Parallele Suche
Dieser Befehl im Suchen-Menü ist verfügbar für Inhaber von Specialist- und forensischen Lizenzen verfügbar, und bietet alle Optionen nur für Inhaber von forensischen Lizenzen. Diese Suche arbeitet parallel in dem Sinn, daß sie Sie nach nach einer praktisch unbegrenzt langen Liste von Suchbegriffen zugleich suchen läßt (1 pro Zeile). Die Vorkommnisse dieser Suchbegriffe werden gespeichert und aufgelistet in der Suchtrefferliste eines Asservats (für forensische Lizenzen, beim Arbeiten mit einem Fall) oder im allgemeinen Positions-Manager.
Sie können die parallele Suche einsetzen, um systematisch mehrere Festplatten oder Image-Dateien in einem einzigen Durchlauf nach Wörter zu durchsuchen wie "Droge", "Kokain", (umgangssprachliches Synonym Nr. 1 für Kokain), (umgangssprachliches Synonym Nr. 2 für Kokain), (umgangssprachliches Synonym Nr. 3 für Kokain), (umgangssprachliches Synonym Nr. 3 für Kokain in alternativer Schreibweise), (Name von Händler Nr. 1), (Name von Händler Nr. 2), (Name von Händler Nr. 3) usw. Die Suchtreffer vermögen die Untersuchung einzuschränken auf eine Liste von Dateien, auf die Sie sich konzentrieren können.
Die parallele Suche kann physisch in Sektoren oder logisch in Dateien suchen, oder in einem zuvor erstellten Index. Physisch sucht sie alle Sektoren eines Datenträgers in der Reihenfolge Ihrer LBA-Numerierung ab (es sei denn, Sie suchen aufwärts, dann wird die Reihenfolge umgekehrt). Wenn Sie WinHex die Treffer einer physischen Suche nicht auflisten lassen, können Sie die F3-Taste betätigen, um zum nächsten Treffer zu springen. Logisch geht die Suche dateiweise vor, was vorteilhaft ist, da viel mächtiger und sorgfältiger. Mehr über die logische Suche.
Sie können dieselben Suchbegriffe zugleich in bis zu 6 Codepages suchen. Die in Ihrem Windows-System aktive Standard-Codepage ist mit einem Sternchen kenntlich gemacht und anfangs voreingestellt. Z. B. auf Computern in Westeuropa und in den USA ist dies die Codepage 1252 ANSI Lateinisch I. Die Codepages mit der Bezeichnung »ANSI« im Namen werden in Microsoft Windows verwendet. »MAC« zeigt eine Codepage des Apple Macintosh an. »OEM« bezeichnet eine Codepage, die von MS-DOS und Windows-Kommandozeilenfenstern zum Einsatz kommt. Wenn ein Suchbegriff nicht in die ausgewählte Codepage umgesetzt werden kann, weil er Zeichen enthält, die in dieser Codepage unbekannt sind, wird eine Warnung ausgegeben. Codepage-unabhängige GREP-Suchen nach exakten Byte-Werten sind möglich, wenn Sie in einer Pseudo-Codepage namens "Direct byte-wise translation for GREP" suchen, die Byte-Werte ohne jede Anpassung für bestimmte Codepages oder Groß- und Kleinschreibung sucht. X-Ways Forensics erlaubt das Suchen in Little-Endian- und Big-Endian-UTF-16 sowie in jeder regionalen Windows-Codepage sowie UTF16 mit darübergestülptem MS Outlook Cipher (compressible encryption).
Sie können definieren, welche Zeichen als Teil von Wörtern betrachtet werden sollen. Das ist nützlich, um falsche Treffer für kurze natürlichsprachliche Wörter in binären Mülldaten oder Base64-Code zu vermeiden und generell für Benutzer, die Zahlen als Teil von Wörtern ansehen (so wie in "GIF89"). Beispiel: Ein nicht wünschenswerter Treffer für "Band" in "7HZsIF9BAND4TpkSbSBS" kann verhindert werden, wenn Sie nur nach ganzen Wörtern suchen UND Sie das Alphabet so geändert haben, daß es auch die Ziffer 0-9 mit einschließt, d. h. so daß diese als Wort-Zeichen betrachtet werden.
Es ist möglich, eine (unvollständige) Suchtrefferliste bereits dann einzusehen, wenn die Parallele Suche noch nicht beendet ist. Sie können den Schalter für die Suchtrefferliste jederzeit anklicken und die vorläufige Trefferliste betrachten. Zusätzliche Suchtreffer, die sich aufgrund der weiterlaufenden Suche ansammeln, werden aufgelistet, wenn Sie die Suchtrefferliste aktualisieren, wie auch sonst durch einen Klick auf den Enter-Schalter in der Suchbegriffsliste. Dieses Vorgehen ist nützlich z. B. bei einer Einsichtnahme eines laufenden Rechners vor Ort, um herauszufinden, ob ein Datenträger möglicherweise relevante Dateien enthält und sichergestellt werden soll. Wenn nach Durchsuchen von 5% aller Daten und Betrachten der bis dahin gesammelten Suchtreffer diese Frage bereits mit Ja beantwortet werden kann, kann die Suche abgebrochen werden, und es wurde viel Zeit gespart.
Allgemeine Suchoptionen
Optionen und Vorzüge der logischen Suche