Als Laufwerk einbinden

WinHex & X-Ways

Als Laufwerksbuchstabe einbinden

 

Verfübar in X-Ways Forensics und WinHex Lab Edition. (Für Datei-Container mit nicht mehr als 1.000 Objekten mit jedem Lizenztyp für WinHex verfügbar, sogar kostenlos in der Evaluationsversion.)

 

Erlaubt es, die von aktiven Datenfenster repräsentierte Partition im eigenen Windows-System als Laufwerksbuchstaben einzubinden. Entweder vollständig (beim Aufruf über das Specialist-Menü oder über das Falldatenfenster-Kontextmenü für ein ganzes Volume) oder ausschnitthaft (wenn über das Kontextmenü des Verzeichnis-Browsers oder das Falldatenfenster-Kontextmenü auf ein Verzeichnis oder eine Datei mit Unterobjekten angewandt). So erhalten Sie bei Bedarf mit externen Programmen bequem und schnell Zugriff auf alle Dateien, ohne diese erst mit dem Befehl Wiederherstellen/Kopieren herauskopieren zu müssen. Sehr effizient insbes., wenn Sie eine ganze Partition oder ein Verzeichnis mit einem Virenscanner überprüfen möchten. Das Einbinden funktioniert für alle unterstützten Dateisysteme, für alle unterstützten Partitionierungsmethoden und alle unterstützten Image-Typen (in X-Ways Forensics: Roh-Images, .e01, VDI, VMDK, VHD, und selbstverständlich Datei-Container), sogar für Images innerhalb von anderen, auch für Partitionen von physisch angeschlossenen Datenträgern, die mit einem Dateisystem formatiert sind, das Windows unbekannt ist. Der Zugriff auf alle Dateien ist ein vollständig schreibgeschützter Zugriff. Das Mounten von Images oder Datenträger-Partitionen ändert nichts in dem Image bzw. auf dem Datenträger. Um das Einbinden als Laufwerksbuchstabe zu beenden, rufen Sie den Menübefehl einfach erneut auf und klicken dann auf den Abbrechen-Schalter.

 

Sie können wahlweise alle existierenden und/oder alle bekannten ehemals existierenden Dateien des Volumes im eingebundenen Laufwerk sehen, genau dieselben Dateien wie im außerordentlich gründlichen Datei-Überblick von X-Ways Forensics selbst. Dessen Vollständigkeit hängt bekanntlich davon ab, ob er bereits erweitert worden ist oder nicht. Optional können herausgefilterte Dateien auch in den Verzeichnissen des eingebundenen Laufwerks von der Auflistung ausgenommen werden. D. h. in anderen Worten, die internen Filter von X-Ways Forensics können auch extern wirken. Unterobjekte von Dateien (Dateien in Dateien) werden ebenfalls optional nach außen dargestellt, als Dateien in einem künstlichen Unterverzeichnis, das denselben Namen hat wie die Elterndatei, lediglich um ein einziges Zeichen ergänzt, damit der Name eindeutig wird, wie Sie es evtl. vom Wiederherstellen/Kopieren-Befehl kennen. Standardmäßig ist dieses Zeichenanhängsel unsichtbar, d. h. ein Unicode-Zeichen ohne eigenen Breite, damit der Pfad des Unterobjekts so original wie möglich aussieht. Sie können das Zeichen allerdings durch ein anderes ersetzen, z. B. einen Unterstrich, wenn Sie etwas mit einem alten externen Programm auf die Dateien zugreifen, das nicht unicodefähig ist. Dazu müssen Sie das unsichtbare Zeichen zunächst aus dem Editierfeld entfernen, z. B. durch Anklicken und Drücken der Rücksetz-Taste. Das funktioniert auch dann, wenn es scheinbar keinen sichtbaren Effekt hat. Danach können Sie ein beliebiges anderes Zeichen einfügen.

 

Ehemals existierende Objekte werden optional aufgelistet, und wenn dies der Fall ist, werden Sie extern mit dem Attribut "versteckt" dargestellt, so daß sie auch im Windows Explorer optisch von existierenden Objekten unterscheidbar sind. Virtuelle Verzeichnisse werden auf dieselbe Art präsentiert. (Natürlich werden versteckte Dateien in Windows nur dann angezeigt, wenn Sie angeben, daß Sie sie sehen möchten, s. Extras | Ordner-Optionen | Ansicht). Existierende Dateien werden ebenfalls optional aufgelistet (aber existierende Verzeichnis zwangsweise, weil sie u. U. benötigt werden, um zu ehem existierenden Dateien überhaupt navigieren zu können). Virtuelle Dateien in einem Datei-Überblick sowie interne Dateien von Dateisystemen (wie $MFT in NTFS und Catalog in HFS+) werden ebenfalls nur optional eingebunden. Dasselbe gilt für die Originalnamen und -Orte von belanntermaßen umbenannten/verschobenen Dateien. Besondere Objekte wie alternative Datenströme, extrahierte E-Mails, Video-Standbilder, eingebettete Miniaturansichten, Ausschnitte usw. usf. werden im eingebundenen Laufwerk wie normale Dateien dargestellt. Dateischlupf wird nicht nach außen zugänglich gemacht. Dateien mit identischem Namen im selbem Verzeichnis (z. B. eine existierende Datei und eine ehem. existierende Dateien, bis zu 16) sind kein Problem für das Einbinden als Laufwerksbuchstabe. Solche Dateien können extern über den Laufwerksbuchstaben so geöffnet werden, als hätten sie eindeutige Namen.

 

Diese Funktion erfordert Windows 7 oder neuer sowie die Installation einen Treibers. Letztere wird automatisch in Angriff genommen, wenn Sie einen beliebigen der Menübefehle zum Einbinden zum ersten mal aufrufen. Weiterhin wird das Microsoft Visual C++ 2013 Redistributable Package benötigt, das in Windows standardmäßig nicht enthalten ist und u. U. separat heruntergeladen werden muß). Das bedeutet, daß dieser spezielle Teil von X-Ways Forensics nicht portabel ist, aber das Einbinden als Laufwerksbuchstabe ist ohnehin keine für die Vorab-Einsichtnahme von laufenden Systemen vor Ort typische Funktion.

 

Interaktivität: Das Löschen einer Datei in einem von X-Ways Forensics bereitgestellten Laufwerksbuchstaben in Windows löscht natürlich nicht die Datei im Image oder auf dem Datenträger, aber kann unter Windows 7 eine der folgenden Aktionen im Datei-Überblick auslösen:

1) Datei im Datei-Überblick ausblenden

2) Datei als bereits eingesehen kennzeichnen

oder

3) Datei mit einer frei wählbaren Berichtstabelle verknüpfen.

Die dritte Option ist besonders dann nützlich, wenn Sie die Partition zum Überprüfen auf Malware mit einem Virenscanner als lokales Laufwerk einbinden. Sollte der Virenscanner eine Datei löschen oder in Quarantäne verschieben, wird X-Ways Forensics das bemerken und diese Datei der Berichtstabelle hinzufügen. Beachten Sie, daß wenn Sie eine Datei aus dem Laufwerk heraus verschieben dieselbe Aktion ausgelöst wird, denn ein solches Verschieben ist identisch mit Kopieren gefolgt von Löschen. Das Verschieben einer Datei innerhalb des von X-Ways Forensics bereitgestellten Laufwerksbuchstabens ist nicht erlaubt.

Wenn Sie eine Datei in einem eingebundenen Laufwerk in Windows umbenennen, so wird auch die Datei im Datei-Überblick von X-Ways Forensics umbenannt. (Der Originalname wird ebenfalls aufbewahrt und im Verzeichnis-Browser zusätzlich angezeigt.)