Arbeitsspeicher-Editor/-Analyse
Im Extras-Menü finden Sie die Funktion »Speicher öffnen«. Der Arbeitsspeicher-Editor ermöglicht es, den physischen Arbeitsspeicher/RAM und den logischen Arbeitsspeicher eines in der Ausführung befindlichen Programms (= eines Prozesses) eines laufenden Systems direkt einzusehen. Für letzteres werden alle von dem Prozeß belegten Seiten im Arbeitspeicher als zusammenhängender Speicherbereich abgebildet. Ungenutzte (leere oder nur reservierte) Blöcke im Speicher werden von WinHex standardmäßig ignoriert, optional aber mit erfaßt und mittels »?«-Zeichen angezeigt. Ohne diese Lücken können Sie in Dateien geschriebene Speicherdumps exakt miteinander vergleichen (absolute und virtuelle Adressen sind identisch), um etwa den Stack oder Heap zu beobachten oder Computerviren zu verfolgen.
Wenn Sie aus der Liste aller laufenden Prozesse einen Prozeß auswählen, können Sie entweder den sog. Primärspeicher oder den Gesamtspeicher eines Prozesses öffnen, oder einzelne von diesem Prozeß geladene Module (DLLs). Als Primärspeicher wird derjenige Bereich bezeichnet, der im Adreßraum unterhalb der System-DLLs liegt und von den meisten Programme vorrangig für verschiedenste Zwecke genutzt wird, für Stack und Heap. Zumindest das Hauptmodul eines Prozesses (die EXE-Datei) ist i. d. R. ebenfalls im Primärspeicher enthalten. Der Gesamtspeicher umfaßt alle allozierte Seiten im gesamten logischen Adreßraum eines Prozesses.
Mit der 64-Bit-Edition von WinHex/X-Ways Forensics können Sie geladene Module oberhalb der 4-GB-Grenze in 64-Bit-Prozessen aufgelistet bekommen, und Speicher in solchen Adreßbereichen öffnen und editieren. Unicode wird für Prozeß- und Modul-Namen sowie Pfade im Speicher-Editor unterstützt. Seitengrenzen werden durch horizontale Linien gekennzeichnet. Grenzen, die Lücken zwischen zusammenhängend allozierten Bereichen kennzeichnen, werden von dunkleren horizontalen Linien repräsentiert. Die Informationsspalte zeigt jetzt mehr Details an, wie z. B. die höchste repräsentierte Adresse und die Zahl der Lücken im zugewiesenen Speicher (=Zahl der zusammenhängenden zugewiesenen Speicherbereiche -1) wie auch den Schutz-Status und Typ der aktuell dargestellten Seite.
Bitte beachten Sie die folgenden Einschränkungen:
Zugriff auf physischen RAM nur unter Windows XP (32-Bit), nur bis 4 GB, und nur mit Administratorrechten
Vorsicht: Rückgängig gemacht werden können ausschließlich Tastatureingaben!
Das Editieren ist nur im In-Place-Editiermodus möglich.
Die Evaluationsversion erlaubt generell nur den View-Modus.
Beachten Sie bitte die Optionen »Auf Änderungen im Speicher prüfen« (Sicherheitsoptionen) und »Virtuelle Adressen« (Allgemeine Optionen).
Hauptspeicheranalyse
Erfordert eine forensische Lizenz. Wenn Sie den lokalen physischen Arbeitsspeicher öffnen (über Extras | RAM öffnen, nur unter Windows XP) oder einen Hauptspeicher-Dump als Datei öffnen (und diese Datei genau wie ein Datenträger-Image interpretieren) oder einen Speicher-Dump einem Fall hinzufügen, werden die Prozesse im Verzeichnis-Browser aufgelistet, auch versteckte Prozesse, mit ihren Zeitstempeln und Prozeß-IDs, und ihr jeweiliger Speicheradreßraum kann individuell im Modus "Process" eingesehen werden, wobei die Seiten in korrekter logischer Reihenfolge hintereinander dargestellt werden, wie sie aus Sicht jedes Prozesses angeordnet sind. Die "intensiven Dateisystem-Datenstruktur-Suche" ist signaturbasiert, dauert ein bißchen länger als das Erstellen des standardmäßigen Datei-Überblicks und kann Spuren von weiteren beendeten Prozessen aufdecken. RAM kann auch über ein Netzwerk hinweg gesichert werden mit Hilfe von F-Response (Extras | Datenträger öffnen). Die Analyse wird unterstützt für die meisten (aber nicht alle) Varianten (Service-Packs) von Windows 2000, Windows XP, Windows 2003 Server, Windows Vista, Windows 2008 Server und Windows 7, 32-Bit und (weniger vollständig) 64-Bit. Unterstützt werden nur 1:1-Abbilder des RAM, d. h. auch die vom BIOS und PCI-Geräten benutzten Speicherbereiche sollten enthalten sein.
Datenstrukturen des Windows-Kernels und benannte Objekte werden bequem in einem Baum im Datei-Überblick unter "Objects" aufgelistet. Geladenen Module werden unter "Modules" aufgeführt. Das ermöglicht es X-Ways Forensics einerseits, deren Speicherseiten im RAM-Modus den Modulen zuzuordnen, und andererseits Hash-Werte zu berechnen, um Module über spezielle Hash-Sets identifizierbar zu machen. Zum Hashen ist es empfehlenswert, nur den nicht veränderlichen Header von geladenen Modulen anzeigen zu lassen (s. Optionen des Datei-Überblicks).
Der technische Detailbericht gibt einerseits wichtige systemweite Parameter aus und andererseits die aktuellen Adressen wichtiger Kernel-Datenstrukturen sowie geladene Kernel-Module. Im Details-Modus finden sich zu jedem Prozeß die Adressen von prozeßbezogenen Datenstrukturen und die ID des übergeordneten Prozesses. Im RAM-Modus wird zu jeder Speicherseite in der Informationsspalte ggf. ein zugehöriger Prozess und der Verwaltungszustand angezeigt.
Mit dem entsprechenden Hintergrundwissen kann diese Funktionalität benutzt werden, um mehr zu erfahren über den aktuellen Zustand der Maschine und der Prozesse, Sockets, geöffnete Dateien, geladene Treiber und angeschlossene Datenträger, um Schadsoftware zu identifizieren, um die entschlüsselte Version von verschlüsselten Daten zu finden, um etwas in der Vorfallsanalyse Netzwerk-Spuren zu analysieren, und um weitere Erkenntnisse im Bereich der Speicherforensik zu gewinnen.