Slack space adalah penyimpanan sisa yang ada pada drive hard disk komputer ketika file komputer tidak memerlukan semua ruang yang telah dialokasikan oleh sistem operasi.Pemeriksaan ruang kendur merupakan aspek penting dari forensik komputer.
Untuk memahami mengapa ruang slack memainkan peran penting dalam e-discovery , pertama-tama kita harus memahami bagaimana data disimpan di komputer yang memiliki hard disk drive . Komputer dengan hard disk drive menyimpan data dalam unit yang disegel yang berisi setumpuk disk bundar dan berputar yang disebut piringan. Setiap pelat terdiri dari ruang yang didefinisikan secara logis yang disebutsektor dan secara default, sebagian besar sistem operasi ( OS ) dikonfigurasikan untuk menyimpan tidak lebih dari 512 byte data. Jika file teks yang 400 byte disimpan ke disk, sektor ini akan memiliki 112 byte sisa ruang ekstra. Ketika hard drive komputer adalah merek baru, ruang di sektor yang tidak digunakan - ruang kendur - kosong, tetapi itu berubah saat komputer digunakan.
Ketika sebuah file dihapus, sistem operasi tidak menghapus file, itu hanya membuat sektor file yang ditempati tersedia untuk realokasi. Jika file baru yang hanya 200 byte dialokasikan untuk sektor asli, ruang slack sektor sekarang akan berisi 200 byte data sisa dari file pertama di samping 112 byte ruang ekstra asli. Data sisa itu, yang disebut data laten atau data ambien, dapat memberi petunjuk kepada para penyidik tentang penggunaan sebelumnya dari komputer yang dimaksud serta mengarah untuk pertanyaan lebih lanjut.Pada tahun 2016, misalnya, Biro Investigasi Federal (FBI) mengungkapkan bahwa mereka telah meninjau jutaan fragmen email yang berada di ruang kosong mantan server pribadi mantan Menteri Luar Negeri Hillary Clinton untuk menentukan apakah server memiliki informasi rahasia yang disimpan atau ditransmisikan dengan tidak benar.
Secara teknis, ruang slack file adalah perbedaan antara ukuran logis dan fisiknya. Ukuran logis file ditentukan oleh ukuran sebenarnya file dan diukur dalam byte. Ukuran fisik file ditentukan oleh jumlah sektor yang dialokasikan ke file. Di sebagian besar sistem operasi, termasuk Windows, sektor dikelompokkan dalam empat kelompok secara default yang berarti setiap kluster memiliki 2.048 byte.
Ukuran logis dari file biru di bawah ini adalah 1280 byte. File ini dialokasikan sekelompok empat sektor 512-byte, yang berarti ukuran fisik file adalah 2.048 byte. Perbedaan antara 2.048 dan 1.280 adalah 768, yang berarti ruang slack file biru adalah 768 byte.
0 komentar:
Posting Komentar