当前位置: www.2977.com > 新闻中心 > 技术分享 > 【澳门葡京技术分享】第五十九期:F2FS文件系统镜像解析

【澳门葡京技术分享】第五十九期:F2FS文件系统镜像解析

【澳门葡京技术分享】第五十九期:F2FS文件系统镜像解析


本期技术分享由线上澳门葡京网址技术专家为大家带来F2FS文件系统镜像解析的干货知识,让我们一起看看!


一、关于F2FS和解析原理

F2FS文件系统是三星公司主要针对Android手机最新研发的Linux文件系统,具有运行效率高、长时间运行不卡机等特点,相比现有的EXT文件系统,F2FS在小文件随机写入性能有比较大的优势,目前已知支持的品牌型号有:华为P9、META9,MOTO X-XT1085。


1、F2FS特性

(1) 最大文件系统16TB


(2) 32位块寻址空间


(3) 最大文件大小3.94TB


(4) Log-structured


(5) Flash 感知

a) 扩大随机写区域(元数据区域,two-location)以获取更好的性能b) 尽量使F2FS 的数据结构与FTL 的运算部件对齐


(6) 解决Wandering Tree 问题

a) 用术语“node”表示inode 以及各种索引指针块

b) 引入Node Address Table (NAT) 包含所有“node”块的位置,这将切断数据块更新的递归传播


(7) 最小化Cleaning 开销

a) 支持后台Cleaning 进程

b) 支持greedy 和 低成本(转移数据最少)的待清理Section 选择算法

c) 支持multi-head logs 用于动态/静态hot 与cold 数据分离

d) 引入自适应logging 用于有效块分配


2、F2FS磁盘布局

F2FS 将整个卷切分成大量的Segments,每个Segment 的大小固定2 MB,连续的若干个Segments 构成Section,连续的若干个Sections 构成Zone。


F2FS 将整个卷划分成6个大区域,除了超级块(Superblock,SB)外,其余每个区域都包含多个Segments,如下图所示:


1504251220498875.jpg

图 1F2FS卷结构


(1) 元数据

A、 NAT —— Node Address Table

B、 SSA —— Segment Summary Area

C、 SB —— Superblock

D、 CP —— Checkpoint

E、 SIT —— Segment Information Table

(2)目录结构

一个目录项 block 包含214个目录项槽位(slot)和文件名,其中用一个 bitmap 表示每个目录项是否有效,1个目录项块占用 4 KB,结构如下:

Dentry block(4 Kb) = bitmap(27bytes) + Reserved(3bytes) + Dentries(11*214bytes) + filename(8*214bytes)


一个目录项占据11 Bytes,也就是包含以下属性:

 1) – hash 文件名的哈希值

 2) – ino inode 号

 3) – len 文件名长度

4) – type 文件类型,如目录,符号链接等


2.jpg

图 2F2FS目录结构


3、解析原理

目前的Android手机userdata分区文件系统类型通常为EXT或F2FS(判断该分区属于哪种文件系统类型不在此文档描述范围),由于镜像文件无论是分区提取或全盘提取,均包含文件系统元数据在内的所有信息,借此可以把镜像文件视同为一个磁盘(可以是一个卷,也可以是全盘镜像), Linux挂载磁盘属于一个mount过程,我们通过模拟这一过程,构建文件系统组织架构信息(元数据), 从而解析出整个文件系统目录结构,此方法针对Linux文件系统镜像解析,有较好的稳定性和兼容性。


二、取证流程

此处以使用DC-4501手机取证系统进行演示。


针对F2FS文件系统镜像文件的取证流程和标准Android镜像文件取证流程一致,即文件取证—>文件类型选择镜像(Android平台),如下图:


3.jpg

图 3文件选择向导


三、删除恢复

DC-4501 手机取证系统“工具集”中的签名恢复功能可以恢复包括图片、音频和视频在内的多媒体文件。

(1)签名恢复

4.jpg

图 4签名恢复


(2)文件系统恢复

文件系统恢复可以恢复镜像中各类被删除的文件并恢复其文件名、时间等属性信息。


1504251295345005.jpg

图 5文件系统恢复


四、取证结果


(1)正常解析文件列表

正常解析出的F2FS文件系统目录结构


1504251320169581.jpg

图 6userdata分区目录结构


(2)全部取证结果

借助上述技术,DC-4501手机取证系统针对F2FS镜像也可以分析出完整的取证结果。


1504251347934724.jpg

图 7取证结果