Fallbearbeitung
Die integrierte Umgebung für Computerforensik in WinHex kann nur mit einer forensischen Lizenz benutzt werden. Sie bietet eine komplette Fall-Verwaltung für mehrere Ermittler auf einmal an, automatische Protokoll- und Berichtserstellung und verschiedene zusätzliche Features wie Galerie-Ansicht, Dateisignatur-Prüfung, Erkennung von geschützten Festplattenbereichen und Erkennung von Hautfarben in Bildern.
Wenn Sie WinHex zum ersten Mal starten, werden Sie gefragt, ob Sie die Software mit der forensischen Benutzeroberfläche starten möchten. Das heißt, das Falldaten-Fenster wird angezeigt, WinHex im View-Modus ausgeführt und Sie werden gefragt, ob die Ordner für temporäre Dateien und Falldaten korrekt eingestellt sind, um zu verhindern, daß WinHex Dateien auf das falsche Laufwerk schreibt.
Um an einem Fall zu arbeiten, stellen Sie sicher, daß das Falldaten-Fenster (links im Hauptfenster) sichtbar ist. Wenn es das nicht ist, schalten Sie Ansicht | Anzeigen | Falldaten ein.
Vom Datei-Menü aus können Sie einen neuen Fall erstellen (neu beginnen), einen existierenden Fall öffnen, den aktiven Fall schließen, den aktiven Fall speichern, eine Sicherung der Falldatei und des Fallverzeichnisses in Form eines ZIP-Archivs erstellen (nur für Dateien bis 4 GB möglich), und einen automatischen Bericht zum aktiven Fall erzeugen. Als Asservate können Sie Datenträger hinzufügen oder Images (Dateien, die wie Datenträger interpretiert werden) sowie Hauptspeicher-Abbilder und Verzeichnisse auf Ihrem eigenen Computer. Das Hinzufügen eines Verzeichnisses anstelle einer ganzen Partition oder einer ganzen Festplatte kann nützlich sein, wenn das relevante Verzeichnis oder die relevante Datei auf einem Laufwerk mit vielen irrelevanten Dateien liegt, wenn Sie lediglich einige wenige dieser Dateien einsehen, hashen durchsuchen, auf Metadata prüfen oder in einem Datei-Container aufnehmen möchten.
Ein Fall wird in einer .xfc-Datei gespeichert (xfc steht für X-Ways Forensics Case) und in einem Unterordner desselben Namens, nur ohne die .xfc-Erweiterung. Dieser Unterordner und dessen Unterordner werden automatisch beim Anlegen des Falls erzeugt. Den Basisordner für Ihre Fälle können Sie unter Allgemeine Optionen auswählen. Es ist nicht erforderlich, einen Fall explizit zu speichern, es sei denn, Sie möchten sicher sein, daß er zu einem bestimmten Zeitpunkt gesichert ist. Ein Fall wird spätestens dann automatisch gespeichert, wenn er geschlossen wird oder Sie das Programm verlassen. Die einzige Ausnahme ist die Verwendung des Befehls "Fall schließen (nicht speichern)". For example if you have accidentally lost your carefully set tag marks (by untagging all, with a misdirected click in the column header) or if you accidentally lost report table associations (by pressing Ctrl+0 for all selected files), it is important to invoke that special menu command as soon as possible, before the auto-save interval elapses next time, to avoid that the volume snapshot(s) will be saved. Afterwards you can open the case again, and find everything as it was last time when the case was saved, which means that on average you will only lose half the amount of work that you get done within the auto-save interval, not everything.
Im Fenster »Eigenschaften« eines Falls können Sie einen Fall nach Ihren Konventionen benennen oder ihm eine Nummer zuweisen. Datum und Zeit der Anlage des Falls werden aufgenommen und angezeigt. Der interne Fall-Dateiname ist ebenfalls zu sehen. Sie können eine Beschreibung des Falls (beliebiger Länge) angeben sowie den Namen des Bearbeiters, dessen Organisation und Anschrift usw. Sie können von hier aus auch die automatische Mitprotokollierung für den Fall aus- oder einschalten. Optional werden immer die Unterverzeichnisse der jeweiligen Asservate im Fallordner als Standard-Ausgabeordner beim Wiederherstellen/Herauskopieren von Dateien aus Dateisystemen vorgeschlagen. Diese Eigenheit können Sie ausschalten, wenn Sie z. B. Dateien von verschiedenen Asservaten in einen einzigen Ausgabeordner kopieren möchten.
Sie können bis zu zwei Codepages, die sich für die Bearbeitung des Falls eigenen (also typisch sind für die Region, in der die zu untersuchenden Originaldatenträger verwendet wurden). Diese Codepages werden beim Benennen von .eml-Dateien basierend auf der Betreffzeile benutzt (.eml-Dateien, die aus E-Mail-Archiven extrahiert wurden). Wenn beide Codepages identisch sind, hat das keine negativen Auswirkungen. Wenn sie identisch mit der derzeit in Windows aktiven Codepage sind, haben sie überhaupt keine Auswirkungen. Die Codepages werden auch benutzt, um Dateinamen in Zip-Archiven nach Unicode zu konvertieren. In späteren Version kann es noch weitere Verwendungsmöglichkeiten für die Codepages geben.
Falldateien können mit einem Paßwort geschützt werden. Dies ist keine Verschlüsselung, sondern nur eine Art Sperre. Falldateien, die mit X-Ways Investigator gesperrt wurden, können notfalls mit dem Super-User-Paßwort geöffnet werden, wenn ein solches zum Zeitpunkt des Speicherns bereits in der verwendeten Installation hinterlegt war (undokumentiert, auf Anfrage).
When creating a new case, you have the option to make X-Ways Forensics recognize evidence objects that are physical media (not images) by their own intrinsic properties, not by the Windows disk number. Using this option will prevent earlier versions of X-Ways Forensics from opening the case. The advantage is that you may add multiple hard disks or external USB disks or sticks to the case that are attached to the computer at different times and get the same disk number assigned by Windows. Another advantage is that if the number of the same disk as assigned by Windows changes, X-Ways Forensics will still recognize the disk. Useful especially for triage, when not working with images. Please note that X-Ways Forensics may be unable to recognize external media already known to the case if next time they are attached through a different hardware write blocker. In that situation you can still use the "Replace with new disk" command in the evidence object context menu to point X-Ways Forensics to the correct disk. Note that component disks of an internally reconstructed RAID (read disks, not images) are still remembered by the Windows disk number when re-opening a RAID that you have added to a case.
When clicking the Passwords... button, the case's password lists for encrypted general purpose file archives will open in your preferred text editor for editing.
Wenn Sie den mit SIDs... bezeichneten Schalter anklicken, sehen Sie eine Sammlung aller Kombinationen von SIDs und Benutzernamen, die bei der Bearbeitung des Falls angetroffen wurden (gesammelt aus SAM-Registry-Hives in allen Windows-Installationen in Images und auf Datenträgern, die jemals dem Fall hinzugefügt wurden). Sie werden von X-Ways Forensics verwendet, um SIDs in Benutzernamen aufzulösen, wenn mit diesem Fall gearbeitet wird.
Das mächtigste Konzept in X-Ways Forensics, welches die systematische und vollständige Auswertung von Dateien auf Computer-Datenträgern erlaubt, ist der sogenannte erweiterte Datei-Überblick. Es ist möglich, solche erweiterten Datei-Überblicke für alle Asservate in einem Fall in einem Schritt zu erstellen und alle Asservate mit Datei-Überblicken logisch auf einmal mit Hilfe des globalen Fallwurzelfensters zu durchsuchen. Beachten Sie, daß es möglich ist, eine flache Ansicht aller existierender und gelöschter Verzeichnisse aus allen Unterverzeichnissen auf einer Partition oder einer Image-Datei einer Partition zu erhalten, indem man das Stammverzeichnis rekursiv erkundet. Zum rekursiven Erkunden eines Verzeichnisses (d. h. Auflisten seines Inhalts incl. des Inhalts all seiner Unterverzeichnisse und deren Unterverzeichnisse) klicken Sie es im Verzeichnisbaum mit der rechten Maustaste an. Um ein Verzeichnis zu markieren, klicken Sie im Verzeichnisbaum mit der mittleren Maustaste an.
Backups
Der Befehl "Sichern/Wiederherstellen" im Kontextmenü des Falldatenfensters erlaubt es, bequem ein Backup des Datei-Überblicks des gewählten Asservats anzufertigen. Backups können mittels desselben Befehls später jederzeit wiederhergestellt oder auch gelöscht werden (klicken Sie einen Eintrag in der Liste der Backups rechts an, um den Lösch-Befehl zu erhalten). Ein solches Backup ist wie ein Snapshot eines Datei-Überblicks. Nützlich, wenn Sie der Meinung sind, daß Sie später zu einer bestimmten Verarbeitungsstufe zurückkehren (d. h. alle folgenden Änderungen des Datei-Überblicks rückgängig machen) möchten, beispielsweise weil Sie aufwendig Tausende Dateien markiert haben, die Sie nicht verlieren wollen, bevor Sie mit experimentellen Einstellungen eine Datei-Signatur-Suche laufen lassen, die ggf. viele Schrott-Dateien erzeugt; bevor Sie externe Dateien mit Optionen, die Sie noch nie ausprobiert haben, anhängen lassen; bevor Sie eine X-Tension laufen lassen, die aus einer fremden Quelle stammt; bevor Sie ausgeblendete Dateien völlig aus dem Datei-Überblick entfernen lassen. Berichtstabellen-Verknüpfungen, Ereignisse und Suchtreffer sind im Backup ebenfalls enthalten. Suchtreffer können aus dem Backup nur wiederhergestellt werden, wenn sich die Suchbegriffsliste des Falles in der Zwischenzeit nicht geändert hat. Indexe sind im Backup nicht enthalten, können aber natürlich manuell gesichert werden.
Derselbe Befehl, angewandt auf den gesamten Fall (klicken Sie zu diesem Zweck den fett dargestellten Fallnamen rechts an), erlaubt die Erzeugung eines Backups für den gesamten Fall, einschließlich aller Datei-Überblicke aller Asservate, alle Berichtstabellen, Ereignisse, Suchbegriffe, Suchtreffer, Indexe, Image-Datei-Pfade, usw. usf. Solche Backups können über dasselbe Dialogfenster wiederhergestellt werden. Solche Backups können auch mit dem "Fall öffnen"-Befehl direkt geöffnet werden, falls notwendig, da es sich um vollständige Kopien des Falles handelt. (Die Backup-.xfc-Dateien werden aber mit dem Attribut "versteckt" versehen, da sie eigentlich nur innerhalb von X-Ways Forensics direkt verwendet werden sollen.)
Um einen Fall oder ein Backup eines Falls komplett manuell zu löschen, müssen Sie die .xfc-Datei und sein zugehörigen Verzeichnis selben Namens mit all seinen Unterordnern löschen.