未分配空間,是指計算機系統內有大量的未分配空間,其多數保存有各種各樣的數據.這些數據很多時候不是人為隱藏的而是被作業系統"遺棄"的數據.
基本介紹
- 中文名:未分配空間
- 外文名:unallocated space; unallocated
未分配空間
計算機系統內有大量的未分配空間,其多數保存有各種各樣的數據.這些數據很多時候不是人
為隱藏的而是被作業系統"遺棄"的數據.
(一)閒散空間是指檔案最後一個數據塊或簇中未使用的部分.只有檔案大小正好是數據塊
(FAT32的數據塊是4096個位元組)的整數倍時才沒有閒散空間.平均的看每個檔案占用的閒散空
間有0.5個數據塊大小.通過正常的檔案系統接口訪問不到這些閒散空間,因為作業系統本身不允
許訪問超過檔案末尾的地方.
(二)把檔案讀進記憶體時,閒散空間不會跟進來;把檔案寫到一個數據塊不一樣大的磁介質上,
所形成的檔案會有不同的閒散空間,而且可能包含有任何留在那種介質上的數據.無論是把檔案通
過郵件發給某人還是用FTP在網路上傳輸都不能把閒散空間裡的的數據帶走.所以取證時對硬碟
的拷貝並不能在檔案的級別上進行,而必須對硬碟里所有的東西進行完全的映象.
(三)未分配的簇指那些當前還沒有被任何檔案使用的塊.一個頻繁使用的系統中,所有的扇
區都可能被寫過多次,檔案也經常的改換位置.一個應用程式改變一個檔案並重寫它以後原先改變
的檔案會被刪除占用的所有數據塊會被回收而處於未分配狀態.這些簇中間保存保存原先檔案中的
所有數據,直到被重寫為止.系統中"自由空間"的比例越大,未分配檔案被改寫前保存在系統中
的時間就越長.
(四)未分配的數據簇可用幾種方式來進行檢查.最為簡便的方法是用一個取證工具包查看數
據.Unix系統下可以將整個分區看成一個單一的對象,利用16進制編輯器來搜尋和檢查整個分區
或硬碟.對一塊硬碟檢查時首先要了解它有幾個分區,每一個分區有多大.所有分區加起來的大小
是否等於整個硬碟大小.
計算機系統內有大量的未分配空間,其多數保存有各種各樣的數據.這些數據很多時候不是人
為隱藏的而是被作業系統"遺棄"的數據.
(一)閒散空間是指檔案最後一個數據塊或簇中未使用的部分.只有檔案大小正好是數據塊
(FAT32的數據塊是4096個位元組)的整數倍時才沒有閒散空間.平均的看每個檔案占用的閒散空
間有0.5個數據塊大小.通過正常的檔案系統接口訪問不到這些閒散空間,因為作業系統本身不允
許訪問超過檔案末尾的地方.
(二)把檔案讀進記憶體時,閒散空間不會跟進來;把檔案寫到一個數據塊不一樣大的磁介質上,
所形成的檔案會有不同的閒散空間,而且可能包含有任何留在那種介質上的數據.無論是把檔案通
過郵件發給某人還是用FTP在網路上傳輸都不能把閒散空間裡的的數據帶走.所以取證時對硬碟
的拷貝並不能在檔案的級別上進行,而必須對硬碟里所有的東西進行完全的映象.
(三)未分配的簇指那些當前還沒有被任何檔案使用的塊.一個頻繁使用的系統中,所有的扇
區都可能被寫過多次,檔案也經常的改換位置.一個應用程式改變一個檔案並重寫它以後原先改變
的檔案會被刪除占用的所有數據塊會被回收而處於未分配狀態.這些簇中間保存保存原先檔案中的
所有數據,直到被重寫為止.系統中"自由空間"的比例越大,未分配檔案被改寫前保存在系統中
的時間就越長.
(四)未分配的數據簇可用幾種方式來進行檢查.最為簡便的方法是用一個取證工具包查看數
據.Unix系統下可以將整個分區看成一個單一的對象,利用16進制編輯器來搜尋和檢查整個分區
或硬碟.對一塊硬碟檢查時首先要了解它有幾個分區,每一個分區有多大.所有分區加起來的大小
是否等於整個硬碟大小.