Narzędzia - PhotoRec (Odzyskiwanie danych)

| F.A.Q.
Facebook Twitter Schowek

Narzędzia - PhotoRec (Odzyskiwanie danych)

PhotoRec to oprogramowanie do odzyskiwania danych, które zostały utracone, w tym wideo, dokumenty i archiwa z dysków twardych (HDD), dysków SSD, płyt CD-ROM oraz utracone zdjęcia (stąd nazwa Photo Recovery) z pamięci cyfrowych aparatów fotograficznych. PhotoRec ignoruje system plików i odzyskuje dane bezpośrednio, dlatego nadal działa nawet w przypadku poważnego uszkodzenia lub ponownego sformatowania systemu plików nośnika.

PhotoRec jest darmowy - ta aplikacja wieloplatformowa na licencji GNU General Public License (GPLv2+) jest dostępna jako oprogramowanie o otwartym kodzie źródłowym. PhotoRec jest programem towarzyszącym dla TestDisk, aplikacji do odzyskiwania utraconych partycji na różnych systemach plików i przywracania zdolności rozruchowej na dyskach, których nie można uruchomić.

W celu większego bezpieczeństwa PhotoRec korzysta z dostępu tylko do odczytu, aby obsłużyć dysk lub kartę pamięci, z którego zamierzasz odzyskać utracone dane. Ważne: Jeśli przypadkowo usuniesz zdjęcie lub plik, lub odkryjesz, że czegoś brakuje, NIE zapisuj więcej zdjęć ani plików na tym urządzeniu pamięciowym lub dysku twardym. W przeciwnym razie możesz nadpisać utracone dane. Oznacza to, że podczas korzystania z PhotoRec nie należy wybierać opcji zapisywania odzyskanych plików na tej samej partycji, na której były one przechowywane.

Systemy operacyjne:

PhotoRec może działać na:

  • DOS/Windows 9x
  • Windows 11/10/8.1/8/7/Vista/XP, Windows Server 2022/2019/2016/2012/2008/2003
  • Linux
  • FreeBSD, NetBSD, OpenBSD
  • Sun Solaris
  • Mac OS X
  • Unix (może być skompilowany na większości systemów Unix)

Systemy plików

PhotoRec ignoruje system plików; dzięki temu działa nawet w przypadku poważnego uszkodzenia systemu plików. Może odzyskiwać utracone pliki z co najmniej

  • FAT
  • NTFS
  • exFAT
  • systemu plików ext2/ext3/ext4
  • HFS+

Może nie działać dobrze z ReiserFS!

Media

PhotoRec działa z dyskami twardymi, płytami CD-ROM, kartami pamięci (CompactFlash, Memory Stick, Secure Digital/SD, SmartMedia, Microdrive, MMC itp.), pamięciowymi dyskami USB, obrazami DD w formacie RAW, obrazami EnCase E01 itp. PhotoRec został pomyślnie przetestowany z różnymi przenośnymi odtwarzaczami multimedialnymi, w tym iPod, oraz z następującymi aparatami cyfrowymi:

  • Canon EOS 10D, 60D, 80D, 300D
  • Casio Exilim EX-Z 750
  • Fujifilm X-T10
  • HP PhotoSmart 620, 850, 935
  • Nikon CoolPix 775, 950, 5700
  • Olympus C350N, C860L, Mju 400 Digital, Stylus 300
  • Sony Alpha DSLR, DSC-P9, NEX-6
  • Pentax K20D
  • Praktica DCZ-3.4

Formaty plików

PhotoRec wyszukuje znane nagłówki plików. Jeśli nie ma fragmentacji danych, co często ma miejsce, może odzyskać cały plik. PhotoRec rozpoznaje i odzyskuje wiele formatów plików, w tym ZIP, Office, PDF, HTML, JPEG oraz różne formaty plików graficznych. Cała lista formatów plików odzyskiwanych przez PhotoRec zawiera ponad 480 rozszerzeń plików (około 300 rodzin plików).

Jak działa PhotoRec?

Systemy plików FAT, NTFS oraz ext2/ext3/ext4 przechowują pliki w blokach danych (nazywanych również klastrami w systemach Windows). Rozmiar klastra lub bloku pozostaje stały i składa się z określonej liczby sektorów po zainicjowaniu podczas formatowania systemu plików. W ogólnym przypadku większość systemów operacyjnych stara się przechowywać dane w sposób ciągły, aby zminimalizować fragmentację danych. Czas wyszukiwania na mechanicznych dyskach ma duże znaczenie podczas zapisywania i odczytywania danych z dysku twardego, dlatego ważne jest utrzymanie minimalnego poziomu fragmentacji.

Gdy plik zostaje usunięty, metainformacje dotyczące tego pliku (nazwa pliku, data/czas, rozmiar, lokalizacja pierwszego bloku/klastra danych itp.) zostają utracone; na przykład, w systemie plików ext3/ext4 nazwy usuniętych plików są nadal obecne, ale lokalizacja pierwszego bloku danych jest usuwana. Oznacza to, że dane są nadal obecne w systemie plików, ale tylko do momentu, gdy część lub całość z nich zostanie nadpisana przez nowe dane plików.

Aby odzyskać te utracone pliki, PhotoRec najpierw próbuje znaleźć rozmiar bloku (lub klastra) danych. Jeśli system plików nie jest uszkodzony, ta wartość może być odczytana ze superbloku (ext2/ext3/ext4) lub rekordu rozruchowego woluminu (FAT, NTFS). W przeciwnym przypadku PhotoRec odczytuje nośnik, sektor po sektorze, wyszukując pierwszych dziesięciu plików, na podstawie których oblicza rozmiar bloku/klastra danych na podstawie ich lokalizacji. Gdy ten rozmiar bloku jest znany, PhotoRec odczytuje nośnik blok po bloku (lub klaster po klastrze). Każdy blok jest sprawdzany na podstawie bazy danych sygnatur, która jest dostarczana wraz z programem i stale rośnie o nowe typy plików, które można odzyskać od czasu pierwszej wersji PhotoRec.

Na przykład, PhotoRec rozpoznaje plik JPEG, gdy blok rozpoczyna się od:

  • 0xff, 0xd8, 0xff, 0xe0
  • 0xff, 0xd8, 0xff, 0xe1
  • or 0xff, 0xd8, 0xff, 0xfe

Jeśli PhotoRec już rozpoczął proces odzyskiwania pliku, zatrzymuje odzyskiwanie, sprawdza spójność pliku, jeśli to możliwe, i rozpoczyna zapis nowego pliku (który został określony na podstawie odnalezionej sygnatury).

Jeśli dane nie są fragmentowane, odzyskany plik powinien być identyczny lub większy od oryginalnego pliku pod względem rozmiaru. W niektórych przypadkach PhotoRec może poznać pierwotny rozmiar pliku na podstawie nagłówka pliku, dlatego odzyskany plik jest przycięty do prawidłowego rozmiaru. Jeśli jednak odzyskany plik jest mniejszy niż wskazuje to nagłówek, zostaje odrzucony. Niektóre pliki, takie jak pliki typu *.MP3, są strumieniami danych. W takim przypadku PhotoRec analizuje odzyskane dane, a następnie zatrzymuje proces odzyskiwania po zakończeniu strumienia.

Po skutecznym odzyskaniu pliku, PhotoRec sprawdza poprzednie bloki danych, aby sprawdzić, czy odnaleziono sygnaturę pliku, ale plik nie został odzyskany poprawnie (czyli plik był zbyt mały), i próbuje ponownie. W ten sposób możliwe jest skuteczne odzyskanie niektórych fragmentowanych plików.

Procedura

Program do działania wymaga uprawnień administratora / użytkownika root

W pierwszym kroku należy wybrać dysk z którego mają zostać odzyskać dane, wybór należy zatwierdzić - Proceed.

 

Następnie krok to wybór partycji z której mają być przywrócić dane.

 

 

W tym miejscu można zmienić opcję odzyskiwania oraz zawęzić lub rozszerzyć zakres formatów plików, które mają być odzyskane.

 

 

Następny krok to wybór systemów plików, w którym przechowywane były dane: ext2/ext3 dla ext2/ext3/ext4 lub other dla FAT/NTFS/HFS+/ReiserFS/

 

 

Należy wybrać zakres analizy dysku cały (Whole) lub tyko wolną powierzchnie (Free).

 

 

Kolejny krok to wybór miejsca gdzie mają zostać zapisane przywrócone pliki.

Uwaga: nie może być to ten sam dysk z którego odzyskiwane są dane, nie powinno się wybierać partycji FAT32, ponieważ ma ona ograniczenie rozmiaru pliku do 4GB. Wybór zostaje potwierdzony za pomocą litery C.

 

 

Po potwierdzeniu proces odzyskiwania rozpoczyna się. Podczas procesu program informuje na bieżąco o znalezionych plikach. Proces ten może potrwać od kilku minut do nawet parunastu godzin. Wszystko zależy od rozmiaru dysku.

 

 

Ostatni ekran to podsumowanie.

 

 

Wnioski

PhotoRec to potężne narzędzie, które potrafi przywrócić pliki, jednak ma poważną wadę przywrócone pliki nie posiadają swojej pierwotnej nazwy.

Powiązane artykuły:

  1. Narzędzia - TestDisk (Odzyskiwanie tablicy partycji)
  2. Backblaze - raport awaryjności dysków Q1 2023
  3. Backblaze - raport awaryjności dysków rok 2022