SCO UNIX文件卷结构分析及误删文件的恢复

摘要 该文以SCO UNIX 3.2.4.1版本为例,分析其文件卷结构和磁盘块管理方式,并在此基础上讲述了误删文件恢复的方法。
我们知道,UNIX操作系统是以文件卷作为其文件系统的存储格式的。对于UNIX用户尤其是系统管理员而言,要想更好地掌握UNIX操作系统,熟悉文件卷的结构是很有必要的。由于SCOUNIX在全球的微机UNIX操作系统市场中所占份额最大,在我国更是处于垄断地位,而它的文件卷结构和磁盘块管理方式都和其它UNIX SYSTEM V不完全一样,介绍这方面信息的资料也很少。本文就以SCO UNIX 3.2.4.1版本为例,彻底分析它的文件卷结构和磁盘块管理方式,并在此基础上,讲述一个数据恢复应用--恢复误删的文件。

一、文件卷的结构
文件卷是由大小相同的磁盘块序列组成的。在文件卷偏移量512字节处,有一个长度为512字节的超级块,其后是若干i节点块、位图索引块、位图块、数据块等,如图1所示。
图1
其中,位图索引块和位图块是SCO UNIX专有的,它们含有关于磁盘块管理的重要数据,一般情况下,位图块不止一个,它们的数量和块号是由位图索引块中的数据决定的。4.1版本中,磁盘块的大小是1024字节,因此引导块和超级块合占0号磁盘块。若块尺寸为512字节,则0号块是引导块,1号块是超级块。其中超级块含有文件卷的许多重要信息,如文件卷的大小、位图索引块的位置等。其数据结构放在文件中,具体结构如下:
struct filsys
{
ushort s-isize;
daddr-t s-fsize;
short s-nfree;
daddr-t sfree[NICFREE];
…
};
其中:s-nfree、sfree[NICFREE]是SCO UNIX涉及磁盘块管理的两项重要数据,在其它UNIX SYSTEM V中也有这两项数据,但二者的含义不同。s-nfree是SCO UNIX的文件卷标志,恒为-1;sfree[NICFREE]是位图索引块地址表,表中的数据是位图索引块的块号,对于容量小于2GB的文件卷,只有sfree[0]含有数据。
我们来看一看子文件卷/dev/user的超级块内容:
# hd -abx -s 0x200 -n 0x200 /dev/user
0200 1d 06 00 00 a0 86 01 00 ff ff 00 00 1e 06 00 00
0210 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
*
02d0 00 00 00 00 00 00 00 00 8d 00 8c 00 8b 00 8a 00
02e0 89 00 88 00 87 00 86 00 85 00 84 00 83 00 82 00
02f0 81 00 80 00 7f 00 7e 00 7d 00 7c 00 7b 00 7a 00
0300 79 00 78 00 77 00 76 00 75 00 74 00 73 00 72 00
0310 71 00 70 00 6f 00 6e 00 6d 00 6c 00 6b 00 6a 00
0320 69 00 68 00 67 00 66 00 65 00 64 00 63 00 62 00
0330 61 00 60 00 5f 00 5e 00 5d 00 5c 00 5b 00 5a 00
0340 59 00 58 00 57 00 56 00 55 00 54 00 53 00 52 00
0350 51 00 50 00 4f 00 4e 00 4d 00 4c 00 4b 00 4a 00
0360 49 00 48 00 47 00 46 00 45 00 44 00 43 00 42 00
0370 41 00 40 00 3f 00 3e 00 3d 00 3c 00 3b 00 3a 00
0380 39 00 38 00 37 00 36 00 35 00 34 00 33 00 32 00
0390 31 00 30 00 2f 00 2e 00 2c 00 10 00 1d 00 00 00
03a0 00 00 00 00 74 65 0e 31 01 00 90 01 00 00 00 00
03b0 74 7f 01 00 86 61 00 00 00 00 00 00 00 00 00 00
03c0 00 00 00 00 10 00 00 00 01 00 00 00 1d 06 00 00
03d0 1d 06 00 00 00 e0 14 f1 00 00 00 00 00 00 00 00
03e0 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00
03f0 00 00 00 00 c4 37 18 4b 21 7e 18 fd 02 00 00 00
0400
从上可见,文件卷/dev/user只有一个位图索引块,其块号是0x61e它在文件卷中的偏移量是0x61e*0x400=0x187400字节。位图索引块的数据结构是长整型数组,数组中的数据是它所管理的位图块的块号。
下面是位图索引块0x61e的数据。
# hd alx -s 0x187800 -n 0x400 /dev/user
187800 0000061d 0000261d 0000461d 0000661d
187810 0000861d 0000a61d 0000c61d 0000e61d
187820 0001061d 0001261d 0001461d 0001661d
187830 0001861d 00000000 00000000 00000000