PhotoRec
  | |
 | |
| Tipus | programari lliure |
|---|---|
| Versió estable | 7.2 (22 febrer 2024)
|
| Llicència | GNU General Public License |
| Part de | TestDisk |
| Característiques tècniques | |
| Escrit en | C |
| Equip | |
| Creador/s | Christophe Grenier |
| Programador | Christophe Grenier |
| Més informació | |
| Lloc web | cgsecurity.org… (anglès) |
|
| |
PhotoRec és un programari d'utilitat gratuït i de codi obert per a la recuperació de dades amb una interfície d'usuari basada en text que utilitza tècniques de tall de dades, dissenyat per recuperar fitxers perduts de diverses memòries de càmeres digitals, disc dur i CD-ROM. Pot recuperar els fitxers amb més de 480 extensions de fitxers (unes 300 famílies de fitxers).[1] També és possible afegir una signatura de fitxer personalitzada per detectar fitxers menys coneguts.[2]
PhotoRec no intenta escriure al suport danyat del qual l'usuari està a punt de recuperar-se. Els fitxers recuperats s'escriuen al directori des del qual s'executa PhotoRec, es pot triar qualsevol altre directori. Es pot utilitzar per a la recuperació de dades o en un context forense digital.[3][4][5][6][7] PhotoRec s'empaqueta amb el paquet de programari TestDisk.[8]
PhotoRec és compatible amb:[9]
- DOS (en viu o emulat a Windows 9x)
- Microsoft Windows: NT4, 2000, XP, 2003, 2008, 2016, Vista, Windows 7, Windows 8, Windows 8.1, Windows 10
- Linux
- FreeBSD, NetBSD, OpenBSD
- SunOS
- macOS
- ARM
Funcionalitat
[modifica]Els sistemes de fitxers FAT, NTFS, ext2 / ext3 / ext4 sistemes d'arxius s'emmagatzemen arxius en blocs de dades (també anomenats grups de dades en Windows). La mida del clúster o del bloc es manté en un nombre constant de sectors després de ser inicialitzat durant el format del sistema de fitxers. En general, la majoria dels sistemes operatius intenten emmagatzemar les dades de manera contigua per tal de minimitzar la fragmentació de les dades. El temps de recerca de les unitats mecàniques és important per escriure i llegir dades a/des d'un disc dur, per això és important mantenir la fragmentació al mínim.
Quan s'elimina un fitxer, es perd la metainformació sobre aquest fitxer (nom del fitxer, data/hora, mida, ubicació del primer bloc/clúster de dades, etc.); per exemple, en un sistema de fitxers ext3/ext4, els noms dels fitxers suprimits encara estan presents, però s'elimina la ubicació del primer bloc de dades. Això vol dir que les dades encara estan presents al sistema de fitxers, això no obstant, només fins que algunes o totes se sobreescriuen amb dades de fitxer noves.
Per recuperar aquests fitxers "perduts", PhotoRec primer intenta trobar la mida del bloc de dades (o clúster). Si el sistema de fitxers no està malmès, aquest valor es pot llegir des del superbloc (ext2/ext3/ext4) o del registre d'arrencada de volum (FAT, NTFS). En cas contrari, PhotoRec llegeix els mitjans, sector per sector, cercant els deu primers fitxers, a partir dels quals calcula la mida del bloc/clúster a partir de les seves ubicacions. Un cop coneguda aquesta mida de bloc, PhotoRec llegeix els mitjans bloc per bloc (o clúster per clúster). Cada bloc es compara amb una base de dades de signatures; que ve amb el programa i ha anat creixent en el tipus de fitxers que pot recuperar des que va sortir la primera versió de PhotoRec. És un mètode comú de recuperació de dades anomenat tall de fitxers.
Per exemple, PhotoRec identifica un fitxer JPEG quan un bloc comença amb:
- Inici de la imatge + APP0: 0xff, 0xd8, 0xff, 0xe0
- Inici de la imatge + APP1: 0xff, 0xd8, 0xff, 0xe1
- o Inici de la imatge + comentari: 0xff, 0xd8, 0xff, 0xfe
Si PhotoRec ja ha començat a recuperar un fitxer, atura la seva recuperació, comprova la coherència del fitxer quan és possible i comença a desar el nou fitxer (que va determinar a partir de la signatura que va trobar).
Si les dades no estan fragmentades, el fitxer recuperat hauria de ser idèntic (o possiblement més gran que) el fitxer original en mida. En alguns casos, PhotoRec pot conèixer la mida del fitxer original des de la capçalera del fitxer, de manera que el fitxer recuperat es trunca a la mida correcta. Tanmateix, si el fitxer recuperat acaba sent més petit del que especifica la seva capçalera, es descarta. Alguns fitxers, com ara *. Els tipus MP3 són fluxos de dades. En aquest cas, PhotoRec analitza les dades recuperades i després atura la recuperació quan s'acaba el flux.
Quan un fitxer es recupera correctament, PhotoRec comprova els blocs de dades anteriors per veure si s'ha trobat una signatura de fitxer, però no s'ha pogut recuperar correctament (és a dir, el fitxer era massa petit) i ho torna a provar. D'aquesta manera, alguns fitxers fragmentats es poden recuperar amb èxit.[10]
Distribució
[modifica]PhotoRec i TestDisk s'envien junts, i es poden descarregar des del lloc web de CGSecurity.[11] Aquestes utilitats es poden trobar a diversos Live CD de Linux:
- GParted Live CD [12]
- Parted Magic[13]
- Slax-LFI, a Slax-derived distribution [14]
- SystemRescueCD[15]
- Ubuntu Rescue Remix, an Ubuntu derivation [16]
They are also packaged for numerous *nix (mostly Linux based) distributions:
- ALT Linux[17]
- Arch Linux Extra Repository[18]
- Debian contrib[19]
- Fedora Extras[20]
- Red Hat Epel[21]
- FreeBSD port[22]
- OpenBSD port[23]
- Gentoo[24] and Gentoo Portage[25]
- Mandriva contrib
- Source Mage Linux[26]
- Ubuntu
Vegeu també
[modifica]Referències
[modifica]- ↑ «File Formats Recovered By PhotoRec». CGSecurity. [Consulta: 1r gener 2022].
- ↑ «Add your own extension to PhotoRec», 18-05-2016.
- ↑ Jack Wiles, Kevin Cardwell, Anthony Reyes (2007). The best damn cybercrime and digital forensics book period, p. 220. Syngress Publishing Inc. ISBN 978-1-59749-228-7
- ↑ Cameron H. Malin, Eoghan Casey, James M. Aquilina (2008). Malware Forensics: Investigating and Analyzing Malicious Code, p. xxviii. Syngress Publishing Inc. ISBN 978-1-59749-268-3
- ↑ Nathan Clarke (2010), Computer Forensics: A Pocket Guide, p. 67. IT Governance Publishing. ISBN 978-1-84928-039-6
- ↑ NIST Test Results for Graphic File Carving Tool: PhotoRec v7.0-WIP[Enllaç no actiu]
- ↑ NIST Test Results for Video File Carving Tool: PhotoRec v7.0-WIP Arxivat 2015-04-22 at Archive.is
- ↑ Scott Mueller, Brian Knittel (2008). Upgrading and Repairing Microsoft Windows, Second Edition, page 685. Pearson Education Inc. ISBN 978-0-7897-3695-6
- ↑ «PhotoRec - CGSecurity». [Consulta: 1r març 2013].
- ↑ How PhotoRec works (Description from the author website).
- ↑ «TestDisk Download». CGSecurity. [Consulta: 1r gener 2021].
- ↑ «GParted -- Live CD/USB/PXE/HD». [Consulta: 1r març 2013].
- ↑ «programs – Parted Magic». Arxivat de l'original el 2 gener 2011. [Consulta: 1r març 2013].
- ↑ «Recover file with PhotoRec». Arxivat de l'original el 2 maig 2013. [Consulta: 1r març 2013].
- ↑ «System-tools - SystemRescueCd». [Consulta: 1r març 2013].
- ↑ «Software Ubuntu Rescue Remix». Arxivat de l'original el 2013-01-23. [Consulta: 1r març 2013].
- ↑ «TestDisk on ALT Linux». Arxivat de l'original el 2011-08-11.
- ↑ ArchLinux Extra Repository
- ↑ TestDisk on Debian
- ↑ TestDisk in Fedora Arxivat 2011-03-10 a Wayback Machine.
- ↑ «RepoView: "Fedora EPEL 6 - x86_64"». Arxivat de l'original el 2015-09-13. [Consulta: 27 juliol 2013].
- ↑ TestDisk in FreeBSD ports
- ↑ TestDisk in OpenBSD ports
- ↑ TestDisk in Gentoo
- ↑ TestDisk in Gentoo Portage Arxivat 2011-06-07 a Wayback Machine.
- ↑ TestDisk in Source Mage Arxivat 2011-05-19 a Wayback Machine.