Dateityp-Definitionen
"File Type Signatures *.txt" sind durch Tabulatorzeichen in Spalten aufgeteilte Textdateien, die als Datenbank von Dateityp-Definitionen fungieren. Sie werden verwendet beim Erweitern des Datei-Überblicks und beim Befehl Dateien retten nach Typ.
WinHex ist werksseitig mit verschiedenen Dateityp-Signatur-Definitionen ausgestattet. Sie können diese Definitionen aber beliebig an Ihren Bedarf anpassen und erweitern, entweder in der Datei "File Type Signatures Search.txt" oder in zusätzlichen Dateien desselben Formats, die "File Type Signatures *.txt" heißen und ebenfalls geladen werden. Letzteres hat den Vorteil, daß solche Dateien nicht überschrieben werden, wenn Sie das nächste Mal ein Update installieren und einen nicht bereits verwendeten Dateinamen benutzen. Nur wenn der Dateiname das Wort "Search" enthält, werden die in der Datei definierten Typen auch für die Datei-Header-Signatur-Suche benutzt, sonst nur für die Überprüfung des Typs von Dateien, die bereits im Datei-Überblick enthalten sind (nur mit forensischer Lizenz). Insgesamt werden bis zu 4096 Einträge unterstützt (1024 für die Suche).
Klicken Sie den Schalter "Typ-Definition" bzw. "Signaturen" an, um die Datei "File Type Signatures Search.txt" zu editieren. Standardmäßig öffnet WinHex die Datei in MS Excel. Das ist bequem, weil die Datei aus Spalten besteht, die durch Tabulatorzeichen getrennt sind. Wenn Sie die Datei mit einem Text-Editor verändern, stellen Sie sicher, daß die Tabulatorzeichen erhalten bleiben, denn WinHex verläßt sich beim Interpretieren der Datei auf deren Vorhandensein. MS Excel erhält sie automatisch. Nach dem Editieren der Dateityp-Definitionen müssen Sie das Dialogfenster schließen und erneut aufrufen, damit Sie die Änderungen in der Dateityp-Definitionsdatei sehen.
1. Spalte: File Type
Eine menschenlesbare Bezeichnung des Dateityps, z. B. "JPEG". Nur die ersten 19 Zeichen werden berücksichtigt.
2. Spalte: Extensions
Einer oder mehrere Dateinamenserweiterungen, die typischerweise für diesen Dateityp benutzt werden, z. B. "jpg;jpeg;jpe". Geben Sie die üblichste Erweiterung zuerst an, denn diese wird für die Benennung wiederhergestellter Dateien verwendet. Wird die erste Erweiterung außerdem in Großbuchstaben angegeben, wird sie bei der Typprüfung für die Typspalte verwendet, auch wenn die Datei eine der alternativen plausiblen Dateiendungen hat. Mehr als 255 Zeichen unterstützt.
3. Spalte: Header
Eine eindeutige Header-Signatur, anhand derer Dateien dieses Dateityps erkannt werden können. Er wird in GREP-Syntax angeben (Erläuterung unter Suchoptionen), so daß es möglich ist, variable Byte-Werte zuzulassen (z. B. bedeutet [\xE1\xE2]: "Der Byte-Wert könnte 0xE1 oder 0xE2 sein.") oder undefinierte Bereiche (.). Die Maximallänge der repräsentierten Signatur beträgt 48 Bytes. Um überhaupt geeignete charakteristische Dateiheader-Signaturen herauszufinden, öffnen Sie ein paar existierende Dateien des gewünschten Typs in WinHex und halten Sie nach übereinstimmenden Bytewerten nah dem Anfang der Dateien an identischen Offsets Ausschau.
4. Spalte: Offset
Der relative Offset innerhalb einer Datei, an dem die Signatur auftritt. Oftmals einfach 0. Die Signatur muß innerhalb der ersten 512 Bytes enthalten sein.
5. Spalte: Footer
Optional. Eine Signatur (Folge von Byte-Werten), die das Ende einer Datei verläßlich anzeigt, anzugeben in GREP-Syntax. Das kann Ihnen helfen, eine Rettung mit der korrekten Dateigröße zu erreichen. GREP-Ausdrücke, die Daten variabler Länge repräsentieren, funktionieren u. U. nicht wie erwartet. Der Algorithmus sucht hinter dem Header nicht weiter nach Footern als durch die in Bytes angegebene maximale Dateigröße bestimmt.
Noch besser als eine Footer-Signatur ist die Verfügbarkeit eines intern in X-Ways Forensics verwendeten Algorithmus, der das Dateiformat gut kennt und die korrekte Dateigröße normalerweise ermitteln kann, wenn die Datei nicht fragmentiert, unvollständig oder defekt ist. Solch ein Algorithmus wird in der Footer-Spalte mit einer Tilde (~) und einer ID-Nummer angegeben.
6. Spalte: Default size
Optional. Eine dateitypspezifische Normalgröße in Bytes, optional gefolgt von einem Schrägstrich und einer dateitypspezifischen Größenerkennungsgrenze. Erklärung hier.
7. Spalte: Flags
Optional. Flags können die Datei-Header-Signatur-Suche für bestimmte Dateitypen noch individueller und genauer gestalten, und sind ein weiteres Anzeichen dafür, wie ausgeklügelt und mächtig das Datei-Carving in X-Ways Forensics ist.
b (kleingeschrieben): Die Signatur wird auf Byte-Ebene gesucht, wenn dies gemäß Einstellungen in der Benutzeroberfläche erlaubt wird. Hilfreich insbes. für Einträge/Datensätze/Mikroformate/Speicher-Artefakte (d.h. keine vollständigen herkömmlichen Dateien), die typischerweise nicht an Sektor- oder Cluster-Grenzen ausgerichtet sind.
B (großgeschrieben): Verhindert die Suche auf Byte-Ebene nach einer bestimmten Signatur, um starke Geschwindigkeitseinbußen zu vermeiden.
c (kleingeschrieben): Wenn berücksichtigt (hängt von Einstellungen in der Benutzeroberfläche ab), werden Datei-Header ignoriert, wenn sie nicht an Cluster-Grenzen ausgerichtet sind. Dies kann für bestimmte Dateitypen hilfreich sein, um falsche Treffer zu reduzieren.
C (großgeschrieben): Kennzeichnet Dateityp-Signaturen, die nicht für die Suche nach NTFS-komprimierten Dateien berücksichtigt werden sollen, sofern der Effekt von NTFS-Kompression ausgeglichen wird, weil die Signaturen entweder zu schwach sind und zu viele falsche Treffer hervorrufen würden oder weil die Dateien des betreffenden Typs sowieso nicht komprimiert gespeichert würden.
d (kleingeschrieben, für "direkt"): Die Signatur wird wörtlich interpretiert, nicht als GREP-Ausdruck, Zeichen für Zeichen, als Byte-Werte gemäß der in Ihrem Windows-System aktiven Codepage. Useful for example if you are not very familiar with GREP notation or don't need GREP and just want to get all characters interpreted literally according to the code page that is active in your Windows system, without thinking much about whether the characters are considered special characters in GREP. For example, <?xml version="1 is a valid signature for certain XML files, but it works only with the direct flag because the question mark has a special meaning in GREP, which results in a different byte value sequence for the signature internally if the entire expression is interpreted as GREP, and would not yield any matches if GREP interpretation is active.
e: Steht für "eingebettet". Wenn ein Dateityp einen Tilde- (~) Algorithmus in der Footer-Spalte aufweist und mit diesem Flag gekennzeichnet ist, wird er voreingestellt für den Teil "Datei-Header-Signatur-Suche in nicht obig behandelten Dateien" bei der Suche nach eingebetteten Daten. Das "e"-Flag hilft lediglich dabei, die Häkchen für diese Option anfangs sinnvoll zu setzen. Letztlich ist es Sache des Benutzers, die Auswahl der Dateitypen für diese Operation in der Benutzeroberfläche selbst festzulegen. Zusätzlich bestimmt das Flag, was für eingebettete Daten in Dateien gesucht werden, für deren Typ keine interne Extraktionsmethode eingebaut ist.
E: Wird niemals signaturmäßig eingebettet in anderen Dateien gesucht.
f (kleingeschrieben): Indicates that the specified footer signature is used to find data that is not part of the file any more and should excluded. Ordinary footers are included in the carved file. Useful for file formats that do not have a well defined footer, where the end of the file can be detected by the occurrence of data that does not belong to the file any more. That could be the same signature as the header (if files of that type occur typically in groups, back to back) or just \x00 (for file formats such as text files that do not contain zero-value bytes, where however \x00 can be expected with a high likelihood in the RAM slack). Such footer signatures should be marked as exclusive because the data matched by it is not part of the file itself.
F (großgeschrieben): Läßt X-Ways Forensics Treffer der Datei-Header-Signatur-Suche verwerfen, wenn kein zugehöriger Footer gefunden werden kann, sofern eine Footer-Signatur in der Definition angegeben ist. Kann sinnvoll sein, um die Zahl der falschen Treffer zu reduzieren.
G (für "gierig"): Dateien nehmen all die ihnen zugeordneten Sektoren exklusiv in Beschlag. Die Datei-Header-Signatur-Suche setzt ihre Suche nach weiteren Datei-Headern erst hinter dem mutmaßlichen Ende von solchen Dateien fort. Dieses Verfahren kann in besonderen Situationen sinnvoll sein, wenn die internen Algorithmen in X-Ways Forensics verifizieren können, daß keine andere Art von Daten innerhalb der beschlagnahmten Sektoren beginnen. Benutzer von Konkurrenzprodukten, die weniger Dateien als X-Ways Forensics finden, kennen das Überspringen von Sektoren (aber ungeprüft!) vielleicht als Standardfunktionsweise und halten es sowieso für normal. Das Flag hat nur dann eine Wirkung, wenn die Datei-Header-Signatur an einer Sektorgrenze gefunden wurde. Wenn eine Datei im freien Speicher allokationsavers gecarvt wird, wird für die Fortsetzung der Datei-Header-Signatur-Suche nur ihr erstes Fragment übersprungen.
g (kleingeschrieben): Weaker version of the same flag. Only if an internal file size detection algorithm exists for a file type and if a file with the same start sector number exists already with the same file size as detected, the "g" flag will cause X-Ways Forensics to skip the affected sectors. This can help to prevent overlapping zip files and thereby avoid potentially many contained duplicate files. Has no effect when combined with b.
h: Gibt an, daß die angegebene Header-Signatur Daten findet, die nicht selbst Teil der Datei sind. Das bedeutet, daß der Header von der gecarvten Datei ausgeschlossen wird. Die gecarvte Datei beginnt dann nach dem Header. Verhindert außerdem allokationsaverses Ausgliedern von Dateien dieses Typs.
L: Identifies links that merely link to other definitions. Useful for example to have an entry for OpenOffice files, which was missed by some users and whose absence could lead to the misconception that it is not possible to carve OpenOffice files. If the entry for OpenOffice is selected for carving, this internally automatically selects zip archives for carving, which makes sense because OpenOffice files technically are zip files and can be carved as such. The disadvantage is just that other zip archives that are not OpenOffice files are also carved. However, those files will be distinguishable thanks on the internal file type detection, for example based on the automatically assigned filename extension.
S: Marks signatures that are good enough for the file header signature search (probably in conjunction with a carving algorithm), but not for file type verification because of occasional misidentifications. This flag should be very rarely needed.
t: Signalisiert X-Ways Forensics, daß der Typ von gecarvten Dateien nicht sofort als bestätigt dargestellt werden soll. Nützlich z. B. für Dateiformat-Familien wie XML, damit der exakte Untertyp später bei der Dateityp-Prüfung bestimmt werden kann.
u (kleingeschrieben): Erlaubt es, Dateien nur in laut Dateisystem unbenutzten Clustern zu carven.
U (großgeschrieben): Erlaubt es, Dateien nur in laut Dateisystem unbenutzten Clustern zu carven, die außerdem zu keiner im Datei-Überblick befindlichen ehemals existierenden Datei gehören.
W (großgeschrieben): Identifiziert Header-Signaturen, die zu schwach sind, um den Typ einer Datei neu zu erkennen, aber gerade noch gut genug sind, um den Typ, den bereits die Dateinamenserweiterung andeutet, zu bestätigen.
x: Identifiziert Dateitypen, für die es relativ normal ist, wenn die tatsächliche Dateinamenserweiterung von der Standarderweiterung abweicht, so daß Dateien eines solchen Typs nach der Typprüfung nicht als "anders erkannt" dargestellt werden, sondern lediglich als "neu erkannt", damit die Dateien nicht mehr Aufmerksamkeit auf sich ziehen als ihnen zusteht.
y: Identifiziert Dateitypen, die bekanntermaßen intern Verschlüsselung verwenden, so daß Dateien dieser Typen, die aus Sektoren ausgegliedert wurden, automatisch in der Attributspalte mit "e!" gekennzeichnet werden können.