컴퓨터를 사용하면서 하드디스크의 속성을 보면 사용중인 공간, 사용 가능한 공간으로 나누어져 있는 것을 볼 수 있다.
데이터를 디스크에 쓴 후 데이터를 컴퓨터상에서 지우게 되면 하드에 있는 데이터가 지워지는 것이 아니라 데이터가 쓰여진 공간이 사용중인 공간에서 사용 가능한 공간으로 바뀌는 것이다. 따라서 새로운 데이터를 쓰게되면 그 공간에 새로 덮여 씌워지는 것이다.
이러한 이론을 바탕으로 슬랙공간에 대하여 설명 하겠다. 아주 간단하다.
데이터가 저장되는 공간을 512Bytes당 하나의 섹터라고 부른다.
data.txt라는 이름의 1024 Bytes의 크기를 가진 파일을 디스크에 쓴다고 가정해보자. 크기가 1024 Bytes 이므로 2개의 섹터를 모두 사용 할 것이다.
그리고 컴퓨터에서 data.txt파일을 지운다. 그러면 다른 데이터가 이공간에 데이터를 덮어씌울 수 있을 것이다.
이제 new.txt라는 이름의 724 Bytes의 크기를 가진 파일을 덮어씌운다고 가정해보자. 크기가 724 Bytes 이므로 2개의 섹터를 사용 할 것이다. 하지만 2번째 섹터의 212 Bytes 까지만 덮여 씌워졌으므로 이전데이터인 data.txt파일의 300 Bytes가 남아있게 된다. 이렇게 남은 300 Bytes의 공간을 “슬랙공간” 이라고 말한다. 이렇게 슬랙 공간의 데이터들은 일부일지라도 삭제된 data.txt의 데이터를 복구 할 수 있게 된다.
여기까지 슬랙공간에 대한 설명이었습니다.
'Forensic' 카테고리의 다른 글
| 하드디스크 데이터 수집 (0) | 2015.01.12 |
|---|---|
| 하드 디스크 숨김 영역 (0) | 2015.01.12 |
| 가상 메모리 구조 (0) | 2015.01.05 |
| PE(Portable Executable)구조 분석-1 (0) | 2014.12.25 |
| 윈도우 부팅 절차 (0) | 2014.11.25 |