Ext2 の場合、基本的な inode テーブルの構造は以下（実際はもう少し色々あるみたいですが）のようになっており、Autopys は Mode の値から in の値を表示しているようです。 Mode Owner info Size Time stamps Direct Blocks Indirect blocks Double Indire…

詳解Linuxカーネル 第2版 によると、Ext2 の場合には、ディレクトリエントリは以下の構造を持っているようです。 inode|エントリの長さ|名前の長さ|ファイルタイプ|ファイル名 Autopsy はディレクトリエントリに記録されているファイルタイプから、dir の値…

Autopsy の FILE ANALYSIS を使い、Ext ファイルシステムのファイル/フォルダを表示した際、表示項目として以下のような表示箇所があります。 Type dir/in Autopsy の HELP に書いてありますが、最初の dir 部分がディレクトリエントリの情報、in が inode …

1.ファイルAが削除される（inode 99番） 2.ファイルBが作成され、削除される（inode 99番） 3.ディレクトリのエントリ情報からファイル情報を復元する ファイルAとファイルBのエントリが発見される 4.ファイルAとファイルBはいずれも inode 99 を示すので、 …