Root > Documents > Crime Investigation > File Slack Nedir?
Cyber-Warrior.Org \ Doküman \ Crime Investigation > File Slack Nedir?
Madde
  Yazar : Insomnia
  Date : 14.03.2014 15:30:41
 
# File Slack Nedir?
 

File Slack ya da Dosya Artigi Nedir?

Bu yazi Encase içerisinde dikkatinizi bu zamana kadar belki çekmis olan ama üzerinde pekde durmadiginiz bir konu olan file slack üzerine olacak. Encase üzerinde text ya da hex görünümde kirmizi olarak yazilan alandir.

Ne gerekli

File slack yani dosya artigi kavramini anlayabilmeniz için sektör ve küme (sector ve cluster) kavramlarini hiç yoktan biliyor olmaniz gerekiyor. Bu konulari bilmiyor olabilirsiniz ama ben anlarim diyorsaniz okumaya devam edebilirsiniz bir iki örnek ile bu konular üzerinden de geçecegiz.

Konulari olabildigince basite indirgemeye çalissak da bazen bilgi eksikliginden kaynaklanan anlasilmazliklar olabiliyor.

Kümeler ve Sektörler

Isletim sistemi sadece kümeleri (cluster) kullanarak adresleme yapabilir.Sektörler ise hard diski adresler gibi düsünebiliriz(biri yazilimsal digeri donanimsal gibi). Bunun anlami dosyalar hard disk üzerinde ki kümelere kaydedilirler sektörlere degil.

Disk Yapisi
(A) Iz(track)
(B) Geometrik Sektör (geometrical sector)
(C) Iz Sektörü (track sector)
(D) Küme (cluster)

Örnekler:

(Bu örnegimizde varsayilan küme boyutunun 4 KB oldugunu düsünüyoruz)

5000 baytlik bir dosya 9 sektörlük alan tutar, bununla birlikte isletim sistemi bu dosya için 2 küme ayirir (16 sektör, 2*8 sektör), çünkü dosya tek kümeye sigmaz, 2 küme 8KB (2*4)

2500 baytlik bir dosya ise 5 sektöre sigar, isletim sistemi 1 tam küme (8 sektör) ayirir. Ayni sekilde 10.000 baytlik bir dosya ise toplam boyutu 12KB olan 3 küme alani kaplar.

Farkli Boyutlar

Encase altida iki farkli degerde boyut kavrami yer almakta. Fikizsel boyut (her zaman daha büyük ya da mantiksal boyuta esittir) ve mantiksal boyu.

Daha iyi anlasilmasi için fiziksel ve mantiksal boyut kavramlarina göz atabilirsiniz.

Dosya Artigi (File Slack)

Dosya artigi dedigimiz alan fiziksel boyuttan mantiksal boyutun çikarilmasi ile bulunur. Bu alan Encase içerisinde FTK ya oranla daha anlasilabilir ve islemlere daha uygundur.

Örnegin 5000 baytlik bir dosyamiz olsun (varsayilan olarak 2 küme olarak hard disk üzerinde 8192 baytlik alan kaplar). Bu örnegimizde file slack alanimiz 8192 – 5000 = 3192 bayttir. Kisaca file slack dedigimiz alan her zaman bir kümeden küçük olur.

File slack kavramina söyle de bakabiliriz;

-Daha önceden hard disk üzerinde yer tutan ancak silindikten sonra baska bir dosyanin yazildigi ve yeni dosyanin yazildigi sektörün bos kalan kisimlaridir.

-Tek sektöre sigabilecek küçük dosyalarin tamami da burada yer alabilir

Bu özelliklerinden dolayi, bu kavram adli bilisim yönünden çok degerli bir alandir.

Dökümani Yazan : BILGE KAGAN
   
   
Cyber-Warrior TIM All Legal and illegal Rights Reserved.\CWDoktoray 2001©