Slack Space - Gespeicherte RAM-Daten auf Festplatte RSS
zur Rubrik (Verschwörungen) 
Antworten 
Beobachten 
Suchen 
Infos
dabei seit 2008 Slack Space - Gespeicherte RAM-Daten auf Festplatte 13.04.2011 um 15:19
eigentlich gehört dieser Thread in eine andere Sparte aber ich wäre nicht ich wenn ich hier keine Verschwörung sehen würde!
Grob beschrieben:
Werden Daten auf die Festplatte geschrieben werden diese in Container/Cluster/Blocks unterteilt.
Ist ein Container nicht ganz voll geworden werden diese Container mit Daten aus dem Arbeitsspeicher gefüllt (zumindestens minimum bei NTFS) !!!
http://www.wikistc.org/wiki/Slack_space_data#Recovering_data_from_slack_space
Einfacher gesagt heisst dass nichts anderes als dass von fast allen Vorgängen am PC Bruchstücke
auf der Festplatte landen und somit NACHVOLLZIEHBAR dokumentiert werden.
http://www.fim.uni-linz.ac.at/diplomarbeiten/Masterarbeit%20Weisshaar.pdf
Dieser sogenannte Slack Space wird von Computer Forensikern dann mit speziellen Hex-Editoren ausgelesen und verwertet...
http://www.icf-iuk.de/48638/86801.html
Also: rein technisch ist fast alles nachweisbar und nachvollziehbar. Dieser Slack Space wird auch vom LKA/BKA ausgelesen wenn Rechner etwa nach Hausdurchsungen beschlagnahmt werden!
Ich war selbst überrascht als ich dass hörte denn ich bin relativ fit in diesem Segment und hatte davon noch nie was gehört...
Was sagt ihr dazu bzw. warum werden mit RAM-Daten Cluster aufgefüllt?
Will man all unsere Vorgänge nachweislich loggen?
meldeneigentlich gehört dieser Thread in eine andere Sparte aber ich wäre nicht ich wenn ich hier keine Verschwörung sehen würde!
Grob beschrieben:
Werden Daten auf die Festplatte geschrieben werden diese in Container/Cluster/Blocks unterteilt.
Ist ein Container nicht ganz voll geworden werden diese Container mit Daten aus dem Arbeitsspeicher gefüllt (zumindestens minimum bei NTFS) !!!
http://www.wikistc.org/wiki/Slack_space_data#Recovering_data_from_slack_space
Einfacher gesagt heisst dass nichts anderes als dass von fast allen Vorgängen am PC Bruchstücke
auf der Festplatte landen und somit NACHVOLLZIEHBAR dokumentiert werden.
http://www.fim.uni-linz.ac.at/diplomarbeiten/Masterarbeit%20Weisshaar.pdf
Dieser sogenannte Slack Space wird von Computer Forensikern dann mit speziellen Hex-Editoren ausgelesen und verwertet...
http://www.icf-iuk.de/48638/86801.html
Also: rein technisch ist fast alles nachweisbar und nachvollziehbar. Dieser Slack Space wird auch vom LKA/BKA ausgelesen wenn Rechner etwa nach Hausdurchsungen beschlagnahmt werden!
Ich war selbst überrascht als ich dass hörte denn ich bin relativ fit in diesem Segment und hatte davon noch nie was gehört...
Was sagt ihr dazu bzw. warum werden mit RAM-Daten Cluster aufgefüllt?
Will man all unsere Vorgänge nachweislich loggen?
Slack Space - Gespeicherte RAM-Daten auf Festplatte 13.04.2011 um 15:25
Quelle: http://www.datenkiller.com/index.php/de/presseartikel
melden
“Auch der Slack space, der ungenutzte Speicherplatz innerhalb eines Datenclusters, wird nicht von allen Löschprogrammen überschrieben. DOS und Windows Systeme arbeiten mit festgelegten Datenblocklängen. Wenn die tatsächliche Dateigröße kleiner ist als in so einem Cluster zur Verfügung steht, wird trotzdem das gesamte Cluster für die Datei reserviert und der zur Verfügung stehende Platz willkürlich und ohne direkten Einfluss des Anwenders mit Daten aus verschiedenen Bereichen des Systems aufgefüllt.Der Slack Space wird dann nicht überschrieben, wenn der Anwender mit einer Löschsoftware nur gezielt bestimmte Dateien löscht. Wenn die Software den gesamten Datenträger löschen soll, wird in der Regel auch der Slack Space überschrieben, da die Software dann jeden Sektor (in der Regel 512 Bytes) überschreibt. Wenn man eine Datei mit Löschsoftware löscht (z.B. 400 Bytes), dann werden oft nur die 400 Bytes gelöscht, jedoch nicht Daten, mit denen der Sektor vorher einmal beschrieben war. In computerforensischen Untersuchungen spielt der Slack space eine große Rolle, da man mit ihm womöglich sensible Daten extrahieren kann."
Quelle: http://www.datenkiller.com/index.php/de/presseartikel
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 08:59
hmm...rein technisch sollte dass jemanden interessieren :/
meldenhmm...rein technisch sollte dass jemanden interessieren :/
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 09:17
Daten, die auf die Platte geschrieben werden sollen, werden erst mal im RAM zwischengespeichert, damit zum einen Lesezugriffe auf diese Daten schneller gehen (bspw. ein Prozeß schreibt Daten in eine Datei, ein anderer wartet auf neue Daten in dieser Datei), zum anderen können später mehrere Blöcke in einem Rutsch geschrieben werden - werden z.B. zwei Dateien gleichzeitig geschrieben, müßte im schlimmsten Fall die Platte ständig neu positionieren, was länger dauert.
Ich könnte mir vorstellen, daß wenn ein ein Prozeß nicht gerade genau einen Block füllt, die alten Daten nicht komplett überschrieben werden, beim Schreiben auf die Platte aber ein kompletter Block inklusive alter Daten übertragen wird.
tschüssi
Zäld
meldenContragon schrieb:
Was sagt ihr dazu bzw. warum werden mit RAM-Daten Cluster aufgefüllt?
Daten, die auf die Platte geschrieben werden sollen, werden erst mal im RAM zwischengespeichert, damit zum einen Lesezugriffe auf diese Daten schneller gehen (bspw. ein Prozeß schreibt Daten in eine Datei, ein anderer wartet auf neue Daten in dieser Datei), zum anderen können später mehrere Blöcke in einem Rutsch geschrieben werden - werden z.B. zwei Dateien gleichzeitig geschrieben, müßte im schlimmsten Fall die Platte ständig neu positionieren, was länger dauert.
Ich könnte mir vorstellen, daß wenn ein ein Prozeß nicht gerade genau einen Block füllt, die alten Daten nicht komplett überschrieben werden, beim Schreiben auf die Platte aber ein kompletter Block inklusive alter Daten übertragen wird.
tschüssi
Zäld
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 09:21
@Zaeld
naja so wie ich das verstanden habe werden zum beispiel audiodaten auf die platte geschrieben und wenn hier ein cluster nicht voll wird wird er teilweise mit Ram daten gefüllt...also direktes befüllen der cluster mit ram daten während des schreibvorgangs...das ist ja das LUSTIGE ;)
melden@Zaeld
naja so wie ich das verstanden habe werden zum beispiel audiodaten auf die platte geschrieben und wenn hier ein cluster nicht voll wird wird er teilweise mit Ram daten gefüllt...also direktes befüllen der cluster mit ram daten während des schreibvorgangs...das ist ja das LUSTIGE ;)
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 09:36
Ein Grund mehr die Finger von geklauter Software, Musik und Games zu lassen. Ach ja und as mit den illegalen Pornos auch besser. Und wenn jemand zu dumm war das alles zu laden und zu benutzen und dann auch noch dabei erwischt wird, ist er selber Schuld. Also immer schön euer Säurefläschchen neben dem Monitor platzieren ;)
meldenEin Grund mehr die Finger von geklauter Software, Musik und Games zu lassen. Ach ja und as mit den illegalen Pornos auch besser. Und wenn jemand zu dumm war das alles zu laden und zu benutzen und dann auch noch dabei erwischt wird, ist er selber Schuld. Also immer schön euer Säurefläschchen neben dem Monitor platzieren ;)
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 09:39
@AcidU
...oder die Platte verschlüsseln :D
melden@AcidU
...oder die Platte verschlüsseln :D
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 09:45
@Contragon
Ich denke das das bei den Leuten vom BKA oder LKA nicht wirklich was hilft. Aber im ernst ich mache mir mehr Sorgen welche Software unerlaubt Daten sammelt und weiter gibt und ob jede Firewall das auch wirklich registriert. Habe meine mal auch höchste Alarmstufe gesetzt, aber da wurde jedes blöde Coookie gleich reklamiert, dass ich das wieder habe sein lassen. Aber ob jetzt wirklich nichts nach außen dringt zu unseren großen Brüdern, das weiß ohnehin nur der Geier.
melden@Contragon
Ich denke das das bei den Leuten vom BKA oder LKA nicht wirklich was hilft. Aber im ernst ich mache mir mehr Sorgen welche Software unerlaubt Daten sammelt und weiter gibt und ob jede Firewall das auch wirklich registriert. Habe meine mal auch höchste Alarmstufe gesetzt, aber da wurde jedes blöde Coookie gleich reklamiert, dass ich das wieder habe sein lassen. Aber ob jetzt wirklich nichts nach außen dringt zu unseren großen Brüdern, das weiß ohnehin nur der Geier.
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 09:46
Nein, erst kommt das Audioprogramm, spielt Musik ab und schreibt dazu die Samples z.B. in den Speicherbereich 10000 - 20000. Irgendwann wird das Audioprogramm beendet, aber in diesem Speicherbereich liegen immer noch die letzten Musikinformationen.
Jetzt kommt ein anderes Programm daher und möchte in eine Datei 500 Byte schreiben. Das Betriebssystem sieht "Oh, der Speicherbereich zwischen 10000 und 20000 ist ja unbenutzt" und puffert dort die 500 Byte zwischen.
Irgendwann werden die gepufferten Daten auf die Platte geschrieben. Wenn jetzt z.B. die Blockgröße 4096 Byte ist, dann schreibt das Betriebssystem den Bereich 10000 bis 14095 auf die Platte, der von 10500 bis 14095 eben noch aus den alten Musikdaten besteht.
tschüssi
Zäld
meldenContragon schrieb:
naja so wie ich das verstanden habe werden zum beispiel audiodaten auf die platte geschrieben und wenn hier ein cluster nicht voll wird wird er teilweise mit Ram daten gefüllt
Nein, erst kommt das Audioprogramm, spielt Musik ab und schreibt dazu die Samples z.B. in den Speicherbereich 10000 - 20000. Irgendwann wird das Audioprogramm beendet, aber in diesem Speicherbereich liegen immer noch die letzten Musikinformationen.
Jetzt kommt ein anderes Programm daher und möchte in eine Datei 500 Byte schreiben. Das Betriebssystem sieht "Oh, der Speicherbereich zwischen 10000 und 20000 ist ja unbenutzt" und puffert dort die 500 Byte zwischen.
Irgendwann werden die gepufferten Daten auf die Platte geschrieben. Wenn jetzt z.B. die Blockgröße 4096 Byte ist, dann schreibt das Betriebssystem den Bereich 10000 bis 14095 auf die Platte, der von 10500 bis 14095 eben noch aus den alten Musikdaten besteht.
tschüssi
Zäld
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 09:47
@Zaeld
naja und ändert dass was an der grundlegenden tatsache?
ich verweise auf meinen zweiten Beitrag...
...und hoffe dass wir nicht aneinander vorbeireden ;)
melden@Zaeld
naja und ändert dass was an der grundlegenden tatsache?
ich verweise auf meinen zweiten Beitrag...
...und hoffe dass wir nicht aneinander vorbeireden ;)
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 10:24
Daß nicht gezielt Daten aus dem RAM zum Auffüllen von Sektoren auf der Platte verwendet werden, im Sinne von "der Sektor ist noch nicht voll, wo nehme ich Daten dafür her".
Ein zu schreibender Sektor/Cluster ist Teil des RAMs und ist immer voll, zu Beginn besteht er komplett aus den alten Daten, die zufälligerweise genau an dem Ort liegen, wo man jetzt den Sektor hindefiniert.
tschüssi
Zäld
meldenContragon schrieb:
naja und ändert dass was an der grundlegenden tatsache?
Daß nicht gezielt Daten aus dem RAM zum Auffüllen von Sektoren auf der Platte verwendet werden, im Sinne von "der Sektor ist noch nicht voll, wo nehme ich Daten dafür her".
Ein zu schreibender Sektor/Cluster ist Teil des RAMs und ist immer voll, zu Beginn besteht er komplett aus den alten Daten, die zufälligerweise genau an dem Ort liegen, wo man jetzt den Sektor hindefiniert.
tschüssi
Zäld
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 10:58
perfect. merci. jetzt hab ich dass verstanden...also die ramdaten sind quasi zuerst da und werden von den "nutzdaten" einfach überschrieben...?
dabei bleiben also immer rest-alt-ram-daten über?
meldenzaeld schrieb:
Ein zu schreibender Sektor/Cluster ist Teil des RAMs und ist immer voll, zu Beginn besteht er komplett aus den alten Daten, die zufälligerweise genau an dem Ort liegen, wo man jetzt den Sektor hindefiniert.
perfect. merci. jetzt hab ich dass verstanden...also die ramdaten sind quasi zuerst da und werden von den "nutzdaten" einfach überschrieben...?
dabei bleiben also immer rest-alt-ram-daten über?
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 11:34
Genau.
So ziemlich jedes Programm wird den Speicher, den es benutzt hat, einfach in dem letzten Zustand zurücklassen. Und das können eben auch noch verwertbare Daten sein. Das ist in der Regel aber kein Problem, denn das Betriebssystem sorgt dafür, daß niemand anderes im laufenden Betrieb auf diese Daten Zugriff hat.
Bei der forensischen Analyse läuft das Betriebssystem aber gerade nicht mehr und kann dementsprechend das Auslesen der Daten nicht verhindern. Beim RAM ist das kein Problem, denn da geht der Inhalt ja schnell verloren, blöd ist es wie in diesem Fall, wenn Teile der Daten auf die Platte mitkopiert wurden.
tschüssi
Zäld
meldenContragon schrieb:
also die ramdaten sind quasi zuerst da und werden von den "nutzdaten" einfach überschrieben...?
Genau.
Contragon schrieb:
dabei bleiben also immer rest-alt-ram-daten über?
So ziemlich jedes Programm wird den Speicher, den es benutzt hat, einfach in dem letzten Zustand zurücklassen. Und das können eben auch noch verwertbare Daten sein. Das ist in der Regel aber kein Problem, denn das Betriebssystem sorgt dafür, daß niemand anderes im laufenden Betrieb auf diese Daten Zugriff hat.
Bei der forensischen Analyse läuft das Betriebssystem aber gerade nicht mehr und kann dementsprechend das Auslesen der Daten nicht verhindern. Beim RAM ist das kein Problem, denn da geht der Inhalt ja schnell verloren, blöd ist es wie in diesem Fall, wenn Teile der Daten auf die Platte mitkopiert wurden.
tschüssi
Zäld
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 11:43
@Zaeld
außer die jungs bringen flüssigen stickstoff mit... ;) :D
melden@Zaeld
zaeld schrieb:
Beim RAM ist das kein Problem, denn da geht der Inhalt ja schnell verloren
außer die jungs bringen flüssigen stickstoff mit... ;) :D
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 11:54
Da gibt's dann noch die andere Variante, den Rechner einfach zu resetten und ein alternatives Betriebssystem zu starten...
Wenn der Rechner aber schon aus ist, bringt natürlich auch Stickstoff nichts mehr.
tschüssi
Zäld
meldenContragon schrieb:
außer die jungs bringen flüssigen stickstoff mit...
Da gibt's dann noch die andere Variante, den Rechner einfach zu resetten und ein alternatives Betriebssystem zu starten...
Wenn der Rechner aber schon aus ist, bringt natürlich auch Stickstoff nichts mehr.
tschüssi
Zäld
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 12:34
@Zaeld
muss der dann komplett vom strom damit der RAM entleert wird oder reicht der Soft-Off-Mode?
melden@Zaeld
zaeld schrieb:
Wenn der Rechner aber schon aus ist
muss der dann komplett vom strom damit der RAM entleert wird oder reicht der Soft-Off-Mode?
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 12:45
@AcidU
wenn du klarheit über den datenverkehr deines netzwerkes haben möchtest kann ich dir nur Wireshark bzw. NetMon empfehlen. Hier kannst du die pakete bis ins letzte detail aufknibbeln und weisst genau was läuft!
...und wenn du es richtig hart haben willst kauf die ne hardwarefirewall bzw. definiere die ports im router.
aber sicher hilft ihnen das! slack space ist eine der wichtigsten quelle für sie...
melden@AcidU
AcidU schrieb:
Aber im ernst ich mache mir mehr Sorgen welche Software unerlaubt Daten sammelt und weiter gibt und ob jede Firewall das auch wirklich registriert.
wenn du klarheit über den datenverkehr deines netzwerkes haben möchtest kann ich dir nur Wireshark bzw. NetMon empfehlen. Hier kannst du die pakete bis ins letzte detail aufknibbeln und weisst genau was läuft!
...und wenn du es richtig hart haben willst kauf die ne hardwarefirewall bzw. definiere die ports im router.
AcidU schrieb:
Ich denke das das bei den Leuten vom BKA oder LKA nicht wirklich was hilft.
aber sicher hilft ihnen das! slack space ist eine der wichtigsten quelle für sie...
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 12:48
CC Cleaner --> freien Speicher sicher löschen!
Und das Problem ist gelöst! Oder nicht?
meldenCC Cleaner --> freien Speicher sicher löschen!
Und das Problem ist gelöst! Oder nicht?
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 13:48
Ich weiß nicht genau, was Soft-Off bedeutet, aber wenn das der ganz normal heruntergefahrene Rechner ist, der aber noch am Netz hängt, würde ich ohne Gewähr sagen, daß da das RAM abgeschaltet ist.
Bei Suspend-to-RAM ist glaube ich das RAM als einziges noch aktiv (also das RAM sicher, bei weiteren Komponenten weiß ich's nicht).
tschüssi
Zäld
meldenContragon schrieb:
muss der dann komplett vom strom damit der RAM entleert wird oder reicht der Soft-Off-Mode?
Ich weiß nicht genau, was Soft-Off bedeutet, aber wenn das der ganz normal heruntergefahrene Rechner ist, der aber noch am Netz hängt, würde ich ohne Gewähr sagen, daß da das RAM abgeschaltet ist.
Bei Suspend-to-RAM ist glaube ich das RAM als einziges noch aktiv (also das RAM sicher, bei weiteren Komponenten weiß ich's nicht).
tschüssi
Zäld
Slack Space - Gespeicherte RAM-Daten auf Festplatte 14.04.2011 um 13:52
wahrscheinlich je nach mainboard...sonst wäre WoL nicht möglich...
meldenzaeld schrieb:
aber wenn das der ganz normal heruntergefahrene Rechner ist, der aber noch am Netz hängt, würde ich ohne Gewähr sagen, daß da das RAM abgeschaltet ist.
wahrscheinlich je nach mainboard...sonst wäre WoL nicht möglich...
