PhotoRec

PhotoRec

Demonstration of PhotoRec running in Linux
開発元かいはつもと	Christophe Grenier
初版しょはん	2002年ねん4月がつ30日にち (22年ねん前まえ) (2002-04-30)
最新さいしん版ばん	7.1 / 2019年ねん7月がつ7日にち (5年ねん前まえ) (2019-07-07)
リポジトリ	git.cgsecurity.org/cgit/testdisk/
プログラミング 言語げんご	C (nCurses)
対応たいおうOS	Cross-platform
プラットフォーム	CLI
種別しゅべつ	Data recovery
ライセンス	GNU GPL v2+ (free software)
公式こうしきサイト	www.cgsecurity.org/wiki/PhotoRec
テンプレートを表示ひょうじ

PhotoRecは、自由じゆうかつオープンソースのデータ回復かいふくユーティリティソフトウェアである。テキストユーザインタフェースを持もち、ファイルカービング(英語えいご版ばん)の技術ぎじゅつを用もちいて、デジタルカメラのメモリーカード、HDD、CD-ROMなど様々さまざまな媒体ばいたいから消去しょうきょされたファイルを回復かいふくすることができる。480以上いじょうのファイル拡張子かくちょうし(約やく300種類しゅるいのファイル)に対応たいおうしている。^[1] マイナーな種類しゅるいのファイルを発見はっけんするためにファイルシグネチャを追加ついかすることも可能かのうである。^[2]

PhotoRecはユーザーが回復かいふくしようとしている媒体ばいたいには書かき込こまない。回復かいふくされたファイルはPhotoRecが動作どうさしているディレクトリか、ユーザーの選択せんたくしたディレクトリに書かき込こまれる。データ回復かいふくやデジタル・フォレンジクスにおいて使用しようすることが可能かのうである。^{[3][4][5] [6] [7]} PhotoRecはTestDiskに同どう梱こりされている。^[8]

FAT, NTFS, ext2/ext3/ext4といったファイルシステムは データブロックにファイルを保存ほぞんする (Windowsではデータクラスタ)。ブロックやクラスタのセクタ数すうは、ファイルシステムのフォーマット後ごは一定いっていである。一般いっぱん的てきにほとんどのオペレーティングシステムは、データのフラグメンテーションを最小限さいしょうげんにするために、データを隣接りんせつさせて保存ほぞんしようとする(ドライブのシークにかかる時間じかんはHDDに書かき込こむ・読よみ込こむ時間じかんに大おおきな影響えいきょうがあるため、フラグメンテーションを最小限さいしょうげんにするのは重要じゅうようである)。

ファイルが削除さくじょされたときは、ファイルのメタデータ (ファイル名めい、日時にちじ、サイズ、ブロックやクラスタの位置いちなど)が失うしなわれる。たとえば、ext3やext4においては、ファイル名めいは消去しょうきょされないが、ファイルの位置いちする最初さいしょのデータブロック の情報じょうほうが失うしなわれる。すなわち、新あたらしいファイルのデータによって上書うわがきされるまでは、ファイルシステム上じょうに削除さくじょされたファイルのデータは残のこっている。

「失うしなわれた」ファイルを回復かいふくするために、PhotoRecは最初さいしょにデータブロック(クラスタ)のサイズを見みつけようとする。ファイルシステムが壊こわれていなければ、その数字すうじはスーパーブロック(ext2/ext3/ext4)やボリュームブートレコード(FAT, NTFS)から読よみ取とれる。読よみ取とれない場合ばあい、PhotoRecは媒体ばいたいをセクタごとに読よみ込こみ、最初さいしょの10ファイルを見みつけることで、その位置いちからブロック(クラスタ)のサイズを計算けいさんする。ブロックサイズを知しることができたら、PhotoRecはブロック(クラスタ)ごとに媒体ばいたいを読よんでいく。それぞれのブロックをファイルシグネチャのデータベースに照てらし合あわせる(このデータベースはPhotoRecに付属ふぞくしている。PhotoRecの最初さいしょのバージョン以来いらい、回復かいふくできるファイルのタイプは増ふえ続つづけている)。これはファイルカービング(英語えいご版ばん)と呼よばれる一般いっぱん的てきなデータ回復かいふくの方法ほうほうである。

たとえば、PhotoRecはブロックが次つぎのデータで始はじまっているときにJPEGファイルと判断はんだんする。

• Start Of Image + APP0: 0xff, 0xd8, 0xff, 0xe0
• Start Of Image + APP1: 0xff, 0xd8, 0xff, 0xe1
• or Start Of Image + Comment: 0xff, 0xd8, 0xff, 0xfe

もしPhotoRecがこの前まえでファイル回復かいふくを始はじめていた場合ばあい、いったんそれを中止ちゅうしし、可能かのうであればファイルの整合せいごう性せいをチェックしてから新あたらしい(発見はっけんしたファイルシグネチャから判断はんだんされたタイプの)ファイルの保存ほぞんを開始かいしする。

データが断片だんぺん化かしていなければ、回復かいふくされたファイルはもとのファイルと同おなじサイズ(もしくはもとより大おおきいサイズ)になるはずである。PhotoRecがもとのファイルサイズをファイルのヘッダーから判断はんだんできた場合ばあい、回復かいふくされたファイルは正ただしいサイズに切きり詰つめられる。もしヘッダーの示しめすサイズよりも回復かいふくしたファイルが小ちいさい場合ばあい、そのファイルは捨すてられる。 MP3などのファイルはデータストリームである。この場合ばあい、PhotoRecは回復かいふくされたデータを解析かいせきし、ストリームが終了しゅうりょうした場所ばしょで回復かいふくを終了しゅうりょうする。

ファイルの回復かいふくが成功せいこうしたあと、PhotoRecは以前いぜんのデータブロックの中なかで、ファイルシグネチャを発見はっけんしたが回復かいふくに失敗しっぱいしたもの (回復かいふくしたファイルのサイズが小ちいさすぎたものなど)をチェックし、もう一度いちど回復かいふくしようとする。これによって、断片だんぺん化かされたファイルのいくつかは回復かいふくに成功せいこうする可能かのう性せいがある。

PhotoRecはもとのファイル名めいを復元ふくげんしないが、たとえばexiftoolを用もちいればJPEGのファイル名めいを復元ふくげんできる。 https://www.cgsecurity.org/testdisk_doc/after_using_photorec.html#renaming-files-using-exiftool

PhotoRec (Testdisk) はAutopsy(英語えいご版ばん) やWondershare RecoverItなどのソフトウェアに同どう梱こりされている。

PhotoRecは以下いかの環境かんきょう下かで動作どうさする。^[9]

• DOS
• Microsoft Windows: NT4, 2000, XP, 2003, 2008, 2016, Vista, Windows 7, Windows 8, Windows 8.1, Windows 10, Windows 11
• Linux
• FreeBSD, NetBSD, OpenBSD
• SunOS
• macOS
• ARM

PhotoRecとTestDiskは同どう梱こりされている。 CGSecurityのサイトからダウンロードできる。また、以下いかのいくつかのLinux Live CDsにも含ふくまれている。

• GParted Live CD ^[10]
• Parted Magic(英語えいご版ばん)^[11]
• Slax-LFI, a Slax-derived distribution ^[12]
• SystemRescueCD(英語えいご版ばん)^[13]
• Ubuntu Rescue Remix, an Ubuntu derivation ^[14]

以下いかのように、多おおくの Unix系けいディストリビューションのパッケージにも含ふくまれている。

• ALT Linux(英語えいご版ばん)^[15]
• Arch Linux Extra Repository
• Debian contrib
• Fedora Extras^[16]
• Red Hat Epel^[17]
• FreeBSD port^[18]
• OpenBSD port^[19]
• Gentoo^[20] and Gentoo Portage^[21]
• Mandriva contrib
• Source Mage(英語えいご版ばん) Linux^[22]
• Ubuntu^[23]

• Photo recovery(英語えいご版ばん)
• List of free and open-source software packages(英語えいご版ばん)
• File recovery(英語えいご版ばん)

• 公式こうしきウェブサイト