Scribd Logo
Importer

Bienvenue sur Scribd !

  • File Systems - Other

    Transféré par

    Moussa Fatah
    6 vues26 pages

    Titre original

    10. File Systems - Other (1)

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    6 vues26 pages

    File Systems - Other

    Transféré par

    Moussa Fatah

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 26

    Machine Translated by Google

    Introduction aux systèmes de fichiers


    Autres (EXT3/4, HFS+, etc.)
    Programme de développement professionnel en criminalistique numérique

    Introduction à la criminalistique numérique

    Tous droits réservés. Aucune partie de ce document ne peut être reproduite ou transmise sous quelque forme ou par quelque moyen que ce soit sans
    l'autorisation écrite expresse de l'auteur.
    Machine Translated by Google

    Les sujets

    • Systèmes de fichiers Linux les plus courants


    • Ext3/4
    • Système de fichiers Apple le plus courant
    • HFS+
    • APFS
    • Pourquoi la compréhension des systèmes de fichiers est­elle importante ?
    Machine Translated by Google

    Système de fichiers étendu (ext)

    • Premier système de fichiers développé spécifiquement pour Linux


    • Avril 1992 •
    Inspiré du système de fichiers Unix (UFS) •
    Structure des métadonnées

    • Premier à implémenter l'utilisation du système de fichiers virtuel


    (VFS)
    Machine Translated by Google

    Système de fichiers virtuel

    • Il s'agit d'un moyen de permettre aux applications clientes (programmes)


    d'accéder aux données sur différents systèmes de fichiers de manière
    uniforme.
    • Périphériques de stockage réseau
    • Machines virtuelles
    • Etc

    • Les données sont affichées au système d'exploitation d'une manière qu'il


    comprend (les données semblent être natives).
    Machine Translated by Google

    EXT2
    • Premier véritable système de fichiers commercial pour Linux

    • S'appuie sur Ext •

    Résout les problèmes dans Ext, y compris la date/horodatage pour l'accès aux fichiers, l'inode
    modification et modification des données
    Machine Translated by Google

    EXT2

    • L'espace disque est divisé en blocs, qui sont regroupés en groupes de blocs. •
    Chaque groupe de blocs contient
    • copie du tableau des descripteurs de superblocs et de groupes de blocs
    • Le superbloc contient le code pour démarrer le système – les sauvegardes sont effectuées dans les groupes
    de blocs. • Bitmap
    de bloc • Bitmap
    d'inode • Table d'inode
    • Blocs de données
    Machine Translated by Google

    Nœud d'indexation (inode)

    • inodes – Chaque fichier ou répertoire est


    représenté par un inode
    (nœud d'index)
    • Taille, autorisation, propriété et
    emplacement sur le disque

    • Les inodes peuvent contenir 15 pointeurs • 1 à 12


    pointent directement vers des blocs de
    données

    • 13 points vers l'inode quels points


    aux blocs indirects
    • Etc.
    Machine Translated by Google

    Annuaires
    • Les répertoires sont des listes d'entrées
    • 1 nom de fichier associé à 1 numéro d'inode
    • Numéro d'inode, longueur du nom de fichier et texte du nom de fichier
    • Les sous­répertoires sont répertoriés avec le nom du répertoire et le numéro d'inode.

    • Le répertoire racine est l'inode numéro 2.

    • Les liens physiques sont implémentés en stockant plusieurs noms de fichiers avec le même
    numéro d'inode.
    • L'accès au fichier sous l'un ou l'autre nom entraîne le même numéro d'inode, et donc
    les mêmes données.
    Machine Translated by Google

    Annuaires
    • Attribution des données
    • Ext2 essaie de placer les sous­répertoires dans le même groupe contenant le parent • Ext2
    essaie de placer les données du fichier dans le même groupe que le répertoire parent

    • Blocs de données gratuits


    • Bitmap d'allocation de données

    • Inodes libres dans la table des inodes


    • Bitmap d'allocation d'inodes
    Machine Translated by Google

    EXT3

    • Système de fichiers journalisé


    • Améliore la fiabilité
    • Aide à la récupération après des arrêts impurs
    • Garde une trace des modifications non encore écrites dans le fichier
    système
    • Enregistre les changements dans un « journal » qui est un «
    journal circulaire »
    Machine Translated by Google

    Journalisation EXT3

    • Il existe trois niveaux de journalisation disponibles dans l'implémentation Linux de


    poste3 :

    • Journal, commandé et écriture différée

    • Journal (risque le plus faible)


    • Les métadonnées (dans les inodes)
    et le contenu du fichier (données)
    sont écrits dans le journal avant
    d'être validés dans le système de
    fichiers principal.
    Machine Translated by Google

    Journalisation EXT3

    • Commandé (risque moyen)


    • Il s'agit de la valeur par défaut sur de nombreuses distributions Linux.
    • Seules les métadonnées sont journalisées ; les données du fichier ne
    le sont pas. • Cependant, les données sont écrites sur le disque avant que les métadonnées ne soient marquées comme validées dans

    le journal.
    • S'il y a une interruption pendant l'écriture ou la modification d'un fichier, le journal indiquera que les écritures n'ont pas été
    validées.

    • Il est possible, si un fichier est écrasé, de vous retrouver avec à la fois des anciennes et des nouvelles (les nouvelles
    données n'ont jamais été complètement enregistrées sur le disque et les anciennes données ne sont stockées nulle
    part) .
    Machine Translated by Google

    Journalisation EXT3

    • Réécriture (risque le plus élevé)


    • Seules les métadonnées sont journalisées ; les données du fichier

    ne le sont pas. • Les données peuvent être écrites avant ou après la mise à jour du journal (aucune garantie
    les données sont écrites avant que le journal ne soit marqué comme validé).
    • Les perturbations qui se produisent avant l'écriture des données sur le disque peuvent être marquées comme suit :
    complété dans le journal (même s'il ne l'est pas).
    Machine Translated by Google

    Fichiers supprimés EXT3

    • ext3 ne prend pas en charge la récupération des fichiers supprimés

    • Le pilote ext3 supprime activement les fichiers en écrasant les inodes de fichiers •
    À des fins de récupération après
    incident • Rend l'investigation plus difficile (mais pas impossible)
    Machine Translated by Google

    EXT4
    • Version fourchue d'EXT3
    conçu pour résoudre les problèmes et
    conserver la compatibilité ascendante

    • Actuellement la valeur par défaut dans la plupart


    Distributions Linux
    Machine Translated by Google

    EXT4
    • Nouvelles fonctionnalités:

    • Systèmes de fichiers volumineux

    • Volume ­ 1 exbioctet (260 octets) / fichiers ­ 16 tébioctets (240 octets)


    • Extensions – Remplacement du schéma de mappage de blocs dans les versions antérieures. Les étendues sont grandes
    groupes de blocs contigus. Utilisé pour limiter la fragmentation des fichiers, en particulier pour les fichiers volumineux.
    Chaque inode peut contenir 4 extensions.

    • Nombre illimité de sous­répertoires – ext3 avait une limite de 32 000. Ext4 utilise HTree
    indices
    • Les indices Htree sont des structures Btree glorifiées qui incluent le hachage des noms de fichiers (plus
    sur btree plus tard)
    • Actuellement développé pour ext2 – mais pas implémenté par défaut avant ext4
    • Pré­allocation et allocation différée : facilite la fragmentation en utilisant des blocs plus
    contigus pour les fichiers plus volumineux.
    Machine Translated by Google

    EXT4
    • Nouvelles fonctionnalités:

    • Somme de vérification du journal – la fonctionnalité de journalisation d'ext3 a été l'un des plus grands progrès,
    mais il n'y a eu aucune vérification de la fiabilité du journal. Ext4 a corrigé ce problème.
    • Horodatage amélioré
    • Les versions précédentes n'offraient qu'une granularité d'horodatage à la seconde près – offres ext4
    granularité à la nanoseconde
    • Ajout de deux bits pour prolonger la durée de vie (ext3 max année 2038)
    • Google a sélectionné ext4 comme système de fichiers utilisé dans le système d'exploitation Android.
    Machine Translated by Google

    HFS+

    • Introduit avec la version du 19 janvier 1998 du Mac OS 8.1


    d'Apple

    • Bien que largement remplacé dans les appareils Apple modernes par
    APFS, ce système de fichiers est toujours très populaire

    • Journalisation ajoutée en 2002 avec Mac OS X 10.2.2 (non activée


    par défaut)

    • Blocs logiques – généralement 512 octets

    • Blocs d'allocation – 1 ou plusieurs blocs logiques


    Machine Translated by Google

    HFS+

    • Prise en charge Unicode pour les fichiers et les répertoires (sensible à la

    casse !?!) • Fichiers forkés (similaires aux flux de données alternatifs dans

    NTFS) • L'organisation des répertoires est effectuée par la structure B­Tree


    Machine Translated by Google

    Arbres B

    • B­Tree n'est fondamentalement qu'un moyen d'organiser les données


    • Recherches rapides

    • Accès séquentiel • Insertion


    de données
    • Suppression des données

    • Voici une bonne visualisation pour aider à comprendre le fonctionnement des


    b­trees • http://yangez.github.io/btree­js/
    Machine Translated by Google

    APFS

    • Système de fichiers propriétaire développé par Apple Inc.

    • Annoncé en juin 2016


    • macOS High Sierra et versions ultérieures •
    iOS 10.3 et versions ultérieures

    • tvOS 10.2 et versions ultérieures

    • watchOS 3.2 et versions ultérieures


    Machine Translated by Google

    APFS
    • Les outils médico­légaux apprennent encore à gérer ce système de fichiers. • Semble être optimisé pour les

    supports flash et les périphériques de stockage plus petits, mais quand même.
    fonctionne également bien sur les périphériques de stockage plus grands

    • Clones
    • Permet au système de faire des copies sur le même volume sans utiliser d'espace supplémentaire.
    • Stockage uniquement des modifications apportées au fichier d'origine
    Machine Translated by Google

    APFS

    • Instantanés
    • Apple File System prend en charge les instantanés pour créer une instance ponctuelle en
    lecture seule du système de fichiers à des fins de récupération.

    • Chiffrement
    • Apple File System prend en charge de manière native le chiffrement complet du disque et les fichiers
    chiffrement
    Machine Translated by Google

    APFS

    • Augmentation du nombre maximum de fichiers


    • APFS utilise des numéros d'inodes de 64 bits, prenant en charge plus de 9 quintillions de fichiers sur un seul volume.

    • Protection contre les accidents

    • Les enregistrements de métadonnées ne sont pas écrasés. De nouveaux enregistrements sont créés, les pointeurs sont
    remplacés par les nouveaux enregistrements, puis les anciens enregistrements sont supprimés. Cela évite la perte
    d'enregistrements en cas de perturbations ou de perte de courant.

    • Partage d'espace
    • APFS ajoute la possibilité d'avoir plusieurs disques logiques qui partagent dynamiquement des
    espace sur un disque physique, augmentant et réduisant selon les besoins.
    Machine Translated by Google

    Autre système de fichiers

    • Il existe de nombreux autres systèmes de fichiers.

    • Médico­légale
    • Comment les données sont stockées et organisées
    • Quels artefacts du système de fichiers sont disponibles •
    Journalisation
    • Entrées supprimées
    • Comment les fichiers supprimés sont traités.
    Machine Translated by Google

    Des questions

    • ???

    Vous aimerez peut-être aussi