Datei-Container
Nur mit forensischer Lizenz verfügbar. Das Specialist-Menü erlaubt es, einen neuen Datei-Container anzulegen, einen existierenden zum weiteren Befüllen zu öffnen und den aktiven Datei-Container wieder zu schließen. Befüllt werden kann ein Container mit ausgewählten Dateien über das Kontextmenü des Verzeichnis-Browsers.
Wenn Sie ausgesuchte Dateien (auch von verschiedenen Asservaten) mit besonderer Relevanz für einen Fall gesammelt und bequem an andere Beteiligte des Verfahrens weitergeben möchten (z. B. spezialisierte Ermittler), die irrelevante Dateien nicht zu sehen brauchen oder sogar nicht sehen dürfen, empfehlen sich Datei-Container. Darin bleiben die allermeisten Metadaten aus dem Dateisystem (Name, Pfad, Größe, Attribute/Filemode, Zeitstempel, Löschzustand, Klassifikation als alternativer Datenstrom oder virtuelle Datei oder E-Mail oder Datei-Anhang, ...) und insbes. natürlich der Inhalt der kopierten Dateien erhalten. Auch wenn ein konventionelles (physisches, sektorweise erstelltes) Image übertrieben und zu zeitaufwendig wäre, weil Sie nur einige ausgewählte Dateien zu sichern brauchen und keine kompletten Datenträger, bieten sich Datei-Container an. Datei-Container enthalten ein spezielles Dateisystem (XWFS), das die meisten Metadaten aus konventionellen Dateisystemen der Windows-, Linux- und Apple-Welt aufnehmen kann.
Datei-Container lassen sich wie andere Image-Dateien auch interpretieren, einem Fall hinzufügen und bequem untersuchen. Container können insbes. auch in X-Ways Investigator [CTR] eingelesen werden, der stark vereinfachten Version von X-Ways Forensics für Ermittler, die nicht auf EDV spezialisiert sind, sondern in anderen Gebieten wie Bestechung, Rechnungswesen, Kinderpornographie, Baurecht, usw. Der Empfänger eines Containers kann den Container zu seinem eigenen Fall hinzufügen, die darin enthaltenen Dateien genau wie in einer Festplattenpartition oder einem konventionellen Image einsehen, Stichwortsuchen laufen lassen, Kommentare zu Dateien eingeben, Dateien zu Berichtstabellen hinzufügen, Berichte erstellen usw. Berichtstabellenverknüpfungen können sogar exportiert und in den Originalfall wieder importiert werden, über Befehle im Kontextmenü des Fallbaums. Dies erlaubt es, den großen Analyseaufwand in größeren Verfahren auf mehrere Ermittler, die parallel arbeiten, zu verteilen, und deren Ergebnisse auch wieder zusammenzuführen.
Das aktuelle Container-Format kann von diversen Computerforensik-Tools verstanden werden, die nicht von X-Ways stammen. Ältere Versionen von WinHex (mit Specialist-Lizenz oder höher), X-Ways Forensics und X-Ways Investigator können es ebenfalls verstehen. All diese Tools können die Datei-Inhalte und die grundlegensten Metadaten lesen (z. B. Dateiname, Pfad, diverse Attribute, die meisten Zeitstempel, existierend oder gelöscht). Um die größtmögliche Menge von Metadaten aus einem Container zu importieren, verwenden Sie aber bitte WinHex/X-Ways Forensics/X-Ways Investigator 16.3 oder neuer. Weitere Informationen. Änderungen vorbehalten: Wenn ein Datei-Container nicht mehr als 1.000 Objekte enthält, kann er in WinHex mit jeglichem Lizenztyp geöffnet und interpretiert und als Laufwerksbuchstabe eingebunden werden, sogar in der Evaluationsversion, kostenlos und nicht nur zu Evaluationszwecken.
Container können theoretisch bis zu 1 Milliarde Objekte aufnehmen. Es wird automatisch verhindert, daß Sie dieselben Dateien versehentlich zweimal in den gleichen Container kopieren. Wenn Sie den Inhalt des Containers während des Befüllens im Auge behalten möchte, so ist dies kein Problem. Sie können den Container demselben Fall dazu vorübergehend als Asservat hinzufügen, während er zum Befüllen geöffnet ist. Sie brauchen ihn nicht aus dem Fall zu entfernen oder das Asservat zu schließen, um den Container weiter zu befüllen. Nach jeden Befüllungsschritt können Sie den Datei-Überblick des Containers neu einlesen, um den vollständigen aktuellen Inhalt zu sehen. Und wenn Sie am Ende mit dem Befüllen des Containers fertig sind, können sie ihn aus dem Fall entfernen, da er darin wahrscheinlich nicht mehr benötigt wird.
Um die Quelle von Dateien im Container, die aus verschiedenen Asservaten stammen, deutlich zu machen, können die jeweiligen Asservatnamen als oberste Verzeichnisebene im Container aufgenommen werden. If the option to insert an artificial top directory level is only half selected, that means that only the the names of partition evidence objects are included that have a physical evidence object as a parent. Useful if the parent evidence object name is very long and redundant to include because you will fill your entire container only with files from that physical evidence object and will reference that object's name in the container name already.
Künstliche Verzeichnisse können optional in Containern angelegt werden, um Unterobjekte von Dateien aufzunehmen, zur besseren Kompatibilität mit Tools, die Dateien nicht als Unterobjekte von anderen Dateien akzeptieren (Tools anderer Hersteller sowieso WinHex/XWF/XWI 15.9 und älter). WinHex/XWF/XWI 16.0 und neuer (jeweils neuestes Service-Release) brauchen keine solchen künstlichen Verzeichnisse.
Beim Erstellen eines Containers wählen Sie zwischen der normalen direkten Füllmethode und einem indirekten Weg. Indirekt heißt, Datei-Inhalte werden dem Container über den Umweg der eigenen Festplatte hinzugefügt werden. Sie werden nicht direkt in den Container kopiert, sondern zunächst in das Verzeichnis für temporäre Dateien (s. Allg. Optionen), und dann erst von dort in den Container. Das hat den Vorteil, daß ein aktives Virenschutzprogramm die Gelegenheit hat, die Dateien abzufangen, d. h. zu prüfen, unschädlich zu machen, umzubenennen, zu verschieben, zu löschen, zu sperren usw. Es kann also verhindern, daß die Dateien in den Container gelangen. Der Container bleibt dann mit hoher Gewißheit virenfrei und kann in verantwortlicher Weise in einer Umgebung mit höheren Sicherheitsanforderungen/größerem Schutzbedürfnis weitergegeben werden. Bitte prüfen Sie zunächst, ob Ihr Virenschutz beim indirekten Befüllen des Containers wie gewünscht anschlägt, bevor Sie sich darauf verlassen.
Eine optionale interne Bezeichnung (bis zu 31 Zeichen) kann angegeben werden. Diese wird als Volume-Label des XWFS-Dateisystems verwendet. Eine optionale Beschreibung kann auch in den Container integriert werden (bis zu 60.000 Zeichen). Diese wird beim Hinzufügen des Containers in einen Fall importiert und ist dann in den Kommentaren zu dem Asservat sichtbar. Die im Container gespeicherte Beschreibung kann auch später noch hinzugefügt oder bearbeitet werden.
Einem aktiven (d. h. geöffneten oder gerade neu erstellten) Datei-Container können Sie im Verzeichnis-Browser ausgewählte Dateien per Kontextmenu hinzufügen. Entweder man kopiert dann den logischen Datei-Inhalt, den logischen Inhalt und den Schlupf separat, nur den Schlupf, nur einen im Datei-Modus ausgewählten Block oder sogar nur die Metadaten des Dateisystems. Sie können des weiteren angeben, ob Unterobjekte gewählter Dateien mitkopiert werden sollen, auch wenn sie nicht selbst ausgewählt sind, und zwar entweder Unterobjekte jeglicher Art (wenn ganz gewählt) oder nur Datei-Anhänge von E-Mails (wenn die Option halb gewählt ist).
Optional können Container die Daten/Inhalte von Verzeichnissen selbst transportieren, d. h. abhängig vom Dateisystem Verzeichniseinträge, INDX-Puffer usw. Dies ist nützlich, wenn der Empfänger des Containers technisch bewandert ist und sich für Zeitstempel oder sonstige Metadaten in diesen Datenstrukturen interessieren könnte. Falls Sie sich entscheiden, Verzeichnisdaten in einen Container aufzunehmen, wenn Sie ihn erzeugen, hat das direkte Auswirkungen nur auf Verzeichnisse, die selbst ausgewählt sind. Es hat einen Effekt auf das jeweilige direkte Elternverzeichnis von gewählten Objekten nur dann, wenn Sie eine weitere Option einschalten ("Daten/Inhalte übergeordneter Objekte aufnehmen"). Diese weitere Entscheidung ist erforderlich, weil die Verzeichnisdaten sonst unbeabsichtigt Namen und sonstige Metadaten von Dateien enthüllen könnten, die z. B. aus Datenschutzgründen bewußt nicht in den Container aufgenommen wurden.
Wenn Sie Dateien, die Unterobjekte anderer Dateien sind, incl. Pfad kopieren, wird die übergeordnete Datei zumindest als leere Hülle (ohne Daten) in den Container aufgenommen, damit das Unterobjekt mit dem korrekten ursprünglichen Pfad im Container erscheint und klar ist, woher sie stammt. Beispiele sind eine E-Mail, zu der der ausgewählte Datei-Anhang gehört, ein Zip-Archiv, das die ausgewählte Datei enthält, oder ein Dokument, in dem das ausgewähltes Bild eingebettet ist. Bei eingeschalteter Option Daten/Inhalte direkt übergeordneter Objekte aufnehmen wird auch der Inhalt einer ggf. übergeordneten Datei automatisch mitkopiert, selbst wenn die übergeordnete Datei gar nicht selbst zum Kopieren ausgewählt war.
Einem Container kann jede Datei hinzugefügt werden, der Teil eines Datei-Überblicks sind, also z. B. auch einzelne extrahierte E-Mails. Einmal hinzugefügte Dateien können nicht wieder physisch entfernt, aber permanent ausgeblendet werden. Es gibt die Möglichkeit, automatisch Berichtstabellen-Verknüpfungen für Dateien zu erzeugen, die zu einem Datei-Container hinzugefügt wurden.
Optional können Hash-Werte von den kopierten Dateien im Container gespeichert werden. Dies erlaubt es, die Integrität der Datei später zu überprüfen, wenn der Container einem Fall hinzugefügt wurde, durch das Erweitern des Datei-Überblicks. Die Hash-Werte werden direkt für die Daten berechnet, wie sie vom Original-Quelldatenträger gelesen werden (wenn Sie nicht nur Metadaten in den Container übertragen), oder aus dem Datei-Überblick übernommen, sofern verfügbar.
Optional kann die Person, die einen Container erstellt, Berichtstabellen-Verknüpfungen (entweder alle oder nicht solche von X-Ways Forensics automatisch erstellten) und/oder Kommentare zu den in den Container zu kopierenden Dateien mit weitergeben. Dies ist nützlich, wenn nicht nur eine Sammlung von Dateien an andere Ermittler weitergegeben werden soll, sondern auch weitere fallspezifische Informationen und bereits gewonnene Erkenntnisse. Z. B. könnte der Kommentar den Grund dafür angeben, aus dem eine Datei zur Weitergabe im Container überhaupt ausgewählt wurde. Please note that transferring extracted metadata to the container is not recommended if the recipient would like to work with an event list because events are not transferred to the container and events derived from within file contents will not be added to the event list if a file is marked as already metadata-processed.
Vorgang bei Lesefehler abbrechen: This option allows to abort copying files into an evidence file container upon a read error and to not include affected files partially. Useful when acquiring files from a network location and the connection might be interrupted, if you assume that if that happens you will get the connection back and will be more successful when you try again, to avoid having incomplete files in the container, which cannot be replaced with a complete copy retroactively. Available only when not filling containers indirectly.
Beim Schließen eines im Hintergrund geöffneten Containers wird dem Benutzer angeboten, den Container zu komprimieren, zu verschlüsseln und/oder in kleinere Segmente aufzuteilen. Das Aufteilen ist nützlich, wenn der Container vollständig befüllt wurde, relativ groß geraten ist und z. B. auf CDs oder DVDs verschickt werden soll. Sie finden vielleicht auch einen überprüfbaren Hash-Wert für den gesamten Container nützlich, der bei dieser Gelegenheit berechnet und in den Zielcontainer eingebettet werden kann. Des weiteren gibt es eine Option zum Einfrieren des Dateisystems in dem Zielcontainer, den Sie im .e01-Evidence-File-Format erzeugen, so daß er nicht weiter befüllt werden kann, auch nicht nach Rückumwandlung ins Roh-Image-Format.