Introdução

Clonar discos rígidos tem a função de criar cópias físicas, isto é, até os blocos com defeito.

Recuperação de arquivos deletados é importante, pois os arquivos serão removidos só quando a sua área ocupada no disco for reutilizada.

Buscas indexadas em discos rígidos tem a função de identificar e ler o conteúdo de documentos.

O foco deste artigo será exemplificar o clone, recuperação de arquivos deletados e a busca em arquivos de um HD a partir do Sistema Operacional Linux Debian (testing).

Primeiros passos

Recomendo fazer 1 clone do disco a ser analisado, pois não é interessante trabalhar diretamente no disco que será analisado. Não utilizaremos em hipótese alguma o disco original.

Não esqueça de verificar se o HD a ser analisado foi reconhecido na BIOS do seu computador!

Trabalhando com distro Debian

Vamos identificar os discos instalados:

su -
# fdisk -l
# apt-get install dcfldd

Reinicie o computador!!!

Vamos gerar um HASH MD5 do disco a ser analisado, assim podemos confirmar a integridade do disco no futuro:

md5sum /disco/origem

Exemplo:

# md5sum /dev/sdc

Vamos criar o clone do HD:

dcfldd if=/disco/origem of=/disco/destino

Exemplo:

# dcfldd if=/dev/sdc of=/dev/sdb

Vamos anotar as características do hd a ser analisado:

# apt-get update
# apt-get install hwinfo ntfs-3g locate
# hwinfo > /tmp/caracteristicas.txt
# cat /tmp/caracteristicas.txt

A partir dos próximos passos recomendo remover o disco a ser analisado (/disco/origem).

Utilize o clone do hd (/disco/destino) para realizar todo o trabalho de analise e busca através do Debian.

Vamos montar o disco clonado no Debian:

# mkdir /clone
# mkdir /clone/particao1
# mkdir /clone/particao2
# mkdir /clone/particao3
# mkdir /clone/particao4
# fdisk -l
# mount -o defaults -t ntfs-3g /dev/sdb1 /clone/particao1
# mount -o defaults -t vfat /dev/sdb2 /clone/particao2
# mount -o defaults -t ntfs-3g /dev/sdb3 /clone/particao3
# mount -o defaults -t ntfs-3g /dev/sdb4 /clone/particao4

Photorec - recuperação de arquivos deletados

Instalação:

# apt-get update
# apt-get install testdisk

Vamos iniciar a recuperação de arquivos removidos:

# mkdir /clone/recuperacao
# fdisk -l
# photorec

Será solicitado o disco de origem (o disco foi montado nos passos anteriores) e o local de destino.

Ao final execute os comandos abaixo:

# chmod 777 -R /clone/recuperacao

Pronto, verifique os arquivos recuperados:

# cd /tmp/recuperacao

GQView - busca de arquivos do tipo imagem

Vamos utilizar a ferramenta GQView para encontrar e visualizar arquivos de imagens no clone.

# apt-get update
# apt-get install gqview

Levantar quantidade de arquivos por extensão

Vamos criar um arquivo do tipo executável encontrarmos a quantidade de arquivos desejados.


Vamos criar um arquivo do tipo executável para encontrarmos a quantidade de arquivos desejados.


Vamos criar um arquivo do tipo executável para encontrarmos a quantidade de arquivos desejados.

Beagle Search - buscas indexadas

Vamos realizar busca indexada, isto é, busca no interior do arquivo e na sua extensão ou nome.

# apt-get install beagle poppler-utils gnumeric

Execute o comando abaixo como usuário comum para executar o Beagle:

beagle-shutdown
export BEAGLE_EXERCISE_THE_DOG=1
$ beagled

O Beagle possui opções interessantes como abaixo (execute como usuário comum).

Verificar o status de execução do programa:

beagle-status
ou
beagle-ping
ou
beagle-info --all-info

Realizar buscas através do ambiente X:

beagle-search

Digite as expressões abaixo para realizar pesquisas:

"Expressão que deseja pesquisar"
ou
Marcelo OR Joao OR severino

Busca com mais de 100 resultados:

beagle-query --max-hits 9999 "com sigo mesmo"
ou
beagle-query --max-hits 9999 --stats-only "com sigo mesmo"

Parar o programa:

beagle-shutdown

Finalizando

Com estas explicações e exemplos acredito ter realizado uma abordagem inicial de ferramentas que otimizam a busca de documentos e também a busca dentro de seus conteúdos.

Viva a liberdade!