基于計算機取證的Linux文件系統解析與設計

劉春枚

（昆明船舶設備研究試驗中心，云南 昆明 650051）

0 引 言

近年來，Linux操作系統以前所未有的速度迅速發展，它的高性能、高可靠性贏得了廣泛的好評和支持，取證技術在Linux上的應用成為了計算機取證的一個重要方面。Ext2文件系統是Linux操作系統中應用最為廣泛的基本文件系統，保存和管理重要的文件信息，挖掘分析其中的有用數據已成為目前計算機調查取證的重要手段和研究方向[1]。

然而，目前國內外缺乏開源的Linux文件系統解析軟件供計算機取證使用。因此，本文提出面向對象的思想對Linux文件系統解析軟件進行開發，通過類的多態性的思想實現了不同文件系統的解析，將提取到的文件信息轉換成友好的用戶界面形式，為計算機取證技術在Linux上的應用提供有力工具。

1 Linux文件系統

Linux的文件系統是Linux操作系統最重要的組成部分之一，文件系統中的文件是數據的集合，它不僅包含著文件的數據而且還有文件系統的結構。Ext2是Linux操作系統的基本文件系統，它將所占用設備的邏輯分區分成了多個數據塊組，每一個數據塊組都包含一些有關整個文件系統的描述信息以及數據塊，圖1給出了Linux文件系統的物理結構圖[2]。

圖1 Linux文件系統物理結構圖

1.1 Linux的Ext2存儲模型

1.1.1 Ext2超級塊（super block）

Ext2超級塊是用來描述文件系統整體信息的數據結構，它存儲著描述文件系統大小和形狀的基本信息，可以使用其中的信息來使用和維護文件系統，是Ext2文件系統的核心所在。Ext2在磁盤上的超級塊存放在一個Ext2_super_block結構中，主要包括Magic Number（幻數）、Revision Level（修訂級別）、Mount count（掛接數）、Block Group Number（塊組號）、Block Size（塊大小）、Blocks per Group（每組塊數）、Free Blocks（空閑塊）、Free Inodes（空閑索引節點）、First Inode（第一個索引節點）[3]。

1.1.2 Ext2組描述符（group descriptors）

每個數據塊組都有一個描述其數據結構的組描述符，它和超級塊一樣，在每一個數據塊組中都要復制一份數據塊組描述符。組描述符放置在一起形成了組描述符表，每個數據塊組在超級塊拷貝后包含整個組描述符表。每個組的組描述符存放在Ext2_group_desc結構中，數據塊組描述符包含的信息如表1所示。

表1 塊組描述符

1.1.3 Ext2 索引節點（inode）

在Ext2文件系統中索引節點是一切的基礎，文件系統中的每一個文件和目錄都使用一個唯一的索引節點，每一個數據塊組中的索引節點都保存在索引節點表中。數據塊組中還有一個索引節點位圖，它用來記錄系統中已分配和未分配的索引節點。下面是Ext2索引節點的一些主要的字段：

（1）mode：保存兩個信息，一個是此索引節點的描述，另一個是用戶擁有的權限。對于Ext2，一個索引節點可以描述文件、目錄、符號連接、塊設備、字符設備以及FIFO結構。

（2）Owner Information：所有者的用戶和組標識符，使得文件系統可以正確地授權某種存取操作。

（3）Size：文件的字節大小。

（4）Timestemps：索引節點建立的時間和索引節點最后修改的時間。

（5）Datablocks：指向存儲此索引節點描述文件的數據塊的指針。前20個指針是指向存儲數據的物理數據塊的指針，而后3個指針則包括不同級別的間接指針。

1.1.4 Ext2目錄結構

Ext2以一種特殊的結構實現了目錄，這種文件的數據塊把文件名和相應的索引節點號存放在一起。這種目錄結構是存放在Ext2_dir_entry_2的結構，Ext2目錄項中主要有如下字段：

（1）inode：索引節點號。

（2）rec_len：目錄項長度。

（3）name_len：文件名長度。

（4）file_type：文件類型。

（5）name：文件名。

此結構的長度是可變的。該結構的最后一個name字段是Ext2_NAME_LEN個字符的變長數組，因此這個結構是可變的。rec_len字段為指向下一個有效目錄項的指針：它是偏移量，與目錄項的起始地址相加就得到下一個有效目錄項的起始地址。刪除目錄項目時把它的inode字段置為0并適當地增加前一個有效目錄項rec_len字段。

2 面向對象的Linux文件系統解析與設計

2.1 Ext2文件系統類框架設計

在Ext2文件系統的解析過程中，系統的目標是根據Ext2文件系統的結構，從底層的二進制流提取出所有存在的文件、目錄、分區等文件信息，并以樹形結構的形式將解析出來的文件以友好的界面方式展現給用戶，同時提供功能豐富的文件操作接口，更好地對文件進行分析和取證。

基于系統要實現的目標，本文提出了面向對象的文件系統解析思想，即將所有的文件當作一個對象，它封裝了對象的各個屬性以及對對象操作的各種接口函數，每個對象之間是一個獨立的整體。在解析出來的整個文件列表中，工程，硬盤，分區，目錄，文件都是從CMyFile繼承出來的，其中文件就是一個簡單的CMyFile對象。CMyFile根據對象作用的不同，又分別派生出CDevice類和CProject類，分別用來表示設備和工程，其中CProject類表示一個項目，有添加項目的函數，和其他設備一樣被當做一個文件放在文件列表中。CDevice類根據對象的不同，又分別派生出CLogicDisk類和CDisk類，分別用來表示分區和硬盤，從而得到整個文件系統的類框架如圖2所示[4]。

圖2 Ext2文件系統的總體類框架圖

為了方便對每個文件對象的數據源構建和獲取，在每一個CDevice類中里面都定義了一個CSource的對象，CSource是表示這個設備的數據源。根據實際應用中文件系統數據源的不同，又可以將數據源分為硬盤數據源和鏡像數據源，因此，從CSource基類中又派生出cDeviceSource和cFileSource兩個子類，一個是表示硬盤數據源，一個表示文件數據源，在它們內部都實現了CREATEFILE、READFILE之類的函數，方便在數據源中讀取數據，從而得到文件系統資源類繼承框架圖如圖3所示。

圖3 Ext2文件系統的資源類框架圖

2.2 Ext2文件系統的解析技術

在Ext2文件系統中，所有文件都保存在塊組中，節點INODE是文件系統中重要的數據存儲結構，記錄文件的存儲空間和其他各種有用的信息。根據上節對Ext2文件系統原理的闡述，本文設計出Ext2文件系統解析的方法如下：

（1）讀取Ext2文件系統的超級塊SuperBlock，存儲到SuperBlock結構體空間中，獲取描述文件系統大小和形狀的基本信息。

（2）初始化組描述信息，讀取第一個塊組的組描述，并存儲到內存中。

（3）通過超級塊中sFirstInode來獲取整個EXT2文件系統的入口地址-根目錄的節點號，默認為2。

（4）初始化根目錄所在的節點表，并根據節點號從節點表來獲取到根目錄數據存放的地址空間。

（5）讀取目錄下存放的文件目錄項，循環遞歸提取出每個文件的文件名等信息和文件的節點號。

（6）根據每個文件的inode號，來獲取文件存放的地址空間，并將地址空間用向量形式保存起來。

（7）如果當前讀取的是文件，則需要進行深入解析；如果當前讀取的是目錄信息，而通過遞歸，繼續往下從步驟5開始深入解析，直到全部文件解析完成。

（8）根據每級文件存儲的父子節點信息，將所有解析出來的文件構建成目錄樹的形式。

根據上述分析，設計出LINUX下Ext2文件系統解析的流程圖如圖4所示。

圖4 Ext2文件系統的解析技術流程圖

2.3 計算機自動取證模型的建立

根據目前計算機取證的基本需要，本文在獲取到證據文件的基礎上，構建出計算機自動取證的模型，本模型主要實現的功能包括獲取用戶痕跡，如上網記錄、打印記錄、回收站刪除記錄等；即時通信地解析，如對 QQ、Skype、MSN、新浪 UC、淘寶旺旺、飛信等主流聊天工具的解析，獲取這些聊天工具的用戶信息和聊天記錄等信息，挖掘其中有用的數據供計算機取證調查分析；客戶端郵件解析，如outlook express、foxmail等郵件內容的提取和分析；網頁郵件的解析，如網易郵箱、GMAIL、新浪郵箱、163等主流郵件的提取和分析；文件分析和關鍵字搜索，如對系統日志、注冊表等信息的獲取，以及對敏感關鍵字搜索等功能，挖掘分析其中的有用線索能為案件偵破提供有力依據。通過多線程技術，實現多個功能模塊的同時取證，將大大提高計算機取證的工作效率，實現對計算機的自動取證[5]。

基于計算機取證系統要實現的功能，本文建立的計算機自動取證系統的模型如圖5所示。

圖5 計算機取證系統模型圖

2.4 軟件總體實現的流程圖

在進行文件系統解析時，獲取到設備有可能是整塊硬盤，也有可能是分區，因此要對設備類型進行判斷，對分區和硬盤采取不同的方法進行解析，具體軟件的實現流程見圖6[6]。

3 系統測試與驗證

本文研究中，采用Windows XP+SP2和Linux雙操作系統，在Microsoft Visual C++2005開發環境下編程實現了上述方法。在對Linux操作系統下進行多種文件系統的解析，包括Ext2、EXT3、SWAP等格式進行分區格式化，用本軟件進行解析，均能得到正確的解析結果。結果表明，面向對象的Ext2文件系統解析是可行的，并且對Linux下其他文件系統解析具有一定的兼容性，解析結果具有友好的人機交互界面，為計算機取證在Linux上的進行提供了可靠的數據來源，實現計算機的自動取證。

4 結束語

圖6 面向對象的Linux文件系統解析流程圖

本文針對計算機取證在Linux中應用對文件系統解析的需求，提出了面向對象的Linux文件系統解析方法，即利用類之間的繼承關系以及類的封裝性，對不同數據源進行深度解析，為計算機取證提供了對文件操作的各種接口，同時以友好的界面形式向用戶展示Linux文件信息，為計算機取證在Linux上的應用提供可靠的數據保證，對調查分析軟件的研究開發具有較好的參考價值。

[1]張榮亮，余敏，余文斌.Linux文件系統內核機制分析與研究[J].計算機與現代化，2007（12）：14-21.

[2]陳莉君，康華，張波.Linux的內核設計與實現[M].北京：機械工業出版社，2006.

[3]包懷忠.Ext2文件系統[J].計算機工程與設計，2005（4）：1022-1024.

[4]梁金民.面向對象的系統分析與設計（UML版）[M].北京：清華大學出版社，2005.

[5]陳祖義，龔儉，徐曉琴.計算機取證的工具體系[J].計算機工程，2005，31（5）：162-165.

[6]汪詩林.數據結構算法與應用C++語言描述[M].北京：機械工業出版社，2000.