Interner Viewer
Nur mit einer forensischen Lizenz von WinHex verfügbar. Der interne Viewer kann mit dem Befehl "Einsehen" im Menü Extras und im Kontextmenü des Verzeichnis-Browsers auf eine Datei angewandt werden, des weiteren im Vorschau-Modus. Er zeigt mit Hilfe einer internen Bildanzeigebibliothek Bilddateien verschiedener Formate (JPEG, PNG, GIF, TIFF, BMP, PSD, HDR, PSP, SGI, PCX, CUT, PNM/PBM/PGM/PPM, ICO) sowie die innere Struktur von Windows-Registrierungsdateien, Windows Event Logs (.evt und .evtx), Windows-Shortcut-Dateien (.lnk), Windows-Prefetch-Dateien, $LogFile-Dateien, $UsnJrnl:$J, Ext3/Ext4 .journal, .ds_store, Windows Task Scheduler (.job), $EFS LUS, INFO2, Restore Point change.log.1, wtmp und utmp Log-In-Records, MacOS X kcpassword, MacOS X finder bookmarks (flnk), AOL-PFC, Outlook NK2 auto-complete, Outlook WAB address book, Internet Explorer travellog (a.k.a. RecoveryStore), Skype Chat Sync, MS Outlook Express DBX und vieler anderer Dateien mit eingebauten Mitteln an. Wenn Sie versuchen, eine Datei einzusehen, deren Format nicht vom internen Viewer unterstützt wird, wird statt dessen die separate Viewer-Komponente aufgerufen.
Es gibt eine zusätzliche, separate Dateibetrachtungskomponente, die nahtlos in WinHex und X-Ways Forensics integriert werden kann und es ermöglicht, über 270 (!) Dateiformate (wie zum Beispiel MS Word/Excel/PowerPoint/Access/Works/Outlook, HTML, PDF, CorelDraw, StarOffice, OpenOffice, ...) direkt und auf besonders bequeme Art und Weise einzusehen. Dieses Modul ist in X-Ways Forensics und X-Ways Investigator enthalten. Es kann unter Optionen | Viewer-Programme aktiviert werden, optional auch für Bilder, die schon die interne Bildanzeigebibliothek darstellen könnte. Weitere Informationen online. Der Ordner für temporäre Dateien der Viewer-Komponente wird von WinHex/X-Ways Forensics gesteuert, d. h. auf den vom Benutzer unter Allgemeine Optionen bestimmten gesetzt. Allerdings akzeptiert die Viewer-Komponente im Gegensatz zu X-Ways Forensics nicht stillschweigend ungeeignete Pfade etwa auf schreibgeschützten Datenträgern. Bitte beachten Sie, daß die Viewer-Komponente seit ihrer Version 8.2 Dateien im Windows-Profil des aktuell angemeldeten Benutzers erzeugt, um darin ihre Konfiguration und Einstellungen zu speichern. In früheren Versionen hinterließ sie bei tatsächlicher Verwendung (nicht beim bloßen Laden) statt dessen Einträge in der Windows-Registry.
Registry-Viewer
MS Windows führt eine interne Datenbank baumförmiger Struktur (die sogenannte System-Registrierung, engl. Registry), in der alle wichtige Einstellungen des Betriebssystems gespeichert sind. Die Daten sind permanent gespeichert in mehreren Dateien (sogenannte Hives), die eine bestimmte Struktur aufweisen. Vom Verzeichnis-Browser aus lassen sich Registry-Dateien im Registry-Viewer einsehen (Doppelklick oder Kontextmenü). Mit dem Registry-Viewer können Hives angezeigt werden, ohne sie in die aktuellen Datenbankeinträge des eigenen Systems zu importieren. Unterstützt wird die Anzeige von NT/2K/XP/Va/7-Hives. Win9x- und WinMe-Hives können nur bis zur Version 15.9 von X-Ways Forensics geladen werden.Hives von NT/2K/XP/Va/7 befinden sich in der Datei "ntuser.dat" im Benutzerprofil und im Verzeichnis \system32\config.
Es können bis zu 32 Hives gleichzeitig im Registry-Viewer angezeigt werden. Der Registry-Viewer hat die Fähigkeit, gelöschte Schlüssel und Werte in Hives zu finden, die unbenutzten Speicher enthalten, und verwaiste Schlüssel und Werte in beschädigten und unvollständigen Hives. Wenn kein vollständiger Pfad für einen Schlüssel bekannt ist, wird er unterhalb eines virtuellen Schlüssels namens "Pfad unbekannt" aufgeführt.
Durch Klick mit der rechten Maustaste kann an jeder Stelle im Hauptfenster ein Menü aufgerufen werden, über das man die Befehle "Suchen" und "Weitersuchen" ausführen kann. Beim Suchen kann über einen Auswahldialog festgelegt werden, nach welchem Ausdruck gesucht werden soll, und ob der Suchausdruck in den Schlüsselnamen oder in den Namen oder den Werten (oder in allem) gesucht werden soll. Die Suche beginnt immer ganz am Anfang im ersten geladenen Hive und erstreckt sich über alle geöffneten Hives. Mit "Weitersuchen" kann der nächste Treffer nach einem bereits gefundenen Treffer gesucht werden. Das zu der Zeit ausgewählte Element hat keinen Einfluß darauf, von wo aus weitergesucht wird. Die Option "nur als ganzes Wort suchen" funktioniert für Werte nicht garantiert.
Im rechten Fenster kann durch Rechtsklick im Menü weiterhin "Kopieren" ausgewählt werden, wodurch sich der Wert des ausgewählten Elements in die Zwischenablage kopieren läßt.
Wenn Sie einen Eintrag in einem geladenen Hive im Registry-Viewer anklicken und sich das Datenfenster mit dem Datenträger/Image, von dem aus der Hive geladen wurden, im Dateimodus befindet, springt der Cursor nun automatisch auf den jeweiligen Eintrag in der Registry-Datei im Dateimodus, und er wird automatisch in der Datei als Block ausgewählt. Dies erlaubt es einem, insbes. binäre Registry-Einträge sowohl hexadezimal als auch als Text zu sehen, und Binäreinträge leicht in Binärform oder als Text zu kopieren, nicht nur als Hex-ASCII.
The Export List command in the registry viewer context menu allows to export all values in the selected hive to a tab-delimited text file.
When selecting a value, an edit window in the lower right corner tells you the logical size of that value and the size of its slack. It also interprets registry values of the following types, as known from the registry report: MRUListEx, BagMRU, ItemPos, ItemOrder, Order (menu), ViewView2, SlowInfoCache, IconStreams (Tray notifications), UserAssist, Timestamps (FILETIME, EPOCHE, Epoche8), MountedDevices, OpenSavePidlMRU, and LastVisitedPidlMRU. The edit window also displays the access rights/permissions of the registry keys if (Default) is selected.
Registry-Berichte automatisch erstellen
$LogFile-Viewer
Grundsätzlich liefert der Parser Statements aus drei Kategorien:
1) Log-Operation: Die Daten auf dem Datenträger bei (LCN,Byte-Offset) sind im Falle einer Redo/Undo-Operation durch die hier angegebenen Daten zu ersetzten.
2) Das PAGE-Statement kennzeichnet den Beginn einer neuen Log-Seite (ist stets ein Vielfaches von 4 KB). Die LSN gibt die letzte in dieser Seite verwendete LSN an. Ein * markiert eine veraltete Seite.
3) Das CheckPoint-Statement gibt die LSN für den nächsten Restart an.
Jedes Statement beginnt mit einem Byte-Offset für die betreffende $LogFile-Datei.
Abkürzungen:
LSN=Logical Sequence Number
LCN=Logical Cluster Number
VCN=Virtual Cluster Number
FID=File ID
Beschränkungen:
Es werden nur Log-Operationen aufgeführt, die Ondisk-Strukturen betreffen. Andere Log-Operationen werden der Einfachheit halber weggelassen. FILE-Records und INDX-Puffer werden nicht vollständig angezeigt, da das Ergebnis sonst unübersichtlich würde. Um an den vollständigen Inhalt dieser Records zu gelangen, folgen Sie dem Byte-Offset in die Log-Datei für die Sie interessierende Operation. Es können auch Kopien von Log-Dateien verarbeitet werden: Im Pfad einer solchen Datei muß dazu jedoch der Teilstring $LogFile an beliebiger Stelle enthalten sein.