Guías y solución de problemas de PhotoRec

Proceso de recuperación paso a paso, permisos de acceso, imágenes de disco y cuándo usar TestDisk primero.

1. Antes de empezar: evitar la sobrescritura

  • Deja de usar el dispositivo de inmediato en cuanto detectes archivos borrados o perdidos. Cualquier escritura nueva (guardar archivos, instalar software, navegar) puede sobrescribir datos.
  • No instales PhotoRec (ni otras herramientas de recuperación) en el mismo disco del que recuperas. Instala o descomprime en otro disco o partición.
  • Elige otro disco como destino de los archivos recuperados. Nunca guardes la salida de recup_dir en la misma partición o dispositivo que estás escaneando.

2. Ejecutar PhotoRec con los permisos necesarios

Para recuperar desde un disco físico, USB, tarjeta de memoria o CD/DVD PhotoRec necesita permisos de acceso al dispositivo.

  • Windows: Ejecuta con una cuenta del grupo «Administradores». En Vista y posteriores: clic derecho en photorec_win.exeEjecutar como administrador.
  • Linux / BSD: Ejecutar como root (por ejemplo sudo ./photorec_static).
  • macOS: Si no eres root, PhotoRec puede pedir reiniciar con sudo; introduce la contraseña de usuario cuando se solicite.

Los permisos son necesarios porque el acceso directo a discos físicos está restringido por el SO. Sin ellos PhotoRec no puede leer sectores para el carving.

3. Proceso de recuperación paso a paso

Selección de disco

PhotoRec muestra los soportes disponibles. Flechas — elegir el disco con los archivos perdidos, Enter. En Linux usar dispositivo raw (por ejemplo /dev/rdisk*) puede ser más rápido que /dev/disk*.

Selección de partición / zona origen

Elige la partición donde estaban los archivos o el disco completo si se perdieron las particiones. En File Opt puedes cambiar los tipos de archivo a recuperar, en Options — opciones (Paranoid, Keep corrupted files, Expert mode). Luego Search para iniciar.

Opciones

Paranoid (por defecto) comprueba los archivos recuperados y descarta los no válidos. bruteforce — para JPEG más fragmentados (carga en CPU). Low memory ayuda cuando falta RAM. Keep corrupted files guarda archivos que no pasan la comprobación. Expert mode permite fijar tamaño de bloque y desplazamiento (con sistema de archivos perdido o reformateado).

Familias y formatos de archivo

En File Opt activa o desactiva los tipos necesarios (JPEG, TIFF/RAW, ZIP, Office, etc.). La lista completa son cientos de formatos; ver Formatos recuperados por PhotoRec.

Tipo de sistema de archivos y zona de escaneo

Si el origen no es ext2/ext3/ext4 elige Other. Luego — búsqueda solo en espacio no asignado (solo borrados, para FAT/NTFS/ext2–4) o en toda la partición (con sistema de archivos dañado o cuando necesitas todos los datos tallados).

Carpeta de destino

Elige un directorio en otro disco (segundo disco interno, USB o ubicación de red). En macOS los volúmenes externos suelen estar en /Volumes; en Linux — /media, /mnt o /run/media. En Windows con las flechas llega a .. hasta la lista de unidades (C:, D:, etc.), elige el destino y confirma Y.

Progreso y resultados

Los archivos recuperados se escriben en recup_dir.1, recup_dir.2, etc. Puedes verlos mientras trabaja. Al terminar se muestra un resumen. Si se interrumpe PhotoRec puede continuar en la siguiente ejecución.

PhotoRec: selección de disco y partición
Selección de disco y partición antes de iniciar la búsqueda.
PhotoRec: destino y progreso
Selección de carpeta de destino y seguimiento del progreso de recuperación.

4. Recuperación desde imágenes de disco

Puedes ejecutar PhotoRec sobre una imagen de disco raw (por ejemplo image.dd) o imagen EnCase E01/EWF en lugar del disco físico. Así es más seguro para forense y repetibilidad: trabajar con la copia, no con el original.

Ejemplos:

  • photorec image.dd — imagen raw
  • photorec image.E01 — imagen EnCase EWF
  • Para E01 divididas: photorec 'image.???' (ruta según el caso)

5. Volúmenes cifrados y RAID

Muchos dispositivos se detectan automáticamente, incluido Linux software RAID (por ejemplo /dev/md0) y sistemas de archivos cifrados con cryptsetup, dm-crypt, LUKS o TrueCrypt (por ejemplo /dev/mapper/truecrypt0). PhotoRec debe ver el dispositivo descifrado o ensamblado — primero desbloquea o ensambla el volumen con las herramientas del SO, luego ejecuta PhotoRec sobre ese dispositivo. Usa solo en sistemas y datos a los que tengas derecho de acceso.

6. Cuándo PhotoRec no es la mejor primera opción

Con particiones perdidas o borradas o con undelelete en FAT o NTFS con el sistema de archivos intacto, TestDisk suele ser más rápido y puede recuperar los nombres de archivo originales. En esos casos prueba primero TestDisk; PhotoRec — cuando el sistema de archivos está dañado, reformateado o necesitas búsqueda por firmas.

El sitio se centra en PhotoRec; ambas herramientas van en el mismo paquete y documentación de CGSecurity.

7. Alertas de antivirus

Las herramientas de recuperación con acceso de bajo nivel a discos pueden provocar alertas heurísticas del antivirus. PhotoRec es una herramienta legítima open-source, no malware. Para reducir falsos positivos y garantizar seguridad:

  • Descarga desde el sitio oficial de CGSecurity y verifica los checksums.
  • Escanea el archivo descargado antes de descomprimir. Con el hash coincidente con la lista oficial una alerta heurística suele ser falsa; puedes reportar al fabricante del AV.

CGSecurity recomienda escanear en busca de malware los archivos recuperados tras la recuperación — PhotoRec puede recuperar archivos infectados borrados anteriormente.