第3讲 ext3文件系统
基于TSK实现Ext3文件系统下的电子数据取证
统 ,则会显示其最后挂载时间、最后 写入时间、最后检查时
随着计 算机 网络 的迅速发展 以及网 民数 量的快速增
长 ,我 国计算机犯罪案件呈现快速增长的趋势 ,其危害性也
逐步增大 , 如政府网站和各大门户网站被各种别有用心的黑
客入侵 ,在社会上造成了极为恶劣的影响。这些网站所使用
的服务器相当一部分安装的是 U n i x 系统或 L i n u x 系统 ,因此
基于T S K 实现 E ) I 文件 系统下的 电子数据取证
罗文华 中国刑事警察学院
摘 要 :作 为GN U系统 中标; 隹的文件系统 ,E x t 3 以其 良好的文件仔职性 能,在L i n u x操作 系统 中得到 了广泛的应用 ,已绎 成为其主流文件系统。 因此 ,对E x t 3 文件系统 电子数 据取 证方法的研 究,必然会 对L i n u x 环境下的 电子证据收集 工作产生积极的影响。依托开源工具包T S K ,蜒于 E x t 3 文件 系统原理描述 电子数据取证 方法 ,所述方法适用于绝 大多数L i n u x 版本,并 且具有较强 的可操作性 ,收集结果直观明 了。
实现 E ) ( 1 3 ቤተ መጻሕፍቲ ባይዱ件 系统下的电子取证
( 一 ) 文件系统层 通常 ,一块磁盘包含 了一个或 多个分 区,每个分 区又 各 自拥有 自己的文件 系统 , ̄ 1 : 1 Wi n d o w s 的F A T 、N T F S 以及
ext3默认簇大小
以下是对ext3文件系统默认簇大小的分析:
簇大小是文件系统中用于存储数据的最小单元大小。
在ext3文件系统中,默认的簇大小是根据文件系统的性能和磁盘空间的使用情况来设置的。
默认情况下,ext3文件系统的簇大小为4KB。
簇大小对文件系统的性能和磁盘使用情况有重要影响。
如果簇大小设置得过大,会浪费磁盘空间,因为不是所有的簇都会被实际使用。
相反,如果簇大小设置得过小,会降低文件系统的性能,因为需要更多的I/O操作来读取和写入数据。
在ext3文件系统中,默认的簇大小是由系统配置参数决定的,这些参数是在创建文件系统时设置的。
在大多数情况下,ext3文件系统的簇大小是合理的,能够满足大多数应用的需求。
然而,在某些特殊情况下,如需要优化磁盘使用或提高文件系统性能时,可以调整簇大小。
要调整ext3文件系统的簇大小,需要编辑ext3文件系统的元数据目录中的fs.block_size参数。
这个参数的值决定了簇的大小,可以通过修改它来改变簇的大小。
需要注意的是,调整簇大小可能会影响文件系统的性能和磁盘使用情况,因此在进行更改之前,应该仔细评估当前的情况和需求。
总的来说,默认的ext3文件系统簇大小是在综合考虑了性能和磁盘使用情况后设置的。
在大多数情况下,默认的簇大小可以满足需求。
然而,在某些特殊情况下,如需要优化磁盘使用或提高文件系统性能时,可以调整簇大小。
在进行更改之前,应该仔细评估当前的情况和需求。
如果您需要了解更多关于ext3文件系统的详细信息,可以参考相关文档和资料。
ext3 文件系统
以根用户身份键入以下命令来检查分区的错误:
/sbin/e2fsck -y /dev/ hdb1
然后通过键入以下命令来把分区重新挂载为 ext2 文件系统:
mount -t ext2 /dev/ hdb1 /mount/point
在以上命令中,把 /mount/point 替换成分区的挂载点。
1.4. 还原到 ext2 文件系统
因为 ext3 相对来说比较新,某些磁盘工具可能还不支持它。例如,你可能需要使用 resize2fs 来缩小某分区,该命令不支持 ext3。在这种情况下,可能会有必要把文件系统暂时还原成 ext2。
要还原分区,你必须首先卸载分区。方法是登录为根用户,然后键入:
umount /dev/ hdb X
在以上命令中,把 /dev/ hdb 替换成设备名称,把 X 替换成分区号码。本节以后的示例命令将会使用 hdb1 来代表设备t2,以根用户身份键入以下命令:
/sbin/tune2fs -O ^has_journal /dev/ hdb1
由 ext3 文件系统提供的登记报表方式意味着不洁系统关机后没必要再进行此类文件系统检查。使用 ext3 系统时,一致性检查只在某些罕见的硬件失效(如硬盘驱动器失效)情况下才发生。不洁系统关机后,ext 文件系统的恢复时间不根据文件系统的大小或文件的数量而定,而是根据用于维护一致性的 登记日志(journal) 的大小而定。根据你的硬件速度,默认的登记日志只需花大约一秒钟来恢复。
下一步,删除根目录下的 .journal 文件。方法是转换到分区的挂载目录中,然后键入:
rm -f .journal
你现在就有一个 ext2 分区了。
如果你永久地把分区改换成 ext2,请记住更新 /etc/fstab 文件。
Ext3文件系统
EXT3文件系统EXT2和EXT3是许多Linux操作系统发行版本的默认文件系统。
EXT基于UFS,是一种快速、稳定的文件系统。
随着Linux系统在关键业务中的应用,Linux文件系统的弱点也渐渐显露出来了;其中EXT2文件系统是非日志式文件系统,这在关键行业的应用是一个致命的弱点,EXT3文件系统弥补了这一缺点。
EXT3文件系统是直接从EXT2文件系统发展而来,目前EXT3文件系统已经非常稳定可靠。
它完全兼容EXT2文件系统。
用户可以平滑地过渡到一个日志功能健全的文件系统中来。
这实际上了也是EXT3日志文件系统初始设计的初衷。
Ext3文件系统属于一种日志文件系统,是对Ext2系统的扩展。
Ext3系统兼容Ext2文件系统,二者之间的相互转换并不复杂。
Ext2是 GNU/Linux 系统中标准的文件系统,其簇快取层的优良设计使得Ext2系统存取文件的性能非常好,尤其是针对中小型的文件更显优势。
Ext3是一种日志式文件系统,日志文件系统比传统的文件系统安全,因为它用独立的日志文件跟踪磁盘内容的变化。
就像关系型数据库(RDBMS),日志文件系统可以用事务处理的方式,提交或撤消文件系统的变化。
由于文件系统都有快取层参与运作,不使用时必须将文件系统卸下,以便将快取层的资料写回磁盘中。
因此每当系统要关机时,必须将其所有的文件系统全部关闭后才能进行关机。
如果在文件系统尚未关闭前就关机 (如停电) 时,下次重开机后会造成文件系统的资料不一致,故(所以)这时必须做文件系统的重整工作,将不一致与错误的地方修复。
然而这一重整的工作是相当耗时的,特别是容量大的文件系统,而且也不能百分之百保证所有的资料都不会流失。
为了克服此问题,使用(便出现了)所谓的日志式文件系统 (Journal File System) 。
此类文件系统最大的特色是,它会将整个磁盘的写入动作完整记录在磁盘的某个区域上,以便有需要时可以回溯追踪。
由于资料的写入动作包含许多的细节,如改变文件标头资料、搜寻磁盘可写入空间、一个个写入资料区段等等,每一个细节进行到一半若被中断,就会造成文件系统的不一致,因而需要重整。
Linux系统ext2与ext3文件系统的区别与转换
ext2和ext3是Linux比较旧的文件系统, 在Linux 7中支持的文件系统已经是 “xfs”,但是为了知识的衔接性,也为 了更深的认识文件系统之间的差别有必 要认识一下这两个文件系统。 这两个文件系统的格式是相同的,不 同的是在ext3文件系统中在硬盘的后面 留出一块磁盘空间来存放日志(journal) 记录。
全部消失。 如果你接手一个很重要的Linux系统, 而这个Linux系统的文件系统还是很老的 ext2,而为了提高性能还要保留原来的 数据就只能使用命令tune2fs命令(在线 转换文件系统ext2→ext3)了。
除了使用“-j”选项创建ext3文件系 统之外,可以直接使用mkfs.ext3 设备名
在开机时Linux系统都会检查每个文件 系统的Valid bit,值如为1则直接挂载该 文件系统,而如果为0值,则系统会扫描 这个文件系统(硬盘分区)查找损坏的 数据,如果这个硬盘分区很大,扫描时 间会很长。 1扫描
0不扫描 由于ext3文件系统有日志机制,开机 时系统会先检查日志中的信息,检查日
创建ext3文件系统。
journal=”日志”
使用命令dumpe2fs /dev/sdc1 | more 可以看到成功创建ext3文件系统。
二、在ext3格式文件系统上,数据写 入硬盘的操作过程为: ⑴数据同样先写 入缓冲区 ① ⑵当数据写入 缓冲区 (内存) 缓冲区满时,先通知 ③ 日志 ext3 文件 ⑶通知日志之后 ② ④ 系统 数据才会写入硬盘中 日志 ⑷数据写入硬盘后,系统 再通知日志数据已经写入硬盘。
三、日志机制 在ext2和ext3中,文件系统的格式是 一样的,不一样的地方是ext2没有日志 机制,而ext3有日志机制。 对于ext2,由于它没有日志机制,在 Linux使用Valid bit标志位来记录系统在 关机之前该文件系统是否已经卸载。因 每一个文件系统都有一个自己的Valid bit 。并且,Valid bit的值为1,则表示这个 文件系统已经卸载,而其值为0,则表示 这个文件系统没有正常关机。
Linux ext3
Linux ext3在Red Hat Linux 7.2版中,Red Hat首次支持了日志文件系统的ext3文件系统。
该文件系统是在ext2文件系统的基础上进行了改进,是使用了日志功能的ext2文件系统加强版。
ext3文件系统为ext2文件系统共享了所的磁盘设备,并添加了向ext2文件系统转换的能力。
ext3基于ext2的代码,所以它的磁盘格式和ext2的相同,这意味着一个干净卸载的ext3文件系统可以作将ext2文件系统毫无问题地重新挂装。
ext3文件系统和ext2文件系统都使用相同的元数据,因而有可能执行ext2文件系统到ext3文件系统的现场升级,从ext2文件系统升级到ext3只需要短短的几分钟。
1.日志(Journaling)日志块设备层(JBD,Journaling block device layer)完成ext3文件系统日志功能。
JBD不是ext3文件系统所特有的,它的设计目标是为了向一个块设备添加日志功能。
当一个修改执行时,ext3文件系统代码将通知JBD,称为一个事务(transaction)。
如果在事务执行时突然断电或出现其他情况导致事务终止,日志功能具有的重放功能,能重新执行中断的事务。
日志中有三种数据模式:第一种模式:data=writeback。
在这种模式里ext3文件系统根本不处理任何形式的日志数据(如XFS、JFS和ReiserFS)。
尽管事实上它提供有限的数据完整性并能摧毁用户最近修改的文件,但这种模式能给用户整体上的最高性能。
第二种模式:data=ordered,在这种模式下ext3文件系统只记录元数据日志,但它将元数据和数据分组成一个单元称为事务(transaction)。
这种模式保持数据的可靠性与文件系统一致性,这意味着在系统崩溃后,用户不会在新近写入的文件中看到任何垃圾数据。
总体来说这种模式的性能远远低于data=writeback模式,但却比data=journal模式快很多。
常用的linux文件系统类型
常用的linux文件系统类型Linux操作系统是一种开源的操作系统,它的文件系统类型非常丰富。
不同的文件系统类型可以支持不同的文件大小、文件数量和文件系统的速度等特性。
本文将对常用的Linux文件系统类型进行介绍,以帮助读者选择最适合自己需求的文件系统类型。
1. ext2ext2是Linux最早的文件系统类型之一。
它被广泛使用,因为它很稳定,而且在Linux内核中得到了很好的支持。
它支持最大2TB 的文件系统,并且允许使用文件名长达255个字符。
但它不支持文件的访问控制,因此在安全性方面不太可靠。
另外,由于它没有日志功能,因此在文件系统崩溃后需要进行长时间的文件系统检查。
2. ext3ext3是ext2的升级版本,它添加了日志功能。
这意味着在文件系统崩溃后,ext3可以更快地恢复,而且文件系统的可靠性也更高。
它还支持最大16TB的文件系统,并且可以使用文件名长达255个字符。
但它的速度较慢,因为每次写入都需要写入日志。
3. ext4ext4是ext3的升级版本,它支持最大1EB的文件系统,而且可以使用文件名长达255个字符。
它的速度比ext3更快,因为它使用了更先进的数据结构,同时它的文件系统检查速度也更快。
此外,它还支持更高级的文件访问控制,因此在安全性方面更可靠。
4. XFSXFS是一种高性能的文件系统类型,它可以支持非常大的文件和文件系统。
它支持最大9EB的文件系统,并且可以使用文件名长达255个字符。
它的速度非常快,因为它使用了先进的算法和数据结构。
但它的可靠性不如ext4,因为它在文件系统崩溃后需要进行长时间的文件系统检查。
5. BtrfsBtrfs是一种新型的文件系统类型,它被设计用于支持大型文件系统和高级数据管理功能。
它支持最大16EB的文件系统,并且可以使用文件名长达255个字符。
它支持数据快照、压缩、复制和校验等高级功能。
但它还不够稳定,因为它还没有被广泛使用。
6. NTFSNTFS是Windows操作系统使用的文件系统类型,但它也可以在Linux上使用。
ext3_JBD_文档
Ext3文件系统1 Ext3文件系统简介Ext3一种日记式文件系统。
日记文件系统会把系统对磁盘文件系统的更改第一一一记录在日记文件中,然后再更新到磁盘上。
在由某种原因(例如down机等)而致使文件系统显现不一致的情形下,能够通过重放(replay)日记文件来恢复文件系统的一致性。
Ext3是直接从Ext2文件系统进展过来的,采纳了Ext2文件系统的磁盘数据布局,实现了对Ext2的完全兼容。
依照写入日记的内容和数据刷新时刻的不同,Ext3可支持三个不同的日记格式:Journal模式,ordered模式和writeback模式。
1.1Ext3日记模式第一介绍元数据的概念,在Ext2 和 Ext3中,有六种元数据,别离是:超级块,块组描述符,节点,间接块,数据位图。
可见,元数据记录了数据的改变。
Ext3既能够只对元数据做日记,也能够同时对文件数据块做日记。
具体来讲,Ext3提供以下三种日记模式:日记(Journal )文件系统所有数据和元数据的改变都记入日记。
这种模式减少了丢失每一个文件所作修改的机遇,可是它需要很多额外的磁盘访问。
例如,当一个新文件被创建时,它的所有数据块都必需复制一份作为日记记录。
这是最平安和最慢的Ext3日记模式。
预定(Ordered )只有对文件系统元数据的改变才记入日记。
但是,Ext3文件系统把元数据和相关的数据块进行分组,以便把元数据写入磁盘之前写入数据块。
如此,就能够够减少文件内数据损坏的机遇;例如,确保增大文件的任何写访问都完全受日记的爱惜。
这是缺省的Ext3 日记模式。
写回(Writeback )只有对文件系统元数据的改变才记入日记;这是在其改日记文件系统发觉的方式,也是最快的模式1.2日记块设备(JBD)Ext3 文件系统本身不处置日记,而是利用日记块设备(Journaling Block Device)或叫JBD 的通用内核层。
Ext3文件系统挪用JDB例程以确保在系统万一显现故障时它的后续操作可不能损坏磁盘数据结构。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
访问控制矩阵
强制执行(权限检查),变成permission函数
分布在OS中
ls -l
-rw-r--r-- 1 root root 26829 11月 25 15:10 babylinux.png
lrwxrwxrwx 1 root root 9 1月 4 11:06 disk1.link.png -> disk1.png
符号链接
• ln –s /user/f1 /user/f2 • f2为f1的快捷方式
ls -l
lrwxrwxrwx 1 root root 9 1月 4 11:06 f2-> f1
符号链接文件f2有目录项、iNode 当文件路径名超过60个字符时还有数据块
硬链接与软链接特点
• 硬链接的优点:实现简单、访问速度快 使用限制:
授权:w r x
三组:用户主、用户组、其他用户
举例
在Ext2中,若有一个分区大小为8GB,盘块的尺寸 是4KB。试问,该文件卷最多有多少磁盘块?最多 有多少个块组?
• 按照文件的内容,Linux把文件分成 三类。 A.系统文件、用户文件、设备文件 B.一般文件、流式文件、记录文件 C.目录文件、流式文件、设备文件 D.普通文件、目录文件、特别文件
#mkdir /mnt/upan #mount -t vfat /dev/sda1 /mnt/upan
umount命令
–
用途:卸载已挂载的文件系统 – 格式:umount 存储设备位置 umount 挂载点目录 #umount /mnt/upan
文件使用三部曲
• Ext2文件系统的建立 • 安装 • 访问
用户接口
• 文件操作
• Open:通过文件路径名找到该文件的inode,复制到内 存 • Read • Write • Close:将文件的inode从内存中删除
• 目录操作
读磁盘
用户 读test.c 202-212个字节 数据盘块
open(/xx/test.c) 目录解析找到/,读入/内容找 到xx,再找到test.c的inode
写磁盘时分配inode和block
• 创建目录
• 创建一个目录时,分配一个inode和至少一个block给该 目录
• inode记录目录的属性,并指向block • block记录与该目录相关的子目录或文件的inode信息
• 创建文件
• 创建一个文件时,分配一个inode和与文件大小对应的 数个block
文件目录
文件使用三部曲
• Ext2文件系统的建立 • 安装 • 访问
格式化
Ext2文件系统在磁盘上的分布
引导块 组号0 组号1 组号n
超级块 组描述符
一个块 n个块
数据块 位图 一个块
索引节 点位图 一个块
索引节 点表 n个块
数据块
n个块
– Ext2将磁盘分区划分成组 – 每个组大小相同,且顺序存放
引导块 组0
组1
组2
组3
超级块
组描述 符
块位图
索引节 点位图
索引节 点表
数据块
用于记录本组磁盘块使用情况 位示图中的每一位对应一个磁盘块 块位示图占一个磁盘块(块大小决定了位示图大小,也决定了能管理的数据 块的个数)
引导块 组0
组1
组2
组3
超级块
组描述 符
块位图
索引节 点位图
索引节 点表
数据块
什么是索引节点?就是FCB 索引节点位示图用于记录索引节点表使用情况 位示图的每一位对应一个索引节点 索引节点位示图占一个磁盘块,它的大小决定了一个分组中的文件数目
• 在Ext2中,下面的说法, 是错误的。 A.每个文件都有一个inode节点 B.目录文件有inode节点 C.特别文件有inode节点 D.打印机没有inode节点
Ext文件是linux的文件系统,目前 为ext3,未来ext4.
• inode记录文件的属性,并指向存放文件内容的block • 多个block用来存放文件的内容
• 分配inode和block都采用基于位示图的分配方案
引导块 块组0
块组1
块组2
块组3
超级块
组描述 符
块位图
索引节 点位图
索引节 点表
数据块
分配索引节点(inode)
1、查索引节点位示图,看索引节点表中有空位置没?
一级间接索引 二级间接索引
三级间接索引
__u32 i_block[EXT2_N_BLOCKS];
引导块 块组0
块组1
块组2
块组3
超级块
组描述 符
块位图
索引节 点位图
索引节 点表
数据块
文件类型 普通文件
数据块的使用方式 有数据时才使用,创建时不需要数据块
第2节 ext2文件系统
索引文件的的代表
索引文件 文件使用三部曲 文件共享 文件保护 举例
索引文件
文件索引表 逻辑块号 物理块号 0 1 2 3 23 19 26 29 r0 r1 磁盘块号 23 磁盘块号 19
文件A 目录项
文件A 索引表指针
r2
r3
磁盘块号 26
磁盘块号 29
引导块 组0
组1
组2
组3
超级块
组描述 符
块位图
索引节 点位图
索引节 点表
数据块
struct ext2_super_block { __u32 s_inodes_count; /* 索引节点总数 */ __u32 s_blocks_count; /* 文件系统的块数 */ __u32 s_r_blocks_count; /* 保留给内核使用的块数 */ __u32 s_free_blocks_count; /* 空闲块计数器 */ __u32 s_free_inodes_count; /* 空闲索引节点计数器 */ __u32 s_first_data_block; /* 第一个数据块的块号 */ __u32 s_log_block_size; /* 块大小 */. __u32 s_blocks_per_group; /* # 每组的块数 */ __u32 s_inodes_per_group; /* # 每组的节点数 */ ... };
2、填写索引节点表
分配磁盘块(block)
1、查块位图,看看有没有可用的数据块 2、将数据写入某磁盘块
文件共享
文件共享: 支持以不同的文件路劲名访问同一个 文件 FAT不支持,ext支持
硬 链 接
ln hustcomputer\file4 hust\file5
以硬链接方式共享的文件file5没得数据块 没得iNode,但是有目录项
__u32 i_blocks; /* 已分配给文件的数据块数 */
__u32 i_block[EXT2_N_BLOCKS]; /* 指针数组,各元素指向分配给文件的数据块 */ 索引表 ... }; 块组和索引节点表的使用,可以快速得到索引节点的磁盘地址
Ext2文件系统的索引结构图示
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14
引导块 组0
组1
组2
组3
超级块
组描述 符
块位图
索引节 点位图
索引节 点表
数据块
struct ext2_group_desc { __u32 bg_block_bitmap; /* 块位图的块号 */ __u32 bg_inode_bitmap; /* 索引节点位图的块号 */ __u32 bg_inode_table; /* 第一个索引节点表块的块号 */ __u16 bg_free_blocks_count; /* 组中空闲块的个数 */ __u16 bg_free_inodes_count; /* 组中索引点的个数 */ __u16 bg_used_dirs_count; /* 组中目录的个数 */ … };
inode数组
read(fd,202,10,a) 根据test.c的inode和偏移 202-212得到盘块789
写入电梯队列 add_request(789) 从队列中取出789,算出 cyl,head,sector
12 13 14 15 16 17 18 19 20 21 22 23
磁盘驱动
cyl head
– 只允许文件链接 – 只允许在同一文件系统内进行 – 文件主删除限制 – 不合理的记帐规则
• 软链接(符号链接、快捷方式)的优点:适用范围和 灵活性大
– 允许目录链接 – 允许在不同文件系统间进行 – 文件主自由删除 – 合理的记帐规则
文件保护
保护的一般结构:认证、授权、强制执行(AAE)
认证(识别用户),最基本的认证手段: 口令识别 授权(允许用户做什么),最常见的授权手段:
<data, 103>
<test.c, 225>
<mail, 77>
根据test.c的inode和偏移202-212得到盘块789
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14
789
202-212字节
一级间接索引 二级间接索引
三级间接索引
__u32 i_block[EXT2_N_BLOCKS];
目录
符号链接 设备文件 管道 套接字
数据块中存放各目录项的数据结构
路径名大于60个字符时需要使用数据块 不需要数据块 不需要数据块 不需要数据块
文件使用三部曲
• Ext2文件系统的建立 • 安装 • 访问
挂载、卸载文件系统
• mount命令