Berichtstabellen
Im Verzeichnis-Browser eines Asservats kann man relevante Dateien in Berichtstabellen aufnehmen. Eine Berichtstabelle ist einer benutzerdefinierte (virtuelle) Liste von Dateien, insbes. relevante Dateien. Dateien, die mit Berichtstabellen verknüpft sind, können leicht in den Fallbericht aufgenommen werden (mit all ihren Metadaten und einem Link zur Datei, Bilder sogar direkt), und Sie können in einer rekursiven Ansicht nach der Berichtstabellen-Verknüpfung filtern, um diese später leicht wiederfinden zu können (wie ein Lesezeichen/Aktenvermerk). Der Filter kann Dateien in mehreren Berichtstabellen mit den Operatoren ODER, UND und NICHT verknüpfen und hat sogar eine Option, die zusätzlich die "Geschwister" von Dateien in einer Berichtstabelle mit ausgeben kann, d. h. Dateien im selben Verzeichnis. Das ist nützlich, insbes. wenn man rekursiv erkundet und nach Pfad sortiert, um zu prüfen, ob weitere relevante Dateien in der Nachbarschaft zu finden sind.
Z. B. könnten Sie Berichtstabellen erstellen mit Beschreibungen wie "Verbindung zu Fa. X", "Beweise gegen Beschuldigten B", "Kipo", "zweifelhafte Betriebsausgabe", "an Kollege Müller weitergeben", "später noch ausdrucken", "übersetzen lassen" usw. Und später, wenn Sie alle Dateien systematisch durchgegangen sind, können Sie sich mit Hilfe des Berichtstabellenfilters einen Überblick verschaffen (z. B. "Zeige mir alle Dateien, die eine Verbindung zu Fa. X nahelegen und zugleich als Beweise gegen Beschuldigten B eingestuft wurden."). Sie weisen Dateien also praktisch einer von Ihnen selbst definierten Kategorie zu. Zugleich erlaubt Ihnen die Verknüpfung auch, sich Dateien bequem erneut aufzusuchen, um sie genauer unter die Lupe nehmen zu können.
Dateien in speziellen Berichtstabellen aufzunehmen ermöglicht es bspw. des weiteren, sie in einem einzigen Durchgang später herauszukopieren oder in einer zusammenhängenden Galerie-Übersicht zu betrachten. Dieselbe Datei kann auch mit mehreren Berichtstabellen verknüpft werden. Die Verknüpfung definieren Sie in dem Dialogfenster, das beim Aufruf des Befehls "Berichtstabellen-Verknüpfung" im Kontextmenü des Verzeichnis-Browsers erscheint, für eine Datei oder mehrere ausgewählte Dateien auf einmal. Dieses Dialogfenster zeigt nicht bestehende Verknüpfungen für die ausgewählte(n) Datei(en) an (das wäre für mehrere Dateien auf einmal auch schwierig, dazu statt dessen einfach in die Spalte "Berichtstabelle" schauen), sondern erzeugt auf komfortable und benutzerkonfigurierbare Weise neue Verknüpfungen und/oder entfernt bestehende Verknüpfungen. In der Voreinstellung beim nächsten Aufruf des Befehls sind die zuletzt ausgewählten Berichtstabellen automatisch wieder ausgewählt. Im selben Dialogfenster können Sie auch neue Berichtstabellen anlegen, bestehende umbenennen oder löschen, und existierende Verknüpfungen für die ausgewählte(n) Datei(en) entfernen/ersetzen. Sie können für jede Berichtstabelle einzeln festlegen, ob Sie typischerweise nur die ausgewählte Datei oder das ausgewählte Verzeichnis selbst mit der Berichtstabelle verknüpfen möchte und/oder zugleich die Elterndatei einer Datei (falls sie eine hat) und/oder die Unterobjekte von Dateien/Verzeichnissen und/oder etwaige bekannte Duplikate der ausgewählten Datei in zu dem Zeitpunkt offenen Asservaten (anhand von Hash-Werten erkannte und in der Attributspalte entsprechend gekennzeichnete Duplikate, s. Kontextmenü, und außerdem harte Verweise außer in HFS+).
Eine weitere Option erlaubt das automatische Verknüpfen von Geschwistern der ausgewählten Dateien mit Berichtstabellen. Das ist z. B. nützlich beim Begutachten von Suchtreffern, wenn Sie relevante Suchtreffer im Anhang einer E-Mail finden und Sie sicherstellen wollen, daß etwaige andere Attachments derselben E-Mail auf dieselbe Weise weiterverarbeitet werden, auch wenn sie keine Suchtreffer enthalten.
Wenn Sie viele Dateien mit Hilfe von Berichtstabellen kategorisieren möchten, können Sie auch Tastenkombinationen dazu nutzen. X-Ways Forensics ordnet Ihren Berichtstabellen automatisch die Tastenkürzel Strg+1, Strg+2, ..., Strg+9 zu. In dem Dialogfenster für Berichtstabellen-Verknüpfungen können Sie diese Tastenkürzel auch selbst vergeben, indem Sie die Tasten drücken während eine Berichtstabelle ausgewählt ist. Ohne Verbindung mit der Strg-Taste können Sie auch einfach die entsprechende Taste im Nummernblock drücken, wenn Num Lock aktiv ist. In diesem Fall werden die Tastendrücke nicht als Eingabe in den Verzeichnis-Browser verstanden, obwohl die Strg-Taste nicht gedrückt ist. Die Alternative mit dem Nummernblock funktioniert evtl. nicht auf allen Computern. Strg+0 entfernt alle Berichtstabellen-Verknüpfungen von den ausgewählten Dateien. Alt+1, Alt+2, ..., Alt+9 entfernt die Verknüpfung mit der betreffenden Berichtstabelle von den ausgewählten Dateien.
Optional kann automatisch das nächste Objekte im Verzeichnis-Browser ausgewählt werden, nachdem das vorherige mit einer Berichtstabelle verknüpft wurde. Ein dreistufiges Kontrollkästchen entscheidet darüber, ob dies geschehen soll, und wenn ja, ob für alle Verknüpfungsmethoden oder nur für Verknüpfungen über Tastenkombinationen.
Sie können freien Text als Beschreibung für jede Berichtstabelle hinterlegen, wenn Sie den Schalter mit dem Eigenschafts-Icon im Dialogfenster für Berichtstabellenverknüpfungen anklicken. Diese Beschreibung wird im Fallbericht zu sehen sein, wenn Sie die Berichtstabelle ausgeben. Sie ist nützlich für Erklärungen zur Bedeutung der Berichtstabelle und hilft, den Namen der Tabelle selbst, der an diversen Stellen in der Benutzeroberfläche erscheint, kürzer fassen zu können.
Es gibt eine Option zum Erzeugen von Berichtstabellenverknüpfungen für Dateien anhand der Suchbegriffe, die sie laut Spalte "Suchtreffer" enthalten. Nützlich, wenn Sie die Informationen darüber, welche Datei welche Suchbegriffe enthält, auch nach dem Löschen der Suchtreffer behalten möchten, oder um sie in Datei-Containern zu konservieren. Berichtstabellen, die enthaltene Suchbegriffe repräsentieren, stellen die 3. Art von Berichtstabellen dar, die es gibt. Die ersten beiden sind von X-Ways Forensics erstellte Berichtstabellen, die den Benutzer auf bestimmte Besonderheiten von Dateien aufmerksam machen sollen, sowie vom Benutzer erzeugte Berichtstabellen für allgemeine Zwecke.
Another option allows to convert matching hash sets to report table associations. This can be useful for example if you wish to recreate your hash database from scratch or delete your hash database, and do not only wish to preserve the hash category of known files in the volume snapshot, but also the exact matching hash set names. Also useful if you wish to add files to an evidence file container and wish to let the recipient know the original hash set matches, not only the hash category. These auxiliary report tables are highlighted in a different color to distinguish them from other kinds of report tables. Associations with hash set based report tables can also be created on the fly when copying files to an evidence file container.
In total there are 5 different kinds of report tables: 1) user-created report tables, which may or may not be meant for report purposes, 2) report tables created by X-Ways Forensics to make the user aware of special properties of files, 3) report tables representing search terms that are contained in a file, 4) report tables representing hash sets in which a file was found, 5) report tables representing groups of duplicate files. To avoid a bloated list of report tables available for selection during report creation, report tables are now offered in that dialog window only if they are actually intended for report purposes. That is assumed by default for all user-created report tables. You can toggle the report purpose of each report table in the report table association dialog window, by assigning or removing the "star" symbol.
Es ist möglich, Listen von Berichtstabellennamen im Dialogfenster für die Erstellung von Berichtstabellenverknüpfungen zu laden und zu speichern. Das ist nützlich, um gleich mit einer Reihe von vordefinierten Berichtstabellen zu starten, wie sie typischerweise in einer bestimmten Art von Fall benötigt werden. Die maximale Anzahl von Berichtstabellen in einem Fall beträgt 1000.
Berichtstabellenverknüpfungen können über das Kontextmenü des Falldatenfensters aus Asservaten exportiert und wieder importiert werden. Siehe Weitere Möglichkeiten zur verteilten Auswertung.
Um Berichtstabellen in einen Bericht auszugeben, verwenden Sie den Befehl "Bericht erstellen" im Falldatenfenster. Das ist ihr ursprünglicher Zweck, und daher haben Berichtstabellen ihren Namen.
Berichtstabellenverknüpfungen werden auch intern von X-Ways Forensics verwendet und automatisch erzeugt, um Sie, den Benutzer, auf Besonderheiten von Dateien hinzuweisen, getreu dem Motto "Melden macht frei". Inwieweit Sie solche Dateien genauer prüfen, bleibt Ihnen überlassen. Die Namen von intern angelegten Berichtstabellen werden eingerückt und farblich unterschiedlich dargestellt, um Verwechslungen auszuschließen. Typische Beispiele für solche Berichtstabellen sind:
Ohne erkennbaren textuellen Inhalt
Text nicht decodierbar
Fehlermeldungen s. Metadaten
Erkunden fehlgeschlagen
Leeres Archiv?
Übergreifendes Archiv
Keine E-Mails gefunden
Pfad zu lang.
Large non-resident $EA
Animated GIF
Animated PNG
Multi-page TIFF
Multi-page JPEG marker
Phone screenshot?
Zip bomb? Not fully processed
Unexpected tail (SFX?) / Contains unknown segment (SFX?)
FSG Packer / PECompact / UPX / Unknown segment / Binder?
Enthält eingebettete Dokumente
Contains embedded object(s)
Contains embedded file
Contains hidden file
Hybrid-MS-Office-Dokument!
RAR hybrid
Contains embedded non-JPEG/non-PNG picture
Enthält ältere, nicht sichtbare Stände
Concatenated-PDF
Contains private chunk
Keine Bilder extrahiert
Absturzursache?
Unsupported file type variant
Ausgelassen
Nicht kopiert
Virenverdacht
Nicht lesbar
Not decompressed