Geralmente, o computador armazena arquivos dentro de um espaço com tamanho fixo no disco. A esse espaço de tamanho fixo muitos chamam de cluster.
Por exemplo, o sistema de arquivos no disco rígido pode armazenar dados em tamanho fixo de quatro kilobytes, ou seja, se for armazenar um arquivo com apenas dois kilobytes em um cluster de quatro kilobytes, haverá dois kilobytes de espaço livre.
O Slack Space(espaço de folga) refere-se à área desse cluster, tamanho fixo, que não está ocupado, uma sobra.
O slack space refere-se ao espaço no disco rígido entre o final de um arquivo armazenado e o final do cluster em que ele é mantido.
Se o seu computador, por exemplo, armazena arquivos em clusters de 4 KB cada, um arquivo com 3 KB de tamanho será armazenado em um cluster com 1 KB de espaço livre restante.
Essa sobra(slack) não pode ser usada/preenchida. O próximo cluster será usado.
Slack space também é chamado de file slack(folga de arquivo). O Slack(folga) ocorre porque é incomum que os arquivos tenham o tamanho exato de um cluster.
Investigação Forense
Embora você possa pensar que sobras de espaços em um cluster não têm utilidade, você está muito enganado. Examinar a slack space é fundamental ao realizar investigações forenses em computadores.
Examinar a folga(slack) de arquivos pode levar à descoberta de dados residuais em computação forense. Mesmo que um arquivo foi escrito dentro de um cluster sobrescrevendo um arquivo antigo, ainda poderá haver resquícios do antigo arquivo que “foi sobrescrito”.
Os dados residuais são o que resta de um arquivo excluído quando outro arquivo que ocupou o lugar na memória de um computador é menor do que o anterior e assim deixou resíduos, vestígios do arquivo anterior. Esses dados podem revelar algo importante sobre o arquivo excluído, como quem o criou.
Lembra o caso de Hillary Clinton? O FBI a investigou e recolheu provas de que ela usou o email pessoal; essas provas foram recolhidas através de slack space.
Examinar o espaço ocioso nos computadores dos suspeitos de crimes cibernéticos é uma das primeiras coisas que os especialistas em forense digital fazem. É indicado como um dos passos básicos por muitos guias de ciber-forense, incluindo o publicado pela INTERPOL.
leia também:
Comments on “Termos: O que é Slack Space(espaço desocupado) nos Dispositivos de Armazenamento(HDs, SSDs…)?”