[XMAN2018排位赛]file 7

督促自己学一学QWQ

下载下来的是一个光盘文件，丢在linux挂在后发现没有目标flag，使用extundelete恢复后再打开即可，接下来是详解及注释。

1、挂载

打开

 

ls -lha后没有flag

 

 

 2、修复

使用extundelete修复:   extundelete attachment.img --restore-all

打开RECOVERED_FILES文件

 

 发现目标：，cat即可

 

 

杂七杂八事项：

1、挂载：指的就是将设备文件中的顶级目录连接到Linux根目录下的某一目录，访问此目录就等同于访问设备。

inux系统中"一切皆文件"，所有文件都放置在以根目录为树根的树形目录结构中。

在Linux看来，任何硬件设备也都是文件，它们各有自己的一套文件系统。

当在Linux系统中使用这些硬件设备时，只有将Linux本身的文件目录与硬件设备的文件目录合二为一，硬件设备才能为我们所用。

那么，这里的合二为一的过程我们称之为"挂载"。

http://www.safebase.cn/article-257087-1.html

2、extundelete

2.1 原理

extundelete恢复文件时并不依赖特定文件格式，首先extundelete会通过文件系统的inode信息，来获得当前文件系统下所有文件的信息，包括存在的和已经删除的文件，这些信息包括文件名和inode。然后利用inode信息结合日志去查询该inode所在的block位置，包括直接块，间接块等信息。最后利用dd命令将这些信息备份出来，从而恢复数据文件。

2.2 inode

文件存储在硬盘上，硬盘的最小存储单位叫做“扇区”（Sector）。每个扇区储存512字节（相当于0.5KB）。

操作系统读取硬盘的时候，不会一个个扇区的读取，这样效率太低，而是一次性连续读取多个扇区，即一次性读取一个“块”（block）。这种由多个扇区组成的“块”，是文件存取的最小单位。“块”的大小，最常见的是4KB，即连续八个sector组成一个block。

文件数据都储存在“块”中，那么很显然，我们还必须找到一个地方储存文件的“元信息”，比如文件的创建者、文件的创建日期、文件的大小等等。这种储存文件元信息的区域就叫做inode，中文译名为"索引节点"。

每一个文件都有对应的inode，里面包含了与该文件有关的一些信息

https://blog.csdn.net/xuz0917/article/details/79473562