Ext4文件系统介绍 - 实战篇

已于 2023-07-15 03:36:34 修改
阅读量529 收藏 2
点赞数 1
分类专栏: 文件系统与存储 文章标签: linux 操作系统基本原理 文件系统 内核
于 2023-07-14 21:34:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/getnextwindow/article/details/131726246
版权

本文主要通过dd,hexdump和dumpe2fs工具分析ext4的磁盘二进制数据,加深对ext4文件系统的印象,要想理解本建议先阅读下Ext4文件系统介绍 - 理论篇_nginux的博客-CSDN博客

磁盘超级块数据分析

根据理论篇我们知道ext4 layout中前1024字节是x86的boot secotr,这之后紧接着就是super block信息,如下图:

super block的信息只要从1024字节开始解析,命令和输出如下:

dd if=./rootfs_ext4.img  bs=1 skip=1024| hexdump -Cv -n 2048

其中rootfs_ext4.img是我制作的一个虚拟磁盘,格式化为Ext4文件系统:

根据Ext4理论篇我们知道,磁盘上superblock的前32位是代表Total inode count,inode的数量:

__le32代表是little end存储方式,所以上图中第一个红圈是00010000,即65536,我们通过dumpe2fs命令校验确实如此:

 第二个红框的偏移0x38处,值是:0xef53根据super block的存储格式我们知道这个是super block magic number,跟协议里面的规定完全一致:

 磁盘inode table位置定位和数据分析

我们已jbd2的inode为例,根据ext4理论篇我们知道,inode 8是一个special inode,专门给jbd2使用,如下:

 我们知道inode是存储在inode table中,每个inode size 是256B,所以我们怎么找到inode table的block号?dumpe2fs命令!

 红框可以看到inode table是从161号block,block size 4KB inode size 256B,那么8号inode在inode table中的偏移:(8-1) *256B = 0x700,所以我们从161号block地址处偏移0x700就可以找到8号inode内容:

dd if=./rootfs_ext4.img  bs=4096 skip=161| hexdump -Cv -n 2048

上述命令相当于跳过161个4K的block,然后打印2048个字节,截取0x700偏移处如下:

根据ext4理论篇中Inode Table我们知道,一个inode 是256B,其中在i_block是在偏移0x28处,占用60字节:

也就是说,从0x700 + 0x28 处对用i_block的60字节,即红框处的内容,而i_block这60字节的组织格式如下:

 红框的f30a对应上图的extent_header,根据ext4理论篇中的定义我们知道extent_header数据结构如下:正好f30A对应extent_header的magic number。

磁盘文件进制数据定位

我们磁盘中有个文件1.txt ,起inode num=424:

/ # ls -i 1.txt 
    424 1.txt

该文件大小21.3K:
/ # ls -lh 1.txt 
-rw-r--r--    1 0        0          21.3K Jul 14 09:52 1.txt

内容如下:
abcdefgdddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd
abcdefgdddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd
abcdefgdddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd
abcdefgdddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd
abcdefgdddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd
abcdefgdddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd
abcdefgdddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd
abcdefgdddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddddd

偏移位置(424-1)* 256B ,相当于26个4KB + 7*256B,所以这个inode相当于161 + 26 = 187 block开始偏移 7 * 256 = 0x700处,故使用如下命令得到424的内容:

dd if=./rootfs_ext4.img bs=4096 skip=187 | hexdump -Cv -n 2048

 目前该inode的i_block的格式如下:

上图可以看到ext4_extend_header中eh_entries = 1,eh_depth = 0,代表header之后紧跟着的是一个ext4_extent,而不是ext4_extent_id,ee_block = 0000,0000代表是该extent从文件头开始映射的,ee_length=6代表该ext4_extent连续映射了6个block,start_lo = 0x9602,代表映射的起始物理块号是0x9602 = 38402,所以该文件内容的起始物理block是38402,使用如下命令查看该block的内容:

 dd if=./rootfs_ext4.img bs=4096 skip=38402 | hexdump -Cv -n 4096

 可以看到输出的内容和文件1.txt的内容一致。

我们同时使用filefrag命令看下1.txt文件的物理block号:可以发现确实也是6个blocks,切开始的物理block num 38402

[root@192 test]# filefrag -v 1.txt 
Filesystem type is: ef53
File size of 1.txt is 21812 (6 blocks of 4096 bytes)
 ext:     logical_offset:        physical_offset: length:   expected: flags:
   0:        0..       5:      38402..     38407:      6:             eof
1.txt: 1 extent found

参考文章:

黄伟亮:ext4文件系统之裸数据的分析实践

nginux
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux操作系统故障处理-ext4文件系统超级块损坏修复
afld13375的博客
11-11 3451
背景 前天外面出差大数据测试环境平台有7台服务器挂了,同事重启好了五台服务器,但是还有两台服务器启动不起来,第二天回来后我和同事再次去机房检查,发现两台服务器都显示superblock的报错,经过一番处理后两台服务器都正常进系统了,现决定重现superblock故障并将此类问题故障处理思路写下来方便后面新同事参考。硬盘的结构硬盘的物理结构侧视图和俯视图,这两张图传递出来的比较重...
UBI及EXT4文件系统
01-06
UBIFS介绍: 由于超大容量Nand Flash的普及,YAFFS等皆无法再去控制Nand Flash的空间,于是在2006年由IBM与Nokia的工程师设计开发了UBI(Unsorted Block Image)及其UBIFS文件系统,专门为了解决MTD(Memory Technology Device)设备所遇到的瓶颈。UBIFS可以认为是JFFS2文件系统的下一代产品。JFFS2运行在MTD设备之上,而UBIFS则只能工作于UBI volume之上,且与一般的block device不兼容,UBIFS涉及三个子系统: MTD子系统,提供对flash芯片的访问接口,MTD子系统提供了MT
android ext4文件系统打包详解
07-06
文档是本人在开发过程中总结的ext4文件系统用make_exfs工具打包注意事项。
是否支持在线调整EXT4文件系统的大小.pdf
12-30
操作系统Linux 文件系统是否支持在线调整EXT4文件系统的大小,文档查询说明,是否会影响到系统稳定性描述分析。
ext4分析工具C++代码
最新发布
02-01
解析ext4文件系统内容
恢复ext4文件系统被误删的文件.doc
12-24
文档给出了恢复ext4文件系统被误删的文件的方法,需要使用的软件是extundelete,这款软件对ext4文件系统的恢复成功率比较高,值得拥有!
Ext4文件系统介绍 - 理论篇
GetnextWindow的专栏
07-09 2302
但是,ext4_inode_info没有定义指向ext4_inode的字段,只是拷贝了ext4_inode的i_block,i_flags等字段;ext4_sb_info和ext4_super_block中的很多字段相似,但也有区别,ext4_sb_info中的很多字段是根据ext4_super_block的字段计算而得,虽然可以通过 ext4_super_block计算而得到,但是定义在ext4_sb_info定义可以省去重复计算的时间。磁盘数据的每个inode通过ext4_inode数据结构表示。
Linux Ext4文件系统的基本结构
bcbobo21cn的专栏
01-03 924
Ext4文件系统和inode;
Android system.img ext4格式
osnet的博客
01-22 2448
Android system.img镜像文件为sparse ext4 image格式, sparse header格式: typedef struct sparse_header { __le32 magic; /* 0xed26ff3a */ __le16 major_version; /* (0x1) - reject images with higher major versio...
详解ext4文件系统特性
m0_74282605的博客
08-08 249
但是随着现在文件数目的增多以及文件数据的增大,ext4文件系统显得力不从心, 虽然ext4添加了很多的新的特性, 比如extent、bigalloc等,但是比不上XFS等文件系统,目前RedHat中的默认文件系统更改为了XFS,XFS在目前大数据环境下表现性能优于ext4,原始的XFS是针对于高端计算机用户,当然其他优秀的文件系统Btrfs、ZFS正在不断开发和完善中。采用inline data的方式, 文件的数据放在inode的后面,此时的inode为扩的inode,需要进行扩大处理。
Ext4文件系统
03-23
首先Ext4是可以向前兼容的,也就是说Ext3文件系统可以挂载为Ext4文件系统使用,不过为了充分利用Ext4的优势,必须实现文件系统的迁移,以转换和利用新的Ext4格式。 Ext3文件系统可以在线转换为Ext4,但这样并不能...
ext4文件系统相关博客资料整理
SweeNeil
02-19 732
学习ext4也有一段时间了,在ext4文件系统的学习上基本是三天打鱼两天晒网,学得不够系统,希望能够对ext4有一个系统的学习,但是学习资料大多来自前人的博客,所以决定将这些对我学习ext4有过帮助的博客整理出来,便于够查阅并学习。 同时也希望能够在ext4文件系统这个目录下写一些自己的实验,然后也希望能够在学习ext4文件系统的过程中做一些博客资料的补充。 0、ext/ext2/ext3/e...
EXT4文件系统学习(二)dumpe2fs查看ext4文件系统超级块信息数据
TSZ0000的博客
11-30 3778
编译dumpe2fs工具    Linux系统有此工具软件可直接使用, 如果没有可选择自己手动编译,下面介绍编译ARM开发板的dumpe2fs工具: 下载     git clone git://git.kernel.org/pub/scm/fs/ext2/e2fsprogs.git [wang@localhost tmp]$ git clone git://git.kernel.org...
Ext4文件系统架构分析(二)
TopicDev的专栏
03-31 3452
1.7 超级块 超级块记录整个文件系统的大量信息,如数据块个数、inode个数、支持的特性、管理信息,等待。 如果设置sparse_super特性标志,超级块和块组描述符表的冗余备份仅存放在编号为0或3、5、7的幂次方的块组中。如果未设置sparse_super特性标志,冗余备份存在与所有的块组中。以下是2.6.32.18内核中对Ext4超级块的描述: 3.0的内
操作系统--EXT4文件系统结构分析
weixin_45948376的博客
12-04 4104
EXT4文件系统结构分析 一、实验目的: 掌握文件系统的工作机理;理解文件系统的主要数据结构;学习较为复杂的Linux下的编程;了解EXT4文件系统的结构。 二、实验平台: 虚拟机:VMWare9 操作系统:Ubuntu12.04 文件系统EXT4 编辑器:Gedit | Vi 二、check_ext4fs运行说明 该程序是一个ext4文件系统查看器.可以打开镜像文件及硬盘设备文件查看具体的文件系统结构信息,如超级块,块组信息,文件inode。 1、查看主硬盘设备名、挂载目录及文件系统信息 可查出是ex
ext4文件系统结构分析应用实例--mount/umount文件系统改变了文件系统镜像的哪些数据?
code/decode的博客
02-29 917
背景 在上一篇博文《构造固定大小的文件并进行格式化的方法》(https://blog.csdn.net/keheinash/article/details/104581785)中,提到创建ext4文件系统镜像是为了用于验证大文件加解密,将格式化后的ext4镜像加密再解密,并将解密后的镜像挂载,发现和未加密前的镜像挂载后的内容是一致的,且两个文件系统下每个文件的内容都是一致的,看起来大文件加解密是成...
Linux32位ext4最大文件容量,Linuxext4文件系统,分区容量和block、inode容量对应不上?...
weixin_34885746的博客
04-29 158
fdisk -ldevice Boot Start End Sectors Size Id Type/dev/sdb1 2048 2099199 2097152 1G 83 Linux/dev/sdb2 2099200 6293503 4194304 2G 83 Linux**/dev/sdb3** 6293504 629...
文件系统XFS与EXT4的区别
热门推荐
m0_46400195的博客
11-26 1万+
文件系统操作系统用于明确存储设备(常见的是磁盘,也有基于NAND Flash的固态硬盘)或分区上的文件的方法和数据结构;即在存储设备上组织文件的方法。操作系统中负责管理和存储文件信息的软件机构称为文件管理系统,简称文件系统EXT4是2008年推出的,是Linux系统下的日志文件系统第四代拓展文件系统(Fourth Extended Filesystem),是ext3文件系统的后继版本。它是一个真正可靠的文件系统,它几乎在过去几年的大部分发行版中一直是默认选项,它是由比较老的代码生成的。它是一个。
EXT4 二进制文档解析
读研功夫
09-26 1340
说明:本文档通过研究ext4文件系统在flash上的摆放格式,做到对一个ext4 file system的二进制档,分析出包含哪些文件,每个文件的名字,大小和内容。如有不对的地方,还望指正。本文主要参考了《数据重现-文件系统原理精解与数据恢复最佳实践》(马林 著)中关于ExtX文件系统章节(第五章)EXT4文件系统架构: 说明:EXT4文件系统中只有0号块组的超级块和块组描述符表的位置是固定的,其
yocto文件系统挂载EXT4-fs
05-20
在 Yocto 中,可以使用以下步骤将 EXT4 文件系统挂载到目标设备上: 1. 在 Yocto 中使用 BitBake 工具生成一个包含 EXT4 文件系统的映像文件。 2. 将生成的映像文件烧录到目标设备的存储介质上。 3. 在目标设备上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值