|
 | 作者: alt [alt_2000]
 论坛用户 |
登录 |
| 与DOS/Windows不同,UNIX文件被删除后很难恢复,这是由UNIX独特的文件系统结构决定的。UNIX文件目录不像DOS/Windows那样,文件即使被删除之后仍保存有完整的文件名、文件长度、始簇号(即文件占有的第一个磁盘块号)等重要信息;相反,它的文件信息全部依靠一种被称为i节点的数据结构来描述,而i节点在相应文件被删除之后即被清空,因此,要想直接恢复被删除的文件内容几乎是不可能的,必须另辟蹊径。本文结合实际,讨论几种文件恢复策略及其关键步骤的具体实现。 一、UNIX文件系统结构 我们知道,UNIX是以文件卷作为其文件系统存储格式的,而不同的UNIX系统,文件卷格式是有差异的,甚至即使是同一UNIX操作系统的不同版本,其文件系统未必完全相同,例如:SCO UNIX 4.1版与5.0版文件系统结构就有明显差异,但只要是UNIX系统,其文件卷的基本结构是一致的。分析如下: 不管是什么UNIX系统,不管什么版本,其文件卷至少包括引导块、超级块、i节点表、数据区等几个部分。除此之外,不同UNIX版本可能还有不同的差异。例如:SCO UNIX系统的位图索引块和位图块AIX的逻辑卷表等。这些系统的特殊性不影响下文的恢复策略,故这里不作讨论,仅介绍标准UNIX文件卷结构。 1. 引导块 位于文件卷最开始的第一扇区,这512字节是文件系统的引导代码,为根文件系统所特有,其他文件系统这512字节为空。 2. 超级块 位于文件系统第二扇区,紧跟引导块之后,用于描述本文件系统的结构。如i节点长度、文件系统大小等,其结构存放于/usr/include/sys/filsys.h中,其结构如下: struct filsys { ushort s_isize; /*磁盘索引节点区所占用的数据块数*/ daddr_t s_fsize; /*整个文件系统的数据块数*/ short s_nfree; /*在空闲块登录表中当前登记的空闲块数目*/ daddr_t s_free[NICFREE]; /*空闲块登记表*/ short s_ninode; /*空闲索引节点数*/ ino_t s_inode[NICINOD]; /*空闲节点登记表*/ char s_flock; /*加锁标志位*/ char s_ilock; /*节点加锁标志位*/ char s_fmod; /*超级块修改标志*/ char s_ronly; /*文件系统只读标志*/ time_t s_time; /*超级块上次修改的时间*/ short s_dinfo[4]; /*设备信息*/ daddr_t s_tfree; /*空闲块总数*/ ino_t s_tinode; /*空闲节点总数*/ char s_fname[6]; /*文件系统名称*/ char s_fpack[6]; long s_fill[13]; /*填空位*/ long s_magic; /*指示文件系统的幻数*/ long s_type; /*新文件系统类型*/ }; 3. i节点表 i节点表存放在超级块之后,其长度是由超级块中的s_isize字段决定的,其作用是用来描述文件的属性、长度、属主、属组、数据块表等,其数据结构在/usr/include/sys/ino.h中,如下: struct dinode { ushort di_mode; short di_nlink; ushort di_uid; ushort di_gid; off_t di_size; char di_addr[40]; time_t di_atime; time_t di_mtime; time_t di_ctime; }; 4. 目录结构 UNIX所有文件均存放于目录中,目录本身也是一个文件。目录存放文件的机制如下:首先,目录文件本身也象普通文件一样,占用一个索引节点,其次,由这个索引节点得到目录内容的存放位置,再次,从其内容中取出一个个的文件名和它对应的节点号,从而访问一个文件。目录结构如下: 索引节点号(2字节) .(本目录)(14字节) 索引节点号(2字节) ..(父目录)(14字节) 索引节点号(2字节) 文件名(14字节) 索引节点号(2字节) 文件名(14字节) 索引节点号(2字节) 文件名(14字节) 由上可知文件名是依靠目录来描述的,文件的内容和其他信息则由索引节点来描述。 |
| 地主 发表时间: 08/02 03:05 |
 | 回复: xiaojun [xiaojun]  剑客 |
登录 |
|
√ 4/8 |
| B1层 发表时间: 08/04 14:46 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: UNIX系统 标题: UNIX系统被删文件的恢复策略(上)