Dateisystem-Datenstruktur-Suche besonders intensiv
Teil der Erweiterung des Datei-Überblicks. Das intensive Suchen nach Dateisystem-Datenstrukturen ist eine potentiell lang andauernde Operation, abhängig von der Größe der Partition, und aus diesem Grund nicht Teil der Standardprozedur beim Erzeugen des Datei-Überblicks.
FAT12/FAT16/FAT32: Sucht nach verwaisten Unterverzeichnissen, also Unterverzeichnissen, die von keinem anderen Verzeichnis mehr referenziert werden.
Ext3/Ext4: Ähnliches Vorgehen wie bei FAT. Prüft die gesamte Partition auf ehem. existierende Verzeichnisstrukturen, deren Inhalte nicht von ihren zugehörigen Inodes her bekannt sind (solche würden bereits beim Erzeugen des ursprünglichen Datei-Überblicks gefunden). Auf diese Weise gefundene Unterverzeichnisse werden mit einem generischen Namen in den Datei-Überblick aufgenommen, normalerweise unterhalb von "Pfad unbekannt", aber möglicherweise im Stammverzeichnis, wenn sie dort angeordnet waren. (Das Stammverzeichnis stellt hierbei eine Besonderheit dar, weil es eine unveränderliche ID hat.).
ReiserFS, Reiser4: Sucht nach gelöschten Dateien (die in einem Standard-Datei-Überblick überhaupt nicht enthalten sind).
UDF: Während die erste und die letzte Session auf einer Multisession-UDF-CD/-DVD automatisch aufgelistet werden, können weitere Sessions in der Mitte nur mit dieser Option gefunden werden.
CDFS: In den meisten Fällen werden alle Sessions auf Multisession-CD/DVDs automatisch gefunden. In Ausnahmefällen (z. B. wenn CDFS zeitgleich zu UDF existiert oder die Abstände zwischen den Sessions ungewöhnlich groß sind), können hiermit weitere Sessions hinter der ersten gefunden werden.
RAM (Hauptspeicher): Findet u. U. beendete Prozesse und Rootkits.
NTFS: Schattenkopien können optional ausgewertet werden, mit einer forensischen Lizenz. Existierende und ehemals existierende Schattenkopie-Trägerdateien werden auf wertvolle Informationen geprüft, die anderweitig nicht erhältlich wären, so etwa Dateien, die nicht mehr in der aktuellen $MFT gefunden werden können oder frühere Versionen von Dateien, deren Inhalt sich geändert hat. Those files will be reconstructed up to 1 GB in length according to the shadow copy. Processing of volume shadow copies, if any, occurs before all the other operations that are part of the particularly thorough file system data structure search (parsing $LogFile, optionally searching for FILE record outside of $MFT and outside of VSC, searching for index records in the slack of INDX buffers). If there are volume shadow copies, the caption of the small progress indicator window will tell you when they are being parsed. Volume shadow copy host files that you exclude before processing will be omitted.
Files found in volume shadow copies are specially marked with "SC #" in the Attr. column, or "SC #, prev. version" if they are previous versions of files that were known to the volume snapshot already before the thorough file system data structure search, so that it is easy to filter them in or out. # stands for the sequential number of the snapshot in which these files were found. Remember you can sort by ID to see the files they are a previous version of next to them. You can also easily navigate to the VSC host by using the command Navigation | Find related file in the directory browser context menu, for example so that in Details mode learn more about that particular snapshot. You could then invoke the same command once more to navigate to the corresponding snapshot properties file, where in Details mode you learn even more, e.g. description and official creation date.
You may optionally avoid that previous versions of files in volume shadow copies are added to the volume snapshot if they are exact duplicates (identical file contents) so that it is much easier to focus on files for which actually previous data is still available. Time for that may be well invested because even if modification dates are different, the file contents are often the same for files installed by the operation system. If fully selected, X-Ways Forensics will compare files up to 128 MB, if half selected, only up to 16 MB, as to not waste too much time on this feature.
NTFS: Nach FILE-Records kann optional überall gesucht werden, in Sektoren, die nicht der MFT in ihrer aktuellen Größe und Lage angehören und auch nicht zu einer von der o. g. Operation behandelten Schattenkopie gehören. Solche FILE-Records können z. B. im freien Speicher gefunden werden, wenn eine Partition neu erstellen, neu formatiert, verschoben, vergrößert, verkleinert oder defragmentiert wurde. Kann auf großen Partitionen sehr lange dauern, daher optional (s. Optionen des Datei-Überblicks).
NTFS: Mit einer forensischen Lizenz kann die aktuelle $LogFile-Datei sowie frühere Versionen von $LogFile, die in verarbeiteten Schattenkopien gefunden wurden, ausgewertet werden. Die Inhalte gelöschter Dateien können dank den Informationen in $LogFile oft rekonstruiert werden. Überbleibsel von Index-Records können sowohl in $LogFile als auch im Schlupf von INDX-Puffern gefunden werden und enthüllen u. U. entweder frühere Namen oder Pfade von umbenannten/verschobenen Dateien/Verzeichnissen enthüllen, die im Datei-Überblick schon verzeichnet waren, oder gelöschte Dateien, die dem Datei-Überblick bis dato noch unbekannt waren (allerdings ohne zugehörige Datei-Inhalte). Geben Sie an, ob Sie an früheren Namen bzw. Pfaden von umbenannten/verschobenen Dateien und Verzeichnissen interessiert sind oder nicht, und ob Sie Dateien in den Datei-Überblick aufnehmen lassen möchten, für die nur Name, Größe, Zeitstempel und Attribute (aber keine Daten/Cluster) bekannt sind. Wenn das Kontrollkästchen für frühere Namen/Pfade halb angekreuzt ist, dann werden Sie über frühere Namen/Pfade von umbenannten/verschobenen Dateien über die Metadaten-Spalte informiert, und erhalten keine zusätzlichen Dateien im Datei-Überblick für jeden früheren Namen/Pfad.
Bei allen Unteroperationen für NTFS werden besondere Anstrengungen unternommen, um die Aufnahme redundanter (identischer) Dateien in den Datei-Überblick zu vermeiden. Wenn die einzige neue Information in alten Versionen von FILE-Records oder Index-Records ehemals gültige Zeitstempel sind, keine früheren Namen/Pfade/Inhalte von Dateien (oder nur frühere Namen/Pfade, Sie an diesen aber explizit kein Interesse zeigen), dann werden diese Zeitstempel nur als Ereignisse ausgegeben, sofern die Option "Zeitstempel aus diversen Quellen als Ereignisse bereitstellen" bei der Erweiterung des Datei-Überblicks gewählt ist.
NTFS: Sie können festlegen, ob Sie daran interessiert sind, daß Dateien in den Datei-Überblick aufgenommen werden, deren Cluster (und damit deren Daten) gänzlich unbekannt sind, nur mit Metadaten (z. B. Dateiname, Pfad, Größe, Attribute und Zeitstempel), wie in Index-Records in INDX-Puffern und in $LogFile zu finden. Wenn angekreuzt, werden alle ehem. existierenden Dateien, von denen nur Metadaten bekannt sind, in den Datei-Überblick aufgenommen. Wenn nicht angekreuzt, werden solche Dateien ignoriert.
andere Dateisysteme: keine besonderen Methoden