotoRec.

Также можно указать путь до диска, с которого вы хотите восстанавливать данные:

Установка PhotoRec

Программа поставляется совместно с TestDisk. Для установки PhotoRec достаточно установить TestDisk.

Программа предустановлена в Kali Linux.

Установка в BlackArch

Программа предустановлена в BlackArch.

Установка в Linux Mint, Ubuntu

Установка в Windows

Загрузить TestDisk и PhotoRec, в том числе для Windows можно на официальном сайте.

В версии для Windows имеется QPhotoRec (файл qphotorec_win.exe) — графический интерфейс PhotoRec.

Файл консольной версии PhotoRec называется photorec_win.exe.

Информация об установке в другие операционные системы будет добавлена позже.

Источник

PhotoRec Шаг за шагом

English Deutsch Español Français Italiano Português Română Русский

Это пошаговый пример того, как с помощью PhotoRec можно восстановить удаленные или потерянные данные. Перевод этой документации на остальные языки приветствуется.

Contents

Запуск PhotoRec

Если PhotoRec еще не был установлен, вы можете его скачать отсюда: TestDisk Download. Извлеките все содержимое архива.

Чтобы восстановить данные с жесткого диска, USB-флешки, Смарт-карты, CD- или DVD-диска или иных носителей, Вам нужно иметь к ним полный доступ.

• Для DOS: запустите photorec.exe
• Для Windows: запустите PhotoRec (testdisk-6.9/win/photorec_win.exe) от имени пользователя из группы Администраторы. Под Vista, нажмите на файл photorec.exe правой клавишей мыши и выберите «Запустить от администратора».
• Для Unix/Linux/BSD: Вам необходимы права пользователя root для запуска PhotoRec ( sudo testdisk-6.9/linux/photorec_static )
• Для MacOSX, запустите PhotoRec (testdisk-6.9/darwin/photorec). Если PhotoRec был запущен без прав пользователя root, программа сама перезапустится используя sudo после подтверждения.
• Для OS/2: извините, PhotoRec не может работать с устройствами, только с их образами

Чтобы восстановить данные с образа устройства:

• photorec image.dd чтобы снять ‘сырой’ образ диска
• photorec image.E01 чтобы восстановить данные из Encase EWF-образа
• photorec ‘image.E??’ если Encase-образ разбит на части.
• photorec ‘/cygdrive/d/evidence/image.E??’ Если части Encase-образа находятся в каталоге d:\evidence

Чтобы восстановить данные с любого другого устройства запустите photorec device , т.е.

• photorec /dev/mapper/truecrypt0 чтобы восстановить данные с разделла созданного программой TrueCrypt. Тот же принцип работает для файловых систем зашифрованных программами cryptsetup, dm-crypt, LUKS и др.
• photorec /dev/md0 чтобы восстановить данные с программного RAID-массива Linux

Существует также параметр /log предназначенный для создания файла photorec.log и записи в него путей всех файлов восстановленных PhotoRec.

Выбор диска

В списке находятся все доступные устройства. Используйте клавиши-стрелки вверх/вниз для выбора устройства, с которого будут восстанавливаться файлы. Нажмите Enter чтобы продолжить.

Выбор типа таблицы разделов

Выберите тип таблицы разделов, как правило PhotoRec сам корректно обределяет тип таблицы разделов.

Выбор раздела для восстановления

• Search после выбора раздела на котором находятся файлы для восстановления чтобы начать сам процесс восстановления,
• Options чтобы изменить параметры,
• File Opt чтобы изменить типы файлов восстанавливаемых PhotoRec.

Параметры PhotoRec

• Paranoid По умолчанию, восстанавливаются файлы неопознанные PhotoRec.

Включите опцию bruteforce если вы хотите восстановить фрагментированные JPEG-файлы, но учтите что это сильно нагрузит процессор.

• Allow partial last cylinder определяет какая предпологается геометрия диска, но при этом могут быть использованы только диски без разделов.
• expert mode -опция разрешает пользователю менять параметры файловой системы вручную.
• Keep corrupted files позволяет сохранять поврежденные файлы. Может пригодится для восстановления файлов другими программами
• Включите опцию Low memory если у Вас мало оперативной памяти и программа зависает или завершается с ошибкой. Это может быть необходимо для больших и сильно фрагментированных файловых систем. Не используйте эту опцию без явной надобности.

Выбор файлов для восстановления

Выберите типы файлов для восстановления, например:

Полный список форматов файлов, поддерживаемых PhotoRec содержит более 100 типов файлов и более 180 расширений файлов.

Тип файловой системы

Как только был выбран раздел, PhotoRec нужно знать как именно размещены блоки данных. Если у Вас не ext2/ext3, выберите Other .

Проверить раздел или только неразмеченную область

PhotoRec может искать файлы:

• на всем разделе (удобно, если раздел сильно поврежден) или
• только на неразмеченной области (Доступно для ext2/ext3, FAT12/FAT6/FAT32 и NTFS). Если опция включена — будут восстановлены только удаленные файлы.

Выбор места для сохранения восстановленных файлов

Выберите каталог, в который будут сохранены восстановленные файлы.

• Нажмите на .. несколько раз, чтобы увидеть список дисков (C:, D:, E. )
• Файловая система внешнего диска может быть примонтирована в /media или в один из подкаталогов в /mnt .
• Разделы внешних дисков обычно монтируются в /Volumes .

Процесс восстановления

Количество восстановленных файлов меняется в реальном времени.

• На нулевом проходе, PhotoRec ищет первые 10 файлов чтобы определить размер блоков данных.
• На первом и последующих проходах восстанавливаются файлы.

Восстановленные файлы сохраняются в подкаталоги recup_dir.1, recup_dir.2. в выбранном каталоге. Файлы в этих каталогах доступны, даже если восстановление еще не завершено.

Восстановление завершено

Вся информация о найденных файлах будет отображена сразу, как только завершится восстановление. Учтите, если вы прервали восстановление, при следующем запуске PhotoRec спросит, хотите ли вы продолжить процесс.

Источник