Optionen des Datei-Überblicks
Diese Optionen sind zu erreichen über die Verzeichnis-Browser-Optionen. Sie greifen i. d. R. beim (Neu-) Einlesen des Datei-Überblicks.
Erweiterte Attribute (extended attributes) in NTFS werden optional in den Datei-Überblick als Unterobjekte desjenigen Verzeichnisses oder derjenigen Datei aufgenommen, zu dem/der sie gehören, mit dem Namen "$EA", und in der Attr.-Spalte "($EA)" gekennzeichnet, und zwar entweder alle solchen Attribute (wenn das Kontrollkästchen, das das steuert, ganz angekreuzt ist) oder nur die nicht-residenten (wenn halb gewählt, Voreinstellung). Wenn dies überhaupt nicht geschieht, werden Cluster, die zu nicht-residenten erweiterten Attributen von existierenden Objekten gehören, der virtuellen Datei Diverse nicht-residente Attribute zugeschlagen. Hintergrundinformation: Microsoft verwendet erweiterte Attribute bei ausführbaren Dateien des System als Teil der Secure-Boot-Komponente. Angreifer haben in einigen aufsehenerregenden Fällen große erweiterte Attribute zum Verstecken von Malware genutzt. Große erweiterte Attribute werden automatisch mit Berichtstabellenverknüpfungen versehen, um sie leicht finden zu können, wenn es sie gibt.
Das Aufnehmen von sog. Logged Utility Streams (LUS) in NTFS in neu eingelesene Datei-Überblicke ist optional. Entweder werden alle LUS aufgenommen (wenn ganz gewählt) oder nur Nicht-$EFS-LUS (wenn halb gewählt) oder gar keine LUS. Nützlich für von Windows Vista geschriebene NTFS-Dateisysteme, wenn Sie sich nicht für $TXF_DATA-LUS interessieren.
Aus dem Internet heruntergeladene Dateien in NTFS können bequem als solche erkannt werden, wenn ihr alternativer Datenstrom "Zone.Identifier" als Berichtstabellenverknüpfung statt als Unterobjekt im Datei-Überblick repräsentiert wird. Das bedeutet, daß Sie nicht zu dem Unterobjekt zu navigieren brauchen, um herauszufinden, um was für ein Unterobjekt es sich handelt. "ZoneId=3" als Name der Berichtstabelle identifiziert Dateien, die aus dem Internet heruntergeladen wurden.
Standardmäßig werden belegte (allozierte) Cluster in Dateisystemen vom Typ FAT12, FAT16, FAT32 und exFAT file beim Lesen der Daten von gelöschten Dateien übersprungen. Das bedeutet, daß die Datei von gelöschten Dateien nicht notwendigerweise immer als zusammenhängend gespeichert angenommen werden. Es werden so viele freie Cluster vom Startcluster aus als zugehörig angenommen, wie es nötig ist, um die bekannte Dateigröße abzubilden, wobei Cluster, die im Dateisystem als von existierenden Dateien belegt markiert sind, umgangen werden. Wenn dabei das Ende des Volumes erreicht wird, wird der nächste freie Cluster vom Anbeginn des Volumes aus als nächster Cluster angenommen, so wie auch die eingebaute Logik von typischen FAT32-Dateisystem-Treibern arbeitet, die bei der Suche nach belegbaren Clustern durch das Volume rotierten. Diese Option ändert Annahmen über den Speicherort von Dateien, die bereits im Datei-Überblick enthalten sind. Daher führt eine An- oder Abwahl dieser Option auch dazu, daß sich Hash-Werte von Dateien ändern, wenn sie neu berechnet werden.
Wenn beim Erstellen des Datei-Überblicks auf einer CD/DVD Lesefehler auftreten (z. B. wegen Kratzern auf der Oberfläche), wissen Sie, daß nicht alle Sektoren mit den Datenstrukturen des Dateisystems lesbar sind. Das Anzeigen des ISO9660-Dateisystems auf CDs zusätzlich zu einem evtl. ebenfalls vorhandenen Joliet-Dateisystem kann nützlich sein, wenn der Joliet-Teil beschädigt ist, weil Sie dann eine zweite Chance haben, alle Verzeichnisse und Dateien aufgelistet zu bekommen, nämlich dann, wenn entsprechenden Datenstrukturen derselben Verzeichnisse im ISO9660-Bereich in lesbaren Sektoren liegen.
Das Auswerten des Journals in Ext3/Ext4-Dateisystemen beim Erzeugen des Datei-Überblicks ist optional.
* Erweiterte Attribute in HFS+ werden optional in den Datei-Überblick als Unterobjekte derjenigen Dateien oder Verzeichnisse mit aufgenommen, zu denen sie gehören (nur in X-Ways Forensics), abhängig von einem neuen dreistufigen Kontrollkästchens unter Optionen | Datei-Überblick. Voll angekreuzt werden erweiterte Attribute selbst dann als Unterobjekte angezeigt, wenn diese bereits gesondert von X-Ways Forensics intern verarbeitet wurden. Halb angekreuzt (die Standardeinstellung in X-Ways Forensics), werden sie nur dann als Unterobjekte aufgeführt, wenn sie von X-Ways Forensics noch nicht gesondert behandelt wurden, in der Annahme, daß der Benutzer diese ggf. manuell einsehen möchte.
Für bessere Ergebnisse beim Abgleichem mit speziellen Hash-Sets kann von geladenen Modulen bei der Hauptspeicher-Analyse optional jeweils nur der invariante Header angezeigt werden.
Es gibt eine Option zum schrittweisen Vervollständigen des Datei-Überblicks, wenn Sie mit Verzeichnis-Auflistungen des Betriebssystems arbeiten ("OS dir list"), wenn Sie ein Verzeichnis zum Fall hinzufügen. If selected, the volume snapshot initially just contains the contents of the top-level directory, and it is further completed only on demand, step-by-step when you manually explore subdirectories. This is exactly how the Windows Explorer/File Explorer in Windows works, and useful when dealing with slow and huge network drives that would take a long time up front to scan completely. But it's very different from the usual approach in X-Ways Forensics, and will obviously prevent you from getting a complete listing of all files when exploring recursively, simply because there is no guarantee that all files have been included in the volume snapshot yet until you have explored all subdirectories. If at any time you decide that you wish to include the contents of a certain directory in the volume snapshot recursively, you can use the "Expand all" command in the context menu of the Case Data window (right-clicking that directory) or unselect the option to complete the volume snapshot on demand and then explore that directory. Please remember that the most convenient way to expand an entire subtree is by clicking its root and pressing the multiplication key on the numeric keypad (standard feature in Windows).
In Datei-Containern wird von v18.8 und neuer gezielt der Status der enthaltenen Dateien bzgl. Datei-Überblicks-Erweiterung (DÜE) vermerkt, d. h. ob bereits bereits vereinzelte Standbilder zu Videos erzeugt wurden oder ob bereits eingebettete Daten gesucht wurden usw. usf. Wenn Sie sich dafür entscheiden, diesem Status zu trauen und ihn zu übernehmen, werden diese Dateien nicht erneut verarbeitet, wenn Sie sich dazu entschließen, den Datei-Überblick des Containers selbst zu erweitern. U. U. könnten Sie es bevorzugen, den DÜE-Status von Dateien in Containern nicht zu übernehmen, damit Sie nichts übersehen, wenn Sie vermuten, daß der ursprüngliche Bearbeiter keine so gründlichen Einstellungen für die Erweiterung verwendet hat wie Sie es vorhaben, oder wenn zuvor eine ältere, weniger mächtige Version von X-Ways Forensics zur Verarbeitung der Dateien eingesetzt wurde. Das Übernehmen des DÜE-Status ist eine Voraussetzung dafür, um in einem Container enthaltene Videos mit rotierend durchlaufenden repräsentativen Einzelbildern dargestellt zu bekommen.
-------------
Löschzustand vererben: Bewirkt, daß gelöschte Partitionen ihren Löschzustand auf alles, was sie enthalten, übertragen (Dateien und Verzeichnisse), und daß gelöschte E-Mail-Archive ihren Löschzustand auf alle in ihnen enthaltenen E-Mails, Verzeichnisse und Datei-Anhänge übertragen. Das erscheint logisch, aber geht einher mit einem Verlust an Information, da je nach Bezugssystem alles als gelöscht angezeigt wird, selbst Dateien bzw. E-Mails, die aus Sicht des Dateisystems bzw. der E-Mail-Archivs nicht gelöscht waren, sondern noch existierten, als die Partition bzw. die Datei gelöscht wurden. Standardmäßig ist diese Option nicht aktiv, so daß X-Ways Forensics zwischen existierenden und gelöschten Dateien und E-Mails auch in gelöschten Partitionen/gelöschten E-Mail-Archiven unterscheidet, so daß mehr Informationen erhalten bleiben.
Bereinigung des freien Speichers: Erlaubt es Ihnen, mit einer angepaßten virtuellen Datei "Freier Speicher" zu arbeiten, die um diejenigen Cluster reduziert wird, die erkannt wurden als zugehörig zu ehemals existierenden Dateien, um den Speicherplatz in Dateisystemen zu minimieren, der für logische Suchen und zum Indexieren doppelt gelesen wird. Nach dem Ändern dieser Option und nach Entdeckung weiterer ehem. existierender Dateien wird die virtuelle Datei aktualisiert, wenn sie das nächste Mal geöffnet wird, z. B. beim Auswählen der Datei im Datei-Modus oder die Datei bei der logischen Suche an der Reihe ist. Relative Offsets der Suchtreffer in dieser virtuellen Datei werden u. U. falsch, wenn sie sich ändert (z. B. wenn weitere Cluster weiteren identifizierten ehemals existierenden Dateien zugeschlagen werden und der bereinigte freie Speicher kleiner wird), so daß sie nicht zum Navigieren zu Suchtreffern im Datei-Modus taugen. Nur physische Offsets von Suchtreffern, im Modus Partition bzw. Volume verwendbar, bleiben garantiert gültig. Die virtuelle Datei Feier Speicher wird eingefroren und ändert sich nicht mehr, sobald sie indexiert wurde oder wenn sie Unterobjekte bekommt, also typischerweise Dateien, die manuell in ihr im Datei-Modus gecarvt wurden, denn diese sind abhängig von unveränderten relativen Offsets innerhalb der virtuellen Datei.
Optional können Dateien auf den logischen Laufwerken A: bis Z: über das Betriebssystem geöffnet werden und nicht über die eingebaute Logik auf der Sektorebene. Bitte beachten Sie, daß dies forensisch einwandfrei nur auf schreibgeschützten Datenträgern ist. Auf beschreibbaren Medien aktualisiert (ändert, verfälscht) Microsoft Windows dabei u. U. den Zeitstempel des letzten Zugriffs bei Dateien, die Sie öffnen. Der Vorteil dagegen ist, daß der Zugriff auf die Dateien auf diese Weise in vielen Situationen merklich schneller ist, besonders auf langsamen Laufwerken wie CD/DVD, z. B. wenn Sie Hash-Werte oder Hautfarbenanteile für Dateien im Datei-Überblick berechnen lassen, weil Microsoft Windows im voraus Daten liest und eine Datei-Caching-System unterhält. Dateien auf Multisession-CDs und -DVDs jedoch können nicht auf diese Weise gelesen werden.
Bekanntermaßen nicht initialisierte Bereiche am Ende von Dateien in bestimmten Dateisystemen, die sich solche Umstände merken (valid data length < logical file size) können optional in Form von binären Nullen gelesen werden anstelle der Datei, die tatsächlich in den belegten Clustern gespeichert sind. Damit wird das Verhalten von Windows reproduziert, wenn normale Anwendungen Dateien regulär über das Betriebssystem öffnen statt Datei-Inhalte direkt aus den Sektoren des Volumes zu lesen. Das ist z. B. nützlich, um Hash-Kompatibilität zu erzielen mit solchen Anwendungen. Diese Option hat keine Auswirkungen auf logische Suchen. Logische Suche arbeiten ungeachtet dieser Einstellung gründlich, und die Cluster, die nicht initialisierten Bereichen zugeordnet sind, werden auf jeden Fall durchsucht. Das Wählen oder Abwählen dieser Option hat eine sofortige Wirkung, sogar auf bereits geöffnete Dateien, bei der nächsten internen Leseoperation.
Sie können festlegen, ob Sie daran interessiert sind, daß Dateien in den Datei-Überblick aufgenommen werden, deren Cluster (und damit deren Daten) gänzlich unbekannt sind, nur mit Metadaten (z. B. nur Dateiname und Pfad und/oder Zeitstempel), in Ext*, XFS, Reiser* und NTFS. Die Datei-Überblicks-Option Dateien mit unbekannten Clustern aufnehmen ist eine der berüchtigten Kontrollkästchen mit 3 Zustände. Wenn ganz angekreuzt, werden alle ehem. existierenden Dateien, von denen nur Metadaten bekannt sind, in den Datei-Überblick aufgenommen. Wenn gar nicht ausgewählt, werden solche Dateien komplett ignoriert. Wenn halb gewählt, werden nur Dateien, für die mehr als bloß der Name oder Zeitstempel bekannt sind aufgenommen, aber keine Verzeichnisleichen in den Dateisystemen Ext* und Reiser*. In NTFS kann es vorkommen,
Schneller Überblick ohne Cluster-Zuordnung beschleunigt das Erzeugen des Datei-Überblicks für eine Partition (insbes. für die Dateisysteme Ext2, Ext3 und ReiserFS, und insbes. auch dann, wenn die Dateien mit dem Datei-Überblick über eine langsame USB-1.1-Schnittstelle oder ein Netzlaufwerk gespeichert werden), führt allerdings dazu, daß WinHex nicht mehr imstande ist, für jeden Sektor und jeden Cluster anzugeben, für welche Datei/welches Verzeichnis er verwendet wird. Sie können die Funktion »Dateisystem neu einlesen« im Extras-Menü verwenden, um das Dateisystem auf einem Datenträger neu einzulesen (z. B. nach dem Ausschalten dieser Option).
Wenn die Option »Datei-Überblick aufbewahren« eingeschaltet ist, bleiben die Informationen, die WinHex über geöffnete Dateisysteme gesammelt hat (Menü Disk-Tools und/oder Specialist-Menü), beim Beenden von WinHex im Ordner für temporäre Dateien erhalten. WinHex kann sie dann beim nächsten Programmstart wiederverwenden. Datei-Überblicke von Asservaten beim Arbeiten mit einem Fall werden grundsätzlich immer aufbewahrt, unabhängig von dieser Einstellung, und zwar im Metadaten-Unterverzeichnis dieses Asservats.
Sie können optional mehr Daten des Datei-Überblicks im Speicher halten, damit z. B. das Sortieren nach Zeitstempeln viel schneller vonstatten geht.