查看文件写入的完整磁盘块的实际原始二进制内容

tag-icon tag-icon files filesystem
查看文件写入的完整磁盘块的实际原始二进制内容

如果我在磁盘上有一个文件(为了讨论而创建一个健康的文件,但我可能之前有一个文件,可能在某些调试活动中被损坏了):

/tmp/tmp.gEJmJSc2zQ> echo "hello" > hello.txt

我可以看到,即使这个文件很小,它实际上也使用了完整的 4KiB 块,正如预期的那样(这是我的文件系统上的块大小,默认为 Ubuntu 20.04):

/tmp/tmp.gEJmJSc2zQ> ls -lsh hello.txt 
4,0K -rw-rw-r-- 1 jrmet jrmet 6 juni   6 14:27 hello.txt

我知道如何获取有关文件使用的特定块的更多信息:

/tmp/tmp.gEJmJSc2zQ> filefrag -b4096 -v hello.txt 
Filesystem type is: ef53
File size of hello.txt is 6 (1 block of 4096 bytes)
 ext:     logical_offset:        physical_offset: length:   expected: flags:
   0:        0..       0:   14582783..  14582783:      1:             last,eof
hello.txt: 1 extent found

我的问题是:我如何才能从头到尾检查包含此文件的完整 4KiB 块的完整原始二进制数据(即不仅仅是文件的原始二进制数据,我已经知道如何使用xxd:) 来执行此操作)?是否有特定的命令可以向我显示这一点,和/或 的智能组合ddxxd我很乐意接受一个解决方案,即在编辑器(例如)中打开 4KiB 块的完整原始二进制数据xxd,和/或将这些二进制数据转储到磁盘上的文件(然后我知道如何使用任何工具来检查xxd)。

答案1

ext2 debugfs/ext3/ext4 文件系统调试器有一个block_dump命令,其输出字节类似于该命令的默认输出格式xxd不同于 xxd似乎没有办法关闭空字节的省略,因此您将看到任意*数量的连续 32 字节序列的单个字节 - 如果它实际上是“满的”,您只会看到“满”块。

该命令的语法提供了绝对块偏移量(blocks例如从 debugfs 命令获得),或者相对于“filespec”的偏移量,该“filespec”由尖括号中的 inode 编号或绝对路径组成。

例如,

$ ls -lis hello.txt
691662 4 -rw-rw-r-- 1 steeldriver steeldriver 6 Jun  7 08:39 hello.txt

文件系统被确认为

$ findmnt -T hello.txt
TARGET SOURCE    FSTYPE OPTIONS
/      /dev/sda1 ext4   rw,relatime

然后(交互方式)

$ sudo debugfs /dev/sda1
[sudo] password for steeldriver: 
debugfs 1.46.5 (30-Dec-2021)
debugfs:  
debugfs:  block_dump -f /home/steeldriver/dir/hello.txt 0
0000  6865 6c6c 6f0a 0000 0000 0000 0000 0000  hello...........
0020  0000 0000 0000 0000 0000 0000 0000 0000  ................
*

debugfs:

或者

debugfs:  block_dump -f <691662> 0
0000  6865 6c6c 6f0a 0000 0000 0000 0000 0000  hello...........
0020  0000 0000 0000 0000 0000 0000 0000 0000  ................
*

debugfs:

或者

debugfs:  blocks <691662>
5151850 
debugfs:  block_dump 5151850
0000  6865 6c6c 6f0a 0000 0000 0000 0000 0000  hello...........
0020  0000 0000 0000 0000 0000 0000 0000 0000  ................
*

debugfs:

如果您需要以非交互方式执行此操作,该-f选项允许从文件或标准输入中读取命令。

printf 'block_dump -f <%d> 0\n' "$(stat -c %i hello.txt)" | sudo debugfs -f - /dev/sda1

或者您可以使用-R选项来执行单个要求

sudo debugfs -R 'block_dump -f /home/steeldriver/dir/hello.txt 0' /dev/sda1

文件系统默认以只读模式打开。

相关内容