슬랙은 쉽게 말하면 남은 공간이다.
물리적으로는 파일에 할당되었지만 논리적으로 사용할 수 없어 낭비되는 공간을 슬랙이라고 부른다. 슬랙 공간은 정보 은닉, 파일 복구 및 삭제된 파일 파편 조사 시 유용하게 사용할 수 있기때문에 포렌식 분석 과정에서 살펴봐야 되는 것 중 하나이다.
슬랙의 종류는 크게 파일 슬랙(램 슬랙, 드라이브 슬랙), 파일 시스템 슬랙, 볼륨 슬랙이 있다.
램 슬랙(RAM Slack)
램 슬랙은 파일이 섹터 단위로 나누어 떨어지지 않아서 생기는 슬랙으로 파일을 할당할 때 초기화 되어 0으로 채워져있다.
드라이브 슬랙(Drvie Slack)
드라이브 슬랙은 파일이 클러스터 단위로 나누어 떨어지지 않아서 발생하는 슬랙으로 쓰레기 값으로 채워져 있어 이전 파일의 정보가 남아있을 수 있다.(데이터 복구에 사용되는 영역)
파일시스템 슬랙
저장매체의 물리적인 크기가 클러스터 단위로 나누어 떨어지지 않아서 발생하는 슬랙이다.
볼륨 슬랙
MBR(EBR)에서 지정한 Volume 크기가 파티션들의 크기 합과 다르기 때문에 발생하는 슬랙이다.
+) 클러스터
저장매체의 논리적인 단위, 저장매체의 물리적인 최소 단위는 1섹터(512bytes)
현대 파일시스템들은 섹터단위로 데이터를 관리하지 않고 여러 섹터를 묶은 클러스터라는 개념으로 데이터를 관리.
'Security > Forensics' 카테고리의 다른 글
| [Precedents Analysis] 종근당 압수 수색 사건 [대법원 2015.7.16 자2011모1839전원합의체 결정] (0) | 2020.01.10 |
|---|---|
| [File Structure] PE파일(Portable Executable) (2) | 2019.11.23 |
| [Artifact] NTFS - $UsnJrnl - $J (0) | 2019.11.14 |
| [Artifact] NTFS - $MFT (0) | 2019.11.13 |
| [File Structure] OLE(Object Linking and Embedding) 파일 구조 (2) | 2019.10.17 |
| [Memory] Memory Forensics (0) | 2019.10.02 |
| [Artifact] 윈도우 포렌식 - JumpList 아티팩트 (1) | 2019.09.25 |
| [Artifact] 윈도우 포렌식 - 프리패치(Prefetch) & 슈퍼패치(Superfetch) (1) | 2019.09.25 |