File-Slack
aus Wikipedia, der freien Enzyklopädie
Der Begriff des Datenversatzes oder englisch: File-Slack bezeichnet die durch die Besonderheit einiger Betriebssysteme begründete, willkürliche und indirekte Abspeicherung von "Auffülldaten" in unallozierte Bereiche von Datenträgern - ohne direkten Einfluss des Anwenders.
Wenn eine Datei erstellt wird, hängt ihre tatsächliche Größe vom Dateiinhalt ab. Aus Gründen der Effektivität wird diese Datei auf Datenträgern in sog. Blöcken gespeichert. Diese Blöcke haben eine feste Länge und werden Sektoren genannt, welche durch eine Low-Level-Formatierung (ab Werk / oder über eine Bios-Funktion), die kleinste Speichereinheit auf Datenträgern im Allgemeinen bilden. Alle MS-Betriebssysteme speichern Daten in festen Blocklängen - im Allgemeinen Cluster genannt - die erst im Zuge einer High-Level-Formatierung durch das entsprechenden Betriebssystem erstellt werden. Cluster bilden sich unter Windows-Systemen (FAT/NTFS) daher aus Gruppen von Sektoren, wobei die dadurch entstehenden Clustergrößen je nach eingerichtetem Partitionsvolumen und eingesetztem Betriebssystem variieren können.
Wird also eine Datei auf einem Medium gespeichert, stimmt in den meisten Fällen der eigentliche Inhalt der Datei nicht immer exakt mit der Länge der für sie zugewiesenen Cluster überein, so dass es zu einem Cluster-Verschnitt [Cluster-Überhang] auf dem Speichermedium kommen kann. Der freie Platz innerhalb eines Clusters vom Ende der abgespeicherten Datei bis zum Ende des letzten zugewiesenen Clusters für diese Datei wird daher als "File-Slack" bezeichnet. Wenn eine Datei geschrieben wird, füllt das entsprechende Betriebssystem daher den File-Slack mit zufälligen unallozierten Daten auf, die in Fragmenten direkt aus dem RAM des Systems stammen können, (RAM-Slack) oder aber auch sog. Auffülldaten darstellen können, die sich zu einem vorigen Zeitpunkt bereits, teilw. gelöscht, in unalloziierten Bereichen auf dem Datenträger befunden haben [Drive-Slack].
File-Slack versteht sich daher als ein übergeordneter Begriff verschiedener Arten, in denen auf Datenträgern Slacks gebildet werden können und unterteilt sich in [RAM-Slack], [Drive-Slack] und auch bedingt, MFT-Slack. Alles zusammen bildet im Allgemeinen den Oberbegriff des File-Slacks, der genau dann entsteht, sobald eine Datei auf den Datenträger geschrieben wird. Wird eine Datei unter Windows gelöscht, bleiben die Dateifragmente, die sich innerhalb des File-Slack befanden in dem Cluster erhalten, der zuvor dem Ende der gelöschten Datei zugewiesen war.
Das immer noch häufig unter Linux verwendete Dateisystem ext2 speichert auch Daten in Blöcke und kann ebenso Slack-Bereiche bilden.
Aus Sicht möglicher computerforensischer Untersuchungen, bzw. Ermittlungen strafverfolgender Behörden auf der Basis von Computerkriminalität ist es wichtig die Bedeutung des File-Slack richtig einzuschätzen, da er möglicherweise dazu verwendet werden kann, sensible Informationen zu extrahieren oder aber auch um festzustellen, wofür das System in der vergangenen Zeit verwendet wurde.
File-Slack lässt sich mit handelsüblichen oder frei verfügbaren Tools nur überschreiben, nicht aber extrahieren, reproduzieren oder auswerten.
