扫一扫,访问微社区

新浪微博登陆

只需一步, 快速开始

登录 | 加入雨荷 | 找回密码

数据恢复,winhex视频,数据恢复培训,硬盘数据恢复,raid0,raid1,raid5数据恢复,雨荷数据

 找回密码
 加入雨荷

扫一扫,访问微社区

新浪微博登陆

只需一步, 快速开始

总共6134条微博

动态微博

查看: 189|回复: 5

大哥们帮帮忙,找不到思路啊...

[复制链接]
  • TA的每日心情
    无聊
    2019-2-3 09:54
  • 签到天数: 38 天

    [LV.5]站长亲戚

    新浪微博达人勋

    发表于 2019-1-24 09:49:18 | 显示全部楼层 |阅读模式
    这个是从日志里找到的拖入回收站再删除的一个文件的i-节点信息,有个问题是如何得知这个i-节点指向的数据区域所对应的文件名是什么呢?

  • TA的每日心情
    开心
    昨天 19:58
  • 签到天数: 2256 天

    [LV.Master]

    新浪微博达人勋

    发表于 2019-1-24 21:15:01 | 显示全部楼层
    本帖最后由 bsmao 于 2019-1-24 21:31 编辑

    什么文件系统?
    如果是ext3文件系统,可以从目录项着手:由于删除文件后,删除文件的目录项只是释放了占用空间,其结构还保存在前一个目录项中,所以找到它原来的目录项,就可以得到文件名了。


    以上仅供参考。

  • TA的每日心情
    无聊
    2019-2-3 09:54
  • 签到天数: 38 天

    [LV.5]站长亲戚

    新浪微博达人勋

     楼主| 发表于 2019-1-24 22:35:31 来自手机 | 显示全部楼层
    补个图片 这里边的信息和文件被删除之前的i-节点信息一样,删除之后原来的i-节点关键信息就丢失了,在日志中找到了和删除之前一样的i-节点的信息 也就是图中的信息
  • TA的每日心情
    无聊
    2019-2-3 09:54
  • 签到天数: 38 天

    [LV.5]站长亲戚

    新浪微博达人勋

     楼主| 发表于 2019-1-24 22:38:51 来自手机 | 显示全部楼层
    bsmao 发表于 2019-1-24 21:15
    什么文件系统?
    如果是ext3文件系统,可以从目录项着手:由于删除文件后,删除文件的目录项只是释放了占用 ...

    补个图片 这里边的信息和文件被删除之前的i-节点信息一样,删除之后原来的i-节点关键信息就丢失了,在日志中找到了和删除之前一样的i-节点的信息 也就是图中的信息
  • TA的每日心情
    无聊
    2019-2-3 09:54
  • 签到天数: 38 天

    [LV.5]站长亲戚

    新浪微博达人勋

     楼主| 发表于 2019-1-24 22:47:50 | 显示全部楼层
    bsmao 发表于 2019-1-24 21:15
    什么文件系统?
    如果是ext3文件系统,可以从目录项着手:由于删除文件后,删除文件的目录项只是释放了占用 ...

    猫哥你好 这个是Ext4文件系统的,Ext3的删除我还没看,因为遇到一个题目是Ext4文件系统下拖入回收站再删除的情况,所以就先看了Ext4
  • TA的每日心情
    无聊
    2019-2-3 09:54
  • 签到天数: 38 天

    [LV.5]站长亲戚

    新浪微博达人勋

     楼主| 发表于 2019-1-24 22:50:38 | 显示全部楼层
  • TA的每日心情
    无聊
    2019-2-3 09:54
  • 签到天数: 38 天

    [LV.5]站长亲戚

    新浪微博达人勋

     楼主| 发表于 2019-1-25 15:42:49 | 显示全部楼层
    bsmao 发表于 2019-1-24 21:15
    什么文件系统?
    如果是ext3文件系统,可以从目录项着手:由于删除文件后,删除文件的目录项只是释放了占用 ...

    对于Ext3的删除,猫哥您所说的找到了他原来的目录项就找到了文件名,文件名是能找到,但是这个文件的i-节点信息被清空了,我的思路是根据残留的信息找到原来的带有指向的信息,我对比了一下发现有个世代号的参数删除前后没有变化(主要是我感觉这个参数具有唯一性),所以就根据这个参数在日志里寻找,后来发现有的情况下这个世代号的参数还是会变,要是变了就没辙了
  • TA的每日心情
    开心
    昨天 19:58
  • 签到天数: 2256 天

    [LV.Master]

    新浪微博达人勋

    发表于 2019-1-26 20:18:12 | 显示全部楼层
    若如初忆 发表于 2019-1-25 15:42
    对于Ext3的删除,猫哥您所说的找到了他原来的目录项就找到了文件名,文件名是能找到,但是这个文件的i-节 ...


    1. 看来获取文件名已经解决了。

    2.  文件删除后,它的inode中的一些关键参数会被清零,这样文件就无法直接恢复了。
         你想到在日志里查找之前完整的inode,思路很好,但是我认为方法有问题。我给
         你的建议是认真学习一下日志的结构,之后你会解决这个问题的。看你之前的帖子,
         我认为你有这个能力。呵呵。
       
  • TA的每日心情
    开心
    2019-2-2 21:05
  • 签到天数: 65 天

    [LV.6]站长亲人

    新浪微博达人勋

    发表于 2019-1-31 11:42:49 | 显示全部楼层
    之所以不研究这个,是因为日志的内容也是瞬息万变,以前有个客户十几个网站的服务器,网站文件给rd了,直接跑路了。文件太多,通过日志就不太可行,只有放弃。
  • TA的每日心情
    开心
    昨天 19:58
  • 签到天数: 2256 天

    [LV.Master]

    新浪微博达人勋

    发表于 2019-1-31 16:49:21 | 显示全部楼层
    rainhe 发表于 2019-1-31 11:42
    之所以不研究这个,是因为日志的内容也是瞬息万变,以前有个客户十几个网站的服务器,网站文件给rd了,直接 ...

    确实是,日志更新了,就没戏了。呵呵
  • TA的每日心情
    开心
    2019-2-2 21:05
  • 签到天数: 65 天

    [LV.6]站长亲人

    新浪微博达人勋

    发表于 2019-1-31 22:04:56 | 显示全部楼层
    bsmao 发表于 2019-1-31 16:49
    确实是,日志更新了,就没戏了。呵呵

    有一次我就是做着做着日志变了,文件多了直接跑路
    发表回复
    您需要登录后才可以回帖 登录 | 加入雨荷 新浪微博登陆

    本版积分规则

    Copyright © 2001-2015 All Rights Reserved雨荷数据安全技术论坛 陕ICP备08105630

    QQ|申请友链|小黑屋|手机版|Archiver|雨荷数据安全技术论坛 ( 陕ICP备17009169号

    快速回复 返回顶部 返回列表
  • 新内幕-B, 骞马会四不像中特
  • 2018港六閤彩 ,香港六閤采彩开奖结果 ,2018年香港六閤彩开奖排期表
  • 2018年极准生肖特诗022,2018年极准生肖特诗004
  • 青龙高手论坛, 新六合心经
  • 王中王一肖一马中特,王中王一王中王救世网
  • 2018年历史开奖记录表,2018年历史开奖记录开奖结果查询
  • 牛魔王新报跑狗ab版,牛魔王新报跑狗a
  • 3374香港财神资料33774免费财神曾道白33774财神网开奖结
  • 2018香港马会图, 优雅心水网站
  • 香港买彩票网站好, 香港马报2018免费资料
  • 2017年一句梅花诗, 白小姐?www.48567.com
  • 东成西就四肖八码必中论坛, 2018年开奖记录,手机版
  • 蓝月亮―曾氏输尽光及特马诗, 2018歇后语1一155期
  • 2018年十二生肖号码表图2018年十二生肖年龄表2018年十二生肖排码表
  • 王中王 顶尖高手论坛王中王.六肖必中特王中王0149白小姐中特网
  • 香港开码结果查询, 金牛网论坛1122380m
  • 2018年0香港挂牌彩图, 18年香港正版四不像
  • 火凤凰玄机三期内必出,火凤凰机密玄机看生肖
  • 香港lhc开奖结果今晚, 香港和彩开奖现场直播
  • 67222香港官方唯一指定, 2018年白姐一句半玄机
  • 2018年管家婆一句话,2018生肖版,2018狗年生肖排码表,
  • 大丰收心水高手论坛l大丰收心水高手论坛上大丰收心水高手论坛主