أدلة PhotoRec واستكشاف الأخطاء

عملية الاستعادة خطوة بخطوة، صلاحيات الوصول، صور الأقراص ومتى تستخدم TestDisk أولاً.

1. قبل البدء: منع الكتابة فوق

  • توقّف فوراً عن استخدام الجهاز بمجرد اكتشاف الملفات المحذوفة أو المفقودة. أي كتابة جديدة (حفظ ملفات، تثبيت برامج، تصفح) قد تستبدل البيانات.
  • لا تثبّت PhotoRec (وأدوات الاستعادة الأخرى) على نفس القرص الذي تستعيد منه. ثبّت أو فك الضغط على قرص أو قسم آخر.
  • اختر قرصاً آخر لوجهة الملفات المستعادة. لا تحفظ مخرجات recup_dir أبداً على نفس القسم أو الجهاز الذي تمسحه.

2. تشغيل PhotoRec بالصلاحيات المطلوبة

للاستعادة من قرص فيزيائي أو مفتاح USB أو بطاقة ذاكرة أو CD/DVD يحتاج PhotoRec صلاحية الوصول للجهاز.

  • Windows: شغّل من حساب في مجموعة «المسؤولون». في Vista وما بعده: انقر يميناً على photorec_win.exeتشغيل كمسؤول.
  • Linux / BSD: التشغيل كـ root (مثلاً sudo ./photorec_static).
  • macOS: إن لم تكن root، قد يقترح PhotoRec إعادة التشغيل مع sudo؛ أدخل كلمة مرور المستخدم عند الطلب.

الصلاحيات مطلوبة لأن الوصول المباشر للأقراص الفيزيائية مقيد بنظام التشغيل. بدونه لا يستطيع PhotoRec قراءة القطاعات للنحت.

3. عملية الاستعادة خطوة بخطوة

اختيار القرص

يعرض PhotoRec الوسائط المتاحة. الأسهم — اختيار القرص الذي فيه الملفات المفقودة، Enter. في Linux استخدام جهاز raw (مثلاً /dev/rdisk*) قد يكون أسرع من /dev/disk*.

اختيار القسم / منطقة المصدر

اختر القسم الذي كانت عليه الملفات، أو القرص بالكامل إن فقدت الأقسام. في File Opt يمكن تغيير أنواع الملفات للاستعادة، في Options — الخيارات (Paranoid، Keep corrupted files، Expert mode). ثم Search للبدء.

الخيارات

Paranoid (افتراضي) يتحقق من الملفات المستعادة ويرفض غير الصالحة. bruteforce — لـ JPEG المجزّأة أكثر (حمولة على CPU). Low memory يساعد عند نقص RAM. Keep corrupted files يحفظ الملفات التي لم تمرّ بالتحقق. Expert mode يسمح بتعيين حجم الكتلة والإزاحة (عند فقدان أو إعادة تهيئة نظام الملفات).

عائلات وصيغ الملفات

في File Opt فعّل أو عطّل الأنواع المطلوبة (JPEG، TIFF/RAW، ZIP، Office إلخ). القائمة الكاملة — مئات الصيغ؛ انظر الصيغ التي يستعيدها PhotoRec.

نوع نظام الملفات ومنطقة المسح

إن كان المصدر ليس ext2/ext3/ext4 اختر Other. ثم — البحث فقط في المساحة غير المخصصة (المحذوفة فقط، لـ FAT/NTFS/ext2–4) أو في القسم بالكامل (عند تلف نظام الملفات أو عند الحاجة لجميع البيانات المنحوتة).

مجلد الوجهة

اختر مجلداً على قرص آخر (داخلي ثانٍ، USB أو موقع شبكي). في macOS الأحجام الخارجية غالباً في /Volumes؛ في Linux — /media، /mnt أو /run/media. في Windows بالأسهم اذهب إلى .. إلى قائمة الأقراص (C:، D: إلخ)، اختر الوجهة وأكد Y.

التقدّم والنتائج

تُكتَب الملفات المستعادة في recup_dir.1، recup_dir.2 إلخ. يمكن عرضها أثناء التشغيل. عند الانتهاء يُعرض الملخص. عند المقاطعة يمكن لـ PhotoRec المتابعة في التشغيل التالي.

PhotoRec: اختيار القرص والقسم
اختيار القرص والقسم قبل بدء البحث.
PhotoRec: الوجهة والتقدّم
اختيار مجلد الوجهة ومتابعة تقدّم الاستعادة.

4. الاستعادة من صور الأقراص

يمكن تشغيل PhotoRec على صورة قرص خام (مثل image.dd) أو صورة EnCase E01/EWF بدلاً من القرص الفيزيائي. هذا أكثر أماناً للتحقيق والتكرار: العمل على النسخة وليس الأصل.

أمثلة:

  • photorec image.dd — صورة خام
  • photorec image.E01 — صورة EnCase EWF
  • لـ E01 المجزّأة: photorec 'image.???' (المسار حسب الحالة)

5. الأ volumes المشفّرة وRAID

كثير من الأجهزة تُحدَّد تلقائياً، بما فيها Linux software RAID (مثلاً /dev/md0) وأنظمة الملفات المشفّرة بـ cryptsetup، dm-crypt، LUKS أو TrueCrypt (مثلاً /dev/mapper/truecrypt0). يجب أن يرى PhotoRec الجهاز المفكوك أو المجمَّع — افك القفل أو جمّع الـ volume أولاً بأدوات نظام التشغيل، ثم شغّل PhotoRec على هذا الجهاز. استخدم فقط على أنظمة وبيانات أنت مخوّل بالوصول إليها.

6. متى لا يكون PhotoRec الخيار الأول الأفضل

عند الأقسام المفقودة أو المحذوفة أو عند إلغاء حذف على FAT أو NTFS مع نظام ملفات سليم، TestDisk غالباً أسرع ويمكنه استعادة أسماء الملفات الأصلية. في هذه الحالات جرّب TestDisk أولاً؛ PhotoRec — عندما يكون نظام الملفات تالفاً أو مُهيّأً أو عند الحاجة للبحث بالتوقيعات.

الموقع يركز على PhotoRec؛ كلا الأداتين في نفس الحزمة ووثائق CGSecurity.

7. إنذارات مضادات الفيروسات

أدوات الاستعادة ذات الوصول منخفض المستوى للأقراص قد تُطلق إنذاراً استدلالياً من مضاد الفيروسات. PhotoRec أداة شرعية مفتوحة المصدر وليست برنامجاً ضاراً. لتقليل الإنذارات الخاطئة وضمان الأمان:

  • حمّل من موقع CGSecurity الرسمي وتحقق من المجاميع الاختبارية.
  • امسح الأرشيف المحمّل قبل فك الضغط. عند تطابق التجزئة مع القائمة الرسمية يكون إنذار استدلالي واحد غالباً خاطئاً؛ يمكن إبلاغ بائع AV.

توصي CGSecurity بفحص الملفات المستعادة بحثاً عن برمجيات ضارة بعد الاستعادة — قد يستعيد PhotoRec ملفات مصابة محذوفة سابقاً.