Gli inode sono una struttura di file presenti sul file system che identificano vari attributi di un file o di una cartella e sono identificati da un numero ben preciso visualizzabile con il comando stat.
Da notare che gli inode non esistono solo su GNU-Linux, ma su tutti i sistemi Unix-Like.
Ad esempio digitando il comando:
$ stat nomefile
oppure con il comando:
$ ls -i nomefile
Gli inode conservano svariati tipi di informazioni, che ci serviranno in seguito per analizzare a fondo il file system.
Alcune di queste informazioni sono:
– la dimensione del file;
– la sua locazione sul disco;
– i permessi del file;
– il proprietario ed il gruppo di appartenenza del file;
– se è un symlink o un hard link;
– le informazioni temporali di modifica ed accesso al file stesso.
Il comando che ci da informazioni più complete riguardo agli inode è sicuramente stat.
Queste informazioni possono essere utili sia per l’analisi forense che per il recupero dei files corrotti che tratteremo in seguito.