Technische Hinweise
Unterstützte Datei- u. Datenträgergröße: mind. 120 TB
Max. Dateigröße in Datei-Überblicken: 120 TB - 1 Byte
Allg. max. Sektorzahl: 240-1
Allg. max. Clusterzahl: 232-1
Maximalzahl von Hash-Werten pro HashDatenbank: 231-1
Dateisystem-Unterstützung auf Partitionen mit mehr als 232 Sektoren: NTFS, Ext*, XFS, Reiser*
Dateisystem-Unterstützung auf Partitionen mit mehr als 232 Clustern: NTFS, Ext4, XFS
Maximalzahl gleichzeitig offener interpretierter Images partitionierter Datenträger: 100
Maximalzahl gleichzeitig offener Partitionen und interpretierter Volume-Images: 256
Maximalzahl von Suchbegriffen in einem Fall: 8191
Maximalzahl geöffneter Datenfenster: 1000
Max. Anz. paralleler Instanzen: 99
Max. umkehrbare Tastatureingaben: 65535
Verschlüsselungstiefe: 128-256 Bit
Offset-Darstellung: hexadezimal/dezimal
Die Fortschrittsanzeige bei länger andauernden Operation zeigt in Prozent den Anteil des Vorgangs an, der bereits erledigt ist. Bei allen Suchen- und Ersetzen-Operationen zeigt sie jedoch die relative Position in der aktuellen Datei an. Dies entspricht dem bereits erledigten Anteil des Vorgangs, wenn in der gesamten Datei gesucht wird, also die Option »Nur im Block suchen« nicht verwendet wird.
Such- und Ersetzen-Funktionen laufen generell schneller ab, wenn kein Jokerzeichen verwendet und (bei Text-Suche) nach Groß- und Kleinschreibung unterschieden wird. Außerdem gilt: Je länger die Such-Zeichenfolge, desto schneller die Such-Funktion.
Beim Suchen mit aktivierter Option »Vorkommen zählen« und beim Ersetzen ohne Bestätigung bieten sich für einen Suchalgorithmus zwei Alternativen für das Verhalten bei Fundstellen an, die in Sonderfällen zu unterschiedlichen Ergebnissen führen. Dies soll anhand eines Beispiels verdeutlicht werden:
In der Zeichenfolge »ananas« wird nach »ana« gesucht; das Vorkommnis beim ersten Zeichen wurde gefunden.
1. Möglichkeit: Ab dem zweiten Zeichen wird wieder nach »ana« gesucht. Beim dritten Zeichen wird dann ein Vorkommnis registriert.
2. Möglichkeit: Die drei mit der Suchzeichenfolge übereinstimmenden Zeichen werden übersprungen. »ana« wird erst wieder ab dem vierten Zeichen gesucht, in »nas« also nicht mehr gefunden.
In WinHex wird der zweiten Alternative gefolgt, da sie für das Zählen von Vorkommen und das Ersetzen ohne Bestätigung meistens sinnvollere Ergebnisse liefert. (Wenn Sie normale Suchvorgänge mit F3 fortsetzen oder Ersetzen mit Bestätigung wählen, wird nach der ersten Methode verfahren.)
Special Performance Enhancements
File header signature searches, block-wise hash matching, FILE record searches, searches for lost partitions, and physical simultaneous searches are sparse-aware operations when dealing with certain compressed and sparse .e01 evidence files. That means that areas that on the original hard disk were never written and thus still zeroed out or areas that had been wiped on the original hard disk or consciously omitted areas in cleansed images are skipped and almost require no time, because their data neither has to be read nor decompressed nor further processed (searched/hashed/matched against the block hash database).
Sparse-awareness is active for .e01 evidence files that were created by X-Ways Forensics and X-Ways Imager with a chunk size of 32 KB, 128 KB or 512 KB. Also possibly for images created by 3rd party software, depending on the settings and the internal layout. Operations are not sparse-aware on images of Windows dynamic disks, images of LVM2 disks, and on reconstructed RAIDs based on .e01 evidence files.
Logical searches and indexing in files stored in an NTFS file system are also sparse-aware at the .e01 evidence file level, and generally logical searches in virtual "Free space" files.
Logical searches and indexing in NTFS, Ext*, XFS and UFS file systems are sparse-aware at the file system level. That means no time is wasted on large sparse areas within sparse files. Those areas are ignored, regardless of whether the evidence object is an .e01 evidence file, raw image, RAID, or actual disk.