Extras-Menü

WinHex & X-Ways

Extras-Menü

 

Disk öffnen

 

Datenträger klonen

 

Rekursiv erkunden: Wechselt für das aktuell im Verzeichnis-Browser dargestellte Verzeichnis in eine rekursive Ansicht oder zurück in eine normale Ansicht. In einer rekursiven Ansicht werden nicht nur die Dateien angezeigt, die sich direkt in diesem Verzeichnis befinden, sondern auch alle Dateien in alle Unterverzeichnissen und deren Unterverzeichnissen usw. Das erlaubt es z. B., ausgewählte Dateien aus unterschiedlichen Pfaden in einem einzigen Schritt wiederherzustellen/zu kopieren.

 

Dateien retten nach Typ

 

Dateiüberblick neu einlesen: Verfügbar für Partitionen mit einem der unterstützen Dateisysteme. WinHex durchläuft alle Dateisystem-Datenstrukturen und Clusterketten und kann dadurch den Verzeichnis-Browser befüllen und für jeden Sektor/Cluster angeben, was in ihm gespeichert ist bzw. ob er unbelegt ist. Durch Dateioperationen auf dem betreffenden Laufwerk veralten diese Informationen allerdings, und ein erneutes Aufrufen dieser Funktion bietet sich an. Vgl. Sicherheitsoptionen.

 

Freien Speicher initialisieren: Vertrauliche Informationen könnten durch normale Lösch- und Kopiervorgänge in momentan unbenutzten Bereichen des Datenträgers liegen. Mit dieser Funktion kann der unbenutzte Speicher eines Datenträgers aus Sicherheitsgründen initialisiert (überschrieben) werden. Dies verhindert die Wiederherstellung von Daten aus diesem Bereich des Datenträgers. Verfügbar für Partitionen, die als Laufwerksbuchstabe geöffnet wurden. Nur in WinHex verfügbar, nicht in X-Ways Forensics.

 

Schlupfspeicher initialisieren: Überschreibt Schlupfspeicher (englisch »slack space«, die unbenutzten Bytes im jeweils letzten Cluster einer Clusterkette, hinter dem tatsächlichen Ende der Datei) mit Nullbytes. Dies kann in Verbindung mit »Freien Speicher initialisieren« benutzt werden, um vertrauliche Daten auf einem Laufwerk sicher zu löschen oder um den Platzbedarf eines komprimierten Datenträger-Backups zu minimieren (z. B. einer WinHex-Sicherung). Beenden Sie vor Verwendung dieser Funktion alle laufenden oder residenten Programme, die auf den Datenträger schreiben könnten. Nur in WinHex verfügbar, nicht in X-Ways Forensics.

 

MFT-Records initialisieren: Auf NTFS-Volumes kann WinHex alle gegenwärtig unbenutzten FILE-Records der $MFT (Master File Table) sicher löschen. Diese können Metadaten (z. B. Namen) und sogar Inhalte von ehemals existierenden Dateien enthalten. Nur in WinHex verfügbar, nicht in X-Ways Forensics.

 

Verzeichniseinträge initialisieren: Auf FAT-Volumes kann WinHex alle gegenwärtig ungenutzten Verzeichniseinträge sicher löschen, um Spuren ehemals existierender Dateien sowie Informationen über frühere Namen oder Orte existierender Dateien aus dem Dateisystem zu entfernen. Besonders nützlich in Verbindung mit der Funktion zum Initialisieren des freien Speichers. Nur in WinHex verfügbar, nicht in X-Ways Forensics.

 

Verlorene Partitionen suchen: Ehemals existierende Festplatten-Partitionen, die nicht automatisch gefunden wurden, als die physische Platte (oder eine Image-Datei einer physischen Platte) geöffnet wurde, können mit diesem Befehl gefunden und entsprechend identifiziert werden. Er sucht nach der 0x55-0xAA-Signatur von Master Boot Records, Partitionssektoren und FAT-/NTFS-Bootsektoren sowie nach Ext2/Ext3/Ext4-Superblöcken, optional nur ab dem ersten Sektor, der der letzten (gemäß ihrer physischen Abfolge) Partition folgt, die bereits bekannt ist, und listet die neu gefundenen Partitionen im Verzeichnis-Browser auf. Funktioniert nur bei Sektorgröße 512 Bytes.

 

Als Partitionsanfang interpretieren: Wenn Sie den Anfangssektor einer (z. B. gelöschten) Partition auf einer physischen Festplatte finden, können Sie die Partition mit diesem Menübefehl einfach per Zugriffsschaltermenü zugreifbar machen. Wenn kein bekanntes Dateisystem beginnend am aktuell angezeigten Sektor erkannt wird, werden Sie gefragt, wie viele Sektoren in der neu zu definierenden Partition enthalten sein sollen.

 

Plattenparameter eingeben: Benutzen Sie diese Funktion für einen physischen Datenträger, um erkannte Gesamtzahl von Sektoren oder optional (kann freigelassen werden) die Zahl der Zylinder, Köpfe und Sektoren pro Spur anzupassen (Zylinder, Köpfe und Sektoren pro Spur sind heutzutage praktisch allesamt bedeutungslos). Dies kann nützlich sein, um auf etwaige Überhangsektoren am Ende des Datenträgers zugreifen zu können (falls die Zahl der zugreifbaren Sektoren nicht automatisch richtig erkannt wurde) oder um das CHS-Koordinatensystem nach Ihren Wünschen zu ändern. Alternativ gibt es die Möglichkeit, die erkannte Sektorgröße von physischen Festplatten oder Images zu ändern. Wenn Sie die Sektorgröße ändern, wird die Gesamtzahl der Sektoren entsprechend angepaßt. Wenn Sie z. B. die Sektorgröße von 512 Bytes auf 4 KB ändern (d. h. mit 8 multiplizieren), dann wird die Sektoranzahl automatisch durch 8 dividiert, um die insgesamt erkannte Plattenkapazität beizubehalten (in der Annahme, daß diese korrekt war).

 

Datei-Tools

 

Speicher öffnen

  Einsehen: Verfügbar nur mit einer forensischen Lizenz. Ruft den internen Viewer auf.

 

Externe Programme: Ruft eins der im Optionen-Menü eingestellten externen Programme auf (wie etwa Quick View Plus) und öffnet darin die aktuelle Datei.

 

X-Ways Trace aufrufen: Nur verfügbar, wenn X-Ways Trace installiert ist. Diese Software kann die History/Cache-Dateien diverser Internet-Browser entschlüsseln.

 

Rechner: Startet den Windows-Rechner für sonstige Berechnungen. Dazu muß sich die Datei »calc.exe« im Windows-Ordner befinden.

 

Umrechnung: Diese Funktion können Sie benutzen, um Zahlen des Hexadezimal-Systems ins Dezimal-System oder umgekehrt zu übersetzen. Nach der Eingabe der Zahl betätigen Sie die ENTER-Taste. Bitte beachten Sie die Hinweise unter »Ganzzahlige Datentypen«.

 

Vergleichen: Wählen Sie zwei Datenfenster (Dateien oder Datenträger) aus, die Sie Byte für Byte vergleichen möchten. Legen Sie fest, ob nach Unterschieden oder nach Übereinstimmungen gesucht werden soll. Sie geben außerdem an, wie viele Bytes verglichen werden sollen. Nach Erreichen einer gewissen Anzahl von Unterschieden/Übereinstimmungen kann der Vergleich abgebrochen werden. Der Bericht in Form einer Textdatei kann sonst ungewollt riesengroß werden. Der Vergleich beginnt an den jeweils angegebenen Offsets. Diese Offsets dürfen unterschiedlich sein, so daß z. B. das Byte an Offset 0 in Datei A mit dem Byte an Offset 32 in Datei B vergleichen wird, und das Byte an Offset 1 mit dem an Offset 33 usw. Wenn Sie Editierfenster für den Vergleich auswählen, wird die aktuelle Cursorposition automatisch hinter "Ab Offset" eingetragen.

 

In X-Ways Forensics there is also an option to output identified different or identical data areas as search hits (1 entry per matching area) instead of a text file (1 line per matching byte), for convenient review and navigation right within the program in the search hit list, similar to block hash matches. This option is only available if at least the 2nd data source is an evidence object. The result can be seen in the search hit list of that evidence object. Useful for example for users who wish to compare cloned disks with minor changes, if they have different hashes or one of them has been used a little more, to actually locate the differences and better understand what has caused them. Useful also to compare component disks of a hardware RAID level 0 system or a mirrored volumes, to check whether they are really absolutely identical, and if not to easily find the areas that differ, see how large they are, what kind of data these areas contain, and assess whether the second copy requires full treatment itself including carving, keyword searches etc.

 

Es gibt noch eine weitere Vergleichsfunktion in WinHex: Sie können auch Editierfenster miteinander vergleichen und das Rollen in den Fenstern synchronisieren (s. Ansicht-Menü).

 

Block/Datei/Sektoren analysieren: Die Daten im aktuellen Block, in der gesamten Datei bzw. auf dem gesamten Datenträger werden statistisch ausgewertet und das Ergebnis in einem Fenster graphisch veranschaulicht. WinHex ermittelt dazu die Häufigkeiten des Vorkommens aller 256 möglichen Bytewerte und bildet sie proportional in vertikalen Linien entsprechender Länge ab. Dabei wird die Höhe des Fensters optimal genutzt, d. h. die längste Linie (die den häufigsten Bytewert repräsentiert) reicht von unten bis zur Titelleiste des Fensters. Unter der Titelleiste können Sie abhängig von der Mauscursor-Position den relativen Anteil und die absolute Anzahl eines jeden Bytewerts ablesen.

Diese Funktion kann z. B. dazu eingesetzt werden, um Datenmaterial unbekannter Art zu analysieren. Audio-Daten, komprimierte Daten, ausführbarer Code u. a. lassen sich an charakteristische Grafiken erkennen. Im Kontextmenü des Fensters läßt sich einstellen, ob Bytes mit dem Wert Null unberücksichtigt bleiben sollen. Dies kann in vielen Fällen die Aussagekraft der Grafik stark erhöhen. Vom Kontextmenü aus können Sie das Analysefenster auch drucken und die Analyse in eine Textdatei exportieren.

Wenn Sie kleinere Datenmengen analysieren lassen (weniger als 50.000 Bytes), wird die mit Zlib für diese Daten erzielbare Kompressionsrate in der Titelzeile des Analysefensters angezeigt. Diese Rate läßt ebenfalls Rückschlüssel über die Natur der Daten zu.

 

Hash berechnen: Berechnet für die aktuelle Datei, den aktuellen Datenträger bzw. den gegenwärtig definierten Block eine der folgenden Prüfsummen/Digests: 8-Bit-, 16-Bit-, 32-Bit-, 64-Bit-Prüfsumme, CRC16, CRC32, MD5, SHA-1, SHA-256 oder PSCHF.

 

Hash-Datenbank