扫一扫,访问微社区

新浪微博登陆

只需一步, 快速开始

登录 | 加入雨荷 | 找回密码

数据恢复,winhex视频,数据恢复培训,硬盘数据恢复,raid0,raid1,raid5数据恢复,雨荷数据

 找回密码
 加入雨荷

扫一扫,访问微社区

新浪微博登陆

只需一步, 快速开始

总共6152条微博

动态微博

查看: 311|回复: 5

大哥们帮帮忙,找不到思路啊...

[复制链接]
  • TA的每日心情
    郁闷
    4 天前
  • 签到天数: 62 天

    [LV.6]站长亲人

    新浪微博达人勋

    发表于 2019-1-24 09:49:18 | 显示全部楼层 |阅读模式
    这个是从日志里找到的拖入回收站再删除的一个文件的i-节点信息,有个问题是如何得知这个i-节点指向的数据区域所对应的文件名是什么呢?

  • TA的每日心情
    开心
    6 小时前
  • 签到天数: 2312 天

    [LV.Master]

    新浪微博达人勋

    发表于 2019-1-24 21:15:01 | 显示全部楼层
    本帖最后由 bsmao 于 2019-1-24 21:31 编辑

    什么文件系统?
    如果是ext3文件系统,可以从目录项着手:由于删除文件后,删除文件的目录项只是释放了占用空间,其结构还保存在前一个目录项中,所以找到它原来的目录项,就可以得到文件名了。


    以上仅供参考。

  • TA的每日心情
    郁闷
    4 天前
  • 签到天数: 62 天

    [LV.6]站长亲人

    新浪微博达人勋

     楼主| 发表于 2019-1-24 22:35:31 来自手机 | 显示全部楼层
    补个图片 这里边的信息和文件被删除之前的i-节点信息一样,删除之后原来的i-节点关键信息就丢失了,在日志中找到了和删除之前一样的i-节点的信息 也就是图中的信息
  • TA的每日心情
    郁闷
    4 天前
  • 签到天数: 62 天

    [LV.6]站长亲人

    新浪微博达人勋

     楼主| 发表于 2019-1-24 22:38:51 来自手机 | 显示全部楼层
    bsmao 发表于 2019-1-24 21:15
    什么文件系统?
    如果是ext3文件系统,可以从目录项着手:由于删除文件后,删除文件的目录项只是释放了占用 ...

    补个图片 这里边的信息和文件被删除之前的i-节点信息一样,删除之后原来的i-节点关键信息就丢失了,在日志中找到了和删除之前一样的i-节点的信息 也就是图中的信息
  • TA的每日心情
    郁闷
    4 天前
  • 签到天数: 62 天

    [LV.6]站长亲人

    新浪微博达人勋

     楼主| 发表于 2019-1-24 22:47:50 | 显示全部楼层
    bsmao 发表于 2019-1-24 21:15
    什么文件系统?
    如果是ext3文件系统,可以从目录项着手:由于删除文件后,删除文件的目录项只是释放了占用 ...

    猫哥你好 这个是Ext4文件系统的,Ext3的删除我还没看,因为遇到一个题目是Ext4文件系统下拖入回收站再删除的情况,所以就先看了Ext4
  • TA的每日心情
    郁闷
    4 天前
  • 签到天数: 62 天

    [LV.6]站长亲人

    新浪微博达人勋

     楼主| 发表于 2019-1-24 22:50:38 | 显示全部楼层
  • TA的每日心情
    郁闷
    4 天前
  • 签到天数: 62 天

    [LV.6]站长亲人

    新浪微博达人勋

     楼主| 发表于 2019-1-25 15:42:49 | 显示全部楼层
    bsmao 发表于 2019-1-24 21:15
    什么文件系统?
    如果是ext3文件系统,可以从目录项着手:由于删除文件后,删除文件的目录项只是释放了占用 ...

    对于Ext3的删除,猫哥您所说的找到了他原来的目录项就找到了文件名,文件名是能找到,但是这个文件的i-节点信息被清空了,我的思路是根据残留的信息找到原来的带有指向的信息,我对比了一下发现有个世代号的参数删除前后没有变化(主要是我感觉这个参数具有唯一性),所以就根据这个参数在日志里寻找,后来发现有的情况下这个世代号的参数还是会变,要是变了就没辙了
  • TA的每日心情
    开心
    6 小时前
  • 签到天数: 2312 天

    [LV.Master]

    新浪微博达人勋

    发表于 2019-1-26 20:18:12 | 显示全部楼层
    若如初忆 发表于 2019-1-25 15:42
    对于Ext3的删除,猫哥您所说的找到了他原来的目录项就找到了文件名,文件名是能找到,但是这个文件的i-节 ...


    1. 看来获取文件名已经解决了。

    2.  文件删除后,它的inode中的一些关键参数会被清零,这样文件就无法直接恢复了。
         你想到在日志里查找之前完整的inode,思路很好,但是我认为方法有问题。我给
         你的建议是认真学习一下日志的结构,之后你会解决这个问题的。看你之前的帖子,
         我认为你有这个能力。呵呵。
       
  • TA的每日心情
    开心
    2019-2-2 21:05
  • 签到天数: 65 天

    [LV.6]站长亲人

    新浪微博达人勋

    发表于 2019-1-31 11:42:49 | 显示全部楼层
    之所以不研究这个,是因为日志的内容也是瞬息万变,以前有个客户十几个网站的服务器,网站文件给rd了,直接跑路了。文件太多,通过日志就不太可行,只有放弃。
  • TA的每日心情
    开心
    6 小时前
  • 签到天数: 2312 天

    [LV.Master]

    新浪微博达人勋

    发表于 2019-1-31 16:49:21 | 显示全部楼层
    rainhe 发表于 2019-1-31 11:42
    之所以不研究这个,是因为日志的内容也是瞬息万变,以前有个客户十几个网站的服务器,网站文件给rd了,直接 ...

    确实是,日志更新了,就没戏了。呵呵
  • TA的每日心情
    开心
    2019-2-2 21:05
  • 签到天数: 65 天

    [LV.6]站长亲人

    新浪微博达人勋

    发表于 2019-1-31 22:04:56 | 显示全部楼层
    bsmao 发表于 2019-1-31 16:49
    确实是,日志更新了,就没戏了。呵呵

    有一次我就是做着做着日志变了,文件多了直接跑路
    发表回复
    您需要登录后才可以回帖 登录 | 加入雨荷 新浪微博登陆

    本版积分规则

    Copyright © 2001-2015 All Rights Reserved雨荷数据安全技术论坛 陕ICP备08105630

    QQ|申请友链|小黑屋|手机版|Archiver|雨荷数据安全技术论坛 ( 陕ICP备17009169号

    快速回复 返回顶部 返回列表