Liebe Leser, von Zeit zu Zeit erreichen mich Fragen zu einzelnen Kapiteln des Buches. Die Fragen reichen von Verständnisproblemen grundsätzlicher Dinge bis hin zu Themen, wo es bei Formulierung und Herleitung wohl etwas Optimierungsbedarf gibt. Da die Beantwortung der Fragen sicherlich für mehr Leser von Interesse sein wird, werde ich hier einige Fragen anonym veröffentlichen und diese dann hier auch beantworten. Also los geht’s mit der ersten Zuschrift:
Frage:
Kapitel 5.2 – Analyse des File-Slacks (S. 106)
Warum gibt es im MFT-Slack keinen File-Slack? Sie schreiben folgendes “ (…) Wenn die Daten allerdings kleiner als die 1.024 Byte eines Record sind, kann der überschüssige Bereich Fragmente von alten Dateien enthalten. (…)“ Wenn an dieser Stelle eine neue Datei gespeichert wird, stellt dies doch ebenfalls File- respektive Drive-Slack dar?
Antwort:
Die MFT ist keine Datei im klassischen Sinne, wie wir sie von einem NTFS her kennen. Die MFT ist eine Art Datenbank und ist mit Bordmitteln nicht sichtbar, erst die Analyse mit Spezialwerkzeugen oder einem Hex-Editor fördert die Inhalte von $MFT zu Tage. Bei der Veränderung der MFT entsteht somit kein File-Slack, wie wir ihn von regulären Daten her kennen. Der MFT-Slack ist lediglich innerhalb der der einzelnen MFT-Records zu finden. Dieser Slack ist vollkommen unabhängig vom File- bzw. Drive-Slack.