Dosya sistemleri, dosyaları sabit disk üzerinde saklarken block (Linux/Unix) yada cluster (Windows) olarak adlandırılan ve ardışıl sektörlerin bir araya gelmesi ile oluşan yapıları kullanırlar ve adreslemede temel olarak bu yapılar kullanılır. Bir dosya, bir yada birden fazla block yada clustera yazılabilir. Eğer dosya, bir block yada clusterın tamamını doldurmuyorsa ilgili yapının geri kalan kısmına dokunulmaz. Cluster yada blockun tamamı bu dosyaya ayrılır. Başka bir dosya bu cluster yada block içinde yer almaz.
Dosyayı yazarken dosyanın boyutu sektörün tamamını dolduramaya yetmezse bu durumda işletim sistemi Null ile sektörün geri kalanını doldurur. Eski işletim sistemlerinde Null yerine hafızadan alınan rastgele veriler koyulurdu. Bu durum RAM Slack olarak adlandırılan alanın oluşmasına sebep olurdu.
Disk mimarisine ilişkin sector, block, track vb kavramları daha iyi anlamak için aşağıdaki görsel kullanılabilir. (Görsel lnx.cx adresinden alınmıştır.)
File slack ve RAM slack kavramlarını daha iyi anlamak için aşağıdaki çizime bakabiliriz. Aşağıda dört sektörden oluşan bir cluster yer almaktadır. Bu clustera yazılan dosyanın boyutu ancak iki sektörün tamamını ve üçüncü sektörün bir kısmını doldurabilmektedir. Üçüncü sektörün sektör sonuna kadar olan kısmı RAM slack, dördüncü sektörün tamamı (clusterın bittiği yere kadar olan kısım) ise File slack olarak adlandırılır.
Eğer ilgili cluster daha önceden kullanılmışsa ve önceden bu clusterda yer alan dosyanın boyutu mevcut dosya boyutundan büyükse bu durumda eski dosyaya ait kalıntılara slack space üzerinde rastlamak mümkündür. Slack spacelerde dosya sisteminden bağımsız şekilde veri saklamak mümkündür.
Aşağıdaki ekran görüntüsünde ise Windows işletim sisteminde oluşturulun örnek bir dosyanın özellikleri gösterilmektedir.
Bu ekranda yer alan iki alan bizim için önemlidir. Bunlar;
Size: Dosyanın gerçek boyutunu gösterir.
Size on disk: Dosyanın disk üzerinde ne kadar yer kapladığını gösterir.
Bu iki değer arasındaki fark bu dosya için ne kadarlık bir artık alan olduğunu söyler bize. Aşağıdaki ekran görüntüsünde ise File slack ve RAM slackin EnCase 7 uygulaması ile nasıl göründüğü gösterilmiştir.
Yukarıdaki şekilden de görülebileceği üzere File slack alanlarında geçmiş dosyalara ait kalıntılar yer alabilmektedir. Bu durum bir adli bilişim incelemesinde karşımıza çıkan ve bir dosyanın silinmiş olması hatta üzerine yeni bir dosyanın yazılmış olması durumlarında bile eski dosyaya ait verilerin bir kısmının kurtarılabilmesine imkan tanımaktadır.
Dosyayı yazarken dosyanın boyutu sektörün tamamını dolduramaya yetmezse bu durumda işletim sistemi Null ile sektörün geri kalanını doldurur. Eski işletim sistemlerinde Null yerine hafızadan alınan rastgele veriler koyulurdu. Bu durum RAM Slack olarak adlandırılan alanın oluşmasına sebep olurdu.
Disk mimarisine ilişkin sector, block, track vb kavramları daha iyi anlamak için aşağıdaki görsel kullanılabilir. (Görsel lnx.cx adresinden alınmıştır.)
File slack ve RAM slack kavramlarını daha iyi anlamak için aşağıdaki çizime bakabiliriz. Aşağıda dört sektörden oluşan bir cluster yer almaktadır. Bu clustera yazılan dosyanın boyutu ancak iki sektörün tamamını ve üçüncü sektörün bir kısmını doldurabilmektedir. Üçüncü sektörün sektör sonuna kadar olan kısmı RAM slack, dördüncü sektörün tamamı (clusterın bittiği yere kadar olan kısım) ise File slack olarak adlandırılır.
Eğer ilgili cluster daha önceden kullanılmışsa ve önceden bu clusterda yer alan dosyanın boyutu mevcut dosya boyutundan büyükse bu durumda eski dosyaya ait kalıntılara slack space üzerinde rastlamak mümkündür. Slack spacelerde dosya sisteminden bağımsız şekilde veri saklamak mümkündür.
Aşağıdaki ekran görüntüsünde ise Windows işletim sisteminde oluşturulun örnek bir dosyanın özellikleri gösterilmektedir.
Bu ekranda yer alan iki alan bizim için önemlidir. Bunlar;
Size: Dosyanın gerçek boyutunu gösterir.
Size on disk: Dosyanın disk üzerinde ne kadar yer kapladığını gösterir.
Bu iki değer arasındaki fark bu dosya için ne kadarlık bir artık alan olduğunu söyler bize. Aşağıdaki ekran görüntüsünde ise File slack ve RAM slackin EnCase 7 uygulaması ile nasıl göründüğü gösterilmiştir.
Yukarıdaki şekilden de görülebileceği üzere File slack alanlarında geçmiş dosyalara ait kalıntılar yer alabilmektedir. Bu durum bir adli bilişim incelemesinde karşımıza çıkan ve bir dosyanın silinmiş olması hatta üzerine yeni bir dosyanın yazılmış olması durumlarında bile eski dosyaya ait verilerin bir kısmının kurtarılabilmesine imkan tanımaktadır.
