5 hrs confidence: peer agreement (net): -1 Données de remplissage des fichiers
Explanation: D'après ce document, "espace non alloué", c'est quelque chose de différent : DÉTECTION ET EXPLOITATION DES COPIES PARTIELLES AFIN DE FACILITER L'ANALYSE FORENSIQUE D'UN SYSTÈME DE FICHIERS https://archipel.uqam.ca/3050/1/M9441.pdf, p.17 "1.8.4.2 Extraction logique Cette extraction est basée sur le système d'exploitation et le système de fichiers présents sur le disque. Elle peut inclure l'extraction des données à partir des espaces actifs tels que les fichiers, les fichiers supprimés, les données de remplissage des fichiers (file slack) et aussi à partir des espaces non alloués." "Extraction des données de remplissage (file slack)." "File slack : l'espace entre la fin logique d'un fichier et la fin de la dernière unité d'allocation de ce même fichier." cf. aussi "slack space" https://www.technapol.fr/investigation-informatique/analyse-... "2.a Les slack space Lors de la création d’un fichier sur le disque dur, celui-ci alloue un ou plusieurs clusters dédiés au fichier en fonction de sa taille. Un cluster est la plus petite unité allouable sur un disque dur, il est en fait composé d’un groupe de secteurs (ce nombre dépend de la taille de la partition et du système de fichier utilisé). Nous prendrons ici le cas d’un disque dur dont les secteurs ont une taille de 512octets, et dont le cluster fait 4096octets (4096/512 = 8, soit 8 secteurs par cluster). Ainsi notre système alloue un nombre multiple de 4ko pour chaque fichier que l’on stocke, ce qui, comme vous l’avez peut être deviné apporte quelques inconvénients. Tout d’abord, dans le cas où le fichier a une taille multiple de 4096, son contenu rentrera parfaitement dans le(s) cluster(s) alloué(s). Rien ici ne pose problème. Dans le cas contraire, où notre fichier à une taille inférieure à un nombre multiple de 4096, comme dans le schéma ci-dessous, celui-ci n’occupera pas tout l’espace qui lui est dédié. Que contient donc l’espace qu’il reste ? Celui-ci contiendra bien souvent les données qui occupaient précédemment cet espace et qui n’ont depuis pas été réécrites. Cela peut donc servir lors de la récupération de données effacées, mais aussi dans la dissimulation de données, puisqu’il nous suffit de placer, à partir de la fin du fichier stocké dans le cluster jusqu’à la fin du cluster, des données que nous voulons cacher. Pour bien comprendre le principe, on pourrait par exemple prendre un système d’archivage où l’on attribue des casiers en fonctions des domaines. Un casier serait dédié à un domaine x, mais le domaine x pourrait très bien être constitué seulement de quelques dossiers, ces dossiers ne rempliraient pas l’espace offert par le casier en terme de profondeur, l’espace qu’il reste est le slack space dont nous parlions plus haut." Cf. aussi https://www.brainscape.com/flashcards/les-systemes-de-gestio... Pour résumé: il s'agit de l'espace ménagé pour des raisons techniques par le système d'exploitation à chaque écriture d'un fichier, cet espace vide ou non (fragments d'anciens fichiers qui ne sont plus indexés par le système d'exploitation) se trouve en fin de cluster.
-------------------------------------------------- Note added at 9 hrs (2020-02-07 19:35:24 GMT) --------------------------------------------------
Cet article en anglais explique bien la chose https://ethz.ch/content/dam/ethz/special-interest/infk/inst-... p22 9.5.4 File Slack As previously explained, a block is the smallest addressable amount of data storage.Therefore, if a file is smaller than the block or in general nota multiple of the dataunit size, the rest of the last block is unused. This space behind the file footer iscalledslack space. The slack space can now be divided into two regions where datanot belonging to the actual file can reside. Note that a block consists of multiplephysical disk sectors. See Fig. 9.3 for a schematic overview. In the following, wewill explain these two regions in more detail. The first area is the space behind the file footer until the end of the current sector,i.e., the sector which contains the file footer. This first area is of particular interestsince the whole sector has to be written and it is therefore not possible for the oper-ating system not to write any data after the file footer. Therefore, depending on theoperating system, this particular region of slack space might be padded with zerosbefore being written. However, it used to be padded with RAM content. This laterspecial case occurred, for instance, in some older operating systems such as MS-DOS and early DOS based MS Windows. This particular piece of the slack spacewas calledRAM slackand could even contain passwords or cryptographic keys, re-spectively. Nowadays, modern operating systems do pad withzeros.The second region of the slack space is the remaining area from the end of thesector where the file footer resides in to the last sector contained in the block. It doesnot have to be written and is either again padded with zeros orignored depending on the operating system. Obviously, if the area is ignored, it could contain data froma deleted file which previously allocated it. Note that slackspace belongs to the al-located space of a file and does not reside in unallocated space.The termfile slackdescribes slack space belonging to a particular file.Another kind of slack isvolume slack. It describes the part of a volume which isnot included in the file system but follows the actual file system. In the following wewill explain this in more detail. First, note that a file system does not have to use thewhole size of the volume. In particular, a volume could contain more than one filesystem.7Therefore, if the file system is smaller than the volume, the space behind itcan be used to hide data.
| Patrick Arbaut Argentina Local time: 13:29 Specializes in field Native speaker of: French
|
| |
|
|