Apa itu File Slack? Dan bagaimana hubungannya dengan Komputer Forensik?
Jika Anda memiliki pemahaman dasar tentang komputer maka Anda tahu bahwa file mengambil ruang pada hard drive Anda. Anda mungkin juga memahami bahwa beberapa file lebih besar dari yang lain dan bahwa mereka dapat berkisar dari hanya beberapa byte hingga banyak gigabyte. Apa yang mungkin tidak Anda ketahui adalah bahwa file sebenarnya memiliki dua ukuran file: Ukuran logis dan ukuran fisik. Alasan untuk dua ukuran terletak pada cara sistem file menyimpan file di hard drive Anda. Tanpa terlalu detail tentang cara kerja sistem file, jawaban atas misteri ini terletak pada pemahaman File Slack, yang dibagi menjadi 2 bagian: Drive Slack dan RAM Slack. Pengetahuan tentang File Slack tidak diperlukan untuk komputasi sehari-hari tetapi memainkan peran yang sangat penting dalam hal Forensik Digital dan eDiscovery.
Anda mungkin pernah mendengar istilah Sektor dan Cluster ketika mengacu pada hard drive. Pada tingkat yang sangat dasar, Sektor membentuk area terkecil pada media, atau hard drive, yang dapat digunakan untuk menulis. Sektor ini kemudian dikelompokkan ke dalam Cluster yang membentuk unit alokasi pada drive. Pada sistem Windows, Sektor adalah ukuran tetap 512 byte sedangkan ukuran Cluster ditentukan oleh ukuran disk itu sendiri. Jadi disk yang lebih kecil akan memiliki ukuran Cluster yang kecil dan sebaliknya. Ketika file dibuat, sistem file mengalokasikan Cluster pertama yang tersedia tergantung pada ukuran logis dari data yang disimpan. Jelas, setiap file yang disimpan di drive tidak mungkin berukuran tepat dari satu atau beberapa Cluster sehingga akan ada ruang yang tersisa di cluster terakhir. Ini adalah File Slack.
RAM Slack mengacu pada ruang yang tersisa di Sektor terakhir dari sebuah file. Ingat, Cluster adalah unit alokasi tetapi sistem file masih menulis dalam potongan 512 byte. Sangat jarang sebuah file akan menjadi kelipatan tepat 512. Jadi, setelah sistem file selesai menulis ke Sektor terakhir dari sebuah file, akan ada ruang di akhir Sektor itu. Sebelum Windows 95 versi B, RAM Slack diisi dengan data acak dari RAM, maka RAM Slack. Ini adalah lubang keamanan yang sangat besar karena data dalam RAM dapat berisi kata sandi dan data sensitif lainnya. Sejak itu, sistem file Windows menulis kunci hex x00 ke ruang yang tersisa di sektor terakhir file.
Drive Slack mengacu pada sektor yang belum ditulis yang tersisa di cluster terakhir file. Sistem file tidak mengisi ruang ini seperti halnya dengan RAM Slack. Sistem file sebenarnya tidak melakukan apa pun dengan ruang ini. Data apa pun yang ada di sektor-sektor tersebut sebelum file ditulis masih tetap ada, bahkan sisa file yang terhapus.
Anda dapat melihat betapa pentingnya File Slack bagi Digital Forensics dan E-Discovery. Dengan seperangkat alat yang benar dan pemeriksa forensik yang berpengalaman, seperti saya, data yang disimpan di File Slack dan Unallocated Space dapat dipulihkan.