PhotoRec
|
Este artículo Necesita referencias adicionales para verificación. (Abril de 2011) |
Captura de pantalla
Demostración de PhotoRec corriendo en GNU/Linux
|
|
Desarrollador (s) | Christophe Grenier |
---|---|
Versión estable | 6.14 / 30 de julio de 2013 |
Estado de desarrollo | Activo |
Escrito en | C |
Sistema operativo | Multiplataforma |
Plataforma | CLI |
Tipo | Recuperación de datos |
Licencia | GPL (software libre) |
Sitio web | www.cgsecurity.org/ wiki/PhotoRec |
PhotoRec es un libre y de código abierto carver archivo recuperación de datos herramienta de software diseñado para recuperar archivos perdidos de la cámara digital memoria (CompactFlash, Palillo de la memoria, Secure Digital, SmartMedia, Microdrive, MMC, Unidades flash USBetc..), discos duros y CD-ROM. Recupera formatos de foto más comunes, incluyendo JPEG y también recupera archivos de audio incluyendo MP3, tales como los formatos de documento OpenDocument, Microsoft Office, PDF y HTML, y formatos de archivo incluyendo ZIP. [1]
PhotoRec no intenta escribir a los medios dañados que al usuario está a punto de recuperarse. Los archivos recuperados en su lugar se escriben en el directorio desde el que se ejecuta PhotoRec, puede elegirse cualquier otro directorio. Puede ser utilizado para recuperación de datos o en un Análisis forense digital contexto.[2][3][4] PhotoRec es enviado con TestDisk.[5]
PhotoRec es compatible con:[6]
- DOS (ya sea real o en un Windows 9 x caja DOS)
- Microsoft Windows: NT4, 2000, XP, 2003, 2008, Vista, Windows 7
- GNU/Linux
- FreeBSD, NetBSD, OpenBSD
- SunOS
- Mac OS X
Contenido
- 1 Cómo funciona PhotoRec
- 2 Popularidad
- 3 Véase también
- 4 Referencias
- 5 Enlaces externos
Cómo funciona PhotoRec
GRASA, NTFS, ext2/ext3/ext4 los sistemas de ficheros almacenan archivos en bloques de datos (también llamados clusters de datos bajo Windows). El tamaño del clúster o bloque sigue siendo un número constante de sectores tras ser inicializado durante el formato del sistema de archivos. En general, los sistemas operativos más tratar de almacenar los datos en forma contigua con el fin de minimizar la fragmentación de los datos. El tiempo de búsqueda de unidades mecánicas es significativo para escribir y leer datos desde un disco duro, tan despreocupados / por qué es importante mantener la fragmentación a un nivel mínimo.
Cuando se elimina un archivo, la metainformación sobre este archivo (filename, fecha/hora, el tamaño, la ubicación del primer bloque de datos/racimo, etc.) se ha perdido; por ejemplo, en un sistema de archivos ext3/ext4, los nombres de los archivos eliminados todavía están presentes, pero se quita la ubicación del primer bloque de datos. Esto significa que los datos son todavía presentes en el sistema de archivos, pero sólo hasta algunos o todo se sobrescribe con nuevos datos de archivo.
Para recuperar estos archivos ' perdidos', PhotoRec primero intenta encontrar el tamaño de bloque (o grupo) de datos. Si no está dañado el sistema de archivos, este valor se puede leer desde el superbloque (ext2/ext3/ext4) o registro de arranque de volumen (FAT, NTFS). De lo contrario, PhotoRec Lee los medios de comunicación, sector por sector, buscando los archivos primero diez, de la cual calcula el tamaño de bloque/racimo de sus ubicaciones. Una vez conocido el tamaño de este bloque, PhotoRec Lee los medios cuadra por cuadra (o racimo por racimo). Cada bloque es comparada con una base de datos de firma; que viene con el programa y ha ido creciendo en el tipo de archivos que puede recuperar desde que salió la primera versión de PhotoRec′s. Es un método de recuperación de datos común llamado Talla de archivo.
Por ejemplo, PhotoRec identifica un JPEG archivo cuando un bloque comienza con:
- Inicio de imagen + APP0: 0xff, 0xd8, 0xff, 0xe0
- Inicio de imagen + APP1: 0xff, 0xd8, 0xff, 0xe1
- o comienzo de imagen + Comentario: 0xff, 0xd8, 0xff, 0xfe
Si PhotoRec ya ha comenzado a recuperar un archivo, se detiene su recuperación, comprueba la consistencia del archivo cuando sea posible y empieza a guardar el nuevo archivo (que determina a partir de la firma encontró).
Si los datos no está fragmentados, el archivo recuperado debe ser idéntica; o posiblemente más grande que el archivo original, en tamaño. En algunos casos, PhotoRec puede aprender el tamaño original de la cabecera del archivo, así se trunca el archivo recuperado al tamaño correcto. Si, sin embargo, el archivo recuperado termina siendo más pequeño que su encabezado especifica, se descarta. Algunos archivos, tales como *.Tipos de mp3, son secuencias de datos. En este caso, PhotoRec analiza los datos recuperados, luego detiene la recuperación cuando termina la secuencia.
Cuando un archivo se recupera satisfactoriamente, PhotoRec comprueba los bloques de datos anteriores para ver si una firma de archivo fue encontrada pero el archivo no pudo ser recuperado con éxito (es decir, el archivo era demasiado pequeño), y trata de nuevo. De esta manera, algunos archivos fragmentados pueden ser recuperados con éxito.[7]
Popularidad
PhotoRec y TestDisk se han descargado más de 150.000 veces en julio de 2008 el sitio web principal.[citación necesitada] De hecho, estas utilidades son aún más populares a medida que se encuentran en diferentes GNU/Linux Live CDs:[¿investigación original?]
- La recuperación es posible [8]
- GParted Live CD [9]
- Parted Magic [10]
- Slax-LFI, un Slax-distribución de derivados [11]
- SystemRescueCD [12]
- Trinity Rescue Kit [13]
- Ubuntu Rescue Remix, un Ubuntu derivación [14]
Ellos también están empaquetados para numerosos GNU/Linux basado en las distribuciones:
- ALT Linux[15]
- ArchLinux Repositorio extra[16]
- Debian contrib[17]
- Fedora Extras[18]
- Red Hat Epel[19]
- FreeBSD puertos[20]
- Gentoo[21] y Gentoo Portage[22]
- Mandriva contrib
- Distribución de Linux PLD
- Source Mage GNU/Linux[23]
- Ubuntu[24]
Véase también
- Recuperación de foto
Referencias
- ^ Formatos de archivo recuperados por PhotoRec
- ^ Jack Wiles, Kevin Cardwell, Anthony Reyes (2007). El mejor maldito ciberdelito y período de libro forense digital, p. 220. Syngress Publishing Inc. ISBN 978-1-59749-228-7.
- ^ Cameron H. Malin, Eoghan Casey, James M. Aquilina (2008). Forense malware: Investigación y análisis de código malicioso, p. xxviii. Syngress Publishing Inc. ISBN 978-1-59749-268-3.
- ^ Nathan Clarke (2010), Informática forense: Una guía de bolsillo, p. 67. TODO gobierno Publishing. ISBN 978-1-84928-039-6.
- ^ Scott Mueller, Brian Knittel (2008). Actualizar y reparar Windows de Microsoft, segunda edición, página 685. Pearson Education Inc. ISBN 978-0-7897-3695-6.
- ^ "PhotoRec - CGSecurity". 03/01/2013. Valores de fecha de llegada:
|accessdate =
(Ayuda) - ^ Cómo funciona PhotoRec (Descripción de la web del autor)
- ^ "La recuperación es posible Changelog". 03/01/2013. Valores de fecha de llegada:
|accessdate =
(Ayuda) - ^ "GParted - Live CD/USB/PXE/HD". 03/01/2013. Valores de fecha de llegada:
|accessdate =
(Ayuda) - ^ "los programas – Parted Magic". 03/01/2013. Valores de fecha de llegada:
|accessdate =
(Ayuda) - ^ "Recupera archivos con PhotoRec". 03/01/2013. Valores de fecha de llegada:
|accessdate =
(Ayuda) - ^ "System-tools - SystemRescueCd". 03/01/2013. Valores de fecha de llegada:
|accessdate =
(Ayuda) - ^ «6. lista de todos los comandos». 03/01/2013. Valores de fecha de llegada:
|accessdate =
(Ayuda) - ^ "Software Ubuntu Rescue Remix". 03/01/2013. Valores de fecha de llegada:
|accessdate =
(Ayuda) - ^ TestDisk en ALT Linux
- ^ Repositorio de ArchLinux Extra
- ^ TestDisk en Debian
- ^ TestDisk en Fedora
- ^ "RepoView:"Fedora EPEL 6 - x86_64"". 27 de julio de 2013.
- ^ TestDisk en ports de FreeBSD
- ^ TestDisk en Gentoo
- ^ TestDisk en Gentoo Portage
- ^ TestDisk en Source Mage
- ^ TestDisk en Ubuntu
Enlaces externos
- Sitio oficial
- Adrian Crenshaw, Datos de talla con PhotoRec para recuperar archivos borrados de discos formateados para recuperación ante desastres y forenses. Este video presenta el concepto de talla/archivo de datos de talla para recuperar archivos borrados, incluso después de que una unidad ha sido formateada.
- Seth Fogie- InformIT, Robar tus vacaciones en familia: Recuerdos de una tarjeta de medios
- Kaspersky Lab, Recuperar los archivos cifrados por Virus.Win32.Gpcode.ak usando PhotoRec Después de cifrar archivos, el virus elimina los archivos originales pero PhotoRec puede recuperarlos.