X-Ways Forensics - X-Ways Software Technology AG
Contents
1. Ansicht Extras Specialist Option fenster mit Tag Kramer v Kramer Name Typ AT Gibe Y Erzeugung an 1 Sektor Ga 0 1020 239484 00 1 ipa ipg 2 1 KB 03 05 2004 A 101580 Verz baum E e Lost Partitions 350de005 ipa D 7 1 KB 03 05 2004 IH 101860 D Patti abostem 1 gif ait 138 8 03 05 2004 1A 176812 Verzeichnis Haa P _ alabama tills 8 4 ipg ipg 206 KB 03 05 2004 A 101884 _ Alberijpg ipg 114KB 03 05 2004 A 118524 Browser alex gsd 1 4 ipg i 131 KB 03 05 2004 A 102296 Andromeda 2 ipg ipg 83 9 KB 03 05 2004 118756 _ Angry catipeg ipeg 20 4 KB 03 05 2004 1A 313636 1 arrow_blue_5x9 1 gif gif 39B 03 05 2004 1A 176814 sl Modus a Documente end Volume Datei Vorschau Details Galerie Kalender Legende 2 Sme Schalter 23 Microsoft Works Offset 0 1 2 3 4 5 6 el wrre weie ef 21 frei 039DF800 FF D8 FF En 00 10 4A 46 a JF Dateisystem NTFS pe 039DF808 49 46 00 01 01 02 00 c IF U Bezeichnung NTFS Volume 039DF810 00 1C 00 00 FF DB 00 43 y0 c Offset Spalte II I men 1 039DF818 00 09 06 07 08 07 06 09 Schreibschutz Modus S rappen 08 07 08 OA OA 09 OB OD Hex Spalte reg ta se un 60 6 UD 15 14 ee Text Spalte Ss EE E IT f un Cluster Nr 23631 il EHER Windows 039DF838 1D 1F 1F 24 28 34 2C 24 4 SE Ba Ent2 Image 039DF840 26 31 27 1F 1F 2D 3D 2D amp 1 Baia FATS2 Image 039DF848 31 35 37 3A 3A 3A 23 2B 157 Datei U2. B gro geschrieben Verhindert die Suche auf Byte Ebene nach einer bestimmten Signatur um starke Geschwindigkeitseinbu en zu vermeiden c kleingeschrieben Wenn ber cksichtigt h ngt von Einstellungen in der Benutzeroberfl che ab werden Datei Header ignoriert wenn sie nicht an Cluster Grenzen ausgerichtet sind Dies kann f r bestimmte Dateitypen hilfreich sein um falsche Treffer zu reduzieren C gro geschrieben Kennzeichnet Dateityp Signaturen die nicht f r die Suche nach NTFS komprimierten Dateien ber cksichtigt werden sollen sofern der Effekt von NTFS Kompression ausgeglichen wird weil die Signaturen entweder zu schwach sind und zu viele falsche Treffer hervorrufen w rden oder weil die Dateien des betreffenden Typs sowieso nicht komprimiert gespeichert w rden u kleingeschrieben Erlaubt es Dateien nur in laut Dateisystem unbenutzten Clustern zu carven U gro geschrieben Erlaubt es Dateien nur in laut Dateisystem unbenutzten Clustern zu carven die au erdem zu keiner im Datei berblick befindlichen ehemals existierenden Datei geh ren f kleingeschrieben Indicates that the specified footer signature is used to find data that is not part of the file any more and should excluded Ordinary footers are included in the carved file Useful for file formats that do not have a well defined footer where the end of the file can be detected by the occurrence of data that does not belong to the file any more That co
3. Die M glichkeit beim Interpretieren von Daten mit einer Schablone die aktuelle Position frei zu bestimmen machen das Editieren mit Schablonen besonders flexibel e Dieselbe Variable kann in Form von unterschiedlichen Typen interpretiert und manipuliert werden e Irrelevante Datenbereiche k nnen bersprungen werden Der Schablonen Manager listet alle Textdateien im WinHex Verzeichnis die Schablonen Definitionen enthalten auf Er zeigt die Bezeichnung der Schablone eine Beschreibung den Dateinamen und den Zeitpunkt der letzten nderung an Klicken Sie auf den Anwenden Schalter um unter Verwendung der ausgew hlten Schablonen Definition eine Schablone zum Editieren der Daten im aktuellen Editorfenster an der aktuellen Position anzuzeigen Sie k nnen im Schablonen Manager auch neue Definitionen erstellen oder vorhandene Definitionen l schen oder mit dem Schablonen Editor bearbeiten WinHex ist werkseitig mit mehreren Beispiel Schablonen ausgestattet 8 Datenrettung 8 1 Datenrettung mit dem Verzeichnis Browser Gel schte Dateien und Verzeichnisse die im Verzeichnis Browser aufgelistet werden k nnen besonders einfach und selektiv ber das Kontextmen des Verzeichnis Browsers gerettet werden Sie navigieren zu einem Verzeichnis oder erkunden das Stammverzeichnis rekursiv w hlen die wiederherzustellenden Dateien aus und benutzen den Befehl Wiederherstellen Kopieren im Kontextmen Siehe Kapitel Verzeichnis Brow
4. e In Abh ngigkeit von der Dateigr e wird der kleinstm gliche Subtyp in der Ausgabe verwendet Intel Hex 20 Bit oder 32 Bit Motorola S S1 S2 oder S3 e Beim Konvertieren von Bin r nach Intel Hex oder Motorola S werden nur Speicherbereiche bersetzt die nicht mit hexadezimalen FFs gef llt sind um die Ergebnisdatei kompakt zu halten Der Befehl Konvertieren kann auch Rohdaten einer beliebigen Anzahl kompletter 16 Cluster Einheiten dekomprimieren die vom NTFS Dateisystem komprimiert wurden sowie mit forensischer Lizenz herauskopierte ganze hiberfil sys Dateien sowie einzelne xpress Bl cke daraus Also it allows to convert so called Nandroid backup files of the NAND flash memory of Android devices to regular raw images Er kann au erdem gepackten 7 Bit ASCII Code in lesbaren 8 Bit ASCII Text verwandeln was z B f r SMS in Mobiltelefonen n tzlich ist Verschl sselung Entschl sselung Als Schl ssel geben Sie eine Zeichenfolge aus 1 16 Zeichen ein Je mehr Zeichen Sie eingeben umso sicherer ist die Verschl sselung Der Schl ssel wird nicht direkt f r Ver und Entschl sselung benutzt sondern ist nur Datenmaterial f r einen Digest Er wird nicht auf der Festplatte gespeichert Fall die entsprechende Sicherheitsoption gew hlt ist wird er in verschl s selter Form im Arbeitsspeicher gehalten solange WinHex l uft Es wird empfohlen einen Schl ssel zu verwenden der aus mind 8 Zeichen besteht Der Schl ssel
5. in future versions of X Ways Forensics via the search hit context menu The X Tension API also llows the development and use of so called Disk I O X Tensions These are snap ins that sit between all analysis functionality and the user interface of X Ways Foren sics on the one hand and a disk image RAID partition volume from which sectors are read on the other hand They can for example deal with full disk encryption and decrypt the data in all sec tors read by X Ways Forensics on the fly when needed so that all relevant functions only get to see the decrypted data and can deal with it as if it was a normal disk volume The user may open a selected evidence object through such a Disk I O X Tension using a new command in the context menu of the Case Data window After selecting the intended X Tension DLL if the DLL signals that it can successfully deal with the data in that evidence object the case will remember which DLL that was chosen and automatically apply it next time when open ing the same evidence object Note that as always partitions count as evidence objects them selves That way full disk encryption can be tackled as well as volume level encryption You may distribute your XWF extension DLLs that you compile and or your source code free of charge or even for a fee under whatever license terms you see fit For more information please see http www x ways net forensics x tensions api html 137 7 4 WinHex API Die WinHex API
6. 199 Else Darf nach IfEqual und IfFound auftreten Setzen Sie Anweisungen die ausgef hrt werden sollen wenn nichts gefunden wurde oder wenn die verglichenen Objekte nicht gleich sind hinter die Else Anweisung EndIf Beendet die bedingte Befehlsausf hrung nach IfFound IfEqual IfGreater ExitLoop Beendet eine Schleife Eine Schleife wird von geschweiften Klammern definiert Der schlie enden Klammer kann direkt ein Integer Wert in eckigen Klammern folgen der die Anzahl der Rundendurchl ufe angibt Dies kann auch eine Variable oder das Schl sselwort unlimited in diesem Fall kann die Schleife nur durch die Anweisung ExitLoop verlassen werden sein Schleifen d rfen nicht verschachtelt werden Beispiel f r eine Schleife Write Schleife 10 schreibt das Wort Schleife zehn Mal Label ContinueHere Erzeugt ein Label mit dem Namen ContinueHere JumpTo ContinueHere Setzt die Ausf hrung des Skriptes mit der Anweisung die dem Label folgt fort NextObj Springt zyklisch zum n chsten ge ffneten Fenster und macht es zum aktiven Fenster Wenn beispielsweise drei Fenster offen sind und das Fenster Nr 3 aktiv ist macht NextObj Fenster Nr 1 zum neuen aktiven Fenster ForAllObjDo Der folgende Block von Skriptbefehlen bis EndDo auftritt wird auf alle offenen Dateien und Laufwerke angewandt CopyFile C A dat D B dat Kopiert den Inhalt von C A dat in die Datei D B dat MoveFile C A dat D B dat Verschie
7. Sie nicht zu dem Unterobjekt zu navigieren brauchen um herauszufinden um was f r ein Unterobjekt es sich handelt Zoneld 3 als Name der Berichtstabelle identifiziert Dateien die aus dem Internet heruntergeladen wurden Wenn beim Erstellen des Datei berblicks auf einer CD DVD Lesefehler auftreten wissen Sie da nicht alle Sektoren mit den Datenstrukturen des Dateisystems lesbar sind Das Anzeigen des ISO9660 Dateisystems auf CDs zus tzlich zu einem evtl ebenfalls vorhandenen Joliet Dateisystem kann n tzlich sein wenn der Joliet Teil besch digt ist weil Sie dann eine zweite Chance haben alle Verzeichnisse und Dateien aufgelistet zu bekommen n mlich dann wenn entsprechenden Datenstrukturen derselben Verzeichnisse im ISO9660 Bereich in lesbaren Sektoren liegen F r bessere Ergebnisse beim Abgleichem mit speziellen Hash Sets kann von geladenen Modulen bei der Hauptspeicher Analyse optional jeweils nur der invariante Header angezeigt werden Optional k nnen Dateien auf den logischen Laufwerken A bis Z aus dem Verzeichnis Browser heraus ber das Betriebssystem ge ffnet werden und nicht ber die eingebaute 157 Logik auf der Sektorebene Bitte beachten Sie da dies nur auf schreibgesch tzten Datentr gern forensisch einwandfrei ist Auf beschreibbaren Medien aktualisiert ndert verf lscht Microsoft Windows dabei u U den Zeitstempel des letzten Zugriffs bei Dateien die Sie ffnen Der Vorteil dagegen ist da
8. e wenn ein kleines Fortschrittsfenster angezeigt wird dessen Titel wie etwa Durchsuche Sektoren und ob der Vorgang vollendet oder vorzeitig abgebrochen wurden mit vorangestelltem Schl sselwort Operation e ein Bildschirmfoto eines jeden angezeigten Dialogfensters mit allen gew hlten Optionen f r einen ggf folgenden komplexen Vorgang vorangehend der Titel dieses Fensters e das ausf hrliche Protokoll das von Datentr ger klonen und Dateien retten nach Typ erzeugt wird e Ihre eigenen Eintr ge freier Text die Sie mit dem Men befehl Protokolleintrag hinzuf gen k nnen entweder zu dem Fall als ganzes oder zu einem speziellen Asservat Der Ausgabepfad einer jeden mit dem Verzeichnis Browser Kontextmen kopierten wiederherstellten Datei zusammen mit ausgew hlten Metadaten wie Originalname Originalpfad Gr e Zeitstempel wird in einer separaten Datei names copylog html oder copylog txt im Unterverzeichnis log mitprotokolliert Alle Aktivit ten werden mit Datum und exakter Uhrzeit erfa t intern im Datenformat FILETIME mit einer Genauigkeit von 100 Nanosekunden Aufzeichnungen von Aktivit ten werden standardm ig mit dem Fall als Ganzes verkn pft Aktivit ten die sich auf ein Asservat beziehen werden jedoch unterhalb des jeweiligen Asservats aufgezeichnet Dies bestimmt wo im Bericht die protokollierten Aktivit ten aufgef hrt werden Bildschirmfotos werden als PNG Dateien
9. ffnen in WinHex normalerweise nicht formatiert zu sein Gew hnlich ist es vorteilhafter ein logisches Laufwerk statt eines physischen Datentr gers zu ffnen weil dann mehr Features zur Verf gung stehen Beispielsweise sind Cluster vom Dateisystem definiert die Zuordnung von Clustern zu Dateien und umgekehrt ist WinHex bekannt freier Speicher und Schlupfspeicher haben eine Bedeutung Wenn Sie Sektoren editieren m chten die au erhalb eines logischen Laufwerks liegen etwa der Master Boot Record wenn Sie etwas auf allen Partitionen einer Festplatte auf einmal suchen m chten oder wenn eine Partition besch digt oder mit einem Windows unbekannten Dateisystem formatiert ist so da Windows sie nicht als Laufwerksbuchstaben zug nglich macht empfiehlt es sich den physischen Datentr ger zu ffnen Von dem Fenster aus das einen physischen Datentr ger repr sentiert k nnen Sie auch etwaige definierte Partitionen einzeln ffnen die i d R im Verzeichnis Browser in diesem Fenster aufgelistet werden durch Doppelklick WinHex versteht konventionelle MBR Partitionierung GPT GUID Partition Type Apple Partitionierung Super floppy Format Windows dynamische Platten die vom LDM Logical Disk Manager verwaltet werden MBR und GPT und LVM2 MBR und GPT und PC kompatible BSD Disklabel Alle Typen dynamischer Volumes werden unterst tzt simple spanned striped und RAID 5 Das Gedr ckthalten der Strg Taste beim ffne
10. ing item from the top again for example d for docx If you are looking for docx files but find a large group of doc files then you need to type all four characters of docx because only the x distinguishes docx from doc 3 3 2 Virtuelle Objekte Wenn verwaiste Objekte gefunden werden also z B gel schte Dateien deren urspr nglicher Pfad nicht bekannt ist werden sie in einem speziellen virtuellen Verzeichnis namens Pfad unbekannt angezeigt Mit einer Specialist oder forensischen Lizenz sehen Sie im Stammverzeichnis virtuelle Dateien die es Ihnen erlauben besondere Bereiche in Dateisystemen einzusehen Dateisystembereiche Reservierte Sektoren und oder Cluster die vom Dateisystem selbst f r interne Zwecke in Beschlag genommen wurden Freier Speicher Cluster die vom Dateisystem nicht als in Gebrauch markiert sind H ngt von den Optionen des Datei berblicks ab Brachliegender Speicher Bereiche in einem Volume von denen WinHex nicht wei wof r sie verwendet werden insbesondere Cluster die vom Dateisystem als in Gebrauch markiert sind deren exakte Zuordnung von X Ways Forensics aber nicht festgestellt werden konnte Das kann der Fall sein weil das Dateisystem diese Cluster aus den Augen verloren also vergessen hat da sie in Wirklichkeit wiederverwendbar w ren bei FAT auch verlorene Clusterketten genannt Normalerweise gibt es keinen brachliegenden Speicher Die Gr e des brachlie
11. 6 1 Allgemeines Ein Datei berblick ist eine Datenbank vom Inhalt eines Volumes oder physischen Datentr gers Dateien Verzeichnisse zu einem bestimmten Zeitpunkt Der Verzeichnisbaum und der Verzeichnis Browser erlauben Einblicke in diese Datenbank Basierend auf den 113 zugrundeliegenden Dateisystem Datenstrukturen besteht ein Datei berblick aus einem Datensatz pro Datei und Verzeichnis und speichert praktisch alle Metadaten Name Pfad Gr e Zeitstempel Attribute nur den Inhalt der Dateien und die Daten von Verzeichnissen nicht Ein Datei berblick referenziert gew hnlich sowohl existierende als auch vormals existierende z B gel schte Dateien auch virtuelle k nstlich definierte Dateien wenn diese f r computerforensische Untersuchungen von Nutzen sind so da z B auch unbenutzte Bereiche eines Datentr gers abgedeckt werden Operationen wie logische Suchen Indexierung und alle Befehle im Kontextmen des Verzeichnis Browsers werden auf die Dateien und Verzeichnisse angewandt wie sie im Datei berblick abgelegt sind Wegen komprimierten Dateien und weil gel schte Dateien und die virtuelle Datei freier Speicher mit denselben Clustern eines Dateisystems mehrfach verkn pft sein k nnen kann die Summer aller Dateien und Verzeichnisse in einem Datei berblick leicht die gesamte physische Gr e des Datentr gers der Partition bersteigen Ein Datei berblick wird entweder gespeichert in Form einer Han
12. Die Backup Datei wird automatisch in St cke von 650 MB segmentiert Komprimierung ist aktiv true Die erzeugte Datei ist der letzte Parameter Wenn die Backup Datei nicht segmentiert werden soll geben Sie 0 als dritten Parameter an Um Komprimierung abzuschalten bergeben Sie false Um vom Backup Manager automatisch einen Namen zuweisen zu lassen und die Datei im Verzeichnis f r Backup Dateien ablegen zu lassen geben Sie als letzten Parameter an Goto 0x128 Goto MyVariable Bewegt die aktuelle Cursor Position zur hexadezimalen Adresse 0x128 Alternativ kann auch eine existierende Variable bis zu 8 Bytes gro als numerischer Wert interpretiert werden Move 100 Bewegt die aktuelle Cursor Position um 100 Bytes dezimal zur ck Write Test Write 0x0DOA Write MyVariable Schreibt die vier ASCI Zeichen Test oder die zwei Hexadezimal Werte ODOA an die aktuelle Position im berschreiben Modus Kann auch den Inhalt einer als Parameter angegebenen Variablen schreiben Bewegt die aktuelle Cursor Position entsprechend der Anzahl geschriebener Bytes vorw rts Um das sicherzustellen wird falls das Ende der Datei erreicht wird ein Nullbyte hinten angeh ngt Das ist n tzlich damit weitere Write Aufrufe nicht das 196 letzte vom vorherigen Write Aufruf geschriebene Byte wieder berschreiben Write2 Identisch zu Write aber h ngt kein Nullbyte an wenn das Ende der Datei erreicht wurde Daher darf man sich nicht
13. Paste Schreibt den aktuellen Inhalt der Zwischenablage an die aktuelle Position in einer Datei ohne die aktuelle Position zu ndern WriteClipboard Schreibt den aktuellen Inhalt der Zwischenablage an die aktuelle Position ein einer Datei oder auf einem Datentr ger ohne die aktuelle Position zu ver ndern und indem es die Daten an der aktuellen Position berschreibt Convert Param1 Param2 Konvertiert die Daten der aktiven Datei von einem Format in ein anderes G ltige Parameter sind ANSI IBM Binary HexASCI IntelHex MotorolaS Base64 UUCode LowerCase UpperCase und hiberfil in den Kombinationen wie sie vom herk mmlichen Konvertieren Men befehl 198 bekannt sind AESEncrypt My Password Verschl sselt die aktive Datei oder den Datentr ger oder einen davon ausgew hlten Block mit dem angegebenen Schl ssel bis zu 32 Zeichen lang mit AES AESDecrypt My Password Entschl sselt die aktive Datei oder den Datentr ger Find John MatchCase MatchWord Down Up BlockOnly SaveAllPos Unicode Wildcards Find 0x0D0A Down Up BlockOnly SaveAllPos Wildcards Sucht im aktiven Fenster nach dem Namen John bzw dem Hexadezimal Wert 0x0DOA und h lt beim ersten Treffer an Die anderen Parameter sind optional Standardm ig durchsucht WinHex die komplette Datei bzw Platte Die optionalen Parameter funktionieren wie von den WinHex Suchoptionen bekannt ReplaceAll John Joan MatchCase MatchWord Down Up BlockOnly Unicode Wildc
14. angeh ngt werden soll oder nur sein Inhalt Normalerweise erzeugt X Ways Forensics virtuelle Dateien in Unterverzeichnissen in neuen virtuellen Verzeichnissen im Datei berblick Es gibt aber auch die M glichkeit die Dateien in existierenden Verzeichnissen im Datei berblick gleichen Namens unterzubringen an derselben Stelle im Verzeichnisbaum N tzlich wenn Sie eine ganze Verzeichnisstruktur aus einem Image herauskopieren um Dateien au erhalb von X Ways Forensics zu konvertieren zu entschl sseln zu bersetzen usw wenn Sie das Ergebnis anschlie en in den Datei berblick zur ck bernehmen und die bearbeiteten Dateien neben ihren jeweiligen Original Gegenst cken sehen m chten in den entsprechenden Unterverzeichnissen Dies kann z B hilfreich sein wenn Sie PDF Dokumente die X Ways Forensics Ihnen als nicht durchsuchbar meldet mit Adobe Acrobat einer Texterkennung OCR unterwerfen m chten Umbenennen Erlaubt es virtuelle Verzeichnisse und virtuell angeh ngte Dateien im Datei Uberblick umzubenennen oder sogar normale Dateien wenn die Umschalt Taste gedr ckt ist Auch wenn letzteres im Zusammenhang mit Asservaten nicht unbedingt forensisch einwandfrei ist kann es doch in speziellen Situationen hilfreich sein z B wenn ein Dateiname oder Verzeichnisname zu lang ist um die Datei aus einem Image herauszukopieren o Der Originalname wird weiterhin als alternativer Dateiname angezeigt Beachten Sie da dieser Befehl ein
15. anklicken If auto coloring for FILE records etc is fully checked FILETIME structures are now highlighted even if not aligned at a 4 byte boundaries Sie haben die M glichkeit die Hintergrundfarbe des Blocks zu bestimmen wenn die Option Windows Standardfarben benutzen nicht aktiviert ist W hlen Sie die Hintergrundfarbe f r jeden zweiten Datensatz in der Datensatz Darstellung s Positions Men 154 e WinHex kann ver nderte Bytes also bereits editierte Bereiche einer Datei eines Daten tr gers oder des Arbeitsspeichers in einer gesonderten Farbe Ihrer Wahl anzeigen damit Sie Originaldaten von Ihren nderungen unterscheiden k nnen e W hlen Sie eine Schriftart f r die Hex Editor Darstellung aus und entscheiden Sie ob Sie die Standard GUI Schriftart von Windows auch in den restlichen Teilen der GUI von WinHex X Ways Forensics verwendet sehen m chten ber ein zus tzliches Kontroll k stchen Notationsoptionen e W hlen Sie Ihre bevorzugte Darstellungsweise f r Datum Zeit und Zahlen Das ist besonders wichtig um unabh ngig zu sein von den Windows Regionseinstellungen eines Live Systems das Sie ggf einsehen also an einem Computer der nicht Ihr eigener ist Jahreszahlen in Datumsangaben k nnen optional zweistellig angezeigt werden e There is an option to output dates in the directory browser and in some other parts of the user interface in a nicer longer and more locale specific notation which can in
16. beispielsweise gefunden Wenn Sie das H kchen in diesem Kontrollk stchen entfernen suchen Sie nach allen Gro und Kleinschreibungsvarianten der Suchbegriffe und die Suche wird selbst bei bEIsPiEl f ndig Dies funktioniert beim Befehl Text suchen nur mit Buchstaben von a z und deutschen Umlauten bei der parallelen Suche auch mit sonstigen sprachspezifischen Buchstaben z B g amp oder Kyrillisch In der parallelen Suche k nnen Sie bei halb gew hlter Option zeitgleich manche Suchbegriffe unter Beachtung von Gro und Kleinschreibung suchen indem Sie diesen Suchbegriffen die Zeichen case voranstellen und die anderen in allen Gro und Kleinschreibungsvarianten Unicode Der Text wird im Unicode Zeichensatz gesucht UTF 16 Little Endian Dieser Zeichensatz reserviert im Normalfall 16 Bit je Zeichen Die parallele Suche erlaubt es denselben Text gleichzeitig in Unicode und in anderen Codepages zu suchen Sie k nnen ein frei w hlbares Jokerzeichen ein Zeichen bzw ein zweistelliger Hex Wert verwenden das genau ein Byte abdecken kann Z B kann man mit der Such Zeichenfolge Sp ck sowohl Speck als auch Spock finden Nur ganze W rter suchen Die zu suchende Zeichenfolge wird nur erkannt wenn sie als einzelnes Wort vorkommt also von anderen Buchstaben a z A Z franz sische Buchstaben durch Nichtbuchstaben also z B durch Leer Satz oder Steuerzeichen oder Ziffern getrenn
17. ger Bitte beachten Sie da Sie damit einen u erst kritischen Eingriff in die Integrit t des Datentr gers vornehmen Sofern die entsprechende R ckg ngig Option eingeschaltet ist wird von den betroffenen Sektoren vor dem berschreiben eine Sicherung angelegt Die Funktion ist nur in der Vollversion verf gbar 139 7 6 Arbeitsspeicher Editor Analyse Im Extras Men finden Sie die Funktion Speicher ffnen Der Arbeitsspeicher Editor erm glicht es den physischen Arbeitsspeicher RAM und den logischen Arbeitsspeicher eines in der Ausf hrung befindlichen Programms eines Prozesses eines laufenden Systems direkt einzusehen F r letzteres werden alle von dem Proze belegten Seiten im Arbeitspeicher als zusammenh ngender Speicherbereich abgebildet Ungenutzte leere oder nur reservierte Bl cke im Speicher werden von WinHex standardm ig ignoriert optional aber mit erfa t und mittels Zeichen angezeigt Ohne diese L cken k nnen Sie in Dateien geschriebene Speicherdumps exakt miteinander vergleichen absolute und virtuelle Adressen sind identisch um etwa den Stack oder Heap zu beobachten oder Computerviren zu verfolgen Wenn Sie aus der Liste aller laufenden Prozesse einen Proze ausw hlen k nnen Sie entweder den sog Prim rspeicher oder den Gesamtspeicher eines Prozesses ffnen oder einzelne von diesem Proze geladene Module DLLs Als Prim rspeicher wird derjenige Bereich bezeichnet der im Adre raum u
18. resultierende Minimalsicherung hat wird dann konsequenterweise in der Lage sein die kopierten Hive Dateien einzusehen und einen Registry Bericht ber sie anzufertigen vorausgesetzt Sie hatten auch bereits die Dateisystem Datenstrukturen kopieren lassen weil diese erforderlich sind um herauszufinden in welchen Sektoren die Inhalte der Dateien gespeichert sind Das Dialogfenster zum ndern des Status der Sicherungsdatei erlaubt es Ihnen auch diese zu schlie en d h das Sichern vor bergehend oder endg ltig zu beenden Dieselbe Sicherungsdatei l t sich zu einem beliebigen sp teren Zeitpunkt weiter vervollst ndigen indem man sie mit dem Befehl Minimalsicherung erstellen erneut ausw hlt aber dann nicht berschreiben l t sondern sie aktualisiert Wie Sie sehen haben Sie die volle Kontrolle dar ber welche Daten es in die Sicherung schaffen Die Herangehensweise setzt nur voraus da Sie ein gewisses Verst ndnis davon mitbringen was f r Daten Sie wollen brauchen und wo diese zu physisch zu finden sind sofern diese Daten nicht einfach nur gew hnliche ausw hlbare Dateien sind Die Sektoren k nnen in jeder beliebigen Reihenfolge adressiert werden Mehrfaches Lesen derselben Sektoren ndert nichts in der Sicherungsdatei und hat keine negative Auswirkung au er da es unn tige doppelte Zeilen in der optionalen Protokolldatei zur Folge haben kann die X Ways Forensics erzeugen kann Solche eine log Datei wird im selben V
19. sind und die Erweiterung sector erhalten in einem Unterverzeichnis des Standardverzeichnisses f r Sicherungsdateien das nach dem jeweiligen Datentr ger bzw Image benannt wird Zusammenh ngend gelesene Sektoren landen in einer einzigen Datei Die punktuelle Sicherung kann beendet werden ber den Men befehl Datei Punktuelle Sicherung Punktuelle Sicherungen sind nur in speziellen Situationen n tzlich z B zu Debug Zwecken wenn man nur wenige Sektoren gezielt sichern m chte die am besten von der Software automatisch ermittelt werden z B Datenstrukturen die beim ffnen einer bestimmten Datei ben tigt werden Im Vergleich zu einer Minimalsicherung kann eine punktuelle Sicherung vorteilhaft sein weil keine Image Datei von derseben Gr e wie der Quelldatentr ger erzeugt wird Auch wenn die Gr e nur eine nominelle Gr e und die Image Datei sparse ist hilft doch die Sparse Eigenschaft nicht wenn die Datei ber das Internet verschickt oder in ein Dateisystem kopiert werden soll das die Sparse Eigenschaft der Datei nicht beibeh lt Dank kompatibler Namen k nnen punktuelle Sicherungen die sector Dateien bei Bedarf direkt f r die Sektor berlagerung eingesetzt werden Sie k nnen auch bequem und aufgrund ihrer typischerweise geringen Gr e sehr sehr schnell auf andere Datentr ger zur ckkopiert werden alle solche Dateien im selben Verzeichnis auf einmal nat rlich unter Ber cksichtigung der Startsektornummern in
20. sind zum Beispiel 5 2 1 oder len1 len2 4 Das Resultat ist immer ein Integer und muss ein positiver Wert sein 192 zstring und zstring16 sind Null terminierte Strings deren Gr e dynamisch zur Laufzeit bestimmt wird 3 Schablonen Rumpf Fortgeschrittene Befehle Variablendeklarationen k nnen in geschweiften Klammern eingeschlossen werden so da sie einen Block bilden der als ganzes wiederholt eingesetzt werden kann Beachten Sie aber da Bl cke in der aktuellen Implementation nicht verschachtelt werden d rfen Eine Tilde kann als Platzhalter f r eine sp tere Ersetzung mit dem aktuellen Stand des Wiederholungsz hlers in Variablennamen verwendet werden Die optionale numbering Anweisung legt dabei fest mit welcher Nummer die Z hlung begonnen werden soll standardm ig mit Null numbering 1 byte L nge string L nge String Nr 10 In diesem Beispiel werden die tats chlichen Variablennamen in der Schablone String Nr 1 String Nr 2 String No 10 lauten Anstelle einer fix vorgegebenen Zahl von Wiederholungen im Beispiel 10 k nnen Sie auch unlimited angeben In diesem Fall wiederholt WinHex den Block bis zum Ende der Datei ExitLoop kann dazu verwendet werden vorzeitig eine Wiederholungsschleife zu verlassen Exit beendet die Abarbeitung einer Schablone ganz Mit dem Befehl IfEqual k nnen zwei Ausdr cke miteinander verglichen werden Die
21. solche Hash Datenbank ist auf sehr effiziente Weise organisiert so da die Performanz beim Abgleich von Hash Werten maximiert wird Sie selbst entscheiden auf welchem Hashtyp die Datenbank aufbauen soll MD5 SHA 1 SHA 256 und Sie selbst sind f r das Bef llen der Hash Datenbank mit Hash Sets und Hash Werten zust ndig Entweder Sie erzeugen in X Ways Forensics selbst Hash Sets oder Sie importieren Hash Sets aus anderen Quellen Die Hash Datenbank kann von mehreren Benutzern Instanzen gemeinsam gleichzeitig verwendet werden wenn derselbe Speicherort dasselbe Verzeichnis eingestellt ist Dieselbe Hash Datenbank kann aber nicht aktualisiert werden wenn sie gerade von anderen Benutzen Instanzen verwendet wird It is possible to maintain two separate hash databases at the same time databases based on the same hash type or different hash types Useful for example if you receive hash sets from different sources with different hash types e g some with MD5 and some with SHA 1 values and wish to use them simultaneously The second hash database may be stored on a different drive Useful if for example the primary hash database for general use is shared with colleagues on a network drive and the user wishes to create or import new hash sets either for temporary use only or while the primary hash database is locked by other users into a locally stored second database Jeder Hash Wert in der Datenbank geh rt zu einem oder mehreren Hash Sets
22. 256 Maximalzahl ge ffneter Datenfenster 00 eee eecesecesecneeeseeeeeeseecseeeseeeeeeecsaecaeseeeeeeerees 1000 Max Anzahl gleichzeitiger Programminstanzen ursuerseensnssessnesnnsnenseensennensennnenenneennn 99 Max Anzahl umkehrbarer Tastatureingaben 0000sssnesneeensennennennnnennnen 65535 Merschlussel ngstiefe un nee 128 256 Bit 12 Offset Dasstelluns aan ee reh deet eege ss hexadezimal dezimal e Die Fortschrittsanzeige bei langer andauernden Operation zeigt in Prozent den Anteil des Vorgangs an der bereits erledigt ist Bei allen Suchen und Ersetzen Operationen zeigt sie jedoch die relative Position in der aktuellen Datei an Dies entspricht dem bereits erledigten Anteil des Vorgangs wenn in der gesamten Datei gesucht wird also die Option Nur im Block suchen nicht verwendet wird e Von Ihnen f r Ver und Entschl sselung eingegebene Schl ssel werden nicht auf der Festplatte gespeichert Sofern die entsprechende Sicherheitsoption gew hlt ist werden sie in verschl sselter Form im Arbeitsspeicher gehalten solange WinHex l uft e Such und Ersetzen Funktionen laufen generell schneller ab wenn kein Jokerzeichen verwendet und bei Text Suche nach Gro und Kleinschreibung unterschieden wird Au erdem gilt Je l nger die Such Zeichenfolge desto schneller die Such Funktion e Beim Suchen mit aktivierter Option Vorkommen z hlen und beim Ersetzen ohne Best tigung biet
23. 483 648 32 Bit vorzeichenlos 0 4 294 967 295 00 00 00 80 2 147 483 648 64 Bit vorzeichenbehaftet 287 z 9 10 2 1 9 10 8 00 00 00 00 00 00 00 80 2 Von ganzzahligen numerischen 16 Bit Werten Words ist in Little Endian Systemen erst das niederwertige dann das h herwertige Byte gespeichert Bei 32 Bit Werten Gr e 4 Bytes verhalt es sich entsprechend mit den Words den 2 Bytes groBen Bestandteilen Wenn beispielsweise in einer Datei die Hex Werte 10 27 stehen so entspricht dies als numerischer 16 Bit Wert der Hexadezimal Zahl 2710 was ins Dezimalsystem umgerechnet 10000 bedeutet Ebenso erscheint die Hexadezimal Zahl 123 als 23 01 Das Byte mit dem Wert 23 ist das niederwertige es enth lt die Einer und die 16er Stelle der Zahl und kommt daher zuerst Eine weitere Besonderheit ist beim Interpretieren von Daten Bytes als numerische Werte zu beachten Zahlen die gr er als die H lfte der Maximalzahl verschiedener Werte eines Zahlentyps sind 8 Bit 2 256 16 Bit 2 65536 k nnen als negative Zahlen bersetzt werden Der Hex Wert 8235 der in einer Datei als 35 82 erscheint s o kann ins Dezimalsystem zu 33333 umgerechnet werden Ein Programm das den 16 Bit Wert aber vorzeichenbehaftet liest erh lt die Zahl 32203 Diese zweite M glichkeit ergibt sich wenn von der bersetzung als vorzeichenloser Wert die Maximalzahl verschiedener numerischer Werte des Zahlentyps subtrahiert wird Beispiel 333
24. 5 Forward Parity aka Right Asynchronous Component 1 P 3 5 Component 2 1 P 6 Component 3 2 4 P Level 5 Forward Dynamic Parity aka Right Synchronous Component 1 P 6 8 10 Component 2 1 P 9 11 Component 3 2 4 P 12 Component 4 3 5 7 P Level 5 Forward Delayed Parity Level 5 Forward Dynamic Delayed Parity CRU Dataport Level DEE Backward Parity Adaptec Component 1 1 3 S P Component 2 2 S P 7 Component 3 S P 5 8 Component 4 P 4 6 S S spare Level DEER Forward Parity Component 1 1 P S 7 Component 2 2 3 PS Component 3 S 4 5 P Component 4 P S 6 8 Level 6 Backward Parity Adaptec JetStor Component 1 Le IRs TQ Component 2 2 P Q 7 Component 3 P Q 5 8 Component 4 Q 4 6 P Level 6 Backward Dynamic Parity Component 1 1 4 P Q Component 2 2 E 0 7 Component 3 P Q 5 8 Component 4 Q 3 6 P Level 6 Forward Delayed Parity Level 6 Forward Parity 188 Die Parity Startkomponente kann f r viele RAID Varianten erforderlichenfalls anders definiert werden Um beim gew hlten Standardmuster zu bleiben belassen Sie diesen Wert auf 0 Um eine Nicht Standard Parity Startkomponente festzulegen geben Sie die Nummer der Komponente an auf der sich das Parity zuerst befindet von 1 an gez hlt Der Verzug Delay mit dem das Parity sich bei HP Compaq Controllern r ckw rts bewegt betr gt meistens 4 oder 16 ist aber frei konfigurierbar Wenn e
25. 63 Namen und sogar Inhalte von ehemals existierenden Dateien enthalten Nur in WinHex verf gbar nicht in X Ways Forensics Verzeichniseintr ge initialisieren Auf FAT Volumes kann WinHex alle gegenw rtig ungenutzten Verzeichniseintr ge sicher l schen um Spuren ehemals existierender Dateien sowie Informationen ber fr here Namen oder Orte existierender Dateien aus dem Dateisystem zu entfernen Besonders n tzlich in Verbindung mit der Funktion zum Initialisieren des freien Speichers Nur in WinHex verf gbar nicht in X Ways Forensics Verlorene Partitionen suchen Ehemals existierende Festplatten Partitionen die nicht automatisch gefunden wurden als die physische Platte oder eine Image Datei einer physischen Platte ge ffnet wurde und die nicht im Zugriffsschalter Men aufgelistet werden k nnen mit diesem Befehl gefunden und entsprechend identifiziert werden Er sucht nach der 0x55 0xAA Signatur von Master Boot Records Partitionssektoren und FAT NTFS Bootsektoren sowie nach Ext2 Ext3 Ext4 Superbl cken optional nur ab dem ersten Sektor der der letzten gem ihrer physischen Abfolge Partition folgt die bereits bekannt ist und listet die neu gefundenen Partitionen im Verzeichnis Browser auf Funktioniert nur bei Sektorgr e 512 Bytes Als Partitionsanfang interpretieren Wenn Sie den Anfangssektor einer z B gel schten Partition auf einer physischen Festplatte finden k nnen Sie die Partition mit diesem Men befehl
26. A E BEES 118 6 3 1 Hash Wert Berechnung und Abgleich ons ennn ee 118 6 3 2 Datei Typ Prufung 2 2 large Rein ie A nenn 119 6 3 3 Aufbereitung interner Metadaten und Ereignisse nn 120 6 3 4 Erkundung von Archiven essen 121 6 3 3 E Mail gt Extrakflion s8 nissen aaa E E mn O Ga 122 6 3 6 Eingebettete Dateien aus diversen Dateitypen bervorbolen 123 6 3 7 Extraktion von Einzelbildern aus Videos 126 6 3 8 Bildanalyse und verarbetung essen 127 6 3 9 Dokumente ber FuzZyDoc identifizieren uueenseerseessnessneeenesnnennenennennsnense essen nn 128 6 3 10 Nerschl sselungsdetekton nennen nn 129 6 3 11 Indexiin t SH Tagesccinceeeadaeel EES 130 6 4 Wissenswertes zur Erweiterung des Datei Uberblicks c ccccccscssssssessssescssseeesesesssseseststeneees 132 6 4 1 Wechselseitige Abh nggketen essen ns ense nn 133 6 4 2 ATTEN garnieren e a e i a 133 Ausgew hlte Grundkonzepte seessccesccesccesocescoesoossoossoossooesooeesocesosesosesosesocesoeesocessesssesssesssecssesssese 134 7 1 Bditier Modin a n2 ne eege EE a 134 7 2 SCTIPUG u Bellen Gate tie tele age genee E AA 136 7 3 KE KEIER VE 136 7 4 WinHeX APl ernsten u see enter ehe eideler Eeer Neie 138 7 5 REI e EE 138 7 6 Arbetsspeicher Editor Analyse 140 7 7 Editieren mit Schablonen aisinar ar ainina iaa inani 141 RENE TE 142 8 1 Datenrettung mit dem VNerzeichns Browser 142 8 2 Dateien retten nach Tvp Dater Header Sugenatursuche ne 142 I 8 3 D teityp Defini
27. Computer ist eine WinHex API Lizenz erforderlich WinHex wird auf Ihren Namen lizenziert Sie sind der tats chliche Inhaber der Lizenzen aber jeder Ihrer Kunden kann sie verwenden Der Endbenutzer mu sich im Zusammenhang mit WinHex um nichts selbst k mmern 7 5 Disk Editor Im Extras Men finden Sie die Funktion Disk Editor Der Disk Editor erm glicht es den Inhalt einer Diskette oder Festplatte ohne R cksicht auf die Dateistruktur direkt sektorweise einzusehen W hlen Sie zun chst aus einer Liste mit den auf Ihrem System installierten Lauf werken einen Datentr ger aus Sie k nnen auf einen Datentr ger logisch vom Betriebssystem gesteuert oder physisch vom BIOS gesteuert zugreifen Auf den meisten Computersystemen k nnen Sie sogar CD ROMs und DVDs einsehen Es gibt einen optionalen Roh Zugriff f r optische Laufwerke der es erm glicht von Audio CDs zu lesen und auch die kompletten 2352 Byte Sektoren auf Daten CDs CD ROM und Video CDs die Fehlerkorrektur Informationen enthalten Logisches Laufwerk meint einen zusammenh ngenden formatierten Teil eines Datentr gers eine Partition der unter Windows als Laufwerksbuchstabe zug nglich ist z B C Zum ffnen erfordert WinHex da Windows auf das Laufwerk zugreifen kann Physischer Datentr ger hingegen ist ein Medium als Ganzes wie es an den Computer angeschlossen ist z B eine 138 Festplatte incl aller Partitionen Der Datentr ger braucht zum
28. Datei berblicks gew hlt ist NTFS Sie k nnen festlegen ob Sie daran interessiert sind da Dateien in den Datei berblick aufgenommen werden deren Cluster und damit deren Daten g nzlich unbekannt sind nur mit Metadaten z B Dateiname Pfad Gr e Attribute und Zeitstempel wie in Index Records in INDX Puffern und in LogFile zu finden Wenn angekreuzt werden alle ehem existierenden Dateien von denen nur Metadaten bekannt sind in den Datei berblick aufgenommen Wenn nicht angekreuzt werden solche Dateien ignoriert Andere Dateisysteme kein Unterschied zum Standard Datei berblick 6 2 3 Datei Header Signatur Suche Diese Option hilft solche Dateien in den Datei berblick aufzunehmen die im freien oder belegten Laufwerksspeicher nur noch anhand ihrer Datei Header Signatur gefunden werden k nnen und nicht mehr von Dateisystem Datenstrukturen referenziert werden Dazu werden Sie gefragt welche bestimmten Dateitypen erkannt werden sollen welche Standardgr e verwendet 116 werden soll welcher Pr fix f r den Ausgabenamen verwendet werden sollen usw wie von Dateien retten nach Typ bekannt Details s dort und in den Dateityp Definitionen Dateien die mit dieser Methode gefunden werden werden nur dann in den Datei berblick aufgenommen wenn es noch keine andere Datei im Datei berblick mit derselben Startsektor nummer gibt berschriebene Dateien z hlen hierbei nicht um Doppelungen zu vermeiden um
29. Datei Header Signatur Suche gefundene Dateien sofern dabei NTFS Kompression gesondert ber cksichtigt wurde Wenn die Inhalte von Archiven Dateien in ZIP RAR GZ TAR BZ2 7Z und ARJ falls nicht verschl sselt nur mit forensischer Lizenz und individuelle E Mails und E Mail Anh nge in den Datei berblick aufgenommen wurden k nnen sie mit durchsucht werden Der Text der in Dateien enthalten ist deren Format von der Viewer Komponente unterst tzt wird z B PDF Adobe WPD Corel WordPerfect VSD Visio SWF Shockwave Flash kann automatisch decodiert und in Form von unformatiertem ASCII oder UTF 16 Klartext extrahiert werden der dann zus tzlich zum Original Dateiinhalt verl lich durchsucht wird Suchtreffer k nnten sonst u U bersehen werden da diverse Dateitypen Text blicherweise oder zumindest gelegentlich auf eine besonders codierte verschl sselte komprimierte fragmentierte oder anderweitig unlesbare Art speichern Wichtig Insbes f r HTML XML und RTF Dokumente sowie E Mails die verschiedene Methoden wie u a UTF 8 zur Codierung von Nicht 7 Bit ASCH Zeichen z B deutsche Umlaute heranziehen kann das Decodieren n tzlich sein abh ngig von der Sprache Ihrer Suchbegriffe den in Ihren Suchbegriffen enthaltenen Zeichen Wenn Sie eine Dateimaske zum Decodieren angeben wird diese nicht nur auf die Namen einer jeden zu durchsuchenden Datei angewandt sondern auch auf den wahren Typ sofern dieser ber eine S
30. Dateisystem Datenstrukturen gespeichert sind Das Ergebnis l t sich genau wie ein konventionelles Roh Image einer Platte einlesen f r alle beabsichtigten Zwecke sofern ad quat vorbereitet mit Original Offsets und bei behaltenen relativen Entfernungen zwischen Datenstrukturen anders als in einem Datei Container Das Datei Format ist universell und alle forensischen Tools die Roh Images unter st tzen haben die Chance die Daten zu verstehen es sei denn sie brauchen mehr als die eingebundenen Daten oder verstehen schon die Partitionierungsmethode oder das Dateisystem auf dem Originaldatentr ger nicht Vorbehalte Eine auf dem Bildschirm dargestellte Suchtrefferliste mit Kontextvorschau um die Suchtreffer herum verursacht unz hlige Leseoperationen so da Sie den Status einer im Hintergrund ge ffneten Sicherungsdatei in bestimmten Situationen besser auf wartend ndern Um zu vermeiden da die Startsektoren von Dateien und Verzeichnissen die Sie im Verzeichnis Browser im Modus Partition Volume lediglich anklicken in die Sicherungsdatei aufgenommen werden weil ein solcher Klick automatisch zum jeweiligen ersten Sektor springt navigieren Sie im Verzeichnis Browser im Modus Legende oder ndern den Status der Sicherungsdatei auf wartend Das Lesen von Daten aus den meisten extrahierten Dateien wie E Mails Datei Anh nge von E Mails Dateien in Zip Archiven Standbilder von Videos in MS Excel Tabellen eingebettet
31. Datumstyp wird bzw wurde in UNIX in C und C time t sowie in FORTRAN Programmen seit den 80er Jahren verwendet Gelegentlich ist er auch definiert als die Anzahl der seit dem 1 Januar 1970 vergangenen Minuten In den Optionen des Daten Dolmetschers l t sich die verwendete Zeiteinheit einstellen e Macintosh HFS Datum amp Uhrzeit 4 Bytes Ein ganzzahliger 32 Bit Wert der die Anzahl der seit dem 1 Januar 1904 GMT vergangenen Sekunden angibt HFS Ortszeit Das letzte repr sentierbare Datum ist der 6 Februar 2040 um 06 28 15 Uhr GMT Die Datumswerte lassen Schaltsekunden au er Betracht Sie enthalten jedoch Schalttage in jedem ganzzahlig durch 4 teilbaren Jahr e Java Datum amp Uhrzeit 8 Bytes Ein ganzzahliger 64 Bit Wert der die Anzahl der seit dem 1 Januar 1970 vergangenen Millisekunden angibt Wird wie bei Java Standard blicherweise im Big Endian Format gespeichert aber im Speicher von BlackBerry im Little Endian Format verwendet e Mac Absolute Time a k a Mac epoch time 4 Bytes Ein ganzzahliger 32 Bit Wert der die die Anzahl der seit dem 1 Januar 2001 vergangenen Sekunden angibt 2 6 ANSI IBM ASCII ANSI ASCH ist der der in WinHex verwendete Name einer Erweiterung des ASCII Zeichensatzes der in Nicht Unicode Windows Anwendungen verwendet wird Er wurde von Microsoft ANSI genannt nach dem American National Standards Institute aber nicht tats chlich von diesem Institut definiert Es existieren
32. Doppellistungen zu vermeiden Dateien werden mit dieser Methode mit einem generischen Namen und der Gr e wie sie vom Mechanismus Dateien retten nach Typ erkannt ausgegeben Wenn auf eine physische partitionierte Asservate angewandt werden nur unpartitionierte Bereiche und Partitionsl cken nach Datei Headern durchsucht da die Partitionen als separate zus tzliche Asservate behandelt werden Usually results of the file header signature search are output in a special virtual directory for carved files which is a subdirectory of Path unknown However there is an option to show resulting files as child objects of existing files if the carved files were found within these other files 6 2 4 Blockweise hashen und abgleichen Verf gbar mit forensischer Lizenz Block wise hashing may allow to identify complete or in complete remnants of known notable files that are still floating around in free drive space even if they were fragmented and the location of the fragments is unknown to show with some or very high certainty that these files once existed on that medium The hash values are computed when reading from the evidence object sector wise and that happens at the same time when running a file header signature search if selected to avoid unnecessary duplicated I O with the same sector scope Matches are returned as a special kind of search hits Multiple matches for contiguous blocks are more meaningful than isolated individual matches
33. Einsehen Fenster wieder zu schlie en um den Eingabefokus zur ck zur Galerie zu transferieren Erkunden Nur verf gbar f r Verzeichnisse und Archive ZIP RAR TAR Mit diesem Kommando navigiert man in diese mit dem Verzeichnis Browser hinein Ein Doppelklick auf ein Archiv oder Verzeichnis hat dieselbe Wirkung Ein Kommando das gleichzeitig alle Inhalte eines Verzeichnisses und aller seiner Unterverzeichnisse auflistet finden Sie stattdessen im Kontextmen des Verzeichnisbaums im Falldatenfenster Rekursiv erkunden Viewer Programme Gezielt die selektierten Dateien an eines der externen Programme schicken die aktuell konfiguriert sind oder an das Programm das in der aktuellen Windows Installation mit dem Dateityp verkn pft ist Diese Verkn pfung wird ausgewertet auf der Basis der Datei 43 Erweiterung wie dies in Windows blich ist Es besteht die M glichkeit Dateien in einem externen Programm zu ffnen das Sie ad hoc bestimmen Das Programm das Sie ausw hlen wird als ein Standard Viewer Programm gespeichert wenn noch nicht alle Pl tze f r externe Programme belegt sind und dann auch f r das n chste Mal wenn Sie denselben Men befehl aufrufen automatisch vorgeschlagen ffnen ffnet die aktuelle Datei bzw bei Verzeichnissen die Datenstrukturen des Verzeichnisses in einem eigenen Datenfenster Im Gegensatz zu Datei ffnen wo Dateien wie in anderen Applikationen mit Hilfe des Betriebssystems ge
34. Eintr ge des allgemeinen Positions Managers ge ndert wurden werden sie nach dem Beenden von WinHex grunds tzlich in der Datei WinHex pos im WinHex Verzeichnis gespeichert und f r den n chsten Programmstart aufbewahrt Nur Suchtreffer darin werden nicht permanent gespeichert es sei denn sie wurden per Kontextmen bearbeitet Das POS Dateiformat ist unter http www x ways net winhex vollst ndig dokumentiert 3 8 Arbeitserleichterungen e Men befehle die sich auf individuelle ausgew hlte Objekte im Verzeichnis Browser oder einer Suchtrefferliste oder eine Lesezeichenliste beziehen k nnen in dem Kontextmen gefunden werden das erscheint wenn man diese Objekte mit der rechten Maustaste anklickt Sie finden solche Befehle nicht im Hauptmen e Linke Maustaste Blockanfang festlegen Doppelklick e Rechte Maustaste Blockende festlegen e Rechte Maustaste Blockmarkierung aufheben Doppelklick e SHIFT Pfeiltasten Block markieren ALT E Blockanfang setzen ALT ei Blockende setzen e Tabulatortaste zwischen Text und Hexmodus umschalten e Einfg Taste iii zwischen Uberschreib und Einfiige Modus umschalten ENTER Start Center aufrufen BE e aktuellen Vorgang abbrechen Blockauswahl aufheben Dialogfenster oder Schablone verlassen PAUSE ee aktuellen Vorgang anhalten bzw fortsetzen e HELL stet EL AR ENEEE DDR Offset aufsuchen wiederholen mit STRG von
35. Erlaubt es auch Dateinamen und Pfad oder andere Daten leicht in die Zwischen ablage zu kopieren Der Details Modus zeigt au erdem die in einem NTFS Dateisystem hinterlegten Zugriffsrechte an gespeichert in Access Control Lists ACLs Jedes einzelne Recht hat typischerweise die Eigenschaft Grant erlauben oder Deny verbieten Zus tzlich hat es eine SID zugeordnet f r die dieses Recht gilt Wann immer m glich wird die SID in einen benutzerfreundlichen Namen bersetzt Ein Recht geh rt einer von vier Kategorien an R Read Leseberechtigung C Change nderungsberechtigung Full Access Vollzugriff Special Access in diesem Fall werden die individuellen Rechte einzeln aufgef hrt F r jedes einzelne Zugriffsrecht sind zwei Inheritance Flags m glich container inherit CI object inherit OT oder zwei Propagation Flags inherit only IO no propagate inherit NP Den Abschlu der Liste bildet gew hnlich die Gruppenzugeh rigkeit Der Details Modus extrahiert auch die wesentlichen internen Metadaten aus OLE2 Compound Dateien z B MS Office Dokumenten vor Version 2007 MS Office 2007 XML OpenOffice XML StarOffice XML HTML MS Access MDI PDF RTF WRI AOL PFC ASF WMV WMA MOV AVI WAV MP4 3GP M4V M4A JPEG BMP EXE DLL JIDX Java applet cache THM TIFF GIF PNG GZ ZIP PF IE Cookies DMP Speicher Dumps hiberfil sys 35 PNF SHD amp SPL Drucker Spool RecentFilecache bcf W
36. Erzeugungszeitstempel der aus intern in Dateien diverser Typen gespeicherten des Inhalt Metadaten extrahiert werden kann Liste der Typen s Dokumentation des zugeh rigen Befehls im Kontextmen wie dort von dem Programm gespeichert das die Datei erzeugt hat Interne Zeitstempel sind blicherweise weniger fl chtig als Zeitstempel im Dateisystem und z T schwieriger zu manipulieren Sie k nnen insbes n tzlich zur Erh rtung bestimmter Annahmen oder Schlu folgerungen sein Filter verf gbar Die mit einer hochgestellten 2 bezeichneten Zeitstempelspalten Specialist Lizenz oder h her enthalten alternative Zeitstempel Im Fall von NTFS stammen diese Werte aus den 0x30 Attributen und geben daher ggf ehemalige Zeitstempel die g ltig waren als eine Datei zuletzt umbenannt oder verschoben wurde oder von vor einer etwaige R ckdatierung R ckdatierungen werden oft von Setup Programmen und auch Windows selbst vorgenommen der ber chtigte Erzeugungs Zeitstempel Tunnel Effekt s http support microsoft com kb 172190 und nat rlich von normalen Anwendungsprogrammen sowie von Benutzern zu diversen legitimen oder auch weniger hehren Zwecken Beachten Sie da diese Spalten nur dann bef llt werden wenn die zuvor g ltigen Zeitstempel sich tats chlich von ihren aktuellen Entsprechungen unterscheiden und zus tzlich nderung und Record Anderung nur dann wenn sie sich von Erzeugung unterscheiden damit der Bildschirm nicht unn tig mit r
37. Hexadezimal Wert 80 kennzeichnet eine aktive Partition 203 Startkopf der Partition Startsektor der Partition Bits 0 5 Startspur der Partition Bits 8 9 in Startsektor als Bits 6 7 Endkopf der Partition i Endspur der Partition Bits 8 9 in Endsektor als Bits 6 7 Betriebssystem Kennungen Auswahl 1 DOS FATI O 4 DOS FAT16 max 32MB S O 7 Windows NT NTFS OS 2 HPFS Advanced Un 0A OS 2 Boot Manager OB Windows 95 FAT32 Windows 95 FAT32 LBA Modus INT 13 Erweiterungen verwendend 17 Versteckte NTFS Partition _ SS O B Versteckte Windows 95 FAT32 Partition C Versteckte Windows 95 FAT32 Partition LBA Modus INT 13 Erw verwendend _ E Versteckte LBA VFAT Partition 2 Dynamische Partition LI o i 81 Linux 82 Linux Swap Partition Solaris Unix 86 FAT16 Volume Stripe Set Windows NT OO ce Nn oO Solaris Boot Partition DR DOS Novell DOS gesicherte Partition FAT16 Volume Stripe Set Windows NT corrupted NTFS Volume Stripe Set corrupted DELL OEM Partition 204 F2 FE DOS 3 3 Sekund rpartition IBM OEM Partition 205
38. Matches with the FuzZyDoc database are presented in the same column as PhotoDNA matches and skin color percentages called Analysis A filter for FuzZyDoc matches is available Fuz ZyDoc should prove very useful for many kinds of white collar crime cases most obviously but not limited to those involving stolen intellectual property e g software source code or leakage of classified documents 6 3 10 Verschl sselungsdetektion Eine forensische Lizenz erlaubt es optional dateiformatspezifische und statistische Verschl s selungstests durchzuf hren Mit einem Entropietest werden alle existierenden Dateien die mind 256 Byte gro sind darauf gepr ft ob sie vollverschl sselt sind Wenn der Test positiv ist die Entropie einen bestimmten Schwellwert berschreitet wird die betreffende Datei mit dem Hinweis e in der Attributsspalte versehen um anzuzeigen da sie m glicherweise besondere Aufmerksamkeit verdient Typisches Beispiel Verschl sselte Container Dateien die von Verschl sselungsprogrammen wie TrueCrypt PGP Desktop BestCrypt oder DriveCrypt als Laufwerksbuchstabe geladen werden k nnen Der Entropietest wird nicht angewandt auf Dateien vom Typ ZIP RAR TAR GZ BZ 7Z ARJ CAB JPG PNG GIF TIF MPG oder SWF von denen bekannt ist da sie intern komprimiert sind und damit eine hnlich hohe Entropie aufweisen wie Zufallsdaten und verschl sselte Daten Dieser Test wird nicht ben tigt um festzu stellen da Da
39. Position den relativen Anteil und die absolute Anzahl eines jeden Bytewerts ablesen Diese Funktion kann z B dazu eingesetzt werden um Datenmaterial unbekannter Art z B von ScanDisk wiederhergestellte verloren Cluster zu analysieren Audio Daten komprimierte Daten ausf hrbarer Code u a lassen sich an charakteristische Grafiken erkennen Im Kontextmen des Fensters l t sich einstellen ob Bytes mit dem Wert Null unber cksichtigt bleiben sollen Dies kann in vielen F llen die Aussagekraft der Grafik stark erh hen Vom Kontextmen aus k nnen Sie das Analysefenster auch drucken und die Analyse in eine Textdatei exportieren Wenn Sie kleinere Datenmengen analysieren lassen weniger als 50 000 Bytes wird die mit Zlib f r diese Daten erzielbare Kompressionsrate in der Titelzeile des Analysefensters angezeigt Diese Rate l t ebenfalls R ckschl ssel ber die Natur der Daten zu Hash berechnen Berechnet f r die aktuelle Datei den aktuellen Datentr ger bzw den gegenw rtig definierten Block eine der folgenden Pr fsummen Digests 8 Bit 16 Bit 32 Bit 64 Bit Pr fsumme CRC16 CRC32 MD5 SHA 1 SHA 256 oder PSCHF 4 9 Datei Tools Verketten Diese Funktion l t Sie eine beliebige Anzahl bestehender Dateien ausw hlen die aneinandergeh ngt eine Zieldatei bilden Zerlegen W hlen Sie eine bestehende Datei aus der Sie mehrere neue Dateien bilden m chten Geben Sie f r jede Zieldatei den Dateinamen an und den Offset
40. Pseudozufallszahlen Geben Sie ein Intervall innerhalb von 0 255 dezimal an aus dem zuf llig jedem einzelnen Byte des aktuellen Blocks bzw des gesamten Dateiinhalts ein Wert zugeordnet wird Jeder Wert aus dem Intervall wird mit gleicher Wahrscheinlichkeit ausgew hlt Schnell Mit Pseudozufallszahlen die Verschl sselung simulieren Zufallsdaten deren Ziel es ist nicht von verschl sselten Daten unterscheidbar zu sein Recht schnell Mit kryptographisch sicheren Pseudozufallszahlen Erzeug von einem kryptographisch sicheren Pseudozufallszahlengenerator CSPRNG names ISAAC sehr langsam Auf Wunsch kann diese Funktion in allen ge ffneten Dateien ausgef hrt werden Dazu mu in allen Dateien entweder ein Block definiert oder in allen Dateien kein Block definiert sein Um die Sicherheit zu maximieren wenn Sie Schlupfspeicher freien Speicher unbenutzte NTFS Records oder ganze Datentr ger permanent l schen m chten k nnen Sie mehr als einen Durchlauf bis zu drei zum berschreiben einstellen Gem der sogenannten Clearing and Sanitization Matrix dem im Betriebshandbuch 5220 22 M des U S Verteidigungsministeriums Department of Defense DoD beschriebenen Standard Methode c kann eine Festplatte oder eine Diskette gel scht werden indem alle adressierbaren Bytes mit einem einzelnen Zeichen einmal berschrieben werden blicherweise ist dies der Hexadezimalwert 0x00 kann aber auch jeder andere Wert sein Um Festplat
41. Signatur helfen das Ende einer Datei zu finden Dateien f r die kein interner Algorithmus existiert oder f r die ein verf gbarer 143 interner Algorithmus die urspr ngliche Gr e nicht ermittelt und f r die auch kein Footer gefunden wird werden mit der in der Dateityp Definitionsdatei angegebenen Normalgr e wiederhergestellt Seien Sie eher gro z gig beim Angeben einer solchen Normalgr e da zu gro wiederhergestellte Dateien durchaus noch von ihren zugeh rigen Anwendungsprogrammen ge ffnet werden k nnen fr hzeitig abgeschnittene unvollst ndige Dateien aber nicht Der Versuch die Originalgr e von Dateien bestimmter Typen herauszufinden durch Suche nach einem etwaigen definierten Footer wird begrenzt durch ein Gr enerkennungslimit das optional ebenfalls in der Definitionsdatei hinterlegt werden kann hinter der Normalgr e und einem Schr gstrich Ein solches Limit ist erforderlich um zu verhindern da der Footer einer Datei in der gesamten Partition gesucht wird was bei einer sehr gro en Partition ziemlich zeitraubend w re Au erdem wird es immer unwahrscheinlicher den richtigen Footer zu finden je weiter entfernt vom Header man sucht und selbst wenn er sehr weit entfernt gefunden wird ist eine solche Datei wahrscheinlich fragmentiert oder teilweise berschrieben o Die Normalgr e wird wenn nicht angegeben als 1 MB angenommen Die Maximalgr e wenn nicht angegeben betr gt das 64 fach
42. Treffer Anschlie end macht er beim a in mail weiter und stellt fest da ail x ways com auch auf den GREP Ausdruck pa t Und il x ways com pa t auch ebenso wie 1 x ways com All dies k nnten g ltige E Mail Adressen sein Damit liegt der Suchalgorithmus also richtig aber i d R m chte man solche zus tzlichen Treffer als Benutzer nicht sehen Wenn Sie daher berlappende Treffer nicht erlauben werden neue Treffer erst wieder nach dem m von com gewertet berlappenden Treffer nicht zu erlauben bedeutet da alle von einem Treffer abgedeckten Zeichen allein diesem Treffer zuordnet und keinem anderen Treffer mehr geg nnt werden Suchfenster Umgebungssuche Die Gr e des Suchfensters bei der GREP Suche betr gt standardm ig 128 Bytes Das bedeutet es ist nicht garantiert da Sie mit einem GREP Suchbegriff variabler L nge d h unter Verwendung der Syntax Features Daten finden k nnen die sich ber mehr als 128 Bytes erstrecken Sie k nnen das Suchfenster verbreitern wenn Sie mehr als das abdecken m chten Das Suchfenster ist z B f r Umgebungssuchen Kontextsuchen relevant Wenn Sie Dokumente suchen in denen zwei Suchbegriff zugleich vorkommen und zwar relativ nah beieinander k nnen Sie nach diesen Begriffen mit zwei GREP Ausdr cken suchen und die maximale Entfernung die zwischen ihnen erlaubt sein soll als zweiten Parameter in den geschweiften Klammern angeben keywordl 0 maxdistance keyword2 ke
43. Typ oder Kategorie Filter Die Zeitangabe in der Date Zeile im Header einer E Mail wenn begleitet von einer Zeitzonenanzeige wie 0700 oder 0200 wird als Erzeugungsdatum und zeit ausgegeben Die Zeitangabe in der Zeile Delivery Date oder falls nicht vorhanden in der ersten Received Zeile wird das Datum und Uhrzeit der letzte nderung angezeigt Absender und Empf nger werden f r extrahierte E Mails sowie deren Datei Anh nge in den entsprechenden Spalten des Verzeichnis Browser angezeigt Sie k nnen sowohl nach Datum als auch Absender und 122 Empf nger filtern Alle Datei Anh nge und eingebettete Dateien werden sofern im E Mail Archiv gefunden Ausnahme z B AOL PFC ebenfalls extrahiert und werden im Datei berblick normalerweise zu Unterobjekten der jeweils enthaltenden E Mail Alle extrahierten E Mails und Anh nge liegen tats chlich im Metadaten Verzeichnis des Asservats und ben tigen u U viel Plattenplatz Die E Mail Extraktion aus PST kann pa wortgesch tzte PST Dateien ohne Angabe des Pa worts verarbeiten Sie unterst tzt die folgenden Codepages f r codierte PST Dateien ISO8859 1 1S08859 2 ISO8859 3 ISO8859 4 ISO8859 5 ISO8859 6 ISO8859 7 ISO8859 8 ISO8859 9 1508859 10 ISO8859 11 ISO8859 13 ISO8859 14 ISO8859 15 ISO8859 16 koi8 r koi8 u 1250 1251 1252 1253 1254 1255 1256 1257 1258 874 UTF16 UTF32 UTF8 In lteren AOL PFC Dateien k nnen Bilder auf eine besondere Weise i
44. Ways Forensics oder X Ways Investigator ausgewertet Auch sie k nnen ihre Berichtstabellenverkn pfungen exportieren woraufhin sie wieder im Originalfall importierbar sind Beide Befehle der Export und der Import von Berichtstabellen k nnen im Kontextmen des Fallbaums gefunden werden Das Exportieren wird auf der Fall und Asservatebene unterst tzt das Importieren auf der Fallebene Die Namen der Ermittler k nnen in die Namen der Berichtstabellen aufgenommen werden wenn am Ende ersichtlich sein soll wer welcher Verkn pfung vorgenommen hat Bitte beachten Sie da Sie Berichtstabellenverkn pfungen nicht mehr in den Originalfall importieren k nnen wenn Sie in der Zwischenzeit einen neuen Datei berblick erstellt haben oder Objekte aus dem Datei berblick entfernt haben denn dann ist nicht mehr garantiert da die internen IDs der Dateien gleich bleiben und eine sichere Zuordnung m glich ist Das Importieren funktioniert nur wenn man in dasselbe Asservat importiert aus dem auch exportiert wurde Gemeint ist Asservat in einem Fall in X Ways Forensics Investigator oder in einer Kopie desselben Falls Da es ggf dasselbe Image in einem anderen Fall ist hilft nicht und kann X Ways Forensics Investigator nicht wissen Auch wenn es derselbe Fall ist gibt es ein Problem wenn man das Image aus dem Fall zwischendurch entfernt und dann sp ter wieder hinzugef gt hat Dann ist es f r X Ways Forensics wie ein neues Asservat Man kann jedo
45. Zeitintervall wie etwa weniger als 5 Sekunden nicht notwendigerweise weitere Bilder erhalten Das h ngt von der Art der Codierung Kompression des Videos ab Identische Standbilder werden bei der Extraktion mit MPlayer nicht in den Datei berblick bernommen Once JPEG pictures have been exported from videos the videos can optionally be dynamically represented in the gallery with all extracted stills showing them stills in a loop to give a much more complete impression of the contents of videos without further user interaction without hav ing to explore them Thus an alternative efficient way to review a large number of videos is this Explore recursively filter for videos sort in descending order by number of child objects so that videos with a similar number of stills are shown together and activate Gallery mode Watch the various video stills for each video Proceed to the next gallery page when you are confident that no incriminating videos are represented on the current page for example when all stills have been shown which you will know is the case when the gallery has rotated back to the first still for each video 126 6 3 8 Bildanalyse und verarbeitung Des weiteren erm glicht es eine forensische Lizenz den Hautfarbenanteil in Bildern in Prozent zu berechnen sowie Schwarz Wei Bilder zu erkennen Dies kann f r die Dateitypen JPEG PNG GIF TIFF BMP PSD HDR PSP SGI PCX CUT PNM PBM PGM PPM ICO geschehen Wenn
46. aktueller Position in umgekehrter Richtung e ALT ist eine Variante des Befehls Offset aufsuchen speziell um eine bestimmte Zahl von Sektoren abw rts zu springen e ALT ist eine weitere Variante speziell um eine bestimmte Zahl von Sektoren aufw rts zu springen 40 SHIFI F7 Enges Zeichensatz wechseln SHIFT JALT F11 Block verschieben wiederholen STRG SHIFT M Anmerkungen eines offenen Asservats aufrufen BETEN EE Auto Hash Pr fsumme oder Digest neu berechnen SIRGER VE en Men des Zugriffs Schalters ffnen bei Datentr gern Es besteht die M glichkeit anzugeben wie kooperativ sich X Ways Forensics bei l nger andauernden Operationen wie Hashes Suchen verhalten soll wenn es mit anderen Prozesses um CPU Zeit konkurriert indem Sie Shift Strg F5 dr cken 0 ist dort die Voreinstellung nicht au ergew hnlich kooperativ Sie k nnen Werte wie 10 25 50 oder 100 ausprobieren 100 bedeutet maximale Bereitschaft CPU Zeit abzugeben Dies ist n tzlich wenn X Ways Forensics mehrfach zugleich von verschiedenen Benutzern auf demselben Server ausgef hrt wird damit die CPU Zeit gerechter verteilt wird ALT LINKS und ALT RECHTS erlauben das Wechseln zwischen Datens tzen innerhalb einer Schablone wie die Schalter lt und gt ALT POS1 und ALT ENDE wechseln zum ersten bzw letzten Datensatz ALT G bewegt den Cursor im Editierfenster zur aktuellen Position in einer S
47. als ein weiteres Zip Archiv erkannt Konsequenterweise wird auch dieses Archiv erkundet und die dll Datei darin als MS Word Dokument erkannt Bei der Suche nach eingebetteten Bildern findet X Ways Forensics die JPEG Datei in der doc Datei und sie wenn gew nscht sofort auf Hautfarben berpr fen All dies geschieht in einem einzigen Schritt 6 4 2 Zusatzinformationen Abgesehen von der Indexierung merkt sich X Ways Forensics komfortablerweise welche 133 Operationen schon auf welche Dateien angewandt wurden so da bei einem erneuten Durchlauf Erweitern des Datei berblicks Zeit gespart wird und keine Unterobjekte doppelt erzeugt werden usw Es merkt sich aber nicht die im einzelnen verwendeten Unteroptionen zu jeder Operation z B ob bei der Metadaten Extraktion auch Vorschau f r Browser Datenbanken erzeugen ausgew hlt war und kann diese nicht separat nachholen Sollten Sie aus irgendeinem Grund dieselbe Operation noch ein weiteres Mal auf dieselbe Datei anwenden wollen z B dann mit anderen Unteroptionen oder nach Anpassung der Dateisignatur Datenbank zur Typpr fung k nnen Sie die Datei ausw hlen und durch Dr cken von Strg Entf auf den Zustand noch zu bearbeiten zur cksetzen Dies l scht auch etwaige bereits berechnete Hautfarbenanteile extrahierte Metadaten Hash Werte Ergebnisse des Hash Abgleichs usw usf Diese Funktion entfernt jedoch keine bereits extrahierten Unterobjekte aus dem Datei berblick Dies mu
48. and they are actually utilized for the gallery only if auxiliary thumbnails are enabled see Options General To discard all internal thumbnails but keep the computed skin color percentages you may delete the file Secondary 1 in the _ subdirectory of an evidence object behind X Ways Forensics back i e when the evidence object is not currently open If you have an internal PhotoDNA hash database known photos can be recognized automatically even if visually altered If you select more strict matching allow less variation in a picture the process can be noticeably faster in huge databases Any resulting matches can be seen and fil tered in the combined Analysis column Please note that photos that are recognized via PhotoDNA already are not additionally checked for the amount of skin tone It is possible to more conveniently match pictures against the PhotoDNA hash database again for example after having added some hash values to the database or after having assigned hash val ues to different categories thanks to a new check box simply labelled Again You can still un check the Already done check box for the whole picture analysis and processing operation to also discard the results of the skin color computation and precomputed thumbnails and regenerate both plus the PhotoDNA matches from scratch Matching pictures against the PhotoDNA hash database another time is much faster if during a previous run you have X Ways Forensics st
49. as a 3 state checkbox If half checked it has an effect on the directory browser only not for the Export List or Recover Copy command for example and not in the case report X Ways Forensics remembers the tagged already viewed and excluded status of files sepa rately for each examiner You can choose to adopt the already viewed status of files in volume snapshots from all other examiners when opening evidence objects That is useful if the goal is to avoid duplicate work if you do not wish to review files that were reviewed by any of your col leagues already Please note that individual file statuses tagged already viewed and ex cluded as well as search hits of other users are lost if one examiners removes items from the volume snapshot Search hits and search terms are stored on a per user basis as well The first examiner opening an older case with v17 5 or later will absorb the search hits and search terms that were stored in the case by v17 4 or earlier The Multi user support options dialog window contains a button that 76 allows you to import the search hits and search terms of another user An option is available to limit the import of another user s search hits to search hits that are marked as notable or to that user s manually defined search hits so called user search hits Another option allows to take away the search hits from the other user when importing them Useful if the other user is going to resume h
50. as they are even less likely the re sult of some coincidence and they are usually combined in a single hit The size of all such hits is shown when listing search hits The larger the size the higher the evidentiary value of the match Please note that X Ways Forensics does not verify itself that contiguous matching blocks are in the same order as in the original file s but that can be verified manually and for data that is as unique as compressed data that is most likely the case Most suitable for selected notable files larger than a few sectors files that are ideally compressed or at least not only sparsely populated with non zero data and do not contain otherwise trivial combinations of bytes values that occur frequently Good examples are zip styled Office docu ments pictures and video files Very trivial blocks within a file that consist of mostly just 1 hash value are ignored and not hashed the same already when creating the hash set For quicker matching ideally work with a small hash database and do not select a hash type stronger than MDS Hash sets of block hashes can be created or imported in the same way as ordinary hash sets i e for selected files using the directory browser context menu but they are handled by a separate hash database for block hashes as opposed to file hashes That separate database is internally stored in a subdirectory of the main hash database directory You can create hash sets consisting of the block
51. aufzunehmen z B Navigation Sektor aufsuchen oder einen der Befehle im Navigationsmen zum Navigieren im Dateisystem verwenden All das funktioniert weil das Lesen von Sektoren deren Aufnahme in die Sicherung anst6ft Wenn Sie allerdings gezielt bestimmte Dateien sichern m chten ist das einfacher und daf r ist es eine gute Idee die st ndige indirekte Sicherung aller f r welchen Zweck auf immer gelesenen Sektoren auszuschalten so da z B eine Datei die Sie in der Vorschau betrachten allein aufgrund der Vorschau Operation noch nicht gesichert wird denn bei der Vorschau stellt sich ja evtl heraus da die Datei irrelevant ist Dazu ndern Sie den Status der im Hintergrund offenen Sicherungsdatei auf wartend ber den Status Befehl im Dateimen Im Zustand wartend erlaubt nur der Befehl Hinzuf gen zu Name der Sicherungsdatei im Kontextmen des Verzeichnis Browsers das Sichern ausgew hlter Dateien durch vor bergehendes Aktivieren des Images und Ansto en von Leseoperationen 182 Wenn Sie einige Betriebssystemdateien in die Sicherung aufnehmen m chten wie etwa Windows Registry Hives erkunden Sie die betreffende Partition vom Stammverzeichnis aus rekursiv setzen einen Filter auf solche Dateien und rufen den Befehl Hinzuf gen zu im Kontextmen des Verzeichnis Browsers auf Nur verf gbar wenn nicht zeitgleich auch ein Datei Container im Hintergrund zum Bef llen ge ffnet ist Der Ermittler der nur die
52. aus dem Hexadezimalsystem repr sentiert werden Jede der beiden Stellen steht f r eine Tetrade auch ein Nibble eines Bytes d h 4 Bits Die m glichen Ziffern dabei sind 0 9 und A F Durch nderung dieser Ziffern kann man einem Byte einem neuen Wert zuweisen Genauso ist es m glich die Zeichen zu editieren die jedem Byte zugeordnet sind Textmodus s a Zeichen eingeben Diese Zeichen k nnen z B Buchstaben oder Satzzeichen sein Beispiel Ein Byte das den dezimalen Wert 65 hat wird vom Hex Editor in der Hexadezimal Schreibweise mit 41 angeben 4 16 1 65 und in der Zeichenschreibweise mit dem Buchstaben A Die Zuordnung von Zeichen gibt der sog Zeichensatz an Entscheidend beim Editieren einer Programmdatei z B exe Datei ist da nicht die L nge der Datei die Anzahl der Bytes die sie enth lt und die relativen Positionen von Programmcode und Daten ver ndert werden Dies w rde die Ausf hrbarkeit des Programmcodes beeintr chtigen Es ist generell zu beachten da nderungen an Dateiinhalten zu anormalen Verhaltensweise der zugeh rigen Programme f hren k nnen F r viele Zwecke gen gt es sich auf das Editieren des in einer Datei vorkommenden Textes beschr nken Es ist in jedem Fall ratsam vor dem Bearbeiten eine Sicherung der Datei anzulegen Sie werden feststellen da WinHex vor der Benutzung aller entscheidenden Funktionen Sicherheitsabfragen durchf hrt die Fehlbedienungen vorbeugen 2 2 Byte R
53. chooses to not omit irrelevant files from further processing in the first place 6 3 2 Datei Typ Pr fung Eine forensische Lizenz erlaubt es Dateitypen u a anhand von Signaturen auch mit Hilfe weiterer Algorithmen zu berpr fen d h Dateinamens Dateityp Unstimmigkeiten in allen Dateien im Datei berblick aufzudecken au er denen deren urspr nglicher erster Cluster bekannterma en nicht mehr verf gbar ist Wenn z B jemand ein belastendes JPEG Bild durch Umbenennen in Rechnung xls falsche Dateiendung versteckt hat wird der erkannte Dateityp jpg in der Spalte Typ des Verzeichnis Browsers angezeigt Weitere Informationen finden Sie in den Beschreibungen der Spalten Typ und Status Die Dateisignaturen und Namensendungen die f r die Erkennung von Unstimmigkeiten verwendet werden sind in den begleitenden Dateityp Definitionsdateien definiert die Sie nach Ihren Bed rfnissen anpassen k nnen Es ist die gleiche Datenbank die auch die Grundlage f r die Datei Header Signatur Suche ist Bitte beachten Sie da die Verbindung zwischen den gegenw rtig in einem freien Cluster gespeicherten Daten und einer gel schten Datei die dort mal gespeichert war und deren Namen schwach ist so da allein schon deshalb eine Divergenz zwischen Dateiendung und erkanntem Typ bestehen kann weil einfach nur der erste Cluster einer gel schten Datei in der Zwischenzeit f r eine ganz andere Datei wiederverwendet wurde Wenn Sie die Dateityp berpr
54. dem beispielsweise der 13 Block ab dem Header der Datei als indirekter Block betrachtet wird der selbst auf die folgenden Datenbl cke verweist Diese Option zeigt keine Wirkung wenn sie auf Partitionen angewendet wird von denen WinHex wei da sie ein anderes Dateisystem als Ext2 oder Ext3 haben oder wenn ein Header gefunden wird der nicht an einer Block Grenze ausgerichtet ist Die Auswirkungen von NTFS Kompression auf Dateiinhalte k nnen bei der Datei Header Signatursuche optional besonders ber cksichtigt werden nur mit forensischer Lizenz in vielen F llen erfolgreich Wenn die Signatur einer NTFS komprimierten Datei gefunden wird wird die Datei als komprimiert gekennzeichnet und es wird versucht die Datei bei Bedarf automatisch zu dekomprimieren mit einem ausgekl gelten Algorithmus der sogar aus mehreren Kompressionseinheiten bestehende Dateien dekomprimieren kann 8 3 Dateityp Definitionen File Type Signatures txt sind durch Tabulatorzeichen in Spalten aufgeteilte Textdateien die als Datenbank von Dateityp Definitionen fungieren Sie werden verwendet beim Erweitern des Datei berblicks und beim Befehl Dateien retten nach Typ WinHex ist werksseitig mit verschiedenen Dateityp Signatur Definitionen ausgestattet Sie k nnen diese Definitionen aber beliebig an Ihren Bedarf anpassen und erweitern entweder in der Datei File Type Signatures Search GC oder in zus tzlichen Dateien desselben Formats die File Typ
55. den Wert FO AO OF 0A 11110000 10100000 00001111 00001010 besitzen dann gilt Bit 7 ist 1 Bit 15 ist 1 Bit 23 ist 0 und Bit 31 ist 0 Der resultierende uint flex ist also 1100 1 8 1 4 0 2 0 1 12 Anhang B Verzeichnis der Scriptbefehle Gro und Kleinschreibung spielt bei den Scriptbefehlen keine Rolle Kommentare d rfen berall in einem Script eingef gt werden Zu ihrer Kenntlichmachung m ssen ihnen zwei aufeinanderfolgende Schr gstriche vorangestellt werden Parameter d rften max 255 Zeichen lang sein Sollten Sie im Zweifel sein weil sowohl Hex Werte als auch Zeichenketten oder auch Zahlen als Parameter akzeptiert werden k nnen Sie Anf hrungszeichen benutzen um die Interpretation eines Parameters als Text zu erzwingen Anf hrungszeichen sind zwingend erforderlich wenn eine Zeichenkette oder ein Variablenname eines oder mehrere Leerzeichen enth lt damit alle Zeichen innerhalb der Anf hrungszeichen als ein Parameter erkannt werden Wo immer numerische Parameter erwartet werden erm glicht der integrierte Formel Parser die Verwendung mathematischer Notation Solche Ausdr cke m ssen in Klammern angegeben werden Sie d rfen keine Leerzeichen enthalten Sie d rfen zuvor deklarierte Variablen verwenden die als Integer Werte interpretiert werden k nnen Unterst tzte Operationen sind die Addition Subtraktion Multiplikation Integer Division Modulo Division bitweises AND amp bitweises O
56. der Festplatte zu sparen k nnen Sie ein Dateigr enlimit angeben oberhalb dessen keine Sicherungen mehr durchgef hrt werden so da der R ckg ngig Befehl nur noch nach Tastatureingaben zur Verf gung steht Automatisch angelegte Sicherungen f r die Benutzung durch den R ckg ngig Befehl werden von WinHex selbst ndig beim Schlie en der Datei gel scht falls die betreffende Option voll aktiviert ist Ist sie nur halb aktiviert werden sie erst bei Programmende gel scht Geben Sie f r alle Arten von Editiervorg ngen an ob sie r ckg ngig gemacht werden k nnen 161 9 5 Sicherheitsoptionen e Die Option Auf nderungen im Speicher pr fen betrifft den Arbeitsspeicher Editor Sie sorgt daf r da WinHex vor jedem Lesen und Beschreiben des virtuellen Speichers erst pr ft ob sich dessen Gr e und Zusammensetzung ge ndert hat Ist dies der Fall wird der Speicher in WinHex neu abgebildet und ein damit ein m glicher Lesefehler vermieden Besonders unter Windows NT kann diese Einstellung den Arbeitsspeicher Editor stark verlangsamen Beim Editieren des Gesamtspeichers eines Prozesses wird unabh ngig von der gew hlten Einstellung nicht auf nderungen gepr ft e In der Voreinstellung m ssen Sie das Speichern von nderungen an existierenden Dateien best tigen Wenn Sie diese Option ausschalten entf llt die Sicherheitsabfrage e Sollten die Operationen Datei berblick erweitern logische Suche und Index
57. der Quelldatei an dem die Trennung vorgenommen werden soll Die Quelldatei bleibt durch diese Funktion unber hrt Verschmelzen Geben Sie die Namen zweier Quelldateien und einer Zieldatei an Die Bytes bzw Words der Quelldateien werden abwechselnd in die Zieldatei geschrieben wobei das erste Byte aus der zuerst ausgew hlten Quelldatei stammt Auf diese Weise lassen sich die in getrennten Dateien enthaltenen Odd und Even Bytes bzw Words zu einer Datei zusammen 65 f gen z B in der EPROM Programmierung Aufspalten Geben Sie die Namen einer Quelldatei und zweier Zieldateien an Die Bytes bzw Words der Quelldatei werden abwechselnd in die Zieldateien geschrieben wobei das erste Byte Word in die zuerst ausgew hlte Zieldatei gelangt Auf diese Weise lassen sich Odd und Even Bytes bzw Words in zwei separate Dateien berf hren z B in der EPROM Program mierung Vergleichen W hlen Sie zwei Editierfenster Dateien oder Datentr ger aus die Sie Byte f r Byte vergleichen m chten Geben Sie au erdem den Namen der Datei an in die der Bericht geschrieben werden soll Bestimmen Sie ob nach Unterschieden oder nach bereinstimmungen gesucht werden soll Sie geben an wie viele Bytes verglichen werden sollen Es ist m glich eine Anzahl von Unterschieden bereinstimmungen anzugeben bei deren Erreichen der Vergleich abgebrochen werden soll WinHex erstellt einen Bericht in Form einer Textdatei den Sie mit dem unter Optionen
58. der Zugriff auf die Dateien auf diese Weise in vielen Situationen merklich schneller ist besonders auf langsamen Laufwerken wie CD DVD z B wenn Sie Hash Werte oder Hautfarbenanteile f r Dateien im Datei berblick berechnen lassen weil Microsoft Windows im voraus Daten liest und eine Datei Caching System unterh lt Ein weiterer Vorteil ist da mit Hilfe des Betriebssystems ge ffnete Dateien in WinHex editierbar sind 9 3 Viewer Programme Hier k nnen Sie die separate Viewer Komponente aktivieren und den Pfad angeben wo sie zu finden ist standardm ig im Unterverzeichnis viewer Der Pfad kann auch relativ zu dem Verzeichnis angegeben werden in dem X Ways Forensics ausgef hrt wird z B viewer oder sich auf das bergeordnete Verzeichnis beziehen z B viewer Sie k nnen entscheiden da die Viewer Komponente auch f r die Anzeige von Bildern verwandt werden soll anstelle der internen Bildanzeigebibliothek Sie k nnen Ihren Lieblings Text Editor angeben und ein HTML Betrachtungsprogramm Letzteres kann etwa MS Word oder NVU sein d h ein Programm mit dem Sie HTML Fallberichte wie von X Ways Forensics automatisch erzeugt weiter bearbeiten k nnen Zum blo en Ansehen und Ausdrucken ist der Internet Explorer zu empfehlen Wenn die interne Grafikanzeigebibliothek zum Einsehen von Bilder verwendet wird nicht die Viewer Komponente kann das vorherige Einsehen Fenster optional automatisch geschlossen werden wenn
59. die Partitionsnumerierung beeinflussen Z B wird eine Partition Nr 3 zu Partition Nr 4 wenn vor ihr eine gel schte Partition erkannt wird e Caching beim Lesen von Sektoren beschleunigt den sequentiellen Datentr gerzugriff durch den Disk Editor Diese Option empfiehlt sich insbes beim Durchsehen von CD ROM und Disketten Sektoren da sie die Zahl der erforderlichen physischen Zugriffe stark herabsetzt e Wenn die Option Auf berhangsektoren testen ausgeschaltet ist versucht WinHex nicht beim ffnen einer physischen Festplatten auf berhangsektoren zuzugreifen Diese Sektoren befinden sich am Ende der Festplatte au erhalb der logischen C H S Geometrie weshalb sie vom Betriebssystem nicht benutzt werden Falls zus tzliche Sektoren gefunden werden speichert WinHex deren Erkennung f r das n chste Mal wenn Sie eine Festplatte physisch ffnen Sie k nnen dann aber immer noch einen erneuten Test erzwingen indem Sie beim ffnen die Shift Taste gedr ckt halten Das Testen auf berhangsektoren kann auf einigen Systemen in Ausnahmef llen sehr lange Wartezeiten mit sich bringen merkw rdiges Verhalten des Windows Systems oder sogar Sch den an der Betriebssystem Installation hervorrufen e Die alternative Plattenzugriffsmethode 1 f r physische Festplatten kann Ihnen u U Zugriff erm glichen auf Festplatten die mit einer unkonventionellen Sektorgr e formatiert sind oder andere Datentr ger auf die sonst nicht zugeg
60. diverse regionale Varianten von denen eine in Windows aktiv ist typischerweise Codepage 1252 in L ndern in denen eine westeurop ische Sprache gesprochen wird MS DOS und Kommandozeilenfenster von Windows benutzen den IBM ASCII Zeichensatz anderswo auch als OEM oder DOS Zeichensatz bezeichnet All diese 8 Bit Erweiterungen des 7 Bit ASCII Zeichensatzes unterscheiden sich in der Zuordnung von Zeichen deren Wert 127 bersteigt Wenn Sie beispielsweise einen Text mit dem Windows Notizblock notepad exe verfassen und in ANSI Codierung abspeichern und ihn sich sp ter mit dem type Befehl in einem Kommandozeilenfenster ansehen dann werden Umlaute und diverse Sonderzeichen nicht richtig dargestellt Einige der regionalen ANSI Codepages sind Doppelbyte Codepages d h sie verwenden sogar 2 Bytes f r einige Zeichen statt nur 1 Byte pro Zeichen W hlen Sie daher im Ansicht Men IBM ASCI nur dann wenn Sie mit WinHex eine Datei editieren die zu einem DOS Programm geh rt Sie sehen dann die in der Datei enthaltenen Texte wie sie auch in diesem Programm erscheinen Die von ihnen eingegebenen Zeichen werden dann umgekehrt auch richtig in diesem DOS Programm dargestellt Wenn Sie hingegen eine typische Windows Datei bearbeiten Initialisierungsdateien von Windows Programmen Windows Programmdateien usw sollten Sie die Option ANSI ASCII aktivieren Mit der Funktion Konvertieren im Bearbeiten Men k nnen Textdateien von einem Z
61. einfach per Zugriffsschaltermen zugreifbar machen Wenn kein bekanntes Dateisystem begin nend am aktuell angezeigten Sektor erkannt wird werden Sie gefragt wie viele Sektoren in der neu zu definierenden Partition enthalten sein sollen Plattenparameter eingeben Benutzen Sie diese Funktion f r einen physischen Datentr ger um erkannte Gesamtzahl von Sektoren oder optional kann freigelassen werden die Zahl der Zylinder K pfe und Sektoren pro Spur anzupassen Zylinder K pfe und Sektoren pro Spur sind heutzutage praktisch allesamt bedeutungslos Dies kann n tzlich sein um auf etwaige berhangsektoren am Ende des Datentr gers zugreifen zu k nnen falls die Zahl der zugreifbaren Sektoren nicht automatisch richtig erkannt wurde oder um das CHS Koordinatensystem nach Ihren W nschen zu ndern Alternativ gibt es die M glichkeit die erkannte Sektorgr e von physischen Festplatten oder Images zu ndern Wenn Sie die Sektorgr e ndern wird die Gesamtzahl der Sektoren entsprechend angepa t Wenn Sie z B die Sektorgr e von 512 Bytes auf 4 KB ndern d h mit 8 multiplizieren dann wird die Sektoranzahl automatisch durch 8 dividiert um die insgesamt erkannte Plattenkapazit t beizubehalten in der Annahme da diese korrekt war RAM ffnen s RAM Editor Einsehen Verf gbar nur mit einer forensischen Lizenz Ruft den internen Viewer auf Externe Programme Ruft eins der im Optionen Men eingestellten externen Pro
62. f r die korrekte hierarchische Einordnung des Unterobjekts ben tigt wird Daher mu das k nstliche Verzeichnis etwas anders benannt werden Der Name kann nach einer benutzerdefinierten Anzahl von Zeichen abgeschnitten werden und das ist besonders f r E Mails n tzlich die nach ihrer Betreffzeile benannt werden und nat rlich Datei Anh nge als Unterobjekte enthalten k nnen um berlange Pfade zu vermeiden Auch kann entweder ein benutzerdefiniertes Suffix von 1 Zeichen L nge angeh ngt werden und standardm ig ist das ein spezielles Unicode Zeichen das in vollst ndigen Unicode Schriftarten unsichtbar ist so da das Verzeichnis den gleichen Namen wie die entsprechende Elterndatei zu haben scheint oder eine Beschreibung wie Unterobjekte aber das verl ngert leider die Gesamtpfadl nge die ja allzuoft normale Grenzen berschreitet Wenn das Eingabefeld f r das Suffix Zeichen leer zu sein scheint dann liegt das wahrscheinlich daran da es das bereits erw hnte unsichtbare Unicode Zeichen enth lt Dieses Zeichen hat eine Breite von 0 Um es durch ein anderes Zeichen zu ersetzen entfernen Sie es zun chst durch Klicken in das Eingabefeld und Dr cken der R cksetz Taste auf der Tastatur Existierende und gel schte Objekte k nnen in separaten Ausgabeverzeichnissen Ex und Del gruppiert werden Weitere Gruppierung Klassifizierung von kopierten Dateien in separaten Verzeichnissen basierend auf ausgew hlten Verzeichn
63. ffnet werden k nnen ist dies eine forensische einwandfreie Operation da sie keinerlei Zeitstempel o 4 im Dateisystem beeinflu t weil das Betriebssystem bergangen wird und die Logik zum Lesen des Dateiinhalts aus den richtigen Datentr gersektoren in WinHex selbst f r diverse Dateisystem implementiert ist Allerdings k nnen an Dateien die auf diese Weise ge ffnet wurden keine nderungen vorgenommen werden Im Fall eines Verzeichnisses werden die Datenstrukturen des Verzeichnisses ge ffnet Drucken Wenn die separate Viewer Komponente aktiv ist K nnen Sie Dateien zum Drucken ausw hlen Erlaubt es mehrere ausgew hlte Dokumente ohne Unterbrechung zu drucken und ohne Klicks nach jedem Dokument optional zusammen mit Unterobjekten z B E Mail Anh nge zusammen mit der zugeh rigen E Mail Das optionale Deckblatt enth lt Datum und Uhrzeit an denen der Druckauftrag gestartet wurde und ausgew hlte Metainformationen wie Dateiname Pfad Asservatname Dateigr e Beschreibung Zeitstempel Kommentare usw Das Deckblatt wird von X Ways Forensics selbst gedruckt die folgenden Seiten mit dem eigentlichen Dokument von der Viewer Komponente Eine weitere M glichkeit ist X Ways Forensics den Dateinamen und Pfad oben auf die erste Seite drucken zu lassen Diese Option ist nicht denselben Pfadl ngenbeschr nkungen unterworfen wie der optional von der Viewer Komponente gedruckte Header Um zu vermeiden da der Pfad auf der ersten Seite zwe
64. filenames are typically much more meaningful than random names that are assigned just to guarantee uniqueness in a single directory for backup purposes Examples of such random names are 3a1c41282f45f5fld1f27a1ld14328c0ac49ad5ae for a file in an iPhone backup or RAE2PBF jpg Windows recycle bin The current filename according to the file system can still be seen in square brackets in the Name column as well as in Details mode and the Name filter will find both the original and the current name so that current filename is not completely lost Alternative names and timestamps are also extracted from Linux PNG thumbnails as known from Ubuntu and Kubuntu distributions desktop manager MATE and GNOME ThumbnailFactory The name of the original file is shown in square brackets in the Name column and the recorded timestamp of the original file is shown as a Content created timestamp The complete path of the original file can be seen in the Metadata column e Fullt die Spalten Absender und Empfanger fiir Original EML Dateien f Erzeugt Vorschauen fiir SQLite Datenbanken von Internet Browsern was z T voraussetzt da die Dateien auf ihren wahren Typ hin gepr ft wurde Unterst tzt Firefox History Firefox 120 Downloads Firefox Form History Firefox Sign Ons Chrome Cookies Chrome Archived History Chrome History Chrome Log In Data Chrome Web Data Safari Cache Safari Feeds und Skype s main db Datenbank ber Kontakte und Datei Transfer
65. gel schte E Mail Archive ihren L schzustand auf alle in ihnen enthaltenen E Mails Verzeichnisse und Datei Anh nge bertragen Das erscheint logisch aber geht einher mit einem Verlust an Information da je nach Bezugssystem alles als gel scht angezeigt wird selbst Dateien bzw E Mails die aus Sicht des Dateisystems bzw der E Mail Archivs nicht gel scht waren sondern noch existierten als die Partition bzw die Datei gel scht wurden Standardm ig ist diese Option nicht aktiv so da X Ways Forensics zwischen existierenden und gel schten Dateien und E Mails auch in gel schten Partitionen gel schten E Mail Archiven unterscheidet so da mehr Informationen erhalten bleiben Bereinigung des freien Speichers Erlaubt es Ihnen mit einer angepa ten virtuellen Datei Freier Speicher zu arbeiten die um diejenigen Cluster reduziert wird die erkannt wurden als zugeh rig zu ehemals existierenden Dateien um den Speicherplatz in Dateisystemen zu minimieren der f r logische Suchen und zum Indexieren doppelt gelesen wird Nach dem ndern dieser Option und nach Entdeckung weiterer ehem existierender Dateien wird die virtuelle Datei aktualisiert wenn sie das n chste Mal ge ffnet wird z B beim Ausw hlen der Datei im Datei Modus oder die Datei bei der logischen Suche an der Reihe ist Relative Offsets der Suchtreffer in dieser virtuellen Datei werden u U falsch wenn sie sich ndert z B wenn weitere Cluster weiteren identifiziert
66. gen oder Images Dateien die wie Datentr ger interpretiert werden s Specialist Men sowie Hauptspeicher Abbilder und Verzeichnisse auf Ihrem eigenen Computer Das Hinzuf gen eines Verzeichnisses anstelle einer ganzen Partition oder einer ganzen Festplatte kann n tzlich sein wenn das relevante Verzeichnis oder die relevante Datei auf einem Laufwerk mit vielen irrelevanten Dateien liegt wenn Sie lediglich einige wenige dieser Dateien einsehen hashen durchsuchen auf Metadata pr fen oder in einem Datei Container aufnehmen m chten Ein Fall wird in einer xfc Datei gespeichert xfc steht f r X Ways Forensics Case und in einem Unterordner desselben Namens nur ohne die xfc Erweiterung Dieser Unterordner und dessen Unterordner werden automatisch beim Anlegen des Falls erzeugt Den Basisordner f r Ihre F lle k nnen Sie unter Allgemeine Optionen ausw hlen Es ist nicht erforderlich einen Fall explizit zu speichern es sei denn Sie m chten sicher sein da er zu einem bestimmten Zeitpunkt gesichert ist Ein Fall wird sp testens dann automatisch gespeichert wenn er geschlossen wird oder Sie das Programm verlassen Die einzige Ausnahme ist die Verwendung des Befehls Fall schlie en nicht speichern For example if you have accidentally lost your carefully set tag marks by untagging all with a misdirected click in the column header or if you accidentally lost report table associations by pressing Ctrl 0 for all selected files it is im
67. gew hlt ist wird nur eine Statistik ber die direkte Auswahl im Verzeichnis Browser angezeigt nicht ber ggf ber Verzeichnisse indirekt mit ausgew hlte Unterobjekte Wenn die Option halb gew hlt ist ber cksichtigt die Statistik Unterobjekte von Verzeichnissen aber nicht Unterobjekte von Dateien Das Markieren oder Ausblenden von Objekten im Verzeichnis Browser kann rekursiv oder nicht rekursiv erfolgen Nicht rekursiv bedeutet da das Markieren Entmarkieren Aus blenden Einblenden einer Datei oder eines Verzeichnisses keine Auswirkung auf den Status von Eltern und Unterobjekten oder bergeordneten oder Unterverzeichnissen hat N tzlich z B wenn Sie eine Operation beim Erweitern des Datei berblicks auf alle Unterobjekte einer Datei anwenden m chten oder alle Unterobjekte einer Datei durchsuchen m chten die Elterndatei selbst aber nicht Bei rekursivem Vorgehen ist es nicht m glich ein nicht markiertes Elternobjekt zu haben desse Unterobjekte alle markiert sind Im mittleren Zustand der Option erben Unterobjekte weiterhin die Markierung von ihrem Elter in dem Moment in dem sie dem Datei berblick hinzugef gt werden z B wenn Sie E Mails und Datei Anh nge aus markierten E Mail Archiven extrahieren Ob Markieren und Ausblenden rekursiv funktioniert oder nicht das k nnen Sie auch durch Dr cken der Umschalttaste steuern Rekursives Markieren Entmarkieren in gro en Datei berblicken kann sehr langsam sein Es gibt eine Opt
68. gibt eine Reihe von Befehlen die in Abh ngigkeit von den aktuell ausgew hlten Objekten verf gbar sind Ein Doppelklick auf Dateien oder Verzeichnisse l st je nach Kontext entweder Einsehen Erkunden oder den Aufruf des verkn pften externen Programms aus Einsehen Hiermit k nnen Windows Registry Dateien und diverse Bilddateiformate mit dem internen Viewer von WinHex eingesehen werden Falls die separate Viewer Komponente von X Ways Forensics aktiv ist werden alle anderen Dateien an diese Komponente bergeben Falls nicht wird statt dessen das erste installierte externe Programm aufgerufen Ausnahmen zu allem bisher gesagten sind Dateien mit mehr als 2 GB Gr e und die NTFS Systemdateien Diese werden immer in Datenfenstern ge ffnet Beim Einsehen einer Datei in einem separaten Fenster k nnen Sie Strg Bild abw rts aufw rts dr cken um das Fenster zu schlie en und die n chste Datei im Verzeichnis Browser in einem neuen Fenster einzusehen Wenn ein Einsehen Fenster ein Bild darstellt und das Einsehen auf 1 Bild zur gleichen Zeit beschr nkt ist wird das Fenster beim Dr cken der Pfeiltasten in der Galerie aktualisiert Das ist besonders bei Verwendung eines bergreifenden Desktops n tzlich wenn das Einsehen Fenster auf dem zweiten Bildschirm zentriert ist und die Galerie auf dem ersten Bildschirm angezeigt wird Vermeidet da man die Eingabe Taste dr cken mu um ein Bild einzusehen und eine weitere Taste um das
69. gr er als 1 MB sind in zuf lliger Reihenfolge zu sehen oder nur Dateien eines bestimmten Benutzers Pseudo Hashes sind nicht garantiert eindeutig Es ist nicht mal sicher da sie gleich bleiben wenn Sie ein Asservat schlie en und wieder ffnen Welcher von potentiell zwei Hash Werten pro Datei im Datei berblick in der Hash Spalte angezeigt wird kann in dem Dialogfenster mit den Verzeichnis Browser Optionen ge ndert werden Entweder wird der erste Hash Wert oder der zweite oder beide zu gleichen Zeit angezeigt letzteres wenn das Kontrollk stchen daf r halb angekreuzt ist Der Hash Spalten Filter wird auf den Hash Wert oder die Hash Werte angewandt die zu der Zeit angezeigt werden Welche r Hash Typ en in der Hash Spalte angezeigt werden kann man im Spaltenkopf sehen Die Namen der Hash Sets in der internen Hash Datenbank in denen der Hash Wert der Datei gefunden wurde Bis zu 64 Treffer werden aufgef hrt Filter ver f gbar The Hash Set column shows known matches for both internal hash data bases simultaneously The filter can be used to filter for selected hash sets of one of the databases at a time The database to choose hash sets from can be selected in the filter dialog nur forensische Lizenz 33 Hash Die Kategorie des Hash Sets in dem der Hash Wert der Datei sofern verf gbar Kategorie enthalten ist Entweder irrelevant oder beachtenswert oder nicht angegeben Filter verf gbar Note to users
70. haben mit einem einzigen Klick Dies ist besonders n tzlich f r wiederkehrende Aufgaben Wenn Sie ein Projekt laden werden erst alle zum gegenw rtigen Zeitpunkt ge ffneten Fenster automatisch geschlossen Au erdem speichert WinHex automatisch die Fensteranordnung am Ende einer WinHex Sitzung als Projekt und kann sie beim n chsten Mal wiederherstellen Jedes Projekt wird in einer prj Datei gespeichert Ein Projekt kann gel scht bzw umbenannt werden indem Sie im Start Center das Kontextmen benutzen oder das Projekt markieren und die Entfernen bzw F2 Taste auf Ihrer Tastatur dr cken Nicht zuletzt ist das Start Center auch der Ort an dem Sie Scripte verwalten k nnen Mit Hilfe des Kontextmen s lassen sich Scripte auf die Syntax pr fen bearbeiten neu erstellen umbenennen und l schen Um ein Script auszuf hren klicken Sie es entweder doppelt an oder nur einfach und bet tigen dann den OK Schalter 3 3 Verzeichnis Browser 3 3 1 Allgemeines Der wohl zentralste Bestandteil der Benutzeroberfl che von WinHex und X Ways Forensics ist der sog Verzeichnis Browser an der der Liste auf der rechten Seite im Windows Explorer hnelt Die Hauptaufgabe des Verzeichnis Browsers ist die Anzeige von und Interaktion mit dem Datei berblick Voller Funktionsumfang nur mit forensischer Lizenz Der Verzeichnis Browser listet standardm ig zuerst Verzeichnisse gruppiert auf dann Dateien Komprimierte Dateien werden in blauer Schrift ang
71. hlt sind und nicht mit einem erzwungen oder mit einem ausgeschlossen werden Max 1 listet Suchtreffer nur dann auf wenn sie in Dateien enthalten sind die keinen der anderen ausgew hlten Suchbegriffe enthalten Wenn Sie bei z B bei 3 Suchbegriffen auf anderem Weg dasselbe Ergebnisse sehen wollten m ten Sie die Suchtreffer zu Suchbegriff A auflisten lassen bei Ausschlu von B und C dann die Suchtreffer zu B beim Ausschlu von A und C und dann die Suchtreffer von C bei Ausschlu von A und B was nat rlich l ngst nicht so elegant und komfortabel ist und all solche singul ren Suchtreffer nicht gleichzeitig zeigt Wenn 2 Suchbegriffe in der Suchbegriffsliste ausgew hlt sind und mit einem logischen UND verkn pft werden egal mit welcher der beiden verf gbaren Methoden k nnen Sie zus tzlich einstellen da Suchtreffer zu den Suchbegriffen nahe beieinander NEAR vorkommen m ssen um aufgelistet zu werden um mit h herer Wahrscheinlichkeit relevante Kombinationen beider Suchbegriffe in derselben Datei zu finden genau wie mit einer Umgebungssuche Die maximale Entfernung zwischen den Suchtreffern die noch als nahe beieinander gewertet werden soll k nnen Sie in Bytes definieren Eine NEAR Kombination kann auch auf mehr als 2 ausgew hlte Suchbegriffe angewandt werden Die Wirkung ist da ein Suchtreffer nur dann aufgelistet wird wenn irgendein anderer der ausgew hlten Suchbegriffe in der N he vorkommt Die dem z
72. im Unterordner log eines Fallordners abgelegt If Include screenshots in log in the case properties is half checked that means that no actual screenshots of dialog windows will be taken just a simple ASCII representation will be stored in the log the same that you get when via Ctrl C These details are included in a special way in the HTML output so that they do not detract too much from the main log entries Either they are output in a smaller font and gray color if Include screenshots in log is fully checked or simply 81 as a pop up when hovering with the mouse cursor over a space saving placeholder rectangle as known from Windows registry reports in X Ways Forensics if half checked or not at all if not checked The placeholder rectangle and pop up work best when viewed in Google Chrome as that browser does not truncate the text if lengthy and even shows a preview of the first line in the placeholder rectangle If you have X Ways Forensics take conventional real screenshots of dialog boxes in the log pixels with the gray background color can be changed to pure white to save toner ink in case you are going to print your log at some time anyway please think twice and save paper 5 5 Fallbericht Sie k nnen einen Bericht mit dem entsprechenden Befehl im Dateimen des Falldaten Fensters erzeugen Der Bericht wird als HTML Datei gespeichert und kann daher in einer Vielzahl von Applikationen angezeigt und ge ffnet werd
73. im Windows Kontextmen eintragen Das Kontextmen s u sehen Sie wenn Sie im Windows Explorer oder auf dem Desktop mit der rechten Maustaste ein Objekt anklicken Wenn Sie die Option nur halb aktivieren gibt es keinen Kontextmen Eintrag f r einzelne Dateien Einstellungen in cfg Datei speichern If half checked the settings are saved whenever the program terminates cleanly If fully checked then every time when you click OK in any dialog window could be useful if the program does not terminate cleanly to avoid that you lose your later settings If totally unchecked the program settings will not be saved at all except if you hold the Shift key when exiting the program which is necessary once if you would like to save in the cfg file the setting that from then on the settings should not be saved again Festplatten Partitionen werden standardm ig basierend auf ihrer Lage durchnumeriert Wenn die Option Gel schte Partitionen erkennen eingeschaltet ist versucht WinHex leicht zu findende gel schte Partitionen zu entdecken die sich in L cken zwischen existierenden Partitionen befinden oder direkt am Anschlu an die letzte Partition im 150 unpartitionierten Bereich und zwar beim ffnen physischer Festplatten Solcherlei zus tzlich erkannte Partitionen werden im Zugriffsschaltermen mit aufgelistet und dort als gel scht gekennzeichnet Bitte beachten Sie da in Partitionsl cken gefundene gel schte Partitionen
74. ist abh ngig von Gro und Kleinschreibung Widerstehen Sie der Versuchung ein Wort aus einer belieben Sprache zu w hlen Am besten ist eine zuf llige Kombination von Buchstaben Satzzeichen und Ziffern Beachten Sie da Gro und Kleinbuchstaben unterschieden werden Es ist unm glich ohne den richtigen Schl ssel die verschl sselten Daten wiederherstellen zu k nnen Der zur Entschl sselung eingegebene Schl ssel wird nicht auf Korrektheit berpr ft Verschl sselungsalgorithmus 256 Bit AES Rijndael im Counter Modus CTR Dieser Algorithmus benutzt einen 256 Bit Schl ssel der mit SHA 256 gehasht wird aus der 512 Bit Konkatenation des SHA 256 des von Ihnen angegebenen Schl ssels und 256 Bits kryptographisch einwandfreien Zufallszahlen Salz Die Datei wird um 48 Bytes vergr ert um das Salz 32 Bytes und einen 16 Byte gro en zuf llig gew hlten Initialz hlstand unterzubringen WinHex erlaubt es nicht nur eine gesamte Datei sondern alternativ auch nur einen Block von Daten zu verschl sseln In diesem Fall werden Sie jedoch gewarnt da weder Salz noch ein zuf lliger Initialz hlstand verwendet werden Sie d rfen dann keinesfalls denselben Schl ssel mit derselben Methode wiederverwenden um andere Daten zu verschl sseln Die Gr e des Blocks bleibt unver ndert 10 4 berlagerung von Sektoren Mit dieser Funktion k nnen Sie Sektoren von als schreibgesch tzt ge ffneten Datentr gern oder 171 inte
75. it is listed in its first report table in the report if you output the field Report table If the checkbox is half checked that means that a file will still be referenced listed by additional report tables in the report if it has multiple associations but copied only once and linked only from the first report table A special option allows to output the complete internal metadata from a file in the case report as known from Details mode in HTML format instead of the extracted subset in the Metadata column in plain text Fallprotokoll Standardm ig wird der Bericht f r den gesamten Fall erstellt Optional kann er nur f r ausgew hlte Asservate erstellt werden It is relatively easy to use CSS cascading style sheets for case report format definitions In addition to defining the parameters for standard HTML ele ments key elements of the report are assigned class parameters to simplify targeting those for formatting purposes Example style sheets are available to use as a basis for further modification The report options allow picking or editing a CSS file as part of the reporting process The de fault is Case Report txt The default look from v18 0 and earlier is still available as Case Re 83 port Classic txt 5 6 Berichtstabellen Im Verzeichnis Browser eines Asservats kann man relevante Dateien in Berichtstabellen aufnehmen Eine Berichtstabelle ist einer benutzerdefinierte virtuelle Liste von Dateien insbes re
76. kann Ihnen helfen eine Rettung mit der korrekten Dateigr e zu erreichen GREP Ausdr cke die Daten variabler L nge repr sentieren funktionieren u U nicht wie erwartet Der Algorithmus sucht hinter dem Header nicht weiter nach Footern als durch die in Bytes angegebene maximale Dateigr e bestimmt Noch besser als eine Footer Signatur ist die Verf gbarkeit eines intern in X Ways Forensics verwendeten Algorithmus der das Dateiformat gut kennt und die korrekte Dateigr e normalerweise ermitteln kann wenn die Datei nicht fragmentiert unvollst ndig oder defekt ist Solch ein Algorithmus wird in der Footer Spalte mit einer Tilde und einer ID Nummer angegeben 6 Spalte Default size Optional Eine dateitypspezifische Normalgr e in Bytes optional gefolgt von einem Schr gstrich und einer dateitypspezifischen Gr enerkennungsgrenze 7 Spalte Flags 146 Optional Flags k nnen die Datei Header Signatur Suche f r bestimmte Dateitypen noch individueller und genauer gestalten und sind ein weiteres Anzeichen daf r wie ausgekl gelt und m chtig das Datei Carving in X Ways Forensics ist b kleingeschrieben Die Signatur wird auf Byte Ebene gesucht wenn dies gem Einstellungen in der Benutzeroberfl che erlaubt wird Hilfreich insbes f r Eintr ge Datens tze Mikroformate Speicher Artefakte d h keine vollst ndigen herk mmlichen Dateien die typischerweise nicht an Sektor oder Cluster Grenzen ausgerichtet sind
77. lfte des Datenfensters mit dem Disk Partitions Volume Modus Datei Modus Vorschau Galerie usw vom Datenfenster zu l sen indem man die drei Punkte links von den Modus Schaltern anklickt Dann kann diese H lfte frei verschoben und in der Gr e ge ndert werden Bei Mehrmonitorsystemen ist es m glich diesen Teil der Benutzeroberfl che auf einen anderen Bildschirm zu schieben und ihn dort sogar zu maximieren Das Wiedereingliedern in das Hauptfenster geschieht durch erneutes Klicken auf die drei Punkte oder Klick auf den Minimieren Schalter SCH 3 5 Statusleiste Die Statusleiste zeigt beim Einsehen einer Datei folgende Informationen an 1 Feld aktuelle Seite und Anzahl der Seiten auf denen die aktuelle Datei dargestellt wird 2 Feld Cursorposition Offset in der Datei 3 Feld ins Dezimalsystem bersetzte Hex Werte an der Cursorposition 4 Feld Blockanfang und ende falls festgelegt 5 Feld Gr e des Blocks in Byte dto Durch einen Klick der linken Maustaste l t sich e im 1 Feld eine andere Seite aufschlagen e im 2 Feld den Cursor zu einem bestimmten Offset bewegen e im 3 Feld das Format festlegen in dem die Hex Werte als Zahlen des Dezimalsystems interpretiert werden und e im 4 und 5 Feld den Block neu definieren Klicken Sie mit der rechten Maustaste um in einem Feld der Statusleiste angezeigte Informationen in die Zwischenablage zu kopieren Durch einen Mausklick rechts im 2 Feld der Statu
78. n tzlich weil mehr Platz f r andere Spalten bleibt wenn die ausschlie lich f r extrahierte E Mails gef llten Spalten nicht ben tigt werden Die Spalten mit alternativen Zeitstempeln 21 k nnen auch dynamisch angezeigt werden n mlich dann wenn Dateien die solche Zeitstempel im Datei Uberblick haben im sichtbaren Bereicht des Verzeichnis Browsers enthalten sind The Ist sector column can optionally show physical start sector numbers for files in partitions counted from the start of the physical disk or disk image instead of logical start sector numbers if the partition was opened from within the physical disk disk image In that case the column label contains a P in a circle P for physical Only for ordinary partitions not Windows dynamic volumes or LVM2 volumes SHA 1 Hash Werte k nnen immer in Base32 Notation im Verzeichnis Browser angezeigt werden wie in P2P Programmen blich Conditional cell background coloring helps to draw your attention to items of interest with out having to filter out all non matching items Matching items are found through a substring search in the cell contents of a selected column Substring expressions may be up to 15 charac ters long You may use an asterisk to match anything except blank cells If a match is detected in a cell either only the background of that particular cell can be colored called cell targeted coloring or the entire line To color an entire column regardless of the ce
79. nden in sehr geringer Genauigkeit gespeichert Die Abmessungen werden gleichzeit mit der Hautfarbenerkennung berechnet au erdem beim Betrachten der Bilder Vollbildmodus Vorschau oder Galerie N tzlich um z B unterscheiden zu k nnen zwischen kleinen Bildchen aus dem Browser Cache die man sich beim Surfen im Internet einf ngt und hochaufgel sten Digitalfotos mit Hilfe des 31 Analyse Hash zugeh rigen Filters Der Filter erlaubt es sich zu konzentrieren auf Bilder die weniger oder gleich viele Pixel enthalten wie von Ihnen angegeben oder mehr oder gleich viel oder beides auf einmal Der Filter arbeitet aufgrund der geringen Genauigkeit der Speicherung nur ann hernd exakt Sofern zumindest 1 Standbild aus einer Video Datei exportiert wurde sieht man die ungef hre Aufl sung des Videos ebenfalls in dieser Spalte nur forensische Lizenz Kombinierte Spalte die von FuzZyDoc ermittelte bereinstimmungen von Textdokumenten zeigt sowie PhotoDNA Zuordnungen von Bildern und den berechneten Hautfarbenanteil von Bildern oder die Tatsache da es sich um ein Schwarzwei oder Graustufenbild handelt oder um ein so kleines Bild da es keinen relevanten Inhalt haben kann Verf gbar nach dem Erweitern des Datei berblicks sofern die zugrundeliegende Technologie verf gbar ist Sorting or filtering by this column is the most efficient way to discover traces of e g child pornography or search for scanned documents gray scale
80. nnen um 30 Verweise Dateianzahl Begr anzahl Suchbegriffe Seitenzahl Pixel nach bestimmten E Mails zu suchen Da der Filterausdruck als Teilwort interpretiert wird sind Jokerzeichen nicht erforderlich nur forensische Lizenz Die Anzahl der sog Hard Links der Datei oder des Verzeichnisses d h wie oft sie bzw es von einem Verzeichnis referenziert wird nur forensische Lizenz A hard link that just provides a short filename SFN to satisfy the legacy 8 3 re quirements of old Microsoft DOS Windows versions is not counted as a hard link Instead such files get their hard link count marked with a in the Links column of the directory browser That way the hard link count more accurately reflects the hard links actually present in the volume snapshot of X Ways Forensics and nor mal files always have a count of 1 whereas 2 or more means something more spe cial If a hard link count of 1 is marked with an asterisk that means that the file or directory is stored as hard linked in the directory structure in HFS al though it would not be necessary based on the hard link count If the hard link count is grayed out that designates files that will be optionally omitted during a logical search to avoid unnecessary duplicate search efforts and duplicate search hits Die Gesamtzahl der in einem Verzeichnis oder ein einer Datei mit Unterobjekten im Datei berblick enthaltenen Dateien rekursiv d h auch weitere Unterv
81. of characters or more When in doubt use the Match against full name option not the substring search for better performance If an original name is found for a file in the Windows recycle bin or in an iPhone backup or certain other files during metadata extraction that name is displayed in the Name column with the current unique name in square brackets The current unique name is now also shown in square brackets in the case report Both names are targeted by the Name filter Der Kopf der Namensspalte erlaubt es alle aufgelisteten Objekte mit einem einzigen Mausklick schnell zu markieren oder zu entmarkieren Er dient auch als Hinweis darauf ob sich unter ggf sehr vielen aufgelisteten Objekte markierte oder nicht markierte Objekte befinden Dateinamenserweiterung Dateiendung Der Teil des Dateinamens der dem letzten Punkt folgt sofern vorhanden es sei denn der letzte Punkt ist das allererste Zeichen im Dateinamen nicht un blich in der Unix Linux Welt Nur forensische Lizenz Dateityp Wenn die Header Signatur einer Datei nicht gezielt berpr ft wurde s Datei berblick erweitern ist diese Spalte blo eine 25 Typ Status Typ Beschreibun 8 Wiederholung der Dateiendung und wird grau angezeigt Andernfalls wenn die Pr fung der Dateisignatur die wahre Natur der Datei enth llt hat wird eine typische Endung dieses Dateiformats ausgegeben Diese Endung wird in Schwarz angezeigt wenn sie identisch ist mit der ta
82. optional Of course X Ways Forensics generally still tries to prevent duplicates but if the file header signature definition or the internal file size detection is strong enough to suggest that a known deleted file was overwritten with a new file then that new file will be carved although it shares the same start sector with the known file If you intentionally abort the file header signature search or if the file header signature search causes X Ways Forensics to crash next time when you start a file header signature search in the same evidence object you will find an option to resume it right where it was interrupted or where it was when the volume snapshot was last saved before the crash occurred depends on the auto save interval of the case Sie k nnen den Erfassungsbereich der Datenrettung wenn gew nscht auf einen ggf ausgew hlten Block einschr nken und oder auf belegten oder unbelegten Speicher bei einem logischen Laufwerk oder einer Partition verf gbar Um nur Dateien zu retten die gel scht worden sind w hlen Sie unbelegten Speicher Dateien die z B nur aufgrund von Dateisystemfehlern nicht 144 mehr zugreifbar sind k nnen dagegen durchaus noch in als belegt gekennzeichneten Clustern gespeichert sein Die Option Ext2 Ext3 Block Logik anwenden veranla t diese Wiederherstellungsmethode von der Standardannahme nicht fragmentierter Speicherung abzuweichen Statt dessen folgt sie dem typischen Ext Block Muster in
83. r jede Komponente ber den Men befehl Extras Disk Tools Plattenparameter eingeben als Gesamtzahl der Sektoren an Da entweder Komponentenreihenfolge Blockgr e Verteilungsmuster oder RAID Header Gr e nicht korrekt von Ihnen ausgew hlt wurden erkennen Sie normalerweise daran da keine Partitionen erkannt werden oder Partitionen mit unbekannten Dateisystemen oder mit Dateisystemen die nicht richtig interpretiert werden Wenn Sie zusammengesetztes RAID System einem Fall hinzuf gen und optional daraus ge ffnete Partitionen werden die gew hlten RAID Parameter zusammen mit dem Asservat gesichert so da Sie auf das RAID System zu einem sp teren Zeitpunkt ohne Zeitverlust erneut zugreifen k nnen nur forensische Lizenzen RAID Level 5 und 6 werden von verschiedenen RAID Controller Herstellern in unterschiedlicher Weise implementiert d h sie verwenden unterschiedliche Stripe Parity Muster Die unterst tzten Muster sind die folgenden Level 5 Backward Parity aka Left Asynchronous Adaptec Component 1 1 3 P Component 2 2 P 5 Component 3 P 4 6 Level 5 Backward Dynamic Parity aka Left Synchronous AMI and Linux standard 187 Component 1 1 E E Component 2 2 6 P 10 Component 3 3 P 7 11 Component 4 P 4 8 12 Level 5 Backward Delayed Parity HP Compaq Component 1 1 3 5 7 9 1 3 5 Component 2 2 4 6 8 P P P P Component 3 P P P P 10 12 14 16 Level
84. re und terti re Sortierkriterium zu neutralisieren halten Sie die Umschalt Taste gedr ckt wenn Sie eine Spalten berschrift zum Festlegen des Hauptsortierkriteriums anklicken Intern w hlt dies die interne ID als sekund res Kriterium aus Dies stellt sicher da die 17 Reihenfolge der Objekte mit identischen Daten f r das Hauptsortierkriterium wohldefiniert ist und reproduzierbar auch wenn zwischendurch nach anderen Kriterien sortiert wird The column that functions as the primary sort criterion is also the target of jump as you type That is you can type the first character or first few characters of the entry that you are looking for when the directory browser has the focus to automatically navigate and select the first or next matching item in the list starting from the current position For example if the directory browser is sorted by the Type column type z if you wish to find the first zip file in the list If however there is another file listed with a type starting with z one that precedes zip alphabetically for example zac then type the next character before the feature times out and forgets the z that you have already entered in this case i until you find what you are looking for or nothing happens any more if there is no matching item Matching occurs in a cycle That means even if the current position shows a zip file you can type any preceding letter to jump to the first match
85. sogar flexibler als das sogenannte Bit Feld der Programmiersprache C uint flex erfordert als zus tzlichen Parameter eine Zeichenkette in Anf hrungszeichen die genau festlegt welche Bits in welcher Reihenfolge verwendet werden getrennt von Kommas Das zuerst genannte Bit wird das signifikanteste h chstwertige Bit in der resultierenden Zahl und es wird nicht als Vorzeichen interpretiert Das zuletzt genannte Bit wird das insignifikanteste Bit der resultierenden Zahl Die Bits werden gez hlt beginnend mit 0 Bit 0 ist das am wenigsten signifikante Bit des ersten Bytes Bit 31 ist das signifikanteste Bit des vierten Bytes Die Definition basiert also auf der little endian Philosophie Zum Beispiel ist uint_flex 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0 Standard 16 Bit Integer 194 genau das gleiche wie uint16 die gew hnliche vorzeichenlose 16 Bit Integer Variable uint flex 31 30 29 28 27 26 25 24 23 22 21 20 19 18 17 16 15 14 13 12 11 10 9 8 7 6 5 4 3 2 1 0 Standard 32 Bit Integer ist genau das gleiche wie uint32 die gew hnliche vorzeichenlose 32 Bit Integer Variable Der Vorteil von uint flex ist aber der da die Anzahl die Position und die Interpretationsreihenfolge aller Bits v llig frei gew hlt werden kann Zum Beispiel erzeugt uint_flex 7 15 23 31 Ein ungew hnlicher 4 Bit Integer einen 4 Bit Integer aus den jeweils signifikantesten Bits von jedem der vier beteiligten Bytes Wenn diese vier Bytes beispielsweise
86. typos The text representation is even more powerful than a screenshot because it shows the contents of edit boxes and list boxes completely even if these controls have scrollbars and the contents exceed the physical boundaries of the controls on the screen Unicode characters are supported We suggest that users take screenshots of message boxes and dialog boxes only if absolutely necessary for example if they wish to graphically highlight certain control items in a Photoshop or similar programs to get the message across Settings in practically all dialog boxes can also be conveniently saved to and loaded from files as needed for example to share them with other users or for future use via the system menu This function can remember the selection states of the most important control types check boxes radio buttons list boxes combo boxes and tree view controls This works even if the controls are currently invisible The settings are stored in files with the dlg extension for dialog in the same directory as templates and scripts The contents of edit boxes are also remembered However this function does not remember the contents text labels of check boxes list boxes combo boxes and tree view controls e g which code page a check box represents in the Simultaneous Search dialog which report tables exist in the Report Table filter list box which external programs are listed in the Viewer Programs dialog window which file types are list
87. und befinden sich in dem unter Allgemeine Optionen gew hlten Ordner An die Stelle von tritt eine aus drei Ziffern bestehende eindeutige Identifikationsnummer die im Sicherungs Manager in der letzten Spalte angegeben ist 10 11 RAID Systeme zusammensetzen WinHex und X Ways Forensics k nnen RAID Systeme der Level 0 5 SEE and 6 sowie JBOD intern zusammenf hren die aus bis zu 16 Komponenten bestehen physische Festplatten oder Sicherungen Auf diese Weise ist es nicht erforderlich RAID Systeme mit Hilfe eines Scripts zusammenzuf hren und in eine Image Datei zu exportieren was Zeit und Plattenplatz spart Stellen Sie sicher da Komponenten die in Form von Sicherungsdateien Images vorliegen bereits ge ffnet und interpretiert sind wenn Sie diese Funktion aufrufen Sie m ssen die Komponenten in der richtigen Reihenfolge angeben WinHex l t Sie die Blockgr e in Sektoren stripe size oftmals 128 oder eine andere Potenz von 2 wie 32 64 256 angeben sowie individuelle RAID Header Gr en pro Komponente normalerweise einfach 0 Der Header ist ein reservierter Bereich am Anfang einer Komponente den einige RAID Controller f r eigene Daten freilassen und der daher von der Rekonstruktion ausgenommen werden mu Wenn es einige reservierte Sektoren am Ende einer Komponentenplatte gibt wie es bei JBOD nicht un blich ist dann geben Sie vor dem Zusammensetzen die Anzahl der tats chlich genutzten Sektoren plus Header Gr e f
88. was sonst die Erstellung einer ebensogro en tempor ren Datei erfordern w rde Bytes vertauschen Vertauscht benachbarte Bytes paarweise 16 Bit Vertauschung oder in 4er Gruppen 32 Bit Vertauschung innerhalb des aktuellen Blocks bzw innerhalb der gesamten Datei wenn kein Block definiert ist Der Bereich mu dazu ein Vielfaches von 2 16 Bit Vertauschung bzw 4 32 Bit Vertauschung Bytes enthalten Mit dieser Funktion k nnen Sie Big Endian Daten in Little Endian Daten verwandeln Addition Geben Sie einen positiven oder negativen dezimalen oder hexadezimalen Summanden an der jedem Datenelement des Blockes hinzuaddiert werden soll Der numerische Datentyp bestimmt Gr e 1 2 oder 4 Bytes und Art vorzeichenbehaftet oder vorzeichenlos eines Elements Es werden zwei M glichkeiten angeboten wie WinHex verfahren soll wenn durch die Addition 169 der Wertebereich des Formats ber oder unterschritten w rde Entweder der Wertebereich wird nicht verlassen d h das Maximum bzw Minimum des Wertebereichs wird als neuer Wert angenommen I oder die Addition wird dennoch durchgef hrt und der entstehende bertrag ignoriert II Beispiel 8 Bit vorzeichenlos I II FF 1 gt FF 255 1 255 FF 1 00 255 1 0 Beispiel 8 Bit vorzeichenbehaftet I II 80 180 128 1 128 80 13 7F 128 1 127 Bei Verwendung der ersten Methode erhalten Sie nach Abschlu der Operation eine M
89. wenn Sie die Eigenschaften von Verzeichnissen abfragen oder ndern m chten Bitte beachten Sie da das Setzen oder Entfernen des Sparse Attributs nicht notwendigerweise den Allokationszustand von bereits zugewiesenen Clustern ndert Es hat jedoch definitiv einen Effekt wenn Sie die betreffende Datei vergr ern durch Setzen einer gr eren Dateigr e im selben Dialogfenster Verzeichnis ffnen ffnet ein Fenster das ein Verzeichnis Ihres eigenen Computers repr sentiert und Sie all dessen Dateien und Unterverzeichnisse sehen l t 56 Dateien ffnen W hlen Sie einen Ordner aus dessen Dateien Sie ffnen m chten Wahlweise werden auch die Dateien in untergeordneten Ordnern ber cksichtigt Sie k nnen Dateifilter verwenden z B w exe x dll und einen Editiermodus ausw hlen wenn Sie WinHex nicht schon im Extras Men als Viewer oder In Place Editor eingestellt haben Optional werden nur solche Dateien ge ffnet die einen bestimmten Text oder bestimmte Hex Werte enthalten In diesem Fall stehen Ihnen noch weitere Suchoptionen zur Verf gung Ge nderte speichern All die von WinHex ge ffneten Dateien an denen nderungen vorgenommen wurden werden mit ihrem aktuellen Inhalt gespeichert Es erfolgen keine weitere Sicherheitsabfragen Daher ist diese Funktion mit Vorsicht zu genie en Alle speichern S mtliche von WinHex nicht im View Modus ge ffneten Dateien werden mit ihrem aktuellen Inhalt gespeichert Es
90. will exclude font files cursors icons themes skins clip arts etc Files with a low rank are of importance just in very specific investigations for example source code in which you would not be interested when looking for office documents or pictures for example but definitely when hunting a virus programmer Higher ranked file types are rele vant in more cases Generally the rank is useful in simple cases where you can expect to find what you are looking for in file types that are fairly well known As another idea you could make it a habit to only index files with higher ranks You also have the option to assign file types to a so called group a concept that is not identical to a file type category Useful for example if your standard procedure is to let examiner A check out pictures and videos examiner B documents e mail and other Internet activity and examiner C operating system files of various kinds because of their specializations You can give these groups meaningful names and filter for them also using the Type Status dialog window The groups are displayed in the Type filter All the definitions about file type ranks and file type groups are made in the File Type Catego ries txt file Suggestions for ranks and an example of a group of files that may deserve special attention are already predefined Both ranks from 0 to 9 where missing means 0 and groups letters from A to Z can be optionally specified following a tab at t
91. wird in Klammern eine Zusatzinformation an den Namen angeh ngt die aus einer Bezeichnung der Generator Signatur besteht z Zt u a IJG Library Photoshop und Photoshop Web wobei letzteres f r Photoshop steht bei Speicherung mit Optimierung f r den Gebrauch im Web und der Qualit tseinstellung Q beim Abspeichern die im Bereich von 1 und 100 liegt bzw 1 und 7 beim Generator Photoshop Weitere Generatoren Apple Canon usw k nnten theoretisch auch identifiziert werden aber nicht in der offiziellen Release Version von WinHex X Ways Forensics Thumbs db Dateien werden immer thumbs db genannt index dat immer index dat Das og Pr fix wird nicht zusammen mit Originaldateinamen verwendet Es kommen intern diverse Algorithmen zur Anwendung die versuchen Dateien vieler verschiedener Typen u a JPEG GIF PNG BMP TIFF Nikon NEF Canon CR2 raw PSD CDR AVI WAV MOV MPEG MP3 MP4 3GP M4V M4A ASF WMV WMA ZIP GZIP RAR 7Z TAR MS Word MS Excel MS PowerPoint RTF PDF HTML XML XSD DTD PST DBX AOL PFC Windows Registry Prefetch index dat SPL EVTX EML in ihrer urspr nglichen korrekten Gr e wiederherzustellen indem es deren Datenstrukturen untersucht Das betrifft die Eintr ge in der Dateityp Definitionsdatei mit einem in der Footer Spalte Die Eintr ge sollten nicht ver ndert werden sonst funktioniert die Gr en und Typerkennung f r diese Dateitypen u U nicht Alternativ kann auch eine Footer
92. wise translation for GREP suchen die Byte Werte ohne jede Anpassung f r bestimmte Codepages oder Gro und Kleinschreibung sucht X Ways Forensics erlaubt das Suchen in Little Endian und Big Endian UTF 16 sowie in jeder regionalen Windows Codepage sowie UTF16 mit dar bergest lptem MS Outlook Cipher compressible encryption Sie k nnen definieren welche Zeichen als Teil von W rtern betrachtet werden sollen Das ist n tzlich um falsche Treffer f r kurze nat rlichsprachliche W rter in bin ren M lldaten oder Base64 Code zu vermeiden und generell f r Benutzer die Zahlen als Teil von W rtern ansehen so wie in GIF89 Beispiel Ein nicht w nschenswerter Treffer f r Band in ZsIF9BAND4TpkSb kann verhindert werden wenn Sie nur nach ganzen W rtern suchen UND Sie das Alphabet so ge ndert haben da es auch die Ziffer 0 9 mit einschlie t d h so da diese als Wort Zeichen betrachtet werden Es ist m glich eine unvollst ndige Suchtrefferliste bereits dann einzusehen wenn die Parallele Suche noch nicht beendet ist Sie k nnen den Schalter f r die Suchtrefferliste jederzeit anklicken und die vorl ufige Trefferliste betrachten Zus tzliche Suchtreffer die sich aufgrund der weiterlaufenden Suche ansammeln werden aufgelistet wenn Sie die Suchtrefferliste aktualisieren wie auch sonst durch einen Klick auf den Enter Schalter in der Suchbegriffsliste Dieses Vorgehen ist n tzlich z B bei einer Einsichtnahme eines laufen
93. z B Ge EM Dia e Oberfl che von X Ways Investigator CTR X Ways Imager Verf gbar beim Betrieb mit einer forensischen Lizenz Erlaubt das Umschalten auf die stark reduzierte Oberfl che von X Ways Investigator CTR die f r Ermittler gedacht ist die in Bereichen wie Wirtschaftskriminalit t spezialisiert sind die kein profundes Wissen ber Computerforensik ben tigen die die technischen Einblicke die WinHex und X Ways Forensics bekannterma en gew hren nicht brauchen die z B bequem zu handhabende X Ways Datei Container von versierten Computerforensik Fachleuten erhalten mit ausgew hlten Dateien verschiedener Quellen z B alle Dokumente die die Schl sselw rter x und y enthalten in denen irrelevante Dateien bereits herausgefiltert sind die Hunderte von elektronischen Dokumenten sichten m ssen relevante Dokumente erkennen mit Kommentaren versehen logische Strukturen und Verbindungen identifizieren und mit Hilfen von Kommentaren kenntlich machen Dokumente drucken und all das m glichst mit wenigen Mausklicks in einer einzigen Umgebung die es ihnen erspart jedes Dokument einzeln zu extrahieren und in der zugeh rigen Applikation einzulesen die m glicherweise in einer Umgebung arbeiten m ssen die von Systemadministratoren stark eingeschr nkt wurde Der Oberfl che von X Ways Investigator fehlen viele fortgeschrittene technische Funktionen um Nicht EDV Fachleuten einen leichteren Zugang zum Pro
94. 0 timestamps which seems unnatural and in some rare cases might be the result of backdating by the rightful users of the computers themselves Under certain circumstances backdating documents is seen as fraudulent and illegal However much more commonly 0x10 timestamps predating 0x30 timestamps is just the work of installation programs or the result of copying a file or moving a file from one volume to another or extracting a file from a zip archive where Windows or other programs artificially apply the original creation time of the source file to the destination once copying turns out to be successful internal programmatic backdating The selections in the event type filter are not remembered by the program from one session to the next Please see the description of the timestamp columns for more information 5 15 File Type Categories txt Diese vom Benutzer anpa bare Datei definiert aus welchen Dateitypen sich Kategorien zusammensetzen Dem Namen einer Kategorie gehen drei Sternchen und ein Leerzeichen voraus um ihn besonders kenntlich zumachen Ihm folgt eine Liste von Dateitypen die zu dieser Kategorie geh ren und zwar ein Dateityp pro Zeile Solche Zeilen beginnen entweder mit einem oder wobei einfach nur bedeutet da der Dateityp im Dateitypfilter mit einem H kchen versehen ist Darauf folgt die typische Dateinamenserweiterung dahinter ein Leer zeichen und dann eine Beschreibung des Dateityps Gr
95. 3 Treffer als wichtig kennzeichnen Kennzeichnet in einer Suchtrefferliste ausgew hlte Treffer mit einer gelben Flagge und f gt sie der Liste wichtiger Treffer hinzu Sie k nnen auch die Leertaste dr cken um einen Suchtreffer als wichtig zu kennzeichnen oder diese Kennzeichnung wieder aufzuheben Wenn Sie bei Aufruf des Men befehls die Umschalttaste gedr ckt halten wird die Kennzeichnung bei allen ausgew hlten Suchtreffern wieder entfernt 4 2 Kontextmen des Datenfensters Wenn Sie in der Hex Editor Anzeige bestehend aus Offset Spalte Hex Spalte Text Spalte einer Datei oder eines Datentr gers rechtsklicken erhalten Sie ein Kontextmen mit dem Sie die Grenzen des Blocks definieren Anfang und Ende sowie einige weitere Befehle ausf hren k nnen die sich auf den Block beziehen Hinzuf gen zu Eigene Suchtreffer Nur mit forensischer Lizenz M glichkeit zum manuellen Definieren von Suchtreffern Immer dann wenn Sie auf relevanten Text sto en sei es irgendwo mitten im freien Speicher im Modus Disk Partition Volume oder innerhalb einer bestimmten Datei im Modus Datei k nnen sie ihn als Block ausw hlen und dann per Rechtsklick als sogenannten eigenen Suchtreffer den herk mmlichen d h vom Programm selbst gefundenen Suchtreffern hinzuf gen Sie k nnen eigene Suchtreffer zu beliebig benannten Suchbegriffen Kategorien zuweisen Wenn z B das was Sie gefunden haben mit dem Beschuldigten A zu tun k nnen Sie einen Suc
96. 33 65536 32203 Die Darstellung in der Statusleiste der Daten Dolmetscher der Daten in allen obigen Formaten auf einmal bersetzen kann und die Funktion Ganze Zahl suchen im Suchen Men ber ck sichtigen die genannten Besonderheiten automatisch Der Daten Dolmetscher beherrscht alle o g Integer Typen sowie zus tzlich vorzeichenlose 48 Bit Integer 2 4 Gleitkomma Datentypen Typ Bereich signifikante Stellen Bytes float single eee real E ia double double 5 017 long double extended I ar Ke Die Bezeichnungen stammen aus der Programmiersprache C in Klammern ist die entsprechende Pascal Bezeichnung angegeben Der Typ real ist nur in Pascal vorhanden Die Gleitkommazahlen werden im Computer unter Zuhilfenahme von Zweierpotenzen abge bildet Gespeichert werden die Mantisse m und der Exponent E aus der Darstellung m 2 Beide Werte enthalten ein Vorzeichen Die Gleitkomma Datentypen unterscheiden sich in ihrem Wertebereich der Anzahl der f r den Exponenten reservierten Bits und der Genauigkeit der Werte der Anzahl der f r die Mantisse reservierten Bits Rechenoperationen mit Gleitkommazahlen werden in Intel Architekturen vom mathematischen Koprozessor ausgef hrt w hrend der Hauptprozessor wartet Der Intel 80x87 rechnet mit einer Genauigkeit von 80 Bit RISC Prozessoren h ufig mit 64 Bit Hexadezimal Werte in einem Editierfenster k nnen vom Daten Dolmetscher in alle vier Gleitkomma Datentypen be
97. Anwendungsprogrammierschnittstelle erlaubt es Ihnen die fortgeschrittenen F higkeiten des WinHex Hex Editors von Ihren eigenen C Delphi oder Visual Basic Programmen aus zu verwenden Insbes stellt sie eine bequeme und einfache Schnittstelle f r den wahlfreien Zugriff auf Dateien und Datentr ger zur Verf gung Das Entwickeln von Software die von der WinHex API Gebrauch macht erfordert eine g ltige professionelle Specialist oder API Lizenz von WinHe Au erdem ben tigen Sie Import Deklarationen f r Ihre Programmiersprache die Bibliotheksdatei whxapi dil und die API Dokumentation Sie finden alle ben tigten Dateien sowie weitere Details unter http www x ways net winhex api Sie d rfen jede Software die die WinHex API benutzt und WinHex auch weitervertreiben Es gibt zwei M glichkeiten WinHex weiterzugeben l Geben Sie die unlizenzierte Evaluationsversion von WinHex weiter Damit die API funktioniert mu Ihr Kunde professionelle oder Specialist Lizenzen in der Zahl der ben tigten WinHex Installationen selbst beschaffen oder 2 Empfohlen Geben Sie eine spezielle API Version von WinHex weiter Diese ist so konfiguriert da sie nur die API Funktionalit t bereitstellt und ist zu einem reduzierten Preis verf gbar Sie k nnen API Lizenzen bestellen unter http www x ways net winhex api Mengenrabatte auf Anfrage bitte geben Sie die Anzahl der Lizenzen an denen Sie interessiert sind an Pro Endbenutzer
98. Archiv das die ausgew hlte Datei enth lt oder ein Dokument in dem das ausgew hltes Bild eingebettet ist Bei eingeschalteter Option Daten Inhalte direkt bergeordneter Objekte aufnehmen wird auch der Inhalt einer ggf bergeordneten Datei automatisch mitkopiert selbst wenn die bergeordnete Datei gar nicht selbst zum Kopieren ausgew hlt war Einem Container kann jede Datei hinzugef gt werden der Teil eines Datei berblicks sind also z B auch einzelne extrahierte E Mails Einmal hinzugef gte Dateien k nnen nicht wieder phy sisch entfernt aber permanent ausgeblendet werden Es gibt die M glichkeit automatisch Berichtstabellen Verkn pfungen f r Dateien zu erzeugen die zu einem Datei Container hinzugef gt wurden Optional k nnen Hash Werte von den kopierten Dateien im Container gespeichert werden Dies erlaubt es die Integrit t der Datei sp ter zu berpr fen wenn der Container einem Fall hinzugef gt wurde durch das Erweitern des Datei berblicks Die Hash Werte werden direkt f r die Daten berechnet wie sie vom Original Quelldatentr ger gelesen werden wenn Sie nicht nur Metadaten in den Container bertragen oder aus dem Datei berblick bernommen sofern verf gbar Optional kann die Person die einen Container erstellt Berichtstabellen Verkn pfungen entweder alle oder nicht solche von X Ways Forensics automatisch erstellten und oder Kommentare zu den in den Container zu kopierenden Dateien mit weiterge
99. Bytes Worts oder Doppeltworts Bin r Format vier Gleitkomma Datentypen Assembler Opcodes Intel und Datumstypen The Data Interpreter can interpret UNIX C Java BlackBerry Android and Mac Absolute timestamps stored as decimal ASCII text instead of in binary You will find a context menu item 38 for that as well as a checkbox in the options dialog The Data Interpreter optionally translates timestamps of all formats except MS DOS date amp time to local time the time zone defined in the General Options You will find a context menu item for that as well as a checkbox in the option dialog Der Dolmetscher kann die meisten Datentypen auch r ckw rts wieder in Hex Werte bersetzen Stellen Sie dazu sicher da Sie eine Datei im Editiermodus ge ffnet haben tragen Sie den gew nschten Wert ein und best tigen Sie mit ENTER Daraufhin schreibt der Daten Dolmetscher die entsprechenden Hex Werte an der aktuellen Position in das Editierfenster Mit einem Klick der rechten Maustaste k nnen Sie ein Kontextmen im Daten Dolmetscher aufrufen und darin einstellen ob die ganzzahligen und Gleitkomma Datentypen im Little oder Big Endian Format bersetzt werden sollen Sie k nnen auch zwischen dezimaler oktaler und hexadezimaler Integer Darstellung w hlen Dies und vieles mehr finden Sie auch im Dialogfenster mit den Daten Dolmetscher Optionen Die Zerlegung von GUIDs der Version 1 in Zeitstempel Sequenznummer und MAC Adresse im Daten Dolmet
100. Cluster zu Unrecht als frei betrachtet werden k nnten Das Erzeugen von bereinigten Sicherungen mu gesondert best tigt werden um die unbeabsichtigte Erzeugung von Images zu verhindern die im konventionellen Sinn nicht forensisch einwandfrei sind In einem moderneren Sinn des Wortes k nnen sie aber durchaus als forensisch zu bezeichnen sein abh ngig von der Rechtslage und Rechtssprechung und der Gesamtsituation in der Sie arbeiten Eine berm ige Datenerhebung ist in Deutschland gem Bundesverfassungsgerichts zu vermeiden Verh ltnism igkeitsgrunds tze m ssen beachtet werden Bereinigte Sicherungen bieten die wohl beste L sung zum Schutz des Kernbereichs privater Lebensgestaltung und zur Wahrung von Zeugnisverweigerungsrechten von Berufs geheimnistr gern wie rzten und Rechtsanw lten X Ways Forensics pr ft auf und warnt vor berlappenden Partitionen wenn Sie eine bereinigte Sicherung eines partitionierten physischen Datentr gers erzeugen Clusters in von der berlappung betroffenen Bereichen werden nicht ausgelassen In einer solchen Situation wird empfohlen die relevanten Partitionen f r sich zu sichern Mit forensischer Lizenz Beim Erzeugen eines Images wird der technische Detailbericht aufgerufen und in eine Textdatei geschrieben die die Image Datei begleitet F r e Evidence Files wird es au erdem direkt in die e01 Datei als Beschreibung integriert Die SMART Informationen werden nach Abschlu des Vorgangs er
101. ER VIC Wirt E E E Sage ble annette AOREENHLFBEHEMEREBEESTRABENIERTRFPER SEBRERTRTERREREN 14 3 2 KE GE 15 3 3 Verzeichnis BrowW el 2 u2 2 Jensen dE EE SERA EE 15 33 1 lee IER ee geet eieeder derer geseet et ege eet anne site 15 3 3 2 Virtuelle Objekte 2 2 02 a8 ass kenn ins ER Bann eng 18 3 335 e Re EE 19 E E EE 23 3 3 5 Spalten und spaltenbasierte Elter 24 3 4 Modus Sch lter 0n 2 ee Rakete eisen al fusenonededs Date Seet 34 3 5 e EE EE 38 3 6 RENE Re EE 38 3 7 P sitions Manager ana een seien deet eege Dd dave vbus ege 39 3 8 Arbeitserleichtenin gen nnrir toee ianen Dee ee Eed dE ONE de 40 NI OD UE snose oseese seee eaa roa eeoa seee Eao aaoo Eie Eoee SE eeso EE Ea eass 42 4 1 Kontextmen des Verzeichnis Browsers csssssssesssesnsennseennennneennennneennnnnnennnenennenne nennen 43 4 2 Kontextmen des Datenfensterg pnr rena iin E E EEEENE 54 4 3 D tel Ment r E EE oA ee 55 4 4 Bearbeiten Men sno sh a a cles a E A T A A a A 57 4 5 Suchen HE 59 4 6 Eeer le TUE 60 4 7 Ee EE 61 4 8 E trae Memtt r dretten enee ee et Deen EE gehen EES Se 63 4 9 Date Kee EE 65 4 10 Specialist Ment ran ietenweieeieeharsee de EE are 67 4 11 Opttonen Meng essen 70 4 127 Fenster Men moere ra e 2i8s ie ehren ee Eeer 71 CA Ke MA Ee EEN 71 4 14 W ndows K ntextmeil een genen snitch eenegen EENS 72 Forensische Features crsoussossonssnssnssnnssnnsnnennssonsnnsnnssnnsnnssnnnnnsnnnsnnssnssnnsnnsnnssnnsnnssnssnnsnnssnsssn
102. F pr fen Die Typstatus Spalte zeigt das Ergebnis an entweder OK oder besch digt b Erlaubt das Extrahieren von intern gespeicherten Erzeugungszeitstempeln aus OLE2 Compound Dateien z B MS Office Dokumente vor Version 2007 EDB PDF MS Office HTML EML MDI ASF WMV WMA MOV JPEG THM TIFF PNG GZ GHO PGP pubring pkr keyring ETL SQM IE Cookies CAT CER CTL SHD Drucker Spool PF Prefetch LNK Shortcut und DocumentSummary alternativen Datenstr men Diese Zeitstempel werden in der Spalte Interne Erzeugung des Verzeichnis Browsers angezeigt In manchem F llen wird der Zeitstempel extrahiert der am weitesten in der Vergangenheit liegt und damit dem urspr nglichen wahren Erzeugungsdatum am n chsten kommt c Erlaubt die bernahme bestimmter Metadaten in die Metadaten Spalte was es wiederum erm glicht Dateien anhand dieser Metadaten zu filtern Metadaten mit dem Befehl Liste exportieren zu exportieren oder in Form einer Berichtstabelle mit dem Fallbericht auszugeben Metadaten k nnen extrahiert werden aus allen im Details Modus speziell unterst tzten Dateitypen sowie aus Windows Link Dateien Ink und Windows Prefetch Dateien pf Nur eine Untermenge der Metadaten aus dem Details Modus wird extrahiert d Allows to restore original file system metadata such as filename timestamps when found in certain file types such as I recycle bin files and iPhone mobile sync backup indexes Manifest mbdx Original
103. Falleigenschaften erst die richtige Codepage angeben m ssen Z B ist das f r Zip Archive die unter Linux erstellt wurden wahrscheinlich UTF 8 F r Zip Archive die unter Windows erstellt wurden ist das i d R eine regionale Codepage Beachten Sie auch da gesplittete Archive nicht unterst tzt werden 6 3 5 E Mail Extraktion Eine forensische Lizenz erlaubt es E Mails und Dateianh nge von E Mails einzeln aufzulisten und zu untersuchen die enthalten sind in Dateien folgender Formate Outlook Personal Storage pst Offline Storage ost Exchange edb Exchange 2010 und lter unterst tzt 2010 noch in der Testphase Outlook Message msg Outlook Template oft Outlook Express dbx Kerio Connect solche store fdb Dateien die wie gew hnliche PST OST verarbeitet werden k nnen AOL PFC Dateien Mozilla Mailbox including Netscape and Thunderbird Generic Mailbox mbox Unix mail format MHT Web Archive mht Standardm ig versucht X Ways Forensics E Mails aus solchen Dateien zu extrahieren deren Name oder Typ folgender Dateinamensmaske entspricht pst ost edb dbx pfc mbox eml emix mht olk14MsgSource msg oft mbs s tore fdb E Mails werden i d R in Form von eml Dateien extrahiert Um bequem alle extrahierten E Mails aus allen E Mail Archiven und auch verarbeitete urspr ngliche eml Dateien aufzulisten wird empfohlen rekursiv zu erkunden und den Attribut Filter zu verwenden nicht den
104. IM Vista Image Dateien PhotoShop PSD INDD Adobe InDesign DocumentSummary alternativen Datenstr men tracking log mdb MS Access database manifest mbdx mbdb iPhone backup IconCache db F r MS Office Dokuments sehen Sie oft viele weitere Zeitstempel z B wann zuletzt gedruckt Thema Autor Organisation Schl sselw rter Gesamtbearbeitungszeit u v a m Galerie Pr ft die Signatur aller Dateien im gegenw rtig sichtbaren Ausschnitt des Verzeichnis Browsers Wenn als Bild erkannt wird eine Miniaturansicht angezeigt sonst eine Kurzinformation Dateiname Gr e Signatur Indem Sie im Verzeichnis Browser hoch oder herunterrollen bewegen Sie auch die Bilderliste im Galerie Fenster Sie k nnen das Verzeichnis wechseln auch w hrend die Miniaturansichten noch erzeugt werden Durch Doppelklick auf eine Miniaturansicht erhalten Sie eine Ansicht des Bildes in voller Gr e wobei Sie mit den Tasten und hinein und wieder herauszoomen k nnen Selbst unvollst ndige Bilder Datei z B wegen Fragmentierung nur partiell korrekt gerettet k nnen normalerweise teilweise angezeigt werden Die Galerie Ansicht zeigt Bilder folgenden Typs an JPEG PNG GIF TIFF BMP PSD HDR PSP SGI PCX CUT PNM PBM PGM PPM ICO Au erdem optional mit Hilfe der Viewer Komponente sonstige Dateien Die Galerie harmoniert nicht besonders gut mit Suchtrefferlisten Wenn ein Einsehen Fenster ein Bild darstellt und wenn das Einsehen auf ein Bild zur gle
105. Jedes Hash Set geh rt entweder zur Kategorie bekannterma en irrelevant harmlos gutartig oder verd chtig beachtenswert relevant b sartig In der Hash Datenbank k nnen Sie Hash Sets schnell miteinander zu einem einzigen Hash Set verschmelzen Beachten Sie da doppelte Hash Werte im resultierenden Hash Set nicht sofort entfernt werden sondern erst das n chste Mal wenn Sie ein Hash Set hinzuf gen Beachten Sie auch da Sie nicht gewarnt werden wenn Sie Hash Sets unterschiedlicher Kategorien verschmelzen Hash Werte von Dateien k nnen berechnet und mit der Hash Datenbank abgeglichen werden wenn Sie den Datei berblick erweitern Die optionalen Spalten Hash Set und Kategorie im Verzeichnis Browser zeigen dann an welche Dateien zu welchen Hash Sets und welcher Kategorie geh ren was es Ihnen erm glicht nach diesen Aspekten zu sortieren filtern und irrelevante Dateien einfach zu ignorieren bzw sich auf relevante Dateien zu konzentrieren Wenn der Hash Wert einer Datei in mehreren ausgew hlten Hash Sets enthalten ist gibt das Programm all diese Hash Sets an und zeigt die Kategorie eines dieser Hash Sets Es pr ft auch ob alle zugeh rigen Hash Sets derselben Kategorie zugeordnet sind und sollte das nicht der Fall sein wird eine Warnung ausgegeben Eine optionale zweite separate Hash Datenbank mit Block Hash Werten statt normalen Datei Hash Werten gespeichert in einem
106. OS und PCI Ger ten benutzten Speicherbereiche sollten enthalten sein Datenstrukturen des Windows Kernels und benannte Objekte werden bequem in einem Baum im Datei berblick unter Objects aufgelistet Geladenen Module werden unter Modules aufgef hrt Das erm glicht es X Ways Forensics einerseits deren Speicherseiten im RAM Modus den Modulen zuzuordnen und andererseits Hash Werte zu berechnen um Module ber spezielle Hash Sets identifizierbar zu machen Zum Hashen ist es empfehlenswert nur den nicht ver nderlichen Header von geladenen Modulen anzeigen zu lassen s Optionen des Datei Uberblicks Der technische Detailbericht gibt einerseits wichtige systemweite Parameter aus und andererseits die aktuellen Adressen wichtiger Kernel Datenstrukturen sowie geladene Kernel Module Im Details Modus finden sich zu jedem ProzeB die Adressen von prozeBbezogenen Datenstrukturen und die ID des bergeordneten Prozesses Im RAM Modus wird zu jeder Speicherseite in der Informationsspalte ggf ein zugeh riger Prozess und der Verwaltungszustand angezeigt Mit dem entsprechenden Hintergrundwissen kann diese Funktionalit t benutzt werden um mehr zu erfahren ber den aktuellen Zustand der Maschine und der Prozesse Sockets ge ffnete Dateien geladene Treiber und angeschlossene Datentr ger um Schadsoftware zu identifizieren um die entschl sselte Version von verschl sselten Daten zu finden um etwas in der Vorfallsanalyse Netzwerk Spuren
107. Paint Shop Pro caches jbf Thumbnails in bestimmten alten thumbs db Dateien k nnen nicht korrekt angezeigt werden Solche thumbs db Dateien werden einer Berichtstabelle namens Unsupported thumbs db zugeordnet und k nnen z B mit dem frei verf gbaren Programm DM Thumbs von GreenSpot Technologies Ltd eingesehen werden Thumbcache db files of Windows Vista and later are targeted indirectly if thumbcache_idx db is in the mask and if that file is available in the same directory That speeds up the extraction and avoids the output of numerous duplicate thumbnails only the highest available resolution is output If thumbcache_idx db is in the mask that also means that thumbcache db files that are specifically selected or tagged for processing are not processed unless the thumbcache_idx db file is also selected tagged Au erdem from PDF documents any kinds of files that are marked as embedded plus JPEG and JPEG 2000 plus Acrobat form files in XML format plus JavaScript objects the latter may make it easier to determine whether a PDF file should be considered malware individual cookie files from Firefox and Chrome SQLite databases also data blocks embedded as Base64 in XML formatted PLists plist and raw data blocks embedded in binary PLists bplist are extracted as separate child objects when refining volume snapshots It is recommended to verify file types at the same time so X Ways Forensics can distinguish between traditional XML for
108. Pfad wiederhergestellt wenn entweder aus dem Asservat berblick heraus kopiert wird oder wenn Sie sich generell nicht den jeweiligen Asservat Ordner unterhalb des Falls als Standardausgabeverzeichnis vorschlagen lassen s Falleigenschaften Ein Teilpfad ist nur der Teil des Pfades der unterhalb des aktuell erkundeten Verzeichnisses liegt bzw beim Kopieren aus einem rekursiv erkundeten Asservat berblicksfenster nur der Name des Asservats nicht der Pfad innerhalb des Asservats berlange Pfade werden unterst tzt mehr als 260 bis zu 510 Zeichen f r den Ausgabepfad optional den Originalpfad den Originaldateinamen Sie k nnen Pfad l ngen immer noch freiwillig auf die herk mmliche L nge von 260 Zeichen oder weniger begrenzen wenn Sie solche Datei ohne nicht weiter verarbeiten k nnen z B einsehen kopieren l schen denn herk mmliche Programm wie der Windows Explorer erlauben das nicht Wenn der Ausgabepfad einer ausgew hlten Datei das Limit bersteigt wird der Name der Datei gek rzt bis das Limit eingehalten wird Ist es auf diese Weise nicht m glich das Limit einzuhalten wird die Datei nicht kopiert sondern einer Berichtstabelle hinzugef gt so da Sie sp ter bequem alle ausgelassenen Dateien erneut ausw hlen und separate ohne Pfad kopieren k nnen wenn Sie m chten Eine Option steht zur Verf gung um Dateien nach ihrer eindeutigen ID zu benennen und gleichzeitig die Dateinamenserweiterung beizubehalten Wenn nur
109. R und bitweises XOR G ltige mathematische Ausdr cke sind zum Beispiel 5 2 1 MyVarl MyVar2 4 oder MyVar Im Folgenden finden Sie Beschreibungen aller gegenw rtig unterst tzten Scriptbefehle incl Beispiel Parameter Create D My File txt 1000 Erzeugt die angegebene Datei mit einer anf nglichen Dateigr e von 1000 Bytes Wenn die Datei bereits existiert wird sie berschrieben Open D My File txt Open D txt ffnet die angegebene n Datei en Geben Sie 2 als Parameter an um den Nutzer die zu 195 ffnende Datei w hlen zu lassen Open C Open D ffnet das angegebene logische Laufwerk Opens the specified logical drive Geben Sie als Parameter an um den Nutzer das zu ffnende logische Laufwerk oder den physischen Datentr ger w hlen zu lassen Open 80h Open 81h Open 9Eh ffnet den angegebenen physischen Datentr ger Die Numerierung von Floppy Laufwerken beginnt mit 00h die fest eingebauter und Wechseldatentr ger mit 80h und die f r optische Laufwerke mit 9Eh Optional k nnen Sie einen zweiten Parameter mit dem Open Befehl angeben der den Editier Modus angibt in dem die Datei oder der Datentr ger zu ffnen ist in place oder read only CreateBackup Erzeugt ein WHX Backup der aktiven Datei in seinem aktuellen Zustand CreateBackupEx 0 100000 650 true F My backup whx Erzeugt ein WHX Backup der aktiven Platte beginnend mit Sektor 0 bis Sektor 1 000 000
110. Sektoren mit Nullbytes zu f llen brigens wird das gew hlte Muster auch verwendet um den Inhalt eines nicht lesbaren Sektors im Disk Editor anzuzeigen e Defekte Sektoren treten h ufig in zusammenh ngenden Gruppen auf und jeder Versuch einen defekten Sektor zu lesen dauert gew hnlich sehr lange WinHex kann solche besch digten Bereiche versuchen zu meiden Wenn ein defekter Sektor erkannt wird kann WinHex eine von Ihnen anzugebende Anzahl folgender Sektoren berspringen in der Voreinstellung 32 Dies ist n tzlich um den Klonvorgang zu beschleunigen wenn Sie in Kauf nehmen da auch einige unbesch digte Sektoren nicht mit kopiert werden Das konventionelle Klonen ist bei austauschbaren Datentr gern wie Disketten nicht m glich wenn nur ein entsprechendes Laufwerk installiert ist Eine geeignete Vorgehensweise f r diesen Fall ist Disk Imaging also eine Art verz gertes Klonen Ein Disk Image kann auf einen anderen Datentr ger zur ckgespielt werden Das Ergebnis ist dann dasselbe wie beim Klonen Wenn Sie eine Datei namens dev null als Ziel angeben werden die Daten nur gelesen und nirgendwohin kopiert und Sie werden diesbez glich gewarnt Dies ist n tzlich wenn Sie nur an dem Bericht ber defekte Sektoren interessiert sind und den Datentr ger nicht wirklich klonen oder in einer Datei sichern m chten 174 Sie k nnen simultane E A probieren wenn das Ziel nicht auf dem gleichen physischen Datentr
111. Shell Bag Desktop Shortcuts u a B konditional wenn Wert TRUE F konditional wenn Wert FALSE Du kein Empty Mode Rekursion des Teilbaumes i Wert ohne Unterscheidung von Gro und Kleinschreibung Dud nur gel schte Werte Man kann auch z B die Mischkonstruktion 10f verwenden Die Zahl mu zuerst erscheinen am Anfang einer Zeile bewirkt da sie bei der Auswertung ignoriert wird am Anfang einer Zeile gibt erl uternden Test in den Bericht aus Weitere Ausgaben 90 In einer zweiten Phase der Erzeugung des Registry Berichts werden zus tzliche Daten ausgewertet und in bersichtlichen Tabellen am Ende der HTML Datei ausgegeben Die Vorgaben in der Definitionsdatei die zu der zweiten Stufe geh ren sind mit Dummy gekennzeichnet Dies bewirkt da w hrend der ersten Phase keine Ausgaben entstehen Will man statt dessen nur die Ausgaben der ersten Stufe der Auswertung erhalten mu die Bezeichnung des Definitionseintrags nur von Dummy auf etwas anderes ge ndert werden Die Tabelle Attached devices by serial number wird nach dem im Buch von Harlan Carvey in Kapitel 4 beschriebenen Algorithmus erstellt Weiterhin gibt es die Tabellen Partitions by disk signature Windows portable devices Drivers installed File systems installed Services installed Networks und Network cards Another table is called Browser Helper Objects compiled with data from the hives NTUSER DAT and SOFTWARE about brow
112. Unterverzeichnissen einsehen k nnen und sogar Suchtreffer von allen Asservate des gesamten Falls auf einmal wenn Sie den Asservat berblick verwenden Es ist au erdem m glich bequem einen oder mehrere Suchbegriffe f r das Einsehen der Treffer auszuw hlen in der Suchbegriffsliste unten im Falldatenfenster Dadurch ist es auch einfach schnell herauszufinden wie viele Suchtreffer es f r einen gegebenen Suchbegriff gibt f r jede beliebige Ebene im Verzeichnisbaum weil diese Zahl in der berschriftszeile Verzeichnis Browsers je nach Bef llung mit Suchtreffern angezeigt wird Suchtrefferlisten sind nicht statisch sondern werden dynamisch zusammengestellt abh ngig von gew hlten Suchbegriffen erkundetem Pfad aktuellen Filtereinstellungen und basierend auf den Einstellungen der Suchbegriffsliste logischen UND Kombinationen und der Option Nur 1 Treffer pro Objekt Suchtreffer k nnen als wichtig gekennzeichnet werden so da links eine gelbe Fahne angezeigt wird mit Hilfe des Verzeichnis Browser Kontextmen s sowie durch Dr cken der Leertaste Mit der Leertaste k nnen Sie solche Kennzeichnungen auch wieder aufheben Sie k nnen meherere ausgew hlte Suchtreffer auf einmal entmarkieren indem Sie die Umschalt Taste beim Aufruf des Kontextmen Befehls Als wichtig kennzeichnen gedr ckt halten Sie k nnen nach als wichtig gekennzeichneten Suchtreffern ber den Filter der Suchtreffer Spalte filtern Suchtreffer werden in Metadate
113. Useful especially for triage when not working with images Please note that X Ways Forensics may be unable to recognize external media already known to the case if next time they are attached through a different hardware write blocker In that situation you can still use the Replace with new disk command in the evidence object context menu to point X Ways Forensics to the correct disk Note that component disks of an internally reconstructed RAID read disks not images are still remembered by the Windows disk number when re opening a RAID that you have added to a case Wenn Sie den mit SIDs bezeichneten Schalter anklicken sehen Sie eine Sammlung aller Kombinationen von SIDs und Benutzernamen die bei der Bearbeitung des Falls angetroffen wurden gesammelt aus SAM Registry Hives in allen Windows Installationen in Images und auf Datentr gern die jemals dem Fall hinzugef gt wurden Sie werden von X Ways Forensics verwendet um SIDs in Benutzernamen aufzul sen wenn mit diesem Fall gearbeitet wird Das m chtigste Konzept in X Ways Forensics welches die systematische und vollst ndige Auswertung von Dateien auf Computer Datentr gern erlaubt ist der sogenannte erweiterte Datei berblick Es ist m glich solche erweiterten Datei berblicke f r alle Asservate in einem 74 Fall in einem Schritt zu erstellen und alle Asservate mit Datei berblicken logisch auf einmal mit Hilfe des global Fallwurzelfensterns zu durchsuchen Beac
114. Vergleichsoperanden k nnen zum einen beide numerisch sein also jeweils entweder ein konstanter Wert in dezimaler Schreibweise eine Integer Variable oder mathematische Aus dr cke Zum anderen werden Ausdr cke die entweder als Text oder als hexadezimale Zeichen folge angegeben werden byteweise miteinander verglichen Ausdr cke in Anf hrungszeichen werden als Zeichenketten interpretiert Hexadezimalwerte werden durch ein vorangestelltes 0x identifiziert Mathematische Ausdr cke m ssen von runden Klammern umschlossen sein byte Wert IfEqual Wert 1 ExitLoop EndIf 10 Jedes IfEqual mu mit einem EndIf abgeschlossen werden Wenn die Ausdr cke gleich sind wird der nachfolgende Teil der Schablone abgearbeitet Ist ein Else angegeben dann wird bei Ungleichheit der Teil nach diesem Schl sselwort abgearbeitet IfEqual Anweisungen d rfen nicht verschachtelt sein F r den Befehl fGreater gelten dieselben Regeln wie f r IfEqual nur da die Vergleichsbedingung erf llt ist wenn der erste Ausdruck gr er ist als der zweite Strings und Hex Werte werden lexikographisch verglichen 193 Um die bersichtlichkeit einer Schablone zu verbessern lassen sich Gruppen von Variablen auch visuell bilden so da die zugeh rigen Editierfelder durch freien Raum im Dialogfenster voneinander getrennt erscheinen section Bezeichnung des Bereichs endsection Die Anweisu
115. Vorteil ist da diese nat rlich viel schneller zu laden sind als das Hauptbild Auch aus Videos exportierte JPEG Bilder k nnen behelfsm ig das Video zu dem sie geh ren in der Galerie repr sentieren sogar alle diese Bilder dynamisch rotierend wenn diese Option ganz gew hlt ist e Die Galerie hat ihre eigene 3 stufige Option Doppelklick Einsehen statt Erkunden analog 159 zum Verzeichnis Browser In der Galerie bedeutet ein Doppelklick standardm ig Einsehen e Es gibt eine Option mit der man Dateien mittels eines einzigen Klicks in der Galerie einsehen kann statt mittels eines Doppelklicks Das ist n tzlich z B dann wenn Sie bestimmte Bilder auf einem separaten Monitor betrachten m chten und das Einsehen Fenster nicht zu schlie en brauchen um die Galerie erneut zu sehen wenn Sie die Bilder nicht ohnehin alle nacheinander einsehen m chten wozu das Dr cken der Tasten Bild auf und Bild ab effizienter w re e Eine weitere Option erlaubt das Markieren einer Datei durch einen Klick an einer beliebigen Stelle innerhalb der Miniaturansicht nicht nur im Markierungsquadrat Das macht es bequemer eine gro e Anzahl von Dateien zu markieren und ist auch bequemer als das Ausw hlen vieler Dateien bei Gedr ckhalten der Strg Taste e Die Galerie kann optional Miniaturansichten f r alle Dateitypen anzeigen die von der Viewer Komponente unterst tzt werden incl Office Dokumente PDF HTML E Mails sowie Bilder die die inte
116. Wenn Sie X Ways Forensics Teilw rter in den Index mit aufnehmen lassen verlangsamt das die Indexierung um den Faktor 3 5 und bl ht den Index auf Allerdings wird Sie das in die Lage dazu versetzen verl lich und schnell z B Rechnung in Berechnung und Verrechnung sowie Gesellschaft in Aktiengesellschaft zu finden Allerdings k nnen Sie auch wenn Sie den Index nicht speziell f r die Teilwortsuche auslegen sp ter nach Teilw rter suchen jedoch wird die Suche dann langsamer sein und das Ergebnis unvollst ndig Bitte beachten Sie da es in der Verantwortung des Benutzers liegt die Teilwortindexierung einzuschalten wenn die W rter der zu indexierenden Sprache nicht durch Leerzeichen voneinander getrennt sind wie z B im Chinesischen Japanischen Thail ndischen Das Indexieren ist unn tig langsam wenn die zu indexierenden Daten auf demselben Datentr ger liegen wie Ihr Fall in dem der Index erzeugt wird Vermeiden Sie es mit aktiver Internet Verbindung zu indexieren wenn Ihr Windows System f r automatische Updates konfiguriert ist und nach der Installation von Updates den Computer evtl selbst ndig neu startet Optional kann der Text in bestimmten Dateitypen zur Indexierung decodiert werden s Logische Suche und es ist m glich Indexe f r ausgew hlte mit einem Fall verbundenen Datentr ger Images in einem einzigen Durchgang zu erstellen Sie k nnen gleichzeitig in bis zu sechs verschiedenen Codepages indexier
117. Wenn z B die Datei Header Signatur Suche dem Datei berblick weitere Dateien hinzuf gt k nnen diese je nach Datei weiter verarbeitet z B gehasht werden oder nicht je nachdem ob zum Zeitpunkt der Erweiterung des Datei berblicks ein Typ Filter aktiv ist 6 3 1 Hash Wert Berechnung und Abgleich Es k nnen Hash Werte f r Dateien im Datei berblick berechnet werden Hash Werte werden nicht erneut berechnet wenn die Operation erneut auf dieselben Dateien angewandt wird Zus tzlich zur reinen Hash Berechnung erlauben es forensische Lizenzen Hash Werte mit individuell ausgew hlten oder einfach allen Hash Sets in einer internen Hash Datenbank abzugleichen Der dynamische Filter kann dann anschlie end eingesetzt werden um bekannterma en irrelevante Dateien auszublenden Mit Hilfe der Hash Datenbank als irrelevant erkannte Dateien werden au erdem optional von der weiteren Bearbeitung bei der Erweiterung des Datei berblicks ausgeschlossen was u a Zeit spart Im Gegensatz zur Hash Wert Berechnung wird der Abgleich f r dieselben Dateien auf Wunsch erneut durchgef hrt Ein erneutes Abgleichen entfernt die zuvor angezeigten Hash Sets aus dem Hash Set Feld bei diesen Dateien Das Kategorie Feld wird nur ggf aktualisiert nicht geleert It is possible to compute hash values of two different hash types at the same time when refining the volume snapshot for general purposes or to match them against two hash databases with dif ferent has
118. X Ways Software Technology AG X Ways Forensics WinHex Integrierte Software f r computerforensische Untersuchungen Werkzeug f r Datenrettung und IT Sicherheit Hexadezimal Editor f r Dateien Datentr ger und Arbeitsspeicher Benutzerhandbuch Copyright 1995 2015 Stefan Fleischmann X Ways Software Technology AG All rights reserved Inhaltsverzeichnis 1 2 3 DINNING sacccscncsscesisecencsusccensevesuntessscss ootossacesodsceogecessetescseesdecestveessdseosoccsesseveventehcbcveuaecesusens OASE En EEEo 1 1 1 ber WinHex und X Ways E 1 1 2 ELTE TA IE EESE SE E E EE E E EEE A E AE EE 2 1 3 IEVA VATE A a Tee E A E E e dt EAR Seed 3 1 4 Unterschiede zwischen WinHex und X Ways Forensics 3 1 5 So legen Sie los mit X Ways Forensics uesesssseesssenseennenneennneennnnnnnnnnnnennnsnsennsennse ernennen 4 ATIGEMEINGS sisscicccsscsconncctvcacssotconstesenssteecssssscdennseonsesenscessnbscbecsessecdensiesenessestedsenscebecsscssccsensesbaceossseose esos 6 2 1 Werkzeug Hex Edifor ser namen herein Ee 6 2 2 Byte Reihenfolge u 2 222 207 Seeerei HB ENEE EE 6 2 3 Ganzzahlige numerische Datentvpen 7 2 4 OGletkomma Datentvpen een 8 2 5 Datumstiypen Nana EE 8 2 6 ANSI IBM ASCIH pyon O a aa ESS aS 9 2 7 Pr fsummen Hashes Dugests essen 11 2 8 ele 11 2 9 Technische e 12 Benutzeroberfl che crsoussssonssssnsssnssnnsnnssnssonsnnesnnsnnsnnsnsnnnsnnnsnnnnnnsnnsnnsnnsnnnsnnsnnssnssnnsnnsnsssnssnnsnnsnnne 14 3 1 OV
119. XYZ Ein Zirkumflex am Anfang des geklammerten Ausdrucks bedeutet NICHT Nur f r 8 Bit A Z Ein Bindestrich innerhalb von eckigen Klammern zeigt ein Intervall von Zeichen an Bewirkt da das folgende besondere GREP Zeichen w rtlich zu behandeln ist X Y Wiederholt das die vorangehenden Zeichen X bis Y mal ab Verh lt sich wie eine Klammerung in einem mathem Ausdruck Gruppiert a und b f r und alb Verh lt sich wie ein logisches ODER a oder b b Steht f r eine Wortgrenze Steht f r den Anfang einer Datei Steht f r das logische oder physische Ende einer Datei je nach Suchoptionen GREP Beispiele E Mail Adressen a zA Z0 9_ 1 20 a zA Z0 9 2 20 a zA Z 2 7 Das vor dem wird in Gmail Adressen unterstiitzt Internet Adressen mit http https ftp a zA Z a zA Z0 9 _ amp Visa und Mastercard Kreditkartennummern a z 45 Ha z 45 HEH AAA 45 Rau HHHH HHHH HHHH am besten ber eine X Tension mit dem Luhn Algorithmus pr fen und ohne a z suchen berlappende Treffer erlauben Wenn Sie mit GREP nach Suchtreffern variabler L nger suchen k nnen mehrere g ltige Treffer an derselben Stelle entstehen Wenn Sie z B nach E Mail Adressen suchen und der Suchalgorithmus wird mit der Zeichenfolge mail x ways com gef ttert dann stellt er fest da die Zeichen ab dem m von mail auf den GREP Ausdruck 166 passen und vermerkt einen
120. a subset of files that is more or less representative of all files though less random than files listed first when sorting by hash value Applying the modulo operation to the internal ID will pick files from any directory with any name creation date etc To see only 1 000 out of 100 000 files i e every 100th file use the operation internal ID modulo 100 0 Also useful for testing purposes If you wish to compare the performance of different hard disks RAID systems processors configurations for volume snapshot refinements you don t have to process all files in an evidence object You can get quicker yet likely rep resentative results for example in 1 10 of the time if you only process every 10th file pseudo randomly selected by internal ID Even for normal work examiners may not be required by their bosses their prose cutor to conduct a 100 complete examination for example if after review of a reasonably sized and representative subset you can extrapolate that about 10 of several 10 000 photos is illegal material Der eindeutige interne Schl ssel des Elternverzeichnisses bergeordneten Verzeichnisses einer Datei oder eines Verzeichnisses im Datei berblick Das Wort Elter wird hier als Singular verwendet wie in der Informatik und Biologie blich N tzlich z B wenn man Dateien und Verzeichnisse exportiert und es mehrere Verzeichnisse gleichen Namens im gleichen Pfad gibt z B eins existierend eins gel scht so da ma
121. against that hash database in X Ways Forensics and X Ways Investigator to identify known incriminat ing content Law enforcement agencies may want to create and share their own collections of such hash val ues or import an extensive existing collection from Project Vic JSON ODATA Format Version 1 0 ab v18 1 von X Ways Forensics auch Version 1 1 ab v18 2 von X Ways Forensics auch Version 1 2 You can also import PhotoDNA hash databases of other X Ways users you may delete hash categories that you don t need any more and you may merge or rename categories in your database When importing someone else s hash database their categories of the same name will be merged with yours X Ways Forensics will attempt to deduplicate hash values of similar photos when adding hash values to the database PhotoDNA hash values may also be imported if they are stored in text files with PhotoDNA in the first line followed by 1 hash value per line in hex ASCH or Base64 Hash values can be added to the PhotoDNA hash database for pictures in the volume snapshot of an evidence object in the same way as conventional hash sets are added to a conventional hash database using the Create Hash Set command in the directory browser context menu The da tabase is one of now four databases that can be managed with the Tools Hash Database com mand The PhotoDNA hash database is stored in a directory next to hash database 1 Matching is part of the picture analys
122. aluationsversion erlaubt generell nur den View Modus Beachten Sie bitte die Optionen Auf nderungen im Speicher pr fen und Virtuelle Adressen Hauptspeicheranalyse Erfordert eine forensische Lizenz Wenn Sie den lokalen physischen Arbeitsspeicher ffnen ber Extras RAM ffnen nur unter Windows XP oder einen Hauptspeicher Dump als Datei ffnen und diese Datei genau wie ein Datentr ger Image interpretieren oder einen Speicher Dump 140 einem Fall hinzuf gen werden die Prozesse im Verzeichnis Browser aufgelistet auch versteckte Prozesse mit ihren Zeitstempeln und Proze IDs und ihr jeweiliger Speicheradre raum kann individuell im Modus Process eingesehen werden wobei die Seiten in korrekter logischer Reihenfolge hintereinander dargestellt werden wie sie aus Sicht jedes Prozesses angeordnet sind Die intensiven Dateisystem Datenstruktur Suche ist signaturbasiert dauert ein bi chen l nger als das Erstellen des standardm igen Datei berblicks und kann Spuren von weiteren beendeten Prozessen aufdecken RAM kann auch ber ein Netzwerk hinweg gesichert werden mit Hilfe von F Response Extras Datentr ger ffnen Die Analyse wird unterst tzt f r die meisten aber nicht alle Varianten Service Packs von Windows 2000 Windows XP Windows 2003 Server Windows Vista Windows 2008 Server und Windows 7 32 Bit und weniger vollst ndig 64 Bit Unterst tzt werden nur 1 1 Abbilder des RAM d h auch die vom BI
123. am Ende der vorhergehenden WinHex Sitzung verlassen haben Standardm ig werden Editierfenster nicht maximiert ge ffnet Geben Sie die Zahl der zuletzt ge ffneten Dokumente an die WinHex sich merken und im Start Center anzeigen soll max 255 Bis zu 9 davon werden gleichzeitig auch am Ende des Dateimen s aufgef hrt Wenn die Option Dateidatum und zeit beibehalten aktiviert ist werden Datum und Uhrzeit der letzten Anderung einer Datei beim Speichern mit Datei Speichern unter auf dem Stand belassen den die Datei zum Zeitpunkt des ffnens hatte Weitere Kontextmen s Wenn ganz gew hlt oder wenn beim Rechtsklick auf ein Verzeichnis im Falldatenfenster die Umschalt Taste gedr ckt gehalten wird erscheint ein Kontextmen mit dem Sie das rechts angeklickte Verzeichnis rekursiv erkunden k nnen ganz so wie wenn kein Kontextmen bei einem Rechtsklick angezeigt wird das Verzeichnis rekursiv markieren k nnen genau wie durch Dr cken der Leertaste das Verzeichnis rekursiv aufklappen k nnen genau wie beim Dr cken der Multiplikationstaste im Ziffernblock das Verzeichnis rekursiv einklappen k nnen einen Teilbaum als ASCII Textdatei exportieren k nnen oder den kompletten Pfad des Verzeichnisses in die Zwischenablage kopieren k nnen Wenn zumindest half gew hlt oder die Umschalt Taste beim Rechtsklick der Hex Editor Anzeige gedr ckt gehalten wird erscheint dort ebenfalls ein geeignetes Kontextmen WinHex kann sich
124. amps are also represented more than once in the calendar When not showing events you can now decide which column s timestamp should be included in the calendar Columns that are hidden have a width of 0 pixels are excluded all other columns are included The status bar reminds you which columns are included even if not currently visible because of horizontal scrolling Years in the calendar with no timestamps are grayed out The number of a year is displayed in a 36 darker shade of gray the more timestamps are listed for that All shades of gray try to give the examiner a better and quicker impression of peaks or absence of activity Beispiel In welchem Zeitraum wurden die meisten JPEG Dateien auf einer Partition verarbeitet Klicken Sie mit der rechten Maustaste das Stammverzeichnis im Verzeichnisbaum Falldatenfenster an um alle Dateien aus allen Unterverzeichnissen auf einmal rekursiv aufzulisten Dann schr nken Sie die Ansicht mit dem Dateityp Filter auf JPEG Dateien ein und schalten auf die Kalenderansicht um Roh Im Vorschau Modus sorgt der Roh Modus bei Einsatz der Viewer Komponente daf r da eine Datei als einfache Textdatei dargestellt wird Dies kann n tzlich sein z B bei HTML Dateien wenn Sie den HTML Quellcode sehen m chten oder bei eml Dateien wenn Sie den vollst ndigen E Mail Header sehen m chten oder generell wenn in einer Suchtrefferliste die Viewer Komponente einen Suchtreffer nicht im Vorschau Modus
125. ann in X Ways Forensics mit dem Befehl Extras Datei Tools Sparse kopieren erledigt werden so da die Kopie auch eine Sparse Datei wird und nur so viel Plattenplatz wie die Originaldatei verbraucht Ein konventioneller Kopierbefehl w rde auch die riesigen unbenutzten und nicht allozierten Bereiche innerhalb der Sparse Datei als bin re Nullen kopieren 183 Zum berpr fen der Unver ndertheit der in die Minimalsicherung bertragenen Daten kann f r diese als Ganzes ein Hash Wert berechnet werden wie bei einem normalen Image Alternativ und viel schneller ist die Verwendung des Befehls Minimalsicherung berpr fen die die laut log Datei bertragenen Sektorbereiche erneut hasht aus dem Image lesend und mit den Hash Werten in der log Datei vergleicht Dann berpr ft die Funktion ob die log Datei ihrerseits unver ndert ist hasht diese dazu und vergleicht den sich daraus ergebenden m chtigen allumfassenden Master Hash Wert mit dem in der log log Datei genannten Hash Wert sofern diese optionale Datei erzeugt wurde Es k nnte auch w nschenswert sein zu verifizieren da alle ungenutzten Bereiche in einer Minimalsicherung weiterhin nicht alloziert oder zumindest mit Nullen gef llt sind Dies erledigt die Funktion nicht Optionen e A skeleton image should be created as an NTFS sparse file unless you intend to copy more than half ofthe sectors perhaps just a very rough rule of thumb e If you don t have X Ways Forensics s
126. apshot Eigenschaften Datei in der Typspalte snapprop genannt zeigen 5 21 Schnittstelle f r externe Analyse ber den Men befehl Datei Export zur Analyse im Falldatenfenster k nnen Sie Dateien z B alle Dateien aus dem gesamten Fall die zu einer bestimmten Kategorie geh ren zur weiteren Analyse an ein externes Programm bergeben Dieses Programm mu auf die unten beschriebene Schnittstelle ausgelegt sein Erfordert X Ways Forensics oder X Ways Investigator oder WinHex 112 mit forensischer Lizenz Das Ergebnis der Analyse kann zur ck in X Ways Forensics importiert werden ber den Befehl Berichtstabellen Import im Falldatenfenster Klicken Sie dazu z B rechts auf den fettgedruckten Falltitel Dies verkn pft die von der externen Software klassifizierten Dateien mit bestimmten Berichtstabellen und erstellt ggf neue Berichtstabellen was es Ihnen erlaubt nach diesen Dateien leicht zu filtern oder sie in einem Bericht auszugeben Z B kann die Software DoublePics bekannte Bilder wiedererkennen auch wenn sie in einem anderen Format gespeichert und oder verfremdet wurden und eine Klassifikation wie etwa m cc Kipo relevant oder irrelevant zur ckgeben Technische Beschreibung der Schnittstelle All files or files in a certain category or all tagged files or all non hidden files are copied into a subfolder of the output folder specified by you The subfolder is named with a CRC in hexadeci mal characters
127. ar entweder Unterobjekte jeglicher Art wenn ganz gew hlt oder nur Datei Anh nge von E Mails wenn die Option halb gew hlt ist Optional k nnen Container die Daten Inhalte von Verzeichnissen selbst transportieren d h abh ngig vom Dateisystem Verzeichniseintr ge INDX Puffer usw Dies ist n tzlich wenn der Empf nger des Containers technisch bewandert ist und sich f r Zeitstempel oder sonstige Metadaten in diesen Datenstrukturen interessieren k nnte Falls Sie sich entscheiden Verzeichnisdaten in einen Container aufzunehmen wenn Sie ihn erzeugen hat das direkte Auswirkungen nur auf Verzeichnisse die selbst ausgew hlt sind Es hat einen Effekt auf das jeweilige direkte Elternverzeichnis von gew hlten Objekten nur dann wenn Sie eine weitere Option einschalten Daten Inhalte direkt bergeordneter Objekte aufnehmen Diese weitere Entscheidung ist erforderlich weil die Verzeichnisdaten sonst unbeabsichtigt Namen und sonstige Metadaten von Dateien enth llen k nnten die z B aus Datenschutzgr nden bewu t nicht in den Container aufgenommen wurden Wenn Sie Dateien die Unterobjekte anderer Dateien sind incl Pfad kopieren wird die bergeordnete Datei zumindest als leere H lle ohne Daten in den Container aufgenommen damit das Unterobjekt mit dem korrekten urspr nglichen Pfad im Container erscheint und klar 110 ist woher sie stammt Beispiele sind eine E Mail zu der der ausgew hlte Datei Anhang geh rt ein Zip
128. ards ReplaceAll 0x0A 0x0D0A Down Up BlockOnly Wildcards Ersetzt alle Suchtreffer einer Zeichenkette oder eines Hexadezimal Wertes in der aktiven Datei durch etwas anderes Kann auf Laufwerke nur im In Place Modus angewandt werden IfFound Ein boolescher Wert der davon abh ngt ob die letzte Suchen oder Ersetzen Anweisung erfolgreich war Setzen Sie Anweisungen die ausgef hrt werden sollen wenn etwas gefunden wird hinter die IfFound Anweisung IfEqual MyVariable Hello World IfEqual 0x12345678 MyVariable IfEqual MyVariable 1000 IfEqual MyVariable MyOther Variable IfEqual MyVariable 10 MyOtherVariable Vergleicht entweder zwei numerische Integer Werte von denen jede ein konstanter Wert eine Integer Variable oder ein mathematischer Ausdruck sein kann oder zwei Variablen ASCII Zeichenketten oder Hexadezimal Werte auf bin rer Ebene Der bin re Vergleich zweier Objekte mit unterschiedlichen L ngen liefert immer das Ergebnis falsch Wenn die beiden Objekte gleich sind werden die folgenden Befehle ausgef hrt If Bedingungen d rfen nicht verschachtelt werden IfGreater MyVariable Hello World IfGreater 0x12345678 MyVariable IfGreater MyVariable 1000 IfGreater MyVariable MyOtherVariable IfGreater MyVariable 10 MyOtherVariable Akzeptiert die gleichen Parameter wie IfEqual Wenn der erste gr er ist als der zweite werden die folgenden Anweisungen ausgef hrt If Bedingungen d rfen nicht verschachtelt werden
129. at you get F r B wird in Klammern 0 angezeigt denn wenn der Benutzer nur 1 Treffer pro Datei haben will braucht er Treffer f r B ja gar nicht mehr Er schaut sich die beiden Dateien ja sowieso schon an wegen der Treffer f r A und C Wenn Sie dann aber in der Suchbegriffliste NUR noch B ausw hlen und A und C gar nicht mehr weil Sie sich im Moment nur f r B interessieren hat X Ways Forensics keine Wahl mehr dann mu es Ihnen den Treffer f r B in Datei 1 und den in Datei 2 anzeigen Auch hier gilt Nur 1 Treffer pro Objekt Dann wird f r A und C in Klammern eine 0 angezeigt denn die Suchtreffer f r A und C werden zur Erf llung von Nur 1 Treffer pro Objekt nicht ben tigt Und f r B wird nun in Klammern eine 2 angezeigt weil ja 2 Suchtreffer f r B in der Suchbegriffsliste angezeigt werden einer in Datei 1 und einer in Datei 2 Da bei B vorher eine 0 stand hei t nicht da es keine Suchtreffer f r B gibt sondern nur da sie zu dem Zeitpunkt nicht angezeigt und zur Erf llung des Wunsches Nur 1 Treffer pro Objekt auch nicht ben tigt wurden Die 0 signalisiert da das Auflisten etwaiger vorhandener Suchtreffer f r Suchbegriff B keine Dateien zu Tage f rdern die Sie nicht ohnehin schon im Blickfeld haben dank der bereits aufgelisteten Suchtreffer zu A und C Wenn Sie sich in Wirklichkeit doch f r ALLE Suchtreffer interessieren dann ist es ein Fehler Ihrerseits Nur 1 Treffer pro Objekt anzukreuzen Oder vielleicht gla
130. atisch zu identifizieren indem Sie die Hash Werte aller Dateien gegen dieses spezielle Hash Set abgleichen und dann den Hash Set Filter verwenden You may also exclude files based on identical names instead of identical hash values This is a case insensitive comparison and of course should be used only if you know what you are doing as it does not compare the file contents at all Could be useful for example if you wish to get rid of multiple copies of the same files found in backups if you do not need to keep different versions of these files If prior to the comparison for example you sort by last modification date in descending order this will ensure that the newest version of the file will be kept and all older versions will be excluded Files with identical names are not marked as duplicates in the Attr column That happens only if you identify identical files based on hash values If you have access to PhotoDNA in X Ways Forensics you may also identify and exclude duplicate pictures using PhotoDNA All duplicates will be marked as duplicates found in the Attr column and all except one will be excluded When in doubt deleted files or pictures with a poor resolution will be excluded and existing files and pictures with a higher resolution will be kept Please note that the hash value comparison is a potentially time consuming operation if many pictures are listed in the directory browser much more so than for conventional hash values Howe
131. ative mit dem Nummernblock funktioniert evtl nicht auf allen Computern Strg 0 entfernt alle Berichtstabellen Verkn pfungen von den ausgew hlten Dateien Alt 1 Alt 2 Alt 9 entfernt die Verkn pfung mit der betreffenden Berichtstabelle von den ausgew hlten Dateien Sie k nnen freien Text als Beschreibung f r jede Berichtstabelle hinterlegen wenn Sie den Schalter mit dem Eigenschafts Icon im Dialogfenster f r Berichtstabellenverkn pfungen anklicken Diese Beschreibung wird im Fallbericht zu sehen sein wenn Sie die Berichtstabelle ausgeben Sie ist n tzlich f r Erkl rungen zur Bedeutung der Berichtstabelle und hilft den Namen der Tabelle selbst der an diversen Stellen in der Benutzeroberfl che erscheint k rzer fassen zu k nnen Es gibt eine Option zum Erzeugen von Berichtstabellenverkn pfungen f r Dateien anhand der Suchbegriffe die sie laut Spalte Suchtreffer enthalten N tzlich wenn Sie die Informationen dar ber welche Datei welche Suchbegriffe enth lt auch nach dem L schen der Suchtreffer behalten m chten oder um sie in Datei Containern zu konservieren Berichtstabellen die enthaltene Suchbegriffe repr sentieren stellen die 3 Art von Berichtstabellen dar die es gibt Die ersten beiden sind von X Ways Forensics erstellte Berichtstabellen die den Benutzer auf bestimmte Besonderheiten von Dateien aufmerksam machen sollen sowie vom Benutzer erzeugte Berichtstabellen f r allgemeine Zwecke Berichtstabellen d
132. be explained Note that the Technical Details Report is routinely created already when you start disk imaging with the File Create Disk Image command so you do not need to invoke the report yourself prior to imaging Image als Datentr ger interpretieren Behandelt eine ge ffnete und aktive Image Datei entweder als logisches Laufwerk oder physischen Datentr ger Das ist n tzlich wenn Sie den Inhalt eines Disk Image untersuchen m chten einzelne Dateien aus dem Dateisystem extrahieren m chten usw ohne das Image zur ck auf einem Datentr ger zur ckzuspielen Beim Interpretieren als physischen Datentr ger kann WinHex die im Image enthaltenen Partitionen ffnen wie von einer echten physischen Festplatte WinHex kann sogar datei bergreifende Roh Images interpretieren also Image Dateien die aus einzelnen Segmenten beliebiger Gr e bestehen sog spanned image files Damit WinHex ein datei bergreifendes Image erkennt darf das erste Segment einen beliebigen Namen und eine nicht numerische Namenserweiterung oder die Namenserweiterung 001 haben Das zweite Segment mu denselben Basisdateinamen aber die Erweiterung 002 haben das dritte Segment 003 usw Der Befehl Datentr ger Sicherung erzeugt kompatibel bennante Disk Image Segmente Segmentierung ist n tzlich da die maximal unterst tzte Dateigr e in FAT32 Dateisystemen oder auf Datentr gern wie DVD stark beschr nkt ist Aus 4 Ziffern bestehen
133. behalten Das hei t z B wenn Sie eine 1 TB gro e Minimal Datentr ger Sicherung von der nur 100 MB an Daten alloziert sind kopieren ist dieser Vorgang praktisch sofort abgeschlossen weil nur 100 MB von 1 TB Daten kopiert zu werden brauchen Konventionelle Kopierfunktionen behalten die Sparse Eigenschaft einer Datei nicht bei sondern kopieren die Datenmenge wie sie von der nominellen Gr e er Datei angegeben wird auch wenn intern die meisten Daten nicht alloziert sind und nur virtuell als bin re Nullen gelesen werden Verzeichnis replizieren Copies a directory with all its files and subdirectories recursively and recreates individually NTFS compressed source files as NTFS compressed in the respective output folder if supported by the destination file system and any layer in between The command does not retroactively compress such files after their creation but writes them immediately as compressed which is more efficient However it still has to copy send the decompressed amount of data of the source file Supports overlong paths Select the source directory first then 66 specify create the destination directory This function is useful for example if you wish to copy or move a case directory which contains a few NTFS compressed files that would be inefficient to store as uncompressed Note that alternatively you can open a case and use the Save As command in the Case Data window for the same effect Sicheres L schen L scht
134. beitet werden kann Eine dritte M glichkeit au er f r Suchbegriffslisten ist eine XML Datei Die Daten k nnen im gew hlten Format alternativ auch einfach in die Zwischenablage kopiert werden z B um sie direkt in einen extern bearbeiteten Bericht einzuf gen Die zu exportierenden Spalten sind frei w hlbar Sogar die Suchtrefferspalte kann exportiert werden mitsamt dem textuellen Kontext in dem jeder Suchtreffer steht wobei der Suchbegriff selbst visuell durch eine gelbe Hintergrundfarbe hervorgehoben werden kann nicht empfohlen f r die Weiterverarbeitung in MS Excel Sie k nnen das Resultat in mehrere Dateien aufteilen lassen um zum Beispiel zu verhindern da der HTML Code so umfangreich wird da ein Internet Browser ihn nicht mehr effizient laden kann und Speicherprobleme bekommt Es gibt eine Option die Dateien aus dem Datentr ger bzw Image gleichzeitig herauszukopieren und von der HTML Tabelle aus zu verlinken Die Links sind in der Namensspalte zu finden Das Verhalten wird von zwei Optionen des Fallberichts beeinflu t Dateien nach eindeutiger ID benennen und Datei Anh nge in eml Elterndatei einbetten Diese Optionen stellt eine interessante Layout Alternative zur regul ren Ausgabe von Berichtstabellen dar und kann auch als Alternative zum Befehl Wiederherstellen Kopieren angesehen werden Der Befehl merkt sich Notationseinstellungen separat von denen in den allgemeinen Optionen Das ist n tzlich weil das Datenban
135. ben Dies ist n tzlich wenn nicht nur eine Sammlung von Dateien an andere Ermittler weitergegeben werden soll sondern auch weitere fallspezifische Informationen und bereits gewonnene Erkenntnisse Z B k nnten Computer Spezialisten den Namen des Besitzers einer Datei hinzuf gen so da der nicht auf EDV spezialisierte Fachermittler diesen sehen kann oder den Grund angeben aus dem eine Datei zur Weitergabe im Container berhaupt ausgew hlt wurde Vorgang bei Lesefehler abbrechen This option allows to abort copying files into an evidence file container upon a read error and to not include affected files partially Useful when acquiring files from a network location and the connection might be interrupted if you assume that if that hap pens you will get the connection back and will be more successful when you try again to avoid having incomplete files in the container which cannot be replaced with a complete copy retroac tively Available only when not filling containers indirectly Beim Schlie en eines im Hintergrund ge ffneten Containers wird dem Benutzer angeboten den Container zu komprimieren zu verschl sseln und oder in kleinere Segmente aufzuteilen Das Aufteilen ist n tzlich wenn der Container vollst ndig bef llt wurde relativ gro geraten ist und z B auf CDs oder DVDs verschickt werden soll Sie finden vielleicht auch einen berpr fbaren Hash Wert f r den gesamten Container n tzlich der bei dieser Gelegenheit berechn
136. benannte Dateien Dateien ohne Erweiterung etc zu starten Die Pfade der externen Betrachtungsprogramme sind in einer 158 separaten Datei namens Programs txt gespeichert so da es leicht f llt eine ganze Sammlung solcher Programme mit anderen Benutzern auszutauschen oder die eigenen Pfade behalten wenn man alle anderen Einstellungen von jemand anderem bernehmen m chte In der Textdatei kann man auch absolute Pfade zu relativen Pfaden machen mit oder f r Programme die genauso portabel wie X Ways Forensics selbst sind und die man auf einem USB Datentr ger mit X Ways Forensics f r Durchsuchungen vor Ort mitnehmen m chte Eine alternative E Mail Darstellung ist im Vorschau Modus verf gbar auch im Fallbericht Datei Anh nge werden von dieser Art der Darstellung noch nicht verlinkt Wenn diese Option halb gew hlt ist werden E Mails im eml Format in der Vorschau nicht im Roh Modus ohne Kopf Header angezeigt werden N tzlich wenn Sie gern mehr vom Rumpf Body der E Mail sehen m chten ohne nach unten rollen zu m ssen Betreff Absender Empf nger und Zeitstempel werden ohnehin auch im Verzeichnis Browser angezeigt und zu etwaigen Datei Anh ngen k nnen Sie auch im Verzeichnis Browser navigieren Crash safe text decoding If enabled text extraction from certain file types for logical searches and indexing will be done by the viewer component in a separate process such that ifthe viewer component crashes or bec
137. berblick vou 43 Min all 039DF850 3F 44 3F 38 43 34 39 3A D 8C49 Sen 039DF858 37 FF DB 00 43 01 0A 0A af C Genutzter Speicher 205 MB Daten 8 Bit fz 2 039DF860 OA OD OC OD 1A OF OF 1A 214 861 824 Bytes 16 Bit 2 2 II Geier frei F2AMR Dolmetscher 32 Bit 1835010 Sektor 118524 von 530082 Offset 33DF80D 2 Block A Grobe A Statusleiste Informationsspalte 14 3 2 Start Center Das sog Start Center ist ein Dialogfenster das optional beim Programmstart angezeigt wird und als vereinfachte Schalttafel f r den Beginn Ihrer Arbeit mit WinHex gedacht ist Es erlaubt Ihnen sowohl Dateien Datentr ger virtuellen Speicher und Ordner zu ffnen als auch bis zu 255 zuvor ge ffnete Dokumente 16 in der Voreinstellung Liste links Dies k nnen Dateien Ordner logische Laufwerke oder physische Datentr ger sein Wenn diese wieder ge ffnet werden stellt WinHex die letzte Cursor Position die Scroll Position und den Block falls definiert wieder her wenn die entsprechende Option nicht ausgeschaltet ist Vom Start Center aus haben Sie auch Zugriff auf Projekte und F lle Liste rechts oben Ein Projekt besteht aus einem oder mehreren zu editierenden Dokumenten Dateien oder Datentr ger Es merkt sich die Cursor Positionen die Gr e und Positionen der Fenster und einige Anzeige Optionen Indem Sie eine Fensteranordnung als Projekt speichern k nnen Sie Ihre Arbeit in mehreren Dokumenten genau dort fortsetzen wo Sie sie verlassen
138. bjektes gleichzeitig mit den Metadaten der Unterobjekte sehen wollen Und falls das von oder repr sentierte Objekt eine Datei ist und Sie es ausw hlen k nnen Sie diese Datei im Datei Vorschau oder Detail Modus einsehen Auch in der Galerie wird es mit angezeigt e Ein Doppelklick auf Verzeichnis erkundet dieses Ein Doppelklick auf eine gew hnliche Datei wendet den Einsehen Befehl auf sie an Diese Option steuert ob Dateien mit Unter objekten bei einem Doppelklick eingesehen oder erkundet werden Wenn das Kontrollk stchen halb angekreuzt ist werden Sie jeweils gefragt e Dateien k nnen optional inklusive ihrem Schlupfspeicher ge ffnet und durchsucht werden Der halb gew hlte Status des Kontrollk stchens macht nur f r die logische Suche einen 19 Unterschied s dort Das Auflisten von Unterverzeichnissen beim rekursiven Erkunden ist optional Verzeichnisse w ren in einer rekursiven Ansicht n tzlich wenn Sie sich f r die Namen oder Zeitstempel von Verzeichnissen interessieren aber sie lenken eher ab wenn Sie einfach nur alle aufgelisteten Dateien begutachten m chten Die rekursive Auswahlstatistik rechts unterhalb des Verzeichnis Browsers nur mit forensischer Lizenz enth llt wie viele Unterverzeichnisse Dateien und wieviel Daten ein Verzeichnis enth lt wenn es im Verzeichnis Browser ausgew hlt wird es sei denn es wird bereits rekursiv erkundet unter Beachtung etwaiger aktiver Filter Wenn diese Option nicht
139. ble if you know that the data that you are copying is probably suitable e You may use the alternative names of files if available for the output The alternative name if one exists can be seen in the directory browser in square brackets For example when parsing iPhone backups X Ways Forensics automatically changes artificial generic filenames back to what they were originally Or when parsing I files from the Windows recycle bin the corresponding R files are given their original names If for some reason you prefer the untranslated filenames when copying such files off the image to your own hard disk for example because you wish to process these files with some external tool that expects the artificial filenames then you can now use this option Wenn der Wiederherstellen Kopieren Befehl in einer Suchtrefferliste eingesetzt wird werden Verzeichnisse die Suchtreffer enthalten im Ausgabeordner als Dateien wiederhergestellt da es wahrscheinlich ist da der Benutzer die Originaldaten kopieren m chte die den eigentlichen Suchtreffer enthalten Unterobjekte werden beim Kopieren aus Suchtrefferliste nie mit ihren Elternobjekten mitkopiert Liste exportieren Erfordert eine Specialist Lizenz Gibt Daten ber die ausgew hlten Objekte im Verzeichnis Browser in eine tabulatorseparierte Textdatei oder in eine HTML Datei aus Diese kann in jedem Web Browser betrachtet oder auch z B in MS Excel und MS Word einfach importiert und weiter bear
140. blich zu hinterlegen entweder nur wenn gerade eine Suchtrefferliste angezeigt wird wenn halb gew hlt oder permanent sobald die Suchtreffer eines Asservats geladen wurden d h auch beim Arbeiten mit dem normalen Verzeichnis Browser wenn ganz ausgew hlt Suchtreffer werden geladen wenn ein Asservat ge ffnet wurde sobald Suchtreffer aufgelistet werden Diese Funktion betrifft eigene Suchtreffer genauso Erfordert eine forensische Lizenz NTFS MFT Auto Kolorierung Hebt die verschiedenen Elemente von FILE Records auf NTFS Partitionen hervor wenn Sie den blinkenden Cursor in einen solchen Record hineinbewegen um das Navigieren und das Verst ndnis zu erleichtern Erfordert eine Specialist oder forensische Lizenz Au erdem ist ein automatisches farbliches Hervorheben von ausgerichteten FILETIME Werten in den Modi Disk Partition Volume und Datei m glich N tzlich beim manuellen Inspizieren diverser Microsoft Formate die u U mehr Zeitstempel enthalten als automatisch extrahiert werden k nnen versuchen Sie z B index dat Registry Hives Ink Verkn pfungen usw usf Wenn die untere H lfte eines Datenfensters den Eingabefokus hat und FILETIME Werte hervorgehoben erscheinen k nnen Sie auch den Mauszeiger ber einen solchen Wert bewegen um eine menschenlesbare Interpretation des Zeitstempels zu erhalten Alternative k nnen Sie diese nat rlich wie immer auch vom Daten Dolmetscher enthalten wenn Sie das erste Byte eines solchen Werts
141. bt die Datei C A dat nach D B dat DeleteFile C A dat L scht berraschenderweise die Datei C A dat InitFreeSpace InitSlackSpace Initialisiert den freien bzw den Schlupfspeicher auf dem aktuellen logischen Laufwerk unter Verwendung der aktuellen Initialisierungs Einstellungen InitSlackSpace setzt das Laufwerk 200 vor bergehend in den In Place Modus womit alle noch anstehenden nderungen gespeichert werden InitMFTRecords Initialisiert alle unbenutzten MFT FILE Records auf dem aktuellen logischen Laufwerk sofern es mit NTFS formatiert ist unter Verwendung der aktuellen Initialisierungs Einstellungen Tut nichts auf anderen Dateisystemen Die nderungen werden unmittelbar auf die Platte geschrieben Assign MyVariable 12345 Assign MyVariable 0x0D0A Assign MyVariable I like WinHex Assign MyVariable MyOtherVariable Speichert die angegebene Integer Zahl Bin rdaten ASCII Text oder den Inhalt einer anderen Variable in eine Variable mit Namen My Variable Wenn diese Variable noch nicht existiert wird sie erzeugt Andere Methoden eine Variable anzulegen sind z B Read GetUserInput InttoStr Bis zu 48 verschiedene Variablen sind erlaubt d h k nnen gleichzeitig existieren Release MyVariable Specifically disposes an existing variable Mandatory to invoke only when more than 48 vari ables with different names are to be used during the execution of a script so that earlier variables that are not needed any more
142. can be destroyed SetVarSize MyVariable 1 SetVarSize MyVariable 4 Setzt die zugewiesene Speichergr e einer Variablen ausdr cklich auf eine bestimmte Byte Gr e zu diesem Zeitpunkt Dies kann hilfreich sein z B um Variablen die Integer Werte enthalten und die aus einer Berechnung stammen in eine bin re Datei mit einer fixen Struktur zu schreiben Ohne Aufruf von SetVarSize d rfen keinerlei Annahmen ber die Gr e einer Variablen gemacht werden Zum Beispiel k nnte die Zahl 300 in einer beliebigen Zahl von Bytes gr er als 1 gespeichert werden Wenn die neue Gr e mit SetVarSize kleiner ist als die bisherige wird der zugewiesene Speicher abgeschnitten Wenn die neue Gr e gr er ist wird der zugewiesene Speicher ausgeweitet In jedem Fall wird der Wert der verbleibenden Bytes beibehalten GetUserInput MyVariable Bitte geben Sie Ihren Namen ein Speichert den ASCII Text oder die bin ren Daten 0x die der Nutzer zur Laufzeit des Skripts eingegeben hat max 128 Bytes in einer Variablen mit Namen MyVariable Der Nutzer erh lt ein Dialogfenster mit der Nachricht die Sie als zweiten Parameter angeben Wenn die Variable nicht existiert wird sie erzeugt Andere M glichkeiten zur Erzeugung einer Variablen Assign Read GetUserInputI MyIntegerVariable Bitte geben Sie Ihr Alter in Jahren enz Funktioniert wie GetUserInput akzeptiert und speichert aber nur Integer Werte Inc MyVariable Interpretiert eine Variab
143. ch auch von einem Container in einem neuen Fall aus exportieren z B beim Anwender von X Ways Investigator und wieder in das urspr ngliche Asservat im Originalfall aus dem die Dateien im Container urspr nglich stammen importieren z B beim Anwender von X Ways Forensics weil im Container Informationen zur Identifizierung des urspr nglichen Asservats enthalten sind Verteilte Erweiterung von Datei berblicken 78 X Ways Forensics erlaubt es die Datei berblicke verschiedener Asservate desselben Falls unter Einsatz mehrerer Rechner im selben Netz gleichzeitig zu erweitern um durch Parallelisierung Zeit zu sparen Jeder Benutzer Computer ffnet dieselbe xfc Falldatei dieselbe Kopie auf demselben Computer Alle teilnehmenden Benutzer Computer oder alle bis auf einen die Hauptinstanz m ssen den Fall als teilweise schreibgesch tzt ffnen d h nur verteilte Auswertearbeit und Datei berblicks Erweiterungen erlaubend Das k nnen Sie erreichen indem Sie in dem Dialogfenster zum ffnen des Falls Optionen ankreuzen oder Sie werden ohnehin automatisch danach gefragt wenn Sie den Fall ffnen wenn dieser bereits in einer anderen Sitzung als nicht schreibgesch tzt ge ffnet ist d h in der Hauptinstanz Andere Instanzen sehen die Ergebnisse der Erweiterung sp testens wenn diese abgeschlossen ist und das Asservat erneut ge ffnet wird Der Fall braucht dazu nicht erneut ge ffnet zu werden Es besteht die M glichke
144. ch die unpartitionierten Bereiche abdeckt weil jede Partition ihren eigenen Index haben kann W rter die k rzer als ein von Ihnen bestimmtes unteres Limit sind werden ignoriert Je gr er die Minimall nge von W rtern in Zeichen desto kleiner wird der Index und schneller die Indexierung Voreinstellung als Minimum sind 4 Zeichen H ufig vorkommende irrelevante W rter kann man durch die Ausnahmeliste mit vorangestelltem Minuszeichen aus dem Index ausschlie en z B und wenn schon 3 Zeichen akzeptiert werden was den Index verkleinert und das Indexieren beschleunigt Je gr er Sie die Spanne akzeptierter Wortl ngen w hlen desto 130 gr er wird der Index und desto langsamer die Indexierung Relevante W rter mit 3 Buchstaben k nnen Sie in die Ausnahmeliste mit vorangestelltem Pluszeichen aufnehmen z B xtc so da diese trotz Unterschreiten des Standard Limits von 4 mit indexiert werden Die Ausnahmeliste mu nicht alphabetisch sortiert sein W rter in der Ausnahmeliste die l nger als das von Ihnen angegebene obere Limit sind werden im Index abgeschnitten Die Ausnahmeliste kann keine Ausnahmen von der angegebenen Auswahl an zu indexierenden Zeichen definieren Gro und Kleinschreibung wird bei der Indexierung optional unterschieden Dies kann z B dann n tzlich sein wenn Sie den Index deswegen erstellen um sp ter eine Wortliste zum Zweck eines individuellen W rterbuchangriffs auf ein Pa wort zu exportieren
145. ch einer kompletten Zeichenkette gesucht die vor hinter oder zwischen Zeichen steht Die Wirkung von wird nur durch runde Klammern begrenzt und sind Platzhalter Joker Zeichen pa t auf alle Zeichen pa t auf alle Ziffern Weitere Zeichenmengen lassen sich innerhalb von eckigen Klammern angeben xyz pa t auf die Zeichen x y und z xyz pa t auf alle Zeichen au er x y z Auch Intervalle k nnen angegeben werden a z pa t auf alle Kleinbuchstaben a z pa t auf alle Zeichen au er Kleinbuchstaben Die Auflistung darf mehrere einzelne Zeichen und Listen zugleich enthalten Daher pa t aceg loq auf die Zeichen a c e g h i j K 1 o und q Alle Zeichen au er werden zwischen eckigen Klammern als Klartext interpretiert auch die Platzhalter und b steht f r den Anfang oder das Ende eines Wortes d h die Grenze zwischen einem Wort Zeichen und einem Nicht Wort Zeichen Welche Zeichen Buchstaben als Wort Zeichen gelten ist in der parallelen Suche vom Benutzer frei definierbar Der Anfang und das Ende einer Datei gelten auch als Wortgrenzen b wird nur am Anfang und oder Ende eines Suchbegriffs unterst tzt und nicht zusammen mit Die Anker b funktionieren nur wenn in Asservaten von F llen gesucht wird und nicht in Index Suchen Byte Werte die ASCH Zeichen entsprechen die nicht bequem ber die Tastatur erzeugbar sind k nnen in dezimaler oder hexadezimaler Schreibweise angegebe
146. chablone und schlie t die Schablone WinHex akzeptiert Dateinamen als Startparameter und ffnet Dateien die per Drag amp Drop mit der Maus in das Programmfenster gezogen werden Der Einsatz von Scripts kann Ihr Arbeiten mit WinHex effizienter machen Als Befehlszeilenparameter wird auch der Name eines Scripts akzeptiert s dort Ung ltige Eingabe Nach dem Schlie en einer solchen Fehlermeldung zeigt das Blinken eines Steuerelements im darunterliegenden Dialogfenster an welcher Wert ung ltig ist und korrigiert werden mu Die Offset Schreibweise dezimal oder hexadezimal l t sich durch einen Mausklick auf die Offsetdarstellung im Editorfenster umstellen Die dezimale Schreibweise ist mit oder ohne f hrende Nullen verf gbar Mausklick rechts Klicken Sie probehalber auf die diversen Bereiche der Statusleiste linke und rechte Maustaste Since the days of Windows 95 or perhaps even Windows 3 1 users can press Ctrl C to produce a plain text representation of standard Windows message boxes in the clipboard With message boxes in WinHex and X Ways Forensics it works the same Although this is an elementary feature in Windows for more than 20 years already and should be known to any experienced Windows user and although WinHex and X Ways Forensics make users aware of that Did you know the great majority of users for some reason still take graphical screenshots of message boxes and paste them into HTML e mails f
147. chw rter haben und schnell herausfinden m chten ob Dateien mit solchen Namen vorhanden sind Der Filter kann auf zwei verschiedene Arten betrieben werden Erstens k nnen Sie Ausdr cke angeben die jeweils mit dem ganzen Namen abgeglichen werden wobei Sternchen als Jokerzeichen fungieren k nnen wie z B jpg Bis zu zwei Sternchen pro Maske sind erlaubt wenn sie an ihrem Anfang und ihrem Ende vorkommen Ausschlie en k nnen Sie Dateien mit einer Maske die mit einem Doppelpunkt beginnt Beispiel Alle Dateien mit Namen die mit A anfangen und nicht das Wort Garten enthalten A in einer Zeile und Garten in einer weiteren Zeile Wenn mehrere positive Ausdr cke angegeben werden werden sie logisch mit einem ODER verkn pft negative Ausdr cke mit einem UND Wenn die Option Teilwort Suche in Dateinamen aktiv ist dann gelten die obigen Regeln nicht Es wird dann statt dessen eine Suche innerhalb der Dateinamen nach den angegebenen Zeichen bzw optional GREP Ausdr cken durchgef hrt Z B geben Sie einfach Rechnung ein um Dateien zu finden in deren Name das Wort auftritt nicht Rechnung Eine Erkl rung der GREP Features finden Sie unter Suchoptionen Der Anker funktioniert hierbei nicht The amount of text that can be pasted into the Name filter has been extended to 2 million characters in v17 7 30 000 before That doesn t mean that X Ways Fo rensics can efficiently use a filter with many ten thousands
148. ckende fest Sektoren berlagern s dort Konvertieren s dort Daten modifizieren s dort Block Datei Sektoren f llen s unten L schen und Initialisieren 58 4 5 Suchen Men Parallele Suche s o Indexierung Suche im Index s o Index optimieren s o Wortliste exportieren Verf gbar sobald ein Index erstellt wurde Erlaubt es eine Liste aller W rter im Index in eine Textdatei zu speichern In dieser Liste sind alle W rter enthalten die in den indexierten Dateien vorkommen und jedes Wort nur genau einmal N tzlich f r individuelle W rterbuch Angriffe auf Pa w rter Text suchen Diese Funktion sucht Vorkommen einer in ASCI max 50stelligen Zeichenfolge in der aktuellen Datei s a Suchoptionen Unterst tzt nur solche Unicode Zeichen die im Intervall 0x00 0xFF liegen Eine m chtigere Variante stellt die Parallele Suche dar Hex Werte suchen Sucht Vorkommen einer Kombination von max 50 jeweils zweistelligen Hex Werten s a Suchoptionen Text ersetzen Diese Funktion ersetzt Vorkommen einer Zeichenfolge in der Datei durch eine andere s a Ersetzen Optionen Unterst tzt nur solche Unicode Zeichen die im Intervall 0x00 0xFF liegen Hex Werte ersetzen Funktioniert genau wie der Befehl Text ersetzen wird aber auf eine Folge von Hex Werten angewandt s a Ersetzen Optionen Kombinierte Suche Mit dieser besonderen Funktion k nnen Sie eine komplexe Suche durchf hren In der aktue
149. clude the weekday and the name ofthe month based in your language or in English Also that format is Unicode capable which allows for example for original Chinese notation of dates Please see http msdn microsoft com en us library dd317787 28v vs 85 29 aspx for a complete ex planation of what kind of notation is possible Examples of how to represent the month in English MMMM April MMM Apr MM 04 M 4 Example of a complete format d MMM yyyy ddd 2 Apr 2014 Wed e In Zeitangaben k nnen optional Sekundenbruchteile angezeigt werden Sie k nnen bis zu 3 Dezimalstellen w hlen N tzlich f r die Dateisysteme NTFS Reiser4 und FAT die mit einer h heren Genauigkeit als blo Sekunden in allen bzw einigen Zeitstempeln aufwarten e Optional kann der Abstand von Zeitangaben von der UTC Zeitzone direkt in dern Spalten f r Zeitstempel mit angezeigt werden Dieser Abstand h ngt von der f r die Anzeige gew hlten Zeitzone und der Sommerzeit Einstellung ab e Dateigr en k nnen Sie optional immer in Bytes statt gerundet anzeigen lassen Im mittleren Zustand des Kontrollk stchens betrifft das nur Gr en von Objekten in Volumes wenn vollst ndig gew hlt auch Objekte auf physischen partitionierten Datentr gern Die Voreinstellungen s mtlicher Optionen k nnen durch Benutzen der Funktion Initialisieren im Hilfe Men wiederhergestellt werden 9 2 Optionen des Datei berblicks Diese Optionen sind zu erreichen be
150. cs einfach die ausf hrbare Programmdatei xwforensics exe kopieren und die Kopie winhex exe nennen bzw f r die 64 Bit Edition xwforensics64 exe kopieren und die Kopie winhex64 exe nennen um WinHex zu bekommen Oder das Setup Programm verwenden da dies im Zielverzeichnis harte Verweise mit diesen zus tzlichen Namen anlegt Oder selbst solche harten Verweise erzeugen statt die Dateien zu kopieren normales Kopieren ist weniger cool Wenn das Programm als winhex exe ausgef hrt wird identifiziert es sich berall als WinHex in der Benutzeroberfl che im Fallbericht im Fallprotokoll in Beschreibungen von Datentr ger Sicherungen und in allen Bildschirmfotos und verh lt sich als WinHex Diese Version ist vom Funktionsumfang her das non plus ultra Sie vereinigt die volle Palette forensischer Features von X Ways Forensics und die Sektoreditierm glichkeiten und sicheren Datenl schfunktionen von WinHex Die WinHex API kann nur mit WinHex verwandt werden 1 5 So legen Sie los mit X Ways Forensics Die neuesten Download Instruktionen sofern Ihre Update Berechtigung noch gilt erhalten Sie bei Abfrage Ihres Lizenzstatus hier Weitere Informationen ber die Installation von WinHex und X Ways Forensics erhalten Sie hier Extrahieren Sie die Dateien im Download von X Ways Forensics in ein Verzeichnis Ihrer Wahl Eine Installation mit dem Setup Programm ist nicht erforderlich Das Programm ist portabel und kann auch direkt von einem USB Stick a
151. d Mid dle Eastern languages e g Arabic Hebrew but not Pashto Note that numbers in spread sheet cells are not exploited by the algorithm only text Note that only files with a confirmed or newly identified type will be matched against the FuzZyDoc hash database For that reason file type verification is applied automatically when FuzZyDoc matching is requested Documents whose contents are largely identical e g invoices created by the same company with the same letterhead are considered similar by the algorithm even if important details change billing address price product description depending on the amount of identical text That means that if you have 1 copy of an invoice of a company matching against unknown documents will easily identify other invoices of the same company For every document that is matched 128 against the database up to 4 matching hash sets are returned and the 4 best matching hash sets are picked for that if more than 4 match For every matching hash set X Ways Forensics also presents a percentage that roughly indicates to what degree the contents of the document match the hash set Two different percentage types are available A percentage based on the total text in the processed document gives you an idea of how much of the text in the document is known was recognized whereas a percentage based on the text represented by the hash set gives you an idea of how closely a document resembles the origi
152. d dieser Operation einfrieren denken Sie daran da die interne ID und der Name der zuletzt bearbeiteten Datei in den kleinen Fortschrittsanzeigefenster angezeigt werden Wenn diese Operation auf ein Asservat angewandt wird und X Ways Forensics w hrend dessen bei einer bestimmten Datei abst rzt wird Ihnen beim Neustart des Programms die betreffende Datei mitgeteilt und die Datei wird einer Berichtstabelle hinzugef gt Das h ngt von den Sicherheitsoptionen ab All dies geschieht damit Sie eine solche Datei ggf ausblenden und so bei einem nochmaligen Versuch auslassen k nnen 5 11 Suchtrefferlisten Verf gbar nur mit einer forensischen Lizenz beim Arbeiten mit einem Fall f r Asservate mit einem Datei berblick Ansonsten erf llt der Positions Manager diese Aufgabe Der Verzeichnis Browser kann Suchtreffer anzeigen Um in diesen Anzeigemodus zu gelangen Suchtrefferliste statt gew hnlicher Verzeichnis Browser klicken Sie den Schalter mit dem Fernglas und den vier waagerechten Linien an Er ist nur f r Asservate verf gbar In diesem Modus gibt es vier zus tzliche Spalten physische absolute Offsets von Suchtreffern logische relative Offsets Beschreibungen die die Codepages angeben in denen die Suchtreffer gefunden wurden und Hinweise wenn sie im Dateischlupf liegen und die Suchtreffer selbst normalerweise mit einer Kontextvorschau sortierbar nach Suchbegriff Kontextvorschau nicht korrekt f r arabischen oder hebr ische
153. d nur einen schnellen Blick auf zuf llig ausgew hlte Dateien in gr eren Asservaten werfen m chten z B Bilder in der Galerie um sich eine Meinung dar ber zu bilden wie relevant das Asservat sein k nnte Das Betrachten von Dateien in zuf lliger Reihenfolge gibt Ihnen einen vollst ndigeren repr sentativeren und akkurateren Eindruck davon was in dem Asservat gespeichert weil die ersten x der aufgelisteten Dateien vielf ltiuger und repr sentativer f r das gesamte Asservat sind wenn sie in wirklich zuf lliger Reihenfolge aufgelistet werden Wenn Sie hingegen nach Name oder Pfad oder Gr e oder Zeitstempeln o sortieren sind viele der Dateien die Sie sehen wahrscheinlich in gewisser Weise hnlich von derselben Anwendung erzeugt oder vom Betriebssystem vom selben Benutzer f r hnliche Zwecke erzeugt oder kopiert oder empfangen ungef hr zur selben Zeit selber Dateityp so da Sie mit etwas Pech nur irrelevante Dateien sehen auch wenn es eine gleich gro e Gruppe von relevanten Dateien gibt Bedenken Sie wenn Sie im Verzeichnis Browser gar nicht sortieren lassen ist die Ansicht ebenfalls verzerrt weil Sie die Dateien in der Reihenfolge sehen wie sie vom Datei berblick referenziert werden was ungef hr die Reihenfolge ist in der die Dateien vom Dateisystem referenziert werden also nicht zuf llig Das Sortieren nach Hash Werten kann mit einem beliebigen Filter kombiniert werden z B um nur Bilder die
154. d sortieren Beide Befehle k nnen auch vom Asservat berblick Fenster und von Suchtrefferlisten aus aufgerufen werden so da der fr here Befehl Zu dieser Datei im Verzeichnis Browser berfl ssig wird Beachten Sie Sie k nnen durch einen Klick auf den Zur ck Schalter in der Symbolleiste bequem zur vorherigen Sicht zur ckkehren Datei berblick erweitern Parallele Suche X Tensions ausf hren Diese Befehle sind vom Hauptmen bekannt Vom Verzeichnis Browser Kontextmen aus k nnen Sie auf ausgew hlte Dateien angewandt werden Hash Set erzeugen Erzeugt ein Hash Set der aktuell ausgew hlten Dateien und Verzeichnisse und ihrer Unterverzeichnisse direkt in der internen Hash Datenbank entweder in Form von normalen Datei Hash Werten oder in Form von Block Hash Werten oder PhotoDNA Werten F r normale Hash Werte gibt es eine Option to create multiple hash sets in a single step where the hash values of the selected files are put into hash sets that are named after each file s report table association s This is useful if you categorize notable files in one case using report tables e g based on different types of CP and wish to quickly identify the same files again in other cases later and automatically see the category that you had originally assigned as the hash set name The checkbox for that is labelled Name after report table associations if any If a selected file does not have any report table association its hash valu
155. d them with your own functionality For example you could implement some spe cialized file carving for certain file types automated triage functionality alternative report gen 136 eration or automatically filter out unwanted search hits depending on your requirements etc Among other things X Tensions allow you to read from a disk partition volume image retrieve abundant information about each file and directory in the volume snapshot read from any file create new objects in the volume snapshot assign files to report tables add comments to files process validate and delete search hits and do practically everything else that is possible with a Windows program thanks to the Windows API You can use your programming language of choice e g C Delphi or Visual Basic and do not have to learn any new programming language You can use your compiler of choice for ex ample Visual Studio Express freeware Since an extension is not an interpreted script but regular compiled executable code that is run ning in the address space of the application itself you can expect highest performance the same as with internally implemented functionality X Tensions give you easy and direct access to cru cial and powerful functions deep inside X Ways Forensics When X Tensions functions can get called when refining the volume snapshot when running a simultaneous search via the directory browser context menu
156. darauf verlassen da Write2 die aktuelle Position um die Anzahl der geschriebenen Bytes vorw rts bewegt Insert Test Arbeitet genau wie der Write Befehl jedoch im Einf gen Modus Darf nur mit Dateien benutzt werden Read MyVariable 10 Liest 10 Bytes von der aktuellen Position aus in die Variable namens MyVariable Wenn diese Variable noch nicht existiert wird sie erzeugt Bis zu 48 verschiedene Variablen sind erlaubt Eine andere Art eine Variable zu erzeugen ist der Assign Befehl ReadLn MyVariable Liest von der aktuellen Position in eine Variable namens MyVariable bis das n chste Zeilenende Zeichen gefunden wird Wenn die Variable bereits existiert wird ihre Gr e entsprechend angepasst Close Schlie t das aktive Fenster ohne es zu speichern CloseAll Schlie t alle Fenster ohne zu speichern Save Speichert die nderungen an der Datei oder dem Datentr ger im aktiven Fenster SaveAs C New Name txt Speichert die Datei im aktiven Fenster unter dem angegebenen Namen und Pfad Geben Sie als Parameter an um den Nutzer das Ziel selbst ausw hlen zu lassen SaveAll Speichert alle Anderungen in allen Fenstern Terminate Bricht die Ausf hrung des Skripts ab Exit Bricht die Ausf hrung des Skripts ab und beendet WinHex ExitIfNoFilesOpen Bricht die Ausf hrung des Skripts ab wenn aktuell keine Dateien in WinHex ge ffnet sind Block 100 200 197 Block My Variable 1 My Variable 2 Leg
157. de Dateinamenserweiterungen von Roh Image Segmentedn werden beim Interpretieren auch unterst tzt In seltenen F llen ist WinHex u U nicht in der Lage die Natur eines Images also ob es ein Image eines physischen partitionierten Datentr gers oder eines Volumes ist zu erkennen und interpretiert die Daten im Image daraufhin falsch Um Abhilfe zu schaffen k nnen Sie die Umschalt Taste beim Aufruf dieses Befehls gedr ckt halten damit WinHex nicht selbst entscheidet sondern Sie fragt Sie haben dann au erdem die Gelegenheit die korrekte Sektorgr e anzugeben und im Fall eines Roh Images einen zus tzlichen Speicherort an dem weitere Image Datei Segmente zu finden sind falls Sie diese aus Speicherplatzmangel auf zwei Laufwerke aufteilen mu ten Sollte es Probleme bei der Erkennung des Dateisystems in einem Volume geben k nnen Sie die Umschalt Taste beim ffnen dieses Volumes gedr ckt halten um WinHex das von Ihnen darin vermutete Dateisystem mitzuteilen 68 ISO CD Images Mode 1 und Mode 2 Form 1 mit 2 352 Bytes pro Sektor werden auch unterst tzt sofern sie nicht segmentiert sind sowie mit einer forensischen Lizenz auch Hauptspeicher Dumps Auch VMware Virtual Machine Disk Images VMDK und dynamische VHD Images von Virtual PC sowie Virtual Box disk images VDI des Standard Untertyps sparse und der Untertypen fixed size und diff snapshots k nnen interpretiert werden Snapshot Images k nnen nur dann interpretiert we
158. de whether the entire file is relevant or not Es ist m glich die Anzahl von Suchtreffern zu ausgew hlten Suchbegriffen in der Suchbegriffs liste abzulesen und ber den Befehl Liste exportieren im Kontextmen auch zu kopieren Diese Zahlen basieren auf den aktuellen Einstellungen f r die auf dem Bildschirm aufgelisteten Such treffer und h ngen ab von Filtern dem erkundeten Pfad etwaigen UND Verkn pfungen von Suchbegriffen usw It is the numbers of hits that are actually listed not the numbers of hits that have been recorded saved To see the total numbers of hits deactivate any filter and select all search terms Note that the List 1 hit per item only option also functions like a filter for search hits Sie k nnen Suchbegriffe im Kontextmen der Suchbegriffsliste umbenennen so z B ein langer GREP Ausdruck ersetzt wird durch einen k rzeren sprechenderen Namen wie IP Adressen Kreditkartennummern E Mail Adressen usw Es bestehen zwei verschiedene M glichkeiten mehrere Suchbegriffe mit Booleschen Operatoren logisch zu verkn pfen 1 Standardm ig werden mehrere ausgew hlte Suchbegriffe mit einem logischen ODER verkn pft Um einen Suchbegriff zu erzwingen w hlen Sie ihn aus und dr cken die Taste Um einen Suchbegriff auszuschlie en w hlen Sie ihn aus und dr cken die Taste Um einen Suchbegriff auf normale ODER Kombination zur ckzusetzen dr cken Sie die Esc Taste Sie k nnen f r all di
159. den Dateinamen durch Klick auf den Schalter Punktuelle Sicherung im Dialogfenster zu Datei Sicherung wiederherstellen 10 10 Sicherungs Manager In der wahlweise nach dem Erstellungszeitpunkt dem Dateinamen oder dem Pfad geordneten Liste k nnen Sie WinHex Backups ausw hlen die Sie wiederherstellen m chten Ein neues Editierfenster zeigt daraufhin den Datei bzw Sektorinhalt vom Zeitpunkt der Sicherung an Sie k nnen die Sicherung wiederstellen e in eine Tempor rdatei so da sie erst noch gespeichert werden mu e sofort direkt auf den Datentr ger oder e in eine neue Datei Im Fall von Datentr gersektoren k nnen Sie auch das Ziel der Wiederherstellung Datentr ger und Sektornummer ndern Sie k nnen au erdem optional nur einen Teil der Sektoren aus der Sicherung extrahieren Sektoren am Anfang einer komprimierten Sicherung k nnen allerdings nicht bersprungen werden Wenn die Sicherung mit einer Pr fsumme und oder einem Digest versehen war werden die Daten erst auf Authentizit t berpr ft bevor sie direkt auf den Datentr ger geschrieben werden Mit Hilfe des Sicherungs Managers k nnen Sie au erdem Sicherungen l schen die Sie nicht mehr ben tigen Die automatisch erzeugten Sicherungsdateien f r die R ckg ngig Funktion 186 werden von WinHex standardm ig selbst ndig gel scht s R ckg ngig Optionen Die Sicherungsdateien die vom Sicherungs Manager verwaltet werden hei en whx
160. den Rechners vor Ort um herauszufinden ob ein Datentr ger m glicherweise relevante Dateien enth lt und sichergestellt werden soll Wenn nach Durchsuchen von 5 aller Daten und Betrachten der bis dahin gesammelten Suchtreffer diese Frage bereits mit Ja beantwortet werden kann kann die Suche abgebrochen werden und es wurde viel Zeit gespart 5 10 Logische Suche M chtige Unterart der parallelen Suche Erlaubt es entweder alle Dateien markierte Dateien oder wenn vom Verzeichnis Browser Kontextmen aus aufgerufen ausgew hlte Dateien zu durchsuchen Dateischlupf kann gezielt eingeschlossen oder ausgelassen werden Die logische Suche hat gegen ber einer physischen Suche diverse Vorteile e Der Suchbereich kann auf bestimmte Dateien und Verzeichnisse eingeschr nkt werden per Markierung oder Auswahl Bitte beachten Sie da eine etwaige im Dialogfenster angezeigte Datenmenge nur eine Sch tzung ist und die tats chlich zu durchsuchende Datenmenge wegen Schlupfspeicher abweichen kann e Die Suche in Dateien blicherweise in den Clusterketten der jeweiligen Dateien findet 92 Suchbegriffe auch dann wenn der Suchbegriff zuf llig physisch durch die Dateifragmentierung zerschnitten ist passiert am Ende und am Anfang nicht zusammenh ngender Cluster Die Suche kann auch erfolgreich auf Dateien angewandt werden die auf NTFS Dateisystemebene komprimiert sind weil diese f r die Suche dekomprimiert werden Dies gilt sogar f r per
161. der 164 gesuchten Hex Werte in der Datei auf dem Datentr ger im virtuellen Speicher wird ermittelt Die Positionen der Vorkommnisse werden ggf im Positions Manager gespeichert so da sie zu einem sp teren Zeitpunkt wiedergefunden und bearbeitet werden k nnen Suche nach Nicht Treffern Unter Hex Werte suchen k nnen Sie einen einzelnen Hex Wert mit einem Ausrufungszeichen als Pr fix angeben z B 00 um WinHex das erste Byte mit einem davon abweichenden Wert finden zu lassen GREP Syntax Nur verf gbar bei der Parallelen Suche Regul re Ausdr cke sind ein m chtiges Suchwerkzeug Ein einziger regul rer Ausdruck kann viele verschiedene W rter abdecken Entweder werden alle Suchbegriffe als GREP Ausdr cke interpretiert oder nur solche denen Sie grep voranstellen oder keine abh ngig vom Status des zugeh rigen Kontrollk stchens Es ist auch m glich denselben Suchbegriffen gleichzeitig sowohl case s 0 als auch grep voranzustellen in dieser Reihenfolge Die folgenden Zeichen haben in regul ren Ausdr cken eine besondere Bedeutung wie unten erkl rt An Stellen an denen diese besonderen Zeichen w rtlich zu verstehen sind mu ihnen ein umgekehrter Schr gstrich vorangestellt werden Der Oder Operator wird verwendet um Alternativen zu formulieren So kann man mit Auto slreifen nach Autos oder Autoreifen suchen Autoseifen wird hingegen nicht gefunden Es wird also immer na
162. der SHA 256 der Konkatenation des vom Benutzer angegebenen Schl ssels und Hash X F r 128 Bit AES wird Y erneut als X verwendet und erneut konkateniert und gehasht immer und immer wieder 100 000 Mal um Angriffe mit Rainbow Tables praktisch unm glich zu machen Please note that when you use compression and encryption at the same time each chunk in an e01 evidence file is first compressed then encrypted So an educated guess about the nature of the data in a given chunk might be possible merely judging from the compressed size of the chunk i e its compression ratio even if the compressed data is encrypted Wenn Sie den Namen eines WinHex Backups automatisch vergeben lassen Format whx wird sie im Verzeichnis fiir Sicherungsdateien erstellt s Allgemeine Optionen mit dem n chsten freien Namen der der Konvention des Sicherungsmanagers entspricht xxx whx Bei Bedarf kann das Original dann mit dem Sicherungsmanager wiederhergestellt werden Wenn Sie selbst Dateinamen und Pfad angeben kann die WHX Datei immer noch mit dem Men befehl Sicherung laden wiederhergestellt werden und im Fall von aufgeteilten Sicherungen h ngt WinHex automatisch die Teilsicherungsnummerm an die Dateinamen an 180 10 8 Hinweise zum Datentr ger Klonen und Imaging Von WinHex X Ways Forensics erstellte Datentr ger Klone und Sicherungen Image Dateien sind exakte sektorweise erstellte forensisch einwandfreie Kopien mit allem freien S
163. die Daten als Hex Werte in GREP Syntax e C Pascal Quellcode Kopiert die Daten im C Pascal Quelltext Format in die Zwischenablage Zwischenspeicher einf gen F gt den Inhalt der Zwischenablage sofern er in einem kompatiblen Format vorliegt an der aktuellen Cursorposition ein Der Teil der Datei der dahinter liegt wird hinter die Einf gung versetzt Zwischenspeicher schreiben bertr gt den Inhalt der Zwischenablage an die aktuelle Cursorposition und berschreibt dabei die Bytes der Datei die dahinter folgen Falls dabei das 57 Dateiende erreicht wird wird die Datei so weit wie erforderlich verl ngert damit die Daten Platz finden Zwischenspeicher in neue Datei schreiben Legt eine neue Datei mit dem aktuellen Inhalt der Zwischenablage an Zwischenspeicher freigeben L scht den Inhalt der Zwischenablage gibt den von ihm genutzten Teil des Arbeitsspeichers wieder frei Entfernen L scht den aktuellen Block aus der Datei Der hintere Teil der Datei wird dann entsprechend vorgezogen Der gel schte Block wird nicht in die Zwischenablage kopiert Wenn in allen ge ffneten Dateien der Block gleich definiert ist also an den gleichen Offsets beginnt und endet k nnen Sie diese Funktion wahlweise auch auf alle ge ffneten Dateien anwenden Nullbytes einf gen L t Sie eine bestimmte Anzahl von Bytes mit dem Wert Null an der aktuellen Cursor Position einf gen Block als virtuelle Datei einf gen nur mit forensischer Liz
164. dvoll Dateien des Namens Volume dir im Ordner f r tempor re Dateien oder wenn mit einem Fall verbunden in Dateien namens Main 1 Main 2 Main 3 Names im Metadaten Verzeichnis des Asservats 6 2 Erweiterung auf Volume Sektor Ebene Das Specialist Men erlaubt es den Standard Datei berblick auf verschiedene Weisen zu erg nzen zu erweitern so da er mehr enth lt als das Dateisystem regul r referenziert Erfordert eine Specialist oder forensische Lizenz Volle Funktionalit t nur mit forensischer Lizenz 6 2 1 X Tensions ausf hren X Tensions sind DLLs die Sie selbst programmieren k nnen um die Funktionalit t von X Ways Forensics zu erg nzen oder f r Ihre eigenen Zwecke automatisiert zu nutzen Weitere Informationen 6 2 2 Dateisystem Datenstruktur Suche besonders intensiv Das intensive Suchen nach Dateisystem Datenstrukturen ist eine potentiell lang andauernde Operation abh ngig von der Gr e der Partition und aus diesem Grund nicht Teil der Standardprozedur beim Erzeugen des Datei berblicks FAT12 FAT16 FAT32 Sucht nach verwaisten Unterverzeichnissen also Unterverzeichnissen die von keinem anderen Verzeichnis mehr referenziert werden Ext3 Ext4 hnliches Vorgehen wie bei FAT Pr ft die gesamte Partition auf ehem existierende Verzeichnisstrukturen deren Inhalte nicht von ihren zugeh rigen Inodes her bekannt sind solche w rden bereits beim Erzeugen des urspr nglichen Dat
165. e Bilder usw st t keine Leseoperationen auf der Datentr ger Ebene an so da sie nicht gesicht werden k nnen Minimalsicherungen eignen sich nur f r Dateien auf der Dateisystemebene nicht auf anderen Ebenen die man im Datei berblick sieht Verwenden Sie Datei Container f r solche Zwecke Beachten Sie da einem arglosen Ermittler eine Minimalsicherung wie ein herk mmliches vollst ndiges Image erscheinen kann Solche Ermittler m ssen auf die unvollst ndige nur d nn mit Daten besetzte Natur der Sicherung aufmerksam gemacht werden Im Gegensatz zu Datei Containern werden Dateien deren Inhalt nicht im Image enthalten ist im Datei berblick einer Minimalsicherung nicht besonders gekennzeichnet X Ways Forensics v17 1 und neuer informieren den Benutzer aber ber die Natur der Sicherung wenn sie einem Fall hinzugef gt wird wenn sie als Minimalsicherung erkannt wird Ein Vergleich von Datei Containern und Minimalsicherungen findet sich auf der Web Site Punktuelle Sicherung 185 Eine Variante der Minimalsicherung wird punktuelle Sicherung genannt Klicken Sie auf den gleichnamigen Schalter im Dateiauswahldialog des Men befehls Datei Minimalsicherung erstellen um eine punktuelle Sicherung anzusto en Alle Sektoren die von X Ways Forensics gelesen werden egal von welchem Datentr ger oder welchen Image w hrend die punktuelle Sicherung aktiv ist werden in separate Dateien geschrieben die nach der Sektornummer benannt
166. e Datei nicht im Dateisystem umbenennt auf dem Datentr ger und im Image wird nichts ver ndert sondern nur im Datei berblick also in der internen Datenbank in X Ways F rensics ber das Dateisystem Typ angeben Ability to specify the type of selected files yourself Useful if you wish to identify types or subtypes in an individual way unknown to X Ways Forensics for example to be able to filter by these types later For instance how about categorizing TIFF pictures that are digitally stored faxes as type fax Remember you can define your own file types in File Type Categories txt Vergr ern Files found through a file header signature search and files that were carved within other files can be manually resized by the user 52 Sicheres L schen Die Daten von Dateien und Verzeichnisse die im Verzeichnis Browser ausgew hlt sind k nnen in WinHex nicht X Ways Forensics sicher getilgt werden Die Daten im logischen Teil einer Datei d h nicht die Daten im Dateischlupf und die Daten in Clustern eines Verzeichnisses die etwa in NTFS INDX Puffer enthalten und in FAT Verzeichniseintr ge werden gel scht berschrieben mit einem vom Benutzer gew hlten Hex Wert Muster Der Existenzstatus einer Datei im Dateisystem ndert sich dadurch nicht d h die Datei wird nicht als gel scht markiert die Cluster werden nicht freigegeben usw Keine Dateisystem Metadaten werden aktualisiert weil keine Datei Schreibbefehle auf Betriebssys
167. e E Mails gefunden Pfad zu lang Large non resident EA Animated GIF Multi page TIFF Multi page JPEG marker Zip bomb Not fully processed Unexpected tail SFX Contains unknown segment SFX FSG Packer PECompact UPX Unknown segment Binder Enth lt eingebettete Dokumente Contains embedded object s Contains embedded file Contains hidden file Hybrid MS Office Dokument RAR hybrid Contains embedded non JPEG non PNG picture Enth lt ltere nicht sichtbare St nde Concatenated PDF Contains private chunk Keine Bilder extrahiert Absturzursache Unsupported file type variant Ausgelassen Nicht kopiert Virenverdacht Nicht lesbar Not decompressed 5 7 Interner Viewer Der interne Viewer kann mit dem Befehl Einsehen im Men Extras und im Kontextmen des Verzeichnis Browsers auf eine Datei angewandt werden des weiteren im Vorschau Modus Er zeigt mit Hilfe einer internen Bildanzeigebibliothek Bilddateien verschiedener Formate JPEG 86 PNG GIF TIFF BMP PSD HDR PSP SGI PCX CUT PNM PBM PGM PPM ICO sowie die innere Struktur von Windows Registrierungsdateien Windows Event Logs evt und evtx Windows Shortcut Dateien Ink Windows Prefetch Dateien LogFile Dateien UsnJrnl J Ext3 Ext4 journal de store Windows Task Scheduler job EFS LUS INFO2 Restore Point change log 1 wtmp und utmp Log In Records MacOS X kcpassword MacOS X finder bookmarks flnk AOL PFC Outlook NK2 auto compl
168. e Signatures txt hei en und ebenfalls geladen werden Letzteres hat den Vorteil da solche Dateien nicht berschrieben werden wenn Sie das n chste Mal ein Update installieren und einen nicht bereits verwendeten Dateinamen benutzen Nur wenn der Dateiname das Wort Search enth lt werden die in der Datei definierten Typen auch f r die Datei Header Signatur Suche benutzt sonst nur f r die berpr fung des Typs von Dateien die bereits im Datei berblick enthalten sind nur mit forensischer Lizenz Insgesamt werden bis zu 4096 Eintr ge unterst tzt 1024 f r die Suche Klicken Sie den Schalter Typ Definition bzw Signaturen an um die Datei File Type Signatures Search txt zu editieren Standardm ig ffnet WinHex die Datei in MS Excel Das ist bequem weil die Datei aus Spalten besteht die durch Tabulatorzeichen getrennt sind Wenn Sie die Datei mit einem Text Editor ver ndern stellen Sie sicher da die Tabulatorzeichen erhalten bleiben denn WinHex verl t sich beim Interpretieren der Datei auf deren Vorhandensein MS Excel erh lt sie automatisch Nach dem Editieren der Dateityp Definitionen m ssen Sie das Dialogfenster schlie en und erneut aufrufen damit Sie die nderungen in der Dateityp Definitionsdatei sehen 1 Spalte File Type 145 Eine menschenlesbare Bezeichnung des Dateityps z B JPEG Nur die ersten 19 Zeichen werden ber cksichtigt 2 Spalte Extensions Einer oder mehre
169. e der Normalgr e Datei Header sind i d R am Anfang eines Clusters zu finden denn dort platzieren Dateisysteme i d R Dateianf nge Es ist allerdings gr ndlicher und nicht langsamer nach Dateiheadern auch an Sektor Grenzen suchen zu lassen um auch Dateien von einer fr heren Partition mit einem anderen Cluster Layout finden zu k nnen Wenn der Algorithmus auf einen physischen Datentr ger oder eine einfache Datei angewandt wird wo keine Cluster definiert sind sucht WinHex ohnehin an Sektorgrenzen Es gibt noch eine weitere M glichkeit die vollst ndige Suche auf Byte Ebene Diese ist erforderlich wenn Sie versuchen Dateien zu finden die nicht verl lich an irgendwelchen Sektorgrenzen ausgerichtet sind z B Dateien in Backup Dateien oder in Tape Images oder sonstige in andere Dateien eingebettete Dateien sowie f r Datens tze Eintr ge Micro Formate Hauptspeicher Artefakte usw usf d h nicht vollst ndige konventionelle Dateien Damit kann allerdings eine erh hte Zahl von f lschlicherweise erkannten Datei Headern einhergehen also Bytewertfolgen die zuf llig auf einem Datentr ger vorkommen aber dort nicht den Anfang einer Datei anzeigen Individuelle Flags in der Dateityp Definitionsdatei k nnen je nach Dateityp f r eine passende Behandlung sorgen also Suche an Cluster Sektor oder Byte Grenzen That the start sectors of files that are already known to the volume snapshot are always excluded from file carving is
170. e die nderungen in dem Fenster gespeichert haben werden sie auch wirksam in dem Datenfenster das den Datentr ger bzw die Partition repr sentiert deren Daten Sie korrigieren m chten wenn Sie die Ansicht aktualisieren einen neuen Datei berblick erstellen den Anfang einer Partition definieren erneut versuchen eine Datei mit einem defekten FILE Record zu ffnen usw usf Bitte beachten Sie da nur vollst ndige Sektoren keine Teile davon berlagert werden k nnen Die berlagerung kann nur f r einen Datentr ger oder eine Partition gleichzeitig aktiv sein Bei Bedarf k nnen Sie eine vollst ndige Kopie Image oder geklonter Datentr ger des virtuell reparierten Datentr gers bzw Images mit den blichen Befehlen erzeugen w hrend die berlagerung aktiv ist so da in der Kopie die k nstlich aufgetragenen Daten direkt eingebettet sind 172 10 5 L schen und Initialisieren Zum sicheren L schen Schreddern von Daten in Datentr gersektoren unbenutzten Datentr ger bereichen Men Disk Tools oder von mit der Funktion Sicheres L schen ausgew hlten Dateien aber auch zum einfachen F llen von Dateien mit bestimmten Byte Werten bietet WinHex folgende Optionen an Mit konstanten Byte Werten in Hexadezimalnotation Geben Sie entweder 1 2 3 4 5 6 12 15 oder 16 jeweils zweistellige Hex Werte an die aneinandergeh ngt in den aktuellen Block bzw in die Datei kopiert werden Sehr schnell Mit konventionellen
171. e forensische Lizenz Visuelle Markierung k nnen per Kontextmen gesetzt und wieder aufgehoben werden Das Erweitern des Datei berblicks kann auf markierte Dateien beschr nkt werden Ausblenden Einblenden Sie k nnen im Verzeichnis Browser ausgew hlte Objekte oder alle im Datei berblick als markiert oder nicht markiert gef hrten Objekte ausblenden so da sie wenn Ausgeblendetes tats chlich herausgefiltert wird im Verzeichnis Browser nicht mehr aufgelistet werden und ausgeschlossen sind von der Galerie Ansicht und von allen Befehlen im Kontextmen des Verzeichnis Browsers Wenn Sie nur den Inhalt bestimmter Verzeichnisse auswerten m chten oder d rfen k nnen Sie anfangs alle Dateien in allen anderen Verzeichnissen ausblenden um das sicherzustellen Das Erweitern des Datei berblicks kann auf nicht ausgeblendete Dateien beschr nkt werden Tats chlich nicht mehr aufgelistet werden ausgeblendete Objekte nur wenn der entsprechende Filter in den Verzeichnis Browser Option eingeschaltet ist Wenn Sie doch noch aufgelistet werden dann in grauer Farbe und die Ausblendung kann dann gezielt mit dem Kontextmen des Verzeichnis Browsers aufgehoben werden Wenn Sie Dateien mit identischem Inhalt nur einmal begutachten m chten und wenn Dateinamen Zeitstempel L schzustand und andere Metadaten des Dateisystems zun chst von 48 sekund rer Bedeutung sind k nnen Sie den Befehl Ausblenden Aufgelistete Duplikate laut Hash verwend
172. e will be assigned to the hash set named as you specify just like if you do not check the new checkbox Externe s Datei Verz anh ngen Erfordert eine forensische Lizenz Erm glicht es eine oder mehrere externe Dateien oder ein Verzeichnis mitsamt Unterverzeichnissen in den Datei berblick einzubinden und von X Ways Forensics wie normale Dateien im Datei berblick weiter verarbeiten zu lassen N tzlich wenn 51 Originaldateien z B bersetzt konvertiert oder entschl sselt werden m ssen und das Ergebnis wieder in den urspr nglichen Datei berblick aufgenommen werden soll im Originalpfad zur weiteren Untersuchung zur Aufnahme in den Bericht zum Filtern f r Suchl ufe usw Sobald sie eingebunden sind werden solche externen Dateien vollst ndig von X Ways Forensics verwaltet und dazu ins interne Asservat Unterverzeichnis des Falls kopiert und im Datei berblick als virtuelle Dateien gekennzeichnet Beim Anh ngen einer einzigen Datei und Gedr ckthalten der Umschalt Taste schl gt X Ways Forensics einen neuen Dateinamen vor der auf dem Namen der ausgew hlten Datei basiert und die Datei wird im selben Verzeichnis eingef gt Andernfalls werden die externen Namen der Dateien bernommen und die Dateien werden Unterobjekte des gew hlten Objekts Sp teres Umbenennen der virtuellen Dateien im Datei berblick ist immer noch m glich Wenn Sie ein externes Verzeichnis anh ngen werden Sie gefragt ob das Verzeichnis selbst auch
173. eactivated too When you are viewing video stills only in a gallery and you use the Backspace key or Find parent object menu command to navigate to the video that this still belongs to e g in order to play that video then any active filters will be turned off so that the video can actually be listed A simple click on the Back button returns to the previous overview of stills enables the previous filters again and restores the last selected item so that you can easily continue with the next still This works analogously when systematically looking at e mail attachments if occasionally for relevant attachments you would like to view the containing e mail message and e g print it or include it in a report and then return to the list of attachments For more information about column based filters please see the description of the respective col umn 3 3 5 Spalten und spaltenbasierte Filter Die meisten Filter und viele Spalten sind nur mit forensischer Lizenz verf gbar Name Name der aufgelisteten Datei oder des aufgelisteten Verzeichnisses und nur mit 24 Erw Typ forensischer Lizenz nur bei Verzeichnissen und Dateien mit Unterobjekten in Klammern farblich abgesetzt optional die Gesamtzahl der jeweils hierarchisch untergeordneten Dateien im Datei berblick Erlaubt das Filtern anhand einer oder mehrerer Dateinamensmasken einer pro Zeile Dieser Filter ist n tzlich wenn Sie eine Liste relevanter Dateinamen oder Sti
174. ed in a tree view control etc It also does not remember the order of controls or list items It also does not remember settings in a dependent dialog window which opens e g when clicking a button The functionality is not available for the Directory Browser Options dialog window For the directory browser options please save and load settings files by clicking the icons in the directory browser caption line The functionality to store dialog window selections in files is very useful for example for the Export List command where some users repeatedly need different settings for different purposes and where the items in the list box are always the same just the available columns except after changing the language of the user interface 4 Men Referenz Vorbemerkung Befehle im Hauptmen Datei Bearbeiten Suchen beziehen sich immer auf 42 das gesamte aktive Datenfenster das z B eine ge ffnete Datei oder einen ge ffneten Datentr ger repr sentiert oder auf noch vom Benutzer anzugebende Dateien oder Datentr ger Sie beziehen sich niemals auf im Verzeichnis Browser ausgew hlte Dateien Daf r gibt es das Kontextmen des Verzeichnis Browsers 4 1 Kontextmen des Verzeichnis Browsers Das Kontextmen des Verzeichnis Browsers erlaubt es dem Benutzer direkt mit den aktuell ausgew hlten Dateien bzw Verzeichnissen im Verzeichnis Browser zu interagieren wohlgemerkt nicht mit den mit einem blauen Quadrat markierten Es
175. edundanten Informationen berfrachtet wird Das bedeutet da alle Zeitstempel die Sie sehen tats chlich zus tzliche Informationen enthalten und nicht einfach Duplikate sind Die Spalte Erzeugung kommt auch f r HFS Dateisysteme zum Einsatz zur Anzeige der relativ neuen Hinzugef gt Zeitstempel von Mac OS X Lion und neuer sowie iOS sofern verf gbar und sofern sie sich tats chlich von regul ren Erzeugungsdatum unterscheiden Diese Zeitstempel geben an wann eine Datei zu dem bestimmten Verzeichnis in dem sie enthalten sind hinzugef gt wurden auch wenn sie urspr nglich eher erzeugt wurden Der kombinierte Filter f r alle Zeitstempel Spalten erlaubt das Filtern nach bestimmten Datumsbereichen typische Anwendung oder nach blo en Uhrzeiten an jedem beliebigen Datum 28 Wenn Sie z B interessiert sind an ungew hnlicher Aktivit t die mitten in der Nacht auftrat wenn der rechtm ige Computerbenutzer nicht arbeitet k nnten Sie Zeiten wie 22 00 00 bis 05 59 59 filtern Die Auswahl der richtigen Ortszeit f r die Zeitstempel Filter ist dabei offensichtlich von entscheidender Bedeutung Bitte beachten Sie da Zeitstempel in FAT Partitionen in Original Ortszeit angezeigt und nicht umgerechnet werden F r alle anderen Dateisysteme wird nach dem Zeitzonen Konzept verfahren Zeitstempel im normalen Verzeichnis Browser die die Filterbedingung erf llen werden farblich hervorgehoben In einer Ereignisliste werden Zeitste
176. ei berblicks gefunden Auf diese Weise 114 gefundene Unterverzeichnisse werden mit einem generischen Namen in den Datei berblick aufgenommen normalerweise unterhalb von Pfad unbekannt aber m glicherweise im Stammverzeichnis wenn sie dort angeordnet waren Das Stammverzeichnis stellt hierbei eine Besonderheit dar weil es eine unver nderliche ID hat ReiserFS Reiser4 Sucht nach gel schten Dateien die in einem Standard Datei berblick berhaupt nicht enthalten sind UDF W hrend die erste und die letzte Session auf einer Multisession UDF CD DVD automatisch aufgelistet werden k nnen weitere Sessions in der Mitte nur mit dieser Option gefunden werden CDFS In den meisten F llen werden alle Sessions auf Multisession CD DVDs automatisch gefunden In Ausnahmef llen z B wenn CDFS zeitgleich zu UDF existiert oder die Abst nde zwischen den Sessions ungew hnlich gro sind k nnen hiermit weitere Sessions hinter der ersten gefunden werden RAM Hauptspeicher Findet u U beendete Prozesse und Rootkits NTFS Schattenkopien k nnen optional ausgewertet werden mit einer forensischen Lizenz Existierende und ehemals existierende Schattenkopie Tr gerdateien werden auf wertvolle Informationen gepr ft die anderweitig nicht erh ltlich w ren so etwa Dateien die nicht mehr in der aktuellen MFT gefunden werden k nnen oder fr here Versionen von Dateien deren Inhalt sich ge ndert hat Those files will be reconstruc
177. eichensatz in den anderen konvertiert werden Die ersten 32 ASCII Zeichen sind weder Buchstaben oder Zahlen noch Satzzeichen Es handelt sich um Steuerzeichen 00 Null 10 Data Link Escape 05 Enquiry LI Negative Acknowledge 06 Acknowledge 16 SynchronousIdle 09 Horizontal Tab l 1 1 1 1 ShiftIn IF Unit Separator Vertical Tab 15 08 CR OD IF 10 2 7 Pr fsummen Hashes Digests Eine Pr fsumme ist eine Kennzahl zur m glichst eindeutigen Identifizierung von Daten Zwei Datens tze mit der gleichen Pr fsumme sind mit hoher Wahrscheinlichkeit exakt Byte f r Byte gleich Es kann z B sinnvoll sein die Pr fsumme von Daten vor und nach einer m glicher weisen fehlerbehafteten bertragung zu berechnen Ist sie in beiden F llen gleich dann sind die Daten mit hoher Wahrscheinlichkeit unver ndert geblieben Allerdings k nnen Daten mit b sartiger Absicht so manipuliert werden da ihre Pr fsumme trotz nderung gleich bleibt Dadurch wird die Manipulation nicht bemerkt Diese M glichkeit schlie en Digests aus Pr fsummen k nnen in WinHex z B mit einem Befehl im Extras Men berechnet werden Die Standard Pr fsumme ist einfach die Summe aller Bytes einer Datei auf einem 8 Bit 16 Bit 32 Bit oder 64 Bit Akkumulator Ein CRC Cyclic Redundancy Code ist das Ergebnis einer Division von Daten durch ein Generatorpolynom Dieser Algorithmus ist sicherer Das dr ckt sich in e
178. eier 190 2 Schablonen Rumpf Variablen Deklarationen cccecccesscesscesceesceeccecseceaeceseenseeeseeseeeeeeeeneeennes 191 3 Schablonen Rumpf Fortgeschrittene Befehle u nenesseessnesneennennenneensnnn nn 193 4 Schablonen Rumpf Flexible Integer Variablen 0 0 0 0 ccceccecsseesseeseensecetecesecesecnseeneeeeeeeseessaeesaes 194 Anhang B Verzeichnis der Scriptbefehle 0200 0000es000s2000000000 0000000002200000000000000s0200000000000 195 Anhang C Aufbau des Master Boot Record 00ss000sseossssessnnennsssnsnssesnsnensnnennsnsnsnssessnnnenen 203 IV 1 Einleitung 1 1 ber WinHex und X Ways Forensics Copyright 1995 2015 Stefan Fleischmann X Ways Software Technology AG Alle Rechte vorbehalten X Ways Software Technology AG Web http www x ways net Carl Diem Str 32 Produkt Homepage http www x ways net winhex 32257 B nde Bestellungen http www x ways net winhex order html Deutschland Support Forum http www winhex net Fax 49 3212 123 2029 E Mail Adresse mail x ways com Amtsgericht Bad Oeynhausen HRB 7475 Vorstand Dipl Wirtsch inf Stefan Fleischmann Aufsichtsratsvorsitzende Dr Marlies Horstmeyer WinHex wurde programmiert und weiterentwickelt seit 1995 Diese Anleitung entspricht dem Stand der Online Hilfe von WinHex X Ways Forensics 18 5 vom September 2015 Viele Teile aber l ngst nicht alle sind auf Deutsch bersetzt Unterst tzte Betriebssysteme Window
179. eihenfolge Mikroprozessoren unterscheiden sich darin an welcher Position sie das niederwertigste Bytes innerhalb eines Datentyps der mehrere Bytes enth lt ablegen In Systemen mit Prozessoren von Intel MIPS National Semiconductor und VAX steht das niederwertigsten Byte an erster Stelle Daten eines aus mehreren Bytes bestehender Datentyps z B 32 Bit Integertyp Unicode Zeichen stehen im Speicher beginnend mit dem niederwertigsten little end und endend mit dem h herwertigstem Bytes Zum Beispiel wird die Hexadezimalzahl 12345678 als 78 56 34 12 gespeichert Dies wird das Little Endian Format genannt Motorola und Sparc Prozessoren dagegen setzen voraus da das niederwertigste Byte an hinterster Stelle steht Mehrfach Byte Daten werden beginnend mit dem h chstwertigen Byte big end und endend mit dem niederstwertigem Byte gespeichert Zum Beispiel wird die Hexadezimalzahl 12345678 als 12 34 56 78 gespeichert Dies wird das Big Endian Format genannt 2 3 Ganzzahlige numerische Datentypen Format Typ Bereich Beispiel 8 Bit vorzeichenbehaftet 128 127 FF 1 8 Bit vorzeichenlos 0 255 FF 255 16 Bit vorzeichenbehaftet 32 768 32 767 00 80 32 768 16 Bit vorzeichenlos 0 65 535 00 80 32 768 24 Bit vorzeichenbehaftet 8 388 608 8 388 607 00 00 80 8 388 608 16 Bit vorzeichenlos 0 16 777 215 00 00 80 8 388 608 32 Bit vorzeichenbehaftet 2 147 483 648 2 147 483 647 00 00 00 80 2 147
180. eimasken pa t Erfordert ein externes Programm entweder MPlayer or Forensic Framer und kann nur auf Asservate angewandt werden Bilder k nnen aus allen Video Formaten und Codecs extrahiert werden die von MPlayer unterst tzt werden N tzlich wenn Sie viele Videos auf unangemessenen oder illegalen Inhalt hin berpr fen m ssen z B Kinderpornographie ideologische Hetze oder terroristische Anleitungen Dank der Zeitintervalle verpassen Sie keine relevanten Teile die in der Mitte von Urlaubs oder Geburtstagsfeier Videos versteckt wurden Das Extrahieren von Bildern reduziert die Datenmenge erheblich und das Betrachten der Bilder in der Galerie ist viel schneller effizienter und bequemer als ein Video nach dem anderen anzusehen Der potentiell zeitaufwendige Extraktionsproze kann unbeaufsichtigt ablaufen z B ber Nacht vor der Begutachtung durch den Ermittler Auch n tzlich wenn Sie extrahierte Bilder in einem Bericht unterbringen m chten Das erste extrahierte Bild kann optional gleichzeitig als Vorschau f r das Video im Vorschaumodus und in der Galerie dienen ASF WMV Videos die mit DRM gesch tzt sind k nnen nicht verarbeitet werden und werden konsequenterweise in der Attributsspalte mit e gekennzeichnet Da Sie w hrend der Extraktion gelegentlich kurz Sound aus den Videos h ren ist normal Bitte schalten Sie die Tonwiedergabe Ihres Computers ab wenn Sie dies vermeiden m chten Beachten Sie da Sie bei einem kleinen
181. ein Ermittler nach Spuren von Kinderpornographie suchen mu kann das Sortieren aller Bilder nach Hautfarbenanteil HFA absteigend die Arbeit stark beschleunigen weil es das Pr fen der gro en Masse von Bildern mit 0 9 HFA z B zig tausende kleine Grafiken im Browser Cache und die am wahrscheinlichsten belastenden Bilder ganz oben in der Liste angezeigt werden Bitte beachten Sie da es falsche Treffer geben kann also hautartige Farben auf einer Oberfl che die keine Haut ist Das Erkennen von Schwarz Wei und Graustufen Bildern ist n tzlich wenn nach elektronisch gespeicherten Faxen und eingescannten Dokumenten gesucht werden soll Bilder die nicht erfolgreich auf ihre Farbzusammensetzung berpr ft werden k nnen da z B zu gro oder defekt werden mit einem Fragezeichen aufgelistet Besonders kleinformatige Bilder H he oder Breite nicht gr er als 8 Pixel oder H he und Breite nicht gr er als jeweils 16 Pixel werden als unerheblich klassifiziert basierend auf der Annahme da sie weder belastenden pornographischen Inhalts noch Dokumente sein k nnen For large JPEG PNG GIF and TIFF files at the same time when analyzing the colors in the pic tures during volume snapshot refinement X Ways Forensics can optionally also create thumb nails in advance for much quicker display updates in Gallery mode later Internal thumbnails are only created if no original thumbnails are embedded in the files and extracted at the same time
182. ein bestimmtes Asservat ausschalten wenn es insgesamt f r den Fall eingeschaltet ist Um Images oder Datentr ger einem Fall hinzuzuf gen verwenden Sie die Hinzuf gen Befehle im Datei Men des Falldaten Fensters Im Fall von Images gibt es dort auch die M glichkeit direkt nach dem Hinzuf gen einer oder mehrerer Images den Datei berblick der neuen Asservate zu erweitern Sie k nnen nicht mit einem Fall verkn pfte Images und Datentr ger auch mit dem Hinzuf gen Befehl im Kontextmen der Registerkarte des Datenfensters in den Fall aufnehmen Der Befehl Durch neues Image ersetzen im Kontextmen eines Asservats erlaubt es Ihnen einen Originaldatentr ger der einem Fall als Asservat zugeordnet wurde durch ein Image dieses Datentr gers zu ersetzen was n tzlich ist wenn Sie ihn erst kurz in Augenschein nehmen m chten bevor sie ihn sichern ohne den Datei berblick zu verlieren Suchtreffer Kommentare usw Kann auch verwendet werden um X Ways Forensics einfach den neuen Pfad eines Images mitzuteilen falls dieses verschoben wurde oder sich der Laufwerksbuchstabe ge ndert hat oder wenn sich der Dateiname des Images ge ndert hat oder dessen Typ z B Roh Image konvertiert in ein komprimiertes und verschl sseltes e01 Evidence File Falls es sich um ein physisches partitioniertes Asservat handelt sollte dieser Befehl auf das Elternobjekt angewandt werden nicht auf die Kindobjekte Partitionen Die nderung wird da
183. ein neues Bild angezeigt wird Sie k nnen hier auch den Pfad der exe Datei des MPlayer getestet mit Version 1 0rc2 Nicht GUI Version auch zugeh riges Codecs Package herunterladen und ins Unterverzeichnis codecs von MPlayer extrahieren or Forensic Framer angeben zwei Programme die X Ways Forensics das Extrahieren von Bildern aus Videos erm glichen Wenn mplayer exe in einem Unterverzeichnis MPlayer unterhalb des Installationsverzeichnisses von X Ways Forensics gefunden wird wird es automatisch als Videoextraktionsprogramm und auch als externes Betrachtungsprogramm eingestellt Relative Pfade die mit oder beginnen sind m glich wobei f r das Verzeichnis steht in dem X Ways Forensics ausgef hrt wird und f r dessen bergeordnetes Verzeichnis Bitte beachten Sie da wir f r externe Programme keine Unterst tzung bieten k nnen Es k nnen auch bis zu 32 benutzerdefinierte Betrachtungsprogramme angegeben werden die direkt aus X Ways Forensics heraus ber das Verzeichnis Browser Kontextmen aufgerufen werden k nnen Des weiteren k nnen Sie angeben welche Dateitypen Sie gern mit den Programmen ansehen m chten die in Ihrem Windows System mit den jeweiligen Dateiendungen verkn pft sind typischerweise Dateitypen die die separate Viewer Komponente nicht unterst tzt Eine Option namens Abweichenden Typ als Namens nderung anh ngen erleichtert es Windows dazu zu bringen das richtige Programm f r falsch
184. eine oder mehrere Dateien auf magnetischen Datentr gern definitiv so da ihr Inhalt mit Datenrettungsprogrammen nicht rekonstruiert werden kann Jede gew hlte Datei wird in ihrer aktuellen Gr e gem den Einstellungen berschrieben auf die L nge Null gek rzt und dann im Dateisystem gel scht Zus tzlich wird ihr Name im Dateisystem unkenntlich gemacht Sicheres L schen eignet sich daher f r Dateien mit vertraulichen Informationen die vernichtet werden sollen Nur in WinHex verf gbar nicht in X Ways Forensics Rekursives L schen Dieser Befehl kann verwendet werden um ein Verzeichnis mit all seinen Unterverzeichnissen rekursiv zu l schen wenn diese mit dem Windows Explorer oder anderen Windows Tools und Befehlen nicht gel scht werden k nnen wegen unzul ssiger Zeichen in den Verzeichnisnamen oder wegen fehlender Rechte wenn z B Trusted Installer der Besitzer ist wenn Sie sich diese Rechte aber nehmen k nnen WinHex als Administrator ausf hren Beachten Sie da Sie diesen Befehl nicht auf ein problematisches Verzeichnis direkt anwenden k nnen sondern nur auf dessen Elternverzeichnis 4 10 Specialist Men Nur verf gbar mit Specialist oder forensischer Lizenz Datei berblick erweitern siche separates Kapitel Technischer Detailbericht Zeigt Informationen ber den aktiven Datentr ger bzw die aktive Datei an und l t Sie diese kopieren z B in einen Bericht den Sie anfertigen Besonders ausf hrlic
185. einem Datentr ger durchf hren an und erlauben Ihnen sp ter innerhalb der Kette vor 60 und zur ck zu springen Nur mit forensischer Lizenz Mit Vor und Zur ck k nnen Sie auch bequem zur ckkehren zu bestimmten Einstellungen des Verzeichnis Browsers Dies ber cksichtigt erkundeten Pfad rekursiv oder nicht rekursiv Sortierkriterien An Auszustand aller Filter Einstellungen einiger Filter einige Verzeichnis Browser Optionen Die Befehle Vor und Zur ck erlauben auch das erneute Aktivieren eines zuvor aktiven Datenfensterns wenn Sie zwischen Fenstern hin und herwechseln Dateianfang Zeigt die erste Seite der Datei an und setzt den Cursor auf den Anfang der Datei Offset 0 Dateiende Zeigt die letzte Seite der Datei an und setzt den Cursor auf das Ende der Datei letztes Byte Offset Dateigr e 1 Blockanfang Setzt den Cursor auf den aktuellen Blockanfang Blockende Setzt den Cursor auf das aktuelle Blockende Position markieren Markiert die aktuelle Position optisch Markierung l schen L scht eine zuvor gesetzte Markierung vom Bildschirm Markierung aufsuchen Setzt den Cursor auf die zuvor markierte Position Positions Manager s Positions Manager 4 7 Ansicht Men Nur Text Anzeige Blendet die Hexadezimal Spalte aus und verwendet die gesamte Breite des Editorfensters fiir die Text Anzeige Zeichensatz In diesem Untermen oder mit der Tastenkombination ShifttF7 kann der Zeichensatz f r die Textspalte
186. einen bestimmten Hash Wert haben wenn Sie einen kompletten Hash Wert angeben Der Filter kann kann die Hash Werte von Dateien mit bis zu 4 vom Benutzer in Hex ASCH angegebenen Hash Werten vergleichen Das ist schneller als extra ein kleines Hash Set in der Hash Datenbank zu erzeugen wenn Sie lediglich ein paar wenige Dateien finden m chten z B Duplikate von Dateien mit einem bestimmten Hash Wert den Sie einfach aus der Hash Spalte im Verzeichnis Browser kopieren Der einfachste Weg diesen Filter so zum Auffinden von Duplikaten zu verwenden der nicht einmal ein Kopieren und Einf gen von Hash Werten erfordert ist das Anklicken eines Hash Werts einer gegebenen Datei mit der rechten Maustaste im Verzeichnis Browser sofern dieser dort in Hex ASCIH Notation angezeigt wird nicht in Base32 und dann den Befehl Nach Duplikaten filtern im Kontextmen aufzurufen 32 Hash Set Die Hash Spalte zeigt Pseudo Hash Werte in hellgrauer Farbe an bis echte Hash Werte berechnet wurde Pseudo Hash Werte basieren nur auf den Metadaten einer Datei nicht auf dem Datei Inhalt Sie sind auch f r sehr gro e Dateien augenblicklich verf gbar Sie erlauben es Ihnen Dateien in zuf lliger Reihenfolge aufzulisten genauso als wenn Sie nach echten Hash Werten sortieren aber ohne da Sie erst Zeit investieren m ssen um echte Hash Werte zu berechnen Das ist n tzlich z B f r eine Vorab Durchsicht Triage wenn Sie nur wenig Zeit zur Verf gung haben un
187. elben Falls gleichzeitig ffnen Mit v17 5 und neuer erzeugte oder ge ffnete F lle k nnen nicht mit lteren Versionen ge ffnet werden Maximal werden 255 Benutzer pro Fall unterst tzt Benutzer werden intern anhand Ihrer Windows Benutzerkonten erkannt 75 Mehrere Benutzer k nnen dieselben Asservate im selben Fall gleichzeitig zur Untersuchung ffnen Mit demselben Fall ist dieselbe Falldatei gemeint keine Kopie gespeichert in einem gemeinsam genutzten Verzeichnis im Netzwerk oder auf einem Terminal Server X Ways Forensics ist daf r verantwortlich Berichtstabellenverkn pfungen Kommentare und das Hinzuf gen von Dateien zum Datei berblick zu synchronisieren und Benutzer auf Zugriffskonflikte hinzuweisen bevor diese eintreten oder sie in den meisten Situationen ganz zu vermeiden Alle relevanten Optionen zu diesem Thema lassen sich erreichen durch einen Klick auf den Schalter namens Mehrbenutzer Optionen im Eigenschaftsfenster des Falls Insbesondere k nnen Sie beim Erzeugen eines Falls dann und nur dann X Ways Forensics dazu veranlassen nicht zwischen verschiedenen Benutzern zu unterscheiden Das kann n tzlich sein wenn Sie wissen da nur Sie den Fall bearbeiten werden und Sie ihn auf verschiedenen Computern bearbeiten werden auf denen Sie lokale Windows Benutzerkonten mit unterschiedlichen SIDs unterhalten so da Sie immer als derselbe Benutzer behandelt werden Auch n tzlich wenn mehrere Ermittler denselben Fall
188. eldung wie oft die Addition nicht durchgef hrt werden konnte Wenn Sie die zweite Methode verwenden ist der Vorgang umkehrbar Geben Sie einfach die Gegenzahl des zuvor benutzten Summanden bei gleichem Zahlenformat ein Sie erhalten dann exakt die urspr nglichen Daten Bei Wahl der zweiten Methode ist es egal ob Sie ein vorzeichenbehaftetes oder vorzeichenloses Format angeben 10 3 Konvertierungen WinHex erlaubt es mit dem Befehl Konvertieren im Bearbeiten Men Daten in andere Formate umzuwandeln zu verschl sseln und zu entschl sseln Die Konvertierung kann optional in allen in WinHex ge ffneten Dateien statt nur in der aktuellen Datei durchgef hrt werden Die mit einem Stern gekennzeichneten Formate k nnen nie blockweise sondern nur dateiweise konvertiert werden Die folgenden Formate werden unterst tzt ANSI ASCH IBM ASCII zwei sich teilweise unterscheidende ASCII Zeichens tze EBCDIC ein IBM Mainframe Zeichensatz Gro Kleinbuchstaben ANSI ASCH Bin r Rohdaten Hex ASCII Hexadezimal Darstellung von Rohdaten als ASCII Text Intel Hex Extended Intellec Hex ASCH Daten in einem speziellen Format incl Pr fsummen etc Motorola S Extended Exorcisor dto Base64 UUCode Percentage URL Encode Quoted Printable Bitte beachten Sie Beim Konvertieren von Intel Hex oder Motorola S in ein anderes Format werden die in den Daten enthaltenen Pr fsummen nicht auf Korrektheit berpr ft 170
189. em in WinHex ge ffneten Datenfenster festgelegt werden kann Dieser Bereich ist Gegenstand vieler Funktionen im Bearbeiten Men genau wie die Auswahl in anderen Windows Programmen Wenn kein Block definiert ist beziehen sich diese Funktionen gew hnlich auf den gesamten Datei bzw Datentr gerinhalt Die aktuelle Lage und Gr e des Blocks werden in der Statusleiste angezeigt Mit der ESCAPE Taste oder mit einem Doppelklick der rechten Maustaste hebt man die Blockmarkierung auf 10 2 Modifizieren von Daten Mit dieser Funktion k nnen Sie die Daten im aktuellen Block bzw in der gesamten Datei falls kein Block definiert ist ver ndern In dieser Version stehen vier verschiedene Operationen zur Verf gung Entweder Sie addieren zu jedem Element der Daten eine Zahl Sie invertieren die Bits Sie f hren eine bitweise XOR Operation mit einer Konstanten aus eine einfache Art der Verschl sselung eine OR oder eine AND Operation Sie shiften Bits logisch rotieren Bits nach links in einem zirkulierendem Muster 1 Byte um 1 Bit 2 Byte um 2 Bits usw oder Sie vertauschen Bytes paarweise Durch das Shiften Verschieben von Bits k nnen Sie das Einf gen oder Entfernen eines einzelnen Bits am Anfang des Blockes simulieren Daten lassen sich auch um ganze Bytes verschieben derzeit nur nach links durch Eingabe einer negative Anzahl von Bytes Dies ist n tzlich wenn Sie im In Place Modus Bytes aus einer sehr gro en Datei ausschneiden m chten
190. en Es ist m glich eine Zeichenersetzungsliste in Unicode zu definieren die bewirkt da bestimmte Buchstaben als andere Buchstaben indexiert werden z B wie e Das erlaubt es Ihnen Varianten in der Schreibweise mit einer einzigen Index Suche abzudecken z B sowohl den Namen Ren mit Accent also auch Rene ohne Diese Liste mu die Struktur e gt e e gt e a gt a aufweisen d h 1 Ersetzung pro Zeile und in einer Unicode Textdatei namens indexsub txt gespeichert sein die mit dem LE Unicode Zeichen OxFF OxFE beginnt indexsub txt ist eine optionale Datei Sie wird im Installationsverzeichnis von X Ways Forensics erwartet Sie erhalten eine Warnung wenn Sie das Leerzeichen als Teil von W rtern definieren Und zwar darum weil der Zweck von Leerzeichen ist W rter voneinander zu trennen Sie sind nicht selbst Teil von W rtern Wenn ein Leerzeichen als Teil von W rtern definiert wird dann bedeutet das da ein ganzer Satz wie Kai M ller hat seine Kreditkarte verloren als ein einziges Wort betrachtet wird 131 Sie k nnen alle Indexe eines Asservats l schen indem Sie das H kchen im Kontrollk stchen Bereits erledigt im Dialogfenster Datei berblick erweitern entfernen Dies l scht auch die individuelle Kennzeichnung der Dateien im Datei berblick als indexiert sichtbar in Form eines kleinen 771 Suche in Index Nach dem Indexieren von Dateien k nnen Sie den Index se
191. en oder Hex Werte suchen Dies ist eine sehr einfache und zuverl ssige M glichkeit die jedem empfohlen werden kann 2 Falls Sie nur den Namen der gesuchten Datei kennen brauchen Sie etwas Hintergrundwissen ber das Dateisystem auf dem Datentr ger FAT16 FAT32 NTFS um Spuren des ehemaligen Verzeichniseintrags der Datei zu finden und dadurch die Nummer des ersten der Datei zugeordneten Clusters zu ermitteln Detaillierte Informationen ber Dateisysteme sind auf der WinHex Web Site verf gbar Folgendes gilt f r alle FAT Varianten Wenn das Verzeichnis das die Datei enthielt nennen wir es D noch existiert dann k nnen Sie D auf dem Datentr ger mit Hilfe des Men befehls Extras Disk Tools Verzeichnis cluster auflisten finden Die WinHex beiliegende Schablone f r FAT Verzeichniseintr ge hilft Ihnen dann die Nummer des ersten der Datei zugeordneten Clusters herauszufinden Andernfalls wenn D auch gel scht wurde m ssen Sie ersten den Inhalt von D mit Hilfe derselben Schablone finden ausgehend von dem Verzeichnis das D enthielt m glicherweise das Stammverzeichnis Gel schte Dateien und Verzeichnisse sind mit dem Zeichen A hexadezimal E5 als ersten Buchstaben ihres Namens gekennzeichnet M glicherweise sto en Sie auf das Problem da die wiederherzustellende Datei fragmentiert ist also nicht in aufeinanderfolgenden zusammenh ngenden Clustern gespeichert ist Auf FAT Laufwerken kann de
192. en Z B k nnen Sie ihn mit Ihrem bevorzugten Internet Browser ansehen oder in MS Word ffnen und weiterverarbeiten Die Anwendung in der der Bericht angezeigt werden soll kann in Optionen Viewer Programm definiert werden Wenn kein solches Programm angegeben ist wird die Berichtsdatei in der Anwendung ge ffnet die mit der Dateinamenserweitung auf Ihrem Computer verkn pft ist Mit dem Befehl Bericht ffnen k nnen Sie eine beliebige existierende Datei ausw hlen und in der definiert bzw verkn pften Anwendung ffnen Der Bericht kann die folgenden Bestandteile haben e Hauptteil Beginnt mit einer optionalen Berichts berschrift einem optionalen Logo optionalen Vorbemerkungen die HTML Code enthalten d rfen dem Titel und den Details des Falls gefolgt von einer Liste von Hyperlinks zu den einzelnen Asservat Sektionen Zu jedem Asservat gibt der Bericht wiederum Titel Beschreibung und technischer Detailbericht Ihre Kommentare und Anmerkungen Wenn nur halb gew hlt werden technische Details ber die Asservate nicht mit den Bericht aufgenommen nur eine Auflistung der Asservate e Berichtstabellen Alle Dateien in ausgew hlten Berichtstabellen werden in den Bericht ausgegeben mit ausgew hlten Metadaten wie Dateiname Pfad Zeitstempel und Kommentaren Dateien k nnen optional aus dem Asservat f r die Einbindung im Bericht herauskopiert werden in ein Unterverzeichnis des Verzeichnisses in dem der Bericht gespeichert wi
193. en das Speichern und Editieren von Dateien erlaubt ist n mlich Laufwerksbuchstaben von denen X Ways Forensics auch beim Untersuchen eines Live Systems annehmen kann da Sie zu Datentr gern des Ermittlers geh ren Dies sind 1 der Laufwerksbuchstabe auf dem ein etwaiger aktiver Fall liegt 2 der Laufwerksbuchstabe mit dem Verzeichnis f r tempor re Dateien 3 das Laufwerk von dem aus X Ways Forensics gestartet wurde und 4 der Laufwerksbuchstabe mit dem Verzeichnis f r Image Dateien e Den f r Verschl sselung und Entschl sselung erforderliche Schl ssel k nnen Sie entweder in ein normales Editierfeld eingeben oder blind es erscheinen nur Sternchen In letzterem Fall m ssen Sie den Schl ssel best tigen um Eingabefehler zu vermeiden 162 e Standardm ig wird der Schl ssel verschl sselt im Arbeitsspeicher gehalten solange WinHex l uft damit Sie ihn nicht mehrmals eingeben m ssen wenn Sie es mehrmals verwenden m chten M glicherweise ziehen Sie es vor da WinHex sich den Schl ssel nicht merkt e Entscheiden Sie ob Sie WinHex vor dem Ausf hren von Scripten fragen soll oder auch nur vor dem Ausf hren von Scripten per Befehlszeile 9 6 Suchoptionen Gro Kleinschreibung beachten Suchvorg nge k nnen optional zwischen Gro und Kleinschreibung unterscheiden und suchen den Text dann immer in genau der Schreibweise in der Sie ihn vorgeben Z B wird Beispiel mit einem gro en B nicht bei der Vorgabe
194. en l schen Sie das Muster ganz heraus stellen Sie sicher da das Editierfeld vollkommen leer ist 2 Spalte 151 e ndern Sie wenn n tig den Ordner in dem die tempor ren Dateien angelegt werden Voreingestellt ist der Ordner den die Umgebungsvariable TEMP Ihres Systems angibt Sie k nnen statt eines absoluten Pfads auch einfach einen Punkt eingeben Dieser steht stellvertretend f r das Verzeichnis von dem aus WinHex X Ways Forensics ausgef hrt wird Oder f r das bergeordnete Verzeichnis Oder geben Sie einen relativen Pfad ein bezogen auf oder z B temp oder temp Dieses Prinzip gilt auch f r die folgenden vier Ordner e Ebenfalls w hlen k nnen Sie den Ordner in dem die Sicherungsdateien Images und WHX Backups angelegt und erwartet werden e Bestimmen Sie au erdem den Ordner in dem F lle und Projekte erzeugt und erwartet werden Standardm ig geschieht dies in dem Verzeichnis in dem WinHex installiert ist e Au erdem definierbar ist der Ordner in dem Schablonen und Scripte abgelegt werden e Bestimmen Sie ferner den Ordner in dem die interne Hash Datenbank verwaltet wird The hash database of block hash values if used at all is stored in a directory at the same level with the same base name plus block hash values appended In allen diesen Standardpfaden k nnen Sie System und Benutzerumgebungsvariablen verwenden wobei der Variablenname mit Prozentzeichen zu umschlie en ist
195. en um Duplikate unter den aktuell aufgelisteten aufgelisteten nicht ausgew hlten Dateien basierend auf Hash Werten sofern berechnet zu erkennen und sogleich auszublenden Nur eine von jeweils zwei oder mehreren identischen Dateien wird nicht ausgeblendet Wenden Sie diesen Befehl nicht mehrfach auf die gleichen Dateien an sonst werden wom glich alle identischen Dateien ausgeblendet je nach Sortierkriterium Sonderregeln Im Zweifelsfall beh lt diese Funktion existierende nicht gel schte Dateien bei und gibt unter gel schten Dateien denjenigen den Vorzug die ber Dateisystem Datenstrukturen gefunden wurden und nicht per Signatursuche Optionale Sonderregeln Identischa E Mails mit unterschiedlichen Dateianh ngen Unterobjekten werden als Duplikate gekennzeichnet aber nicht ausgeblendet Identische Anh nge Unterobjekte werden als Duplikate gekennzeichnet aber nur dann indirekt ausgeblendet wenn sie Teil von identischen E Mails sind und diese auch ausgeblendet werden Dies erleichtert die Untersuchung und vermeidet die Situation da das bergeordnete Objekt die E Mail einer E Mail Anhang Familie und das Kind der Dateianhang einer anderen Familie ausgeblendet wird Wenn Sie sp ter eine relevante Datei finden f r die es Duplikate gab und Sie sich nun auch f r diese Duplikate interessieren z B deren Dateinamen Pfade oder Zeitstempel k nnen Sie ein Hash Set von dieser Datei erzeugen um alle Duplikate bequem und autom
196. en beispielsweise schnell alle E Mails zu finden die einen Datei Anhang mit einem bestimmten Namen haben Auch beim Exportieren kann es sch n sein f r eine E Mail auch die Namen der Attachments mit auszugeben Der Filter f r den Elter Namen erm glicht es schnell alle Attachments zu finden die an E Mails mit bestimmten W rtern im Betreff angeh ngt waren Beachten Sie da sich die Filter der Spalten Name Elter Name und Unterobjekte die gleichen Einstellungen teilen und sich gegenseitig ausschlie en D h sie k nnen nicht gleichzeitig aktiv sein sondern deaktivieren einander nur forensische Lizenz Logische Gr e der Datei d h Gr e ohne Schlupf bzw physische Gr e eines Verzeichnisses Physische Dateigr e und f r Dateien in NTFS Dateisystemen initialisierte Gr e k nnen Sie im Datei Modus in der Informationsspalte sehen Wenn die rekursive Auswahlstatistik aktiv ist wird mit einer forensischen Lizenz als Gr e von Verzeichnissen die Gesamtgr e aller Dateien angezeigt die direkt oder indirekt in dem jeweiligen Verzeichnis enthalten sind andernfalls die Gr e der Datenstrukturen des Verzeichnisses im Dateisystem Filter verf gbar Zeitpunkt Datum und Uhrzeit an dem die Datei oder das Verzeichnis in dem Dateisystem erzeugt wurde Nicht verf gbar in Linux Dateisystemen Zeitpunkt Datum und Uhrzeit an dem die Datei oder das Verzeichnis zuletzt ge ndert wurde Auf FAT ist die Uhrzeit nur auf 2 Sekunden
197. en ehemals existierenden Dateien zugeschlagen werden und der bereinigte freie Speicher kleiner wird so da sie nicht zum Navigieren zu Suchtreffern im Datei Modus taugen Nur physische Offsets von Suchtreffern im Modus Partition bzw Volume verwendbar bleiben garantiert g ltig Die virtuelle Datei Feier Speicher wird eingefroren und ndert sich nicht mehr sobald sie indexiert wurde oder wenn sie Unterobjekte bekommt also typischerweise Dateien die manuell in ihr im Datei Modus gecarvt wurden denn diese sind abh ngig von unver nderten relativen Offsets innerhalb der virtuellen Datei Sie k nnen optional mehr Daten des Datei berblicks im Speicher halten damit z B das Sortieren nach Zeitstempeln viel schneller vonstatten geht 156 Sie k nnen festlegen ob Sie daran interessiert sind da Dateien in den Datei berblick aufgenommen werden deren Cluster und damit deren Daten g nzlich unbekannt sind nur mit Metadaten z B nur Dateiname und Pfad in Ext XFS und Reiser Die Datei berblicks Option Dateien mit unbekannten Clustern aufnehmen ist eine der ber chtigten Kontrollk stchen mit 3 Zust nde Wenn ganz angekreuzt werden alle ehem existierenden Dateien von denen nur Metadaten bekannt sind in den Datei berblick aufgenommen Wenn gar nicht ausgew hlt werden solche Dateien komplett ignoriert Wenn halb gew hlt werden nur Dateien f r die mehr als blo der Name bekannt ist z B Zeitstempel aufgen
198. en sich f r einen Suchalgorithmus zwei Alternativen f r das Verhalten bei Fundstellen an die in Sonderf llen zu unterschiedlichen Ergebnissen f hren Dies soll anhand eines Beispiels verdeutlicht werden In der Zeichenfolge ananas wird nach ana gesucht das Vorkommnis beim ersten Zeichen wurde gefunden 1 M glichkeit Ab dem zweiten Zeichen wird wieder nach ana gesucht Beim dritten Zeichen wird dann ein Vorkommnis registriert 2 M glichkeit Die drei mit der Suchzeichenfolge bereinstimmenden Zeichen werden ber sprungen ana wird erst wieder ab dem vierten Zeichen gesucht in nas also nicht mehr gefunden In WinHex wird der zweiten Alternative gefolgt da sie f r das Z hlen von Vorkommen und das Ersetzen ohne Best tigung meistens sinnvollere Ergebnisse liefert Wenn Sie normale Suchvorg nge mit F3 fortsetzen oder Ersetzen mit Best tigung w hlen wird nach der ersten Methode verfahren Special Performance Enhancements File header signature searches block wise hash matching FILE record searches searches for lost partitions and physical simultaneous searches are now sparse aware operations when dealing with compressed and sparse el evidence files That means that areas that on the original hard disk were never written and zeroed out or areas that had been wiped on the original hard disk or consciously omitted areas in cleansed images are skipped and almost require no time because their data neither has to be read no
199. en und ihn einzurichten Bestimmen Sie den Zeichensatz f r den Druck ndern Sie ggf die vorgeschlagene Schriftgr e und tragen Sie auf Wunsch einen Kommentar der am Ende des Ausdruckes erscheinen soll in das daf r vorgesehene Feld ein Die empfohlene Schriftgr e berechnet sich als Druckaufl sung z B 720 dpi geteilt durch 6 z B 120 Wenn Ihnen das Drucken mit WinHex nicht flexibel genug ist k nnen Sie auch einen Block definieren ihn mit Bearbeiten gt Kopieren gt Editoranzeige als Hex Editor formatierten Text in die Zwischenablage kopieren und in einem Textverarbeitungsprogramm weiterverwenden Dort eignet sich dann besonders die Schriftart Courier New Gr e 10 zum Ausdruck auf DIN A4 Eigenschaften Hier k nnen die Gr e Datum und Uhrzeit der Erzeugung der letzten nderung und des letzten Zugriffs sowie Attribute einer Datei oder eines Verzeichnisses in Ihrem eigenen Windows System eingesehen und in WinHex auch ge ndert werden nderbare Attribute sind A zu archivierend S System H versteckt R schreibgesch tzt X nicht zu indexieren T tempor r und sparse Nach Eingabe neuer Werte in einem der drei Bereiche bet tigen Sie den Eingabe Schalter damit die nderungen in Kraft treten Durch Klick auf den Schalter mit dem drei Punkten w hlen Sie eine Datei aus oder Sie geben Pfad und Name direkt in das Editierfeld daneben ein und dr cken dann die Eingabe Taste Letzteres funktioniert auch
200. endenzen zwischen all diese Operationen Z B wenn die Inhalte eines Archivs in dem Datei berblick aufgenommen werden k nnen sich unter diesen Dateien Bilder befinden die auf Hautfarben gepr ft werden sollen oder Dokumente die auf Verschl sselung zu testen sind Sie k nnen mit der Pr misse arbeiten da wenn im Rahmen von Datei berblick erweitern eine zus tzliche Datei in den Datei berblick aufgenommen oder ihr wahrer Typ erkannt wird auch alle sinnvollen anderen Operationen auf diese Datei angewandt werden sofern sie gew hlt sind Das was eine Operation produziert wird automatisch in andere Operationen oder sogar nochmal dieselbe wieder hineingesteckt sofern geeignet Es k nnte jemand auf die Idee kommen ein belastendes JPEG Bild zu verbergen indem er es in ein MS Word Dokument einbettet diese doc Datei umbenennt in dl sie in einem Zip Archiv komprimiert das Zip Archiv in dll umbenennt das falsch benannte Zip Archiv in ein weiteres Zip Archiv packt dieses wiederum in dl umbennt und diese dll Datei als E Mail Attachment per MS Outlook verschickt Wenn die jeweiligen Optionen in Datei berblick erweitern alle gew hlt sind macht X Ways Forensics Folgendes Es extrahiert den E Mail Anhang aus dem PST E Mail Archiv Es erkennt da die dll genannte Datei eigentlich ein Zip Archiv ist Dann nimmt es den Inhalt dieses Archivs in den Datei berblick auf n mlich eine Datei mit der Endung dl Diese Datei wird
201. enstrukturen einzusehen nicht um sie zu manipulieren Die Editierfelder der Schablone erscheinen dann grau Wenn das Schl sselwort multiple im Definitionskopf angegeben wird erlaubt WinHex das Wechseln zu benachbarten Datens tzen derselben Struktur Das erfordert da WinHex die Gr e eines Datensatzes kennt Sofern diese nicht fest als Parameter der multiple Anweisung angegeben wurde nimmt WinHex an da die Gesamtgr e sich berechnet als die aktuelle Position nach der Anwendung der Schablonen Definition minus Startposition Wenn dies eine variable Gr e ergibt d h Array Gr en oder move Parameter sich dynamisch aus den Werten von Variablen bestimmen kann WinHex nicht zu vorgelagerten Datens tzen wechseln 2 Schablonen Rumpf Variablen Deklarationen Der Rumpf eine Schablonen Definition besteht im wesentlichen aus Variablen Deklarationen hnlich wie die in Programmiersprachen Eine Deklaration hat folgende Gestalt type Bezeichnung wobei type einer der folgenden Datentypen sein kann e int8 uint8 byte intl6 uintl6 int24 uint24 int32 uint32 uint48 int64 e uint_flex e binary e float single real double longdouble extended e char charl6 string stringl6 e zstring zstringl6 e boole8 boolean boolel6 boole32 e hex e DOSDateTime FileTime OLEDateTime SQLDateTime UNIXDateTime time_t JavaDateTime e GUID Die Bezeichnung der Variablen mu nur dan
202. enz Wenn Sie manuell einen Block im Modus Volume Partition Disk Datei definiert haben k nnen Sie ihn mit diesem Befehl dem Datei berblick als herausgemei elte gecarvete Datei im extra daf r vorgesehenen virtuellen Verzeichnis hinzuf gen bzw im Fall des Datei Modus als Unterobjekt der Originaldatei N tzlich wenn Sie Daten in bestimmten Bereichen wie im freien Speicher gefundenem HTML Code oder E Mails als Datei behandeln m chten um sie einsehen gezielt durchsuchen oder kommentieren zu k nnen oder um sie einem Bericht hinzuzuf gen Wenn Sie manuell eine Datei innerhalb einer anderen Datei im Modus Datei herausmei eln carven wird die resultierende Datei in der Attr Spalte als Ausschnitt gekennzeichnet und kann entsprechend gefiltert werden Bereits zuvor herausgemei elte Bereiche in einer Datei werden im Modus Datei farblich hervorgehoben Das ist n tzlich um den Benutzer daran zu erinnern ob und wo er schon zuvor Ausschnitte aus einer Datei erstellt z B innerhalb der gro en virtuellen Datei Freier Speicher wenn er beim Durchsehen von Suchtreffern diese Datei erneut begutachtet Block festlegen In einem Dialogfenster kann man die Offsets einstellen die den Beginn und das Ende des aktuellen Blocks markieren Diese Funktion ist auch ber die Statusleiste zug nglich Sie l t sich wahlweise auch auf alle ge ffneten Dateien anwenden Alles ausw hlen Legt den Dateianfang als Blockanfang und das Dateiende als Blo
203. erden indem Sie den Spaltennamen im Dialogfenster anklicken Es ist m glich die Reihenfolge der Spalten des Verzeichnis Browsers anders festzulegen Dies ndert auch die Reihenfolge der Felder im Fallbericht d h in Berichtstabellen auf Deckbl ttern beim Drucken in exportieren Dateilisten und im separaten Protokoll f r den Wiederherstellen Kopieren Befehl Sie k nnen eine Spalte verschieben indem Sie erst den der Spalte zugeordneten runden Auswahlschalter anklicken und dann den vertikalen Rollbalken der oben erscheint Sie urspr ngliche Standardreihenfolge der Spalten kann wiederhergestellt werden 22 indem Sie diese Spalte mit der rechten Maustaste anklicken 3 3 4 Filter Folgendes kann bei Bedarf herausgefiltert werden indem Sie sich entscheiden es nicht anzeigen zu lassen e Folgendes kann bei Bedarf herausgefiltert werden indem Sie sich entscheiden es nicht anzeigen zu lassen e Existierende Dateien N tzlich wenn Sie sich lediglich f r ehemals existierende Dateien interessieren die sich in existierenden Verzeichnissen befinden k nnen e Ehemals existierende Dateien und Verzeichnisse e Markierte Dateien und Verzeichnisse e Halb markierte Dateien und Verzeichnisse die mind 1 markierte und mind 1 nicht markierte Datei enthalten e Nicht markierte Dateien und Verzeichnisse e Dateien die als bereits eingesehen gekennzeichnet sind e Dateien die nicht als bereits eingesehen gekennzeichnet sind e A
204. erf gbare Funktionalit t akkurat beschreiben und Sie die verschiedenen Funktionen kreativ kombinieren lassen um ein bestimmtes Ziel zu erreichen Das Denken wird dem Benutzer dabei nicht abgenommen er mu wissen was er tut und wie Resultate zu interpretieren sind Die 64 Bit Edition ist besonders in Situationen empfehlenswert in denen ein 32 Bit gro er Adre raum unzureichend sein kann wenn Sie Festplatten oder Images analysieren die viele Millionen Dateien enthalten oder wenn Sie mit vielen Millionen Suchtreffern hantieren vorausgesetzt da Sie eine Menge physischen Arbeitsspeicher installiert haben Bestimmte Operationen die die Rechenleistung des Prozessors besonders beanspruchen z B Hashen oder Verschl sseln oder Entschl sseln k nnen in der 64 Bit Edition auch schneller sein 2 Allgemeines 2 1 Werkzeug Hex Editor Ein Hexadezimal Editor ist in der Lage den Inhalt einer Datei jedes Typs vollst ndig anzuzeigen Im Gegensatz zu einem Text Editor kann er alle Bytes einer Datei darstellen auch Steuerzeichen f r Zeilenumbruch Tabulator usw und Programmcode und zwar unter Angabe einer zweistelligen Zahl des Hexadezimalsystems 16er System Ein Byte ist eine Kombination aus 8 Bits Jedes Bit enth lt entweder eine 0 oder eine 1 hat also einen von zwei m glichen Zust nden Ein Byte kann daher einen von 2 256 verschiedenen Werten annehmen Da 256 das Quadrat von 16 ist kann jedes Byte durch eine zweistellige Zahl
205. erfolgen keine weitere Sicherheitsabfragen Beenden Hier k nnen Sie WinHex schlie en Sie erhalten noch einmal die M glichkeit Anderungen an Dateien und Datentr gern zu speichern 4 4 Bearbeiten Men R ckg ngig Erlaubt Ihnen Tastatureingaben und die Anwendung sonstiger Funktionen ungeschehen zu machen Dazu m ssen die entsprechenden Optionen aktiviert sein Ausschneiden Bewirkt da der aktuelle Block aus der Datei entfernt und in die Zwischenablage kopiert wird Der dahinter liegende Teil der Datei wird entsprechend vorgezogen Block Alles Sektor kopieren e normal Kopiert den markierten Block bzw den gesamten Dateiinhalt bzw den aktuellen Sektor in die Zwischenablage so da er sp ter wieder eingef gt werden kann e als Unicode ANSI Specifically copies text from the text column as UTF 16 Unicode even when the text column is not displayed in Unicode or specifically as ANSI encoded text even when the text column is not displayed as ANSI ASCII e in neue Datei Kopiert die Daten direkt in eine neue Datei nicht ber den Umweg Zwischenablage Mit dieser Funktion kann man z B beliebige Daten von einem Datentr ger schnell in Dateien umwandeln e Hex Werte Kopiert die Daten im Hexadezimal Format in die Zwischenablage e Editoranzeige Kopiert die Daten als Text so formatiert in die Zwischenablage wie sie auch im Hex Editor erscheinen d h mit eine Offset einer Hex und einer ASCII Text Spalte e GREP Hex Kopiert
206. ergessen Dateien die sich durch Hash Berechnung und Abgleich mit der Hash Datenbank als irrelevant herausgestellt haben sowie Dateien die vom Benutzer ausgeblendet wurden oder die von einem aktiven Filter herausgefiltert werden k nnen bei der logischen Suche gezielt ausgelassen werden um Zeit zu sparen und die Anzahl irrelevanter Treffer zu verringern Der Schlupf solcher Dateien wird dennoch durchsucht wenn die entsprechende Option Schlupf ffnen und durchsuchen voll eingeschaltet ist weil sie dann eine h here Priorit t hat Ist sie nur halb gew hlt wird auch der Schlupf solcher Dateien ausgelassen Die empfehlenswerte Datenreduktion dient der Zeitersparnis und der Vermeidung doppelter Treffer durch gezieltes Auslassen bestimmter Dateien E Mail Archive vom Typ MBOX und DBX sowie Dateiarchive der unterst tzten Typen ZIP RAR usw werden nicht durchsucht sofern die in ihnen enthaltenen Bestandteile dem Datei berblick hinzugef gt wurden In diesem Fall werden nur diese Bestandteile extrahierte E Mails und weitere Dateien durchsucht in ihrem nat rlichen nicht codierten und nicht komprimierten Zustand Dies kann sinnvoll f r die Suche nach Schl sselw rtern und vor allem die Indexierung f r die die Verarbeitung von Base64 Code aufwendig ist sein u U aber nicht f r technische Suchen nach Signaturen usw Die Option stellt in jedem Fall einen Kompromi dar Der Schlupf solcher Archive wird jedoch durchsucht wenn die ent
207. erk C Festplatte 0 oder bereits vorliegende Images von Datentr gern Per Rechtsklick im Verzeichnisbaum lassen sich Verzeichnisse mitsamt dem Inhalt aller Unterverzeichnisse rekursiv im Verzeichnis Browser ausgeben Klicken Sie also z B im Verzeichnisbaum mit der rechten Maustaste auf das Stammverzeichnis sehen Sie alle Dateien des gesamten Dateisystems auf einmal Gleichzeitig k nnen Sie auch dynamische Filter einsetzen Optionen Verzeichnis Browser um sich etwa auf Dateien mit einem bestimmten Namen oder Typ einer bestimmten Gr e oder bestimmten Zeitstempeln zu konzentrieren Weitere entscheidende Funktionen in X Ways Forensics finden Sie im Kontextmen des Verzeichnis Browsers dort z B auch die M glichkeit Dateien herauszukopieren sowie im Suchen Men dort die Parallele Suche und im Specialist Men dort vor allem Datei berblick erweitern Mit letzterer Funktion kann man Dateien einzeln oder massenweise gezielt weiterverarbeiten z B Inhalte von Archiven oder E Mails und Datei Anh nge mit in den Datei berblick aufnehmen Bilder auf Hautfarbenanteile untersuchen Dokumente auf Verschl sselung usw usf Man kann X Ways Forensics f r tausend verschiedene Zwecke einsetzen Daher sind unserer Meinung nach Schritt f r Schritt Anweisungen erst hier klicken dann dort dann im Fenster dar ber nachschauen nicht der richtige Weg um die Software zu erkl ren Diese Programm hilfe dieses Handbuch soll vielmehr die v
208. erzeichnis wie die Sicherungsdatei erzeugt Sie listet alle kopierten Sektorintervalle auf optional jeweils mit einem dazugeh rigen Hash Wert was es erm glicht die Daten in bestimmten Bereichen manuell zu verifizieren sollten diesbez glich Zweifel entstehen Wenn Sie den Hinzuf gen zu Befehl zum Sichern von Dateien in eine Minimalsicherung verwenden wird auch der Name einer solchen Datei in das Protokoll aufgenommen gefolgt von den Sektorintervallen die der Datei zugeordnet sind mehr als eins wenn die Datei fragmentiert ist oder X Ways Forensics die Sektoren einfach in mehreren St cken kopiert Es bietet sich u U an die Minimalsicherung vom Roh Format in ein komprimiertes und oder verschl sseltes e01 Evidence File zu konvertieren oder sie zu hashen oder sie mit WinRAR oder 7Zip etc vor der Weitergabe an andere Benutzer zu komprimieren Die Kompressionsdate wird ungew hnlich hoch sein wenn die Minimalsicherung nur sp rlich mit Daten besetzt ist und die Lesegeschwindigkeit extrem hoch weil undefinierte nicht allozierte Bereiche gar nicht von der Platte gelesen werden m ssen F r Ihren eigenen Bedarf k nnen Sie die Sicherungsdatei einfach so lassen wie sie ist weil sie in ihrem Grundzustand nicht so viel Plattenplatz ben tigt wie die nominelle Dateigr e bef rchten l t dank der Sparse Speicherung von NTFS Wenn Sie eine Minimalsicherung im Roh Format kopieren m chten kopieren Sie sie auf jeden Fall als Sparse Datei k
209. erzeichnisse mit einschlie end Die Zahl kann je nach Einstellungen auch in der Namensspalte in Klammern gefunden werden Wird nur mit forensischer Lizenz berechnet Die Anzahl der Suchbegriffe nicht Suchtreffer die in einer Datei gefunden wurden Diese Anzeige ber cksichtigt alle Suchbegriffe die jemals in parallelen Suchen in einem Fall gefunden wurden nicht nur diejenigen die ggf in der Suchbegriffsliste ausgew hlt sind wenn Sie keine Suchtreffer gel scht haben Sie k nnen nach dieser Spalte sortieren um diejenigen Dateien ganz oben zu sehen die am wahrscheinlichsten relevant sind weil sie mehr von den Begriffen nach denen Sie gesucht haben enthalten Diese Spalte wird nur f r Asservate eines Falls gef llt nur forensische Lizenz Listet bis zu 25 der in der Datei gefundenen Suchbegriffe auf die in der vorangehenden Spalte gez hlt werden N tzlich um auch im normalen Verzeichnis Browser schnell eine Vorstellung davon zu erhalten was f r Treffer es in einer Datei gab ohne in die Suchtrefferliste wechseln zu m ssen nur forensische Lizenz Filter verf gbar der nicht auf die 25 in der Spalte angezeigten Suchbegriffe beschr nkt ist The page count is extracted from PDF and some Office file types as part of meta data extraction and shown in this column nur forensische Lizenz Die groben Ma e eines Bildes in KP tausend Pixel oder MP Millionen Pixel Megapixel als Produkt aus Breite und H he aus Effizienzgr
210. es auch das Kontextmen der Suchbegriffsliste verwenden Die folgenden Beispiele beschreiben die Auswirkung des Ausw hlens der Suchbegriffe A und B in Abh ngigkeit ihres bzw Status A B Suchtreffer f r A und Suchtreffer f r B in beliebigen Dateien normale ODER Kombination A B Suchtreffer f r A und Suchtreffer f r B in Dateien die A enthalten 98 A B Suchtreffer f r A und Suchtreffer f r B in Dateien die sowohl A als auch B enthalten UND A B Suchtreffer f r A in Dateien die nicht B enthalten 2 Um eine logische UND Kombination zu erreichen wenn die Suchbegriffe nicht mit oder versehen sind verwenden Sie den kleinen Rollbalken der erscheint wenn Sie mehrere Suchbegriffe ausw hlen Erlaubt es Ihnen nur Suchtreffer in solchen Dateien zu sehen die alle gew hlten Suchbegriffe zugleich enthalten Sie k nnen bis zu 7 Suchbegriffe auf diese Weise verkn pfen Wenn Sie mehr als 2 Suchbegriffe ausw hlen k nnen Sie auch weniger streng vorgehen und nur eine Minimalzahl von verschiedenen Suchbegriffen angeben die in derselben Datei vorkommen mu z B fordern da von den Suchbegriffen A B C und D eine beliebige Kombination von zweien in derselben Datei ausreicht z B A und B oder A und C oder B und D usw unscharfe flexible UND Kombination Zus tzlich zur Min x Einstellung gibt es auch ein die M glichkeit zu Max 1 wenn mehrere Suchbegriffe ausgew
211. es weiteren auf diese Weise extrahiert werden Ink Verkn pfungen aus Jump Lists der Art customdestination ms Allgemein gesagt versucht X Ways Forensics Dateien solcher Typen hervorzuholen die in der Datei File Header Signatures Search txt mit dem Flag e gekennzeichnet sind Das bedeutet da Sie X Ways Forensics noch viele weitere Dateitypen aus anderen Dateien hervorholen k nnen als die voreingestellten X Ways Forensics carvt per Flag markierte Dateitypen in solchen Tr gerdateien die ber eine Maske im Editierfeld spezifiziert werden und f r die kein spezieller interne Algorithmus existiert Spezielle interne Algorithmen extrahieren ordentlich d h unter Beachtung der Datenstrukturen im jeweiligen Dateiformat und sogar wenn fragmentiert Ink Verkn pfungen aus Jump Lists der Art automaticdestinations ms Dateien jeglichen Typs aus doc ppt OLE2 Verbundsdateien Browser Cache Dateien von Safari Firefox basierend auf CACHE MAP_ Dateien Chrome basierend auf index Dateien Norton Backup Dateien N360 backup nb20 sowie Windows edb Datenbanken von Windows Vista 7 aus letzteren oft sogar E Mails und als Base64 eingebettete Bilder aus VCF Dateien elektronische Visitenkarten Au erdem Miniaturansichten aus thumb db Dateien Google s Picasa 3 image organizer and viewer software thumbindex db and related files Photoshop thumbnail caches Adobe Bridge Cache bc Canon ZoomBrowser thumbnail collections info and
212. et Explorer index dat Dateien verzeichnete Ereignisse Wenn eine Ereignisliste chronologisch sortiert ist nach Zeitstempeln dann funktioniert sie wie eine Zeitleiste anhand der Sie leichter eine Folge von Ereignissen ablesen k nnen die an unter schiedlichen Orten gespeichert sind z B E Mail empfangen Anhang abgespeichert Anwendung gestartet Dokument gedruckt Datei gel scht die Sie sonst nicht untereinander im Zusammenhang sehen k nnten Wie blich k nnen Sie im Asservat berblick Ereignisse von verschiedenen Asservaten auf einmal sehen rekursiv oder verzeichnisweise erkunden nach Ereignistyp sortieren oder nach Ereigniskategorie sowie tagesgenau nach bestimmten Zeitspannen filtern Sie k nnen Ereignisse genau wie Suchtreffer als wichtig kennzeichen Nach als wichtig gekennzeichneten Ereignisse l t sich ber die Zeitstempel Spalte filtern Ereignisbasierte Auswertung anstelle von dateibasierter Auswertung ist ein progressiver neuer Ansatz mit v llig anderer Perspektive der zu Wissen ber von Computern aufgezeichnete Aktivit ten f hren kann das auf andere Weise nur schwerlich gewonnen werden k nnte Sie k nnen u U Zusammenh nge erkennen in Verbindung mit Aktivit t x stehende andere Aktivit t die ansonsten leicht bersehen wird und die Logik hinter dem was passiert ist besser erkl ren Die Quellen von Ereignissen die von der Metadaten Extraktion in dieser Version ausgewertet werden umfassen alle unterst
213. et the nominal logical image file size to the full size of the source disk then when interpreting the skeleton image and reading from it a smaller capacity will be reported and you may get sector read errors Still worth thinking about it for example if you wish to capture merely the first 1 MB of a 1 TB hard disk Saves a lot of time if you wish to convert the skeleton image to an el evidence file or want to hash it in its entirety e Skipping already zeroed out source sectors sectors of the source disk that only contain binary zeroes will treat such sectors exactly like sectors that were not acquired This makes the resulting skeleton image smaller more sparse but it prevent you from showing with just the skeleton image that these sectors only contained zeroes on the source disk They are indistinguishable from sectors that were not acquired e Include directory data structures of the file system has an effect when you apply the Add to command of the directory browser context menu to selected directories If this option is active you will also copy the data structures of the file system for these directories if there are any e g INDX buffers in NTFS subdirectory clusters in FAT etc nothing in HFS otherwise only the contents of the files in these directories e Berichtstabellen Verkniipfungen erzeugt im Datei Uberblick der Quelle eine Berichtstabellen Verkn pfung f r jede Datei die Sie gezielt der Minimalsicherung hinzuge
214. et und in den Zielcontainer eingebettet werden kann Des weiteren gibt es eine Option zum Einfrieren des Dateisystems in dem Zielcontainer den Sie im e01 Evidence File Format erzeugen so da er nicht weiter bef llt werden kann auch nicht nach R ckumwandlung ins Roh Image Format 111 5 20 Zugeh rige Objekte Nur mit forensischer Lizenz verf gbar Dateien Verzeichnisse zu denen es eine zugeh rige Datei bzw ein zugeh riges Verzeichnis im Datei berblick gibt sind im Verzeichnis Browser links neben ihrem Icon mit einem kleinen blauen nach unten zeigenden Pfeil markiert Ein zus tzlicher Tooltip erscheint f r Dateien mit einer zugeh rigen Datei wenn man den Mauszeiger ber dere Icon h lt Dieser zeigt Ihnen komfortablerweise den Pfad und Namen der zugeh rigen Datei an z B das Ziel eines symbolischen Links Es gibt vier verschiedene Arten von zugeh rigen Objekten 1 When taking a volume snapshot of Unix based file systems symbolic links are connected to their targets in the volume snapshot as so called related files so that you can conveniently navi gate to the target by pressing Shift Backspace Also one of potentially several symlinks pointing to a certain target will become the related file of the target so that you can conveniently navigate to the symlink or quickly see in the first place that one or more symlinks exist that point to a cer tain target since any file that has a related file in the volume snapsho
215. ete Outlook WAB address book Internet Explorer travellog a k a RecoveryStore Skype Chat Sync MS Outlook Express DBX und vieler anderer Dateien mit eingebauten Mitteln an Wenn Sie versuchen eine Datei einzusehen deren Format nicht vom internen Viewer unterstiitzt wird wird statt dessen die separate Viewer Komponente aufgerufen Es gibt eine zus tzliche externe Dateibetrachtungskomponente die nahtlos in WinHex und X Ways Forensics integriert werden kann und es erm glicht ber 270 Dateiformate wie zum Beispiel MS Word Excel PowerPoint Access Works Outlook HTML PDF StarOffice OpenOffice direkt und auf besonders bequeme Art und Weise einzusehen Dieses Modul ist in X Ways Forensics und X Ways Investigator enthalten Es kann unter Optionen Viewer Programme aktiviert werden optional auch f r Bilder die schon die interne Bildanzeigebibliothek darstellen k nnte Weitere Informationen online Der Ordner f r tempor re Dateien der Viewer Komponente wird von WinHex X Ways Forensics gesteuert d h auf den vom Benutzer unter Allgemeine Optionen bestimmten gesetzt Allerdings akzeptiert die Viewer Komponente im Gegensatz zu X Ways Forensics nicht stillschweigend ungeeignete Pfade etwa auf schreibgesch tzten Datentr gern Bitte beachten Sie da die Viewer Komponente seit ihrer Version 8 2 Dateien im Windows Profil des aktuell angemeldeten Benutzers erzeugt um darin ihre Konfiguration und Einstellungen zu speichern In
216. eten Unterst tzung f r das Zusammensetzen von RAIDs f r dynamische Platten von Windows Linux LVM2 und das sektorweise Klonen Sichern eines Datentr gers auch in umgekehrter Reihenfolge Besonders f r IT Sicherheitsexperten von Nutzen e Forensische Lizenzen d h Lizenzen f r X Ways Forensics erm glichen zus tzlich die m chtige Verwaltung von F llen die automatische Erstellung von Berichten den internen Viewer und die separate Viewer Komponente die Galerie Ansicht alle fortgeschrittene Aspekte von erweiterten Datei berblicken alle Spalten und Filter im Verzeichnis Browser Kommentare und Berichtstabellen sowie Unterst tzung f r die Dateisystem ReiserFS Reiser4 HFS HFS UFS und XFS Ferner erlauben sie die Erstellung und Interpretation von Evidence Files e01 u v a m Besonders n tzlich f r Ermittler in der Computerforensik Die forensische Edition von WinHex hei t X Ways Forensics Ein vollst ndigerer Vergleich der Lizenzen findet sich online unter http www x ways net winhex comparison d html Bestellungen k nnen Sie unter http www x ways net order d html aufgeben 1 4 Unterschiede zwischen WinHex und X Ways Forensics Die Benutzeroberfl che von WinHex dessen ausf hrbare Datei winhex exe hei t oder winhex64 exe identifiziert sich immer als WinHex die von X Ways Forensics xwforensics exe oder xwforensics64 exe als X Ways Forensics Die gemeinsame Programmhilfe und das gemeinsame Benutzerhandbuc
217. etzt Hinweis WinHex ist in der Lage eine Zeichenfolge durch eine andere Zeichenfolge unterschiedlicher L nge zu ersetzen Solche Vorg nge ben tigen allerdings mehr Zeit und im Ersetzen Modus mit Best tigung werden die nderungen nicht sofort angezeigt Immer wenn Sie diese M glichkeit nutzen m chten k nnen Sie bestimmen auf welche Art dies geschehen soll 1 Die Dateiinhalte hinter einem Vorkommnis der Suchzeichenfolge werden entsprechend der L ngendifferenz von Such und Ersatzzeichenfolge nach vorne oder hinten verschoben Die Gr e der Datei ndert sich Viele Arten von Dateien darunter ausf hrbare Dateien werden dadurch unbrauchbar Es ist sogar m glich nichts als Ersatz Zeichenfolge anzugeben Jedes Vorkommen der Such Zeichenfolge wird dann aus der Datei entfernt 2 Die Ersatzzeichenfolge wird ungeachtet ihrer L nge dort in die Datei geschrieben wo die Suchzeichenfolge gefunden wurde Wenn die Ersatzzeichenfolge k rzer als Suchzeichenfolge ist bleibt der hintere Teil des Vorkommnisses der Suchzeichenfolge in der Datei unver ndert Ist die Ersatzzeichenfolge l nger werden auch noch Daten hinter dem Vorkommnis mit dem ber stehenden Teil der Ersatzzeichenfolge berschrieben sofern das Dateiende nicht erreicht ist Die Gr e der Datei bleibt unver ndert 168 10 Verschiedenes 10 1 Block Als Block wird ein markierter Bereich innerhalb einer Datei oder eines Datentr gers bezeichnet der in jed
218. ezeigt verschl sselte in gr ner Schrift Klicken Sie Dateien oder 15 Verzeichnisse im Verzeichnis Browser mit der rechten Maustaste an um ein Kontextmen zu erhalten Dieses enth lt Befehle um eine Datei oder ein Verzeichnis zu ffnen ein Verzeichnis zu erkunden den Anfang einer Datei oder eines Verzeichnisses auf dem Datentr ger zu finden den zugeh rigen Verzeichniseintrag FAT bzw Datei Datensatz NTFS zu finden die zugeh rigen Cluster in einem separaten Fenster aufzulisten usw Beim Navigieren von einem Verzeichnis zum anderen Erkunden von Dateien mit Unterobjekten z B E Mails die Dateianh nge haben Navigieren von einem Unterobjekt zu seinem bergeordneten Objekt Aktivieren oder Deaktivieren von Filtern Ausprobieren verschiedener Sortierkriterien usw beachten Sie da Sie ganz leicht zu einer vorherigen Ansicht zur ckkehren k nnen indem Sie den Zur ck Befehl im Navigationsmen oder den Zur ck Schalter in der Symbolleiste nutzen Die Icons werden in der Legende direkt im Programm erkl rt nur mit forensischer Lizenz Ehemals existierende Dateien und Verzeichnisse werden im Verzeichnis Browser mit blasseren Icons dargestellt Icons mit einem blauen Fragezeichen zeigen an da der Originalinhalt einer Datei oder eines Verzeichnisses noch immer verf gbar sein kann Gel schte Objekte von denen bekannt ist da sie nicht mehr zugreifbar sein weil entweder ihr erster Cluster in der Zwischenzeit anderweitig ver
219. f gt haben so da Sie leicht sehen k nnen welche Dateien bereits kopiert wurden sollte es diesbez glich Zweifel geben e If Create log file is at least half checked a log file will be created that references all copied sector ranges X Ways Forensics makes an effort to prevent acquiring duplicate sectors e g when copying the exact same sector range a second time or when copying overlapping sector ranges so that can explain why you may not get more lines in the log file when copying the same sectors again If the checkbox is fully checked a log log file about the log file will be created with a hash of the log file e All copied sector ranges can be optionally hashed and the hash values can be written to the log file and can be verified after closing the skeleton image Vorteile von Minimalsicherungen e Teilweises Image spart Plattenplatz e Schnell zu erzeugen insbes im Fall einer tiber eine langsame Verbindung mit F Response gesicherte Festplatte eines Rechners im Netz 184 Transportiert enth llt nur speziell adressierte Daten schlie t Daten ohne Bezug aus wie u U erfordert von Gesetzen gesundem Menschenverstand Zeitdruck oder Kunden wunsch Ideal geeignet f r technische Datenstrukturen Partitionstabellen und Dateisysteme und Dateien im Dateisystem gleicherma en M glichkeit alle entscheidenden Dateisystem Daten ohne Wissen ber Dateisysteme zu sichern und insbes ohne zu wissen in welchen Sektoren die
220. f llt so da es die vollst ndige Gr e des Quelldatentr gers hat und bef llt die Datei dann soweit wie m glich von hinten Stellen Sie sicher da Sie r ckw rts zu bef llende Images immer auf NTFS Partitionen erzeugen nicht FAT32 Der Startsektor der Quelle der beim umgekehrten Kopieren von Sektoren anzugeben ist ist derselbe wie f r normales Vorw rtskopieren also normalerweise 0 wenn man einen Datentr ger vollst ndig kopieren m chte F r Datentr gersicherungen wird grunds tzlich statt dessen die Verwendung des Befehls Datei Datentr ger Sicherung empfohlen aus diversen Gr nden mit einer forensischen Lizenz Unterst tzung von e01 Evidence Dateien Kompression Hashing Verschl sselung Metadaten technischer Detailbericht bequemer Nur in Sonderf llen wenn Sie sich z B mit schwerwiegenden physischen Plattendefekten herum rgern m ssen oder wenn Sie lediglich gezielt bestimmte Sektorbereiche kopieren m chten k nnen fortgeschrittene Benutzer den Befehl Extras Disk Tools Datentr ger klonen verwenden um eine noch gr ere Kontrolle dar ber zu bekommen welche Sektoren von wo nach nach wo und in welcher Reihenfolge kopiert werden sollen 10 7 Images und Sicherungen Der Befehl Datentr ger Sicherung bzw Sicherung anlegen im Dateimen erlaubt es eine Sicherung ein Image des ge ffneten Datentr gers bzw der ge ffneten Datei anzufertigen Drei verschiedene Ausgabeformate mit jeweils besonde
221. fer zu verpassen h ngt vom Dateiformat ab aber sind immer noch zu rechtfertigen als gro e Zeitersparnis f r Suchen in Textdokumenten eher in der sog Electronic Discovery eher nicht in der Computerforensik For more explanation and an example of how the whole words option works please read on A word boundary is a boundary between 2 consecutive characters of which one character is a word character and the other character is not a word character If both characters are word characters e g ns then obviously the s does not start a new whole word and the n cannot be the end of a whole word It can be somewhere in the middle of a whole word e g mansion but in between these two characters ns there is definitely no word boundary If both characters are non word characters e g exclamation mark followed by a space then obviously the position between the two is not a word boundary either The exclamation mark cannot be the end of a word cannot occur anywhere within a word and the space cannot be the start of a word cannot occur anywhere within a word either excluding compound words If you are searching for man as a whole word within our mansion then XWF will provisionally internally find man and then first check whether the character before the m is a word character That character is a space A space character is not a word character Then it also checks whether m is a word character according to the alphabe
222. folgen und m chten diese exportieren dann k nnen Sie nun Offsets und L nge all dieser Suchtreffer nun auf einen Schlag geeignet anpassen N tzlich auch beim Exportieren von Suchtreffern dabei kann dann auf Wunsch der Suchtreffer selbst gr er exportiert und der Kontext drumherum ggf entfallen Die Wirkung wird sofort sichtbar in der Kontextvorschau der Suchtrefferliste aber nicht unbedingt sofort in der Hervorhebung in der unteren H lfte des Datenfensters 4 Mit einem weiteren Befehl k nnen Sie Suchtreffer in ausgegliederte Dateien konvertieren Das ist n tzlich wenn Sie die Suchtreffer als Dateien in einem Bericht ausgeben m chten zu einer Berichtstabelle hinzuf gen sie mit einem Kommentar versehen oder ausdrucken m chten Wiederherstellen Kopieren darauf anwenden m chten o Beachten Sie da Suchtreffer die sowohl einen physischen als auch einen logischen Offset haben auf Sektor Ebene ausgegliedert und im virtuellen Verzeichnis f r gecarvete Dateien ausgegeben werden Suchtreffer die nur einen logischen Offset haben werden innerhalb der Datei in der sie gefunden wurden ausgegliedert und erscheinen als Unterobjekt Suchtreffer im decodierten Text einer Datei sowie Suchtreffer in Verzeichnis Browser Spalten k nnen nicht auf diese Weise in Dateien umgewandelt werden sondern werden von dieser Funktion ignoriert 5 Anderem Suchbegriff zuweisen Sie haben nun die M glichkeit Suchtreffer zu kategorisieren indem Sie sie se
223. fortan in das Image aufgenommen werden wird nun indirekt bestimmt indem man X Ways Forensics solche Sektoren vom Quelldatentr ger lesen l t die f r bestimmte Zwecke erforderlich sind Wenn das Ziel Image im Hintergrund ge ffnet ist ffnen Sie normalerweise als n chstes den physischen Datentr ger oder die Partition oder ffnen und interpretieren das Image das Sie teilweise sichern m chten Es wird dabei automatisch als Datenquelle f r die Sicherung eingestellt Dadurch werden auch bereits Leseoperationen w hrend der wichtigen Phase des ffnens oder Interpretierens ausgel st wenn Partitionstabellen und Bootsektoren ausgewertet werden m ssen so da die essentiellen Datenstrukturen die Partitionen definieren und Dateisysteme identifizieren auf jeden Fall schon mal in die Minimalsicherung aufgenommen werden Nach dem ffnen eines partitionierten physischen Datentr gers haben Sie also eine grundlegende Struktur in Ihrer Sicherungsdatei Partitionstabellen die auf Partitions Bootsektoren oder verschachtelte weitere Partitionstabellen zeigen deren Aufgabe es ist all die anderen Daten dazwischen Dateisystemdaten und Benutzerdaten zu beherbergen Wenn es Ihr Ziel ist da man auch von der Minimalsicherung aus einen Datei berblick von einer bestimmten Partition erzeugen kann d h eine Liste aller Dateien und Verzeichnisse erh lt die von dem Dateisystem in der Partition referenziert werden dann ffnen Sie die betreffende Partiti
224. fr heren Versionen hinterlie sie bei tats chlicher Verwendung nicht beim blo en Laden statt dessen Eintr ge in der Windows Registry Registry Viewer MS Windows f hrt eine interne Datenbank baumf rmiger Struktur die sogenannte System Registrierung engl Registry in der alle wichtige Einstellungen des Betriebssystems gespeichert sind Die Daten sind permanent gespeichert in mehreren Dateien sogenannte Hives die eine bestimmte Struktur aufweisen Vom Verzeichnis Browser aus lassen sich Registry Dateien im Registry Viewer einsehen Doppelklick oder Kontextmen Mit dem RegistryViewer k nnen Hives angezeigt werden ohne sie in die aktuellen Datenbankeintr ge des eigenen Systems zu importieren Unterst tzt wird die Anzeige von NT 2K XP Va 7 Hives Win9x und WinMe Hives k nnen nur bis zur Version 15 9 von X Ways Forensics geladen werden Hives von NT 2K XP Va 7 befinden sich in der Datei ntuser dat im Benutzerprofil und im Verzeichnis system32 config Es k nnen bis zu 32 Hives gleichzeitig im Registry Viewer angezeigt werden Der Registry Viewer hat die F higkeit gel schte Schl ssel und Werte in Hives zu finden die unbenutzten Speicher enthalten und verwaiste Schl ssel und Werte in besch digten und unvollst ndigen Hives Wenn kein vollst ndiger Pfad f r einen Schl ssel bekannt ist wird er unterhalb eines virtuellen Schl ssels namens Pfad unbekannt aufgef hrt Durch Klick mit der rechten Maustaste kann an jede
225. fung wiederholen m chten z B weil Sie die Dateityp Signatur Datenbank bearbeitet haben m ssen Sie die Option Erneut w hlen Den Status der Typ Spalte des Verzeichnis Browsers k nnen Sie an der Typstatus Spalte ablesen Die allermeisten selbstextrahierenden exe Archive werden intern ebenfalls bei der Signaturpr fung erkannt Sie werden klassifiziert als Dateityp sfx und der Kategorie Archives zugewiesen Diese Dateien manuell zu berpr fen verhindert da komprimierte Dateien in solchen Archiven in einer Untersuchung v llig bersehen werden exe Archive mit Zip Kompression k nnen im Vorschaumodus eingesehen werden Andere selbstextrahierende Archive m ten aus dem Asservat herauskopiert und mit einem geeigneten Tool wie WinRAR oder 7 Zip ge ffnet werden Die Signaturpr fung enttarnt auch MS Office Hybrid Dateien d h verschmolzene MS Word und MS Excel Dokumente die in beiden Applikationen ge ffnet werden k nnen und jeweils unterschiedliche Inhalte zeigen Ein Hinweis darauf wird im Nachrichtenfenster angezeigt und alle detektierten Dateien werden einer besonderen Berichtstabelle hinzugef gt MS Office Hybrid Dateien sind ein cleverer Versuch den Inhalt eines der verschmolzenen Dokumente zu 119 verstecken 6 3 3 Aufbereitung interner Metadaten und Ereignisse Erfordert eine forensische Lizenz a Kann die Dateiformat Konsistenz von Dateien der Typen EXE ZIP RAR JPEG GIF PNG RIFF BMP und PD
226. fzusuchen um sie genauer unter die Lupe nehmen zu k nnen Dateien in speziellen Berichtstabellen aufzunehmen erm glicht es bspw des weiteren sie in einem einzigen Durchgang sp ter herauszukopieren oder in einer zusammenh ngenden Galerie bersicht zu betrachten Dieselbe Datei kann auch mit mehreren Berichtstabellen verkn pft werden Die Verkn pfung definieren Sie in dem Dialogfenster das beim Aufruf des Befehls Berichtstabellen Verkn pfung im Kontextmen des Verzeichnis Browsers erscheint f r eine Datei oder mehrere ausgew hlte Dateien auf einmal Dieses Dialogfenster zeigt nicht bestehende Verkn pfungen f r die ausgew hlte n Datei en an das w re f r mehrere Dateien auf einmal auch schwierig dazu statt dessen einfach in die Spalte Berichtstabelle schauen sondern erzeugt auf komfortable und benutzerkonfigurierbare Weise neue Verkn pfungen und oder entfernt bestehende Verkn pfungen In der Voreinstellung beim n chsten Aufruf des Befehls sind die zuletzt ausgew hlten Berichtstabellen automatisch wieder ausgew hlt Im selben Dialogfenster k nnen Sie auch neue Berichtstabellen anlegen bestehende umbenennen oder l schen und existierende Verkn pfungen f r die ausgew hlte n Datei en entfernen ersetzen Sie k nnen f r jede Berichtstabelle einzeln festlegen ob Sie typischerweise nur die ausgew hlte Datei oder das ausgew hlte Verzeichnis selbst mit der Berichtstabelle verkn pfen m chte und oder zugleich die Elternda
227. g Wahlweise werden m glicherweise wiederherstellbare Dateien mit einem Fragezeichen versehen und bekannterma en nicht wiederherstellbare Dateien mit einem X versehen zus tzlich intern gruppiert dann gibt es also insgesamt drei Gruppen oder nicht nur zwei Gruppen Ein kleines Symbol mit einer oder zwei horizontalen Trennungslinien zeigt an ob die Liste in zwei oder drei Gruppen unterteilt ist auch in dem Kopf der Spalte die das Hauptsortierkriterium ist als kleine Erinnerung daran da Sie beim Rollen im Verzeichnis Browser und Suchen nach einer bestimmten Datei z B anhand ihres Namens in jeder Gruppe schauen m ssen weil die Sortierung nicht gruppen bergreifend ist sondern innerhalb jeder Gruppe stattfindet e Ein Eintrag wird am oberen Ende des Verzeichnis Browsers optional angezeigt wenn man innerhalb eines Volumes von einem Verzeichnis in ein anderes navigiert Sofern angezeigt ist er am oberen Ende des Verzeichnis Browsers fixiert und rollt nicht mit den anderen Eintr gen aus dem sichtbaren Bereich heraus Er zeigt die Details des Verzeichnisses das er repr sentiert dasjenige zu dem Sie navigieren w rden wenn Sie den Eintrag doppelt anklicken genau wie die anderen Eintr ge im Verzeichnis Browser Ein Eintrag wird ebenfalls optional angezeigt und repr sentiert das aktuell angezeigte Verzeichnis repr sentiert N tzlich falls Sie beispielsweise bestimmte Metadaten z B Zeitstempel des bergeordneten O
228. gel scht Um die gr tm gliche Menge von Metadaten aus einem Container zu importieren verwenden Sie aber bitte WinHex X Ways Forensics X Ways Investigator 16 3 oder neuer Es wird automatisch verhindert da Sie dieselben Dateien versehentlich zweimal in den gleichen Container kopieren Kommentare und Klassifizierungen Berichtstabellenverkn pfungen werden optional intern in der Container Datei gespeichert K nstliche Verzeichnisse k nnen optional in Containern angelegt werden um Unterobjekte von Dateien aufzunehmen zur besseren Kompatibilit t mit Tools die Dateien nicht als Unterobjekte von anderen Dateien akzeptieren Tools anderer Hersteller sowieso WinHex XWF XWI 15 9 und lter WinHex XWF XWI 16 0 109 und neuer jeweils neuestes Service Release brauchen keine solchen k nstlichen Verzeichnisse Beim Erstellen eines Containers w hlen Sie zwischen der normalen direkten F llmethode und einem indirekten Weg Indirekt hei t Datei Inhalte werden dem Container ber den Umweg der eigenen Festplatte hinzugef gt werden Sie werden nicht direkt in den Container kopiert sondern zun chst in das Verzeichnis f r tempor re Dateien s Allg Optionen und dann erst von dort in den Container Das hat den Vorteil da ein aktives Virenschutzprogramm die Gelegenheit hat die Dateien abzufangen d h zu pr fen unsch dlich zu machen umzubenennen zu verschieben zu l schen zu sperren usw Es kann also verhindern da die Dateien
229. genau Auf CDFS wird der einzige verf gbare Zeitstempel in dieser Spalte angezeigt auch wenn er nicht notwendigerweise die letzte nderung angibt Filter verf gbar Zeitpunkt Datum und Uhrzeit an dem auf die Datei oder das Verzeichnis zuletzt lesen oder anderweitig zugegriffen wurde In NTFS werden diese Zeitstempel in grau dargestellt wenn sie identisch sind zum jeweiligen Erzeugungszeitstempel weil dies auf den meisten Systemen wahrscheinlich bedeutet da diese 27 Zeitstempel gar nicht gepflegt werden aus Performanzgr nden und da sie daher nicht sehr bedeutsam sind Auf FAT wird nur das Datum gespeichert Filter verf gbar Record Zeitpunkt Datum und Uhrzeit an dem der FILE Record NTFS bzw die Inode nderung Linux Dateisystem der Datei oder des Verzeichnisses zuletzt ge ndert wurde Dies sind Dateisystem Datenstrukturen die Metadaten ber Dateien enthalten Filter verf gbar L schung Zeitpunkt Datum und Uhrzeit an dem die Datei oder das Verzeichnis in dem Dateisystem gel scht wurden Generell nur in Linux Dateisystemen verf gbar und u U bei NTFS nach einer intensiven Datei System Datenstruktur Suche und dem Einsehen der UsnJrnl J Datei in dem Dateisystem falls es sie gibt Nicht zu verwechseln mit dem sog L schdatum das Ihnen u U lustigerweise andere forensische Tools in NTFS Dateisystemen anzeigen f r Dateien die im Datei system gar nicht gel scht wurden Filter verf gbar Erzeugung
230. genden Speichers und die Nummer des ersten brachliegenden Clusters werden erst berechnet wenn erforderlich z B wenn Sie die virtuelle Datei zum ersten Mal anklicken weil das je nach Anzahl der Cluster insgesamt zeitaufwendig sein kann Dateisystemschlupf Sektoren am Ende einer Partition die nicht vom Dateisystem verwendet werden weil sie keinen weiteren ganzen Cluster ergeben Indirekte Bl cke Ext2 Ext3 UFS Spezielle Bl cke Cluster die Blocknummern enthalten Nicht Teil von Dateisystembereiche 18 Unbeachtete Attribut Cluster NTFS Cluster die nicht residente Attribute enthalten die von X Ways Forensics nicht speziell verarbeitet wurden Nicht Teil von Dateisystembereiche journal ReiserFS Bl cke die den feststehenden Journalling Bereich bilden Auf Ext3 und HFS wird das Journal nicht als virtuelle Datei angesehen weil es dort vom Dateisystem selbst in fest zugeordneten Datens tzen definiert wird 3 3 3 Optionen e Das Gruppieren von Dateien und Verzeichnisse im Verzeichnis Browser ist optional X Ways Forensics merkt sich die Sortierkriterien und den Zustand dieser Option separat 1 f r den normalen Verzeichnis Browser eines Volumes 2 f r den normalen Verzeichnis Browser eines partitionierten Datentr gers 3 f r Suchtrefferlisten und 4 f r Ereignislisten e Das Gruppieren existenter und gel schter Objekte im Verzeichnis Browser ist optional Es gibt zwei M glichkeiten der Gruppierun
231. ger Sicherung automatisch zu beenden Der Verschl sselungsalgorithmus der in Evidence Files optional zum Einsatz kommt ist entweder 128 Bit oder 256 Bit AES Rijndael im Counter CTR Modus Er erlaubt wahlfreien Zugriff in ein Evidence File Die 128 Bit Implementierung ist neuer und schneller und wird nur von X Ways Forensics 16 4 und neuer verstanden Der Algorithmus benutzt einen 256 Bit Schl ssel der mit SHA 256 gehasht wird aus der 512 Bit Konkatenation des SHA 256 des von Ihnen angegebenen Schl ssels und 256 Bit kryptographisch sicheren Zufallszahlen Salz die im Header des Evidence File gespeichert werden F r 128 Bit AES wird der 256 Bit Schl ssel zu einem 128 Bit Schl ssel reduziert durch ver xor en von 1 und 2 H lfte Der 128 Bit gro e Counter wird zuf llig initialisiert und pro Verschl sselungsblock inkrementiert als Little Endian Integer in 256 Bit AES als Big Endian Integer in 128 Bit AES Die Gr e eines Verschl sselungsblocks in AES betr gt 128 Bit Ein zus tzlicher SHA 256 wird im Header gespeichert f r 256 Bit AES optional s Sicherheitsoptionen und sp ter verwendet um zu berpr fen ob ein vom Benutzer f r die Entschl ssel angegebenes Pa wort korrekt ist oder nicht Der SHA 256 Algorithmus wird angewandt auf eine Konkatenation des Salzes einem Hash X und einem Hash Y um diese Pa wort Pr fungs Hash zu berechnen Dabei ist der Hash X der SHA 256 des vom Benutzer angegebenen Schl ssels und Hash Y ist
232. ger liegt wie die Quelle Das bietet die M glichkeit den Klonvorgang um bis zu 30 zu beschleunigen Nur mit Specialist Lizenz oder h her Zusammen mit der simultanen E A k nnen Sie WinHex Sektoren auch in umgekehrter Reihenfolge kopieren lassen also von hinten vom Ende des Datentr gers beginnend r ckw rts Das ist n tzlich wenn die Quellfestplatte schwerwiegende physische Defekte aufweist die z B ein Sicherungsprogramm oder gleich den ganzen Computer zum Einfrieren oder Absturz bringen wenn ein bestimmter Sektor erreicht wird In einem solchen Fall k nnen Sie zus tzlich ein Image in umgekehrter Reihenfolge erzeugen wobei die Sektoren von der Platte einzeln r ckw rts gelesen werden oder noch besser es ist sogar m glich ein bereits auf konventionelle Weise vorw rts erzeugtes aber aufgrund eines Absturzes unvollst ndiges unsegmentiertes Roh Image zus tzlich noch von hinten so zu erg nzen da es so vollst ndig wie m glich wird da von beiden Seiten bef llt und nur irgendwo in der Mitte einen idealerweise kleinen mit bin ren Nullen gef llten blinden Fleck aufweist der den nicht lesbaren besch digten Bereich des Quelldatentr gers repr sentiert Dazu w hlen Sie einfach ein unvollst ndiges Roh Image das Sie schon haben als Zieldatei aus und Sie werden dann gefragt ob Sie es erg nzen statt berschreiben m chten WinHex besorgt alles weitere also allokiert die fehlenden Sektoren in der Image Datei mit Nullen ge
233. gesehen gekennzeichnet ist k nnen die Duplikate optional ebenfalls als bereits eingesehen gekennzeichnet werden Oder andersherum bei voll angekreuztem Kontrollk stchen Wenn Dateien als Duplikate aufweisend gekennzeichnet sind und ihre Hash Werte verf gbar sind und eine von diesen Dateien eingesehen wird werden sofort auch all deren Duplikate als bereits eingesehen gekennzeichnet innerhalb der Datei berblicke aller offenen Datenfenster und im Zshg mit der Galerie kann dies langsam sein Beim Einsehen werden dann auch weitere harte Verweise einer Datei ebenfalls Duplikate automatisch als bereits eingesehen gekennzeichnet au er in HFS Um eine Datei manuell als bereits eingesehen kenntlich zu machen k nnen Sie Alt in Kombination mit dem Pfeiltasten dr cken Alt Links entfernt die Kennzeichnung Sie k nnen auch das Markierungsfeld einer Datei im Verzeichnis Browser mit der rechten Maustaste anklicken um die Kennzeichnung zu setzen oder zu entfernen Ein Verzeichnis gilt als bereits eingesehen wenn all seine Dateien und Unterverzeichnisse als solches kenntlich gemacht sind 9 4 R ckg ngig Optionen F r den Befehl R ckg ngig stehen Ihnen folgende Optionen zur Auswahl Bestimmen Sie wie viele nacheinander ausgef hrte Aktionen ungeschehen gemacht werden k nnen Wichtig Dies hat keinen Einflu auf die Anzahl der umkehrbaren Tastatureingaben die nur vom Arbeitsspeicher limitiert wird Um Zeit und Speicherplatz auf
234. gew hlten Texteditor einsehen k nnen Bei gro en Vergleichsbereichen und vielen Unterschieden bereinstimmungen kann diese Textdatei sehr gro werden Der Vergleich beginnt an den jeweils angegebenen Offsets Diese Offsets d rfen unterschiedlich sein so da z B das Byte an Offset 0 in Datei A mit dem Byte an Offset 32 in Datei B vergleichen wird und das Byte an Offset 1 mit dem an Offset 33 usw Wenn Sie Editierfenster f r den Vergleich ausw hlen wird die aktuelle Cursorposition automatisch hinter Ab offset eingetragen Es gibt noch eine weitere Vergleichsfunktion in WinHex Sie k nnen Editierfenster auch visuell miteinander vergleichen und das Rollen in den Fenstern synchronisieren s Ansicht Men Verhardlinken Coole Funktion zum Erzeugen von harten Verweisen auf Dateien in NTFS Dateisystemen N tzlich z B wenn Sie spielerisch mit harten Verweisen w hrend unserer Dateisystem Schulung experimentieren oder wenn Sie dasselbe Image ein zweites Mal zum selben Fall hinzuf gen m chten was nur unter einen anderen Namen m glich ist oder wenn Sie einen harten Verweise auf xwforensics exe unter den Namen WinHex exe erzeugen m chten damit X Ways Forensics als WinHex ausgef hrt wird Erst w hlen Sie die existierende Datei aus dann Pfad und Name des zus tzlichen harten Verweises Sparse kopieren Kann eine ausgew hlte Datei kopieren und dabei die sp rlich mit Daten besetzte Natur einer NTFS Sparse Datei in der Zieldatei bei
235. ggf vom Benutzer separat erledigt werden sofern gew nscht durch Ausblenden und Entfernen dieser Unterobjekte Ebensowenig entfernt die Funktion etwaige bei einer vorangegangenen Erweiterung des Datei berblicks ausgegebene Ereignisse Ob eine Datei bei der Erweiterung des Datei berblicks verarbeitet werden soll oder nicht wird vom Programm erst dann entschieden wenn diese Datei an der Reihe ist nicht im voraus wenn Sie die Operation starten Das bedeutet wenn Sie im Programm weiterarbeiten w hrend die Erweiterung l uft and Filter aktivieren deaktivieren ndern oder Dateien markieren entmarkieren oder Dateien ausblenden einblenden kann sich das noch auf den Erfassungsbereich der Operation auswirken je nach gew hlten Optionen und je nachdem ob die Datei die Sie markieren entmarkieren ausblenden einblenden schon verarbeitet wurde oder nicht Wenn Ihnen eine Operation gef hlt zuviel Zeit in Anspruch nimmt k nnen Sie daher immer noch Filter strenger einstellen oder bestimmte gro e Dateien entmarkieren o ohne den laufenden Proze abzubrechen Gewisse ehem g ltige Zeitstempel von Dateien werden w hrend diverser Unteroperationen der besonders intensiven Dateisystem Datenstruktur Suche in NTFS als Ereignisse ausgegeben abh ngig von der Option Zeitstempel aus diversen Quellen als Ereignisse bereitstellen Diese Option wirkt sich auch auf andere Operationen aus deren Hauptzweck nicht das Ermitteln von Zeitstempeln Ereign
236. gramm zu gew hren Lizenzen f r X Ways Investigator sind auf Anfrage zu 50 des regul ren Preises zu erhalten Eine optionale Datei investigator ini steuert zus tzliche Vereinfachungen und administrative Sicherheitsvorkehrungen z B da Benutzer nur das ffnen von Datei Containern erlaubt wird und nur solchen Containern die als sicher klassifiziert sind 152 Sofern die Option Datei Icons anzeigen aktiviert ist werden die in der aktuellen Datei enthalten Windows Icons unten in der Informationsspalte angezeigt Enth lt eine Datei keine Icons so wird das dem Dateityp zugeordnete Icon dargestellt wenn die Option voll gew hlt ist Gilt nur f r Dateien die ber Datei ffnen ge ffnet werden Bestimmen Sie au erdem das Aussehen der Dialog und Meldungsfenster und Schalter in WinHex Sie haben die Wahl zwischen mehreren verschiedenen Stilen Mit einer forensischen Lizenz k nnen Sie l ngere Operationen von anderen Computern im selben Netzwerk aus berwachen also sehen ob sie noch andauern oder beendet wurden Sie k nnen Fortschrittsbenachrichtigungen ber Textdateien erhalten die in einem Verzeichnis auf einem Netzlaufwerk erzeugt werden oder per E Mail in benutzerdefinierten Intervallen Mehrere E Mail Empfangsadressen k nnen einfach per Komma getrennt hintereinander angegeben werden Der richtige SMTP Port ist meist 25 manchmal auch 587 Die richtigen Einstellungen f r den E Mail Versand erhalten Sie von Ihre
237. gramme auf wie etwa Quick View Plus und ffnet darin die aktuelle Datei X Ways Trace aufrufen Nur verf gbar wenn X Ways Trace installiert ist Diese Software kann die History Cache Dateien diverser Internet Browser entschl sseln 64 Rechner Startet den Windows Rechner f r sonstige Berechnungen wissenschaftliche Ansicht empfohlen Dazu mu sich die Datei calc exe im Windows Ordner befinden Umrechnung Diese Funktion k nnen Sie benutzen um Zahlen des Hexadezimal Systems ins Dezimal System oder umgekehrt zu bersetzen Nach der Eingabe der Zahl bet tigen Sie die ENTER Taste Bitte beachten Sie die Hinweise zum Thema Numerische Datentypen Tabellen Diese Funktion stellt Ihnen bersichtstabellen zur Verf gung in denen Sie zu Hexadezimal Werten von 0 bis FF die Entsprechungen in Dezimalschreibweise im IBM ASCII ANSI ASCIH und EBCDIC Format ablesen k nnen Block Datei analysieren Die Daten im aktuellen Block bzw in der gesamten Datei werden statistisch ausgewertet und das Ergebnis in einem Fenster graphisch veranschaulicht WinHex ermittelt dazu die H ufigkeiten des Vorkommens aller 256 m glichen Bytewerte und bildet sie proportional in vertikalen Linien entsprechender L nge ab Dabei wird die H he des Fensters optimal genutzt d h die l ngste Linie die den h ufigsten Bytewert repr sentiert reicht von unten bis zur Titelleiste des Fensters Unter der Titelleiste k nnen Sie abh ngig von der Mauscursor
238. h bei physischen Festplatten zu denen Details ber jede Partition und allen keiner Partition zugeordneten Speicherl cken aufgef hrt werden Unter Windows 2000 und XP berichtet WinHex auch den Pa wortschutz Status von ATA Festplatten Nur mit forensischer Lizenz WinHex kann unter Windows 2000 und XP versteckte sog Host Protected Areas HPAs auch bekannt als ATA gesch tzte Bereiche sowie Device Configuration Overlays DCO Bereiche auf IDE Festplatten erkennen Ein Meldungsfenster mit einer Warnung wird angezeigt falls eine k nstlich herabgesetzte Festplattengr e festgestellt wird Auf jeden Fall wird die tats chliche Gesamtzahl der Sektoren laut ATA wenn erfolgreich ermittelt im Detailbericht mit aufgelistet Auch einige wichtige SMART Status Informationen werden angezeigt f r ber SJATA angeschlossene Festplatten die SMART unterst tzen Useful to check for one s own hard disk as well as that of suspects For example you can learn how often and how long the hard disk was used and whether it has had any bad sectors in the sense that unreliable sectors were replaced internally with spare sectors If a hard disk is returned to a suspect and he or she consequently complains about bad sectors and accuses you of having damaged the disk a details report created when the hard disk was initially captured can now show whether it was already in a bad shape at that time Also seeing that spare sectors are in use means knowing that there is addi
239. h types If matching is selected all hash values will be matched against any of the two hash databases whose hash type fits That means even if the primary hash type in the volume snapshot is MD5 and the secondary is SHA 1 and hash database 1 is based on SHA 1 and 2 based on MD5 X Ways Forensics will match the hash values accordingly The hash types in the volume snapshot and in the hash databases do not have to be in the same order Eine forensische Lizenz erlaubt es Hash Werte die bereits fr her berechnet wurden oder aus einem Container importiert wurden zu berpr fen Das Ergebnis wird ins Nachrichtenfenster ausgegeben Dateien deren aktueller Hash Wert nicht mit dem uspr nglich berechneten ber 118 einstimmt werden einer besonderen Berichtstabelle zugeordnet so da man sie sich bequem auflisten lassen kann Das erneute Ausf hren der Hashing Option beim Erweitern des Datei berblicks aktualisiert nie die Hash Werte die bereits zuvor f r Dateien im Datei berblick berechnet wurden Child objects of files inherit the hash category irrelevant from their parents That is possible because if an entire file is irrelevant everything that can be extracted from that file must also be irrelevant However what is extracted from a notable file is not necessarily also notable be cause perhaps only some parts or aspects of the parent file are notable Of course child objects of irrelevant parents will only be output if the user
240. h verwenden allerdings zumeist statisch den Namen WinHex manchmal X Ways Forensics WinHex und X Ways Forensics teilen sich eine gemeinsame Code Basis X Ways Forensics bietet unz hlige zus tzliche Features gegen ber WinHex mit einer Specialist Lizenz aber erlaubt kein Editieren von Datentr ger Sektoren oder interpretierten Images und enth lt die von WinHex bekannten sicheren Datenl schfunktionen nicht In X Ways Forensics werden Datentr ger interpretierte Image Dateien virtueller Arbeitsspeicher und physischer RAM Speicher ausschlie lich schreibgesch tzt im View Modus ge ffnet um forensisch sicheres Arbeit zu gew hrleisten bei dem keinerlei Ver nderung von Beweisen geduldet wird Dieser strenge Schreibschutz in X Ways Forensics stellt sicher da die Original Asservate nicht versehentlich ver ndert werden k nnen was vor Gericht von wesentlicher Bedeutung sein kann Nur wenn Sie nicht an strenge Regeln gebunden sind und oder aggressiver vorgehen m chten m ssen weil z B ein Bootsektor repariert werden soll oder als geheim eingestufte oder irrelevante Daten gel scht werden m ssen k nnen Sie als Benutzer von X Ways Forensics WinHex statt X Ways Forensics ausf hren Mit WinHex k nnen Sie Datentr gersektoren editieren sowie ganze Datentr ger freien Speicher Schlupfspeicher ausgew hlte Dateien und ausgew hlte Datentr gerbereiche sicher berschreiben wipen Seit v17 1 k nnen Benutzer von X Ways Forensi
241. halb gew hlt werden die Dateien nicht rein nach der internen eindeutigen ID Erweiterung benannt sondern die eindeutige ID wird zwischen Basisname und Erweiterung eingef gt Dateien die nicht kopiert werden konnten wenn z B der Pfad zu lang ist werden einer Berichtstabelle hinzugef gt Die Original Zeitstempel der Dateien Erstellung nderung letzter Zugriff sofern verf gbar werden wiederhergestellt Doppelt vorkommende Dateinamen werden durch Einf gen einer laufenden Nummer vor der Dateinamenserweiterung eindeutig gemacht Wenn Sie also alle Dateien in dasselbe Verzeichnis kopieren auch Dateien von verschiedenen Asservaten erhalten alle herauskopierten Dateien eindeutige Namen und die copylog Datei erlaubt es sp ter herauszufinden welche Datei urspr nglich wie hie und woher stammte und welche Metadaten hatte Der vermutete korrekte Dateityp von Dateien deren Typ neu erkannt wurde kann optional an den Ausgabe Dateinamen angeh ngt werden wenn er von der Dateiendung laut Dateiname abweicht oder die Datei gar keine Dateinamenserweiterung aufweist Gleichzeitig hat diese Einstellung auch Auswirkungen auf das Herauskopieren zum Einsehen mit dem verkn pften Programm Wenn die spezielle Protokollierung dieses Befehls aktiv ist konfigurierbar in den Falleigenschaften wird der Kopier Wiederherstellungsvorgang in der Datei copylog html oder copylog txt dokumentiert Praktisch alle Metadaten der kopierten Dateie
242. hashes of 1 file at a time or combined hash sets of multiple selected files The block size is currently always 512 bytes and might be user definable in a future version 117 6 3 Erweiterung auf Datei Ebene Die folgenden Operationen werden nach den oben genannten Operationen auf Dateien angewandt die bereits im Datei berblick enthalten sind und zwar alle Operationen zusammen und dateiweise d h erst alle Operationen auf eine Datei dann alle Operationen auf die n chste Datei usw und die Dateien werden in der Reihenfolge der internen IDs abgearbeitet Einige Operationen davon k nnen weitere Dateien hervorbringen die dann die n chsth here verf gbar interne ID erhalten Ehemals existierende Dateien deren erster Cluster bekannterma en berschrieben wurde oder gar nicht erst bekannt ist werden nicht verarbeitet es sei denn Sie wenden die Operationen per Markierung gezielt auf sie an Dateien die aufgrund eines Hash Wert Abgleichs als irrelevant angesehen werden k nnen automatisch von allen weiteren Operationen ausgenommen werden um Zeit zu sparen und potentiell noch weitere irrelevante Dateien zu vermeiden die sonst ggf noch aus ihnen extrahiert w rden Es gibt auch eine Option zum Auslassen von Dateien die herausgefiltert werden Beide Optionen sind insbesondere deshalb sehr m chtig weil sie sogar im voraus Dateien gezielt aussparen k nnen die noch gar nicht Teil des Datei berblicks sind wenn dessen Erweiterung beginnt
243. hbegriff w hlen der nach A benannt ist Wenn auch mit Beschuldigten B zusammenh ngend dann auch erneut zu einem weiteren Suchbegriff was dann sp ter UND Kombinationen erlaubt Sie k nnen eigene Suchtreffer auch echten Suchbegriffen zuweisen die Sie bei einer automatischen Suche verwendet haben Eigene Suchtreffer k nnen bequem in Suchtrefferlisten aufgelistet und von dort auch sch n exportiert werden genau wie herk mmliche automatisch erzeugte Suchtreffer Zur besseren Kenntlichmachung und Unterscheidung von herk mmlichen Suchtreffern werden eigene Suchtreffer in der Beschreibungsspalte f r Suchtreffer mit einem Stern versehen Sie k nnen die richtige Codepage f r eigene Suchtreffer selbst angeben wenn Sie sie definieren was notwendig sein kann damit der Text auch in der Suchtrefferliste korrekt angezeigt wird Eigene Suchtreffer werden mit Verweis auf ein Objekt im Datei berblick gespeichert wenn Sie sie im Modus Datei definieren Eigene Suchtreffer sind vorw rtskompatibel d h ltere Versionen v16 2 und neuer k nnen solche in v16 6 erzeugten Suchtreffer auch sehen Block als virtuelle Daten hinzuf gen Nur mit forensischer Lizenz Siehe Bearbeiten Men Position hinzuf gen Erlaubt es Ihnen sich an eine bestimmte Position wie vom aktuell definierten Block angegeben zu erinnern entweder mit Hilfe des Allgemeinen Positions Managers oder mit dem Positions Manager des Asservats wenn Sie mit einem Fall arbeiten
244. he Export List command in the registry viewer context menu allows to export all values in the selected hive to a tab delimited text file When selecting a value an edit window in the lower right corner tells you the logical size of that value and the size of its slack It also interprets registry values of the following types as known from the registry report MRUListEx BagMRU ItemPos ItemOrder Order menu ViewView2 SlowInfoCache IconStreams Tray notifications UserAssist Timestamps FILETIME Epoch Epoche MountedDevices OpenSavePidIMRU and LastVisitedPidIMRU The edit window also displays the access rights permissions of the registry keys if Default is selected LogFile Viewer Grunds tzlich liefert der Parser Statements aus drei Kategorien 1 Log Operation Die Daten auf dem Datentr ger bei LCN Byte Offset sind im Falle einer Redo Undo Operation durch die hier angegebenen Daten zu ersetzten 2 Das PAGE Statement kennzeichnet den Beginn einer neuen Log Seite ist stets ein Vielfaches von 4 KB Die LSN gibt die letzte in dieser Seite verwendete LSN an Ein markiert eine veraltete Seite 3 Das CheckPoint Statement gibt die LSN f r den n chsten Restart an Jedes Statement beginnt mit einem Byte Offset f r die betreffende LogFile Datei Abk rzungen LSN Logical Sequence Number LCN Logical Cluster Number VCN Virtual Cluster Number FID File ID Beschr nkungen Es werden nur Log Operationen aufgef hrt die O
245. he end of a line in any order for example as 2P or DI3 So up to 10 rank levels are possible but it is not necessary to fully utilize this range Up to 26 groups are possible You do not have to start alphabetically The case of the letters is ignored You may also define ranks and groups for an entire category following a tab in a category line File types that have no rank and category inherit both from the category to which they belong To give a group a more descriptive name than just a single letter insert group definition lines at the end of the text file that start with a equal sign e g P Photos and videos for image group D Docs e mails and Internet I File types to index You may store additional custom definitions of file types and categories in a separate file named File Type Categories User txt which will be read and maintained in addition to the standard definitions in File Type Categories txt and has the same structure and is not overwritten by updates of the software if contained in the installation directory so that you can easily continue to use it even when overwriting your installation with a new version 104 5 16 Hash Datenbank Funktionalit t nur mit forensischer Lizenz verf gbar Eine interne Hash Datenbank besteht sofern einmal erstellt aus 257 bin ren Dateien mit der Endung xhd X Ways Hash Database Der Speicherordner daf r kann im Dialogfenster Allgemeine Optionen festgelegt werden Eine
246. he same set ting Answer Because the option is List 1 hit per item only and not List 1 hit per search term per item only Many users do not understand that Imagine if in the same file there is 1 hit for search term A and 1 hit for search term B and you select both A and B with that option enabled then only 1 hit is listed either the one for A or the one for B up to X Ways Forensics to decide So the displayed hit count is 1 for one search term and 0 for the other one If then you select the other search term only and click Enter the count for that search term will change from 0 to 1 because that is now the only possible search term from which hits can be listed and up to 1 search hit is listed per file so that 1 hit is listed Noch eine weitere Erkl rung mit Beispiel Datei 1 enth lt die Suchbegriffe A und B Datei 2 enth lt die Suchbegriffe A B und C In der Suchbegriffsliste w hlen Sie alle drei Suchbegriffe aus A B und C und klicken auf Eingabe Dabei ist Nur 1 Treffer pro Objekt angekreuzt Das hat zur Folge da von Datei 1 nur maximal ein Suchtreffer zur Anzeige ausgew hlt wird und von Datei 2 auch nur maximal einer Welche das sind kann X Ways Forensics sich aussuchen Vielleicht nimmt es von Datei 1 den Suchtreffer zu Suchbegriff A und von Datei 2 den Suchtreffer zu Suchbegriff C D h Als Anzahl der Treffer wird f r Suchbegriff A in Klammern 1 angezeigt und f r Suchbegriff C in Klammern auch 1 What you see is wh
247. hen und ein gewisses Ma an Verst ndnis f r Datenstrukturen auf niedriger Ebene mitbringen und Wissen dar ber wie diese zu reparieren sind Sie k nnen die berlagerung ein und ausschalten f r den Datentr ger oder die Partition im aktiven Datenfenster durch Aufruf des Men befehls Bearbeiten Sektoren berlagern Dieser Befehl erlaubt es Ihnen eine Datei auszuw hlen mit dem Roh Inhalt von Sektoren Z B k nnen Sie eine solche Datei erzeugen indem Sie ein oder mehrere Sektoren als Block ausw hlen den Block in eine neue Datei kopieren die notwendigen nderungen darin vornehmen sogar in X Ways Forensics m glich weil normale Dateien anders als Datentr ger und interpretierte Images editiert werden k nnen und die Datei dann speichern Wenn die Datei dann angewandt wird wird ihr Inhalt ber die gelesenen Originalsektoren geschichtet beginnend mit dem Sektor indem sich der Cursor befindet oder falls die Datei einen Namen der Art n sector hat wobei n eine Zahl ist wird sie auf die Sektoren beginnend bei Sektor n angewandt und alle anderen Dateien im selben Verzeichnis deren Namen auf die gleiche Maske passen werden ebenfalls auf die entsprechenden Sektoren wie im jeweiligen Dateinamen angegeben angewandt Sie sehen nun die berlagernden Daten sofort wenn Sie zu den betroffenen Sektoren navigieren und k nnen auch weitere nderungen an der Datei vornehmen wenn Sie sie in einem separaten Datenfenstern offenhalten Sobald Si
248. hen Lizenz k nnen Roh Image Dateien und Evidence Files automatisch sofort nach Erstellung berpr ft werden indem der urspr nglich f r den Originaldatentr ger berechnete Hash ber das Image neu berechnet und verglichen wird Zum Komprimieren von Evidence Files und WinHex Backups wird der weit verbreitete Deflate Algorithmus der zlib Bibliothek verwendet Er basiert auf LZ77 Kompression und Huffman Codierung Mit der normalen Kompressionstufe k nnen Sie bei durchschnittlichen Daten eine Kompressionsdate von 40 50 erreichen Die Speicherplatzersparnis bezahlen Sie allerdings mit einer deutlich verringerten Sicherungsgeschwindigkeit Schnelle adaptive Komprimierung ist ein sehr guter und intelligenter Kompromi zwischen Geschwindigkeit und guter Kompression nicht einfach wie die gew hnliche Option schnell in anderen Programmen Bei starker Kom primierung gewinnen Sie nur weniger weitere Prozentpunkte an Kompression bei unverh lt nism ig hohen Geschwindigkeitseinbu en F r WinHex Backups ist adaptiv das gleiche wie normal Roh Image Dateien k nnen auf NTFS Dateisystemebene komprimiert werden wenn sie auf NTFS Partitionen erzeugt werden Entweder k nnen Sie normale NTFS Kompression verwenden oder die Image Datei als Sparse Datei anlegen so da gr ere Mengen von Nullbytes keinen Speicherplatz ben tigen Bereinigte Sicherung With a forensic license there is an acquisition option for t
249. hervorheben kann weil er etwas in den Metadaten oder im Steuercode enthalten ist der im Roh Modus sichtbar w re aber nicht im normalen Vorschau Modus Sie k nnen den Roh Modus dauerhaft einschalten wenn Sie beim Aktivieren die Umschalt Taste gedr ckt halten Sync Synchronisiert den Verzeichnis Browser und den Verzeichnisbaum so da in einer rekursiven Ansicht das Ausw hlen einer Datei im Verzeichnis Browser dazu f hrt da ihr Elternverzeichnis im Baum kenntlich gemacht wird Der Sync Modus bei nicht rekursiver Erkundung hat eine hnliche Wirkung wie die Option Automatically expand to current folder im Windows Explorer Das bedeutet da beim Navigieren von einem Verzeichnis zum anderen bei inaktivem Sync Modus der Verzeichnisbaum links nicht mehr das aktuell erkundete Verzeichnis anzeigt und auch nicht bei Bedarf dessen Elternverzeichnis aufklappt Ob der Sync Modus aktiv ist oder nicht merkt sich das Programm getrennt f r rekursive und nicht rekursive Erkundung Erkundungsmodus Schalter mit einem geschweiften t rkisfarbenen Pfeil Schaltet um zwischen normaler und rekursiver Erkundung Beim rekursiven Erkunden sehen Sie nicht nur den Inhalt des aktuellen Verzeichnisses sondern auch die Inhalte von all dessen Unterverzeichnisse sowie deren Unterverzeichnissen usw Um ein Verzeichnis rekursiv zu erkunden k nnen Sie es im Verzeichnisbaum auch rechts anklicken Unterst tzung mehrerer Monitore Es ist m glich die untere H
250. hose users who need to or want to exclude certain files from forensic images called Omit excluded files The data stored in clusters that are associated with files that you exclude before starting the imaging process can automatically be zeroed out in the image That won t have any effect on files whose contents are not stored in their own clusters Before you start the imaging process for a parti tioned disk open the partitions in which the files are located that you would like to exclude Wait till the volume snapshot has been taken if it was not taken before Then exclude the files You do not need to open and take volume snapshots of partitions whose data you would like to include completely All other data is copied to the image normally There is an option to watermark wiped sectors in the image with an ASCII or Unicode text string so that when working with the image you are reminded of the omission when you look at the affected areas Cleansed images 176 are useful for anyone who needs to redact certain files in the file system but otherwise wants to create an ordinary forensically sound sector wise image compatible with other tools A must in countries whose legislation specially protects the most private personal data of individuals and certain data acquired from custodians of professional secrets e g lawyers and physicians whose profession swears them to secrecy confidentiality Limitation Not available for disks partitioned as Wi
251. hr schnell nach Schl sselw rtern durchsuchen mit der Parallelen Suche W hlen Sie Suche im Index in der aufklappbaren Liste am unteren Rand des Dialogfensters Buchstaben in Suchbegriffen die ber die f r die Indexierung verwendete Maximalwortl nge hinausragen werden bei der Suche ignoriert damit Tortenheber auch dann im Index gefunden wird wenn das Wort im Index im Fall einer Maximall nge von 7 Buchstaben nach Tortenh abgeschnitten wurde Gro und Kleinschreibung wird nicht unterschieden es sei denn Sie haben den Index mit dieser Option erzeugt Wenn das Auflisten der Suchtreffer zu lange dauert z B weil Sie nur ein einziges Zeichen oder ein sehr h ufiges kurzes Wort eingegeben haben k nnen Sie jederzeit Esc dr cken oder den Fortschrittsanzeigefenster schlie en um den Vorgang abzubrechen In einer von einer Index Suche gef llten Suchtrefferliste sind physische Offsets nicht verf gbar Sie k nnen bequem Nicht GREP Index Suchen nach Suchbegriffen durchf hren die Leerzeichen enthalten genau wie in konventionellen Suche Das ist sehr wichtig f r Namen z B Hans Mustermann oder Brandner Bau GmbH und f r Doppelw rter im Englischen z B bank account oder credit card limit und zum Teil auch im Deutschen dank Deppenleerzeichen Das funktioniert auch dann wenn die Bestandteile des Doppelworts f r sich genommen die maximal indexierte Wortl nge standardm ig 7 Zeichen berschreiten so da Sie problemlo
252. hreibung automatisch zum ersten dazu passenden Eintrag im Baum springen k nnen Da auf ein ggf vorhandenes Dateisystem funktional oder nicht nicht zur ckgegriffen wird sind dieser Methode die Original Dateigr en nicht bekannt und die Original Dateinamen auch nicht Das ist der Grund warum die resultierenden Dateien zumeist nach folgendem Muster benannt werden Prefix ext Prefix ist ein von Ihnen angegebenes optionales Pr fix ist eine laufende Nummer pro Asservat ext ist die Dateinamenserweiterung die laut den Dateityp Definitionen zu diesem Dateitype geh rt Das Pr fix f r den Ausgabedateinamen darf optional einen Platzhalter d enthalten der durch den Datentr gernamen ersetzt wird Dies ist n tzlich wenn Sie Dateien retten nach Typ auf mehrere Datentr ger auf einmal anwenden und sp ter leicht erkennen k nnen m chten welche Datei von welchem Datentr ger stammt Mit Specialist Lizenzen oder h her gilt bei aktiver Option aussagekr ftige Benennung Exif JPEG Dateien werden optional automatisch nach dem Digitalkamera Modell benannt das sie erzeugt hat sowie nach ihrem internen Zeitstempel sofern verf gbar Viele Windows Registry Hive Dateien erhalten ihren urspr nglichen Namen ebenso einige JPEG Dateien f r die Photoshop einen Namen in den internen Metadaten hinterlegt hat Bei JPEG Dateien ohne bekannten Namen und ohne Exif Metadaten die jedoch von einem bekannten Generator erzeugt wurden
253. hriftszeile des Verzeichnis Browsers sehen Sie links den gerade erkundeten Pfad bei rekursiver Erkundung in kursiver Schrift und t rkiser Farbe Wenn Sie einen beliebigen Bestandteil des aktuellen Pfads anklicken navigiert das direkt zu dem Verzeichnis oder der Datei mit Unterobjekt auf dessen Namen Sie geklickt haben Rechts sehen Sie die Anzahl der aufgelisteten Dateien und Verzeichnisse ggf aufgeschl sselt in existierende Objekte ehemals existierende Objekte virtuelle Objekte Au erdem wird die Anzahl der aufgelisteten markierten Dateien angezeigt sofern davon welche markiert sind Die Zahl der aktiven Filter wird ebenfalls angezeigt neben dem blauen Filtersymbol links Spaltenbasierte und nicht spaltenbasierte aktive Filter werden dabei separat gez hlt Diese Anzeige kann hilfreich sein weil spaltenbasierte Filter zu Spalten aktiv sein k nnten die derzeit nicht im Verzeichnis Browser sichtbar sind und da nicht spaltenbasierte Filter aktiv sind ist ansonsten evtl nur dann offensichtlich wenn man im Dialogfenster mit den Verzeichnis Browser Optionen nachsieht Der Verzeichnis Browser kann Dateien und Verzeichnisse aufsteigend oder absteigend sortieren und zeigt die zwei vorhergehenden Sortierkriterien mit einem helleren Pfeil weiterhin an Wenn Sie z B zuerst die Dateinamensspalte anklicken und dann die Dateierweiterungsspalte sind alle Dateien mit der gleichen Erweiterung intern immer noch nach Namen sortiert Um das sekund
254. hten Sie da es m glich ist eine flache Ansicht aller existierender und gel schter Verzeichnisse aus allen Unterverzeichnissen auf einer Partition oder einer Image Datei einer Partition zu erhalten indem man das Stammverzeichnis rekursiv erkundet Zum rekursiven Erkunden eines Verzeichnisses d h Auflisten seines Inhalts incl des Inhalts all seiner Unterverzeichnisse und deren Unterverzeichnisse klicken Sie es im Verzeichnisbaum mit der rechten Maustaste an Um ein Verzeichnis zu markieren klicken Sie im Verzeichnisbaum mit der mittleren Maustaste an Um einen Fall komplett zu l schen m ssen Sie die xfc Datei und den zugeh rigen Ordner desselben Namens mit all seinen Unterordnern l schen Datei Export zur Analyse Dieser Men befehl im Falldatenfenster kann auf den gesamten Fall und von dort aus auf ausgew hlte Asservate oder auf das aktive Asservat angewandt werden Er bedient die Schnittstelle zur externen Analyse von Dateien durch automatisierte Tools Teilbaum exportieren Dieser Kontextmen befehl im Falldatenfenster erlaubt es eine pseudo graphische Darstellung des gew hlten Teilbaums als Unicode Textdatei auszugeben die am besten mit einer Schriftart mit fixer Zeichenbreite einzusehen ist Der exportierte Baum repr sentiert Unterverzeichnisse in ihrem aktuellen Zustand aus oder eingeklappt Der Men befehl ist f r Asservate verf gbar und auch f r Verzeichnisse sofern Sie die Strg Taste beim Anklicken eines Verzeichnis
255. i Container lassen sich wie andere Image Dateien auch interpretieren einem Fall hinzuf gen und bequem untersuchen Container k nnen insbes auch in X Ways Investigator CTR eingelesen werden der stark vereinfachten Version von X Ways Forensics f r Ermittler die nicht auf EDV spezialisiert sind sondern in anderen Gebieten wie Bestechung Rechnungswesen Kinderpornographie Baurecht usw Der Empf nger eines Containers kann den Container zu seinem eigenen Fall hinzuf gen die darin enthaltenen Dateien genau wie in einer Festplattenpartition oder einem konventionellen Image einsehen Stichwortsuchen laufen lassen Kommentare zu Dateien eingeben Dateien zu Berichtstabellen hinzuf gen Berichte erstellen usw Berichtstabellenverkn pfungen k nnen sogar exportiert und in den Originalfall wieder importiert werden ber Befehle im Kontextmen des Fallbaums Dies erlaubt es den gro en Analyseaufwand in gr eren Verfahren auf mehrere Ermittler die parallel arbeiten zu verteilen und deren Ergebnisse auch wieder zusammenzuf hren Das aktuelle Container Format kann von diversen Computerforensik Tools verstanden werden die nicht von X Ways stammen ltere Versionen von WinHex mit Specialist Lizenz oder h her X Ways Forensics und X Ways Investigator k nnen es ebenfalls verstehen All diese Tools k nnen die Datei Inhalte und die grundlegensten Metadaten lesen z B Dateiname Pfad diverse Attribute die meisten Zeitstempel existierend oder
256. ichen Zeit beschr nkt ist wird dieses Einsehen Fenster mit dem n chsten Bild aktualisiert wenn Sie in der Galerie die Pfeiltasten benutzen Insbesondere auf einem mehrere Monitore berspannenden Desktop niitzlich wenn das Einsehen Fenster auf dem zweiten Monitor zentriert ist und die Galerie sich auf dem ersten Monitor befindet Vermeidet die Eingabe Taste bet tigen zu m ssen um das Bild einzusehen und dann eine weitere Taste um das Einsehen Fenster zu schlie en und den Eingabefokus zuriick auf die Galerie zu setzen Kalender Gibt einen komfortablen visuellen berblick ber die Zeitstempel aller aufgelisteten Dateien und Verzeichnisse aus allen 6 Zeitstempel Spalten des Verzeichnis Browsers in Form eines Kalenders bzw bei Anzeige einer Ereignisliste einen hnlichen berblick ber alle aufgelisteten Ereignis Zeitstempel Each day with at least one time stamp is marked in the calendar with a gray color The more activity on a day the darker the color Weekends Saturdays and Sundays are specially marked with x Hover the mouse over a day to find out how many timestamps exactly fall into that day Left click a day to select that day as the left boundary of the timestamp filter or right click it to define it as a right boundary Middle click a day to filter for timestamps on that particular day only If the same file is listed more than once which can happen in a search hit list if it contains more than 1 search hit then its timest
257. ie Suchbegriffe repr sentieren werden in Datei Containern von v17 3 und neuer als solche erkannt Es ist m glich Listen von Berichtstabellennamen im Dialogfenster f r die Erstellung von Berichtstabellenverkn pfungen zu laden und zu speichern Das ist n tzlich um gleich mit einer Reihe von vordefinierten Berichtstabellen zu starten wie sie typischerweise in einer bestimmten Art von Fall ben tigt werden Die maximale Anzahl von Berichtstabellen in einem Fall ist 256 Berichtstabellenverkn pfungen k nnen exportiert und wieder importiert werden Siehe Weitere M glichkeiten zur verteilten Auswertung Um Berichtstabellen in einen Bericht auszugeben verwenden Sie den Befehl Bericht erstellen im Falldatenfenster Das ist ihr urspr nglicher Zweck und daher haben Berichtstabellen ihren Namen 85 Berichtstabellenverkn pfungen werden auch intern von X Ways Forensics verwendet und automatisch erzeugt um Sie den Benutzer auf Besonderheiten von Dateien hinzuweisen getreu dem Motto Melden macht frei Inwieweit Sie solche Dateien genauer pr fen bleibt Ihnen berlassen Die Namen von intern angelegten Berichtstabellen werden einger ckt und farblich unterschiedlich dargestellt um Verwechslungen auszuschlie en Typische Beispiele f r solche Berichtstabellen sind Ohne erkennbaren textuellen Inhalt Text nicht decodierbar Fehlermeldungen s Metadaten Erkunden fehlgeschlagen Leeres Archiv bergreifendes Archiv Kein
258. ie betreffende Datei mitgeteilt und die Datei wird einer Berichtstabelle namens Absturzursache hinzugef gt Das h ngt von den Sicherheitsoptionen ab All dies geschieht damit Sie eine solche Datei ggf ausblenden und so bei einem nochmaligen 132 Versuch auslassen k nnen Es ist unsch dlich die Erweiterung des Datei berblicks f r dasselbe Asservat nochmal von vorne anzusto en d h das f hrt nicht zu doppelten Unterobjekten und kostet kaum erneut Zeit weil bereits verarbeitete Dateien schnell bersprungen werden bis zu dem Punkt an dem der Erweiterungsfortschritt das letzte Mal gespeichert wurde was vom Auto Save Intervall des Falls abh ngt Wenn der Hash Wert f r eine problematische absturzverursachende Datei berechnet wurde werden diese Datei und etwaige Kopien automatisch ausgelassen wenn Sie den Datei berblick weiter erweitern und Hash Werte mit berechnen lassen zumindest wenn der Schutz vor Duplikaten von Absturz Dateien in den Falleigenschaften eingeschaltet ist Um den Fall Informationen ber vorherige Dateien die Abst rze verursachen vergessen zu lassen klicken Sie auf den zugeh rigen L schen Schalter in den Falleigenschaften bersprungene Dateien werden ebenfalls der zuvor genannten Berichtstabelle hinzugef gt Sie k nnen eine direkt nach der Erweiterung des Datei berblicks auszuf hrende parallele Suche im voraus planen 6 4 1 Wechselseitige Abh ngigkeiten Es gibt verschiedene Interdep
259. ierung bei der Verarbeitung einer Datei abst rzen kann X Ways Forensics Ihnen beim n chsten Programmstart die wahrscheinlich f r den Absturz verantwortlich Datei mitteilen sofern sie Informationen f r einen Absturzbericht haben sammeln lassen e Nachrichten ber Ausnahmefehler Bestimmt wie mitteilsam sich das Programm beim Auftreten von Ausnahmesituationen zeigt Wenn ganz ausgeschaltet werden Sie im Nachrichtenfenster nur ber Ausnahmesituationen mit potentiell ernsten Auswirkungen wie etwa merklich unvollst ndige Auswertungsergebnisse informiert Wenn ganz eingeschaltet werden alle Ausnahmesituationen dort vermerkt auch solche die typischerweise nur mit defekten Dateien auftreten und keine negativen Auswirkungen auf andere Ergebnisse haben Der mittlere Zustand des Kontrollk stchens ist ein Kompromi Unabh ngig von dieser Einstellung werden Ausnahmesituationen immer in der Datei error log vermerkt e Alle Hinweise und Warnungen die im Nachrichtenfenster ausgegeben werden k nnen optional automatisch in der einer Textdatei names msglog txt im Installationsverzeichnis mitgeschrieben werden Wenn zum Zeitpunkt der Ausgabe ein Fall aktiv ist wird der Text statt dessen in eine Datei gleichen Namens in das Log Unterverzeichnis dieses Falls geschrieben e Strenger Laufwerksbuchstabenschutz Nur mit forensischer Lizenz verf gbar In X Ways Forensics standardm ig aktiv Stellt sicher da nur auf bestimmten Laufwerksbuchstab
260. ignaturpr fung herausgefunden wurde siehe Erweiterte Datei berblicke Diese Funktion ben tigt eine aktivierte separate Viewer Komponente f r die Dekodierung und die Textextraktion Der decodierte Text wird entweder in Latin 1 oder Unicode ausgegeben Er kann optional gepuffert werden s Optionen Viewer Programme was eine bequeme Kontextvorschau f r Suchtreffer in decodiertem Text erm glicht und k nftige Suchvorg nge beschleunigt Die voreingestellte Dateimaske f r diese Option ist pdf docx pptx xIsx odt odp ods pages key numbers eml wpd vsd Es wird empfohlen html xml rtf je nach gesuchten Zeichen zu erg nzen sowie weitere Dateitypen je nach Ihren Anforderungen Z B k nnte auch doc eine gute Idee sein wenn Sie sehr gr ndlich sein m chten weil Text innerhalb von MS Word Dokumenten fragmentiert sein oder abrupt von einem Zeichensatz in den anderen wechseln kann Beachten Sie nur da die zus tzliche Decodierung und Suche mehr Zeit ben tigt und i d R zu doppelten Treffern f hrt Suchtreffer sowohl im Originalformat als auch im Ergebnis der Text Extraktion E Mails werden von X Ways Forensics generell nicht decodiert wenn ohnehin nur 7 Bit ASCII Zeichen darin gesucht werden Die Dateimaske wird angewandt sowohl auf den Dateinamen als auch auf den erkannten wahren Dateityp Um den Text zu sehen der von dieser Funktion aus einem Dokument extrahiert wird k nnen Sie das Dokument bei aktivem Vo
261. imal gedruckt wird lassen Sie ihn entweder von X Ways Forensics oder von der Viewer Komponente drucken nicht von beiden Sie k nnen auch nur das Deckblatt drucken indem Sie angeben die Seiten von 0 bis 0 des eigentlichen Dokuments oder Bildes drucken zu wollen Die Kopfzeile des Deckblatts die den Benutzer nennt und Name und Version des zum Drucken verwendeten Programms ist optional N tzlich wenn Sie den Ausdruck dem Beschuldigten oder einem Zeugen zeigen m chten und diese Personen den Benutzernamen des Ermittlers nicht wissen sollen Wiederherstellen Kopieren Erm glicht es die ausgew hlten Dateien von ihrer aktuellen Position z B aus einer interpretierten Image Datei oder einer lokalen Platte heraus an einen beliebigen Ort zu kopieren der f r einen Standard Windows Dateidialog erreichbar ist Dies kann sowohl auf existierende als auch auf gel schte Dateien angewandt werden Ung ltige Zeichen in Dateinamen werden herausgefiltert If necessary you can manually enter the output path by clicking the button in the same line where the path is displayed Useful if you wish to specify a network location that Windows does not list automatically 44 Vielf ltige Extra Funktionen stehen mit einer forensischen Lizenz zur Verf gung Optional k nnen Dateien im Ausgabe Ordner mit ihrem vollst ndigen Originalpfad erstellt werden oder auch einem Teilpfad wenn die Option halb gew hlt wird Der Asservatname wird ebenfalls als
262. in den Container gelangen Der Container bleibt dann mit hoher Gewi heit virenfrei und kann in verantwortlicher Weise in einer Umgebung mit h heren Sicherheitsanforderungen gr erem Schutzbed rfnis weitergegeben werden Container k nnen ca 1 Milliarde Objekte aufnehmen Um die Quelle von Dateien im Container die aus verschiedenen Asservaten stammen deutlich zu machen k nnen die jeweiligen Asservatnamen als oberste Verzeichnisebene im Container aufgenommen werden Eine optionale interne Bezeichnung bis zu 31 Zeichen kann angegeben werden Diese wird als Volume Label des XWFS Dateisystems verwendet Eine optionale Beschreibung kann auch in den Container integriert werden bis zu 60 000 Zeichen Diese wird beim Hinzuf gen des Containers in einen Fall importiert und ist dann in den Kommentaren zu dem Asservat sichtbar Die im Container gespeicherte Beschreibung kann auch sp ter noch hinzugef gt oder bearbeitet werden Einem im Hintergrund aktiven d h ge ffneten oder gerade neu erstellten Datei Container k nnen Sie im Verzeichnis Browser ausgew hlte Dateien per Kontextmenu hinzuf gen Entweder man kopiert dann den logischen Datei Inhalt den logischen Inhalt und den Schlupf separat nur den Schlupf nur einen im Datei Modus ausgew hlten Block oder sogar nur die Metadaten des Dateisystems Sie k nnen des weiteren angeben ob Unterobjekte gew hlter Dateien mitkopiert werden sollen auch wenn sie nicht selbst ausgew hlt sind und zw
263. indem Sie in eckigen Klammern die gew nschte Gr e angeben entweder hinter der Typangabe oder hinter der Variablenbezeichnung Geben Sie unlimited als Array Gr e an h rt die Schablone mit dem Auslesen der Daten erst auf wenn das Dateiende erreicht wird Bspw deklarieren die folgenden zwei Zeilen einen ASCII String dessen L nge dynamisch von der vorherigen Variable bestimmt wird uint8 L nge char L nge Ein String Dasselbe Ergebnis k nnte mit folgenden zwei Deklarationen erzielt werden byte L nge string L nge Ein String Eine Tilde kann als Platzhalter eingesetzt werden um zur Laufzeit mit der tats chlichen Array Elementnummer ersetzt werden s u Dies trifft nicht auf Arrays des Typs char zu da diese von WinHex automatisch in einen String bersetzt werden Numerische Parameter f r string stringl6 und hex Variablen ebenso wie die Gr enangaben von Arrays d rfen in mathematischer Notation angegeben werden Sie werden vom integrierten Formel Parser verarbeitet Solche Ausdr cke m ssen in Klammern angegeben werden Sie d rfen keine Leerzeichen enthalten Sie d rfen zuvor deklarierte Integer Variablen verwenden deren Namen selbst ebenfalls keine Leerzeichen enthalten Unterst tzte Operationen sind die Addition Subtraktion Multiplikation Integer Division Modulo Division bitweises AND amp bitweises OR und bitweises XOR G ltige mathematische Ausdr cke
264. ine Liste von Dateien auf die Sie sich konzentrieren k nnen Die parallele Suche kann physisch in Sektoren oder logisch in Dateien suchen oder in einem zuvor erstellten Index Physisch sucht sie alle Sektoren eines Datentr gers in der Reihenfolge Ihrer LBA Numerierung ab es sei denn Sie suchen aufw rts dann wird die Reihenfolge umgekehrt Wenn Sie WinHex die Treffer einer physischen Suche nicht auflisten lassen k nnen Sie die F3 Taste bet tigen um zum n chsten Treffer zu springen Logisch geht die Suche dateiweise vor was vorteilhaft ist da viel m chtiger und sorgf ltiger Mehr ber die logische Suche Sie k nnen dieselben Suchbegriffe zugleich in bis zu 6 Codepages suchen Die in Ihrem 91 Windows System aktive Standard Codepage ist mit einem Sternchen kenntlich gemacht und anfangs voreingestellt Z B auf Computern in Westeuropa und in den USA ist dies die Codepage 1252 ANSI Latin I Die Codepages mit der Bezeichnung ANSI im Namen werden in Microsoft Windows verwendet MAC zeigt eine Codepage des Apple Macintosh an OEM bezeichnet eine Codepage die von MS DOS und Windows Kommandozeilenfenstern zum Einsatz kommt Wenn ein Suchbegriff nicht in die ausgew hlte Codepage umgesetzt werden kann weil er Zeichen enth lt die in dieser Codepage unbekannt sind wird eine Warnung ausgegeben Codepage unabh ngige GREP Suchen nach exakten Byte Werten sind m glich wenn Sie in einer Pseudo Codepage namens Direct byte
265. ine der RAID Komponentenplatten nicht verf gbar ist k nnen Sie ein RAID 5 System dennoch zusammensetzen weil eine Komponente redundant ist W hlen Sie einfach behelfsweise einen Ersatz eine der anderen verf gbaren Komponenten desselben RAID Systems als fehlende Komponente aus und kennzeichnen Sie sie als fehlend Auch f r RAID 5EE und RAID 6 darf eine Komponente fehlen 189 Anhang A Schablonen Definition 1 Schablonen Kopf Der Kopf einer Schablonen Definition hat das folgende Format Die Ausdr cke in Klammern sind optional Die Reihenfolge der Ausdr cke ist nicht von Bedeutung template Titel description Beschreibung applies_to file disk RAM fixed_start offset sector aligned requires Offset Hex Werte big endian hexadecimal octal read only multiple fixe Gesamtgr e Hier ist Platz f r allgemeine Kommentare begin Variablen Deklarationen end Ausdr cke m ssen nur in Hochkommata eingeschlossen werden wenn sie Leerzeichen enthalten Kommentare d rfen berall in einer Schablonen Definition auftauchen Zeichen die einem doppelten Schr gstrich folgen werden vom Parser ignoriert Dem Schl sselwort applies_to mu genau eins der W rter file disk oder RAM folgen WinHex gibt eine Warnmeldung aus wenn Sie eine auf diese Weise gekennzeichnete Schablone auf Daten von einer anderen Quelle anwenden W hrend standardm ig die Schablone beim Starten die Daten an der akt
266. iner niedrigeren Wahrscheinlichkeit daf r aus f r zwei verschiedene Dateien durch Zufall dieselbe Pr fsumme zu erhalten Beispiel Wenn in einer Datei durch fehlerhafte bertragung zwei Bytes verf lscht werden sich die Abweichungen aber genau ausgleichen z B erstes Byte 1 zweites Byte 1 dann bleibt die Standard Pr fsumme im Gegensatz zum CRC unver ndert Ein Digest engl ist hnlich einer Pr fsumme eine Kennzahl zur eindeutigen Identifizierung von Daten Digests sind aber mehr als Pr fsummen Es handelt sich um starke Einweg Hashcodes die Datenintegrit t mit extrem hoher Sicherheit garantieren Daten k nnen in b sartiger Absicht so manipuliert werden da ihre Pr fsumme trotz nderung gleich bleibt Diese M glichkeit schlie en Digests aus Es lassen sich mit vorstellbarem computerunterst tztem Rechenaufwand keine Daten finden die denselben Digest besitzen wie vorgegebene andere Daten Nat rlich k nnen durch Verwendung von Digests auch zuf llige etwa durch fehlerhafte ber tragung entstandene Datenver nderungen festgestellt werden aber daf r reichen Pr fsummen aus die viel schneller berechnet werden k nnen WinHex kann folgende Digests berechnen MD4 MD5 SHA 1 SHA 256 RipeMD 128 RipeMD 160 Tiger128 Tiger160 Tiger192 sowie TTH Tiger Tree Hash und ed2k nur mit Specialist oder forensischer Lizenz 2 8 Attribut Legende A zu archivieren R schreibgesch tzt H versteckt S Sys
267. ion freizugeben Wenn Sie dennoch mit dem Windows Explorer nicht den neuen Inhalt auf der Zielpartition sehen kann ein einfaches Neubooten helfen WinHex ndert Partitionsgr en nicht dynamisch und pa t sie nicht an Zieldatentr ger an die eine andere Gr e haben als die Quelldatentr ger 10 9 Minimalsicherungen Nur mit forensischer Lizenz Ein typisches Feature von X Ways das die Spitzenstellung von X Ways Forensics als das Tool zementiert das dem Benutzer die gr tm gliche Kontrolle berl t beim Ausw hlen Erfassen und Filtern von Daten auf jeder vorstellbaren Ebene Die F higkeit von Datentr gern forensische Minimalsicherungen zu erzeugen die nur solche Sektoren enthalten die f r die gew nschten Zwecke erforderlich sind unter Beibehaltung der Kompatibilit t mit anderen Tools Diese Sektoren k nnen diejenigen sein die Partitionstabellen enthalten Dateisystem Datenstrukturen deren benachbarte Sektoren oder Sektoren mit Datei Inhalten sowie beliebige Sektoren im unpartitionierten Niemandsland einer Festplatte Eine Minimalsicherung ist blicherweise nur sp rlich mit Daten besetzt so da es sinnvoll ist die Sparse Datei Technologie von NTFS daf r einzusetzen Unbeschriebene Bereiche in einer Minimalsicherung verhalten sich beim sp teren Lesen als ob sie bin re Nullen enthalten Sie beginnen eine Minimalsicherung indem Sie den Men befehl Datei Minimalsicherung 181 erstellen aufrufen Welche Sektoren
268. ion zum Anzeigen von Dateityp R ngen in der Typstatus Spalte was auch ein Sortieren der Spalte nach diesen R ngen zur Folge hat R nge werden definiert in der Datei File Type Categories txt Erweitertes Sortieren Takes 4 to 6 times more time than the highly optimized standard Uni code sorting noticeable when sorting millions of files but has several useful settings and characteristics Language specific character equivalence rules treat B like ss treat similar to e similar to u etc Linguistically improved case insensitivity Special treatment of hyphens and apostrophes they are treated differently from other non alphanumeric characters to ensure that words such as coop and co op stay together in a sorted list Treat decimal digits as numbers e g sort 2 before 10 not useful for hexadecimal nota tion available under Windows 7 and later only Treat half width and full width characters the same full width characters are sometimes used by East Asians when writing English language letters 20 Ignore kana type treat corresponding Japanese hiragana and katakana characters the same Advanced sorting depends on the regional settings of the currently logged on user For exam ple if regional settings of a Nordic country are active comes after Z as defined in the al phabets of that region otherwise near A as perhaps expected by non locals Advanced sorting rules are also applied when sorting the sea
269. is Browser Spalten m glich Beschreibung Dateityp Dateityp Beschreibung Dateityp Kategorie Absender Besitzer Hash Set Hash Kategorie Berichtstabellenverkn pfungen Suchbegriffe Wenn sowohl ein Dateianhang als auch die zugeh rige E Mail sein Elter zum Kopieren ausgew hlt sind und nicht von Filtern ausgeschlossen werden kann der Anhang optional in die resultierende eml Datei in Form von Base64 Code eingebettet statt separat kopiert werden Das macht es bequemer die E Mail incl Anh nge einzusehen eml Dateien k nnen eingesehen werden z B in Outlook Express Windows Mail Windows Live Mail oder Thunderbird alle kostenlos Wenn bestimmte Dateianh nge nicht eingebettet werden k nnen erhalten Sie dar ber eine Meldung im Nachrichtenfenster und in einem solchen Fall werden sie separat kopiert als ob die Option zum Einbetten nicht aktiv w re Alternative Datenstr me ADS von NTFS k nnen optional als ADS ausgegeben werden Standardm ig werden sie in Form gew hnlicher Dateien wiederhergestellt damit sich leichter zugreifbar sind 46 e X Ways Forensics can try to encode zeroed out areas in a file as sparse when writing the data This will have an effect only if the zeroed areas are somewhat aligned and sufficiently large and of course only when writing to an NTFS or ReFS volume not FAT Works no matter whether the source file is defined as sparse or not This option will reduce the data transfer rate and is only recommenda
270. is and processing operation in Specialist Refine Volume Snapshot 5 18 Zeitzonen Konzept Folgendes gilt f r WinHex und X Ways Forensics wenn die Software mit einer Specialist oder 107 forensischen Lizenz betrieben wird X Ways Forensics bedient sich nicht der Windows Logik sondern seiner eigenen Logik um UTC Zeitstempel f r die Anzeige im Verzeichnis Browser in Berichtstabellen und in exportierten Listen in eine frei w hlbare Ortszeit umzurechnen Es zeigt Zeitstempel unabh ngig von der in der Windows Systemsteuerung des Untersuchungssystems eingestellten Zeitzone an Die Anzeige von Zeiten in X Ways Forensics und Windows kann sich unterscheiden weil Windows Zeitangaben in der Sommerzeit nicht basierend auf Sommerzeit anzeigt wenn zum Zeitpunkt der Anzeige Winterzeit gilt Beim Arbeiten mit einem Fall gilt die f r diesen Fall eingestellte Zeitzone global f r das gesamte Programm w hlbar in den Falleigenschaften ansonsten die Zeitzone die in den Allgemeinen Optionen eingestellt ist Beim Arbeiten mit einem Fall ist es optional m glich unterschiedliche Zeitzonen f r verschiedene Asservate einzustellen so da Sie immer Ortszeiten sehen selbst f r Datentr ger die in unterschiedlichen Zeitzonen verwendet wurden wenn Sie dies vorziehen Beachten Sie da die Zeitstempel nur f r die Anzeige umgerechnet werden Das hei t in einer rekursiven Ansicht im Asservat berblick der mehrere Datentr ger enth lt h ng
271. is dem Fall hinzuf gen m chten f gen Sie bitte das gesamte Verzeichnis hinzu blenden Sie lediglich nicht ben tigte Dateien aus oder entfernen Sie sie ganz aus dem Datei berblick Im Fenster der Asservat Eigenschaften k nnen Sie eine Bezeichnung oder eine Nummer f r das Asservat nach Ihren Namenskonventionen eingeben Sie k nnen die Reihenfolge von Asservaten im Fallbaum ndern mit Hilfe der kleinen Pfeilschalter oben links au er f r abh ngige Asservate Partitions die zu einem physischen Datentr ger geh ren Datum und Zeit des Zuordnens des Asservats zum aktuellen Fall werden aufgenommen und angezeigt Die programminterne Bezeichnung eines Asservats wird ebenso angezeigt wie seine Originalgr e in Bytes Sie k nnen Kommentare beliebiger L nge die sich auf das Asservat beziehen eingeben Eine technische Beschreibung wird von X Ways Forensics automatisch hinzugef gt wie aus 79 dem Technischen Detailbericht im Specialist Men bekannt jedoch zus tzlich einige grundlegende Information ber Windows Installationen sofern in einer Partition gefunden Sie k nnen einen oder zwei Hash Werte Pr fsumme oder Digest des Asservats berechnen und sp ter berpr fen lassen so da Sie sicherstellen k nnen da die Datenauthentizit t in der Zwischenzeit nicht beeintr chtigt wurde MD5 Hashes in Evidence Files werden automatisch beim Hinzuf gen zum Fall importiert Ferner k nnen Sie das automatische Mitprotokollieren f r
272. is work later and will want to import your search hits back when he or she is taking over again to avoid duplications of search hits because your search hits include his or her hits already after you have imported them To view all the results of a colleague report table associations search hits tag marked already viewed status of files exclusion status of files you can open the case in read only mode as him or her For that try the Options checkbox when opening a case You may prevent your col leagues from opening the case in read only mode as you The Options checkbox allows you to open a case in any of the following three modes 1 entire case read only case file and volume snapshots 2 cooperative analysis mode ability to produce report table associations comments search hit hits and virtual files tag files remember already viewed files exclude files 3 full access If the same user wishes to open the same case the same copy in more than 1 instance of the pro gram simultaneously that user has two options Either 1 in the second instance the entire case including evidence objects is opened as read only or 2 the user opens the case as a separate fictitious user called his or her alter ego with separate file statuses search hits report table associations etc shared use of the case and the evidence objects is coordinated by X Ways Forensics exactly as if the alter ego was a real different examiner eve
273. issen ist 7 Ausgew hlte Grundkonzepte 7 1 Editier Modi Der Modus in dem eine Datei oder ein Datentr ger im Programm ge ffnet ist wird in der grauen Informationsspalte angezeigt Deren Kontextmen enth lt einen Befehl um den Modus des aktuellen Fensters selektiv zu ndern Schreibschutz View Modus Empfohlener Modus f r computerforensische Untersuchungen Um den strengen forensischen Anforderungen zu gen gen ist dies der einzige Modus der in X Ways Forensics verf gbar ist au er f r Dateien im Verzeichnis des aktuellen Falles und im allgemeinen Ordner f r tempor re Dateien damit deren Decodierung Entschl sselung oder 134 Konvertierung usw m glich ist Dateien und Datentr ger die im View Modus ge ffnet werden k nnen in WinHex nicht absichtlich oder versehentlich editiert ver ndert sondern nur eingesehen werden Dies entspricht der M glichkeit in bestimmten anderen Windows Programmen Dateien schreibgesch tzt zu ffnen Standard Editiermodus Im Standard Editiermodus werden nderungen die Sie an einer ge ffneten Datei oder einem Datentr ger vornehmen in einer tempor ren Datei gespeichert Diese wird dynamisch verwaltet Erst beim Speichern oder Schlie en werden die nderungen dann nach R ckfrage in die Originaldatei bzw auf den Datentr ger bertragen In Place Modus Verwenden Sie diesen Modus mit Vorsicht S mtliche nderungen Tastatureingaben F llen Entfernen des Blocks Schreibe
274. it einzelne Asservate nicht nur den ganzen Fall gezielt so zu ffnen da der Datei berblick als schreibgesch tzt behandelt wird ber einen gesonderten Befehl im Kontextmen des Asservats im Falldatenfenster Bitte beachten Sie da dies berhaupt nichts damit zu tun hat wie das Asservat selbst der Datentr ger oder das Image gehandhabt wird X Ways Forensics ndert niemals die Daten in Sektoren von Datentr gern oder interpretierten Images wenn diese als Asservat ge ffnet werden Nur der Datei berblick d h die Datenbank mit Informationen ber alle gefundenen Dateien und Verzeichnisse ist entweder schreibgesch tzt oder und das ist der Normallfall nderbar 5 3 Asservate Beweisobjekte Sie k nnen jeden an den Computer angeschlossenen Datentr ger wie Festplatte Speicherkarte USB Stick CD ROM DVD eine Image Datei ein Verzeichnis oder eine normale einzelne Datei dem aktuellen Fall hinzuf gen Dadurch wird das Objekt permanent mit dem Fall verbunden es sei denn Sie entfernen es sp ter wieder aus dem Fall in der baumartigen Fallstruktur angezeigt und fortan als Asservat oder Beweisobjekt bezeichnet Im Fallordner wird f r jedes Asservat ein Unterordner angelegt wo Dateien die Sie aus dem Asservat herauskopieren standardm ig abgelegt werden so da immer offenkundig ist von welchem Asservat genau und aus welchem Fall wiederhergestellte Dateien stammen Wenn Sie mehr als 1 Datei aus demselben Verzeichn
275. k oder Tabellenkalkulationsprogramm in dem Sie die Daten ggf importieren m chten die Formatierung die Sie gern im Verzeichnis Browser sehen evtl nicht mag z B Bruchteile von Sekunden in Zeitstempeln Zeitzonenumrechnung Wochentage im Datum Trennzeichen zwischen Datum und Uhrzeit Zifferngruppierung usw usf W hrend 47 das Dialogfenster des Befehls Liste exportieren auf dem Bildschirm zu sehen ist st tzt basiert die Anzeige des Verzeichnis Browsers vor bergehend auf den Notationseinstellungen f rs Liste exportieren als eine Art Vorschau Berichtstabellen Verkn pfung s o unter Berichtstabellen Kommentar bearbeiten Erfordert eine forensische Lizenz Verwenden Sie diesen Befehl um ein Objekt im Verzeichnis Browser mit einem Kommentar zu versehen oder einen existierenden Kommentar zu bearbeiten oder zu entfernen Nachdem Sie Kommentare vergeben haben k nnen Sie den Filter bequem so setzen da nur solche Dateien angezeigt werden die mit einem bestimmten oder berhaupt mit einem Kommentar versehen wurden Metadaten bearbeiten Erfordert eine forensische Lizenz Erlaubt das Editieren des Metadatenfelds einer Datei sobald Metadaten extrahiert wurden N tzlich wenn Sie ausgew hlte aber nicht alle extrahierten Metadaten in einen Bericht ausgeben m chten Datei berblick erweitern und Parallele Suche in Objekten die im Verzeichnis Browser ausgew hlt sind Markieren Markierung aufheben Erfordert ein
276. known documents word proc essing documents presentations spreadsheets e mails plain text files with a much more robust approach than conventional hash values Even if a document was stored in a different file format e g first PPT then PPTX then PDF it can still be recognized Internal metadata changes e g after a Save as or or after printing which may update a last printed timestamp do not prevent identification either Very often even if text was in serted removed reordered revised a document can still be recognized This is achieved by using fuzzy hashes FuzZyDoc hash values are stored in yet another hash database in X Ways Forensics Hash sets based on selected documents can be added to the FuzZyDoc database exactly like hash sets can be created in ordinary hash databases and the FuzZyDoc hash database can also be managed in the same dialog window as the other hash databases For each selected document you can create 1 separate hash set or you can create 1 hash set for all selected documents Up to 65 535 hash sets are supported in a FuzZyDoc hash database FuzZyDoc is available to all users of X Ways Forensics and X Ways Investigator i e not only law enforcement like PhotoDNA FuzZyDoc should work well with documents in practically all Western and Eastern European languages many Asian languages e g Chinese Japanese Ko rean Indonesian Malay Tamil Tagalog but not Thai Divehi Tibetan Punjabi an
277. kt 135 aus Datentr gern Images heraus ge ffnet werden ist nur in WinHex m glich nicht in X Ways Forensics oder X Ways Investigator wo Schreibzugriff auf Sektor Ebene in das alle Datei Schreibzugriffe der neuen Art intern bersetzt werden ausgeschlossen sind und wo der einzige verf gbare Modus f r Datentr ger und interpretierte Images und f r darin ge ffnete Dateien nach wie vor der Schreibschutz ist F r Besitzer einer Lizenz f r X Ways Forensics betrifft diese nderung daher nur die spezielle WinHex Version die sie zus tzlich erhalten k nnen nicht X Ways Forensics selbst In der Computerforensik und IT Sicherheit kann die neue Editierm glichkeit hilfreich sein beim manuellen Redigieren z B Uberschreiben mit XXX von spezifischen Daten die nicht untersucht weitergegeben eingesehen werden sollen oder um bestimmte Bereiche in einer Datei sicher zu berschreiben z B als Block definieren und diesen dann f llen Beachten Sie da Datei Container Roh Images sind wenn sie nicht ins e01 Evidence File Format konvertiert worden sind und daher nachtr gliches Editieren von Dateien erlauben was aber nat rlich begleitende Hash Werte ung ltig macht Es ist sogar m glich Verzeichnisse zu editieren also die Cluster mit Verzeichnisdaten wie z B INDX Puffer in NTFS z B wenn Sie darin vorkommende Namen bestimmter Dateien unlesbar machen m ssen 7 2 Scripte Ein Teil der Funktionalit t von WinHex kann in automatisierte
278. ktion f r einen bestimmten Zweck Ferner kann der Hersteller f r Sch den die auf sachgem e oder unsachgem e Handhabung oder Fehlfunktionen des Programms oder hnliches zur ckzuf hren sind nicht haftbar gemacht werden auch nicht f r die Verletzung von Patent und anderen Rechten Dritter die daraus resultieren Der Hersteller bernimmt keine Gew hr daf r da die beschriebenen Verfahren Programme usw frei von Schutzrechten Dritter sind Die Wiedergabe von Gebrauchsnamen Handelsnamen Warenbezeichnungen usw in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme da solche Namen im Sinne der Warenzeichen und Markenschutz Gesetzgebung als frei zu betrachten w ren und daher von jedermann benutzt werden d rften Lizenzvereinbarung Hinweise Der MD5 Message Digest wurde entwickelt von RSA Data Security Inc Die zlib Datenkompression mit den Algorithmen Deflate und Inflate wurde entwickelt von Jean loup Gailly und Mark Adler ftp ftp cdrom com pub infozip zlib zlib html X Ways Forensics enth lt Software von Igor Pavlov www 7 zip com und eine Implementierung von Adler32 von Arnaud Bouchez Outside In Technology Copyright 1991 2014 Oracle Corp and or its affiliates All rights reserved FuzZyDoc is a trademark of X Ways Software Technology AG NEXT3 is a registered trademark of CTERA Networks X Ways Forensics uses ResIL a fork of DevIL ResIL is governed by the LGPL ht
279. le als Integer sofern sie nicht gr er als 8 Bytes ist und inkrementiert 201 sie um eins Praktisch in Schleifen Dec MyVariable Interpretiert eine Variable als Integer sofern sie nicht gr er als 8 Bytes ist und dekrementiert sie um eins IntToStr MyStr MyInt IntToStr MyStr 12345 Speichert die dezimale ASCH Text Repr sentation der Integer Zahl die als zweiter Parameter bergeben wird in die Variable die als erster Parameter angeben ist StrToInt MyInt MyStr Speichert die Bin rcodierung der Integer Zahl die als dezimaler ASCII Text als zweiter Parameter tibergeben wird in die die Variable die als erster Parameter angegeben ist StrCat MyString MyString2 StrCat MyString txt H ngt eine Zeichenkette an eine andere an Der zweite Parameter kann eine Konstante oder eine Variable sein Der erste Parameter muss eine Variable sein Das Ergebnis wird in der Variablen gespeichert die als erster Parameter tibergeben wurde und darf nicht langer als 255 Zeichen sein GetClusterAlloc MyStr Kann auf ein logisches Laufwerk angewendet werden Holt eine textuelle Beschreibung der Zuordnung der aktuellen Position z B welche Datei im aktuellen Cluster gespeichert ist und speichert diese Beschreibung in der angegebenen Variablen GetClusterAllocEx IntVar May be applied to a logical volume Retrieves an integer value that indicated whether the cluster at the current position is allocated 1 or not 0 and saves that descrip
280. legen s u Sicherungen Minimalsicherung erstellen berpr fen s u Minimalsicherungen 55 Sicherung wiederherstellen W hlen Sie eine Image Datei aus deren Inhalt Datentr ger sektoren Sie zur ckspielen m chten auf den urspr nglichen oder einen anderen Datentr ger oder w hlen Sie eine WinHex Sicherungsdatei whx Datei aus deren Inhalt eine Datei oder Datentr ger Sektoren Sie wiederherstellen m chten Im Fall eines Images wird das Image als Quelle im Dialog Datentr ger klonen voreingestellt mit Specialist Lizenz oder h her im interpretierten Zustand Ohne Specialist Lizenz oder h her k nnen nur WinHex Sicherungs dateien wiederhergestellt werden wenn sie segmentiert sind nicht segmentierte Roh Images Sicherungs Manager s dort Ausf hren F hrt die aktuell dargestellte Datei mit allen evtl vorgenommenen nderungen aus Es mu sich entweder um eine unter DOS oder Windows ausf hrbare EXE oder COM Datei handeln oder der Dateityp mu unter Windows mit einer Anwendung verkn pft worden sein Dann wird dieses Programm gestartet und die aktuelle Datei geladen Sie k nnen mit dieser Funktion z B berpr fen ob die vorgenommenen nderungen in einer Programmdatei ihre Ausf hrbarkeit beeintr chtigt haben Drucken Mit dieser Funktion k nnen Sie einen Ausschnitt aus einer Editierfenster drucken Geben Sie den Druckbereich in Form von Offsets an Sie haben die M glichkeit einen Drucker auszuw hl
281. levante Dateien die mit Berichtstabellen verkn pft sind k nnen leicht in den Fallbericht aufgenommen werden mit all ihren Metadaten und einem Link zur Datei Bilder sogar direkt und Sie k nnen in einer rekursiven Ansicht nach der Berichtstabellen Verkn pfung filtern um diese sp ter leicht wiederfinden zu k nnen wie ein Lesezeichen Aktenvermerk Der Filter kann Dateien in mehreren Berichtstabellen mit den Operatoren ODER UND und NICHT verkn pfen und hat sogar eine Option die zus tzlich die Geschwister von Dateien in einer Berichtstabelle mit ausgeben kann d h Dateien im selben Verzeichnis Das ist n tzlich insbes wenn man rekursiv erkundet und nach Pfad sortiert um zu pr fen ob weitere relevante Dateien in der Nachbarschaft zu finden sind Z B k nnten Sie Berichtstabellen erstellen mit Beschreibungen wie Verbindung zu Fa X Beweise gegen Beschuldigten B Kipo zweifelhafte Betriebsausgabe an Kollege M ller weitergeben sp ter noch ausdrucken bersetzen lassen usw Und sp ter wenn Sie alle Dateien systematisch durchgegangen sind k nnen Sie sich mit Hilfe des Berichtstabellenfilters einen berblick verschaffen z B Zeige mir alle Dateien die eine Verbindung zu Fa X nahelegen und zugleich als Beweise gegen Beschuldigten B eingestuft wurden Sie weisen Dateien also praktisch einer von Ihnen selbst definierten Kategorie zu Zugleich erlaubt Ihnen die Verkn pfung auch sich Dateien bequem erneut au
282. lizeiinspektion Schweinfurt die Landespolizeidirektion Freiburg die Kriminalpolizei Passau diverse nationale Strafverfolgungsbeh rden und milit rische Einrichtungen insbes in den USA und Deutschland Ministerien wie das Australische Verteidigungs ministerium sowie Unternehmen aus den verschiedensten Branchen z B Siemens AG Siemens Business Services Siemens VDO AG Infineon Technologies Flash GmbH amp Co KG Toshiba Europe Hewlett Packard Microsoft Corp Ericsson Commerzbank AG DePfa Deutsche Pfandbriefbank National Semiconductor Analytik Jena AG Novell Inc Ontrack Data International Inc Deloitte amp Touche KPMG Forensic Ernst amp Young Lockheed Martin BAE Systems TDK Corporation Seoul Mobile Telecom und Visa International 1 2 Rechtliches Alle Rechte insbesondere das Recht der Vervielf ltigung und Verbreitung sowie der bersetzung vorbehalten Kein Teil dieses Benutzerhandbuchs darf in irgendeiner Form durch Fotokopie Mikrofilm oder ein anderes Verfahren ohne Genehmigung des Herstellers reproduziert oder unter Verwendung elektronischer Systeme gespeichert verarbeitet vervielf ltigt oder verbreitet werden Der Hersteller hat alle Sorgfalt walten lassen um vollst ndige und korrekte Informationen in diesem Werk zu publizieren Er bernimmt aber weder Garantie noch die juristische Verantwortung oder irgendeine Haftung f r die Nutzung dieser Informationen f r deren Wirtschaftlichkeit oder fehlerfreie Fun
283. ll N tzlich z B wenn Sie Kopien von Images an Ermittler oder andere mit dem Fall befa te Personen weitergeben die die Inhalte bestimmter Dateien nicht sehen d rfen Auch n tzlich wenn Sie Datentr ger auf denen Kipo gefunden wurde an den Besitzer zur ckgeben m ssen nachdem die betreffenden Dateien gel scht wurden Au erdem n tzlich wenn Sie Images f r Schulungszwecke pr parieren die Sie ver ffentlichen m chten und in denen Sie urheberrechtlich gesch tzte Dateien z B Betriebssystem Dateien oder Anwendungsprogramme nachtr glich berschreiben wollen Sowohl erfolgreich gel schte Dateien als auch Dateien die nicht erfolgreich gel scht wurden werden beim Arbeiten mit einem Fall nur mit forensischer Lizenz zu separaten Berichtstabellen hinzugef gt nach denen Sie filtern k nnen um das Ergebnis zu berpr fen Nach Duplikaten filtern Ability to filter for duplicates of a single selected file that are also currently listed in the directory browser only if a hash value is available for the selected file and the other files Actually filters for that hash value at that time and thus does not depend on previous mass identification of duplicate files using the above mentioned command Exclude Duplicates in directory browser based on hash In X Ways Investigator the actual hash values are not displayed and cannot be computed but they are imported from evidence file containers that come with hash values for files 5
284. ll angezeigten und einer auf einem Datentr ger bestehenden Datei wird ein gemeinsamer Offset gesucht an dem die beiden Dateien bestimmte Daten enthalten W hlen Sie zun chst den Hex Wert der in aktuellen Datei an der gesuchten Position stehen soll Geben Sie dann den Namen der zweiten Datei und den in ihr zu suchenden Hex Wert an WinHex sucht nun eine Stelle an der in jeder Datei der jeweilige Hex Wert steht Ganze Zahl suchen Geben Sie eine nat rliche Zahl in den Grenzen eines vorzeichenbehafteter 64 Bit Integer Wertes an Die Funktion sucht dann diejenigen Bytes in der Datei die als diese Zahl interpretiert werden k nnten Ist sie f ndig geworden gibt sie den Fundort und die entsprechenden Hex Werte an und nennt das Format in dem die Hexadezimal Werte der eingegebenen Zahl entsprechen s a Suchoptionen Gleitkommazahl suchen Geben Sie eine Dezimalzahl z B 12 34 0 1234 x 10 0 1234e2 und den Flie komma Datentyp an Die Funktion sucht dann diejenigen Bytes in der Datei die als diese Zahl interpretiert werden k nnten Ist sie f ndig geworden gibt sie den Fundort und die entsprechenden Hex Werte an Textpassagen suchen Sucht in der Datei einen Bereich mit aufeinanderfolgenden Buchstaben a z A Z wenn Programm auf Deutsch gestartet auch 6 in der Lateinisch 1 Codepage 59 Ziffern 0 9 und oder Satz und Leerzeichen Diese Funktion erf llt zum Beispiel dann ihren Zweck wenn Sie in einer Programmdatei den sp
285. ll contents activate cell targeted coloring for that column and specify an empty condition string i e no condition at all If a cell meets multiple cell targeted conditions or multiple line targeted conditions only the first condition of each group will be applied If different conditions apply to the same cell one cell targeted and one line target color that cell will be shown in a mix of both col ors For line targeted coloring only the first 255 characters in the respective cell are guaran teed to be searched Conditions cannot be defined for search hit specific columns but for event specific columns That can prove useful when trying to identify patterns in events For example you could color all events of type Program started in red and log in events in yellow and see more easily how far apart from each other they are Conditional cell background coloring is case specific if Store directory browser settings in cases is selected The color settings are also stored in a file named Conditional Coloring cfg and they are stored in and loaded from settings files along with other directory browser settings Up to 255 conditions may be defined Spalten Es sind diverse Spalten im Verzeichnisbrowser verf gbar Sie sind alle optional Sie werden angezeigt wenn sie eine Spaltenbreite von mehr als 0 Pixeln haben oder versteckt wenn ihre Breite 0 Pixel betr gt Eine Spalte kann auch alleine mit der Maus sichtbar gemacht oder versteckt w
286. llgemeinen Optionen nicht sichtbar ist oder grau angezeigt wird 108 5 19 Datei Container Nur mit forensischer Lizenz verf gbar Das Specialist Men erlaubt es einen neuen Datei Container anzulegen einen existierenden zum weiteren Bef llen zu ffnen und den aktiven Datei Container wieder zu schlie en Bef llt werden kann ein Container mit ausgew hlten Dateien ber das Kontextmen des Verzeichnis Browsers Wenn Sie ausgesuchte Dateien auch von verschiedenen Asservaten mit besonderer Relevanz f r einen Fall gesammelt und bequem an andere Beteiligte des Verfahrens weitergeben m chten z B spezialisierte Ermittler die irrelevante Dateien nicht zu sehen brauchen oder sogar nicht sehen d rfen empfehlen sich Datei Container Darin bleiben die allermeisten Metadaten aus dem Dateisystem Name Pfad Gr e Attribute Filemode Zeitstempel L schzustand Klassifikation als alternativer Datenstrom oder virtuelle Datei oder E Mail oder Datei Anhang und insbes nat rlich der Inhalt der kopierten Dateien erhalten Auch wenn ein konventionelles physisches sektorweise erstelltes Image bertrieben und zu zeitaufwendig w re weil Sie nur einige ausgew hlte Dateien zu sichern brauchen und keine kompletten Datentr ger bieten sich Datei Container an Datei Container enthalten ein spezielles Dateisystem XWFS das die meisten Metadaten aus konventionellen Dateisystemen der Windows Linux und Apple Welt aufnehmen kann Date
287. m glich Dateien direkt auf einem Datentr ger in einem Roh Image zu editieren in jedem von WinHex unterst tzten Dateisystem auch wenn Windows nicht bekannt auch wenn Windows die Dateien nicht sehen kann z B weil gel scht ohne die Zeitstempel oder Attribute zu ndern im In Place Modus F r diese Editierf higkeit mu die Datei aus dem bereits ge ffneten Dateisystem heraus ge ffnet werden das es enth lt ber den ffnen befehl im Kontextmen des Verzeichnis Browsers oder im Datei Modus nur mit forensischer Lizenz Komprimierte Dateien und generell Dateien innerhalb anderer Dateien z B E Mails und Datei Anh nge in E Mail Archiven k nnen nicht editiert werden au er innerhalb eines Datei Containers wenn sie selbst dediziert vom Original Datentr ger oder Image dort hineinkopiert wurden Zuvor war es nur m glich Dateien zu editieren wenn sie ber Datei ffnen ge ffnet wurden unter Verwendung von Datei Schreibbefehlen des Betriebssystems oder indirekt durch das Editieren von Datentr ger Sektoren Im Datei Modus nur mit forensischer Lizenz und beim ffnen von Dateien aus bereits ge ffneten Dateisystemen heraus war der einzig verf gbare Modus der Schreibschutz Modus All das hat sich nun ge ndert Beachten Sie da Dateien auf die neue Weise nicht gek rzt oder verl ngert werden k nnen und da nur allozierte Bereiche einer Datei ge ndert werden k nnen Das Editieren von Dateien die wie oben beschrieben dire
288. m Administrator oder Internet Provider Spalte Entscheiden Sie ob das Bet tigen der ENTER Taste Hex Werte in die zu editierende Datei schreiben soll In der Voreinstellung sind dies OxODOA Zeilenende Zeichen Sie k nnen bis zu vier zweistellige Hex Werte angeben Das Start Center k nnte dann immer noch mit UMSCHALT ENTER ge ffnet werden Auf Wunsch k nnen Sie mit der Tabulator Taste auf Ihrer Tastatur das Tabulator Zeichen erzeugen 0x09 Um dann vom Hexadezimal Modus in den Text Modus und umgekehrt zu wechseln m ssen Sie die Tabulator Taste zusammen mit der Umschalt Taste dr cken Nicht druckbare Zeichen mit einem Zeichensatzwert von kleiner als 0x20 k nnen in Form eines benutzerdefinierten anderen Zeichens repr sentiert werden Die Bytes k nnen einzeln als Zeichen in der Text Spalte repr sentiert werden oder WinHex kann versuchen sie zu verbinden was falls die in Windows aktive Codepage ein Doppel Byte Zeichensatz DBCS ist w nschenswert sein kann um die richtigen Zeichen zu sehen wenn 2 Bytes 1 Zeichen aber auch st rend wegen der variablen Zeilenl nge Hat nur dann einen Effekt wenn Ansicht Zeichensatz ASCH gew hlt ist also die in Windows aktive Codepage sich auf WinHex auswirkt Bestimmen Sie ob die Offsets Byte Adressen in dezimaler oder hexadezimaler Schreibweise angegeben und zur Eingabe verlangt werden Diese Einstellung gilt f r den gesamten Umfang des Programms Auf Wunsch k nnen bei
289. m Benutzen des Arbeitsspeichereditors anstelle von Null basierten linearen l ckenlos fortlaufend gez hlten Offsets logische Adressen im Speicher von Prozessen angezeigt werden Dies geschieht grunds tzlich in hexadezimaler Schreibweise Im Dialogfenster der Funktion Offset aufsuchen sind dann auch logische Adressen einzugeben 153 Es k nnen Seiten und Sektortrennlinien angezeigt oder ausgeblendet werden Wenn diese Option nur halb gew hlt ist werden nur Sektortrennlinien angezeigt Geben Sie an wie viele Bytes in einem Editierfenster pro Zeile dargestellt werden sollen Standardeinstellungen sind 16 oder 32 Bytes je nach Bildschirmaufl sung Geben Sie an wie viele Bytes als Gruppe zusammenh ngend angezeigt werden sollen I d R empfiehlt sich eine Zweier Potenz There is an option to define the size ofthe extra gap between rows in the hex editor display in pixels which together with the official height of the selected font defined the distance between the rows The default value has always been 3 before v17 2 but now it can be decreased to display more rows at the same time and see more data For example with the Courier font the display still looks fine with an extra gap of 1 but you see 15 more data based on font size 10 Even negative values are possible With 1 you may see 35 more data than before Im Modus Datei Suchtreffer hervorheben Option alle Suchtreffer in einer Datei zur gleichen Zeit im Datei Modus far
290. matted PLists and binary PLists BPLists Many PLists do not have a plist extension and need to be identified as PLists first Since the type of the embedded data is not identified by the PList as such the out put also benefits from a simultaneous file type verification Nested PLists PLists embedded in PLists will also be identified and processed recursively Another child object created for PLists represents parsed text in a human readable way and serves as a preview of the PList itself Also reconstructs e mail messages and extracts contact and account information from the Live comm edb database which is used by the Windows Mail client Windows 7 and newer and con 124 tacts from Windows Live Mail contacts edb database also contacts from Windows Live Messen ger s contacts edb database You can also uncover various potentially relevant resources in 32 bit and 64 bit Windows PE executables programms and libraries as child objects in particular RCDATA named objects bitmaps icons and manifests Useful for example for malware analysis This does not happen automatically only if you specifically target executable files via a suitable series of file masks Fully Base64 encoded files in the volume snapshot provided that they have b64 in the Type column can be automatically decoded and the result is output in binary as surprise a child ob ject Nicht zuletzt kann diese Funktion auch noch die meisten hiberfil sys Dateien deko
291. men aufheben Es gibt einen weiteren Schalter der es Ihnen erm glicht ausgeblendete Objekte aus dem Datei berblick g nzlich zu entfernen wenn Sie irrelevant sind und nicht mehr ben tigt werden insbes bedeutungslose Fehlfunde der Datei Header Signatursuche Dies macht den Datei berblick kleiner d h effizienter in der Handhabung und spart Arbeitsspeicher N tzlich auch wenn Sie m chten da X Ways Forensics bestimmte Dateien ber die Datei Header Signatursuche noch einmal findet sie dann aber z B mit einer anderen Standardgr e auflistet weil die urspr nglich angegeben Standardgr e sich als inad quat herausgestellt hat Das 23 Entfernen l uft schneller ab wenn man vorher alle Suchtreffer l scht Das Entfernen bringt es mit sich da die internen IDs durcheinandergew rfelt werden d h nach dem Entfernen k nnen Sie aus der internen ID nicht mehr auf die Reihenfolge schlie en in der die Objekte dem Datei berblick hinzugef gt wurden Ausgeblendete Dateien die nicht ausgeblendete Unterobjekte haben werden nicht entfernt Es wird sehr empfohlen mit einer Kopie Ihres Falls zu arbeiten wenn Sie diese Funktion nutzen die sie z B mit dem Befehl Speichern unter erzeugen Immer wenn ein oder mehrere Filter aktiv sind die auch tats chlich Dateien im aktuellen Inhalt des Verzeichnis Browsers herausfiltern werden zwei blaue Filtersymbole in der berschriftszeile des Verzeichnis Browsers angezeigt Die
292. mpel hervorgehoben die mit dem Ereigniszeitstempel identisch sind Eine spezielle Einstellung f r den Zeitstempel Spalten Filter erlaubt es sich auf solche Dateien zu konzentrieren deren Erzeugungsdatum sp ter ist als ihr nderungsdatum d h solche Dateien die offenbar kopiert wurden und dadurch mit einem neuen Erzeugungsdatum versehen wurden ber die Notationsoptionen k nnen solche Dateien mit dem Wort kopiert in der Erzeugungsspalte gekennzeichnet werden Das Vorhandensein dieses Wortes kann dann auch f r die bedingte Zelleinf rbung herangezogen werden so da Sie schnell sehen k nnen welche Dateien vermutlich Originaldateien auf dem betreffenden Datentr ger sind und welche kopiert wurden Das Wort kopiert ist allerdings sprachabh ngig Daher bietet es sich evtl an die Bedingung statt dessen auf das Vorhandensein einer runden Klammer in der Spalte f r Erzeungszeitstempel pr fen zu lassen 1 Sektor Die Nummer des Sektors der den Anfang der Daten der Datei oder des Verzeichnisses enth lt Das Sortieren nach 1 Sektor sortiert nach physischer Anordnung auf dem Datentr ger und erlaubt es physisch zusammenh ngend gespeicherte Dateien nebeneinander zu sehen Es ist ein Filter verf gbar der es erlaubt Dateien zu identifizieren deren Inhalte in bestimmten Sektorbereichen beginnen z B weil diese definitiv von etwaigen bekannten defekten Sektoren betroffen sind oder jenseits des Endes von bekannterma en unvollst ndige
293. mprimieren und das Ergebnis automatisch dem Fall als Roh Speicher Dump hinzuf gen Alle sonstigen von diese Funktion produzierten Dateien werden dem Datei Uberblick in Form von Unterobjekten der jeweiligen Tragerdatei hinzugefiigt in der sie gefunden wurden Dateien die kleiner sind als 65 Bytes werden aus Zeitersparnisgr nden nicht angefa t Two separate file masks are maintained for uncovering embedded data in various file types The second mask is optional and labelled as special interest For example malware investigators may choose to also process executable files that way when needed You may prepend any ele ment of a mask with a colon to temporarily exclude it but keep it in the list for future reference E g jpg means not files with jpg as the extension or type Datei Header Signatur Suche in nicht obig behandelten Dateien A separate sub operation optional allows you to freely carve any kind of file within any file that is not processed by the first sub operation This is not limited to file types that are marked with the e flag Use great caution to avoid delays and copious amounts of garbage files false posi tives and duplicates Please apply this new function very carefully and only with a good reason to specifically targeted files only such as swap files or storage files in which backup application concatenate other files without compression not blindly to all files or random files Remember with great power comes great
294. n Images gespeichert sind Bedenken Sie da Sie hier auf Wunsch physische plattenbasierte Sektornummern sehen k nnen statt logische partitionsbasierte Sektornummern s Verzeichnis Browser Optionen Der Filter erlaubt es auch sich auf gecarvete Dateien zu konzentrieren die entweder an Sektorgrenzen gefunden wurden oder nicht z B nach einer Datei Header Signatur Suche auf Byte Ebene um M lldateien zu entfernen die unter nicht an Sektorgrenzen gecarveten Dateien h ufiger anzutreffen sind ID Zahlenschl ssel der einer Datei oder einem Verzeichnis vom Dateisystem oder von WinHex zugeordnet wurde Nicht notwendigerweise nur einmalig vergeben Der Filter hilft dabei weitere harte Verweise einer gegebenen Datei zu finden Int ID Der eindeutige interne Schl ssel einer Datei oder eines Verzeichnisses im Datei berblick Objekte die dem Datei berblick zuletzt hinzugef gt wurden haben die h chsten Schl sselwerte Filter verf gbar N tzlich z B und sehr einfach zu benutzen wenn Sie sich auf die x zuletzt dem Datei berblick hinzugef gten Dateien konzentrieren m chten nachdem Sie ihn erweitert haben oder wenn Sie 29 Int Elter Eindeutige ID Besitzer Autor Absender Empf nger eine logische Suche bei interner ID y fortsetzen m chten und Dateien heraus filtern die evtl schon zuvor durchsucht wurden For evidence objects that contain a huge number of files the modulo option al lows you to focus on
295. n extrem hohe Kompressionsraten erzielen Die rollierende Kompressionsdate wird w hrend der Sicherung durch vertikale Balken in einem separaten Fenster abgebildet Je h her der Balken desto niedriger ist die Datendichte in dem Bereich Die Kompressionsstatistik wird auch in e01 Evidence Dateien gespeichert so da dieselbe Grafik auch zu einem beliebigen sp teren Zeitpunkt noch aufgerufen werden kann und zwar im Asservateigenschaftsfenster durch Klick auf den Schalter Kompression Mit forensischer Lizenz Ability to specify how many extra threads to use for compression when creating e01 evidence files By default X Ways Forensics will use no more than 4 or 8 and it depends on how many processor cores your system has but you could try to increase the number on very powerful systems with even more cores usually without problems for a chance to further increase the speed or you can reduce it you run into stability problems Mit forensischer Lizenz You have the option to change the nature of an image disk or volume and its sector size when creating the image This is possible not only for e01 evidence files where both is explicitly defined in the internal metadata compatible with other tools but also for raw images via external metadata compatible only with X Ways Forensics Image v18 4 and later lost if the image leaves the realm of NTFS file systems Useful whenever the source of the data is not an ideal interpretation For exam
296. n s u R ckg ngig Optionen s u Daten Dolmetscher Optionen s Daten Dolmetscher Editier Modus Erlaubt es den Editier Modus programmweit zu bestimmen Das Kontextmen der Informationsspalte erlaubt es den Editier Mmodus gezielt nur f r das aktive Editierfenster zu ndern 4 12 Fenster Men Fenster Manager Listet alle Edtierfenster auf und gibt Ihnen die M glichkeit schell zwischen verschiedenen Fenstern zu wechseln Sie k nnen im Fenster Manager auch einzelne Fenster schlie en und ge nderte Dateien speichern Anordnung als Projekt speichern Schreibt die gegenw rtige Fensterkonstellation in eine Projektdatei Vom Start Center aus k nnen Sie das Projekt dann zu einem sp teren Zeitpunkt wieder laden und die Editierpositionen in allen Dokumenten wiederherstellen lassen um Ihre Arbeit dort fortsetzen zu k nnen wie Sie sie verlassen haben oder um die Arbeit im Fall einer wiederkehrenden Aufgabe bequem aufnehmen zu k nnen Alle schlie en Schlie t alle ge ffneten Fenster und damit alle momentan in WinHex dargestellten Dateien und Datentr ger Ohne Abfragen schlie en Funktioniert wie Alle schlie en ohne Ihnen jedoch die M glich keit zu geben eventuelle nderungen zu speichern bereinander Horizontal Vertikal Ordnet die Editierfenster wie gew nscht an Minimieren Verkleinert alle Editierfenster Symbole anordnen Richtet verkleinert dargestellte Fenster ordentlich am unteren Rand des Rahmenfe
297. n E Mails eingebettet sein Dann wird die E Mail zwar mit einer B roklammer gekennzeichnet aber das Bild wird nicht separat als Datei extrahiert Solche Bilder wenn JPG oder PNG kann man aber finden indem man X Ways Forensics JPGs und PNGs auch aus pfc extrahieren l t Some advantages of the eml format for output E mail messages output as eml files are repre sented as simple and as authentic and universal as it gets They are easy to understand clearly structured into header and body and extremely easy to completely view in a variety of simple programs e g text editor word processing Internet browser free e mail clients like Thunderbird and Windows Mail No commercial software like MS Outlook needed is needed to view eml files eml is the natural format of e mail just like a raw image is the natural format of a disk image if you even want to call it a format actually it has no additional format specifications it s just a plain representation of the data that it should represent An eml file contains the com plete original metadata of the e mail message fully intact exactly as it was sent and delivered You have complete control over the file if you copy it out for someone else can see all data can verify that no unintended data made it into the file You can easily redact any text in the body manually with a simple text editor redact any metadata in the header easily retroactively remove any attachment using a simple
298. n Suchtreffer aufweisen kreuzen Sie Nur 1 Treffer pro Objekt auflisten an Dies kann sich als sehr n tzlich erweisen wenn Sie all solche Dateien einzeln durchsehen m chten weil es gew hrleistet da 97 jede solche Datei dann nur noch genau einmal aufgelistet wird Sie k nnen allerdings nicht davon ausgehen da der eine brigbleibende Treffer pro Datei gerade ein f r Sie besonders n tzlicher oder aussagekr ftiger ist oder da bei mehreren ausgew hlten Suchbegriffen gerade ein Treffer f r einen Ihnen besonders wichtigen Suchbegriff brigbleibt Die Reduktion ist nicht destruktiv sobald Sie das Kreuz bei dieser Option entfernen und den Enter Schalter wieder anklicken erscheint wieder die komplette Suchtrefferliste The option to list 1 search hit per item only does not filter out search hits in slack space This is useful because the slack of a file is typically not related to the contents of that file so any search hits in the slack would likely have a totally different context than search hits in the logical por tion of the file and thus need to be reviewed additionally Please note that it is still necessary to unselect the 1 hit per item option to separately check out search hits in conglomerates such as pagefile sys and the virtual Free space file which contain data from totally different sources The 1 hit per item option is most useful for documents for which you can often tell after one quick look in Preview mo
299. n Text und Treffer in UTF 8 Die Gruppieroptionen des Verzeichnis Browsers haben keine Wirkung wenn nach einer dieser Spalten sortiert wird Die Spalte mit der Beschreibung eines Suchtreffers bietet auch einen Filter an der es Ihnen erlaubt sich auf als wichtig markierte Treffer zu konzentrieren eigene Suchtreffer Treffer in einer bestimmten Codepage Treffer im Text Extrakt eines Dokuments sowie Treffer im Schlupfspeicher oder im nicht initialisierten Endteil von Dateien Suchtreffer in allen Varianten von UTF 16 die nicht an geraden Offsets ausgerichtet sind werden in der Anmerkungsspalte als unaligned beschrieben Dies ist ein kleiner erl uternder Hinweis dazu warum Sie den Text zwar in der ausrichtungsunabh ngigen Kontextvorschau der Suchtreffer Spalte lesen k nnen aber nicht in der starren Textspalte Fast alle Befehle im Verzeichnis Browser Kontextmen sind auch f r Suchtrefferlisten verf g bar insbes M glichkeiten zum Kopieren Einsehen Markieren und Kommentieren von Dateien Der dynamische Filter der auf den regul ren Verzeichnis Browser Spalten basiert kann in Verbindung mit Suchtrefferlisten zum Einsatz kommen z B um Treffer in allen doc und xls Dateien mit einem bestimmten nderungsdatum einzusehen 96 Die Suchtrefferliste basiert auf der Position und der Ebene im Verzeichnisbaum die Sie anklicken so da Sie z B alle Suchtreffer in Dateien im Verzeichnis Dokumente und Einstellungen sowie all dessen
300. n Unterverzeichnis des Asservats gespeichert Wenn Sie bestimmte Suchtreffer nicht mehr ben tigen w hlen Sie sie aus und dr cken Sie die Entf Taste Wenn Sie keinen der Suchtreffer f r bestimmte Suchbegriffe mehr ben tigen w hlen Sie die Suchbegriffe in der Suchbegriffsliste aus und dr cken Sie die Entf Taste 5 12 Suchbegriffsliste Die Suchbegriffsliste befindet sich unten im Falldatenfenster wenn man sich im Modus zum Einsehen von Suchtreffern befindet den Schalter mit dem Fernglas und den vier horizontalen Linien angeklickt hat Die Suchbegriffsliste enth lt alle Suchbegriffe die jemals in dem Fall verwandt wurden sofern nicht vom Benutzer gel scht The search terms can optionally be sorted alphabetically in ascending order or by the listed search hit count in descending order via the context menu of the search term list to make it easier to locate a certain search term in lengthy lists Wenn Sie Suchbegriffe in der Suchbegriffsliste ausw hlen und den Enter Schalter anklicken erhalten Sie eine Auflistung aller Treffer zu diesen Begriffen im aktuell gew hlten Pfad ggf beeinflu t durch Filter in einer Suchtrefferliste Sie k nnen mehrere Suchbegriffe ausw hlen indem Sie die Umschalt oder Strg Taste gedr ckt halten wenn Sie sie anklicken Benutzen Sie die Entf Taste um gew hlte Suchbegriffe und all deren Suchtreffer permanent zu l schen Um eine Suchtrefferliste zu reduzieren auf eine Liste von Dateien die mind eine
301. n anhand der internen ID des Elters einer Datei ansehen kann in welchem Verzeichnis sie liegt auch wenn es sich allein aus dem Namen nicht eindeutig ergibt An internal identifier of a file or directory that is unique within the entire case not just within the volume snapshot of one evidence object and unique for the whole life time of the case When creating a new case you have a choice between easily readable unique IDs that contain a delimiter separating evidence object ID and int ID or a completely numeric ID which may be better usable for some external programs when exporting a list of files nur forensische Lizenz Die ID des Besitzers der Datei bzw des Verzeichnisses auf Dateisystemen die diese Information aufzeichnen Bei NTFS ist dies die SID oder wenn X Ways Forensics diese mit Hilfe der bereits im aktuellen Fall gesichteten SAM Registry Dateien einem Benutzernamen zuordnen kann der Benutzername nur forensische Lizenz Filter verf gbar Shows the names of the authors of documents of various types MS Office OpenOffice LibreOffice RTF PDF after metadata extraction Filter verf gbar nur forensische Lizenz Diese Spalten werden f r von X Ways Forensics aus E Mail Archiven extrahierte E Mails und Datei Anh nge gef llt sowie f r urspr ngliche eml Dateien wenn Metadaten aus ihne extrahiert wurden Sie bieten Filter an in denen Sie einen beliebigen Teil einer E Mail Adresse oder eines Namens eingeben k
302. n basierend auf der Betreffzeile benutzt eml Dateien die aus E Mail Archiven extrahiert wurden Wenn beide Codepages identisch sind hat das keine negativen Auswirkungen Wenn sie identisch mit der derzeit in Windows aktiven Codepage sind haben sie berhaupt keine Auswirkungen Diese Codepages werden auch benutzt um Dateinamen in Zip Archiven nach Unicode zu konvertieren In sp teren Version kann es noch weitere Verwendungsm glichkeiten f r die Codepages geben Falldateien k nnen mit einem Pa wort gesch tzt werden Dies ist keine Verschl sselung sondern nur eine Art Sperre Falldateien die mit X Ways Investigator gesperrt wurden k nnen notfalls mit dem Super User Pa wort ge ffnet werden wenn ein solches zum Zeitpunkt des Speicherns bereits in der verwendeten Installation hinterlegt war undokumentiert auf Anfrage When creating a new case you have the option to make X Ways Forensics recognize evidence objects that are physical media not images by their own intrinsic properties not by the Windows disk number Using this option will prevent earlier versions of X Ways Forensics from opening the case The advantage is that you may add multiple hard disks or external USB disks or sticks to the case that are attached to the computer at different times and get the same disk number assigned by Windows Another advantage is that if the number of the same disk as assigned by Windows changes X Ways Forensics will still recognize the disk
303. n ben tigt Das kann bei riesigen Anzahlen von Suchtreffern einen merklichen Unterschied machen Bei Verzeichnissen und Objekten mit Unterobjekten wird bei Sortierung nach Pfad optional auch der Name des Verzeichnisses bzw der Datei selbst mit einbezogen Vollpfadsortierung Dadurch werden die Unterobjekte hinter ihren jeweiligen Eltern einsortiert z B Datei Anh nge hinter den enthaltenden E Mails Optional kann das Sortieren direkt nach dem Programmstart ganz ausgeschaltet werden so da das Programm die beim letztem Gebrauch des Programms verwendeten Sortierkriterien vergi t was einen Geschwindigkeitsvorteil haben kann Ebenso wird dann beim Ausschalter aller Filter mit einem einzigen Mausklick nicht mehr sortiert was sonst mit einer l ngeren Verz gerung verbunden sein k nnte wenn pl tzlich wieder alle Dateien rekursiv aufgelistet werden Verzeichnis Browser Einstellungen insbes Spaltenbreiten Filtereinstellungen und Sortierungseinstellungen k nnen optional in F llen gespeichert und beim Laden wieder aktiviert werden sofern von einer kompatiblen Version gespeichert Dynamische E Mail amp Datumsspalten berl t X Ways Forensics die Entscheidung dar ber ob die Spalten Absender und Empf nger im Verzeichnis Browser angezeigt werden sollen oder nicht Wenn aktiv werden sie genau dann angezeigt wenn zumindest eine extrahierte E Mail im sichtbaren Ausschnitt des Verzeichnis Browsers enthalten ist Dies ist
304. n des Zwischenspeichers Ersetzen Vorg nge werden direkt in die Originaldatei bzw auf den Datentr ger in place geschrieben Dies geschieht dynamisch sp testens aber dann wenn das Editierfenster geschlossen wird ohne weitere R ckfragen Es ist daher nicht erforderlich den Men punkt Speichern im Dateimen aufzurufen es sei denn Sie m chten sicherstellen da alle nderungen zu einem bestimmten Zeitpunkt geschrieben werden wenn das Editierfenster noch ge ffnet ist Dieser Modus empfiehlt sich wenn das im Standard Editiermodus obligate bertragen von Daten aus der Originaldatei in die Tempor rdatei und umgekehrt zu zeitaufwendig w re und zuviel Festplattenspeicherplatz verbr uchte Dies kann z B dann der Fall sein wenn in gro en Dateien viele nderungen vorgenommen werden sollen Da im In Place Modus keine Daten in tempor ren Dateien gespeichert werden ist dieser Editiermodus generell schneller als der Standard Editiermodus Der In Place Modus ist der einzige Modus in dem der Arbeitsspeicher Editor benutzt werden kann Hinweis Auch im In Place Modus mu eine tempor re Datei angelegt werden wenn die Gr e der Originaldatei ver ndert wird Wenn Sie Dateien ber das Betriebssystem ffnen z B ber Datei ffnen von irgendeinem Laufwerksbuchstaben der gerade in Windows zugeordnet ist werden Datei Schreibbefehle des Betriebssystems verwendet um eine Datei zu ndern Es ist aber in WinHex auch
305. n in Hochkammata gesetzt werden wenn sie Leerzeichen enthalt Sie darf nicht nur aus Ziffern bestehen WinHex unterscheidet nicht zwischen Gro und Kleinschreibung Maximal werden zur Identifikation einer Variablen 41 Zeichen verwendet type kann jeweils maximal ein Modifikator der folgenden Modifikatorengruppen vorangestellt 191 werden big endian little endian hexadecimal decimal octal read only read write local Diese Modifikatoren wirken sich nur auf die unmittelbar folgende Variable aus Sie sind redundant wenn sie bereits im Definition Kopf angegeben werden local bersetzt Zeitstempel au er DOSDateTime von UTC in die in den Allgemeinen Optionen angegebene Zeitzone Die Nummern am Ende der Typnamen bezeichnet die Gr e einer Variablen dieses Typs Strings eines Zeichens in Bits Mit den Typen char16 und string16 unterst tzt WinHex Unicode Zeichen und Strings H here Unicode Zeichen als die ersten 256 ANSI quivalenten werden allerdings nicht unterst tzt Es k nnen au erdem maximal Strings einer Gr e von 8192 Bytes editiert werden Die Typen string string16 und hex erfordern einen zus tzlichen Parameter der die Anzahl der Elemente angibt Dieser Parameter kann eine Konstante oder eine zuvor deklarierte Variable sein Wenn es sich um eine Konstante handelt kann sie entweder dezimal oder hexadezimal geschrieben werden im zweiten Fall mu ihr 0x vorangestellt werden Sie k nnen Arrays Felder deklarieren
306. n though the username is the same The aforementioned Options checkbox allows you at any time to open the case as your alter ego not only when opening the same case in a second instance of the program It also allows you to open a case in shared analysis mode if it is not open anywhere else at the moment Multiple users running searches creating report table associations entering or editing comments editing extracted metadata tagging files excluding files marking files as already viewed is all supported for the same evidence object at the same time Removing items from a volume snap shot while the evidence object is open somewhere else however is forbidden and will be refused by the program The goal of the multi user coordination in v17 5 and later is to support concur rent analysis review work by multiple examiners Removing files from a volume snapshot is not considered ordinary review analysis work Volume snapshot refinements should be done system atically in advance The initials of the examiner who has attached files to the volume snapshot or manually carved files in v17 5 and later can be seen in square brackets next to the filename so that it is easy to tell who has introduced such files to the case Technical changes to the way how multiple simultaneously users are coordinated are reserved To be on the safe side please make sure that simultaneous users are running the same version of the software 77 Last not lea
307. n und die Ausgabedateinamen optional incl Zielpfad k nnen festgehalten werden Die Datei kann entweder im Unterverzeichnis log des Falls erzeugt werden oder im ausgew hlten Zielverzeichnis des Wiederherstellen Kopieren Vorgangs S a Fall eigenschaften 45 Schlupfspeicher kann optional ebenfalls mit ausgegeben werden entweder als Teil der Datei oder separat oder es kann sogar nur der Schlupf kopiert werden Sie k nnen entscheiden ob Unterobjekte gew hlter Dateien mitkopiert werden sollen Entweder Unterobjekte jeglicher Art wenn ganz gew hlt oder nur Datei Anh nge von E Mails wenn die Option halb gew hlt ist Sie k nnen entscheiden ob herausgefilterte Dateien kopiert werden sollen Wenn Sie X Ways Forensics den Originalpfad f r kopierte Dateien reproduzieren lassen mu auch die Position von solchen Dateien in der Hierarchie korrekt wiedergespiegelt werden die Unterobjekte anderer Dateien sind Und dies mu mit Hilfe eines Verzeichnisses geschehen da normale Dateisysteme das Konzept da Dateien weitere Dateien enthalten k nnen wie es in einem Datei berblick in X Ways Forensics gang und g be ist nicht unterst tzen Allerdings gibt es dann u U einen Namenskonflikt wenn ein k nstliches Verzeichnis erzeugt w rde mit dem gleichen Namen wie die Elterndatei weil diese Elterndatei auch zum Kopieren ausgew hlt sein kann und nat rlich im selben Verzeichnis erstellt w rde wie das vorgenannte k nstliche Verzeichnis das
308. n von Festplatten unterdr ckt die Erkennung und spezielle Behandlung von dynamischen Platten und stellt sicher da Festplatten so interpretiert werden als w ren sie auf konventionelle Weise partitioniert worden Einige der vorgenannten Partitionierungstypen werden nur nur Specialist und forensische Lizenzen unterst tzt Bitte beachten Sie die folgenden Einschr nkungen bzw Voraussetzungen e Um auf Datentr ger sektorweise zugreifen zu k nnen sind Administrator Rechte erforderlich Unter Windows Vista 7 8 mu man das Programm dazu explizit als Administrator ausf hren Einfach nur als Administrator angemeldet zu sein ist nicht ausreichend e Auf Netzlaufwerke kann nicht sektorweise zugegriffen werden e In X Ways Forensics lassen sich Datentr gersektoren oder Sektoren in interpretierten Image Dateien prinzipiell nicht editieren nur in WinHex e WinHex kann auf CD R OM s und DVDs nicht schreiben e Unter Windows Vista 7 8 kann WinHex Sektoren nicht schreiben die in der Partition mit der aktiven Windows Installation liegen oder in der Partition von der aus WinHex ausgef hrt wird Im Anhang C dieses Handbuchs finden Sie die Spezifikationen des Master Boot Record einer Festplatte der mit dem Disk Editor editiert werden kann Auf Disk schreiben Entspricht dem Befehl Speichern f r Dateien und befindet sich beim Benutzen des Disk Editors an dessen Stelle im Men Schreibt die von Ihnen vorgenommenen nderungen auf den Datentr
309. n werden Zum Beispiel sind 032 und x20 quivalent zum Leerzeichen im ASCII Zeichensatz Diese Art der Notation wird auch innerhalb von eckigen Klammern unterst tzt Z B deckt 000 x1f alle nichtdruckbaren ASCII Zeichen ab Multiplikatoren und bestimmen da das die vorangehende Zeichen mehr als einmal vorkommen k nnen oder m ssen s u Komplexes Beispiel a bjcdje f h i j pa t auf aj abj ach aefij aegij achij abcdj und abefij 165 Innerhalb von eckigen Klammern werden die Zeichen nicht als besondere GREP Zeichen sondern w rtlich behandelt Kurz bersicht der unterst tzten Syntax alles andere wird w rtlich interpretiert Ein Punkt steht f r ein einzelnes beliebiges Zeichen Eine Raute steht fiir ein einzelnes numerisches Zeichen 0 9 nnn Ein Byte Wert angegeben durch drei dezimale Ziffern 000 255 xnn Byte Wert angegeben durch zwei hexadezimale Ziffern x00 xFF z B x0D x0A Zeilenende unnnn Ein Unicode Wert angegeben durch vier hexadezimale Ziffern Entspricht je nach Codepage unterschiedlichen und unterschiedliche vielen Byte Werten 2 Deckt 1 oder 0 Vorkommnisse des r vorangehenden Zeichen s ab sg Deckt eine beliebige Anzahl von Vorkommnissen des vorangehenden Zeichens ab auch 0 Deckt eine beliebige Anzahl von Vorkommnissen des vorangehenden Zeichens au er 0 ab XYZ Zeichen in eckigen Klammern decken ein beliebiges der darin angegebenen Zeichen ab
310. nal document that the hash set is based on makes sense only if you generate 1 hash set per document i e do not combine multiple documents in 1 hash set The matching percentage does not count characters one by one and it works only on documents that actually make sense not on small test files that only contain a few words Before matching files against the FuzZyDoc hash database a new operation of Specialist Refine Volume Snapshot you can specify which types of files you would like to analyze and you can unselect hash sets in the database that you are temporarily not interested in Note that processing less files e g by specifying less file types in the mask of course will require less time propor tionally but selecting less hash sets for matching as such does not save time You may specify a certain minimum percentage that you require for matches 15 by default to ignore insignificant minor similarities That option is not meant to save time either In order to re match all documents in the volume snapshot against the FuzZyDoc hash database please remove the checkmark in the Already done box first Otherwise the same files will not be matched again for performance reasons Re matching the same files may become necessary not only if you add additional hash sets to your FuzZyDoc database but also if you delete hash sets as that invalidates some internal links if that happens it will be shown in the cells of the result column
311. nally avoid that previous versions of files in volume shadow copies are added to the volume snapshot if they are exact duplicates identical file contents so that it is much easier to focus on files for which actually previous data is still available Time for that may be well in vested because even if modification dates are different the file contents are often the same for files installed by the operation system If fully selected X Ways Forensics will compare files up to 128 MB if half selected only up to 16 MB as to not waste too much time on this feature 115 NTFS Nach FILE Records kann optional berall gesucht werden in Sektoren die nicht der MFT in ihrer aktuellen Gr e und Lage angeh ren und auch nicht zu einer von der o g Operation behandelten Schattenkopie geh ren Solche FILE Records k nnen z B im freien Speicher gefunden werden wenn eine Partition neu erstellen neu formatiert verschoben vergr ert verkleinert oder defragmentiert wurde Kann auf gro en Partitionen sehr lange dauern daher optional s Optionen des Datei berblicks NTFS Mit einer forensischen Lizenz kann die aktuelle LogFile Datei sowie fr here Versionen von LogFile die in verarbeiteten Schattenkopien gefunden wurden ausgewertet werden Die Inhalte gel schter Dateien k nnen dank den Informationen in LogFile oft rekonstruiert werden berbleibsel von Index Records k nnen sowohl in LogFile als auch im Schlupf von INDX Puffern gefunden
312. nd allen tieferen Verzweigungsebenen mit ihren Werten in dem Bericht mitaufgelistet Beispiel NT HKLM Software Microsoft Windows CurrentVersion ges Windows Unterzweig Wenn ein bestimmter Wert von Interesse ist der in allen Unterschl sseln eines bestimmten Schl ssels vorkommt dann k nnen die Unterschl ssel abermals durch ein ersetzt werden und der konkrete Wert dahinter angegeben werden Der erzeugte Bericht enth lt jeweils den Schl sselpfad mit der zugeh rigen Zeitangabe der letzten den Dateinamen des Hives aus dem dieser Schl ssel ist die Beschreibung aus Reg Report txt und den Wert Das Feld Beschreibung kann am Ende eine Anweisung enthalten die mit einem Zeichen eingeleitet wird Folgt dem Prozent Zeichen eine Zahl n wird im Bericht das n te Element des Schl sselpfades an die Beschreibung angeh ngt Das kann sehr n tzlich sein wenn der Pfad und nicht der Wert oder nicht nur der Wert die relevanten Informationen enth lt Folgt dem Prozent Zeichen ein Buchstabe wird der Wert bevorzugt als der Datentyp interpretiert f r den der Buchstabe steht Derzeit definiert sind f Windows FILETIME Zeitstempel e Epoche Unix Zeitstempel E Epoche Unix Zeitstempel als QWORD T Windows Systemtime Zeitstempel s ANSI ASCII nullterminiert S UTF 16 Zeichenkette nullterminiert b bin re Daten nicht als Zeichen interpretieren REG BINARY P Windows PIDL Datenstruktur l ItemPos Datenstruktur fiir
313. ndisk Strukturen betreffen Andere Log 88 Operationen werden der Einfachheit halber weggelassen FILE Records und INDX Puffer werden nicht vollst ndig angezeigt da das Ergebnis sonst un bersichtlich w rde Um an den vollst ndigen Inhalt dieser Records zu gelangen folgen Sie dem Byte Offset in die Log Datei f r die Sie interessierende Operation Es k nnen auch Kopien von Log Dateien verarbeitet werden Im Pfad einer solchen Datei mu dazu jedoch der Teilstring LogFile an beliebiger Stelle enthalten sein 5 8 Registry Bericht WinHex kann ber den Befehl Bericht erzeugen im Rechts Klick Men des Registry Viewer f r die ge ffneten Hives einen Bericht im HTML Format erstellen der potentiell relevante Schl ssel aus der Registry mit ihren Werten auflistet Die Registry Dateien m ssen ihren Originalnamen haben sonst kann der Bericht u U nicht erstellt werden Die zu extrahierenden Schl ssel sind in Textdateien wie den mitgelieferten Reg Report txt definiert die nach eigenen Bed rfnissen angepa t oder erweitert werden k nnen Standard tables have 4 columns description extracted value registry path provided as a tooltip and last modification date of the corresponding key The dates are displayed in gray for values that are not the only values in their respective key as a visual aid to remind the reader that they are not the modification dates of the values themselves Free space in registry hives can be analyzed
314. ndows dynamic disks or with Linux LVM Only files in supported file systems can be omitted Note that you can also retroactively cleanse redact already created conventional raw images in WinHex by securely wiping files selected files via the directory browser context menu The granularity of this operation is not limited to entire clusters For example that means it can also wipe files in NTFS file systems with so called resident inline storage and it does not erase file slack along For a comparison of evidence file containers skeleton images and cleansed images please see our web site All of those are images that only transport a subset of the original data Ein andere Art bereinigter Sicherung ist ein Image in dem all die Cluster die vom Dateisystem als frei definiert sind mit Null Bytes gef llt werden nur mit Specialist oder forensischer Lizenz Das ist n tzlich wenn Sie ein Image als Backup und nicht f r forensische Zwecke erzeugen oder wenn Sie f r forensische Zwecke keine Daten im freien Laufwerksspeicher ben tigen oder solche Daten gar nicht sichern sollen wenn die Untersuchung auf existierende Dateien beschr nkt werden soll Bei eingeschalteter Kompression hat diese Option das Potential eine Menge Plattenplatz zu sparen abh ngig davon wieviel freien Speicher es gibt und die Sicherung dramatisch zu beschleunigen wenn es gro e zusammenh ngende freie Bereiche gibt Beachten Sie da im Fall von Dateisysteminkonsistenzen
315. neut abgefragt und in die Textdatei geschrieben so da Sie erstens sehen ob sich der Zustand einer berichts defekten Platte weiter verschlechtert hat und zweitens feststellen k nnen wie sich die power on time ge ndert hat was n tzlich ist um auf die Ma einheit schlie en zu k nnen normalerweise Stunden aber das kann je nach Festplattenmodell anders sein Die Textdatei gibt auch die f r die Sicherung ben tigte Zeit an die erzielte Kompressionsrate das Ergebnis der sofortigen berpr fung der Image Datei mittels Hash Wert falls gew hlt sowie etwaige Sektorlesefehler 177 Mit forensischer Lizenz M glichkeit bei Bedarf eine zweite Kopie eines Images schon bei der Datentr ger Sicherung zu erzeugen was viel schneller ist als das nachtr gliche Kopieren der Image Datei und Sinn hat wenn die zweite Kopie auf einem anderen Datentr ger erzeugt wird Das Aufteilen in mehrere Segmente geschieht synchron f r beide Kopien auch wenn der freie Speicherplatz nur auf einem der beiden Ziellaufwerke ersch pft ist Mit forensischer Lizenz Es besteht die M glichkeit zwei Hash Werte gleichzeitig zu berechnen Wenn Sie davon Gebrauch machen werden beide Hash Werte in der begleitenden Textdatei gespeichert Der erste Hash Wert ist derjenige der auf Wunsch am Ende des Sicherungsvorgangs automatisch berpr ft wird Sie k nnten hierf r gezielt den schnelleren Algorithmus w hlen denn der Hauptzweck ist hierbei wohl lediglich das Erke
316. ngen section endsection und numbering haben keinen Einflu auf die aktuelle Position der Datenauswertung durch die Schablone Es gibt noch zwei weitere Befehle die auch keine Variablen deklarieren aber explizit benutzt werden um die aktuelle Position zu manipulieren Dies kann z B geschehen um irrelevante Daten zu berspringen Vorw rtsbewegung oder um bestimmte Variablen mehrfach in Form von unterschiedlichen Datentypen erfassen zu k nnen R ckw rtsbewegung Benutzen Sie die move n Anweisung um n Bytes von der aktuellen Position aus zu berspringen wobei n auch negativ sein darf goto n setzt die aktuelle Position auf n einen absoluten positiven Offset basierend auf der Basisposition auf die die Schablone angewandt wird gotoex n springt zu einem absoluten Offset gemessen vom Anfang des Datenfensters an z B vom Anfang einer Datei oder eines Datentr gers Das folgende Beispiel demonstriert den Zugriff auf 4 Bytes an Daten als 32 Bit Integer und als eine Kette von 4 Hex Werten int32 Seriennummer des Datentr gers dezimal move 4 hex 4 Seriennummer des Datentr gers hexadezimal 4 Schablonen Rumpf Flexible Integer Variablen Ein besonderer Variablentyp der von Schablonen unterst tzt wird ist uint_flex Dieser Typ erm glicht es einen vorzeichenlosen Integer Wert aus verschiedenen individuellen Bits innerhalb eines 32 Bit 4 Byte Bereichs in beliebiger Reihenfolge zusammenzusetzen und ist
317. niger als 8 Bytes gro ist der Status unerheblich Wenn weder die Dateiendung noch die Signatur in der Dateitypsignatur Datenbank aufgef hrt ist lautet der Status nicht verzeichnet Wenn die Signatur laut Datenbank zu der Endung pa t ist der Status best tigt Wenn die Endung in der Datenbank aufgef hrt ist aber die Signatur unbekannt ist sehen Sie als Status nicht best tigt Wenn sowohl Signatur als auch Endung der Datenbank bekannt sind beide aber zu unterschiedlichen Dateitypen geh ren die Datei also aus Sicht der Datenbank eine falsche Endung hat oder es keine Endung im Dateinamen gibt aber die Signatur bekannt ist ist der Status neu erkannt Filter verf gbar Zus tzlich kann diese Spalte einen Hinweis auf die Konsistenz des Formats von Dateien diverser unterst tzter Typen geben entweder in Form von OK oder besch digt f r gecarvte Dateien u U sofort f r andere u U nach der Typpr fung oder der Metadaten Extraktion Eine Erkl rung des Dateityp Rangs und des Konzepts von Dateityp Gruppen findet sich in der Beschreibung der Datei File Type Categories txt Zeigt den Namen des zugeh rigen Anwendungsprogramms an wof r die Datei endung eine Abk rzung ist o je nach Angabe in File Type Categories txt Wenn dieselbe Dateiendung mehrfach in der Definitionsdatei vorkommt werden all ihre Bedeutungen aufgelistet Z B kann pm ein Perl Modul sein ein 26 Kategorie As
318. nn automatisch auch auf die Kindobjekte durchgereicht Wenn das neu angegebene Image ein Image eines anderen Datentr gers ist oder ein anderer Datei Container oder derselbe Datei Container in einem anderen Zustand der weiter gef llt wurde so da der Datei berblick gar nicht bereinstimmen kann dann erhalten Sie wahrscheinlich eine Fehlermeldung weil die Gr e des neu angegebenen Images sich vom bisherigen Image unterscheidet Immer wieder versuchen Benutzer von X Ways Forensics mit diesem Befehl ein Asservat in einem Fall durch ein anderes Asservat zu ersetzen obwohl dies berhaupt keinen Sinn ergibt weil dann alle technischen Beschreibungen der Datei berblick Suchtreffer Kommentare Berichtstabellenverkn pfungen nicht mehr passen Diese Benutzer beschweren sich dann auch oft noch dar ber da eine Fehlermeldung kommt weil X Ways Forensics i d R anhand der Gr e merkt da das neue Image ein v llig anderes Image ist Wenn aber ein Asservat A im Fall nicht mehr gebraucht wird und ein neues Asservat B dem Fall hingef gt werden soll dann kann man einfach A entfernen und B neu hinzuf gen Eine andere M glichkeit gibt es nicht und ist weder sinnvoll noch erforderlich Es ist m glich ein Asservat auch dann zu ffnen wenn der zugeh rige Datentr ger das Image gerade nicht verf gbar ist ber einen speziellen Befehl im Kontextmen des Asservats um zumindest den Datei berblick einsehen zu k nnen Das bedeutet Sie k
319. nnen alle Datei Metadaten sehen die im Datei berblick gespeichert sind Dateiname Pfad Dateigr e Zeitstempel Attribute usw k nnen die meisten Filter verwenden usw aber k nnen keine Daten in Sektoren sehen und keine Dateien 6ffnen einsehen Im Asservat berblick k nnen Asservate mit einer gelben Flagge als wichtig markiert werden 80 ber das Verzeichnis Browser Kontextmen oder einfach durch Dr cken der Leertaste Die gelbe Flagge ist dann im Falldatenfenster zu sehen und immer wenn Sie Asservate ausw hlen z B f r die rekursive Erkundung vom Asservat berblick aus oder beim Erzeugen eines Berichts 5 4 Fallprotokoll Wenn im Fall und in den Asservatseigenschaften eingestellt protokolliert WinHex beharrlich alle Benutzeraktivit ten mit wenn der Fall offen aktiv ist Das erlaubt es die Schritte die Sie zu einem bestimmten Ergebnis gef hrt haben auf einfachste Weise nachzuvollziehen zu reproduzieren und zu dokumentieren zu Ihrer eigenen Information oder f r ein Gerichtsverfahren Folgende Daten werden aufgenommen e wenn Sie einen Men befehl angew hlt haben der Titel des Befehls oder zumindest seine Identifikationsnummer und der Name des aktiven Editierfensters falls kein Asservat mit vorangestelltem Schl sselwort Menu e wenn ein Meldungsfenster angezeigt wird dessen Text und welchen Schalter Sie gedr ckt haben OK Ja Nein oder Abbrechen mit vorangestelltem Schl sselwort MsgBox
320. nnen alle diese Tabellen auch in einem externen Programm betrachten wie einem Internet Browser oder in MS Excel indem Sie die Unterobjekte an ein Programm Ihrer Wahl senden Kontextmen des Verzeichnis Browsers Sie k nnen HTML Tabellen nach einer beliebigen Anzahl von Zeilen aufsplitten lassen Diese Zahl darf ruhig h her liegen wenn Sie die HTML Vorschauen extern mit einem Internet Browser betrachten und nicht mit der Viewer Komponente die nicht mehr sehr gro en Tabellen umgehen kann Die Existenz von HTML Unterobjekten mit durchsuchbarem Text f r Browser Daten Event Logs und weiteren Datenquellen erh ht auch die Effektivit t von Suchen und Indexierung g Extrahiert Tabellen aus diversen sonstigen SQLite Datenbanken im TSV Format und verwendet die erste davon jeweils als Vorschau der SQLite Datenbank Datei selbst h Extrahiert den Originalzustand von bearbeiteten PDF Dokumenten sofern verf gbar als Unterobjekt i Stellt Zeitstempel aus dem Dateisystem als Ereignisse bereit zur Analyse in einer Ereignisliste j Stellt interne Zeitstempel in Dateien als Ereignisse bereit 6 3 4 Erkundung von Archiven Mit einer forensischen Lizenz kann der Inhalt von ZIP RAR ARJ GZ TAR 7Zip und BZIP Archiven in den Datei berblick aufgenommen werden so da Dateien in solchen Archiven separat aufgelistet eingesehen nach Stichw rtern durchsucht werden k nnen usw in ihrem dekomprimierten Zustand sofern die Archive nicht ve
321. nnen von Lese Schreib und Dateifehlern Der zweite Hash Wert wird in die Asservateigenschaften bernommen wenn Sie das Image einem Fall hinzuf gen Mit forensischer Lizenz Optional k nnen Sie weitere Datentr gersicherungen in zus tzlichen Programminstanzen im voraus anzusetzen die zun chst abwarten bis bereits laufende Sicherungsoperationen in fr heren Instanzen beendet sind um die ineffiziente simultane Erzeugung mehrerer Image Dateien auf demselben Zieldatentr ger zu vermeiden was unn tig langsam ist und hochgradig fragmentierte Sicherungsdateien erzeugt Die weiteren Instanzen warten nur auf solche vorherigen Instanzen in denen das Kontrollk stchen ebenfalls angekreuzt war Mit forensischer Lizenz Wenn Sie eine Datentr ger Sicherung mittendrin abbrechen schlie t X Ways Forensics das e01 Evidence Dateiformat im aktuellen Segment noch schnell ab damit man ein konsistentes Image erh lt auch wenn es nicht vollst ndig ist N tzlich z B in einer Notfallsituation wenn Sie eine Sicherung vor Ort vornehmen weil ein ohne Fehlermeldungen nutzbares unvollst ndiges Image besser ist als ein nicht nutzbares defektes Image Wenn eine Hash Berechnung stattfand kann der Hash Wert dadurch sp ter verifiziert werden Mit forensischer Lizenz For the e01 evidence file format you may choose the internal chunk size Might be regarded as useful by some to achieve a marginally better compression ratio for ordinary data at the expe
322. ns Manager eigene Kontextmen s zur Verf gung 72 5 Forensische Features 5 1 Fallbearbeitung Die integrierte Umgebung f r Computerforensik in WinHex kann nur mit einer forensischen Lizenz benutzt werden Sie bietet eine komplette Fall Verwaltung an automatische Protokoll und Berichterstellung und verschiedene zus tzliche Features wie Galerie Ansicht Dateisignatur Pr fung Erkennung von gesch tzten Festplattenbereichen und Erkennung von Hautfarben in Bildern Wenn Sie WinHex zum ersten Mal starten werden Sie gefragt ob Sie die Software mit der forensischen Benutzeroberfl che starten m chten Das hei t das Falldaten Fenster wird angezeigt WinHex im Schreibschutz Modus ausgef hrt und Sie werden gefragt ob die Ordner f r tempor re Dateien und Falldaten korrekt eingestellt sind um zu verhindern da WinHex Dateien auf das falsche Laufwerk schreibt Um an einem Fall zu arbeiten stellen Sie sicher da das Falldaten Fenster links im Hauptfenster sichtbar ist Wenn es das nicht ist schalten Sie Ansicht Anzeigen Falldaten ein Vom Datei Men aus k nnen Sie einen neuen Fall erstellen neu beginnen einen existierenden Fall ffnen den aktiven Fall schlie en den aktiven Fall speichern eine Sicherung der Falldatei und des Fallverzeichnisses in Form eines ZIP Archivs erstellen nur f r Dateien bis 4 GB m glich und einen automatischen Bericht zum aktiven Fall erzeugen Als Asservate k nnen Sie Datentr ger hinzuf
323. nse of more time needed when creating the image and when later ran domly accessing data in the image but improves compression noticeably for extremely com pressible data e g a wiped or unused areas of a hard disk A 512 KB chunk size reduces the image size with ideal data e g only 0x00 bytes ceteris paribus by an additional 40 compared to a 32 KB chunk size Mit forensischer Lizenz Es besteht die M glichkeit die Kompressionsstufe jederzeit w hrend der Erzeugung eines e01 Evidence Files zu ndern N tzlich wenn Ihre Priorit ten h here Kompressionsrate oder h here Geschwindigkeit sich ndern z B wenn Sie sehen da der verf gbare Plattenplatz pl tzlich weniger gro aussieht oder wenn Sie den Vorgang schneller als zuvor gedacht beenden m ssen Auch n tzlich zum Experimentieren wenn Sie nicht sicher sind welche Kompressionsstufe f r eine bestimmte Systemkonfiguration am geeignetsten ist etwa wenn Sie vor Ort ein laufendes System sichern und das Image ber USB auf eine externe Festplatte schreiben m ssen was mit Kompression schneller sein k nnte als ohne Mit forensischer Lizenz Beim Sichern mit aktiver Komprimierung im e01 Format gibt X Ways 178 Forensics Ihnen in Echtzeit eine grafische R ckmeldung ber die tats chlich auf dem Datentr ger vorgefundene Datenmenge Das ist m glich weil Plattenbereiche die niemals beschrieben wurden sowie Datentr gerbereiche die mit Nullen berschrieben ge wipe t wurde
324. nsters aus 4 13 Hilfe Men Inhalt Ruft die Inhalts bersicht der Programmhilfe auf Setup L t Sie die Benutzeroberfl che zwischen allen verf gbaren Sprachen umschalten Initialisieren Mit dieser Funktion k nnen Sie die Voreinstellungen s mtlicher Optionen wiederherstellen Alternativ dazu k nnen Sie die Datei winhex cfg l schen bevor Sie das Programm starten Deinstallieren Mit dieser Funktion k nnen Sie die WinHex von Ihrer Festplatte entfernen selbst wenn Sie nicht das Setup Programm zur Installation verwendet haben 71 Online L dt in Ihrem Web Browser sofern Sie eine Internet Verbindung haben Webseiten wie die Homepage von X Ways das Support Forum die Seite zum Abonnieren des Newsletters in Ihrem Browser oder die Seite auf der Sie Ihren Lizenzstatus aktuelle Download Links sowieso Upgrade Angebote abfragen k nnen Es gibt eine au erdem Option zum gelegentlichen Pr fen auf Updates bei Programmstart online und Sie k nnen auch jederzeit wenn Sie m chten auf Updates pr fen lassen Dabei wird u U die Verf gbarkeit einer neueren Version oder eines neuen Service Releases der aktuell verwendeten Version keine Vorab Versionen angezeigt und Sie erhalten die M glichkeit zum sofortigen Herunterladen Es werden keinerlei Daten von innerhalb des Programms an das Internet bertragen z B Auch keine System Information Benutzer Informationen oder Dongle ID weder direkt noch verschl sselt oder anonymisiert nich
325. nterhalb der System DLLs liegt und von den meisten Programme vorrangig f r verschiedenste Zwecke genutzt wird f r Stack und Heap Zumindest das Hauptmodul eines Prozesses die EXE Datei ist i d R ebenfalls im Prim rspeicher enthalten Der Gesamtspeicher umfa t alle allozierte Seiten im gesamten logischen Adre raum eines Prozesses Mit der 64 Bit Edition von WinHex X Ways Forensics k nnen Sie geladene Module oberhalb der 4 GB Grenze in 64 Bit Prozessen aufgelistet bekommen und Speicher in solchen Adre bereichen ffnen und editieren Unicode wird f r Proze und Modul Namen sowie Pfade im Speicher Editor unterst tzt Seitengrenzen werden durch horizontale Linien gekennzeichnet Grenzen die L cken zwischen zusammenh ngend allozierten Bereichen kennzeichnen werden von dunkleren horizontalen Linien repr sentiert Die Informationsspalte zeigt jetzt mehr Details an wie z B die h chste repr sentierte Adresse und die Zahl der L cken im zugewiesenen Speicher Zahl der zusammenh ngenden zugewiesenen Speicherbereiche 1 wie auch den Schutz Status und Typ der aktuell dargestellten Seite Bitte beachten Sie die folgenden Einschr nkungen e Zugriff auf physischen RAM nur unter Windows XP 32 Bit nur bis 4 GB und nur mit Administratorrechten e Das Editieren ist nur im In Place Editiermodus m glich e Achtung R ckg ngig gemacht werden k nnen bei Verwendung des Arbeitsspeicher Editors ausschlie lich Tastatureingaben e Die Ev
326. o buchstaben in der Erweiterung sind nicht zu verwenden Derselbe Dateityp dieselbe Dateiendung darf mehreren Kategorien zugeschlagen werden Einschr nkungen s Beschreibung der Kategoriespalte Alternativ zu Dateinamenserweiterungen werden auch ganze Dateinamen unterst tzt Dies ist n tzlich f r bestimmte Dateien mit einem wohldefinierten Namen deren Endung allein nicht spezifisch genug ist oder die keine Dateiendung haben Vollst ndige Dateinamen m ssen durch umschlie ende Semikolons kenntlich gemacht werden Beispiele index dat Internet Explorer history cache history dat Mozilla Firefox browser history passwd Existing users Es gibt eine virtuelle Kategorie Anderer unbekannter Typ die nicht speziell in der Datei definiert wird und einfach alle Dateien umfaBt die nicht zu einer der anderen definierten Kategorien geh ren 103 You may store additional custom definitions of file types and categories in a separate file named File Type Categories User txt This file will be read and maintained in addition to the standard definitions in File Type Categories txt and has the same structure but is not overwritten by updates of the software if contained in the installation directory so that you can easily continue to use it even when overwriting your installation with a new version File types are ranked by importance relevance and you may filter by this rank For example fil tering out those file types ranked 0
327. olge Sp ck sowohl Speck als auch Spock finden In der Ersatz Zeichenfolge kann das Jokerzeichen verwendet werden um an den betreffenden Stellen das bestehende Zeichen nicht zu ndern Auf diese Weise kann man bspw Huhn und Hahn in einem Schritt durch Hund und Hand ersetzen entsprechende Eingabe H hn ersetzen durch H nd Ein Jokerzeichen das im berstehenden Teil einer Ersatz Zeichenfolge steht die l nger als die zugeh rige Such Zeichenfolge ist wird selbst als Ersatz in die Datei geschrieben da es kein bereits bestehendes Zeichen in der Datei gibt das sich dem Jokerzeichen zuordnen l t Ganze W rter Die zu suchende Zeichenfolge wird nur erkannt wenn sie als einzelnes Wort vorkommt also von anderen Buchstaben z B durch Leer oder Steuerzeichen getrennt ist Wenn diese Option gew hlt ist wird z B Tomate nicht in Automaten gefunden Suchrichtung Bestimmen Sie ob von vorne bis hinten oder von der aktuellen Position an ab oder aufw rts ersetzt werden soll Nur im Block suchen Es wird nur derjenige Teil der Datei des virtuellen Speichers durchsucht der innerhalb des Blockes liegt In allen ge ffneten Dateien ersetzen Der Vorgang wird der Reihe nach in allen von WinHex ge ffneten Dateien durchgef hrt sofern sie nicht im View Modus ge ffnet wurden Wenn Nur im Block suchen aktiviert ist wird in jeder Datei nur im dort festgelegten Block ers
328. omes unstable it does not render the main process X Ways Forensics unstable or cause it to crash Buffer decoded text for context preview If enabled the result of the text extraction from certain file types for logical searches and indexing will be stored by X Ways Forensics in the volume snapshot for reuse when searching indexing again to save time If the crash safe decoding option is active you may use a different version of the viewer component for decoding than for viewing files at the same time You can specify separate directories This is useful to benefit from the extended file format support of the latest version 8 5 and at the same time employ the more reliable text decoding capabilities of the previous version 8 4 1 for PDF files produced by the OCR software Abbyy Fine Reader 11 and possibly others Galerie Optionen e Wenn die Erzeugung von Miniaturansichten f r Bilder in gro en z B soliden RAR Archiven f r die Galerie Ansicht zu langsam ist k nnen Sie diese ausschalten Dies deaktiviert auch die Kontextvorschau in Suchtrefferlisten f r Suchtreffer in Dateien in Archiven e Wenn gro e JPEGs eingebettet Miniaturansichten enthalten und diese bereits in den Datei berblick aufgenommen wurden dann k nnen sie optional als behelfsm ige Miniaturansichen auch in der Galerie verwendet werden um das Hauptbild zu repr sentieren Ebenso intern von X Ways Forensics selbst berechnete Miniaturansichten gro er Bilder Der
329. ommen aber keine Verzeichnisleichen in den Dateisystemen Ext und Reiser Extended attributes in NTFS are optionally included in the volume snapshot as child objects of the directory or file to which they belong with the name EA and marked in the Attr column with EA Either all such attributes if the box is fully checked or only non resident ones if half checked default If none at all the clusters that belong to non resident extended attributes of existing objects will be covered by the virtual file misc non resident attributes as before Background information Microsoft uses extended attributes on system binaries as part of the secure boot components Attackers have been using large extended attributes to hide malware in some high profile cases Large extended attributes are flagged automatically by report table associations Das Aufnehmen von sog Logged Utility Streams LUS in NTFS in neu eingelesene Datei berblicke ist optional Entweder werden alle LUS aufgenommen wenn ganz gew hlt oder nur Nicht EFS LUS wenn halb gew hlt oder gar keine LUS N tzlich f r von Windows Vista geschriebene NTFS Dateisysteme wenn Sie sich nicht f r TXF_DATA LUS interessieren Aus dem Internet heruntergeladene Dateien in NTFS k nnen bequem als solche erkannt werden wenn ihr alternativer Datenstrom Zone Identifier als Berichtstabellenverkn pfung statt als Unterobjekt im Datei berblick repr sentiert wird Das bedeutet da
330. on Ihnen angegebenen Zeichen basierend auf dem Unicode Zeichensatz und oder bis zu zwei von Ihnen anzugebende Codepages Es ist m glich bis zu drei solcher Indexe pro Asservat zu haben z B kyrillische Zeichen indexiert in Unicode und zwei kyrillischen Codepages X Ways Forensics erlaubt Ihnen bequem die Zeichen von mehr als 22 Sprachen f r die Indexierung auszuw hlen Derzeit sind die meisten europ ischen und viele asiatische Sprachen vordefiniert z B Deutsch Spanisch Franz sisch Portugiesisch Italienisch skandinavische Sprachen Russisch s dslawische Sprachen osteurop ische Sprachen Griechisch T rkisch Hebr isch Arabisch Thail ndisch und Vietnamesisch Sie k nnen jedes Zeichen einzeln angeben oder Intervalle z B a zA Z wenn das Editierfeld mit range beginnt Um den Bindestrich selbst mit zu indexieren nicht empfohlen geben Sie ihn als allerletztes Zeichen an Das Indexieren kann ein lang andauernder Proze sein und ggf viel Plattenplatz ben tigen grobe Faustregel mit Voreinstellungen bei blichen Daten 5 25 der Originaldatenmenge Daf r erlaubt es Ihnen der Index weitere Suchvorg nge u erst schnell und spontan durchzuf hren Die Index Dateien werden in Unterverzeichnissen des Metadaten Ordner des betreffenden Asservats gespeichert Die zu indexierende Datenmenge k nnen Sie gezielt steuern Beachten Sie da der Index auf partitionierten Datentr gern wie z B physischen Festplatten ausschlie li
331. on vom Quell datentr ger aus so da ein Datei berblick erzeugt wird Erneut werden alle diejenigen Sektoren die w hrend dieses Vorgangs vom Quelldatentr ger gelesen werden gleichzeitig in die Sicherungsdatei kopiert und diese enthalten die Dateisystem Datenstrukturen z B MFT in NTFS alle Verzeichnis Cluster in FAT und die Katalogdatei in HFS Das f gt Ihrer Minimal sicherung also schon deutlich mehr und filigranere Verwaltungs und auch Metadaten hinzu aber immer noch keine oder kaum Benutzerinhalte Nicht mit dem Dateisystem zusammen h ngende von ihm genutzte Sektoren werden n mlich nicht gelesen und damit auch nicht kopiert Das bedeutet auch da die M glichkeiten in der Minimalsicherung ehemals existierenden Dateien zu finden eingeschr nkt sind Wenn Sie ein beliebiges Intervall von Sektoren sichern m chten brauchen Sie nur einen Weg zu finden um X Ways Forensics zum Lesen dieser Sektoren zu bewegen Z B um die Sektoren von Nummer 1 000 000 bis 1 000 999 zu kopieren definieren Sie diese 1 000 Sektoren als ein Block und hashen diesen Block im Disk Modus mit den Men befehl Extras Hash berechnen oder Sie f hren eine physische Suche nur in diesem Block aus Oder um eine ungew hnlich gro e Partitionsl cke zwischen Partition 1 und 2 zu sichern k nnen Sie die virtuelle Datei diesen Bereich repr sentiert hashen Sie k nnen auch manuell zu jedem potentiell relevanten Sektor navigieren um ihn in die Sicherung
332. or black amp white pic tures Sorting by the Analysis column in descending order lists files with FuzZy Doc matches first those files with the most confident matches for any hash set near the top with lower percentages following followed by PhotoDNA matches showing the category names in an internal PhotoDNA hash database followed by pictures with no PhotoDNA matches in descending order of their skin tone percentage After that irrelevant pictures are listed picture with very small di mensions and then files that are not pictures and near the bottom black amp white and gray scale pictures Text color coding in that column makes it easier to distin guish between different kinds of categorizations FuzZyDoc matches PhotoDNA matches and color analysis results are mutually exclusive That means that if a picture gets it colors analyzed and also a similarity with a PhotoDNA hash value is found only the PhotoDNA category match is remembered in the Analysis col umn not the skin tone percentage because the PhotoDNA match is considered more helpful nur forensische Lizenz Der Hash Wert einer Datei sofern berechnet Filter verf gbar mit einer Specialist der forensischen Lizenz Erlaubt es sich auf Dateien zu konzentrieren f r die im Datei berblick ein Hash Wert verf gbar ist f r die kein Hash Wert verf gbar ist deren Hash Werte mit einem bestimmten Hex Wert beginnen wenn Sie nur den Anfang eines Hash Werts angeben oder die
333. or example when they report error messages although that is more work than simply pressing Ctrl C and Ctrl V and although 41 it inflates the size of the e mail unnecessarily as a few ASCII characters need much less space them thousands of pixel values That also means the screenshot will get lost if the e mail is converted to plain text when being replied on and of course the error message text will not be searchable in a graphical screenshot and cannot be conveniently selected and copied to the clipboard as text by the recipient and the recipient cannot be sure of the exact Unicode value of certain characters for which multiple variants exist In WinHex and X Ways Forensics it is even possible to copy a rudimentary ASCII representation of dialog boxes and almost all their control items static text push buttons check boxes radio buttons list boxes combo boxes and tree view controls including their states unchecked checked half checked by pressing Ctrl C with an active dialog box on the screen not if an edit box with a selection has the input focus There is also a dedicated command in the window menu of an dialog box That menu is a k a the system menu or control menu and it pops up when right clicking the title of a dialog box This copy command is a very efficient way to show your settings in a certain dialog box to other users and let them copy strings for use in their own edit boxes so that they don t have to type them avoiding
334. oradisch zwischen den Steuerzeichen vorkommenden Text finden m chten Regeln Sie wie sensibel WinHex nach Vorkommen von Text sucht indem Sie angeben wie lang der Text sein mu damit er als solcher erkannt wird Viele Dateitypen neueren Datums darunter 32 Bit Programmdateien reservieren zwei Bytes f r ein Zeichen statt eins 16 Bit Unicode Zeichensatz Die Option Unicode Zeichen tolerieren bedeutet da auch alphanumerische ASCII Zeichen zwischen denen jeweils ein Byte mit dem Wert Null steht als Text erkannt werden Globale Suche fortsetzen Setzt einen bereits begonnenen globalen d h einen mit Option In allen ge ffneten Dateien suchen durchgef hrten Suchvorgang nach Anzeigen einer Fundstelle in der n chsten Datei fort Soll zun chst in derselben Datei noch weiter gesucht werden mu die Funktion Suche fortsetzen benutzt werden Suche fortsetzen F hrt einen bereits begonnenen Suchvorgang auch nach Vorkommen von Text aber keinen Ersetzen Vorgang von der aktuellen Cursor Position an fort 4 6 Navigationsmen Offset aufsuchen Setzt den Cursor auf einen von Ihnen gew nschten Offset d h eine Position in der Datei Gew hnlich wird diese relativ zum Anfang der Datei Offset 0 angegeben Sie k nnen den Cursor aber auch relativ von der aktuellen Position vorw rts und r ckw rts und vom Dateiende aus r ckw rts bewegen Die Ma einheit ist entweder ein Byte ein Word 2 Bytes ein DoubleWord 4 B
335. ore the computed PhotoDNA hashes in the volume snapshot Saves the time to read the files from the disk image again and to decode decompress the JPEG data or other formats again time consuming for high resolution photos and to recom pute the hash values Please note that PhotoDNA hashes require considerably more drive space than ordinary hashes Also more than one PhotoDNA hash may be required for just one picture 127 It is recommended to store the hash values in the volume snapshot for future fast re matching only if you expect your PhotoDNA hash database to change during processing of a case for ex ample if it is likely that you or your colleagues discover further relevant pictures in that case forcing you to search for other copies of these pictures Please note that with the Again option when re using previously computed PhotoDNA hashes changes to the state of the check box Recognize pictures even if mirrored have no effect That means if previously unchecked when hash values were computed for the first and stored in the volume snapshot checking it later when re using the stored hash values won t do any good To discard stored hash values you can either take a new volume snapshot or alternatively you may delete the file PDNA in the _ subdirectory of the evidence object where the volume snapshot is internally stored 6 3 9 Dokumente ber FuzZyDoc identifizieren The so called FuzZyDoc technology can help you to identify
336. paraten Suchbegriffen zuordnen Wenn Sie z B mehrere relevante Treffer f r den Suchbegriff Rechnung erhalten und einige Treffer in anderer Weise relevant sind als andere k nnen Sie diese anderen Suchbegriffen zuordnen wie Rechnung ABC GmbH oder Rechnung XYZ AG usw Die so neu erzeugten Suchbegriffe erscheinen in der Suchtrefferliste auch wenn nie w rtlich nach ihnen selbst gesucht wurde und haben eher die Funktion von Kategorien Navigation Die Gruppe der Befehle im Navigationsmen erm glicht Interaktionen mit den aktuell ausgew hlten Dateien auf einer eher technischen Ebene Es erm glicht direkt die Datenstruktur im Dateisystem aufzusuchen an der die betreffende Datei definiert ist z B FILE Record in NTFS Inode in Ext2 Ext3 Ext4 Verzeichnis Eintrag in FAT und auch Dateien nach dem Offset der definierenden Datenstruktur zu sortieren Im Navigationsmen kann man sich au erdem eine Liste aller Cluster anzeigen lassen die der gew hlten Datei bzw dem gew hlten Verzeichnis zugeordnet sind Diese Cluster Liste kann per Kontextmen befehl in eine Textdatei exportiert werden Die Liste kann optional stark gek rzt und ihre Erstellung stark beschleunigt werden indem die Cluster mitten in einem Fragment ausgelassen und durch Zeilen mit drei Punkten repr sentiert werden Diese Option k nnen Sie ebenfalls im Kontextmen des Cluster Listen Fensters finden Sie wirkt sich erst auf das n chste erzeugte Fenster aus bergeordne
337. peicherplatz und Schlupfspeicher Ein Image ist normalerweise einem Klon vorzuziehen weil darin alle Daten und Metadaten wie Zeitstempel vor Ver nderung durch das Betriebssystem gesch tzt sind Wenn Sie einen Datentr ger zu Backup Zwecken klonen sichern vermeiden Sie da auf ihn w hrenddessen schreibend zugegriffen wird durch Windows oder andere Programme z B in dem Sie als Laufwerksbuchstaben geladene Partitionen vorher entladen Solche Schreiboperationen sind nat rlich unvermeidbar wenn man die Platte klont sichert die die aktive Windows Installation enth lt von der aus Sie WinHex X Ways Forensics ausf hren Wenn auf den Quelldatentr ger w hrend der Operation geschrieben wird hat der Klon die Image Datei aus Sicht des Betriebssystems evtl einen inkonsistenten Zustand was sich z B darin u ern kann da sich von einer geklonten Platte Windows nicht mehr booten l t Aus computerforensischer Sicht jedoch beim Klonen Sichern eines lebendigen Systems ist dies jedoch ein weniger gro es Problem auch wenn das Vermeiden von weiteren Schreibvorg ngen nat rlich w nschenswert ist weil Sie in jedem Fall immer noch eine korrekte Momentaufnahme jedes einzelnen Sektors erhalten Wenn das Ziel eines Klonvorgangs oder der Wiederherstellung einer Image Datei Zur ckspielen einer Sicherung eine Partition ist die als Laufwerksbuchstabe geladen ist versucht WinHex alle von Windows vorgehaltenen internen Puffer von der Zielpartit
338. peziell codiert z B Absender und Empf nger in E Mails als Quoted Printable komprimiert oder in unerwarteten Codepages Sie ist auch bequem weil alle Suchtreffer in derselben Weise pr sentiert und aufgelistet werden wie gew hnliche Suchtreffer in Datei Inhalten Nur in der Spalte mit der Suchtreffer Beschreibung werden solche Treffer mit dem Namen der Spalte die den gefundenen Text tats chlich enth lt gekennzeichnet und die Suchtreffer werden in einer anderen Hintergrundfarbe hervorgehoben Sie k nnen nach Suchtreffern in Zellen des Verzeichnis Browsers auch filtern Wenn Sie einen Suchtreffer dieser Art ausw hlen wird der automatisch im Modus Details gesucht und hervorgehoben genau wie normale Suchtreffer in Datei Inhalten im Vorschau Modus gesucht und hervorgehoben werden Beachten Sie da eine Suche in Zellen des Verzeichnis Browsers keine etwaigen 95 zus tzlichen Zellinhalte in einer anderen Farbe durchsucht wie etwa alternative Dateinamen und Datei Anzahlen in der Namensspalte e Einige blinde Flecke die logische Suchen in althergebrachten mehrere tausend Euro teuren Computerforensik Programmen aufweisen gibt es in X Ways Forensics nicht Der bergang von Dateischlupf in direkt darauffolgenden freien Speicher sowie in NTFS und exFAT der bergang von bekannterma en nicht initialisierten Endst cken von Dateien in darauffolgenden freien Speicher k nnen gezielt mit abgedeckt werden Sollte X Ways Forensics w hren
339. ple if a reconstructed RAID actually represents a vol ume not a physical disk then you can already adjust the nature of the image accordingly when you create it Or if the sector size of the reconstructed RAID or a disk in an enclosure does not match the sector size of the file system in a partition you can adjust the sector size of the image accordingly All of this will allow for smoother and more successful usage of the image later in particular by users who do not pay much attention to details such as image type and sector size With the additional metadata present for a raw image X Ways Forensics does not need to prompt users for the nature of the image and its sector size even if under normal circumstances it would for example because the image does not start with an easily identifiable partitioning method or volume boot sector Am Ende des Datentr gersicherungsprozesses kann der Computer optional heruntergefahren oder wenn von Ihrem System unterst tzt in den Ruhezustand versetzt werden um Strom zu sparen Wenn Sie den Ruhezustand gew hlt haben aber Windows signalisiert da dieser nicht erreicht werden kann versucht X Ways Forensics statt dessen den Computer herunterzufahren Es gibt eine Option neu erzeugte Images sofort dem Fall hinzuzuf gen und ihre n Datei berblick e automatisch ohne weitere Benutzerinteraktion zu erweitern sofern der Quelldatentr ger dem aktiven Fall hinzugef gt wurde und berhaupt ein Fall aktiv is
340. portant to invoke that special menu command as soon as possible before the auto save interval elapses next time to avoid that the volume snapshot s will be saved Afterwards you can open the case again and find everything as it was last time when the case was saved which means that on average you will only lose half the amount of work that you get done within the auto save interval not everything 73 Im Fenster Eigenschaften eines Falls k nnen Sie einen Fall nach Ihren Konventionen benennen oder ihm eine Nummer zuweisen Datum und Zeit der Anlage des Falls werden aufgenommen und angezeigt Der interne Fall Dateiname ist ebenfalls zu sehen Sie k nnen eine Beschreibung des Falls beliebiger L nge angeben sowie den Namen des Bearbeiters dessen Organisation und Anschrift usw Sie k nnen von hier aus auch die automatische Mitprotokollierung f r den Fall aus oder einschalten Optional werden immer die Unterverzeichnisse der jeweiligen Asservate im Fallordner als Standard Ausgabeordner beim Wiederherstellen Herauskopieren von Dateien aus Dateisystemen vorgeschlagen Diese Eigenheit k nnen ausschalten wenn Sie z B Dateien von verschiedenen Asservaten in einen einzigen Ausgabeordner kopieren m chten Sie k nnen bis zu zwei Codepages die sich f r die Bearbeitung des Falls eigenen also typisch sind f r die Region in der die zu untersuchenden Originaldatentr ger verwendet wurden Diese Codepages werden beim Benennen von eml Dateie
341. r Stelle im Hauptfenster ein Men aufgerufen werden ber das man die Befehle Suchen und Weitersuchen ausf hren kann Beim Suchen 87 kann ber einen Auswahldialog festgelegt werden nach welchem Ausdruck gesucht werden soll und ob der Suchausdruck in den Schl sselnamen oder in den Namen oder den Werten oder in allem gesucht werden soll Die Suche beginnt immer ganz am Anfang im ersten geladenen Hive und erstreckt sich ber alle ge ffneten Hives Mit Weitersuchen kann der n chste Treffer nach einem bereits gefundenen Treffer gesucht werden Das zu der Zeit ausgew hlte Element hat keinen Einflu darauf von wo aus weitergesucht wird Die Option nur als ganzes Wort suchen funktioniert f r Werte nicht garantiert Im rechten Fenster kann durch Rechtsklick im Men weiterhin Kopieren ausgew hlt werden wodurch sich der Wert des ausgew hlten Elements in die Zwischenablage kopieren l t Wenn Sie einen Eintrag in einem geladenen Hive im Registry Viewer anklicken und sich das Datenfenster mit dem Datentr ger Image von dem aus der Hive geladen wurden im Dateimodus befindet springt der Cursor nun automatisch auf den jeweiligen Eintrag in der Registry Datei im Dateimodus und er wird automatisch in der Datei als Block ausgew hlt Dies erlaubt es einem insbes bin re Registry Eintr ge sowohl hexadezimal als auch als Text zu sehen und Bin r eintr ge leicht in Bin rform oder als Text zu kopieren nicht nur als Hex ASCII T
342. r Verwaltung der normalen Datei Hash Datenbank und der Block Hash Datenbank hin und herzuwechseln Textdateien der Formate NSRL RDS 2 x HashKeeper und ILook werden unterst tzt sowie Hash Sets im JSON ODATA Format Layout von Project Vic Versionen 1 0 1 1 und 1 2 wie in der Hubstream Inbox zu finden Ein weiteres Import und das Export Format ist eine sehr einfache und universelle Hash Set Textdatei in der die erste Zeile einfach den Hash Typ angibt z B MD5 und alle weiteren Zeilen jeweils Hash Werte in ASCII Hex sind bzw im Fall von SHA I alternativ in Base32 Notation 1 pro Zeile Das Zeilenende Zeichen ist 0x0D 0x0A Der Befehl Hash Set erzeugen im Kontextmen des Verzeichnis Browsers erlaubt es Ihnen Ihre eigenen Hash Sets in der internen Hash Datenbank zu erstellen Beim Importieren Erzeugen von Hash Sets werden doppelte Hash Werte innerhalb desselben Hash Sets eliminiert Beim Importieren der NSRL RDS Hash Datenbank pr ft X Ways Forensics auf Datens tze mit den Flags s special und m malicious so da diese Hash Werte nicht f lschlicherweise in das gleiche interne Hash Set aufgenommen werden das als irrelevant klassifiziert werden sollte Die Hash Datenbank kann bis zu 65 535 Hash Sets verwalten There is a way to efficiently delete individual hash values from an existing hash set by importing a hash set file simple 1 column format 1 hash value per line where the hash values to delete must be listed firs
343. r Weise verwendet werden z B um wiederkehrende Routineaufgaben zu erledigen oder um bestimmte T tigkeiten an nicht beaufsichtigten Computern im Netz ferngesteuert auszuf hren Die M glichkeit andere als die mitgelieferten Beispielscripte auszuf hren ist Besitzern von professionellen und h heren Lizenzen vorbehalten Scripte k nnen vom Start Center oder von der Kommandozeile aus gestartet werden Wenn ein Script ausgef hrt wird k nnen Sie die Esc Taste dr cken um es abzubrechen Scripte l sen aufgrund ihrer umfangreicheren M glichkeiten die von fr heren Versionen von WinHex bekannten Routinen ab WinHex Scripte sind Textdateien mit der Namensendung whs Sie k nnen mit jedem Texteditor bearbeitet werden und bestehen einfach aus einer Folge von Befehlen Es wird empfohlen pro Zeile nur einen Befehl einzugeben um die bersichtlichkeit zu wahren Abh ngig vom jeweiligen Befehl m ssen dahinter ggf Parameter angegeben werden Die meisten Befehle wirken sich auf die Datei oder den Datentr ger im aktuell aktiven Editierfenster aus In Anhang B finden Sie eine Beschreibung aller gegenw rtig unterst tzten Scriptbefehle 7 3 X Tensions API Automate investigative tasks and extend the functionality of X Ways Forensics with X Tensions The new X Ways Forensics X Tension API application programming interface allows you to use many ofthe advanced capabilities of the X Ways Forensics computer software programmati cally and exten
344. r decompressed nor further processed searched hashed matched against the block hash database Sparse awareness is active guaranteed for el evidence files that were created by X Ways Forensics and X Ways Imager 16 1 and later also possibly for images created by 3rd party software depending on the settings and the internal layout Operations are not sparse aware on 13 images of Windows dynamic disks images of LVM2 disks and on reconstructed RAIDs based on e01 evidence files Logical searches in files stored in an NTFS file system are also sparse aware at the el evidence file level and generally logical searches in virtual Free space files Logical searches in NTFS Ext XFS and UFS file systems are now sparse aware at the file system level That means no time is wasted on large sparse areas within sparse files Those areas are ignored regardless of whether the evidence object is an el evidence file raw image RAID or actual disk 3 Benutzeroberflache 3 1 Overview Wie die diversen Bestandteile der Benutzeroberfl che hei en k nnen Sie folgendem Bildschirmfoto entnehmen Hauptmen no M x Ways Forensics NTFS Image eiste i Datei Bearbeiten Suchen Positio SE cues Falldaten Falidaten IN FS Image e01 Datei Bearbeiten Y und Unterverzeichnisse 161 36 197 Dateien 381 herausgefittert Y Uberschriftszeile des Verzeichnis Browsers Registerleiste 153 AE Fenster Hilfe le xj Tew BES 92m
345. r die Verzeichnis Browser Optionen Sie greifen i d R beim Neu Einlesen des Datei berblicks e Wenn die Option Datei berblick aufbewahren eingeschaltet ist bleiben die Informa 155 tionen die WinHex ber ge ffnete Dateisysteme gesammelt hat Men Disk Tools und oder Specialist Men beim Beenden von WinHex im Ordner f r tempor re Dateien erhalten WinHex kann sie dann beim n chsten Programmstart wiederverwenden Datei berblicke von Asservaten beim Arbeiten mit einem Fall werden grunds tzlich immer aufbewahrt unabh ngig von dieser Einstellung und zwar im Metadaten Unterverzeichnis dieses Asservats Schneller berblick ohne Cluster Zuordnung beschleunigt das Erzeugen des Datei berblicks f r eine Partition insbes f r die Dateisysteme Ext2 Ext3 und ReiserFS und insbes auch dann wenn die Dateien mit dem Datei Uberblick ber eine langsame USB 1 1 Schnittstelle oder ein Netzlaufwerk gespeichert werden f hrt allerdings dazu da WinHex nicht mehr imstande ist f r jeden Sektor und jeden Cluster anzugeben f r welche Datei welches Verzeichnis er verwendet wird Sie k nnen die Funktion Dateisystem neu einlesen im Extras Men verwenden um das Dateisystem auf einem Datentr ger neu einzulesen z B nach dem Ausschalten dieser Option L schzustand vererben Bewirkt da gel schte Partitionen ihren L schzustand auf alles was sie enthalten bertragen Dateien und Verzeichnisse und da
346. r n chste Cluster einer Datei in der Dateizuordnungstabelle am Anfang des Datentr gers nachgeschlagen werden aber diese Information geht beim L schen einer Datei verloren 9 Optionen 9 1 Allgemeine Optionen 1 Spalte e Unter Windows Vista und 7 kann es empfehlenswert sein WinHex X Ways Forensics immer als Administrator auszuf hren wenn Sie sektorweisen Zugriff auf Datentr ger ben tigten e Sie k nnen Winhex auf Wunsch mehrfach zugleich ausf hren In der Voreinstellung ist die Option halb gew hlt Das bedeutet da Sie beim erneuten Ausf hren der exe Datei gefragt werden ob Sie eine neue Instanz starten m chten oder abbrechen Sie k nnen dann sogar versuchen eine in einer Endlosschleife gefangenen vorherige Instanz wiederzubeleben Z B sollte das passieren w hrend eine bestimmte Datei bei der Erweiterung des Datei berblicks verarbeitet wird hilft dies u U der laufenden Instanz aus der Endlosschleife auszubrechen und mit der n chsten Datei fortzufahren Die zweite Instanz zeigt auch einige technische 149 Informationen dar ber an was die vorherige Instanz zu dem Zeitpunkt tut Diese Analyse ist auch ohne WiederbelebungThe der vorherigen Instanz m glich Abbrechen stellt das Hauptfenster der vorherigen Instanz in den Vordergrund Beim Programmstart kann WinHex optional das sog Start Center anzeigen oder die letzte Fensteranordnung wiederherstellen alle Fenster mit ihren Gr en und Positionen wie Sie sie
347. r nicht rekursiv erkundet wurde steht die zweite M glichkeit nicht zur Verf gung Erkunden Sie den Asservat berblick zun chst rekursiv per Rechtsklick um die zweite M glichkeit nutzen zu k nnen Beachten Sie da wenn Sie von der zweiten M glichkeit Gebrauch machen solche Dateien die nicht im Asservat berblick aufgelistet werden nicht ausgegeben werden auch wenn sie Teil einer Berichtstabelle sind Das bedeutet da sich die aktuellen Filtereinstellungen auch auf die Berichterzeugung auswirken k nnen Wenn Dateien ausgelassen werden weil sie zum Zeitpunkt der Berichterzeugung nicht im Asservat berblicksfenster aufgelistet sind werden Sie dar ber im Bericht und von einem Meldungsfenster benachrichtigt Wenn das Kontrollk stchen zur Ausgabe von Berichtstabellen nur halb angekreuzt ist wird lediglich die Anzahl der Objekte in jeder Berichtstabelle ausgegeben Many different settings allow to tweak the report to your liking For example Name output files after unique ID will ensure filenames that are succinct unique trackable and reproducible and will also ensure that if the same files is associated with multiple report tables it will be copied to the report subdirectory only once That saves time and drive space List each file only once is a 3 state checkbox If fully checked no file will be referenced in the report by more than one report table Note that you can still see all report table associations of a file when
348. rch hits by the Search Hit column Es gibt eine Option zum Sortieren von Suchtreffern nach ihrem Inhalt und Kontext anstatt blo des Suchbegriffes zu dem sie geh ren Das ist n tzlich f r Stichwortsuchen keine technischen Suchen z B nach Hex Werten Das Sortieren auf diese Weise ist in der Tat langsamer weil die Daten und der Kontext aller Suchbegriffe gelesen und in eine vergleichbare Codepage konvertiert werden m ssen Das Sortieren nach Daten in den Suchtreffern hilft bei GREP Ausdr cken die auf variable Daten passen denn f r konstante Suchbegriffe sind die Suchbegriffe zu den Daten in den Suchtreffern identisch Nach dem Suchen nach E Mail Adressen mit dem Ausdruck a zA Z0 9_ 1 20 a zA Z0 9 2 20 a zA Z 2 7 z B erkennen Sie durch Sortieren nach den Daten schnell etwaige vorhandene Gruppen von identischen E Mail Adressen und k nnen diese schnell berspringen oder sehen hnliche Adressen solche die mit denselben Buchstaben anfangen direkt untereinander Das Fortsetzen des Sortierens anhand des Textes der dem eigentlichen Suchtreffer folgt sofern die Daten in den Suchtreffern identisch sind pr sentiert Ihnen identische oder hnliche Textpassagen direkt untereinander und erlaubt ebenfalls ein z gigeres Durchsehen von Suchtrefferlisten Sie k nnen angeben wie viele Zeichen in Daten und folgendem Kontext in das Sortieren einbezogen werden sollen Je mehr Zeichen desto mehr Speicher wird f r das Sortiere
349. rd Dann werden diese Dateien vom Bericht aus verlinkt Es k nnen entweder alle Dateien oder nur Bilder herauskopiert werden Bilder werden standardm ig direkt in der HTML Berichtsdatei angezeigt und nicht blo verlinkt Sie werden auf die von Ihnen angegebene Maximalgr e zurechtgestutzt wobei ihr Seitenverh ltnis erhalten bleibt Wenn Sie als Maximalgr e 0x0 angeben werden die Bilder doch nur verlinkt wie andere Dateien Wenn Sie es vorziehen mehrere Dateien in einer Zeile auszugeben zum Beispiel um die Anzahl der ben tigten Seiten beim Drucken zu minimieren bietet sich die M glichkeit an besonders lange Dateinamen und Pfadangaben nach einer benutzerdefinierten Anzahl von Pixel umbrechen zu lassen damit die Seitenbreite nicht berschritten wird 82 Es gibt eine M glichkeit nur von markierten Dateien eine Kopie zum Einbinden in den Fallbericht anzufertigen statt von allen oder gar keinen N tzlich wenn Sie alle relevanten Dateien in Ihrem Bericht zumindest erw hnen aber nur einen Teil davon zeigen m chten Dateien k nnen entweder gruppiert nach Asservat ausgegeben werden und innerhalb des Asservats aufsteigend nach interner ID oder in der Reihenfolge wie sie zum Zeitpunkt der Berichterzeugung im Asservat berblick aufgelistet sind wo Sie die Reihenfolge dank der bis zu 3 Sortierkriterien frei festlegen k nnen Wenn zum Zeitpunkt der Berichterzeugung gar keine Dateien im Asservat berblick aufgelistet sind weil e
350. rden wenn das Eltern Image auf das sie sich beziehen verf gbar ist und zuvor ge ffnet und interpretiert wird VMDK Images mit ESXi Host Sparse Extents auch Copy on Write Disks oder COWD genannt wie von ESXi Servern z B f r Snapshots von virtuellen Maschinen verwendet werden nicht unterst tzt Nur allozierte Bereiche in Images von virtuellen Maschinen sind editierbar Mit einer forensischen Lizenz kann WinHex auch e01 Evidence Files interpretieren die mit dem Befehl Datentr ger Sicherung erstellt werden k nnen It is also possible to interpret images of various kinds unsegmented raw images and most VHD VMDK VDI and nature disk volume even if they are stored within other images forensic disk images created by yourself without copying them off the outer image first That can save a considerable amount of time especially if after interpreting the contained image you can quickly see that it is not really relevant and of course also drive space First right click the image in the directory browser and open it with the context menu s Open command in a separate data window After that interpret the image using the command in the main menu And then once the volume snapshot has been taken if you think that the image is relevant you can add it to the active case as usually with the Add to active case command in context menu of the data window s tab or with the Add command in the Case Data window s File menu RAID System z
351. re Dateinamenserweiterungen die typischerweise f r diesen Dateityp benutzt werden z B jpg jpeg jpe Geben Sie die blichste Erweiterung zuerst an denn diese wird f r die Benennung wiederhergestellter Dateien verwendet Wird die erste Erweiterung au erdem in Gro buchstaben angegeben wird sie bei der Typpr fung f r die Typspalte verwendet auch wenn die Datei eine der alternativen plausiblen Dateiendungen hat Mehr 255 Zeichen unterst tzt 3 Spalte Header Eine eindeutige Header Signatur anhand derer Dateien dieses Dateityps erkannt werden k nnen Signaturen k nnen Er wird in GREP Syntax angeben Erl uterung unter Suchoptionen so da es m glich ist variable Byte Werte zuzulassen z B bedeutet xE1 xE2 Der Byte Wert k nnte OxEl oder OxE2 sein oder undefinierte Bereiche Die Maximall nge der repr sentierten Signatur betr gt 48 Bytes Um berhaupt geeignete charakteristische Dateiheader Signaturen herauszufinden ffnen Sie ein paar existierende Dateien des gew nschten Typs in WinHex und halten Sie nach bereinstimmenden Bytewerten nah dem Anfang der Dateien an identischen Offsets Ausschau 4 Spalte Offset Der relative Offset innerhalb einer Datei an dem die Signatur auftritt Oftmals einfach 0 Die Signatur mu innerhalb der ersten 512 Bytes enthalten sein 5 Spalte Footer Optional Eine Signatur Folge von Byte Werten die das Ende einer Datei verl lich anzeigt anzugeben in GREP Syntax Das
352. ren Vorteilen stehen zur Auswahl Dateiformat Evidence File Roh Image Dateiendung e01 Ze Barada Interpretierbar ja ja In Segmente aufteilbar ja ja Komprimierbar ja nein Verschl sselbar ja nein 175 Optionaler Hash integriert separat Optionale Beschreibung integriert separat Nur bestimmte Sektoren ja ja Auf Dateien anwendbar nein nein Automat Verwaltung nein nein Kompatibilit t ja ja Ben tigte Lizenzart forensisch privat Der gro e Vorteil von Evidence Files und Roh Images ist es da sie von WinHex wie die Original Datentr ger interpretiert werden k nnen mit dem entsprechenden Befehl im Specialist Men Daher sind sie auch geeignet f r den Gebrauch als Asservate in Ihren F llen Evidence Files sind im besonderen Ma e pr destiniert daf r da sie auch eine optionale Beschreibung einen integrierten Hash f r sp tere Verifizierung enthalten k nnen Roh Images sind sehr universell und k nnen leicht zwischen noch mehr forensischen Tools ausgetauscht werden als Evidence Files Alle Ausgabe Formate erlauben das Splitten in Segmente einer benutzerdefinierten Gr e Eine Segmentgr e von 650 oder 700 MB z B ist geeignet zum Archivieren auf CD Rs Evidence Files m ssen bei maximal 2047 MB gesplittet werden damit sie mit X Ways Forensics vor Version 14 9 und mit EnCase vor Version 6 und mit bestimmten anderen Tools kompatibel sind Mit einer forensisc
353. responsibility Signatures marked with the E flag upper case are never carved within other files to prevent the worst effects for example MPEG frames carved within MPEG videos zip records carved within zip archives eml html and mbox files carved within e mail archives hbin registry fragments carved within registry hives If you know what you are doing of course you could re move the E flag There is an option to apply the carving procedure recursively that means to files again that were already carved within other files This can lead to many duplicates if the outer file at level 1 is carved too big so that files can be carved in it that were also carved at level 0 the original file For situations were you want to carve embedded files that are not aligned at 512 byte boundaries in the original file you may make use of the extensive byte level option Files are never carved in 125 MFT The default settings will make X Ways Forensics conduct a file header signature searches at the byte level within pagefile sys files to find e mail fragments Ink shortcut files pictures etc 6 3 7 Extraktion von Einzelbildern aus Videos Eine forensische Lizenz erlaubt es JPEG Bilder aus Video Dateien zu extrahieren in benutzerdefinierten Zeitabst nden z B alle 20 Sekunden die dynamisch von der Spieldauer der Videos abh ngen k nnen Diese Funktionalit t wird angewandt auf Dateien deren Typ auf die angegebene Reihe von Dat
354. riffen werden kann Beachten Sie da diese Zugriffsmethode langsamer als die regul re sein kann Wenn die Verlangsamung betr chtlich ist informiert Sie WinHex dar ber und empfiehlt zur Stdardzugriffsmethode zur ckzukehren Die Wirkung der Zugriffsmethode 2 beschr nkt sich ebenfalls auf physische Festplatten Bei Alternativmethoden erlauben es einen Time Out in Millisekunden anzugeben nach dessen Ablauf Leseversuche abgebrochen werden Dies kann n tzlich sein beim Umgang mit Festplatten die defekte Sektoren aufweisen wenn das versuchte Lesen eines einzigen Sektors sonst zu einer Verz gerung von vielen Sekunden oder Minuten f hrt e Das Ersatzmuster f r nicht lesbare Sektoren kommt immer dann zum Einsatz wenn die eigentlich in Datentr ger Sektoren gespeicherten Daten aufgrund von Lesefehlern nicht ermittelt werden k nnen zur Anzeige auf dem Bildschirm beim Sichern von Datentr gern in eine Image Datei beim Klonen beim Hashen beim Suchen usw usf Wenn Sie Hash Werte von Datentr gern mit defekten Sektoren bilden und die Ergebnisse mit einem anderen Tool vergleichen reproduzieren m chten dann k nnen Sie hier das gleiche Muster angeben wie von dem anderen Tool verwendet Beachten Sie jedoch da es schwierig ist solche Hash Werte zu reproduzieren weil defekte Festplatten Sektoren sich im Laufe von mehreren Versuchen vermehren k nnen Wenn beim Versuch des Lesens von nicht lesbaren Sektoren Null Bytes zur ckgeliefert werden soll
355. rnen Bildanzeigebibliothek nicht anzeigen kann wie etwa emf wmf Sie k nnen w hlen zwischen normalen leicht geschrumpften und stark geschrumpften Miniaturansichten von Dokumenten Geschrumpfte Ansichten zeigen mehr Details und geben einen Eindruck vom urspr nglichen Layout von Dokumenten aber auf Kosten der Lesbarkeit Gr ere Schriftarten besonders berschriften im urspr nglichen Dokument wenn nicht zu stark verkleinert bleiben typischerweise in der Miniaturansicht lesbar und k nnen dem Betrachter bereits vermitteln um was f r eine Art von Dokument es sich handelt auch wenn man es nicht einsieht so da er wahrscheinlich schneller die Dokumente findet nach denen er Ausschau h lt Au erdem kann er bereits vorab sehen welche Dateien berhaupt in der Viewer Komponente h bsch dargestellt werden k nnen Es ist sehr empfehlenswert in Windows Aero zu aktivieren wenn man die Galerie mit der Option f r Nicht Bilder verwendet Dateien die gr er als 16 MB sind werden nicht mit einer Miniaturansicht dargestellt aus Gr nden des beschleunigten Galerieaufbaus X Ways Forensics versucht die Erzeugung einer Miniaturansicht abzubrechen wenn sie l nger als ein paar Sekunden dauert Wenn die Erzeugung fehlschl gt sehen Sie evtl Fehlermeldungen der Viewer Komponente wie Operation cancelled in kleinen roten Buchstaben in der Miniaturansicht Wenn die Erzeugung von X Ways Forensics nicht mal versucht wird sehen Sie nur den Da
356. ronologically Skype Chat Sync internal creation from miscellaneous file types including Exif timestamps from photos JPEG GPS Unix Linux Macintosh system logs These events are practically of significance especially for USB device history examinations Weitere speziellere Ereignisse als nur Standard Registry Zeitstempel werden optional ausgegeben wenn man einen Registry Bericht erzeugt in Abh ngigkeit von den verwendeten Berichtsdefinitionen The event type is displayed in gray if the timestamp is a previously valid timestamp for example such as those found in NTFS in 0x30 attributes or index records of INDX buffer slack or in LogFile Timestamps from 0x30 attributes in NTFS file systems are output as events only if actually different from their 0x10 counterparts and not identical to the 0x30 creation timestamp They are 102 marked as 0x30 in the Event Type column Malware might give itself harmless looking timestamps after deployment so that it does not seem to be related to the time of intrusion infection The 0x30 attribute timestamps however remain unaltered except if the file is renamed or moved later and that is the reason why some examiners are interested in them If the time frame of intrusion infection is known related files would be found in the event list thanks to the original 0x30 attribute timestamps 0x30 timestamps are marked in the event list with an asterisk if they are later than the corresponding 0x1
357. rpretierten Images mit anderen Daten berlagern Das kann n tzlich sein wenn Sie kleinere vor bergehend erforderliche nderungen an den Daten in den Sektoren innerhalb des Programms vornehmen m ssen um die Daten intern richtig interpretiert zu bekommen wenn Sie aber die Daten auf dem Datentr ger oder im Image selbst nicht ndern m chten oder d rfen oder nicht k nnen weil es sich nicht um ein Roh Image sondern ein e01 Evidence File handelt und auch nicht eine weitere komplette Arbeitskopie eines Images von z B 2 TB Gr e erzeugen m chten wenn nur Byte ge ndert werden mu Solche Anpassungen k nnen vonn ten sein z B in F llen in denen eine Partitionstabelle oder Dateisystem Metadaten leicht falsche Werte enthalten in denen lediglich das Fehler einer bestimmten Signatur WinHex davon abh lt das Dateisystem zu erkennen oder in denen ein einziges umgekipptes Bit verhindert da WinHex MFT in NTFS findet oder lediglich ein falsches Nibble das Erkennen einer Partition als eine LVM2 Container Partition vereitelt usw usf In solchen Situationen k nnen Sie die korrigierten Daten manuell bereitstellen und ber die gelesenen Daten legen und dann hoffentlich ohne weitere Probleme mit dem Datentr ger bzw dem Image arbeiten und alle Partitionen und Dateien aufgelistet bekommen als ob alles in Ordnung w re Diese Funktionalit t ist gedacht f r fortgeschrittene Benutzer die nicht so leicht aufgeben wenn sie zun chst nichts se
358. rschau Modus im Verzeichnis Browser ausw hlen und beim Wechseln in den Roh Modus die Umschalt Taste gedr ckt halten 93 Wenn Sie sich nicht f r jeden einzelnen Suchtreffer interessieren sondern lediglich daf r welche Dateien zumindest einen der spezifizierten Suchbegriffe enthalten kann eine logische Suche stark beschleunigt werden indem Sie X Ways Forensics anweisen nur maximal einen Treffer pro Datei aufzuzeichnen und dann gleich mit der n chsten Datei fortzufahren Die sich daraus ergebende Suchtrefferliste ist dann systematisch unvollst ndig und Sie k nnen nicht davon ausgehen da der eine ausgegebene Treffer pro Datei gerade ein f r Sie besonders n tzlicher oder aussagekr ftiger ist oder da bei mehreren Suchbegriffen gerade ein Treffer f r einen Ihnen besonders wichtigen Suchbegriff ausgegeben wird Es ist allerdings gew hrleistet da die Suchtrefferliste alle Dateien enth lt f r die es mind einen Treffer mit irgendeinem der verwendeten Suchbegriffe gab und zwar jede Datei nur einmal Eine solche Liste ist ausreichend und effizient um die betroffenen Dateien manuell einzusehen sie mit Kommentaren zu versehen sie aus einem Image herauszukopieren sie an andere Ermittler in Form eines Containers weiterzugeben usw Beachten Sie da es nat rlich nicht m glich ist Suchbegriffe mit einem logischen UND zu verkn pfen wenn nur 1 Treffer pro Datei gespeichert wird Diese Konsequenz wird von arglosen Benutzer oft v
359. rschl sselt sind Theoretisch gibt es kein Limit f r die Verschachtelungstiefe die verarbeitet werden kann also Archive in Archiven in Archiven Wenn die Dateien in einem Archiv verschl sselt sind werden sie mit einem e 121 in der Attributspalte gekennzeichnet und das Archiv selbst mit e Das erm glicht es solche Dateien effizient mit dem Attributfilter zu finden Dokument Dateien von MS Office 2007 2010 2013 LibreOffice OpenOffice und iWork sind technisch gesehen typischerweise ebenfalls Zip Archive und werden standardm ig auf dieselbe Art verarbeitet Sie k nnen solche Dateien von der Verarbeitung ausnehmen wenn Sie oder die Empf nger etwaiger von Ihnen erstellter Datei Container die Dokumente lediglich als ganzes einsehen m chten und keine eingebetteten Bilder oder XML Dateien einzeln und auch keine Metadaten aus diesen XML Dateien zu extrahieren brauchen und etwaige verschachtelte Dokumente in Dokumenten eingebettete andere Dokumente sofern gew nscht selbst erkennen k nnen Es gibt noch viele weitere Dateitypen die technisch gesehen Untertypen von Zip sind und nur optional verarbeitet werden Zip Untertypen deren Inhalte normalerweise irrelevant sind sind z B jar apk und ipa aber spezielle Interessengruppen wie Malware Ermittler sehen das evtl anders Die Entscheidung liegt bei Ihnen Beachten Sie da Sie zur korrekten Verarbeitung von Dateinamen mit Nicht ASCII Zeichen in Zip Archiven in den
360. rsetzt werden 2 5 Datumstypen Die folgenden Datumsformate werden vom Daten Dolmetscher unterst tzt e MS DOS Datum amp Zeit 4 Bytes Das niederwertige Word bestimmt die Zeit das h herwertige das Datum Wird von zahlreichen DOS Funktionen und von den FAT Dateisystemen benutzt Sekunden geteilt durch 2 Minuten 0 59 e Win32 FILETIME 8 Bytes Ein ganzzahliger 64 Bit Wert der die Anzahl der seit dem 1 Januar 1601 vergangenen 100 Nanosekunden Intervalle angibt Wird in der Win32 API benutzt e OLE 2 0 Datum amp Uhrzeit 8 Bytes Ein Gleitkommawert Double dessen ganzzahliger Bestandteil die Zahl der seit dem 30 Dezember 1899 vergangenen Tage angibt Datum Der Bruchanteil wird als die Uhrzeit interpretiert z B 1 4 6 00 Uhr Dies ist der OLE 2 0 Standarddatumstyp Er wird bspw auch von MS Excel verwendet ICQ 7 0 verwendet OLE 2 0 Zeitstempel in Big Endian f r Chat Nachrichten e ANSISQL Datum amp Uhrzeit 8 Bytes Zwei aufeinanderfolgende ganzzahlige 32 Bit Werte Der erste gibt die Anzahl der seit dem 17 November 1858 vergangenen Tage an Datum Der zweite bestimmt die Anzahl der seit Mitternacht vergangenen 100 Mikrosekunden Intervalle Uhrzeit Dieser Datumstyp ist ANSI SQL Standard und wird in Datenbanken verwendet u a in InterBase 6 0 e UNIX C FORTRAN Datum amp Uhrzeit 4 Bytes Ein ganzzahliger 32 Bit Wert der die Anzahl der seit dem 1 Januar 1970 vergangenen Sekunden angibt Dieser
361. s Erzeugt au erdem Vorschauen f r Internet Explorer index dat Dateien auch k nstlich bei der Datei Header Signatur Suche aus Einzel Datens tzen zusammengesetzten und WebCacheV dat Dateien von Internet Explorer 10 auch von UsnJrnl J und Windows Event Logs evt und evtx Rekonstruiert dar berhinaus einen Browser Verlauf aus Safaris Icon Datenbank Diese alternative Quelle ist sehr interessant weil sie die Besuchshistorie auch dann aufzeichnet wenn Safari im Private Browsing Mode betrieben wird Die HTML Repr sentation von index dat Dateien Verwaltung von Browser Cache und Verlauf des Internet Explorer enth lt eine Spalte aus der man den Offset des Datensatzes innerhalb der Datei ablesen kann an dem dem die Daten der betreffenden Zeile gefunden wurden Dieser Offset ist mit einem Link hinterlegt Wenn Sie diesen anklicken navigieren Sie automatisch zu dem Offset in der zugeh rigen index dat Datei im Datei Modus Es ist als bequem die von X Ways Forensics aus dem dort gespeicherten Datensatz extrahierten Informationen selbst zu berpr fen Beachten Sie da dies nicht dann funktioniert wenn der Link nicht in 2 Zeilen umgebrochen wurde was in v8 4 der Viewer Komponente passiert aber nicht in v8 3 7 Man kann nat rlich immer noch manuell zu dem Offset navigieren Die HTML Unterobjekte die erzeugt werden k nnen nicht nur intern von X Ways Forensics zur Bereitstellung einer Vorschau des Elternobjekts verwendet werden Sie k
362. s W rter wie basketball positions 10 9 Buchstaben oder skyscraper architecture 10 12 Buchstaben finden Aber wie immer werden die Bestandteile nur bis zur indexierten Wortl nge gefunden was kein Problem ist weil es nicht viele andere W rter als basketball und skyscraper gibt die mit basketb bzw skyscra beginnen Tats chlich werden neben Leerzeichen auch andere nicht indexierte Worttennzeichen gefunden wenn Sie nach Begriffen mit Leerzeichen suchen z B Bindestriche so da Sie auch Spider Man und Lebkuchen Herz finden wenn Sie nach spider man und Lebkuchen Herz suchen oder Unterstriche wie in konto nummer k nnte in einem Dateinamen wie konto nummer hm vorkommen oder Pluszeichen wie in credittcard z B blich in Such URLs von Google wenn man nach englischen Doppelw rtern mit Leerzeichen sucht oder Punkte wie in Interview pdf Daher sind in dieser Hinsicht Index Suchen noch m chtiger als konventionelle Suchen Leerzeichen als Teil von W rtern zu definieren ist falsch 6 4 Wissenswertes zur Erweiterung des Datei berblicks Sollte X Ways Forensics w hrend der Verarbeitung einer Datei einfrieren denken Sie daran da die interne ID und er Name der zuletzt bearbeiteten Datei in den kleinen Fortschrittsanzeigefenster angezeigt werden Wenn diese Operation auf ein Asservat angewandt wird und X Ways Forensics w hrend dessen bei einer bestimmten Datei abst rzen wird Ihnen beim Neustart des Programms d
363. s XP Windows 2003 Server Windows Vista 2008 Server Windows 7 Windows 8 Windows 2012 Server Windows 8 1 Windows 10 Technical Preview 32 Bit und 64 Bit Standard PE und FE bersetzung der Benutzeroberfl che Chinesisch Sprite Guo Japanisch Takao Horiuchi und Ichiro Sugiyama Franz sisch Jer me Broutin und Henri Pouzoullic aktualisiert von Bernard Lepr tre Spanisch Jos Maria Tagarro Marti Italienisch Fabrizio Degni aktualisiert von Michele Larese de Prata und Andrea Ghirardini Portugiesisch Heyder Lino Ferreira Polnisch ProCertiv Sp z 0 0 LLC F r besonders zahlreiche und ma gebliche Anregungen zur Entwicklung von X Ways Forensics und X Ways Investigator geb hrt unser Dank dem Landeskriminalamt Rheinland Pfalz Dank an Dr A Kuiper f r seine Methode Videos mit MPlayer zu verarbeiten Zu den professionellen registrierten Benutzern Liste seit ca 12 Jahren nicht mehr gepflegt geh ren Universit ts und nationale Forschungseinrichtungen z B das Institut f r Informatik der Technischen Universit t M nchen das Deutsche Zentrum f r Luft und Raumfahrt die Technische Versuchs und Forschungsanstalt der Technischen Universit t Wien das Institut f r Astronomie der Universit t Wien das Oak Ridge National Laboratory in Tennessee USA Beh rden wie die Bundesstelle f r Flugunfalluntersuchung das Landeskriminalamt Rheinland Pfalz das Landeskriminalamt Niedersachsen das Zollkriminalamt K ln die Kriminalpo
364. s erlaubt alle Editierfenster mit einem einfachen Mausklick anzuw hlen Die Informationsspalte die Details ber das editierte Objekt Datei Datentr ger RAM auff hrt wird auch optional angezeigt Schablonen Manager Tabellen Diese Funktion stellt Ihnen bersichtstabellen zur Verf gung in denen Sie zu Hexadezimal Werten von 0 bis FF die Entsprechungen in Dezimalschreibweise im IBM ASCII ANSI ASCIH und EBCDIC Format ablesen k nnen Zeilen amp Spalten Rollen synchronisieren Synchronisiert bis zu vier Fenster auf identische absolute Offsets Halten Sie die Umschalt Taste beim Aufrufen dieser Funktion gedr ckt um die Fenster dazu nebeneinander statt bereinander anzuordnen Synchronisieren und vergleichen Synchronisiert bis zu vier Fenster und zeigt unterschiedliche Bytewerte gesondert an Wenn nicht mehr als zwei Fenster beteiligt sind h lt WinHex beim Rollen immer den anf nglichen Abstand zwischen Offsets der ersten angezeigten Bytes in den beiden Editierfenstern aufrecht Nicht auf absolute Offsets zu synchronisieren ist n tzlich z B beim Vergleich zweier Kopien der Dateizuordnungstabelle die ja an unterschiedlichen Offsets liegen Sie k nnen zum n chsten bzw vorherigen verschiedenen Byte springen indem Sie die zus tzlich in einem der beteiligten Editierfenster bereitgestellten Schalter anklicken Anzeige aktualisieren Erneuert die Anzeige im aktiven Editierfenster Falls die aktuelle Datei 62 von einem ex
365. scher und in Schablonen ist optional In den Daten Dolmetscher Optionen k nnen Sie die Zerlegung nun entweder wie bisher erzwingen wenn ganz angekreuzt oder sie verhindern um immer die Standard GUID Notation in geschweiften Klammern zu sehen oder die Zerlegung nur dann vornehmen zu lassen wenn auch die Zeitstempel einigerma en plausibel ist wenn halb angekreuzt Letzte Einstellung ist n tzlich z B f r Apple GPT Werte die vorgeben GUIDs der Version 1 zu sein aber tats chlich verdrehten ASCII Text statt g ltige Zeitstempel enthalten Hinweise e Nicht alle Hex Werte k nnen in Gleitkomma Zahlen bersetzt werden Wenn eine bersetzung nicht m glich ist erscheint die Angabe NAN not a number im Daten Dolmetscher e Ebensowenig k nnen alle Hex Werte als Datumswerte jeden Typs bersetzt werden Manche Datumstypen haben stark eingeschr nkte g ltige Wertebereiche e Redundanzen im Befehlssatz der Intel Prozessoren schlagen sich in mehrfach vorkommenden Opcodes und mnemonischen Abk rzungen nieder Floating Point Befehle werden im Daten Dolmetscher nur als F angezeigt Beschreibungen der den mnemonischen Abk rzungen entsprechenden Befehle k nnen von Intel ber das Internet bezogen werden Das Dokument hei t Intel Architecture Software Developer s Manual Volume 2 Instruction Set Reference und liegt im PDF Format vor 3 7 Positions Manager In dem Positions Manager genannten Fenster k nnen unbegrenzt
366. se machen deutlich da die aktuelle Ansicht wegen aktiver Filter unvollst ndig ist und sie erm glichen es Ihnen auch alle Filter mit einem einzigen Mausklick zu deaktivieren um sicherzustellen da Sie keine Datei bersehen wenn Sie den Filter nicht mehr wollen Sie k nnen spaltenbasierte Filter mit einem einzigen Mausklick auf das Filtersymbol im Spaltenkopf aktivieren oder deaktivieren wenn Sie gleichzeitig die Umschalt Taste gedr ckt halten Die Optionen des betreffenden Filters bleiben in diesem Fall unver ndert The filters have been given some intelligence when navigating from a parent file to a child file or vice versa so that the filters know when it s a good time to be turned off For example If you are using a filter to focus on all extracted e mail messages recursively and then you dou ble click an individual e mail message to have a look at its attachments in the directory browser the filter is automatically deactivated so that you can actually see these attachments A simple click on the Back button returns to the previous point of exploration and restores the previous filter settings and the last selection so that you can easily continue reviewing the next e mail message If you are using a filter to focus on videos or documents and then you double click a video or a document to see the video stills exported for that video or the embedded pictures in that docu ment respectively the filter is automatically d
367. separaten Verzeichnis erlaubt es nach unvollst ndigen berresten bekannter Dateien die von entscheidender Bedeutung sind blockweise auf anderen Datentr gern zu fahnden 105 Das ber das Extras Men erreichbare Dialogfenster zum Verwalten der aktiven Hash Datenbank en erlaubt es e mit einer neuen leeren Datenbank die Arbeit zu beginnen und die ggf schon bestehende aktuelle Hash Datenbank zu verwerfen ber den Befehl Initialisieren wobei auch ein neuer Hash Typ ausgew hlt werden kann e eine Liste der in der Hash Datenbank enthaltenen Hash Sets einzusehen e Hash Sets umzubenennen e Hash Sets miteinander zu verschmelzen beachten Sie da doppelte Hash Werte im resultierenden Hash Set nicht sofort entfernt werden sondern erst das n chste Mal wenn Sie ein Hash Set hinzuf gen und beachten Sie auch da Sie nicht gewarnt werden wenn Sie Hash Sets unterschiedlicher Kategorien verschmelzen e Hash Sets zu l schen e die Kategorie jedes Hash Sets zu anderen e die Integrit t der Hash Datenbank zu berpr fen e ausgew hlte Hash Set Dateien zu importieren e alle Hash Sets in einem bestimmten Verzeichnis und dessen Unterverzeichnissen zu importieren dito optional in ein einziges internes Hash Set dessen Namen Sie angeben k nnen e ausgew hlte Hash Sets zu exportieren z B wenn Sie individuelle Hash Sets mit anderen Ermittlern austauschen m chten aber nicht die gesamte Hash Datenbank e und zwischen de
368. ser 8 2 Dateien retten nach Typ Datei Header Signatursuche Datenrettungsfunktion im Extras Men und auch eine Strategie zum Auffinden ehemals existierender Dateien als Teil der Befehls Datei berblick erweitern Erkennt Dateien an bestimmten Header Signaturen also an einer f r den jeweiligen Dateityp charakteristischen Bytewert Folge Wird auch als File Carving bezeichnet Aufgrund dieses Ansatzes ist File Carving nicht vom Vorhandensein von funktionierenden Dateisystemstrukturen abh ngig Wenn anhand der Signatur gefunden werden die Dateien in dem von Benutzer angegebenen Ausgabeordner gespeichert Dateien retten nach Typ bzw in einem virtuelle Verzeichnis des 142 Datei berblicks blo aufgelistet Datei Header Signatursuche Optional werden Dateien jedes Typs in ihrem eigenen Unterordner abgelegt JPEG HTML usw Beachten Sie da File Carving physisch zusammenh ngende Cluster voraussetzt also im Fall von fragmentiert gespeicherten Clusterketten inkonsistente Dateien ausgibt Eine Log Datei namens File Recovery by Type log die ber die gew hlten Parameter und die Datenrettungsergebnisse Auskunft gibt wird zu Pr fzwecken ebenfalls in den Ausgabeordner geschrieben Sie k nnen den gesamten Dateityp Baum in diesem Dialogfenster per Schalter aufklappen oder einklappen Das ist n tzlich weil Sie bei aufgeklapptem Baum komfortablerweise durch Eintippen der ersten paar Buchstaben einer Dateityp Besc
369. ser usage External Memory Devices is a table which can be retrieved from Software hives of Windows Vista and later that lists external media with access timestamps hardware serial number volume label volume serial number and volume size size often only under Vista Select the definition file Reg Report Devices txt to get the table 5 9 Parallele Suche Dieser Befehl im Suchen Men ist verf gbar f r Inhaber von Specialist und forensischen Lizenzen verf gbar und bietet alle Optionen nur f r Inhaber von forensischen Lizenzen Diese Suche arbeitet parallel in dem Sinn da sie Sie nach nach einer praktisch unbegrenzt langen Liste von Suchbegriffen zugleich suchen l t 1 pro Zeile Die Vorkommnisse dieser Suchbegriffe werden gespeichert und aufgelistet in der Suchtrefferliste eines Asservats f r forensische Lizenzen beim Arbeiten mit einem Fall oder im allgemeinen Positions Manager Sie k nnen die parallele Suche einsetzen um systematisch mehrere Festplatten oder Image Dateien in einem einzigen Durchlauf nach W rter zu durchsuchen wie Droge Kokain umgangssprachliches Synonym Nr 1 f r Kokain umgangssprachliches Synonym Nr 2 f r Kokain umgangssprachliches Synonym Nr 3 f r Kokain umgangssprachliches Synonym Nr 3 f r Kokain in alternativer Schreibweise Name von H ndler Nr 1 Name von H ndler Nr 2 Name von H ndler Nr 3 usw Die Suchtreffer verm gen die Untersuchung einzuschr nken auf e
370. servat Pfad Elter Name Unterobjekte Gr e Erzeugung nderung Zugriff PageMaker Dokument eine Pegasus Datei oder eine X11 Pixmap Datei nur forensische Lizenz Dateityp Kategorie zu der der Dateityp geh rt gem Definition in File Type Categories txt s u Filter verf gbar Sollte derselbe Dateityp bzw dieselbe Dateiendung mehrfach definiert sein und zu unterschiedlichen Kategorien geh ren wird jeweils nur eine Kategorie angezeigt Der Kategoriefilter funktioniert jedoch trotzdem Der Kategoriefilter kann mit einem aufklappenden Men aktiviert werden In demselben Men sehen Sie auch eine Statistik ber die Anzahl der Dateien in jeder Kategorie die gegenw rtig im Verzeichnis Browser aufgelistet sind bzw bei ausgeschaltetem Kategoriefilter aufgelistet w rden nur forensische Lizenz Der Name des Asservats dessen Teil die Datei oder das Verzeichnis ist N tzlich in einem rekursiv erkundeten Asservat berblick wenn also der Verzeichnis Browser alle Dateien aus allen Asservaten zeigt nur forensische Lizenz Pfad der Datei oder des Verzeichnisses F ngt mit einem umgekehrten Schr gstrich an relativ zum Stammverzeichnis des Dateisystems Filter verf gbar Die Filterausdr cke werden als Teilworte interpretiert die auf einen beliebigen Teil des Pfades passen k nnen Jokerzeichen sind nicht erforderlich Beide Spalten sind mit Filtern ausgestattet Der Filter f r Unterobjekte erlaubt es Ihn
371. ses im Fallbaum mit der rechten Maustaste gedr ckt halten Denken Sie daran wenn Sie einen Teilbaum komplett rekursiv ausklappen m chten k nnen Sie dazu die Wurzel dieses Teilbaums anklicken und die Multiplikationstaste auf dem Nummernblock der Tastatur dr cken Externe Dateien anh ngen This command in the context menu of the Case Data window allows to attach external files as child objects to their original counterparts after decrypting translation convertion OCRing in multiple evidence objects at the same time automatically if they are named after the unique ID of the original files You can name the files after the unique ID when you copy them off the image with the Recover Copy command and you do not need to preserve the path as the unique ID already fully identifies the file Useful if you wish to apply external tools to the copied files which have problems with overlong paths if you wish to bring back the result into the volume snapshot The command to attach external files based on unique ID can be found in the context menu of the case 5 2 Mehrbenutzerf higkeit f r gr ere Verfahren X Ways Forensics und X Ways Investigator bieten seit v17 5 erweiterte Unterst tzung f r eine arbeitsteilige Auswertung durch mehrere Benutzer Ermittler im selben Fall wobei die Software diese Benutzer anhand ihrer Benutzerkonten in Windows unterscheidet und ihre Ergebnisse getrennt verwaltet Die Benutzer k nnen dieselben Asservate dess
372. sleiste k nnen Sie von absoluter Offset Darstellung Standard auf relative Datensatz Offsets umschalten Dies ist n tzlich wenn die von Ihnen im Hex Editor untersuchten Daten aus gleich langen Datens tzen bestehen Nachdem Sie deren L nge angegeben haben wird Ihnen f r die aktuelle Cursorposition anstelle des absoluten Offsets jeweils die Nummer des Datensatzes und der relative Offset darin angezeigt Ein Rechts Klick auf das 3 Feld der Statusleiste erlaubt es au erdem die vier Hex Werte an der aktuellen Cursorposition in umgekehrter Reihenfolge in die Zwischenablage zu kopieren Dies ist n tzlich beim Verfolgen von Zeigern 3 6 Daten Dolmetscher Der Daten Dolmetscher ist ein kleines Fenster das bersetzungsm glichkeiten f r die Daten an der aktuellen Cursorposition anbietet Ob er angezeigt wird oder nicht kann ber das Anzeigen Men gesteuert werden nicht ber die Optionen des Daten Dolmetschers Manche Benutzer von WinHex glauben da der Daten Dolmetscher die Daten in einem ggf definierten Block bersetzt Das ist aber nicht der Fall Was f r ein Block definiert ist ist v llig egal Der Daten Dolmetscher bersetzt immer die Daten von dem Byte an der aktuellen Cursorposition an In den Optionen k nnen Sie einstellen welche Datentypen zu ber cksichtigen sind Zur Verf gung stehen diverse ganzzahlige Datentypen standardm ig in dezimaler Schreibweise optional hexadezimal oder oktal die Bit Darstellung eines
373. sprechende Option eingeschaltet ist weil sie eine h here Priorit t hat Eine Datei die als umbenannt verschoben gekennzeichnet ist wird bei aktiver Daten reduktion ebenfalls nicht durchsucht sofern die Suche prinzipiell auf alle und nicht nur markierte oder ausgew hlte Dateien angewandt wird da die Datei dann auch bereits unter ihrem aktuellen Namen in ihrem aktuellen Pfad durchsucht wird Wenn docx pptx xIsx odt odp ods pages key numbers f r die Suche decodiert werden werden die darin enthaltenen XML Dateien mit dem Hauptinhalt document xml content xml index xml sowie im Fall von pages etwaige Preview pdf 94 ebenfalls ausgelassen um redundante Suchtreffer zu vermeiden Dateien mit rotem X als Icon werden nicht durchsucht es sei denn sie werden gezielt ber Auswahl oder Markierung adressiert In NTFS k nnen Dateien mit echten harten Verweisen also nicht nur trivialen SFN Verweisen optional nur einmal durchsucht und indexiert zu werden Heutzutage existieren in Windows Installationen oft zwischen 10 000 und 100 000 harte Verweise von System Dateien z B 27 St ck zu einer Datei wie Ph3xIB64MV dll in Verzeichnissen der Art Windows System32 DriverStore FileRepository ph3xibc9 inf amd64_neutral_ff3a566 Windows System32 DriverStore FileRepository ph3xibc2 inf amd64_ neutral 7621f5 Windows System32 DriverStore FileRepository ph3xibc5 inf_amd64 neutral 22703 Windows winsxs amd64_ph3
374. sseren visuellen Unterscheidung jeden zweiten Datensatz mit einer gesonderten Hintergrundfarbe anzeigen lassen Die Farbe kann im Dialog Allgemeine Optionen bestimmt werden Au erdem bietet WinHex die Anzeige der aktuellen Datensatz Nummer und des Offsets innerhalb dieses Datensatzes also des relativen Offsets in der Statusleiste an Das alles basiert auf der Datensatzgr e und dem Offset des ersten Datensatzes wie Sie es im Dialogfenster Datensatz Darstellung angeben Wenn Sie eines der beiden Datensatz Features einschalten erlaubt es der Befehl Offset aufsuchen auch die aktuelle Cursorposition um ein Vielfaches der aktuellen Datensatzgr e zu verschieben Wenn relative Datensatz Offsets aktiv sind bewegen die Bild auf ab Tasten den Cursor in Einheiten der Datensatzgr e au erwenn wenn Sie die Strg Taste gedr ckt halten Anzeigen Das Falldaten Fenster ist Teil der forensischen Benutzeroberfl che von WinHex X Ways Forensics und f r die Bearbeitung von F llen erforderlich das hei t auch da das Ausblenden des Fensters einen etwaigen ge ffneten Fall schlie t Der Verzeichnis Browser ist f r logische Laufwerke Partitionen verf gbar die mit dem Disk Editor ge ffnet wurden Der Daten Dolmetscher ist ein kleines Fenster das bersetzungsm glichkeiten f r die Daten an der aktuellen Cursorposition anzeigt Die Symbolleiste wird ebenfalls optional angezeigt Das gleiche gilt f r die Registerleiste die e
375. ssnnsnnsnnne 73 5 1 Fallbe rbeit ung n en an EES e 73 5 2 Mehrbenutzerfahigkeit f r gr ere Verfahren 75 II 5 3 Asservate Beweisobjekleni n unsern ee all He te dees 79 5 4 kallprotokoll aa ae ee ere TEE 81 5 5 ee EE 82 5 6 Betichtst bellen 2 nn eiserne nissan E 84 5 7 Interner EE 86 5 8 Registry Ber ChE a 22 283208 EE ae 89 5 9 Parallele Suche 3 ssiay nonmen ranes HE dst a a A E E A A ASe 91 SELWER EE E EE 92 Dell Suchtrefferlisten arle er Benni Re srana een E 96 3 12 Suchbegniftsliste r s82 0 eier Zeen ee deeg ER 97 5 13 Besonderheiten der Trefferzahl in Suchbear fTfslteten ee 100 SJA Efeisnislisten na nn ern deet 101 9 15 FileType Categories torrenten eine Ri RP Eh TER irn 103 5 16 Hash Datenbanks 2 2n 2a eek E A mens a retro era 105 21 RE E 107 5 18 E ee EE 107 5 19 EE Ee CET E 109 520 Zugeh rige Objekte 2 22 ne sun Minketnlsi silence 112 5 21 Schnittstelle f r externe Analyse 112 Datei berblick es en ee 113 6 1 leet eer eege EES 113 6 2 Erweiterung auf Volume JSektor Ebene 114 621 X Tensions ausf hren 34 822 213 HR IHRE lei 114 6 2 2 Dateisystem Datenstruktur Suche besonders intensiv eeeeseessnssensennseenneennnnn een 114 6 2 3 Dater Header Sgnatur Suche nn essen ernennen 116 6 2 4 Blockweise hashen und abgleichen ccccccssecsseeseesseessecesecnseceseeeecseeeeeeeseeeeeaeeeseeeeeesaes 117 6 3 Erweiterung uf Datei Ebene 2 4 E R8s20 a Zur E
376. st v17 5 allows you to review the processing history of a case in its properties This reveals which versions were used on it recorded only by v17 3 SR 10 and later v17 4 SR 4 and later and v17 5 and later and by which users recorded only by v17 5 and later You may turn off Coordinate processing by simultaneous users more carefully for some per formance benefits there is only user ofa case at a time There is an option to always suggest shared analysis mode when opening a case That mode can be useful even for the first of many simultaneous users that open the same case because only in that mode newly created report table associations are shared out to other simultaneous users at regularly intervals depending on the case auto save option Weitere M glichkeiten zur verteilten Auswertung Option 1 Mehrere Anwender von X Ways Forensics k nnen gleichzeitig in ihrer jeweils eigenen Kopie desselben Falls arbeiten immer sowohl die xfc Datei kopieren als auch das zugeh rige Unterverzeichnis und ihre Ergebnisse untereinander austauschen oder alle Ergebnisse in der Hauptkopie des Falls zusammenfassen indem sie Berichtstabellenverkn pfungen d h ihre Kategorisierung aller relevanten Dateien und E Mails exportieren und importieren Option 2 Potentiell relevante Dateien werden aus den Originalasservaten in mehrere Datei Container kopiert Diese Container werden dann von verschiedenen Ermittlern gleichzeitig in neu erstellten F llen in X
377. t Beschreibung der Art des Suchtreffers Codepage Unicode ob in decodiertem Text ob im Schlupf gefunden Suchtreffer mit Kontextvorschau Wenn der logische relative Offset in grau angezeigt wird dann ist es kein Offset in der betreffenden Datei sondern in derem decodierten Text Zus tzliche Spalten f r Ereignislisten Zeitstempel Ereignistyp Ereigniskategorie Beschreibung 3 4 Modus Schalter Beim Untersuchen eines logischen Laufwerks einer Partition oder einer Image Datei mit einem Dateisystem das von WinHex unterst tzt wird gibt es mehrere Schalter die die Anzeige in der unteren H lfte des Fensters unter dem Verzeichnis Browser bestimmen Erfordert eine forensische Lizenz Disk Partition Volume Container Ehem Sektoren genannt zeigt diese Standard Ansicht die bin ren Daten in allen Sektoren der vom aktiven Datenfenster repr sentierten Platte Partition bzw des Volumes Container als Hexadezimal Code als Text oder als beides Offsets und Sektornummern beziehen sich auf den Anfang der jeweiligen Platte Partition bzw des Volume Containers 34 Datei Sieht dem Modus Disk Partition Volume Container hnlich zeigt aber nur die Cluster an die der Datei oder dem Verzeichnis zugeordnet sind die bzw das aktuell im Verzeichnis Browser ausgew hlt ist in der Reihenfolge wie von der Datei verwendet defragmentiert falls fragmentiert dekomprimiert falls komprimiert mit Offsets relativ zum Anfang der Datei Wenn Sie
378. t vielleicht als Standardfunktionsweise und halten es sowieso f r normal Das Flag hat nur dann eine Wirkung wenn die Datei Header Signatur an einer Sektorgrenze gefunden wurde g kleingeschrieben Weaker version of the same flag Only if an internal file size detection al gorithm exists for a file type and if a file with the same start sector number exists already with the same file size as detected the g flag will cause X Ways Forensics to skip the affected sectors This can help to prevent overlapping zip files and thereby avoid potentially many contained du plicate files S Marks signatures that are good enough for the file header signature search probably in con junction with a carving algorithm but not for file type verification because of occasional mis identifications This flag should be very rarely needed t Signalisiert X Ways Forensics da der Typ von gecarvten Dateien nicht sofort als best tigt dargestellt werden soll N tzlich z B f r Dateiformat Familien wie XML damit der exakte Untertyp spater bei der Dateityp Priifung bestimmt werden kann e Steht fiir eingebettet Wenn ein Dateityp einen Tilde Algorithmus in der Footer Spalte aufweist und mit diesem Flag gekennzeichnet ist wird er eingebettet in bestimmten anderen Dateien beim Erweitern des Datei Uberblicks gesucht immer auf Byte Ebene E Wird niemals signaturm ig eingebettet in anderen Dateien gesucht W gro geschrieben Identifizier
379. t It is That means there is a word boundary before the m Next XWF needs to check whether n and s are word characters Both are That means that after the n there is no word boundary Hence the three letters man within mansion are not considered a whole word occurrence of man Suchrichtung Bestimmen Sie ob von vorne bis hinten oder von der aktuellen Position an ab oder aufw rts gesucht werden soll Bedingung Offset modulo x y Der Suchalgorithmus erfa t nur Vorkommnisse an Offsets die die genannte Bedingung erf llen Wenn Sie bspw Daten suchen von denen Sie wissen da sie an Position 10 eines Festplatten Sektors stehen geben Sie x 512 und y 10 an Wenn Sie DWORD ausgerichtete Daten suchen verwenden Sie x 4 y 0 um irrelevante Treffer auszuschlie en Nur im Block suchen Es wird nur derjenige Teil der Datei des Datentr gers des virtuellen Speichers durchsucht der innerhalb des Blockes liegt In allen ge ffneten Fenstern suchen Die Suche wird der Reihe nach in allen in WinHex offenen Editierfenstern durchgef hrt Wird WinHex in einem Fenster f ndig kann die Suche danach im selben Fenster normal fortgesetzt werden durch F3 zum n chsten Fenster geht WinHex mit der Funktion Globale Suche fortsetzen F4 ber Wenn Nur im Block suchen aktiviert ist wird in jedem Fenster nur der dort festgelegte Block durchsucht Fundstellen z hlen und speichern Die Anzahl der Vorkommnisse des gesuchten Texts
380. t eine etwaige Sortierung nach Zeiten immer noch von absoluten UTC Zeiten ab Optional k nnen Sie direkt im Verzeichnis Browser bei jeder Zeitangabe sehen wie viele Stunden tats chlich f r die Umrechnung in Ortszeit zu UTC addiert oder von UTC subtrahiert wurden s Verzeichnis Browser Optionen Zeitstempel auf FAT Partitionen werden nie umgerechnet da diese nicht in UTC gespeichert sind sondern auf einer oder mehreren unbekannten lokalen Zeitzonen basieren Zeitstempel aus Dateisystemen die die Zeitzone explizit speichern werden intern in UTC umgerechnet und dann zum Zweck der Anzeige von UTC in eine Ortszeit Die Definition der Zeitzonen kann bei Bedarf angepa t werden Bitte beachten Sie da das ndern der Definitionen egal in welchem Dialogfenster die Definition der Zeitzonen im gesamten Programm betrifft WinHex und X Ways Forensics verwenden noch immer die Standard Windows Umrechnungslogik die von der Zeitzone abh ngt die in der Systemsteuerung des Benutzers eingestellt ist e in Datei Eigenschaften wo Zeitstempel von Dateien auf den System des Benutzers selbst abgefragt und ge ndert werden k nnen e f r die Protokollierung der Fallbearbeiten e allgemein wenn nicht mit Specialist oder forensischer Lizenz betrieben und e wenn ohne die Datei timezone dat betrieben Da eine der beiden letzten Bedingungen zutrifft k nnen Sie daran sehen da der Schalter Anzeige Zeitzone im Dialogfenster A
381. t Header Signaturen die zu schwach sind um den Typ einer Datei neu zu erkennen aber gerade noch gut genug sind um den Typ den bereits die Dateinamenserweiterung andeutet zu best tigen 8 4 Manuelle Datenrettung WinHex bietet nicht nur verschiedene automatische Datenrettungsmechanismen an es ist auch ein sehr m chtiges Werkzeug um Daten manuell von Hand zu retten Es ist m glich verloren gegangene oder logisch gel schte Dateien oder allgemeiner Daten die nur im Dateisystem als gel scht verzeichnet sind aber nicht tats chlich physisch gel scht oder berschrieben wurden zu retten ffnen Sie das logische Laufwerk auf dem sich die gel schte Datei befand mit dem Disk Editor Prinzipiell k nnen Sie eine solche Datei wiederherstellen indem Sie die Datentr ger Sektoren die dieser Datei zugeordnet waren als aktuellen Block ausw hlen und mit dem Men befehl Bearbeiten Block kopieren In neue Datei speichern Allerdings kann es sich als schwierig erweisen die Sektoren in denen die Datei noch gespeichert ist zu finden Es gibt zwei verschiedene M glichkeiten dies zu bewerkstelligen 1 Falls Sie einen kurzen Ausschnitt aus der Datei die Sie suchen genau kennen z B die 148 charakteristische Signatur im Header einer JPEG Datei oder die W rter Sehr geehrter Herr Meier in einem MS Word Dokument suchen Sie diesen auf dem Datentr ger unter Zuhilfenahme der blichen Suchbefehle Text such
382. t and must be prepended with a minus sign The file must have the same name as the existing hash set in the database that you wish to update additional filename exten sion allowed 106 5 17 PhotoDNA X Ways Forensics can employ the PhotoDNA hashing algorithm for photos until further notice Because of the robustness of the hash algorithm and its specialization in photos it usually allows to automatically recognize known photos even if they have experienced lossy compression re peatedly e g JPEG if they have been stored in a different file format resized partially blurred pixelated color adjusted or contrast adjusted etc Unlike hash values computed by con ventional general purpose algorithms PhotoDNA hashes are resistant to various such image al terations Optionally known photos can be recognized even if they were mirrored flipped hori zontally For licensing reasons the PhotoDNA functionality is made available as a separate download and provided by X Ways itself only to law enforcement agencies which may use it to prevent the spread of child sexual abuse content and for investigations targeted to stop its distribution and possession For details about PhotoDNA please see this high level technical explanation and this press information If the PhotoDNA functionality is present a 4th database with PhotoDNA hash values of pho tos can be created and maintained within X Ways Forensics and photos may be matched
383. t den aktuellen Block im aktiven Fenster fest beginnend bei Adresse 100 und endend bei Adresse 200 dezimal Alternativ k nnen auch existierende Variablen jede bis zu 8 Bytes gro als numerische Werte interpretiert werden Block1 0x100 Legt den Anfang des Blocks auf die hexadezimale Adresse 0x100 Eine Variable ist ebenfalls als Parameter m glich Block2 0x200 Legt das Ende des Blocks auf die hexadezimale Adresse 0x200 Eine Variable ist ebenfalls als Parameter m glich Copy Kopiert den aktuell definierten Block in die Zwischenablage Wenn kein Block festgelegt ist bewirkt der Befehl das gleiche wie der normale Kopieren Befehl im Bearbeiten Men Cut Schneidet den aktuell markierten Block aus der Datei aus und speichert ihn in der Zwischenablage Remove Entfernt den aktuell markierten Block aus der Datei CopyIntoNewFile D New File dat CopyIntoNewFile D File MyVariable dat Kopiert den aktuell markierten Block in die angegebene Datei ohne die Zwischenablage zu benutzen Wenn kein Block festgelegt ist bewirkt der Befehl das gleiche wie der normale Kopieren Befehl im Bearbeiten Men Kann Datentr ger Sektoren genauso kopieren wie Dateien Die neue Datei wird automatisch in einem anderen Datenfenster ge ffnet Erlaubt eine unbegrenzte Anzahl von Konkatenationen im Parameter Eine Variable wird als Integer interpretiert wenn sie nicht gr er als 2424 16 Mio ist N tzlich f r Schleifen und Datenrettung
384. t einer Bates Numerierung F gt ein bis zu 13 Zeichen langes konstantes Pr fix und eine eindeutige laufende Nummer zwischen Dateinamen und Dateinamenserweiterung ein hnlich wie Anw lte Papierdokumente f r sp tere Bezugnahme kennzeichnen Sicherer Dateiexport Auch trusted download vertrauensw rdiges berspielen von Daten L st ein Sicherheitsproblem Wenn als vertraulich oder geheim eingestuftes Material von einem klassifizierten auf einen nicht klassifizierten Datentr ger bertragen wird mu sichergestellt sein da keine bersch ssigen Informationen in einem Cluster oder Sektor berhang ungewollt mit der eigentlichen Datei mitkopiert werden da dieser sog Schlupfspeicher s 0 noch vertrauliches oder geheimes Material von einem fr heren Zeitpunkt enthalten kann an dem er noch einer anderen Datei zugeordnet war Dieser Befehl kopiert die ausgew hlte n Datei en nur in ihrer aktuellen tats chlichen Gr e und kein weiteres Byte mehr Er kopiert nicht ganze Sektoren oder Cluster wie es konventionelle Kopierbefehle tun Es k nnen mehrere Dateien eines Ordners auf einmal kopiert werden Freien Speicher Schlupfspeicher hervorheben Zeigt Offsets und Daten in weicheren Farben an hellblau bzw grau Hilft diese speziellen Laufwerksbereiche leicht zu erkennen Funktioniert auf FAT NTFS und Ext2 Ext3 Partitionen 4 11 Optionen Men Allgemeine Optionen s o Viewer Programme s u 70 Sicherheitsoptione
385. t is marked with a tiny blue arrow next to its icon Also the same arrow will tell you whether the target of a symlink can actually be found in the file system If a symlink links to other symlinks those are not recursively linked If resolving symlink takes to long because there are many symlinks in a volume you may safely abort that step at any time 2 When taking a snapshot of volumes with Windows installations certain reparse points a k a junction points are connected to their targets in the volume snapshot just like as symlinks in Unix based file systems so that you can conveniently navigate to the target by pressing Shift Backspace Also there will be a back reference to one reparse point so that you can con veniently navigate to that reparse point or quickly see in the first place that one or more reparse points exist that link to a certain directory since any directory that has a related directoy in the volume snapshot is marked with a tiny blue arrow next to its icon Forensic license only Reparse points that do not get connected with their target directories will still show a comment that ad vises you of the target path as in earlier versions of X Ways Forensics 3 Harte Verweise in HFS deren zugeh rige Datei eine sogenannte indirekte Knoten Datei ist klingt auf Englisch eleganter 4 In NTFS in Schattenkopien gefundene Dateien die auf ihre Tr gerdatei zeigen und Schattenkopie Tr gerdateien die auf ihre zugeh rige Sn
386. t ist Reduziert die Anzahl der Treffer verl lich nur f r Text in Deutsch Englisch und Franz sisch Bei einer Parallelen Suche werden entweder alle Suchbegriffe als ganze W rter gesucht oder nur solche die einger ckt vorne mit einem Tabulatorzeichen versehen sind oder keine in Abh ngigkeit vom Status des zugeh rigen Kontrollk stchens Wenn die Einr ckung f r die Suche als ganzes Wort mit dem Pr fix f r Beachtung von Gro und Kleinschreibung kombiniert werden soll mu erst case kommen und dann das Tabulatorzeichen f r die Einr ckung F r Parallele Suchen k nnen Sie die Wortgrenzenerkennung f r auf Lateinisch basierende Sprachen individuell anpassen d h entweder strenger machen f r weniger Suchtreffer oder weicher f r mehr Suchtreffer indem Sie das Alphabet von Zeichen definieren die als Buchstaben betrachtet werden Zeichen die zu W rtern geh ren im Gegensatz zu Nicht Wort Zeichen Ein Wort Zeichen gefolgt von einem Nicht Wort Zeichen oder andersherum wird als 163 Wortgrenze angesehen Es gibt drei leicht zu verwendete vordefinierte Einstellungen Die Einstellung f r das gr ndlichste Suchergebnis ist als Standard vorgesehen Benutzer die von unsinnigen Suchtreffern f r kurze Suchbegriffe in Nicht Text Daten wie Base64 oder bin ren M lldaten berschwemmt werden k nnen die beiden anderen Optionen probieren Diese zwei Optionen k nnen dazu f hren in bestimmten Konstellationen g ltige Suchtref
387. t mal die aktuell verwendete Versionsnummer sondern gar nichts Diese Option ist standardm ig aktiv nur dann wenn das Programm davon ausgehen kann da es auf dem eigenen System des Benutzers ausgef hrt wird wenn von Laufwerk C aus gestartet oder wenn es mit dem Setup Programm installiert wurde Die Pr fung findet nicht schon beim ersten Programmstart statt so da Sie auf jeden Fall die Gelegenheit haben diese Option auszuschalten bevor etwas passiert Angesichts der Tatsache da die meisten Systeme auf denen X Ways Investigator und X Ways Forensics verwendet werden keine Internet Verbindung haben hat diese Option nur eine begrenzte Wirkung Info Zeigt Informationen ber WinHex an u a die Programmversion und Ihren Lizenzstatus 4 14 Windows Kontextmen Das Kontextmen sehen Sie wenn Sie im Windows Explorer oder auf dem Desktop ein Objekt mit der rechten Maustaste anklicken WinHex erscheint im Kontextmen nur wenn die entsprechenden Optionen eingeschaltet sind Editieren mit WinHex ffnet die gew hlte Datei in WinHex Ordner in WinHex ffnen L t Sie alle Dateien des gew hlten Ordners in WinHex ffnen wie Ordner ffnen im Datei Men Datentr ger editieren ffnet den gew hlten Datentr ger im Disk Editor von WinHex Wenn Sie die SHIFT Taste gedr ckt halten wird statt des logischen Laufwerks der zugeh rige physische Datentr ger ge ffnet WinHex stellt in der Statusleiste und im Positio
388. t zu dem Zeitpunkt wenn Sie die Sicherung starten Die Verwendung dieses Befehls ist die empfohlene Methode zum Erzeugen von Images Um eine beliebige Auswahl von Sektoren zu imagen k nnen Sie einen Block definieren und dann in eine Datei kopieren mittels Bearbeiten Block kopieren In neue Datei oder Sie rufen den Befehl Extras Disk Tools Datentr ger klonen auf Letzterer Befehl ist besonders dann n tzlich um Festplatten mit schweren physischen Defekten nicht blo normalen nicht lesbaren Sektoren ausschnittsweise zu sichern und er kann Sektoren sogar r ckw rts kopieren 179 Es ist auch m glich einen physischen Datentr ger z B eine lokal angeschlossene Festplatte oder eine ber F Response ge ffnete Festplatte oder Hauptspeicher Datenquelle eines Rechners im Netz automatisch ber die Befehlszeile zu sichern Der erste Parameter mu mit einem Doppelpunkt starten und dann die Nummer des Ger ts in Windows angeben z B 1 f r Festplatte Nr 1 d h die 2 Festplatte Das bewirkt da die Festplatte sofort nach Programmstart automatisch ge ffnet wird Der zweite Parameter sollte mit einem senkrechten Strich beginnen gefolgt entweder von e01 oder raw was das gew nschte Image Dateiformat angibt gefolgt von einem weiteren senkrechten Strich und Name und Pfad des Images z B also le01 G Ausgabedateiname e01 Also dritter Parameter kann auto angegeben werden um X Ways Forensics nach Abschlu der Datentr
389. ted up to 1 GB in length according to the shadow copy Processing of volume shadow copies if any occurs before all the other operations that are part of the particularly thorough file system data structure search parsing LogFile optionally searching for FILE record outside of MFT and outside of VSC searching for index records in the slack of INDX buffers If there are volume shadow copies the caption of the small progress indicator window will tell you when they are being parsed Volume shadow copy host files that you exclude before processing will be omitted Files found in volume shadow copies are specially marked with SC in the Attr column or SC prev version if they are previous versions of files that were known to the volume snap shot already before the thorough file system data structure search so that it is easy to filter them in or out stands for the sequential number of the snapshot in which these files were found Remember you can sort by ID to see the files they are a previous version of next to them You can also easily navigate to the VSC host by using the command Navigation Find related file in the directory browser context menu for example so that in Details mode learn more about that particular snapshot You could then invoke the same command once more to navigate to the cor responding snapshot properties file where in Details mode you learn even more e g description and official creation date You may optio
390. tei einer Datei falls sie eine hat und oder die Unterobjekte von Dateien Verzeichnissen und oder etwaige bekannte Duplikate der ausgew hlten Datei in zu dem Zeitpunkt offenen Asservaten anhand von Hash Werten erkannte und in der Attributspalte entsprechend gekennzeichnete Duplikate s Kontextmen und au erdem harte Verweise au er in HFS 84 Eine weitere Option erlaubt das automatische Verkn pfen von Geschwistern der ausgew hlten Dateien mit Berichtstabellen Das ist z B n tzlich beim Begutachten von Suchtreffern wenn Sie relevante Suchtreffer im Anhang einer E Mail finden und Sie sicherstellen wollen da etwaige andere Attachments derselben E Mail auf dieselbe Weise weiterverarbeitet werden auch wenn sie keine Suchtreffer enthalten Wenn Sie viele Dateien mit Hilfe von Berichtstabellen kategorisieren m chten k nnen Sie auch Tastenkombinationen dazu nutzen X Ways Forensics ordnet Ihren Berichtstabellen automatisch die Tastenk rzel Strg 1 Strg 2 Strg 9 zu In dem Dialogfenster f r Berichtstabellen Verkn pfungen k nnen Sie diese Tastenk rzel auch selbst vergeben indem Sie die Tasten dr cken w hrend eine Berichtstabelle ausgew hlt ist Ohne Verbindung mit der Strg Taste k nnen Sie auch einfach die entsprechende Taste im Nummernblock dr cken wenn Num Lock aktiv ist In diesem Fall werden die Tastendr cke nicht als Eingabe in den Verzeichnis Browser verstanden obwohl die Strg Taste nicht gedr ckt ist Die Altern
391. teien auf NTFS Dateisystemebene oder innerhalb von Archiven verschl sselt sind 129 Der zweite Test pr ft Dateien mit den Endungen Typen doc MS Word 4 2003 xls MS Excel 2 2003 ppt pps MS PowerPoint 97 2003 mpp MS Project 98 2003 pst MS Outlook docx MS Word 2007 2010 xlsx MS Excel 2007 2010 pptx ppsx MS PowerPointer 2007 2010 odt OpenOffice2 Writer ods OpenOffice Calc und pdf Adobe Acrobat auf dateiformatspezifische Verschl sselung MS Office Dokumente auch auf Schutz durch angewandtes digitales Rechtemanagement DRM Wenn der Befund positiv ist werden diese Dateien mit dem Hinweis e in der Attributsspalte versehen Dieser Test erfordert da die separate Viewer Komponente aktiv ist Zus tzlich detektiert der Verschl sselungstest mit eCryptfs dem Enterprise Cryptographic File System f r Linux in den Implementationen f r Ubuntu 8 10 9 04 9 10 und 10 04 Solche Dateien werden in der Attributspalte mit E gekennzeichnet genau wie EFS verschl sselte Dateien in NTFS 6 3 11 Indexierung Verf gbar nur mit forensischer Lizenz In der Informatik ist der Plural von Index Indexe und nicht Indizes Das zugeh rige Verb hei t indexieren und nicht indizieren Die Indexierung erfa t die Daten mit derselben Logik wie eine logische Suche mit den gleichen Vorteilen s dort Erstellt Indexe aller W rter in allen oder bestimmten Dateien im Datei berblick basierend auf den v
392. teinamen und ein Icon e Sie k nnen die von Ihnen bevorzugte Gr e der Miniaturansichten in Pixeln angeben WinHex reduziert die Gr e erforderlichenfalls automatisch so da zumindest so viele Dateien in der Galerie Ansicht angezeigt werden k nnen wie im sichtbaren Ausschnitt des Verzeichnis Browsers e Sie haben die M glichkeit ein benutzerdefiniertes Time Out in Millisekunden festzulegen nach dessen Ablauf das Laden von Bildern mit der internen Grafik Bibliothek abgebrochen wird z B bei defekten oder nicht unterst tzten oder extrem gro en Bilddateien Eingesehene Dateien merken 160 Mit einer forensischen Lizenz kann das Programm sich optional merken welche Dateien bereits vom Benutzer eingesehen worden sind und diese optisch mit einer gr nen Hintergrundfarbe um das Markierungsfeld herum kenntlich machen Das ist besonders n tzlich wenn Hunderte oder Tausende von Dokumenten oder Bildern ber einen l ngeren Zeitraum hinweg begutachtet werden sollen um zu vermeiden versehentlich dieselben Dateien mehrfach anzuschauen Eine Datei kann automatisch als bereits eingesehen gekennzeichnet werden wenn sie im Vollfenstermodus oder im Vorschaumodus betrachtet wird wenn Bilder in der Galerie zu sehen sind oder wenn eine Datei basierend auf der Hash Datenbank als bekannterma en irrelevant identifiziert wird Beim Identifizieren von Duplikaten doppelten Dateien basierend auf Hash Werten wenn eine der Dateien als bereits ein
393. tem X nicht indexiert 11 P Reparse Punkt in NTFS O offline T tempor r I hat Object ID C komprimiert auf Dateisystemebene c komprimiert in Archiv E verschl sselt auf Dateisystemebene e verschl sselt in Archiv cl dateiformatspezifisch verschlisselt DRM e hohe Entropie evtl vollverschl sselt Res Ressource in HFS EFS Verschl sselungsmetadaten in NTFS INDX Index Attribut in NTFS wenn kein Verzeichnis ADS alternativer Datenstrom in NTFS SC in einer Schattenkopie gefunden SUID Set User ID SGID Set Group ID File mode I symbolic link c character device b block device s socket p pipe Permissions owner read write execute group read write execute other read write execute 2 9 Technische Hinweise e Technische Daten Unterst tzte Datei und Datentr gergr e cnsennssesnesneennnennsnnnnnenene nenn mind 120 TB Unterst tzte Dateigr e in Datei berblicken s sssssssssssisssersressssrsssirssrssrrrrsrrrssress 120 TB 1 Allo max iscktorzahl unse ne near een 21 Alle mas Cl sterzah i este na 2 1 Dateisystem Unterst tzung f r Partitionen gt 2 Sektoren u NTFS Ext XFS Reser Dateisystem Unterst tzung f r Partitionen gt 2 Cluster NTFS Ext4 XFS Maximalzahl gleichzeitig offener interpretierter Images partitionierter Datentr ger 100 Max imalzahl gleichzeitig offener Partitionen und interpretierter Volume Images
394. temebene dabei zum Einsatz kommen Keine Dateisystem Datenstrukturen ndern sich keine Dateinamen werden gel scht nur Inhalte von Dateien werden berschrieben Dateien die in Archiven komprimiert sind und generell Dateien innerhalb von anderen Dateien z B E Mails und Datei Anh nge in E Mail Archiven k nnen nicht gel scht werden Ehemals existierende Dateien deren Cluster bekannter ma en f r andere Dateien wiederverwendet wurden werden nicht gel scht Beachten Sie da durch das berschreiben von gel schten Dateien u U Daten in Clustern gel scht werden die bereits zu anderen Dateien geh ren Daher w hlen Sie besser nur existierende Dateien aus wenn Sie das vermeiden m chten konsistente Dateisysteme vorausgesetzt Beachten Sie auch da Sie beim L schen von aus Sektoren per Signatursuche ausgegliederte Dateien u U zuviel oder nicht genug Daten berschreiben je nach erkannter gesch tzter Dateigr e und anh ngig davon ob die Dateien urspr nglich fragmentiert waren oder nicht Und beachten Sie bitte da das sichere L schen eines Verzeichnisses d h berschreiben der Daten in den Clustern die dem Verzeich nis zugeordnet sind zum Verwaisen von existiernden Dateien in dem Verzeichnis f hrt Eine typischere Vorgehensweise mit dieser Funktion w re das blo e sichere L schen der Inhalte von Dateien nicht das sichere L schen der Daten eines Verzeichnisses wenn mit dem Dateisystem noch weiter gearbeitet werden so
395. ten so sicher zu l schen da sie bedenkenlos an andere Personen Abteilungen Organizationen weitergegeben werden k nnen sanitizing m ssen gem Methode d alle adressierbaren Bytes mit einem Zeichen dann seinem Komplement und schlie lich einem Zufallswert berschrieben und mu anschlie end berpr ft werden Diese Methode ist vom DoD nicht f r das Sanitizing von Datentr gern mit Top Secret Informationen freigegeben worden Der DoD Schalter konfiguriert WinHex f r das Sanitizing so da erst mit 0x55 bin r 01010101 dann mit dem Komplement 0xAA 10101010 und schlie lich mit einem zuf lligen Byte Wert berschrieben wird Der 0x00 Schalter konfiguriert WinHex f r eine einfache Initialisierung also einmaliges Schreiben von Nullbytes 173 10 6 Klonen von Datentr gern Tools Disk Tools Datentr ger klonen l t Sie eine bestimmte Anzahl von Sektoren kopieren von einem Quelldatentr ger Schalter mit Datentr ger Icon anklicken oder einer Quelldatei Schalter mit Datei Icon anklicken auf einen Zieldatentr ger oder in eine Zieldatei Dazu m ssen im Fall da sowohl Quelle als auch Ziel Datentr ger sind beide Datentr ger dieselbe Sektorgr e aufweisen Mit dieser Funktion k nnen Sie exakte Duplikate ganzer Festplatten herstellen indem Sie einfach alle Sektoren kopieren Aktivieren Sie die entsprechende Option damit die richtigen Zahlen automatisch f r Sie eingetragen werden Der Zielda
396. tentr ger darf nicht kleiner als der Quelldatentr ger sein Als Datentr ger k nnen Sie auch ein als Datentr ger interpretiertes Image w hlen oder eine vom physischen Datentr ger aus im Hintergrund ge ffnete Partition Als Ziel kommt jedoch kein interpretiertes e01 Evidence Files in Frage da es nicht beschrieben werden kann h chstens ein Roh Image Als Dateien kommen nur unsegmentierte Roh Images in Frage z B dd 001 img usw keine anderen Image Typen wie el vhd oder vmdk Die Funktion Datentr ger klonen bietet verschiedene M glichkeiten zu verfahren wenn defekte Sektoren auf dem Quelldatentr ger angetroffen werden e Standardm ig werden Sie benachrichtigt und gefragt ob der Vorgang abgebrochen oder dennoch fortgesetzt werden soll Bei eingeschalteter Option Protokolldatei schreiben werden Informationen ber die gesamte Operation in eine Logdatei in den Ordner f r tempor re Dateien geschrieben Dateiname Cloning log txt Darin sind auch die Nummern etwaiger unlesbarer Sektoren enthalten die nicht kopiert werden k nnen Diese Option verhindert da WinHex jeden defekten Sektor w hrend des Vorgangs einzeln meldet e WinHex kann die Zielsektoren die mit dem Inhalt unlesbarer Quellsektoren beschrieben werden m ten entweder unver ndert lassen oder mit einem ASCII Muster Ihrer Wahl f llen z B Ihre Initialen oder so etwas wie BAD Lassen Sie das Editierfeld f r das Muster leer um solche
397. ternen Programm ge ndert wurde bietet WinHex an etwaige in WinHex vorgenommenen nderungen aufzugeben und die Datei nochmal neu zu laden Bef llt auch den Verzeichnis Browser neu wenn der Verzeichnis Browser gerade den Eingabefokus hat N tzlich z B wenn ein Filter f r markierte Dateien aktiv ist und Sie die Markierung von einigen der aufgelisteten Dateien aufheben wenn Sie die Liste im Verzeichnis Browser dann aktualisieren m chten und die nicht mehr markierten Dateien verschwinden sollen 4 8 Extras Men Disk ffnen s Disk Editor Datentr ger klonen s u Rekursiv erkunden Wechselt f r das aktuell im Verzeichnis Browser dargestellte Verzeichnis in eine rekursive Ansicht oder zur ck in eine normale Ansicht In einer rekursiven Ansicht werden nicht nur die Dateien angezeigt die sich direkt in diesem Verzeichnis befinden sondern auch alle Dateien in alle Unterverzeichnissen und deren Unterverzeichnissen usw Das erlaubt es z B ausgew hlte Dateien aus unterschiedlichen Pfaden in einem einzigen Schritt wiederherzustellen zu kopieren Dateien retten nach Typ s u Datei berblick neu einlesen Verf gbar f r Partitionen mit einem der unterst tzen Dateisysteme WinHex durchl uft alle Dateisystem Datenstrukturen und Clusterketten und kann dadurch den Verzeichnis Browser bef llen und f r jeden Sektor Cluster angeben was in ihm gespeichert ist bzw ob er unbelegt ist Durch Dateioperationen auf dem betreffenden La
398. tes Objekt aufsuchen Navigiert zum Elternobjekt des gew hlten Objekts und w hlt 50 es aus genau wie das Dr cken der R cktaste Dabei kann das Unterobjekt ein gew hnliche Datei in einem Verzeichnis sein oder eine E Mail in einem E Mail Archiv oder ein Dateianhang zu einer E Mail oder ein Bild in einem Dokument oder eine Datei in einem komprimierten Archiv usw Zugeh riges Objekt aufsuchen Dieser Befehl erlaubt das bequeme Auffinden des sog zugeh rigen Objekts wenn so etwas f r die ausgew hlte Datei bzw das ausgew hlte Verzeichnis existiert Alternativ k nnen Sie auch die Tasten Umschalt R cksetz bet tigen Gew hltes Objekt in dessen Verzeichnis Zeigt Ihnen die ausgew hlte Dateien oder das ausgew hlte Verzeichnis in der Umgebung ihrer seiner Geschwister Das kann hilfreich sein um schnell zu berpr fen ob es noch weitere relevante Dateien im selben Verzeichnis gibt oder um die Funktion einer Datei besser zu verstehen wenn Sie sie in ihrem Umfeld Kontext sehen Gew hltes Objekt aus Sicht des Stammverzeichnisses Zeigt Ihnen die ausgew hlte Datei inmitten aller Dateien des betreffenden Volumes rekursiv vom Stammverzeichnis des Dateisystems aus erkundet Sinnvoll z B um herauszufinden ob es Dateien mit demselben Namen derselben ID k nnten Vorg ngerversionen aus einer Volume Shadow Copy sein demselben Besitzer oder Absender oder mit hnlichen Zeitstempeln o im selben Dateisystem gibt dazu einfach entsprechen
399. text editor if needed all of which is impossible to do with a com plex proprietary binary file format such as MSG The general format of eml files can be under stood by anyone and it is simply a text file The format of MSG files can be understood only with a computer science or programming background and learning it takes a lot of time Redact ing e mail data hidden in MSG files is difficult 6 3 6 Eingebettete Dateien aus diversen Dateitypen hervorholen Forensische Lizenz Hiermit k nnen Sie Dateien diverser Typen die in Dateien diverser anderer Typen eingebettet sind automatisch herausmei eln carven durch eine auf Byte Ebene durchgef hrte Datei Header Signatur Suche innerhalb von bestimmten Dateien Dies ist gut machbar wenn die u ere Datei die Tr gerdatei intakt ist und die eingebettete Datei in der Tr gerdatei nicht fragmentiert gespeichert ist Ansonsten erscheinen die extrahierten Dateien u U als defekt Insbesondere sucht diese Funktion JPEG und PNG Bilder sogar JPEG Bilder in anderen JPEG Dateien solchen die Miniaturansichten von sich selbst enthalten Auf diese Weise gefundene Dateien erhalten einen generischen Namen Embedded 1 jpg Embedded 123 2 png o Diese Funktion extrahiert au erdem emf Dateien die in mehrseitigen Ausdrucken spl Spool Dateien enthalten sind spl Dateien die nur eine einzige emf Datei enthalten k nnen direkt mit der Viewer Komponente eingesehen werden D
400. that is unique for the active case The files are named with unique IDs 64 bit in teger numbers One additional file named Checksum is created that contains 4 bytes with the same CRC 4 bytes with the handle of the main window of X Ways Forensics or X Ways Inves tigator for that matter 8 reserved bytes and 128 bytes with the case title in UTF 16 When the files have been copied X Ways Forensics executes the external analysis program and specifies the complete path of the subfolder in quotation marks as a parameter The external program can now perform the analysis It can classify files by creating one rtd file for each classification When finished the program can optionally check whether the X Ways Forensics main window still exists and if so make X Ways Forensics aware of the availability of the results by sending a WM SETTEXT messages to the main window where the text starts with Import followed by the path of the directory where to find the rtd files without quotation marks This will trigger the import automatically Alternatively the user can import the result as described above The names of the rtd files report table definition files will be used as the report table name An td file start with a 4 byte signature 0x52 0x54 OxDE 0xF0 the 4 byte checksum see above followed by the 64 bit file IDs integer numbers that indicate the files that should be associated with that report table 6 Datei berblick
401. tion in the specified variable GetClusterSize IntVar May be applied to a logical volume Retrieves the cluster size and saves that value in the specified integer variable InterpretImageAsDisk Behandelt ein Roh Image oder ein Evidence File wie eine echte physische Platte oder Partition Erfordert eine Specialist oder forensische Lizenz CalcHash HashType MyVariable CalcHashEx HashType MyVariable Berechnet einen Hashwert wie es aus dem Extras Men bekannt ist und speichert ihn in der angegebenen Variablen die erzeugt wird wenn sie nicht existiert Der HashType Parameter muss einer der folgenden sein CS8 CS16 CS32 CS64 CRC16 CRC32 MD5 SHA 1 SHA 256 PSCHF CalcHashEx zeigt den Hashwert zus tzlich in einem Dialogfenster an MessageBox Caution 202 Zeigt ein Dialogfenster mit dem Text Caution an und bietet einen OK und einen Cancel Knopf Durch Dr cken von Cancel wird der Skriptdurchlauf abgebrochen ExecuteScript ScriptName F hrt ein anderes Skript aus einem laufenden Skript heraus aus am aktuellen Punkt der Skriptausf hrung z B abh ngig von einer Bedingung Aufrufe an andere Skripte d rfen verschachtelt sein Wenn der Aufruf des Skripts beendet ist wird das urspr ngliche Skript mit dem n chsten Kommando weiter ausgef hrt Diese Funktion erm glicht eine bessere Strukturierung Ihrer Skripte Turbo On Turbo Off Im Turbo Modus werden die meisten Bildschirm Elemente zur Laufzeit des Skripts nicht akt
402. tional data to gain from the hard disk with the appropriate 67 technical means The Technical Details Report also checks for certain read inconsistencies that can occur with flash media for example USB stick of certain brands models but not others in data areas that have never been written used where the data is undefined The data that is read in such areas for example when imaging the media may depend on the amount of data that is read at a time with a single internal read command The result is mentioned in the report If inconsistencies are detected Inconsistent read results in the report you will see a message box which offers to read sectors in smaller chunks from that device as long as it is open which likely yields the expected zero value bytes instead of some random looking non zero pattern data when reading such areas Use of this option does not give you data that is somehow more accurate or original undefined is undefined and does not mean zeroed out or contains more or less evidence it can just have a big impact on compression ratio achieved and reproducibility of hash values with other tools which may use different chunk sizes for reading and thus produce different data and hash values Note that it is possible that read inconsistencies occur that are not detected by X Ways Forensics because a complete check would be very slow Again these inconsistencies are not fatal and not the fault of the software and they can
403. tionien E 145 8 4 Manuelle Datenrettun gs a aut Ein ER eE ihn 148 DQ PtlOMO E 149 9 1 Allgemeine Optionen 2 32 acaba aga rar NE Ee 149 9 2 Optionen des Dater berblicks ease eine 155 9 3 Niewer Programme sn 158 9 4 R ckg ng g Optionen 2 42 rain u Nreleh ai Sb lelain iss 161 9 5 Sicherheitsoptionen s roret ranes Aa E PAE TT AR E E A T RS 162 9 6 Suchoptionen asien en EE AEE EEE TEER EE 163 9 7 Ersetzen Opti nen 2 arte a ee ee LEN Eed 167 10 Verschiedenes sorssussossonssnssnssssssnnsnnenssnnsnnsnssnnsnnssnssnnsnnnsnnsnnnsnnsnnsnnssnnsnnssnssnnssnssnnssnssnnsnnssnssnnsnnnen 169 UE WR Ce EE 169 10 2 Modifizieren von Daten 2ueiieessninesihentisn shade saddssaashl gg anneal ETA EAE ie 169 10 3 K nvertier ungen geseid re en nennen del hessen Eeer Nees 170 10 4 berlagerung von S EE EE 171 10 5 L schen und Initi lisieren u 2er sis nn ige EEA E ces a 173 10 6 Klonen von Datentr ger 174 10 7 Images und SiGherun GN eege Eege swede Ee ETEEN ESE EEEE 175 10 8 Hinweise zum Datentr ger Klonen und Imaging ernennen 181 10 9 Minim lsicherungen egene getesselt 181 10 10 Sicherungs Manager sass sivasssscsvatsteicsssczsasiuncesacaactalgianceedeaescneastencdeguvesshd dpa ia T A a G 186 10 11 RAID Systeme zusammensetzen en 187 Anhang A Schablonen Definition 0 e000s0000ss000002000020000000000000002000n 020000000000 000n 0000 s0nnena0e 190 1 Schablonen Kopf vern nn euer sank eu oem ger sie S
404. tp www gnu org copyleft lesser html version 2 1 The original source code can be 2 downloaded from http sourceforge net projects resil X Ways Forensics enth lt ein angepa tes Kompilat von libPFF libPFF wurde unter LGPL ver ffentlicht http www gnu org copyleft lesser html Version 3 0 Der Original Quellcode kann von http libpff sourceforge net heruntergeladen werden Die Unterst tzung von Windows Event Logs evtx basiert auf Arbeit von Andreas Schuster 1 3 Lizenzierung Mit der Vollversion k nnen Sie Datei speichern die gr er als 200 KB sind mit dem Disk Editor Sektoren schreiben und virtuellen Arbeitsspeicher editieren Um WinHex als Vollversion betreiben zu k nnen ben tigen Sie mind eine Lizenz Basislizenz Wenn Sie die Vollversion an mehr als einem Rechner betreiben m chten ben tigen Sie entsprechend weitere Lizenzen e Private Lizenzen sind zu einem reduzierten Preis verf gbar f r den nicht kommerziellen Einsatz au erhalb von Unternehmen Institutionen und ffentlicher Verwaltung e Professionelle Lizenzen erlauben die Benutzung der Software in jeder Umgebung privat oder gewerblich zu Hause in Unternehmen Organisationen und ffentlicher Verwaltung und erm glichen die Benutzung eigener Scripte und der WinHex API e Specialist Lizenzen erlauben zus tzlich den Gebrauch der Specialist Tools das Interpretieren der Dateisysteme exFAT Ext2 Ext3 Ext4 Next3 CDFS ISO9660 und UDF und sie bi
405. ts chlichen Endung im Dateinamen oder in Blau wenn die tats chliche Endung nicht mit dem Typ der Datei bereinstimmt Ein komfortabler Filter kann f r diese Spalte aktiviert werden In dem Filterdialog k nnen Sie individuelle Dateitypen oder ganze Kategorien w hlen Sie k nnen die Auswahl laden und speichern Es gibt Schalter mit denen Sie alle Kategorien auf einmal ein und aufklappen k nnen Das Aufklappen aller Kategorien kann n tzlich sein wenn Sie schnell einen bestimmten Dateityp auffinden m chten indem Sie die ersten Buchstaben eintippen w hrend das Baumfenster den Eingabefokus hat Beachten Sie bitte da berschneidungen zwischen Dateityp Bezeichnungen offensichtlich werden k nnen wenn zum Filtern gew hlte Dateitypen geladen werden aus settings Dateien oder aus F llen Wenn Sie z B urspr nglich mmf MailMessage File Kategorie E Mail ausgew hlt hatten dann werden Sie feststellen da nach dem Laden auch mmf als Yamaha SMAF gew hlt ist Kategorie Sound Music Das ist normal und ndert nicht das Verhalten des Filters der im Zweifelsfall sowieso zur Sicherheit gleich bezeichnete andere Typen mit erfa t damit nichts bersehen wird Nur forensische Lizenz Der Status der Dateityp Spalte Anf nglich nicht gepr ft Nach der Dateisignatur berpr fung im Rahmen einer Datei berblickserweiterung oder des Laden einer Datei in die Vorschau oder Galerie gilt Wenn eine Datei sehr klein ist we
406. tzten Dateisysteme d h alle auch in den Zeitstempel Spalten des Verzeichnis Browser zu sehenden Zeitstempel nderung Record nderung und letzter Zugriff werden ausgelassen wenn sie identisch zur Erzeugungszeit sind Prozesse in unterst tzten 101 Hauptspeicher Dumps extrahierte oder verarbeitete E Mails sowie Dateien der folgenden Typen index dat Internet browser SQLite databases firefox 55 fragments _CACHE 001 and CACHE 002 Ink shortcuts automaticDestination ms chrome Chromium cache data_1 data_2 usnjrnl fragments Registry hives Windows evt event logs Windows evtx event logs Most extracted events come with a description that includes the event source the event ID and the record number The record number allows you to quickly search for the record in the HTML preview if you need further details about that particular event DataStore edb MS Windows operating system update events hbin Registry hive fragments doc last printed msg rp log XP restore point INFO2 XP recycle bin recycler Vista recyle bin Snapprop Vista volume shadow copy properties cookie gthr gthr2 Gatherer and Gatherer fragments pf prefetch attach timestamps from EDB signing date from EXE DLL SYS boot time from ETL event trace log files OLE last modification last saved in Office documents and RTF Skype main db chats calls file transfers account creation you can read entire chats if sorted ch
407. ualisiert und es ist nicht m glich das Skript abzubrechen beispielsweise durch Dr cken von Esc oder zu pausieren Dies kann das Skript beschleunigen wenn sehr viele einfache Befehle wie Move oder NextObj in einer Schleife ausgef hrt werden Debug Alle folgenden Befehle m ssen vom Nutzer einzeln best tigt werden UseLogFile Fehlermeldungen werden in die Log Datei Scripting log im Verzeichnis f r tempor re Dateien geschrieben Diese Meldungen werden nicht in einem Dialogfenster angezeigt das Nutzerinteraktion verlangt N tzlich insbesondere um Skripte unbeaufsichtigt auf einem Rechner laufen zu lassen CurrentPos GetSize unlimited sind Schl sselworte die als Platzhalter fungieren und die benutzt werden k nnen wo numerische Parameter erwartet werden Zur Skriptlaufzeit steht CurrentPos f r die aktuelle Adresse im aktiven Datei oder Laufwerksfenster und GetSize f r seine Gr e in Bytes unlimited steht tats chlich f r die Zahl 2 147 483 647 Anhang C Aufbau des Master Boot Record Der mit dem Disk Editor editierbare Master Boot Record befindet sich am physischen Anfang einer Festplatte Er besteht aus einem 446 Bytes langen Master Bootstrap Loader Code und vier aufeinanderfolgenden identisch aufgebauten Partitions Records Abschlie end folgt die Hexadezimal Signatur 55AA die einen g ltigen Master Boot Record kennzeichnet Das Format eines Partitions Record sieht wie folgt aus Beschreibung 0 8Bit Der
408. uben Sie da Nur 1 100 Treffer pro Objekt in Wirklichkeit Nur 1 Treffer pro Suchbegriff pro Objekt bedeutet und nur falsch beschriftet ist Das ist aber auch nicht der Fall Wenn X Ways Forensics Suchtreffer zu einem beliebigen Suchbegriff liefert hat es der Option gen ge getan Weitere Suchtreffer zu anderen Suchbegriffen in derselben Datei fallen unter den Tisch Sie sind bei Nur 1 Treffer pro Objekt ja offenbar ausdr cklich nicht erw nscht 5 14 Ereignislisten Verf gbar nur mit einer forensischen Lizenz beim Arbeiten mit einem Fall f r Asservate mit einem Datei berblick Beim Extrahieren von Metadaten Teil des Erweiterns des Datei berblicks kann X Ways Forensics eine Liste von Ereignissen zusammenstellen aus Zeitstempeln die auf Dateisystem ebene gefunden werden sowie intern in Dateien und im Hauptspeicher Denkbare Quellen sind Verl ufe von Internet Bowsern Event Logs von Windows Registry Hives von Windows E Mails usw Eine Ereignisliste funktioniert genau wie eine Suchtrefferliste und wird angezeigt wenn Sie einen Schalter anklicken der sich direkt neben dem Schalter f r Suchtrefferlisten befindet an einem Uhrensymbol zu erkennen Genau wie eine Suchtrefferliste kommt eine Ereignisliste mit weiteren Spalten daher Zeitstempel des Ereignisses Ereignistyp Ereignis kategorie und einige Ereignisse haben eine individuelle Beschreibung zus tzlichen Text z B Ereignisse in der Windows Registry und in Intern
409. uellen Cursor Position interpretiert sorgt die optionale Anweisung fixed_start daf r da dies am angegebenen absoluten Offset der Datei bzw des Datentr gers geschieht Wendet man eine Schablone auf einen Datentr ger an so stellt das Schl sselwort sector aligned sicher da sie ungeachtet der exakten Cursor Position auf den Anfang des aktuellen Sektors bezogen wird hnlich wie ein applies_to Ausdruck erm glicht es die requires Anweisung WinHex eine unabsichtliche Anwendung einer Schablonen Definition auf nicht auf sie passende Daten zu verhindern Geben Sie hinter requires einen Offset und eine Hex Wert Kette beliebiger L nge an Dies soll die Daten f r die die Schablone konzipiert wurde identifizieren Zum Beispiel l t sich ein g ltig Master Boot Record an den Hex Werten 55 AA an Offset OxIFE erkennen eine ausf hrbare Datei an den Hex Werten 4D 5A MZ an Offset 0x0 Es d rfen mehrere requires Anweisungen im Definitionskopf vorkommen die alle ber cksichtigt werden Das Schl sselwort big endian sorgt daf r da alle aus mehreren Bytes bestehende Integer 190 und Boolean Variablen in Big Endian Reihenfolge gelesen und geschrieben werden h chst wertiges Byte vorn Das Schl sselwort hexadecimal bewirkt da Integer Variablen innerhalb der Schablonen Definition in hexadezimaler Schreibweise angezeigt werden Das Schl sselwort read only stellt sicher da die Schablone nur benutzt werden kann um Dat
410. uf anderen Computern ausgef hrt werden z B einem Live System das Sie untersuchen m chten Laden Sie auch die Viewer Komponent herunter die im Standard Download nicht enthalten ist weil sie nur sehr viel seltener aktualisiert wird Verwenden Sie die 64 Bit Edition der Viewer Komponente f r die 64 Bit Version von X Ways Forensics Standardm ig wird die Viewer Komponente extrahiert im Unterverzeichnis viewer 32 Bit bzw x64 viewer 64 Bit erwartet Wir weisen darauf hin da die Viewer Komponente anders als X Ways Forensics Dateien in dem Profil des Benutzers erzeugt der aktuell eingeloggt ist anders creates files in the profiles of the user who is currently logged on Wenn Sie vermeiden m chten da Dateien in einem zu untersuchenden Live System erzeugt werden dann lassen Sie X Ways Forensics die Viewer Komponente nicht verwenden Sie k nnen auch MPlayer herunterladen wenn Sie X Ways Forensics Standbilder aus Videos produzieren lassen m chten um diese in der Galerie anzuzeigen Neuere Releases k nnen immer in das existierende Verzeichnis eines lteren Releases extrahiert werden Sie d rfen bestehende WinHex cfg Konfigurationsdateien von fr heren Releases in neueren Releases weiterverwenden aber niemals umgekehrt Zum Kennenlernen von X Ways Forensics empfehlen wir Ihnen folgendes auszuprobieren Erst einmal legen Sie einen neuen Fall an im Falldaten Fenster Dann f gen sie ihm ein Asservat hinzu z B Ihr eigenes Laufw
411. ufwerk veralten diese Informationen allerdings und ein erneutes Aufrufen dieser Funktion bietet sich an Vgl Sicherheitsoptionen Freien Speicher initialisieren Vertrauliche Informationen k nnten durch normale L sch und Kopiervorg nge in momentan unbenutzten Bereichen des Datentr gers liegen Mit dieser Funktion kann der unbenutzte Speicher eines Datentr gers aus Sicherheitsgr nden initialisiert berschrieben werden Dies verhindert die Wiederherstellung von Daten aus diesem Bereich des Datentr gers Verf gbar f r Partitionen die als Laufwerksbuchstabe ge ffnet wurden Nur in WinHex verf gbar nicht in X Ways Forensics Schlupfspeicher initialisieren berschreibt Schlupfspeicher englisch slack space die unbenutzten Bytes im jeweils letzten Cluster einer Clusterkette hinter dem tats chlichen Ende der Datei mit Nullbytes Dies kann in Verbindung mit Freien Speicher initialisieren benutzt werden um vertrauliche Daten auf einem Laufwerk sicher zu l schen oder um den Platzbedarf eines komprimierten Datentr ger Backups zu minimieren z B einer WinHex Sicherung Beenden Sie vor Verwendung dieser Funktion alle laufenden oder residenten Programme die auf den Datentr ger schreiben k nnten Nur in WinHex verf gbar nicht in X Ways Forensics MFT Records initialisieren Auf NTFS Volumes kann WinHex alle gegenw rtig unbenutzten FILE Records der MFT Master File Table sicher l schen Diese k nnen Metadaten z B
412. ugrundliegende linguistische Annahme ist da die Anordnung von W rtern in naher Nachbarschaft in einem Dokument eine Beziehung zwischen den W rtern impliziert Given that authors of documents try to formulate sentences which contain a single idea or cluster related ideas within neighboring sentences or organized into paragraphs there is an inherent relatively high probability within the document structure that words used together are related Where as when two words are on the opposite ends of a book the probability there is a relationship be tween the words is relatively weak By limiting search results to only include matches where the words are within the specified maximum proximity or distance the search results are assumed to be of higher relevance than the matches where the words are scattered Abschnitt zitiert von wikipedia org 99 Des weiteren bietet die Suchbegriffsliste eine NOT NEAR Option an abgek rzt NTNR zus tzlich zu NEAR Bei 2 ausgew hlten Suchbegriffen stellt NTNR sicher nur solche Suchtreffer aufgelistet werden die nicht in der Umgebung eines Suchtreffers des jeweils anderen Suchbegriffs liegen Bei mehr als 2 ausgew hlten Suchbegriffen ist das Resultat derzeit undefiniert 5 13 Besonderheiten der Trefferzahl in Suchbegriffslisten Question Why when all the search terms are selected with List 1 hit per item only are the counts returned different from when I click on each search term individually with t
413. uld be the same signature as the header if files of that type occur typically in groups back to back or just x00 for file formats such as text files that do not contain zero value bytes where however x00 can be expected with a high likelihood in the RAM slack Such footer signatures should be marked as exclusive because the data matched by it is not part of the file itself F groBgeschrieben L t X Ways Forensics Treffer der Datei Header Signatur Suche verwerfen wenn kein zugeh riger Footer gefunden werden kann sofern eine Footer Signatur in der Definition angegeben ist Kann sinnvoll sein um die Zahl der falschen Treffer zu reduzieren h Gibt an da die angegebene Header Signatur Daten findet die nicht selbst Teil der Datei sind Das bedeutet da der Header von der gecarvten Datei ausgeschlossen wird Die gecarvte Datei beginnt dann nach dem Header G f r gierig Dateien nehmen all die ihnen zugeordneten Sektoren exklusiv in Beschlag Die Datei Header Signatur Suche setzt ihre Suche nach weiteren Datei Headern erst hinter dem mutma lichen Ende von solchen Dateien fort Dieses Verfahren kann in besonderen Situationen sinnvoll sein wenn die internen Algorithmen in X Ways Forensics verifizieren k nnen da 147 keine andere Art von Daten innerhalb der beschlagnahmten Sektoren beginnen Benutzer von Konkurrenzprodukten die weniger Dateien als X Ways Forensics finden kennen das berspringen von Sektoren aber ungepr f
414. um auszuwertende Datenmengen 69 betr chtlich zu verringern wenn z B bei einer forensischen Computeranalyse Hinweise in Form von Text wie E Mails Dokumente gesucht werden Die Zieldatei kann leicht in benutzerdefinierte Gr en zerlegt werden Diese Funktion kann auch auf Dateien mit gesammelten Schlupf oder freiem Speicher angewandt werden oder auf besch digte Dateien in einem propriet ren Format die nicht mehr von der zugeh rigen Applikation wie MS Word ge ffnet werden k nnen um zumindest unformatierten Text zu retten Datei Container s o Externe Virenpr fung nur mit forensischer Lizenz Schickt alle Dateien oder alle markierten Dateien im Datei berblick eines Asservats optional nur solche unterhalb einer bestimmte Gr e an einen externen Viren Scanner Dateien die vom Viren Scanner im Ausgabeverzeichnis gesperrt gel scht oder umbenannt werden werden einer Berichtstabelle namens Virenverdacht hinzugef gt Es liegt in der Verantwortung des Benutzers sicherzustellen da ein Viren Scanner aktiv ist da er das Verzeichnis f r tempor re Dateien beobachtet und da er infizierte Dateien tats chlich sperrt l scht oder umbenennt Nachdem X Ways Forensics berpr ft hat ob die Datei extern gesperrt gel scht oder umbenannt wurde l scht es sie wenn sie noch existiert Bates Numerierung Versieht alle Dateien innerhalb eines bestimmten Ordners und seiner Unterordner f r die forensische Verwendung mi
415. umgestellt werden Die Texteingabe ber die Tastatur wird nur in ANSI und IBM ASCII unterst tzt Verf gbar sind ANSI ASCH IBM ASCII eine andere beliebige Codepage sowie der Unicode Zeichensatz W hlen Sie IBM ASCII nur dann wenn Sie mit WinHex eine Datei editieren die zu einem DOS Programm geh rt Sie sehen dann die in der Datei enthaltenen Texte wie sie auch in diesem Programm erscheinen Die von ihnen eingegebenen Zeichen werden dann umgekehrt auch richtig in diesem DOS Programm dargestellt W hlen Sie Unicode wenn Sie Text in einer nicht westeurop ischen Sprache lesen m chten der in UTF 16 gespeichert ist Unicode Zeichen Little Endian werden immer an geradzahligen Offsets erwartet W hlen Sie eine andere Codepage gezielt aus wenn n tig Die Voreinstellung ist ANSI ASCII Das ist die effizienteste und unkomplizierteste Anzeigemethode sie ruft nur die einfachsten Windows API Funktionen auf und scheint Zeichen immer gem Codepage 1252 zu interpretieren auch wenn die regionalen Einstellungen in Windows anders sind sofern im Schriftart Auswahldialog ber Allgemeine Optionen erreichbar als Script Western ausgew hlt ist 61 Nur Hex Anzeige Blendet die Text Spalte aus und verwendet die gesamte Breite des Editorfensters f r die Hexadezimal Anzeige Datensatz Darstellung Beim Editieren aufeinanderfolgender Datens tze die alle die gleiche L nge aufweisen z B Tabelleneintr ge einer Datenbank k nnen Sie WinHex zur be
416. unctionality allows to open volumes that are not mounted as drive letters To get an overview of volumes known to Windows type mountvol in a command prompt window You can also try to open exotic devices supported by Windows such as tapes and changers not tested Also this is how you can open alternate data streams whose path and name you know which cannot be opened through the ordinary File Open dialog without opening the volume on which they reside Opening a hard disk as a file can be useful for example if you wish to clone that disk and if source and destination disk have different sector sizes whether it makes sense in the first place to clone a hard disk despite the sector mismatch depends on the data When treated as a file there is no defined sector size and hence no possibility for a sector size mismatch Device files can also be interpreted as disks like images can Speichern Hier speichern Sie ein zuvor ge ffnete Datei mit allen von Ihnen vorgenommenen nderungen nachdem Sie eine Sicherheitsabfrage mit Ja beantwortet haben Im In Place Editiermodus ist das Aufrufen dieses Befehls nicht notwendig Beim Benutzen des Disk Editors hei t dieser Befehl Auf Disk schreiben Speichern unter Speichert eine Datei unter einem neuen Namen oder in einem anderen Ordner Existiert bereits eine Datei mit diesem Namen so werden Sie gefragt ob die vorhandene Datei berschrieben werden soll Datentr ger Sicherung Sicherung an
417. und einen Block rechts anklicken der in einem Asservat definiert ist nur mit forensischer Lizenz Erleichtert das Wiederauffinden derselben Position zu einem sp teren Zeitpunkt und kann daf r verwendet werden die Struktur von Dateien oder Datens tzen eines bestimmten Formats das Sie analysieren sch n farblich hervorzuheben und mit Hilfe von Tooltips zu erkl ren 54 Wenn Suchtreffer im Dateimodus farblich hervorgehoben werden s Allgemeine Optionen k nnen Sie sie auch ber das Kontextmen l schen Sie k nnen von hier aus auch das vollst ndige Bearbeiten Men erreichen 4 3 Datei Men Neu Hier k nnen Sie eine neue Datei anlegen Es ist die gew nschte Gr e der Datei in Bytes anzugeben gt 0 Die neue Datei wird prinzipiell im Standard Editiermodus ge ffnet ffnen In einem Dateiauswahlfenster markieren Sie eine oder mehrere Dateien die Sie mit dem Hex Editor einsehen oder bearbeiten m chten Sofern Sie WinHex nicht schon im Optionen Men als Viewer oder In Place Editor eingestellt haben k nnen Sie einen der drei Editier Modi zum ffnen der Datei en w hlen Also allows to open physical disks partitions and volumes as a file by clicking a button labeled Device in the file selection dialog You can enter a device path such as PhysicalDrivel for hard disk 1 Volume 12345678 9abc 1lal abcd 0123456789ab for a volume with that GUID C for a volume mounted as drive letter C This f
418. usammensetzen s u Freien Speicher extrahieren Durchl uft das gegenw rtig ge ffnete logische Laufwerk und sammelt alle unbenutzten Cluster in einer von Ihnen anzugebenen Zieldatei N tzlich um Datenfragmente von vormals existierenden Dateien die nicht sicher gel scht wurden zu untersuchen Nimmt keine nderungen am untersuchten Laufwerk vor Die Zieldatei mu auf einem anderen Laufwerk abgelegt werden Schlupfspeicher extrahieren Sammelt Schlupfspeicher englisch slack space die unbenutzten Bytes im jeweils letzten Cluster einer Clusterkette hinter dem tats chlichen Ende der Datei in einer Zieldatei Jedem Vorkommen von Schlupfspeicher werden Zeilenumbr che vorangestellt und die Nummer des Clusters in dem er gefunden wurde als ASCH Text Ansonsten hnlich wie Freien Speicher extrahieren WinHex kann Schlupfspeicher von Dateien die auf Dateisystemebene komprimiert oder verschl sselt sind nicht erfassen Partitionsl cken extrahieren Erfa t die Speicherbereiche einer physischen Festplatte die zu keiner Partition geh ren in einer Zieldatei zur schnellen Untersuchung um herauszufinden ob dort etwas versteckt ist oder brig geblieben von fr heren Partitionierungen Text extrahieren Erkennt Text anhand der von Ihnen anzugebenden Parameter erfa t alle Vorkommnisse in einer Datei auf einem Datentr ger oder innerhalb eines Speicherbereichs und schreibt diese in eine Datei Diese Art von Filter ist n tzlich
419. usgeblendete Dateien und Verzeichnisse e Nicht ausgeblendete Dateien und Verzeichnisse Sie k nnen auch Filter basierend auf Kriterien Spalten wie Dateiname Dateityp Kategorie Attribute oder Hash Set einschalten Immer wenn ein aktiver Filter tats chlich Dateien oder Verzeichnisse herausfiltert wird das mit einem blauen Filtersymbol in der berschriftszeile des Verzeichnis Browsers kenntlich gemacht und Ihnen wird angezeigt wie viele Objekte genau aus der Liste ausgelassen wurden Sie haben auch die M glichkeit durch Klick auf die Icons f r Datei ffnen Datei speichern ganz rechts in der berschriftszeile des Verzeichnis Browsers Filter und Sortiereinstellungen in separaten Dateien abzulegen und jederzeit wieder hereinzuladen Solche Dateien erhalten die Dateinamenserweiterung settings Beachten Sie bitte da es nicht garantiert ist da Einstellungen anderer Versionen der Software geladen werden k nnen Unter den Filterm glichkeiten links unten finden Sie in diesem Dialogfenster einen Schalter namens Alle Ausblendungen aufheben der es erlaubt alle ausgeblendeten Dateien und Verzeichnisse im Datei berblick des Asservats im aktiven Datenfenster wieder in den Normal zustand zu versetzen einzublenden Um selektiv die Ausblendung bestimmter Dateien aufzuheben stellen Sie zun chst sicher da diese Dateien nicht herausgefiltert werden Dann k nnen Sie sie ausw hlen und die Ausblendung mit einem Befehl im Kontext
420. ver you can abort the comparison at any time This operation requires that PhotoDNA hash values have been computed beforehand using Specialist Refine Volume Snapshot Picture processing Compute PhotoDNA hash values It is useful for example for law enforcement agencies that wish create PhotoDNA hash sets of unique pictures only and for that purpose maintain a lawful collection of incriminating pictures without duplicates The strictness of the picture comparison is the same as set in the Specialist Refine Volume Snapshot Picture processing dialog window for matching against the PhotoDNA hash database In Suchtrefferlisten k nnen Sie 1 ausgew hlte Suchtreffer permanent l schen 2 doppelte Suchtreffer permanent l schen Suchtreffer werden als identisch doppelt eingestuft 49 wenn sie entweder den gleichen physischen Offset haben oder falls kein physischer Offset angegeben ist wenn ihr logischer Offset und die zugeh rige interne Datei ID gleich sind Im Zweifelsfall beh lt X Ways Forensics den l ngeren Suchtreffer weil Meierhoff z B wertvoller ist als Meier and bevorzugt Suchtreffer in existierenden Dateien 3 Vergr ern Erlaubt das ndern der Gr e und der Position der ausgew hlten Suchtreffer Wenn Sie z B nach einer Signatur suchen die Datens tze in einer Datenbank identifiziert und Sie erhalten viele Treffer mit dieser Signatur aber Sie interessieren sich eigentlich f r die Daten die hinter der Signatur
421. viele Datei und Datentr ger Offsets mit Beschreibungen verwaltet werden auch Anmerkungen genannt Er wird auch f r Suchtreffer verwendet wenn nicht mit einem Fall gearbeitet wird ist aber weitaus weniger m chtig als eine Suchtrefferliste Es ist leicht zwischen mehreren Eintr gen hin und herzuspringen indem Sie STRG Links und STRG Rechts dr cken Wenn Sie etwa in einer Datei 39 eine markante Stelle ausfindig gemacht haben auf die Sie evtl sp ter noch h ufiger zur ckkommen m chten dann lohnt es sich diese Stelle im Positions Manager einzutragen Sie k nnen sie dann sp ter schnell wiederfinden ohne sie sich merken zu m ssen Klicken Sie auf Neu geben Sie den Offset und anschlie end eine Beschreibung z B Hier beginnt der Datenblock ein Beschreibungen d rfen bis zu 8192 Zeichen gro sein Optional k nnen alle Positionen die im Positionsmanager verwaltet werden im Datenfensterin einer von Ihnen festgelegten Farbe hervorgehoben werden und ihre Beschreibungen in gelben Tooltips dargestellt werden wenn der Mauszeiger dar ber bewegt wird Sie k nnen Positionen auch mit dem Kontextmen des Datenfensters hinzuf gen oder editieren oder auch indem Sie im Datenfenster die mittlere Maustaste bet tigen Klicken Sie die rechte Maustaste im Positions Manager um ein Kontextmen zu erzeugen Darin k nnen Sie Positionen l schen aus einer Datei laden oder in eine Datei speichern letzteres auch als HTML Wenn die
422. vom Datei Modus in den Modus Partition Volume wechseln bringt Sie X Ways Forensics automatisch an den Offset aus der Sicht der Partition des Volumes der dem Offset in der Datei entspricht an dem der Cursor zuletzt positioniert war auch wenn die Datei fragmentiert ist wenn es einen entsprechenden Offset gibt was nicht der Fall ist wenn die Datei eine komprimierte oder virtuell angeh ngte Datei ist oder eine extrahierte E Mail oder ein exportiertes Video Einzelbild o Vorschau Pr ft den Typ der aktuell im Verzeichnis Browser ausgew hlten Datei und zeigt die Datei mit Hilfe der separaten Viewer Komponente an es sei denn die Viewer Komponente ist nicht aktiv oder es handelt sich um ein Bild unterst tzte Typen s Galerie und die Viewer Komponente soll nicht f r Bilder verwendet werden Selbst unvollst ndige Bilder Datei z B wegen Fragmentierung nur partiell korrekt gerettet k nnen normalerweise teilweise angezeigt werden Wenn die Viewer Komponente nicht aktiv ist und es sich nicht um ein Bild in einem der unterst tzten Formate handelt wird ein rudiment res ASCII Text Extrakt vom Anfang der Datei angezeigt Details Enth lt all die Informationen ber eine einzige ausgew hlte Datei aus allen Verzeichnis Browser Spalten inclusive denen die gar nicht sichtbar sind Sehr n tzlich z B wenn der Pfad sehr lang ist und nicht in die Pfad Spalte pa t u U sogar nicht einmal in Form der Tooltip Anzeige in der Pfad Spalte
423. wendet wurde weil er unbekannt ist oder weil sie eine Gr e von 0 Bytes haben haben Icons mit einem roten Kreuz Icons mit einem Pfeil auf FAT nur mit Specialist Lizenz oder h her und nach Erweitern des Datei berblicks NTFS Partitionen zeigen umbenannte oder verschobene Dateien mit ihrem Originalnamen bzw in ihrem fr heren Verzeichnis an Auf Reiser4 sind dies verschobene Dateien mit ihrem jetzigen Namen im fr heren Verzeichnis Ein blauer Pfeil zeigen an da Inhalte f r die Dateien verf gbar sind wenn auch nicht die Originalinhalte von vor dem Umbenennen bzw Verschieben Ein roter Pfeil zeigt an da keine Inhalte verf gbar sind 16 existierende Verzeichnis ehem ex Verzeichnis evtl wiederherstellbar ehem ex Werzeichnis mind 1 Cluster nicht verf gbar 51 ehem ex Verzeichnis umbenanntvwerschoben J existierende D atei as virtuele Datei f r Untersuchungszwecke U virtuell angeh ngt ehemals existierende Datei Inhalt original 2 ehem ex Datei Inhalt evtl nicht mehr original x ehem ex Datei mind 1 Cluster nicht verf gbar 5 umbenanntyerschoben Inhalt evtl nicht mehr orginal 5 umbenannt werschoben 1 Cluster nicht verf gbar EJ extrahierte E Mail E4 mit Dateianhang Spuren einer E Mal Datei mit Unterobjekten Unterabjekt won Datei Physischer Datentr ger ba Yolume Partition va Rlekursiv erkunden geloscht markiert bereits eingesehen Kommentar hinterlegt 4 Benchtstabelle In der bersc
424. werden und enth llen u U entweder fr here Namen oder Pfade von umbenannten verschobenen Dateien Verzeichnissen enth llen die im Datei berblick schon verzeichnet waren oder gel schte Dateien die dem Datei berblick bis dato noch unbekannt waren allerdings ohne zugeh rige Datei Inhalte Geben Sie an ob Sie an fr heren Namen bzw Pfaden von umbenannten verschobenen Dateien und Verzeichnissen interessiert sind oder nicht und ob Sie Dateien in den Datei berblick aufnehmen lassen m chten f r die nur Name Gr e Zeitstempel und Attribute aber keine Daten Cluster bekannt sind Wenn das Kontrollk stchen f r fr here Namen Pfade halb angekreuzt ist dann werden Sie ber fr here Namen Pfade von umbenannten verschobenen Dateien ber die Metadaten Spalte informiert und erhalten keine zus tzlichen Dateien im Datei berblick f r jeden fr heren Namen Pfad Bei allen Unteroperationen f r NTFS werden besondere Anstrengungen unternommen um die Aufnahme redundanter identischer Dateien in den Datei berblick zu vermeiden Wenn die einzige neue Information in alten Versionen von FILE Records oder Index Records ehemals g ltige Zeitstempel sind keine fr heren Namen Pfade Inhalte von Dateien oder nur fr here Namen Pfade Sie an diesen aber explizit kein Interesse zeigen dann werden diese Zeitstempel nur als Ereignisse ausgegeben sofern die Option Zeitstempel aus diversen Quellen als Ereignisse bereitstellen bei der Erweiterung des
425. with the report definition file Reg Report Free Space txt The free space can be as large as several MB especially as a consequence of the use of virus scanners and registry cleaning programs Deleted registry values are now highlighted in the report in red color Also registry value slack has a relevant size in NTUSER DAT hives This fact is exploited with 2 measures 1 If the slack contains text strings it will be output in the registry report in green This new feature can optionally be turned off the registry viewer context menu 2 For values that contain item lists i e are binary you can use the Reg Report Free Space txt definitions to output registry report will output lists of filenames with timestamps in green The first timestamps is an access date the second one is a creation date If no timestamps can be output these are artifacts from RecentDocs Das Format der Eintr ge in Reg Report txt Typkiirzel Tabulator Schliisselpfad Tabulator Beschreibung Zeilenvorschub Typkiirzel 2 Definition f r beliebiges Windows NT Windows bis einschlie lich XP VT Windows ab Vista F Neue Funktion ohne absolute Pfade FR Abfrage im freien Speicher des Hives 89 Schl sselpfad Kompletter Pfad des Registrierungsschl ssels HKLM entspricht HKEY LOCAL MACHINE HKCU entspricht HKEY CURRENT USER Wenn ein als Platzhalter im letzten Teilpfad verwendet wird werden alle Pfade auf dieser Verzweigungsebene u
426. with two internal hash databases The Hash Cate gory column shows only one category If you assign the hash value of a certain file in one hash database to one category and the hash value of the same file in the other hash database to the other category you will be warned once during match ing and given exact information about which hash value in which hash sets in which hash databases are conflicting The categorization as notable will prevail when in doubt nur forensische Lizenz Berichts Die Namen der Berichtstabellen denen die Datei oder das Verzeichnis zugeordnet tabelle wurde Filter verf gbar nur forensische Lizenz Kommentar Der Freitextkommentar mit dem eine Datei oder ein Verzeichnis vom Benutzer versehen wurde Filter verf gbar If the parent file of a file has been assigned to one or more report tables by the user then this is pointed out in the Report table column for the child object as well in light gray color and with an arrow except if the child object has report table associations itself Reminds the user that the par ent was reviewed and marked as relevant already which can spare him or her the extra step of navigating to the parent again nur forensische Lizenz Metadaten Metadaten die aus Dateien diverser Typen mit einem Kontextmen befehl extrahiert werden k nnen Filter verf gbar nur forensische Lizenz Zus tzliche Spalten f r Suchtrefferlisten Physischer absoluter Offset logischer relativer Offse
427. xibc9 inf_31bf3856ad364e35_6 1 7600 16385 none a Windows winsxs amd64_ph3xibc5 inf_31bf3856ad364e35_6 1 7600 16385 none 9e Windows winsxs amd64_ph3xibce12 inf_31bf3856ad364e35_6 1 7600 16385 none 64 usw Indem nur ein einziger harter Verweis durchsucht wird kann man typischerweise mehrere GB an doppelten Daten einsparen und verpa t trotzdem nichts wenn man in allen anderen Dateien sucht Diejenigen zus tzlichen harten Verweise die bei der Suche optional ausgeklammert werden sind daran zu erkennen da die Anzahl der Verweise im Verzeichnis Browser in grau angezeigt wird Suchtreffer in dem einzigen durchsuchten harten Verweis werden in der Anmerk Spalte in Suchtrefferlisten mit dem Hinweis Verweise versehen um Sie an die anderen harten Verweise derselben Datei zu erinnern falls die Suchtreffer relevant sind Es besteht die M glichkeit logische parallele Suchen zus tzlich zu Datei Inhalten gleichzeitig auch auf Zellen des Verzeichnis Browsers also Metadaten anzuwenden und zwar auf die Zelle jeder ausgew hlten Verzeichnis Browser Spalte wie Name Autor Absender Empf nger oder Metadaten Das erspart Ihnen das Einf gen Ihrer Suchbegriffe in die Filterdialoge diverser Verzeichnis Browser Spalten Diese Vorgehensweise ist auch gr ndlicher weil jeglicher von diesem Feature adressierter Text in UTF 16 durchsuchbar ist wohingegen dieselben Daten anderswo fragmentiert gespeichert sein k nnen z B Dateinamen insbes in FAT s
428. ytes ein Datensatz wenn im Ansicht Men aktiv oder ein Sektor Verwenden Sie F11 um die gew hlte Positionsver nderung zu wiederholen Seite Sektor aufsuchen Schl gt die von Ihnen angegebene Seite auf bzw springt im Fall eines Datentr gers zum gew hlten Sektor Cluster Beachten Sie da der Datenbereich auf FAT Laufwerken mit der Cluster Nr 2 beginnt The Go To Sector dialog when applied to a physical disk optionally allows to jump to the designated sector within the respective partition window so that you can immediately see the allocation status of the corresponding cluster Only for ordinary partitions not Windows dynamic volumes or LVM2 volumes FAT Eintrag FILE Record aufsuchen Erlaubt es bequem zu einem bestimmten Eintrag in der Dateizuordnungstabelle auf einem FAT Laufwerk bzw zu einem bestimmten FILE Record in der Master File Table auf einem NTFS Laufwerk zu springen Block verschieben Verschiebt die aktuelle Block Markierung nicht die Daten im Block nach vorne oder hinten Geben Sie dazu die gew nschte Distanz in Byte an Verwenden Sie ALT F11 um die gew hlte Blockverschiebung zu wiederholen und SHIFT ALT F11 um in die jeweils umgekehrte Richtung zu verschieben Diese Funktion kann z B beim Editieren einer Datei von Nutzen sein die aus mehreren gleichartigen Datenfeldern Records derselben L nge besteht WinHex und X Ways Forensics fertigen Aufzeichnung ber die Offset Spr nge die Sie in einer Datei oder
429. yword2 0 maxdistance keyword Die ben tigte Suchfensterbreite in Bytes Annahme Suche in einem 8 Bit Zeichensatz ist die Summe von maxdistance L nge keywordI und L nge keyword2 Bitte beachten Sie da die bevorzugte Methode zum Auffinden von zwei Suchbegriffen nahe beieinander die NEAR Kombination in der Suchbegriffsliste ist die zur Verf gung steht wenn zwei Suchbegriffe bereits mit einem logisch UND verkn pft sind nachdem Sie separat voneinander gesucht wurden 9 7 Ersetzen Optionen Auf Best tigung warten An jeder Fundstelle entscheiden Sie ob dort ersetzt und ob der Vorgang evtl abgebrochen werden soll Alles ersetzen Alle Vorkommnisse werden automatisch ersetzt Gro Kleinschreibung beachten Bei der Suche nach der zu ersetzenden Zeichenfolge kann nach Gro und Kleinschreibung unterschieden werden s a Suchoptionen WinHex verwendet die Ersatz Zeichenfolge nat rlich in jedem Fall in der von Ihnen gew hlten Schreibweise Unicode Zeichensatz verwenden Der Text wird im 16 Bit Unicode Zeichensatz gesucht Dieser Zeichensatz reserviert 16 Bit je Zeichen wobei die ersten 256 Unicode Zeichen den ANSI ASCIH Zeichen entsprechen Das h herwertige Byte ist dabei Null In 32 Bit Programmdateien beispielsweise sind Texte teilweise im Unicode Zeichensatz gespeichert 167 Sie k nnen ein beliebiges Zeichen bzw einen beliebigen zweistelligen Hex Wert als Jokerzeichen verwenden Z B kann man mit der Such Zeichenf
430. zu analysieren und um weitere Erkenntnisse im Bereich der Speicherforensik zu gewinnen 7 7 Editieren mit Schablonen Eine Schablone Template ist ein Dialogfenster das die Mittel zum Editieren ma geschnei derter Datenstrukturen zur Verf gung stellt Im Vergleich zum reinen Hex Editieren ist das Editieren mit Schablonen komfortabler und weniger fehleranf llig Hier werden nderungen in getrennten Editierfeldern vorgenommen und mit der ENTER Taste best tigt oder beim Schlie en der Schablone Die zu editierenden Daten k nnen von einer Datei von Datentr ger Sektoren oder aus dem virtuellen Arbeitsspeicher stammen Insbesondere beim Editieren von Datenbanken empfiehlt sich das Benutzen von Schablonen aufgrund des leichteren Datenzugriffs Sie finden den Befehl zum Drucken einer Schablone im Systemmen Eine Schablonen Definition wird als Textdatei mit der Endung tpl f r Template gespeichert 141 Der Schablonen Editor erm glicht es Ihnen solche Definitionen zu verfassen und deren Syntax zu pr fen Eine Schablonen Definition enth lt haupts chlich Variablen Deklarationen hnlich wie die in Programmiersprachen Die Syntax finden Sie in Anhang A im Detail erl utert Zu den unterst tzten Datentypen geh ren alle gel ufigen Integer Gleitkomma und Boolean Varianten Datumstypen Hex Werte Bin rwerte Zeichen und Strings Man kann Arrays Felder sowohl von einzelnen Variablen als auch von ganzen Bl cken definieren
431. zu unterschiedlichen Zeiten bearbeiten sollen und dabei all ihre Ergebnisse direkt miteinander teilen m chten wie es in X Ways Forensics vor v17 5 blich war Eine weitere Option koordiniert bestimmte Zugriffe auf Datei berblicke Hinzuf gen von Dateien sowie Editieren von Kommentaren und Metadaten sorgf ltiger Kann die Verwendung des Programms beschleunigen wenn ausgeschaltet Das Ausschalten dieser Synchronisation ist empfehlenswert nur f r F lle die definitiv nur von 1 Benutzer zur gleichen Zeit bearbeitet werden Report table associations and comments of different examiners can optionally be distinguished by showing the creating examiner s initials default or alternatively other abbreviations of their names or if no abbreviation is specified their complete usernames Comments and report table associations are shared between all examiners Examiners can choose whether or not they get to see report table associations of other users or only their own associations or if half checked only their own associations plus those of unknown users The same file can be associated with the same report table only by 1 examiner X Ways Forensics imports and shows newly created report table associations of simultaneous other users in shared analysis mode when re opening an evidence object or when case auto save interval elapses or when manually invoking the Save Case command The option to show initials for report table associations is represented
Download Pdf Manuals
Related Search