Die Bedeutung von File Slack für digitale Forensik und EDiscovery

Was ist File-Slack? Und was hat das mit Computerforensik zu tun?

Wenn Sie ein grundlegendes Verständnis von Computern haben, wissen Sie, dass Dateien Speicherplatz auf Ihrer Festplatte beanspruchen. Sie können auch verstehen, dass einige Dateien größer sind als andere und dass sie nur wenige Bytes bis viele Gigabyte umfassen können. Was Sie vielleicht nicht wissen, ist, dass Dateien tatsächlich zwei Dateigrößen haben: Eine logische Größe und eine physikalische Größe. Der Grund für die beiden Größen liegt in der Art und Weise, wie das Dateisystem Dateien auf Ihrer Festplatte speichert. Ohne zu sehr auf die Funktionsweise von Dateisystemen einzugehen, liegt die Antwort auf dieses Rätsel im Verständnis von File Slack, das in 2 Teile unterteilt ist: Drive Slack und RAM Slack. Kenntnisse in File Slack sind für das alltägliche Computing nicht erforderlich, spielen jedoch eine sehr wichtige Rolle, wenn es um Digital Forensics und eDiscovery geht.

Vielleicht haben Sie die Begriffe Sektor und Cluster gehört, wenn Sie sich auf Festplatten beziehen. Auf einer sehr einfachen Ebene macht der Sektor den kleinsten Bereich auf einem Datenträger oder einer Festplatte aus, auf den geschrieben werden kann. Diese Sektoren werden dann in Cluster gruppiert, die die Zuordnungseinheiten auf dem Laufwerk bilden. Auf Windows-Systemen hat der Sektor eine feste Größe von 512 Byte, während die Clustergröße durch die Größe der Festplatte selbst bestimmt wird. Kleinere Festplatten haben also kleine Cluster-Größen und umgekehrt. Wenn eine Datei erstellt wird, weist das Dateisystem die ersten verfügbaren Cluster in Abhängigkeit von der logischen Größe der gespeicherten Daten zu. Natürlich kann nicht jede auf einem Laufwerk gespeicherte Datei die genaue Größe eines oder mehrerer Cluster haben, sodass im letzten Cluster noch Speicherplatz übrig bleibt. Das ist File-Slack.

RAM Slack bezieht sich auf den verbleibenden Speicherplatz im letzten Sektor einer Datei. Denken Sie daran, dass Cluster die Zuordnungseinheiten sind, aber das Dateisystem schreibt immer noch in 512-Byte-Blöcken. Sehr selten wird eine Datei ein genaues Vielfaches von 512 sein. Wenn das Dateisystem also den letzten Sektor einer Datei geschrieben hat, ist am Ende dieses Sektors Platz. Vor Windows 95 Version B wurde RAM Slack mit zufälligen Daten aus dem RAM gefüllt, daher RAM Slack. Dies war eine riesige Sicherheitslücke, da Daten im RAM Passwörter und andere sensible Daten enthalten konnten. Seitdem schreiben Windows-Dateisysteme den Hex-Schlüssel x00 auf den verbleibenden Platz im letzten Sektor einer Datei.

Drive Slack bezieht sich auf die verbleibenden Sektoren, in die nicht geschrieben wurde, im letzten Cluster einer Datei. Das Dateisystem füllt diesen Platz nicht wie bei RAM Slack. Das Dateisystem macht mit diesem Speicherplatz eigentlich nichts. Alle Daten, die in diesen Sektoren vor dem Schreiben der Datei enthalten waren, bleiben dort, sogar Überreste gelöschter Dateien.

Sie sehen, wie wichtig File Slack für Digital Forensics und E-Discovery ist. Mit den richtigen Tools und einem erfahrenen forensischen Prüfer wie mir können Daten, die in File Slack und nicht zugewiesenem Speicherplatz gespeichert sind, wiederhergestellt werden.


Source by Michael T McLaughlin

About admin

Check Also

Wie groß ist BIG DATA?

Haben Sie sich jemals gefragt, wenn Sie Ihr Bild hochladen oder einen Status oder sogar …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.