Modus-Schalter

Modus-Schalter

 

Beim Untersuchen eines logischen Laufwerks, einer Partition oder einer Image-Datei mit einem Dateisystem, das von WinHex unterstützt wird, gibt es mehrere Schalter, die die Anzeige in der unteren Hälfte des Fensters (unter dem Verzeichnis-Browser) bestimmen. Erfordert eine forensische Lizenz.

 

Disk/Partition/Volume/Container

 

Ehem. „Sektoren“ genannt, zeigt diese Standard-Ansicht die binären Daten in allen Sektoren der vom aktiven Datenfenster repräsentierten Platte/Partition bzw. des Volumes/Container als Hexadezimal-Code, als Text oder als beides. Offsets und Sektornummern beziehen sich auf den Anfang der jeweiligen Platte/Partition bzw. des Volume/Containers.

 

Datei

 

Sieht dem Modus Disk/Partition/Volume/Container ähnlich, zeigt aber nur die Cluster an, die der Datei oder dem Verzeichnis zugeordnet sind, die bzw. das aktuell im Verzeichnis-Browser ausgewählt ist, in der Reihenfolge wie von der Datei verwendet, defragmentiert falls fragmentiert, dekomprimiert falls komprimiert, mit Offsets relativ zum Anfang der Datei. Wenn Sie vom Datei-Modus in den Modus Partition/Volume wechseln, bringt Sie X-Ways Forensics automatisch an den Offset aus der Sicht der Partition/des Volumes, der dem Offset in der Datei entspricht, an dem der Cursor zuletzt positioniert war, auch wenn die Datei fragmentiert ist, wenn es einen entsprechenden Offset gibt (was nicht der Fall ist, wenn die Datei eine komprimierte oder virtuell angehängte Datei ist oder eine extrahierte E-Mail oder ein exportiertes Video-Einzelbild o. ä.).

 

Vorschau

 

Prüft den Typ der aktuell im Verzeichnis-Browser ausgewählten Datei und zeigt die Datei mit Hilfe der separaten Viewer-Komponente an, es sei denn, die Viewer-Komponente ist nicht aktiv oder es handelt sich um ein Bild (unterstützte Typen s. Galerie) und die Viewer-Komponente soll nicht für Bilder verwendet werden. Selbst unvollständige Bilder (Datei z. B. wegen Fragmentierung nur partiell korrekt gerettet) können normalerweise teilweise angezeigt werden. Wenn die Viewer-Komponente nicht aktiv ist und es sicht nicht um ein Bild in einem der unterstützten Formate handelt, wird ein rudimentäres ASCII-Text-Extrakt vom Anfang der Datei angezeigt.

 

Details

 

Enthält all die Informationen über eine einzige ausgewählte Datei aus allen Verzeichnis-Browser-Spalten, inclusive denen, die gar nicht sichtbar sind. Sehr nützlich z. B., wenn der Pfad sehr lang ist und nicht in die Pfad-Spalte paßt, u. U. sogar nicht einmal in Form der Tooltip-Anzeige in der Pfad-Spalte. Erlaubt es auch, Dateinamen und Pfad oder andere Daten leicht in die Zwischenablage zu kopieren.

 

Der Details-Modus zeigt außerdem die in einem NTFS-Dateisystem hinterlegten Zugriffsrechte an (gespeichert in Access Control Lists, ACLs). Jedes einzelne Recht hat typischerweise die Eigenschaft „Grant“ (=erlauben) oder „Deny“ (=verbieten). Zusätzlich hat es eine SID zugeordnet, für die dieses Recht gilt. Wann immer möglich, wird die SID in einen benutzerfreundlichen Namen übersetzt. Ein Recht gehört einer von vier Kategorien an: R = Read, Leseberechtigung; C = Change, Änderungsberechtigung; Full Access = Vollzugriff; Special Access = in diesem Fall werden die individuellen Rechte einzeln aufgeführt. Für jedes einzelne Zugriffsrecht sind zwei „Inheritance-Flags“ möglich: container inherit (CI), object inherit (OI) oder zwei „Propagation-Flags“: inherit only (IO), no-propagate inherit (NP)., Den Abschluß der Liste bildet gewöhnlich die Gruppenzugehörigkeit.

 

Der Details-Modus extrahiert auch die wesentlichen internen Metadaten aus OLE2-Compound-Dateien (z. B. MS-Office-Dokumenten vor Version 2007), MS Office 2007 XML, OpenOffice XML, StarOffice XML, HTML, MS Access, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, EXE/DLL, JIDX (Java applet cache), THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP Speicher-Dumps, hiberfil.sys, PNF, SPL & SHD Drucker-Spool, RecentFilecache.bcf, WIM Vista Image-Dateien, PhotoShop PSD, INDD (Adobe InDesign), DocumentSummary alternativen Datenströmen, tracking.log, .mdb MS Access database, manifest.mbdx/mbdb iPhone backup, IconCache.db u. v. a. m. Für MS-Office-Dokuments sehen Sie oft viele weitere Zeitstempel (z. B. wann zuletzt gedruckt), Thema, Autor, Organisation, Schlüsselwörter, Gesamtbearbeitungszeit u. v. a. m.

 

Für JPEG-Dateien gibt es ganz unten eine zusätzliche Tabelle. Diese Tabelle enthält die Generatorsignatur sowie wie die Verfassung ("condition") der Datei. Diese kann entweder "incomplete" sein (wenn die Datei abgeschnitten wurde) oder "trailing data" (wenn überschüssige Daten hinter dem Ende der JPEG-Daten zu finden sind) oder in einigen Fällen "original" (wenn eine Datei mit großer Sicherheit in einem unberührten Zustand vorliegt). "Original" basiert auf der Anwesenheit von Thumbnails, der Abwesenheit von Farbkorrekturzertifikaten, dem Nichtvorhandensein von nicht-ursprünglichen Metadaten wie XMP, Zeitstempeln, der Abwesenheit von Hinterlassenschaften (Artefakten) bekannter Bildbearbeitungsprogramme und der Abwesenheit der Erkennung einer Bildgrößenänderung.

 

Galerie

 

Prüft die Signatur aller Dateien im gegenwärtig sichtbaren Ausschnitt des Verzeichnis-Browsers. Wenn als Bild erkannt, wird eine Miniaturansicht angezeigt, sonst eine Kurzinformation (Dateiname, Größe, Signatur). Indem Sie im Verzeichnis-Browser hoch- oder herunterrollen, bewegen Sie auch die Bilderliste im Galerie-Fenster. Sie können das Verzeichnis wechseln auch während die Miniaturansichten noch erzeugt werden. Durch Doppelklick auf eine Miniaturansicht erhalten Sie eine Ansicht des Bildes in voller Größe, wobei Sie mit den Tasten + und - hinein- und wieder herauszoomen können. Selbst unvollständige Bilder (Datei z. B. wegen Fragmentierung nur partiell korrekt gerettet) können normalerweise teilweise angezeigt werden. Die Galerie-Ansicht zeigt Dateien folgenden Typs an: JPEG, PNG, GIF, TIFF, BMP, PSD, HDR, PSP, SGI, PCX, CUT, PNM/PBM/PGM/PPM, ICO. Außerdem optional mit Hilfe der Viewer-Komponente sonstige Dateien. Die Galerie harmoniert nicht besonders gut mit Suchtrefferlisten.

 

Wenn ein Einsehen-Fenster ein Bild darstellt (und wenn das Einsehen auf ein Bild zur gleichen Zeit beschränkt ist), wird dieses Einsehen-Fenster mit dem nächsten Bild aktualisiert, wenn Sie in der Galerie die Pfeiltasten benutzen. Insbesondere auf einem mehrere Monitore überspannenden Desktop nützlich, wenn das Einsehen-Fenster auf dem zweiten Monitor zentriert ist und die Galerie sich auf dem ersten Monitor befindet. Vermeidet, die Eingabe-Taste betätigen zu müssen, um das Bild einzusehen und dann eine weitere Taste, um das Einsehen-Fenster zu schließen und den Eingabefokus zurück auf die Galerie zu setzen.

 

Kalender

 

Gibt einen komfortablen visuellen Überblick über die Zeitstempel aller aufgelisteten Dateien und Verzeichnisse, aus allen 6 Zeitstempel-Spalten des Verzeichnis-Browsers, in Form eines Kalenders, bzw. bei Anzeige einer Ereignisliste einen ähnlichen Überblick über alle aufgelisteten Ereignis-Zeitstempel. Each day with at least one time stamp is marked in the calendar with a gray color. The more activity on a day, the darker the color. Weekends (Saturdays and Sundays) are specially marked with x. Hover the mouse over a day to find out how many timestamps exactly fall into that day. Left-click a day to select that day as the left boundary of the timestamp filter, or right-click it to define it as a right boundary. Middle-click a day to filter for timestamps on that particular day only. If the same file is listed more than once (which can happen in a search hit list if it contains more than 1 search hit), then its timestamps are also represented more than once in the calendar.

 

When not showing events, you can now decide which column's timestamp should be included in the calendar. Columns that are hidden (have a width of 0 pixels) are excluded, all other columns are included. The status bar reminds you which columns are included even if not currently visible because of horizontal scrolling.

 

Years in the calendar with no timestamps are grayed out. The number of a year is displayed in a darker shade of gray the more timestamps are listed for that. All shades of gray try to give the examiner a better and quicker impression of peaks or absence of activity.

 

Da die Anzahl der vom Kalender darstellbaren Jahre begrenzt ist, könnten kaputte Zeitstempel, die in der fernen Vergangenheit liegen, Sie der Möglichkeit berauben, die späteren Jahre, die Sie wirklich interessieren, zu sehen. wenn Sie keinen Filter setzen und Ereignisse mit Nonsense-Zeitstempeln nicht manuell löschen. Es läßt sich aber auch ein Mindestjahr einstellen, ab dem Zeitstempel vom Kalender dargestellt werden. Alle früheren Zeitstempel werden dann vom Kalender ignoriert, selbst wenn kein Filter aktiv ist. Standardmäßig ist das Mindestjahr das Jahr 2000. Um das zu ändern, klicken Sie die Jahreszahl des ersten angezeigten Jahres links im Kalendermodus an.

 

Beispiel: In welchem Zeitraum wurden die meisten JPEG-Dateien auf einer Partition verarbeitet? Klicken Sie mit der rechten Maustaste das Stammverzeichnis im Verzeichnisbaum (Falldatenfenster) an, um alle Dateien aus allen Unterverzeichnissen auf einmal (rekursiv) aufzulisten. Dann schränken Sie die Ansicht mit dem Dateityp-Filter auf JPEG-Dateien ein und schalten auf die Kalenderansicht um.

 

Roh

 

Im Vorschau-Modus sorgt der Roh-Modus bei Einsatz der Viewer-Komponente dafür, daß Nicht-Bild-Dateien als einfache Textdateien dargestellt werden. Dies kann nützlich sein z. B. bei HTML-Dateien, wenn Sie den HTML-Quellcode sehen möchten, oder bei .eml-Dateien, wenn Sie den vollständigen E-Mail-Header sehen möchten, oder generell wenn in einer Suchtrefferliste die Viewer-Komponente einen Suchtreffer nicht im Vorschau-Modus hervorheben kann (weil er etwas in den Metadaten oder im Steuercode enthalten ist, der im Roh-Modus sichtbar wäre, aber nicht im normalen Vorschau-Modus). Sie können den Roh-Modus dauerhaft einschalten, wenn Sie beim Aktivieren die Umschalt-Taste gedrückt halten.

 

File mode now offers a "raw" submode for NTFS-compressed files. In Raw mode you can actually see the compressed data as well as the sparse clusters, not the decompressed state of the file. This is useful for research or educational purposes and because theoretically small amounts of data could have been manually hidden in the not clearly defined, but implicitly existing slack area of each compression unit, which follows the compressed payload data.

 

VC

 

Der VC-Schalter ist sichtbar nur im Vorschau-Modus beim Einsehen von Bildern deren Typ von der internen Grafikanzeigebibliothek unterstützt wird. Standardmäßig wird diese internen Grafikanzeigebibliothek für die Vorschau und das Einsehen von Bildern verwendet. Wenn jedoch der VC-Schalter gedrückt ist, besorgt statt dessen die Viewer-Komponente die Darstellung (VC = viewer component), die auch für die Anzeige der Miniaturansichten in der Galerie verantwortlich ist.

 

Sync

 

Synchronisiert den Verzeichnis-Browser und den Verzeichnisbaum, so daß in einer rekursiven Ansicht das Auswählen einer Datei im Verzeichnis-Browser dazu führt, daß ihr Elternverzeichnis im Baum kenntlich gemacht wird. Der Sync-Modus bei nicht-rekursiver Erkundung hat eine ähnliche Wirkung wie die Option "Automatically expand to current folder" im Windows-Explorer. Das bedeutet, daß beim Navigieren von einem Verzeichnis zum anderen bei inaktivem Sync-Modus der Verzeichnisbaum links nicht mehr das aktuell erkundete Verzeichnis anzeigt und auch nicht bei Bedarf dessen Elternverzeichnis aufklappt. Ob der Sync-Modus aktiv ist oder nicht merkt sich das Programm getrennt für rekursive und nicht-rekursive Erkundung.

 

Erkundungsmodus

 

Schalter mit einem geschweiften türkisfarbenen Pfeil. Schaltet um zwischen normaler und rekursiver Erkundung. Beim rekursiven Erkunden sehen Sie nicht nur den Inhalt des aktuellen Verzeichnisses, sondern auch die Inhalte von all dessen Unterverzeichnisse, sowie deren Unterverzeichnissen usw. Um ein Verzeichnis rekursiv zu erkunden, können Sie es im Verzeichnisbaum auch rechts anklicken.

 

Unterstützung mehrerer Monitore

 

Es ist möglich die untere Hälfte des Datenfensters (mit dem Disk/Partitions/Volume-Modus, Datei-Modus, Vorschau, Galerie usw.) vom Datenfenster zu lösen, indem man die drei Punkte links von den Modus-Schaltern anklickt. Dann kann diese Hälfte frei verschoben und in der Größe geändert werden. Bei Mehrmonitorsystemen ist es möglich, diesen Teil der Benutzeroberfläche auf einen anderen Bildschirm zu schieben und ihn dort sogar zu maximieren! Das Wiedereingliedern in das Hauptfenster geschieht durch erneutes Klicken auf die drei Punkte oder Klick auf den Minimieren-Schalter.