ファイルシステム:root inodeやジャーナルなしでext4からファイル名を復元しますか?

ファイルシステム:root inodeやジャーナルなしでext4からファイル名を復元しますか?

パーティションの最初の数メガバイトをゼロにしたとき、ルートinodeとジャーナルの両方が誤ってext4ファイルシステムから削除されました。しかし、私のすべてのデータはphotorecを介して正常に回復しました。元のデータに加えて他のものも回復できますか?ファイル名がありますか?メタデータ?それとも、これらすべては通常ディスクパーティションの先頭に保存されますか?

答え1

実行はe2fsckファイルシステムを回復するための最良の方法であり、ファイルシステムの一部が失われても非常に効果的なタスクを実行できます。これは、ext2/3/4がファイルシステムメタデータ(inode、ビットマップなど、ディレクトリを除く)に対して比較的静的なレイアウトを使用し、ファイルシステムの残りのコピーの複数の場所に重複するスーパーブロックおよびキーグループ記述子テーブルです。持っているからです。

ファイルシステムのフォーマット方法(および時期)によっては、ファイルシステムの先頭にはルートinode自体に加えて重要な情報が多く含まれない場合があります。最初のグループには多くのinodeがあるかもしれませんが、通常、ファイルシステムがいっぱいでなければ使用されません。 e2fsck実行は、使用中に見つかったディレクトリエントリ(ファイル名を含む)を持たないすべてのファイルとディレクトリをこのディレクトリに配置しますlost+found。ファイルとディレクトリの名前は似ています#1234が、コンテンツ、UID、GIDで識別し、ファイルシステムの適切な場所に移動できます(おそらく親ディレクトリを再作成した後)。

ディレクトリブロックなどのより洗練されたツールを使用すると、より多くのext3grep情報を回復することができますが(最近更新されていない古いext3ファイルシステムを使用している場合)、ファイルシステムの最初の部分が削除されるため、回復可能な情報は限られています。復元されます。

答え2

ファイル名などはディスクのinodeに分散されているため(ほとんどの場合、一部は0に設定されている可能性があります)、まだ存在する必要があります。

それを見つける方法は別の問題です。ルートinodeが失われると、どのブロックにinodeが含まれているかを調べる方法がないと思います。つまり、生データブロックを読み込み、どのブロックが何であるかを推測するプログラムが残り、inodeは識別しにくいです。これを行うことができるプログラムがあるかどうかわかりません(聞いたことがありません)。

関連情報