[port139:01380] Re: unallocated (free) space, file slack

[DANNA <danna@xxxxxxxxxxx>]

ども。ダンナ＠サポセンです。

soujiさん
> が考えられると思いますが、unrm は a の方法を取り、file slack
> と unallocated space を同時に収集しているのではないかと推測
> したのですが間違ってますでしょうか？

一応不正アクセスの本にも「未割当データブロック〜」と記載されて
ますし、もちろん unrm の man に書いてあります。

> unrm opens the named device and copies data blocks.
> By default, unrm copies unallocated data blocks only.


> bmap を利用して file slack にデータを書き込み、unrm により
> 収集したデータに、 bmap で書き込んだデータが含まれていれば
> unrm は file slack 上のデータも収集するという確認が取れると
> 思うのですが...

えーと、ちょっと混乱しちゃいます。slack space の定義ってボク
は以下のように認識してますが。

http://www.webopedia.com/TERM/S/slack_space.html

> slack space
> The unused space in a disk cluster. The DOS and Windows file
> systems use fixed-size clusters. Even if the actual data being
> stored requires less storage than the cluster size, an entire
> cluster is reserved for the file. The unused space is called
> the slack space. 

以下、テキトーな意訳

それぞれのクラスタ内に収められるデータは、必ずしもクラスタサイズ
を完全に満たさない。それぞれのクラスタ内で使われてない領域が slack
space と呼ばれる。

てなカンジだとすれば、slack space は unallocated block に含まれま
せんので、デフォルトの unrm ではそれらのデータを集めることは出来
ないとなりますが。

# 削除されたファイルのSlackSpaceは見られるか(;´Д`)

slack space を覗くツールですが、別にhexdumpでも見られますよね。相
当面倒だと思うけど。

ボクは TCT しかマジメに調べたコト無いんで、他のツールには疎いんで
す。あと、slack のキーワードで探してもそれほど当たらないじゃない
かな。

>--------- みっきーのネットワーク研究所 ---------<
>  DANNA @ SAPOSEN                               <
>  MAIL : danna@xxxxxxxxxxx                      <
>  HP   : http://www.hawkeye.ac/micky            <
>  PGP  : http://www.hawkeye.ac/micky/micky.pub  <
>------------------------------------------------<