Início / unix / Perguntas / 760330
Accepted
Vikas Dhankhar
Asked: 2023-11-01 16:28:01 +0800 CST

Por que o comando dd recupera arquivo que foi excluído usando Shredder?

  • 772

Encontrei o inode de um arquivo usando ls -li. Então encontrei o bloco inicial a partir do qual este arquivo está gravado no disco. Copiei o conteúdo do bloco do comando dd para outro diretório. Em seguida, destruí o arquivo usando o utilitário Shred "shred -uvz -n = 10 file1.txt" e executei novamente o mesmo comando dd. arquivo foi novamente recuperado. Eu deveria obter 00000 depois que o arquivo fosse destruído. o que estou perdendo?

Na segunda iteração, não removi o arquivo e, em vez disso, executei "shred -vz -n = 10 file2.txt" Seguindo as etapas mencionadas anteriormente, consegui novamente recuperar o arquivo original usando o comando dd e a posição do bloco. No entanto, o conteúdo do arquivo fragmentado contém 00000, conforme mostrado no hexdump file2.txt. o que estou perdendo?

filesystems

1 respostas

  1. Best Answer

    Supõe-se que os sistemas de arquivos tenham acesso exclusivo aos seus dispositivos de bloco. Você não deve usar dddiretamente no dispositivo de bloco enquanto o sistema de arquivos está montado.

    Quando você usa dd(ou qualquer outro programa de espaço do usuário) para ler bytes diretamente de um dispositivo de bloco, essa leitura é armazenada em cache. Se você repetir ddnovamente, ele lerá os dados do cache.

    Infelizmente, gravar dados (por meio de um sistema de arquivos) não atualiza esse cache. Então você entra nesta situação em que os dados no cache não refletem os dados no disco.

    Outro exemplo onde isso acontece é TRIM. Se algum dado do dispositivo de bloco foi armazenado em cache, você ainda obterá os dados do cache, mesmo que o TRIM já os tenha removido. É por isso que você precisa descartar caches ao testar TRIM .

    Faça um sistema de arquivos com alguns arquivos:

    # truncate -s 10G filesystem.img
# mkfs.ext4 filesystem.img
# losetup --find --show filesystem.img
/dev/loop1
# mount /dev/loop1 loop/
# for n in {000..100} ; do yes $n | dd bs=1M count=1 iflag=fullblock of=loop/$n; done 2> /dev/null
# sync

    Verifique o conteúdo do arquivo e os deslocamentos físicos:

    # hexdump -C loop/042
00000000  30 34 32 0a 30 34 32 0a  30 34 32 0a 30 34 32 0a  |042.042.042.042.|
*
00100000
# filefrag -ve loop/042
Filesystem type is: ef53
File size of loop/042 is 1048576 (256 blocks of 4096 bytes)
 ext:     logical_offset:        physical_offset: length:   expected: flags:
   0:        0..     255:      44800..     45055:    256:             last,eof
loop/042: 1 extent found

    Ler do dispositivo de bloco:

    # dd bs=4096 skip=44800 count=256 if=/dev/loop1 | hexdump -C
00000000  30 34 32 0a 30 34 32 0a  30 34 32 0a 30 34 32 0a  |042.042.042.042.|
*
00100000

    Destruir:

    # shred -v -n 1 loop/042
shred: loop/042: pass 1/1 (random)...

    Ler do dispositivo de bloco (em cache):

    # dd bs=4096 skip=44800 count=256 if=/dev/loop1 | hexdump -C
00000000  30 34 32 0a 30 34 32 0a  30 34 32 0a 30 34 32 0a  |042.042.042.042.|
*
00100000

    Ler do dispositivo de bloco ( iflag=nocache):

    # dd bs=4096 skip=44800 count=256 if=/dev/loop1 iflag=nocache | hexdump -C
00000000  30 34 32 0a 30 34 32 0a  30 34 32 0a 30 34 32 0a  |042.042.042.042.|
*
00100000
# dd bs=4096 skip=44800 count=256 if=/dev/loop1 iflag=nocache | hexdump -C | head
00000000  59 c2 d8 d4 5a 02 35 15  a1 fb f1 07 ae 53 59 99  |Y...Z.5......SY.|
00000010  5b 47 4f fc 2c e7 d3 db  10 70 c6 72 3e 6f 0b 05  |[GO.,....p.r>o..|
00000020  f5 07 c6 f7 95 64 8b a2  4e 7f 32 4f 0c b1 a3 32  |.....d..N.2O...2|
00000030  18 b5 99 7d 7d 6e 6d d6  b9 36 77 af 30 02 ba 23  |...}}nm..6w.0..#|
00000040  f5 55 a5 b7 01 51 cd 5b  64 c9 29 1f f6 48 23 6c  |.U...Q.[d.)..H#l|

    dd iflag=nocachedescarta dados do cache somente após lê-los do cache, portanto, isso deve ser feito duas vezes para ver os novos dados. Alternativamente, você pode usar sync; echo 3 > /proc/sys/vm/drop_cachespara descartar todos os caches ou tentar a sorte com E/S direta.

    • 15

relate perguntas