1

我现在明白了。文件松弛可以分解为 RAM 松弛和驱动器松弛。

并且由于文件保存在扇区或簇中后,所有数据很少能 100% 到达扇区末尾,因此操作系统会在该文件之后立即写入 RAM 数据,并将已删除的文件或数据放入以下空间(扇区)(驱动松弛)。


我正在尝试了解有关计算机取证主题的 RAM 松弛和文件松弛。

所以我知道RAM slack就像逻辑文件末尾和那个扇区末尾之间的剩余部分。

如果文件大小小于一个扇区大小,那么 File slack 会是多少?

假设每个扇区有 512 个字节。

该文件(稍后将调用此原始文件)为 400 字节,而我得到了 112 字节的 slack(是 RAM slack 还是 File slack?)。

如果我删除了原始文件,似乎操作系统并没有真正删除该文件,而是使原来占用的原始扇区原始文件可用于重新分配,并且操作系统将向该扇区添加新文件,这可能(或必须?)小于原始文件(好的,200字节),并将分配给原始扇区,并具有112字节的额外松弛空间。

因此,512bytes = 200bytes 新文件 + 200bytes 新 slack + 112bytes 原始 RAM slack

4

0 回答 0