[Term Definition] 슬랙 공간(Slack space)

슬랙은 쉽게 말하면 남은 공간이다.

물리적으로는 파일에 할당되었지만 논리적으로 사용할 수 없어 낭비되는 공간을 슬랙이라고 부른다. 슬랙 공간은 정보 은닉, 파일 복구 및 삭제된 파일 파편 조사 시 유용하게 사용할 수 있기때문에 포렌식 분석 과정에서 살펴봐야 되는 것 중 하나이다.

 

슬랙의 종류는 크게 파일 슬랙(램 슬랙, 드라이브 슬랙), 파일 시스템 슬랙, 볼륨 슬랙이 있다.

 

 

---

램 슬랙(RAM Slack)

램 슬랙은 파일이 섹터 단위로 나누어 떨어지지 않아서 생기는 슬랙으로 파일을 할당할 때 초기화 되어 0으로 채워져있다.

 

드라이브 슬랙(Drvie Slack)

드라이브 슬랙은 파일이 클러스터 단위로 나누어 떨어지지 않아서 발생하는 슬랙으로 쓰레기 값으로 채워져 있어 이전 파일의 정보가 남아있을 수 있다.(데이터 복구에 사용되는 영역)

 

파일시스템 슬랙

저장매체의 물리적인 크기가 클러스터 단위로 나누어 떨어지지 않아서 발생하는 슬랙이다.

 

볼륨 슬랙

MBR(EBR)에서 지정한 Volume 크기가 파티션들의 크기 합과 다르기 때문에 발생하는 슬랙이다.

 

 

---

+) 클러스터

저장매체의 논리적인 단위, 저장매체의 물리적인 최소 단위는 1섹터(512bytes)

현대 파일시스템들은 섹터단위로 데이터를 관리하지 않고 여러 섹터를 묶은 클러스터라는 개념으로 데이터를 관리.