107

# ./find_inode /image/system.img 12345

No inode or potential fragment base was found

Но искать вручную каждый удаленный файл немного хлопотно, поэтому для начала можно пройтись по разделу или созданному образу утилитой fls, выводящей имена файлов и каталогов, и в том числе недавно удаленных.

Из опций утилиты стоит отметить:

n  -a – отображает имена файлов, начинающиеся с точки, которые любят использовать взломщики;

n  -d – вывод только удаленных файлов (-u – только не удаленных);

n  -l – вывод подробной информации о файле;

n  -r – рекурсивный обход всех директорий (но не может следовать за удаленными каталогами).

# ./fls -rd /dev/hda9

? * 0:  /date

r * 28: /dd

? * 0:  /deallocvt

? * 0:  /kbd_mode

? * 0:  /lsmod.old

? * 0:  /lsmod.static

? * 0:  /mapscrn

? * 0:  /mknod

? * 0:  /rescan-scsi-bus.sh

r * 91: /rm

r * 107:        /sort

r * 111:        /tar

r * 95426:      /var/lib/rpm/__db.Packages

d * :    /dir1

Как видите, удалось определить, что за файл скрывался в inode под номером 107, который теперь благополучно можно восстановить при помощи icat. Но если под Linux такой номер проходит, то в Solaris можно вообще не получить никакой информации.

Удаленные файлы и каталоги помечаются знаком *. Первая буква показывает, что за файл, т.е. r-egular, d-irectory, l-ink, s-ocket или неопределен (?).

Найти имя файла или каталога по известному inode можно при помощи утилиты find_file. В man не сказано, что означают те или иные опции, поэтому пришлось поначалу запустить ее со всеми сразу.

#./find_file -adu /dev/hda9 107

-d and -u must not be used together

usage: ./find_file [-adu] image inode

        -a: Find all occurrences