Индексные узлы иР82 на 128 байт больше своих аналогов в иР81, а многие 32-разрядные поля в них заменены 64-разрядными. Они также хранятся в таблице индексных узлов, смещение которой задается в суперблоке, но, в отличие от иР81, смещение таблицы остается постоянным. Поля индексных узлов иР82 перечислены в табл. 17.8.

Таблица 17.8. Структура данных индексного узла в 1^2

Диапазон

Описание

Необходимость

0-1

Режим файла (тип и разрешения) - см. раздел «Индексные узлы» главы 15

Да

2-3

Счетчик ссылок

Да

4-7

Идентификатор пользователя

Нет

8-11

Идентификатор группы

Нет

12-15

Размер блока индексных узлов

Нет

16-23

Размер

Да

24-31

Количество удерживаемых байт

Нет

32-39

Время обращения

Нет

40-47

Время модификации

Нет

48-55

Время изменения

Нет

56-63

Время создания

Нет

64-67

Время модификации (наносекунды)

Нет

68-71

Время обращения (наносекунды)

Нет

72-75

Время изменения (наносекунды)

Нет

76-79

Время создания (наносекунды)

Нет

80-83

Номер поколения (ЫРБ)

Нет

84-87

Флаги ядра

Нет

88-91

Флаги состояния

Нет

92-95

Размер расширенных атрибутов

Нет

96-111

2 прямых указателя на блоки расширенных атрибутов

Нет

112-207

12 прямых указателей на блоки

Да

208-215

Косвенный указатель первого уровня

Да

216-223

Косвенный указатель второго уровня

Да

224-231

Косвенный указатель третьего уровня

Да

232-255

Не используется

Нет

Самое заметное различие между версиями 11Р81 и 11Р82 заключается в том, что указатели на блоки и временные штампы стали 64-разрядными. Адреса в блоках косвенной адресации также занимают 64 бита.

При анализе образа ОТ82 было показано, что таблица индексных узлов начинается во фрагменте 56. Содержимое индексного узла 5 выглядит так:

# сісаг ітєєЬбсі freebsd.dc! 56 8 dd Ь$=256 Бкір=5 соштМ xxd

0000000: а481 0100 0000 0000 0000 0000 0000 0000 ................

0000016: 0000 2000 0000 0000 2010 0000 0000 0000 ..............

0000032: Ь5ЬЗ 0Г41 0000 0000 ЬбЬЗ 0Г41 0000 0000 ...А.......А....

0000048: ЬбЬЗ 0f41 0000 0000 Ь5ЬЗ 0f41 0000 0000 ...А.......А....

0000064: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000080: life 8458 0000 0000 0000 0000 0000 0000 ...X............

0000096: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000112: е800 0000 0000 0000 fOOO 0000 0000 0000 ................

0000128: f800 0000 0000 0000 0001 0000 0000 0000 ................

0000144: 0801 0000 0000 0000 1001 0000 0000 0000 ................

0000160: 1801 0000 0000 0000 2001 0000 0000 0000 ...............

0000176: 5801 0000 0000 0000 6001 0000 0000 0000 X.......'.......

0000192: 6801 0000 0000 0000 7001 0000 0000 0000 h.......p.......

0000208: 4801 0000 0000 0000 7001 0000 0000 0000 H...............

0000224: 0000 0000 0000 0000 0000 0000 0000 0000 ................

0000240: 0000 0000 0000 0000 0000 0000 0000 0000 ................

В байтах О-1 отображается режим; значение 8 является признаком обычного файла. Байты 16-23 показывают, что размер файла равен 2 097 152 байтам (0x00200000). В байтах 32-39 хранится 8-байтовое A-время, которое после преобразования принимает вид 15:48:05, 3 августа 2004 г. по UTC.

Байты 112-119 содержат первый прямой указатель на блок файла. В данном примере это блок 232 (0хе8). Второй указатель ссылается на блок 240 (OxfO); в тестовом образе размер блока равен 8 фрагментам. Байты 208-215 содержат первый косвенный указатель 328 (0x0148).

Вывод istat для этого индексного узла выглядит так:

# istat -f freebsd -z UTC freebsd.dd 5 inode: 5 Allocated Group: 0

uid / gid: 0/0 mode: -rw-r--r--size: 2097152 num of links: 1

Inode Times:

Accessed: Tue Aug 3 15:48:05 2004

File Modified: Tue Aug 3 15:48:06 2004

Inode Modified: Tue Aug 3 15:48:06 2004

Direct Blocks:

232 233 234 235 236 237 238 239 240 241 242 243 244 245 246 247 [...]

1296 1297 1298 1299 1300 1301 1302 1303 Indirect Blocks:

328 329 330 331 332 333 334 335

Индексные узлы 11р81 | Криминалистический анализ файловых систем | Расширенные атрибуты ирб2


Криминалистический анализ файловых систем



Новости за месяц

  • Март
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс