一个从ext4镜像中根据inode no获取文件内容的例子

最新推荐文章于 2023-12-02 10:27:20 发布
最新推荐文章于 2023-12-02 10:27:20 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: Android 文章标签: Linux ext4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snail_coder/article/details/79828573
版权

输入文件:Android中编译生成的system.img
目标文件:/system/etc/system_fonts.xml
目标:在获取到文件inode no前提下,从system.img中获取到目标文件的内容
流程:先获取到文件的inode no,再根据这个no找到对应的block获取到inode,根据inode结构中的区段树找到数据block

获取文件的inode no

先把system.img挂载到linux系统中,通过ls -i命令获取到inode

$ out/host/linux-x86/bin/simg2img system.img system.raw
$ sudo mount -o loop system.raw system/
$ ls -i system/etc/system_fonts.xml 
661 system/etc/system_fonts.xml
$ ls -l system/etc/system_fonts.xml 
-rw-r--r-- 1 root root 3418 2014-12-27 22:42 system/etc/system_fonts.xml

从ls命令的结果可知,文件的inode为661,文件大小为3418=0xD5A(后面会检查这个文件大小)

通过dumpe2fs获取ext4相关信息找到inode

这里仅列举了部分信息:

$ dumpe2fs system.raw 
dumpe2fs 1.41.11 (14-Mar-2010)
...
Block size:               4096
Blocks per group:         32768
Inodes per group:         8000
Inode blocks per group:   500
First inode:              11
Inode size:           256

Group 0: (Blocks 0-32767)
  主 superblock at 0, Group descriptors at 1-1
  保留的GDT块位于 2-48
  Block bitmap at 49 (+49), Inode bitmap at 50 (+50)
  Inode表位于 51-550 (+51)
  1 free blocks, 6391 free inodes, 90 directories
  可用块数: 32767
  可用inode数: 1610-8000
...

Block size为4096,每个Group中有8*4096个block;
Inode size为256,所以一个block可以存储4个inode;
而每个Group中有500个block存储inode,所以每个Group中有8000个inode。
51-550这500个block存储着500*16个inode结构,所以block 51开始存储的是第0个inode,我们要找的是第661个
661=41*16+5
所以inode存储在block 92(51+41)中,再偏移4*256处
377856=92*4096+4*256

$ hexdump -s 377856 -n 256 system.raw 
005c400 81a4 0000 0d5a 0000 c548 549e c548 549e
005c410 c548 549e 0000 0000 0000 0001 0008 0000
005c420 0080 0008 0000 0000 f30a 0001 0003 0000
005c430 0000 0000 0000 0000 0001 0000 34eb 0001
005c440 0000 0000 0000 0000 0000 0000 0000 0000
*
005c500

根据inode找到文件block

结合inode的定义:
关注两个数据,一是i_size_lo,代表文件大小,二是i_block,代表区段树

#define EXT4_N_BLOCKS (EXT4_TIND_BLOCK + 1) //15
struct ext4_inode {
 __le16 i_mode;
 __le16 i_uid;
 __le32 i_size_lo;
 __le32 i_atime;
 __le32 i_ctime;
 __le32 i_mtime;
 __le32 i_dtime;
 __le16 i_gid;
 __le16 i_links_count;
 __le32 i_blocks_lo;
 __le32 i_flags;
...
 __le32 i_block[EXT4_N_BLOCKS];
...
};

与前面的数据比较,可知文件大小为0d5a,和之前ls -l看到的文件大小一致。
关于区段树的分析可以参考这篇blog:
https://blog.csdn.net/u013472064/article/details/48473703
其中的34eb 0001就是我们要找的block,即0x134eb=79083
可以查看文件内容了

005c430 ---- ---- 0000 0000 0001 0000 34eb 0001
struct ext4_extent {
 __le32 ee_block;
 __le16 ee_len;
 __le16 ee_start_hi;
 __le32 ee_start_lo;
};

$ dd if=system.raw ibs=4096 skip=79083 count=1
<?xml version="1.0" encoding="utf-8"?>
<!--
    System Fonts

...
</familyset>
记录了1+0 的读入
记录了8+0 的写出
4096字节(4.1 kB)已复制,0.000151108 秒,27.1 MB/秒
小小蜗牛
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ext4文件系统文件定位流程
肥匪斐's blogs
07-28 2676
以ubootext4文件系统为例,解析文件系统挂载的原理及文件定位的流程
图解linuxInode-分析Linux如何通过Inode读取磁盘
Leo的专栏
10-26 9890
1、什么是inode? 首先要明白,linux所有的东西都是文件,不管是目录还是命令 操作系统读硬盘的时候,为了提高效率,一次性读取一个block(常见大小4KB),一个block由8个扇区组成,每个扇区0.5K,扇区是硬盘存储数据的最小单位 而Inode就是帮助linux系统快速定位到指定文件而创建的额特殊的文件
Linux 内核根据文件inode获取其对应的struct inode
小立仔
11-06 479
Linux 内核根据文件inode获取其对应的struct inode
通过文件inode查找文件内容
weixin_46381158的博客
10-23 1450
实现通过文件inode,搜索磁盘,查找到文件内容
ext4文件系统由文件的inode号定位其inode Table
刘洋_heaven的博客
02-18 6568
在ubuntu(以16.06为例),stat filename 可以查看文件的inode数值,但是如何确定该inode项具体在哪个块组下的inode Table不是那么容易,接下来通过一步步计算来获取该inode具体在哪个块组下的inode Table的第几项。 1.首先可以通过dumpe2fs查看当前ext4文件系统的结构信息,命令为 dumpe2fs /dev/sdax
ext4文件系统之文件查找ext4_lookup函数源码解析
dongzhiyan_hjp
10-30 2171
网上讲解ext4的文章挺多的,但是讲解ext4源码的文章很少。本文首先介绍ext4磁盘布局,然后讲解文件查找函数ext4_lookup源码
恢复ext4文件系统被误删的文件.doc
12-24
ext4 文件系统,每个文件都有一个唯一的 inode 号,通过 inode 号可以获取文件的元数据信息。 当我们删除一个文件时,实际上只是删除了文件的 inode 号和文件名,而不是真正地删除了文件的数据。因此,我们...
ext4-raw-reader:用于读取 EXT4 分区的原始内容或其图像以进行恢复等的 python 脚本
06-02
一个 python 脚本,用于读取 EXT4 分区的原始内容或其图像以进行恢复等。 故事:去年在 EXT4 格式的 FS 上意外启动了操作系统安装后,我一直在寻找一种方法来恢复我的数据。 由于分区表丢失,我能够找到的许多可以...
LinuxEXT系列文件系统格式详解
09-14
Linux操作系统EXT系列文件系统(EXT2, EXT3, EXT4)是广泛使用的标准文件系统格式。这些文件系统的设计旨在提供高效的数据存储、检索和管理,它们在Linux内核的支持下工作,确保了系统的稳定性和性能。下面将...
make_ext4fs
04-29
安卓9.0 make_ext4fs文件,make_ext4fs用于Android平台上制作ext4文件系统的镜像。 make_ext4fs [ -l <len> ] [ -j <journal size> ] [ -b <block_size> ] [ -g <blocks per group> ] [ -i <inodes> ] [ -I <inode ...
ext4 文件inode操作ext4_file_inode_operations
星空探索
03-05 595
ext4_file_inode_operations const struct inode_operations ext4_file_inode_operations = { .setattr = ext4_setattr, .getattr = ext4_getattr, .listxattr = ext4_listxattr, .get_acl = ext4_ge
Python 判断文件是否存在,存在则删除
桃子小迷妹
09-22 7877
# filepath为文件路径 import os # 判断文件是否存在 if (os.path.exists(filepath)) : #存在,则删除文件 os.remove(filepath)
inode文件与系统日志
潇潇雨歇
05-19 540
系列文章目录 提示:这里可以添加系列文章的所有文章的目录,目录需要自己手动添加 例如:第一章 Python 机器学习入门之pandas的使用 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录系列文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代码如下(示例): import numpy as np im
通过inode初步认识文件系统
weixin_59688955的博客
11-02 132
Linux 文件系统,inode值相同的文件是硬链接文件,也就是说,不同的文件名,inode可能是相同的,一个inode值可以对应多个文件。理解链接文件并不难,看看例子就会了。在Linux,链接文件是通过ln工具来创建的。(1) 硬链接,以文件副本的形式存在。但不占用实际空间。(2) 不允许给目录创建硬链接。(3) 硬链接只有在同一个文件系统才能创建。(4) 删除其一个硬链接文件并不影响其他有相同 inode 号的文件
Linux文件系统 -- inode和block
最新发布
qq_45742976的博客
12-02 1216
删除文件时,文件系统的目录项会被删除,但inode映射表和block映射表里的队友标志会被标记为可用,表示这些块可以被新文件或其他数据使用,但实际inode区和block区没有被释放,所以只要数据块没有被新数据覆盖,被删除的数据是可以通过修复软件恢复的,文件系统会有日志。软链接是一个指向目标文件或目录的路径的文本字符串,会产生新的inode和block、新的目录项,block里存放的是链接的文件名。软链接,删除原文件,链接文件不可用;硬链接,删除原文件,链接文件可以继续使用,但内容为空。
linux内核根据inode获取文件的完整路径
jinking01的专栏
04-07 3788
1.概述 构成一个操作系统最重要的部分就是进程管理和文件系统了。 Linux最初采用的是minix的文件系统,minix是由Andrew S. Tanenbaum开发的用于实验性的操作系统,比如有一些局限性。后来经过一段时间的改进和发展,Linux开发出了ext2文件系统,当然后来逐渐发展除了ext3、ext4。为了使Linux支持各种不同的文件系统,Linux使用了所谓的虚拟文件系统VFS(Virtual Filesystem Switch),VFS提供一组标准的、抽象的文件操作,以系统调用的形式提供
一、Inode
m0_53073002的博客
01-22 1061
文章目录一、Inode概述1.1、文件数据包括元信息与实际数据1.2、inode的特殊作用1.3、Linux系统文件三个主要的时间属性1.4、目录文件的结构1.5、inode的号码二、inode的大小三、链接文件四、恢复EXT类型的文件五、恢复XFS类型的文件xfsdump命令格式六、xfsdump使用限制七、日志文件7.1、日志的功能7.2、日志保存位置7.3、由系统服务rsyslog统一管理7.4、日志消息的级别7.5、日志记录的一般格式7.6、用户日志分析7.7、程序日志分析7.8、日志管理策略 一、
ext文件系统的inode之寻找数据(block)的关系
qq_35655057的博客
09-30 165
inode有 15*4=60个字节的区域 索引0~11 直接关联block的编号 索引12关联1个block, 把关联的block/4(字节)=新的block编号; 例如: 1024/4=256 又多出256个block索引项; 这就是1级间接寻址, 索引13二级间接寻址,索引14三级间接寻址 如果一个block=1024, 那么单文件最大可存16.06g; 计算如下: 0~11: 12*1024 = 12k; 12: 256*1024 = 256K; 13: 256*256*1024 = 64m; 14
挂载 ext4文件系统并提取文件
壹贰四六玖的博客
09-04 1896
simg2img.py 脚本 #!/usr/local/bin/python #encoding:utf8 #=============================================================================== # # FILE: simg2img.py # # USAGE: ./simg2img.p...
以实际例子说明ext4文件系统读取文件的原理
06-13
2. 通过inode获取文件的数据块地址,ext4文件系统一个文件会被分成多个数据块(block),每个数据块的大小是4KB或者更大; 3. 文件系统会通过磁盘I/O操作读取对应的数据块,将数据块内容加载到内存,然后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值