Datenträger-Sicherung/Sicherung anlegen
Dieser Befehl im Datei-Menü erlaubt es, eine Sicherung/ein Image des geöffneten Datenträgers bzw. der geöffneten Datei anzufertigen. Drei verschiedene Ausgabeformate mit jeweils besonderen Vorteilen stehen zur Auswahl.
Dateiformat: WinHex-Backup Evidence-File Roh-Image
Dateiendung: .whx .e01 z.B. .dd
Interpretierbar: nein ja ja
In Segmente aufteilbar: ja ja ja
Komprimierbar: ja ja (NTFS-Ebene)
Verschlüsselbar: nein ja nein
Optionaler Hash: integriert integriert separate Text-Datei
Optionale Beschreibung: integriert integriert separate Text-Datei
Nur bestimmte Sektoren: ja (ja) (ja)
Auf Dateien anwendbar: ja nein nein
Automat. Verwaltung: Sicherungs-Mngr. nein nein
Kompatibilität: nein (ja) ja
Benötigte Lizenzart: keine forensisch privat
Der große Vorteil von Evidence-Files und Roh-Images ist es, daß sie von WinHex wie die Original-Datenträger interpretiert werden können (mit dem entsprechenden Befehl im Specialist-Menü). Daher sind sie auch geeignet für den Gebrauch als Asservate in Ihren Fällen. Evidence-Files sind im besonderen Maße prädestiniert dafür, da sie auch eine optionale Beschreibung einen integrierten Hash für spätere Verifizierung enthalten können. Roh-Images sind sehr universell und können leicht zwischen noch mehr forensischen Tools ausgetauscht werden als Evidence-Files. Alle Ausgabe-Formate erlauben das Splitten in Segmente einer benutzerdefinierten Größe. Eine Segmentgröße von 650 oder 700 MB z. B. ist geeignet zum Archivieren auf CD-Rs. Evidence-Files müssen bei maximal 2047 MB gesplittet werden, damit sie mit X-Ways Forensics vor Version 14.9 und mit EnCase vor Version 6 und mit bestimmten anderen Tools kompatibel sind. Mit einer forensischen Lizenz können Roh-Image-Dateien und Evidence-Files automatisch sofort nach Erstellung überprüft werden, indem der ursprünglich für den Originaldatenträger berechnete Hash über das Image neu berechnet und verglichen wird.
Zum Komprimieren von Evidence-Files und WinHex-Backups wird der weit verbreitete Deflate-Algorithmus der zlib-Bibliothek verwendet. Er basiert auf LZ77-Kompression und Huffman-Codierung. Mit der "normalen" Kompressionstufe können Sie bei durchschnittlichen Daten eine Kompressionsdate von 40-50% erreichen. Die Speicherplatzersparnis bezahlen Sie allerdings mit einer deutlich verringerten Sicherungsgeschwindigkeit. "Schnelle/adaptive" Komprimierung ist ein sehr guter und intelligenter Kompromiß zwischen Geschwindigkeit und guter Kompression, nicht einfach wie die gewöhnliche Option "schnell" in anderen Programmen. Bei "starker" Komprimierung gewinnen Sie nur weniger weitere Prozentpunkte an Kompression, bei unverhältnismäßig hohen Geschwindigkeitseinbußen. Für WinHex-Backups ist "adaptiv" das gleiche wie "normal".
Roh-Image-Dateien können auf NTFS-Dateisystemebene komprimiert werden, wenn sie auf NTFS-Partitionen erzeugt werden. Entweder können Sie normale NTFS-Kompression verwenden, oder die Image-Datei als "Sparse"-Datei anlegen, so daß größere Mengen von Nullbytes keinen Speicherplatz benötigen.
Bereinigte Sicherung: With a forensic license, there is an acquisition option for those users who need to or want to exclude certain files from forensic images, called "Omit excluded files". The data stored in clusters that are associated with files that you exclude before starting the imaging process will automatically be zeroed out in the image. Won't have any effect on files whose contents are not stored in their own clusters. Before you start the imaging process for a partitioned disk, open the partitions in which the files are located that you would like to exclude. Wait till the volume snapshot has been taken if it was not taken before. Then exclude the files. You do not need to open and take volume snapshots of partitions whose data you would like to include completely. All other data is copied to the image normally. There is an option to "watermark" wiped sectors in the image with an ASCII or Unicode text string, so that when working with the image you are reminded of the omission when you look at the affected areas. Cleansed images are useful for anyone who needs to redact certain files in the file system, but otherwise wants to create an ordinary forensically sound sector-wise image, compatible with other tools. A must in countries whose legislation specially protects the most private personal data of individuals and certain data acquired from custodians of professional secrets (e.g. lawyers and physicians, whose profession swears them to secrecy/confidentiality). Limitation: Not available for disks partitioned as Windows dynamic disks or with Linux LVM*. Only files in supported file systems can be omitted. Note that you can also retroactively cleanse (redact) already created conventional raw images, in WinHex, by securely wiping files selected files via the directory browser context menu. The granularity of this operation is not limited to entire clusters. For example, that means it can also wipe files in NTFS file systems with so-called resident/inline storage and it does not erase file slack along. For a comparison of evidence file containers, skeleton images and cleansed images please see our web site. All of those are images that only transport a subset of the original data.
Ein andere Art bereinigter Sicherung ist ein Image, in dem all die Cluster, die vom Dateisystem als frei definiert sind, mit Null-Bytes gefüllt werden (nur mit Specialist- oder forensischer Lizenz). Das ist nützlich, wenn Sie ein Image als Backup und nicht für forensische Zwecke erzeugen, oder wenn Sie für forensische Zwecke keine Daten im freien Laufwerksspeicher benötigen oder solche Daten gar nicht sichern sollen (wenn die Untersuchung auf existierende Dateien beschränkt werden soll). Bei eingeschalteter Kompression hat diese Option das Potential, eine Menge Plattenplatz zu sparen, abhängig davon wieviel freien Speicher es gibt, und die Sicherung dramatisch zu beschleunigen, wenn es große zusammenhängende freie Bereiche gibt. Beachten Sie, daß im Fall von Dateisysteminkonsistenzen Cluster zu Unrecht als frei betrachtet werden könnten. Wenn Sie sowohl bestimmte (ausgeblendete) Dateien auslassen möchten als auch freie Cluster, dann blenden Sie bitte zusätzlich die virtuelle Datei "Freier Speicher" und schalten die Bereinigung des freien Speichers in den Optionen des Datei-Überblicks aus.
Das Erzeugen von bereinigten Sicherungen muß gesondert bestätigt werden, um die unbeabsichtigte Erzeugung von Images zu verhindern, die im konventionellen Sinn nicht forensisch einwandfrei sind. In einem moderneren Sinn des Wortes können sie aber durchaus als forensisch zu bezeichnen sein, abhängig von der Rechtslage und Rechtssprechung und der Gesamtsituation, in der Sie arbeiten. Eine übermäßige Datenerhebung ist in Deutschland gemäß Bundesverfassungsgerichts zu vermeiden, Verhältnismäßigkeitsgrundsätze müssen beachtet werden. Bereinigte Sicherungen bieten die wohl beste Lösung zum Schutz des Kernbereichs privater Lebensgestaltung und zur Wahrung von Zeugnisverweigerungsrechten von Berufsgeheimnisträgern wie Ärzten und Rechtsanwälten.
X-Ways Forensics prüft auf und warnt vor überlappenden Partitionen, wenn Sie eine bereinigte Sicherung eines partitionierten physischen Datenträgers erzeugen. Clusters in von der Überlappung betroffenen Bereichen werden nicht ausgelassen. In einer solchen Situation wird empfohlen, die relevanten Partitionen für sich zu sichern.
Mit forensischer Lizenz: Beim Erzeugen eines Images wird der technische Detailbericht aufgerufen und in eine Textdatei geschrieben, die die Image-Datei begleitet. Für .e01 Evidence-Files wird es außerdem direkt in die .e01-Datei als Beschreibung integriert. Die SMART-Informationen werden nach Abschluß des Vorgangs erneut abgefragt und in die Textdatei geschrieben, so daß Sie erstens sehen, ob sich der Zustand einer berichts defekten Platte weiter verschlechtert hat und zweitens feststellen können, wie sich die "power on time" geändert hat, was nützlich ist, um auf die Maßeinheit schließen zu können (normalerweise Stunden, aber das kann je nach Festplattenmodell anders sein). Die Textdatei gibt auch die für die Sicherung benötigte Zeit an, die erzielte Kompressionsrate, das Ergebnis der sofortigen Überprüfung der Image-Datei mittels Hash-Wert (falls gewählt) sowie etwaige Sektorlesefehler.
Mit forensischer Lizenz: Möglichkeit, bei Bedarf eine zweite Kopie eines Images schon bei der Datenträger-Sicherung zu erzeugen, was viel schneller ist als das nachträgliche Kopieren der Image-Datei und Sinn hat, wenn die zweite Kopie auf einem anderen Datenträger erzeugt wird. Das Aufteilen in mehrere Segmente geschieht synchron für beide Kopien, auch wenn der freie Speicherplatz nur auf einem der beiden Ziellaufwerke erschöpft ist.
Mit forensischer Lizenz: You may specify an overflow location in advance where further image file segments will be stored should space on the primary output drive be exhausted. If you leave that field blank or if even the overflow location has no more space left, you will be prompted for a new path as before when needed. If an overflow location is specified in advance and at the same time you chose to create two copies of the image, then please note that the overflow location is used only for the first image copy that runs out of space, if any. For the other image copy you would be prompted if space is scarce.
Mit forensischer Lizenz: Es besteht die Möglichkeit, zwei Hash-Werte gleichzeitig zu berechnen. Wenn Sie davon Gebrauch machen, werden beide Hash-Werte in der begleitenden Textdatei gespeichert. Der erste Hash-Wert ist derjenige, der auf Wunsch am Ende des Sicherungsvorgangs automatisch überprüft wird. Sie könnten hierfür gezielt den schnelleren Algorithmus wählen, denn der Hauptzweck ist hierbei wohl lediglich das Erkennen von Lese-, Schreib- und Dateifehlern. Der zweite Hash-Wert wird in die Asservateigenschaften übernommen, wenn Sie das Image einem Fall hinzufügen.
Eine besondere Option erlaubt es, den Arbeitsspeicher kurz vor der Hash-Überprüfung so auszulasten, daß die von Windows verwendeten Dateipuffer automatisch aufgelöst werden und ein Lesen der Image-Daten direkt von der Platte erzwungen wird (so daß die Daten nicht aus dem Speicherpuffer entnommen werden). This option exists for small images and for somewhat paranoid or uber-diligent users. It is not required for images that are much larger than the physical amount of RAM that is installed in your machine because by the time when the final parts of the image have been written, the initial parts are no longer in the buffer, and once the final parts are about to be verified they are no longer in the buffer because at that time the initial parts are in the buffer as they have been verified just before. Your system may behave a little bit sluggish for a while when using this option, and verification may be slightly slower than normally.
Mit forensischer Lizenz: Optional können Sie weitere Datenträgersicherungen in zusätzlichen Programminstanzen im voraus anzusetzen, die zunächst abwarten, bis bereits laufende Sicherungsoperationen in früheren Instanzen beendet sind, um die ineffiziente, simultane Erzeugung mehrerer Image-Dateien auf demselben Zieldatenträger zu vermeiden (was unnötig langsam ist und hochgradig fragmentierte Sicherungsdateien erzeugt). Die weiteren Instanzen warten nur auf solche vorherigen Instanzen, in denen das Kontrollkästchen ebenfalls angekreuzt war.
Mit forensischer Lizenz: Wenn Sie eine Datenträger-Sicherung mittendrin abbrechen, schließt X-Ways Forensics das .e01-Evidence-Dateiformat (im aktuellen Segment) noch schnell ab, damit man ein konsistentes Image erhält, auch wenn es nicht vollständig ist. Nützlich z. B. in einer Notfallsituation, wenn Sie eine Sicherung vor Ort vornehmen, weil ein ohne Fehlermeldungen nutzbares unvollständiges Image besser ist als ein nicht nutzbares defektes Image. Wenn eine Hash-Berechnung stattfand, kann der Hash-Wert dadurch später verifiziert werden.
Mit forensischer Lizenz: For the .e01 evidence file format, you may choose the internal chunk size. Might be regarded as useful by some to achieve a marginally better compression ratio for ordinary data, at the expense of more time needed when creating the image and when later randomly accessing data in the image, but improves compression noticeably for extremely compressible data (e.g. a wiped or unused areas of a hard disk). A 512 KB chunk size reduces the image size with ideal data (e.g. only 0x00 bytes) ceteris paribus by an additional 40% compared to a 32 KB chunk size.
Mit forensischer Lizenz: Die beschreibende Text-Datei, die während der Sicherung erzeugt wird, gibt für alle Segmente von Roh-Images deren exakte Größe in Bytes und für alle Segmente von .e01-Evidence-Dateien deren genaue Block-Anzahl an. Sollte, aus welchen Gründen auch immer, eines oder mehrere Segmente verloren gehen oder beschädigt werden, ermöglicht dies die Erzeugung künstlicher Ersatz-Segmente in der passenden Kapazität, um die Lücken zu füllen, womit die Daten in folgenden Segmenten die korrekte logische Distanz zu den Daten in vorangegangen Segmenten haben, um die Gültigkeit interner Verweise in den Daten zu erhalten (die Startsektoren von Partitionen in der Partitionstabelle, Cluster-Nummern in den Dateisystem-Strukturen) sofern diejenigen Original-Image-Segmente vorhanden sind, die Quelle und Ziel des Verweises enthalten.
Mit forensischer Lizenz: Es besteht die Möglichkeit, die Kompressionsstufe jederzeit während der Erzeugung eines .e01-Evidence-Files zu ändern. Nützlich, wenn Ihre Prioritäten (höhere Kompressionsrate oder höhere Geschwindigkeit) sich ändern, z. B. wenn Sie sehen, daß der verfügbare Plattenplatz plötzlich weniger groß aussieht oder wenn Sie den Vorgang schneller als zuvor gedacht beenden müssen. Auch nützlich zum Experimentieren, wenn Sie nicht sicher sind, welche Kompressionsstufe für eine bestimmte Systemkonfiguration am geeignetsten ist, etwa wenn Sie vor Ort ein laufendes System sichern und das Image über USB auf eine externe Festplatte schreiben müssen, was mit Kompression schneller sein könnte als ohne.
Mit forensischer Lizenz: Beim Sichern mit aktiver Komprimierung im .e01-Format gibt X-Ways Forensics Ihnen in Echtzeit eine grafische Rückmeldung über die tatsächlich auf dem Datenträger vorgefundene Datenmenge. Das ist möglich, weil Plattenbereiche, die niemals beschrieben wurden, sowie Datenträgerbereiche, die mit Nullen überschrieben (ge"wipe"t) wurden, extrem hohe Kompressionsraten erzielen. Die rollierende Kompressionsdate wird während der Sicherung durch vertikale Balken in einem separaten Fenster abgebildet. Je höher der Balken, desto niedriger ist die "Datendichte" in dem Bereich. Die Kompressionsstatistik wird auch in .e01-Evidence-Dateien gespeichert, so daß dieselbe Grafik auch zu einem beliebigen späteren Zeitpunkt noch aufgerufen werden kann, und zwar im Asservateigenschaftsfenster durch Klick auf den Schalter "Kompression".
Mit forensischer Lizenz: Ability to specify how many extra threads to use for compression when creating .e01 evidence files. By default X-Ways Forensics will use no more than 4 or 8, and it depends on how many processor cores your system has, but you could try to increase the number on very powerful systems with even more cores usually without problems, for a chance to further increase the speed, or you can reduce it you run into stability problems.
Mit forensischer Lizenz: You have the option to change the nature of an image (disk or volume) and its sector size when creating the image. This is possible not only for .e01 evidence files, where both is explicitly defined in the internal metadata (compatible with other tools), but also for raw images (via external metadata, compatible only with X-Ways Forensics/Image v18.4 and later, lost if the image leaves the realm of NTFS file systems). Useful whenever the source of the data is not an ideal interpretation. For example if a reconstructed RAID actually represents a volume, not a physical disk, then you can already adjust the nature of the image accordingly when you create it. Or if the sector size of the reconstructed RAID or a disk in an enclosure does not match the sector size of the file system in a partition, you can adjust the sector size of the image accordingly. All of this will allow for smoother and more successful usage of the image later, in particular by users who do not pay much attention to details such as image type and sector size. With the additional metadata present for a raw image, X-Ways Forensics does not need to prompt users for the nature of the image and its sector size even if under normal circumstances it would (for example because the image does not start with an easily identifiable partitioning method or volume boot sector).
Am Ende des Datenträgersicherungsprozesses kann der Computer optional heruntergefahren oder (wenn von Ihrem System unterstützt) in den Ruhezustand versetzt werden, um Strom zu sparen. Wenn Sie den Ruhezustand gewählt haben, aber Windows signalisiert, daß dieser nicht erreicht werden kann, versucht X-Ways Forensics statt dessen, den Computer herunterzufahren.
Es gibt eine Option, neu erzeugte Images sofort dem Fall hinzuzufügen und ihre(n) Datei-Überblick(e) automatisch ohne weitere Benutzerinteraktion zu erweitern, sofern der Quelldatenträger dem aktiven Fall hinzugefügt wurde und überhaupt ein Fall aktiv ist zu dem Zeitpunkt, wenn Sie die Sicherung starten.
Die Verwendung dieses Befehls ist die empfohlene Methode zum Erzeugen von Images. Um eine beliebige Auswahl von Sektoren zu imagen, können Sie einen Block definieren und dann in eine Datei kopieren mittels Bearbeiten | Block kopieren | In neue Datei, oder Sie rufen den Befehl Extras | Disk-Tools | Datenträger klonen auf. Letzterer Befehl ist besonders dann nützlich, um Festplatten mit schweren physischen Defekten (nicht bloß normalen nicht lesbaren Sektoren) ausschnittsweise zu sichern, und er kann Sektoren sogar rückwärts kopieren.
Eine Automatisierung ist über die Befehlszeile möglich.
Hinweise zu Disk-Cloning & -Imaging
Der Verschlüsselungsalgorithmus, der in Evidence-Files optional zum Einsatz kommt, ist entweder 128-Bit oder 256-Bit AES/Rijndael, im Counter- (CTR-) Modus. Er erlaubt wahlfreien Zugriff in ein Evidence-File. Die 128-Bit-Implementierung ist neuer und schneller und wird nur von X-Ways Forensics 16.4 und neuer verstanden. Verschlüsselung macht ein .e01-Evidence-File inkompatibel zu anderen Tools. Der Verschlüsselungsalgorithmus benutzt einen 256-Bit-Schlüssel, der mit SHA-256 gehasht wird aus der 512-Bit-Konkatenation des SHA-256 des von Ihnen angegebenen Schlüssels und 256 Bit kryptographisch sicheren Zufallszahlen (Salz), die im Header des Evidence-File gespeichert werden. Für 128-Bit-AES wird der 256-Bit-Schlüssel zu einem 128-Bit-Schlüssel reduziert durch ver-xor-en von 1. und 2. Hälfte. Der 128-Bit große Counter wird zufällig initialisiert und pro Verschlüsselungsblock inkrementiert, als Little-Endian-Integer in 256-Bit-AES, als Big-Endian-Integer in 128-Bit-AES. Die Größe eines Verschlüsselungsblocks in AES beträgt 128 Bit. Ein zusätzlicher SHA-256 wird im Header gespeichert (für 256-Bit-AES optional, s. Sicherheitsoptionen) und später verwendet, um zu überprüfen, ob ein vom Benutzer für die Entschlüssel angegebenes Paßwort korrekt ist oder nicht. Der SHA-256-Algorithmus wird angewandt auf eine Konkatenation des Salzes, einem Hash X und einem Hash Y, um diese Paßwort-Prüfungs-Hash zu berechnen. Dabei ist der Hash X der SHA-256 des vom Benutzer angegebenen Schlüssels und Hash Y ist der SHA-256 der Konkatenation des vom Benutzer angegebenen Schlüssels und Hash X. Für 128-Bit-AES wird Y erneut als X verwendet und erneut konkateniert und gehasht, immer und immer wieder, 100.000 Mal, um Angriffe mit Rainbow-Tables praktisch unmöglich zu machen. Please note that when you use compression and encryption at the same time, each chunk in an .e01 evidence file is first compressed, then encrypted. So an educated guess about the nature of the data in a given chunk might be possible, merely judging from the compressed size of the chunk (i.e. its compression ratio), even if the compressed data is encrypted.
Wenn Sie den Namen eines WinHex-Backups automatisch vergeben lassen (Format »???.whx«), wird sie im Verzeichnis für Sicherungsdateien erstellt (s. Allgemeine Optionen), mit dem nächsten freien Namen, der der Konvention des Sicherungsmanagers entspricht (xxx.whx). Bei Bedarf kann das Original dann mit dem Sicherungsmanager wiederhergestellt werden. Wenn Sie selbst Dateinamen und Pfad angeben, kann das WinHex-Backup immer noch mit dem Menübefehl »Sicherung laden« wiederhergestellt werden, und im Fall von aufgeteilten Sicherungen hängt WinHex automatisch die Teilsicherungsnummerm an die Dateinamen an.