分类: LINUX
2013-04-23 14:44:39
本文将介绍怎样读取一个分区的superblock:
1. 首先我们查看一下在磁盘上有哪些分区,通过fdisk -l
这里有三个分区,我们下面查看/dev/sda3(这是一个device file)
2. 从/dev/sda3拷贝1024B-2048B(这就是superblock的位置)到一个叫superblock的文件
这里我们用到了dd这个工具,它在对磁盘进行这样读写操作时非常有用,具体请见man。
bs=1k 每次读写的块大小
skip=1 偏移多少块开始读(这里块为bs=1k,偏移1,表示从1k开始读)
count=1 读的大小(这里表示读1k)
if,of 分别表示从哪里读和写到哪里去。
这里你也许会问为什么要从1k处开始读,并且就读1k的大小呢?下图就是一个分区的物理存储结构:
从图中我们可以看到第一个Block的第一个1k处是存储的Boot Block,而superblock是从1k开始,大小为1k。
3. 查看superblock文件
用vim打开我们刚才从/dev/sda3复制出来的superblock文件,由于是二进制文件,我们在用vim打开之后要用:%!xxd转换成16进制形式。
到这里其实我们已经看到了在磁盘上superblock的形式了。下面我想验证一个这个superblock的正确性。
首先,通过查看/usr/include/linux/ext3_fs.h头文件中的struct ext3_super_block:
(因为inodes_count是32位int型,int型占4个字节,使用文本以16进制模式打开的文件,每一位只能表示16个数2的4次方,所以表示一个32位需要两位,int型有4个字节就需要8位来表示)
我们可以知道在superblock的头上记录着inodes的个数和block的个数,它们分别是32位。
那从superblock中可以看出:
(使用文本打开的需要用2个2个转换,小数端转大数端)
inodes_count: 0000 3a04(注意:这里是小数端) –> 043a0000 = 70909952
blocks_count: fdc4 3904 –> 0439c4fd = 70894845
那么该如何验证这个结果呢?linux为我们提供了dumpe2fs这个工具:
dumpe2fs /dev/sda3 |less
我们可以看到如下的输出(一部分)
到这里,有关如果看superblock的方法,这里就全部都讲完了,同样我们可以用dd查看磁盘上任意的部分。