Asservate
Sie können jeden an den Computer angeschlossenen Datenträger (wie Festplatte, Speicherkarte, USB-Stick, CD-ROM, DVD, ...), eine Image-Datei, ein Verzeichnis oder eine normale einzelne Datei dem aktuellen Fall hinzufügen. Dadurch wird das Objekt permanent mit dem Fall verbunden (es sei denn, Sie entfernen es später wieder aus dem Fall), in der baumartigen Fallstruktur angezeigt und fortan als Asservat oder Beweisobjekt bezeichnet. Im Fallordner wird für jedes Asservat ein Unterordner angelegt, wo Dateien, die Sie aus dem Asservat herauskopieren, standardmäßig abgelegt werden, so daß immer offenkundig ist, von welchem Asservat genau (und aus welchem Fall) wiederhergestellte Dateien stammen. Wenn Sie mehr als 1 Datei aus demselben Verzeichnis dem Fall hinzufügen möchten, fügen Sie bitte das gesamte Verzeichnis hinzu, blenden Sie lediglich nicht benötigte Dateien aus oder entfernen Sie sie ganz aus dem Datei-Überblick.
Im Fenster der Asservat-Eigenschaften können Sie eine Bezeichnung oder eine Nummer für das Asservat nach Ihren Namenskonventionen eingeben. Sie können die Reihenfolge von Asservaten im Fallbaum ändern mit Hilfe der kleinen Pfeilschalter oben links, außer für »abhängige« Asservate (Partitions, die zu einem physischen Datenträger gehören). Datum und Zeit des Zuordnens des Asservats zum aktuellen Fall werden aufgenommen und angezeigt. Die programminterne Bezeichnung eines Asservats wird ebenso angezeigt wie seine Originalgröße in Bytes. Sie können Kommentare beliebiger Länge, die sich auf das Asservat beziehen, eingeben. Eine technische Beschreibung wird von X-Ways Forensics automatisch hinzugefügt (wie aus dem Technischen Detailbericht im Specialist-Menü bekannt, jedoch zusätzlich einige grundlegende Information über Windows-Installationen, sofern in einer Partition gefunden). Sie können einen oder zwei Hash-Werte (Prüfsumme oder Digest) des Asservats berechnen und später überprüfen lassen, so daß Sie sicherstellen können, daß die Datenauthentizität in der Zwischenzeit nicht beeinträchtigt wurde. MD5-Hashes in Evidence Files werden automatisch beim Hinzufügen zum Fall importiert. Ferner können Sie das automatische Mitprotokollieren für ein bestimmtes Asservat ausschalten, wenn es insgesamt für den Fall eingeschaltet ist.
Um Images oder Datenträger einem Fall hinzuzufügen, verwenden Sie die »Hinzufügen«-Befehle im Datei-Menü des Falldaten-Fensters. Im Fall von Images gibt es dort auch die Möglichkeit, direkt nach dem Hinzufügen einer oder mehrerer Images den Datei-Überblick der neuen Asservate zu erweitern. Sie können nicht mit einem Fall verknüpfte Images und Datenträger auch mit dem »Hinzufügen«-Befehl im Kontextmenü der Registerkarte des Datenfensters in den Fall aufnehmen.
Der Befehl Durch neues Image ersetzen im Kontextmenü eines Asservats erlaubt es Ihnen, einen Originaldatenträger, der einem Fall als Asservat zugeordnet wurde, durch ein Image dieses Datenträgers zu ersetzen (was nützlich ist, wenn Sie ihn erst kurz in Augenschein nehmen möchten, bevor sie ihn sichern), ohne den Datei-Überblick zu verlieren, Suchtreffer, Kommentare usw. Kann auch verwendet werden, um X-Ways Forensics einfach den neuen Pfad eines Images mitzuteilen, falls dieses verschoben wurde oder sich der Laufwerksbuchstabe geändert hat, oder wenn sich der Dateiname des Images geändert hat oder dessen Typ (z. B. Roh-Image konvertiert in ein komprimiertes und verschlüsseltes .e01 Evidence-File). Falls es sich um ein physisches, partitioniertes Asservat handelt, sollte dieser Befehl auf das Elternobjekt angewandt werden, nicht auf die Kindobjekte (Partitionen). Die Änderung wird dann automatisch auch auf die Kindobjekte durchgereicht. Wenn das neu angegebene Image ein Image eines anderen Datenträgers ist oder ein anderer Datei-Container oder derselbe Datei-Container in einem anderen Zustand (der weiter gefüllt wurde), so daß der Datei-Überblick gar nicht übereinstimmen kann, dann erhalten Sie wahrscheinlich eine Fehlermeldung, weil die Größe des neu angegebenen Images sich vom bisherigen Image unterscheidet. Immer wieder versuchen Benutzer von X-Ways Forensics, mit diesem Befehl ein Asservat in einem Fall durch ein anderes Asservat zu ersetzen, obwohl dies überhaupt keinen Sinn ergibt, weil dann alle technischen Beschreibungen, der Datei-Überblick, Suchtreffer, Kommentare, Berichtstabellenverknüpfungen nicht mehr passen. Diese Benutzer beschweren sich dann auch oft noch darüber, daß eine Fehlermeldung kommt, weil X-Ways Forensics i. d. R. anhand der Größe merkt, daß das neue Image ein völlig anderes Image ist. Wenn aber ein Asservat A im Fall nicht mehr gebraucht wird und ein neues Asservat B dem Fall hingefügt werden soll, dann kann man einfach A entfernen und B neu hinzufügen. Eine andere Möglichkeit gibt es nicht und ist weder sinnvoll noch erforderlich.
Es ist möglich, ein Asservat auch dann zu öffnen, wenn der zugehörige Datenträger/das Image gerade nicht verfügbar ist, über einen speziellen Befehl im Kontextmenü des Asservats, um zumindest den Datei-Überblick einsehen zu können. Das bedeutet, Sie können alle Datei-Metadaten sehen, die im Datei-Überblick gespeichert sind (Dateiname, Pfad, Dateigröße, Zeitstempel, Attribute usw.), können die meisten Filter verwenden usw., aber können keine Daten in Sektoren sehen und keine Dateien öffnen/einsehen.
Im Asservat-Überblick können Asservate mit einer gelben Flagge als wichtig markiert werden, über das Verzeichnis-Browser-Kontextmenü oder einfach durch Drücken der Leertaste. Die gelbe Flagge ist dann im Falldatenfenster zu sehen und immer, wenn Sie Asservate auswählen, z. B. für die rekursive Erkundung vom Asservat-Überblick aus oder beim Erzeugen eines Berichts.
In den Eigenschaften von Asservaten mit einem FAT-Dateisystem können Sie optional definieren, welche Zeitzone den in Ortszeit gespeicherten Zeitstempel in dem Dateisystem zugrundeliegen, wenn Sie davon eine konkrete Vorstellung haben. Die Zeitzone hängt ab von den Einstellungen in dem Computer oder Gerät, der/das in das Dateisystem geschrieben hat. (Bedenken Sie, daß solche Einstellungen sich im Laufe der Zeit ändern können und eine einzige Zeitzone u. U. nicht ausreicht, um alle Zeitstempel korrekt darzustellen.) Wenn Sie den Zeitzonenbezug definieren, werden Zeitstempel aus der Dateisystemebene gemäß der gewählten Anzeigezeitzone dargestellt und nicht mehr basierend auf ihrer ursprünglichen Zeitzone. Sie werden intern von Ortzeit nach UTC umgerechnet (gemäß dem von Ihnen angegebenen Zeitzonenbezug) und dann von UTC in die Anzeigezeitzone. Dies geschieht in dem Augenblick, in dem die Zeitstempel angezeigt werden. Die Wirkung ist nicht dauerhaft; die Einstellungen zum Zeitzonenbezug können jederzeit wieder geändert werden. Die Definition eines Zeitzonenbezugs geht verloren, wenn ein Fall in Versionen vor v19.3 geöffnet werden.
Beim Kopieren von Dateien aus FAT-Dateisystemen in einen Datei-Container werden die direkt aus dem Dateisystem stammenden Zeitstempel gekennzeichnet als auf einer unbekannten lokalen Zeitzone basierend, so daß sie nicht umgerechnet werden in eine bestimmte Anzeigezeitzone, wenn den Container jemand in der Zukunft begutachtet. Wenn Sie hingegen sicher sind, welches die ursprüngliche Zeitzone war und dies als Zeitzonenbezug im Quellasservat definieren, werden die Zeitstempel darauf basierend für die Ablage im Container nach UTC umgerechnet und dort permanent als UTC-Zeitstempel gekennzeichnet. In diesem Zustand werden die Zeitstempel später je nach gewählter Anzeigezeitzone bei der Darstellung auf dem Bildschirm umgerechnet, auch wenn Sie später Ihrer Meinung revidieren sollten und im Quellasservat den Zeitzonenbezug wieder ändern. Der Datei-Container ist in sich abgeschlossen und hat keine aktive Verbindung zu den Quellasservat, sobald die Dateien kopiert wurden.