我正在寻找一种方法来获取 linux 文件系统(ext2/3/4)的所有元数据。任务是查找 linux 分区上存在的所有文件(已删除/未删除)。文件的元数据应该包括创建时间、修改时间等(基本上是你从命令 istat 得到的)
我面临的问题是关于已删除的文件。我找不到获取文件系统上当前存在的已删除文件的 inode 的方法。请为上述文件系统提出解决此问题的方法。
提前致谢。
问问题
156 次
1 回答
1
您可能会发现The Coroner's Toolkit非常有用。它包括允许您查看元数据的任何元素、直接查看 inode、转储 inode 引用的所有磁盘扇区、直接转储磁盘扇区等的工具。由于您直接使用 inode 和扇区,它确实不管它们是否被删除,它们都可以访问。
于 2015-05-25T13:44:19.467 回答