Platzhalter-Segmente
X-Ways Forensics hat die Fähigkeit, bequem Ersatz/Platzhalter-Segmente für .e01-Evidence-Dateien zu erzeugen, die fehlende/verlorene/defekte Original-Segmente ersetzen können, mit dem Befehl Datei | Neu. Der Benutzer spezifiziert die benötigte Block-Größe und die Anzahl der Blöcke und den Dateinamen für das gewünschte Segment (die Dateierweiterung muß korrekt sein, also die benötigte Segment-Nummer identifizieren, nicht Nummer 1). Die in die Blöcke geschriebenen Daten sind ein wiederkehrendes Text-Muster ("FEHLENDES IMAGE-SEGMENT" wenn man X-Ways Forensics mit der deutschsprachigen Benutzeroberfläche betreibt), damit Sie wissen, wenn Sie auf eine Lücke zwischen den verfügbaren Daten schauen, wenn Sie später auf das interpretierte, kombinierte Image schauen. Die Idee hinter solch einem künstlichen Platzhalter-Segment ist natürlich, daß bei korrekter Größe die Daten in den folgenden Segmenten den korrekten logischen Abstand von den Daten in vorangegangenen Segmenten haben. Der Hash der gesamten Sicherung kann natürlich nicht mehr erfolgreich verifiziert werden, wenn die Original-Daten fehlen, und natürlich sollte diese Funktionalität nur als letzter Ausweg verwendet werden, falls es kein Backup des fehlenden Segmentes gibt oder die Wiederherstellung der Daten fehlschlägt, etc. Die Erzeugung und Verwendung eines solchen Platzhalter-Segments sollte ordentlich dokumentiert werden. (nur mit forensischer Lizenz)
Bei der Interpretation einer .e01-Evidence-Datei, die Platzhalter-Segmente beinhaltet, werden Sie darüber informiert, und die Gesamtzahl der Platzhalter-Blöcke wird in den Eigenschaften des Asservates beim Hinzufügen zum Fall festgehalten.
Falls Sie einen Platzhalter für ein einzelnes fehlendes Segment benötigen, dessen Blockgröße und Blockanzahl Sie nicht kennen, weil die Sicherung ohne diese neuen Informationen in der beschreibenden Text-Datei erzeugt wurde, können Sie diese folgendermaßen ermitteln: Ändern Sie die Dateierweiterung des vorletzten Segmentes zu der des fehlenden Segments, um die Lücke zu schließen. Benennen Sie das letzte Segment in das jetzt fehlende vorletzte um. (Sollte es sich bei dem fehlenden Segment um das vorletzte gehandelt haben, brauchen Sie nur den letzten Schritt; sollte das letzte Segment das fehlende sein, muß gar nichts umbenannt werden.) Fügen Sie dann das Image (das erste Segment) ganz normal zu einem Fall in X-Ways Forensics hinzu. X-Ways Forensics wird Sie auf das falsch benannte Segment im Nachrichtenfenster hinweisen, was ignoriert werden kann. Schauen Sie in den Eigenschaften des Asservates nach der Blockgröße und die erwartete und die tatsächlich referenzierte Block-Anzahl. Subtrahieren Sie die tatsächlich referenzierte von der erwarteten Block-Anzahl. Das Resultat ist die Zahl der fehlenden Blöcke. Benennen Sie die Segmente wieder korrekt um und erzeugen Sie dann das fehlende Platzhalter-Segment mit der korrekten Block-Größe und -Anzahl und der korrekten Erweiterung.
Mit einer Abweichung funktioniert dieser Ansatz auch, wenn mehrere zusammenhängende Segmente fehlen, indem Sie weitere verfügbare Segmente so umbenennen, daß die Lücke im ersten Schritt geschlossen wird, und Sie erzeugen soviele Platzhalter-Segmente, wie benötigt werden, um die Lücke zu schließen. Welches Platzhalter-Segment genau wieviele Blöcke enthält, ist nicht entscheidend, hauptsache, die Gesamtzahl der Ersatzblöcke entspricht genau der Gesamtzahl der fehlenden Blöcke. Falls mehrere nicht zusammen- hängende Segmente fehlen, können entsprechende Platzhalter-Segmente nur mit den neuen Informationen aus der beschreibenden Text-Datei erzeugt werden.