Oporavak izbrisanih ili oštećenih datoteka analizom journala datotečnog sustava (ext3/ext4) - tehnike, alati i primjeri

U današnjem digitalnom okruženju sposobnost oporavka izbrisanih ili oštećenih datoteka često odlučuje uspjeh forenzičke analize, posebice na Linux sustavima gdje ext3 i ext4 datotečni sustavi ostavljaju tragove u dnevniku. Cilj ovog seminara je istražiti tehnike logičkog oporavka putem analize dnevnika, koji bilježi promjene prije njihove primjene na glavni sustav, čime se omogućuje rekonstrukcija metapodataka i sadržaja datoteka.

Seminar analizira arhitekturu ext3/ext4 sustava (indeksni čvorovi, extents, journaling modovi), detaljnu strukturu dnevnika (superblok, opisnici transakcija, commit blokovi) te metode oporavka uključujući inode restauration, rekonstrukciju pokazivača/extents, time-windowed carving i ponovno izvršavanje transakcija. Pokriveni su specijalizirani alati kao što su debugfs, extundelete, ext4magic i Sleuth Kit s praktičnim primjerima oporavka datoteka. Rezultati pokazuju da oporavak pomoću dnevnika postiže visoku preciznost uz očuvanje metapodataka, ali je ograničen kružnom prirodom dnevnika (overwrite nakon 5-30 min). Zaključno, rad pruža konkretne korake za analizu i oporavak datoteka u datotečnim sustavima ext3 i ext4.

Keywords: ext3; ext4; dnevnik; digitalna forenzika; oporavak datoteka

U današnjem digitalnom svijetu gdje su gotovo svi podaci pohranjeni u digitalnom obliku i zbog toga lako uništivi, sposobnost oporavka izbrisanih ili oštećenih datoteka često odlučuje uspjeh forenzičke analize. U Linux okruženjima, datotečni sustavi ext3 i ext4 široko su korišteni u poslužiteljima, ugrađenim sustavima i radnim površinama. Oni ne brišu stvarni sadržaj datoteka odmah nakon brisanja, već samo uklanjaju reference u metapodacima poput indeksnih čvorova (eng. inode) i unosa (eng. directory entry), ostavljajući tragove u dnevniku (eng. journal) koji omogućuju rekonstrukciju. Ovi mehanizmi vođenja dnevnika (eng. journaling), uvedeni upravo radi zaštite integriteta podataka, postaju neprocjenjivi alat u digitalnoj forenzici jer bilježe promjene prije nego što se one primijene na glavni datotečni sustav, čime se otvaraju mogućnosti za ponovno izvršavanje transakcija i oporavak metapodataka čak i nakon rušenja sustava ili namjernog brisanja.

Datotečni sustavi ext3 i ext4 predstavljaju evoluciju Linuxovih ext2 sustava, gdje ext3 dodaje dnevnik dok ext4 donosi značajna poboljšanja u skalabilnosti i performansama. Optimizirani su za pouzdanost i performanse na velikim particijama, osnovani na klasičnoj strukturi koja koristi indeksne čvorove za pohranu svih metapodataka jedne datoteke uključujući vlasnika, grupe, dozvole pristupa(eng. mode), veličinu, vremena promjena (mtime, ctime, atime) te pokazivače na blokove podataka. Datoteke i direktoriji dijele se na fiksne blokove (1/2/4 KB), gdje unosi sadrže naziv datoteke i broj njegovog indeksnog čvora što omogućuje brzo pretraživanje hijerarhije.

Ext3 je razvijen 2001. godine, uvodi mehanizam vođenja dnevnika za brži oporavak nakon kvara sustava bez potpune provjere diska. Vođenje dnevnika funkcionira tako da sustav bilježi promjene u zasebnom dnevniku (obično 32 MB) smještenom na početku particije ili posebnom uređaju prije njihove primjene na glavni datotečni sustav te na taj način štiti od korupcije metapodataka. Postoje tri načina rada dnevnika: journal (zapisuje i podatke i metapodatke u dnevnik), ordered (zapisuje samo metapodatke u dnevnik, ali podaci se pišu na disk prije potvrde) te writeback (metapodatke piše u dnevnik prije podataka). Ovakvo bilježenje omogućuje forenzičarima da vide namjeru operacija čak i ako transakcija nije potpuno završena što je ključno za rekonstrukciju slijeda događaja incidenta prije nego što se promjene primjene na glavni sustav.

Ext4 je razvijen 2008. kao standardni kernel datotečni sustav, donosi poboljšanja relevantna za forenziku u odnosu na ext3: extents zatvara velika datoteke u kontinuirane blokove umjesto indirektnog mapiranja što smanjuje fragmentaciju i značajno ubrzava pristup. Odgođena alokacija (eng. delayed allocation) odgađa dodjelu blokova do trenutka stvarnog pisanja, što može sakriti privremene datoteke od dnevnika. U forenzici, ovo znači bolje šanse za oporavak starijih transakcija, ali i veći rizik od prepisivanja tragova zbog agresivnijeg čišćenja i višejezgrene optimizacije.

Dnevnik u datotečnim sustavima ext3 i ext4 predstavlja poseban rezerviran prostor na particiji ili datoteku (indeksni čvor 8) čiji je primarni zadatak osigurati atomsku i dosljednu primjenu promjena na glavni datotečni sustav putem transakcija, štiteći sustav od korupcije nakon nestabilnog gašenja ili prekida napajanja. Cijeli mehanizam vođenja dnevnika strukturiran je kao kružni buffer podijeljen na fiksne blokove koji su tipično iste veličine (4 KB). Cijeli buffer sastoji se od nekoliko vrsta blokova raspoređenih sekvencijalno: superblok dnevnika, opisnik grupe blokova (eng. block group descriptor), blok podataka (eng. data block) i potvrdni blokovi (eng. commit block).

Superblok se nalazi na fiksnoj poziciji (početak dnevnika) odmah nakon superbloka particije i sadrži metapodatke (veličina dnevnika, maksimalni broj blokova/transakcija, lokacija itd). Ova struktura služi za brzu identifikaciju i inicijalizaciju dnevnika pri montiranju (eng. mount), provjeru kompatibilnosti s datotečnim sustavom te služi kao fiksna referentna točka od koje kernel počinje parsiranje cijelog dnevnika pri oporavku. Opisnik grupe blokova označava početak svake transakcije i sadrži niz opisnih unosa koji precizno opisuje blokove koji se mijenjaju (broj blokova u transakciji, vrsta svakog bloka, fizičke reference na blokove datotečnog sustava itd). Primarna uloga opisnika je upravljanje transakcijom tijekom pisanja na način da se on generira prije bloka podataka kako bi se jasno označilo što slijedi. Opisnik je ključan i za oporavak dnevnika jer ga sustav koristi za indeksiranje koje blokove podataka treba primjeniti na datotečni sustav ili odbaciti ukoliko nije došlo do poharne. Blokovi podataka se na bufferu nastavljaju neposredno nakon opisnika te pohranjuju stvarne kopije promijenjenih podataka. Kopije sadrže podatke kao što su metapodaci (indeksni čvorovi), bitovna mapa podataka, korisnički podaci u ordered/journaled načinima rada gdje se svaki blok mapira na točno određenu lokaciju u datotečnom sustavu. Blokovi podataka služe da bi se privremeno pohranile sigurne kopije promjena prije sinkronizacije na glavni datotečni sustav što omogućuje da se u slučaju kvara disk vrati u konzistentno stanje bez skeniranja cijelog sustava. Potvrdni blokovi svaku transakciju završavaju s 32-bitnom strukturom sa sekvencijskim brojem transakcije. Primarna uloga ovog bloka je potvrda uspješnog završetka, odnosno oznaka da je transakcija sigurna za oporavak dok odsutnost te oznake znači nepotpunu transakciju čije je primjene potrebno poništiti i tako vratiti sustav u konzistentno stanje.

U dnevnik se zapisuju samo promjene između commit pointa (trenutak kada commit blok dosegne disk) što je obično svakih 5 sekundi ili po 1024 transakcija, ovisno o načinu rada dnevnika. U data modu bilježe se i stvarni sadržaj datoteka i metapodaci (npr. promjene poput veličine, vremena promjena (mtime, ctime, atime), unosa s imenom datoteke i inode brojem), dok ordered/writeback načini rada zapisuju samo metapodatke, pretpostavljajući da su podaci već sigurno na disku. Ovo uključuje ključne forenzičke tragove poput stvaranja, brisanja, operacije preimenovanja, smanjenje veličine indeksnog čvora ili snimke konzistentne s padom sustava. Pomoću tih tragova forenzičar može rekonstruirati redoslijed operacija tako da usporedi stanje dnevnika s trenutnim datotečnim sustavom, ponavljajući transakcije unaprijed ili unatrag.

Međutim, dnevnik ima značajna ograničenja koja ograničavaju njegovu upotrebu u forenzici, na primjer kružna priroda dovodi do prepisivanja starijih transakcija novima (eng. circular buffer overwrite) pa je prosječno vrijeme preživljavanja traga ograničeno na 5 do 30 minuta niske aktivnosti ili sekunde kod intenzivnog pisanja, ovisno o veličini dnevnika i opcijama montiranja. Razina aktivnosti dramatično utječe na to koliko se brzo dnevnik prepisuje npr. poslužitelji prepisuju dnevnik svakih nekoliko sekundi, dok radne površine mogu zadržati sate starijih zapisa. Kod ext4 verzije sustava odgođeno čišćenje (eng. lazy cleanup) i višejezgreno paralelno izvršavanje transakcija (eng. multicore parallel replay) dodatno ubrzavaju brisanje, a odgođena alokacija može “preskočiti” neke operacije. Dodatno, ako se sustav reinicira nakon kvara sustavi ext3 i ext4 automatski pokreću ponovno izvršavanje transakcija pri montiranju particije. Pri čitanju superbloka otkriva se da dnevnik „prljav“ (eng. dirty) što automatski ponovno pokreće sve potvrđene transakcije iz dnevnika na glavni datotečni sustav. Nakon uspješnog izvršavanja transakcija dnevnik se označava kao „čist“ (eng. clean) što rezultira time da se cijeli dnevnik obriše, odnosno unište se svi forenzički tragovi iz dnevnika. Za maksimalni oporavak podataka potrebno je odmah napraviti bit-to-bit kopiju prije montiranja. Ova ograničenja čine dnevnik jako dobrim, ali vremenski osjetljivim izvorom, idealnim za nedavne incidente, ali manje korisnim za davno obrisane datoteke. U takvim slučajevima potrebno je koristiti tehniku carving koja skenira sirovi disk bajt po bajt u potrazi za poznatim oznakama datoteka.

Sustavi ext3 i ext4 koriste write-ahead logging princip gdje se svaka promjena datotečnog sustava (stvaranje, brisanje i izmjena datoteke) prvo bilježi u kružni dnevnik kao privremena transakcije prije primjene na glavne strukture. Ovo omogućuje logički oporavak izbrisanih datoteka jer dnevnik zadržava stare kopije metapodataka (indeksni čvorovi, vremenske oznake, pokazivači na podatke itd.) čak i nakon što brisanje postavi veličinu indeksnog čvora i pokazivače na klastere na 0 u fiksnim strukturama.

Kada korisnik obriše datoteku, sustav briše direktorijski unos i ažurira indeksirani čvor (veličinu i pokazivače na klastere postavlja na 0), ali cijeli blokovi koji sadrže te indeksirane čvorove i blokovi direktorija idu u dnevnik zbog takozvanog efekta promatrača (sustav kopira kompletne blokove s bilo kakvom promjenom, ne samo modificirane bajtove). Svaka od transakcija u dnevniku označena je brojem sekvence koji omogućuje kronološku rekonstrukciju redolsijeda operacija.

Logički oporavak počinje parsiranjem i ekstrakcijom transakcija zapisanih u dnevniku kako bi se identificirale one koje sadrže tablice indeksnih čvorova. Pomoću te tablice pronalaze se stare kopije indeksnih čvorova pomoću kojih se rekonstruiraju pokazivači na blokove. Provjerom alokacije provjeravaju se bitmape i utvrđuje se jesu li blokovi mijenjani. Potom se koristeći pokazivače rekontruira cijela datoteka i moguće je čitanje podataka.

Kada sustav obriše datoteku uklanja se unos, indeksni čvor se označava kao slobodan i njegova veličina i pokazivači na klastere se postavljaju na 0, a pokazivači na podatke se brišu kako bi se osigurala konzistencija nakon pada sustava. Međutim, prije toga, dnevnik bilježi cijeli blok tablice indeksnog čvora gdje je zapisan i čvor izbrisane datoteke. Ključan dio je da se bilježi cijeli blok, a ne samo promijenjeni dio što nazivamo efektom promatrača. Parsiranjem kružnog dnevnika traže se reference na indeksne čvorove prema broju sekvence koja predstavlja slijedni broj transakcije. Nakon što se pronađe odgovarajući čvor provjerava se jesu li podaci netaknuti tako da se analiziraju bitmapovi blokova. Nakon što se utvrdi da su podaci netaknuti čvor se izvlači u svojoj originalnoj veličini zajedno s podacima o vremenskim oznaka, vlasnikom i pokazivačima. Za razliku od carvinga ova tehnika daje potpune metapodatke i vremenske oznake te je brža od cijelog skena datotečnog sustava jer cilja isključivo nedavne transakcije.

Nakon što smo uspješno dohvatili stari indeksni čvor iz dnevnika oporavljamo datoteku tako da slijedimo pokazivače čvorova sve do rješenja. U ext3 sustavu postoje neposredni blokovi, jednostruko, dvostruko i trostrko neposredni za datoteke veće od 16 MB. Provjerom bitmap blokova može se utvrditi jesu li blokovi netaknuti jer brisanjem se briše samo referenca ne i sadržaj. U sustavu ext4 umjesto indirektnih lanaca postoje extents, to su hijerarhijska stabla s fizičkim blokovima i duljinama, rekonstruirana iz dnevnika za velike datoteke bez fragmentacije. Dereferenciranjem pokazivača i spajanjem blokova prema redoslijedu rekonstruira se sve potrebno za oporavak podataka. Prednost ove tehnike je što je preciznija od carvinga ili tablice indeksnih čvorova jer dnevnik daje točne podatke o lokaciji i veličini. U sustavu ext4 extents smanjuju dubinu stabla što je idealno za veće datoteke (GB) gdje carving gubi fragmente.

Ovo je tehnika koja kombinira carving i vođenje dnevnika, obzirom da dnevnik ne može dati sve potrebne podatke ako su pokazivači prebrisani. Iz dnevnika se dohvati točna sekvenca transakcija koja nam daje uvid u metapodatke, no ako su pokazivači na blokove prebrisani jer je netko pisao na disk nakon brisanja dnevnik ne može direktno pročitati te podatke. Koristeći sekvencu transakcije i oznake vremena možemo suziti prostor pretrage i umjesto skeniranja cijelog diska fokusirati se isključivo na blokove koji su se oslobodili u tom kratkom vremenskom intervalu. Iz bitmape blokova vidimo koji su blokovi označeni kao neizmjenjeni upravo u tom vremenskom prozoru i to postaju kandidati za datoteku. Sada kada je broj potencijalnih datoteka značajno smanjen, skeniramo samo nedavno oslobođene blokove uz kombinirajući kontekst iz dnevnika i potpis datoteke i na taj način pronađeno fragmente datoteke koje možemo spojiti s metapodacima iz dnevnika. Prednost ove tehnike je to što smanjuje vrijeme pretrage, omogućuje oporavak starijih i prebrisanih blokova gdje su pokazivači uništeni dok zadržava sve prednosti koje dnevnik nudi.

Ove tehnika tretira dnevnik kao filmsku traku svih nedavnih operacija na disku jer je moguće vidjeti što se točno dogodilo prije brisanja. Sve počinje tako da se dnevnik čita unazad tako da se najnovije transakcije pročitaju prve. Za svaku od pročitanih transakcije se uspoređuje stanje prije i poslije njenog izvršavanja. U trenutku kada se utvrdi da se nakon izvršavanja neke operacije obrisao indeksni čvor rekonstruira se stanje prije te operacije, odnosno prije brisanja čvora. Na taj način se dobije indeksni čvor s pokazivačima, unos i točna vremenska oznaka operacije što su svi potrebni podaci za forenzičku analizu oporavljene datoteke. Ova tehnika je bolja od ostalih jer ne nudi samo statičnu sliku jednog indeksnog čvora, već daje cijelu priču o tome kroz kakve je sve promjene datoteka prolazila.

Debugfs, dio e2fsprogs paketa, omogućuje interaktivni pristup ext3 i ext4 datotečnim sustavima bez montiranja te omogućuje dubinsku forenzičku analizu i manipulaciju interne strukture datotečnog sustava. Pokreće se debugfs image.dd i nudi širok spektar naredbi za ispitivanje:

• stats – prikazuje parametre superbloka

• logdump – daje listu transakcija dnevnika po brojevima sekvenci

• istat <inode> - prikazuje detalje indeksnog čvora

• lsdel -l <dir> - prikazuje sve obrisane datoteke iz direktorija <dir>

• icat <inode> - izvlači datoteku po pokazivačima na klastere

• dump <8> - daje cijeli dnevnik na TSK analizu

Analiza pomoću alata debugfs počinje orijentacijom putem naredbe stats koja daje pregled parametara superbloka te logdump za izlistavanje nedavnih transakcija po broju sekvence iz kojih se izdvajaju sumnjivi indeksni čvorovi. Proces se nastavlja oporavkom indeksnog čvora gdje istat <inode_br> rekonstruira stare kopije indeksnih čvorova iz dnevnika koje su se usput zabilježile tijekom susjednih transakcija. Provjeravaju se bitmap blokovi kako bi se potvrdilo da pokazivači pokazuju na još uvijek neiskorištene blokove. Sve završava izvlačenjem potpune datoteke putem icat <inode_br> koji dereferencira pokazivače i spaja blokove u originalni sadržaj. Ovaj alat nadmašuje carving metode jer čuva kompletne metapodatke, logičku hijerarhiju direktorija i forenzički lanac dokaza čineći ga prvim alatom u analizi incidenata u datotečnim sustavima ext3 i ext4 koji pruža strukturirani pregled prije primjene kompleksnijih rješenja.

Extundelete je specijalizirani alat za oporavak izbrisanih datoteka iz ext3 i ext4 datotečnih sustava koji automatski parsira dnevnik i tablice indeksnih čvorova kako bi rekonstruirao obrisane datoteke prije nego što su njihovi blokovi prepisani. Radi na principu da brisanje samo uklanja unos i postavlja link_count na 0 u indeksnom čvoru, ali ostavlja podatke netaknutima dok bitmapa bloka ne označi blokove alocirnima.

• extundelete image.dd –restore-all - vraća sve obrisane datoteke

• extundelete image.dd –restore-file path – vraća specifičnu datoteku

• extundelete image.dd –restore-inode 144015 – vraća datoteku po indeksnom čvoru dnevnika

• extundelete image.dd –after “2026-01-28” – vraća datoteku obzirom na vremensku oznaku

Alat extundelete skenira transakcije dnevnika, tablice indeksnih čvorova, bitmape blokova i superblokove prioritetno tražeći i rekonstruirajući datoteke čiji su blokovi bili nepromijenjeni i nekorišteni. Za forenziku je posebno vrijedan jer automatski dereferencira pokazivače, slaže fragmente u kompletne datoteke i zadržava originalnu hijerarhiju direktorija s metapodacima. Superioran je nad debugfs alatom jer on zahtijeva ručno praćenje pokazivača.

Ext4magic je napredni specijalizirani alat za oporavak izbrisanih datoteka iz ext3 i ext4 datotečnih sustava koji kombinira parsiranje dnevnika, carving i time-window recovery, specijaliziran za teške slučajeve gdje su pokazivači na blokove prepisani ili je dnevnik djelomično prepisan. Pokreće se naredbama:

• ext4magic image.dd -r -f /home/evidence.pdf -d /recovery – oporavak specifične datoteke

• ext4magic image.dd -a -d /analysis – analiza i procjena postotka uspješno oporavljenih datoteka

• ext4magic image.dd -D -d /disaster – disaster mode (oštećen datotečni sustav)

• ext4magic image.dd -l “1h” -r -d /recent – sužavanje pretrage na vremenski okvir

• ext4magic image.dd -B 295095 -d /blocks – dump specifičnog bloka dnevnika

Ext4magic automatski rekonstruira cijele direktorijske hijerarhije s originalnim imenima, vlasnicima, dopuštenjima i oznakama vremena koristeći kopije indeksnih čvorova iz dnevnika za metapodatke i carving nekorištenih blokova iz vremenskog prozora kada nedostaju pokazivači. Pokreće se u recovery mode načinu rada za ciljani oporavak specifičnih datoteka, analysis mode za skeniranje i procjenu postotka oporavljivih datoteka (eng. yield) prije rekonstrukcije ili disaster modu za oštećene datotečne sustave uz podršku vremenskih filtara za ograničavanje na recentne transakcije. Najnapredniji je od navedenih alata i posebno se to ističe u spospbnosti rekonstrukcije direktorija, expert načinima rada za specifične načine oporavka datoteka i načinom oporavka prepisanih dnevničkih blokova.

Sleuth Kit (TSK) je forenzički paket alata za analizu ext3 i ext4 dnevnika koji pruža pristup slikama diska putem specijaliziranih naredbi za parsiranje transakcija i rekonstrukciju metapodataka, omogućujući detaljan slijed incidenata i oporavak podataka bez montrianja datotečnog sustava. Pokreće se s naredbama:

• jls image.dd – daje listu svih transakcija dnevnika po broju sekvence

• jcat image.dd 295095 - izvlači sirovi blok dnevnika

• icat 144015 - dereferencira pokazivače

• fls -r -d image.dd - rekurzivno lista obrisane datoteke

• fsstat image.dd – daje cijeli pregled datotečnog sustava

Ključne komponente uključuju jls image.dd za listanje svih transakcija iz dnevnika po brojevima sekvenci s opisnim blokovima, jcat image.dd <blok_broj> za izvlačenje sirovih metadata blokova iz dnevnika (npr. stare kopije indeksnih čvorova), icat <inode_broj> za dereferenciranje pokazivača na blokove/extents i izvlačenje potpune datoteke ako su blokovi nekorišteni, te fls -r -d image.dd za rekurzivno listanje obrisanih datoteka s njihovim unosima i link_count=0 stanjima. TSK je u praksi praktičniji i jači od alata debugfs jer je posebno napravljen da pametno čita i tumači strukturu dnevnika. Naredbe poput jls i jcat same prepoznaju koje su transakcije, koji su opisni i potvrdni blokovi i kako su međusobno povezani. Uz to se dobro uklapa s grafičkim sučeljem Autopsy. Naredbe fsstat i imgstat daju brzi i sažeti pregled cijelog datotečnog sustava prije detaljne analize, a činjenica da TSK radi read only na kopiji diska čini ga pogodnim za forenzičku upotrebu.

Korisnik na radnoj površini neslučajno obriše važnu forenzičku datoteku evidence.pdf (indeksni čvor 144015) prije 15 minuta. Radna površina je imala nisku aktivnost (samo web preglednik i tekst editor), što povećava šanse za oporavak. Postoje 3 pristupa kojima se može oporaviti datoteka:

Stvaranje sigurne kopije diska:

ddrescue -d -r3 /dev/sda1 evidence_image.img

Ručni pristup uz debugfs alat:

debugfs image.img

logdump | grep 144015

istat 144015

icat 144015 > file.pdf

Automatski pristup:

extundelete image.img –restore-inode 144015

Sva 3 pristupa rezultiraju potpunim oporavkom s metapodacima.

Na web poslužitelju malware briše dnevničke datoteke (/var/log/apache2/access.log) prije 2 sata. Poslužitelj ima visoku aktivnost diska, dnevnik je djelomično prepisan checkpointom nakon montiranja. Moguća su 3 načina oporavka datoteka:

Stvaranje sigurne kopije diska:

ddrescue -d -r3 /dev/sda1 server_image.img

Analiza pomoću alata ext4magic:

ext4magic server_image.img -a -l “2h” -d /analiza

Disaster mode način rada:

ext4magic server_image.img -D -r -d /oporavljeno

Ovim pristupima je uspješno oporavljeno 75% prebrisanih datoteka.

Analiza dnevnika u ext3 i ext4 datotečnim sustavima pokazuje da je mehanizam vođenja dnevnika izuzetno koristan za forenzički oporavak nedavno izbrisanih ili oštećenih datoteka, posebice metapodataka poput indeksnih čvorova, unosa i vremenskog redoslijeda operacija. Ovaj mehanizam omogućuje logičku rekonstrukciju s velikom preciznošću u kratkom vremenskom prozoru nakon incidenta. Za razliku od carvinga datoteka, dnevnik očuva kontekst (vremenske oznake, vlasnike, strukturu), ali njegova kružna priroda ograničava primjenu na recentne događaje, gdje može vratiti čak 80% do 90% datoteka pri niskoj aktivnosti diska, što ga čini neprocjenjivim za oporavak datoteka u Linux okruženjima.

[1] Carrier, Brian. File System Forensic Analysis. 2005.

[2] Carrier, Brian. Digital Forensics Tools and Techniques. 2005.

[3] Fairbanks, K. D. An analysis of Ext4 for digital forensics. 2012