Инструкции и устранение неполадок PhotoRec

Пошаговый процесс восстановления, права доступа, образы дисков и когда сначала использовать TestDisk.

1. Перед началом: не допускайте перезаписи

  • Сразу прекратите использование устройства, как только обнаружили удалённые или пропавшие файлы. Любая новая запись (сохранение файлов, установка ПО, просмотр) может перезаписать данные.
  • Не устанавливайте PhotoRec (и другие утилиты восстановления) на тот же диск, с которого восстанавливаете. Устанавливайте или распаковывайте на другой диск или раздел.
  • Выберите другой диск для назначения восстановленных файлов. Никогда не сохраняйте вывод recup_dir на тот же раздел или устройство, которое сканируете.

2. Запуск PhotoRec с нужными правами

Для восстановления с физического диска, USB-ключа, карты памяти или CD/DVD PhotoRec нужны права доступа к устройству.

  • Windows: Запускайте от учётной записи из группы «Администраторы». В Vista и новее: ПКМ по photorec_win.exeЗапуск от имени администратора.
  • Linux / BSD: Запуск от root (например sudo ./photorec_static).
  • macOS: Если вы не root, PhotoRec может предложить перезапуск с sudo; введите пароль пользователя по запросу.

Права нужны, так как прямой доступ к физическим дискам ограничен ОС. Без них PhotoRec не сможет читать секторы для carving.

3. Пошаговый процесс восстановления

Выбор диска

PhotoRec показывает доступные носители. Стрелки — выбор диска с потерянными файлами, Enter. В Linux использование raw-устройства (например /dev/rdisk*) может быть быстрее, чем /dev/disk*.

Выбор раздела / области источника

Выберите раздел, на котором были файлы, или весь диск, если разделы потеряны. В File Opt можно изменить типы файлов для восстановления, в Options — опции (Paranoid, Keep corrupted files, Expert mode). Затем Search для старта.

Опции

Paranoid (по умолчанию) проверяет восстановленные файлы и отбрасывает невалидные. bruteforce — для сильнее фрагментированных JPEG (нагрузка на CPU). Low memory помогает при нехватке RAM. Keep corrupted files сохраняет файлы, не прошедшие проверку. Expert mode позволяет задать размер блока и смещение (при потерянной или переформатированной ФС).

Семейства и форматы файлов

В File Opt включите или отключите нужные типы (JPEG, TIFF/RAW, ZIP, Office и т.д.). Полный список — сотни форматов; см. Форматы, восстанавливаемые PhotoRec.

Тип ФС и область сканирования

Если источник не ext2/ext3/ext4, выберите Other. Затем — поиск только в неразмещённом пространстве (только удалённые, для FAT/NTFS/ext2–4) или по всему разделу (при повреждённой ФС или когда нужны все вырезанные данные).

Папка назначения

Выберите каталог на другом диске (второй внутренний, USB или сетевое расположение). В macOS внешние тома часто в /Volumes; в Linux — /media, /mnt или /run/media. В Windows стрелками дойдите до .. до списка дисков (C:, D: и т.д.), выберите назначение и подтвердите Y.

Прогресс и результаты

Восстановленные файлы пишутся в recup_dir.1, recup_dir.2 и т.д. Их можно просматривать во время работы. По окончании показывается сводка. При прерывании PhotoRec может продолжить при следующем запуске.

PhotoRec: выбор диска и раздела
Выбор диска и раздела перед началом поиска.
PhotoRec: назначение и прогресс
Выбор папки назначения и отслеживание прогресса восстановления.

4. Восстановление из образов дисков

Можно запускать PhotoRec по сырому образу диска (например image.dd) или образу EnCase E01/EWF вместо физического диска. Так безопаснее для форензики и повторяемости: работа с копией, не с оригиналом.

Примеры:

  • photorec image.dd — сырой образ
  • photorec image.E01 — образ EnCase EWF
  • Для разбитых E01: photorec 'image.???' (путь по ситуации)

5. Зашифрованные тома и RAID

Многие устройства определяются автоматически, в том числе Linux software RAID (например /dev/md0) и ФС, зашифрованные cryptsetup, dm-crypt, LUKS или TrueCrypt (например /dev/mapper/truecrypt0). PhotoRec должен видеть расшифрованное или собранное устройство — сначала разблокируйте или соберите том средствами ОС, затем запустите PhotoRec по этому устройству. Используйте только на системах и данных, к которым у вас есть право доступа.

6. Когда PhotoRec не лучший первый выбор

При потерянных или удалённых разделах или при undelete на FAT или NTFS с целой файловой системой TestDisk часто быстрее и может восстановить исходные имена файлов. В таких случаях сначала попробуйте TestDisk; PhotoRec — когда ФС повреждена, переформатирована или нужен поиск по сигнатурам.

Сайт сфокусирован на PhotoRec; обе утилиты в одном пакете и документации CGSecurity.

7. Предупреждения антивируса

Утилиты восстановления с низкоуровневым доступом к дискам могут вызывать эвристическое срабатывание антивируса. PhotoRec — легитимная утилита с открытым кодом, не вредоносное ПО. Чтобы снизить ложные срабатывания и обеспечить безопасность:

  • Скачивайте с официального сайта CGSecurity и проверяйте контрольные суммы.
  • Проверьте скачанный архив перед распаковкой. При совпадении хеша с официальным списком одно эвристическое предупреждение часто ложное; можно сообщить вендору AV.

После восстановления CGSecurity рекомендует проверять восстановленные файлы на вредоносное ПО — PhotoRec может восстановить ранее удалённые заражённые файлы.