读取超级块

Question

我知道在 Unix（特别是 Mac OS X）中，超级块存储有关磁盘上数据布局的信息，包括 inode 开始和结束的磁盘地址。 我想扫描程序中的索引节点列表以查找已删除的文件。 如何找到 inode 开始的磁盘地址？ 我查看了 statfs 命令，但它没有提供此信息。

Answer 1

既然您提到了 Mac OS X，我们假设您只想针对 HFS+ 执行此操作。 Wikipedia 页面 提供了一些有关可能的启动方式的信息，例如，它说的是关于- 磁盘布局：

卷的扇区 0 和 1 是 HFS 引导块。 它们与 HFS 卷中的引导块相同。 它们是 HFS 包装器的一部分。

扇区 2 包含相当于 HFS 卷中主目录块的卷标头。 卷标头存储有关卷本身的各种数据，例如分配块的大小、指示卷创建时间的时间戳或其他卷结构（例如目录文件或范围溢出文件）的位置。 卷标头始终位于同一位置。

分配文件跟踪哪些分配块是空闲的以及哪些分配块正在使用。 它类似于HFS中的Volume Bitmap，每个分配块由一位表示。 零表示该块空闲，一表示该块正在使用。 与 HFS 卷位图的主要区别在于，分配文件作为常规文件存储，它不占用卷开头附近的特殊保留空间。 分配文件还可以更改大小，并且不必连续存储在卷中。

之后事情变得更加复杂。 例如，阅读 B* 树。

我不是 Mac OS 用户，但如果还没有编写用于扫描已删除文件的工具，我会感到惊讶，也许有些工具是开源的，可以提供更具体的起点？

Answer 2

查找已删除的文件会遇到相当大的麻烦，因为当您删除文件时，磁盘上没有多少剩余空间可供查找。

如果删除 FAT（或 UDF）文件系统上的文件，其目录条目只会被标记为“已删除”，而大部分目录条目仍然完好无损。

在 HFS 卷上，由于使用 B 树，删除的编辑必须从目录中删除，否则搜索项目将无法更有效地工作（好吧，这个论点可能有点弱，但事实是已删除的条目会被删除并被覆盖）。

因此，除非删除是通过意外写入目录扇区或通过重新初始化卷来进行的，否则您不会发现太多内容。