Image als Datenträger interpretieren
Dieser Befehl im Specialist-Menü behandelt eine geöffnete und aktive Image-Datei entweder als logisches Volume (möglicherweise mit einem unterstützten Dateisystem) oder als physischer (möglicherweise partitionierter) Datenträger. Das ist nützlich, wenn Sie den Inhalt eines Disk-Image untersuchen möchten, einzelne Dateien aus dem Dateisystem extrahieren möchten usw., ohne auf Unterstützung durch das Betriebssystem angewiesen zu sein. Beim Interpretieren als physischen Datenträger kann WinHex die im Image enthaltenen Partitionen öffnen wie von einer »echten« physischen Festplatte. Dieselbe Funktionalität wird intern auch dann eingesetzt, wenn Sie in X-Ways Forensics Images einem Fall hinzufügen und bei jedem späteren erneuten Öffnen.
Es ist auch möglich, dateiübergreifende Roh-Images zu interpretieren, also Image-Dateien, die aus einzelnen Segmenten beliebiger Größe bestehen (sog. "spanned image files"). Damit WinHex ein dateiübergreifendes Image erkennt, gibt es es ein paar Benennungsregeln, die unterstützt werden
1) Das erste Segment darf eine beliebige nicht-numerische Dateinamenserweiterung haben (z. B. .dd oder .img). Dann muß das zweite Segment .002 heißen, das dritte Segment .003 usw.
2) Das erste Segment darf eine der folgenden numerischen Dateinamenserweiterungen haben: .001 oder .0001 oder .000 oder .0000. Die folgenden Segmente müssen die Zählweise dann fortlaufend fortführen mit der exakt selben Anzahl von Ziffern, entweder drei oder vier.
Selbstverständlich müssen alle Segmente denselben Basisnamen haben (den Teil vor der Erweiterung). Der Befehl Datenträger-Sicherung erzeugt kompatibel benannte Disk-Image-Segmente. Das Segmentieren ist nützlich, da die maximal unterstützte Dateigröße in FAT32-Dateisystemen oder auf Datenträgern wie DVD stark beschränkt ist. Es kann auch der Risikoreduktion dienen (je kleiner die Segmente, desto weniger katastrophal ist der Datenverlust, wenn aufgrund eines Dateisystemfehlers eine Datei verlorengeht) und könnte einen Geschwindigkeitsvorteil mit sich bringen (wenn das Betriebssystem oft benötigte Daten effektiver puffern kann, wenn diese in kleineren Segmenten enthalten sind).
In seltenen Fällen ist WinHex u. U. nicht in der Lage, die Natur eines Images, also ob es ein Image eines physischen, partitionierten Datenträgers oder eines Volumes ist, zu erkennen, und interpretiert die Daten im Image daraufhin falsch. Um Abhilfe zu schaffen, können Sie die Umschalt-Taste beim Aufruf dieses Befehls gedrückt halten, damit WinHex nicht selbst entscheidet, sondern Sie fragt. Sie haben dann außerdem die Gelegenheit, die korrekte Sektorgröße anzugeben und im Fall eines Roh-Images einen zusätzlichen Speicherort, an dem weitere Image-Datei-Segmente zu finden sind (falls Sie diese aus Speicherplatzmangel auf zwei Laufwerke aufteilen mußten). Sollte es Probleme bei der Erkennung des Dateisystems in einem Volume geben, können Sie die Umschalt-Taste beim Öffnen dieses Volumes gedrückt halten, um WinHex das von Ihnen darin vermutete Dateisystem mitzuteilen.
ISO-CD-Images (Mode 1 und Mode 2 Form 1) mit 2.352 Bytes pro Sektor werden auch unterstützt, sofern sie nicht segmentiert sind, sowie (mit einer forensischen Lizenz) auch Hauptspeicher-Dumps. Auch VMware Virtual Machine Disk Images (VMDK) und dynamische VHD-Images von Virtual PC sowie Virtual Box disk images (VDI) des Standard-Untertyps "sparse" und der Untertypen "fixed size" und "diff" (snapshots) können interpretiert werden. Snapshot-Images können nur dann interpretiert werden, wenn das Eltern-Image, auf das sie sich beziehen, verfügbar ist und zuvor geöffnet und interpretiert wird. VMDK-Images mit ESXi Host-Sparse-Extents (auch Copy-on-Write Disks oder COWD genannt), wie von ESXi-Servern z. B. für Snapshots von virtuellen Maschinen verwendet, werden nicht unterstützt. Nur allozierte Bereiche in Images von virtuellen Maschinen sind editierbar. Mit einer forensischen Lizenz kann WinHex auch .e01-Evidence-Files interpretieren, die mit dem Befehl Datenträger-Sicherung erstellt werden können.
Es ist außerdem möglich, Imager diverser Typen ( Roh-Images und die meisten VHD/VMDK/VDI) und Natur (Disk oder Volume) sogar dann zu interpretieren, wenn sie innerhalb von anderen Images gespeichert sind (forensischen Datenträger-Sicherungen von Ihnen selbst), ohne sie erst aus dem äußeren Image herauszukopieren, sofern sie nicht aus mehreren Segmenten bestehen. Das kann eine Menge Zeit ersparen, insbes. dann, wenn Sie nach dem Interpretieren des enthaltenen Images schnell sehen, daß es nicht wirklich relevant ist, und natürlich auch Speicherplatz. Klicken Sie das Image dazu im Verzeichnis-Browser mit der rechten Maustaste an und öffnen Sie es mit dem Öffnen-Befehl in einem separaten Datenfenster. Danach interpretieren Sie das Image mit dem Befehl im Hauptmenü als Datenträger. Und danach, wenn der Datei-Überblick erstellt wurde und Sie das Image für relevant halten, fügen Sie es dem aktiven Fall wie gewöhnlich über den Befehl "Zum aktiven Fall hinzufügen" im Kontextmenü der Registerkarte des Datenfensters hinzu oder mit dem Hinzufügen-Befehl im Datei-Menü des Falldatenfensters. Image files within TAR archive should also work, which is handy for VMDK virtual machine disks within OVA files (open virtualization archives in TAR format).
Das neuere Microsoft Virtual-Disk-Image-Format VHDX wird nicht unterstützt. Um VHDX-Images in VHD umzuwandeln, können Sie den folgenden Befehl in der Powershell einer Windows-Version mit HyperV-Unterstützung (Windows 10, Windows Server 2012) ausführen:
Convert-VHD -Path X:\ExistingImage.vhdx -DestinationPath V:\ConvertedImage.vhd
Lose $MFT-Dateien können direkt und bequem interpretiert werden, als wären sie Images von NTFS-Partitionen. um zumindest eine vollständige Auflistung aller Dateien und Verzeichnisse zu erhalten, mitsamt Pfad, Zeitstempeln und Attributen. Es ist dann möglich, residente Dateien zu öffnen (solche Dateien, die klein genug sind, um in einen FILE-Record zu passen), aber natürlich keine sonstigen Dateien. Nützlich in besonderen Situationen, wenn Sie lediglich die $MFT vorliegen/gesichert haben, nicht das gesamte Dateisystem.