การกู้คืนข้อมูลด้วย PhotoRec: คู่มือฉบับสมบูรณ์ในภาษาสเปน

  • PhotoRec สามารถกู้คืนไฟล์จากระบบและอุปกรณ์ต่างๆ ได้มากมาย โดยทำงานในระดับต่ำกับข้อมูล
  • เครื่องมือนี้ใช้งานได้ฟรี เป็นโอเพนซอร์ส และรองรับหลายแพลตฟอร์ม แม้ว่าอินเทอร์เฟซจะเป็นแบบข้อความก็ตาม
  • ประสิทธิภาพของมันขึ้นอยู่กับสภาพทางกายภาพของสื่อบันทึก และข้อเท็จจริงที่ว่าข้อมูลยังไม่ถูกเขียนทับ
  • การใช้งานร่วมกับ TestDisk และโปรแกรมตรวจสอบความถูกต้องของข้อมูลแบบกราฟิกอื่นๆ จะช่วยครอบคลุมสถานการณ์การสูญเสียข้อมูลเกือบทุกรูปแบบ
Isaac

นาทีที่ 20

การกู้คืนข้อมูลด้วย PhotoRec

หากคุณลบรูปภาพ เอกสาร หรือวิดีโอโดยไม่ได้ตั้งใจ และกำลังหาวิธีกู้คืนไฟล์เหล่านั้น PhotoRec เป็นหนึ่งในเครื่องมือฟรีที่มีประสิทธิภาพมากที่สุด ซึ่งคุณสามารถใช้งานได้ มันไม่มีอินเทอร์เฟซที่สวยงาม และก็ไม่จำเป็นต้องมีด้วย เพราะมันทำงานตรงไปตรงมาและสามารถดึงข้อมูลจากฮาร์ดไดรฟ์ ไดรฟ์ USB การ์ด SD และแม้กระทั่งจากอิมเมจ RAM ในหลายกรณีที่คุณคิดว่าข้อมูลสูญหายไปหมดแล้ว

ในบรรทัดต่อไปนี้คุณจะพบ คู่มือที่ครอบคลุมมากในการทำความเข้าใจว่า PhotoRec คืออะไรและทำงานอย่างไรภายในระบบคู่มือนี้อธิบายถึงสถานการณ์ที่มันสามารถช่วยชีวิตคุณได้ วิธีการใช้งานทีละขั้นตอนบน Windows และ Linux ข้อจำกัดของมัน เมื่อใดที่มันจะไม่เป็นประโยชน์ และทางเลือกอื่น ๆ ที่มีอยู่เมื่อคุณต้องการสิ่งที่ง่ายกว่าหรือมีอินเทอร์เฟซแบบกราฟิก ทุกอย่างอธิบายเป็นภาษาสเปนมาตรฐาน (จากสเปน) พร้อมตัวอย่างและไม่มีศัพท์เทคนิคที่ไม่จำเป็น แต่ก็ไม่ได้ละทิ้งแง่มุมทางเทคนิคที่ซับซ้อนหากคุณต้องการศึกษาเพิ่มเติม

PhotoRec คืออะไร และใช้ทำอะไรกันแน่?

PhotoRec คือ โปรแกรมกู้ข้อมูลแบบโอเพนซอร์ส ฟรี และใช้งานได้บนหลายแพลตฟอร์ม ออกแบบมาเพื่อกู้คืนไฟล์ที่สูญหายจากสื่อจัดเก็บข้อมูลทุกประเภท แม้ชื่อจะหมายถึงรูปภาพ แต่จริงๆ แล้วโปรแกรมนี้เชี่ยวชาญในการกู้คืนไฟล์หลากหลายรูปแบบมาก เช่น รูปภาพ วิดีโอ เอกสารสำนักงาน ไฟล์บีบอัด ไฟล์ปฏิบัติการ และอื่นๆ อีกมากมาย

PhotoRec แตกต่างจากโซลูชันเชิงพาณิชย์อื่นๆ มันไม่ได้มุ่งเน้นที่ระบบไฟล์ แต่เน้นที่ข้อมูลที่บันทึกไว้บนดิสก์นั่นเองหมายความว่ามันสามารถทำงานได้แม้ว่าพาร์ติชั่นจะเสียหายอย่างรุนแรง ตารางพาร์ติชั่นเสียหาย หรือดิสก์ถูกฟอร์แมตไปแล้ว ตราบใดที่เซกเตอร์ทางกายภาพยังคงอ่านได้และยังไม่ถูกเขียนทับ ก็ยังมีโอกาสที่จะกู้คืนข้อมูลได้

โครงการนี้เผยแพร่ภายใต้ใบอนุญาต GNU GPL v2+สิ่งนี้ช่วยให้คุณใช้งานได้ฟรี ศึกษาโค้ด ปรับแต่ง และปรับปรุงมันได้ โดยปกติแล้ว PhotoRec จะถูกแจกจ่ายควบคู่ไปกับ TestDisk ซึ่งเป็นยูทิลิตี้อีกตัวหนึ่งจากผู้พัฒนาเดียวกันที่ออกแบบมาเพื่อ... กู้คืนพาร์ติชั่นและสร้างดิสก์บูตได้สำหรับเครื่องที่บูตไม่ขึ้นโดยปกติแล้ว จะดาวน์โหลดแพ็กเกจ TestDisk และ PhotoRec พร้อมกัน และเตรียมเครื่องมือทั้งสองไว้ให้พร้อมใช้งาน

เพื่อปกป้องข้อมูลของคุณ PhotoRec จึงทำงานบนระบบต่างๆ โหมดอ่านอย่างเดียวบนดิสก์หรือหน่วยความจำต้นทางวิธีนี้ช่วยลดความเสี่ยงที่กระบวนการฟื้นฟูจะทำให้สถานการณ์เลวร้ายลง ซึ่งเป็นสิ่งสำคัญอย่างยิ่งเมื่อคุณกำลังอยู่ในภาวะวิกฤตและทุกภาคส่วนมีความสำคัญ

ระบบปฏิบัติการที่ใช้งานร่วมกับ PhotoRec ได้

ข้อดีอย่างหนึ่งของยูทิลิตี้นี้คือ สามารถใช้งานได้กับระบบปฏิบัติการสมัยใหม่แทบทุกระบบมันไม่ได้จำกัดอยู่แค่สภาพแวดล้อมใดสภาพแวดล้อมหนึ่ง ดังนั้นคุณจึงสามารถใช้งานได้กับเครื่องคอมพิวเตอร์เกือบทุกเครื่องที่คุณมีอยู่ใกล้ๆ

โดยทางการแล้ว PhotoRec สามารถใช้งานได้บนอุปกรณ์ดังต่อไปนี้:

  • DOS และ Windows 9x
  • ระบบปฏิบัติการ Windows NT 4, 2000, XP, 2003 และเวอร์ชันต่อมา เช่น Windows 7, 8, 10 และ 11
  • ลินุกซ์ (สำหรับเคอร์เนลเวอร์ชัน 2.6.18 หรือสูงกว่า ทั้งแบบ x86 และ 64 บิต)
  • FreeBSD, NetBSD และ OpenBSD
  • ซันโซลาริส
  • MacOS (ทั้งในสถาปัตยกรรมรุ่นเก่าอย่าง Intel และแม้แต่ PowerPC ในรุ่นก่อนหน้า)

นอกจากนี้ ซอร์สโค้ดสามารถคอมไพล์ได้ในสภาพแวดล้อมเสมือนจริง ระบบที่คล้ายยูนิกซ์ใดๆนอกจากนี้ยังมีเวอร์ชันเฉพาะสำหรับอุปกรณ์ NAS ที่ใช้ ARM บางรุ่น เช่น Synology, QNAP และ Seagate BlackArmor บางรุ่น หากคุณทำงานกับเซิร์ฟเวอร์หรืออุปกรณ์จัดเก็บข้อมูลเครือข่าย การมี PhotoRec พร้อมใช้งานบน NAS โดยตรงจะช่วยให้คุณอุ่นใจได้มาก

ระบบไฟล์และประเภทสื่อที่รองรับ

หนึ่งในกุญแจสำคัญสู่ความสำเร็จของ PhotoRec คือ มันแทบจะเพิกเฉยต่อโครงสร้างเชิงตรรกะของระบบไฟล์โดยสิ้นเชิงแทนที่จะอาศัยข้อมูลพาร์ติชั่น ระบบจะสแกนอุปกรณ์ในระดับต่ำและค้นหาลายเซ็นไฟล์โดยตรงในบล็อกข้อมูล

ด้วยวิธีการนี้ คุณสามารถกู้คืนข้อมูลจากสื่อที่ถูกฟอร์แมตหรือระบบไฟล์ที่เสียหายอย่างรุนแรงได้ ตราบใดที่พื้นผิวของสื่อยังสามารถอ่านได้ ระบบที่ใช้งานได้อย่างดีเป็นพิเศษด้วยวิธีการนี้ ได้แก่:

  • ไขมัน (FAT12, FAT16, FAT32)
  • NTFS
  • exFAT
  • ext2, ext3 และ ext4
  • HFS + (แบบคลาสสิกใน macOS เวอร์ชันเก่า)

ในกรณีของ ReiserFS ระบบนี้ได้รวมเอาสิ่งต่อไปนี้ไว้ด้วย มีการปรับแต่งเฉพาะเจาะจงมากในวิธีการบันทึกส่วนท้ายของไฟล์และไฟล์ขนาดเล็กวิธีการนี้ยังรวมถึงการจัดเก็บข้อมูลบางส่วนไว้ภายในโครงสร้างแบบต้นไม้ด้วย ซึ่งวิธีการจัดระเบียบแบบนี้ทำให้ PhotoRec ไม่สามารถจัดการได้อย่างถูกต้อง ส่งผลให้ไม่เกิดประสิทธิภาพเมื่อใช้งานร่วมกับ ReiserFS

ในส่วนของประเภทอุปกรณ์ PhotoRec สามารถทำงานได้กับสื่อหลากหลายประเภท ตราบใดที่ระบบมองเห็นสื่อนั้นเป็นอุปกรณ์แบบบล็อกหรือเป็นรูปภาพ:

  • ฮาร์ดไดรฟ์แบบกลไก (HDD) และ SSD
  • ออปติคัลไดรฟ์ เช่น ซีดีและดีวีดี
  • การ์ดหน่วยความจำ (CompactFlash, SD, microSD, Memory Stick, SmartMedia, MMC, Microdrive...)
  • แฟลชไดรฟ์ USB และไดรฟ์ USB
  • ภาพดิบ ของดิสก์หรือพาร์ติชั่น
  • EnCase E01/EWF การถ่ายภาพทางนิติวิทยาศาสตร์
  • อุปกรณ์พกพาบางชนิด ไอพอดและกล้องดิจิทัล จาก Canon, Nikon, Sony, Olympus, Casio, HP, Praktica และผู้ผลิตรายอื่นๆ

ในงานด้านนิติวิทยาศาสตร์ ผู้เชี่ยวชาญหลายคนใช้ร่วมกับอิมเมจดิสก์ เนื่องจาก วิธีนี้ช่วยให้คุณทำงานกับสำเนาแทนที่จะเป็นต้นฉบับซึ่งเป็นสิ่งที่แทบจะจำเป็นอย่างยิ่งหากต้องการรักษาหลักฐานเอาไว้

รูปแบบไฟล์ที่ PhotoRec สามารถกู้คืนได้

PhotoRec ดำเนินงานโดยยึดหลักการค้นหา ลายเซ็นเฉพาะสำหรับไฟล์แต่ละประเภท ในบล็อกของดิสก์ เมื่อตรวจพบส่วนหัวที่รู้จัก ระบบจะสันนิษฐานว่าไฟล์ที่มีรูปแบบเฉพาะเริ่มต้นที่นั่น และพยายามสร้างไฟล์นั้นขึ้นมาใหม่ทั้งหมด

ฐานข้อมูลที่รวมอยู่ในโปรแกรมนี้สามารถจดจำได้มากกว่า... 100 ครอบครัวที่มีรูปแบบแตกต่างกันซึ่งในทางปฏิบัติหมายถึงมากกว่านั้น นามสกุลไฟล์ 180 รายการตลอดหลายปีที่ผ่านมา ได้มีการขยายขอบเขตให้ครอบคลุมกรณีศึกษาในชีวิตจริงมากขึ้นเรื่อยๆ

ไฟล์ประเภทที่สามารถกู้คืนได้บ่อยที่สุด ได้แก่:

  • ภาพไฟล์ JPEG, PNG, TIFF, GIF และไฟล์ RAW จากกล้องหลายรูปแบบ (CR2, NEF, DCR, SR2, PEF…)
  • เอกสารสำนักงานไฟล์ประเภท DOC, DOCX, XLS, XLSX, PPT รวมถึงไฟล์ OpenOffice และ LibreOffice
  • ไฟล์ PDF และ HTML
  • ยาเม็ดไฟล์ ZIP รวมถึงแพ็กเกจที่บรรจุเอกสาร Office รุ่นใหม่
  • เสียงและวิดีโอเช่น ไฟล์ MP3 และไฟล์รูปแบบอื่นๆ ที่ใช้กันทั่วไป
  • ไฟล์ปฏิบัติการและไฟล์ไบนารีอื่นๆ ในระบบต่างๆ

ในหลายกรณี หากข้อมูลไม่กระจัดกระจาย ไฟล์ที่กู้คืนอาจเหมือนกับไฟล์ต้นฉบับทุกประการในบางกรณี ไฟล์อาจมีขนาดใหญ่กว่าปกติ (เนื่องจากมีไฟล์ขยะอยู่ส่วนท้าย) และ PhotoRec จะตัดไฟล์ให้เล็กลงตามข้อมูลที่พบในส่วนหัวของไฟล์ หากไฟล์ที่ได้มีขนาดเล็กกว่าที่ระบุไว้ในส่วนหัว โปรแกรมจะถือว่าไฟล์นั้นเสียหายและทิ้งไป เว้นแต่คุณจะระบุอย่างชัดเจนให้เก็บไฟล์ที่เสียหายไว้

PhotoRec ทำงานภายในอย่างไร

เพื่อให้เข้าใจว่าเหตุใด PhotoRec จึงมีประสิทธิภาพมาก จึงควรพิจารณาอย่างคร่าวๆ ดังนี้ ระบบไฟล์จัดการข้อมูลอย่างไร? ระบบไฟล์ทั่วไปได้แก่ FAT, NTFS และ ext ระบบเหล่านี้จัดเก็บข้อมูลในรูปแบบบล็อก (หรือคลัสเตอร์) ซึ่งมีขนาดคงที่ตั้งแต่ตอนฟอร์แมตและจะไม่เปลี่ยนแปลง

ระบบปฏิบัติการพยายามที่จะ เขียนไฟล์ต่อเนื่องกัน เพื่อลดการกระจัดกระจายของข้อมูลและเพิ่มความเร็วในการเข้าถึง โดยเฉพาะอย่างยิ่งในฮาร์ดดิสก์แบบกลไกที่เวลาในการค้นหาหัวอ่านมีความสำคัญอย่างยิ่ง อย่างไรก็ตาม เมื่อใช้งานไปเรื่อยๆ การเขียนและการลบข้อมูลย่อมทำให้เกิดการกระจัดกระจายของข้อมูลอย่างหลีกเลี่ยงไม่ได้

เมื่อคุณลบไฟล์ สิ่งที่มักเกิดขึ้นคือ... ข้อมูลเมตาถูกลบออกแล้ว (ชื่อ วันที่ ขนาด รายการบล็อก ฯลฯ) แต่ข้อมูลจะยังคงอยู่ในดิสก์จนกว่าจะมีไฟล์อื่นมาเขียนทับ ในระบบ ext2/ext3/ext4 ตัวอย่างเช่น ชื่อไฟล์อาจยังคงอยู่ชั่วระยะหนึ่ง แต่การอ้างอิงถึงบล็อกแรกจะหายไป ทำให้ระบบไม่รู้ว่าไฟล์เริ่มต้นที่ใดอีกต่อไป

โปรแกรม PhotoRec เริ่มต้นด้วยการกำหนด... ขนาดบล็อกหรือคลัสเตอร์ของวอลุ่มหากระบบไฟล์ยังคงอ่านได้ในระดับขั้นต่ำ ระบบจะดึงข้อมูลนั้นจากซูเปอร์บล็อก (ในระบบไฟล์ ext) หรือจาก Volume Boot Record (ในระบบไฟล์ FAT และ NTFS) มิเช่นนั้น ระบบจะทำการค้นหาไฟล์ที่ใช้งานได้ไฟล์แรกก่อน และคำนวณขนาดบล็อกที่น่าจะเป็นไปได้มากที่สุดโดยอิงจากตำแหน่งของไฟล์เหล่านั้น

เมื่อขนาดดังกล่าวระบุโครงสร้างพื้นฐานแล้ว โปรแกรมจะทำการสแกนดิสก์ บล็อกโดยบล็อกโดยจะเปรียบเทียบแต่ละไฟล์กับฐานข้อมูลลายเซ็น หากพบส่วนหัวของไฟล์ JPEG (เช่น 0xff, 0xd8, 0xff, 0xe0 / 0xe1 / 0xfe) ก็จะเริ่มสร้างไฟล์ใหม่ที่มีนามสกุลตรงกัน หากตรวจพบการเริ่มต้นไฟล์อื่นในภายหลัง ก็จะตรวจสอบว่าไฟล์ก่อนหน้านี้ถูกต้องหรือไม่ และหากทุกอย่างตรงกัน ก็จะปิดไฟล์ที่กู้คืนนั้นและเริ่มต้นกับไฟล์ถัดไป

ไฟล์ประเภท "สตรีมข้อมูล" (เช่นบางไฟล์) ไฟล์ MP3 หรือสตรีมเสียง/วิดีโอไฟล์ (เช่น PhotoRec) ไม่ได้มีขนาดส่วนหัวที่ตายตัวเสมอไป ดังนั้นไฟล์เหล่านี้จึงไม่จำเป็นต้องมีขนาดส่วนหัวที่แน่นอนเสมอไป วิเคราะห์เนื้อหา จนกว่าจะพิจารณาว่ากระบวนการเสร็จสมบูรณ์ ในขณะเดียวกัน ก็จะตรวจสอบบล็อกก่อนหน้าเพื่อค้นหาส่วนหัวที่มันไม่สามารถสร้างขึ้นใหม่ได้ในรอบแรก เพื่อพยายามกู้คืนไฟล์ที่กระจัดกระจายบางส่วน

ติดตั้ง PhotoRec และ TestDisk บน Windows และ Linux

ขั้นตอนแรกในการดึงศักยภาพนี้ออกมาอย่างเต็มที่คือ ติดตั้งโปรแกรมให้ถูกต้องตามระบบปฏิบัติการของคุณแม้ว่ากระบวนการจะง่าย แต่ก็ควรปฏิบัติตามคำแนะนำบางประการเพื่อหลีกเลี่ยงข้อผิดพลาด และที่สำคัญที่สุดคือเพื่อหลีกเลี่ยงการเขียนข้อมูลลงดิสก์ที่คุณต้องการกู้คืนโดยไม่ตั้งใจ

ในระบบปฏิบัติการ Windows สิ่งที่ทำกันโดยทั่วไปคือการป้อน หน้าโครงการอย่างเป็นทางการ และดาวน์โหลดแพ็กเกจที่มี TestDisk และ PhotoRec มันฟรีทั้งหมด และโดยปกติจะมาในรูปแบบไฟล์ ZIP ที่คุณเพียงแค่ต้องแตกไฟล์ไปยังโฟลเดอร์ที่คุณเลือก (ควรเลือกไดรฟ์ที่แตกต่างจากไดรฟ์ที่คุณต้องการกู้คืน)

ภายในโฟลเดอร์นั้น คุณจะพบไฟล์ปฏิบัติการ โฟโต้เรค_วิน.exeซึ่งเป็นเวอร์ชันแบบข้อความคลาสสิก และนอกจากนี้ qphotorec_win.exeซึ่งมีอินเทอร์เฟซกราฟิกแบบเรียบง่าย ใช้งานง่ายกว่าสำหรับผู้ที่ไม่คุ้นเคยกับเมนูคอนโซล อย่างไรก็ตาม แนะนำให้ลองใช้งานดู ด้วยสิทธิ์ของผู้ดูแลระบบ (คลิกขวา > เรียกใช้ในฐานะผู้ดูแลระบบ) เพื่อให้พวกเขาสามารถเข้าถึงอุปกรณ์จริงได้โดยไม่มีข้อจำกัด

ใน Linux กระบวนการนี้มักจะง่ายกว่ามาก: ในระบบปฏิบัติการที่ใช้ Debian/Ubuntu เพียงแค่เปิดเทอร์มินัลแล้วพิมพ์:

sudo apt-get install testdisk

เมื่อคุณติดตั้ง TestDisk ระบบจะเพิ่ม PhotoRec เข้ามาด้วย หากต้องการเริ่มใช้งาน ให้เรียกใช้จากเทอร์มินัลด้วยคำสั่ง:

sudo photorec

ในระบบ Unix, BSD หรือ macOS แนวคิดก็คล้ายคลึงกัน: เรียกใช้ PhotoRec ในฐานะผู้ใช้ root (โดยใช้ sudo) เพื่อให้แน่ใจว่าสามารถเข้าถึงอุปกรณ์ได้อย่างเต็มที่ ตัวอย่างเช่น บน macOS คุณจะต้องเรียกใช้ไบนารีที่เกี่ยวข้อง (photorec) จากโฟลเดอร์ที่คุณแตกไฟล์แพ็กเกจ TestDisk ออกมา

การใช้งาน PhotoRec ขั้นพื้นฐานทีละขั้นตอน

แม้ว่าอินเทอร์เฟซแบบข้อความอาจดูน่ากลัวเล็กน้อยในตอนแรก แต่ขั้นตอนการทำงานของ PhotoRec นั้นค่อนข้างง่าย เป็นเส้นตรงและให้ความรู้สึกเหมือนผู้ช่วยส่วนตัวเพียงแค่ใช้ปุ่มไม่กี่ปุ่ม (ลูกศร, Enter, C และ Q) คุณก็สามารถทำตามขั้นตอนทั้งหมดได้โดยไม่ต้องทำให้ยุ่งยากซับซ้อนเกินไป

เมื่อเริ่มต้นโปรแกรม โปรแกรมจะแสดงรายการดังต่อไปนี้ ตรวจพบดิสก์และหน่วยความจำทั้งหมดใช้ปุ่มลูกศรขึ้น/ลงเพื่อเลือกอุปกรณ์ทางกายภาพที่มีไฟล์ที่ถูกลบ แล้วกด Enter หากคุณใช้ระบบที่มีเวอร์ชัน "RAW" ของอุปกรณ์อยู่ (เช่น /dev/rdisk แทนที่จะเป็น /dev/disk) ขอแนะนำให้เลือกเวอร์ชัน RAW เนื่องจากโดยทั่วไปแล้วจะเข้าถึงได้เร็วกว่ามาก

ถัดไป PhotoRec จะขอให้คุณเลือก ประเภทตารางพาร์ติชั่น (MBR, GPT เป็นต้น) โดยปกติระบบจะตรวจจับค่าที่ถูกต้องโดยอัตโนมัติ ดังนั้นให้ยอมรับค่าเริ่มต้นไปเลย เว้นแต่คุณแน่ใจอย่างยิ่งว่ามันไม่ถูกต้อง

ในหน้าจอถัดไป คุณจะเห็น พาร์ติชั่นดิสก์และพื้นที่ที่ไม่ได้จัดสรร- คุณสามารถทำได้ดังนี้:

  • เลือกพาร์ติชันที่ต้องการแล้วเลือก Search เพื่อเริ่มต้นการฟื้นฟูจากพื้นที่นั้น
  • เยี่ยม Options หากคุณต้องการปรับพารามิเตอร์ขั้นสูง
  • ไปลง File Opt เพื่อเลือกประเภทไฟล์ที่คุณต้องการกู้คืนและไฟล์ที่คุณไม่ต้องการกู้คืน

เมื่อคุณเริ่มการค้นหา โปรแกรมจะขอให้คุณระบุข้อมูล ประเภทระบบไฟล์ถ้าพาร์ติชั่นเป็น ext2/ext3/ext4 คุณควรเลือกตัวเลือกนั้น แต่ถ้าเป็น FAT, NTFS, exFAT, HFS+ หรือแบบอื่นๆ ที่คล้ายกัน คุณจะต้องเลือกตัวเลือกที่ตรงกับระบบไฟล์นั้น อื่นๆ ซึ่งเป็นระบบที่ครอบคลุมระบบทั่วไปส่วนใหญ่ใน Windows และ macOS

FotoRec ให้คุณเลือกได้ว่าจะสแกนหรือไม่ เฉพาะพื้นที่ว่างหรือพาร์ติชั่นทั้งหมดการสแกนพื้นที่ที่ไม่ได้จัดสรรจะเน้นไปที่ไฟล์ที่ถูกลบแล้วแต่ยังไม่ถูกเขียนทับ ซึ่งโดยทั่วไปแล้วจะเร็วกว่าและได้ผลลัพธ์ที่สะอาดกว่า การสแกนทั้งดิสก์นั้นละเอียดกว่า แต่ก็ช้ากว่าและอาจให้ผลลัพธ์จำนวนมากที่ไม่เกี่ยวข้องเสมอไป

ขั้นตอนสำคัญอยู่ที่การที่คุณต้องเลือก โฟลเดอร์ปลายทางที่จะบันทึกไฟล์ที่กู้คืนได้สิ่งสำคัญคือคุณต้องไม่บันทึกอะไรลงในพาร์ติชั่นเดียวกันกับที่คุณกำลังวิเคราะห์ เพราะอาจทำให้ข้อมูลที่กู้คืนได้ถูกเขียนทับไปได้ ทางที่ดีควรใช้ดิสก์ พาร์ติชั่น หรือแม้แต่ไดรฟ์ USB อื่น

คุณจะใช้ปุ่มลูกศรเพื่อไปยังส่วนต่างๆ ของโครงสร้างไดเร็กทอรี และใช้ปุ่ม "." เพื่อเลื่อนขึ้นไปหนึ่งระดับ เมื่อคุณเลือกโฟลเดอร์แล้ว ให้กดปุ่ม C จากนั้นการวิเคราะห์ที่แท้จริงก็เริ่มต้นขึ้น หลังจากนั้นก็เป็นเพียงเรื่องของการปล่อยให้มันทำงานไป โดยขึ้นอยู่กับขนาดของตัวกลางและสภาพของหน่วย กระบวนการนี้อาจใช้เวลาตั้งแต่ไม่กี่นาทีไปจนถึงหลายชั่วโมง.

ตัวเลือกขั้นสูงและโหมดการใช้งานทางนิติวิทยาศาสตร์

PhotoRec ประกอบด้วยชุดโปรแกรมต่างๆ ตัวเลือกขั้นสูงที่ออกแบบมาสำหรับสถานการณ์ที่ซับซ้อน หรือสำหรับผู้ใช้ที่ต้องการควบคุมกระบวนการกู้คืนข้อมูลอย่างละเอียดมากขึ้น คุณไม่จำเป็นต้องแตะต้องตัวเลือกเหล่านี้ในการใช้งานปกติ แต่การรู้ว่ามีตัวเลือกเหล่านี้อยู่ก็เป็นเรื่องดี

หนึ่งในสิ่งที่น่าสนใจที่สุดคือโหมด หวาดระแวงฟังก์ชันนี้ ซึ่งเปิดใช้งานโดยค่าเริ่มต้น จะทำให้โปรแกรมตรวจสอบความถูกต้องของไฟล์ที่กู้คืนได้ และจะทิ้งไฟล์ที่ไม่ถูกต้อง การปิดใช้งานโหมดนี้จะเพิ่มจำนวนไฟล์ที่กู้คืนได้ แต่ก็จะเพิ่มจำนวนไฟล์ขยะและไฟล์ที่เสียหายด้วย

ตัวเลือก Bruteforce ฟังก์ชันนี้พยายามรวมไฟล์ JPEG ที่กระจัดกระจายเข้าด้วยกัน ซึ่งจะทำให้ใช้ทรัพยากร CPU มากขึ้น ดังนั้นจึงควรเปิดใช้งานเฉพาะในกรณีที่คุณต้องการกู้คืนรูปภาพบางรูปอย่างเร่งด่วน และไม่รังเกียจที่กระบวนการจะช้าลงมาก

การโทร โหมดผู้เชี่ยวชาญ ฟังก์ชันนี้ช่วยให้คุณกำหนดขนาดบล็อกและค่าออฟเซ็ตได้ด้วยตนเอง ซึ่งจะมีประโยชน์ก็ต่อเมื่อคุณรู้แน่ชัดว่ากำลังทำอะไรอยู่ หรือใช้ในการสืบสวนทางนิติวิทยาศาสตร์ นอกจากนี้ คุณยังสามารถอนุญาตให้เก็บรักษาข้อมูลไว้ได้ ไฟล์เสียหายซึ่งจะเป็นประโยชน์หากคุณวางแผนที่จะนำชิ้นส่วนเหล่านั้นไปซ่อมแซมด้วยเครื่องมือซ่อมอื่นๆ ในภายหลัง

สำหรับระบบที่มี RAM น้อยมาก หรือระบบไฟล์ขนาดใหญ่ที่มีการแตกกระจายสูง มีโหมดหนึ่งที่จะช่วยแก้ปัญหานี้ได้ การใช้หน่วยความจำต่ำวิธีนี้ช่วยลดการใช้ทรัพยากร แต่สามารถส่งผลกระทบต่อความเร็ว และในบางกรณี อาจส่งผลต่อความละเอียดของการวิเคราะห์ เป็นฟังก์ชันสุดท้ายที่ใช้เมื่อเครื่องค้างระหว่างการกู้คืน

หากคุณทำงานกับภาพทางนิติวิทยาศาสตร์ คุณสามารถเรียกใช้ PhotoRec โดยตรงกับไฟล์ต่างๆ เช่น image.dd o image.E01และแม้กระทั่งในชุดไฟล์ประเภทต่างๆ image.???นอกจากนี้ยังรองรับเส้นทางต่างๆ เช่น /cygdrive/d/evidence/image.??? ในสภาพแวดล้อม Cygwin นอกจากนี้ คุณยังมีโหมดอีกด้วย / log ซึ่งจะสร้างไฟล์ photorec.log ที่แสดงรายการไฟล์ที่กู้คืนได้และตำแหน่งที่ตั้งของไฟล์เหล่านั้น ซึ่งมีประโยชน์มากสำหรับการบันทึกกระบวนการ

กู้คืนไฟล์จาก Windows ด้วย PhotoRec

ในระบบปฏิบัติการ Windows ขั้นตอนการใช้งานจริงไม่แตกต่างจากที่อธิบายไว้มากนัก แต่ก็ควรชี้แจงให้ชัดเจนเพราะผู้ใช้จำนวนมากจะใช้ระบบนี้ เริ่มต้นด้วย เปิดโปรแกรม PhotoRec ด้วยบัญชีผู้ดูแลระบบ ของทีมเพื่อให้มั่นใจว่าสามารถเข้าถึงดิสก์จริงได้

เมื่อรายการดิสก์ปรากฏขึ้น ให้ใช้ลูกศรเพื่อเลือกดิสก์ที่มีข้อมูลที่หายไป แล้วกด Enter จากนั้นเลือกพาร์ติชันที่ถูกต้อง (หรือตัวเลือก "ไม่มีพาร์ติชัน" หากคุณต้องการให้ PhotoRec สแกนทั้งดิสก์แบบดิบ) และทำตามขั้นตอนในตัวช่วยสร้าง: ระบบไฟล์ พื้นที่ว่าง หรือทั้งดิสก์ โฟลเดอร์ปลายทาง แล้วกด C เพื่อเริ่มการสแกน

ในระหว่างกระบวนการ คุณจะเห็นตัวเลขบนหน้าจอเพิ่มขึ้นเรื่อยๆ ตัวนับไฟล์ที่พบความเร็วในการอ่านและความคืบหน้าจะแสดงขึ้น คุณสามารถหยุดการค้นหาได้ตลอดเวลา ไฟล์ที่กู้คืนแล้วจะยังคงอยู่ในโฟลเดอร์ recup_dir.1, recup_dir.2 เป็นต้น ดังนั้นข้อมูลที่บันทึกไว้จนถึงจุดนั้นจะไม่สูญหาย

ในตอนท้าย PhotoRec จะแสดงผล สรุปจำนวนไฟล์ที่พบและปลายทางของไฟล์เหล่านั้น ไฟล์เหล่านั้นถูกบันทึกไว้ที่ใด โปรดทราบว่าชื่อไฟล์และโครงสร้างโฟลเดอร์เดิมแทบจะไม่ถูกเก็บรักษาไว้เลย เนื่องจากโปรแกรมทำงานกับข้อมูลดิบ ดังนั้น คุณจะเห็นไฟล์ที่มีชื่อและนามสกุลทั่วไป ขึ้นอยู่กับประเภทที่ตรวจพบ

ควรปิดใช้งานชั่วคราวจะดีกว่า การป้องกันไวรัสแบบเรียลไทม์ เพื่อเร่งกระบวนการให้เร็วขึ้น แต่เมื่อเสร็จแล้วควรวิเคราะห์ไฟล์ที่กู้คืนมา เพราะคุณอาจกู้คืนไฟล์ที่ติดไวรัสอยู่แล้วในดิสก์ต้นฉบับได้ด้วย

กู้คืนไฟล์จากระบบ Linux และระบบอื่นๆ

ใน Linux และระบบที่คล้าย Unix อื่นๆ กระบวนการทำงานแทบจะเหมือนกันทุกประการ โดยมีข้อแตกต่างเล็กน้อยคือโดยส่วนใหญ่แล้วมักจะเป็นเช่นนั้น คุณจะเรียกใช้ PhotoRec จากเทอร์มินัลโดยใช้คำสั่ง sudoเมื่อเรียกใช้งาน โปรแกรมจะตรวจจับอุปกรณ์ส่วนใหญ่ รวมถึงอาร์เรย์ RAID แบบซอฟต์แวร์ (เช่น /dev/md0) และวอลุ่มที่เข้ารหัสด้วย cryptsetup, dm-crypt, LUKS หรือเครื่องมือที่คล้ายกัน

หากคุณต้องการทำงานกับอิมเมจดิสก์แทนที่จะทำงานกับอุปกรณ์จริง คุณสามารถส่งชื่อไฟล์เป็นอาร์กิวเมนต์ได้: อิมเมจโฟโตเรค .dd o โฟโตเรคอิมเมจ E01ด้วยวิธีนี้ คุณจะมั่นใจได้ว่าอุปกรณ์จริงจะไม่ถูกแตะต้องอีกต่อไป และทุกอย่างจะถูกบันทึกบนสำเนา ซึ่งเป็นวิธีที่แนะนำอย่างยิ่งเมื่อข้อมูลมีความละเอียดอ่อนเป็นพิเศษ

บนระบบ macOS กระบวนการจะคล้ายกัน คือ คุณเลือกดิสก์ (เช่น /dev/disk2 หรือ /dev/rdisk2) เลือกพาร์ติชัน และทำตามขั้นตอนปกติ อย่างไรก็ตาม คุณควรระมัดระวังเมื่อใช้ไดรฟ์ภายนอก เนื่องจาก macOS สามารถเมานต์และยกเลิกการเมานต์ดิสก์ได้ทันที ทางที่ดีควรปล่อยให้ไดรฟ์เหล่านั้นเมานต์ในโหมดอ่านอย่างเดียว หรือทำงานโดยตรงกับอิมเมจที่สร้างด้วย Disk Utility

ในสภาพแวดล้อมที่ไม่ค่อยพบเห็นทั่วไป เช่น OS / 2PhotoRec รองรับเฉพาะ ไฟล์ภาพ และไม่ใช่ดิสก์จริงโดยตรง เนื่องจากข้อจำกัดของระบบปฏิบัติการเอง ในกรณีเหล่านั้น ขั้นตอนการทำงานจะเกี่ยวข้องกับการเขียนข้อมูลจากอุปกรณ์ลงในไฟล์ก่อน จากนั้นจึงประมวลผลภาพนั้น

PhotoRec เทียบกับโปรแกรมกู้ข้อมูลอื่นๆ

แม้ว่า PhotoRec จะทรงพลังอย่างเหลือเชื่อ แต่ก็ไม่ใช่เครื่องมือที่สมบูรณ์แบบสำหรับทุกคน อินเทอร์เฟซแบบข้อความอาจใช้งานยาก และฟีเจอร์ขั้นสูงบางอย่างอาจดูซับซ้อนเกินไป นั่นคือเหตุผลที่เครื่องมืออื่นๆ จึงมีอยู่ ทางเลือกอื่นๆ ที่มีแนวทางที่ "เหมาะสำหรับผู้ชมทุกกลุ่ม" มากขึ้นซึ่งเป็นสิ่งที่ควรทราบไว้เผื่อกรณีที่ PhotoRec ไม่ตรงตามความต้องการของคุณ หรือคุณพบว่าใช้งานยาก

ในอีกด้านหนึ่งก็มีโปรแกรมต่างๆ เช่น Recuvaโปรแกรมนี้ได้รับความนิยมอย่างมากบนระบบปฏิบัติการ Windows โดยมีฟังก์ชั่นสแกนอย่างรวดเร็วสำหรับไฟล์ที่เพิ่งลบไป และสแกนแบบละเอียดสำหรับกรณีที่ร้ายแรงกว่า มีอินเทอร์เฟซกราฟิกที่เรียบง่าย กรองตามประเภทไฟล์ และใช้งานได้ดีกับฮาร์ดไดรฟ์ ไดรฟ์ USB และการ์ด SD แม้ว่าประสิทธิภาพโดยรวมอาจด้อยกว่าโปรแกรมอย่าง PhotoRec ก็ตาม

ชื่อเรียกอีกชื่อหนึ่งคือ ตัวช่วยสร้างการกู้คืนข้อมูลของ EaseUSเป็นโซลูชันเชิงพาณิชย์ที่มีเวอร์ชันฟรีแบบจำกัด ซึ่งโดดเด่นในด้าน... อินเทอร์เฟซแบบมีคำแนะนำพร้อมการแสดงตัวอย่างโปรแกรมนี้รองรับไดรฟ์ที่เสียหาย ไดรฟ์ที่ฟอร์แมตแล้ว และระบบปฏิบัติการหลายระบบ และความง่ายในการใช้งานทำให้เหมาะสำหรับผู้ที่ไม่ต้องการใช้งานอินเทอร์เฟซแบบบรรทัดคำสั่ง ในกลุ่มผู้ใช้ PhotoRec มักแนะนำโปรแกรมนี้เป็นทางเลือกที่ง่ายกว่าเมื่ออินเทอร์เฟซแบบบรรทัดคำสั่งซับซ้อนเกินไป

ยังมีอยู่ การเจาะดิสก์โปรแกรมนี้ใช้งานได้ทั้งบน Windows และ macOS มีดีไซน์ที่สวยงามและประสิทธิภาพการกู้คืนข้อมูลที่ทรงประสิทธิภาพ สามารถสแกนพาร์ติชั่น อุปกรณ์ภายนอก และสื่อบันทึกข้อมูลทุกประเภท และเวอร์ชันฟรีก็มีประโยชน์สำหรับการตรวจสอบว่าไฟล์ที่คุณต้องการสามารถกู้คืนได้หรือไม่ก่อนที่จะซื้อเวอร์ชันเต็ม

สุดท้ายนี้ เป็นไปไม่ได้ที่จะไม่กล่าวถึงเรื่องนี้ TestDiskโปรแกรมอีกตัวที่เป็น "พี่น้อง" ของ PhotoRec ซึ่งพัฒนาโดยผู้เขียนคนเดียวกัน เน้นไปที่... แต่ละไฟล์TestDisk เชี่ยวชาญด้าน... พาร์ติชั่นหายไป และดิสก์ไม่สามารถบูตได้อีกต่อไปในหลายกรณี ก่อนที่คุณจะเริ่มสแกนด้วย PhotoRec ควรลองใช้ TestDisk ก่อน เพราะการกู้คืนพาร์ติชั่นสามารถกู้คืนระบบโฟลเดอร์ทั้งหมดของคุณได้อย่างสมบูรณ์และช่วยประหยัดเวลาและแรงงานได้มาก

ข้อจำกัด ประสิทธิภาพที่แท้จริง และแนวทางปฏิบัติที่ดีที่สุด

ไม่ว่าโปรแกรมฟื้นฟูจะดีเพียงใด ก็ยังมีสถานการณ์ที่... ไม่มีทางออกใดๆ เลยการเข้าใจข้อจำกัดของ PhotoRec จะช่วยให้คุณหลีกเลี่ยงการสร้างความคาดหวังที่ผิดพลาดและตัดสินใจได้อย่างรอบคอบมากขึ้นเมื่อข้อมูลมีความสำคัญ

ถ้าฮาร์ดไดรฟ์มี ความเสียหายทางร่างกายอย่างร้ายแรง (หัวอ่านเสีย มอเตอร์ไม่หมุน เซกเตอร์อ่านไม่ได้เลย) PhotoRec ไม่สามารถช่วยแก้ปัญหาได้ ในกรณีเหล่านี้ การกู้คืนข้อมูลต้องทำในห้องปฏิบัติการเฉพาะทางที่มีเครื่องมือระดับมืออาชีพ และวิธีที่ปลอดภัยที่สุดคือการปิดไดรฟ์และหลีกเลี่ยงการใช้งานหนักเพิ่มเติม ยิ่งคุณพยายามซ่อมเองที่บ้านมากเท่าไหร่ ก็ยิ่งเสี่ยงต่อการทำลายไดรฟ์มากขึ้นเท่านั้น

เกี่ยวกับบันทึก จัดรูปแบบหลายครั้งหรือด้วยการจัดรูปแบบระดับต่ำเรื่องจะซับซ้อนขึ้นมาก โปรแกรม PhotoRec สามารถกู้คืนไฟล์ได้หากการฟอร์แมตยังไม่ได้เขียนทับเซกเตอร์ที่ไฟล์นั้นตั้งอยู่ แต่เมื่อเนื้อหาถูกเขียนทับซ้ำๆ ข้อมูลเก่าก็จะหายไปอย่างสมบูรณ์ เช่นเดียวกับกรณีที่ทำการลบข้อมูลอย่างปลอดภัยโดยอิงจากรูปแบบการเขียน

ถ้าปริมาตรคือ การเข้ารหัส (ตัวอย่างเช่น BitLocker, VeraCrypt, LUKS…) PhotoRec ไม่สามารถอ่านข้อมูลที่เป็นประโยชน์ได้เลย เว้นแต่ว่าชั้นการเข้ารหัสจะทำงานอยู่ และมีคีย์หรือรหัสผ่านอยู่ การเข้ารหัสได้รับการออกแบบมาโดยเฉพาะเพื่อป้องกันการเข้าถึงประเภทนี้ ดังนั้นหากไดรฟ์ยังไม่ได้รับการถอดรหัส เครื่องมือนี้จะเห็นเพียงข้อมูลแบบสุ่มเท่านั้น

ข้อจำกัดที่สำคัญอีกประการหนึ่งก็คือ ชื่อและโครงสร้างโฟลเดอร์เดิมไม่ได้รับการกู้คืนไฟล์จะถูกบันทึกไว้ในไดเร็กทอรี recup_dir ที่มีหมายเลขกำกับและใช้ชื่อทั่วไป ดังนั้นคุณจึงต้องค้นหาไฟล์ที่ต้องการด้วยตนเอง โดยส่วนใหญ่มักต้องอาศัยนามสกุลไฟล์ ขนาด วันที่แก้ไข หรือตัวอย่างภาพ

ถึงกระนั้น PhotoRec ก็มีประสิทธิภาพมากเมื่อตรงตามเงื่อนไขที่เหมาะสม: สื่อบันทึกข้อมูลไม่เสียหายอย่างรุนแรง ไม่ได้ถูกใช้งานอย่างหนักหลังจากลบ (เพื่อหลีกเลี่ยงการเขียนทับ) ระบบไฟล์เป็นระบบที่ PhotoRec จัดการได้ดี และไฟล์ไม่ได้กระจัดกระจายมากเกินไป โดยทั่วไปแล้ว ยิ่งคุณดำเนินการเร็วเท่าไหร่ และยิ่งคุณสัมผัสอุปกรณ์น้อยที่สุดหลังจากเกิดเหตุการณ์ โอกาสที่จะประสบความสำเร็จก็จะยิ่งดีขึ้นเท่านั้น.

สุดท้ายนี้ สิ่งสำคัญที่ควรจดจำไว้คือหลักปฏิบัติที่ดีสองประการ: เมื่อใดก็ตามที่คุณทำได้ มันทำงานกับไฟล์ภาพของดิสก์แทนที่จะเป็นดิสก์ต้นฉบับและห้ามบันทึกไฟล์ที่กู้คืนได้ลงในไดรฟ์เดียวกับที่กำลังสแกนเด็ดขาด รายละเอียดสองข้อนี้สำคัญมาก อาจทำให้กู้คืนข้อมูลได้เกือบทั้งหมด หรืออาจทำให้ข้อมูลที่เหลืออยู่เสียหายมากขึ้นไปอีก

จากทุกสิ่งที่เราได้เห็นมานั้น ชัดเจนว่า PhotoRec เป็นเครื่องมือสำคัญที่ควรมีไว้ในชุดอุปกรณ์ฉุกเฉินสำหรับคอมพิวเตอร์ทุกเครื่องโปรแกรมนี้ผสานรวมพลังการประมวลผล การรองรับระบบและรูปแบบไฟล์จำนวนมาก และการมุ่งเน้นอย่างเด็ดขาดที่จะไม่แตะต้องสื่อต้นฉบับ มันอาจไม่สมบูรณ์แบบ ต้องใช้ความอดทนและประสบการณ์ในการเล่นเกมคอนโซลพอสมควร แต่ในทางกลับกัน มันมอบความสามารถในการกู้คืนข้อมูลที่โปรแกรมฟรีอื่นๆ น้อยรายจะเทียบได้ และหากคุณใช้ร่วมกับ TestDisk และโปรแกรมทางเลือกอื่นๆ ที่มีอินเทอร์เฟซแบบกราฟิก คุณก็จะครอบคลุมสถานการณ์การสูญเสียข้อมูลทั่วไปเกือบทั้งหมดได้แล้ว