它有什么作用

PhotoRec Carver模塊從數據源中未分配的空間中雕刻文件，并通過攝取處理鏈發送找到的文件。

這可以幫助審閱者發現有關以前在設備上且隨后被刪除的文件的更多信息。這些只是在設備存儲的“空”部分中找到的多余文件。

組態

沒有為該模塊配置的內容。

使用模塊

選中“攝取模塊設置”屏幕中的復選框以啟用PhotoRec Carver。確保選擇“處理未分配的空間”。

攝取設置

該模塊的運行時設置使您可以選擇是否保留損壞的文件。

還要注意，“運行攝取模塊”選項需要包括未分配的空間才能運行該模塊。

看到結果

雕刻的結果顯示在樹上相應數據源的標題為“ $ CarvedFiles”的位置。

根據文件類型，適用的類型還會顯示在樹的“視圖”，“文件類型”部分中。

自定義文件簽名

要添加自定義文件簽名，請在用戶主目錄（例如-/home/john/photorec.sig或C：\ Users \ john \ photorec.sig）中創建文件（如果不存在）photorec.sig。photorec.sig文件每行應包含一個表達式。例如，要檢測具有標題簽名-0x4141414141414141的文件foo.bar，請添加一個表達式

條0 0x4141414141414141

在photorec.sig中，其中bar是文件擴展名，0是簽名偏移量，0x4141414141414141是簽名。在新行上添加另一個表達式，以根據其簽名檢測另一個自定義文件。