Der große Unbekannte: Der File Slack

Quizfrage: Was bitte ist der File Slack? Ich hab’s bislang nicht gewusst. Um zu verstehen, was der File Slack ist, muss man sich zuerst mit Festplatten und mit Windows beschäftigen. Festplatten werden in Sektoren aufgeteilt, mehrere Sektoren sind dann wiederum ein Cluster. Je nach Dateisystem sind die Cluster größer oder kleiner. FAT kann mit nicht so vielen Clustern umgehen, NTFS dagegen mit mehr. Soweit so gut, das dürfte weitgehend bekannt sein.

Ein Cluster ist die kleinste Größe, die Windows adressieren kann. Bei einer Cluster-Größe von beispielsweise 4096 Byte belegt also auch eine nur wenige Byte große Datei einen kompletten Cluster. So sieht das zum Beispiel aus:

Jetzt kommen wir zum File Slack. Was macht Windows eigentlich mit dem restlichen Platz in einem Cluster? Es belegt ihn einfach mit zufälligen Datenfragmenten. Aber wo stammen die her? Jetzt kommt der Hammer: Die Daten, mit denen Windows den restlichen Platz in einem Cluster füllt, kommen entweder direkt aus dem RAM oder von der Festplatte. Man nennt dies den RAM Slack beziehungsweise den Drive Slack. Beide zusammen sind der File Slack.

Der RAM Slack füllt den letzten benötigten Sektor auf, während der Drive Slack den Rest des Clusters auffüllt. Mit geeigneten Tools lassen sich diese bruchstückhaften Inhalte zusammenfassen und auswerten. Es ist dabei durchaus möglich, dass im File Slack — ohne Wissen des Benutzers — Teile von E-Mails, besuchten Webseiten oder auch komplette Passwörter enthalten sind. Das ist also der File Slack.

Quelle: Computer-Forensik von Alexander Geschonneck, Dpunkt-Verlag

0 Gedanken zu “Der große Unbekannte: Der File Slack

  1. Zitat: „Jetzt kommen wir zum File Slack. Was macht Windows eigentlich mit dem restlichen Platz in einem Cluster? Es belegt ihn einfach mit zufälligen Datenfragmenten.“
    Blödsinn! Eben das tut Windows nicht. Daten, die sich im Slack eines Clusters befinden, sind Daten, die von einer neuen, kleineren Datei nicht überschrieben wurden.

  2. Zitat aus der Wikipedia: „Er heißt Ram-Slack, weil Microsoft-Betriebssysteme bis einschließlich Windows 95A in diesem Bereich zufällige Daten aus dem Arbeitsspeicher abgelegt haben.“ Quelle

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.