Kontextmenü des Verzeichnis-Browsers
Vorbemerkung: Befehle im Hauptmenü (Datei, Bearbeiten, Suchen, ...) beziehen sich immer auf das gesamte aktive Datenfenster (das z. B. eine geöffnete Datei oder einen geöffneten Datenträger repräsentiert), oder auf noch vom Benutzer anzugebende Dateien oder Datenträger. Sie beziehen sich niemals auf im Verzeichnis-Browser ausgewählte Dateien. Dafür gibt es das Kontextmenü des Verzeichnis-Browsers.
Das Kontextmenü des Verzeichnis-Browsers erlaubt es dem Nutzer, direkt mit den aktuell ausgewählten Dateien bzw. Verzeichnissen zu interagieren (wohlgemerkt nicht mit den mit einem blauen Quadrat markierten). Es gibt eine Reihe von Befehlen, die in Abhängigkeit von den aktuell ausgewählten Objekten verfügbar sind. Ein Doppelklick auf Dateien oder Verzeichnisse löst je nach Kontext entweder "Einsehen", "Erkunden" oder den Aufruf des verknüpften externen Programms aus.
Einsehen
Hiermit können Windows Registry-Dateien und diverse Bilddateiformate mit dem internen Viewer von WinHex eingesehen werden. Falls die separate Viewer-Komponente von X-Ways Forensics aktiv ist, werden alle anderen Dateien an diese Komponente übergeben. Falls nicht, wird statt dessen das erste installierte externe Programm aufgerufen. NTFS-Systemdateien immer in Form von Datenfenstern geöffnet.
Beim Einsehen einer Datei in einem separaten Fenster können Sie (Strg+) Bild abwärts/aufwärts drücken, um das Fenster zu schließen und die nächste Datei im Verzeichnis-Browser in einem neuen Fenster einzusehen. Wenn ein Einsehen-Fenster ein Bild darstellt und das Einsehen auf 1 Bild zur gleichen Zeit beschränkt ist, wird das Fenster beim Drücken der Pfeiltasten in der Galerie aktualisiert. Das ist besonders bei Verwendung eines übergreifenden Desktops nützlich, wenn das Einsehen-Fenster auf dem zweiten Bildschirm zentriert ist und die Galerie auf dem ersten Bildschirm angezeigt wird. Vermeidet, daß man die Eingabe-Taste drücken muß, um ein Bild einzusehen, und eine weitere Taste, um das Einsehen-Fenster wieder zu schließen, um den Eingabefokus zurück zur Galerie zu transferieren.
Erkunden
Nur verfügbar für Verzeichnisse und Archive (ZIP, RAR, TAR...): Mit diesem Kommando navigiert man in diese mit dem Verzeichnis-Browser hinein. Ein Doppelklick auf ein Archiv oder Verzeichnis hat dieselbe Wirkung. Ein Kommando, das gleichzeitig alle Inhalte eines Verzeichnisses und aller seiner Unterverzeichnisse auflistet, finden Sie stattdessen im Kontextmenü des Verzeichnisbaums (im Falldatenfenster, "Rekursiv erkunden").
Viewer-Programme
Gezielt die selektierten Dateien an eines der externen Programme schicken, die aktuell konfiguriert sind, oder an das Programm, das in der aktuellen Windows-Installation mit dem Dateityp verknüpft ist. Diese Verknüpfung wird ausgewertet auf der Basis der Datei-Erweiterung, wie dies in Windows üblich ist.
Es besteht die Möglichkeit, Dateien in einem externen Programm zu öffnen, das Sie ad hoc bestimmen. Das Programm, das Sie auswählen, wird als ein Standard-Viewer-Programm gespeichert, wenn noch nicht alle Plätze für externe Programme belegt sind, und dann auch für das nächste Mal, wenn Sie denselben Menübefehl aufrufen, automatisch vorgeschlagen.
Öffnen
Öffnet die aktuelle Datei bzw. bei Verzeichnissen die Datenstrukturen des Verzeichnisses in einem eigenen Datenfenster. Im Gegensatz zu Datei | Öffnen, wo Dateien wie in anderen Applikationen mit Hilfe des Betriebssystems geöffnet werden können, ist dies eine forensische einwandfreie Operation, da sie keinerlei Zeitstempel o. ä. im Dateisystem beeinflußt, weil das Betriebssystem übergangen wird und die Logik zum Lesen des Dateiinhalts aus den richtigen Datenträgersektoren in WinHex selbst für diverse Dateisystem implementiert ist. Allerdings können an Dateien, die auf diese Weise geöffnet wurden, keine Änderungen vorgenommen werden. Im Fall eines Verzeichnisses werden die Datenstrukturen des Verzeichnisses geöffnet.
Wenn die separate Viewer-Komponente aktiv ist, können Sie Dateien zum Drucken auswählen. Erlaubt es, mehrere ausgewählte Dokumente ohne Unterbrechung zu drucken und ohne Klicks nach jedem Dokument, optional zusammen mit Unterobjekten (z. B. E-Mail-Anhänge zusammen mit der zugehörigen E-Mail). Das optionale Deckblatt enthält Datum und Uhrzeit, an denen der Druckauftrag gestartet wurde, und ausgewählte Metainformationen wie Dateiname, Pfad, Asservatname, Dateigröße, Beschreibung, Zeitstempel, Kommentare usw. Das Deckblatt wird von X-Ways Forensics selbst gedruckt, die folgenden Seiten mit dem eigentlichen Dokument von der Viewer-Komponente. Eine weitere Möglichkeit ist, X-Ways Forensics den Dateinamen und Pfad oben auf die erste Seite drucken zu lassen. Diese Option ist nicht denselben Pfadlängenbeschränkungen unterworfen wie der optional von der Viewer-Komponente gedruckte Header. Um zu vermeiden, daß der Pfad auf der ersten Seite zweimal gedruckt wird, lassen Sie ihn entweder von X-Ways Forensics oder von der Viewer-Komponente drucken, nicht von beiden. Sie können auch nur das Deckblatt drucken, indem Sie angeben, die Seiten von 0 bis 0 des eigentlichen Dokuments oder Bildes drucken zu wollen. Die Kopfzeile des Deckblatts, die den Benutzer nennt und Name und Version des zum Drucken verwendeten Programms, ist optional. Nützlich, wenn Sie den Ausdruck dem Beschuldigten oder einem Zeugen zeigen möchten und diese Personen den Benutzernamen des Ermittlers nicht wissen sollen.
Als Laufwerksbuchstabe einbinden
Liste exportieren
Erfordert eine Specialist-Lizenz. Gibt Daten über die ausgewählten Objekte im Verzeichnis-Browser in eine tabulatorseparierte Textdatei oder in eine HTML-Datei aus. Diese kann in jedem Web-Browser betrachtet oder auch z. B. in MS Excel und MS Word einfach importiert und weiter bearbeitet werden kann. Eine dritte Möglichkeit (außer für Suchbegriffslisten) ist eine XML-Datei. Die Daten können im gewählten Format alternativ auch einfach in die Zwischenablage kopiert werden, z. B. um sie direkt in einen extern bearbeiteten Bericht einzufügen. Die zu exportierenden Spalten sind frei wählbar. Sogar die Suchtrefferspalte kann exportiert werden, mitsamt dem textuellen Kontext, in dem jeder Suchtreffer steht, wobei der Suchbegriff selbst visuell durch eine gelbe Hintergrundfarbe hervorgehoben werden kann (nicht empfohlen für die Weiterverarbeitung in MS Excel). Sie können das Resultat in mehrere Dateien aufteilen lassen, um zum Beispiel zu verhindern, daß der HTML-Code so umfangreich wird, daß ein Internet-Browser ihn nicht mehr effizient laden kann und Speicherprobleme bekommt.
Es gibt eine Option, die Dateien aus dem Datenträger bzw. Image gleichzeitig herauszukopieren und von der HTML-Tabelle aus zu verlinken. Die Links sind in der Namensspalte zu finden. Das Verhalten wird von zwei Optionen des Fallberichts beeinflußt: "Dateien nach eindeutiger ID benennen" und "Datei-Anhänge in .eml-Elterndatei einbetten". Diese Optionen stellt eine interessante Layout-Alternative zur regulären Ausgabe von Berichtstabellen dar und kann auch als Alternative zum Befehl "Wiederherstellen/Kopieren" angesehen werden.
Der Befehl merkt sich Notationseinstellungen separat von denen in den allgemeinen Optionen. Das ist nützlich, weil das Datenbank- oder Tabellenkalkulationsprogramm, in dem Sie die Daten ggf. importieren möchten, die Formatierung, die Sie gern im Verzeichnis-Browser sehen, evtl. nicht mag (z. B. Bruchteile von Sekunden in Zeitstempeln, Zeitzonenumrechnung, Wochentage im Datum, Trennzeichen zwischen Datum, und Uhrzeit, Zifferngruppierung usw. usf.). Während das Dialogfenster des Befehls "Liste exportieren" auf dem Bildschirm zu sehen ist, stützt basiert die Anzeige des Verzeichnis-Browsers vorübergehend auf den Notationseinstellungen fürs "Liste exportieren", als eine Art Vorschau.
Fortlaufende Einzelbilder extrahieren
Extracts all frames specifically from a defined section of a selected video. Useful if a certain part of a video is of high interest and you need to carefully check visual details in certain frames or include them in the report. You can specify how many consecutive frames to extract and starting from which second. The number of frames that you need to cover a certain period of time can be deducted from the frame rate as shown in the Metadata cell (fps = frames per second). Please note that the start second may be interpreted very roughly only, depending on the frequency of keyframes (a.k.a. I-frames in MPEG) in the video. MPlayer can seek into a video file only based on keyframes. If for example a certain video file contains keyframes only every 4 seconds for example, then the start second of the extraction may be off by up to 4 seconds. Keep this in mind when you enter the number of frames that you need or the start second. That is, to be on the safe side, extract more frames than you may actually need and perhaps from an earlier start second.
The frames are saved as JPEG files in a directory of your choice on your own drive, where you can review them outside of X-Ways Forensics. If you like, you can of course attach the most relevant frames to the original video file in the volume snapshot as child objects. The frames are not stored within the volume snapshot by default so that the size of the volume snapshot does not unreasonably inflate with potentially mostly irrelevant and redundant pictures. If the output directory already contains extracted frames, files with identical relative frame numbers will be overwritten. Relative frame numbers always start with 00000001 for each extraction and increment with each frame. You may adjust the JPEG compression if necessary for stronger compression or better quality. (Of course you usually cannot expect a very good quality because videos are typically highly compressed already.)
Kommentar bearbeiten
Erfordert eine forensische Lizenz. Verwenden Sie diesen Befehl, um ein Objekt im Verzeichnis-Browser mit einem Kommentar zu versehen oder einen existierenden Kommentar zu bearbeiten oder zu entfernen. Nachdem Sie Kommentare vergeben haben, können Sie den Filter bequem so setzen, daß nur solche Dateien angezeigt werden, die mit einem bestimmten oder überhaupt mit einem Kommentar versehen wurden.
Metadaten bearbeiten
Erfordert eine forensische Lizenz. Erlaubt das Editieren des Metadatenfelds einer Datei, sobald Metadaten extrahiert wurden. Nützlich wenn Sie ausgewählte, aber nicht alle extrahierten Metadaten in einen Bericht ausgeben möchten.
Datei-Überblick erweitern und Parallele Suche in Objekten, die im Verzeichnis-Browser ausgewählt sind
Markieren/Markierung aufheben
Erfordert eine forensische Lizenz. Visuelle Markierung können per Kontextmenü gesetzt und wieder aufgehoben werden. Das Erweitern des Datei-Überblicks kann auf markierte Dateien beschränkt werden.
Ausblenden/Einblenden
Sie können im Verzeichnis-Browser ausgewählte Objekte (auch durch Drücken der Entf-Taste) oder alle im Datei-Überblick als markiert oder nicht markiert geführten Objekte ausblenden, so daß sie, wenn Ausgeblendetes tatsächlich herausgefiltert wird, im Verzeichnis-Browser nicht mehr aufgelistet werden und ausgeschlossen sind von der Galerie-Ansicht und von allen Befehlen im Kontextmenü des Verzeichnis-Browsers. Wenn Sie nur den Inhalt bestimmter Verzeichnisse auswerten möchten oder dürfen, können Sie anfangs alle Dateien in allen anderen Verzeichnissen ausblenden, um das sicherzustellen. Das Erweitern des Datei-Überblicks kann auf nicht ausgeblendete Dateien beschränkt werden. Tatsächlich nicht mehr aufgelistet werden ausgeblendete Objekte nur, wenn der entsprechende Filter in den Verzeichnis-Browser-Option eingeschaltet ist. Wenn Sie doch noch aufgelistet werden, dann in grauer Farbe, und die Ausblendung kann dann gezielt mit dem Kontextmenü des Verzeichnis-Browsers oder durch Drücken von Umsch+Entf wieder aufgehoben werden.
Nach Duplikaten filtern
Ability to filter for duplicates of a single selected file that are also currently listed in the directory browser, only if a hash value is available for the selected file and the other files. Actually filters for that hash value at that time, and thus does not depend on previous mass identification of duplicate files using the above-mentioned command Duplikate in Liste finden. In X-Ways Investigator the actual hash values are not displayed and cannot be computed, but they are imported from evidence file containers that come with hash values for files and can be used to identify duplicate files.
In Suchtrefferlisten können Sie
1. ausgewählte Suchtreffer permanent löschen,
2. doppelte Suchtreffer permanent löschen. Suchtreffer werden als identisch/doppelt eingestuft, wenn sie entweder den gleichen physischen Offset haben oder, falls kein physischer Offset angegeben ist, wenn ihr logischer Offset und die zugehörige interne Datei-ID gleich sind. Im Zweifelsfall behält X-Ways Forensics den längeren Suchtreffer (weil "Meierhoff" z. B. wertvoller ist als "Meier") and bevorzugt Suchtreffer in existierenden Dateien.
3. Vergrößern: Erlaubt das Ändern der Größe und der Position der ausgewählten Suchtreffer. Wenn Sie z. B. nach einer Signatur suchen, die Datensätze in einer Datenbank identifiziert, und Sie erhalten viele Treffer mit dieser Signatur, aber Sie interessieren sich eigentlich für die Daten, die hinter der Signatur folgen und möchten diese exportieren, dann können Sie nun Offsets und Länge all dieser Suchtreffer nun auf einen Schlag geeignet anpassen. Nützlich auch beim Exportieren von Suchtreffern; dabei kann dann auf Wunsch der Suchtreffer selbst größer exportiert und der Kontext drumherum ggf. entfallen. Die Wirkung wird sofort sichtbar in der Kontextvorschau der Suchtrefferliste (aber nicht unbedingt sofort in der Hervorhebung in der unteren Hälfte des Datenfensters).
4. Mit einem weiteren Befehl können Sie Suchtreffer in ausgegliederte Dateien konvertieren. Das ist nützlich, wenn Sie die Suchtreffer als Dateien in einem Bericht ausgeben möchten, zu einer Berichtstabelle hinzufügen, sie mit einem Kommentar versehen oder ausdrucken möchten, Wiederherstellen/Kopieren darauf anwenden möchten o. ä. Beachten Sie, daß Suchtreffer, die sowohl einen physischen als auch einen logischen Offset haben, auf Sektor-Ebene ausgegliedert und im virtuellen Verzeichnis für gecarvete Dateien ausgegeben werden. Suchtreffer, die nur einen logischen Offset haben, werden innerhalb der Datei, in der sie gefunden wurden, ausgegliedert, und erscheinen als Unterobjekt. Suchtreffer im decodierten Text einer Datei sowie Suchtreffer in Verzeichnis-Browser-Spalten können nicht auf diese Weise in Dateien umgewandelt werden, sondern werden von dieser Funktion ignoriert.
5. Anderem Suchbegriff zuweisen: Sie haben nun die Möglichkeit, Suchtreffer zu kategorisieren, indem Sie sie separaten Suchbegriffen zuordnen. Wenn Sie z. B. mehrere relevante Treffer für den Suchbegriff "Rechnung" erhalten und einige Treffer in anderer Weise relevant sind als andere, können Sie diese anderen Suchbegriffen zuordnen wie "Rechnung ABC GmbH" oder "Rechnung XYZ AG" usw. Die so neu erzeugten Suchbegriffe erscheinen in der Suchtrefferliste, auch wenn nie wörtlich nach ihnen selbst gesucht wurde, und haben eher die Funktion von Kategorien.
Navigation
Ein Befehl in diesem Untermenü erlaubt das Sortieren von Dateien nach ihrer vermuteten generischen Relevanz (s. Metadaten-Extraktion). "Int. ID aufsuchen" lokalisiert das Objekt mit der angegebenen internen ID, egal ob Datei oder Verzeichnis. Wenn ein Filter das Auflisten dieses Objekts verhindert, wird der Filter automatisch deaktiviert. "Eintrag Nr. aufsuchen" springt zu dem Objekt mit der angegebenen Position in der aktuellen Liste. Die Positionen eines jeden Objekts sehen Sie, wenn Sie mit Mauszeiger über dem Icon einer Datei oder eines Verzeichnisses verharren.
Die Gruppe der Befehle im Navigationsmenü ermöglicht auch Interaktionen mit den aktuell ausgewählten Dateien auf einer eher technischen Ebene: Es ermöglicht, direkt die Datenstruktur im Dateisystem aufzusuchen, an der die betreffende Datei definiert ist (z. B. FILE-Record in NTFS, Inode in Ext2/Ext3/Ext4, Verzeichnis-Eintrag in FAT).
Im Navigationsmenü kann man sich außerdem eine Liste aller Cluster anzeigen lassen, die der gewählten Datei bzw. dem gewählten Verzeichnis zugeordnet sind. Diese Cluster-Liste kann per Kontextmenübefehl in eine Textdatei exportiert werden. Die Liste kann optional stark gekürzt und ihre Erstellung stark beschleunigt werden, indem die Cluster mitten in einem Fragment ausgelassen und durch Zeilen mit drei Punkten repräsentiert werden. Diese Option können Sie ebenfalls im Kontextmenü des Cluster-Listen-Fensters finden. Sie wirkt sich erst auf das nächste erzeugte Fenster aus.
Übergeordnetes Objekt aufsuchen: Navigiert zum Elternobjekt des gewählten Objekts und wählt es aus, genau wie das Drücken der Rücktaste. Dabei kann das Unterobjekt ein gewöhnliche Datei in einem Verzeichnis sein, oder eine E-Mail in einem E-Mail-Archiv oder ein Dateianhang zu einer E-Mail oder ein Bild in einem Dokument oder eine Datei in einem komprimierten Archiv usw.
Zugehöriges Objekt aufsuchen: Der Befehl erlaubt das bequeme Auffinden des zugehörigen Objekts, wenn so etwas für die ausgewählte Datei/das ausgewählte Verzeichnis existiert. Alternativ können Sie auch die Tasten Umschalt+Rücksetz betätigen.
Gewähltes Objekt in dessen Verzeichnis: Zeigt Ihnen die ausgewählte Dateien oder das ausgewählte Verzeichnis in der Umgebung ihrer/seiner Geschwister. Das kann hilfreich sein, um schnell zu überprüfen, ob es noch weitere relevante Dateien im selben Verzeichnis gibt oder um die Funktion einer Datei besser zu verstehen, wenn Sie sie in ihrem Umfeld/Kontext sehen.
Gewähltes Objekt aus Sicht des Stammverzeichnisses: Zeigt Ihnen die ausgewählte Datei inmitten aller Dateien des betreffenden Volumes, rekursiv vom Stammverzeichnis des Dateisystems aus erkundet. Sinnvoll z. B., um herauszufinden, ob es Dateien mit demselben Namen, derselben ID (könnten Vorgängerversionen aus einer Volume-Shadow-Copy sein), demselben Besitzer oder Absender oder mit ähnlichen Zeitstempeln o. ä. im selben Dateisystem gibt (dazu einfach entsprechend sortieren).
Beide Befehle können auch vom Asservat-Überblick-Fenster und von Suchtrefferlisten aus aufgerufen werden (so daß der frühere Befehl "Zu dieser Datei im Verzeichnis-Browser" überflüssig wird). Beachten Sie, Sie können durch einen Klick auf den Zurück-Schalter in der Symbolleiste bequem zur vorherigen Sicht zurückkehren!
Datei-Überblick erweitern, Parallele Suche, X-Tensions ausführen
Diese Befehle sind vom Hauptmenü bekannt. Vom Verzeichnis-Browser-Kontextmenü aus können Sie auf ausgewählte Dateien angewandt werden.
In Hash-Datenbank aufnehmen
Erzeugt ein Hash-Set der aktuell ausgewählten Dateien und Verzeichnisse und ihrer Unterverzeichnisse direkt in der internen Hash-Datenbank, entweder in Form von normalen Datei-Hash-Werten oder in Form von Block-Hash-Werten oder PhotoDNA-Werten. Für normale Hash-Werte gibt es eine Option to create multiple hash sets in a single step, where the hash values of the selected files are put into hash sets that are named after each file's report table association(s). This is useful if you categorize notable files in one case using report tables (e.g. based on different types of CP), and wish to quickly identify the same files again in other cases later, and automatically see the category that you had originally assigned, as the hash set name.
The checkbox for that is labelled "Name after report table associations, if any". If a selected file does not have any report table association, its hash value will be assigned to the hash set named as you specify, just like if you do not check that checkbox.
This command can also be used to create a separate file with PhotoDNA hash values of the selected files or to just update file descriptions of files in the PhotoDNA hash database with the comments stored in the volume snapshot.
Externe(s) Datei/Verz. anhängen
Erfordert eine forensische Lizenz. Ermöglicht es, eine oder mehrere externe Dateien oder ein Verzeichnis mitsamt Unterverzeichnissen in den Datei-Überblick einzubinden und von X-Ways Forensics wie normale Dateien im Datei-Überblick weiter verarbeiten zu lassen. Nützlich, wenn Originaldateien z. B. übersetzt, konvertiert oder entschlüsselt werden müssen und das Ergebnis wieder in den ursprünglichen Datei-Überblick aufgenommen werden soll, im Originalpfad, zur weiteren Untersuchung, zur Aufnahme in den Bericht, zum Filtern, für Suchläufe usw. Sobald sie eingebunden sind, werden solche externen Dateien vollständig von X-Ways Forensics verwaltet und dazu ins interne Asservat-Unterverzeichnis des Falls kopiert und im Datei-Überblick als virtuelle Dateien gekennzeichnet.
You will be asked to classify the files that you are attaching as what they actually are, e.g. video stills produced outside of X-Ways Forensics, e-mails extracted from e-mail archives outside of X-Ways Forensics, OLE2 objects, attachments of various kinds (in particular of PDF documents), etc. etc. If properly classified as video stills, the attached pictures will be used as previews for the respective parent video file for example. The classification can be seen in the Description column.
Beim Anhängen einer einzigen Datei und Gedrückthalten der Umschalt-Taste schlägt X-Ways Forensics einen neuen Dateinamen vor, der auf dem Namen der ausgewählten Datei basiert, und die Datei wird im selben Verzeichnis eingefügt. Andernfalls werden die externen Namen der Dateien übernommen, und die Dateien werden Unterobjekte des gewählten Objekts. Späteres Umbenennen der virtuellen Dateien im Datei-Überblick ist immer noch möglich.
Wenn Sie ein externes Verzeichnis anhängen, werden Sie gefragt, ob das Verzeichnis selbst auch angehängt werden soll oder nur sein Inhalt. Normalerweise erzeugt X-Ways Forensics virtuelle Dateien in Unterverzeichnissen in neuen virtuellen Verzeichnissen im Datei-Überblick. Es gibt aber auch die Möglichkeit, die Dateien in existierenden Verzeichnissen im Datei-Überblick gleichen Namens unterzubringen, an derselben Stelle im Verzeichnisbaum. Nützlich, wenn Sie eine ganze Verzeichnisstruktur aus einem Image herauskopieren, um Dateien außerhalb von X-Ways Forensics zu konvertieren, zu entschlüsseln, zu übersetzen usw., wenn Sie das Ergebnis anschließen in den Datei-Überblick zurück übernehmen und die bearbeiteten Dateien neben ihren jeweiligen Original-Gegenstücken sehen möchten, in den entsprechenden Unterverzeichnissen. Dies kann z. B. hilfreich sein, wenn Sie PDF-Dokumente, die X-Ways Forensics Ihnen als nicht durchsuchbar meldet, mit Adobe Acrobat einer Texterkennung (OCR) unterwerfen möchten.
X-Ways Forensics can optionally adopt the timestamps of attached files in the volume snapshot (creation, modification and/or access). You can make use of this if you are sure that the timestamps are original and not the result of any of your own file copy/decoding/decryption activity etc.
Umbenennen
Erlaubt es, virtuelle Verzeichnisse und virtuell angehängte Dateien im Datei-Überblick umzubenennen, oder sogar normale Dateien, wenn die Umschalt-Taste gedrückt ist. Auch wenn letzteres im Zusammenhang mit Asservaten nicht unbedingt forensisch einwandfrei ist, kann es doch in speziellen Situationen hilfreich sein, z. B. wenn ein Dateiname oder Verzeichnisname zu lang ist, um die Datei aus einem Image herauszukopieren o. ä. Der Originalname wird weiterhin als alternativer Dateiname angezeigt. Beachten Sie, daß dieser Befehl eine Datei nicht im Dateisystem umbenennt (auf dem Datenträger und im Image wird nichts verändert!), sondern nur im Datei-Überblick, also in der internen Datenbank in X-Ways Forensics über das Dateisystem. Sie haben auch die Möglichkeit, direkt den alternativen Namen zu setzen, indem Sie beim Umbenennen die Umschalt-Taste gedrückt halten (in dem Moment, in dem Sie den OK-Schalter drücken).
Typ angeben
Ability to specify the type of selected files yourself. Useful if you wish to identify types or subtypes in an individual way unknown to X-Ways Forensics, for example to be able to filter by these types later. For instance, how about categorizing TIFF pictures that are digitally stored faxes as type "fax"? Remember you can define your own file types in File Type Categories.txt.
Vergrößern
Files found through a file header signature search and files that were carved within other files can be manually resized by the user.
Sicheres Löschen
Die Daten von Dateien und Verzeichnisse, die im Verzeichnis-Browser ausgewählt sind, können in WinHex (nicht X-Ways Forensics) sicher getilgt werden. Die Daten im logischen Teil einer Datei (d. h. nicht die Daten im Dateischlupf) und die Daten in Clustern eines Verzeichnisses (die etwa in NTFS INDX-Puffer enthalten und in FAT Verzeichniseinträge) werden gelöscht/überschrieben mit einem vom Benutzer gewählten Hex-Wert-Muster. Der Existenzstatus einer Datei im Dateisystem ändert sich dadurch nicht, d. h. die Datei wird nicht als gelöscht markiert, die Cluster werden nicht freigegeben usw.. Keine Dateisystem-Metadaten werden aktualisiert, weil keine Datei-Schreibbefehle auf Betriebssystemebene dabei zum Einsatz kommen. Keine Dateisystem-Datenstrukturen ändern sich, keine Dateinamen werden gelöscht, nur Inhalte von Dateien werden überschrieben. Dateien, die in Archiven komprimiert sind, und generell Dateien innerhalb von anderen Dateien (z. B. E-Mails und Datei-Anhänge in E-Mail-Archiven) können nicht gelöscht werden. Ehemals existierende Dateien, deren Cluster bekanntermaßen für andere Dateien wiederverwendet wurden, werden nicht gelöscht. Beachten Sie, daß durch das Überschreiben von gelöschten Dateien u. U. Daten in Clustern gelöscht werden, die bereits zu anderen Dateien gehören. Daher wählen Sie besser nur existierende Dateien aus, wenn Sie das vermeiden möchten (konsistente Dateisysteme vorausgesetzt). Beachten Sie auch, daß Sie beim Löschen von aus Sektoren per Signatursuche ausgegliederte Dateien u. U. zuviel oder nicht genug Daten überschreiben, je nach erkannter/geschätzter Dateigröße und anhängig davon, ob die Dateien ursprünglich fragmentiert waren oder nicht. Und beachten Sie bitte, daß das sichere Löschen eines Verzeichnisses, d. h. Überschreiben der Daten in den Clustern, die dem Verzeichnis zugeordnet sind, zum Verwaisen von existiernden Dateien in dem Verzeichnis führt. Eine typischere Vorgehensweise mit dieser Funktion wäre das bloße sichere Löschen der Inhalte von Dateien, nicht das sichere Löschen der Daten eines Verzeichnisses, wenn mit dem Dateisystem noch weiter gearbeitet werden soll.
Nützlich z. B., wenn Sie Kopien von Images an Ermittler oder andere mit dem Fall befaßte Personen weitergeben, die die Inhalte bestimmter Dateien nicht sehen dürfen. Auch nützlich, wenn Sie Datenträger, auf denen Kipo gefunden wurde, an den Besitzer zurückgeben müssen, nachdem die betreffenden Dateien gelöscht wurden. Außerdem nützlich, wenn Sie Images für Schulungszwecke präparieren, die Sie veröffentlichen möchten und in denen Sie urheberrechtlich geschützte Dateien (z. B. Betriebssystem-Dateien oder Anwendungsprogramme) nachträglich überschreiben wollen..
Sowohl erfolgreich gelöschte Dateien als auch Dateien, die nicht erfolgreich gelöscht wurden, werden beim Arbeiten mit einem Fall (nur mit forensischer Lizenz) zu separaten Berichtstabellen hinzugefügt, nach denen Sie filtern können, um das Ergebnis zu überprüfen.
Treffer als wichtig kennzeichnen
Kennzeichnet in einer Suchtrefferliste ausgewählte Treffer mit einer gelben Flagge und fügt sie der Liste wichtiger Treffer hinzu. Sie können auch die Leertaste drücken, um einen Suchtreffer als wichtig zu kennzeichnen oder diese Kennzeichnung wieder aufzuheben. Wenn Sie bei Aufruf des Menübefehls die Umschalttaste gedrückt halten, wird die Kennzeichnung bei allen ausgewählten Suchtreffern wieder entfernt.
Im Bericht ausgeben
Markiert in einer Suchtrefferliste ausgewählte Treffer mit einem grünen Gitter, so daß sie in den Fallbericht mit aufgenommen werden können.