Я намагаюся знайти видалені вставки у файловій системі ext2. І це такий підхід, який я приймаю. Однак я відчуваю, що роблю щось не так.
Я вперше шукаю 1024 байти до початку суперблоку
Я знаю, що розмір блоків становить 1024 байти, тому таблиця дескрипторів групи починається з зміщення 2048 року.
Таблиця дескрипторів групи містить дескриптор групи для кожної групи блоків, правильно? Тож я обчислюю кількість дескрипторів групи або груп блоків: загальна кількість точок / входів на групу. Це дає мені значення 8, це означає, що у моїй таблиці дескрипторів групи груп є 8 дескрипторів групи.
Я прочитав поле first_inode_table для всіх дескрипторів 8 груп. Дескриптори групи мають довжину 32 байти
Тож тут я плутаюсь. Таблиця inode для дескриптора першої групи дає мені 260. Чи означає це, що для доступу до таблиці inode для першої групи блоків я роблю розмір 260 * блоків?
Як тільки я дістанусь туди, я читаю поле dtime - яке повідомляє нам про останній видалений час. Якщо це> 0, то це було видалено.
Отож, у мене є ще одна плутанина - сказано, що перші 11 записів таблиці inode зарезервовані. Отже, це не повинно бути проблемою, якщо я переглянув усі записи inode таблиці inode?
Чи правильний мій підхід? Будь ласка, вкажіть мене в правильному напрямку, якщо ви бачите щось не так.