文件 Slack 空间就是文件有效数据的结尾位置,到最后一个数据块的最末端位置之间的存储空间.Windows 文件系统使用固定大小的簇. 我们常见的簇的大小通常是 4KB、8KB、16KB、32KB、64KB、128KB.确定簇大小以后,所有文件的读写,都是按簇为单位进行统一分配. 比如说某个分区的簇大小为 32KB, 一个 15KB 的文件, 系统也会分配 32KB 的空间给它, 但在这 32KB 的空间里边, 真正被使用的只有 15KB,剩下的 17KB 是不能再分配给其他文件使用的. 这一部分的空间就是所谓的文件SLACK 空间。
slacker 命令行下的数据隐藏工具
在slack空间隐藏文件命令的语法:
------------------------------
slacker.exe -s <file> <path> <levels> <metadata>[password] [-dxi] [-n|-k|-f <xo
rfile>]
-s store a file in slack space
<file> file to be hidden
<path> root directory in which to search for slack space
<levels> depth of subdirectoriesto search for slack space
<metadata> file containing slackspace tracking information
[password] passphrase used to encryptthe metadata file
-dxi dumb, random, or intelligent slack space selection
-nkf none, random key, or file based data obfusaction
<xorfile> the file whose contents will be used as the xor key
在slack空间恢复文件命令的语法:
-----------------------------------
slacker.exe -r <metadata>[password] [-o outfile]
-r restore a file from slack space
<metadata> file containing slack space tracking information
[password] passphrase used to decrypt the metadata file
[-o outfile] output file, else original location is used, no clobber
实验:
1.需要被隐藏的文件信息
2.用作搜索slack空间的目录(预先随便放几幅图片在里面)
3.数据隐藏
4.数据恢复
5.恢复结果
‘