Digital Forensics: Size vs Size on Disk

Digital Forensics: Size vs Size on Disk

วันนี้จะมาพูดเกี่ยวกับความต่างระหว่าง Size และ Size on Disk คืออะไร ? ต่างกันอย่างไร ?

What is Size?

Size หมายถึงขนาดที่แท้จริงของไฟล์ที่กำหนด ขนาดไฟล์จะวัดปริมาณข้อมูลที่จัดเก็บไว้ในไฟล์นั้น ๆ เมื่อเราคลิกที่ไอคอนคุณสมบัติไฟล์ จะแสดงผลลัพธ์สองประการ 

   1. Size  ขนาดจริงของไฟล์

   2. Size on Disk  ขนาดของไฟล์บนดิสก์

ขนาดจริงของไฟล์แสดงเป็นไบต์ มันหมายถึงจำนวนไบต์ที่แท้จริงของไฟล์ใดๆ ที่ระบุ ค่านี้มักจะน้อยกว่าขนาดของไฟล์เดียวกันบนดิสก์มาก

การขยายจำนวนไบต์เกิดขึ้นเนื่องจากการจัดเก็บไฟล์ในกลุ่มบนฮาร์ดไดรฟ์ ขนาดของไฟล์มักจะถูกปัดเศษขึ้นและรวมถึงพื้นที่ดิสก์ที่ไม่ได้ใช้ด้วย สิ่งนี้นำไปสู่การบวมของจำนวนไบต์บนฮาร์ดไดรฟ์สำหรับไฟล์เดียวกัน

What is Size on Disk?

ขนาดบนดิสก์หมายถึงขนาดของไฟล์ที่กำหนดเมื่อจัดเก็บไว้ในฮาร์ดไดรฟ์ ฮาร์ดไดรฟ์ใช้คลัสเตอร์เพื่อจัดเก็บไฟล์ การวัดพื้นที่ที่จัดสรรคลัสเตอร์ของไฟล์บนฮาร์ดไดรฟ์นี้เรียกว่าขนาดบนดิสก์ กล่าวอีกนัยหนึ่ง ขนาดของไฟล์บนดิสก์(Size on Disk)จะใหญ่กว่าขนาดของไฟล์

การบันทึกเก็บไฟล์ของเราจึงเป็นการบันทึกลงพื้นที่ Allocate unit หลายๆหน่วย ลงไปหรือหน่วยการจัดเก็บไฟล์บน Cluster นั้น ๆ ที่มีต่างกัน ดังนั้น Size on disk จึงเป็นการบอกว่าเราใช้พื้นที่เก็บลงไป Allocate unit เป็นจำนวนเท่าไร คูณด้วย ขนาดของ Allocate unit   ใน Cluster 

ซึ่งเราสามารถกำหนดขนาดของ Allocate unit size ได้โดยการ Format ขนาดของ Allocate unit size 

ใน Harddisk เมื่อเราต้องการใช้งานเก็บข้อมูลเราจะทำการ Format  ระบบจะจัดสรรพื้นที่ เตรียมสร้างคลัสเตอร์ ไว้เก็บข้อมูล โดยขนาด คลัสเตอร์จะขึ้นอยู่กับระบบไฟล์

ตัวอย่างนี้ มี  Cluster ที่ถูกสร้างมีค่าตั้งต้นในระบบไฟล์ NTFS  จะแบ่งพื้นที่ Allocate unit size ขนาด 4096 ไบต์  (4 KB) 

ในCluster แรกบริเวณสีแดงเมื่อเราสร้างไฟล์ขนาด 2 KB  เท่ากับเราใช้พื้นที่ 2 KB ในคลัสเตอร์นี้แล้ว

ในCluster แรกบริเวณสีฟ้าในไฟล์นี้ยังมีพื้นที่เหลือขนาด 2 KB  เรามักเรียกว่า Slack space  จะเห็นได้ว่าไฟล์นี้ใช้พื้นที่ทั้งหมดไป 4 KB

• Slack space : เป็นพื้นที่ในส่วนที่เหลือจากการใช้งาน เช่นมี Cluster มีขนาด 4096  bytes แต่ไฟล์มีขนาดเพียง 2096 bytes ก็จะเหลือพื้นที่ที่เป็น Slack space ขนาด 2000 bytes ซึ่งหากพื้นที่ในส่วน Slack space เคยถูกใช้งานในการเก็บข้อมูลก่อนหน้านี้แล้วอาจทำให้มีข้อมูลเก่าเหลืออยู่บนพื้นที่นี้ได้

ในตัวอย่างนี้ขนาดไฟล์ (size = 13.2 KB)

จากไฟล์นี้ขนาดไฟล์ (Size = 13.2 KB) จำเป็นต้องใช้ถึง 4  คลัสเตอร์ รวมเป็น (16 KB Size on disk )

ดังนั้น Size on disk จะนับขนาดไฟล์ตามจำนวน Allocate unitที่ใช้พื้นที่ใน Hard disk 

Comparison	Size	Size on Disk
คำจำกัดความ	ขนาดไฟล์หมายถึงขนาดที่แท้จริงของไฟล์	ขนาดบนดิสก์หมายถึงขนาดของไฟล์เมื่อจัดเก็บไว้ในฮาร์ดดิสก์
ขนาด	ขนาดของไฟล์มักจะเล็กกว่าขนาดบนดิสก์	ขนาดบนดิสก์มักจะใหญ่กว่าขนาดของไฟล์
เปลืองเนื้อที่	ขนาดไฟล์จริงไม่เปลืองเนื้อที่	ขนาดบนดิสก์ทำให้เปลืองพื้นที่คลัสเตอร์

Video:SANS Digital Forensics and Incident Response

Video : Windows File System | Windows Forensics Tutorial | eForensics Magazine

Size on disk กับ Size ต่างกันอย่างไร

เพิ่มเติม: 

Slack space : เป็นพื้นที่ในส่วนที่เหลือจากการใช้งาน เรามักพบไฟล์หรือข้อมูลเก่าที่เคยลบไปแล้ว และยังไม่ถูกเขียนทับอยู่ในส่วนนี้ด้วย

ที่มา:  

       difference-between-size-and-size-on-disK 

       why-is-there-a-big-difference-between-size-and-size-on-disk

      size-on-disk 

      file-system-forensics-analyze-disk-images-harddisk

#WINDOWSFORENSIC #COMPUTERFORENSICS #DFIR #FORENSICS #DIGITALFORENSICS #COMPUTERFORENSIC #INVESTIGATION #CYBERCRIME #FRAUD #หลักสูตรการพิสูจน์หลักฐานทางดิจิทัล

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง ADMIN เพื่อแก้ไขต่อไป
ขอบคุณครับ