分區裡的inode号是0号和1号的block
我相信大家在使用Linux的時候都遇到過誤删檔案系統資料的情況,不管是自己誤删還是幫人家恢複誤删
現在用的比較多的恢複工具大概是ext3grep 、extundelete 這兩個
當然本文不是要說這兩個工具的使用方法,而是介紹每個分區裡的inode号為0或1号的block到底是什麼
在使用ext3grep 、extundelete 的時候,基本上都會有這樣一個步驟
在Linux下可以通過“ls-id”指令來檢視某分區目錄的inode值,可以輸入:
[root@localhost /]#ls –id /
2 /
[root@steven ~]# ls -id /boot
2 /boot 可以看到,無論是哪個分區,它的inode值都是2,而不是0,也不是1
并且當你用find指令來搜尋一下0或1号inode的時候也是什麼也找不到
find / -inum 0
find: `/proc/1461/task/1461/fd/5': No such file or directory
find: `/proc/1461/task/1461/fdinfo/5': No such file or directory
find: `/proc/1461/fd/5': No such file or directory
find: `/proc/1461/fdinfo/5': No such file or directory 那麼inode為0或1的block去哪裡了?
boot sector 與 superblock 的關系
block 為 1024 bytes (1K) 時:
如果 block 大小剛好是 1024 的話,那麼 boot sector 與 superblock 各會占用掉一個 block , 也表示boot sector 是獨立于 superblock 外面的。
[root@www ~]# dumpe2fs /dev/hdc1
dumpe2fs 1.39 (29-May-2006)
Filesystem volume name: /boot
....(中間省略)....
First block: 1
Block size: 1024
....(中間省略)....
Group 0: (Blocks 1-8192)
Primary superblock at 1, Group descriptors at 2-2
Reserved GDT blocks at 3-258
Block bitmap at 259 (+258), Inode bitmap at 260 (+259)
Inode table at 261-511 (+260)
511 free blocks, 1991 free inodes, 2 directories
Free blocks: 5619-6129
Free inodes: 18-2008 看到最後一個特殊字型的地方嗎? Group0 的 superblock 是由 1 号 block 開始的
上面結果可以發現 0 号 block 是保留下來留給 boot sector 用的
block 大于 1024 bytes (2K, 4K) 時:
如果 block 大于 1024 的話,那麼 superblock 将會在 0 号!
[root@www ~]# dumpe2fs /dev/hdc2
dumpe2fs 1.39 (29-May-2006)
....(中間省略)....
Filesystem volume name: /1
....(中間省略)....
Block size: 4096
....(中間省略)....
Group 0: (Blocks 0-32767)
Primary superblock at 0, Group descriptors at 1-1
Reserved GDT blocks at 2-626
Block bitmap at 627 (+627), Inode bitmap at 628 (+628)
Inode table at 629-1641 (+629)
0 free blocks, 32405 free inodes, 2 directories
Free blocks:
Free inodes: 12-32416 可以發現 superblock 就在第一個 block (第 0 号) 上,但是 superblock 其實就隻有 1024bytes
為了怕浪費更多空間,是以第一個 block 内就含有 boot sector 與 superblock
上面結果顯示,因為每個 block 占有 4K ,但是 superblock 其實就隻有 1024bytes
是以在第一個 block 内 superblock 僅占有 1024-2047 ( 由 0 号起算的話),而 0-1023 就保留給 boot sector 來使用。
而後面的2048bytes 的空間保留
現在也明白了為什麽df指令這麽快了吧,它是讀取每個分區inode為0的superblock裡面的資訊,
而superblock裡面就儲存了分區檔案系統類型、大小、已使用大小、可用大小
我們可以使用tune2fs指令檢視某一分區的塊大小等資訊
tune2fs -l /dev/sdb1
tune2fs 1.41.12 (17-May-2010)
Filesystem volume name: <none>
Last mounted on: <not available>
Filesystem UUID: 4814e6f2-6550-4ac5-bf2d-33109fc53061
Filesystem magic number: 0xEF53
Filesystem revision #: 1 (dynamic)
Filesystem features: has_journal ext_attr resize_inode dir_index filetype needs_recovery extent flex_bg sparse_super large_file huge_file uninit_bg dir_nlink extra_isize
Filesystem flags: signed_directory_hash
Default mount options: (none)
Filesystem state: clean
Errors behavior: Continue
Filesystem OS type: Linux
Inode count: 65280
Block count: 261048
Reserved block count: 13052
Free blocks: 252525
Free inodes: 65269
First block: 0
Block size: 4096
Fragment size: 4096
Reserved GDT blocks: 63
Blocks per group: 32768
Fragments per group: 32768
Inodes per group: 8160
Inode blocks per group: 510
Flex block group size: 16
Filesystem created: Thu Jun 2 12:23:23 2016
Last mount time: Thu Jun 2 12:24:06 2016
Last write time: Thu Jun 2 12:24:06 2016
Mount count: 1
Maximum mount count: 20
Last checked: Thu Jun 2 12:23:23 2016
Check interval: 15552000 (6 months)
Next check after: Tue Nov 29 12:23:23 2016
Lifetime writes: 32 MB
Reserved blocks uid: 0 (user root)
Reserved blocks gid: 0 (group root)
First inode: 11
Inode size: 256
Required extra isize: 28
Desired extra isize: 28
Journal inode: 8
Default directory hash: half_md4
Directory Hash Seed: fad5ad24-52ef-482c-a54b-367a5bb4f122
Journal backup: inode blocks 通過上面的資訊就可以知道superblock是在block 0還是block 1
那麼上面的資訊又是從哪裡讀取出來的
答案是:還是superblock
superblock如此重要,是以系統也對superblock做了一些保護措施
檔案系統會有一些備用超級塊,備用超級塊一般建立于塊 8193、16384 或 32768
ext類檔案系統會把block分成一組一組來管理簡稱為塊組,可以看到Blocks per group這一行,就是每個group都包含了32768個block
每個group都會有一個備用superblock,是以備用超級塊一般建立于塊 8193、16384 或 32768,根據格式化時的block size而定
tune2fs -l /dev/sda4 |grep group
Blocks per group: 32768
Fragments per group: 32768
Inodes per group: 8192
Inode blocks per group: 512
Flex block group size: 16
Reserved blocks gid: 0 (group root)
注意:非ext類檔案系統是不能用tune2fs指令的,而且原理和内部格式跟ext類檔案系統不相同!!
tune2fs -l /dev/sdb1
tune2fs 1.41.12 (17-May-2010)
tune2fs: Bad magic number in super-block while trying to open /dev/sdb1
Couldn't find valid filesystem superblock. 參考資料:http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=4250473&extra=page%3D1%26filter%3Dauthor%26orderby%3Ddateline%26orderby%3Ddateline
EXT4是Linux kernel 自 2.6.28 開始正式支援的新的檔案系統,目前已經廣泛應用在新發行的LINUX版本中。移動終端方面的Android預設系統分區也已成為EXT4。随着LINUX系統的不斷更新,相信EXT4将很快替代EXT3,成為下一代LINUX上的标準檔案系統。
相比EXT3而言,EXT4最大的改動是檔案系統的空間配置設定模式。預設情況下,EXT4不再使用EXT3的block mapping配置設定方式 ,而改為Extent方式配置設定。從專業的資料恢複理論看,基于block mapping的EXT3在資料删除後就很難恢複,如果基于Extent,可參考的資訊就更少,如何有效的恢複EXT4誤删除的資料,是個公認的技術難題。
近日,我公司經過不斷地嘗試和改進,終于完成了對EXT4資料誤删除恢複的技術攻關,形成了一套完整的技術解決方案,并成功開發出了基于EXT4的專業資料恢複系統。
下面為北亞資料恢複中心對EXT4誤删除資料的恢複方案簡介。
1、關于EXT4的結構特征:
EXT4在總體結構上與EXT3相似,大的配置設定方向都是基于相同大小的塊組,每個塊組内配置設定固定數量的INODE,可能的超級塊(或備份),及可能的塊組描述表。
EXT4的INODE 結構做了重大改變,為增加新的資訊,大小由EXT3的128位元組增加到預設的256位元組,同時塊索引不再使用EXT3的12直接塊+1個1次間接塊+1個2次間接塊+1個3次間接塊的索引模式,而改為4個Extent片斷流,每個片斷流設定片斷的起始塊号及連續的塊數量(有可能直接指向資料區,也有可能指向索引塊區)。
2、EXT4删除資料的結構更改:
EXT4删除資料後,會依次釋放檔案系統bitmap空間位、更新目錄結構、釋放inode空間位。而INODE空間的釋放不像WINDOWS NTFS或FAT一樣保留資料的全部或部分索引,一個更徹底的操作是直接清除所有節點中的索引項。
清除了檔案的存儲索引,意味着即使可以得到檔案的名稱、日期等元資訊,也無法直接知道檔案原來存儲在什麼位置,而基于Extent的存儲方式更緊湊,删除之後,很難保證可以很容易還原原先的存儲索引。
塊組是block group
block group包含備用super block,inode,block group description
INODE 結構做了重大改變,為增加新的資訊,大小由EXT3的128位元組增加到預設的256位元組
Inode size: 256 byte
EXT4删除資料後,會依次釋放檔案系統bitmap空間位
Block bitmap at 259 (+25, Inode bitmap at 260 (+259)
以上内容針對于ext類檔案系統,不對的地方歡迎拍磚
部分參考了鳥哥文章:http://vbird.dic.ksu.edu.tw/linux_basic/0230filesystem_6.php