슬랙 공간 (Slack Space Area)

'슬랙 공간' 이라는 단어는 많이 들어봐서 익숙하긴 하지만 정확하게 의미를 모르는 경우가 많다.
한마리도 정의하자면, 논리 데이터와 물리적인 저장공간의 간극 이라고 볼 수 있다.

슬랙 공간은 총 4가지로 나뉘는데,
램 슬랙(RAM Slack), 드라이브 슬랙(Drive Slack), 볼륨 슬랙(Volume Slack), 파일시스템 슬랙(File System Slack) 으로 종류가 나뉜다.

RAM, Drive, File System, Volume Slack Space

 

- 램 슬랙 (RAM Slack)
메모리(RAM)에 저장된 데이터가 저장매체(디스크)에 기록될 때 발생되는 낭비 공간이다.
메모리에 있는 데이터가 저장될 때 512 byte 즉, 1섹터 단위로 저장되기 때문에.. 남는 공간은 0x00 으로 채워진다.
Windows 95 이전 운영체제에서는 남는 공간에 랜덤데이터를 채워넣었다고 한다.. 95쓰는 사람 없지?
그리고 섹터의 남는 공간이기 때문에 섹터 슬랙(Sector Slack) 이라고 칭하는 곳도 있다.
데이터가 기록된 가장 마지막 섹터의 남는 공간 .. 그래서 0x00으로 채워주어야만 한다. eof(end of file)를 구분하기 위해서 

- 드라이브 슬랙 (Drive Slack)
하나의 클러스터(512 byte * N) 단위에서 기록된 데이터와 램 슬랙 공간을 제외한 나머지 부분을 드라이브 슬랙이라고 일컫는다.
이 부분을 파일 슬랙(File Slack)이라고 칭하는 자료들도 많은데.. 일부 자료에서 
"파일 슬랙 = 램 슬랙 + 드라이브 슬랙  " 이라고 정의내린 것을 보고
나도 그냥 드라이브 슬랙으로 간다. (혹시 이 부분에 대해 이견있으시면 댓글로 피드백 좀 부탁드립니다~)
드라이브 슬랙의 특징은 '이 공간'에 아무짓도 하지 않는다. 램 슬랙은 0x00 으로 채워져 있는데, 드라이브 슬랙은 왜 가만 냅두는 것인가!?
이유는 2가지 정도로 정리 가능하다. 어차피 영향이 없으니까.. 그리고 초기화 시에 오버헤드가 걸리니까
드라이브 슬랙 공간을 가만히 냅둬도 실제 파일 데이터에 아무런 영향을 끼치지 않기 때문이다. (어차피 eof 식별은 RAM Slack으로 인해 가능하므로)
그리고 가만히 냅둬도 상관없는 공간에 굳이 무언가 데이터를 집어넣는다면.. 초기화 할 때 해당 공간에 또 읽기/쓰기 작업을 해야하므로 오버헤드가 생긴다.
단, 조심해야될 점은 드라이브 슬랙에 아무런 작업을 하지 않으니 이전 데이터가 남아 있을 수도 있고 고의로 악성코드를 기록할 수도 있다.

- 파일시스템 슬랙 (File System Slack)
맨 위 그림에서 보다시피, 하드디스크 볼륨 덩어리를 클러스터(Cluster) 단위로 나누게 돼있다.
파티션을 쪼개는 것과 별개로 데이터 입/출력을 위해 클러스터 단위로 쪼개어 파일시스템(File System)을 할당해야만 한다.
이 때, 파일시스템이 할당되고 남은 자리를 파일시스템 슬랙이라고 한다.
" 파일시스템의 크기 = Cluster 크기 * N " 이므로 2050KB 크기의 볼륨에서 4KB 클러스터를 사용하는 파일시스템을 생성하면 파일시스템 슬랙은 2KB가 된다.
최근에는 악성코드를 이 파일시스템 슬랙 공간에 숨겨두는 케이스가 많이 있다고 한다.

- 볼륨 슬랙 (Volume Slack)
볼륨 슬랙은 하드디스크 볼륨 덩어리의 파티션을 나누고 남는 공간이다.
다른 슬랙 공간과 다른 점이 있다면, 파티션을 할당할 때 사용자 마음대로 크기 할당이 가능하므로.. 볼륨 슬랙 공간을 임의로 변경할 수 있겠지요.


참고 URL
http://forensic-proof.com/archives/363
http://forensic.korea.ac.kr/DFWIKI/index.php/Slack
http://blog.naver.com/PostView.nhn?blogId=heejery&logNo=60189770400&parentCategoryNo=&categoryNo=25&viewDate=&isShowPopularPosts=false&from=postView

참고 도서
<START UP 디스크 포렌식> 저자 이별