Datei-Überblick

WinHex & X-Ways

Datei-Überblick und dessen Erweiterung

 

Ein Datei-Überblick ist eine Datenbank vom Inhalt eines Volumes oder physischen Datenträgers (Dateien, Verzeichnisse, ...) zu einem bestimmten Zeitpunkt. Der Verzeichnisbaum und der Verzeichnis-Browser erlauben Einblicke in diese Datenbank. Basierend auf den zugrundeliegenden Dateisystem-Datenstrukturen besteht ein Datei-Überblick aus einem Datensatz pro Datei und Verzeichnis und speichert praktisch alle Metadaten (Name, Pfad, Größe, Zeitstempel, Attribute, ...), nur den Inhalt der Dateien und die Daten von Verzeichnissen nicht. Ein Datei-Überblick referenziert gewöhnlich sowohl existierende als auch vormals existierende (z. B. gelöschte) Dateien, auch virtuelle (künstlich definierte) Dateien, wenn diese für computerforensische Untersuchungen von Nutzen sind (so daß z. B. auch unbenutzte Bereiche eines Datenträgers abgedeckt werden). Operationen wie logische Suchen, Indexierung und alle Befehle im Kontextmenü des Verzeichnis-Browsers werden auf die Dateien und Verzeichnisse angewandt, wie sie im Datei-Überblick abgelegt sind. Wegen komprimierten Dateien und weil gelöschte Dateien und die virtuelle Datei "freier Speicher" mit denselben Clustern eines Dateisystems mehrfach verknüpft sein können, kann die Summer aller Dateien und Verzeichnisse in einem Datei-Überblick leicht die gesamte physische Größe des Datenträgers/der Partition übersteigen.

 

Ein Datei-Überblick wird entweder gespeichert in Form einer Handvoll Dateien des Namens Volume*.dir, im Ordner für temporäre Dateien oder (wenn mit einem Fall verbunden) in Dateien namens „Main 1“, „Main 2“, „Main 3“, „Names“, ...,  im Metadaten-Verzeichnis des Asservats.

 

Optionen des Datei-Überblicks

 

Das Specialist-Menü erlaubt es, den Standard-Datei-Überblick auf verschiedene Weisen zu ergänzen, zu erweitern, so daß er mehr enthält als das Dateisystem regulär referenziert. Erfordert eine Specialist- oder forensische Lizenz. Volle Funktionalität nur mit forensischer Lizenz.

 

X-Tensions ausführen: X-Tensions sind DLLs, die Sie selbst programmieren können, um die Funktionalität von X-Ways Forensics zu ergänzen oder für Ihre eigenen Zwecke automatisiert zu nutzen. Weitere Informationen.

 

Dateisystem-Datenstruktur-Suche besonders intensiv

 

Datei-Header-Signatur-Suche

 

Blockweise hashen und abgleichen

 


 

Die u. g. Operationen werden nach den oben genannten Operationen auf Dateien angewandt, die bereits im Datei-Überblick enthalten sind, und zwar alle Operationen zusammen und dateiweise (d. h. erst alle Operationen auf eine Datei, dann alle Operationen auf die nächste Datei usw.), und die Dateien werden in der Reihenfolge der internen IDs abgearbeitet. Einige Operationen davon können weitere Dateien hervorbringen, die dann die nächsthöhere verfügbar interne ID erhalten. Ehemals existierende Dateien, deren erster Cluster bekanntermaßen überschrieben wurde oder gar nicht erst bekannt ist, werden nicht verarbeitet, es sei denn, Sie wenden die Operationen per Markierung gezielt auf sie an.

 

Dateien, die aufgrund eines Hash-Wert-Abgleichs als irrelevant angesehen werden, können automatisch von allen weiteren Operationen ausgenommen werden, um Zeit zu sparen und potentiell noch weitere irrelevante Dateien zu vermeiden, die sonst ggf. noch aus ihnen extrahiert würden. Es ist auch möglich, nicht nur bekanntermaßen irrelevante Dateien von der weiteren Verarbeitung auszunehmen, sondern auch bekanntermaßen relevante Dateien. Das ist nützlich zum Beispiel in größeren Fällen, wenn Sie viele solcher Dateien vorliegen haben oder erwarten und wenn die Kenntnis über das Vorhandensein der Dateien für Sie ausreichend ist und Sie für diese Dateien keine internen Metadaten, Hautfarbenanteile, PhotoDNA-Hash-Werte usw. benötigen und auch keine darin eingebetteten Daten o. ä. Es gibt auch eine Option zum Auslassen von Dateien, die herausgefiltert werden. All diese Optionen sind insbesondere deshalb sehr mächtig, weil sie sogar im voraus Dateien gezielt aussparen können, die noch gar nicht Teil des Datei-Überblicks sind, wenn dessen Erweiterung beginnt. Wenn z. B. die Datei-Header-Signatur-Suche dem Datei-Überblick weitere Dateien hinzufügt, können diese je nach Datei weiter verarbeitet (z. B. gehasht) werden oder nicht, je nachdem ob zum Zeitpunkt der Erweiterung des Dateiüberblicks ein Typ-Filter aktiv ist.

 

There is an option to omit additional hard links for the same file in NTFS/HFS+ from volume snapshot refinement just as from logical searches, to save time and reduce the number of redundant identical child objects etc. This can make a big difference on partitions with Windows installations that have a lot of hard links and HFS+ partitions with Mac OS X Time Machine. Which hard links are considered the "additional" hard links internally can be seen in the "Link count" column (gray number means to be omitted) and also in the Description column, which identifies all hard links (i.e. files with a hard link count larger than 2) and the additional ones in particular textually. The hard link that is not marked as "optionally omitted" in the Description column is considered the "main" hard link internally.

 

Hash berechnen

 

Dateitypen mit Signaturen und Algorithmen überprüfen

 

Interne Metadaten und Ereignisse aufbereiten

 

Inhalt von Zip, RAR- u. a. Archiven mit aufnehmen

 

E-Mails und Datei-Anhänge extrahieren

 

Eingebettete Daten in diversen Dateitypen suchen

 

JPEG-Bilder aus Videos exportieren

 

Bildanalyse und -verarbeitung

 

Verschlüsselungstests

 

Indexierung

 


 

Sollte X-Ways Forensics während der Verarbeitung einer bestimmten Datei einfrieren, beachten Sie, daß die interne ID und der Name der zuletzt bearbeiteten Datei in den kleinen Fortschrittsanzeigefenster angezeigt werden. Wenn die Erweiterung des Datei-Überblicks auf ein Asservat angewandt wird und X-Ways Forensics während dessen bei einer einzigen bestimmten Datei abstürzen, wird Ihnen beim Neustart des Programms die betreffende Datei mitgeteilt, und die Datei wird einer Berichtstabelle namens "Absturzursache?" hinzugefügt. Das hängt von den Sicherheitsoptionen ab. All dies geschieht, damit Sie eine solche Datei ggf. ausblenden und so bei einem nochmaligen Versuch auslassen können. Es ist unschädlich, die Erweiterung des Datei-Überblicks für dasselbe Asservat nochmal von vorne anzustoßen, d. h. das führt nicht zu doppelten Unterobjekten und kostet kaum erneut Zeit, weil bereits verarbeitete Dateien schnell übersprungen werden, bis zu dem Punkt, an dem der Erweiterungsfortschritt das letzte Mal gespeichert wurde, was vom Auto-Save-Intervall des Falls abhängt. Der Datei-Überblick merkt sich für jede Datei einzeln, welche Erweiterungsoperationen bereits auf sie angewandt wurden, so daß dieselben Operationen normalerweise nicht erneut auf dieselbe Datei angewandt werden.

 

Wenn der Hash-Wert für eine problematische (absturzverursachende) Datei berechnet wurde, werden diese Datei und etwaige Kopien automatisch ausgelassen, wenn Sie den Datei-Überblick (weiter) erweitern und Hash-Werte mit berechnen lassen (zumindest, wenn der Schutz vor Duplikaten von Absturz-Dateien in den Falleigenschaften eingeschaltet ist). Um den Fall Informationen über vorherige Dateien, die Abstürze verursachen, vergessen zu lassen, klicken Sie auf den zugehörigen Löschen-Schalter in den Falleigenschaften. Übersprungene Dateien werden ebenfalls der zuvor genannten Berichtstabelle hinzugefügt.

 

The file processing part of volume snapshot refinements supports multiple threads (only if not applied to a selection). Depending on the selected suboperations and the types of the files in the volume, and depending on I/O speed, this can double, triplicate or even quadruplicate the performance. The faster your mass storage solution (HDD, SSD, RAID) in terms of seek times and data transfer speed, the more time you save percentage-wise. This parallelization feature is still considered experimental and not complete yet, but the potential time saving in one of the most important and most time-consuming functions of the program is enormous. Selecting multiple extra threads has an effect only when searching in evidence objects that are images or directories, not disks. If you select 0 extra threads, it will work as in X-Ways Forensics versions before 19.0. If you select 1 or more extra threads, processing is done in additional worker threads (as many as you select), and the main thread of the process will be idle, which means the GUI will remain highly responsive. In X-Ways Investigator up to 2 worker threads may be used, in X-Ways Forensics up to 8, if your CPU supports that. If multi-threaded processing crashes, next time when you restart the program it probably cannot tell you which file exactly presumably caused the crash. File-wise processing conducted by X-Tensions (through calls of XT_ProcessItem or XT_ProcessItemEx) are also parallelized if the X-Tensions identifies itself as thread-safe. Processing of files in file archives is currently excluded from parallelisation internally. Parallelization is currently not offered as an option if indexing is selected.

 

Sie können eine direkt nach der Erweiterung des Datei-Überblicks auszuführende parallele Suche im voraus planen.

 

Wechselseitige Abhängigkeiten

 

Es gibt verschiedene Interdependenzen zwischen all diese Operationen. Z. B., wenn die Inhalte eines Archivs in dem Datei-Überblick aufgenommen werden, können sich unter diesen Dateien Bilder befinden, die auf Hautfarben geprüft werden sollen, oder Dokumente, die auf Verschlüsselung zu testen sind. Sie können mit der Prämisse arbeiten, daß wenn im Rahmen von "Datei-Überblick erweitern" eine zusätzliche Datei in den Datei-Überblick aufgenommen oder ihr wahrer Typ erkannt wird, auch alle sinnvollen anderen Operationen auf diese Datei angewandt werden, sofern sie gewählt sind. Das, was eine Operation produziert, wird automatisch in andere Operationen (oder sogar nochmal dieselbe) wieder hineingesteckt, sofern geeignet.

 

Es könnte jemand auf die Idee kommen, ein belastendes JPEG-Bild zu verbergen, indem er es in ein MS-Word-Dokument einbettet, diese .doc-Datei umbenennt in .dll, sie in einem Zip-Archiv komprimiert, das Zip-Archiv in .dll umbenennt, das falsch benannte Zip-Archiv in ein weiteres Zip-Archiv packt, dieses wiederum in .dll umbennt und diese .dll-Datei als E-Mail-Attachment per MS Outlook verschickt. Wenn die jeweiligen Optionen in "Datei-Überblick erweitern" alle gewählt sind, macht X-Ways Forensics Folgendes: Es extrahiert den E-Mail-Anhang aus dem PST-E-Mail-Archiv. Es erkennt, daß die .dll genannte Datei eigentlich ein Zip-Archiv ist. Dann nimmt es den Inhalt dieses Archivs in den Datei-Überblick auf, nämlich eine Datei mit der Endung .dll. Diese Datei wird als ein weiteres Zip-Archiv erkannt. Konsequenterweise wird auch dieses Archiv erkundet, und die .dll-Datei darin als MS-Word-Dokument erkannt. Bei der Suche nach eingebetteten Bildern findet X-Ways Forensics die JPEG-Datei in der .doc-Datei und sie wenn gewünscht sofort auf Hautfarben überprüfen. All dies geschieht in einem einzigen Schritt. Wahnsinn.

 

Zusatzinformationen

 

X-Ways Forensics merkt sich komfortablerweise, welche Operationen schon auf welche Dateien angewandt wurden, so daß bei einem erneuten Durchlauf (Erweitern des Datei-Überblicks) Zeit gespart wird und keine Unterobjekte doppelt erzeugt werden usw. Es merkt sich aber nicht die im einzelnen verwendeten Unteroptionen zu jeder Operation (z. B. ob bei der Metadaten-Extraktion auch „Vorschau für Browser-Datenbanken erzeugen“ ausgewählt war) und kann diese nicht separat nachholen. Die einzigen Operationen, die wiederholt durchgeführt werden, sind Indexierung und Abgleich von Hash-Werten mit Hash-Datenbanken. Sollten Sie aus irgendeinem Grund eine andere Operation noch ein weiteres Mal auf dieselbe Datei anwenden wollen (z. B. dann mit anderen Unteroptionen oder nach Anpassung der Dateisignatur-Datenbank zur Typprüfung), können Sie die Datei auswählen und durch Drücken von Strg+Entf auf den Zustand "noch zu bearbeiten" zurücksetzen. Dies löscht auch etwaige bereits berechnete Hautfarbenanteile, extrahierte Metadaten, Hash-Werte, Ergebnisse des Hash-Abgleichs usw. usf. Diese Funktion entfernt jedoch keine bereits extrahierten Unterobjekte aus dem Datei-Überblick. Dies muß ggf. vom Benutzer separat erledigt werden, sofern gewünscht, durch Ausblenden und Entfernen dieser Unterobjekte. Ebensowenig entfernt die Funktion etwaige bei einer vorangegangenen Erweiterung des Datei-Überblicks ausgegebene Ereignisse. Ein weiteres Tastenkürzel, Strg+Umsch+Entf, erlaubt es, Zuordnungen von Dateien im Datei-Überblick mit normalen Hash-Sets, FuzZyDoc-Hash-Sets und PhotoDNA-Kategorien zu entfernen. Diese bleiben sonst bestehen, auch wenn die Hash-Sets aus der Datenbank gelöscht werden.

 

Ob eine Datei bei der Erweiterung des Datei-Überblicks verarbeitet werden soll oder nicht, wird vom Programm erst dann entschieden, wenn diese Datei an der Reihe ist, nicht im voraus, wenn Sie die Operation starten. Das bedeutet, wenn Sie im Programm weiterarbeiten, während die Erweiterung läuft, and Filter aktivieren/deaktivieren/ändern oder Dateien markieren/entmarkieren oder Dateien ausblenden/einblenden, kann sich das noch auf den Erfassungsbereich der Operation auswirken, je nach gewählten Optionen und je nachdem, ob die Datei, die Sie markieren/entmarkieren/ausblenden/einblenden/... schon verarbeitet wurde oder nicht. Wenn Ihnen eine Operation gefühlt zuviel Zeit in Anspruch nimmt, können Sie daher immer noch Filter strenger einstellen oder bestimmte große Dateien entmarkieren o. ä., ohne den laufenden Prozeß abzubrechen.

 

When volume snapshot refinement is in the stage of processing individual files, then the progress percentage is simply the internal ID of the currently processed file divided by the total number of items in the volume snapshot. X-Ways Forensics doesn't know beforehand which files need a lot of time to process, only when actually reading from the file it will be decided what should be done with the file and discovered how much data is embedded etc. File type verification and potentially hash database matching may change the decision about what to do with the file, if anything at all. If an entire evidence object consists of just 1 file, e.g. if you added a single files to the case, then the progress percentage will not advance. The progress is 0% initially and 100% for a fraction of a second when done. The displayed percentage does not reflect the sub-progress within a given large file.

 

An unlabelled (but tooltipped) check box in the volume snapshot refinement dialog window can now make X-Ways Forensics reveal which suboperation is currently applied to the currently processed file. A 3-digit abbreviation will be displayed with the following meaning:

Sig: file type verification

Hsh: hashing

Vid: capture sporadic still images from videos

Idx: preprocessing original file contents for indexing

Dec: text decoding for indexing

IdX: preprocessing decoded text for indexing

Emb: search for embedded data

PDN: PhotoDNA database matching

Pic: other picture analysis steps

Eml: e-mail extraction

Fuz: FuzZyDoc database matching

Met: metadata extraction

Enc: file format specific encryption test

Ent: entropy check

Arc: inclusion of files in archives into the volume snapshot

This may be helpful for educational reasons, to give users a better idea of how computationally expensive certain suboperations are and how much time could be saved by not selecting them if not absolutely necessary. It may also prove useful for debugging purposes. Whether this option may slow down processing on certain computers has not been tested.

 

Gewisse ehem. gültige Zeitstempel von Dateien werden während diverser Unteroperationen der besonders intensiven Dateisystem-Datenstruktur-Suche in NTFS als Ereignisse ausgegeben, abhängig von der Option "Zeitstempel aus diversen Quellen als Ereignisse bereitstellen". Diese Option wirkt sich auch auf andere Operationen aus, deren Hauptzweck nicht das Ermitteln von Zeitstempeln/Ereignissen ist.