Photorec linux как установить

Обновлено: 03.07.2024

Список инструментов для тестирования на проникновение и их описание

Описание PhotoRec

PhotoRec – это программное обеспечение для восстановления файлов данных, предназначенное для восстановления потерянных файлов, включая видео, документы и архивы с жёсткого диска, CD-ROM и потерянных картинок (восстановление фотографий) с карт памяти цифровых камер. PhotoRec игнорирует файловую систему и работает с лежащими в основе данными, поэтому она будет работать даже если файловая система медиа носителя сильно повреждена или переформатированна.

PhotoRec — это бесплатное, с открытым исходным кодом, мультиплатформенное приложение. PhotoRec является программой-компаньоном для TestDisk, приложения для восстановления потерянных разделов на самых разнообразных файловых системах и делающее не загружаемые диски снова загрузочными.

Для большей безопасности, PhotoRec использует доступ только с правами чтения, чтобы не допустить потерю данных с диска или карты памяти, с которых вы восстанавливаете потерянные данные.

Важно: как только картинка или файл случайно удалены, или вы обнаружили недостающие, НЕ сохраняйте ещё картинки или файлы на эту карту памяти или жёсткий диск; в противном случае, вы можете перезаписать потерянные данные. Это означает, что во время использования PhotoRec вы не должны выбирать запись восстановленных файлов на тот же раздел, где они были сохранены.

PhotoRec работает в операционных системах:

  • DOS/Windows 9x
  • Windows NT 4/2000/XP/2003/Vista/2008/7/10
  • Linux
  • FreeBSD, NetBSD, OpenBSD
  • Sun Solaris
  • Mac OS X

и может быть скомпилирована практически на любой Unix системе.

Файловые системы

PhotoRec игнорирует файловые системы; таким образом она работает даже если файловая система сильно повреждена.

Программа может восстанавливать потерянные файлы как минимум с:

  • FAT
  • NTFS
  • exFAT
  • файловых систем ext2/ext3/ext4
  • HFS+

ReiserFS включает некоторые специальные оптимизации, сосредоточенные вокруг хвостов, имени для файлов и окончательной части файлов, которые меньше, чем блок файловой системы. Для увеличения производительности, ReiserFS способна сохранять файлы внутри самих узлов листа b*tree, не сохраняя данные где-то ещё на диске, а просто указывая на них. К сожалению, PhotoRec не в состоянии справится с этим — поэтому программа работает не очень хорошо с ReiserFS.

Носители информации

PhotoRec работает с жёсткими дисками, CD-ROM, картами памяти (CompactFlash, Memory Stick, Secure Digital/SD, SmartMedia, Microdrive, MMC и др.), запоминающими устройствами USB, сырыми образами DD, образами EnCase E01 и т.д.

PhotoRec успешно протестирована с различными портативными медиа плеерами, включая iPod и следующими цифровыми камерами:

  • Canon EOS 60D, 300D, 10D
  • Casio Exilim EX-Z 750
  • Fujifilm X-T10
  • HP PhotoSmart 620, 850, 935
  • Nikon CoolPix 775, 950, 5700
  • Olympus C350N, C860L, Mju 400 Digital, Stylus 300
  • Sony Alpha DSLR, DSC-P9, NEX-6
  • Pentax K20D
  • Praktica DCZ-3.4

Известные файловые форматы

PhotoRec ищет по известным файловым заголовкам. Если отсутствует фрагментация данных, которая часто бывает, она способна восстановить файл целиком. PhotoRec распознаёт и восстанавливает ряд файловых форматов, включая ZIP, Office, PDF, HTML, JPEG и различные графические файловые форматы. Полный список форматов, восстанавливаемых PhotoRec содержит более чем 480 расширений файлов (около 300 файловых семей).

Автор: Christophe GRENIER

Справка по PhotoRec

Руководство по PhotoRec

Для возврата в предыдущее меню используйте клавишу q.

Примеры запуска PhotoRec

Запустите PhotoRec с привилегиями рута:

Для восстановления файлов с образа носителя запустите по одному из следующих вариантов.

Для выскабливания данных с сырого образа диска:

Для восстановления файлов с образа Encase EWF:

Если образ Encase разбит на несколько файлов:

Если образ Encase разбит на несколько файлов в директории d:\evidence:

Большинство устройств должны быть обнаружены автоматически, включая программный Linux RAID (это /dev/md0) и зашифрованные cryptsetup, dm-crypt, LUKS, TrueCrypt или VeraCrypt файловые системы (например, /dev/mapper/truecrypt0). Для восстановления данных с других устройств, запустите:

Криминалисты могут использовать параметр /log для создания файла журнала с именем photorec.log; в него записываются расположения файлов, восстановленных PhotoRec.

Также можно указать путь до диска, с которого вы хотите восстанавливать данные:

Установка PhotoRec

Программа поставляется совместно с TestDisk. Для установки PhotoRec достаточно установить TestDisk.

Программа предустановлена в Kali Linux.

Установка в BlackArch

Программа предустановлена в BlackArch.

Установка в Linux Mint, Ubuntu

Установка в Windows

Загрузить TestDisk и PhotoRec, в том числе для Windows можно на официальном сайте.

В версии для Windows имеется QPhotoRec (файл qphotorec_win.exe) — графический интерфейс PhotoRec.

Файл консольной версии PhotoRec называется photorec_win.exe.

Информация об установке в другие операционные системы будет добавлена позже.

При случайном или намеренном удалении файла на вашей системе с «shift + delete» (файл не переносится в корзину, а просто удаляется), или если вы очистили Корзину или даже отформатировали флешку или диск, содержимое файла не удаляется с жёсткого диска (или любого другого устройства хранения).

Файл только удаляется из структуры директорий, и вы не можете его больше видеть в папке, из которой вы его удалили, но он всё ещё остаётся где-то на вашем жёстком диске.

Аналогично с быстрым форматированием – удаляется только информация о файлах, но сами данные не стираются.

Если у вас имеются подходящие инструменты и знания, вы можете восстановить потерянные файлы с вашего компьютера. Тем не менее, если вы продолжаете записывать на диск или флешку новые файлы, старые файлы могут быть перезаписаны (затёрты) окончательно и их восстановление станет невозможным, либо они окажутся повреждёнными.

Отсюда следуют вполне очевидные правила:

  • не записывайте новые файлы на диск или флешку, с которой вы хотите восстановить удалённый или пропавший файл;
  • восстанавливаемые файлы обязательно сохраняйте на другой носитель, а не на тот, с которого ведётся восстановление, поскольку эти файлы затирают данные и шансы на восстановление каждого последующего файла падают.

Хорошей практикой является не работать с носителем напрямую, а сделать его образ и работать с файлом образа. Благодаря такому подходу:

  • носитель можно отключить от системы, что гарантирует, что какие-либо процессы ОС не будут к нему обращаться и записывать на него данные
  • вы точно не навредите носителю, если что-то сделаете не так.

Если у вас достаточно навыков, сделайте образ флешки или диска и восстанавливайте данные с него.

В этой заметке будет показано, как восстановить потерянные или удалённые фотографии и файлы с помощью программы PhotoRec. Это бесплатная программа, она поставляется вместе с TestDisk (также очень полезный инструмент для поиска и восстановления разделов и файловых систем). Поскольку эта программа работает на разных операционных системах, в том числе на Linux и Windows, то эта инструкция будет содержать два раздела, для обеих операционных систем. Кстати, для Windows имеется версия с графическим интерфейсом.

Подробности о программе PhotoRec вы найдёте на странице с её описанием. Даже если файловая система повреждена и система не «видит» диск или предлагает его отформатировать, PhotoRec всё равно может восстанавливать фотографии и файлы с такого носителя. Программа будет работать даже с отформатированными флешками и дисками.

Кроме уже упомянутой работы с жёсткими дисками и картами памяти, PhotoRec работает с цифровыми камерами и оптическими дисками.

Восстановление удалённых и потерянных фотографий и файлов в Linux

Для установки TestDisk (а вместе с этой программой установится и PhotoRec), в зависимости от вашего дистрибутива выполните команду:

В случае, если эта программа недоступна для вашего дистрибутива Linux в репозиториях, загрузите её отсюда или запустите с Live CD – программа доступна на большом количестве спасательных CD, таких как Gparted LiveCD, Parted Magic, Ubuntu Boot CD, Ubuntu-Rescue-Remix и многих других.

После завершения установки, запустите PhotoRec с привилегиями рута:

Вы увидите текстовый интерфейс программы и список обнаруженных носителей данных:


Стрелочками вверх и вниз выберите диск (носитель данных) с которого вы хотите восстановить данные, затем нажмите Enter.

Появится следующий интерфейс с перечнем разделов выбранного носителя:


  • [Whole disk] – означает весь диск
  • * (звёздочка) – помечает загрузочный диск
  • Search (поиск) – для начала восстановления, нажмите после выбора раздела, содержащего потерянные файлы
  • Options (опции) – для изменения настроек
  • File Opt (опции файлов) - для изменения списка типов файлов, для восстановления в PhotoRec.

Опции PhotoRec


  • Paranoid По умолчанию восстановленные файлы проверяются и неверные файлы отбрасываются.

Включите bruteforce если вы хотите восстановить больше фрагментированных JPEG файлов, помните, эта операция очень интенсивно использует CPU.

  • Включите Keep corrupted files для сохранения даже повреждённых файлов, в надежде, что они будут спасены другими инструментами.
  • Опция Expert mode (экспертный режим) позволяет пользователю принудительно установить размер системного блока и сдвиг. Каждая файловая система имеет свой собственный размер блока (кратный размеру сектора) и сдвиг (0 для NTFS, exFAT, ext2/3/4), эти значения фиксируются при создании/форматировании файловой системы. При работе над целым диском (например, оригинальный раздел потерян) или раздел переформатирован, если PhotoRec обнаружила очень мало файлов, вы можете попробовать минимальное значение, которое PhotoRec даст вам выбрать (это размер сектора) для размера блока (для сдвига будет использоваться 0).
  • Включите Low memory если ваша система имеет недостаточно памяти и вылетает во время восстановления. Это может быть необходимо для больших файловых систем, которые сильно фрагментированы. Используйте эту опцию только если без неё совсем никак.

Выбор файлов для восстановления


В FileOpts включите или отключите определённые типы файлов для восстановления, например:

Стрелочками вверх-вниз выберите типы файлов, настройки которых вы хотите изменить, и стрелочками вправо-влево измените переключатель.

Для отключения всех файловых семей нажмите s, для сохранения сделанных изменений нажмите b.

После завершения настроек нажмите [ Search ] для начала поиска.

Тип файловой системы


После выбора раздела и подтверждения выбора нажатием на Search, PhotoRec требуется знать, как распределены блоки данных. Если у вас файловая система не ext2/ext3/ext4, то выберите (Other).

Искать по разделу или только по нераспределённому месту


PhotoRec может искать файлы на

  • целом разделе (полезно, если файловая система повреждена) или
  • только на нераспределённом месте (доступно для ext2/ext3/ext4, FAT12/FAT16/FAT32 и NTFS). С этой опцией восстанавливаются только удалённые файлы.

Выбор, куда восстановленные файлы должны быть записаны


Выберите папку, куда должны быть сохранены восстановленные файлы. Для выбора каталогов используйте стрелочки вверх-вниз, для перехода на один уровень вверх выберите .. (две точки) и нажмите Enter.

  • В Windows используйте кнопки стрелочек для выбора .., и нажимайте кнопку Enter, повторяйте пока не доберётесь до списка дисков (C:, D:, E:, etc.). При выборе нужной папки нажмите c.
  • В Linux файловая система внешнего диска может быть доступна в поддиректориях /media, /mnt или /run/media. Если необходимо, подмонтируйте ваш диск назначения.
  • В Mac OS X разделы внешний дисков обычно монтируются в /Volumes.

Процесс восстановления


Количество восстановленных файлов обновляется в реальном времени.

  • Во время нулевого прохода, PhotoRec ищет первые 10 файлов для определения размера блока.
  • Во время первого и последующих проходов, восстанавливаются файлы, включая фрагментированные файлы.



Во время восстановления интенсивно используется центральный процессор, из-за чего система может начать «тормозить»,

Восстановление завершено


Когда завершается восстановление, отображается сводка. Обратите внимание, что если вы прервали восстановление, при следующем запуске PhotoRec спросит вас о возобновлении восстановления.

  • Миниатюры, найденные внутри картинок, сохраняются как t*.jpg.
  • Если вы выбрали сохранять повреждённые/фрагментированные файлы, их имена будут начинаться с буквы b (от английского broken – сломанный).
  • Подсказка: При поиске определённого файла, отсортируйте восстановленные файлы по расширению и/или дате/времени. Когда доступны в заголовке, PhotoRec использует информацию о времени (метаданные) для установки времени модификации.
  • Для Linux: В официальной документации (на английском) вы сможете найти идеи, как обрабатывать восстановленные файлы и примеры скриптов, автоматизирующие этот процесс.
  • Для Windows: Во время восстановления отключения защиты реального времени вашего антивируса ускорит процесс, но рекомендуется сканировать восстановленные файлы на вирусы перед их открытием – PhotoRec может восстановить из удалённых инфицированные документы или трояны.

Восстановленные файлы будут иметь в качестве владельца пользователя root, с правами открытия любому пользователю. Вы сможете просматривать файлы. Но для их удаления или запуска потребуются права суперпользователя.

Восстановление удалённых и потерянных фотографий и файлов в Windows

Скачайте TestDisk версию для Windows с официального сайта (PhotoRec также присутствует в этом архиве).

Разархивируйте скаченный файл. Устанавливать программу не нужно – она является портативной.

Перейдите в каталог с распакованной программой, там увидите два файла: photorec_win.exe и qphotorec_win.exe.

photorec_win.exe – это консольная утилита, работа с которой абсолютно идентична работе в Linux. Информацию об использовании консольной версии вы найдёте в этой же статье чуть выше. Вы можете запустить файл двойным кликом, но надписи в открывшемся окне выглядят довольно мелко. Я рекомендую открыть командную строку Windows, для этого нажмите Win + x, и в открывшемся списке выберите «Команданя строка (администратор)».

В командной строке введите команду вида:

Например, у меня PhotoRec расположена в папке C:\Users\Alex\Downloads\testdisk-7.1-WIP\, тогда я ввожу команду:

Как можно убедиться, открывается точно такое же текстовое меню, как и в Linux:


Графический интерфейс PhotoRec

Если вы хотите работать с графическим интерфейсом, то двойным кликом запустите файл qphotorec_win.exe. Откроется окно программы:


Вверху в выпадающем списке можно выбрать диск, с которого нужно восстановить файлы.


При выборе диска, чуть пониже отображаются доступные на этом диске разделы:


Выберите тип файловой системы:



Выберите форматы файлов, которые вы хотите искать:


Когда всё готово, нажмите кнопку «Поиск» (эта кнопка станет активной после выбора места сохранения файлов):


Заключение

PhotoRec – достаточно интуитивно понятное, не сложная в использовании, но очень эффективная и мощная программа по восстановлению удалённых или потерянных файлов.

Она может восстанавливать файлы даже с отформатированных катр памяти и дисков или с файловых систем, которые не понимает ваша операционная система (например, в Windows вы можете восстанавливать файлы с ext4).

Это пошаговый пример того, как с помощью PhotoRec можно восстановить удаленные или потерянные данные. Перевод этой документации на остальные языки приветствуется.

Contents

Запуск PhotoRec

Если PhotoRec еще не был установлен, вы можете его скачать отсюда: TestDisk Download. Извлеките все содержимое архива.

Чтобы восстановить данные с жесткого диска, USB-флешки, Смарт-карты, CD- или DVD-диска или иных носителей, Вам нужно иметь к ним полный доступ.

  • Для DOS: запустите photorec.exe
  • Для Windows: запустите PhotoRec (testdisk-6.9/win/photorec_win.exe) от имени пользователя из группы Администраторы. Под Vista, нажмите на файл photorec.exe правой клавишей мыши и выберите "Запустить от администратора".
  • Для Unix/Linux/BSD: Вам необходимы права пользователя root для запуска PhotoRec ( sudo testdisk-6.9/linux/photorec_static )
  • Для MacOSX, запустите PhotoRec (testdisk-6.9/darwin/photorec). Если PhotoRec был запущен без прав пользователя root, программа сама перезапустится используя sudo после подтверждения.
  • Для OS/2: извините, PhotoRec не может работать с устройствами, только с их образами

Чтобы восстановить данные с образа устройства:

  • photorec image.dd чтобы снять 'сырой' образ диска
  • photorec image.E01 чтобы восстановить данные из Encase EWF-образа
  • photorec 'image.E??' если Encase-образ разбит на части.
  • photorec '/cygdrive/d/evidence/image.E??' Если части Encase-образа находятся в каталоге d:\evidence

Чтобы восстановить данные с любого другого устройства запустите photorec device , т.е.

  • photorec /dev/mapper/truecrypt0 чтобы восстановить данные с разделла созданного программой TrueCrypt. Тот же принцип работает для файловых систем зашифрованных программами cryptsetup, dm-crypt, LUKS и др.
  • photorec /dev/md0 чтобы восстановить данные с программного RAID-массива Linux

Существует также параметр /log предназначенный для создания файла photorec.log и записи в него путей всех файлов восстановленных PhotoRec.

Выбор диска

В списке находятся все доступные устройства. Используйте клавиши-стрелки вверх/вниз для выбора устройства, с которого будут восстанавливаться файлы. Нажмите Enter чтобы продолжить.

Выбор типа таблицы разделов

Выберите тип таблицы разделов, как правило PhotoRec сам корректно обределяет тип таблицы разделов.

Выбор раздела для восстановления

  • Search после выбора раздела на котором находятся файлы для восстановления чтобы начать сам процесс восстановления,
  • Options чтобы изменить параметры,
  • File Opt чтобы изменить типы файлов восстанавливаемых PhotoRec.

Параметры PhotoRec

Включите опцию bruteforce если вы хотите восстановить фрагментированные JPEG-файлы, но учтите что это сильно нагрузит процессор.

  • Allow partial last cylinder определяет какая предпологается геометрия диска, но при этом могут быть использованы только диски без разделов.
  • expert mode -опция разрешает пользователю менять параметры файловой системы вручную.
  • Keep corrupted files позволяет сохранять поврежденные файлы. Может пригодится для восстановления файлов другими программами
  • Включите опцию Low memory если у Вас мало оперативной памяти и программа зависает или завершается с ошибкой. Это может быть необходимо для больших и сильно фрагментированных файловых систем. Не используйте эту опцию без явной надобности.

Выбор файлов для восстановления

Выберите типы файлов для восстановления, например:

Полный список форматов файлов, поддерживаемых PhotoRec содержит более 100 типов файлов и более 180 расширений файлов.

Тип файловой системы

Как только был выбран раздел, PhotoRec нужно знать как именно размещены блоки данных. Если у Вас не ext2/ext3, выберите Other .

Проверить раздел или только неразмеченную область

PhotoRec может искать файлы:

  • на всем разделе (удобно, если раздел сильно поврежден) или
  • только на неразмеченной области (Доступно для ext2/ext3, FAT12/FAT6/FAT32 и NTFS). Если опция включена - будут восстановлены только удаленные файлы.

Выбор места для сохранения восстановленных файлов

Выберите каталог, в который будут сохранены восстановленные файлы.

Процесс восстановления

Количество восстановленных файлов меняется в реальном времени.

  • На нулевом проходе, PhotoRec ищет первые 10 файлов чтобы определить размер блоков данных.
  • На первом и последующих проходах восстанавливаются файлы.

Восстановленные файлы сохраняются в подкаталоги recup_dir.1, recup_dir.2. в выбранном каталоге. Файлы в этих каталогах доступны, даже если восстановление еще не завершено.

Восстановление завершено

Вся информация о найденных файлах будет отображена сразу, как только завершится восстановление. Учтите, если вы прервали восстановление, при следующем запуске PhotoRec спросит, хотите ли вы продолжить процесс.

Продолжим изучать форензику и знакомиться с нужными инструментами. Тема сегодняшней статьи — восстановление удаленных файлов в Linux. Я покажу, как установить утилиту PhotoRec и с ее помощью восстановить удаленные данные Linux (Ubuntu, Fedora, Arch, и т.д).

Восстановление удаленных файлов Linux с PhotoRec

PhotoRec (сокращение от Photo Recovery) создан для восстановления медиафайлов, удаленных с жестких дисков, ssd, SD-карт, и других съемных носителей. Кроме медиафайлов инструмент может восстановить и другие типы удаленных файлов.

Приступим и начнем с установки PhotoRec в Linux.

Установка PhotoRec в Linux

Чтобы установить PhotoRec, выполните команду:

После завершения установки можно запустить утилиту Photorec:

Восстановление удаленных файлов с помощью PhotoRec

Для демонстрации я удалил файл изображения.

Восстановление удаленных файлов Linux с PhotoRec, изображение №1

Теперь попробуем его восстановить. Запустим PhotoRec в терминале.

Восстановление удаленных файлов Linux с PhotoRec, изображение №2

После запуска PhotoRec, выберите носитель, файлы которого необходимо восстановить и нажмите Enter.

На следующем этапе нужно выбрать раздел.

Восстановление удаленных файлов Linux с PhotoRec, изображение №3

Теперь необходимо выбрать тип файла в меню параметров файла. В моем случае это файлы JPG. Все остальное типы в данном случае не интересуют, и если не убрать галочки, операция восстановления данных займет больше времени.

Восстановление удаленных файлов Linux с PhotoRec, изображение №4

Далее следует выбрать файловую систему, которая в моем случае — ext4.

Восстановление удаленных файлов Linux с PhotoRec, изображение №5

Теперь выберите тип сканирования: Free или Whole.

  • Free — восстанавливает только файл из свободного / нераспределенного пространства файловой системы, то есть восстанавливает только удаленные файлы.
  • Whole — восстанавливает все файлы. Этот режим стоит использовать при повреждении файловой системы.

Восстановление удаленных файлов Linux с PhotoRec, изображение №6

Вы могли заметить, когда я запускал команду, я находился в каталоге

/ Desktop. Это то место, куда будут по умолчанию сохранены файлы если не указать другой каталог.

Восстановление удаленных файлов Linux с PhotoRec, изображение №7

Как только завершите выбор папки, нажмите букву C , и программа начнет поиск и восстановление удаленных файлов.

Восстановление может занять некоторое время в зависимости от количества выбранных типов файлов и информации на носителе.

Восстановление удаленных файлов Linux с PhotoRec, изображение №8

Восстановленные файлы будут сохранены в папки recup_dir.

Восстановление удаленных файлов Linux с PhotoRec, изображение №9

Заключение

На этом все. Теперь вы знаете, как восстановить удаленные файлы Linux с помощью PhotoRec. На мой взгляд это один из самых эффективных инструментов для восстановления файлов.

Читайте также: