PhotoRec 指南与故障排除
分步恢复流程、权限要求、磁盘镜像以及何时先使用 TestDisk。
1. 开始前:避免覆盖
- 一旦发现文件被删或丢失,立即停止使用该设备。任何新写入(存文件、装软件、浏览)都可能覆盖数据。
- 不要将 PhotoRec(及其他恢复工具)安装或解压到正在恢复的同一块盘。安装或解压到另一块盘或分区。
- 为恢复出的文件选择另一块盘作为目标。切勿将 recup_dir 输出保存到正在扫描的同一分区或设备。
2. 以所需权限运行 PhotoRec
从物理盘、U 盘、存储卡或 CD/DVD 恢复时,PhotoRec 需要设备访问权限。
- Windows:使用属于「管理员」组的账户运行。Vista 及更高:右键
photorec_win.exe→ 以管理员身份运行。 - Linux / BSD:以 root 运行(如
sudo ./photorec_static)。 - macOS:若非 root,PhotoRec 可能提示用 sudo 重启;按提示输入用户密码。
因操作系统限制对物理盘的直接访问,故需提升权限。否则 PhotoRec 无法读取扇区进行 carving。
3. 分步恢复流程
选择磁盘
PhotoRec 显示可用介质。用方向键选择丢失文件的磁盘,Enter 确认。Linux 下使用 raw 设备(如 /dev/rdisk*)可能比 /dev/disk* 更快。
选择分区 / 源区域
选择曾存放文件的分区,或分区丢失时选整盘。在 File Opt 可更改要恢复的文件类型,Options 中可设(Paranoid、Keep corrupted files、Expert mode)。然后 Search 开始。
选项
Paranoid(默认)会校验恢复出的文件并丢弃无效的。bruteforce 用于碎片较多的 JPEG(增加 CPU 负载)。Low memory 在内存不足时有用。Keep corrupted files 保留未通过校验的文件。Expert mode 可设置块大小与偏移(文件系统丢失或已格式化时)。
文件族与格式
在 File Opt 中启用或禁用所需类型(JPEG、TIFF/RAW、ZIP、Office 等)。完整列表为数百种格式;见 PhotoRec 可恢复格式。
文件系统类型与扫描范围
若源不是 ext2/ext3/ext4,选 Other。然后选仅未分配空间(仅已删除,适用于 FAT/NTFS/ext2–4)或整个分区(文件系统损坏或需要全部雕刻数据时)。
目标目录
选择另一块盘上的目录(第二块内置盘、U 盘或网络位置)。macOS 下外置卷多在 /Volumes;Linux 下为 /media、/mnt 或 /run/media。Windows 下用方向键到 .. 进入盘符列表(C:、D: 等),选好目标后确认 Y。
进度与结果
恢复出的文件写入 recup_dir.1、recup_dir.2 等。运行中可查看。结束后显示摘要。中断后再次运行 PhotoRec 可继续。
4. 从磁盘镜像恢复
可对原始磁盘镜像(如 image.dd)或EnCase E01/EWF 镜像运行 PhotoRec,代替物理盘。这样更安全、可重复,便于取证:操作副本而非原盘。
示例:
photorec image.dd— 原始镜像photorec image.E01— EnCase EWF 镜像- 分卷 E01:
photorec 'image.???'(路径视情况)
5. 加密卷与 RAID
多数设备会自动识别,包括 Linux 软 RAID(如 /dev/md0)以及由 cryptsetup、dm-crypt、LUKS 或 TrueCrypt 加密的文件系统(如 /dev/mapper/truecrypt0)。PhotoRec 需看到已解密或已组好的设备——先用系统工具解锁或组装卷,再对该设备运行 PhotoRec。仅在对系统和数据有合法访问权时使用。
6. 何时不宜首选 PhotoRec
在分区丢失或误删,或FAT/NTFS 反删除且文件系统完好时,TestDisk 往往更快且能恢复原始文件名。此类情况可先试 TestDisk;当文件系统损坏、已格式化或需要按签名搜索时再用 PhotoRec。
本站以 PhotoRec 为主;两款工具同包分发,文档见 CGSecurity。
7. 杀毒软件警告
具备磁盘底层访问的恢复工具可能触发杀软的启发式报警。PhotoRec 是合法、开源工具,非恶意软件。为减少误报并保证安全:
- 从 CGSecurity 官网下载并校验校验和。
- 解压前扫描下载的压缩包。若哈希与官方列表一致,单次启发式警告多为误报;可向杀软厂商反馈。
CGSecurity 建议恢复后对恢复出的文件做恶意软件扫描——PhotoRec 可能恢复此前已删的染毒文件。