Wiederherstellen/Kopieren
Befehl im Kontextmenü des Verzeichnis-Browsers.
Ermöglicht es, die ausgewählten Dateien von ihrer aktuellen Position, z. B. aus einer interpretierten Image-Datei oder einer lokalen Platte heraus, an einen beliebigen Ort zu kopieren, der für einen Standard-Windows-Dateidialog erreichbar ist. Dies kann sowohl auf existierende als auch auf gelöschte Dateien angewandt werden. Ungültige Zeichen in Dateinamen werden herausgefiltert.
If necessary, you can manually enter the output path by clicking the "..." button in the same line where the path is displayed. Useful if you wish to specify a network location that Windows does not list by default in the dialog window for the path selection. If you enter a non-existing output path, you will be notified and may proceed anyway, in which case that path will be created automatically if possible. The unlabeled check box next to the "..." button can be used to indicate that you would like to get a Windows Explorer window opened for the output path once copying has completed to check out the result.
Vielfältige Extra-Funktionen stehen mit einer forensische Lizenz zur Verfügung:
Optional können Dateien im Ausgabe-Ordner mit ihrem vollständigen Originalpfad erstellt werden, oder auch einem Teilpfad, wenn die Option halb gewählt wird. Der Asservatname wird ebenfalls als Pfad wiederhergestellt, wenn entweder aus dem Asservatüberblick heraus kopiert wird oder wenn Sie sich generell nicht den jeweiligen Asservat-Ordner unterhalb des Falls als Standardausgabeverzeichnis vorschlagen lassen (s. Falleigenschaften). Ein Teilpfad ist nur der Teil des Pfades, der unterhalb des aktuell erkundeten Verzeichnisses liegt bzw. beim Kopieren aus einem rekursiv erkundeten Asservat-Überblicksfenster nur der Name des Asservats, nicht der Pfad innerhalb des Asservats.
Überlange Pfade werden unterstützt (mehr als 260, bis zu 510 Zeichen, für den Ausgabepfad + optional den Originalpfad + den Originaldateinamen). Sie können Pfadlängen immer noch freiwillig auf die herkömmliche Länge von 260 Zeichen oder weniger begrenzen, wenn Sie solche Datei ohne nicht weiter verarbeiten können (z. B. einsehen, kopieren, löschen), denn herkömmliche Programm wie der Windows Explorer erlauben das nicht. Wenn der Ausgabepfad einer ausgewählten Datei das Limit übersteigt, wird der Name der Datei gekürzt, bis das Limit eingehalten wird. Ist es auf diese Weise nicht möglich, das Limit einzuhalten, wird die Datei nicht kopiert, sondern einer Berichtstabelle hinzugefügt, so daß Sie später bequem alle ausgelassenen Dateien erneut auswählen und separate ohne Pfad kopieren können, wenn Sie möchten.
It is possible to create a 2nd copy of all selected files in a separate directory. Useful if you need to provide two parties with copies of relevant files and wish to save time. The logging option is for the 1st copy only, though.
Eine Option steht zur Verfügung, um Dateien nach ihrer eindeutigen ID zu benennen und gleichzeitig die Dateinamenserweiterung beizubehalten. Wenn nur halb gewählt, werden die Dateien nicht rein nach der internen eindeutigen ID (+Erweiterung) benannt, sondern die eindeutige ID wird zwischen Basisname und Erweiterung oder ganz am Anfang des Namens eingefügt.
Dateien, die nicht kopiert werden konnten (wenn z. B. der Pfad zu lang ist), werden einer Berichtstabelle hinzugefügt.
Die Original-Zeitstempel der Dateien (Erstellung, Änderung, letzter Zugriff, sofern verfügbar) werden wiederhergestellt.
Sofern Sie gleichnamige Dateien, die im Ausgabeverzeichnis existieren, nicht explizit überschreiben oder überspringen lassen, werden doppelt vorkommende Dateinamen durch Einfügen einer laufenden Nummer vor der Dateinamenserweiterung eindeutig gemacht. Wenn Sie also alle Dateien in dasselbe Verzeichnis kopieren, auch Dateien von verschiedenen Asservaten, erhalten alle herauskopierten Dateien eindeutige Namen (und die copylog-Datei erlaubt es später herauszufinden, welche Datei ursprünglich wie hieß und woher stammte und welche Metadaten hatte).
Der vermutete korrekte Dateityp von Dateien, deren Typ neu erkannt wurde, kann optional an den Ausgabe-Dateinamen angehängt werden, wenn er von der Dateiendung laut Dateiname abweicht oder die Datei gar keine Dateinamenserweiterung aufweist. Gleichzeitig hat diese Einstellung auch Auswirkungen auf das Herauskopieren zum Einsehen mit dem verknüpften Programm.
Wenn die spezielle Protokollierung dieses Befehls aktiv ist (konfigurierbar in den Falleigenschaften), wird der Kopier-/Wiederherstellungsvorgang in der Datei copylog.html oder copylog.txt dokumentiert. Praktisch alle Metadaten der kopierten Dateien und die Ausgabedateinamen (optional incl. Zielpfad) können festgehalten werden. Die Datei kann entweder im Unterverzeichnis _log des Falls erzeugt werden oder im ausgewählten Zielverzeichnis des Wiederherstellen/Kopieren-Vorgangs. S. a. Falleigenschaften.
Schlupfspeicher kann optional ebenfalls mit ausgegeben werden, entweder als Teil der Datei oder separat, oder es kann sogar nur der Schlupf kopiert werden.
Sie können entscheiden, ob Unterobjekte gewählter Dateien mitkopiert werden sollen oder nicht.
Sie können entscheiden, ob herausgefilterte Dateien kopiert werden sollen
Wenn Sie X-Ways Forensics den Originalpfad für kopierte Dateien reproduzieren lassen, muß auch die Position von solchen Dateien in der Hierarchie korrekt wiedergespiegelt werden, die Unterobjekte anderer Dateien sind. Und dies muß mit Hilfe eines Verzeichnisses geschehen, da normale Dateisysteme das Konzept, daß Dateien weitere Dateien enthalten können, wie es in einem Datei-Überblick in X-Ways Forensics gang und gäbe ist, nicht unterstützen. Allerdings gibt es dann u. U. einen Namenskonflikt wenn ein künstliches Verzeichnis erzeugt würde mit dem gleichen Namen wie die Elterndatei, weil diese Elterndatei auch zum Kopieren ausgewählt sein kann und natürlich im selben Verzeichnis erstellt würde wie das vorgenannte künstliche Verzeichnis, das für die korrekte hierarchische Einordnung des Unterobjekts benötigt wird. Daher muß das künstliche Verzeichnis etwas anders benannt werden. Der Name kann nach einer benutzerdefinierten Anzahl von Zeichen abgeschnitten werden, und das ist besonders für E-Mails nützlich, die nach ihrer Betreffzeile benannt werden und natürlich Datei-Anhänge als Unterobjekte enthalten können, um überlange Pfade zu vermeiden. Auch kann entweder ein benutzerdefiniertes Suffix von 1 Zeichen Länge angehängt werden (und standardmäßig ist das ein spezielles Unicode-Zeichen, das in vollständigen Unicode-Schriftarten unsichtbar ist, so daß das Verzeichnis den gleichen Namen wie die entsprechende Elterndatei zu haben scheint) oder eine Beschreibung wie " Unterobjekte" (aber das verlängert leider die Gesamtpfadlänge, die ja allzuoft normale Grenzen überschreitet). Wenn das Eingabefeld für das Suffix-Zeichen leer zu sein scheint, dann liegt das wahrscheinlich daran, daß es das bereits erwähnte unsichtbare Unicode-Zeichen enthält. Dieses Zeichen hat eine Breite von 0. Um es durch ein anderes Zeichen zu ersetzen, entfernen Sie es zunächst, durch Klicken in das Eingabefeld und Drücken der Rücksetz-Taste auf der Tastatur.
Existierende und gelöschte Objekte können in separaten Ausgabeverzeichnissen Ex und Del gruppiert werden.
Weitere Gruppierung/Klassifizierung von kopierten Dateien in separaten Verzeichnissen basierend auf bis zu zwei ausgewählten Verzeichnis-Browser-Spalten möglich: Beschreibung, Dateityp, Dateityp-Beschreibung, Dateityp-Kategorie, Absender, Besitzer, Hash-Set, Hash-Kategorie, Berichtstabellenverknüpfungen, Suchbegriffe.
Wenn sowohl ein Dateianhang als auch die zugehörige E-Mail (sein Elter) zum Kopieren ausgewählt sind und nicht von Filtern ausgeschlossen werden, kann der Anhang optional in die resultierende .eml-Datei in Form von Base64-Code eingebettet statt separat kopiert werden. Das macht es bequemer, die E-Mail incl. Anhänge einzusehen. .eml-Dateien können eingesehen werden z. B. in Outlook Express, Windows Mail, Windows Live Mail oder Thunderbird (alle kostenlos). Wenn bestimmte Dateianhänge nicht eingebettet werden können, erhalten Sie darüber eine Meldung im Nachrichtenfenster, und in einem solchen Fall werden sie separat kopiert, als ob die Option zum Einbetten nicht aktiv wäre.
Alternative Datenströme (ADS) von NTFS können optional als ADS ausgegeben werden. Standardmäßig werden sie in Form gewöhnlicher Dateien wiederhergestellt, damit sich leichter zugreifbar sind.
X-Ways Forensics can try to encode zeroed out areas in a file as sparse when writing the data. This will have an effect only if the zeroed areas are somewhat aligned and sufficiently large, and of course only when writing to an NTFS or ReFS volume, not FAT. Works no matter whether the source file is defined as sparse or not. This option will reduce the data transfer rate and is only recommendable if you know that the data that you are copying is probably suitable.
You may use the alternative names of files, if available, for the output. The alternative name, if one exists, can be seen in the directory browser in square brackets. For example, when parsing iPhone backups, X-Ways Forensics automatically changes artificial generic filenames back to what they were originally. Or, when parsing $I files from the Windows recycle bin, the corresponding $R files are given their original names. If for some reason you prefer the untranslated filenames when copying such files off the image to your own hard disk, for example because you wish to process these files with some external tool that expects the artificial filenames, then you can now use this option.
Wenn der Wiederherstellen/Kopieren-Befehl in einer Suchtrefferliste eingesetzt wird, werden Verzeichnisse, die Suchtreffer enthalten, im Ausgabeordner als Dateien wiederhergestellt, da es wahrscheinlich ist, daß der Benutzer die Originaldaten kopieren möchte, die den eigentlichen Suchtreffer enthalten. Unterobjekte werden beim Kopieren aus Suchtrefferliste nie mit ihren Elternobjekten mitkopiert.