Diverse interne Metadaten und Ereignisse aufbereiten
Teil der Erweiterung des Datei-Überblicks. Erfordert eine forensische Lizenz.
a) Kann die Dateiformat-Konsistenz von Dateien der Typen EXE, ZIP, RAR, JPEG, GIF, PNG, RIFF, BMP und PDF prüfen. Die Typstatus-Spalte zeigt das Ergebnis an, entweder "OK" oder "beschädigt".
b) Erlaubt das Extrahieren von intern gespeicherten Erzeugungszeitstempeln aus OLE2-Compound-Dateien (z. B. MS-Office-Dokumente vor Version 2007), EDB, PDF, MS Office HTML, EML, MDI, ASF, WMV, WMA, MOV, JPEG, THM, TIFF, PNG, GZ, GHO, PGP pubring.pkr keyring, ETL, SQM, IE Cookies, CAT, CER, CTL, SHD Drucker-Spool, PF Prefetch, LNK-Shortcut und DocumentSummary alternativen Datenströmen. Diese Zeitstempel werden in der Spalte Interne Erzeugung des Verzeichnis-Browsers angezeigt. In manchem Fällen wird der Zeitstempel extrahiert, der am weitesten in der Vergangenheit liegt und damit dem ursprünglichen wahren Erzeugungsdatum am nächsten kommt.
c) Erlaubt die Übernahme bestimmter Metadaten in die Metadaten-Spalte, was es wiederum ermöglicht, Dateien anhand dieser Metadaten zu filtern, Metadaten mit dem Befehl Liste exportieren zu exportieren oder in Form einer Berichtstabelle mit dem Fallbericht auszugeben. Metadaten können extrahiert werden aus allen im Details-Modus speziell unterstützten Dateitypen sowie aus Windows-Link-Dateien (.lnk) und Windows-Prefetch-Dateien (.pf). Nur eine Untermenge der Metadaten aus dem Details-Modus wird extrahiert. Dabei haben Sie die Möglichkeit, bestimmte Zeilen zu entfernen, so daß Sie sie nicht in der Metadaten-Spalte sehen, z. B. um dem Fallbericht oder die Ausgabe des Befehls "Liste exportieren" zum Ausdruck oder Betrachten auf dem Bildschirm kompakt zu halten, oder einfach nur deshalb, weil bestimmte Metadatenfelder für Sie nicht relevant sind. Sie können nicht erwünschte Metadatenfelder durch Teilworte identifizieren. So ein Teilwort kann entweder auf den Feldnamen zielen (z. B. "Focal Length") oder auf den Inhalt des Feldes (wenn Sie z. B. wissen, daß Sie an dem Feld "Author" kein Interesse haben, wenn der Autor eines Dokuments "Joe Huber" ist. Pro Zeile kann 1 Teilwort eingegeben werden. Teilwörter dürfen Leerzeichen enthalten. Sie können Ihre Definitionen mit anderen Benutzern teilen, indem Sie die Datei "Unwanted Metadata.txt" weitergeben.
d) Allows to restore original file system metadata (such as filename, timestamps) when found in certain file types such as $I* recycle bin files and iPhone mobile sync backup indexes (Manifest.mbdx). Original filenames are typically much more meaningful than random names that are assigned just to guarantee uniqueness in a single directory for backup purposes. Examples of such random names are 3a1c41282f45f5f1d1f27a1d14328c0ac49ad5ae (for a file in an iPhone backup) or $RAE2PBF.jpg (Windows recycle bin). The current filename according to the file system can still be seen in square brackets in the Name column, as well as in Details mode, and the Name filter will find both the original and the current name, so that current filename is not completely lost.
Alternative names and timestamps are also extracted from Linux PNG thumbnails as known from Ubuntu and Kubuntu distributions, desktop manager MATE and GNOME ThumbnailFactory. The name of the original file is shown in square brackets in the Name column and the recorded timestamp of the original file is shown as a "Content created" timestamp. The complete path of the original file can be seen in the Metadata column.
e) Befüllt die Spalten Absender und Empfänger für einzelne Original-E-Mail-Dateien (.eml, .emlx, .olk14msgsource). Extrahiert darüberhinaus die Betreffzeile solcher E-Mails und zeigt sie in der Namensspalte an, falls vom Dateinamen abweichend. Bewahrt den Originaldateinamen, sofern es sich nicht um eine gecarvete Datei handelt (d. h. mit einem künstlich erzeugten Dateinamen), auf und zeigt ihn in derselben Spalte weiterhin als alternativen Namen an.
f) Erzeugt Vorschauen für SQLite-Datenbanken von Internet-Browsern, was z. T. voraussetzt, daß die Dateien auf ihren wahren Typ hin geprüft wurde. Unterstützt Firefox History, Firefox Downloads, Firefox Form History, Firefox Sign-Ons, Chrome Cookies, Chrome Archived History, Chrome History, Chrome Log-In Data, Chrome Web Data, Chrome Sync, Safari Cache, Safari Feeds und Skype's main.db-Datenbank über Kontakte und Datei-Transfers. Erzeugt außerdem Vorschauen für Internet Explorer index.dat-Dateien (auch künstlich bei der Datei-Header-Signatur-Suche aus Einzel-Datensätzen zusammengesetzten), WebCacheV*.dat-Dateien von Internet Explorer 10 sowie von der Datei spartan.edb des Browsers Edge (all favorites and ReadingList entries will be added to the event list), auch von $UsnJrnl:$J, Windows Event Logs (.evt und .evtx) und Apple FSEvent-Logs. From iOS's sms.db all recorded conversations via SMS are extracted to individual chat files, and all messages are added to the event list, where they can be filtered based on phone number or email address. Rekonstruiert darüberhinaus einen Browser-Verlauf aus Safaris Icon-Datenbank. Diese alternative Quelle ist sehr interessant, weil sie die Besuchshistorie auch dann aufzeichnet, wenn Safari im Private Browsing Mode betrieben wird. Die HTML-Repräsentation von index.dat-Dateien (Verwaltung von Browser-Cache und Verlauf des Internet Explorer) enthält eine Spalte, aus der man den Offset des Datensatzes innerhalb der Datei ablesen kann, an dem dem die Daten der betreffenden Zeile gefunden wurden. Dieser Offset ist mit einem Link hinterlegt. Wenn Sie diesen anklicken, navigieren Sie automatisch zu dem Offset in der zugehörigen index.dat-Datei im Datei-Modus. Es ist als bequem, die von X-Ways Forensics aus dem dort gespeicherten Datensatz extrahierten Informationen selbst zu überprüfen. (Beachten Sie, daß dies nicht dann funktioniert, wenn der Link nicht in 2 Zeilen umgebrochen wurde, was in v8.4 der Viewer-Komponente passiert, aber nicht in v8.3.7. Man kann natürlich immer noch manuell zu dem Offset navigieren.) Die HTML-Unterobjekte, die erzeugt werden, können nicht nur intern von X-Ways Forensics zur Bereitstellung einer Vorschau des Elternobjekts verwendet werden. Sie können alle diese Tabellen auch in einem externen Programm betrachten, wie einem Internet-Browser oder in MS Excel, indem Sie die Unterobjekte an ein Programm Ihrer Wahl senden (Kontextmenü des Verzeichnis-Browsers).Sie können HTML-Tabellen nach einer beliebigen Anzahl von Zeilen aufsplitten lassen. Diese Zahl darf ruhig höher liegen, wenn Sie die HTML-Vorschauen extern mit einem Internet-Browser betrachten und nicht mit der Viewer-Komponente, die nicht mehr sehr großen Tabellen umgehen kann. Die Existenz von HTML-Unterobjekten mit durchsuchbarem Text für Browser-Daten, Event-Logs und weiteren Datenquellen erhöht auch die Effektivität von Suchen und Indexierung.
g) Extrahiert Tabellen aus diversen sonstigen SQLite-Datenbanken im TSV-Format und verwendet die erste davon jeweils als Vorschau der SQLite-Datenbank-Datei selbst.
h) Extrahiert den Originalzustand von bearbeiteten PDF-Dokumenten, sofern verfügbar, als Unterobjekt.
i) Stellt Zeitstempel aus dem Dateisystem als Ereignisse bereit, zur Analyse in einer Ereignisliste.
j) Stellt interne Zeitstempel in Dateien als Ereignisse bereit.
k) Die generische Relevanz von Dateien kann eingeschätzt werden. Diese Relevanz basiert auf einer Vielzahl von Faktoren, darunter Dateityp, Generator sofern bekannt (für JPEG- und PDF-Dateien), Aktualität (Datum der letzten Änderung), Bekanntheit aus einer Hash-Datenbank, Reichtum an enthaltenen internen Metadaten, Größe, visuelle Eigenheiten im Fall von Bildern, ob eine PNG-Datei ein Bildschirmfoto von einem Smartphone ist, ob eine HTML-Datei vom Benutzer manuell lokal abgespeichert wurde, ob an die Datei erkennbare Besonderheiten aufweist usw. usf. Die Gewichtung, mit der die Aktualität und die Größe einer Datei einen Einfluß auf die berechnete generische Relevanz haben, ist benutzerdefinierbar. 100% bedeutet Standardgewichtung. 50% bedeutet nur halb so starke Gewichtung wie in der Voreinstellung. 0% bedeutet, daß der Faktor überhaupt keinen Effekt hat. Das Maximum ist 255%. Die Relevanz ist nicht bloß inhaltsbasierend, sondern das Ergebnis einer fundamentalen Analyse. Insbes. ist die Generatorsignatur ein herkunftsbasiertes Kriterium. Die grundlegende Idee ist, wenn die Zeit für die Untersuchung begrenzt ist, man mit den Dateien mit der höchsten generischen Relevanz anfangen sollte, um die Chances zu maximieren, das, wonach man sucht, zu finden, sofern es existiert, und zwar möglichst rasch. Um aufgelistete Dateien absteigend nach Relevanz zu sortieren, sie also für die Begutachtung zu priorisieren, rufen Sie im Kontextmenü der Verzeichnis-Browsers den Befehl Navigation | Nach Relevanz sortieren auf.