PhotoRec Paso A Paso

From CGSecurity
Jump to navigation Jump to search

En.png English De.png Deutsch Es.png Español Fr.png Français It.png Italiano Pt.png Português Ro.png Română Ru.png Русский


Esta guía de Ejemplo de Recuperación lo guiará a través de PhotoRec en un paso a paso para recuperar archivos perdidos ó datos perdidos de una partición reformateada ó un sistema de archivos dañado. Para una partición perdida/borrada ó archivos eliminados de un sistema de archivos FAT/NTFS, intente primero con TestDisk, generalmente es más rápido.

Ejecutar el ejecutable de PhotoRec

Si PhotoRec no está todavía instalado, puede ser descargado de TestDisk Descargar. Extraer los archivos del archivo comprimido incluyendo los subdirectorios.

Para recuperar archivos de un disco rígido, llave USB, Smart Card, cdrom, dvd..., se necesitan permisos suficientes para acceder al dispositivo físico.

  • Dos.png en Dos, ejecutar photorec.exe
  • Win.png en Windows, inicie PhotoRec (ej. testdisk-6.9/win/photorec_win.exe) desde una cuenta que pertenezca al grupo de administradores. En Vista, usar right-click "ejecutar como administrador" para iniciar PhotoRec.
  • Linux.png en Unix/Linux/BSD, se necesita ser root para ejecutar PhotoRec (ej. sudo testdisk-6.9/linux/photorec_static)
  • Macosx.png en MacOSX, iniciar PhotoRec (ej. testdisk-6.9/darwin/photorec). Si no se es root, PhotoRec se reiniciará usando sudo, luego de una confirmación de parte del usuario, sudo pedirá la clave de root.
  • Os2.png en OS/2, PhotoRec no maneja discos físicos, solamente archivos de imagen, disculpas.

Para recuperar archivos de una imagen, ejecutar:

  • photorec image.dd para socavar una imagen cruda.
  • photorec image.E01 para recuperar archivos de una imagen Encase EWF.
  • photorec 'image.???' si la imagen Encase está dividia en varios archivos.
  • photorec '/cygdrive/d/evidence/image.???' si la imagen Encase está dividida por varios archivos en el directorio d:\evidence

Linux.png Macosx.png La mayoría de los dispositivos deberían autodetectarse incluyendo el Linux Software Raid (ej. /dev/md0 y sistemas de archivos encriptados con cryptsetup, dm-crypt, LUKS ó TrueCrypt (ej. /dev/mapper/truecrypt0). Para recuperar archivos de otros dispositivos, ejecutar photorec device.

Los usuarios forenses pueden usar el parámetro /log para crear un archivo de log que se llame photorec.log; puede registrar la ubicación de los archivos recuperados por PhotoRec.

Selección de Discos

PhotoRec startup.png

Los dispositivos disponibles son listados. Usar las flechas de arriba/abajo para seleccionar el disco que contiene los archivos perdidos. Presionar Enter para continuar.

Macosx.png Si está disponible, usar el dispositivo RAW /dev/rdisk* en vez de /dev/disk* para una transferencia de datos más rápida.

Selección del tipo de tabla de particionamiento

PhotoRec part type.png

Seleccionar el tipo de tabla de particionamiento, generalmente el valor por defecto es el correcto ya que PhotoRec auto-detecta el tipo de tabla de partición.

Selección de partición Origen

PhotoRec src.png

Seleccionar

  • Search luego de elegir la partición que contiene los archivos perdidos para comenzar con la recuperación,
  • Options para modificar las opciones,
  • File Opt para modificar la lista de archivos recuperados por PhotoRec.

Opciones de PhotoRec

PhotoRec options.png
  • Paranoid Por defecto, los archivos recuperados son verificados y los inválidos, rechazados.

Habilitar bruteforce si se quieren recuperar más archivos JPEG fragmentados, teniendo en cuenta que esta opción tiene un alto impacto en el rendimiento del CPU.

  • Allow partial last cylinder modifica como es determinada la geometría del disco, solamente discos no particionados deberían verse afectados.
  • La opción expert mode permite al usuario forzar el tamaño de bloques y el desplazamiento (offset).
  • Habilitar Keep corrupted files para conservar los archivos, incluso cuando son inválidos para permitir el uso de otras herramientas sobre estos datos.
  • Habilitar Low memory si su sistema no tiene suficiente memoria y se cuelga mientras se realiza el proceso de recuperación. Puede ser requerido para sistemas de archivos grandes y muy fragmentados. No use esta opción a no ser que sea absolutamente necesario.

Selección de archivos a recuperar

PhotoRec files.png

Habilitar o deshabilitar la recuperación de ciertos tipos de archivos, ej. 

[X] tif  Tag Image File Format and some raw file formats (pef/nef/dcr/sr2/cr2)
...
[X] zip  zip archive including OpenOffice and MSOffice 2007

La lista completa de formatos de archivos recuperables con PhotoRec contiene más de 100 familias de archivos representando más de 180 extensiones de archivos.

Tipo de Filesystem

PhotoRec filesystem.png

Una vez que la partición ha sido seleccionada y validada con Search, PhotoRec necesita saber como los bloques de datos son distribuídos. Al menos que se use ext2/ext3, seleccionar Other.

Surcar la partición ó el espacio no atribuído solamente

PhotoRec free.png

PhotoRec puede buscar archivos de

  • toda la partición (útil si la partición esta severamente dañada) ó
  • solamente del espacio no atribuído (unallocated) (Disponible para ext2/ext3, FAT12/FAT6/FAT32 y NTFS). Con esta opción solamente los archivos eliminados son recuperados.

Seleccionar donde se deben escribir los archivos recuperados

PhotoRec dst.png

Seleccione el directorio donde los archivos recuperados deberían ser escritos.

  • Dos.png Win.png Os2.png Seleccione .. varias veces para llegar la la lista de unidades (C:, D:, E:...)
  • Linux.png Un Filesystem de un disco externo puede estar disponible en un sub-directorio /media ó /mnt.
  • Macosx.png Las particiones de un disco externo son generalmente montadas en /Volumes.

Recuperación en progreso

PhotoRec running.png

La cantidad de archivos recuperados es actualizada en tiempo real.

  • Durante la primera pasada, PhotoRec busca los primeros 10 archivos para determinar el tamaño de los bloques.
  • Durante la siguiente pasada, los archivos son recuperados incluyendo algunos archivos fragmentados.

Los archivos recuperados son escritos en los sub directorios recup_dir.1, recup_dir.2... . Es posible acceder los archivos incluso si la recuperación no terminó.

La recuperación está completa

PhotoRec end.png

Cuando la recuperación termina, un sumario es mostrado en pantalla. Notar que si se interrumpe la recuperación, la próxima vez que PhotoRec sea iniciado, se preguntará si se desea resumir la recuperación anterior.

  • After Using PhotoRec: Algunas ideas para ordenar los archivos recuperados o arreglar los dañados.
  • Win.png Puede que haya deshabilitado su protección en tiempo real del antivirus mientras se llevaba a cabo la recuperación para acelerar el proceso, pero es recomendable escanear los archivos recuperados antes de abrirlos, PhotoRec puede haber recuperado un archivo infectado.
Retrieved from "https://www.cgsecurity.org/mw/index.php?title=PhotoRec_Paso_A_Paso&oldid=8370"