これも図がないと説明しにくい(笑)
Slack スペースや未割り当て領域、削除領域を個別に調べると大変なので、ひとつのファイルにまとめる機能を大抵のコンピュータ・フォレンジック ツールは持ってますよ〜ということで。
不正アクセス調査ガイド―rootkitの検出とTCTの使い方 をお持ちの方は、渡辺さんが TCT を例に「6.7.3 unrm と lazarus」P201 として解説されていますのでそちらも参照ということで。もちろんこの機能は TSK にもあります。
未割り当て領域などをひとつのファイルにまとめて、それに istrings をかけることで痕跡や手がかりとなる文字列が含まれていないかを確認していくことになります。
商用製品の場合には、スラックスペースだけを対象に検索とか、未割り当て領域を個別にファイルとして保存するなど、もう少し柔軟な制御が可能になっています。範囲を絞って取り出し、そこに istrings をかければ実行結果を確認することも容易になり、結果的に調査時間(コスト)の短縮に繋がります。