Minimalsicherungen
Nur mit forensischer Lizenz. Ein typisches Feature von X-Ways, das die Spitzenstellung von X-Ways Forensics als das Tool zementiert, das dem Benutzer die größtmögliche Kontrolle überläßt beim Auswählen, Erfassen und Filtern von Daten auf jeder vorstellbaren Ebene: Die Fähigkeit, von Datenträgern forensische Minimalsicherungen zu erzeugen, die nur solche Sektoren enthalten, die für die gewünschten Zwecke erforderlich sind, unter Beibehaltung der Kompatibilität mit anderen Tools. Diese Sektoren können diejenigen sein, die Partitionstabellen enthalten, Dateisystem-Datenstrukturen, deren benachbarte Sektoren, oder Sektoren mit Datei-Inhalten sowie beliebige Sektoren im unpartitionierten Niemandsland einer Festplatte. Eine Minimalsicherung ist üblicherweise nur spärlich mit Daten besetzt, so daß es sinnvoll ist, die Sparse-Datei-Technologie von NTFS dafür einzusetzen. Unbeschriebene Bereiche in einer Minimalsicherung verhalten sich beim späteren Lesen, als ob sie binäre Nullen enthalten.
Sie beginnen eine Minimalsicherung, indem Sie den Menübefehl Datei | Minimalsicherung erstellen aufrufen. Welche Sektoren fortan in das Image aufgenommen werden, wird nun indirekt bestimmt, indem man X-Ways Forensics solche Sektoren vom Quelldatenträger lesen läßt, die für bestimmte Zwecke erforderlich sind. Wenn das Ziel-Image im Hintergrund geöffnet ist, öffnen Sie normalerweise als nächstes den physischen Datenträger oder die Partition oder öffnen und interpretieren das Image, das Sie teilweise sichern möchten. Es wird dabei automatisch als Datenquelle für die Sicherung eingestellt. Dadurch werden auch bereits Leseoperationen während der wichtigen Phase des Öffnens oder Interpretierens ausgelöst, wenn Partitionstabellen und Bootsektoren ausgewertet werden müssen, so daß die essentiellen Datenstrukturen, die Partitionen definieren und Dateisysteme identifizieren, auf jeden Fall schon mal in die Minimalsicherung aufgenommen werden!
Nach dem Öffnen eines partitionierten physischen Datenträgers haben Sie also eine grundlegende Struktur in Ihrer Sicherungsdatei: Partitionstabellen, die auf Partitions-Bootsektoren oder verschachtelte weitere Partitionstabellen zeigen, deren Aufgabe es ist, all die anderen Daten dazwischen (Dateisystemdaten und Benutzerdaten) zu beherbergen. Wenn es Ihr Ziel ist, daß man auch von der Minimalsicherung aus einen Datei-Überblick von einer bestimmten Partition erzeugen kann, d. h. eine Liste aller Dateien und Verzeichnisse erhält, die von dem Dateisystem in der Partition referenziert werden, dann öffnen Sie die betreffende Partition vom Quelldatenträger aus, so daß ein Datei-Überblick erzeugt wird. Erneut werden alle diejenigen Sektoren, die während dieses Vorgangs vom Quelldatenträger gelesen werden, gleichzeitig in die Sicherungsdatei kopiert, und diese enthalten die Dateisystem-Datenstrukturen, z. B. $MFT in NTFS, alle Verzeichnis-Cluster in FAT und die Katalogdatei in HFS+. Das fügt Ihrer Minimalsicherung also schon deutlich mehr und filigranere Verwaltungs- und auch Metadaten hinzu, aber immer noch keine (oder kaum) Benutzerinhalte. Nicht mit dem Dateisystem zusammenhängende/von ihm genutzte Sektoren werden nämlich nicht gelesen und damit auch nicht kopiert. Das bedeutet auch, daß die Möglichkeiten, in der Minimalsicherung ehemals existierenden Dateien zu finden, eingeschränkt sind.
Wenn Sie ein beliebiges Intervall von Sektoren sichern möchten, brauchen Sie nur einen Weg zu finden, um X-Ways Forensics zum Lesen dieser Sektoren zu bewegen. Z. B., um die Sektoren von Nummer 1.000.000 bis 1.000.999 zu kopieren, definieren Sie diese 1.000 Sektoren als ein Block und hashen diesen Block (im Disk-Modus) mit den Menübefehl Extras | Hash berechnen, oder Sie führen eine physische Suche nur in diesem Block aus. Oder, um eine ungewöhnlich große Partitionslücke zwischen Partition 1 und 2 zu sichern, können Sie die virtuelle Datei, diesen Bereich repräsentiert, hashen. Sie können auch manuell zu jedem potentiell relevanten Sektor navigieren, um ihn in die Sicherung aufzunehmen (z. B. Navigation | Sektor aufsuchen) oder einen der Befehle im Navigationsmenü zum Navigieren im Dateisystem verwenden. All das funktioniert, weil das Lesen von Sektoren deren Aufnahme in die Sicherung anstößt.
Wenn Sie allerdings gezielt bestimmte Dateien sichern möchten, ist das einfacher, und dafür ist es eine gute Idee, die ständige indirekte Sicherung aller für welchen Zweck auf immer gelesenen Sektoren auszuschalten, so daß z. B. Datei A, die Sie in der Vorschau betrachten, allein aufgrund der Vorschau-Operation noch nicht gesichert wird, denn bei der Vorschau stellt sich ja evtl. heraus, daß die Datei irrelevant ist. Dazu ändern Sie den Status der im Hintergrund offenen Sicherungsdatei auf "wartend", über den Status-Befehl im Dateimenü. Im Zustand wartend erlaubt nur der Befehl "Hinzufügen zu [Name der Sicherungsdatei]" im Kontextmenü des Verzeichnis-Browsers das Sichern ausgewählter Dateien (durch vorübergehendes Aktivieren des Images und Anstoßen von Leseoperationen).
Wenn Sie einige Betriebssystemdateien in die Sicherung aufnehmen möchten, wie etwa Windows-Registry-Hives, erkunden Sie die betreffende Partition vom Stammverzeichnis aus rekursiv, setzen einen Filter auf solche Dateien und rufen den Befehl Hinzufügen zu im Kontextmenü des Verzeichnis-Browsers auf. (Nur verfügbar, wenn nicht zeitgleich auch ein Datei-Container im Hintergrund zum Befüllen geöffnet ist.) Der Ermittler, der nur die resultierende Minimalsicherung hat, wird dann konsequenterweise in der Lage sein, die kopierten Hive-Dateien einzusehen und einen Registry-Bericht über sie anzufertigen, vorausgesetzt, Sie hatten auch bereits die Dateisystem-Datenstrukturen kopieren lassen, weil diese erforderlich sind um herauszufinden, in welchen Sektoren die Inhalte der Dateien gespeichert sind.
Das Dialogfenster zum Ändern des Status der Sicherungsdatei erlaubt es Ihnen auch, diese zu schließen, d. h. das Sichern vorübergehend oder endgültig zu beenden. Dieselbe Sicherungsdatei läßt sich zu einem beliebigen späteren Zeitpunkt weiter vervollständigen, indem man sie mit dem Befehl Minimalsicherung erstellen erneut auswählt, aber dann nicht überschreiben läßt, sondern sie aktualisiert.
Wie Sie sehen, haben Sie die volle Kontrolle darüber, welche Daten es in die Sicherung schaffen. Die Herangehensweise setzt nur voraus, daß Sie ein gewisses Verständnis davon mitbringen, was für Daten Sie wollen/brauchen und wo diese zu physisch zu finden sind, sofern diese Daten nicht einfach nur gewöhnliche auswählbare Dateien sind. Die Sektoren können in jeder beliebigen Reihenfolge adressiert werden. Mehrfaches Lesen derselben Sektoren ändert nichts in der Sicherungsdatei und hat keine negative Auswirkung, außer daß es unnötige doppelte Zeilen in der optionalen Protokolldatei zur Folge haben kann, die X-Ways Forensics erzeugen kann. Solche eine .log-Datei wird im selben Verzeichnis wie die Sicherungsdatei erzeugt. Sie listet alle kopierten Sektorintervalle auf, optional jeweils mit einem dazugehörigen Hash-Wert, was es ermöglicht, die Daten in bestimmten Bereichen manuell zu verifizieren, sollten diesbezüglich Zweifel entstehen. Wenn Sie den "Hinzufügen zu"-Befehl zum Sichern von Dateien in eine Minimalsicherung verwenden, wird auch der Name einer solchen Datei in das Protokoll aufgenommen, gefolgt von den Sektorintervallen, die der Datei zugeordnet sind (mehr als eins, wenn die Datei fragmentiert ist oder X-Ways Forensics die Sektoren einfach in mehreren Stücken kopiert).
Es bietet sich u. U. an, die Minimalsicherung vom Roh-Format in ein komprimiertes und/oder verschlüsseltes .e01-Evidence-File zu konvertieren oder sie zu hashen, oder sie mit WinRAR oder 7Zip etc. vor der Weitergabe an andere Benutzer zu komprimieren. Die Kompressionsdate wird ungewöhnlich hoch sein, wenn die Minimalsicherung nur spärlich mit Daten besetzt ist, und die Lesegeschwindigkeit extrem hoch, weil undefinierte/nicht allozierte Bereiche gar nicht von der Platte gelesen werden müssen. Für Ihren eigenen Bedarf können Sie die Sicherungsdatei einfach so lassen wie sie ist, weil sie in ihrem Grundzustand nicht so viel Plattenplatz benötigt wie die nominelle Dateigröße befürchten läßt, dank der Sparse-Speicherung von NTFS. Wenn Sie eine Minimalsicherung im Roh-Format kopieren möchten, kopieren Sie sie auf jeden Fall als Sparse-Datei (kann in X-Ways Forensics mit dem Befehl Extras | Datei-Tools | Sparse kopieren erledigt werden), so daß die Kopie auch eine Sparse-Datei wird und nur so viel Plattenplatz wie die Originaldatei verbraucht. Ein konventioneller Kopierbefehl würde auch die riesigen unbenutzten und nicht allozierten Bereiche innerhalb der Sparse-Datei als binäre Nullen kopieren.
Zum Überprüfen der Unverändertheit der in die Minimalsicherung übertragenen Daten kann für diese als Ganzes ein Hash-Wert berechnet werden, wie bei einem normalen Image. Alternativ und viel schneller ist die Verwendung des Befehls "Minimalsicherung überprüfen", die die laut .log-Datei übertragenen Sektorbereiche erneut hasht (aus dem Image lesend) und mit den Hash-Werten in der .log-Datei vergleicht. Dann überprüft die Funktion, ob die .log-Datei ihrerseits unverändert ist, hasht diese dazu und vergleicht den sich daraus ergebenden, mächtigen, allumfassenden Master-Hash-Wert mit dem in der .log.log-Datei genannten Hash-Wert, sofern diese optionale Datei erzeugt wurde. Es könnte auch wünschenswert sein zu verifizieren, daß alle ungenutzten Bereiche in einer Minimalsicherung weiterhin nicht alloziert oder zumindest mit Nullen gefüllt sind. Dies erledigt die Funktion nicht.
Optionen:
| · | A skeleton image should be created as an NTFS sparse file unless you intend to copy more than half of the sectors perhaps (just a very rough rule of thumb). |
| · | If you don't have X-Ways Forensics set the nominal (logical) image file size to the full size of the source disk, then when interpreting the skeleton image and reading from it, a smaller "capacity" will be reported and you may get sector read errors. Still worth thinking about it for example if you wish to capture merely the first 1 MB of a 1 TB hard disk. Saves a lot of time if you wish to convert the skeleton image to an .e01 evidence file or want to hash it in its entirety. |
| · | Skipping already zeroed out source sectors (sectors of the source disk that only contain binary zeroes) will treat such sectors exactly like sectors that were not acquired. This makes the resulting skeleton image smaller ("more sparse"), but it prevent you from showing with just the skeleton image that these sectors only contained zeroes on the source disk. They are indistinguishable from sectors that were not acquired. |
| · | "Include directory data structures of the file system" has an effect when you apply the "Add to" command of the directory browser context menu to selected directories. If this option is active, you will also copy the data structures of the file system for these directories, if there are any, e.g. INDX buffers in NTFS, subdirectory clusters in FAT, etc. (nothing in HFS+), otherwise only the contents of the files in these directories. |
| · | "Berichtstabellen-Verknüpfungen" erzeugt im Datei-Überblick der Quelle eine Berichtstabellen-Verknüpfung für jede Datei, die Sie gezielt der Minimalsicherung hinzugefügt haben, so daß Sie leicht sehen können, welche Dateien bereits kopiert wurden, sollte es diesbezüglich Zweifel geben. |
| · | If "Create log file" is at least half checked, a .log file will be created that references all copied sector ranges. X-Ways Forensics makes an effort to prevent acquiring duplicate sectors, e.g. when copying the exact same sector range a second time or when copying overlapping sector ranges, so that can explain why you may not get more lines in the .log file when copying the same sectors again. If the checkbox is fully checked, a .log.log file about the .log file will be created with a hash of the .log file. |
| · | All copied sector ranges can be optionally hashed, and the hash values can be written to the .log file and can be verified after closing the skeleton image. |
Vorteile von Minimalsicherungen:
| · | Teilweises Image, spart Plattenplatz. |
| · | Schnell zu erzeugen, insbes. im Fall einer über eine langsame Verbindung mit F-Response gesicherte Festplatte eines Rechners im Netz. |
| · | Transportiert/enthüllt nur speziell adressierte Daten, schließt Daten ohne Bezug aus, wie u. U. erfordert von Gesetzen, gesundem Menschenverstand, Zeitdruck oder Kundenwunsch. |
| · | Ideal geeignet für technische Datenstrukturen (Partitionstabellen und Dateisysteme) und Dateien im Dateisystem gleichermaßen. |
| · | Möglichkeit, alle entscheidenden Dateisystem-Daten ohne Wissen über Dateisysteme zu sichern und insbes. ohne zu wissen, in welchen Sektoren die Dateisystem-Datenstrukturen gespeichert sind. |
| · | Das Ergebnis läßt sich genau wie ein konventionelles Roh-Image einer Platte einlesen, für alle beabsichtigten Zwecke, sofern adäquat vorbereitet, mit Original-Offsets und beibehaltenen relativen Entfernungen zwischen Datenstrukturen (anders als in einem Datei-Container). |
| · | Das Datei-Format ist universell, und alle forensischen Tools, die Roh-Images unterstützen, haben die Chance, die Daten zu verstehen, es sei denn, sie brauchen mehr als die eingebundenen Daten oder verstehen schon die Partitionierungsmethode oder das Dateisystem auf dem Originaldatenträger nicht. |
Vorbehalte:
| · | Eine auf dem Bildschirm dargestellte Suchtrefferliste mit Kontextvorschau um die Suchtreffer herum verursacht unzählige Leseoperationen, so daß Sie den Status einer im Hintergrund geöffneten Sicherungsdatei in bestimmten Situationen besser auf wartend ändern |
| · | Um zu vermeiden, daß die Startsektoren von Dateien und Verzeichnissen, die Sie im Verzeichnis-Browser im Modus Partition/Volume lediglich anklicken, in die Sicherungsdatei aufgenommen werden (weil ein solcher Klick automatisch zum jeweiligen ersten Sektor springt), navigieren Sie im Verzeichnis-Browser im Modus Legende oder ändern den Status der Sicherungsdatei auf wartend. |
| · | Das Lesen von Daten aus den meisten extrahierten Dateien wie E-Mails, Datei-Anhänge von E-Mails, Dateien in Zip-Archiven, Standbilder von Videos, in MS-Excel-Tabellen eingebettete Bilder usw. stößt keine Leseoperationen auf der Datenträger-Ebene an, so daß sie nicht gesicht werden können. Minimalsicherungen eignen sich nur für Dateien auf der Dateisystemebene, nicht auf anderen Ebenen, die man im Datei-Überblick sieht. Verwenden Sie Datei-Container für solche Zwecke. |
| · | Beachten Sie, daß einem arglosen Ermittler eine Minimalsicherung wie ein herkömmliches vollständiges Image erscheinen kann. Solche Ermittler müssen auf die unvollständige, nur dünn mit Daten besetzte Natur der Sicherung aufmerksam gemacht werden. Im Gegensatz zu Datei-Containern werden Dateien, deren Inhalt nicht im Image enthalten ist, im Datei-Überblick einer Minimalsicherung nicht besonders gekennzeichnet. X-Ways Forensics v17.1 und neuer informieren den Benutzer aber über die Natur der Sicherung, wenn sie einem Fall hinzugefügt wird, wenn sie als Minimalsicherung erkannt wird. |
Ein Vergleich von Datei-Containern und Minimalsicherungen findet sich auf der Web-Site.
Punktuelle Sicherung
Eine Variante der Minimalsicherung wird punktuelle Sicherung genannt. Klicken Sie auf den gleichnamigen Schalter im Dateiauswahldialog des Menübefehls "Datei | Minimalsicherung erstellen", um eine punktuelle Sicherung anzustoßen. Alle Sektoren, die von X-Ways Forensics gelesen werden, egal von welchem Datenträger oder welchen Image, während die punktuelle Sicherung aktiv ist, werden in separate Dateien geschrieben, die nach der Sektornummer benannt sind und die Erweiterung .sector erhalten, in einem Unterverzeichnis des Standardverzeichnisses für Sicherungsdateien, das nach dem jeweiligen Datenträger bzw. Image benannt wird. Zusammenhängend gelesene Sektoren landen in einer einzigen Datei.
Die punktuelle Sicherung kann beendet werden über den Menübefehl Datei | Punktuelle Sicherung. Punktuelle Sicherungen sind nur in speziellen Situationen nützlich, z. B. zu Debug-Zwecken, wenn man nur wenige Sektoren gezielt sichern möchte, die am besten von der Software automatisch ermittelt werden (z. B. Datenstrukturen, die beim Öffnen einer bestimmten Datei benötigt werden). Im Vergleich zu einer Minimalsicherung kann eine punktuelle Sicherung vorteilhaft sein, weil keine Image-Datei von derseben Größe wie der Quelldatenträger erzeugt wird. (Auch wenn die Größe nur eine nominelle Größe und die Image-Datei sparse ist, hilft doch die Sparse-Eigenschaft nicht, wenn die Datei über das Internet verschickt oder in ein Dateisystem kopiert werden soll, das die Sparse-Eigenschaft der Datei nicht beibehält.)
Dank kompatibler Namen, können punktuelle Sicherungen (die .sector-Dateien) bei Bedarf direkt für die Sektor-Überlagerung eingesetzt werden. Sie können auch bequem und aufgrund ihrer typischerweise geringen Größe sehr, sehr schnell auf andere Datenträger zurückkopiert werden, alle solche Dateien im selben Verzeichnis auf einmal, natürlich unter Berücksichtigung der Startsektornummern in den Dateinamen, durch Klick auf den Schalter "Punktuelle Sicherung" im Dialogfenster zu Datei | Sicherung wiederherstellen.