まさか翌日に…。¶
講座終わった翌日にやる羽目になるとは…。で、結局今回もApacheのMaxClientsだった。この土日で増強しようと思って128MBモデルを買った矢先に死ぬとは…。移行するまえに、先にApacheのチューニングするか。
インシデント・レスポンスと情報法科学最終日。¶
しょっぱなから遅刻してしまったが、無事に修了することができた。報告会資料は事実と推測が混ざっていたり、チーム内のコミュニケーション不足で、他の人が起こした資料を勝手に文句を変えてしまって矛盾点が出てきたりとまぁ、かなりツッコミどころ満載になったが、あれはあれで面白かった。実際、三チーム目の発表は事実ばかりでツッコミが少なかったし。事実を並べられるとツッコミにくいそうだ。そりゃそうか。
講座が終わったあとは恒例の懇親会。が、ちょっと参加人数が少なかったのは残念だった。ただ、かなり面白いはなしが出来たので良かった。
0 padding¶
ファイル削除すると、ext2だと行わず、ext3などのジャーナルファイルシステムだと行うそうだ。inodeはext2_fs_i.h、Directoryはext2_fs.h。ext3では、ext3_fs_i.hとext3_fs.h。これ、kernel2.4の場合。kernel 2.6.20.3だと、ext2_fs{,_i}.hがなくて、ext4_fs{,_i}.hが代わりにあった。へぇ。
0で埋めるなんて、Linuxカーネル2.6解読室にも詳解Linuxカーネル第2版 1 にも書いてないなぁ。フォレンジックスを業務でやってないとそんなの普通は知らないのでは? 2
この処理のことかな。
fs/ext3/inode.c¶
void ext3_delete_inode (struct inode * inode)
{
handle_t *handle;
truncate_inode_pages(&inode->i_data, 0);
~中略~
inode->i_size = 0;
~中略~
if (ext3_mark_inode_dirty(handle, inode))
/* If that failed, just do the required in-core inode clear. */
clear_inode(inode);
else
ext3_free_inode(handle, inode);
ext3_journal_stop(handle);
return;
no_delete:
clear_inode(inode); /* We must guarantee clearing of inode... */
}