RAM slack. "Computer Forensik" by Alexander Geschonneck

1. File slack may, for example, contain fragments from main memory. This can happen since DOS and some Windows systems (e.g. with FAT) write using blocks of 512 bytes. If there isn't enough data left in the file to fill the last sector of that file, Windows will randomly add data from the memory buffer of the operating system to the rest of that sector. These randomly chosen data are also called RAM slack, since the data come directly from the system's RAM. Consequently, this RAM slack can contain fragments of information that may have originated since the last boot of the computer, for example, while editing a document or visiting a web page. In extreme cases, this can also be sensitive information which is only unencrypted while being processed in RAM, for example passwords. If the computer hasn't been shut down for several days, the data that can be found in the file slack can originate from different sessions, too.
2.  
3. Der File Slack kann beispielsweise Fragmente des Hauptspeichers enthalten. Dies kann vorkommen, da DOS und einige Windows-Systeme (z.B. bei FAT) in 512 Byte große Blöcke schreiben. Sind nicht mehr genug Daten in der Datei enthalten, um den letzten Sektor dieser Datei vollends zu füllen, fügt Windows dem Rest dieses Sektors wahllos Daten aus dem Memory Buffer des Betriebssystems hinzu. Diese zufällig ausgewählten Daten werden auch als RAM Slack bezeichnet, da die Daten direkt aus dem RAM des Systems stammen. Dieser RAM Slack kann demzufolge Informationsfragmente enthalten, die seit dem letzten Boot des Computers entstanden sein können, z.B. während der Bearbeitung eines Dokuments oder des Besuchs einer Webseite. In Extremfällen können dies auch sensible Informationen sein, die nur während der Bearbeitung im RAM unverschlüsselt vorliegen, z.B. Passwörter. Wenn der Computer mehrere Tage nicht heruntergefahren wurde, können die Daten, die im File Slack gefunden werden, auch aus verschiedenen Arbeitssitzungen stammen.
4.