PhotoRec es un software de utilidad gratuito y de código abierto para la recuperación de datos con una interfaz de usuario basada en texto que utiliza técnicas de tallado de datos , diseñado para recuperar archivos perdidos de varias memorias de cámaras digitales, discos duros y CD-ROM . Puede recuperar archivos con más de 480 extensiones de archivo (alrededor de 300 familias de archivos). [1] También es posible agregar una firma de archivo personalizada para detectar archivos menos conocidos. [2]
Desarrollador (es) | Christophe Grenier |
---|---|
Versión inicial | 30 de abril de 2002 |
Lanzamiento estable | 7.1 / 7 de julio de 2019 |
Repositorio | git |
Escrito en | C ( nCurses ) |
Sistema operativo | Multiplataforma |
Plataforma | CLI |
Tipo | Recuperación de datos |
Licencia | GNU GPL v2 + ( software gratuito ) |
Sitio web | www |
PhotoRec no intenta escribir en el medio dañado del que el usuario está a punto de recuperarse. En cambio, los archivos recuperados se escriben en el directorio desde el que se ejecuta PhotoRec, se puede elegir cualquier otro directorio. Se puede utilizar para la recuperación de datos o en un contexto forense digital . [3] [4] [5] [6] [7] PhotoRec se envía con TestDisk . [8]
PhotoRec es compatible con: [9]
Funcionalidad
FAT , NTFS , ext2 / ext3 / ext4 sistemas de archivos almacenan archivos en bloques de datos (también llamados grupos de datos en Windows). El tamaño del clúster o bloque permanece en un número constante de sectores después de ser inicializado durante el formateo del sistema de archivos. En general, la mayoría de los sistemas operativos intentan almacenar los datos de forma contigua para minimizar la fragmentación de los datos . El tiempo de búsqueda de las unidades mecánicas es importante para escribir y leer datos en un disco duro, por eso es importante mantener la fragmentación a un nivel mínimo.
Cuando se elimina un archivo, la metainformación sobre este archivo (nombre de archivo, fecha / hora, tamaño, ubicación del primer bloque / grupo de datos, etc.) se pierde; por ejemplo, en un sistema de archivos ext3 / ext4, los nombres de los archivos eliminados todavía están presentes, pero se elimina la ubicación del primer bloque de datos. Esto significa que los datos todavía están presentes en el sistema de archivos, pero solo hasta que algunos o todos se sobrescriban con nuevos datos de archivos.
Para recuperar estos archivos "perdidos", PhotoRec primero intenta encontrar el tamaño del bloque de datos (o grupo). Si el sistema de archivos no está dañado, este valor se puede leer desde el superbloque (ext2 / ext3 / ext4) o el registro de inicio de volumen (FAT, NTFS). De lo contrario, PhotoRec lee los medios, sector por sector, buscando los primeros diez archivos, a partir de los cuales calcula el tamaño del bloque / clúster a partir de sus ubicaciones. Una vez que se conoce este tamaño de bloque, PhotoRec lee los medios bloque por bloque (o grupo por grupo). Cada bloque se compara con una base de datos de firmas; que viene con el programa y ha ido creciendo en el tipo de archivos que puede recuperar desde que salió la primera versión de PhotoRec. Es un método común de recuperación de datos llamado tallado de archivos .
Por ejemplo, PhotoRec identifica un archivo JPEG cuando un bloque comienza con:
- Inicio de imagen + APP0: 0xff, 0xd8, 0xff, 0xe0
- Inicio de imagen + APP1: 0xff, 0xd8, 0xff, 0xe1
- o Inicio de imagen + Comentario: 0xff, 0xd8, 0xff, 0xfe
Si PhotoRec ya ha comenzado a recuperar un archivo, detiene su recuperación, verifica la consistencia del archivo cuando es posible y comienza a guardar el nuevo archivo (que determinó a partir de la firma que encontró).
Si los datos no están fragmentados, el archivo recuperado debe ser idéntico (o posiblemente mayor que) el tamaño del archivo original. En algunos casos, PhotoRec puede aprender el tamaño del archivo original a partir del encabezado del archivo, por lo que el archivo recuperado se trunca al tamaño correcto. Sin embargo, si el archivo recuperado termina siendo más pequeño de lo que especifica su encabezado, se descarta. Algunos archivos, como los tipos * .MP3, son flujos de datos. En este caso, PhotoRec analiza los datos recuperados y luego detiene la recuperación cuando finaliza la transmisión.
Cuando un archivo se recupera con éxito, PhotoRec verifica los bloques de datos anteriores para ver si se encontró una firma de archivo, pero el archivo no se pudo recuperar correctamente (es decir, el archivo era demasiado pequeño) y lo intenta nuevamente. De esta manera, algunos archivos fragmentados se pueden recuperar con éxito. [10]
Distribución
PhotoRec y TestDisk se envían juntos. Se pueden descargar del sitio web de CGSecurity . Estas utilidades se pueden encontrar en varios Live CD de Linux :
- CD en vivo de GParted [11]
- Magia Partida [12]
- Slax-LFI, una distribución derivada de Slax [13]
- SystemRescueCD [14]
- Ubuntu Rescue Remix, una derivación de Ubuntu [15]
También están empaquetados para numerosas distribuciones * nix (principalmente basadas en Linux ):
- ALT Linux [16]
- Repositorio adicional de Arch Linux [17]
- Contribución de Debian [18]
- Extras de Fedora [19]
- Red Hat Epel [20]
- Puerto FreeBSD [21]
- Puerto OpenBSD [22]
- Gentoo [23] y Gentoo Portage [24]
- Contribución de Mandriva
- Fuente Mage GNU / Linux [25]
- Ubuntu [26]
Ver también
- Recuperación de fotos
- Lista de paquetes de software gratuitos y de código abierto
- Recuperación de archivo
Referencias
- ^ [1] .
- ^ https://www.cgsecurity.org/wiki/Add_your_own_extension_to_PhotoRec
- ^ Jack Wiles, Kevin Cardwell, Anthony Reyes (2007). El mejor período del maldito libro de ciberdelito y forense digital , p. 220. Syngress Publishing Inc. ISBN 978-1-59749-228-7 .
- ^ Cameron H. Malin, Eoghan Casey, James M. Aquilina (2008). Análisis forense de malware: investigación y análisis de códigos maliciosos , pág. xxviii. Syngress Publishing Inc. ISBN 978-1-59749-268-3 .
- ^ Nathan Clarke (2010), Informática forense: una guía de bolsillo , p. 67. Publicaciones sobre gobernanza de TI. ISBN 978-1-84928-039-6 .
- ^ Resultados de la prueba NIST para la herramienta de tallado de archivos gráficos: PhotoRec v7.0-WIP [ enlace muerto permanente ] .
- ^ Resultados de la prueba NIST para la herramienta de talla de archivos de video: PhotoRec v7.0-WIP Archivado el 22 de abril de 2015 en archive.today .
- ^ Scott Mueller, Brian Knittel (2008). Actualización y reparación de Microsoft Windows, segunda edición , página 685. Pearson Education Inc. ISBN 978-0-7897-3695-6 .
- ^ "PhotoRec - CGSecurity" . Consultado el 1 de marzo de 2013 .
- ^ Cómo funciona PhotoRec (Descripción del sitio web del autor).
- ^ "GParted - Live CD / USB / PXE / HD" . Consultado el 1 de marzo de 2013 .
- ^ "programas - Parted Magic" . Archivado desde el original el 2 de enero de 2011 . Consultado el 1 de marzo de 2013 .
- ^ "Recuperar archivo con PhotoRec" . Archivado desde el original el 2 de mayo de 2013 . Consultado el 1 de marzo de 2013 .
- ^ "Herramientas del sistema - SystemRescueCd" . Consultado el 1 de marzo de 2013 .
- ^ "Software Ubuntu Rescue Remix" . Archivado desde el original el 23 de enero de 2013 . Consultado el 1 de marzo de 2013 .
- ^ "TestDisk en ALT Linux" . Archivado desde el original el 11 de agosto de 2011 . Consultado el 25 de mayo de 2011 .
- ^ Repositorio adicional de ArchLinux
- ^ TestDisk en Debian
- ^ TestDisk en Fedora Archivado el 10 de marzo de 2011 en la Wayback Machine.
- ^ "RepoView:" Fedora EPEL 6 - x86_64 " " . Archivado desde el original el 13 de septiembre de 2015 . Consultado el 27 de julio de 2013 .
- ^ TestDisk en puertos FreeBSD
- ^ TestDisk en puertos OpenBSD
- ^ TestDisk en Gentoo
- ^ TestDisk en Gentoo Portage. Archivado el 7 de junio de 2011 en la Wayback Machine.
- ^ TestDisk en Source Mage Archivado el 19 de mayo de 2011 en la Wayback Machine.
- ^ [2]
enlaces externos
- Página web oficial