Verschwörungen
Menschen Wissenschaft Politik Mystery Kriminalfälle Spiritualität Verschwörungen Technologie Ufologie Natur Umfragen Unterhaltung
weitere Rubriken
PhilosophieTräumeOrteEsoterikLiteraturAstronomieHelpdeskGruppenGamingFilmeMusikClashVerbesserungenAllmysteryEnglish
Diskussions-Übersichten
BesuchtTeilgenommenAlleNeueGeschlossenLesenswertSchlüsselwörter
Schiebe oft benutzte Tabs in die Navigationsleiste (zurücksetzen).

Slack Space - Gespeicherte RAM-Daten auf Festplatte

41 Beiträge ▪ Schlüsselwörter: Slack Space ▪ Abonnieren: Feed E-Mail

Slack Space - Gespeicherte RAM-Daten auf Festplatte

13.04.2011 um 15:19
eigentlich gehört dieser Thread in eine andere Sparte aber ich wäre nicht ich wenn ich hier keine Verschwörung sehen würde!

Grob beschrieben:

Werden Daten auf die Festplatte geschrieben werden diese in Container/Cluster/Blocks unterteilt.
Ist ein Container nicht ganz voll geworden werden diese Container mit Daten aus dem Arbeitsspeicher gefüllt (zumindestens minimum bei NTFS) !!!

http://www.wikistc.org/wiki/Slack_space_data#Recovering_data_from_slack_space (Archiv-Version vom 25.05.2011)

Einfacher gesagt heisst dass nichts anderes als dass von fast allen Vorgängen am PC Bruchstücke
auf der Festplatte landen und somit NACHVOLLZIEHBAR dokumentiert werden.

http://www.fim.uni-linz.ac.at/diplomarbeiten/Masterarbeit%20Weisshaar.pdf

Dieser sogenannte Slack Space wird von Computer Forensikern dann mit speziellen Hex-Editoren ausgelesen und verwertet...

http://www.icf-iuk.de/48638/86801.html (Archiv-Version vom 14.02.2015)

Also: rein technisch ist fast alles nachweisbar und nachvollziehbar. Dieser Slack Space wird auch vom LKA/BKA ausgelesen wenn Rechner etwa nach Hausdurchsungen beschlagnahmt werden!
Ich war selbst überrascht als ich dass hörte denn ich bin relativ fit in diesem Segment und hatte davon noch nie was gehört...

Was sagt ihr dazu bzw. warum werden mit RAM-Daten Cluster aufgefüllt?

Will man all unsere Vorgänge nachweislich loggen?


1x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

13.04.2011 um 15:25
“Auch der Slack space, der ungenutzte Speicherplatz innerhalb eines Datenclusters, wird nicht von allen Löschprogrammen überschrieben. DOS und Windows Systeme arbeiten mit festgelegten Datenblocklängen. Wenn die tatsächliche Dateigröße kleiner ist als in so einem Cluster zur Verfügung steht, wird trotzdem das gesamte Cluster für die Datei reserviert und der zur Verfügung stehende Platz willkürlich und ohne direkten Einfluss des Anwenders mit Daten aus verschiedenen Bereichen des Systems aufgefüllt.Der Slack Space wird dann nicht überschrieben, wenn der Anwender mit einer Löschsoftware nur gezielt bestimmte Dateien löscht. Wenn die Software den gesamten Datenträger löschen soll, wird in der Regel auch der Slack Space überschrieben, da die Software dann jeden Sektor (in der Regel 512 Bytes) überschreibt. Wenn man eine Datei mit Löschsoftware löscht (z.B. 400 Bytes), dann werden oft nur die 400 Bytes gelöscht, jedoch nicht Daten, mit denen der Sektor vorher einmal beschrieben war. In computerforensischen Untersuchungen spielt der Slack space eine große Rolle, da man mit ihm womöglich sensible Daten extrahieren kann."
Quelle: http://www.datenkiller.com/index.php/de/presseartikel (Archiv-Version vom 05.08.2010)


melden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 08:59
hmm...rein technisch sollte dass jemanden interessieren :/


melden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 09:17
Zitat von ContragonContragon schrieb:Was sagt ihr dazu bzw. warum werden mit RAM-Daten Cluster aufgefüllt?
Daten, die auf die Platte geschrieben werden sollen, werden erst mal im RAM zwischengespeichert, damit zum einen Lesezugriffe auf diese Daten schneller gehen (bspw. ein Prozeß schreibt Daten in eine Datei, ein anderer wartet auf neue Daten in dieser Datei), zum anderen können später mehrere Blöcke in einem Rutsch geschrieben werden - werden z.B. zwei Dateien gleichzeitig geschrieben, müßte im schlimmsten Fall die Platte ständig neu positionieren, was länger dauert.

Ich könnte mir vorstellen, daß wenn ein ein Prozeß nicht gerade genau einen Block füllt, die alten Daten nicht komplett überschrieben werden, beim Schreiben auf die Platte aber ein kompletter Block inklusive alter Daten übertragen wird.

tschüssi
Zäld


melden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 09:21
@zaeld

naja so wie ich das verstanden habe werden zum beispiel audiodaten auf die platte geschrieben und wenn hier ein cluster nicht voll wird wird er teilweise mit Ram daten gefüllt...also direktes befüllen der cluster mit ram daten während des schreibvorgangs...das ist ja das LUSTIGE ;)


1x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 09:36
Ein Grund mehr die Finger von geklauter Software, Musik und Games zu lassen. Ach ja und as mit den illegalen Pornos auch besser. Und wenn jemand zu dumm war das alles zu laden und zu benutzen und dann auch noch dabei erwischt wird, ist er selber Schuld. Also immer schön euer Säurefläschchen neben dem Monitor platzieren ;)


melden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 09:39
@AcidU

...oder die Platte verschlüsseln :D


melden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 09:45
@Contragon

Ich denke das das bei den Leuten vom BKA oder LKA nicht wirklich was hilft. Aber im ernst ich mache mir mehr Sorgen welche Software unerlaubt Daten sammelt und weiter gibt und ob jede Firewall das auch wirklich registriert. Habe meine mal auch höchste Alarmstufe gesetzt, aber da wurde jedes blöde Coookie gleich reklamiert, dass ich das wieder habe sein lassen. Aber ob jetzt wirklich nichts nach außen dringt zu unseren großen Brüdern, das weiß ohnehin nur der Geier.


1x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 09:46
Zitat von ContragonContragon schrieb:naja so wie ich das verstanden habe werden zum beispiel audiodaten auf die platte geschrieben und wenn hier ein cluster nicht voll wird wird er teilweise mit Ram daten gefüllt
Nein, erst kommt das Audioprogramm, spielt Musik ab und schreibt dazu die Samples z.B. in den Speicherbereich 10000 - 20000. Irgendwann wird das Audioprogramm beendet, aber in diesem Speicherbereich liegen immer noch die letzten Musikinformationen.

Jetzt kommt ein anderes Programm daher und möchte in eine Datei 500 Byte schreiben. Das Betriebssystem sieht "Oh, der Speicherbereich zwischen 10000 und 20000 ist ja unbenutzt" und puffert dort die 500 Byte zwischen.

Irgendwann werden die gepufferten Daten auf die Platte geschrieben. Wenn jetzt z.B. die Blockgröße 4096 Byte ist, dann schreibt das Betriebssystem den Bereich 10000 bis 14095 auf die Platte, der von 10500 bis 14095 eben noch aus den alten Musikdaten besteht.

tschüssi
Zäld


melden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 09:47
@zaeld

naja und ändert dass was an der grundlegenden tatsache?

ich verweise auf meinen zweiten Beitrag...

...und hoffe dass wir nicht aneinander vorbeireden ;)


1x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 10:24
Zitat von ContragonContragon schrieb:naja und ändert dass was an der grundlegenden tatsache?
Daß nicht gezielt Daten aus dem RAM zum Auffüllen von Sektoren auf der Platte verwendet werden, im Sinne von "der Sektor ist noch nicht voll, wo nehme ich Daten dafür her".

Ein zu schreibender Sektor/Cluster ist Teil des RAMs und ist immer voll, zu Beginn besteht er komplett aus den alten Daten, die zufälligerweise genau an dem Ort liegen, wo man jetzt den Sektor hindefiniert.

tschüssi
Zäld


1x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 10:58
Zitat von zaeldzaeld schrieb:Ein zu schreibender Sektor/Cluster ist Teil des RAMs und ist immer voll, zu Beginn besteht er komplett aus den alten Daten, die zufälligerweise genau an dem Ort liegen, wo man jetzt den Sektor hindefiniert.
perfect. merci. jetzt hab ich dass verstanden...also die ramdaten sind quasi zuerst da und werden von den "nutzdaten" einfach überschrieben...?

dabei bleiben also immer rest-alt-ram-daten über?


1x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 11:34
Zitat von ContragonContragon schrieb:also die ramdaten sind quasi zuerst da und werden von den "nutzdaten" einfach überschrieben...?
Genau.
Zitat von ContragonContragon schrieb:dabei bleiben also immer rest-alt-ram-daten über?
So ziemlich jedes Programm wird den Speicher, den es benutzt hat, einfach in dem letzten Zustand zurücklassen. Und das können eben auch noch verwertbare Daten sein. Das ist in der Regel aber kein Problem, denn das Betriebssystem sorgt dafür, daß niemand anderes im laufenden Betrieb auf diese Daten Zugriff hat.

Bei der forensischen Analyse läuft das Betriebssystem aber gerade nicht mehr und kann dementsprechend das Auslesen der Daten nicht verhindern. Beim RAM ist das kein Problem, denn da geht der Inhalt ja schnell verloren, blöd ist es wie in diesem Fall, wenn Teile der Daten auf die Platte mitkopiert wurden.

tschüssi
Zäld


1x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 11:43
@zaeld
Zitat von zaeldzaeld schrieb:Beim RAM ist das kein Problem, denn da geht der Inhalt ja schnell verloren
außer die jungs bringen flüssigen stickstoff mit... ;) :D


1x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 11:54
Zitat von ContragonContragon schrieb:außer die jungs bringen flüssigen stickstoff mit...
Da gibt's dann noch die andere Variante, den Rechner einfach zu resetten und ein alternatives Betriebssystem zu starten...

Wenn der Rechner aber schon aus ist, bringt natürlich auch Stickstoff nichts mehr.

tschüssi
Zäld


1x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 12:34
@zaeld
Zitat von zaeldzaeld schrieb:Wenn der Rechner aber schon aus ist
muss der dann komplett vom strom damit der RAM entleert wird oder reicht der Soft-Off-Mode?


1x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 12:45
@AcidU
Zitat von AcidUAcidU schrieb:Aber im ernst ich mache mir mehr Sorgen welche Software unerlaubt Daten sammelt und weiter gibt und ob jede Firewall das auch wirklich registriert.
wenn du klarheit über den datenverkehr deines netzwerkes haben möchtest kann ich dir nur Wireshark bzw. NetMon empfehlen. Hier kannst du die pakete bis ins letzte detail aufknibbeln und weisst genau was läuft!

...und wenn du es richtig hart haben willst kauf die ne hardwarefirewall bzw. definiere die ports im router.
Zitat von AcidUAcidU schrieb:Ich denke das das bei den Leuten vom BKA oder LKA nicht wirklich was hilft.
aber sicher hilft ihnen das! slack space ist eine der wichtigsten quelle für sie...


melden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 12:48
CC Cleaner --> freien Speicher sicher löschen!

Und das Problem ist gelöst! Oder nicht?


2x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 13:48
Zitat von ContragonContragon schrieb:muss der dann komplett vom strom damit der RAM entleert wird oder reicht der Soft-Off-Mode?
Ich weiß nicht genau, was Soft-Off bedeutet, aber wenn das der ganz normal heruntergefahrene Rechner ist, der aber noch am Netz hängt, würde ich ohne Gewähr sagen, daß da das RAM abgeschaltet ist.

Bei Suspend-to-RAM ist glaube ich das RAM als einziges noch aktiv (also das RAM sicher, bei weiteren Komponenten weiß ich's nicht).

tschüssi
Zäld


1x zitiertmelden

Slack Space - Gespeicherte RAM-Daten auf Festplatte

14.04.2011 um 13:52
Zitat von zaeldzaeld schrieb:aber wenn das der ganz normal heruntergefahrene Rechner ist, der aber noch am Netz hängt, würde ich ohne Gewähr sagen, daß da das RAM abgeschaltet ist.
wahrscheinlich je nach mainboard...sonst wäre WoL nicht möglich...


1x zitiertmelden