Slack Space - Gespeicherte RAM-Daten auf Festplatte

eigentlich gehört dieser Thread in eine andere Sparte aber ich wäre nicht ich wenn ich hier keine Verschwörung sehen würde!

Grob beschrieben:

Werden Daten auf die Festplatte geschrieben werden diese in Container/Cluster/Blocks unterteilt.
Ist ein Container nicht ganz voll geworden werden diese Container mit Daten aus dem Arbeitsspeicher gefüllt (zumindestens minimum bei NTFS) !!!

http://www.wikistc.org/wiki/Slack_space_data#Recovering_data_from_slack_space (Archiv-Version vom 25.05.2011)

Einfacher gesagt heisst dass nichts anderes als dass von fast allen Vorgängen am PC Bruchstücke
auf der Festplatte landen und somit NACHVOLLZIEHBAR dokumentiert werden.

http://www.fim.uni-linz.ac.at/diplomarbeiten/Masterarbeit%20Weisshaar.pdf

Dieser sogenannte Slack Space wird von Computer Forensikern dann mit speziellen Hex-Editoren ausgelesen und verwertet...

http://www.icf-iuk.de/48638/86801.html (Archiv-Version vom 14.02.2015)

Also: rein technisch ist fast alles nachweisbar und nachvollziehbar. Dieser Slack Space wird auch vom LKA/BKA ausgelesen wenn Rechner etwa nach Hausdurchsungen beschlagnahmt werden!
Ich war selbst überrascht als ich dass hörte denn ich bin relativ fit in diesem Segment und hatte davon noch nie was gehört...

Was sagt ihr dazu bzw. warum werden mit RAM-Daten Cluster aufgefüllt?

Will man all unsere Vorgänge nachweislich loggen?

“Auch der Slack space, der ungenutzte Speicherplatz innerhalb eines Datenclusters, wird nicht von allen Löschprogrammen überschrieben. DOS und Windows Systeme arbeiten mit festgelegten Datenblocklängen. Wenn die tatsächliche Dateigröße kleiner ist als in so einem Cluster zur Verfügung steht, wird trotzdem das gesamte Cluster für die Datei reserviert und der zur Verfügung stehende Platz willkürlich und ohne direkten Einfluss des Anwenders mit Daten aus verschiedenen Bereichen des Systems aufgefüllt.Der Slack Space wird dann nicht überschrieben, wenn der Anwender mit einer Löschsoftware nur gezielt bestimmte Dateien löscht. Wenn die Software den gesamten Datenträger löschen soll, wird in der Regel auch der Slack Space überschrieben, da die Software dann jeden Sektor (in der Regel 512 Bytes) überschreibt. Wenn man eine Datei mit Löschsoftware löscht (z.B. 400 Bytes), dann werden oft nur die 400 Bytes gelöscht, jedoch nicht Daten, mit denen der Sektor vorher einmal beschrieben war. In computerforensischen Untersuchungen spielt der Slack space eine große Rolle, da man mit ihm womöglich sensible Daten extrahieren kann."

Quelle: http://www.datenkiller.com/index.php/de/presseartikel (Archiv-Version vom 05.08.2010)

hmm...rein technisch sollte dass jemanden interessieren :/

Contragon schrieb:Was sagt ihr dazu bzw. warum werden mit RAM-Daten Cluster aufgefüllt?

Daten, die auf die Platte geschrieben werden sollen, werden erst mal im RAM zwischengespeichert, damit zum einen Lesezugriffe auf diese Daten schneller gehen (bspw. ein Prozeß schreibt Daten in eine Datei, ein anderer wartet auf neue Daten in dieser Datei), zum anderen können später mehrere Blöcke in einem Rutsch geschrieben werden - werden z.B. zwei Dateien gleichzeitig geschrieben, müßte im schlimmsten Fall die Platte ständig neu positionieren, was länger dauert.

Ich könnte mir vorstellen, daß wenn ein ein Prozeß nicht gerade genau einen Block füllt, die alten Daten nicht komplett überschrieben werden, beim Schreiben auf die Platte aber ein kompletter Block inklusive alter Daten übertragen wird.

tschüssi
Zäld

@zaeld

naja so wie ich das verstanden habe werden zum beispiel audiodaten auf die platte geschrieben und wenn hier ein cluster nicht voll wird wird er teilweise mit Ram daten gefüllt...also direktes befüllen der cluster mit ram daten während des schreibvorgangs...das ist ja das LUSTIGE ;)

Ein Grund mehr die Finger von geklauter Software, Musik und Games zu lassen. Ach ja und as mit den illegalen Pornos auch besser. Und wenn jemand zu dumm war das alles zu laden und zu benutzen und dann auch noch dabei erwischt wird, ist er selber Schuld. Also immer schön euer Säurefläschchen neben dem Monitor platzieren ;)

@AcidU

...oder die Platte verschlüsseln :D

@Contragon

Ich denke das das bei den Leuten vom BKA oder LKA nicht wirklich was hilft. Aber im ernst ich mache mir mehr Sorgen welche Software unerlaubt Daten sammelt und weiter gibt und ob jede Firewall das auch wirklich registriert. Habe meine mal auch höchste Alarmstufe gesetzt, aber da wurde jedes blöde Coookie gleich reklamiert, dass ich das wieder habe sein lassen. Aber ob jetzt wirklich nichts nach außen dringt zu unseren großen Brüdern, das weiß ohnehin nur der Geier.

Contragon schrieb:naja so wie ich das verstanden habe werden zum beispiel audiodaten auf die platte geschrieben und wenn hier ein cluster nicht voll wird wird er teilweise mit Ram daten gefüllt

Nein, erst kommt das Audioprogramm, spielt Musik ab und schreibt dazu die Samples z.B. in den Speicherbereich 10000 - 20000. Irgendwann wird das Audioprogramm beendet, aber in diesem Speicherbereich liegen immer noch die letzten Musikinformationen.

Jetzt kommt ein anderes Programm daher und möchte in eine Datei 500 Byte schreiben. Das Betriebssystem sieht "Oh, der Speicherbereich zwischen 10000 und 20000 ist ja unbenutzt" und puffert dort die 500 Byte zwischen.

Irgendwann werden die gepufferten Daten auf die Platte geschrieben. Wenn jetzt z.B. die Blockgröße 4096 Byte ist, dann schreibt das Betriebssystem den Bereich 10000 bis 14095 auf die Platte, der von 10500 bis 14095 eben noch aus den alten Musikdaten besteht.

tschüssi
Zäld

@zaeld

naja und ändert dass was an der grundlegenden tatsache?

ich verweise auf meinen zweiten Beitrag...

...und hoffe dass wir nicht aneinander vorbeireden ;)

Contragon schrieb:naja und ändert dass was an der grundlegenden tatsache?

Daß nicht gezielt Daten aus dem RAM zum Auffüllen von Sektoren auf der Platte verwendet werden, im Sinne von "der Sektor ist noch nicht voll, wo nehme ich Daten dafür her".

Ein zu schreibender Sektor/Cluster ist Teil des RAMs und ist immer voll, zu Beginn besteht er komplett aus den alten Daten, die zufälligerweise genau an dem Ort liegen, wo man jetzt den Sektor hindefiniert.

tschüssi
Zäld

zaeld schrieb:Ein zu schreibender Sektor/Cluster ist Teil des RAMs und ist immer voll, zu Beginn besteht er komplett aus den alten Daten, die zufälligerweise genau an dem Ort liegen, wo man jetzt den Sektor hindefiniert.

perfect. merci. jetzt hab ich dass verstanden...also die ramdaten sind quasi zuerst da und werden von den "nutzdaten" einfach überschrieben...?

dabei bleiben also immer rest-alt-ram-daten über?

Contragon schrieb:also die ramdaten sind quasi zuerst da und werden von den "nutzdaten" einfach überschrieben...?

Genau.

Contragon schrieb:dabei bleiben also immer rest-alt-ram-daten über?

So ziemlich jedes Programm wird den Speicher, den es benutzt hat, einfach in dem letzten Zustand zurücklassen. Und das können eben auch noch verwertbare Daten sein. Das ist in der Regel aber kein Problem, denn das Betriebssystem sorgt dafür, daß niemand anderes im laufenden Betrieb auf diese Daten Zugriff hat.

Bei der forensischen Analyse läuft das Betriebssystem aber gerade nicht mehr und kann dementsprechend das Auslesen der Daten nicht verhindern. Beim RAM ist das kein Problem, denn da geht der Inhalt ja schnell verloren, blöd ist es wie in diesem Fall, wenn Teile der Daten auf die Platte mitkopiert wurden.

tschüssi
Zäld

@zaeld

zaeld schrieb:Beim RAM ist das kein Problem, denn da geht der Inhalt ja schnell verloren

außer die jungs bringen flüssigen stickstoff mit... ;) :D

Contragon schrieb:außer die jungs bringen flüssigen stickstoff mit...

Da gibt's dann noch die andere Variante, den Rechner einfach zu resetten und ein alternatives Betriebssystem zu starten...

Wenn der Rechner aber schon aus ist, bringt natürlich auch Stickstoff nichts mehr.

tschüssi
Zäld

@zaeld

zaeld schrieb:Wenn der Rechner aber schon aus ist

muss der dann komplett vom strom damit der RAM entleert wird oder reicht der Soft-Off-Mode?

@AcidU

AcidU schrieb:Aber im ernst ich mache mir mehr Sorgen welche Software unerlaubt Daten sammelt und weiter gibt und ob jede Firewall das auch wirklich registriert.

wenn du klarheit über den datenverkehr deines netzwerkes haben möchtest kann ich dir nur Wireshark bzw. NetMon empfehlen. Hier kannst du die pakete bis ins letzte detail aufknibbeln und weisst genau was läuft!

...und wenn du es richtig hart haben willst kauf die ne hardwarefirewall bzw. definiere die ports im router.

AcidU schrieb:Ich denke das das bei den Leuten vom BKA oder LKA nicht wirklich was hilft.

aber sicher hilft ihnen das! slack space ist eine der wichtigsten quelle für sie...

CC Cleaner --> freien Speicher sicher löschen!

Und das Problem ist gelöst! Oder nicht?

Contragon schrieb:muss der dann komplett vom strom damit der RAM entleert wird oder reicht der Soft-Off-Mode?

Ich weiß nicht genau, was Soft-Off bedeutet, aber wenn das der ganz normal heruntergefahrene Rechner ist, der aber noch am Netz hängt, würde ich ohne Gewähr sagen, daß da das RAM abgeschaltet ist.

Bei Suspend-to-RAM ist glaube ich das RAM als einziges noch aktiv (also das RAM sicher, bei weiteren Komponenten weiß ich's nicht).

tschüssi
Zäld

zaeld schrieb:aber wenn das der ganz normal heruntergefahrene Rechner ist, der aber noch am Netz hängt, würde ich ohne Gewähr sagen, daß da das RAM abgeschaltet ist.

wahrscheinlich je nach mainboard...sonst wäre WoL nicht möglich...