Hash-Datenbank
Funktionalität nur mit forensischer Lizenz verfügbar. Eine interne Hash-Datenbank besteht, sofern einmal erstellt, aus 257 binären Dateien mit der Endung .xhd (X-Ways Hash Database). Der Speicherort dafür kann im Dialogfenster Allgemeine Optionen festgelegt werden. Eine solche Hash-Datenbank ist auf sehr effiziente Weise organisiert, so daß die Performanz beim Abgleich von Hash-Werten maximiert wird. Sie selbst entscheiden, auf welchem Hashtyp die Datenbank aufbauen soll (MD5, SHA-1, SHA-256, ...), und Sie selbst sind für das Befüllen der Hash-Datenbank mit Hash-Sets und Hash-Werten zuständig. Entweder Sie erzeugen in X-Ways Forensics selbst Hash-Sets, oder Sie importieren Hash-Sets aus anderen Quellen. Dieselbe Hash-Datenbank kann von mehreren Benutzern/Instanzen gemeinsam gleichzeitig verwendet werden, wenn derselbe Speicherort (dasselbe Verzeichnis) eingestellt ist. Die Hash-Datenbank kann aber nicht aktualisiert werden, wenn sie gerade von anderen Benutzen/Instanzen verwendet wird.
It is possible to maintain two separate hash databases at the same time, databases based on the same hash type or different hash types. Useful for example if you receive hash sets from different sources with different hash types (e.g. some with MD5 and some with SHA-1 values) and wish to use them simultaneously. The second hash database may be stored on a different drive. Useful if for example the primary hash database for general use is shared with colleagues on a network drive and the user wishes to create or import new hash sets, either for temporary use only or while the primary hash database is locked by other users, into a locally stored second database.
Jeder Hash-Wert in der Datenbank gehört zu einem oder mehreren Hash-Sets. Jedes Hash-Set gehört entweder zur Kategorie bekanntermaßen irrelevant/harmlos/"gutartig" oder verdächtig"/"beachtenswert"/"relevant"/"bösartig oder kann im Zustand "nicht kategorisiert" verbleiben (noch nicht entschieden oder ungewiß).
Hash-Werte von Dateien können berechnet und mit der Hash-Datenbank abgeglichen werden, wenn Sie den Datei-Überblick erweitern. Die optionalen Spalten "Hash-Set" und "Kategorie" im Verzeichnis-Browser zeigen dann an, welche Dateien zu welchen Hash-Sets und welcher Kategorie gehören, was es Ihnen ermöglicht, nach diesen Aspekten zu sortieren/filtern und irrelevante Dateien einfach zu ignorieren bzw. sich auf relevante Dateien zu konzentrieren. Wenn der Hash-Wert einer Datei in mehreren ausgewählten Hash-Sets enthalten ist, gibt das Programm all diese Hash-Sets an und zeigt die Kategorie eines dieser Hash-Sets. Es prüft auch, ob alle zugehörigen Hash-Sets derselben Kategorie zugeordnet sind, und sollte das nicht der Fall sein, wird eine Warnung ausgegeben.
Eine optionale zweite, separate Hash-Datenbank mit Block-Hash-Werten (statt normalen Datei-Hash-Werten), gespeichert in einem separaten Verzeichnis, erlaubt es, nach unvollständigen Überresten bekannter Dateien, die von entscheidender Bedeutung sind, blockweise auf anderen Datenträgern zu fahnden.
Das über das Extras-Menü erreichbare Dialogfenster zum Verwalten der aktiven Hash-Datenbank(en) erlaubt es,
- mit einer neuen, leeren Datenbank die Arbeit zu beginnen (und die ggf. schon bestehende aktuelle Hash-Datenbank zu verwerfen, über den Befehl "Initialisieren, wobei auch ein neuer Hash-Typ ausgewählt werden kann),
- eine Liste der in der Hash-Datenbank enthaltenen Hash-Sets einzusehen,
- Hash-Sets umzubenennen,
- Hash-Sets miteinander zu verschmelzen (beachten Sie, daß doppelte Hash-Werte im resultierenden Hash-Set nicht sofort entfernt werden, sondern erst das nächste Mal, wenn Sie ein Hash-Set hinzufügen, und beachten Sie auch, daß Sie nicht gewarnt werden, wenn Sie Hash-Sets unterschiedlicher Kategorien verschmelzen),
- Hash-Sets zu löschen,
- die Kategorie jedes Hash-Sets zu änderen,
- die Integrität der Hash-Datenbank zu überprüfen,
- ausgewählte Hash-Set-Dateien zu importieren*,
- alle Hash-Sets in einem bestimmten Verzeichnis und dessen Unterverzeichnissen zu importieren (dito), optional in ein einziges internes Hash-Set, dessen Namen Sie angeben können,
- ausgewählte Hash-Sets zu exportieren (z. B. wenn Sie individuelle Hash-Sets mit anderen Ermittlern austauschen möchten, aber nicht die gesamte Hash-Datenbank),
- und zwischen der Verwaltung der normalen Datei-Hash-Datenbank und der Block-Hash-Datenbank hin- und herzuwechseln.
* Textdateien der Formate NSRL RDS 2.x, HashKeeper und ILook werden unterstützt, sowie Hash-Sets im JSON/ODATA-Format-Layout von Project Vic (Versionen 1.0, 1.1 und 1.2), wie in der Hubstream-Inbox zu finden. Ein weiteres Import- und das Export-Format ist eine sehr einfache und universelle Hash-Set-Textdatei, in der die erste Zeile einfach den Hash-Typ angibt (z. B. "MD5") und alle weiteren Zeilen jeweils Hash-Werte in ASCII-Hex sind (bzw. im Fall von SHA-1 alternativ in Base32-Notation), 1 pro Zeile. Das Zeilenende-Zeichen ist 0x0D 0x0A.
When importing hash values from NSRL RDS, if you categorize the hash set as irrelevant, hash values marked as special or malicious will be ignored (not imported). If you categorize the hash set as notable, only hash values that are marked as malicious will be imported. If you set the hash set to the uncategorized state, only hash values that are marked as special or have an unknown flag will be imported. If you wish to import all hash values, you can import the same NSRL hash set file three times, with different categorizations, and all hash values will end up in suitably categorized internal hash sets.
Der Befehl In Hash-Datenbank aufnehmen im Kontextmenü des Verzeichnis-Browsers erlaubt es Ihnen, Ihre eigenen Hash-Sets in den internen Hash-Datenbanken zu erstellen. Beim Importieren/Erzeugen von Hash-Sets werden doppelte Hash-Werte innerhalb desselben Hash-Sets eliminiert. Beim Importieren der NSRL-RDS-Hash-Datenbank prüft X-Ways Forensics auf Datensätze mit den Flags "s" (special) und "m" (malicious), so daß diese Hash-Werte nicht fälschlicherweise in das gleiche interne Hash-Set aufgenommen werden, das als irrelevant klassifiziert werden sollte. Die Hash-Datenbank kann bis zu 65.535 Hash-Sets verwalten.
Duplicate hash values that are already contained in the hash database can optionally be either removed from a newly created or newly imported hash set or from all existing hash sets, to keep the hash database more compact/less redundant if so desired.
There is a way to efficiently delete individual hash values from an existing hash set, by importing a hash set file (simple 1-column format, 1 hash value per line), where the hash values to delete must be listed first and must be prepended with a minus sign ("-"). The file must have the same name as the existing hash set in the database that you wish to update (additional filename extension allowed).
There is an option to unload the hash database if loaded at the moment when all data windows are closed (the moment when the last open data window is closed), to save main memory or to specifically allow other concurrent users or instances to change the hash database.