Specialist-Menü
Nur für Inhaber einer Specialist-Lizenz verfügbar.
Technischer Detailbericht: Zeigt Informationen über den aktiven Datenträger bzw. die aktive Datei an und läßt Sie diese kopieren, z. B. in einen Bericht den Sie anfertigen. Besonders ausführlich bei physischen Festplatten, zu denen Details über jede Partition und allen keiner Partition zugeordneten Speicherlücken aufgeführt werden. Unter Windows XP berichtet WinHex auch den Paßwortschutz-Status von ATA-Festplatten.
Nur mit forensischer Lizenz: WinHex kann unter Windows XP versteckte sog. Host Protected Areas (HPAs, auch bekannt als ATA-geschützte Bereiche) sowie Device Configuration Overlays (DCO-Bereiche) auf IDE-Festplatten erkennen. Ein Meldungsfenster mit einer Warnung wird angezeigt, falls eine künstlich herabgesetzte Festplattengröße festgestellt wird. Auf jeden Fall wird die tatsächliche Gesamtzahl der Sektoren laut ATA, wenn erfolgreich ermittelt, im Detailbericht mit aufgelistet. Auch einige wichtige SMART-Status-Informationen werden angezeigt für über [S]ATA angeschlossene Festplatten, die SMART unterstützen. Useful to check for one's own hard disk as well as that of suspects. For example, you can learn how often and how long the hard disk was used and whether it has had any bad sectors (in the sense that unreliable sectors were replaced internally with spare sectors). If a hard disk is returned to a suspect and he or she consequently complains about bad sectors and accuses you of having damaged the disk, a details report created when the hard disk was initially captured can now show whether it was already in a bad shape at that time. Also, seeing that spare sectors are in use means knowing that there is additional data to gain from the hard disk (with the appropriate technical means).
The following metadata about BitLocker and BitLocker To Go volumes is output: Volume creation timestamp, textual volume description, encryption method, protection type, and volume master key last modification timestamps. BitLocker-related timestamps are also output to the event ist.
The Technical Details Report also checks for certain read inconsistencies that can occur with flash media (for example USB stick of certain brands/models, but not others) in data areas that have never been written/used, where the data is undefined. The data that is read in such areas, for example when imaging the media, may depend on the amount of data that is read at a time with a single internal read command. The result is mentioned in the report. If inconsistencies are detected ("Inconsistent read results!" in the report), you will see a message box, which offers to read sectors in smaller chunks from that device as long as it is open, which likely yields the expected zero value bytes instead of some random looking non-zero pattern data when reading such areas. Use of this option does not give you data that is somehow more accurate or original (undefined is undefined and does not mean zeroed out) or contains more or less evidence, it can just have a big impact on compression ratio achieved and reproducibility of hash values with other tools, which may use different chunk sizes for reading and thus produce different data and hash values. Note that it is possible that read inconsistencies occur that are not detected by X-Ways Forensics, because a complete check would be very slow. Again, these inconsistencies are not fatal and not the fault of the software, and they can be explained. Note that the Technical Details Report is routinely created already when you start disk imaging with the File | Create Disk Image command, so you do not need to invoke the report yourself prior to imaging.
Es gibt die Möglichkeit, die Zeichen in der Seriennummer von Festplatten im Zweifelsfall zusätzlich paarweise vertauscht anzeigen zu lassen. Das ist nützlich für Benutzer bestimmter Hardware-Schreib-Blocker, die die Seriennummer u. U. verdreht weitergeben.
Image als Datenträger interpretieren
Als Laufwerksbuchstabe einbinden
Freien Speicher extrahieren: Durchläuft das gegenwärtig geöffnete logische Laufwerk und sammelt alle unbenutzten Cluster in einer von Ihnen anzugebenen Zieldatei. Nützlich um Datenfragmente von vormals existierenden Dateien, die nicht sicher gelöscht wurden, zu untersuchen. Nimmt keine Änderungen am untersuchten Laufwerk vor. Die Zieldatei muß auf einem anderen Laufwerk abgelegt werden.
Schlupfspeicher extrahieren: Sammelt Schlupfspeicher (englisch »slack space«, die unbenutzten Bytes im jeweils letzten Cluster einer Clusterkette, hinter dem tatsächlichen Ende der Datei) in einer Zieldatei. Jedem Vorkommen von Schlupfspeicher werden Zeilenumbrüche vorangestellt und die Nummer des Clusters, in dem er gefunden wurde, als ASCII-Text. Ansonsten ähnlich wie »Freien Speicher extrahieren«. WinHex kann Schlupfspeicher von Dateien, die auf Dateisystemebene komprimiert oder verschlüsselt sind, nicht erfassen.
Partitionslücken extrahieren: Erfaßt die Speicherbereiche einer physischen Festplatte, die zu keiner Partition gehören, in einer Zieldatei, zur schnellen Untersuchung, um herauszufinden, ob dort etwas versteckt ist oder übrig geblieben von früheren Partitionierungen.
Text extrahieren: Erkennt Text anhand der von Ihnen anzugebenden Parameter, erfaßt alle Vorkommnisse in einer Datei, auf einem Datenträger oder innerhalb eines Speicherbereichs und schreibt diese in eine Datei. Diese Art von Filter ist nützlich, um auszuwertende Datenmengen beträchtlich zu verringern, wenn z. B. bei einer forensischen Computeranalyse Hinweise in Form von Text (wie E-Mails, Dokumente) gesucht werden. Die Zieldatei kann leicht in benutzerdefinierte Größen zerlegt werden. Diese Funktion kann auch auf Dateien mit gesammelten Schlupf- oder freiem Speicher angewandt werden, oder auf beschädigte Dateien in einem proprietären Format, die nicht mehr von der zugehörigen Applikation, wie MS Word, geöffnet werden können, um zumindest unformatierten Text zu retten.
Externe Virenprüfung: (nur mit forensischer Lizenz) Schickt alle Dateien oder alle markierten Dateien im Datei-Überblick eines Asservats, optional nur solche unterhalb einer bestimmte Größe, an einen externen Viren-Scanner. Dateien, die vom Viren-Scanner im Ausgabeverzeichnis gesperrt, gelöscht oder umbenannt werden, werden einer Berichtstabelle namens Virenverdacht hinzugefügt. Es liegt in der Verantwortung des Benutzers sicherzustellen, daß ein Viren-Scanner aktiv ist, daß er das Verzeichnis für temporäre Dateien beobachtet und daß er infizierte Dateien tatsächlich sperrt, löscht oder umbenennt. Nachdem X-Ways Forensics überprüft hat, ob die Datei extern gesperrt, gelöscht oder umbenannt wurde, löscht es sie, wenn sie noch existiert.
Bates-Numerierung: Versieht alle Dateien innerhalb eines bestimmten Ordners und seiner Unterordner für die forensische Verwendung mit einer Bates-Numerierung. Fügt ein bis zu 13 Zeichen langes konstantes Präfix und eine eindeutige laufende Nummer zwischen Dateinamen und Dateinamenserweiterung ein, ähnlich wie Anwälte Papierdokumente für spätere Bezugnahme kennzeichnen.
Sicherer Dateiexport: Auch: »trusted download« (vertrauenswürdiges Überspielen von Daten). Löst ein Sicherheitsproblem. Wenn als vertraulich oder geheim eingestuftes Material von einem klassifizierten auf einen nicht-klassifizierten Datenträger übertragen wird, muß sichergestellt sein, daß keine überschüssigen Informationen in einem Cluster- oder Sektorüberhang ungewollt mit der eigentlichen Datei mitkopiert werden, da dieser sog. Schlupfspeicher (s. o.) noch vertrauliches oder geheimes Material von einem früheren Zeitpunkt enthalten kann, an dem er noch einer anderen Datei zugeordnet war. Dieser Befehl kopiert die ausgewählte(n) Datei(en) nur in ihrer aktuellen tatsächlichen Größe, und kein weiteres Byte mehr. Er kopiert nicht ganze Sektoren oder Cluster, wie es konventionelle Kopierbefehle tun. Es können mehrere Dateien eines Ordners auf einmal kopiert werden.