Потеря важных файлов происходит гораздо чаще проблем с разделами диска. В прошлой статье рассказывалось как восстановить утраченные разделы. В этой, будет рассмотрено, как восстановить потерянные файлы. В качестве инструмента будет использована программа PhotoRec идущая в комплекте с программой TestDisk.
Содержание
PhotoRec
PhotoRec - свободная, мультиплатформенная программа, с текстовым интерфейсом, для восстановления утраченных файлов.
Присутствует реализация графического интерфейса на QT.
Программа понимает следующие файловые системы FAT, NTFS, exFAT, ext2/ext3/ext4, HFS+. Но, может восстанавливать данные с дисков, с полностью поврежденной файловой системой, выполняя посекторный анализ диска.
PhotoRec определяет более 480 типов файлов. Подробный список поддерживаемых форматов файлов доступен по адресу https://www.cgsecurity.org/wiki/File_Formats_Recovered_By_PhotoRec.
PhotoRec определяет более 480 типов файлов. Подробный список поддерживаемых форматов файлов доступен по адресу https://www.cgsecurity.org/wiki/File_Formats_Recovered_By_PhotoRec.
Данная программа идет в комплекте вместе с программой TestDisk. И поэтому скачивая TestDisk вы получаете в комплекте и PhotoRec. Ссылка на скачивание https://www.cgsecurity.org/wiki/TestDisk_Download.
Все манипуляции будут производиться на диске объемом 4ГБ (флешка). Диск будет полностью затерт нулями (dd if=/dev/zero of=/dev/xxx, где xxx имя диска флешки).
На диске будет создан раздел объемом 100МБ, таблица разделов MBR. Раздел будет отформатирован в файловую систему NTFS.
Малый размер тестового диска и раздела выбраны специально, чтобы снизить затрачиваемое время на затирание диска перед каждым тестовым сценарием. То есть, сначала происходит затирание всего диска. А уже после, только сектора первого раздела.
Всего будет четыре тестовых сценария.
Удаленные файлы. Файлы удаляются вручную, после чего происходит попытка их восстановить.
Удаленная таблица разделов. К этому сценарию можно отнести и удаление одного раздела, но будет рассмотрена попытка восстановить файлы с диска, к которому применена операция полной очистки диска от разделов (diskpart clean).
Форматирование диска. К разделу содержащему тестовые файлы будет применена операция быстрого форматирования, с последующей попыткой восстановить тестовые файлы.
Поврежденная файловая таблица. В этом случае с помощью программ BOOTICE или dd, будут затерты сектора диска содержащие файловую таблицу раздела, на котором будут размещены тестовые файлы.
Перед выполнением всех тестов, будут вычислены контрольные суммы тестовых файлов, для последующего их сравнения с восстановленными файлами.
Тестовые файлы будут идентичны описанным в статье про TestDisk, посмотреть их можно по этой ссылке. А здесь, я приведу лишь таблицу контрольных сумм тестовых файлов.
Если посмотреть свойства созданного раздела, то можно увидеть, что из 100МБ доступно лишь 88МБ пространства раздела. Не стоит удивляться, данное пространство занято файловой таблицей файловой системы NTFS, в данном случае для нужд файловой системы выделено 12МБ.
Скопируем тестовые файлы на подготовленный диск, и перейдем к тестам.
С тестового диска были безвозвратно удалены все файлы (CTRL+A, SHIFT+DEL).
Попробуем их восстановить. Запускаем PhotoRec. Использоваться будет консольная версия программы.
С помощью стрелок клавиатуры выбираем диск на котором будет производиться поиск удаленных файлов и нажимаем клавишу ENTER.
На следующем экране, необходимо задать параметры поиска файлов. Доступны следующие опции:
Раздел на котором будет осуществляться поиск. Тут можно выбрать как конкретный раздел, так и весь диск целиком.
Задать параметры программы.
Выбрать типы файлов которые программа будет искать, а какие игнорировать.
Для выделения, или снятия выделения с указанного типа файла, необходимо нажать клавишу пробела. Убрать все выставленные галочки можно клавишей s.
Оставим все опции по умолчанию, и выберем поиск на указанном разделе.
На следующем этапе необходимо выбрать тип файловой системы, в которой располагались удаленные файлы. В нашем случае это NTFS. Выбираем соответствующий пункт.
Далее необходимо выбрать, в каком пространстве раздела следует выполнять поиск. Доступно два варианта: На незанятой области раздела, или На всем разделе.
В моем случае, я выберу второй вариант (так как раздел и так пуст).
И последний шаг, выбор директории для записи восстановленных файлов. По умолчанию это будет директория в которой располагается сама программа PhotoRec. Сменим путь на другой.
Выбрав необходимую директорию, необходимо нажать клавишу C для подтверждения выбора.
Начнется поиск файлов. При этом программа автоматически будет сохранять найденные файлы в указанную ранее директорию.
Программа нашла 4 файла из 5. Перейдем в папку сохранения найденных файлов, чтобы посмотреть какие файлы были найдены.
Из списка сохраненных файлов, report.xml является файлом отчета программы PhotoRec. Он присутствует всегда, вне зависимости от количества найденных файлов. Важное замечание, при восстановлении исходные имена файлов не будут восстановлены. Нюанс неприятный, но с ним придется смириться.
Что касается тестовых файлов, то в списке отсутствует текстовый файл. Это означает, что программа не смогла восстановить его. Весьма странно, учитывая идеальные условия для восстановления. К примеру, самое простое сканирование в программе Recuva, сразу же обнаружило все утерянные файлы с именами файлов.
Проверим контрольные суммы найденных файлов.
Контрольные найденных файлов совпадают.
Сам факт неполноценного поиска, меня не устраивал. Я решил проверить тестовую флешку программой TestDisk. Она может найти удаленные файлы в файловой таблице.
Запускаем TestDisk.
Выбираем режим No Log.
Выбираем тестовый диск.
Выбираем тип таблицы разделов. В моем случае это Intel (MBR).
Переходим в раздел Advanced. В нем располагаются утилиты для работы с файловой системой.
Выбираем целевой раздел и выводим список удаленных файлов (Undelete).
Программа выведет список удаленных файлов.
То что нужно. Все необходимые файлы присутствуют в списке. Попытаемся их восстановить.
Есть несколько вариантов действий:
Сохранить выделенные файлы, клавиша "C". Выделить файлы можно клавишей "a" (выделить все файлы), или ":" (выделить конкретный файл).
Сохранить текущий файл, клавиша "c".
Сохраним все найденные файлы. Нажимаем клавишу a, для выделения всех файлов. Теперь нажимаем на клавишу C, для сохранения выделенных файлов.
Программа попросит указать папку для сохранения указанных файлов. Выбираем необходимую директорию и нажимаем на клавишу C.
Произойдет сохранение файлов. Проверим содержимое указанной ранее папки.
Файлы успешно сохранены. Проверим контрольные суммы.
Контрольные суммы совпадают.
На тестовом диске выполнено быстрое форматирование раздела с тестовыми файлами.
Попробуем восстановить утраченные файлы.
Так как последующие действия полностью совпадают с проделанными ранее, я не буду описывать подробно каждый шаг. Вместо этого приведу скринкаст, отображающий ход выполнения всей операции.
Пробуем восстановить файлы в PhotoRec.
Программа восстановила лишь 4 файла из 5. Текстовый файл не был восстановлен.
Сверим контрольные суммы.
Контрольные суммы совпадают.
Проверим, как себя поведет в данной ситуации программа Recuva.
Программе удалось найти лишь 3 файлы из 5. Архив и текстовый файлы не были найдены.
Пробовать использовать программу TestDisk в данном случае бессмысленно, так как файловая таблица полностью перезаписана при форматировании, и сведения об удаленных файлах в ней отсутствуют.
На тестовом диске произошло повреждение файловой таблицы.
Повреждение файловой таблицы выполнялось вручную. Файловая таблица расположена в начале раздела. Выполним удаление первых 2048 секторов диска (1МБ данных) целевого раздела. Для этого воспользуемся утилитой dd.
Попробуем восстановить утраченные файлы.
Последующие действия полностью идентичны проделанным ранее, поэтому вместо подробного описания, я приведу скринкаст. Обязательно обратите внимание на использования режима эксперта.
В данном случае было восстановлено лишь 4 файла из 5. Текстовый файл не был восстановлен, хотя на диске он присутствует.
Проверим контрольные суммы найденных файлов.
Контрольные суммы совпадают.
Для сравнения проверим, что в данной ситуации покажет программа Recuva.
Программа не смогла осуществить сканирование, так как ей не удалось определить тип файловой системы. Скорее всего это ограничения бесплатной версии программы.
Дальнейшее восстановление программой TestDisk, как это было продемонстрировано ранее в предыдущих раздела, бессмысленно, так как файловая таблица повреждена (по аналогии с форматированием раздела).
На тестовом диске была удалена таблица разделов.
Попробуем восстановить потерянные файлы.
Как прежде, чтобы не повторяться, вместо подробного описания приведу скринкаст выполненных действий.
Режим эксперта, использован изначально.
Найдено 4 файла из 5. Как и прежде, PhotoRec имеет проблемы с текстовыми файлами.
Проверим контрольные суммы.
Контрольные суммы совпадают.
Запуск сканирования в Recuva, не удался, так как программа не поддерживает сканирование на диске в целом.
Прогон программой TestDisk тоже не дал успехов. Что немного странно для данного тестового сценария.
В статье было рассмотрено: Как восстановить удаленные файлы с помощью программы PhotoRec?
Из недостатков программы, можно отметить лишь некорректную работу с текстовыми файлами. Программа не смогла найти обычный текстовый файл, при условии что в HEX редакторе данный файл виден на диске. Возможно это связано с тем, что в качестве тестового диска использовалась USB-флешка. Что по сути не должно быть проблемой.
Несмотря на это, PhotoRec хорошо справилась со своей задачей. Это заметно при сравнении с программой Recuva. Recuva в данном случае не эталон, есть другие программы которые справились бы на много лучше PhotoRec, но они платны. А те что бесплатны, имеют ограничения на размер сохраняемых данных (в основном).
Из плюсов, можно отметить заявленное нахождение файлов независимо от файловой системы, и быструю скорость работы программы.
Методика Тестирования
Все манипуляции будут производиться на диске объемом 4ГБ (флешка). Диск будет полностью затерт нулями (dd if=/dev/zero of=/dev/xxx, где xxx имя диска флешки).
На диске будет создан раздел объемом 100МБ, таблица разделов MBR. Раздел будет отформатирован в файловую систему NTFS.
Малый размер тестового диска и раздела выбраны специально, чтобы снизить затрачиваемое время на затирание диска перед каждым тестовым сценарием. То есть, сначала происходит затирание всего диска. А уже после, только сектора первого раздела.
Всего будет четыре тестовых сценария.
Удаленные файлы. Файлы удаляются вручную, после чего происходит попытка их восстановить.
Удаленная таблица разделов. К этому сценарию можно отнести и удаление одного раздела, но будет рассмотрена попытка восстановить файлы с диска, к которому применена операция полной очистки диска от разделов (diskpart clean).
Форматирование диска. К разделу содержащему тестовые файлы будет применена операция быстрого форматирования, с последующей попыткой восстановить тестовые файлы.
Поврежденная файловая таблица. В этом случае с помощью программ BOOTICE или dd, будут затерты сектора диска содержащие файловую таблицу раздела, на котором будут размещены тестовые файлы.
Перед выполнением всех тестов, будут вычислены контрольные суммы тестовых файлов, для последующего их сравнения с восстановленными файлами.
Тестовые Файлы
Тестовые файлы будут идентичны описанным в статье про TestDisk, посмотреть их можно по этой ссылке. А здесь, я приведу лишь таблицу контрольных сумм тестовых файлов.
| Algorithm | Hash | Path |
|---|---|---|
| MD5 | 1C9C3339AB5E58E392588A15CD2FC174 | 1.jpg |
| MD5 | 7765EF2937FC8A506EB6457608FE5728 | 2.jpg |
| MD5 | 0E979187086303DC147753216D3B701C | 3.jpg |
| MD5 | A9ABEF02A0318BD021CAB06A272353E7 | Far30b5355.x64.20190123.7z |
| MD5 | A558742EF832D467C5DFEB40C43E6D6A | text.txt |
Восстанавливаем Файлы
Перед началом воспроизведения тестовых сценариев, взглянем на тестовый диск. Он на данный момент пустой.
Если посмотреть свойства созданного раздела, то можно увидеть, что из 100МБ доступно лишь 88МБ пространства раздела. Не стоит удивляться, данное пространство занято файловой таблицей файловой системы NTFS, в данном случае для нужд файловой системы выделено 12МБ.
Скопируем тестовые файлы на подготовленный диск, и перейдем к тестам.
Удаленные Файлы
С тестового диска были безвозвратно удалены все файлы (CTRL+A, SHIFT+DEL).
Попробуем их восстановить. Запускаем PhotoRec. Использоваться будет консольная версия программы.
С помощью стрелок клавиатуры выбираем диск на котором будет производиться поиск удаленных файлов и нажимаем клавишу ENTER.
На следующем экране, необходимо задать параметры поиска файлов. Доступны следующие опции:
Раздел на котором будет осуществляться поиск. Тут можно выбрать как конкретный раздел, так и весь диск целиком.
Задать параметры программы.
Выбрать типы файлов которые программа будет искать, а какие игнорировать.
Для выделения, или снятия выделения с указанного типа файла, необходимо нажать клавишу пробела. Убрать все выставленные галочки можно клавишей s.
Оставим все опции по умолчанию, и выберем поиск на указанном разделе.
На следующем этапе необходимо выбрать тип файловой системы, в которой располагались удаленные файлы. В нашем случае это NTFS. Выбираем соответствующий пункт.
Далее необходимо выбрать, в каком пространстве раздела следует выполнять поиск. Доступно два варианта: На незанятой области раздела, или На всем разделе.
В моем случае, я выберу второй вариант (так как раздел и так пуст).
И последний шаг, выбор директории для записи восстановленных файлов. По умолчанию это будет директория в которой располагается сама программа PhotoRec. Сменим путь на другой.
Выбрав необходимую директорию, необходимо нажать клавишу C для подтверждения выбора.
Начнется поиск файлов. При этом программа автоматически будет сохранять найденные файлы в указанную ранее директорию.
Программа нашла 4 файла из 5. Перейдем в папку сохранения найденных файлов, чтобы посмотреть какие файлы были найдены.
Из списка сохраненных файлов, report.xml является файлом отчета программы PhotoRec. Он присутствует всегда, вне зависимости от количества найденных файлов. Важное замечание, при восстановлении исходные имена файлов не будут восстановлены. Нюанс неприятный, но с ним придется смириться.
Что касается тестовых файлов, то в списке отсутствует текстовый файл. Это означает, что программа не смогла восстановить его. Весьма странно, учитывая идеальные условия для восстановления. К примеру, самое простое сканирование в программе Recuva, сразу же обнаружило все утерянные файлы с именами файлов.
Проверим контрольные суммы найденных файлов.
Контрольные найденных файлов совпадают.
Сам факт неполноценного поиска, меня не устраивал. Я решил проверить тестовую флешку программой TestDisk. Она может найти удаленные файлы в файловой таблице.
Запускаем TestDisk.
Выбираем режим No Log.
Выбираем тестовый диск.
Выбираем тип таблицы разделов. В моем случае это Intel (MBR).
Переходим в раздел Advanced. В нем располагаются утилиты для работы с файловой системой.
Выбираем целевой раздел и выводим список удаленных файлов (Undelete).
Программа выведет список удаленных файлов.
То что нужно. Все необходимые файлы присутствуют в списке. Попытаемся их восстановить.
Есть несколько вариантов действий:
Сохранить выделенные файлы, клавиша "C". Выделить файлы можно клавишей "a" (выделить все файлы), или ":" (выделить конкретный файл).
Сохранить текущий файл, клавиша "c".
Сохраним все найденные файлы. Нажимаем клавишу a, для выделения всех файлов. Теперь нажимаем на клавишу C, для сохранения выделенных файлов.
Программа попросит указать папку для сохранения указанных файлов. Выбираем необходимую директорию и нажимаем на клавишу C.
Произойдет сохранение файлов. Проверим содержимое указанной ранее папки.
Файлы успешно сохранены. Проверим контрольные суммы.
Контрольные суммы совпадают.
Форматирование Диска
На тестовом диске выполнено быстрое форматирование раздела с тестовыми файлами.
Попробуем восстановить утраченные файлы.
Так как последующие действия полностью совпадают с проделанными ранее, я не буду описывать подробно каждый шаг. Вместо этого приведу скринкаст, отображающий ход выполнения всей операции.
Пробуем восстановить файлы в PhotoRec.
Программа восстановила лишь 4 файла из 5. Текстовый файл не был восстановлен.
Сверим контрольные суммы.
Контрольные суммы совпадают.
Проверим, как себя поведет в данной ситуации программа Recuva.
Программе удалось найти лишь 3 файлы из 5. Архив и текстовый файлы не были найдены.
Пробовать использовать программу TestDisk в данном случае бессмысленно, так как файловая таблица полностью перезаписана при форматировании, и сведения об удаленных файлах в ней отсутствуют.
Поврежденная Файловая Таблица
На тестовом диске произошло повреждение файловой таблицы.
Повреждение файловой таблицы выполнялось вручную. Файловая таблица расположена в начале раздела. Выполним удаление первых 2048 секторов диска (1МБ данных) целевого раздела. Для этого воспользуемся утилитой dd.
Попробуем восстановить утраченные файлы.
Последующие действия полностью идентичны проделанным ранее, поэтому вместо подробного описания, я приведу скринкаст. Обязательно обратите внимание на использования режима эксперта.
В данном случае было восстановлено лишь 4 файла из 5. Текстовый файл не был восстановлен, хотя на диске он присутствует.
Проверим контрольные суммы найденных файлов.
Контрольные суммы совпадают.
Для сравнения проверим, что в данной ситуации покажет программа Recuva.
Программа не смогла осуществить сканирование, так как ей не удалось определить тип файловой системы. Скорее всего это ограничения бесплатной версии программы.
Дальнейшее восстановление программой TestDisk, как это было продемонстрировано ранее в предыдущих раздела, бессмысленно, так как файловая таблица повреждена (по аналогии с форматированием раздела).
Удаленная Таблица Разделов
На тестовом диске была удалена таблица разделов.
Попробуем восстановить потерянные файлы.
Как прежде, чтобы не повторяться, вместо подробного описания приведу скринкаст выполненных действий.
Режим эксперта, использован изначально.
Найдено 4 файла из 5. Как и прежде, PhotoRec имеет проблемы с текстовыми файлами.
Проверим контрольные суммы.
Контрольные суммы совпадают.
Запуск сканирования в Recuva, не удался, так как программа не поддерживает сканирование на диске в целом.
Прогон программой TestDisk тоже не дал успехов. Что немного странно для данного тестового сценария.
Итог
В статье было рассмотрено: Как восстановить удаленные файлы с помощью программы PhotoRec?
Из недостатков программы, можно отметить лишь некорректную работу с текстовыми файлами. Программа не смогла найти обычный текстовый файл, при условии что в HEX редакторе данный файл виден на диске. Возможно это связано с тем, что в качестве тестового диска использовалась USB-флешка. Что по сути не должно быть проблемой.
Несмотря на это, PhotoRec хорошо справилась со своей задачей. Это заметно при сравнении с программой Recuva. Recuva в данном случае не эталон, есть другие программы которые справились бы на много лучше PhotoRec, но они платны. А те что бесплатны, имеют ограничения на размер сохраняемых данных (в основном).
Из плюсов, можно отметить заявленное нахождение файлов независимо от файловой системы, и быструю скорость работы программы.
Комментариев нет :
Отправить комментарий