So legen Sie los mit X-Ways Forensics
Die neuesten Download-Instruktionen, sofern Ihre Update-Berechtigung noch gilt, erhalten Sie bei Abfrage Ihres Lizenzstatus' hier. Weitere Informationen über die Installation von WinHex und X-Ways Forensics erhalten Sie hier.
Extrahieren Sie die Dateien im Download von X-Ways Forensics in ein Verzeichnis Ihrer Wahl. Eine Installation mit dem Setup-Programm ist nicht erforderlich. Das Programm ist portabel und kann auch direkt von einem USB-Stick auf anderen Computern ausgeführt werden, z. B. einem Live-System, das Sie untersuchen möchten. Laden Sie auch die Viewer-Komponent herunter (die im Standard-Download nicht enthalten ist, weil sie nur sehr viel seltener aktualisiert wird). Verwenden Sie die 64-Bit-Edition der Viewer-Komponente für die 64-Bit-Version von X-Ways Forensics. Standardmäßig wird die Viewer-Komponente extrahiert im Unterverzeichnis \viewer (32 Bit) bzw. \x64\viewer (64 Bit) erwartet. Wir weisen darauf hin, daß die Viewer-Komponente anders als X-Ways Forensics Dateien in dem Profil des Benutzers erzeugt, der aktuell eingeloggt ist. Wenn Sie vermeiden möchten, daß Dateien in einem zu untersuchenden Live-System erzeugt werden, dann lassen Sie X-Ways Forensics die Viewer-Komponente nicht verwenden. Sie können auch MPlayer herunterladen, wenn Sie X-Ways Forensics Standbilder aus Videos produzieren lassen möchten, um diese in der Galerie anzuzeigen. Neuere Releases können immer in das existierende Verzeichnis eines älteren Releases extrahiert werden. Sie dürfen bestehende WinHex.cfg-Konfigurationsdateien von früheren Releases in neueren Releases weiterverwenden (aber niemals umgekehrt).
Zum Kennenlernen von X-Ways Forensics empfehlen wir Ihnen, folgendes auszuprobieren: Erst einmal legen Sie einen neuen Fall an (im Falldaten-Fenster). Dann fügen sie ihm ein Asservat hinzu (z. B. Ihr eigenes Laufwerk C:, Festplatte 0 oder bereits vorliegende Images von Datenträgern). Per Rechtsklick im Verzeichnisbaum lassen sich Verzeichnisse mitsamt dem Inhalt aller Unterverzeichnisse rekursiv im Verzeichnis-Browser ausgeben. Klicken Sie also z. B. im Verzeichnisbaum mit der rechten Maustaste auf das Stammverzeichnis, sehen Sie alle Dateien des gesamten Dateisystems auf einmal. Gleichzeitig können Sie auch dynamische Filter einsetzen (Optionen | Verzeichnis-Browser), um sich etwa auf Dateien mit einem bestimmten Namen oder Typ, einer bestimmten Größe oder bestimmten Zeitstempeln zu konzentrieren.
Weitere entscheidende Funktionen in X-Ways Forensics finden Sie im Kontextmenü des Verzeichnis-Browsers (dort z. B. auch die Möglichkeit, Dateien herauszukopieren) sowie im Suchen-Menü (dort die Parallele Suche) und im Specialist-Menü (dort vor allem "Datei-Überblick erweitern"). Mit letzterer Funktion kann man Dateien einzeln oder massenweise gezielt weiterverarbeiten, z. B. Inhalte von Archiven oder E-Mails und Datei-Anhänge mit in den Datei-Überblick aufnehmen, Bilder auf Hautfarbenanteile untersuchen, Dokumente auf Verschlüsselung usw. usf.
Man kann X-Ways Forensics für tausend verschiedene Zwecke einsetzen. Daher sind unserer Meinung nach Schritt-für-Schritt-Anweisungen (erst hier klicken, dann dort, dann im Fenster darüber nachschauen) nicht der richtige Weg, um die Software zu erklären. Diese Programmhilfe/dieses Handbuch soll vielmehr die verfügbare Funktionalität akkurat beschreiben und Sie die verschiedenen Funktionen kreativ kombinieren lassen, um ein bestimmtes Ziel zu erreichen. Das Denken wird dem Benutzer dabei nicht abgenommen; er muß wissen, was er tut, und wie Resultate zu interpretieren sind.
Die 64-Bit-Edition ist besonders in Situationen empfehlenswert, in denen ein 32 Bit großer Adreßraum unzureichend sein kann, wenn Sie Festplatten oder Images analysieren, die viele Millionen Dateien enthalten, oder wenn Sie mit vielen Millionen Suchtreffern hantieren, vorausgesetzt, daß Sie eine Menge physischen Arbeitsspeicher installiert haben. Bestimmte Operationen, die die Rechenleistung des Prozessors besonders beanspruchen (z. B. Hashen oder Verschlüsseln oder Entschlüsseln) können in der 64-Bit-Edition auch schneller sein.