- Slack (Dateisystem)
-
Slack ist die Bezeichnung für einen Versatz, der beim Speichern blockorientierter Massenspeichergeräte auftritt. Er ist nicht gleichzusetzen mit nicht alloziertem oder unalloziertem Speicher[1].
Slack lässt sich in folgende Arten untergliedern[2][3]:
Inhaltsverzeichnis
File-Slack
Zusammensetzung von File-Slack in einem 8 Sektoren großen Cluster
Der Begriff File-Slack (dt. Datei-Versatz) bezeichnet denjenigen Slack, der mit einer bestimmten Datei zusammenhängt.
Blockorientierte Massenspeichergeräte, wie Festplatten etc., legen Daten im Allgemeinen in 512 Byte großen Sektoren ab. Die Microsoft-Dateisysteme gruppieren dabei ein bis mehrere Sektoren zu Clustern als kleinste beschreibbare Dateneinheit. Die Standard-Clustergröße beim New Technology File System der Firma Microsoft hängt dabei von der Partitionsgröße ab und beträgt bei Partitionen von mehr als 2GB im Allgemeinen 4096 Byte.[4]
Wenn im Extremfall eine Datei von 1 Byte Größe auf einer NTFS-Partition mit einer Clustergröße von 4096 Byte gespeichert wird, dann belegt diese Datei auf der Festplatte ein ganzes Cluster, d.h. die Datei hat einen File-Slack von 4095 Byte.
Der File-Slack setzt sich aus zwei verschiedenen Arten von Slack zusammen, dem Ram-Slack und dem Drive-Slack.
Ram-Slack
Der Begriff Ram-Slack müsste eigentlich Sektor-Slack heißen, da er den Bereich vom Ende einer Datei bis zum Ende des aktuellen Sektors beschreibt. Er heißt Ram-Slack, weil Microsoft-Betriebssysteme bis einschließlich Windows 95A in diesem Bereich zufällige Daten aus dem Arbeitsspeicher abgelegt haben. In weiten Teilen der Literatur über Forensik wird angegeben, dass dies auch noch für heutige Betriebssysteme gilt, es wird jedoch sowohl von Brian Carrier, dem Autor des in der Computerforensik häufig genutzten SleuthKits, als auch von Steve Bunting, einem erfahrenen Ermittler, Ausbilder und Autor einiger Bücher über Forensik, ausdrücklich verneint.[5][6]
Drive-Slack
Der wesentlich interessantere Teil des File-Slack ist der Drive-Slack. Hierbei handelt es sich um Sektoren innerhalb des letzten Clusters einer Datei, die nicht beschrieben und somit auch nicht überschrieben wurden. In diesen Bereichen lassen sich mit geeigneten Werkzeugen Klartextdaten aus Fragmenten von ehemals auf der Partition vorhandenen Dateien auslesen, somit erhalten diese Bereiche in einer forensischen Untersuchung eine besondere Aufmerksamkeit.
MFT-Slack [7]
Aufgrund einiger Besonderheiten des Microsoft Dateisystemes NTFS, in dem für jeden Verzeichniseintrag 1024 Byte reserviert werden, aber nur 42 Byte davon genutzt werden, kann in den letzten 982 Byte noch ausreichend Platz bleiben, um eine kleine Datei dort zu speichern. Wenn diese Datei wieder gelöscht wird, wird dieser Speicherbereich nicht überschrieben und kann eventuell noch Reste enthalten, die eine Analyse wert sind.
Partition-Slack
Partition-Slack ist auch ein Versatz, der jedoch nicht beim Speichern von Dateien, sondern beim Anlegen von Partitionen auf Festplatten entsteht. Partition-Slack bezeichnet den Bereich vom Ende einer Partition auf einem physikalischen Datenträger bis zum Beginn der nächsten Partition oder dem Ende des physikalischen Datenträgers. Wenn auf dem Datenträger vorher bereits andere Dateisysteme angelegt waren, dann können in diesen Bereichen unter günstigen Umständen Überreste alter Dateien gefunden werden, die in der forensischen Analyse von Bedeutung sein können.
Belege
- ↑ Brian Carrier: File System Forensic Analysis, Addison-Wesley (2005), S. 188.
- ↑ Brian Carrier: File System Forensic Analysis, Addison-Wesley (2005), S. 187/188.
- ↑ Alexander Geschonnek: Computer Forensik, 3. aktualisierte und erweiterte Auflage, dPunkt-Verlag (2008), S.103-106
- ↑ Microsoft TechNet: How NTFS works. 28.03, abgerufen am 18.03.
- ↑ Brian Carrier: File System Forensic Analysis, Addison-Wesley (2005), S. 188 oben.
- ↑ Steve Bunting: EnCE The official EnCase Certified Examiner Study Guide, 2nd Edition, Wiley Publishing Inc. (2008), S. 65.
- ↑ Nur beim New Technology File System
Weblinks
Wikimedia Foundation.
