未分配空间,是指
计算机系统内有大量的未分配空间,其多数保存有各种各样的数据.这些数据很多时候不是人为隐藏的而是被
操作系统数据。
未分配空间
计算机系统内有大量的未分配空间,其多数保存有各种各样的数据.这些数据很多时候不是人
(一)闲散空间是指文件最后一个数据块或簇中未使用的部分.只有文件大小正好是数据块
(FAT32的数据块是4096个字节)的整数倍时才没有闲散空间.平均的看每个文件占用的闲散空
间有0.5个数据块大小.通过正常的文件系统接口访问不到这些闲散空间,因为操作系统本身不允
许访问超过文件末尾的地方.
(二)把文件读进内存时,闲散空间不会跟进来;把文件写到一个数据块不一样大的磁介质上,
所形成的文件会有不同的闲散空间,而且可能包含有任何留在那种介质上的数据.无论是把文件通
过邮件发给某人还是用FTP在网络上传输都不能把闲散空间里的的数据带走.所以取证时对硬盘
的拷贝并不能在文件的级别上进行,而必须对硬盘里所有的东西进行完全的映象.
(三)未分配的簇指那些当前还没有被任何文件使用的块.一个频繁使用的系统中,所有的扇
区都可能被写过多次,文件也经常的改换位置.一个应用程序改变一个文件并重写它以后原先改变
的文件会被删除占用的所有数据块会被回收而处于未分配状态.这些簇中间保存保存原先文件中的
的时间就越长.
(四)未分配的数据簇可用几种方式来进行检查.最为简便的方法是用一个取证工具包查看数
据.Unix系统下可以将整个分区看成一个单一的对象,利用16进制编辑器来搜索和检查整个分区
或硬盘.对一块硬盘检查时首先要了解它有几个分区,每一个分区有多大.所有分区加起来的大小
是否等于整个硬盘大小.