Содержание:
К восстановлению данных приходится прибегать при случайном удалении нужных файлов, при форматировании файловой системы с нужными данными, при «слёте» файловой системы, когда по каким-то причинам диск просто перестаёт определяться операционной системой, либо при повреждении носителя информации, в результате чего некоторые файлы становятся недоступными или исчезают.
В данной статье приведён список программ, которые так или иначе связаны с восстановлением файлов, папок, фотографий, документов и т.п. с носителей информации. Абсолютно все эти программы являются бесплатными, у каждой из них открыт исходный код.
Эти программы я разделил на четыре группы:
Деление несколько условное, поскольку некоторые программы имеются широкую функциональность, и могут быть помещены сразу в несколько групп.
У программ имеются свои особенности: ОС, в которых они работают, используемые методы, типы файлов, которые они способны найти, файловые системы, используемые методы и т.д. Если одна из программ не дала результатов, то имеет смысл попробовать другую.
Все описанные здесь программы работают в Linux, некоторые из них являются кроссплатформенными и работают в других операционных системах, например, Windows. Это будет отмечаться в описании программы.
Обычно при удалении файла не удаляется его содержимое, а удаляется информация об этом файле. Примерно это же происходит и при быстром форматировании носителей. Именно этим и пользуются многие программы по восстановлению файлов – они отыскивают содержимое файла и копируют его, этот процесс и называется «восстановлением файла». Место (область на диске), которое занимал файл, после удаления считается незанятым (не распределённым) и может быть перезаписано при сохранении другого файла. Поэтому крайне важно не сохранять новые данные на носитель. Если вы этого не делаете, то программы и системные процессы могут это делать без вашего участия. Операционные системы непрерывно обращаются к файловой системе. Например, ОС Windows несколько раз каждую секунду на протяжении всей работы компьютера обращается в свой реестр. Многие процессы, о которых вы даже не догадываетесь, также работают с файловой системой. Отсюда следуют вполне очевидные правила:
Хорошей практикой является не работать с носителем напрямую, а сделать его образ и работать с файлом образа. Благодаря такому подходу:
В этом разделе в основном программы, которые восстанавливают отдельные файлы и папки.
PhotoRec, пожалуй, это одна из самых дружелюбных к пользователю программ. Она работает на различных операционных системах, в том числе и на Windows. В ОС Windows она может работать как в режиме консоли, так и с графическим интерфейсом. Не смотря на свою дружественность, она является очень эффективной для восстановления файлов. Она может работать даже с носителями, у которых слетела файловая система.
Эта программа является компаньоном TestDisk, которую также можно было бы рассмотреть в этом же разделе, поскольку она тоже умеет восстанавливать файлы. Но главное предназначение TestDisk – это восстанавливать файловые системы, поэтому она будет рассмотрена чуть позже.
Scalpel – это программа с открытым исходным кодом для восстановления файлов используя базу данных заголовков, колонтитулов. Может восстанавливать с образов дисков или устройств с сырыми блоками, заголовки и колонтитулы устанавливаются пользователем. Программа используется не только для восстановления файлов, но и цифровых криминалистических исследований.
extundelete – это утилита, которая может восстановить удалённые файлы из разделов ext3 или ext4.
Foremost — это консольная программа для восстановления файлов на основе их заголовков, колонтитулов и внутренней структуры данных. Этот процесс обычно называют «выскабливанием данных». Foremost может работать с файлами образов, такими как сгенерированные в dd, Safeback, Encase и т. д. или напрямую с диском. Заголовки и колонтитулы могут быть указаны в конфигурационном файле или вы можете использовать переключатели командной строки, для точного определения встроенных типов. Эти встроенные типы смотрят на структуру данных данного файлового формата, позволяя более надёжное и быстрое восстановление.
ext4magic — это инструмент администратора Linux, который может помочь восстановить удалённые или перезаписанные файлы на файловых системах ext3 и ext4.
В своей работе опирается на журнал файловой системы.
ext3grep – это инструмент для исследования файловых систем ext3 на удалённое содержимое и возможность его восстановить. Программа помогает восстанавливать удалённые файлы только с файловых систем ext3.
scrounge-ntfs – это утилита для спасения данных с повреждённых разделов NTFS, она записывает полученные файлы на другую рабочую файловую систему. Некоторая информация о повреждённом разделе должна быть известна заранее.
Recoverjpeg — восстанавливает JFIF (JPEG) фотографии и файлы видео MOV. Recoverjpeg пытается идентифицировать jpeg картинки в файловой системе или из образа файловой системы.
magicrescue – сканирует блочное устройство и извлекает файлы известных типов по «магическим байтам». Может использоваться как утилита для восстановления удалённых файлов, так и спасения данных с повреждённого диска или раздела. Работает на любых файловых системах, но на очень фрагментированных файловых системах программа может восстановить только первый кусок каждого файла. Тем не менее, эти куски иногда достигают 50 мегабайт.
ddrescue – инструмент по восстановлению данных. Копирует данные из одного файла или блочного устройства на другое, пытается спасти сначала хорошие части, если имеются ошибки чтения.
TestDisk
TestDisk программа с открытым исходным кодом и лицензией GNU General Public License (GPL v2+).
TestDisk это мощная бесплатная программа для восстановления данных. Она была разработана в первую очередь, что бы помочь восстановить утраченные разделы и/или восстановить загрузочную способность дисков если эта проблема вызвана программно, вирусами или ошибками человека (таких как случайное удаление Таблицы Разделов). Восстановить Таблицы Разделов TestDisk-ом очень легко.
TestDisk может:
TestDisk подойдёт и для новичков, и для экспертов. Для тех, кто знает мало или вообще ничего не знает о методах восстановления данных, TestDisk может быть использован для сбора детальной информации о незагружающихся дисках которая затем может быть использована для дальнейшего анализа. Те, кто уже знаком с такими процедурами, должен найти TestDisk удобным инструментом при выполнении восстановления.
TestDisk может работать под:
gpart пытается предположить, какие разделы присутствуют на жёстком диске. Она пытается найти потерянную, перезаписанную или разрушенную, но всё ещё существующую на диске, таблицу разделов, к которой операционная система не может получить доступ. gpart игнорирует главную таблицу раздела и сканирует диск (или образ диска) сектор за сектором в поисках нескольких типов файловых систем/разделов. В своей работе она использует модули распознания файловых систем, опрашивая их, не напоминает ли данная последовательность секторов тип файловой системы или раздела.
anyfs-tools — unix-way набор инструментов для восстановления и конвертирования файловых систем.
Инструменты:
safecopy – инструмент по восстановлению данных с проблемных или повреждённых носителей. Программа спасает данные с источников, на которых возникли ошибки чтения-записи. Она пытается получить так много данных из источника, как это возможно, даже прибегая к специфичным для устройства операциям низкого уровня, где это возможно.
recoverdm – восстанавливает файлы с дисков с повреждёнными секторами.
recuperabit – это инструмент для криминалистической реконструкции файловой системы.
Autopsy — это платформа цифровой криминалистики и графический интерфейс для Sleuth Kit и других цифровых криминалистических инструментов. Она используется правоохранительными органами, военными и корпоративными экспертами для расследования происшедшего на компьютерах. Обычные пользователи могут использовать её, например, для восстановления фотографий с цифровой карты памяти камеры.
Autopsy была создана чтобы быть интуитивно понятной из коробки. Установка проста и мастер проведёт вас по всем шагам.
The Sleuth Kit (TSK) — это библиотека на языке C и коллекция инструментов командной строки, которые позволяют исследовать образы дисков. Ключевая функциональность TSK позволяет анализировать тома и данные файловой системы в компьютере подозреваемого. Фреймворк плагинов позволяет инкорпорировать дополнительные модули для анализа содержимого файлов и строить автоматизированные системы. Библиотека может быть инкорпорирована в большое количество инструментов цифровой криминалистики, а инструменты командной строки могут использоваться напрямую для поиска доказательств.
Поскольку инструменты не полагаются на операционную систему для работы с файловой системой, то показывается удалённое и спрятанное содержимое. Программа работает на платформах Windows и Unix.
DFF (Digital Forensics Framework – цифровой криминалистический фреймворк) — это криминалистическая компьютерная платформа с открытым исходным кодом, он построен поверх отдельных API. DFF предназначен прийти на замену устаревающим цифровым криминалистическим решениями, используемым сегодня. Созданный для простого использования и автоматизации, интерфейс DFF проводит пользователя через главные шаги цифрового расследования, поэтому он может использоваться как профессионалами, так и не экспертами для быстрого и простого совершения цифровых расследований и реагирования на инциденты.
Ваш компьютер на Windows 10 перестал быть быстрым после обновления системы? Мы подскажем, как устранить…
Это приложение для iPhone основано на приглашениях и аудио. С его помощью можно всё равно…
Одним из самых значительных изменений в операционной системе iOS 14 является возможность менять приложения по…
В системе Android 10 появился фреймворк для пузырей чатов, популярность которым принёс Messenger. Новая система…
От загрузки в режим Fastboot при помощи одной команды до установки модов без рута, есть…
Бета-версия операционной системы Android 11 в настоящее время доступна для устройств Google Pixel. Нужно посетить…