슬랙 스페이스(Slack Space)

I. 증거분석을 위한 핵심기법, 슬랙 스페이스 분석의 개요

가. 슬랙 스페이스(Slack Space) 분석의 정의

   - 파일 시스템은 하나의 큰 파일을 저장할 때 여러 클러스터들로 나누어 저장하게 된다. 이 때 가장 마지막 클러스터에는 파일의 가장 뒷부분을 저장한 다음 남는 공간이 생길 수 있는데 이를 슬랙 스페이스라 한다.

나. 슬랙 스페이스 분석 방법

- 하드디스크에는 파일을 저장 할 때 생기는 파일 슬랙 스페이스, 하드 디스크의 할당되지 않은 공간들과 볼륨 슬랙 스페이스, 파티션 슬랙 스페이스 등이 있다. - 이런 슬랙 스페이스에 데이터를 숨겨 놓을 수 있으며 파일 테이블에서는 이런 슬랙 스페이스를 인식하지 못하기 때문에 의도적인 데이터의 은폐, 은닉이 가능 - 이런 슬랙 공간을 검색하기 위해서는 슬랙 공간을 검색할 수 있는 포렌식 툴을 사용

- 디스크에서 슬랙 스페이스 크기와 위치를 검사하고 디스크의 물리적 주소를 파악하여 해당 섹터의 정보를 검색