Inhalt von Zip-, RAR- u. a. Archiven mit aufnehmen
Teil der Erweiterung des Datei-Überblicks.
Mit einer forensischen Lizenz kann der Inhalt von ZIP-, RAR-, ARJ-, GZ-, TAR-, 7Zip- und BZIP-Archiven in den Datei-Überblick aufgenommen werden, so daß Dateien in solchen Archiven separat aufgelistet, eingesehen, nach Stichwörtern durchsucht werden können usw., in ihrem dekomprimierten Zustand, sofern die Archive nicht verschlüsselt sind. Theoretisch gibt es kein Limit für die Verschachtelungstiefe, die verarbeitet werden kann (also Archive in Archiven in Archiven...). Wenn die Dateien in einem Archiv verschlüsselt sind, werden sie mit einem "e" in der Attributspalte gekennzeichnet und das Archiv selbst mit "e!". Das ermöglicht es, solche Dateien effizient mit dem Attributfilter zu finden.
Dokument-Dateien von MS Office 2007/2010/2013, LibreOffice, OpenOffice und iWork sind technisch gesehen typischerweise ebenfalls Zip-Archive, und werden standardmäßig auf dieselbe Art verarbeitet. Sie können solche Dateien von der Verarbeitung ausnehmen, wenn Sie oder die Empfänger etwaiger von Ihnen erstellter Datei-Container die Dokumente lediglich als ganzes einsehen möchten, und keine eingebetteten Bilder oder XML-Dateien einzeln, und auch keine Metadaten aus diesen XML-Dateien zu extrahieren brauchen und etwaige verschachtelte Dokumente (in Dokumenten eingebettete andere Dokumente) sofern gewünscht selbst erkennen können. Es gibt noch viele weitere Dateitypen, die technisch gesehen Untertypen von Zip sind und nur optional verarbeitet werden. Zip-Untertypen, deren Inhalte normalerweise irrelevant sind, sind z. B. .jar, .apk und .ipa, aber spezielle Interessengruppen wie Malware-Ermittler sehen das evtl. anders. Die Entscheidung liegt bei Ihnen.
X-Ways Forensics versucht, Zip-Bomben sowie rekursive Zip-, GZ- und andere Archive zu erkennen und sich vor ihnen zu schützen. Der Schutz besteht darin, daß die Verarbeitung nach einer gewissen erreichten Verschachtelungstiefe abbricht, sobald die bösartige Natur des Archivs erkannt wurde. Auf diese Art erkannte Archive werden als bereits verarbeitet gekennzeichnet und einer speziellen internen Berichtstabelle hinzugefügt. Wenn Sie anschließend manuell noch in tiefere Ebenen vordringen möchten, ist das möglich, indem Sie das innerste erreichte Archiv als noch zu verarbeiten markieren (durch Drücken von Strg+Entf) und dann den Erkunden-Befehl im Kontextmenü auf das Archiv anwenden.
Beachten Sie, daß Sie zur korrekten Verarbeitung von Dateinamen mit Nicht-ASCII-Zeichen in Zip-Archiven in den Falleigenschaften erst die richtige Codepage angeben müssen. Z. B. ist das für Zip-Archive, die unter Linux erstellt wurden, wahrscheinlich UTF-8. Für Zip-Archive, die unter Windows erstellt wurden, ist das i. d. R. eine regionale Codepage. Beachten Sie auch, daß segmentierte (in mehrere Einzeldateien aufgeteilte) Archive nicht unterstützt werden.
Zip-, RAR- und 7Zip-Archive können auch verarbeitet werden, sofern das Paßwort bekannt ist oder erraten werden kann. X-Ways Forensics probiert alle Paßwörter aus, die in der Paßwortsammlung des aktuellen Falls aufgelistet sind oder in der allgemeinen Paßwortsammlung. Sie können die Liste direkt vom Dialogfenster mit den Einstellungen der Archivverarbeitung aus bearbeiten. Die fallspezifische Paßwortsammlung kann auch von den Falleigenschaften aus eingesehen und bearbeitet werden. Es handelt sich um eine Datei namens "Passwords.txt" im Fallverzeichnis, codiert in UTF-16. Die allgemeine Paßwortsammlung ist in einer Datei gleichen Namens im Installationsverzeichnis oder Ihrem Benutzerprofil gespeichert. Praktisch alle Unicode-Zeichen werden unterstützt, incl. Leerzeichen, chinesische Zeichen usw. Bei Paßwörtern macht Groß- und Kleinschreibung i. d. R. einen Unterschied. Wenn die Sammlung das richtige Paßwort für eine bestimmte Datei enthält, merkt sich X-Ways Forensics dieses Paßwort in den extrahierten Metadaten der Datei und entnimmt es künftig bei Bedarf direkt von dort statt aus einer Paßwortsammlung, um Dateien in dem Archiv zu lesen. Alternativ können Sie das Paßwort für eine bestimmte Datei auch manuell hinterlegen, indem Sie die extrahierten Metadaten der Datei bearbeiten. Sie müssen dazu lediglich wissen, daß vor das Paßwort das Wort "Password: " gestellt werden muß (mit Doppelpunkt und Leerzeichen). Dateien in verschlüsselten Datei-Archiven werden nicht als verschlüsselt dargestellt ("e"-Attribut) und gehandhabt, wenn das richtige Paßwort zu dem Zeitpunkt, wenn die Dateien dem Datei-Überblick hinzugefügt werden, verfügbar ist. Die Archive selbst werden immer noch mit dem "e!"-Attribut gekennzeichnet. RAR- und 7Zip-Archive, in denen nicht nur die Datei-Inhalte, sondern auch die Dateinamen verschlüsselt sind, werden derzeit nicht unterstützt.