Les journaux JFS
Par Samuel Dralet, dans Forensics -# 13 - Fil RSS
La commande jfs_logdump permet de dumper le journal d'une partition JFS. Ce système de fichiers est utilisé principalement sur système AIX mais il est aussi supporté sous Linux. Il présente cependant quelques différences avec la version propriétaire d'IBM, ce dernier ne donnant pas si facilement les specs de JFS. Revenons maintenant à nos moutons.
Le fichier de dump obtenu avec jfs_logdump contient une suite d'enregistrements de cette forme:
-- logrec d 5 Logaddr= x 6f0c0 Nextaddr= x 6f054 Backchain = x 6f054 LOG_REDOPAGE (type = d 2048) logtid = d 16 aggregate = d 0 data length = d 72 fileset = d 16 inode = d 2 (x 2) type = d 20 REDOPAGE:BTROOT_DTREE l2linesize = d 5 pxd length = d 1 phys offset = x 57 (d 87) 0x8082dc0 00000000 00000000 00000000 00000000 ................ 0x8082dd0 83010702 02000000 01040404 03010000 ................ 0x8082de0 00000100 04000000 FF066200 6C006100 ..........b.l.a. 0x8082df0 61007400 31004400 6F006A00 79003500 a.t.1.D.o.j.y.5. 0x8082e00 02000000 01000100 ........--
L'enregistrement indique que l'inode 2 a ete modifie (inode = d 2). L'hexdump "04000000 FF06" indique qu'un nom de fichiers de 6 caracteres pointes sur l'inode 4 et la suite de l'hexdump nous donne le nom du fichier (FF est une valeur utilisee par les D-Tree).
Un des outils de Lexfo destinés au système de fichiers JFS permet de parser le fichier généré avec la commande jfs_logdump et d'obtenir un historique des modifications des fichiers:
$ ./parselog.py -f jfslog.dmp [#] journal log parser (c) Lexfo inode_parent inode_child filename
2 4 blaat1
2 5 zmaniQDojy
2 4 zmanpVpvh4
4128 8464 0
2 8208 v917800
2 5 .clean
2 769 v891506
2 513 v891324
2 1281 v890938
[...]
JFS est en fait plus complexe que d'autres systèmes de fichiers comme ext2/ext3 par exemple. Et aucun outil à l'heure actuelle ne permet de faire des analyses forensiques sur de tels systèmes (principalement sur des serveurs AIX), d'où la nécessité pour Lexfo de développer ses propres outils.
Dans un prochain billet, nous parlerons de la récupération de données sur JFS.
Commentaires
Aucun commentaire pour le moment.
Ajouter un commentaire