Dem File Slack auf der Spur

Mit dem File Slack habe ich mich bereits vor ein paar Tagen beschäftigt. Dabei handelt es sich um Daten, die unsichtbar auf der Festplatte schlummern und die möglicherweise ohne Wissen des Benutzers sensible Informationen enthalten.

Kurz noch einmal der Hintergrund: Festplatten sind in Sektoren und Cluster aufgeteilt. Cluster sind dabei die kleinste Einheit, die Windows adressieren kann. Eine typische Cluster-Größe ist 4096 Byte. Eine Datei belegt immer mindestens einen Cluster, auch wenn sie beispielsweise nur 10 Byte groß ist. Größere Dateien belegen mehrere Cluster.

Der restliche Platz des letzten Clusters, den eine Datei belegt, wird File Slack genannt. Zum Auffüllen des File Slacks verwendet Windows zufällige Daten, die entweder aus dem RAM oder von der Festplatte stammen. Dabei kann es sich um nutzlosen Datenmüll handeln oder um sensible Informationen wie besuchte Webseiten oder gar Passwörter.

Mit professionellen Programmen wie beispielsweise Encase lässt sich der File Slack bequem untersuchen.

Es gibt aber auch kostenlose Möglichkeiten, den File Slack auf der eigenen Festplatte unter die Lupe zu nehmen. Der Disk Investigator 1.4 von Kevin Solway ist Freeware und läuft direkt unter Windows.

Mit dem Disk Investigator kann man seine Festplatte Byte für Byte, Sektor für Sektor oder Cluster für Cluster betrachten. Ähnlich wie Encase färbt das Tool den File Slack dabei sogar rot ein.

File Slack untersuchen

Zuerst muss man den Disk Investigator herunterladen und installieren. Anschließend starten und oben links auf „Directories“ klicken.

Nun schauen wir uns zuerst mal die Größe des File Slacks einer beliebigen Datei an. Dazu klicken wir im Disk Investigator mit der rechten Maustaste auf die Datei und wählen „Properties“ aus.

Hinter „Größe“ und „Größe auf Datenträger“ sieht man zwei Werte in Klammern. Der erste ist die tatsächliche Größe der Datei, der zweite ist der belegte Platz auf der Festplatte. Die Differenz ist der File Slack. Im Beispiel ist der File Slack also 2888 Byte groß (2.727.936 – 2.725.048 = 2888).

Aber wie schaut der Inhalt des File Slack nun aus? Dazu klickt man wieder mit der rechten Maustaste auf die Datei und wählt diesmal „View raw file contents“ aus.

Hier haben wir den Anfang der Datei, den der Disk Investigator im Text-Modus darstellt. Der File Slack befindet sich jedoch am Ende der Datei. Zuerst wählen wir oben links „Hex“ aus, da das Tool den File Slack nur bei diesem Format auch wirklich rot färbt (und auch das nicht immer zuverlässig). Anschließend ziehen wir den Regler unten von „Start of file“ zu „End of file“ und scrollen dann im Hauptfenster etwas nach unten bis in den roten File-Slack-Bereich.

Wie man sieht, stehen rechts lesbare Inhalte, die nichts mit der Originaldatei zu tun haben. Meist findet man aber nur Müll oder gelegentlich auch nur Nullen.

Mit einem kostenlosen Tool wie dem Disk Investigator ist es ein reines Glücksspiel eine Datei samt einem File Slack zu finden, der etwas Verwertbares enthält. Außerdem braucht man viel Geduld, da das Tool etwas verbugt zu sein scheint. So bleibt der Regler mal dauerhaft rechts, wenn man mehrere Dateien hintereinander betrachtet, mal springt er jedes Mal sofort wieder zum Anfang der Datei.

Der Disk Investigator eignet sich, um verborgene Daten im File Slack aufzuspüren. Eine Überprüfung von mehreren Tausend Dateien ist damit jedoch nicht sinnvoll möglich.

Weiterer Beitrag zum Thema:
Der große Unbekannte: Der File Slack

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.