Zugehörige Objekte
Nur mit forensischer Lizenz verfügbar.
Dateien/Verzeichnisse, zu denen es eine "zugehörige" Datei bzw. ein "zugehöriges" Verzeichnis im Datei-Überblick gibt, sind im Verzeichnis-Browser links neben ihrem Icon mit einem kleinen blauen nach unten zeigenden Pfeil markiert. Ein zusätzlicher Tooltip erscheint für Dateien mit einer "zugehörigen" Datei, wenn man den Mauszeiger über dere Icon hält. Dieser zeigt Ihnen komfortablerweise den Pfad und Namen der zugehörigen Datei an, z. B. das Ziel eines symbolischen Links. Es gibt vier verschiedene Arten von zugehörigen Objekten:
1) When taking a volume snapshot of Unix-based file systems, symbolic links are connected to their targets in the volume snapshot as so-called related files, so that you can conveniently navigate to the target by pressing Shift+Backspace. Also one of potentially several symlinks pointing to a certain target will become the related file of the target, so that you can conveniently navigate to the symlink or quickly see in the first place that one or more symlinks exist that point to a certain target, since any file that has a "related" file in the volume snapshot is marked with a tiny blue arrow next to its icon. Also the same arrow will tell you whether the target of a symlink can actually be found in the file system. If a symlink links to other symlinks, those are not recursively linked. If resolving symlink takes to long because there are many symlinks in a volume, you may safely abort that step at any time.
2) When taking a snapshot of volumes with Windows installations, certain reparse points (a.k.a. junction points) are connected to their targets in the volume snapshot just like as symlinks in Unix-based file systems, so that you can conveniently navigate to the target by pressing Shift+Backspace. Also there will be a back-reference to one reparse point, so that you can conveniently navigate to that reparse point or quickly see in the first place that one or more reparse points exist that link to a certain directory, since any directory that has a "related" directoy in the volume snapshot is marked with a tiny blue arrow next to its icon. Forensic license only. Reparse points that do not get connected with their target directories will still show a comment that advises you of the target path as in earlier versions of X-Ways Forensics.
3) Harte Verweise in HFS+ verweisen auf die zugehörige sogenannte indirekte Knoten-Datei (iNode*-Datei). iNode*-Dateien verweisen zurück auf eine der verhartlinkten Dateien, so daß es sehr bequem ist, zumindest einen der harten Verweise mit seiner tatsächlichen Verwendung und seinem tatsächlichen Ort zu finden. Um weitere harte Verweise zur selben iNode*-Datei zu finden, können Sie z. B. nach der Spalte "1. Sektor" sortieren.
4) In NTFS in Schattenkopien gefundene Dateien, die auf ihre Trägerdatei zeigen, und Schattenkopie-Trägerdateien, die auf ihre zugehörige Snapshot-Eigenschaften-Datei (in der Typspalte snapprop genannt) zeigen.