- Drive-Slack
-
Datenversatz oder englisch: File-Slack ist die durch die Besonderheite einiger Betriebssysteme begründete willkürliche und indirekte Abspeicherung von Auffülldaten in unallozierte Bereiche von Datenträgern - ohne direkten Einfluss des Anwenders.
Wenn eine Datei erstellt wird, hängt ihre tatsächliche Größe vom Dateiinhalt ab. Alle MS-Betriebssysteme speichern Daten in festen Blöcken - im Allgemeinen Cluster genannt - die erst im Zuge einer High-Level-Formatierung durch das entsprechenden Dateisystem erstellt werden. Cluster bilden sich unter Windows-Systemen (FAT/NTFS) aus Gruppen von Datenblöcken des Datenträgers, wobei die dadurch entstehenden Clustergrößen je nach eingerichtetem Partitionsvolumen und eingesetztem Betriebssystem variieren können.
Wird eine Datei auf einem Medium gespeichert, stimmt in den meisten Fällen die eigentliche Größe der Datei nicht immer exakt mit der Gesamtgröße der für sie zugewiesenen Cluster überein, so dass am Ende des letzte Clusters etwas Platz übrig bleibt. Dieser freie Platz am Ende des letzten der Datei zugewiesenen Clusters wird daher als "File-Slack" bezeichnet. Wenn eine Datei geschrieben wird, füllt das entsprechende Dateisystem daher den File-Slack mit Daten auf, im Falle von Windows mit zufälligen unallozierten Daten auf, die in Fragmenten direkt aus dem RAM des Systems stammen können, (RAM-Slack) oder aber auch aus gelöschten Dateien, die noch nicht überschrieben wurden (Drive-Slack).
File-Slack unterteilt sich in RAM-Slack, Drive-Slack und auch bedingt, MFT-Slack. Alles zusammen bildet im Allgemeinen den Oberbegriff des File-Slacks, der entstehen kann, wenn eine Datei auf den Datenträger geschrieben wird.
Wird eine Datei gelöscht, können sich wiederum die Dateifragmente, die sich innerhalb des File-Slack befanden, erhalten.
Aus Sicht möglicher computerforensischer Untersuchungen und Ermittlungen strafverfolgender Behörden in Fällen von Computerkriminalität ist es wichtig, die Bedeutung des File-Slack richtig einzuschätzen, da er möglicherweise dazu verwendet werden kann, sensible Informationen zu extrahieren oder um festzustellen, wofür das System in der vergangenen Zeit verwendet wurde.
Weblinks
Wikimedia Foundation.