Quanto è probabile trovare informazioni preziose nello spazio allentato di una workstation?

Questo non ha una risposta definitiva.

Dipende da cosa viene usata la workstation, quali informazioni sono immagazzinate nello spazio vuoto, quanti dati sovrascrivono informazioni preziose prima di raggiungerli, e anche ciò che consideri informazioni preziose.

Durante l'analisi forense, leggi e analizzi sempre l'intero filesystem, perché a volte avrai dati utili, ma hai solo una possibilità di trovare dati recenti su un HDD.

Su un SSD, come commentato @NeilSmithline, le cose sono un po 'diverse, poiché le scritture non sono nella stessa posizione - la sovrascrittura non avviene nello stesso modo: le mosse di bilanciamento dell'usura scrivono aree nello spazio indirizzabile sul SSD, quindi l'analisi forense può generare dati molto più consistenti. A tempo debito, perderai comunque i dati di interesse, quindi il tempo è sempre considerato essenziale.

L'analisi e la ricerca di spazi vuoti sono sicuramente parte delle best practice forensi, ma è un'analisi disordinata. Durante l'analisi forense ci sono molti fattori su ciò che sarà localizzato nel tipo di SO dello spazio allentato, nell'uso della workstation e nel tempo. Ammettiamo che la scientifica richiede molta fortuna e creatività, ma dare un'occhiata al gioco è importante in quanto potrebbe essere l'ultimo posto di prova rimanente sul disco. Se stai cercando un file della macchina virtuale cancellato 3 mesi dopo che è stato cancellato potresti essere sfortunato che il computer abbia probabilmente riutilizzato quello spazio ma trovare il frammento di uno snapshot vm o dei file di informazioni di sistema può fornire le informazioni che ti servono. Poiché i dati non si trovano più in una struttura di file e le prove potrebbero facilmente cancellarne la frustrazione, ma non dovrebbero essere ignorati se stai facendo analisi forense delle immagini.