L'importance de la Slack de fichiers pour la criminalistique numérique et d'e-discovery

Qu'est-ce que Slack fichier? Et comment est-elle liée à l'informatique judiciaire?

Si vous avez une compréhension de base des ordinateurs, alors vous savez que les fichiers prennent de la place sur votre disque dur. Vous pouvez aussi comprendre que certains fichiers sont plus volumineux que les autres et qu'ils peuvent varier de seulement quelques octets à plusieurs giga-octets. Ce que vous ne pouvez pas savoir est que les fichiers réellement deux tailles de fichier: Une taille de logique et une taille physique. La raison pour laquelle les deux formats réside dans la façon dont le système de fichiers stocke les fichiers sur votre disque dur. Sans entrer dans trop de détails sur la manière dont les systèmes de fichiers de travail, la réponse à ce mystère réside dans la compréhension de la Slack fichier, qui est divisé en 2 parties: Drive Slack et RAM Slack. La connaissance de la Slack fichier n'est pas requis pour l'informatique quotidienne mais elle joue un rôle très important quand il s'agit de Digital Forensics et eDiscovery.

Vous avez peut être entendu le secteur termes et Cluster pour désigner les disques durs. À un niveau très basique, le secteur représente la plus petite zone sur un morceau de papier, ou un disque dur, qui peut être écrit. Ces secteurs sont ensuite regroupées en grappes qui constituent les unités d'allocation sur le disque. Sur les systèmes Windows, le secteur est d'une taille fixe de 512 octets alors que la taille de cluster est déterminée par la taille du disque lui-même. Alors petits disques auront petites tailles Clusters et vice versa. Quand un fichier est créé, le système de fichiers alloue les premières grappes disponibles en fonction de la taille logique des données stockées. Évidemment, tous les fichiers stockés sur un disque ne peut éventuellement être la taille exacte d'un ou de plusieurs clusters donc il n'y aura plus d'espace laissé à la dernière grappe. C'est Slack fichier.

RAM Slack se réfère à l'espace restant dans le dernier secteur d'un fichier. Rappelez-vous, les clusters sont les unités d'allocation, mais le système de fichiers écrit encore en 512 morceaux octet. Très rarement un fichier est un multiple exact de 512. Donc, une fois le système de fichiers fini d'écrire le dernier secteur d'un fichier, il y aura un espace à la fin de ce Secteur. Avant Windows 95 version B, RAM Slack a été rempli avec des données aléatoires de la mémoire vive, d'où la RAM Slack. Cela a été un trou de sécurité énorme, car les données dans la RAM peut contenir des mots de passe et autres données sensibles. Depuis lors, les systèmes de fichiers Windows x00 écrire la clé hexagonale de l'espace restant dans le dernier secteur d'un fichier.

Disque Slack se réfère à la restantes non écrite à des secteurs dans le dernier groupe d'un fichier. Le système de fichiers ne pas remplir cet espace comme il le fait avec de la RAM Slack. Le système de fichier ne fait rien avec cet espace. Quelles que soient les données qui étaient contenues dans ces secteurs avant le fichier soit écrit reste toujours là, même des restes de fichiers supprimés.

Vous pouvez voir comment Slack fichier important est de Digital Forensics et E-Discovery. Avec l'ensemble correcte des outils et un examinateur expérimenté légistes, comme moi, les données stockées dans le fichier de l'espace non alloué Slack et peuvent être récupérés.