__          ___      .______        _______.
                                                       |  |        /   \     |   _  \      /       |
                                                       |  |       /  ^  \    |  |_)  |    |   (----`
                                                       |  |      /  /_\  \   |   _  <      \   \    
                                                       |  `----./  _____  \  |  |_)  | .----)   |   
                                                       |_______/__/     \__\ |______/  |_______/    

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ www.octanelabs.net
                             In God We Trust. All Others, We Investigate

Blitz

O que são Slack Files?
São nada mais, nada menos, que espaços subaproveitados um ou mais blocos de um sistema de arquivos.

Setores
Um Setor é a menor divisão física de um disco e na maioria das vezes possui 512 Bytes.

Cluster
Um cluster, também chamado de bloco, é a menor parte reconhecida por um sistema de arquivos e pode ser formado por vários setores. É a menor unidade endereçável de um sistema de arquivos.

Os sistemas de arquivos normalmente armazenam as informações usando para isto blocos de dados com tamanhos que ficam, geralmente, entre 1kb, 2kb e 4kb. Como sabemos, os arquivos podem ter os mais variados tamanhos e raramente o tamanho de um arquivo é múltiplo do tamanho do bloco.

Por exemplo, Se quiséssemos gravar um arquivo de arquivo de 15 Kb, usaríamos a seguinte distribuição:
4k + 4k + 4k + 3k

Teremos 1k sobrando no ultimo bloco porque não conseguiremos endereçar esse "pedaço" para ninguém, e então ele fica vago. Isso é chamado de Slack File e é bastante observado em Computação Forense.

Uma pessoa maliciosa poderia esconder pedaços de informações importantes nesses espaços que restam, fazendo com que elas acabem passando despercebidas aos Peritos que não conhecem esta técnica. Por exemplo, um pedófilo poderia esconder fragmentos de fotos e vídeos nesses slack files ou ainda vírus e trojans poderiam esconder pedaços de seus códigos nesses slack files.

Sobre o Projeto Blitz
O Projeto Blitz se propõe a pesquisar em arquivos, estruturas dos sistemas de arquivos e em estruturas do sistema operacional de diversos sistemas operacionais, de forma a alertar o perito para possíveis inserções de dados nos slack spaces.

Página do projeto: https://sourceforge.net/projects/blitz-proj/

Veja outros projetos do Octane Labs