리눅스(EXT2)에서 삭제된 파일 복구하기 - 9

3. 실습 – 삭제된 파일 복구하기

*. 실습시 사용하는 이미지 다운로드 주소 : http://old.honeynet.org/challenge/images.html

       (challenge-images.tar 압축을 풀어, 다음 이미지를 모두 마운트시킨다.
honeypot.hda1.dd, ~~.hda5.dd, ~~.hda6.dd, ~~..hda7.dd, ~~.hda8.dd )

 

파일을 삭제할 때는 Data는 그대로 두고 inode table에 해당 inode를 안 쓴다는 표시만 한다. (성능상의 이유로 모든 파일시스템이 동일하다.) index block에서 inode와 연결 부분 삭제하는 것이다. 따라서 이를 이용하면, 삭제된 파일의 복구가 가능하다!

 

3-1.  Bitmap 에서 inode 를 사용한다(1) 표시된 경우

-> 해당 inode 를 따라가서 data 덤프하면 파일 복구

 

3-1-1. Bell FS

boot record

super block

inode table

data block

* bitmap은 super block에 위치.

 

3-1-2. EXT3 방식

Cylinder Group 구조 : 앞에 깨지면 뒤의 것을 가져다 복구. 퍼포먼스를 위한 구조이다.

 

3-1-3. EXT2 방식

앞서 “2-4. EXT2 파일시스템 구조 분석”에서 다룸

3-2.  Bitmap 에서 inode를 사용하지 않는다(2) 표시된 경우

 

3-2-1. 한 번도 사용하지 않은 inode (Vergin inode) -> 복구할 필요 X
              사용했다가 지워진 inode -> index를 따라가 해당 data block 을 dump 떠서 복구함

 

3-2-2. 실습을 따라하며 원리를 익혀보자.

i. ls -ali 명령을 통해 inode와 기타 부가정보를 볼 수 있다.

-a : all의 뜻으로 시스템에 숨겨져 일반 사용자에게 나타나지 않는 파일을 포함한 모든 파일과 디렉토리 이름들을 화면에 표준출력

-l : long이라는 뜻으로 파일 및 디렉토리의 표시, 접근(access)에 대한 허가 사항, 링크수, 사용자, 등록명(홈디렉토리) 그리고 파일의 생성 및 최종적으로 수정된 시간과 파일 및 디렉토리 이름을 세부적으로 나열하여 사용자는 보다 더 많은 파일 및 디렉토리에 대한 정보 확인 가능

-i : i-node 번호를 파일 또는 디렉토리 이름 앞에 표준출력

 

  

ii. 삭제된 inode 보기

   이렇게 입력하면 결과화면은 다음과 같이 honeypot.hda5.dd (삭제된 파일이 있는 상태에서 그대로 디스크를 dump한 이미지)에 들어있는 inode들 중 삭제된 inode들을 볼 수 있다.

 

수많은 결과가 나온다. 이 중, 복구 가능한 inode를 선별할 필요가 있다. 다음에서 복구의 조건을 살펴보도록 한다.

 

 

  

c.f) 삭제된inode를 살필 때 사용한, ils 명령어를 살펴보자.

1. ils : ils는 마운트 되어 있는 디바이스의 inode 정보를 리스트로 만들어준다.

2. -r 옵션 : 삭제된 파일들의 inode 정보를 만들어준다.

3. Inode 번호, allocation, size, … 등 여러가지 필드가 있다.