Clonar HD, recuperar arquivos deletados e buscas avançadas em arquivos e diretórios

Publicado por Marcelo Ferreira em 26/08/2008

[ Hits: 23.975 ]

 


Clonar HD, recuperar arquivos deletados e buscas avançadas em arquivos e diretórios



Introdução

Clonar discos rígidos tem a função de criar cópias físicas, isto é, até os blocos com defeito.

Recuperação de arquivos deletados é importante, pois os arquivos serão removidos só quando a sua área ocupada no disco for reutilizada.

Buscas indexadas em discos rígidos tem a função de identificar e ler o conteúdo de documentos.

O foco deste artigo será exemplificar o clone, recuperação de arquivos deletados e a busca em arquivos de um HD a partir do Sistema Operacional Linux Debian (testing).

Primeiros passos

Recomendo fazer 1 clone do disco a ser analisado, pois não é interessante trabalhar diretamente no disco que será analisado. Não utilizaremos em hipótese alguma o disco original.

Não esqueça de verificar se o HD a ser analisado foi reconhecido na BIOS do seu computador!

Trabalhando com distro Debian

Vamos identificar os discos instalados:

su -
# fdisk -l
# apt-get install dcfldd


Reinicie o computador!!!

Vamos gerar um HASH MD5 do disco a ser analisado, assim podemos confirmar a integridade do disco no futuro:

md5sum /disco/origem

Exemplo:

# md5sum /dev/sdc

Vamos criar o clone do HD:

dcfldd if=/disco/origem of=/disco/destino

Exemplo:

# dcfldd if=/dev/sdc of=/dev/sdb

Vamos anotar as características do hd a ser analisado:

# apt-get update
# apt-get install hwinfo ntfs-3g locate
# hwinfo > /tmp/caracteristicas.txt
# cat /tmp/caracteristicas.txt


A partir dos próximos passos recomendo remover o disco a ser analisado (/disco/origem).

Utilize o clone do hd (/disco/destino) para realizar todo o trabalho de analise e busca através do Debian.

Vamos montar o disco clonado no Debian:

# mkdir /clone
# mkdir /clone/particao1
# mkdir /clone/particao2
# mkdir /clone/particao3
# mkdir /clone/particao4
# fdisk -l
# mount -o defaults -t ntfs-3g /dev/sdb1 /clone/particao1
# mount -o defaults -t vfat /dev/sdb2 /clone/particao2
# mount -o defaults -t ntfs-3g /dev/sdb3 /clone/particao3
# mount -o defaults -t ntfs-3g /dev/sdb4 /clone/particao4


Photorec - recuperação de arquivos deletados

Instalação:

# apt-get update
# apt-get install testdisk


Vamos iniciar a recuperação de arquivos removidos:

# mkdir /clone/recuperacao
# fdisk -l
# photorec


Será solicitado o disco de origem (o disco foi montado nos passos anteriores) e o local de destino.

Ao final execute os comandos abaixo:

# chmod 777 -R /clone/recuperacao

Pronto, verifique os arquivos recuperados:

# cd /tmp/recuperacao

GQView - busca de arquivos do tipo imagem

Vamos utilizar a ferramenta GQView para encontrar e visualizar arquivos de imagens no clone.

# apt-get update
# apt-get install gqview


Levantar quantidade de arquivos por extensão

Vamos criar um arquivo do tipo executável encontrarmos a quantidade de arquivos desejados.

#!/bin/bash
updatedb --output=/tmp/locatedb --localpaths='/clone'
EXTENSOES="\.pdf$ \.rtf$ \.xls$ \.doc$ \.dot$ \.ppt$ \.pps$ \.odt$ \.ods$ \.odp$ \.sxw$ \.sxi$"
SOMA=0
for EXT in ${EXTENSOES} ;
do
LOCATE=`locate -d /tmp/locatedb -ci -r "$EXT"`
SOMA=`expr $SOMA + $LOCATE`
done
echo Você encontrou $SOMA arquivos do tipo documento de escritório!

Vamos criar um arquivo do tipo executável para encontrarmos a quantidade de arquivos desejados.

#!/bin/bash
updatedb --output=/tmp/locatedb --localpaths='/clone'
EXTENSOES="\.wav$ \.mp3$ \.ogg$ \.3gp$ \.mid$"
SOMA=0
for EXT in ${EXTENSOES} ;
do
LOCATE=`locate -d /tmp/locatedb -ci -r "$EXT"`
SOMA=`expr $SOMA + $LOCATE`
done
echo Você encontrou $SOMA arquivos do tipo áudio!

Vamos criar um arquivo do tipo executável para encontrarmos a quantidade de arquivos desejados.

#!/bin/bash
updatedb --output=/tmp/locatedb --localpaths='/clone'
EXTENSOES="\.avi$ \.wma$ \.wmv$ \.mov$ \.mp4$ \.mpg$ \.mpeg$"
SOMA=0
for EXT in ${EXTENSOES} ;
do
LOCATE=`locate -d /tmp/locatedb -ci -r "$EXT"`
SOMA=`expr $SOMA + $LOCATE`
done
echo Você encontrou $SOMA arquivos do tipo vídeo!

Beagle Search - buscas indexadas

Vamos realizar busca indexada, isto é, busca no interior do arquivo e na sua extensão ou nome.

# apt-get install beagle poppler-utils gnumeric

Execute o comando abaixo como usuário comum para executar o Beagle:

beagle-shutdown
export BEAGLE_EXERCISE_THE_DOG=1
$ beagled


O Beagle possui opções interessantes como abaixo (execute como usuário comum).

Verificar o status de execução do programa:

beagle-status
ou
beagle-ping
ou
beagle-info --all-info

Realizar buscas através do ambiente X:

beagle-search

Digite as expressões abaixo para realizar pesquisas:

"Expressão que deseja pesquisar"
ou
Marcelo OR Joao OR severino

Busca com mais de 100 resultados:

beagle-query --max-hits 9999 "com sigo mesmo"
ou
beagle-query --max-hits 9999 --stats-only "com sigo mesmo"

Parar o programa:

beagle-shutdown

Finalizando

Com estas explicações e exemplos acredito ter realizado uma abordagem inicial de ferramentas que otimizam a busca de documentos e também a busca dentro de seus conteúdos.

Viva a liberdade!

Outras dicas deste autor

Novos recursos (plugins) para o CACTI (Debian Linux) versão 0.8.7b

Instalação de template para monitoramento de hardware no CACTI (Debian)

Instalação de novos recursos (plugins) para o CACTI (Debian)

Falha de segurança em servidores na internet

Instalação e integração do CLAMAV com o SAMBA

Leitura recomendada

Sincronize um diretório pessoal com o Google Drive

Livre S.O. - Distro nacional entregue em casa

Instalando o requests-html no openSUSE

GiftedMotion - Crie GIFs facilmente

Instalação do Skype no Ubuntu

  

Comentários
[1] Comentário enviado por Mameluko em 07/10/2008 - 13:46h

Muito boa essa dica...
É exatamente o que eu estou precisando...
só estou com algumas duvidas:
Vc sabe me dizer se dá pra fazer isso no Ubuntu? Pq eu estou tentando nele, já que tenho ele instalado, e não tá dando. Quando eu dou o comando "# md5sum /dev/sdc " não volta nada. Será que estou fazendo algo errado ou não dá para fazer no ubuntu mesmo?

Se for o caso eu já estou baixando uma versão do Debian para tentar.

Abraço!

[2] Comentário enviado por Mameluko em 07/10/2008 - 14:17h

iiiiiiii
Agora volto...
Eu tinha dado o comando "# md5sum /dev/sdc" e só agora que volto uma mensagem com uma numeração gigante de erro...




Contribuir com comentário