Schnittstelle für externe Analyse
Über den Menübefehl "Datei-Export zur Analyse" im Falldatenfenster können Sie Dateien (z. B. alle Dateien aus dem gesamten Fall, die zu einer bestimmten Kategorie gehören) zur weiteren Analyse an ein externes Programm übergeben. Dieses Programm muß auf die unten beschriebene Schnittstelle ausgelegt sein. Erfordert X-Ways Forensics oder X-Ways Investigator oder WinHex mit forensischer Lizenz.
Das Ergebnis der Analyse kann zurück in X-Ways Forensics importiert werden, über den Befehl Berichtstabellen-Import im Falldatenfenster. (Klicken Sie dazu z. B. rechts auf den fettgedruckten Falltitel.) Dies verknüpft die von der externen Software klassifizierten Dateien mit bestimmten Berichtstabellen (und erstellt ggf. neue Berichtstabellen), was es Ihnen erlaubt, nach diesen Dateien leicht zu filtern oder sie in einem Bericht auszugeben.
Z. B. kann die Software DoublePics bekannte Bilder wiedererkennen (auch wenn sie in einem anderen Format gespeichert und/oder verfremdet wurden) und eine Klassifikation wie etwa "Kipo", relevant oder irrelevant zurückgeben.
Technische Beschreibung der Schnittstelle
All files or files in a certain category or all tagged files or all non-hidden files are copied into a subfolder of the output folder specified by you. The subfolder is named with a CRC in hexadecimal characters that is unique for the active case. The files are named with unique IDs (64-bit integer numbers). One additional file named "Checksum" is created that contains 4 bytes with the same CRC, 4 bytes with the handle of the main window of X-Ways Forensics (or X-Ways Investigator, for that matter), 8 reserved bytes, and 128 bytes with the case title in UTF-16. When the files have been copied, X-Ways Forensics executes the external analysis program and specifies the complete path of the subfolder in quotation marks as a parameter.
The external program can now perform the analysis. It can classify files by creating one .rtd file for each classification.
When finished, the program can optionally check whether the X-Ways Forensics main window still exists and, if so, make X-Ways Forensics aware of the availability of the results, by sending a WM_SETTEXT messages to the main window, where the text starts with "Import: ", followed by the path of the directory where to find the .rtd files, without quotation marks. This will trigger the import automatically. Alternatively, the user can import the result as described above.
The names of the .rtd files (report table definition files) will be used as the report table name. An .rtd file starts with a 4-byte signature (0x52, 0x54, 0xDE, 0xF0), the 4 byte checksum (see above), followed by the 64-bit file IDs (integer numbers) that indicate the files that should be associated with that report table.