Eingebettete Daten in diversen Dateitypen suchen
Teil der Erweiterung des Datei-Überblicks.
Forensische Lizenz. Hiermit können Sie Dateien diverser Typen, die in Dateien diverser anderer Typen eingebettet sind, automatisch "herausmeißeln" (carven), durch eine auf Byte-Ebene durchgeführte Datei-Header-Signatur-Suche innerhalb von bestimmten Dateien. Dies ist gut machbar, wenn die äußere Datei (die Trägerdatei) intakt ist und die eingebettete Datei in der Trägerdatei nicht fragmentiert gespeichert ist. Ansonsten erscheinen die extrahierten Dateien u. U. als defekt. Insbesondere sucht diese Funktion JPEG- und PNG-Bilder, sogar JPEG-Bilder in anderen JPEG-Dateien (solchen, die Miniaturansichten von sich selbst enthalten). Auf diese Weise gefundene Dateien erhalten einen generischen Namen (»Embedded 1...jpg«, »Embedded 2...png«, o. ä.).
Diese Funktion extrahiert außerdem .emf-Dateien, die in mehrseitigen Ausdrucken (.spl-Spool-Dateien) enthalten sind. .spl-Dateien, die nur eine einzige .emf-Datei enthalten, können direkt mit der Viewer-Komponente eingesehen werden. Des weiteren auf diese Weise extrahiert werden .lnk-Verknüpfungen aus Jump-Lists der Art .customdestination-ms.
Spezielle interne Algorithmen extrahieren ordentlich, d. h. unter Beachtung der Datenstrukturen im jeweiligen Dateiformat und sogar wenn fragmentiert, .lnk-Verknüpfungen aus Jump-Lists der Art .automaticdestinations-ms, Dateien jeglichen Typs aus .doc/.ppt-OLE2-Verbundsdateien, Browser-Cache-Dateien von Safari, Firefox (basierend auf _CACHE_MAP_-Dateien,Norton-Backup-Dateien (N360 backup, .nb20) sowie Windows.edb-Datenbanken von Windows Vista/7 (aus letzteren oft sogar E-Mails), und als Base64 eingebettete Bilder aus VCF-Dateien (elektronische Visitenkarten).
Browser-Caches von Google Chrome werden basierend auf den "index"-Dateien verarbeitet, with support for multiple streams of the same cache entry: The HTTP response (named .chrome1) is output as well as, if present, as are compiled JavaScript entries (.js1). If a no-cache directive was sent by the web server, at least the HTTP response is still cached. In Preview mode you can see a special representation of HTTP responses. Chrome caches can now also be processed if their index is not available, for example if cache fragments have been carved or if the cache was partially deleted or corrupted. It may be possible in some cases that a better extraction result can be achieved without the index, even if it is present. To try that, if the index has not been processed before, you can have the uncover function process "data_4" files and omit the index. data_4 is part of the optional "special interest" group.
Außerdem Miniaturansichten aus thumb*.db-Dateien, Google's Picasa 3 image organizer and viewer software (thumbindex.db and related files), Photoshop thumbnail caches (Adobe Bridge Cache.bc), Canon ZoomBrowser thumbnail collections (.info), and Paint Shop Pro caches (.jbf). Thumbnails in bestimmten alten "thumbs.db"-Dateien können nicht korrekt angezeigt werden. Solche thumbs.db-Dateien werden einer Berichtstabelle namens "Unsupported thumbs.db" zugeordnet und können z. B. mit dem frei verfügbaren Programm "DM Thumbs" von GreenSpot Technologies Ltd. eingesehen werden. Thumbcache*.db files of Windows Vista and later are targeted indirectly if thumbcache_idx.db is in the mask and if that file is available in the same directory. That speeds up the extraction and avoids the output of numerous duplicate thumbnails (only the highest available resolution is output). If thumbcache_idx.db is in the mask, that also means that thumbcache*.db files that are specifically selected or tagged for processing are not processed unless the thumbcache_idx.db file is also selected/tagged.
Außerdem from PDF documents any kinds of files that are marked as embedded plus JPEG and JPEG 2000 plus Acrobat form files in XML format plus JavaScript objects (the latter may make it easier to determine whether a PDF file should be considered malware), individual cookie files from Firefox and Chrome SQLite databases, also data blocks embedded as Base64 in XML-formatted PLists (.plist) and raw data blocks embedded in binary PLists (.bplist) are extracted as separate child objects when refining volume snapshots. It is recommended to verify file types at the same time so X-Ways Forensics can distinguish between traditional (XML-formatted) PLists and binary PLists (BPLists). Many PLists do not have a .plist extension and need to be identified as PLists first. Since the type of the embedded data is not identified by the PList as such, the output also benefits from a simultaneous file type verification. Nested PLists (PLists embedded in PLists) will also be identified and processed recursively. Another child object created for PLists represents parsed text in a human-readable way and serves as a preview of the PList itself.
Also reconstructs e-mail messages and extracts contact and account information from the Livecomm.edb database, which is used by the Windows Mail client (Windows 7 and newer), and contacts from Windows Live Mail contacts.edb database, also contacts from Windows Live Messenger's contacts.edb database.
You can also uncover various potentially relevant resources in 32-bit and 64-bit Windows PE executables (programms and libraries) as child objects, in particular RCDATA, named objects, bitmaps, icons and manifests. Useful for example for malware analysis. This does not happen automatically, only if you specifically target executable files via a suitable series of file masks.
Fully Base64-encoded files in the volume snapshot, provided that they have "b64" in the Type column can be automatically decoded, and the result is output in binary as (surprise) a child object.
Nicht zuletzt kann diese Funktion auch noch hiberfil.sys-Dateien von Windows XP bis Windows 7, 32 und 64 Bit, dekomprimieren und das Ergebnis automatisch dem Fall als Roh-Speicher-Dump hinzufügen. Schlupf von hiberfil.sys-Dateien (komprimierte Daten von der vorherigen Verwendung der Datei, wie sie nahe am Ende der Datei gefunden werden können, wenn die letzte Verwendung eine höhere Kompression erzielt hat als die vorherige Verwendung) wird in dekomprimierter Form als Unterobjekt bereitgestellt.
Generell werden alle von dieser Funktion produzierten Dateien dem Datei-Überblick in Form von Unterobjekten der jeweiligen Trägerdatei hinzugefügt, in der sie gefunden wurden. Dateien, die kleiner sind als 65 Bytes, werden aus Zeitersparnisgründen nicht angefaßt.
Two separate file masks are maintained for uncovering embedded data in various file types. The second mask is optional and labelled as "special interest". For example malware investigators may choose to also process executable files that way when needed. You may prepend any element of a mask with a colon to temporarily exclude it, but keep it in the list for future reference. E.g. :*.jpg means not files with jpg as the extension or type.
In Dateien eines Typs, für den kein spezieller interner Extraktionsalgorithmus existiert, wird per Carving nach eingebetteten Dateien der Typen gesucht, die in File Header Signatures Search.txt mit dem Flag e gekennzeichnet sind. Das bedeutet, daß Sie aus noch viel mehr Dateitypen Daten hervorholen können als den voreingestellten!
Datei-Header-Signatur-Suche in nicht obig behandelten Dateien
A separate sub-operation optional allows you to freely carve any kind of file within any file that is not processed by the first sub-operation. By default, file types with the "e" flag are selected for that. Use great caution to avoid delays and copious amounts of garbage files (false positives) and duplicates. Please apply this new function very carefully and only with a good reason to specifically targeted files only, such as swap files or storage files in which backup application concatenate other files without compression, not blindly to all files or random files. Remember, with great power comes great responsibility.
Signatures marked with the "E" flag (upper case) are never carved within other files, to prevent the worst effects, for example MPEG frames carved within MPEG videos, zip records carved within zip archives, .eml, .html and .mbox files carved within e-mail archives, .hbin registry fragments carved within registry hives. If you know what you are doing, of course you could remove the E flag.
There is an option to apply the carving procedure recursively, that means to files again that were already carved within other files. This can lead to many duplicates if the outer file at level 1 is carved too big so that files can be carved in it that were also carved at level 0 (the original file).
For situations were you want to carve embedded files that are not aligned at 512-byte boundaries in the original file, you may make use of the extensive byte-level option. Files are never carved in $MFT.
The default settings will make X-Ways Forensics conduct a file header signature searches at the byte level within pagefile.sys files, to find e-mail fragments, .lnk shortcut files, pictures, etc.