PhotoRec 功能

PhotoRec 通过基于签名的恢复(data carving)在介质上查找并恢复文件,即使文件系统损坏或已重新格式化也可工作。支持多种文件系统、介质类型及数百种文件格式。

恢复方式:data carving / 按签名

PhotoRec 在介质上查找已知文件头(签名)。按块(或簇)读取磁盘,将每块与内置签名库比对。匹配时——例如 JPEG 以 0xff 0xd8 0xff 开头——即识别文件类型并提取数据至文件结尾(或由校验停止)。

由于程序不依赖文件系统元数据(目录项、分配表),在文件系统损坏或磁盘已格式化时仍可工作。无碎片时恢复的文件可与原文件一致;若头中包含大小,PhotoRec 会按大小截断。通过重复校验块支持对碎片化文件的部分恢复。

支持的文件系统与介质类型

PhotoRec 在恢复时不依赖文件系统;可从具有(或曾具有)FATNTFSexFAText2/ext3/ext4HFS+ 的介质恢复。ReiserFS 的存储特性使 PhotoRec 支持较差。损坏介质上的块大小由超级块、引导记录或首批找到的文件确定。

介质:硬盘(HDD、SSD)、CD-ROM、存储卡(CompactFlash、Memory Stick、Secure Digital/SD、SmartMedia、Microdrive、MMC 等)、U 盘、原始 DD 镜像及 EnCase E01 (EWF) 镜像。广泛用于数码相机与便携播放器(如 iPod)。

支持的文件格式

PhotoRec 识别并恢复数百种格式:照片(JPEG、TIFF、RAW — CR2、NEF、ARW、DNG 等)、视频(MP4、MOV、AVI、MKV、WebM 等)、文档(PDF、DOC/DOCX、XLS/XLSX、ODT 等)、压缩包(ZIP、7z、RAR、gzip 等)。CGSecurity 列出逾 480 种扩展名、300+ 文件族。

JPG / JPEG PNG CR2 / NEF / ARW MP4 / MOV PDF DOCX ZIP / 7z

PhotoRec 可恢复格式完整列表(CGSecurity)→

PhotoRec:选择磁盘与分区
PhotoRec 界面:选择要扫描的磁盘与分区(或整盘)。方向键与 Enter 导航。

磁盘镜像与取证选项

PhotoRec 可从原始磁盘镜像(如 image.dd)和EnCase E01/EWF 镜像恢复。便于对介质副本进行安全、可重复操作而非直接动原盘——适用于取证与事件响应。命令行启动:photorec image.ddphotorec image.E01

参数 /log 会生成 photorec.log,记录恢复文件位置,便于文档与证据链。

PhotoRec:文件类型与搜索
File Opt 与 Options:选择要恢复的文件类型及设置(Paranoid、碎片化 JPEG 的 bruteforce)后再搜索。

安全与非破坏性流程

PhotoRec 对磁盘或存储卡使用只读访问。源介质不会被修改。

重要:请勿将恢复出的文件保存到正在恢复的同一分区或设备。写入可能覆盖待恢复数据。始终选择另一块物理磁盘或分区作为目标。

建议:一旦发现文件被删或丢失,立即停止使用该设备并不要写入新文件,以最大化恢复机会。

信任与安全 →

性能与限制

  • 文件名与目录结构:PhotoRec 通常无法恢复原始名称与目录;文件按逻辑扇区命名并加扩展名。若文件系统完好,TestDisk 可为 FAT/NTFS 恢复名称与结构。
  • 扫描时长:对大容量介质的深度扫描可能耗时很长。速度取决于设备类型、接口与容量。
  • 碎片与覆盖:严重碎片或已覆盖的数据较难或无法恢复。不保证成功。

下一步: 分步恢复 · 常见问题 · 信任与安全