Hallo! Wenn ich das richtig verstanden habe ist bei heutigen NTFS-Dateisystemen ein Cluster ja meist 4KB groß. Unter welchen Umständen ist der File Slack bei Betriebssystemen wie XP und 7 denn nun ein Problem für den Nutzer? Ich suche praktische Beispiele, anhand derer man sich vorstellen kann, unter welchen Umständen ein File Slack vermutlich auftreten wird und welche Konsequenzen das haben könnte. Ist der File Slack durch die Festplatte, die ja vermutlich immer 512 Bytes verarbeitet, auf 7 Sektoren pro Datei begrenzt? Was passiert mit dem File Slack, wenn man eine Datei z.B. mit WinRar archviert? Wird der mitgespeichert und auch wieder entpackt? Es geht mir jetzt nicht um forensische Untersuchungen, sondern mehr um die Auswirkungen, die das ganze für einen Bürger hat, der zwar nicht das Ziel von Ermittlungen ist, aber tagtäglich viele Dateien per Email versendet und sich deswegen fragt, ob z.B. das Verwenden und Ändern einer bereits gespeicherten Text-Datei(quasi als Vorlage, die dann entsprechend angepasst und unter dem selben Namen gespeichert wird) in diesem Zusammenhang ein Problem werden könnte, weil ein Teil der Daten aus der Vorlage unter umständen noch im letzten Cluster enthalten sind... Gruß, Holger
Holger schrieb: > Ich suche praktische Beispiele, anhand derer man sich vorstellen > kann, unter welchen Umständen ein File Slack vermutlich auftreten wird > und welche Konsequenzen das haben könnte. Wenn du so viele Files, wie Cluster auf der Platte hast, die jeweils nur ein Byte enthalten, ist die Platte voll, obwohl 4095/4096 davon keine Nutzdaten entalten.
Uhu Uhuhu schrieb: > Wenn du so viele Files, wie Cluster auf der Platte hast, die jeweils nur > ein Byte enthalten, ist die Platte voll, obwohl 4095/4096 davon keine > Nutzdaten entalten. Nö. NTFS verschwendet für sehr kleine Dateien gar keine Cluster, sondern speichert sie direkt in der MFT (Master File Table). > Was passiert mit dem File Slack, wenn man eine Datei z.B. mit WinRar > archviert? Wird der mitgespeichert und auch wieder entpackt? Natürlich nicht. Das Packprogramm "sieht" sowieso nur die Nutzdaten des Files und weiß gar nichts vom Slack. Ist ohnehin müßig, sich darüber Gedanken zu machen, da andere Dateisysteme den gleichen Problematiken unterliegen. Man könnte also nix ändern.
Hallo, es gibt aber doch Programme, die sich damit rühmen, eben diesen File Slack löschen zu können! Ich wollte daher generell wissen, ob dieser File Slack unter bestimmten Umständen die Festplatte des Benutzers verlassen kann, oder ob es sich hierbei um ein rein lokales Problem handelt, das höchstens im Rahmen einer forensischen Datenträger-Untersuchung relevant ist. Letzteres wäre mir egal, ersteres(also wenn dieser File Slack die Platte durch mein eigenes Handeln verlassen könnte) würde mich schon stören. WinRar war jetzt nur ein Beispiel. Oder ist es generell so, dass alle API-gesteuerten Datei-Operationen immer nur exakt den Teil kopieren bzw. schreiben, der auch der Datei-Größen-Angabe in Byte entspricht und den Rest mit Nullen auffüllen? Wie ist es z.B. bei auf CD gebrannten Dateien? Oder mit Dateien, die ich auf einen USB-Stick kopiere? Ich weiß eben nicht, was das Betriebssystem macht, wenn ich eine Datei von A nach B kopiere...wird der Slack mit kopiert, oder "schneidet" das Betriebssystem den Rest nach dem Dateiende ab und füllt diesen mit Nullen bis zur Clustergrenze des jeweiligen Ziel-Dateisystems? Mfg, Holger
Holger schrieb: > es gibt aber doch Programme, die sich damit rühmen, eben diesen File > Slack löschen zu können! Sie löschen ihn nicht im Sinne davon, daß er danach weg ist, sondern sie überschreiben diesen Bereich mit anderen Informationen. > Ich wollte daher generell wissen, ob dieser > File Slack unter bestimmten Umständen die Festplatte des Benutzers > verlassen kann, oder ob es sich hierbei um ein rein lokales Problem > handelt, das höchstens im Rahmen einer forensischen > Datenträger-Untersuchung relevant ist. Die "hinter" einer Datei stehenden Daten verlassen höchstens beim Festplattenimaging* die Festplatte des Benutzers. Bei Dateizugriffen sind sie nicht sichtbar. *) Ganz sicher ist das bei einer Sektor-für-Sektor-Kopie, die aber beim Festplattenimaging nur selten verwendet wird. Beim "smarten" Imaging, das auch Partitionsgrößenänderungen zulässt, werden nur die benutzten Teile kopiert, und das dürfte allenfalls den "Slack"-Anteil im letzten von der Datei belegten Sektor (nicht Cluster!) kopieren.
Holger schrieb: > es gibt aber doch Programme, die sich damit rühmen, eben diesen File > Slack löschen zu können! Im der Audiophilie heißt das Schreckgespenst "Jitter". Um des gar fürchterlichen Jitters Herr zu werden, verkauft man u.a. technisch unvorstellbar hochwertige Patchkabel für 500,-€ oder Netzkabel für über 1000,-€. Im Computerbereich heißen die Schreckgespenster eben "Slack" oder "Fragmentierung". Muß jeder für sich selbst entscheiden, ob er für die Lösung so gut wie nicht wahrnehmbarer Probleme Geld ausgibt.
full ack. ich sag mal dieser "slack" verläßt ziemlich regelmäßig die festplatte. es wird ja immer mindestens ein kompletter sektor von der festplatte in den speicher gelesen, das dateisystem verwirft erst dort nicht benötigte teile. "gib mir mal 123 byte des sektors 12345" kann die platte nämlich nicht. das geht aber auch in die andere richtung, eine festplatte kann nicht nur 123 bytes in sektor 12345 schreiben, sondern nur den kompletten sektor. es ist also wieder sache des dateisystem mit welchem schrott der ungenutzte bereich aufgefüllt wird. auf der festplatte wird immer der komplette sektor gelöscht bzw. neu beschrieben. wenn man eine festplatte oder partition sektor für sektor kopiert werden auch alle unnützen daten mitkopiert. das macht aber nur einen höheren aufwand als wie wenn man das bleiben läßt und das "zuviel" ist danach genauso unnütz wie vorher. wenn man eine gebrauchte festplatte verkauft sollte man sie unbedingt vorher komplett löschen. dafür gibts spezielle programme, die nehmen sich auch zeit dafür - und wenn man eine platte sektorweise mehrfach komplett mit zufallsdaten vollkleistert kann auch ontrack nichts mehr machen. 100%ige sicherheit lassen sich unternehmen aber die festplatten kosten. die werfen die fraglichen platten einfach in den schredder oder schmelzen sie so wie sie sind ein, danach sind sogar die aliens mit der widerherstellung der daten überfordert. USB-sticks mit sensiblen daten sollten auch nach löschung nicht weitergegeben werden. diese sticks nutzen eine wear-leveling-funktion um ihren (verschleißenden) flash-IC möglichst gleichmäßig zu benutzen. das bedeutet, daß der angesprochene sektor nicht der physische sektor im flash-IC sein muß und auch nach mehrmaligem überschreiben bestimmte sektoren im flash noch alte daten enthalten können. baut man diesen flash-IC nun aus und liest ihn komplett aus kann sowas wieder zum vorschein kommen. sicher ist nur eine mechanische zerstörung des flash-ICs, damit der garantiert nie wieder ausgelesen wird. entweder die ICs mit dem hammer zerbrechen oder sticks aus plastik kurz in eine (alte!) mikrowelle packen reicht. eine defragmentierung kann bei großen dateien und langsamen platten sinn machen. einmal die woche die platte defragmentieren ist aber overkill. einmal im halben jahr bzw. direkt nach "herstellung" einer großen fragmentation reicht. bei USB-sticks oder generell laufwerken mit konstanter zugriffszeit bei wahlfreiem zugriff ist es komplett sinnlos.
Hallo, vielen Dank schon mal für Eure Antworten. >das bedeutet, daß der angesprochene sektor nicht der physische sektor >im flash-IC sein muß und auch nach mehrmaligem überschreiben bestimmte >sektoren im flash noch alte daten enthalten können. Dazu würde ich gerne etwas mehr wissen: Wenn ich den USB-Stick formatiere und dann sämtlichen freien Speicherplatz mit Hilfe einer oder mehreren riesigen Dateien mit Zufallsdaten fülle, müsste dann nicht alles überschrieben werden? Mal abgesehen von den Spare-Sektoren, die es aber wohl auch bei Festplatten geben soll, womit es ja kein spezielles Problem von flash-ICs wäre... Mfg, Holger
Ben _ schrieb: > dafür gibts spezielle programme, die nehmen > sich auch zeit dafür - und wenn man eine platte sektorweise mehrfach > komplett mit zufallsdaten vollkleistert kann auch ontrack nichts mehr > machen. Wobei es genügt, die Sektoren exakt einmal zu überschreiben, und Zufallsdaten müssen es auch nicht sein. Anderslautende Behauptungen sind urbane Mythen, die den Verkauf von "sicheren" Datenlöschprogrammen ankurbeln sollen.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.