Η σημασία του File Slack για την ψηφιακή εγκληματολογία και την EDiscovery

Τι είναι το File Slack; Και πώς σχετίζεται με την Εγκληματολογία Υπολογιστών;

Εάν έχετε μια βασική κατανόηση των υπολογιστών, τότε γνωρίζετε ότι τα αρχεία καταλαμβάνουν χώρο στον σκληρό σας δίσκο. Μπορεί επίσης να καταλάβετε ότι ορισμένα αρχεία είναι μεγαλύτερα από άλλα και ότι μπορούν να κυμαίνονται από λίγα μόνο byte έως πολλά gigabyte. Αυτό που ίσως δεν γνωρίζετε είναι ότι τα αρχεία έχουν στην πραγματικότητα δύο μεγέθη αρχείων: Ένα λογικό μέγεθος και ένα φυσικό μέγεθος. Ο λόγος για τα δύο μεγέθη έγκειται στον τρόπο που το σύστημα αρχείων αποθηκεύει αρχεία στον σκληρό σας δίσκο. Χωρίς να μπαίνουμε σε πολλές λεπτομέρειες για το πώς λειτουργούν τα συστήματα αρχείων, η απάντηση σε αυτό το μυστήριο βρίσκεται στην κατανόηση του File Slack, το οποίο χωρίζεται σε 2 μέρη: Drive Slack και RAM Slack. Η γνώση του File Slack δεν απαιτείται για τους καθημερινούς υπολογιστές, αλλά παίζει πολύ σημαντικό ρόλο όταν πρόκειται για Digital Forensics και eDiscovery.

Ίσως έχετε ακούσει τους όρους Sector και Cluster όταν αναφέρεστε σε σκληρούς δίσκους. Σε πολύ βασικό επίπεδο, ο Τομέας αποτελεί τη μικρότερη περιοχή σε ένα κομμάτι μέσου ή σκληρού δίσκου, στο οποίο μπορεί να εγγραφεί. Στη συνέχεια, αυτοί οι τομείς ομαδοποιούνται σε συμπλέγματα που αποτελούν τις μονάδες εκχώρησης στη μονάδα δίσκου. Στα συστήματα Windows, το Sector έχει σταθερό μέγεθος 512 byte, ενώ το μέγεθος του Cluster καθορίζεται από το μέγεθος του ίδιου του δίσκου. Έτσι οι μικρότεροι δίσκοι θα έχουν μικρά μεγέθη Cluster και το αντίστροφο. Όταν δημιουργείται ένα αρχείο, το σύστημα αρχείων εκχωρεί τα πρώτα διαθέσιμα συμπλέγματα ανάλογα με το λογικό μέγεθος των δεδομένων που αποθηκεύονται. Προφανώς, κάθε αρχείο που είναι αποθηκευμένο σε μια μονάδα δίσκου δεν μπορεί να έχει το ακριβές μέγεθος ενός ή πολλαπλών συμπλεγμάτων, επομένως θα μείνει χώρος στο τελευταίο σύμπλεγμα. Αυτό είναι το File Slack.

Το RAM Slack αναφέρεται στον υπόλοιπο χώρο στον τελευταίο τομέα ενός αρχείου. Θυμηθείτε, τα συμπλέγματα είναι οι μονάδες εκχώρησης, αλλά το σύστημα αρχείων εξακολουθεί να γράφει σε κομμάτια 512 byte. Πολύ σπάνια ένα αρχείο θα είναι ακριβές πολλαπλάσιο του 512. Έτσι, μόλις το σύστημα αρχείων ολοκληρώσει την εγγραφή στον τελευταίο Τομέα ενός αρχείου, θα υπάρχει χώρος στο τέλος αυτού του Τομέα. Πριν από την έκδοση Β των Windows 95, το RAM Slack ήταν γεμάτο με τυχαία δεδομένα από τη μνήμη RAM, άρα και τη RAM Slack. Αυτό ήταν ένα τεράστιο κενό ασφαλείας επειδή τα δεδομένα στη μνήμη RAM θα ​​μπορούσαν να περιέχουν κωδικούς πρόσβασης και άλλα ευαίσθητα δεδομένα. Από τότε, τα συστήματα αρχείων των Windows γράφουν το εξαγωνικό κλειδί x00 στον υπόλοιπο χώρο στον τελευταίο τομέα ενός αρχείου.

Το Drive Slack αναφέρεται στους υπόλοιπους τομείς που δεν έχουν εγγραφεί στο τελευταίο σύμπλεγμα ενός αρχείου. Το σύστημα αρχείων δεν γεμίζει αυτόν τον χώρο όπως συμβαίνει με το RAM Slack. Το σύστημα αρχείων στην πραγματικότητα δεν κάνει τίποτα με αυτόν τον χώρο. Οποιαδήποτε δεδομένα περιέχονταν σε αυτούς τους τομείς πριν από την εγγραφή του αρχείου παραμένουν εκεί, ακόμη και υπολείμματα διαγραμμένων αρχείων.

Μπορείτε να δείτε πόσο σημαντικό είναι το File Slack για την Digital Forensics και το E-Discovery. Με το σωστό σύνολο εργαλείων και έναν έμπειρο ιατροδικαστή, όπως εγώ, τα δεδομένα που είναι αποθηκευμένα στο File Slack και στο Unallocated Space μπορούν να ανακτηθούν.

Σχολιάστε