Ext3文件系统
基于TSK实现Ext3文件系统下的电子数据取证
统 ,则会显示其最后挂载时间、最后 写入时间、最后检查时
随着计 算机 网络 的迅速发展 以及网 民数 量的快速增
长 ,我 国计算机犯罪案件呈现快速增长的趋势 ,其危害性也
逐步增大 , 如政府网站和各大门户网站被各种别有用心的黑
客入侵 ,在社会上造成了极为恶劣的影响。这些网站所使用
的服务器相当一部分安装的是 U n i x 系统或 L i n u x 系统 ,因此
基于T S K 实现 E ) I 文件 系统下的 电子数据取证
罗文华 中国刑事警察学院
摘 要 :作 为GN U系统 中标; 隹的文件系统 ,E x t 3 以其 良好的文件仔职性 能,在L i n u x操作 系统 中得到 了广泛的应用 ,已绎 成为其主流文件系统。 因此 ,对E x t 3 文件系统 电子数 据取 证方法的研 究,必然会 对L i n u x 环境下的 电子证据收集 工作产生积极的影响。依托开源工具包T S K ,蜒于 E x t 3 文件 系统原理描述 电子数据取证 方法 ,所述方法适用于绝 大多数L i n u x 版本,并 且具有较强 的可操作性 ,收集结果直观明 了。
实现 E ) ( 1 3 ቤተ መጻሕፍቲ ባይዱ件 系统下的电子取证
( 一 ) 文件系统层 通常 ,一块磁盘包含 了一个或 多个分 区,每个分 区又 各 自拥有 自己的文件 系统 , ̄ 1 : 1 Wi n d o w s 的F A T 、N T F S 以及
ext3默认簇大小
以下是对ext3文件系统默认簇大小的分析:
簇大小是文件系统中用于存储数据的最小单元大小。
在ext3文件系统中,默认的簇大小是根据文件系统的性能和磁盘空间的使用情况来设置的。
默认情况下,ext3文件系统的簇大小为4KB。
簇大小对文件系统的性能和磁盘使用情况有重要影响。
如果簇大小设置得过大,会浪费磁盘空间,因为不是所有的簇都会被实际使用。
相反,如果簇大小设置得过小,会降低文件系统的性能,因为需要更多的I/O操作来读取和写入数据。
在ext3文件系统中,默认的簇大小是由系统配置参数决定的,这些参数是在创建文件系统时设置的。
在大多数情况下,ext3文件系统的簇大小是合理的,能够满足大多数应用的需求。
然而,在某些特殊情况下,如需要优化磁盘使用或提高文件系统性能时,可以调整簇大小。
要调整ext3文件系统的簇大小,需要编辑ext3文件系统的元数据目录中的fs.block_size参数。
这个参数的值决定了簇的大小,可以通过修改它来改变簇的大小。
需要注意的是,调整簇大小可能会影响文件系统的性能和磁盘使用情况,因此在进行更改之前,应该仔细评估当前的情况和需求。
总的来说,默认的ext3文件系统簇大小是在综合考虑了性能和磁盘使用情况后设置的。
在大多数情况下,默认的簇大小可以满足需求。
然而,在某些特殊情况下,如需要优化磁盘使用或提高文件系统性能时,可以调整簇大小。
在进行更改之前,应该仔细评估当前的情况和需求。
如果您需要了解更多关于ext3文件系统的详细信息,可以参考相关文档和资料。
ext3 文件系统
以根用户身份键入以下命令来检查分区的错误:
/sbin/e2fsck -y /dev/ hdb1
然后通过键入以下命令来把分区重新挂载为 ext2 文件系统:
mount -t ext2 /dev/ hdb1 /mount/point
在以上命令中,把 /mount/point 替换成分区的挂载点。
1.4. 还原到 ext2 文件系统
因为 ext3 相对来说比较新,某些磁盘工具可能还不支持它。例如,你可能需要使用 resize2fs 来缩小某分区,该命令不支持 ext3。在这种情况下,可能会有必要把文件系统暂时还原成 ext2。
要还原分区,你必须首先卸载分区。方法是登录为根用户,然后键入:
umount /dev/ hdb X
在以上命令中,把 /dev/ hdb 替换成设备名称,把 X 替换成分区号码。本节以后的示例命令将会使用 hdb1 来代表设备t2,以根用户身份键入以下命令:
/sbin/tune2fs -O ^has_journal /dev/ hdb1
由 ext3 文件系统提供的登记报表方式意味着不洁系统关机后没必要再进行此类文件系统检查。使用 ext3 系统时,一致性检查只在某些罕见的硬件失效(如硬盘驱动器失效)情况下才发生。不洁系统关机后,ext 文件系统的恢复时间不根据文件系统的大小或文件的数量而定,而是根据用于维护一致性的 登记日志(journal) 的大小而定。根据你的硬件速度,默认的登记日志只需花大约一秒钟来恢复。
下一步,删除根目录下的 .journal 文件。方法是转换到分区的挂载目录中,然后键入:
rm -f .journal
你现在就有一个 ext2 分区了。
如果你永久地把分区改换成 ext2,请记住更新 /etc/fstab 文件。
Linux系统ext2与ext3文件系统的区别与转换
ext2和ext3是Linux比较旧的文件系统, 在Linux 7中支持的文件系统已经是 “xfs”,但是为了知识的衔接性,也为 了更深的认识文件系统之间的差别有必 要认识一下这两个文件系统。 这两个文件系统的格式是相同的,不 同的是在ext3文件系统中在硬盘的后面 留出一块磁盘空间来存放日志(journal) 记录。
全部消失。 如果你接手一个很重要的Linux系统, 而这个Linux系统的文件系统还是很老的 ext2,而为了提高性能还要保留原来的 数据就只能使用命令tune2fs命令(在线 转换文件系统ext2→ext3)了。
除了使用“-j”选项创建ext3文件系 统之外,可以直接使用mkfs.ext3 设备名
在开机时Linux系统都会检查每个文件 系统的Valid bit,值如为1则直接挂载该 文件系统,而如果为0值,则系统会扫描 这个文件系统(硬盘分区)查找损坏的 数据,如果这个硬盘分区很大,扫描时 间会很长。 1扫描
0不扫描 由于ext3文件系统有日志机制,开机 时系统会先检查日志中的信息,检查日
创建ext3文件系统。
journal=”日志”
使用命令dumpe2fs /dev/sdc1 | more 可以看到成功创建ext3文件系统。
二、在ext3格式文件系统上,数据写 入硬盘的操作过程为: ⑴数据同样先写 入缓冲区 ① ⑵当数据写入 缓冲区 (内存) 缓冲区满时,先通知 ③ 日志 ext3 文件 ⑶通知日志之后 ② ④ 系统 数据才会写入硬盘中 日志 ⑷数据写入硬盘后,系统 再通知日志数据已经写入硬盘。
三、日志机制 在ext2和ext3中,文件系统的格式是 一样的,不一样的地方是ext2没有日志 机制,而ext3有日志机制。 对于ext2,由于它没有日志机制,在 Linux使用Valid bit标志位来记录系统在 关机之前该文件系统是否已经卸载。因 每一个文件系统都有一个自己的Valid bit 。并且,Valid bit的值为1,则表示这个 文件系统已经卸载,而其值为0,则表示 这个文件系统没有正常关机。
Linux ext3
Linux ext3在Red Hat Linux 7.2版中,Red Hat首次支持了日志文件系统的ext3文件系统。
该文件系统是在ext2文件系统的基础上进行了改进,是使用了日志功能的ext2文件系统加强版。
ext3文件系统为ext2文件系统共享了所的磁盘设备,并添加了向ext2文件系统转换的能力。
ext3基于ext2的代码,所以它的磁盘格式和ext2的相同,这意味着一个干净卸载的ext3文件系统可以作将ext2文件系统毫无问题地重新挂装。
ext3文件系统和ext2文件系统都使用相同的元数据,因而有可能执行ext2文件系统到ext3文件系统的现场升级,从ext2文件系统升级到ext3只需要短短的几分钟。
1.日志(Journaling)日志块设备层(JBD,Journaling block device layer)完成ext3文件系统日志功能。
JBD不是ext3文件系统所特有的,它的设计目标是为了向一个块设备添加日志功能。
当一个修改执行时,ext3文件系统代码将通知JBD,称为一个事务(transaction)。
如果在事务执行时突然断电或出现其他情况导致事务终止,日志功能具有的重放功能,能重新执行中断的事务。
日志中有三种数据模式:第一种模式:data=writeback。
在这种模式里ext3文件系统根本不处理任何形式的日志数据(如XFS、JFS和ReiserFS)。
尽管事实上它提供有限的数据完整性并能摧毁用户最近修改的文件,但这种模式能给用户整体上的最高性能。
第二种模式:data=ordered,在这种模式下ext3文件系统只记录元数据日志,但它将元数据和数据分组成一个单元称为事务(transaction)。
这种模式保持数据的可靠性与文件系统一致性,这意味着在系统崩溃后,用户不会在新近写入的文件中看到任何垃圾数据。
总体来说这种模式的性能远远低于data=writeback模式,但却比data=journal模式快很多。
liunx(btrfs,ext3,ext4,jfs,reiserfs,xfs)文件系统比较
文件系统btrfs ext3ext4jfs reiserfs reiser4xfs ntfs zfs 最大卷容量16 EB32 TB 1 EB (16TB)32 PB16 TB??16 EB256 TB16 EB 最大文件容量16 EB 2 TB16 TB 4 PB8TB8TB8 EB16 TB16 EB目录结构 B tree list/tree list/Htree B tree B+ tree dancing B*tree B+ tree B+ treehashtable文件分配extents bitmap/table bitmap/extents bitmap/extents bitmap??extents bitmap?? ACLS Yes Yes Yes Yes No No Yes ACLS only Yes checksum Yes No journal No No No No No Yes 透明压缩Yes No No No No Plugin No Yes Yes 透明加密No No No No No Plugin No Yes Yes online defrag Yes No Yes Yes No Yes Yes Yes Yesshrink Yes Yes Yes No Offlineresize Offline No Yes No全填充速率全填充利用率0.89450.90650.90470.99590.99270.9918大文件效率14.67617.43510.725513.749314.31912.7093大文件删除 2.693 5.262 2.4220.037 1.8020.296小文件效率9.949 5.131 2.786640.94913.6058.978小文件删除 6.73710.7227 1.3916.116 2.756 5.653循环列文件0.1240.0890.0020.0940.190.099大文件read204620619314511946598200391215377521970242大文件write1279625565960926461962617446841812466大文件rndread201277119262871934420198527314901991976056大文件rndwrite138040411870101294689144601113082101384804小文件read237589329348153019732270843725593712236197小文件write926602526469681710844237395810939536小文件rndread332464735445662702282373755140455752666753小文件rndwrite91027715259701244240191075617903931311261以上数据,在公司的debian testing上测定。
常用的linux文件系统类型
常用的linux文件系统类型Linux操作系统是一种开源的操作系统,它的文件系统类型非常丰富。
不同的文件系统类型可以支持不同的文件大小、文件数量和文件系统的速度等特性。
本文将对常用的Linux文件系统类型进行介绍,以帮助读者选择最适合自己需求的文件系统类型。
1. ext2ext2是Linux最早的文件系统类型之一。
它被广泛使用,因为它很稳定,而且在Linux内核中得到了很好的支持。
它支持最大2TB 的文件系统,并且允许使用文件名长达255个字符。
但它不支持文件的访问控制,因此在安全性方面不太可靠。
另外,由于它没有日志功能,因此在文件系统崩溃后需要进行长时间的文件系统检查。
2. ext3ext3是ext2的升级版本,它添加了日志功能。
这意味着在文件系统崩溃后,ext3可以更快地恢复,而且文件系统的可靠性也更高。
它还支持最大16TB的文件系统,并且可以使用文件名长达255个字符。
但它的速度较慢,因为每次写入都需要写入日志。
3. ext4ext4是ext3的升级版本,它支持最大1EB的文件系统,而且可以使用文件名长达255个字符。
它的速度比ext3更快,因为它使用了更先进的数据结构,同时它的文件系统检查速度也更快。
此外,它还支持更高级的文件访问控制,因此在安全性方面更可靠。
4. XFSXFS是一种高性能的文件系统类型,它可以支持非常大的文件和文件系统。
它支持最大9EB的文件系统,并且可以使用文件名长达255个字符。
它的速度非常快,因为它使用了先进的算法和数据结构。
但它的可靠性不如ext4,因为它在文件系统崩溃后需要进行长时间的文件系统检查。
5. BtrfsBtrfs是一种新型的文件系统类型,它被设计用于支持大型文件系统和高级数据管理功能。
它支持最大16EB的文件系统,并且可以使用文件名长达255个字符。
它支持数据快照、压缩、复制和校验等高级功能。
但它还不够稳定,因为它还没有被广泛使用。
6. NTFSNTFS是Windows操作系统使用的文件系统类型,但它也可以在Linux上使用。
ext3_JBD_文档
Ext3文件系统1 Ext3文件系统简介Ext3一种日记式文件系统。
日记文件系统会把系统对磁盘文件系统的更改第一一一记录在日记文件中,然后再更新到磁盘上。
在由某种原因(例如down机等)而致使文件系统显现不一致的情形下,能够通过重放(replay)日记文件来恢复文件系统的一致性。
Ext3是直接从Ext2文件系统进展过来的,采纳了Ext2文件系统的磁盘数据布局,实现了对Ext2的完全兼容。
依照写入日记的内容和数据刷新时刻的不同,Ext3可支持三个不同的日记格式:Journal模式,ordered模式和writeback模式。
1.1Ext3日记模式第一介绍元数据的概念,在Ext2 和 Ext3中,有六种元数据,别离是:超级块,块组描述符,节点,间接块,数据位图。
可见,元数据记录了数据的改变。
Ext3既能够只对元数据做日记,也能够同时对文件数据块做日记。
具体来讲,Ext3提供以下三种日记模式:日记(Journal )文件系统所有数据和元数据的改变都记入日记。
这种模式减少了丢失每一个文件所作修改的机遇,可是它需要很多额外的磁盘访问。
例如,当一个新文件被创建时,它的所有数据块都必需复制一份作为日记记录。
这是最平安和最慢的Ext3日记模式。
预定(Ordered )只有对文件系统元数据的改变才记入日记。
但是,Ext3文件系统把元数据和相关的数据块进行分组,以便把元数据写入磁盘之前写入数据块。
如此,就能够够减少文件内数据损坏的机遇;例如,确保增大文件的任何写访问都完全受日记的爱惜。
这是缺省的Ext3 日记模式。
写回(Writeback )只有对文件系统元数据的改变才记入日记;这是在其改日记文件系统发觉的方式,也是最快的模式1.2日记块设备(JBD)Ext3 文件系统本身不处置日记,而是利用日记块设备(Journaling Block Device)或叫JBD 的通用内核层。
Ext3文件系统挪用JDB例程以确保在系统万一显现故障时它的后续操作可不能损坏磁盘数据结构。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
EXT3文件系统
EXT2和EXT3是许多Linux操作系统发行版本的默认文件系统。
EXT基于UFS,是一种快速、稳定的文件系统。
随着Linux系统在关键业务中的应用,Linux文件系统的弱点也渐渐显露出来了;其中EXT2文件系统是非日志式文件系统,这在关键行业的应用是一个致命的弱点,EXT3文件系统弥补了这一缺点。
EXT3文件系统是直接从EXT2文件系统发展而来,目前EXT3文件系统已经非常稳定可靠。
它完全兼容EXT2文件系统。
用户可以平滑地过渡到一个日志功能健全的文件系统中来。
这实际上了也是EXT3日志文件系统初始设计的初衷。
Ext3文件系统属于一种日志文件系统,是对Ext2系统的扩展。
Ext3系统兼容Ext2文件系统,二者之间的相互转换并不复杂。
Ext2是 GNU/Linux 系统中标准的文件系统,其簇快取层的优良设计使得Ext2系统存取文件的性能非常好,尤其是针对中小型的文件更显优势。
Ext3是一种日志式文件系统,日志文件系统比传统的文件系统安全,因为它用独立的日志文件跟踪磁盘内容的变化。
就像关系型数据库(RDBMS),日志文件系统可以用事务处理的方式,提交或撤消文件系统的变化。
由于文件系统都有快取层参与运作,不使用时必须将文件系统卸下,以便将快取层的资料写回磁盘中。
因此每当系统要关机时,必须将其所有的文件系统全部关闭后才能进行关机。
如果在文件系统尚未关闭前就关机 (如停电) 时,下次重开机后会造成文件系统的资料不一致,故(所以)这时必须做文件系统的重整工作,将不一致与错误的地方修复。
然而这一重整的工作是相当耗时的,特别是容量大的文件系统,而且也不能百分之百保证所有的资料都不会流失。
为了克服此问题,使用(便出现了)所谓的日志式文件系统 (Journal File System) 。
此类文件系统最大的特色是,它会将整个磁盘的写入动作完整记录在磁盘的某个区域上,以便有需要时可以回溯追踪。
由于资料的写入动作包含许多的细节,如改变文件标头资料、搜寻磁盘可写入空间、一个个写入资料区段等等,每一个细节进行到一半若被中断,就会造成文件系统的不一致,因而需要重整。
然而在日志式文件系统中,由于详细纪录了每个细节,故当在某个过程中被中断时,系统可以根据这些记录直接回溯并重整被中断的部分,而不必花时间去检查其他的部分,故重整的工作速度相当快,几乎不需要花时间。
EXT3日志文件系统的特点
1、高可用性
系统使用了EXT3文件系统后,即使在非正常关机后,系统也不需要检查文件系统。
宕机发生后,恢复EXT3文件系统的时间只要数十秒钟。
2、数据的完整性:
EXT3文件系统能够极大地提高文件系统的完整性,避免了意外宕机对文件系统的破
坏。
在保证数据完整性方面,EXT3文件系统有两种模式可供选择。
其中之一就是“同时保持文件系统及数据的一致性”模式。
采用这种方式,你永远不再会看到由于非正常关机而存储在磁盘上的垃圾文件。
3、文件系统的速度:
尽管使用EXT3文件系统时,有时在存储数据时可能要多次写数据,但是从总体上看来,EXT3比EXT2的性能还要好一些。
这是因为EXT3的日志功能对磁盘的驱动器读写头进行了优化。
所以文件系统的读写性能较之EXT2文件系统并来说,性能并没有降低。
4、数据转换
由EXT2文件系统转换成EXT3文件系统非常容易,只要简单地键入两条命令即可完成整个转换过程,用户不用花时间备份、恢复、格式化分区等。
另外,EXT3文件系统可以不经任何更改,而直接加载成为EXT2文件系统。
5、多种日志模式
EXT3有多种日志模式,一种工作模式是对所有的文件数据及metadata(定义文件系统中数据的数据,即数据的数据)进行日志记录(data=journal模式);另一种工作模式则是只对metadata记录日志,而不对数据进行日志记录,也即所谓data=ordered或者
data=writeback模式。
系统管理人员可以根据系统的实际工作要求,在系统的工作速度与文件数据的一致性之间作出选择。
Ext3磁盘数据结构
除了硬盘分区中的第一块作为引导块所保留,不受Ext3文件系统管理以外,其余部分分成块组(blockgroup),每个快组的分布下图所示,由于内核尽可能把属于一个文件的数据块存放在同一块中,所以组块减少了文件碎片。
块组中的每块包含下列信息:
超级快(块):文件系统超级快(块)的一个拷贝
组描述符:一组块组描述符的拷贝
数据块位图:一个数据块位图
索引节点位图:一组索引节点
索引节点表:一个索引节点位图
数据块:存放文件数据
Ext3 Inode
在Ext3文件系统中inode是基本块;文件系统中的每个文件与目录由唯一的inode来描叙。
每个数据块组的Ext3 inode被保存在inode表中, 同时还有一个位图被系统用来跟踪已分配和未分配的inode。
图2给出了Ext3 inode的格式,它包含以下几个域:
mode:它包含两类信息;inode描叙的内容以及用户使用权限。
Ext3中的inode可以表示一个文件、目录、符号连接、块设备、字符设备。
Owner Information :表示此文件或目录所有者的用户和组标志符。
文件系统根据它可以进行正确的存取。
Size :以字节计算的文件尺寸。
Timestamps :inode创建及最后一次被修改的时间。
Datablocks:指向此inode描叙的包含数据的块指针。
前12个指针指向包含由inode 描叙的物理块, 最后三个指针包含多级间接指针。
例如两级间接指针指向一块指针,而这些指针又指向一些数据块。
这意味着访问文件尺寸小于或等于12个数据块的文件将比访问大文件快得多。