Как установить photorec на линукс

Как использовать PhotoRec для восстановления удаленных файлов в Linux/Ubuntu

Случайно удалили файлы или фотографии? В этом уроке мы узнаем, как восстановить удаленные файлы в Linux с помощью PhotoRec. В предыдущем уроке мы обсудили шаги по восстановлению удаленных файлов с помощью утилиты Linux под названием TestDisk, а утилита PhotoRec создана той же компанией. Давайте узнаем, как использовать PhotoRec для восстановления удаленных файлов.

Что такое Фоторек?

TestDisk был создан CGSecurity для восстановления удаленных разделов. PhotoRec, с другой стороны, был создан для восстановления медиафайлов, удаленных с SD-карт и других съемных носителей. Вот почему название «PhotoRec» является сокращением от «Photo Recovery». Это не значит, что PhotoRec нельзя использовать для других типов файлов, вы, конечно, можете.

Как восстановить удаленные файлы в Linux с помощью PhotoRec?

Прежде чем мы начнем, нам нужно установить PhotoRec в нашей системе Linux. Он поставляется в комплекте с утилитой testdisk, а не как отдельный пакет.

1. Установка PhotoRec в Linux

Чтобы установить PhotoRec, выполните следующую команду:

sudo apt -y install testdisk 

После завершения установки вы можете загрузить и запустить утилиту Photorec, используя следующую команду:

2. Запустите PhotoRec и начните сканирование удаленных файлов

Для этой демонстрации я создал файл случайного изображения и удалил его. Давайте продолжим и восстановим этот файл.

Давайте запустим PhotoRec в нашем терминале. Чтобы упростить задачу, перейдите в каталог, в котором вы хотите запустить восстановление, до запуска команды.

Когда вы запустите PhotoRec, выберите жесткий диск, на котором вы хотите запустить операцию восстановления, и нажмите клавишу ввода.

На следующем экране вам будет предложено выбрать раздел, на котором вы хотите запустить процесс восстановления.

Прежде чем продолжить, убедитесь, что вы выбрали тип файла в меню параметров файла, к которому вы можете получить доступ на экране выбора раздела.

Как мы знаем, мы ищем только наш файл JPG, я выбрал это расширение. Все остальное не нужно и только займет больше времени. Выберите тип файла, который вы ищете, и продолжайте.

Далее нужно выбрать тип раздела, в нашем случае это ext4.

Теперь выберите, хотите ли вы, чтобы утилита просматривала только свободные сектора или весь диск.

Вы могли заметить, что когда я запускал команду, я находился в каталоге ~/Desktop.

Именно здесь команда начнет поиск по умолчанию, если вы не перейдете к определенной папке на следующем экране.

После того, как вы определились с папкой, в которую хотите начать поиск, нажмите букву C, и программа начнет поиск файлов.

3. Восстановление восстановленных файлов

Большой! Итак, мы готовы позволить PhotoRec восстановить для нас удаленные файлы. Это может занять некоторое время в зависимости от того, сколько типов файлов вы выбрали.

Папка с именем recup_dir начнет восстанавливать все восстановленные файлы. Вы можете получить доступ к файлам даже во время восстановления.

Отлично, теперь у нас есть список всех файлов, которые мы удалили ранее. Вы можете найти нужный файл здесь, так как имена файлов не восстанавливаются PhotoRec.

Почему восстановление данных работает?

Замечали, как сохранение файла на жестком диске требует времени, а удаление происходит почти мгновенно? Давайте сначала разберемся с этим.

Когда вы сохраняете данные на жестком диске, данные хранятся в блоках. Каждый блок содержит часть данных. Первый блок обычно содержит метаданные для рассматриваемого файла. Каждый блок данных записывается по одному со скоростью жесткого диска.

Но когда мы удаляем файл, удаляется только первый блок, содержащий метаданные. Операционная система больше не может обнаружить файл, потому что его метаданные потеряны, и, следовательно, считает блоки свободными для записи новых данных.

Здесь на помощь приходят инструменты восстановления. Поскольку теряются только метаданные, работа инструментов состоит в том, чтобы сделать метаданные доступными для чтения операционной системой.

Они читают сектора жесткого диска один за другим, блок за блоком и находят коррелированные блоки. Как только все коррелированные блоки найдены, утилиты восстановления переделывают метаданные.

И вот как вы можете восстановить удаленный файл.

Как работает фоторек

Как и другие утилиты для восстановления файлов, PhotoRec сканирует сектора данных на жестком диске, чтобы определить размер данных. Как только размер данных определен, а жесткий диск и данные не повреждены (не дефрагментированы и не перезаписаны), PhotoRec начинает процесс восстановления данных, ища соседние блоки данных и воссоздавая для них метаданные.

Поскольку утилита не может искать конкретный файл, она вернет все найденные файлы и сохранит их в папке. Затем вы можете отсортировать файлы и восстановить нужный.

В конце процесса все файлы, которые все еще лежали на вашем жестком диске, будут доступны для восстановления.

Заключение

Я надеюсь, что вы смогли использовать PhotoRec для восстановления удаленных файлов в вашей системе Linux. Есть много других утилит, которые вы также можете попробовать, если PhotoRec у вас не работает.

Вот список из 20 лучших инструментов для восстановления данных для Linux. Я уверен, что вы найдете тот, который лучше всего соответствует вашим потребностям!

Источник

Инструменты Kali Linux

Список инструментов для тестирования на проникновение и их описание

PhotoRec

Описание PhotoRec

PhotoRec – это программное обеспечение для восстановления файлов данных, предназначенное для восстановления потерянных файлов, включая видео, документы и архивы с жёсткого диска, CD-ROM и потерянных картинок (восстановление фотографий) с карт памяти цифровых камер. PhotoRec игнорирует файловую систему и работает с лежащими в основе данными, поэтому она будет работать даже если файловая система медиа носителя сильно повреждена или переформатированна.

PhotoRec — это бесплатное, с открытым исходным кодом, мультиплатформенное приложение. PhotoRec является программой-компаньоном для TestDisk, приложения для восстановления потерянных разделов на самых разнообразных файловых системах и делающее не загружаемые диски снова загрузочными.

Для большей безопасности, PhotoRec использует доступ только с правами чтения, чтобы не допустить потерю данных с диска или карты памяти, с которых вы восстанавливаете потерянные данные.

Важно: как только картинка или файл случайно удалены, или вы обнаружили недостающие, НЕ сохраняйте ещё картинки или файлы на эту карту памяти или жёсткий диск; в противном случае, вы можете перезаписать потерянные данные. Это означает, что во время использования PhotoRec вы не должны выбирать запись восстановленных файлов на тот же раздел, где они были сохранены.

PhotoRec работает в операционных системах:

• DOS/Windows 9x
• Windows NT 4/2000/XP/2003/Vista/2008/7/10
• Linux
• FreeBSD, NetBSD, OpenBSD
• Sun Solaris
• Mac OS X

и может быть скомпилирована практически на любой Unix системе.

Файловые системы

PhotoRec игнорирует файловые системы; таким образом она работает даже если файловая система сильно повреждена.

Программа может восстанавливать потерянные файлы как минимум с:

ReiserFS включает некоторые специальные оптимизации, сосредоточенные вокруг хвостов, имени для файлов и окончательной части файлов, которые меньше, чем блок файловой системы. Для увеличения производительности, ReiserFS способна сохранять файлы внутри самих узлов листа b*tree, не сохраняя данные где-то ещё на диске, а просто указывая на них. К сожалению, PhotoRec не в состоянии справится с этим — поэтому программа работает не очень хорошо с ReiserFS.

Носители информации

PhotoRec работает с жёсткими дисками, CD-ROM, картами памяти (CompactFlash, Memory Stick, Secure Digital/SD, SmartMedia, Microdrive, MMC и др.), запоминающими устройствами USB, сырыми образами DD, образами EnCase E01 и т.д.

PhotoRec успешно протестирована с различными портативными медиа плеерами, включая iPod и следующими цифровыми камерами:

• Canon EOS 60D, 300D, 10D
• Casio Exilim EX-Z 750
• Fujifilm X-T10
• HP PhotoSmart 620, 850, 935
• Nikon CoolPix 775, 950, 5700
• Olympus C350N, C860L, Mju 400 Digital, Stylus 300
• Sony Alpha DSLR, DSC-P9, NEX-6
• Pentax K20D
• Praktica DCZ-3.4

Известные файловые форматы

PhotoRec ищет по известным файловым заголовкам. Если отсутствует фрагментация данных, которая часто бывает, она способна восстановить файл целиком. PhotoRec распознаёт и восстанавливает ряд файловых форматов, включая ZIP, Office, PDF, HTML, JPEG и различные графические файловые форматы. Полный список форматов, восстанавливаемых PhotoRec содержит более чем 480 расширений файлов (около 300 файловых семей).

Справка по PhotoRec

photorec [/log] [/debug] [/d recup_dir] [file.dd|file.e01|device] photorec /version

/log : создаёт файл журнала photorec.log /debug : добавляет отладочную информацию

Руководство по PhotoRec

Страница man присутствует, но ничего не добавляет к справке.

Для возврата в предыдущее меню используйте клавишу q.

Примеры запуска PhotoRec

Запустите PhotoRec с привилегиями рута:

Для восстановления файлов с образа носителя запустите по одному из следующих вариантов.

Для выскабливания данных с сырого образа диска:

Для восстановления файлов с образа Encase EWF:

Если образ Encase разбит на несколько файлов:

Если образ Encase разбит на несколько файлов в директории d:\evidence:

sudo photorec '/cygdrive/d/evidence/image. '

Большинство устройств должны быть обнаружены автоматически, включая программный Linux RAID (это /dev/md0) и зашифрованные cryptsetup, dm-crypt, LUKS, TrueCrypt или VeraCrypt файловые системы (например, /dev/mapper/truecrypt0). Для восстановления данных с других устройств, запустите:

Криминалисты могут использовать параметр /log для создания файла журнала с именем photorec.log; в него записываются расположения файлов, восстановленных PhotoRec.

Также можно указать путь до диска, с которого вы хотите восстанавливать данные:

Установка PhotoRec

Программа поставляется совместно с TestDisk. Для установки PhotoRec достаточно установить TestDisk.

Программа предустановлена в Kali Linux.

Установка в BlackArch

Программа предустановлена в BlackArch.

Установка в Linux Mint, Ubuntu

sudo apt-get install testdisk

Установка в Windows

Загрузить TestDisk и PhotoRec, в том числе для Windows можно на официальном сайте.

В версии для Windows имеется QPhotoRec (файл qphotorec_win.exe) — графический интерфейс PhotoRec.

Файл консольной версии PhotoRec называется photorec_win.exe.

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты PhotoRec

Инструкции по PhotoRec

Источник

Восстановление удаленных файлов Linux с PhotoRec

Продолжим изучать форензику и знакомиться с нужными инструментами. Тема сегодняшней статьи — восстановление удаленных файлов в Linux. Я покажу, как установить утилиту PhotoRec и с ее помощью восстановить удаленные данные Linux (Ubuntu, Fedora, Arch, и т.д).

Восстановление удаленных файлов Linux с PhotoRec

PhotoRec (сокращение от Photo Recovery) создан для восстановления медиафайлов, удаленных с жестких дисков, ssd, SD-карт, и других съемных носителей. Кроме медиафайлов инструмент может восстановить и другие типы удаленных файлов.

Приступим и начнем с установки PhotoRec в Linux.

Установка PhotoRec в Linux

Чтобы установить PhotoRec, выполните команду:

После завершения установки можно запустить утилиту Photorec:

Восстановление удаленных файлов с помощью PhotoRec

Для демонстрации я удалил файл изображения.

Теперь попробуем его восстановить. Запустим PhotoRec в терминале.

После запуска PhotoRec, выберите носитель, файлы которого необходимо восстановить и нажмите Enter.

На следующем этапе нужно выбрать раздел.

Теперь необходимо выбрать тип файла в меню параметров файла. В моем случае это файлы JPG. Все остальное типы в данном случае не интересуют, и если не убрать галочки, операция восстановления данных займет больше времени.

Далее следует выбрать файловую систему, которая в моем случае — ext4.

Теперь выберите тип сканирования: Free или Whole.

• Free — восстанавливает только файл из свободного / нераспределенного пространства файловой системы, то есть восстанавливает только удаленные файлы.
• Whole — восстанавливает все файлы. Этот режим стоит использовать при повреждении файловой системы.

Вы могли заметить, когда я запускал команду, я находился в каталоге ~/ Desktop. Это то место, куда будут по умолчанию сохранены файлы если не указать другой каталог.

Как только завершите выбор папки, нажмите букву C , и программа начнет поиск и восстановление удаленных файлов.

Восстановление может занять некоторое время в зависимости от количества выбранных типов файлов и информации на носителе.

Восстановленные файлы будут сохранены в папки recup_dir.

Заключение

На этом все. Теперь вы знаете, как восстановить удаленные файлы Linux с помощью PhotoRec. На мой взгляд это один из самых эффективных инструментов для восстановления файлов.

Кстати, если будете использовать PhotoRec в Linux, тогда стоит добавить sort-PhotorecRecoveredFiles, который упрощает работу с восстановленными файлами.

Источник