파일슬랙(File Slack) / ①

문제13) 파일슬랙(File Slack)

답)

 

1. 디지털포렌식의 중요단서, 파일슬랙 개요

가. 파일슬랙 정의

• 하드디스크를 블록단위, 즉 섹터와 클러스터로 나누어 파일을 저장 공간으로 활당하는 과정에서 자연스럽게 낭비되는 공간

 

나. 특징

디지털 포렌식 대상	파일슬랙 공간을 복구해서 증거 수집
제거 불가	운영체제에서 접근 할 수 없는 영역이므로 의도적인 제거 불가

 

2. 파일슬랙의 구성과 상세설명

가. 파일슬랙 구성도

 

나. 파일슬랙 구성설명

구성	특징	설명
섹터	HDD 물리적 구분	하드디스크를 읽기/쓰기의 최소단위
클러스터	섹터블록	HDD 속도향상을 위한 논리적인 구성
램 슬랙	섹터에 남은 비할당 영역	NTFS 운영체제에서 섹터에 파일을 할당하고 남은 공간은 0 으로 채우게 됨
드라이브 슬랙	클러스터에 남은 비할당 영역	클러스터에서 파일이 저장된 섹터를 제외하고 남은 섹터들의 합
섹터와 클러스터이 구성에 의해 슬랙이 발생하며 크게 램슬랙, 드라이브슬랙으로 구성 됨

 

3. 그외 슬랙 공간

슬랙	설명	구성도
파일시스템 슬랙	파일시스템에서 마지막 부분에 사용할 수 없는 영역 악성코드 은닉시 악용
볼륨슬랙	전체 불륨크기와 할당된 파티션 크기의 차이로 발생하는 낭비공간 파티션 크기에 따라 임의로 공간변경 가능

 

---

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥