Logische Suche
Mächtige Unterart der parallelen Suche. Erlaubt es, entweder alle Dateien, markierte Dateien oder (wenn vom Verzeichnis-Browser-Kontextmenü aus aufgerufen) ausgewählte Dateien zu durchsuchen. Die logische Suche hat gegenüber einer physischen Suche diverse Vorteile:
+ Dateischlupf kann gezielt adressiert (für alle Dateien oder, wenn halb gewählt, nur für nicht ausgelassene Dateien) oder ignoriert werden.
+ Der Suchbereich kann auf bestimmte Dateien und Verzeichnisse eingeschränkt werden, per Markierung oder Auswahl. Bitte beachten Sie, daß eine etwaige im Dialogfenster angezeigte Datenmenge nur eine Schätzung ist und die tatsächlich zu durchsuchende Datenmenge wegen Schlupfspeicher abweichen kann.
+ Die Suche in Dateien (üblicherweise = in den Clusterketten der jeweiligen Dateien) findet Suchbegriffe auch dann, wenn der Suchbegriff zufällig physisch durch die Dateifragmentierung zerschnitten ist (passiert am Ende und am Anfang nicht zusammenhängender Cluster).
+ Die Suche kann auch erfolgreich auf Dateien angewandt werden, die auf NTFS-Dateisystemebene komprimiert sind, weil diese für die Suche dekomprimiert werden. Dies gilt sogar für per Datei-Header-Signatur-Suche gefundene Dateien, sofern dabei NTFS-Kompression gesondert berücksichtigt wurde.
+ Wenn die Inhalte von Archiven (Dateien in ZIP, RAR, GZ, TAR, BZ2, 7Z und ARJ, falls nicht verschlüsselt, nur mit forensischer Lizenz) und individuelle E-Mails und E-Mail-Anhänge in den Datei-Überblick aufgenommen wurden, können sie mit durchsucht werden.
+ Der Text, der in Dateien enthalten ist, deren Format von der Viewer-Komponente unterstützt wird, z. B. PDF (Adobe), WPD (Corel WordPerfect), VSD (Visio), SWF (Shockwave Flash), kann automatisch decodiert und in Form von unformatiertem ASCII- oder UTF-16-Klartext extrahiert werden, der dann zusätzlich zum Original-Dateiinhalt verläßlich durchsucht wird. Suchtreffer könnten sonst u. U. übersehen werden, da diverse Dateitypen Text üblicherweise oder zumindest gelegentlich auf eine besonders codierte, verschlüsselte, komprimierte, fragmentierte oder anderweitig unlesbare Art speichern. Wichtig: Insbes. für HTML-, XML- und RTF-Dokumente sowie E-Mails, die verschiedene Methoden wie u. a. UTF-8 zur Codierung von Nicht-7-Bit-ASCII-Zeichen (z. B. deutsche Umlaute) heranziehen, kann das Decodieren nützlich sein, abhängig von der Sprache Ihrer Suchbegriffe/von den in Ihren Suchbegriffen enthaltenen Zeichen. Wenn Sie eine Dateimaske zum Decodieren angeben, wird diese nicht nur auf die Namen einer jeden zu durchsuchenden Datei angewandt, sondern auch auf den wahren Typ, sofern dieser über eine Signaturprüfung herausgefunden wurde (siehe Erweiterte Datei-Überblicke). Diese Funktion benötigt eine aktivierte separate Viewer-Komponente für die Dekodierung und die Textextraktion. Der decodierte Text wird entweder in Latin 1 oder Unicode ausgegeben. Er kann optional gepuffert werden (s. Optionen | Viewer-Programme), was eine bequeme Kontextvorschau für Suchtreffer in decodiertem Text ermöglicht und künftige Suchvorgänge beschleunigt. Die voreingestellte Dateimaske für diese Option ist *.pdf;*.docx;*.pptx;*.xlsx;*.odt;*.odp;*.ods;*.pages;*.key;*.numbers;*.eml;*.wpd;*.vsd. Es wird empfohlen, ;*.html;*.xml;*.rtf je nach gesuchten Zeichen zu ergänzen, sowie weitere Dateitypen je nach Ihren Anforderungen. Z. B. könnte auch *.doc eine gute Idee sein, wenn Sie sehr gründlich sein möchten, weil Text innerhalb von MS-Word-Dokumenten fragmentiert sein oder abrupt von einem Zeichensatz in den anderen wechseln kann. Beachten Sie nur, daß die zusätzliche Decodierung und Suche mehr Zeit benötigt und i. d. R. zu doppelten Treffern führt (Suchtreffer sowohl im Originalformat als auch im Ergebnis der Text-Extraktion. E-Mails werden von X-Ways Forensics generell nicht decodiert, wenn ohnehin nur 7-Bit-ASCII-Zeichen darin gesucht werden. Die Dateimaske wird angewandt sowohl auf den Dateinamen als auch auf den erkannten wahren Dateityp. Um den Text zu sehen, der von dieser Funktion aus einem Dokument extrahiert wird, können Sie das Dokument bei aktivem Vorschau-Modus im Verzeichnis-Browser auswählen und beim Wechseln in den Roh-Modus die Umschalt-Taste gedrückt halten.
+ Wenn Sie sich nicht für jeden einzelnen Suchtreffer interessieren, sondern lediglich dafür, welche Dateien zumindest einen der spezifizierten Suchbegriffe enthalten, kann eine logische Suche stark beschleunigt werden, indem Sie X-Ways Forensics anweisen, nur maximal einen Treffer pro Datei aufzuzeichnen und dann gleich mit der nächsten Datei fortzufahren. Die sich daraus ergebende Suchtrefferliste ist dann systematisch unvollständig, und Sie können nicht davon ausgehen, daß der eine ausgegebene Treffer pro Datei gerade ein für Sie besonders nützlicher oder aussagekräftiger ist oder daß bei mehreren Suchbegriffen gerade ein Treffer für einen Ihnen besonders wichtigen Suchbegriff ausgegeben wird. Es ist allerdings gewährleistet, daß die Suchtrefferliste alle Dateien enthält, für die es mind. einen Treffer (mit irgendeinem der verwendeten Suchbegriffe) gab, und zwar jede Datei nur einmal. Eine solche Liste ist ausreichend (und effizient!), um die betroffenen Dateien manuell einzusehen, sie mit Kommentaren zu versehen, sie aus einem Image herauszukopieren, sie an andere Ermittler in Form eines Containers weiterzugeben usw.
Beachten Sie, daß es natürlich nicht möglich ist, Suchbegriffe mit einem logischen UND zu verknüpfen, wenn nur 1 Treffer pro Datei gespeichert wird. Diese Konsequenz wird von arglosen Benutzer oft vergessen.
+ Dateien, die sich durch Hash-Berechnung und Abgleich mit der Hash-Datenbank als irrelevant herausgestellt haben sowie Dateien, die vom Benutzer ausgeblendet wurden oder die von einem aktiven Filter herausgefiltert werden, können bei der logischen Suche gezielt ausgelassen werden, um Zeit zu sparen und die Anzahl irrelevanter Treffer zu verringern. Der Schlupf solcher Dateien wird dennoch durchsucht, wenn die entsprechende Option "Schlupf öffnen und durchsuchen" voll eingeschaltet ist, weil sie dann eine höhere Priorität hat. Ist sie nur halb gewählt, wird auch der Schlupf solcher Dateien ausgelassen.
+ Die empfehlenswerte Datenreduktion dient der Zeitersparnis und der Vermeidung doppelter Treffer durch gezieltes Auslassen bestimmter Dateien. E-Mail-Archive vom Typ MBOX und DBX sowie Dateiarchive der unterstützten Typen (ZIP, RAR usw.) werden nicht durchsucht, sofern die in ihnen enthaltenen Bestandteile dem Datei-Überblick hinzugefügt wurden. In diesem Fall werden nur diese Bestandteile (extrahierte E-Mails und weitere Dateien) durchsucht, in ihrem natürlichen (nicht codierten und nicht komprimierten) Zustand. Dies kann sinnvoll für die Suche nach Schlüsselwörtern und vor allem die Indexierung (für die die Verarbeitung von Base64-Code sehr aufwendig ist) sein, u. U. aber nicht für technische Suchen nach Signaturen usw. Die Option stellt in jedem Fall einen Kompromiß dar. Der Schlupf solcher Archive wird jedoch durchsucht, wenn die entsprechende Option eingeschaltet ist, weil sie eine höhere Priorität hat.
Eine Datei, die als umbenannt/verschoben gekennzeichnet ist, wird bei aktiver Datenreduktion ebenfalls nicht durchsucht, sofern die Suche prinzipiell auf alle (und nicht nur markierte oder ausgewählte) Dateien angewandt wird, da die Datei dann auch bereits unter ihrem aktuellen Namen/in ihrem aktuellen Pfad durchsucht wird.
Wenn *.docx;*.pptx;*.xlsx;*.odt;*.odp;*.ods;*.pages;*.key;*.numbers für die Suche decodiert werden, werden die darin enthaltenen XML-Dateien mit dem Hauptinhalt (document.xml, content.xml, index.xml, ...) sowie im Fall von .pages etwaige Preview.pdf ebenfalls ausgelassen, um redundante Suchtreffer zu vermeiden.
Dateien mit rotem X als Icon werden nicht durchsucht, es sei denn, sie werden gezielt über Auswahl oder Markierung adressiert.
+ In NTFS können Dateien mit "echten" harten Verweisen (also nicht nur trivialen SFN-Verweisen) optional nur einmal durchsucht und indexiert zu werden. Heutzutage existieren in Windows-Installationen oft zwischen 10.000 und 100.000 harte Verweise von System-Dateien, z. B. 27 Stück zu einer Datei wie "Ph3xIB64MV.dll" in Verzeichnissen der Art
\Windows\System32\DriverStore\FileRepository\ph3xibc9.inf_amd64_neutral_ff3a566e4b6ba035
\Windows\System32\DriverStore\FileRepository\ph3xibc2.inf_amd64_neutral_7621f5d62d77f42e
\Windows\System32\DriverStore\FileRepository\ph3xibc5.inf_amd64_neutral_2270382453de2dbb
\Windows\winsxs\amd64_ph3xibc9.inf_31bf3856ad364e35_6.1.7600.16385_none_a0a14b454657e48e
\Windows\winsxs\amd64_ph3xibc5.inf_31bf3856ad364e35_6.1.7600.16385_none_9e7d0270e1def2ea
\Windows\winsxs\amd64_ph3xibc12.inf_31bf3856ad364e35_6.1.7600.16385_none_64d7af985f2a04e4
usw.
Indem nur ein einziger harter Verweis durchsucht wird, kann man typischerweise mehrere GB an doppelten Daten einsparen, und verpaßt trotzdem nichts, wenn man in allen anderen Dateien sucht. Diejenigen zusätzlichen harten Verweise, die bei der Suche optional ausgeklammert werden, sind daran zu erkennen, daß die Anzahl der Verweise im Verzeichnis-Browser in grau angezeigt wird. Suchtreffer in dem einzigen durchsuchten harten Verweis werden in der Anmerk.-Spalte in Suchtrefferlisten mit dem Hinweis "-> Verweise" versehen, um Sie an die anderen harten Verweise derselben Datei zu erinnern, falls die Suchtreffer relevant sind.
+ Es besteht die Möglichkeit, logische parallele Suchen zusätzlich zu Datei-Inhalten gleichzeitig auch auf Zellen des Verzeichnis-Browsers (also Metadaten) anzuwenden, und zwar auf die Zelle jeder ausgewählten Verzeichnis-Browser-Spalte wie Name, Autor, Absender, Empfänger oder Metadaten. Das erspart Ihnen das Einfügen Ihrer Suchbegriffe in die Filterdialoge diverser Verzeichnis-Browser-Spalten. Diese Vorgehensweise ist auch gründlicher, weil jeglicher von diesem Feature adressierter Text in UTF-16 durchsuchbar ist, wohingegen dieselben Daten anderswo fragmentiert gespeichert sein können (z. B. Dateinamen, insbes. in FAT), speziell codiert (z. B. Absender und Empfänger in E-Mails als Quoted Printable), komprimiert oder in unerwarteten Codepages. Sie ist auch bequem, weil alle Suchtreffer in derselben Weise präsentiert und aufgelistet werden wie gewöhnliche Suchtreffer in Datei-Inhalten. Nur in der Spalte mit der Suchtreffer-Beschreibung werden solche Treffer mit dem Namen der Spalte, die den gefundenen Text tatsächlich enthält, gekennzeichnet, und die Suchtreffer werden in einer anderen Hintergrundfarbe hervorgehoben. Sie können nach Suchtreffern in Zellen des Verzeichnis-Browsers auch filtern.
Wenn Sie einen Suchtreffer dieser Art auswählen, wird der automatisch im Modus Details gesucht und hervorgehoben, genau wie normale Suchtreffer in Datei-Inhalten im Vorschau-Modus gesucht und hervorgehoben werden.
Beachten Sie, daß eine Suche in Zellen des Verzeichnis-Browsers keine etwaigen zusätzlichen Zellinhalte in einer anderen Farbe durchsucht, wie etwa alternative Dateinamen und Datei-Anzahlen in der Namensspalte.
+ Einige blinde Flecke, die logische Suchen in althergebrachten, mehrere tausend Euro teuren Computerforensik-Programmen aufweisen, gibt es in X-Ways Forensics nicht. Der Übergang von Dateischlupf in direkt darauffolgenden freien Speicher sowie in NTFS und exFAT der Übergang von bekanntermaßen nicht initialisierten Endstücken von Dateien in darauffolgenden freien Speicher können gezielt mit abgedeckt werden.
Sollte X-Ways Forensics während dieser Operation einfrieren, denken Sie daran, daß die interne ID und der Name der zuletzt bearbeiteten Datei in den kleinen Fortschrittsanzeigefenster angezeigt werden. Wenn diese Operation auf ein Asservat angewandt wird und X-Ways Forensics während dessen bei einer bestimmten Datei abstürzt, wird Ihnen beim Neustart des Programms die betreffende Datei mitgeteilt, und die Datei wird einer Berichtstabelle hinzugefügt. Das hängt von den Sicherheitsoptionen ab. All dies geschieht, damit Sie eine solche Datei ggf. ausblenden und so bei einem nochmaligen Versuch auslassen können.
A Parallelisierungsmöglichkeit (derzeit noch im experimentellen Status) erlaubt es, mehrere Prozessorkerne besser zu nutzen, durch den Einsatz von mehreren Threads. Die hat nur dann einen Effekt, wenn Sie in Asservaten suchen, die Images oder Verzeichnisse sind, keine Datenträger. Je schneller die Datenträger sind, auf denen die Images/Verzeichnisse liegen, in Form von Seek Times und Datenübertragungsrate, desto mehr Zeit prozentual können Sie hierdurch einsparen. Unter perfekten Bedingungen kann die Geschwindigkeit der logischen Suche so mehr als verdoppelt werden. Wenn Sie keine zusätzlichen Threads für die logische Suche wählen, funktioniert die Suche wie in X-Ways Forensics vor Version 18.9. Wenn Sie 1 oder mehr Extra-Threads wählen, wird die Suche in zusätzlichen Worker-Threads durchgeführt, und der Haupt-Thread des Prozesses hat während dessen nichts zu tun, außer auf Benutzeraktivitäten in der Benutzeroberfläche zu reagieren, wodurch diese jederzeit blitzschnell ansprechbar bleibt. In X-Ways Investigator können bis zu 2 Worker-Threads verwendet werden, in X-Ways Forensics bis zu 8, in Abhängigkeit von der vorgefundenen Anzahl von Prozessorkernen.