PhotoRec Schritt für Schritt
PhotoRec ausführen
Wenn PhotoRec noch nicht installiert ist, kann es hier heruntergeladen werden. Extrahiere die Dateien vom Archiv, einschließlich der Unterverzeichnisse.
Um Dateien von einer Festplatte, USB-Stick oder Smartcard, CD-ROM, DVD ... wiederherzustellen, werden entsprechende Rechte um auf die Datenträger zuzugreifen vorrausgesetzt.
Unter DOS, führe PhotoRec.exe aus
Unter Windows, starte PhotoRec (ie testdisk-6.9/win/photorec_win.exe) von einem Konto in der Administrator-Gruppe. Unter Vista, führe Rechtsklick und "als Administrator ausführen" aus, um PhotoRec zu starten.
Unter Unix/Linux/BSD, muß PhotoRec als root ausgeführt werden (ie. sudo testdisk-6.9/linux/photorec_static)
Unter MacOSX, starte PhotoRec (ie testdisk-6.9/darwin/photorec). Wenn du nicht root bist, PhotRec wird sich selber mit sudo neu starten, wenn du es von deiner Seite aus bestätigst.
Under OS/2, PhotoRec kann nicht mit physikalische Festplatten umgehen, leider nur mit Disk-Images, sorry.
Um Daten von einem Datenträger wiederherzustellen, führe folgendes aus:
photorec image.ddum ein RAW-Laufwerks-Image zu schneidenphotorec image.E01um Dateien von einen Encase EWF-Image wiederherzustellen.photorec 'image.E??'wenn das Encase-Image in mehrere Dateien aufgesplittet ist.
Um Daten von anderen Laufwerken, führe photorec device aus, das bedeutet
photorec /dev/mapper/truecrypt0um Dateien von einer TrueCrypt-Partition wiederherzustellen. Die selbe Methode funktioniert auch mit einem Dateisystem, das mit cryptsetup/dm-crypt/LUKS verschlüsselt wurde.photorec /dev/md0um Daten die auf einem Software-Linux-Raid-Laufwerk liegen, wiederherzustellen.
Forensische Benutzer können den Parameter /log benutzen, um eine Log-Datei mit dem Namen photorec.log zu erstellen; es nimmt den Speicherort, der von PhotoRec wiederhergestellten Dateien auf.
Laufwerks-Auswahl
|
Verfügbare Laufwerke werden gelistet. Benutze die nach Oben/Unten-Pfeiltaste um das Laufwerk, das die verlorenen Dateien enthält, auzuwählen.
Drücke Eingabe um fortzusetzen.
Auswahl des Partitionstabellen-Typs
|
Wähle den Partitionstabellen-Typ aus, normal ist der Standardwert korrekt, da PhotoRec den Partitionstabellentyp automatisch entdeckt.
Auswahl der Quellpartition
|
- Nache der Auswahl der Partition mit den verlorenen Dateien, wähle
Search(Suche) aus - Wähle
Optionsum mögliche Optionen zu modifizieren - Wähle
File Optaus, um die Liste der von PhotoRec wiederherstellbaren Dateien zu modifizieren.
PhotoRec Optionen
|
ParanoidAls Standard, wiederhergestellte Dateien werden überprüft und ungültige Dateien werden abgelehnt.
Schalte bruteforce ein, wenn du mehr fragmentierte JPEG-Dateien wiederherstellen möchtest, beachte aber, es ist eine sehr CPU (Prozessor)-intensive Operation.
Allow partial last cylindermodifiziert wie die Laufwerksgeometrie festgelegt ist, nur nicht partitionierte Datenträger sollten betroffen sein.- Die
expert mode(Experten-Modus)-Option erlaubt dem Benutzer die Dateisystem-Blockgröße und das Offset zu erzwingen. - Einschalten von
Keep corrupted files(Behalte korrupte Deien) um Dateien zu behalten, auch wenn sie ungültig sind und in der Hoffnung, daß Daten immer noch von einer ungültigen Datei mit Hilfe von anderen Hilfsprogrammen gerettet werden können. - Schalte
Low memory(wenig Speicher) ein, wenn dein System nicht genug Speicher hat und während der Wiederherstellung abstürzt. Es könnte für große Dateisysteme, die schwer fragmentiert sind, erforderlich sein. Benutze diese Option nur, wenn es absolut notwendig ist.
Auswahl von Dateien für eine Wiederherstellung
|
Aktiviere oder deaktiviere die Wiederherstellung von bestimmten Dateitypen z.B.
[X] tif Tag Image File Format and some raw file formats (pef/nef/dcr/sr2/cr2) ... [X] zip zip archive including OpenOffice and MSOffice 2007
Die gesamte Liste der von PhotoRec wiederherstellbaren Dateiformate beinhalten mehr als 100 Dateifamilien, vertretend für mehr als 180 Dateierweiterungen.
Dateisystem-Typ
|
Wenn die Partition einmal ausgewählt ist, muß PhotoRec wissen wie die Datenblöcke zugeordnet sind.
Es sei denn es ist ein ext2/ext3 Dateisystem, ansonsten wähle Other (Andere).
Schneide die ganze Partition oder nur den nicht zugeordneten Speicherplatz
|
PhotoRec kann Dateien suchen
- von einer ganzen Partition (nützlich wenn die Partition sehr korrupt ist) oder nur
- von dem nicht zugeordneten Speicherplatz (Verfügbar für ext2/ext3, FAT12/FAT6/FAT32 und NTFS). Mit dieser Option werden nur gelöschte
Dateien wiederhergestellt.
Wähle aus, wohin die wiederherzustellenden Dateien geschrieben werden sollen
|
Wähle ein Verzeichnis aus, in dem die Dateien wiederhergestellt werden sollen.
- Wähle
..mehrere male aus, um die Laufwerksliste zu erhalten. - Das Dateisystem einer externen Festplatte könnte in einem
/mediaoder/mnt-Unterverzeichnis verfügbar sein. - Partitionen von externen Festplatten sind normal in
/Volumeseingebunden (mounted).
Wiederherstellung im Verlauf
|
Die Anzahl der wiederhergestellten Dateien wird in Echtzeit aktualisiert.
- Während Durchlauf 0, PhotoRec sucht die ersten 10 Dateien um die Blockgröße festzulegen.
- Während Durchlauf 1 und später, Dateien werden wiederhergestellt, einschließlich einiger fragmentierten Dateien.
Wiederhergestellte Dateien sind geschrieben in recup_dir.1, recup_dir.2... Unterverzeichnisse. Es ist sofort möglich, auf die wiederhergestellten Dateien zuzugreifen, auch wenn die Wiederherstellung nicht abgeschlossen ist.
Wiederherstellung ist abgeschlossen
|
Wenn die Wiederherstellung vollständig ist, wird eine Zusammenfassung angezeigt. Beachte, wenn du die Wiederherstellung unterbrichst und PhotoRec neu startest, wirst du gefragt, ob du die Wiederherstellung wieder aufzunehmen möchtest.
Der aktive Schutz von Antivirenprogramme sollte während der Wiederherstellung abgeschaltet sein, um den Prozess zu beschleunigen.
Dennoch sollten die wiederhergestellten Dateien vor dem Öffnen mit einem Antivirenprogramm gescannt werden, da PhotoRec auch infizierte Dateien oder einen Trojaner wiederhergestellt haben könnte.