Forensicist

ファイルシステムは一般に512バイトのセクタを複数個まとめた領域を1単位としていて、クラスタや
ブロックなどと呼んで扱います(ここでは以後クラスタに統一します)。ファイルのコンテンツはクラスタを
格納場所に使いますが、格納のために一部の領域でも使ったクラスタは、残りの領域を実際に使って
いなくても使用済とします。

つまり、コンテンツのサイズがクラスタの大きさの倍数でなかった場合、クラスタ内に未使用の(無駄な)
領域が存在することになります。この領域をSlack Space(スラックスペース、スラック、スラックエリアなど)と
呼びます。Slack SpaceはOSとファイルシステムによって処理が異なり、ワイプされていたり以前の
データが残っていたりします。

そのため、調査用のツールなどはSlack Spaceも対象にして参照やキーワード検索するようにしています。

Unix系のSlack Spaceを扱うツールとしてbmapがあります。Slack Spaceを利用したファイル埋め込みの他、
検出が可能です。bmapはpacketstormからダウンロード可能で、Helixにも含まれています。

例えばルートディレクトリ配下の全スラックスペースを調べる場合、以下のようにコマンドを実行します。

# find / -exec ./bmap --mode checkslack {} \; 2>&1 | grep 'has slack'

ただしbmapはext2にしか対応しておらず、ext3での動作は保証外とされています。そのため、NTFSでも
正常に動作しないと思われます。

Slack Spaceに関連する参考情報として以下が挙げられます。

Data Hiding and Recovery
http://www.cs.fsu.edu/~yasinsac/group/slides/busey4.pdf

Analysis of hidden data in NTFS file system
http://www.forensicfocus.com/downloads/ntfs-hidden-data-analysis.pdf

Digital Forensics - Finding information that has been lost...
http://www.seoulcc.org/meetings/past_meetings/dig_for.pdf

Forensic analysis of Windows hosts using UNIX-based tools
http://www.compseconline.com/digitalinvestigation/alt.pdf