Verzeichnis-Browser
Der wohl zentralste Bestandteil der Benutzeroberfläche von WinHex und X-Ways Forensics ist der sog. Verzeichnis-Browser an, der der Liste auf der rechten Seite im Windows Explorer ähnelt. Die Hauptaufgabe des Verzeichnis-Browsers ist die Anzeige von und Interaktion mit dem Datei-Überblick. Voller Funktionsumfang nur mit forensischer Lizenz. Der Verzeichnis-Browser listet standardmäßig zuerst Verzeichnisse gruppiert auf, dann Dateien. Komprimierte Dateien werden in blauer Schrift angezeigt, verschlüsselte in grüner Schrift. Klicken Sie Dateien oder Verzeichnisse im Verzeichnis-Browser mit der rechten Maustaste an, um ein Kontextmenü zu erhalten. Dieses enthält Befehle, um eine Datei oder ein Verzeichnis zu öffnen, ein Verzeichnis zu erkunden, den Anfang einer Datei oder eines Verzeichnisses auf dem Datenträger zu finden, den zugehörigen Verzeichniseintrag (FAT) bzw. Datei-Datensatz (NTFS) zu finden, die zugehörigen Cluster in einem separaten Fenster aufzulisten usw.
Beim Navigieren von einem Verzeichnis zum anderen, Erkunden von Dateien mit Unterobjekten (z. B. E-Mails, die Dateianhänge haben), Navigieren von einem Unterobjekt zu seinem übergeordneten Objekt, Aktivieren oder Deaktivieren von Filtern, Ausprobieren verschiedener Sortierkriterien usw., beachten Sie, daß Sie ganz leicht zu einer vorherigen Ansicht zurückkehren können, indem Sie den Zurück-Befehl im Navigationsmenü oder den Zurück-Schalter in der Symbolleiste nutzen.
Die Icons werden in der Legende direkt im Programm erklärt (nur mit forensischer Lizenz). Ehemals existierende Dateien und Verzeichnisse werden im Verzeichnis-Browser mit blasseren Icons dargestellt. Icons mit einem blauen Fragezeichen zeigen an, daß der Originalinhalt einer Datei oder eines Verzeichnisses noch immer verfügbar sein kann. Gelöschte Objekte, von denen bekannt ist, daß sie nicht mehr zugreifbar sein (weil entweder ihr erster Cluster in der Zwischenzeit anderweitig verwendet wurde, weil er unbekannt ist oder weil sie eine Größe von 0 Bytes haben), haben Icons mit einem roten Kreuz. Icons mit einem Pfeil auf FAT-Partitionen (nur mit Specialist-Lizenz oder höher) und (nach Erweitern des Datei-Überblicks) NTFS-Partitionen zeigen umbenannte oder verschobene Dateien mit ihrem Originalnamen bzw. in ihrem früheren Verzeichnis an. Auf Reiser4 sind dies verschobene Dateien mit ihrem jetzigen Namen im früheren Verzeichnis. Ein blauer Pfeil zeigen an, daß Inhalte für die Dateien verfügbar sind (wenn auch nicht die Originalinhalte von vor dem Umbenennen bzw. Verschieben). Ein roter Pfeil zeigt an, daß keine Inhalte verfügbar sind.
In der Überschriftszeile des Verzeichnis-Browsers sehen Sie links den gerade erkundeten Pfad (bei rekursiver Erkundung in kursiver Schrift und türkiser Farbe). Wenn Sie einen beliebigen Bestandteil des aktuellen Pfads anklicken, navigiert das direkt zu dem Verzeichnis (oder der Datei mit Unterobjekt), auf dessen Namen Sie geklickt haben. Rechts sehen Sie die Anzahl der aufgelisteten Dateien und Verzeichnisse, ggf. aufgeschlüsselt in existierende Objekte + ehemals existierende Objekte + virtuelle Objekte. Außerdem wird die Anzahl der aufgelisteten markierten Dateien angezeigt, sofern davon welche markiert sind. Die Zahl der aktiven Filter wird ebenfalls angezeigt, neben dem blauen Filtersymbol links. Spaltenbasierte und nicht-spaltenbasierte aktive Filter werden dabei separat gezählt. Diese Anzeige kann hilfreich sein, weil spaltenbasierte Filter zu Spalten aktiv sein könnten, die derzeit nicht im Verzeichnis-Browser sichtbar sind, und daß nicht-spaltenbasierte Filter aktiv sind ist ansonsten evtl. nur dann offensichtlich, wenn man im Dialogfenster mit den Verzeichnis-Browser-Optionen nachsieht.
Der Verzeichnis-Browser kann Dateien und Verzeichnisse aufsteigend oder absteigend sortieren und zeigt die zwei vorhergehenden Sortierkriterien mit einem helleren Pfeil weiterhin an. Zum Beispiel, wenn Sie zuerst die Dateinamensspalte anklicken und dann die Dateierweiterungsspalte, werden alle Dateien mit der gleichen Erweiterung intern immer noch nach Namen sortiert.
Um das sekundäre und tertiäre Sortierkriterium zu neutralisieren, halten Sie die Umschalt-Taste gedrückt wenn Sie eine Spaltenüberschrift zum Festlegen des Hauptsortierkriteriums anklicken. Intern wählt dies die interne ID als sekundäres Kriterium aus. Dies stellt sicher, daß die Reihenfolge der Objekte mit identischen Daten für das Hauptsortierkriterium wohldefiniert ist und reproduzierbar, auch wenn zwischendurch nach anderen Kriterien sortiert wird.
The column that functions as the primary sort criterion is also the target of jump as you type. That is, you can type the first character or first few characters of the entry that you are looking for when the directory browser has the focus to automatically navigate and select the first or next matching item in the list, starting from the current position. For example, if the directory browser is sorted by the Type column, type z if you wish to find the first zip file in the list. If however there is another file listed with a type starting with z, one that precedes zip alphabetically, for example zac, then type the next character (before the feature times out and forgets the z that you have already entered), in this case i, until you find what you are looking for or nothing happens any more (if there is no matching item). Matching occurs in a cycle. That means even if the current position shows a zip file, you can type any preceding letter to jump to the first matching item from the top again, for example d for .docx. If you are looking for .docx files, but find a large group of .doc files, then you need to type all four characters of docx, because only the x distinguishes docx from doc.
Filter
Sie können Filter basierend auf Kriterien (Spalten) wie Dateiname, Beschreibung, Dateityp-Kategorie, Attribute oder Hash-Set einschalten. Immer wenn ein aktiver Filter tatsächlich Dateien oder Verzeichnisse herausfiltert, wird das mit einem blauen Filtersymbol in der Überschriftszeile des Verzeichnis-Browsers kenntlich gemacht, und Ihnen wird angezeigt, wie viele Objekte genau aus der Liste ausgelassen wurden. Sie haben auch die Möglichkeit, durch Klick auf die Icons für "Datei öffnen"/"Datei speichern" ganz rechts in der Überschriftszeile des Verzeichnis-Browsers, Filter- und Sortiereinstellungen in separaten Dateien abzulegen und jederzeit wieder hereinzuladen. Solche Dateien erhalten die Dateinamenserweiterung ".settings". Beachten Sie bitte, daß es nicht garantiert ist, daß Einstellungen anderer Versionen der Software geladen werden können.
Immer wenn ein oder mehrere Filter aktiv sind, die auch tatsächlich Dateien im aktuellen Inhalt des Verzeichnis-Browsers herausfiltern, werden zwei blaue Filtersymbole in der Überschriftszeile des Verzeichnis-Browsers angezeigt. Diese machen deutlich, daß die aktuelle Ansicht wegen aktiver Filter unvollständig ist, und sie ermöglichen es Ihnen auch, alle Filter mit einem einzigen Mausklick zu deaktivieren, um sicherzustellen, daß Sie keine Datei übersehen, wenn Sie den Filter nicht mehr wollen. Sie können spaltenbasierte Filter mit einem einzigen Mausklick auf das Filtersymbol im Spaltenkopf aktivieren oder deaktivieren, wenn Sie gleichzeitig die Umschalt-Taste gedrückt halten. Die Optionen des betreffenden Filters bleiben in diesem Fall unverändert.
The filters have been given some "intelligence" when navigating from a parent file to a child file or vice-versa, so that the filters "know" when it's a good time to be turned off.
For example:
- If you are using a filter to focus on all extracted e-mail messages recursively, and then you double-click an individual e-mail message to have a look at its attachments in the directory browser, the filter is automatically deactivated, so that you can actually see these attachments. A simple click on the Back button returns to the previous point of exploration and restores the previous filter settings and the last selection, so that you can easily continue reviewing the next e-mail message!
- If you are using a filter to focus on videos or documents, and then you double-click a video or a document to see the video stills exported for that video or the embedded pictures in that document, respectively, the filter is automatically deactivated, too.
- When you are viewing video stills only, in a gallery, and you use the Backspace key or "Find parent object" menu command to navigate to the video that this still belongs to (e.g. in order to play that video), then any active filters will be turned off so that the video can actually be listed. A simple click on the Back button returns to the previous overview of stills, enables the previous filters again, and restores the last selected item, so that you can easily continue with the next still!
- This works analogously when systematically looking at e-mail attachments, if occasionally for relevant attachments you would like to view the containing e-mail message (and e.g. print it or include it in a report) and then return to the list of attachments.
Wenn verwaiste Objekte gefunden werden, also z. B. gelöschte Dateien, deren ursprünglicher Pfad nicht bekannt ist, werden sie in einem speziellen virtuellen Verzeichnis namens Pfad unbekannt angezeigt. Mit einer Specialist- oder forensischen Lizenz sehen Sie im Stammverzeichnis virtuelle Dateien, die es Ihnen erlauben, besondere Bereiche in Dateisystemen einzusehen:
Dateisystembereiche: Reservierte Sektoren und/oder Cluster, die vom Dateisystem selbst für interne Zwecke in Beschlag genommen wurden.
Freier Speicher: Cluster, die vom Dateisystem nicht als in Gebrauch markiert sind. Hängt von den Optionen des Datei-Überblicks ab.
Brachliegender Speicher: Bereiche in einem Volume, von denen WinHex nicht weiß, wofür sie verwendet werden, insbesondere Cluster, die vom Dateisystem als in Gebrauch markiert sind, deren exakte Zuordnung von X-Ways Forensics aber nicht festgestellt werden konnte. Das kann der Fall sein, weil das Dateisystem diese Cluster aus den Augen verloren, also vergessen hat, daß sie in Wirklichkeit wiederverwendbar wären (bei FAT auch verlorene Clusterketten genannt). Normalerweise gibt es keinen brachliegenden Speicher. Die Größe des brachliegenden Speichers und die Nummer des ersten brachliegenden Clusters werden erst berechnet, wenn erforderlich (z. B. wenn Sie die virtuelle Datei zum ersten Mal anklicken), weil das je nach Anzahl der Cluster insgesamt zeitaufwendig sein kann.
Dateisystemschlupf: Sektoren am Ende einer Partition, die nicht vom Dateisystem verwendet werden, weil sie keinen weiteren ganzen Cluster ergeben.
Indirekte Blöcke (Ext2, Ext3, UFS): Spezielle Blöcke (Cluster), die Blocknummern enthalten. Nicht Teil von Dateisystembereiche.
Unbeachtete Attribut-Cluster (NTFS): Cluster, die nicht-residente Attribute enthalten, die von X-Ways Forensics nicht speziell verarbeitet wurden. Nicht Teil von Dateisystembereiche.
.journal (ReiserFS): Blöcke, die den feststehenden Journalling-Bereich bilden. Auf Ext3 und HFS+ wird das Journal nicht als virtuelle Datei angesehen, weil es dort vom Dateisystem selbst in fest zugeordneten Datensätzen definiert wird.