在上一篇 Ext4 的介紹,最後講到我們可以從 Ext4 的一個地方有機會找到該筆刪除檔案的檔案實體位置,這個地方就是 Ext4 Journal ,我們可以從 Inode 表裡找到它,它在表裡編號為 8,Journal 裡面記錄著 Ext4 裡檔案與目錄的變化,是記載著這些檔案、目錄 Inode 內容,所以我們可以從這裡找到那筆刪除檔案還沒被修改成已刪除的 Inode 內容,找到這筆 Inode 內容後,就能看到他檔案實體位置資訊,藉此將這筆刪除檔案復原,當然 Journal 也是有最大 Size 限制,換句話說時間經過太久或檔案變動過多,也是可能被覆蓋資訊,那就來看下面尋找刪除檔案方法展示圖:
這張圖是上一篇介紹的刪除檔案 Inode 內容資訊
紅框內是來找該筆檔案的特徵,我們用該特徵在 Journal 裡找到該筆檔案 Inode
在 Journal 裡面的位置前面,找到這筆刪除檔案已被註記被刪除 Inode 資訊,可以看看它跟上圖的內容是一樣的
這筆 Inode 就是該筆刪除檔案還沒被註記被刪除 Inode 資訊,因此我們可以從紅框看到它檔案實體位置資訊並不是為 0 ,再從橘框擷取這 Inode 位置去做檔案復原動作,我把橘框位置 16進位換成10進位
得到146432,再用這支小程式去做復原
我們看看復原結果吧
char.docx 內容完整沒被覆蓋到,以上就是 Linux Ext4 刪除檔案回復介紹。
其實 Ext4 Journal 裡的資訊不只可以做 Recovery 運用,如果該 Linux 有架網站的話,也許能從這找到是否被植入後門的痕跡,有興趣的人可以研究看看。
有興趣的朋友可以關注我,這是我的粉絲團 facebook.com/rexlintechnology 不吝嗇給個讚跟追蹤吧!
