Dateitypen prüfen

WinHex & X-Ways

Dateitypen mit Signaturen und Algorithmen überprüfen

 

Teil der Erweiterung des Datei-Überblicks.

 

Eine forensische Lizenz erlaubt es, Dateitypen u. a. anhand von Signaturen (auch mit Hilfe weiterer Algorithmen) zu überprüfen, d. h. Dateinamens-/Dateityp-Unstimmigkeiten in allen Dateien im Datei-Überblick aufzudecken außer denen, deren ursprünglicher erster Cluster bekanntermaßen nicht mehr verfügbar ist. Wenn z. B. jemand ein belastendes JPEG-Bild durch Umbenennen in "Rechnung.xls" (falsche Dateiendung) versteckt hat, wird der erkannte Dateityp "jpg" in der Spalte "Typ" des Verzeichnis-Browsers angezeigt. Weitere Informationen finden Sie in den Beschreibungen der Spalten Typ und Status. Die Dateisignaturen und Namensendungen, die für die Erkennung von Unstimmigkeiten verwendet werden, sind in den begleitenden Dateityp-Definitionsdateien definiert, die Sie nach Ihren Bedürfnissen anpassen können. Es ist die gleiche Datenbank, die auch die Grundlage für die Datei-Header-Signatur-Suche ist. Bitte beachten Sie, daß die Verbindung zwischen den gegenwärtig in einem freien Cluster gespeicherten Daten und einer gelöschten Datei, die dort mal gespeichert war, und deren Namen schwach ist, so daß allein schon deshalb eine Divergenz zwischen Dateiendung und erkanntem Typ bestehen kann, weil einfach nur der erste Cluster einer gelöschten Datei in der Zwischenzeit für eine ganz andere Datei wiederverwendet wurde. Wenn Sie die Dateityp-Überprüfung wiederholen möchten, z. B. weil Sie die Dateityp-Signatur-Datenbank bearbeitet haben, müssen Sie die Option "Erneut" wählen. Den Status der Typ-Spalte des Verzeichnis-Browsers können Sie an der Typstatus-Spalte ablesen.

 

Die allermeisten selbstextrahierenden .exe-Archive werden intern ebenfalls bei der Signaturprüfung erkannt. Sie werden klassifiziert als Dateityp "sfx" und der Kategorie "Archives" zugewiesen. Diese Dateien manuell zu überprüfen verhindert, daß komprimierte Dateien in solchen Archiven in einer Untersuchung völlig übersehen werden. .exe-Archive mit Zip-Kompression können im Vorschaumodus eingesehen werden. Andere selbstextrahierende Archive müßten aus dem Asservat herauskopiert und mit einem geeigneten Tool wie WinRAR oder 7-Zip geöffnet werden.

 

Die Signaturprüfung enttarnt auch MS-Office-Hybrid-Dateien, d. h. verschmolzene MS-Word- und MS-Excel-Dokumente, die in beiden Applikationen geöffnet werden können und jeweils unterschiedliche Inhalte zeigen. Ein Hinweis darauf wird im Nachrichtenfenster angezeigt, und alle detektierten Dateien werden einer besonderen Berichtstabelle hinzugefügt. MS-Office-Hybrid-Dateien sind ein cleverer Versuch, den Inhalt eines der verschmolzenen Dokumente zu verstecken.