Это не дефект безопасности; Вы можете к strace процесс, потому что это - Ваш процесс. Вы не можете просто присоединить strace
к любому рабочему процессу. Например:
$ sudo sleep 30 &
[1] 3660
$ strace -p 3660
attach: ptrace(PTRACE_ATTACH, ...): Operation not permitted
su
сообщает неправильный пароль, потому что он не имеет достаточных полномочий читать /etc/shadow
больше. /etc/shadow
то, где Ваш хэш пароля хранится, и он установлен поэтому, только корень может считать его из соображений безопасности. su
имеет setuid набор битов, таким образом, он будет эффективно выполнен как корень, неважно, кто выполняет его, но когда Вы прокручиваете его strace
это не работает, таким образом, это заканчивает тем, что работало в соответствии с Вашей учетной записью
Я не уверен, под чем Вы подразумеваете, "сколько ущерба могло быть нанесено". Как Вы видели, su
не работает из strace
, таким образом, Вы собираетесь представить его нефункциональный. Если бы Вы имеете в виду, "мог кто-то использовать это для кражи моего пароля", им была бы нужна способность установить псевдонимы в оболочке, которую у них не должно быть разрешения сделать, если Вы не сделали свои файлы входа в систему мировыми перезаписываемыми или что-то подобное. Если бы у них действительно было разрешение установить псевдонимы, то они могли бы просто исказить su
к исправленной версии, которая записывает Ваш пароль непосредственно; нет ничего специального о strace
На основе первого умного журнала у Вас, вероятно, есть 124 поврежденных сектора - эта часть:
196 Reallocated_Event_Count 0x0032 100 100 000 Old_age Always - 3
197 Current_Pending_Sector 0x0032 100 100 000 Old_age Always - 124
Необходимо выполнить полное сканирование, чтобы быть уверенными относительно фактического числа. Некоторые файлы повреждены наверняка. Вот почему у Вас есть Ошибочное количество: 1210, каждый раз, когда поврежденный сектор читается, Вы получаете +1 ошибку. Необходимо записать нули в эти секторы, если Вы когда-нибудь хотите заставить диск работать, потому что секторы могут быть перемещены только, когда они пишутся. Я не могу сказать Вам, как воздействовать на hfs файловую систему, потому что я никогда не использовал ее. Если бы у Вас было ext4, то Вы могли бы использовать fsck со следующими опциями:
-c Check for bad blocks and add them to the badblock list
-l bad_blocks_file Add to badblocks list
Так, Вы могли получить список всех сбойных блоков, и затем Вы могли знать их местоположение, которое может помочь оценить, повредили ли сбойные блоки регулярные файлы или что-то еще. Я использовал debugfs
. Затем Вы могли записать нули в эти секторы через:
# hdparm --yes-i-know-what-i-am-doing --write-sector 104284160 /dev/sdb
и удалите поврежденные файлы.
От журнала Вы обеспечили:
ls: cannot access .hotfiles.btree: Input/output error
ls: cannot access .journal: Input/output error
ls: cannot access .journal_info_block: Input/output error
ls: cannot access .Spotlight-V100: Input/output error
ls: cannot access .Trashes: Input/output error
ls: cannot access home: Input/output error
ls: cannot access libpeerconnection.log: Input/output error
ls: cannot access net: Input/output error
ls: reading directory .: Input/output error
Вы знаете, какие файлы повреждены.
Следующей вещью является значение следующего параметра:
193 Load_Cycle_Count 0x0032 037 037 000 Old_age Always - 635340
Это уничтожает Ваш диск или уже уничтожило его. Мой диск, например, имеет время жизни 500k. Я узнал об этом, когда это достигло 350k... В конечном счете я отключил эту опцию в своей микропрограмме диска, и она работает до сих пор.
Следующей вещью является файловая система supperblock. Необходимо было сделать копию того блока для этого вида ситуации, и после удаления badblocks, Вы могли восстановить суперблок. Если суперблок был поврежден, и у Вас нет резервного копирования, или Вы не помните местоположение резервных секторов, Вы не сможете восстановить данные. Попытайтесь использовать:
# file -s /dev/sdb1
# file -s /dev/sdb
Но можно считать файловую систему (ls команда), поэтому дело не в этом плохо, и я думаю после удаления badblocks и удаления некоторых файлов, все должно быть прекрасным.
Для восстановления данных из сбойных блоков можно использовать 89$SpinRiteутилиту для восстановления данных. SpinRite не является зависимым файловой системы.
Когда будут проблемы в HFS + файловая система, используйте 99,95$DiskWarriorутилиту на Mac OS X для восстановления HFS + проблемы.
Поскольку Вы уже использовали другой (fsck) инструменты восстановления, необходимо использовать DiskWarrior в, "очищают" режим. Можно достигнуть, скрытые "очищают" опцию нажатием и содержат высокий звук прежде, чем нажать, кнопка "Rebuild" ("Восстановите" изменения для "Восстановления..." при содержании клавиши Alt). Теперь добавьте, что галочка, чтобы "Очистить" и запуститься "Восстанавливает".
DiskWarrior "очищают", оптимизирован для восстановления файлов после того, как другая дисковая утилита восстановления уже использовалась для восстановления файлов. Повреждение OP могло бы быть вызвано логическими или физическими проблемами. DiskWarrior специализируется на устранении "логических" ошибок каталога, SpinRite специализируется на восстановлении данных, вызванных "физическими" проблемами жесткого диска.
ddrescue
, testdisk
, и другие инструменты бесплатного программного обеспечения оказались самыми полезными до сих пор. jpgrecover
на запасе Debian работает замечательно. Кроме того, контрапунктируйте раздражающий инструмент OSX под названием работы мастера восстановления файла Easeus хорошо, но НЕ, если диск испорчен как в вопросе об операции в секунду, здесь.
– forgotstackxpassword
03.04.2016, 00:08
Похоже, я нашел эту тему слишком поздно, но для будущих читателей этой темы:
при выполнении спасения данных ваш первый шаг должен быть в сделать полное изображение привода с DD или что-то подобное (Clonezilla - популярный выбор).
Другими словами, получите отпечаток привода как - это так, что вы не нанесите дальнейшего повреждения тома, пока не пытаетесь спасти данные.
testdisk
на нем в течение ночи и повреждения, вероятно, стал хуже, чем это было, когда владелец просто отбросил его). Таким образом, теперь я просто надеюсьddrescue
независимо от того, что я могу от него, и затемphotorec
независимо от того, что может быть спасено. – landroni 06.02.2014, 11:58dmesg
. – landroni 06.02.2014, 12:02001 001 001
- если ЗНАЧЕНИЕ = <МОЛОТИТ, диск, вероятно, собирается перестать работать, таким образом, Вы получаете ту информацию. Это ничего не могло также означать. – Mikhail Morfikov 06.02.2014, 21:47