www.mikrocontroller.net

Forum: PC Hard- und Software Verständnisfrage zu File Slack bei NTFS


Autor: Holger (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo!

Wenn ich das richtig verstanden habe ist bei heutigen NTFS-Dateisystemen 
ein Cluster ja meist 4KB groß. Unter welchen Umständen ist der File 
Slack bei Betriebssystemen wie XP und 7 denn nun ein Problem für den 
Nutzer? Ich suche praktische Beispiele, anhand derer man sich vorstellen 
kann, unter welchen Umständen ein File Slack vermutlich auftreten wird 
und welche Konsequenzen das haben könnte.

Ist der File Slack durch die Festplatte, die ja vermutlich immer 512 
Bytes verarbeitet, auf 7 Sektoren pro Datei begrenzt?

Was passiert mit dem File Slack, wenn man eine Datei z.B. mit WinRar 
archviert? Wird der mitgespeichert und auch wieder entpackt?

Es geht mir jetzt nicht um forensische Untersuchungen, sondern mehr um 
die Auswirkungen, die das ganze für einen Bürger hat, der zwar nicht das 
Ziel von Ermittlungen ist, aber tagtäglich viele Dateien per Email 
versendet und sich deswegen fragt, ob z.B. das Verwenden und Ändern 
einer bereits gespeicherten Text-Datei(quasi als Vorlage, die dann 
entsprechend angepasst und unter dem selben Namen gespeichert wird) in 
diesem Zusammenhang ein Problem werden könnte, weil ein Teil der Daten 
aus der Vorlage unter umständen noch im letzten Cluster enthalten 
sind...

Gruß,
Holger

Autor: Uhu Uhuhu (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Holger schrieb:
> Ich suche praktische Beispiele, anhand derer man sich vorstellen
> kann, unter welchen Umständen ein File Slack vermutlich auftreten wird
> und welche Konsequenzen das haben könnte.

Wenn du so viele Files, wie Cluster auf der Platte hast, die jeweils nur 
ein Byte enthalten, ist die Platte voll, obwohl 4095/4096 davon keine 
Nutzdaten entalten.

Autor: Icke ®. (49636b65)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Uhu Uhuhu schrieb:

> Wenn du so viele Files, wie Cluster auf der Platte hast, die jeweils nur
> ein Byte enthalten, ist die Platte voll, obwohl 4095/4096 davon keine
> Nutzdaten entalten.

Nö. NTFS verschwendet für sehr kleine Dateien gar keine Cluster, sondern 
speichert sie direkt in der MFT (Master File Table).

> Was passiert mit dem File Slack, wenn man eine Datei z.B. mit WinRar
> archviert? Wird der mitgespeichert und auch wieder entpackt?

Natürlich nicht. Das Packprogramm "sieht" sowieso nur die Nutzdaten des 
Files und weiß gar nichts vom Slack.

Ist ohnehin müßig, sich darüber Gedanken zu machen, da andere 
Dateisysteme den gleichen Problematiken unterliegen. Man könnte also nix 
ändern.

Autor: Holger (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

es gibt aber doch Programme, die sich damit rühmen, eben diesen File 
Slack löschen zu können! Ich wollte daher generell wissen, ob dieser 
File Slack unter bestimmten Umständen die Festplatte des Benutzers 
verlassen kann, oder ob es sich hierbei um ein rein lokales Problem 
handelt, das höchstens im Rahmen einer forensischen 
Datenträger-Untersuchung relevant ist. Letzteres wäre mir egal, 
ersteres(also wenn dieser File Slack die Platte durch mein eigenes 
Handeln verlassen könnte) würde mich schon stören.

WinRar war jetzt nur ein Beispiel. Oder ist es generell so, dass alle 
API-gesteuerten Datei-Operationen immer nur exakt den Teil kopieren bzw. 
schreiben, der auch der Datei-Größen-Angabe in Byte entspricht und den 
Rest mit Nullen auffüllen?
Wie ist es z.B. bei auf CD gebrannten Dateien? Oder mit Dateien, die ich 
auf einen USB-Stick kopiere? Ich weiß eben nicht, was das Betriebssystem 
macht, wenn ich eine Datei von A nach B kopiere...wird der Slack mit 
kopiert, oder "schneidet" das Betriebssystem den Rest nach dem Dateiende 
ab und füllt diesen mit Nullen bis zur Clustergrenze des jeweiligen 
Ziel-Dateisystems?

Mfg,
Holger

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Holger schrieb:
> es gibt aber doch Programme, die sich damit rühmen, eben diesen File
> Slack löschen zu können!

Sie löschen ihn nicht im Sinne davon, daß er danach weg ist, sondern sie 
überschreiben diesen Bereich mit anderen Informationen.

> Ich wollte daher generell wissen, ob dieser
> File Slack unter bestimmten Umständen die Festplatte des Benutzers
> verlassen kann, oder ob es sich hierbei um ein rein lokales Problem
> handelt, das höchstens im Rahmen einer forensischen
> Datenträger-Untersuchung relevant ist.

Die "hinter" einer Datei stehenden Daten verlassen höchstens beim 
Festplattenimaging* die Festplatte des Benutzers. Bei Dateizugriffen 
sind sie nicht sichtbar.


*) Ganz sicher ist das bei einer Sektor-für-Sektor-Kopie, die aber beim 
Festplattenimaging nur selten verwendet wird. Beim "smarten" Imaging, 
das auch Partitionsgrößenänderungen zulässt, werden nur die benutzten 
Teile kopiert, und das dürfte allenfalls den "Slack"-Anteil im letzten 
von der Datei belegten Sektor (nicht Cluster!) kopieren.

Autor: Icke ®. (49636b65)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Holger schrieb:

> es gibt aber doch Programme, die sich damit rühmen, eben diesen File
> Slack löschen zu können!

Im der Audiophilie heißt das Schreckgespenst "Jitter". Um des gar 
fürchterlichen Jitters Herr zu werden, verkauft man u.a. technisch 
unvorstellbar hochwertige Patchkabel für 500,-€ oder Netzkabel für über 
1000,-€. Im Computerbereich heißen die Schreckgespenster eben "Slack" 
oder "Fragmentierung". Muß jeder für sich selbst entscheiden, ob er für 
die Lösung so gut wie nicht wahrnehmbarer Probleme Geld ausgibt.

Autor: Ben ___ (burning_silicon)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
full ack.

ich sag mal dieser "slack" verläßt ziemlich regelmäßig die festplatte. 
es wird ja immer mindestens ein kompletter sektor von der festplatte in 
den speicher gelesen, das dateisystem verwirft erst dort nicht benötigte 
teile. "gib mir mal 123 byte des sektors 12345" kann die platte nämlich 
nicht.

das geht aber auch in die andere richtung, eine festplatte kann nicht 
nur 123 bytes in sektor 12345 schreiben, sondern nur den kompletten 
sektor. es ist also wieder sache des dateisystem mit welchem schrott der 
ungenutzte bereich aufgefüllt wird. auf der festplatte wird immer der 
komplette sektor gelöscht bzw. neu beschrieben.

wenn man eine festplatte oder partition sektor für sektor kopiert werden 
auch alle unnützen daten mitkopiert. das macht aber nur einen höheren 
aufwand als wie wenn man das bleiben läßt und das "zuviel" ist danach 
genauso unnütz wie vorher.

wenn man eine gebrauchte festplatte verkauft sollte man sie unbedingt 
vorher komplett löschen. dafür gibts spezielle programme, die nehmen 
sich auch zeit dafür - und wenn man eine platte sektorweise mehrfach 
komplett mit zufallsdaten vollkleistert kann auch ontrack nichts mehr 
machen. 100%ige sicherheit lassen sich unternehmen aber die festplatten 
kosten. die werfen die fraglichen platten einfach in den schredder oder 
schmelzen sie so wie sie sind ein, danach sind sogar die aliens mit der 
widerherstellung der daten überfordert.

USB-sticks mit sensiblen daten sollten auch nach löschung nicht 
weitergegeben werden. diese sticks nutzen eine wear-leveling-funktion um 
ihren (verschleißenden) flash-IC möglichst gleichmäßig zu benutzen. das 
bedeutet, daß der angesprochene sektor nicht der physische sektor im 
flash-IC sein muß und auch nach mehrmaligem überschreiben bestimmte 
sektoren im flash noch alte daten enthalten können. baut man diesen 
flash-IC nun aus und liest ihn komplett aus kann sowas wieder zum 
vorschein kommen. sicher ist nur eine mechanische zerstörung des 
flash-ICs, damit der garantiert nie wieder ausgelesen wird. entweder die 
ICs mit dem hammer zerbrechen oder sticks aus plastik kurz in eine 
(alte!) mikrowelle packen reicht.

eine defragmentierung kann bei großen dateien und langsamen platten sinn 
machen. einmal die woche die platte defragmentieren ist aber overkill. 
einmal im halben jahr bzw. direkt nach "herstellung" einer großen 
fragmentation reicht. bei USB-sticks oder generell laufwerken mit 
konstanter zugriffszeit bei wahlfreiem zugriff ist es komplett sinnlos.

Autor: Holger (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,

vielen Dank schon mal für Eure Antworten.

>das bedeutet, daß der angesprochene sektor nicht der physische sektor
>im flash-IC sein muß und auch nach mehrmaligem überschreiben bestimmte
>sektoren im flash noch alte daten enthalten können.

Dazu würde ich gerne etwas mehr wissen:

Wenn ich den USB-Stick formatiere und dann sämtlichen freien 
Speicherplatz mit Hilfe einer oder mehreren riesigen Dateien mit 
Zufallsdaten fülle, müsste dann nicht alles überschrieben werden? Mal 
abgesehen von den Spare-Sektoren, die es aber wohl auch bei Festplatten 
geben soll, womit es ja kein spezielles Problem von flash-ICs wäre...

Mfg,
Holger

Autor: Rufus Τ. Firefly (rufus) (Moderator) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ben _ schrieb:
> dafür gibts spezielle programme, die nehmen
> sich auch zeit dafür - und wenn man eine platte sektorweise mehrfach
> komplett mit zufallsdaten vollkleistert kann auch ontrack nichts mehr
> machen.

Wobei es genügt, die Sektoren exakt einmal zu überschreiben, und 
Zufallsdaten müssen es auch nicht sein. Anderslautende Behauptungen sind 
urbane Mythen, die den Verkauf von "sicheren" Datenlöschprogrammen 
ankurbeln sollen.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.