Überlagerung von Sektoren

WinHex & X-Ways

Überlagerung von Sektoren

 

Mit dieser Funktion können Sie Sektoren von als schreibgeschützt geöffneten Datenträgern oder interpretierten Images mit anderen Daten überlagern. Das kann nützlich sein, wenn Sie kleinere, vorübergehend erforderliche, virtuelle Änderungen an den Daten in den Sektoren innerhalb des Programms vornehmen müssen, um die Daten intern richtig interpretiert zu bekommen, wenn Sie aber die Daten auf dem Datenträger oder im Image selbst nicht ändern möchten oder dürfen (oder nicht können, weil es sich nicht um ein Roh-Image, sondern ein .e01-Evidence-File handelt) und auch nicht eine weitere komplette Arbeitskopie eines Images von z. B. 2 TB Größe erzeugen möchten, wenn nur 1 Byte geändert werden muß. Solche Anpassungen können vonnöten sein z. B. in Fällen, in denen eine Partitionstabelle oder Dateisystem-Metadaten leicht falsche Werte enthalten, in denen lediglich das Fehler einer bestimmten Signatur WinHex davon abhält, das Dateisystem zu erkennen, oder in denen ein einziges umgekipptes Bit verhindert, daß WinHex $MFT in NTFS findet oder lediglich ein falsches Nibble das Erkennen einer Partition als eine LVM2-Container-Partition vereitelt usw. usf. In solchen Situationen können Sie die korrigierten Daten manuell bereitstellen und über die gelesenen Daten legen und dann hoffentlich ohne weitere Probleme mit dem Datenträger bzw. dem Image arbeiten und alle Partitionen und Dateien aufgelistet bekommen, als ob alles in Ordnung wäre. Diese Funktionalität ist gedacht für fortgeschrittene Benutzer, die nicht so leicht aufgeben, wenn sie zunächst "nichts" sehen, und ein gewisses Maß an Verständnis für Datenstrukturen auf niedriger Ebene mitbringen und Wissen darüber, wie diese zu reparieren sind.

 

Sie können die Überlagerung ein- und ausschalten für den Datenträger oder die Partition im aktiven Datenfenster durch Aufruf des Menübefehls Bearbeiten | Sektoren überlagern. Dieser Befehl erlaubt es Ihnen, eine Datei auszuwählen mit dem Roh-Inhalt von Sektoren. Z. B. können Sie eine solche Datei erzeugen, indem Sie ein oder mehrere Sektoren als Block auswählen, den Block in eine neue Datei kopieren, die notwendigen Änderungen darin vornehmen (sogar in X-Ways Forensics möglich, weil normale Dateien anders als Datenträger und interpretierte Images editiert werden können) und die Datei dann speichern. Wenn die Datei dann angewandt wird, wird ihr Inhalt über die gelesenen Originalsektoren geschichtet, beginnend mit dem Sektor, indem sich der Cursor befindet, oder falls die Datei einen Namen der Art "*n.sector" hat, wobei n eine Zahl ist, wird sie auf die Sektoren beginnend bei Sektor n angewandt, und alle anderen Dateien im selben Verzeichnis, deren Namen auf die gleiche Maske passen, werden ebenfalls auf die entsprechenden Sektoren wie im jeweiligen Dateinamen angegeben angewandt. Sie sehen nun die überlagernden Daten sofort, wenn Sie zu den betroffenen Sektoren navigieren, und können auch weitere Änderungen an der Datei vornehmen, wenn Sie sie in einem separaten Datenfenstern offenhalten. Sobald Sie die Änderungen in dem Fenster gespeichert haben, werden sie auch wirksam in dem Datenfenster, das den Datenträger bzw. die Partition repräsentiert, deren Daten Sie korrigieren möchten, wenn Sie die Ansicht aktualisieren, einen neuen Datei-Überblick erstellen, den Anfang einer Partition definieren, erneut versuchen, eine Datei mit einem defekten FILE-Record zu öffnen usw. usf.

 

Bitte beachten Sie, daß nur vollständige Sektoren, keine Teile davon, überlagert werden können. Die Überlagerung kann nur für einen Datenträger oder eine Partition gleichzeitig aktiv sein. Wenn sie für einen physischen, partitionierten Datenträger aktiv ist oder ein Image davon und Sie eine Partition von innerhalb dieses Datenträgers öffnen, sehen Sie die überlagerten Daten auch in der Darstellung dieser Partition. Bei Bedarf können Sie eine vollständige Kopie (Image oder geklonter Datenträger) des virtuell reparierten Datenträgers bzw. Images mit den üblichen Befehlen erzeugen, während die Überlagerung aktiv ist, so daß in der Kopie die künstlich aufgetragenen Daten direkt eingebettet sind.