Hash berechnen
Teil der Erweiterung des Datei-Überblicks.
Es können Hash-Werte für Dateien im Datei-Überblick berechnet werden. Hash-Werte werden nicht erneut berechnet, wenn die Operation erneut auf dieselben Dateien angewandt wird. Zusätzlich zur reinen Hash-Berechnung erlauben es forensische Lizenzen, Hash-Werte mit individuell ausgewählten (oder einfach allen) Hash-Sets in einer internen Hash-Datenbank abzugleichen. Der dynamische Filter kann dann anschließend eingesetzt werden, um bekanntermaßen irrelevante Dateien auszublenden. Mit Hilfe der Hash-Datenbank als irrelevant erkannte Dateien werden außerdem optional von der weiteren Bearbeitung bei der Erweiterung des Datei-Überblicks ausgeschlossen, was u. a. Zeit spart. Im Gegensatz zur Hash-Wert-Berechnung wird der Abgleich für dieselben Dateien auf Wunsch erneut durchgeführt. Ein erneutes Abgleichen entfernt die zuvor angezeigten Hash-Sets aus dem Hash-Set-Feld bei diesen Dateien. Das Kategorie-Feld wird nur ggf. aktualisiert, nicht geleert.
It is possible to compute hash values of two different hash types at the same time when refining the volume snapshot, for general purposes or to match them against two hash databases with different hash types. If matching is selected, all hash values will be matched against any of the two hash databases whose hash type fits. That means even if the primary hash type in the volume snapshot is MD5 and the secondary is SHA-1, and hash database #1 is based on SHA-1 and #2 based on MD5, X-Ways Forensics will match the hash values accordingly. The hash types in the volume snapshot and in the hash databases do not have to be in the same order.
Eine forensische Lizenz erlaubt es, Hash-Werte, die bereits früher berechnet wurden oder aus einem Container importiert wurden, zu überprüfen. Das Ergebnis wird ins Nachrichtenfenster ausgegeben. Dateien, deren aktueller Hash-Wert nicht mit dem usprünglich berechneten übereinstimmt, werden einer besonderen Berichtstabelle zugeordnet, so daß man sie sich bequem auflisten lassen kann. Das erneute Ausführen der Hashing-Option beim Erweitern des Datei-Überblicks aktualisiert nie die Hash-Werte, die bereits zuvor für Dateien im Datei-Überblick berechnet wurden.
Child objects of files inherit the hash category "irrelevant" from their parents. That is possible because if an entire file is irrelevant, everything that can be extracted from that file must also be irrelevant. However, what is extracted from a "notable" file is not necessarily also notable, because perhaps only some parts or aspects of the parent file are notable. Of course, child objects of irrelevant parents will only be output if the user chooses to not omit irrelevant files from further processing in the first place.