ntfsundelete - NTFS ボリュームからの削除されたファイルの回復
ntfsundelete [options] device
ntfsundelete ユーティリティーは、適切な状況下で、削除されたファイルを NTFS ボリュームから回復できます。このコマンドには 3 つの操作モードがあります。
デフォルトモードです。scan は、NTFS ボリュームを読み取り、削除されたファイルを検索するだけです。検索後、削除された各ファイルの i ノード番号、名前、サイズを一覧表示します。
undelete モードは、正規表現に一致するファイル (オプション –m)、または inode-expressions で指定されたファイルのどちらかを取り、できるだけ多くのデータを回復します。別の場所に結果を保存します。
上級者向けオプションです。MFT の一部をファイルに保存します。このファイルは ntfsundelete のデバッグ時に役立ちます。
ntfsundelete でファイルを回復できない状況は多数あります。たとえば、次のシナリオを考えます。ファイルを削除したとき、MFT レコードには未使用というマークが付けられ、ディスクの使用状況を表すビットマップが更新されます。電源をすぐに切らない場合、これまでファイルが存在していた空き領域が上書きされる可能性があります。さらに悪い場合は、MFT レコードが別のファイルに再使用されることもあります。このような事態になった場合、ファイルがディスク上のどこにあったかを判別することは不可能です。
ファイルのすべてのクラスタが未使用の場合でも、一部の短命ファイルによって上書きされていないという保証はありません。
ntfsundelete は、圧縮または暗号化されたファイルを回復できません。スキャン中、このようなファイルは 0% 回復可能であると表示されます。
NTFS では、すべてのファイル名が Unicode で格納されます。ファイル名は、ntfsundelete によって現在のロケールに変換されて表示されます。このユーティリティーは漢字ファイル名を正しく表示し、正しく回復します。
まれに、ファイルを記述したメタデータを保持するために、単一の MFT レコードでは不足する場合があります (1 つのファイルが数百のフラグメントに分散している場合に不足します)。このような場合は、ある MFT レコードにファイル名が格納され、別のレコードにデータに関する情報が格納される可能性があります。ntfsundelete は、これらのレコードをまとめようとはしません。単に、データが含まれる、名前のないファイルを一覧表示するだけです。
ntfsundelete は、ファイルを回復するために、ファイルのメタデータを読み取る必要があります。残念ながら、ファイルが削除されると、メタデータは整合性のない状態になる可能性があります。たとえば、ファイルサイズが 0 と記録される場合や、ファイルの作成日が、削除された日時や無作為な日時に設定される場合があります。これらの状況では、ntfsundelete は、見つかった最大のファイルサイズを選択して、それをディスクに書き込みます。また、ファイルの作成日を最終更新日に設定しようとします。この日付は、正しい最終更新日の場合もあれば、予期しない日付の場合もあります。
サポートされているオプションを次に示します。ほとんどのオプションには、単一文字と完全名の両方の形式があります。引数を取らない単一文字オプションは複数を組み合わせることができます。たとえば、–fv は –f –v と同等です。完全名のオプションは、その名前の一意の接頭辞に短縮できます。
回復不可能なファイルクラスタの部分を、num で表されるバイトで埋めます。デフォルトは 0 です。
––match オプションを付けてファイル名検索を行うと、照合を行うときに大文字と小文字を区別します。デフォルトのファイル名検索では、大文字と小文字を区別しません。
この上級者向けオプションは、MFT FILE レコードのブロックをファイルに書き込みます。デフォルトファイルは、現在のディレクトリに作成される mft です。このオプションは、–-output オプションおよび –-destination オプションと同時に指定できます。
–-copy オプションと –-undelete オプションの出力ファイルの場所を指定します。
既存のファイルを上書きしないなど、一部の妥当なデフォルト値をオーバーライドします。このオプションは慎重に使用してください。
それぞれの簡単な説明が付いたオプションのリストを表示します。
指定した範囲の i ノード番号内のファイルを回復します。range には、単一の i ノード番号、コンマ区切りの複数の番号、またはダッシュ (-) 区切りの範囲を指定できます。
pattern に一致するファイル名だけを検索することによって、出力をフィルタ処理します。パターンには、ちょうど 1 文字に一致するワイルドカード ? や、0 個以上の文字に一致する * を含めることができます。デフォルトでは、照合では大文字と小文字を区別しません。検索で大文字と小文字を区別するには、–-case オプションを使用します。
現在使用中とマークされている場合でも、ファイルの一部を回復します。
–-copy オプションまたは –-undelete オプションで作成される出力ファイルの名前を設定します。
削除されたファイルの親ディレクトリを表示します。
回復可能率が num パーセントの内容のファイルだけに一致するように、–-scan オプションの出力をフィルタ処理します。
出力の量を最小限にします。このオプションは、–-scan オプションを使用する場合には役立ちません。
NTFS ボリュームを検索して、回復できる可能性があるファイルのリストを表示します。これは ntfsundelete のデフォルトのアクションです。このリストは、ファイル名、サイズ、回復可能率、または最終更新時間でフィルタ処理できます。それぞれ –-match、–-size、–-percent、–-time オプションを使用します。
このオプションの出力の %age (パーセント) フィールドには、ファイルの中で回復できる見込みのある割合が表示されます。
特定の範囲のファイルサイズを検索することによって、–-scan オプションの出力をフィルタ処理します。range は、2 つの数値をハイフン (-) で区切って指定できます。サイズの単位は、K バイト、M バイト、G バイト、T バイトに対してそれぞれ接尾辞 k、m、g、t の略称を使用できます。
–-scan オプションの出力をフィルタ処理します。この時間以降に変更されたファイルだけを照合します。時間は、数値と、日、週、月、年にそれぞれ対応する接尾辞 d、w、m、y で指定する必要があります。
ntfsundelete のデフォルトの動作では、ファイルのサイズをもっとも近いクラスタに切り上げます (512 バイトの倍数になります)。ユーティリティーにファイルのサイズに関する完全なデータがある場合、このオプションは正確にそのサイズにファイルを復元します。
undelete モードを指定します。–-match オプションや –-inodes オプションを使用することにより、回復対象のファイルを指定できます。このオプションは、–-output、–-destination、および –-byte と同時に指定できます。
–-output オプションを使用しないかぎり、ファイルを回復するときにその元の名前が付けられます。
ntfsundelete が表示する出力の量を増やします。
ntfsundelete のバージョン番号、著作権、およびライセンスを表示します。
次のコマンドは、特定のデバイス上で削除されたファイルを検索します。
# ntfsundelete /dev/dsk/c0d0p1使用例 2 ワイルドカードに一致するファイルを検索する
次のコマンドは、*.doc に一致する削除されたファイルを検索します。
# ntfsundelete /dev/dsk/c0d0p1 -s -m '*.doc'使用例 3 特定のサイズのファイルを検索する
次のコマンドは、少なくとも 90% のデータが回復可能な 5000 から 6000000 バイトの削除されたファイルを、/dev/dsk/c0d0p1 上で検索します。
# ntfsundelete /dev/dsk/c0d0p1 -S 5k-6m -p 90使用例 4 最近変更されたファイルを検索する
次のコマンドは、削除されたファイルのうち過去 2 日間に変更されたものを検索します。
# ntfsundelete /dev/dsk/c0d0p1 -t 2d使用例 5 i ノード範囲を指定する
次のコマンドは、デバイス /dev/sda1 の 2、5、および 100 から 131 の i ノードの削除を取り消します。
# ntfsundelete /dev/sda1 -u -i 2,5,100-131使用例 6 出力ファイルとディレクトリを指定する
次のコマンドは、i ノード番号 3689 の削除を取り消し、ファイルに work.doc の名前を付け、ユーザーのホームディレクトリにそのファイルを格納します。
# ntfsundelete /dev/dsk/c0d0p1 -u -i 3689 -o work.doc -d ~使用例 7 MFT レコードを保存する
次のコマンドは、MFT レコード 3689 から 3690 を、ファイル debug に保存します。
# ntfsundelete /dev/dsk/c0d0p1 -c 3689-3690 -o debug
属性についての詳細は、マニュアルページの attributes(5) を参照してください。
|
ntfsclone(1M), ntfsresize(1M), parted(1M), attributes(5)
ntfsundelete は、Anton Altaparmakov の協力の下、Richard Russon および Holger Ohmacht が作成しました。