WikiDer > PhotoRec

PhotoRec
PhotoRec
PhotoRec-logo.png
Демонстрация работы PhotoRec в Linux
Демонстрация работы PhotoRec в Linux
Разработчики)Кристоф Гренье
изначальный выпуск30 апреля 2002 г.; 18 лет назад (2002-04-30)
Стабильный выпуск
7.1 / 7 июля 2019 г.; 16 месяцев назад (2019-07-07)
Репозиториймерзавец.cgsecurity.org/ cgit/ testdisk/
Написано вC (nCurses)
Операционная системаКроссплатформенность
ПлатформаCLI
ТипВосстановление данных
ЛицензияGNU GPL v2 + (бесплатно программное обеспечение)
Интернет сайтcgsecurity.org/ wiki/ PhotoRec

PhotoRec это бесплатно и с открытым исходным кодом служебное программное обеспечение за восстановление данных с текстовый пользовательский интерфейс с помощью вырезание данных методы, предназначенные для восстановления потерянных файлов из памяти различных цифровых фотоаппаратов, жесткий диск и CD-ROM. Он может восстанавливать файлы с более чем 480 расширениями файлов (около 300 семейств файлов).[1] Также возможно добавить индивидуальный подпись файла для обнаружения менее известных файлов.[2]

PhotoRec не пытается записать на поврежденный носитель, с которого пользователь собирается восстанавливаться. Вместо этого восстановленные файлы записываются в каталог, из которого запускается PhotoRec, можно выбрать любой другой каталог. Его можно использовать для восстановление данных или в цифровая криминалистика контекст.[3][4][5][6][7]PhotoRec поставляется с TestDisk.[8]

PhotoRec совместим с:[9]

Функциональность

ТОЛСТЫЙ, NTFS, ext2/ext3/ext4 файловые системы хранить файлы в блоках данных (также называемых кластеры данных под Windows). Размер кластера или блока остается неизменным после инициализации во время форматирования файловой системы. Как правило, большинство операционных систем стараются хранить данные непрерывно, чтобы свести к минимуму фрагментация данных. Время поиска механических накопителей имеет большое значение для записи и чтения данных на / с жесткого диска, поэтому важно поддерживать минимальный уровень фрагментации.

Когда файл удаляется, метаинформация об этом файле (имя файла, дата / время, размер, расположение первого блока данных / кластера и т. Д.) Теряется; например, в файловой системе ext3 / ext4 имена удаленных файлов все еще присутствуют, но местоположение первого блока данных удаляется. Это означает, что данные все еще присутствуют в файловой системе, но только до тех пор, пока некоторые или все они не будут перезаписаны новыми данными файла.

Чтобы восстановить эти «потерянные» файлы, PhotoRec сначала пытается найти размер блока данных (или кластера). Если файловая система не повреждена, это значение можно прочитать из суперблока (ext2 / ext3 / ext4) или загрузочной записи тома (FAT, NTFS). В противном случае PhotoRec считывает носитель, сектор за сектором, в поисках первых десяти файлов, из которых вычисляет размер блока / кластера по их местоположению. Как только этот размер блока известен, PhotoRec считывает медиа блок за блоком (или кластер за кластером). Каждый блок проверяется по базе данных сигнатур; который поставляется с программой и с момента выхода первой версии PhotoRec число типов файлов, которые можно восстановить, растет. Это распространенный метод восстановления данных, который называется файл резьба.

Например, PhotoRec идентифицирует JPEG файл, когда блок начинается с:

  • Начало изображения + APP0: 0xff, 0xd8, 0xff, 0xe0
  • Начало изображения + APP1: 0xff, 0xd8, 0xff, 0xe1
  • или начало изображения + комментарий: 0xff, 0xd8, 0xff, 0xfe

Если PhotoRec уже начал восстановление файла, он останавливает его восстановление, проверяет целостность файла, когда это возможно, и начинает сохранять новый файл (который определяется по найденной подписи).

Если данные не фрагментированы, восстановленный файл должен быть идентичен (или, возможно, больше) оригинальному файлу по размеру. В некоторых случаях PhotoRec может узнать исходный размер файла из заголовка файла, поэтому восстановленный файл обрезается до нужного размера. Если, однако, восстановленный файл оказывается меньше, чем указано в его заголовке, он отбрасывается. Некоторые файлы, например, типы * .MP3, являются потоками данных. В этом случае PhotoRec анализирует восстановленные данные, а затем останавливает восстановление, когда поток заканчивается.

Когда файл восстанавливается успешно, PhotoRec проверяет предыдущие блоки данных, чтобы увидеть, была ли найдена подпись файла, но файл не удалось успешно восстановить (т. Е. Файл был слишком мал), и пытается снова. Таким образом можно успешно восстановить некоторые фрагментированные файлы.[10]

Распределение

PhotoRec и TestDisk поставляются вместе. Их можно скачать с CGSecurity эти утилиты можно найти на различных Linux Live CD:

Они также упакованы для множества * nix (по большей части Linux на основе) дистрибутивов:

Смотрите также

Рекомендации

  1. ^ [1].
  2. ^ https://www.cgsecurity.org/wiki/Add_your_own_extension_to_PhotoRec
  3. ^ Джек Уайлс, Кевин Кардуэлл, Энтони Рейес (2007). Лучшая проклятая книга о киберпреступности и цифровой криминалистике, п. 220. Syngress Publishing Inc. ISBN 978-1-59749-228-7.
  4. ^ Кэмерон Х. Малин, Эоган Кейси, Джеймс М. Аквилина (2008). Судебная экспертиза вредоносных программ: исследование и анализ вредоносного кода, п. xxviii. Syngress Publishing Inc. ISBN 978-1-59749-268-3.
  5. ^ Натан Кларк (2010), Компьютерная криминалистика: карманное руководство, п. 67. Издательство по управлению ИТ. ISBN 978-1-84928-039-6.
  6. ^ Результаты тестирования NIST для инструмента вырезания графических файлов: PhotoRec v7.0-WIP[постоянная мертвая ссылка].
  7. ^ Результаты тестирования NIST для инструмента вырезания видеофайлов: PhotoRec v7.0-WIP В архиве 2015-04-22 в Archive.today.
  8. ^ Скотт Мюллер, Брайан Книттель (2008). Обновление и восстановление Microsoft Windows, второе издание, стр. 685. Pearson Education Inc. ISBN 978-0-7897-3695-6.
  9. ^ «PhotoRec - CGSecurity». Получено 1 марта, 2013.
  10. ^ Как работает PhotoRec (Описание с сайта автора).
  11. ^ «GParted - Live CD / USB / PXE / HD». Получено 1 марта, 2013.
  12. ^ "программы - Parted Magic". Архивировано из оригинал 2 января 2011 г.. Получено 1 марта, 2013.
  13. ^ "Восстановить файл с помощью PhotoRec". Архивировано из оригинал 2 мая 2013 г.. Получено 1 марта, 2013.
  14. ^ «Системные инструменты - SystemRescueCd». Получено 1 марта, 2013.
  15. ^ «Программное обеспечение Ubuntu Rescue Remix». Архивировано из оригинал на 2013-01-23. Получено 1 марта, 2013.
  16. ^ «TestDisk на ALT Linux». Архивировано из оригинал на 2011-08-11. Получено 2011-05-25.
  17. ^ Дополнительный репозиторий ArchLinux
  18. ^ TestDisk на Debian
  19. ^ TestDisk в Fedora В архиве 2011-03-10 на Wayback Machine
  20. ^ "RepoView:" Fedora EPEL 6 - x86_64"". Архивировано из оригинал на 2015-09-13. Получено 27 июля 2013.
  21. ^ TestDisk в портах FreeBSD
  22. ^ TestDisk в портах OpenBSD
  23. ^ TestDisk в Gentoo
  24. ^ TestDisk в Gentoo Portage В архиве 2011-06-07 на Wayback Machine
  25. ^ TestDisk в Source Mage В архиве 2011-05-19 на Wayback Machine
  26. ^ [2]

внешняя ссылка