我想了解ext4文件系统的扩展树。我试图观察实际磁盘文件上的数据布局。首先,我使用stat命令显示文件的inode位置。输出如下:
File: 'config.cc'
Size: 4388 Blocks: 16 IO Block: 4096 regular file
Device: 810h/2064d Inode: 44695914 Links: 1
Access: (0664/-rw-rw-r--) Uid: ( 1000/ wq) Gid: ( 1000/ wq)
Access: 2019-10-24 08:55:43.509050139 +0800
Modify: 2019-09-24 09:21:58.895976000 +0800
Change: 2019-10-10 16:15:37.100819292 +0800
Birth: -
输出显示文件的索引节点位于硬盘的44695914块上。我注意到blkcat中包含一个名为The Sleuth Kit的工具,可以提取特定块的数据。
我使用cmd blkcat尝试了blkcat -h -f ext4 44695914,输出为Missing image name and/or address。我想查看的数据如下:
0000c00: 8081 0000 d036 0000 814b ee50 7f4b ee50 .....6...K.P.K.P
0000c10: 7f4b ee50 0000 0000 0000 0100 2000 0000 .K.P........ ...
0000c20: 0000 0800 0100 00000af3 0400 0400 0000 ................
0000c30: 0000 0000 0000 0000 0100 0000 58c2 0b00 ............X...
0000c40: 0100 0000 0100 0000 e599 1b00 0200 0000 ................
0000c50: 0100 0000 41e6 2f00 0300 0000 0100 0000 ....A./.........
0000c60: b878 1c00 275f ea72 0000 0000 0000 0000 .x..'_.r........
0000c70: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0000c80: 1c00 0000 c018 94d1 c018 94d1 c0e5 ea86 ................
0000c90: 9bea e850 d0a4 fcb4 0000 0000 0000 02ea ...P............
0000ca0: 0706 4000 0000 0000 1f00 0000 0000 0000 ..@.............
0000cb0: 7365 6c69 6e75 7800 0000 0000 0000 0000 selinux.........
0000cc0: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0000cd0: 0000 0000 0000 0000 0000 0000 0000 0000 ................
0000ce0: 7379 7374 656d 5f75 3a6f 626a 6563 745f system_u:object_
0000cf0: 723a 7661 725f 6c6f 675f 743a 7330 0000 r:var_log_t:s0..
我如何使用此工具显示数据?有人可以帮助我吗?谢谢!