在数据恢复中使用 ReclaiMe Pro 按照不同方式搜索特定的目标文件
首页 > 数据恢复软件
时间:2023-03-14
鸿萌是 ReclaiMe Pro 数据恢复软件的授权代理商,为广大用户提供官方正版的数据恢复软件。
ReclaiMe Pro 提供多种搜索文件的方式,在数据恢复过程中,可以对特定的目标文件进行多方位的灵活搜索。
按照文件类型、名称和大小进行搜索
搜索模式
使用搜索模式,可以在恢复的数据中使用掩码来搜索特定名称的对象。
可以选择以下选项之一:
- 子字符串搜索——ReclaiMe Pro 搜索包含此字段的名称,不区分大小写。
- MS-DOS * 和 ? 掩码,不区分大小写。
- 正则表达式,区分大小写。
对象类型
使用对象类型参数,可以设置需要搜索的对象:所有、文件或文件夹。
已删除状态
可以选择以下选项之一:全部、未删除或仅搜索已删除。
在无法检测已删除文件的文件系统上,搜索已删除文件功能不适用。
此外,可以指定要搜索对象的最小和最大大小。
按照时间戳进行搜索
可以对目标文件指定时间戳进行搜索,例如:
- 在…日期之后创建
- 在…日期之前创建
- 在…日期之后修改
- 在…日期之前修改
- 在…日期之后访问
- 在…日期之前访问
! 请注意:在恢复数据时,有时会无法检索某些文件的创建和修改时间,因此在使用时间掩码时应小心。
按照文件内容进行搜索
在 ReclaiMe Pro 中,您可以通过以下方式过滤文件内容:
- 文件扩展名
- 测试状态
- 内容类型
按照文件扩展名进行搜索
选中后,可以在两种模式之间进行选择:
- 文件扩展名匹配检测到的内容类型
- 文件扩展名与检测到的内容类型不匹配
- 通常,ReclaiMe Pro 会对有问题的文件进行分析,以便确认它是否属于所标注扩展名的文件(从文件名中获取)。为了达到这个目的,ReclaiMe Pro 使用特殊算法;但是,并不是对所有文件内容都进行测试。应该注意,除了故意重命名而导致扩展名与实际文件类型不符之外,文件内容损坏也可能会造成这种结果。
按照文件的测试状态进行搜索
选中后,可以搜索具有特定测试状态的文件。测试状态值包括:
- 未测试
- 未知
- 好的
- 坏的
- 读取错误
内容类型
选中后,可以设定需要搜索的文件内容类型。在分析内容类型时,ReclaiMe Pro 会根据真实的文件内容而不是文件扩展名进行判断。
按文件的哈希值进行搜索
在 ReclaiMe Pro 中,可以搜索与已知 MD5/SHA-1 哈希值匹配的文件。此功能可帮助识别已知的良好文件和可疑文件。可用于在取证工作中搜索可疑文件。
要识别已知的良好文件,应该加载包含哈希值的文件(使用加载哈希文件按钮)。
还可以加载自己的哈希数据库文件来搜索可疑文件。哈希文件中每一行应具有以下格式:
- 哈希值 — MD5的 16 个十六进制符号或 SHA-1 的 20 个十六进制符号。
- 可选的自定义符号,例如文件名。
加载哈希文件后,ReclaiMe Pro 会显示从文件中提取了多少哈希值。 丢弃的行(Discarded lines)显示由于某种原因(例如由于格式不正确)而未加载的哈希值。