Verzeichnis-Browser-Optionen
Das Gruppieren von Dateien und Verzeichnisse im Verzeichnis-Browser ist optional. X-Ways Forensics merkt sich die Sortierkriterien und den Zustand dieser Option separat
1) für den normalen Verzeichnis-Browser eines Volumes,
2) für den normalen Verzeichnis-Browser eines partitionierten Datenträgers,
3) für Suchtrefferlisten und
4) für Ereignislisten.
Das Gruppieren existenter und gelöschter Objekte im Verzeichnis-Browser ist optional. Es gibt zwei Möglichkeiten der Gruppierung: Wahlweise werden möglicherweise wiederherstellbare Dateien (mit einem Fragezeichen versehen) und bekanntermaßen nicht wiederherstellbare Dateien (mit einem X versehen) zusätzlich intern gruppiert (dann gibt es also insgesamt drei Gruppen) oder nicht (nur zwei Gruppen). Ein kleines Symbol mit einer oder zwei horizontalen Trennungslinien zeigt an, ob die Liste in zwei oder drei Gruppen unterteilt ist, auch in dem Kopf der Spalte, die das Hauptsortierkriterium ist, als kleine Erinnerung daran, daß Sie beim Rollen im Verzeichnis-Browser und Suchen nach einer bestimmten Datei z. B. anhand ihres Namens in jeder Gruppe schauen müssen, weil die Sortierung nicht gruppenübergreifend ist sondern innerhalb jeder Gruppe stattfindet.
Ein Doppelklick auf Verzeichnis erkundet dieses. Ein Doppelklick auf eine gewöhnliche Datei wendet den Einsehen-Befehl auf sie an. Diese Option steuert, ob Dateien mit Unterobjekten bei einem Doppelklick eingesehen oder erkundet werden. Wenn das Kontrollkästchen halb angekreuzt ist, werden Sie jeweils gefragt.
Dateien können optional inklusive ihrem Schlupfspeicher geöffnet und durchsucht werden. Der halb gewählte Status des Kontrollkästchens macht nur für die logische Suche einen Unterschied (s. dort).
Ein ..-Eintrag wird am oberen Ende des Verzeichnis-Browsers optional angezeigt, wenn man innerhalb eines Volumes von einem Verzeichnis in ein anderes navigiert. Sofern angezeigt, ist er am oberen Ende des Verzeichnis-Browsers fixiert und rollt nicht mit den anderen Einträgen aus dem sichtbaren Bereich heraus. Er zeigt die Details des Verzeichnisses, das er repräsentiert (dasjenige, zu dem Sie navigieren würden, wenn Sie den Eintrag doppelt anklicken), genau wie die anderen Einträge im Verzeichnis-Browser. Ein .-Eintrag wird ebenfalls optional angezeigt und repräsentiert das aktuell angezeigte Verzeichnis repräsentiert. Nützlich, falls Sie beispielsweise bestimmte Metadaten (z. B. Zeitstempel) des übergeordneten Objektes gleichzeitig mit den Metadaten der Unterobjekte sehen wollen. Und falls das von . oder .. repräsentierte Objekt eine Datei ist und Sie es auswählen, können Sie diese Datei im Datei-, Vorschau- oder Detail-Modus einsehen. Auch in der Galerie wird es mit angezeigt.
Listing the root directory of a volume in the directory browser, in the root directory itself, actually, is kind of illogical, but can be very helpful to see that directory's timestamp (if any, depends on the file system) or to quickly navigate to its clusters (if any, also depends on the file system) or as another place where to quickly tag or untag all items in a volume.
Listing the internal files of the file system is optional in the normal directory browser. This affects for example the various $* files in NTFS. Specifically in X-Ways Investigator those files are no longer listed as they are irrelevant to non-technical examiners (the target group of X-Ways Investigator) and might confuse them because they are not familiar with them from using ordinary high-level computer software.
Das Auflisten von Unterverzeichnissen beim rekursiven Erkunden ist optional. Verzeichnisse wären in einer rekursiven Ansicht nützlich, wenn Sie sich für die Namen oder Zeitstempel von Verzeichnissen interessieren, aber sie lenken eher ab, wenn Sie einfach nur alle aufgelisteten Dateien begutachten möchten.
That filters are applied to directories, too, is optional. Most often users employ filters to focus on certain files, not directories, and they may still need the directories listed in order to be able to navigate to the files of interest.
Die rekursive Auswahlstatistik rechts unterhalb des Verzeichnis-Browsers (nur mit forensischer Lizenz) enthüllt, wie viele Unterverzeichnisse, Dateien und wieviel Daten ein Verzeichnis (oder eine Datei mit Unterobjekten) enthält, wenn es im Verzeichnis-Browser ausgewählt wird, es sei denn, es wird bereits rekursiv erkundet, unter Beachtung etwaiger aktiver Filter. Wenn diese Option nicht gewählt ist, wird nur eine Statistik über die direkte Auswahl im Verzeichnis-Browser angezeigt, nicht über ggf. indirekt mit ausgewählte Unterobjekte. Wenn die Option halb gewählt ist, berücksichtigt die Statistik nur Unterobjekte von Verzeichnissen, aber nicht Unterobjekte von Dateien.
Das Markieren oder Ausblenden von Objekten im Verzeichnis-Browser kann rekursiv oder nicht-rekursiv erfolgen. Nicht-rekursiv bedeutet, daß das Markieren/Entmarkieren/Ausblenden/Einblenden einer Datei oder eines Verzeichnisses keine Auswirkung auf den Status von Eltern- und Unterobjekten oder übergeordneten oder Unterverzeichnissen hat. Nützlich z. B. wenn Sie eine Operation beim Erweitern des Datei-Überblicks auf alle Unterobjekte einer Datei anwenden möchten oder alle Unterobjekte einer Datei durchsuchen möchten, die Elterndatei selbst aber nicht. Bei rekursivem Vorgehen ist es nicht möglich, ein nicht markiertes Elternobjekt zu haben, desse Unterobjekte alle markiert sind. Im mittleren Zustand der Option erben Unterobjekte weiterhin die Markierung von ihrem Elter in dem Moment, in dem sie dem Datei-Überblick hinzugefügt werden, z. B. wenn Sie E-Mails und Datei-Anhänge aus markierten E-Mail-Archiven extrahieren. Ob Markieren und Ausblenden rekursiv funktioniert oder nicht, das können Sie auch durch Drücken der Umschalttaste steuern. Rekursives Markieren/Entmarkieren in großen Datei-Überblicken kann sehr langsam sein.
Erweitertes Sortieren: Takes 4 to 6 times more time than the highly optimized standard Unicode sorting (noticeable when sorting millions of files), but has several useful settings and characteristics:
- Language-specific character equivalence rules (treat ß like ss, treat é similar to e, ü similar to u etc.)
- Linguistically improved case insensitivity
- Special treatment of hyphens and apostrophes (they are treated differently from other non-alphanumeric characters to ensure that words such as "coop" and "co-op" stay together in a sorted list).
- Treat decimal digits as numbers, e.g. sort "2" before "10" (not useful for hexadecimal notation, available under Windows 7 and later only)
- Treat half-width and full-width characters the same (full-width characters are sometimes used by East Asians when writing English language letters)
- Ignore kana type (treat corresponding Japanese hiragana and katakana characters the same)
Advanced sorting depends on the regional settings of the currently logged on user. For example, if regional settings of a Nordic country are active, Å comes after Z, as defined in the alphabets of that region, otherwise near A, as perhaps expected by non-locals. Advanced sorting rules are also applied when sorting the search hits by the Search Hit column.
Es gibt eine Option zum Sortieren von Suchtreffern nach ihrem Inhalt und Kontext anstatt bloß des Suchbegriffes, zu dem sie gehören. Das ist nützlich für Stichwortsuchen (keine technischen Suchen, z. B. nach Hex-Werten). Das Sortieren auf diese Weise ist in der Tat langsamer, weil die Daten und der Kontext aller Suchbegriffe gelesen und in eine vergleichbare Codepage konvertiert werden müssen. Das Sortieren nach Daten in den Suchtreffern hilft bei GREP-Ausdrücken, die auf variable Daten passen, denn für konstante Suchbegriffe sind die Suchbegriffe zu den Daten in den Suchtreffern identisch. Nach dem Suchen nach E-Mail-Adressen mit dem Ausdruck [a-zA-Z0-9_\-\+\.]{1,20}@[a-zA-Z0-9\-\.]{2,20}\.[a-zA-Z]{2,7} z. B. erkennen Sie durch Sortieren nach den Daten schnell etwaige vorhandene Gruppen von identischen E-Mail-Adressen und können diese schnell überspringen, oder sehen ähnliche Adressen (solche, die mit denselben Buchstaben anfangen), direkt untereinander. Das Fortsetzen des Sortierens anhand des Textes, der dem eigentlichen Suchtreffer folgt, sofern die Daten in den Suchtreffern identisch sind, präsentiert Ihnen identische oder ähnliche Textpassagen direkt untereinander und erlaubt ebenfalls ein zügigeres Durchsehen von Suchtrefferlisten. Sie können angeben, wie viele Zeichen in Daten und folgendem Kontext in das Sortieren einbezogen werden sollen. Je mehr Zeichen, desto mehr Speicher wird für das Sortieren benötigt. Das kann bei riesigen Anzahlen von Suchtreffern einen merklichen Unterschied machen.
Optional kann das Sortieren direkt nach dem Programmstart ganz ausgeschaltet werden, so daß das Programm die beim letztem Gebrauch des Programms verwendeten Sortierkriterien vergißt, was einen Geschwindigkeitsvorteil haben kann. Ebenso wird dann beim Ausschalter aller Filter mit einem einzigen Mausklick nicht mehr sortiert, was sonst mit einer längeren Verzögerung verbunden sein könnte, wenn plötzlich wieder alle Dateien rekursiv aufgelistet werden.
Verzeichnis-Browser-Einstellungen (insbes. Spaltenbreiten, Filtereinstellungen und Sortierungseinstellungen) können optional in Fällen gespeichert und beim Laden wieder aktiviert werden (sofern von einer kompatiblen Version gespeichert).
Dynamische E-Mail- & Datumsspalten überläßt X-Ways Forensics die Entscheidung darüber, ob die Spalten "Absender" und "Empfänger" im Verzeichnis-Browser angezeigt werden sollen oder nicht. Wenn aktiv, werden sie genau dann angezeigt, wenn zumindest eine extrahierte E-Mail im sichtbaren Ausschnitt des Verzeichnis-Browsers enthalten ist. Dies ist nützlich, weil mehr Platz für andere Spalten bleibt, wenn die ausschließlich für extrahierte E-Mails gefüllten Spalten nicht benötigt werden. Die Spalten mit alternativen Zeitstempeln können auch dynamisch angezeigt werden, nämlich dann, wenn Dateien, die solche Zeitstempel im Datei-Überblick haben, im sichtbaren Bereich des Verzeichnis-Browsers enthalten sind.
Optional kann die Pfadspalte den "Voll"pfad anzeigen, d. h. den Pfad einschließlich den Namen des Objekts selbst. Das ist nützlich z. B., wenn Sie den vollständigen Pfad direkt aus der Pfadspalte kopieren möchten. Der Vollpfad kann auch dazu eingesetzt werden, um eine Sortierreihenfolge zu erzielen, in der Unterobjekte direkt ihren jeweiligen Eltern folgen (z. B. Datei-Anhänge der jeweils enthaltenden E-Mail).
The 1st sector column can optionally show physical start sector numbers for files in partitions (counted from the start of the physical disk or disk image) instead of logical start sector numbers, if the partition was opened from within the physical disk/disk image. In that case the column label contains a P in a circle (P for physical). Only for ordinary partitions, not Windows dynamic volumes or LVM2 volumes.
Es gibt eine Option zum Anzeigen von Dateityp-Rängen in der Typstatus-Spalte, was auch ein Sortieren der Spalte nach diesen Rängen zur Folge hat. Ränge werden definiert in der Datei File Type Categories.txt.
A special file icon for pictures is available, very useful when your main focus is on such files. Depending on whether the check box is fully checked or half checked, symbols like question marks, arrows, scissors, hammers, etc. that further reveal the status of the file gets superimposed additional or not. If not, that is easier on the eye. You can still tell the exact deletion status from the Description column, and the rough deletion/existence status is still obvious from the contrast of the icon.
Conditional cell background coloring helps to draw your attention to items of interest without having to filter out all non-matching items. Matching items are found through a substring search in the cell contents of a selected column. Substring expressions may be up to 15 characters long. You may use an asterisk to match anything except blank cells. If a match is detected in a cell, either only the background of that particular cell can be colored (called "cell-targeted coloring") or the entire line. To color an entire column, regardless of the cell contents, activate cell-targeted coloring for that column and specify an empty condition string, i.e. no condition at all. If a cell meets multiple cell-targeted conditions or multiple line-targeted conditions, only the first condition of each group will be applied. If different conditions apply to the same cell (one cell-targeted and one line-target color), that cell will be shown in a mix of both colors. For line-targeted coloring, only the first 255 characters in the respective cell are guaranteed to be searched.
Conditions cannot be defined for search hit specific columns, but for event specific columns. That can prove useful when trying to identify patterns in events. For example, you could color all events of type "Program started" in red and log-in events in yellow and see more easily how far apart from each other they are. Conditional cell background coloring is case-specific if "Store directory browser settings in cases" is selected. The color settings are also stored in a file named "Conditional Coloring.cfg", and they are stored in and loaded from .settings files along with other directory browser settings. Up to 255 conditions may be defined.
Es sind diverse Spalten im Verzeichnisbrowser verfügbar. Sie sind alle optional. Sie werden angezeigt, wenn sie eine Spaltenbreite von mehr als 0 Pixeln haben, oder versteckt, wenn ihre Breite 0 Pixel beträgt. Eine Spalte kann auch alleine mit der Maus sichtbar gemacht oder versteckt werden, indem Sie den Spaltennamen im Dialogfenster anklicken.
Es ist möglich, die Reihenfolge der Spalten des Verzeichnis-Browsers anders festzulegen. Dies ändert auch die Reihenfolge der Felder im Fallbericht (d.h. in Berichtstabellen), auf Deckblättern beim Drucken, in exportieren Dateilisten und im separaten Protokoll für den Wiederherstellen/Kopieren-Befehl. Sie können eine Spalte verschieben, indem Sie erst den der Spalte zugeordneten runden Auswahlschalter anklicken und dann den vertikalen Rollbalken, der oben erscheint. Sie ursprüngliche Standardreihenfolge der Spalten kann wiederhergestellt werden, indem Sie diese Spalte mit der rechten Maustaste anklicken.
Links unten finden in den Verzeichnis-Browser-Optionen finden Sie einen Schalter namens Alle Ausblendungen aufheben, der es erlaubt, alle ausgeblendeten Dateien und Verzeichnisse im Datei-Überblick des Asservats im aktiven Datenfenster wieder in den Normalzustand zu versetzen (einzublenden). Um selektiv nur die Ausblendung bestimmter Dateien aufzuheben, stellen Sie zunächst sicher, daß diese Dateien nicht herausgefiltert werden. Dann können Sie sie auswählen und die Ausblendung mit einem Befehl im Kontextmenü aufheben.
Es gibt einen weiteren Schalter, der es Ihnen ermöglicht, ausgeblendete Objekte aus dem Datei-Überblick gänzlich zu entfernen, wenn Sie irrelevant sind und nicht mehr benötigt werden, insbes. bedeutungslose Fehlfunde der Datei-Header-Signatursuche. Dies macht den Datei-Überblick kleiner, d. h. effizienter in der Handhabung, und spart Arbeitsspeicher. Nützlich auch, wenn Sie möchten, daß X-Ways Forensics bestimmte Dateien über die Datei-Header-Signatursuche noch einmal findet, sie dann aber z. B. mit einer anderen Standardgröße auflistet, weil die ursprünglich angegeben Standardgröße sich als inadäquat herausgestellt hat. Das Entfernen läuft schneller ab, wenn man vorher alle Suchtreffer löscht. Das Entfernen bringt es mit sich, daß die internen IDs durcheinandergewürfelt werden, d. h. nach dem Entfernen können Sie aus der internen ID nicht mehr auf die Reihenfolge schließen, in der die Objekte dem Datei-Überblick hinzugefügt wurden. Ausgeblendete Dateien, die nicht ausgeblendete Unterobjekte haben, werden nicht entfernt. Es wird sehr empfohlen, mit einer Kopie Ihres Falls zu arbeiten, wenn Sie diese Funktion nutzen, die sie z. B. mit dem Befehl Speichern unter erzeugen.