Ersatzmuster

Ersatzmuster

 

Wenn das Programm Probleme hat, Daten zu lesen zur Darstellung im Modus Disk/Partition/Volume oder im Modus Datei/Vorschau oder für Suchen, fürs Hashen, zum Sichern usw. usf., stellt sich die Frage, welche Daten statt dessen dem Anfrager präsentiert werden. Für Lesefehler auf unterschiedlichen Ebenen gibt es unterschiedliche Ersatztextfragmente für den Notfall, von denen viele übrigens sprachabhängig sind. Diese Textfragmented werden wiederholt in den Lesepuffer kopiert, bis dieser voll ist, so daß ein wiederkehrendes Muster entsteht, das bei Anzeige auf dem Bildschirm gleich ins Auge springt und den Benutzer auf das Problem aufmerksam macht.

 

1) "DATEI NICHT LESBAR!" for example means that at least certain portions/segments/extents of a file cannot read because the file system does not define where to find them or because it does but that definition is invalid or because it does but X-Ways Forensics does not understand it.

 

Example: The file system defines that a file consists of 6 clusters starting at cluster 1000 in the volume and 4 clusters starting at cluster 55,555 in the volume.

 

One possible reason for "DATEI NICHT LESBAR!" in this example would be that the volume consists of 40,000 clusters only. The first 6 clusters of the file can be read, but the last 4 clusters of the file cannot be read, simply because there is no cluster 55,555 that could be read. If this concerns an existing file, it is some kind of file system corruption or volume inconsistency. Could happen if something went wrong when a volume was shrunk, or if it's a spanned volume covering multiple disks of which only the first segment is available treated as if it was the entire volume. Another possible reason for "DATEI NICHT LESBAR!" would be that X-Ways Forensics was able to reconstruct a previously existing file partially only. The size may be known from $LogFile or a volume shadow copy, and the first few clusters of the file may be known from the source, but the whereabouts of the remaining clusters may be unknown. Another possible reason for "DATEI NICHT LESBAR!" if it's a compressed file in a file archive would be that the file archive is corrupt so that the contained compressed file cannot be read completely any more

 

If it's a file system problem, then you can find more more precisely what is going on by looking at the file system data structures that define the volume. Users can usually easily locate them in 2 seconds via a right click on the file, Navigation | Seek [name of the data structure].

 

2) "DEFEKTES EVIDENCE-FILE!" refers to a problem in an image in .e01 evidence file format. A possible reason to see that pattern would be that the requested sector is contained in the 2nd half of a compressed chunk (also called block) in which a few bits flipped so that only roughly the first half could be successfully decompressed.

 

3) "SEKTOR NICHT LESBAR!" ist ein Muster, das in Optionen | Allgemein definiert ist. Es kommt immer dann zum Einsatz, wenn die eigentlich in Datenträger-Sektoren gespeicherten Daten aufgrund von Lesefehlern nicht ermittelt werden können, zur Anzeige auf dem Bildschirm, beim Sichern von Datenträgern in eine Image-Datei, beim Klonen, beim Hashen, beim Suchen usw. usf. Wenn Sie Hash-Werte von Datenträgern mit defekten Sektoren bilden und die Ergebnisse mit einem anderen Tool vergleichen/reproduzieren möchten, dann können Sie hier das gleiche Muster angeben wie von dem anderen Tool verwendet. Beachten Sie jedoch, daß es schwierig ist, solche Hash-Werte zu reproduzieren, weil defekte Festplatten-Sektoren sich im Laufe von mehreren Versuchen vermehren können. Wenn beim Versuch des Lesens von nicht lesbaren Sektoren Null-Bytes zurückgeliefert werden sollen, löschen Sie das Muster ganz heraus (stellen Sie sicher, daß das Editierfeld vollkommen leer ist). If you keep the pattern, it will make it much easier to tell which sectors could be read and which sectors could not be, on the original hard disk directly, and that is also the case when you look at the same sectors in an image of that hard disk, provided that the pattern was active at the moment when the image was created with X-Ways Forensics. A bad sector on a hard disk is for example one whose internal CRC does not match the payload data in that sector any more.

 

4) Other surrogate patterns are "FEHLENDES IMAGE-SEGMENT", "HINTER DEM ENDE DES IMAGES !!", and "SEITE UNLESBAR!", all of which should be basically self-explanatory. ("Seite" bezieht sich auf eine Seite im Arbeitsspeicher.)