一种基于日志搜索和文件隐性关系的Ext4文件恢复方法技术

技术编号：42227948 阅读：11 留言：0更新日期：2024-08-02 13:44

本发明专利技术公开了一种基于日志搜索和文件隐性关系的Ext4文件恢复方法，包括以下步骤：S1、确定时间范围和搜索目录；S2、计算和查找索引节点；S3、二分搜索比对；S4、搜索日志记录；S5、重复搜索。基于对文件系统日志的深入分析和文件之间的隐性关系的识别。通过解析Ext4文件系统的事务日志，能够定位和还原已删除文件的信息，即使这些文件已不再可见于文件系统目录中。利用了Ext4文件系统的写入日志特性，使得即使文件被删除，其相关操作仍然留存在日志中，提供了重建文件系统状态的关键信息。实现一种Ext4已删除文件恢复方法，利用文件系统的元数据信息、日志记录和文件隐性关系，通过分析目录的inode以及已删除文件的创建时间，尝试定位并恢复被删除文件的数据。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及信息安全，具体涉及一种基于日志搜索和文件隐性关系的ext4文件恢复方法。

技术介绍

1、随着信息技术的快速发展，数字数据已经成为现代社会中不可或缺的一部分。无论是个人用户还是企业组织，都依赖计算机存储系统来保存和管理大量的文件和数据。然而，由于各种原因，如硬件故障、软件错误、认为误操作等，文件丢失或损坏的情况时有发生。因此，文件恢复技术变得尤为重要。在文件恢复领域，传统的恢复方法主要依赖于对文件系统的直接扫描和解析。例如，对于ext4文件系统，这些方法会尝试读取文件系统的元数据，如inode(索引节点)和目录项，以重建文件的结构和路径。然而，这种方法在某些情况下可能并不有效，尤其是在文件系统元数据受损或覆盖的情况下。

2、近年来，大数据和日志分析技术兴起，基于日志搜索的文件恢复方法逐渐受到关注。这种方法通过分析系统日志、应用程序日志等，获取文件操作的历史记录，从而尝试恢复丢失的文件。虽然这种方法在某些场景下能够取得较好的效果，但它通常依赖于日志的完整性和准确性，并且可能无法处理那些留下日志记录的文件操作。此外，文件系统中的文件往往存在着各种隐性关系，同目录文件间操作会在日志中留下被删除文件的相关记录等。这些隐性关系对于文件恢复同样具有重要意义。通过分析和利用这些隐性关系，可以进一步提高文件恢复的准确性和完整性。

技术实现思路

1、本专利技术的目的在于：针对目前存在的上述问题，提供了一种基于日志搜索和文件隐性关系的ext4文件恢复方法，能够综合利用日志搜索和

2、本专利技术的技术方案如下：

3、一种基于日志搜索和文件隐性关系的ext4文件恢复方法，包括以下步骤：

4、s1、确定时间范围和搜索目录；

5、s2、计算和查找索引节点；

6、s3、二分搜索比对；

7、s4、搜索日志记录；

8、s5、重复搜索。

9、进一步的，所述s1具体包括以下步骤：

10、如果能确定已删除文件的创建时间，则已删除文件时间为t0，给定时间阈值h，查找目标文件所在目录的inode，查找该目录的目录项，并根据目录项记录找到[t0-h,t0+h]时段内创建文件的inode号，记为集合a；

11、如果无法确定已删除文件的创建时间，则查找已删除文件所在目录创建的所有文件的inode号，记为集合a。

12、进一步的，所述s2具体包括以下步骤：

13、最大和最小的inode号为im和im，σ为所有inode号的均方差，u为所有inode号，l为不小于3σ的最小整数，将[u-l,u+l]区间内所有空余的inode记为集合b。

14、进一步的，所述s3具体包括以下步骤：

15、使用二分法依次搜索集合b中inode号，根据该inode所在组inodetalbe的起始位置和该组inode范围，找到该inode号对应记录的存储位置，并将该位置数据信息与已删除文件信息进行比对，如果完全匹配则停止搜索；

16、如果不匹配，且已执行s4则文件恢复失败，停止检索。

17、进一步的，所述s4具体包括以下步骤：

18、如果上述方法无法找到，则对jounal日志记录进行排序，从文件被删除后日志事务向前解析寻找已删除文件的inode及其所在目录中所有文件的inode；或在相关日志事务通过查找相关文件名的方法搜寻已删除文件的inode。

19、进一步的，所述s5具体包括以下步骤：

20、如果通过日志记录无法直接找到已删除文件的inode，则将其所在目录中所有创建过的文件inode号记为集合a，重复s2和s3。

21、与现有的技术相比本专利技术的有益效果是：

22、一种基于日志搜索和文件隐性关系的ext4文件恢复方法，首先通过确定已删除文件的创建时间或查找已删除文件所在目录的所有文件的inode号来获取已删除文件的信息。然后，根据已知的inode号集合，计算均方差并确定空闲inode区间。接下来，使用二分法搜索空闲inode，对比已删除文件信息，若找到匹配则停止搜索，否则继续。若未找到匹配且已执行第四步，则在日志中寻找已删除文件的inode，若仍无法找到，则重复搜索已删除文件所在目录中的所有文件的inode号。最终，流程尝试通过不同的方法寻找已删除文件的inode，以实现文件恢复的目标。

本文档来自技高网...

【技术保护点】

1.一种基于日志搜索和文件隐性关系的Ext4文件恢复方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于日志搜索和文件隐性关系的Ext4文件恢复方法，其特征在于，所述S1具体包括以下步骤：

3.根据权利要求2所述的一种基于日志搜索和文件隐性关系的Ext4文件恢复方法，其特征在于，所述S2具体包括以下步骤：

4.根据权利要求3所述的一种基于日志搜索和文件隐性关系的Ext4文件恢复方法，其特征在于，所述S3具体包括以下步骤：

5.根据权利要求4所述的一种基于日志搜索和文件隐性关系的Ext4文件恢复方法，其特征在于，所述S4具体包括以下步骤：

6.根据权利要求5所述的一种基于日志搜索和文件隐性关系的Ext4文件恢复方法，其特征在于，所述S5具体包括以下步骤：

【技术特征摘要】

1.一种基于日志搜索和文件隐性关系的ext4文件恢复方法，其特征在于，包括以下步骤：

2.根据权利要求1所述的一种基于日志搜索和文件隐性关系的ext4文件恢复方法，其特征在于，所述s1具体包括以下步骤：

3.根据权利要求2所述的一种基于日志搜索和文件隐性关系的ext4文件恢复方法，其特征在于，所述s2具体包括以下步骤：

4.根据权...

【专利技术属性】
技术研发人员：陈妍霖，梁花，严华，万凌云，韩世海，李玮，周亮，李洋，吴彬，刘圣龙，雷娟，石聪聪，陈咏涛，田庆宜，古军，高爽，杨峰，单松玲，王智慧，欧林，张森，赵长松，吴碧巧，周文，李松浓，张海兵，周政，宫林，李俊杰，张逸，景钰文，
申请(专利权)人：国网重庆市电力公司电力科学研究院，
类型：发明
国别省市：

全部详细技术资料下载我是这个专利的主人