Verzeichnis-Browser-Spalten/-Filter
Die meisten Filter und viele Spalten sind nur mit höheren Lizenztypen verfügbar, gekennzeichnet mit z. B. [FOR].
Name: Name der aufgelisteten Datei oder des aufgelisteten Verzeichnisses und (nur mit forensischer Lizenz, nur bei Verzeichnissen und Dateien mit Unterobjekten) in Klammern farblich abgesetzt optional die Gesamtzahl der jeweils hierarchisch untergeordneten Dateien im Dateiüberblick. Erlaubt das Filtern anhand einer oder mehrerer Dateinamensmasken, einer pro Zeile. Dieser Filter ist nützlich, wenn Sie eine Liste relevanter Dateinamen oder Stichwörter haben und schnell herausfinden möchten, ob Dateien mit solchen Namen vorhanden sind.
Der Filter kann auf zwei verschiedene Arten betrieben werden. Erstens können Sie Ausdrücke angeben, die jeweils mit dem ganzen Namen abgeglichen werden, wobei Sternchen als Jokerzeichen fungieren können, wie z. B. "*.jpg". Bis zu zwei Sternchen pro Maske sind erlaubt, wenn sie an ihrem Anfang und ihrem Ende vorkommen. Ausschließen können Sie Dateien mit einer Maske, die mit einem Doppelpunkt (:) beginnt. Beispiel: Alle Dateien mit Namen, die mit "A" anfangen und nicht das Wort "Garten" enthalten: "A*" in einer Zeile und ":*Garten*" in einer weiteren Zeile. Wenn mehrere positive Ausdrücke angegeben werden, werden sie logisch mit einem ODER verknüpft; negative Ausdrücke (:) mit einem UND.
Wenn die Option "Teilwort-Suche in Dateinamen" aktiv ist, dann gelten die obigen Regeln nicht. Es wird dann statt dessen eine Suche innerhalb der Dateinamen nach den angegebenen Zeichen bzw. optional GREP-Ausdrücken durchgeführt. Z. B. geben Sie einfach "Rechnung" ein, um Dateien zu finden, in deren Name das Wort auftritt, nicht "*Rechnung*". Eine Erklärung der GREP-Features finden Sie unter Suchoptionen. Der Anker $ funktioniert hierbei nicht.
The amount of text that can be pasted into the Name filter has been extended to 2 million characters. That doesn't mean that X-Ways Forensics can efficiently use a filter with many ten thousands of characters or more. When in doubt, use the "Match against full name" option, not the substring search, for better performance.
If an original name is found for a file in the Windows recycle bin or in an iPhone backup or certain other files during metadata extraction, that name is displayed in the Name column with the current unique name in square brackets. The current unique name is now also shown in square brackets in the case report. Both names are targeted by the Name filter.
Der Kopf der Namensspalte erlaubt es, alle aufgelisteten Objekte mit einem einzigen Mausklick schnell zu markieren oder zu entmarkieren. Er dient auch als Hinweis darauf, ob sich unter ggf. sehr vielen aufgelisteten Objekte markierte oder nicht markierte Objekte befinden.
Existent: Zeigt an, ob eine Datei eine existierende Datei oder ein Unterobjekt einer existierenden Datei ist oder nicht (existierend gemäß dem Bezugssystem, z. B. Dateisystem), entweder mit einem Häkchen oder einem mathematischen Symbol oder in natürlicher Sprache, abhängig von den Notationsoptionen. Ein dritter Zustand ist "virtuell". Um basierend auf dem Existenzzustand zu filtern, verwenden Sie bitte den Beschreibungsfilter. Bitte beachten Sie, daß Sie auch nach dem Existenzzustand gruppieren können (s. Verzeichnis-Browser-Optionen) und nach dieser Spalte sortieren können.
Beschreibung: Textuelle Beschreibung des Objekts. Die Spalte informiert über die ähnliche Eigenschaften wie das Icon in der Namensspalte, z. B. ob es sich um eine Datei oder ein Verzeichnis oder eine extrahierte E-Mail oder ein Video-Standbild handelt. Sie gibt den Existenz-/Löschzustand eines Objekts an und es sich um eine virtuelle Datei für Untersuchungszwecke handelt oder um eine aus Sektoren ausgegliederte Datei, handelt. Sie beschreibt auch den Zustand des Objekts im Datei-Überblick (z. B. markiert oder bereits eingesehen). Welche Texte in der Spalte angezeigt werden kann in den Notationsoptionen individuell eingestellt werden (über die Allg. Optionen). Daß die Einstellungen der Beschreibungsspalte Teil der Notationsoptionen sind, hat den Vorteil, daß Sie zwei verschiedene Einstellungen haben können, eine allgemein für den Verzeichnis-Browser und eine andere speziell für den Befehl "Liste exportieren". Das kann nützlich sein, weil es in einer exportierten Liste ja keine Icons gibt, anhand derer Sie die Art des Objekts und seinen Löschzustand erkennen könnten, anders als im Verzeichnis-Browser.
Diese Spalte erlaubt es auch, nach den abgedeckten Eigenschaften zu filtern oder danach zu sortieren, was den Beschreibungsfilter zu einem der wichtigsten Filter macht. U. a. können Sie bei Bedarf Folgendes herausgefiltern:
existierende Dateien (nützlich, wenn Sie sich lediglich für ehemals existierende Dateien interessieren [die sich in existierenden Verzeichnissen befinden können])
ehemals existierende Dateien und Verzeichnisse.
markierte Dateien und Verzeichnisse.
halb markierte Dateien und Verzeichnisse (die mind. 1 markierte und mind. 1 nicht markierte Datei enthalten).
nicht markierte Dateien und Verzeichnisse.
Dateien, die als bereits eingesehen gekennzeichnet sind.
Dateien, die nicht als bereits eingesehen gekennzeichnet sind.
ausgeblendete Dateien und Verzeichnisse.
nicht ausgeblendete Dateien und Verzeichnisse.
Der schnellste Weg, um zum Filterdialog zu gelangen, ist ein Rechtsklick auf die Überschriftszeile des Verzeichnis-Browsers. Dieser Weg steht Ihnen sogar dann offen, wenn die Beschreibungsspalte gar nicht sichtbar ist. (Evtl. benötigen Sie die Beschreibungsspalte im Verzeichnis-Browser gar nicht, wenn Ihnen das Icon zur Identifizierung der Art des Objekts genügt.) Das Trichtersymbol, das den Filter der Beschreibungsspalte repräsentiert, hat vier mögliche Farben: 1) Grau wenn inaktiv, wie auch bei anderen Filtern üblich. 2) Grau mit einer ganz, ganz leichten Tendenz zu blau, fast nicht von grau unterscheidbar, wenn der Filter zwar theoretisch aktiv ist, aber nur ausgeblendete Dateien herausfiltern würde, wovon es aber im erkundeten Pfad nicht mal welche gibt. 3) Blaugrau wenn nur ausgeblendete Dateien vom Filter ausgesondert werden und das auch tatsächlich passiert. 4) Normal blau, um Ihre Aufmerksamkeit darauf zu lenken, daß der Beschreibungsfilter aktiv ist und nicht nur ausgeblendete Dateien heraussiebt, sondern auf andere Eigenschaften achtet. Das zurückhaltende Farbschema wurde eingeführt, weil viele Benutzer es für den Normalzustand halten, wenn ausgeblendete Dateien tatsächlich herausgefiltert werden, weil sie sie genau zu dem Zweck ausblenden, um sie nicht mehr zu sehen. Dann ist die Erinnerung daran durch ein ins Auge springendes Blau unnötig ablenkend.
Der Filter für Video-Standbilder hat eine besondere Option, die es erlaubt, auch das zugehörige Video aufzulisten, und zwar jeweils direkt vor dessen Einzelbilder. Auf diese Weise ist es leicht zu sehen, welche Bilder aus welchem Video stammen, und Sie können direkt Kommentare zum Video eingeben oder das Video einer Berichtstabelle hinzufügen, ohne hin- und her zu navigieren und ohne auf die weniger intuitive Bedienungsweise zurückgreifen zu müssen, Berichtstabellenverknüpfungen für Objekte zu erstellen, die Sie gar nicht sehen können (mit der Option für übergeordnete Datei). Die Kacheln, die die Videos repräsentieren, können zudem in der Galerie als visuelle Trennelemente dienen, wenn Sie ersatzweise Miniaturansichten in den Galerie-Optionen ausschalten. Dann fällt es sehr leicht zu sehen, wo die Bilder des nächsten Videos anfangen.
Eine spezielle Einstellung für den Filter erlaubt es, sich auf solche Dateien zu konzentrieren, deren Erzeugungsdatum später ist als ihr Änderungsdatum, d. h. solche Dateien, die offenbar kopiert wurden und dadurch mit einem neuen Erzeugungsdatum versehen wurden. Über die Notationsoptionen können solche Dateien mit dem Wort "kopiert" gekennzeichnet werden. Das Vorhandensein dieses Wortes kann dann für die bedingte Zelleinfärbung herangezogen werden, so daß Sie schnell sehen, welche Dateien vermutlich Originaldateien auf dem betreffenden Datenträger sind und welche kopiert wurden. Das Wort "kopiert" ist allerdings sprachabhängig (evtl. wichtig zu bedenken, wenn Sie Ihre Einstellungen für die bedingte Zelleinfärbung mit Benutzern in anderen Ländern teilen).
Erw.: Dateinamenserweiterung/Dateiendung. Der Teil des Dateinamens, der dem letzten Punkt folgt, sofern vorhanden, es sei denn, der letzte Punkt ist das allererste Zeichen im Dateinamen (nicht unüblich in der Unix/Linux-Welt).
Typ [INV, FOR]: Dateityp. Wenn die Header-Signatur einer Datei nicht gezielt überprüft wurde (s. Datei-Überblick erweitern), ist diese Spalte bloß eine Wiederholung der Dateiendung und wird grau angezeigt. Andernfalls, wenn die Prüfung der Dateisignatur die wahre Natur der Datei enthüllt hat, wird eine typische Endung dieses Dateiformats ausgegeben. Diese Endung wird in Schwarz angezeigt, wenn sie identisch ist mit der tatsächlichen Endung im Dateinamen, oder in Blau, wenn die tatsächliche Endung nicht mit dem Typ der Datei übereinstimmt. Ein komfortabler Filter kann für diese Spalte aktiviert werden. In dem Filterdialog können Sie individuelle Dateitypen oder ganze Kategorien wählen. Sie können die Auswahl laden und speichern. Es gibt Schalter, mit denen Sie alle Kategorien auf einmal ein- und aufklappen können. Das Aufklappen aller Kategorien kann nützlich sein, wenn Sie schnell einen bestimmten Dateityp auffinden möchten, indem Sie die ersten Buchstaben eintippen, während das Baumfenster den Eingabefokus hat.
Beachten Sie bitte, daß Überschneidungen zwischen Dateityp-Bezeichnungen offensichtlich werden können, wenn zum Filtern gewählte Dateitypen geladen werden, aus .settings-Dateien oder Fällen. Wenn Sie z. B. ursprünglich "mmf" = "MailMessage File" (Kategorie E-Mail) ausgewählt hatten, dann werden Sie feststellen, daß nach dem Laden auch "mmf" als "Yamaha SMAF" gewählt ist (Kategorie Sound/Music). Das ist normal und ändert nicht das Verhalten des Filters, der im Zweifelsfall sowieso zur Sicherheit gleich bezeichnete andere Typen mit erfaßt.
Typ-Status [INV, FOR]: Der Status der Dateityp-Spalte. Anfänglich nicht geprüft. Nach der Dateisignatur-Überprüfung (im Rahmen einer Datei-Überblickserweiterung oder des Laden einer Datei in die Vorschau oder Galerie) gilt: Wenn eine Datei sehr klein ist (weniger als 8 Bytes groß), ist der Status unerheblich. Wenn weder die Dateiendung noch die Signatur in der Dateitypsignatur-Datenbank aufgeführt ist, lautet der Status nicht verzeichnet. Wenn die Signatur laut Datenbank zu der Endung paßt, ist der Status bestätigt. Wenn die Endung in der Datenbank aufgeführt ist, aber die Signatur unbekannt ist, sehen Sie als Status nicht bestätigt. Wenn die Signatur bekannt ist und es keine Dateinamenserweiterung gibt, ist der Status neu erkannt. Wenn sowohl Signatur als auch Endung der Datenbank bekannt sind, beide aber zu unterschiedlichen Dateitypen gehören, die Datei also aus Sicht der Datenbank eine irreführende Endung hat, ist der Status anders erkannt. Filter verfügbar.
Zusätzlich kann diese Spalte einen Hinweis auf die Konsistenz des Formats von Dateien diverser unterstützter Typen geben,
Eine Erklärung des Dateityp-Rangs und des Konzepts von Dateityp-Gruppen findet sich in der Beschreibung der Datei File Type Categories.txt.
Typbeschreibung [INV, FOR]: Zeigt den Namen des zugehörigen Anwendungsprogramms an, wofür die Dateiendung eine Abkürzung ist o. ä., je nach Angabe in File Type Categories.txt. Wenn dieselbe Dateiendung mehrfach in der Definitionsdatei vorkommt, werden all ihre Bedeutungen aufgelistet. Z. B. kann .pm ein Perl-Modul sein, ein PageMaker-Dokument, eine Pegasus-Datei oder eine X11-Pixmap-Datei.
Kategorie [INV, FOR]: Dateityp-Kategorie, zu der der Dateityp gehört, gemäß Definition in "File Type Categories.txt" (s. u.). Filter verfügbar. Sollte derselbe Dateityp bzw. dieselbe Dateiendung mehrfach definiert sein und zu unterschiedlichen Kategorien gehören, wird jeweils nur eine Kategorie angezeigt. Der Kategoriefilter funktioniert jedoch trotzdem. Der Kategoriefilter kann mit einem aufklappenden Menü aktiviert werden. In demselben Menü sehen Sie auch eine Statistik über die Anzahl der Dateien in jeder Kategorie, die gegenwärtig im Verzeichnis-Browser aufgelistet sind (bzw. bei ausgeschaltetem Kategoriefilter aufgelistet würden).
Asservat [INV, FOR]: Der Name des Asservats, dessen Teil die Datei oder das Verzeichnis ist. Nützlich in einem rekursiv erkundeten Asservatüberblick, wenn also der Verzeichnis-Browser alle Dateien aus allen Asservaten zeigt.
Pfad: Pfad der Datei oder des Verzeichnisses. Fängt mit einem umgekehrten Schrägstrich an, relativ zum Stammverzeichnis des Dateisystems. Filter verfügbar. Die Filterausdrücke werden als Teilworte interpretiert, die auf einen beliebigen Teil des Pfades passen können. Jokerzeichen sind nicht erforderlich.
Vollpfad [SPE, LAB, FOR]: Der Vollpfad enthält den Namen der Datei bzw. des Verzeichnisses selbst. Nach dem Vollpfad zu sortieren, ergibt eine nützliche Reihenfolge, weil Unterobjekte dabei direkt ihren jeweiligen Eltern folgen. Filter verfügbar.
Elter-Name, Unterobjekte [INV, FOR]: Beide Spalten sind mit Filtern ausgestattet. Der Filter für Unterobjekte erlaubt es Ihnen beispielsweise, schnell alle E-Mails zu finden, die einen Datei-Anhang mit einem bestimmten Namen haben. Auch beim Exportieren kann es schön sein, für eine E-Mail auch die Namen der Attachments mit auszugeben. Der Filter für den Elter-Namen ermöglicht es, schnell alle Attachments zu finden, die an E-Mails mit bestimmten Wörtern im Betreff angehängt waren. Beachten Sie, daß sich die Filter der Spalten Name, Elter-Name und Unterobjekte die gleichen Einstellungen teilen und sich gegenseitig ausschließen. D. h. sie können nicht gleichzeitig aktiv sein, sondern deaktivieren einander.
Größe: Logische Größe der Datei (d. h. Größe ohne Schlupf) bzw. physische Größe eines Verzeichnisses. Physische Dateigröße und (für Dateien in NTFS-Dateisystemen) initialisierte Größe können Sie im Datei-Modus in der Informationsspalte sehen. Wenn die rekursive Auswahlstatistik aktiv ist, wird mit einer forensischen Lizenz als Größe von Verzeichnissen die Gesamtgröße aller Dateien angezeigt, die direkt oder indirekt in dem jeweiligen Verzeichnis enthalten sind, andernfalls die Größe der Datenstrukturen des Verzeichnisses im Dateisystem. Filter verfügbar. Um Dateien mit unbekannter Größe aufzulisten, können Sie die Filterbedingung <= -1 verwenden.
Erzeugung: Zeitpunkt (Datum und Uhrzeit), an dem die Datei oder das Verzeichnis in dem Dateisystem erzeugt wurde. Nicht verfügbar in Linux-Dateisystemen. Filter verfügbar.
Änderung: Zeitpunkt (Datum und Uhrzeit), an dem die Datei oder das Verzeichnis zuletzt geändert wurde. Auf FAT ist die Uhrzeit nur auf 2 Sekunden genau. Auf CDFS wird der einzige verfügbare Zeitstempel in dieser Spalte angezeigt, auch wenn er nicht notwendigerweise die letzte Änderung angibt. Filter verfügbar.
Zugriff: Zeitpunkt (Datum und Uhrzeit), an dem auf die Datei oder das Verzeichnis zuletzt lesen oder anderweitig zugegriffen wurde. In NTFS werden diese Zeitstempel in grau dargestellt, wenn sie identisch sind zum jeweiligen Erzeugungszeitstempel, weil dies auf den meisten Systemen wahrscheinlich bedeutet, daß diese Zeitstempel gar nicht gepflegt werden, aus Performanzgründen, und daß sie daher nicht sehr bedeutsam sind. Auf FAT wird nur das Datum gespeichert. Filter verfügbar.
Record-Änderung: Zeitpunkt (Datum und Uhrzeit), an dem der FILE-Record (NTFS) bzw. die Inode (Linux-Dateisystem) der Datei oder des Verzeichnisses zuletzt geändert wurde. Dies sind Dateisystem-Datenstrukturen, die Metadaten über Dateien enthalten. Filter verfügbar.
Löschung: Zeitpunkt (Datum und Uhrzeit), an dem die Datei oder das Verzeichnis in dem Dateisystem gelöscht wurden. Generell nur in Linux-Dateisystemen verfügbar, und u. U. bei NTFS (nach einer intensiven Datei-System-Datenstruktur-Suche und dem Einsehen der $UsnJrnl:$J-Datei in dem Dateisystem, falls es sie gibt). Nicht zu verwechseln mit dem sog. Löschdatum, das Ihnen lustigerweise andere forensische Tools in NTFS-Dateisystemen u. U. anzeigen für Dateien, die im Dateisystem gar nicht gelöscht wurden. Filter verfügbar.
Erzeugung der Inhalts [INV, FOR]: Erzeugungszeitstempel, der aus intern in Dateien diverser Typen gespeicherten Metadaten extrahiert werden kann (Liste der Typen s. Dokumentation des zugehörigen Befehls im Kontextmenü), wie dort von dem Programm gespeichert, das die Datei erzeugt hat. Interne Zeitstempel sind üblicherweise weniger flüchtig als Zeitstempel im Dateisystem und z. T. schwieriger zu manipulieren. Sie können insbes. nützlich zur Erhärtung bestimmter Annahmen oder Schlußfolgerungen sein. Filter verfügbar.
Die mit einer hochgestellten 2 bezeichneten Zeitstempelspalten (Specialist-Lizenz oder höher) enthalten alternative Zeitstempel. Im Fall von NTFS stammen diese Werte aus den 0x30-Attributen, und geben daher ggf. ehemalige Zeitstempel, die gültig waren, als eine Datei zuletzt umbenannt oder verschoben wurde, oder von vor einer etwaige Rückdatierung. Rückdatierungen werden oft von Setup-Programmen und auch Windows selbst vorgenommen (der berüchtigte Erzeugungs-Zeitstempel-Tunnel-Effekt, s. http://support.microsoft.com/kb/172190), und natürlich von normalen Anwendungsprogrammen sowie von Benutzern zu diversen legitimen oder auch weniger hehren Zwecken. Beachten Sie, daß diese Spalten nur dann befüllt werden, wenn die zuvor gültigen Zeitstempel sich tatsächlich von ihren aktuellen Entsprechungen unterscheiden, und zusätzlich Änderung² und Record-Änderung² nur dann, wenn sie sich von Erzeugung² unterscheiden, damit der Bildschirm nicht unnötig mit redundanten Informationen überfrachtet wird. Das bedeutet, daß alle ²-Zeitstempel, die Sie sehen, tatsächlich zusätzliche Informationen enthalten und nicht einfach Duplikate sind.
Die Spalte Erzeugung² kommt auch für HFS+-Dateisysteme zum Einsatz, zur Anzeige der relativ neuen "Hinzugefügt"-Zeitstempel von Mac OS X Lion und neuer sowie iOS, sofern verfügbar und sofern sie sich tatsächlich von regulären Erzeugungsdatum unterscheiden. Diese Zeitstempel geben an, wann eine Datei zu dem bestimmten Verzeichnis, in dem sie enthalten sind, hinzugefügt wurden, auch wenn sie ursprünglich eher erzeugt wurden.
Der kombinierte Filter für alle Zeitstempel-Spalten erlaubt das Filtern nach bestimmten Datumsbereichen (typische Anwendung) oder nach bloßen Uhrzeiten, an jedem beliebigen Datum. Wenn Sie z. B. interessiert sind an ungewöhnlicher Aktivität, die mitten in der Nacht auftrat, wenn der rechtmäßige Computerbenutzer nicht arbeitet, könnten Sie Zeiten wie 22:00:00 bis 05:59:59 filtern. Die Auswahl der richtigen Ortszeit für die Zeitstempel-Filter ist dabei offensichtlich von entscheidender Bedeutung.
Bitte beachten Sie, daß Zeitstempel in FAT-Partitionen in Original-Ortszeit angezeigt und nicht umgerechnet werden. Für alle anderen Dateisysteme wird nach dem Zeitzonen-Konzept verfahren.
Zeitstempel im normalen Verzeichnis-Browser, die die Filterbedingung erfüllen, werden farblich hervorgehoben. In einer Ereignisliste werden Zeitstempel hervorgehoben, die mit dem Ereigniszeitstempel identisch sind.
Der unterstützte Bereich von Zeitstempeln ist 5. Mai 1829 bis 14. May 2514. Über- und Unterschreitungen werden in Form eines Vermerks außerhalb der Grenzen angezeigt und können voneinander unterschieden und korrekt sortiert und gefiltert werden.
Attr.: DOS/Windows-Attribute auf den Dateisystemen FAT und NTFS. Unix/Linux-Permissions und Filemode auf den Unix/Linux/Mac-Dateisystemen. Verwendet einige proprietäre Symbole, die in der Legende erklärt werden (nur mit forensischer Lizenz) und hier.
Partielle Initialisierung bedeutet, daß dem Dateisystem (NTFS oder exFAT) zufolge weniger Bytes als die logische Dateigröße angibt tatsächlich initialisiert/in die Datei geschrieben wurden, so daß die Daten am Ende der Datei undefiniert sind, ähnlich wie Dateischlupf nichts mit der Datei zu tun haben und schon vorher auf dem Datenträger an der betreffenden Stelle gespeichert waren. Sie können die initialisierte Größe im Dateimodus in der Informationsspalte sehen, und der nicht initialisierte Bereich wird in einer anderen Farbe hervorgehoben.
Beim Sortieren nach Attributen werden Dateien mit "interessanteren" Attributen zuerst aufgelistet, z. B. Attributen, die Verschlüsslung anzeigen. Dateien ohne gesetzte Attribute odere deren Attribute unbekannt sind, folgen als letztes.
Ein Filter ist verfügbar. For example, you can filter for any of the 9+3 bits of Unix-style file permissions specifically and combine them with OR, AND, or EQUAL. EQUAL requires a status of all 12 bits exactly as selected (whether set or not set). AND means you require ALL of the checked bits to be set, but don't care about the others. OR means you are satisfied already if ANY of the checked bits is set. SUID and SGID bits can be combined with a logical OR or AND. Please remember that if you are interested in directories with the sticky bit, you will need to include directories when exploring recursively and apply filters to directories, too (not the default setting). Please note that the logical operator for permissions should not be usually set to EQUAL because that will result in active filtering for permissions even if no permission bits are selected in the dialog box at all, unlike the OR or AND operators. EQUAL with no permission bits selected means to filter for files that have no permission bits set or files whose permissions are unknown.
1. Sektor [nicht INV]: Die Nummer des Sektors, der den Anfang der Daten der Datei oder des Verzeichnisses enthält. Das Sortieren nach 1. Sektor sortiert nach physischer Anordnung auf dem Datenträger, und erlaubt es, physisch zusammenhängend gespeicherte Dateien nebeneinander zu sehen. Es ist ein Filter verfügbar, der es erlaubt, Dateien zu identifizieren, deren Inhalte in bestimmten Sektorbereichen beginnen, z. B. weil diese definitiv von etwaigen bekannten defekten Sektoren betroffen sind oder jenseits des Endes von bekanntermaßen unvollständigen Images gespeichert sind. Bedenken Sie, daß Sie hier auf Wunsch physische (plattenbasierte) Sektornummern sehen können statt logische (partitionsbasierte) Sektornummern, s. Verzeichnis-Browser-Optionen. Der Filter erlaubt es auch, sich auf gecarvete Dateien zu konzentrieren, die entweder an Sektorgrenzen gefunden wurden oder nicht, z. B. nach einer Datei-Header-Signatur-Suche auf Byte-Ebene, um Mülldateien zu entfernen, die unter nicht an Sektorgrenzen gecarveten Dateien häufiger anzutreffen sind.
Offset im Dateisystem [SPE, LAB, FOR]: Shows the offset of the defining data structure of a file or directory in the file system, i.e. the structure that is the basis for the inclusion of a file in the volume snapshot. That offset is where you can check details manually in case there are any doubts about where X-Ways Forensics got the file system level metadata from. This is also where you may apply a suitable template to get an alternative interpretation and where you can point disadvantaged users of other tools to as they may not be able to find such a crucial location otherwise or don't even get certain deleted files listed. Carved files and files that are embedded in other files for obvious reasons do not have such an offset in the file system (or in the case of carved files at least it is not known to X-Ways Forensics). The file system offset is also where you navigate to when you use the dedicated context menu command to locate a file's FILE record/inode/file entry/catalog key etc., as known from all versions.
ID: Zahlenschlüssel, der einer Datei oder einem Verzeichnis vom Dateisystem oder von WinHex zugeordnet wurde. Nicht notwendigerweise nur einmalig vergeben. Der Filter hilft dabei, weitere harte Verweise einer gegebenen Datei zu finden.
Int. ID: Der eindeutige interne Schlüssel einer Datei oder eines Verzeichnisses im Datei-Überblick. Objekte, die dem Datei-Überblick zuletzt hinzugefügt wurden, haben die höchsten Schlüsselwerte. Filter verfügbar. Nützlich z. B. und sehr einfach zu benutzen, wenn Sie sich auf die x zuletzt dem Datei-Überblick hinzugefügten Dateien konzentrieren möchten (nachdem Sie ihn erweitert haben) oder wenn Sie eine logische Suche bei interner ID y fortsetzen möchten (und Dateien herausfiltern, die evtl. schon zuvor durchsucht wurden).
For evidence objects that contain a huge number of files, the modulo option allows you to focus on a subset of files that is more or less representative of all files (though less random than files listed first when sorting by hash value). Applying the modulo operation to the internal ID will pick files from any directory, with any name, creation date etc. To see only 1,000 out of 100,000 files, i.e. every 100th file, use the operation "internal ID modulo 100 = 0". Also useful for testing purposes: If you wish to compare the performance of different hard disks, RAID systems, processors, configurations for volume snapshot refinements, you don't have to process all files in an evidence object. You can get quicker, yet likely representative results for example in 1/10 of the time if you only process every 10th file, pseudo-randomly selected by internal ID.
Even for normal work, examiners may not be required by their bosses/their prosecutor to conduct a 100% complete examination, for example if after review of a reasonably sized and representative subset you can extrapolate that about 10% of several 10,000 photos is illegal material.
Int. Elter [nicht INV]: Der eindeutige interne Schlüssel des Elternverzeichnisses (übergeordneten Verzeichnisses) einer Datei oder eines Verzeichnisses im Datei-Überblick. Das Wort Elter wird hier als Singular verwendet, wie in der Informatik und Biologie üblich. Nützlich z. B., wenn man Dateien und Verzeichnisse exportiert und es mehrere Verzeichnisse gleichen Namens im gleichen Pfad gibt (z. B. eins existierend, eins gelöscht), so daß man anhand der internen ID des Elters einer Datei ansehen kann, in welchem Verzeichnis sie liegt, auch wenn es sich allein aus dem Namen nicht eindeutig ergibt.
Eindeutige ID [INV, FOR]: An internal identifier of a file or directory that is unique within the entire case, not just within the volume snapshot of one evidence object, and unique for the whole life time of the case. The unique ID is easily readable. It contains a delimiter, separating evidence object ID and int. ID.
Besitzer [FOR]: Die ID des Besitzers der Datei bzw. des Verzeichnisses, auf Dateisystemen, die diese Information aufzeichnen. Bei NTFS ist dies die SID, oder, wenn X-Ways Forensics diese mit Hilfe der bereits im aktuellen Fall gesichteten SAM-Registry-Dateien einem Benutzernamen zuordnen kann, der Benutzername. Filter verfügbar.
Gruppe [FOR]: Zeigt die ID der Gruppe an, die einer Datei in Linux-Dateisystemen zugeordnet ist.
Autor [INV, FOR]: Shows the names of the authors of documents of various types (MS Office, OpenOffice/LibreOffice, RTF, PDF, ...), after metadata extraction. Filter verfügbar.
Absender, Empfänger [INV, FOR]: Diese Spalten werden für von X-Ways Forensics aus E-Mail-Archiven extrahierte E-Mails und Datei-Anhänge gefüllt, sowie für ursprüngliche .eml-Dateien, wenn Metadaten aus ihne extrahiert wurden. Sie bieten Filter an, in denen Sie einen beliebigen Teil einer E-Mail-Adresse oder eines Namens eingeben können, um nach bestimmten E-Mails zu suchen. Da der Filterausdruck als Teilwort interpretiert wird, sind Jokerzeichen nicht erforderlich. Sie können wählen, welche Empfängertypen Sie mit dem Filter adressieren möchte (To:, Cc: und/oder Bcc:).
Verweise [FOR]: Die Anzahl der sog. Hard Links der Datei oder des Verzeichnisses, d. h. wie oft sie bzw. es von einem Verzeichnis referenziert wird.
A hard link that just provides a short filename (SFN) to satisfy the legacy 8.3 requirements of old Microsoft DOS/Windows versions is not counted as a hard link. Instead, such files get their hard link count marked with a ° in the Links column of the directory browser. That way, the hard link count more accurately reflects the hard links actually present in the volume snapshot of X-Ways Forensics, and normal files always have a count of 1, whereas 2 or more means something more special. If a hard link count of 1 is marked with an asterisk (*), that means that the file or directory is stored as hard-linked in the directory structure in HFS+ although it would not be necessary based on the hard link count. If the hard link count is grayed out, that designates files that will be optionally omitted during a logical search to avoid unnecessary duplicate search efforts and duplicate search hits.
Dateianzahl [INV, FOR]: Die Gesamtzahl der in einem Verzeichnis oder ein einer Datei mit Unterobjekten im Datei-Überblick enthaltenen Dateien, rekursiv, d. h. auch weitere Unterverzeichnisse mit einschließend. Die Zahl kann je nach Einstellungen auch in der Namensspalte in Klammern gefunden werden.
Begr.anz. [INV, FOR]: Die Anzahl der Suchbegriffe (nicht Suchtreffer), die in einer Datei gefunden wurden. Diese Anzeige berücksichtigt alle Suchbegriffe, die jemals in parallelen Suchen in einem Fall gefunden wurden, nicht nur diejenigen, die ggf. in der Suchbegriffsliste ausgewählt sind, wenn Sie keine Suchtreffer gelöscht haben. Sie können nach dieser Spalte sortieren, um diejenigen Dateien ganz oben zu sehen, die am wahrscheinlichsten relevant sind (weil sie mehr von den Begriffen, nach denen Sie gesucht haben, enthalten). Diese Spalte wird nur für Asservate eines Falls gefüllt.
Suchbegriffe [INV, FOR]: Listet bis zu 25 der in der Datei gefundenen Suchbegriffe auf, die in der vorangehenden Spalte gezählt werden. Nützlich, um auch im normalen Verzeichnis-Browser schnell eine Vorstellung davon zu erhalten, was für Treffer es in einer Datei gab, ohne in die Suchtrefferliste wechseln zu müssen. Filter verfügbar, der nicht auf die 25 in der Spalte angezeigten Suchbegriffe beschränkt ist.
Seitenzahl [INV, FOR]: The page count is extracted from PDF and some Office file types as part of metadata extraction and shown in this column.
Pixel [INV, FOR]: Die grobe Maße eines Bildes in KP (tausend Pixel) oder MP (Millionen Pixel, Megapixel), als Produkt aus Breite und Höhe, aus Effizienzgründen in sehr geringer Genauigkeit gespeichert. Die Abmessungen werden gleichzeit mit der Hautfarbenerkennung berechnet, außerdem beim Betrachten der Bilder (Vollbildmodus, Vorschau oder Galerie). Nützlich, um z. B. unterscheiden zu können zwischen kleinen Bildchen aus dem Browser-Cache, die man sich beim Surfen im Internet einfängt, und hochaufgelösten Digitalfotos, mit Hilfe des zugehörigen Filters. Der Filter erlaubt es, sich zu konzentrieren auf Bilder, die weniger oder gleich viele Pixel enthalten wie von Ihnen angegeben, oder mehr oder gleich viel, oder beides auf einmal. (Der Filter arbeitet aufgrund der geringen Genauigkeit der Speicherung nur annähernd exakt.) Sofern zumindest 1 Standbild aus einer Video-Datei exportiert wurde, sieht man die ungefähre Auflösung des Videos ebenfalls in dieser Spalte.
Analyse [INV, FOR]: Kombinierte Spalte, die von FuzZyDoc ermittelte Übereinstimmungen von Textdokumenten zeigt sowie PhotoDNA-Zuordnungen von Bildern und den berechneten Hautfarbenanteil von Bildern (oder die Tatsache, daß es sich um ein Schwarzweiß- oder Graustufenbild handelt oder um ein so kleines Bild, daß es keinen relevanten Inhalt haben kann). Verfügbar nach dem Erweitern des Datei-Überblicks, sofern die zugrundeliegende Technologie verfügbar ist. Sorting or filtering by this column is the most efficient way to discover traces of e.g. child pornography or search for scanned documents (gray scale or black & white pictures). Sorting by the Analysis column in descending order lists files with FuzZyDoc matches first (those files with the most confident matches for any hash set near the top, with lower percentages following), followed by PhotoDNA matches (showing the category names in an internal PhotoDNA hash database), followed by pictures with no PhotoDNA matches in descending order of their skin tone percentage. After that, irrelevant pictures are listed (picture with very small dimensions), and then files that are not pictures, and near the bottom black & white and gray scale pictures. Text color coding in that column makes it easier to distinguish between different kinds of categorizations. FuzZyDoc matches, PhotoDNA matches and color analysis results are mutually exclusive. That means that if a picture gets it colors analyzed and also a similarity with a PhotoDNA hash value is found, only the PhotoDNA category match is remembered in the Analysis column, not the skin tone percentage, because the PhotoDNA match is considered more helpful. A stylized P is displayed in the Analysis column for pictures for which at least one PhotoDNA hash value is stored in the volume snapshot. If that is the case, the hash value can be seen in Details mode.
Hash [SPE, LAB, FOR]: Bis zu zwei Hash-Werte können für eine Datei berechnet werden (z. B. MD5 und SHA-1) und werden dann in den beiden Hash-Spalten dargestellt. Filter verfügbar. Die Filter erlauben es, sich auf Dateien zu konzentrieren, für die im Datei-Überblick ein Hash-Wert verfügbar ist, für die kein Hash-Wert verfügbar ist, deren Hash-Werte mit einem bestimmten Hex-Wert beginnen (wenn Sie nur den Anfang eines Hash-Werts angeben) oder die einen bestimmten Hash-Wert haben (wenn Sie einen kompletten Hash-Wert angeben). Der Filter kann kann die Hash-Werte von Dateien mit bis zu 4 vom Benutzer in Hex-ASCII angegebenen Hash-Werten vergleichen. Das ist schneller als extra ein kleines Hash-Set in der Hash-Datenbank zu erzeugen, wenn Sie lediglich ein paar wenige Dateien finden möchten, z. B. Duplikate von Dateien mit einem bestimmten Hash-Wert, den Sie einfach aus der Hash-Spalte im Verzeichnis-Browser kopieren. Der einfachste Weg, diesen Filter so zum Auffinden von Duplikaten zu verwenden, der nicht einmal ein Kopieren und Einfügen von Hash-Werten erfordert, ist das Anklicken eines Hash-Werts einer gegebenen Datei mit der rechten Maustaste im Verzeichnis-Browser (sofern dieser dort in Hex-ASCII-Notation angezeigt wird, nicht in Base32) und dann den Befehl "Nach Duplikaten filtern" im Kontextmenü aufzurufen.
Die Hash-Spalte zeigt Pseudo-Hash-Werte in hellgrauer Farbe an, bis echte Hash-Werte berechnet werden [FOR]. Pseudo-Hash-Werte basieren nur auf den Metadaten einer Datei, nicht auf dem Datei-Inhalt. Sie sind daher auch für sehr große Dateien augenblicklich verfügbar. Sie erlauben es Ihnen, Dateien in zufälliger Reihenfolge aufzulisten, genauso als wenn Sie nach echten Hash-Werten sortieren, aber ohne daß Sie erst Zeit investieren müssen, um echte Hash-Werte zu berechnen. Das ist nützlich z. B. für eine Vorab-Durchsicht (Triage), wenn Sie nur wenig Zeit zur Verfügung haben und nur einen schnellen Blick auf zufällig ausgewählte Dateien in größeren Asservaten werfen möchten (z. B. Bilder in der Galerie), um sich eine Meinung darüber zu bilden, wie relevant das Asservat sein könnte.
Das Betrachten von Dateien in zufälliger Reihenfolge gibt Ihnen einen vollständigeren, repräsentativeren und akkurateren Eindruck davon, was in dem Asservat gespeichert, weil die ersten x% der aufgelisteten Dateien vielfältiuger und repräsentativer für das gesamte Asservat sind, wenn sie in wirklich zufälliger Reihenfolge aufgelistet werden. Wenn Sie hingegen nach Name oder Pfad oder Größe oder Zeitstempeln o. ä. sortieren, sind viele der Dateien, die Sie sehen, wahrscheinlich in gewisser Weise ähnlich (von derselben Anwendung erzeugt oder vom Betriebssystem, vom selben Benutzer, für ähnliche Zwecke, erzeugt oder kopiert oder empfangen ungefähr zur selben Zeit, selber Dateityp, ...), so daß Sie mit etwas Pech nur irrelevante Dateien sehen, auch wenn es eine gleich große Gruppe von relevanten Dateien gibt. Bedenken Sie, wenn Sie im Verzeichnis-Browser gar nicht sortieren lassen, ist die Ansicht ebenfalls verzerrt, weil Sie die Dateien in der Reihenfolge sehen, wie sie vom Datei-Überblick referenziert werden, was ungefähr die Reihenfolge ist, in der die Dateien vom Dateisystem referenziert werden, also nicht zufällig.
Das Sortieren nach Hash-Werten kann mit einem beliebigen Filter kombiniert werden, z. B. um nur Bilder, die größer als 1 MB sind, in zufälliger Reihenfolge zu sehen, oder nur Dateien eines bestimmten Benutzers. Pseudo-Hashes sind nicht garantiert eindeutig. Es ist nicht mal sicher, daß sie gleich bleiben, wenn Sie ein Asservat schließen und wieder öffnen.
Welcher von potentiell zwei Hash-Werten pro Datei im Datei-Überblick in der Hash-Spalte angezeigt wird, kann in dem Dialogfenster mit den Verzeichnis-Browser-Optionen geändert werden. Entweder wird der erste Hash-Wert oder der zweite oder beide zu gleichen Zeit angezeigt (letzteres wenn das Kontrollkästchen dafür halb angekreuzt ist). Der Hash-Spalten-Filter wird auf den Hash-Wert oder die Hash-Werte angewandt, die zu der Zeit angezeigt werden. Welche(r) Hash-Typ(en) in der Hash-Spalte angezeigt werden, kann man im Spaltenkopf sehen.
Hash-Set [INV, FOR]: Die Namen der Hash-Sets in der internen Hash-Datenbank, in denen der Hash-Wert der Datei gefunden wurde. Bis zu 64 Treffer werden aufgeführt. Filter verfügbar. The Hash Set column shows known matches for both internal hash databases simultaneously. The filter can be used to filter for selected hash sets of one of the databases at a time. The database to choose hash sets from can be selected in the filter dialog.
Hash-Kategorie [INV, FOR]: Die Kategorie des Hash-Sets, in dem der Hash-Wert der Datei, sofern verfügbar, enthalten ist. Entweder "irrelevant" oder "beachtenswert" oder nicht angegeben. Filter verfügbar. Note to users with two internal hash databases: The Hash Category column shows only one category. If you assign the hash value of a certain file in one hash database to one category and the hash value of the same file in the other hash database to the other category, you will be warned once during matching and given exact information about which hash value in which hash sets in which hash databases are conflicting. The categorization as "notable" will prevail when in doubt.
Berichtstabelle [INV, FOR]: Die Namen der Berichtstabellen, denen die Datei oder das Verzeichnis zugeordnet wurde. Filter verfügbar. If the parent file of a file has been assigned to one or more report tables by the user, then this is pointed out in the "Report table" column for the child object as well, in light gray color and with an arrow, except if the child object has report table associations itself. Reminds the user that the parent was reviewed and marked as relevant already, which can spare him or her the extra step of navigating to the parent again.
Kommentar [INV, FOR]: Der Freitextkommentar, mit dem eine Datei oder ein Verzeichnis vom Benutzer versehen wurde. Filter verfügbar.
Metadaten [INV, FOR]: Interne Datei-Metadaten können aus Dateien diverser Typen beim Erweitern des Datei-Überblicks extrahiert und in dieser Spalte dargestellt werden. Es handelt sich um eine Untermenge der umfangreicheren Metadaten, die im Details-Modus präsentiert werden, und sie eignet sich vor allem zum Filtern, Exportieren und für die Ausgabe im Bericht. Sie kann editiert werden mit einem Befehl im Kontextmenü des Verzeichnis-Browsers. Bitte beachten Sie, daß das oft in der Metadaten-Spalte vorkommende Wort "Generator-Signature" intern nicht wörtlich gespeichert ist und daher nicht von einer logischen Suche oder dem Filter gefunden wird.
Metadata, Comments, and Event Description filters support the use of up to 4 expressions, which can be flexibly combined with AND and OR. The last combination always has priority. For example "A and B or C" is interpreted as "A and (B or C)". "A or B and C" is interpreted as "A or (B and C)". The expressions may start with a colon to indicate NOT at the expression level.
Zusätzliche Spalten für Suchtrefferlisten [INV, FOR]: Physischer/absoluter Offset, logischer/relativer Offset, Beschreibung der Art des Suchtreffers (Codepage/Unicode, ob in decodiertem Text, ob im Schlupf gefunden), Suchtreffer mit Kontextvorschau. Wenn der logische/relative Offset in grau angezeigt wird, dann ist es kein Offset in der betreffenden Datei, sondern in derem decodierten Text.
Zusätzliche Spalten für Ereignislisten [INV, FOR]: Zeitstempel, Ereignistyp, Ereigniskategorie, Beschreibung.
Noch ein paar Tipps: Ein einziger Rechtsklick auf einen Spalten-Kopf im Verzeichnis-Browser schaltet einen Filter auf die schnellsmögliche Weise ein oder aus, ohne das Dialogfenster mit den Filtereinstellungen zu zeigen. Sie erhaltene eine textuelle Übersicht über alle gegenwärtig aktiven Filter mitsamt ihren Einstellungen, indem Sie das blaue Trichtersymbol am linken oder rechten Ende der Überschriftszeile des Verzeichnis-Browsers mit der rechten Maustaste anklicken.