Gli inode sono una struttura di file presenti sul file system che identificano vari attributi di un file o di una cartella e sono identificati da un numero ben preciso visualizzabile con il comando stat.

Da notare che gli inode non esistono solo su GNU-Linux, ma su tutti i sistemi Unix-Like.

Ad esempio digitando il comando:

$ stat nomefile

oppure con il comando:

$ ls -i nomefile

Gli inode conservano svariati tipi di informazioni, che ci serviranno in seguito per analizzare a fondo il file system.

Alcune di queste informazioni sono:
– la dimensione del file;
– la sua locazione sul disco;
– i permessi del file;
– il proprietario ed il gruppo di appartenenza del file;
– se è un symlink o un hard link;
– le informazioni temporali di modifica ed accesso al file stesso.

Il comando che ci da informazioni più complete riguardo agli inode è sicuramente stat.

Queste informazioni possono essere utili sia per l’analisi forense che per il recupero dei files corrotti che tratteremo in seguito.