Allgemeine Optionen

WinHex & X-Ways

Allgemeine Optionen

 

1. Spalte:

 

• Unter Windows Vista und neuer kann es empfehlenswert sein, WinHex/X-Ways Forensics immer als Administrator auszuführen, wenn Sie sektorweisen Zugriff auf Datenträger benötigten. Dies kann in der Windows Registry automatisch in HKEY_CURRENT_USER unter \Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers vorgemerkt werden, wirkt sich aber nicht auf Installationen auf Wechseldatenträgern aus.

 

• Sie können Winhex auf Wunsch mehrfach zugleich ausführen. In der Voreinstellung ist die Option halb gewählt. Das bedeutet, daß Sie beim erneuten Ausführen der .exe-Datei gefragt werden, ob Sie eine neue Instanz starten möchten oder abbrechen. Sie können dann sogar versuchen, eine in einer Endlosschleife gefangenen vorherige Instanz wiederzubeleben. Z. B. sollte das passieren, während eine bestimmte Datei bei der Erweiterung des Datei-Überblicks verarbeitet wird, hilft dies u. U. der laufenden Instanz, aus der Endlosschleife auszubrechen und mit der nächsten Datei fortzufahren. Die zweite Instanz zeigt auch einige technische Informationen darüber an, was die vorherige Instanz zu dem Zeitpunkt tut. Diese Analyse ist auch ohne Wiederbelebung der vorherigen Instanz möglich. Abbrechen stellt das Hauptfenster der vorherigen Instanz in den Vordergrund. Es ist auch möglich, eine vorherige Instanz sofort unsauber zu beendet. Das sollte normalerweise vermieden werden, da es mit Datenverlust einhergehen kann.

 

• Beim Programmstart kann WinHex optional das sog. Start-Center anzeigen oder die letzte Fensterkonstellation wiederherstellen (alle Fenster mit ihren Größen und Positionen, wie Sie sie am Ende der vorhergehenden WinHex-Sitzung verlassen haben).

 

• Standardmäßig werden Editierfenster nicht maximiert geöffnet.

         

• Geben Sie die Zahl der zuletzt geöffneten Dokumente an, die WinHex sich merken und im Start-Center anzeigen soll (max. 255). Bis zu 9 davon werden gleichzeitig auch am Ende des Datei-Menüs aufgeführt.

         

• Wenn die Option »Dateidatum und -zeit beibehalten« aktiviert ist, werden Datum und Uhrzeit der letzten Änderung einer Datei beim Speichern mit Datei | Speichern (unter) auf dem Stand belassen, den die Datei zum Zeitpunkt des Öffnens hatte.

 

• Weitere Kontextmenüs: Wenn ganz gewählt oder wenn beim Rechtsklick auf ein Verzeichnis im Falldatenfenster die Umschalt-Taste gedrückt gehalten wird, erscheint ein Kontextmenü, mit dem Sie das rechts angeklickte Verzeichnis rekursiv erkunden können (ganz so wie wenn kein Kontextmenü bei einem Rechtsklick angezeigt wird), das Verzeichnis rekursiv markieren können (genau wie durch Drücken der Leertaste), das Verzeichnis rekursiv aufklappen können (genau wie beim Drücken der Multiplikationstaste im Ziffernblock), das Verzeichnis rekursiv einklappen können, einen Teilbaum als ASCII-Textdatei exportieren können oder den kompletten Pfad des Verzeichnisses in die Zwischenablage kopieren können. Wenn zumindest half gewählt oder die Umschalt-Taste beim Rechtsklick der Hex-Editor-Anzeige gedrückt gehalten wird, erscheint dort ebenfalls ein geeignetes Kontextmenü.

 

• Bei einem Rechtsklick kann WinHex ein spezielles Kontextmenü anzeigen, das reguläre Bearbeiten-Menü oder das Ende des aktuellen Blocks setzen. Auch wenn diese Option ausgeschaltet ist, können Sie das Kontextmenu anzeigen lassen, indem Sie die Umschalt-Taste gedrückt halten, wenn Sie einen Rechtsklick ausführen.

 

• WinHex kann sich im Windows-Kontextmenü eintragen. Das Kontextmenü sehen Sie, wenn Sie im Windows-Explorer oder auf dem Desktop mit der rechten Maustaste ein Objekt anklicken. Wenn Sie die Option nur halb aktivieren, gibt es keinen Kontextmenü-Eintrag für einzelne Dateien.

 

• Ein dreistufiges Kontrollkästchen kann optional das Starten von Windows-Bildschirmschonern verhindern und damit u. U. auch die Notwendigkeit, das Paßwort der aktuell angemeldeten Benutzers erneut einzugeben. Dies wirkt sich entweder nur dann aus, wenn gerade länger andauernde Operationen laufen, die vom Fortschrittsanzeigefenster begleitet werden (wenn nur halb angekreuzt), oder aber während der gesamten Laufzeit des Programms (wenn ganz gewählt). Diese Optionen hat einen Effekt, egal ob das Hauptfenster sichtbar ist oder nicht und egal ob das Programm im Hintergrund oder Vordergrund läuft. Nützlich zum Beispiel beim Sichern eines laufenden Systems vor Ort, wenn Sie ungern die Kontrolle über das System verlieren würden während, die Sicherung läuft, oder einfach nur deshalb, weil Sie die Fortschrittsanzeige einer laufenden Vorgangs auf Ihrem eigenen Rechner von einer anderen Ecke Ihres Büro aus im Auge behalten möchten.

 

• Einstellungen in .cfg-Datei speichern: If half checked, the settings are saved whenever the program terminates (cleanly). If fully checked, then every time when you click OK in any dialog window (could be useful if the program does not terminate cleanly, to avoid that you lose your later settings). If totally unchecked, the program settings will not be saved at all, except if you hold the Shift key when exiting the program, which is necessary once if you would like to save in the .cfg file the setting that from then on the settings should not be saved again.

 

• Festplatten-Partitionen werden standardmäßig basierend auf ihrer Lage durchnumeriert.

 

• Wenn die Option Gelöschte Partitionen erkennen eingeschaltet ist, versucht WinHex, leicht zu findende gelöschte Partitionen zu entdecken, die sich in Lücken zwischen existierenden Partitionen befinden oder direkt am Anschluß an die letzte Partition im unpartitionierten Bereich, und zwar beim Öffnen physischer Festplatten. Solcherlei zusätzlich erkannte Partitionen werden im Zugriffsschaltermenü mit aufgelistet und dort als gelöscht gekennzeichnet. Bitte beachten Sie, daß in Partitionslücken gefundene gelöschte Partitionen die Partitionsnumerierung beeinflussen. Z. B. wird eine Partition Nr. 3 zu Partition Nr. 4, wenn vor ihr eine gelöschte Partition erkannt wird.

 

• »Caching beim Lesen von Sektoren« beschleunigt den sequentiellen Datenträgerzugriff mit dem Disk-Editor. Diese Option empfiehlt sich insbes. beim Durchsehen von CD-ROM- und Disketten-Sektoren, da sie die Zahl der erforderlichen physischen Zugriffe stark herabsetzt.

 

• Wenn die Option Auf Überhangsektoren testen ausgeschaltet ist, versucht WinHex nicht, beim Öffnen einer physischen Festplatten auf Überhangsektoren zuzugreifen. Falls solche Sektoren gefunden werden, speichert WinHex deren Erkennung für das nächste Mal, wenn Sie eine Festplatte physisch öffnen. Sie können dann aber immer noch einen erneuten Test erzwingen, indem Sie beim Öffnen die Shift-Taste gedrückt halten. Das Testen auf Überhangsektoren kann auf einigen Systemen in Ausnahmefällen sehr lange Wartezeiten mit sich bringen, merkwürdiges Verhalten des Windows-Systems oder sogar Schäden an der Betriebssystem-Installationhervorrufen.

 

• Die alternative Plattenzugriffsmethode 1 für physische Festplatten kann Ihnen u. U. Zugriff ermöglichen auf Festplatten, die mit einer unkonventionellen Sektorgröße formatiert sind, oder andere Datenträger, auf die sonst nicht zugegriffen werden kann. Beachten Sie, daß diese Zugriffsmethode langsamer als die reguläre sein kann. Wenn die Verlangsamung beträchtlich ist, informiert Sie WinHex darüber und empfiehlt, zur Stdardzugriffsmethode zurückzukehren. Die Wirkung der Zugriffsmethode 2 beschränkt sich ebenfalls auf physische Festplatten. Bei Alternativmethoden erlauben es, einen Time-Out in Millisekunden anzugeben, nach dessen Ablauf Leseversuche abgebrochen werden. Dies kann nützlich sein beim Umgang mit Festplatten, die defekte Sektoren aufweisen, wenn das versuchte Lesen eines einzigen Sektors sonst zu einer Verzögerung von vielen Sekunden oder Minuten führt.

 

• Eine weitere Option ist es, den Benutzer beim Interpretieren von Roh-Images immer die bevorzugte Handhabung bestätigen zu lassen, d. h. von welcher Art von Image (Volume oder Disk) ausgegangen werden soll, welche Sektorgröße angenommen werden soll und in welchem Pfad ggf. weitere Image-Datei-Segmente gesucht werden sollen. Das ist genau das, was auch passiert, wenn Sie die Umsch-Taste gedrückt halten während des Interpretierens eines Images als Datenträger oder beim Hinzufügen eines Images zum Fall. Normalerweise nicht nötig, wenn das Image von X-Ways Forensics selbst erzeugt wurde, aber dennoch, bestimmte Wechseldatenträger (USB-Sticks und Speicherkarten) können zu unterschiedlichen Zeiten sowohl als Volume als auch als partitionierter Datenträger formatiert und verwendet worden sein. In solchen Situationen kann das Interpretieren als Volume und als Disk unterschiedliche Dateisysteme zum Vorschein bringen, die einander überlappen.

 

• Das Ersatzmuster für nicht lesbare Sektoren wird hier beschrieben.

 

 

2. Spalte:  

• Ändern Sie wenn nötig den Ordner, in dem die temporären Dateien angelegt werden. Voreingestellt ist der Ordner, den die Umgebungsvariable »TEMP« Ihres Systems angibt. Sie können statt eines absoluten Pfads auch einfach einen Punkt (.) eingeben. Dieser steht stellvertretend für das Verzeichnis, von dem aus WinHex/X-Ways Forensics ausgeführt wird. Oder .. für das übergeordnete Verzeichnis. Oder geben Sie einen relativen Pfad ein bezogen auf . oder .., z. B. .\temp oder ..\temp. Dieses Prinzip gilt auch für die folgenden Ordner.

 

• Ebenfalls wählen können Sie den Ordner, in dem die Sicherungsdateien (Images und WHX-Backups) angelegt und erwartet werden.

 

• Bestimmen Sie außerdem den Ordner, in dem Fälle und Projekte erzeugt und erwartet werden.

 

• Außerdem definierbar ist der Ordner, in dem Schablonen und Scripte abgelegt werden.

 

• Bestimmen Sie ferner die Ordner, in denen die internen Hash-Datenbanken und die PhotoDNA-Hash-Datenbank verwaltet werden. The hash database of block hash values, if used at all, is stored in a directory at the same level as the first internal hash database, with the same base name plus " [block hash values]" appended.

 

In allen diesen Standardpfaden können Sie System- und Benutzerumgebungsvariablen verwenden, wobei der Variablenname mit Prozentzeichen zu umschließen ist, z. B. %TEMP%.

 

• Oberfläche von X-Ways Investigator [CTR]/X-Ways Imager: Verfügbar beim Betrieb mit einer forensischen Lizenz. Erlaubt das Umschalten auf die stark reduzierte Oberfläche von X-Ways Investigator [CTR], die für Ermittler gedacht ist,

- die in Bereichen wie Wirtschaftskriminalität spezialisiert sind,

- die kein profundes Wissen über Computerforensik benötigen,

- die die technischen Einblicke, die WinHex und X-Ways Forensics bekanntermaßen gewähren, nicht brauchen,

- die z. B. bequem zu handhabende X-Ways Datei-Container von versierten Computerforensik-Fachleuten erhalten mit ausgewählten Dateien verschiedener Quellen (z. B. „alle Dokumente, die die Schlüsselwörter x und y enthalten“), in denen irrelevante Dateien bereits herausgefiltert sind,

- die Hunderte von elektronischen Dokumenten sichten müssen, relevante Dokumente erkennen, mit Kommentaren versehen, logische Strukturen und Verbindungen identifizieren und mit Hilfen von Kommentaren kenntlich machen, Dokumente drucken, und all das möglichst mit wenigen Mausklicks, in einer einzigen Umgebung, die es ihnen erspart, jedes Dokument einzeln zu extrahieren und in der zugehörigen Applikation einzulesen,

- die möglicherweise in einer Umgebung arbeiten müssen, die von Systemadministratoren stark eingeschränkt wurde.

Der Oberfläche von X-Ways Investigator fehlen viele fortgeschrittene technische Funktionen, um Nicht-EDV-Fachleuten einen leichteren Zugang zum Programm zu gewähren. Lizenzen für X-Ways Investigator sind auf Anfrage zu 50% des regulären Preises zu erhalten. Eine optionale Datei "investigator.ini" steuert zusätzliche Vereinfachungen und administrative Sicherheitsvorkehrungen, z. B. daß Benutzer nur das Öffnen von Datei-Containern erlaubt wird, und nur solchen Containern, die als sicher klassifiziert sind.

 

• Bestimmen Sie außerdem das Aussehen der Dialog- und Meldungsfenster und Schalter in WinHex. Sie haben die Wahl zwischen mehreren verschiedenen Stilen.

 

• Im Unterdialog "Sleep(0) Frequency" besteht die Möglichkeit anzugeben, wie kooperativ sich X-Ways Forensics bei länger andauernden Operationen (wie Hashes, Suchen, ...) verhalten soll, wenn es mit anderen Prozesses um CPU-Zeit konkurriert, indem Sie Shift+Strg+F5 drücken. 0 ist dort die Voreinstellung (nicht außergewöhnlich kooperativ). Sie können Werte wie 10, 25, 50 oder 100 ausprobieren. 100 bedeutet maximale Bereitschaft, CPU-Zeit abzugeben. Dies ist nützlich, wenn X-Ways Forensics mehrfach zugleich von verschiedenen Benutzern auf demselben Server ausgeführt wird, damit die CPU-Zeit gerechter verteilt wird.

 

• Sofern die Option »Datei-Icons anzeigen« aktiviert ist, werden die in der aktuellen Datei enthalten Windows-Icons in der Informationsspalte angezeigt. Enthält eine Datei keine Icons, so wird das dem Dateityp zugeordnete Icon dargestellt, wenn die Option »voll« gewählt ist. Gilt nur für Dateien, die über Datei | Öffnen geöffnet werden.

 

• Mit einer forensischen Lizenz können Sie längere Operationen von anderen Computern im selben Netzwerk aus überwachen, also sehen, ob sie noch andauern oder beendet wurden. Sie können Fortschrittsbenachrichtigungen über Textdateien erhalten (die in einem Verzeichnis auf einem Netzlaufwerk erzeugt werden) oder per E-Mail, in benutzerdefinierten Intervallen. Mehrere E-Mail-Empfangsadressen können einfach per Komma getrennt hintereinander angegeben werden. Der richtige SMTP-Port ist meist 25, manchmal auch 587. Die richtigen Einstellungen für den E-Mail-Versand erhalten Sie von Ihrem Administrator oder Internet-Provider.

 

 

3. Spalte:
 

• Entscheiden Sie, ob das Betätigen der »Enter«-Taste Hex-Werte in die zu editierende Datei schreiben soll. In der Voreinstellung sind dies 0x0D0A (=Zeilenende-Zeichen). Sie können bis zu vier zweistellige Hex-Werte angeben. Das Start-Center könnte dann immer noch mit UMSCHALT+ENTER geöffnet werden.

 

• Auf Wunsch können Sie mit der Tabulator-Taste auf Ihrer Tastatur das Tabulator-Zeichen erzeugen (0x09). Um dann vom Hexadezimal-Modus in den Text-Modus und umgekehrt zu wechseln, müssen Sie die Tabulator-Taste zusammen mit der Umschalt-Taste drücken.

 

• Nicht druckbare Zeichen mit einem Zeichensatzwert von kleiner als 0x20 können in Form eines benutzerdefinierten anderen Zeichens repräsentiert werden.

 

• Die Bytes können einzeln als Zeichen in der Text-Spalte repräsentiert werden, oder WinHex kann versuchen, sie zu verbinden, was falls die in Windows aktive Codepage ein Doppel-Byte-Zeichensatz (DBCS) ist wünschenswert sein kann, um die richtigen Zeichen zu sehen (wenn 2 Bytes = 1 Zeichen), aber auch störend wegen der variablen Zeilenlänge. Hat nur dann einen Effekt, wenn Ansicht | Zeichensatz | *-ASCII gewählt ist, also die in Windows aktive Codepage sich auf WinHex auswirkt.

 

• Bestimmen Sie, ob die Offsets (Byte-Adressen) in dezimaler oder hexadezimaler Schreibweise angegeben und zur Eingabe verlangt werden. Diese Einstellung gilt für den gesamten Umfang des Programms.

 

• Auf Wunsch können beim Benutzen des Arbeitsspeichereditors anstelle von Null-basierten linearen (lückenlos fortlaufend gezählten) Offsets logische Adressen im Speicher von Prozessen angezeigt werden. Dies geschieht grundsätzlich in hexadezimaler Schreibweise. Im Dialogfenster der Funktion »Offset aufsuchen« sind dann auch logische Adressen einzugeben.

 

• Es können Seiten- und Sektortrennlinien angezeigt oder ausgeblendet werden. Wenn die Option nur halb gewählt ist, werden nur Sektortrennlinien angezeigt.

 

• Geben Sie an, wie viele Bytes in einem Editierfenster pro Zeile dargestellt werden sollen. Standardeinstellungen sind 16 oder 32 Bytes, je nach Bildschirmauflösung.

 

• Geben Sie an, wie viele Bytes als Gruppe zusammenhängend angezeigt werden sollen. I. d. R. empfiehlt sich eine Zweier-Potenz.

 

• There is an option to define the size of the extra gap between rows in the hex editor display in pixels, which together with the official height of the selected font defined the distance between the rows. The default value has always been 3 before v17.2, but now it can be decreased, to display more rows at the same time and see more data. For example with the Courier font the display still looks fine with an extra gap of 1, but you see 15% more data (based on font size 10). Even negative values are possible. With -1 you may see 35% more data than before.

 

• Im Modus Datei Suchtreffer hervorheben: Option, alle Suchtreffer in einer Datei zur gleichen Zeit im Datei-Modus farblich zu hinterlegen, entweder nur, wenn gerade eine Suchtrefferliste angezeigt wird (wenn halb gewählt) oder permanent, sobald die Suchtreffer eines Asservats geladen wurden, d. h. auch beim Arbeiten mit dem normalen Verzeichnis-Browser (wenn ganz ausgewählt). Suchtreffer werden geladen, wenn ein Asservat geöffnet wurde, sobald Suchtreffer aufgelistet werden. Diese Funktion betrifft eigene Suchtreffer genauso. Erfordert eine forensische Lizenz.

 

• NTFS: MFT-Auto-Kolorierung: Hebt die verschiedenen Elemente von FILE-Records auf NTFS-Partitionen hervor, wenn Sie den blinkenden Cursor in einen solchen Record hineinbewegen, um das Navigieren und das Verständnis zu erleichtern. Erfordert eine Specialist- oder forensische Lizenz. Also automatic highlighting of aligned FILETIME values in Disk/Partition/Volume and File mode is available. Useful when manually inspecting files of various Microsoft formats which may contain more timestamps than can be automatically extracted (try e.g. with index.dat, registry hives, .lnk shortcut files etc. etc.). If the lower half of a data window has the focus and FILETIME values are highlighted, you may also hover the mouse cursor over such a value to get a human readable interpretation of the timestamp. Alternatively, of course, you could get it from the data interpreter if you click the first byte of the value. If auto-coloring for FILE records etc. is fully checked, FILETIME structures are now highlighted even if not aligned at a 4-byte boundaries.

 

• Freien Speicher/Schlupfspeicher hervorheben: Zeigt Offsets und Daten in weicheren Farben an (hellblau bzw. grau). Hilft, diese speziellen Laufwerksbereiche leicht zu erkennen. Funktioniert auf FAT-, NTFS- und Ext2/3-Partitionen. Erfordert eine Specialist-Lizenz oder höher.

 

• Sie haben die Möglichkeit, die Hintergrundfarbe des Blocks zu bestimmen, wenn die Option »Windows-Standardfarben benutzen« nicht aktiviert ist.

 

• Wählen Sie die Hintergrundfarbe für jeden zweiten Datensatz in der Datensatz-Darstellung.

 

• Bestimmen Sie die Standardfarbe für neu aufgenommene Anmerkungen/Positionen/Lesezeichen.

 

• WinHex kann veränderte Bytes, also bereits editierte Bereiche einer Datei, eines Datenträgers oder des Arbeitsspeichers, in einer gesonderten Farbe Ihrer Wahl anzeigen, damit Sie Originaldaten von Ihren Änderungen unterscheiden können.

 

• Bestimmen Sie die Farbe für Schlupfspeicher und nicht initialisierten Speicher.

 

• Wählen Sie eine Schriftart für die Hex-Editor-Darstellung aus, und entscheiden Sie, ob Sie die Standard-GUI-Schriftart von Windows auch in den restlichen Teilen der GUI von WinHex/X-Ways Forensics verwendet sehen möchten (über ein zusätzliches Kontrollkästchen).

 

Notationsoptionen

 

• Wählen Sie Ihre bevorzugte Darstellungsweise für Datum, Zeit und Zahlen. Das ist besonders wichtig, um unabhängig zu sein von den Windows-Regionseinstellungen eines Live-Systems, das Sie ggf. einsehen, also an einem Computer, der nicht Ihr eigener ist. Jahreszahlen in Datumsangaben können optional zweistellig angezeigt werden.

 

• There is an option to output dates in the directory browser and in some other parts of the user interface in a nicer, longer and more locale-specific notation, which can include the weekday and the name of the month based in your language or in English. Also, that format is Unicode-capable, which allows for example for original Chinese notation of dates. Please see http://msdn.microsoft.com/en-us/library/dd317787%28v=vs.85%29.aspx for a complete explanation of what kind of notation is possible.

Examples of how to represent the month (in English): MMMM = April, MMM = Apr, MM = 04, M = 4.

Example of a complete format: d/MMM/yyyy (ddd) = 2/Apr/2014 (Wed)

 

• In Zeitangaben können optional Sekundenbruchteile angezeigt werden. Sie können bis zu 3 Dezimalstellen wählen. Nützlich für die Dateisysteme NTFS, Reiser4 und FAT, die mit einer höheren Genauigkeit als bloß Sekunden in allen bzw. einigen Zeitstempeln aufwarten.

 

• Optional kann der Abstand von Zeitangaben von der UTC-Zeitzone direkt in dern Spalten für Zeitstempel mit angezeigt werden. Dieser Abstand hängt von der für die Anzeige gewählten Zeitzone und der Sommerzeit-Einstellung ab.

 

• Dateigrößen können Sie optional immer in Bytes statt gerundet anzeigen lassen. Im mittleren Zustand des Kontrollkästchens betrifft das nur Größen von Objekten in Volumes, wenn vollständig gewählt auch Objekte auf physischen, partitionierten Datenträgern.

 

• SHA-1- und TTH192-Hash-Werte können optional in Base32-Notation im Verzeichnis-Browser angezeigt werden, wie in P2P-Programmen üblich.

 

Die Voreinstellungen sämtlicher Optionen können durch Benutzen der Funktion »Initialisieren« im Hilfe-Menü wiederhergestellt werden.