PhotoRec pas cu pas

From CGSecurity
Jump to navigation Jump to search

En.png English De.png Deutsch Es.png Español Fr.png Français It.png Italiano Pt.png Português Ro.png Română Ru.png Русский


Acest exemplu de recuperare a fișierelor vă arată pas cu pas cum să folosiți PhotoRec pentru a recupera fișiere șterse sau datele de pe o partiție formatată sau coruptă. Pentru a recupera partiții sau fișiere de pe o partiție FAT sau NTFS , încercați mai întâi TestDisk - de obicei este mai rapid și se păstrează și denumirile originale ale fișierelor.Traducerea acestui ghid în alte limbi este binevenită.

Rulare PhotoRec

Dacă Photorec nu este instalat, poate fi descărcat de pe saitul TestDisk Download. Extrageți fișierele din arhivă, inclusiv sub-dosarele.

Pentru a recupera fișiere de pe discuri, stick-uri USB, Smart Card-uri, CD/DVD-uri, aveți nevoie de acces la dispozitivul fizic (drepturi de administrator).

  • Dos.png În DOS, rulați photorec.exe
  • Win.png În Windows, porniți PhotoRec (testdisk-6.13/photorec_win.exe) de pe un cont de administrator sau cu drepturi de administrator. În Windows Vista/7, dați click dreapta pe photorec_win.exe și apoi click pe Run as administrator pentru a rula PhotoRec.
  • Linux.png În Unix/Linux/BSD, trebuie să fiți root/superuser pentru a rula PhotoRec ( sudo testdisk-6.13/photorec_static)
  • Macosx.png În Mac OS X, porniți PhotoRec ( testdisk-6.13/photorec). Dacă nu suntețu root/superuser, PhotoRec se va restarta automat cu drepturi de root după ce confirmați/permiteți acest lucru.Sudo va cere o parolă - introduceți parola de utlizator Mac OS X.
  • Os2.png În OS/2, PhotoRec nu poate lucra cu discurile fizice, daor cu imagini de disc, ne pare rău.

Pentru a recupera fișiere de pe o imagine de disc, faceți așa:

  • photorec image.dd pentru a lucra cu o imagine de disc brută (raw disk image)
  • photorec image.E01 pentru a recupera fișiere dintr-o imagine Encase EWF
  • photorec 'image.???' dacă imaginea Encase este împărțită în mai multe părți.
  • photorec '/cygdrive/d/evidence/image.???' dacă imaginea Encase este împărțită în mai multe părți aflate în dosarul d:\evidence

Linux.png Macosx.png Majoritatea dispozitivelor ar trebui să fie recunoscute automat, inclusiv RAID-ul software de pe Linux (adică /dev/md0) și sistemele de fișiere criptate cu cryptsetup, dm-crypt, LUKS sau TrueCrypt (/dev/mapper/truecrypt0). Pentru a recupera fișiere de pe alte dispozitive, rulați photorec device.

Creare fișier-jurnal

Pentru a salva un jurmal al activității Photorec, utilizați parametrul /log pentru a crea un fișier-jurnal numit photorec.log care conține amplasarea fișierelor recuperate.

Alegerea discului

PhotoRec startup.png

Dispozitivlele disponibile sunt afișate. Utilizați tastele săgeată-sus/jos pentru a selecta discul/partiția cu fișierele pierdute. Apăsați Enter pentru a continua.

Macosx.png Dacă este disponibil, utilizați dispozitivul brut (raw device) /dev/rdisk* în loc de /dev/disk* pentru transfer mai rapid de date.

Alegerea partiției de pe care se recuperează fișierele

PhotoRec src.png

Alegeți

  • Search după selectarea partiției care conține fișierele ce trebuie recuperate pentru a porni procesul de recuperare.
  • Options pentru a modifica opțiunile
  • File Opt pentru a modifica lista cu tipurile de fișiere pe care să le recupereze PhotoRec.

Opțiuni PhotoRec

PhotoRec options.png
  • Paranoid Implicit, fișierele recuperate sunt verificate iar fișierele nevalide sunt ignorate.

Activați bruteforce dacă vreți să recuperați fișierele JPEG fragmentate. Atenție! Această opțiune solicită foarte tare procesorul calculatorului.

  • Allow partial last cylinder modifică modul în care este stabilită geometria discului - doar mediile nepartiționate ar trebui să fie afectate.
  • Opțiunea expert mode permite forțarea mărimii de bloc de date (file system block size) și a offset-ului. Fiecare sistem de fișiere are propria mărime a blocului de date (un multiplu al mărimii sectorului de disc) și un offset (0 pentru NTFS, exFAT, ext2/3/4), aceste valori fiind stabilite la crearea sistemului de fișiere (partiționare/formatare). Dacă încercați să recuperați fișiere de pe tot discul (partițiile sunt corupte/pierdute/reformatate) și PhotoRec găsește foarte puține fișiere, ar fi bine să setați valoarea minimă posibilă pentru această opțiune - adică mărimea sectorului de disc (pentru offset se va folosi 0 - zero)
  • Activați opțiunea Keep corrupted files pentru a păstra și fișierele nevalide/corupte în eventualitatea că vor putea fi recuperate cu alte utilitare mai târziu.
  • Activați opțiunea Low memory dacă sistemul are memorie puțină și se blochează/nu funcționează cum trebuie în timpul operațiunii de recuperare, mai ales dacă lucrați cu discuri de mare capacitate care sunt foarte fragmentate. Nu utilizați această opțiune dacă nu este neapărat nevoie.

Alegerea fișierelor de recuperat

PhotoRec files.png

În FileOpts, activați sau dezactivați recuperarea anumitor tipuri de fișiere. De exemplu 

[X] riff RIFF audio/video: wav, cdr, avi
...
[X] tif  Tag Image File Format și alte formate brute de imagine (pef/nef/dcr/sr2/cr2)
...
[X] zip  arhive zip inclusiv fișiere OpenOffice/LibreOffice și MSOffice 2007

Lista completă a tipurilor de fișiere ce pot fi recuperate de PhotoRec conține peste 320 de clase de fișiere cu mai mult de 200 de extensii de fișiere.

Tipul sistemului de fișiere

PhotoRec filesystem.png

După ce ați ales și validat o partiție cu opțiunea Search, PhotoRec trebuie să știe cum sunt alocate blocurile de date. Dacă nu este o partiție ext2/ext3/ext4 alegeți Other.

Scanați toată partiția sau doar spațiul nealocat

PhotoRec free.png

PhotoRec poate căuta fișiere

  • de pe întreaga partiție (util în cazul în care sistemul de fișiere de pe partiție este corupt) sau
  • daor din spațiul nealocat (opțiune doar pentru partițiile ext2/ext3/ext4, FAT12/FAT16/FAT32 și NTFS). Cu această opțiune doar fișierele șterse pot fi recuperate.

Alegerea locului unde să fie salvate fișierele recuperate

PhotoRec dst.png

Alegeți dosarul unde să fie salvate fișierele recuperate.

  • Dos.png Win.png Os2.png Pentru a afișa lista de partiții (C:, D:, E:, etc.), utilizați tastele-săgeți pentru a selecta .., apăsați tasta Enter - repetați pașii până găsiți partiția dorită. Validați alegerea cu tasta Y când ajungeți la partiția dorită.
  • Linux.png Partițiile de pe un disc extern ar putea fi disponibile într-un dosar /media, /mnt sau /run/media.
  • Macosx.png Partițiile de pe un disc extern sunt de obicei montate în /Volumes.

Desfășurarea recuperării

PhotoRec running.png

Numărul de fișiere recuperate este afișat în timp real.

  • În timpul fazei 0 (pass 0), PhotoRec caută primele 10 fișiere pentru a determina mărimea blocului de date.
  • În timpul fazei 1 (pass 1) și următoarele, se recuperează fișierele, inclusiv cele fragmentate.

Fișierele recuperate sunt scrise în sub-dosarele recup_dir.1, recup_dir.2... Le puteți accesa chiar dacă recuperarea nu s-a terminat.

Recuperare completă

PhotoRec end.png

La terminarea procesului de recuperare se afișează un sumar al operațiunilor. Dacă întrerupeți procesul de recuperare, la următoarea rulare PhotoRec vă va întreba dacă vreți să reluați recuperarea.

  • Pictogramele (thumbnails) găsite în interiorul fișierelor-imagine sunt salvate ca fișiere t*.jpg
  • Dacă ați ales să păstrați fișierele corupte/fragmentate, numele lor vor începe cu litera b(de la broken).
  • După utilizarea PhotoRec: Idei pentru sortarea fișierelor recuperate sau recuperarea celor corupte/fragmentate.
  • Win.png Poate ați dezactivat anti-virusul pentru a grăbi procesul de recupeare dar ar fi bine să scanați fișierele recuperate pentru a depista eventualii viruși din fișierele recuperate.
Donation Puteți face o donație aici donations.
Retrieved from "https://www.cgsecurity.org/mw/index.php?title=PhotoRec_pas_cu_pas&oldid=8207"