X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 

WinHex: Zusätzliche Features mit Specialist-Lizenz

Datei-Überblick erweitern:
1) Dateisystem-Struktur-Suche besonders intensiv:
• FAT12/FAT16/FAT32: Diese Option sucht nach verwaisten Unterverzeichnissen, also Unterverzeichnissen, die von keinem anderen Verzeichnis mehr referenziert werden.
• NTFS: Diese Option sucht nach FILE-Records in Sektoren, die nicht der MFT in ihrer aktuellen Größe und Lage angehören. Solche FILE-Records können z. B. gefunden werden, wenn eine Partition neu erstellen, neu formatiert, verschoben, vergrößert, verkleinert oder defragmentiert wurde. Diese Option sucht mit einer forensischen Lizenz in einem zweiten und dritten Schritt außerdem in INDX-Puffern und in $LogFile nach Überbleibseln von Index-Records mit einem gewissen Mehrwert, die entweder frühere Namen oder Pfade von umbenannten/verschobenen Dateien/Verzeichnissen enthüllen, die im Datei-Überblick schon verzeichnet waren, oder gelöschte Dateien, die dem Datei-Überblick noch unbekannt waren (allerdings ohne zugehörige Dateiinhalte).
• UDF: Während die erste und die letzte Session auf einer Multisession-UDF-CD/-DVD automatisch aufgelistet werden, können weitere Sessions in der Mitte nur mit dieser Option gefunden werden.
• CDFS: In den meisten Fällen werden alle Sessions auf Multisession-CD/DVDs automatisch gefunden. In Ausnahmefällen (z. B. wenn CDFS zeitgleich zu UDF existiert oder die Abstände zwischen den Sessions ungewöhnlich groß sind), können hiermit weitere Sessions hinter der ersten gefunden werden.
Das intensive Suchen nach Dateisystem-Datenstrukturen ist eine potentiell lang andauernde Operation, abhängig von der Größe der Partition, und aus diesem Grund nicht Teil der Standardprozedur beim Öffnen von Partitionen.

2) Die Option "Datei-Header-Signatur-Suche" hilft, solche Dateien in den Datei-Überblick aufzunehmen, die im freien oder belegten Laufwerksspeicher nur noch anhand ihrer Datei-Header-Signatur gefunden werden können und nicht mehr von Dateisystem-Datenstrukturen referenziert werden. Dazu werden Sie gefragt, welche bestimmten Dateitypen erkannt werden sollen, welche Standardgröße verwendet werden soll, welcher Präfix für den Ausgabenamen verwendet werden sollen usw., wie von "Dateien retten nach Typ" bekannt (Details s. dort und in den Dateityp-Definitionen). Dateien, die mit dieser Methode gefunden werden, werden nur dann in den Datei-Überblick aufgenommen, wenn es noch keine andere Datei im Datei-Überblick mit derselben Startsektornummer gibt, um Doppelungen zu vermeiden, um Doppellistungen zu vermeiden. Dateien werden mit dieser Methode mit einem generischen Namen und der Größe wie sie vom Mechanismus "Dateien retten nach Typ" erkannt ausgegeben. Wenn auf eine physische, partitionierte Asservate angewandt, werden nur unpartitionierte Bereiche und Partitionslücken nach Signaturen durchsucht, und grundsätzlich an Sektorgrenzen, da die Partitionen als separate, zusätzliche Asservate behandelt werden.

3) Es können Hash-Werte für Dateien im Datei-Überblick berechnet werden. Zusätzlich erlauben es forensische Lizenzen, Hash-Werte mit individuell ausgewählten (oder einfach allen) Hash-Sets in der internen Hash-Datenbank abzugleichen. Der dynamische Filter kann dann anschließend eingesetzt werden, um bekanntermaßen irrelevante Dateien auszublenden. Mit Hilfe der Hash-Datenbank als irrelevant erkannte Dateien werden außerdem von der weiteren Bearbeitung bei der Erweiterung des Datei-Überblicks ausgeschlossen, wenn die entsprechende Option gewählt ist, was u. a. Zeit spart.

Technischer Detailbericht: Zeigt Informationen über den aktiven Datenträger bzw. die aktive Datei an und läßt Sie diese kopieren, z. B. in einen Bericht den Sie anfertigen. Besonders ausführlich bei physischen Festplatten, zu denen Details über jede Partition und allen keiner Partition zugeordneten Speicherlücken aufgeführt werden. WinHex berichtet auch den Paßwortschutz-Status von ATA-Festplatten.
Nur mit forensischer Lizenz: WinHex kann versteckte sog. Host Protected Areas (HPAs, auch bekannt als ATA-geschützte Bereiche) sowie Device Configuration Overlays (DCO-Bereiche) auf IDE-Festplatten erkennen. Ein Meldungsfenster mit einer Warnung wird angezeigt, falls eine künstlich herabgesetzte Festplattengröße festgestellt wird. Auf jeden Fall wird die tatsächliche Gesamtzahl der Sektoren laut ATA, wenn erfolgreich ermittelt, im Detailbericht mit aufgelistet. Auch einige wichtige SMART-Status-Informationen werden angezeigt für über [S]ATA angeschlossene Festplatten, die SMART unterstützen. Useful to check for one's own hard disk as well as that of suspects. For example, you can learn how often and how long the hard disk was used and whether it has had any bad sectors (in the sense that unreliable sectors were replaced internally with spare sectors). If a hard disk is returned to a suspect and he or she consequently complains about bad sectors and accuses you of having damaged the disk, a details report created when the hard disk was initially captured can now show whether it was already in a bad shape at that time. Also, seeing that spare sectors are in use means knowing that there is additional data to gain from the hard disk (with the appropriate technical means).

Image als Datenträger interpretieren: Behandelt eine geöffnete und aktive Image-Datei entweder als logisches Laufwerk oder physischen Datenträger. Das ist nützlich, wenn Sie den Inhalt eines Disk-Image untersuchen möchten, einzelne Dateien aus dem Dateisystem extrahieren möchten usw., ohne das Image zurück auf einem Datenträger zurückzuspielen. Beim Interpretieren als physischen Datenträger kann WinHex die im Image enthaltenen Partitionen öffnen wie von einer "echten" physischen Festplatte.
WinHex kann sogar dateiübergreifende Roh-Images interpretieren, also Image-Dateien, die aus einzelnen Segmenten beliebiger Größe bestehen (sog. "spanned image files"). Damit WinHex ein dateiübergreifendes Image erkennt, darf das erste Segment einen beliebigen Namen und eine nicht-numerische Namenserweiterung oder die Namenserweiterung ".001" haben. Das zweite Segment muß denselben Basisdateinamen, aber die Erweiterung ".002" haben, das dritte Segment ".003" usw. Sowohl der Befehl "Datenträger-Sicherung" als auch das Plattenklon-Programm X-Ways Replica für DOS erzeugen kompatibel bennante Disk-Image-Segmente. Segmentierung ist nützlich, da die maximal unterstützte Dateigröße bei FAT-Dateisystemen limitiert ist.
In seltenen Fällen kann WinHex nicht korrekt erkennen, ob der erste Sektor in einem Image ein Sektor ist, der den Master Boot Record enthält, oder bereits ein Bootsektor einer Partition ist, und interpretiert die Struktur der Image-Datei daraufhin falsch. Um Abhilfe zu schaffen, können Sie die Umschalt-Taste beim Aufruf dieses Befehls gedrückt halten, damit WinHex nicht selbst entscheidet, sondern Sie fragt. Sie haben dann außerdem die Gelegenheit, die ursprüngliche Sektorgröße anzugeben. Wenn die Segmente eines Roh-Image über zwei Laufwerke verteilt vorliegen, halten Sie die Strg-Taste gedrückt, um den anderen Speicherort mitteilen zu können. Sollte es Probleme bei der Erkennung des Dateisystems auf einem Volume geben, können Sie Umschalt und Strg beim Öffnen gedrückt halten, um WinHex das von Ihnen darin vermutete Dateisystem selbst mitzuteilen.
ISO-CD-Images (Mode 1) werden auch unterstützt, sofern sie nicht segmentiert sind, sowie (mit einer forensischen Lizenz) auch Hauptspeicher-Dumps. Mit einer forensischen Lizenz kann WinHex auch .e01-Evidence-Files interpretieren, die mit dem Befehl "Datenträger-Sicherung" erstellt werden können.

RAID-System zusammensetzen: s. Handbuch

Freien Speicher extrahieren: Durchläuft das gegenwärtig geöffnete logische Laufwerk und sammelt alle unbenutzten Cluster in einer von Ihnen anzugebenen Zieldatei. Nützlich um Datenfragmente von vormals existierenden Dateien, die nicht sicher gelöscht wurden, zu untersuchen. Nimmt keine Änderungen am untersuchten Laufwerk vor. Die Zieldatei muß auf einem anderen Laufwerk abgelegt werden.

Schlupfspeicher extrahieren: Sammelt Schlupfspeicher (englisch "slack space", die unbenutzten Bytes im jeweils letzten Cluster einer Clusterkette, hinter dem tatsächlichen Ende der Datei) in einer Zieldatei. Jedem Vorkommen von Schlupfspeicher werden Zeilenumbrüche vorangestellt und die Nummer des Clusters, in dem er gefunden wurde, als ASCII-Text. Ansonsten ähnlich wie "Freien Speicher extrahieren". WinHex kann Schlupfspeicher von Dateien, die auf Dateisystemebene komprimiert oder verschlüsselt sind, nicht erfassen.

Partitionslücken extrahieren: Erfaßt die Speicherbereiche einer physischen Festplatte, die zu keiner Partition gehören, in einer Zieldatei, zur schnellen Untersuchung, um herauszufinden, ob dort etwas versteckt ist oder übrig geblieben von früheren Partitionierungen.

Text extrahieren: Erkennt Text anhand der von Ihnen anzugebenden Parameter, erfaßt alle Vorkommnisse in einer Datei, auf einem Datenträger oder innerhalb eines Speicherbereichs und schreibt diese in eine Datei. Diese Art von Filter ist nützlich, um auszuwertende Datenmengen beträchtlich zu verringern, wenn z. B. bei einer forensischen Computeranalyse Hinweise in Form von Text (wie E-Mails, Dokumente) gesucht werden. Die Zieldatei kann leicht in benutzerdefinierte Größen zerlegt werden. Diese Funktion kann auch auf Dateien mit gesammelten Schlupf- oder freiem Speicher angewandt werden, oder auf beschädigte Dateien in einem proprietären Format, die nicht mehr von der zugehörigen Applikation, wie MS Word, geöffnet werden können, um zumindest unformatierten Text zu retten.

Bates-Numerierung: Versieht alle Dateien innerhalb eines bestimmten Ordners und seiner Unterordner für die forensische Verwendung mit einer Bates-Numerierung. Fügt ein bis zu 13 Zeichen langes konstantes Präfix und eine eindeutige laufende Nummer zwischen Dateinamen und Dateinamenserweiterung ein, ähnlich wie Anwälte Papierdokumente für spätere Bezugnahme kennzeichnen.

Sicherer Dateiexport: Auch: "trusted download" (vertrauenswürdiges Überspielen von Daten). Löst ein Sicherheitsproblem. Wenn als vertraulich oder geheim eingestuftes Material von einem klassifizierten auf einen nicht-klassifizierten Datenträger übertragen wird, muß sichergestellt sein, daß keine überschüssigen Informationen in einem Cluster- oder Sektorüberhang ungewollt mit der eigentlichen Datei mitkopiert werden, da dieser sog. Schlupfspeicher (s. o.) noch vertrauliches oder geheimes Material von einem früheren Zeitpunkt enthalten kann, an dem er noch einer anderen Datei zugeordnet war. Dieser Befehl kopiert die ausgewählte(n) Datei(en) nur in ihrer aktuellen tatsächlichen Größe, und kein weiteres Byte mehr. Er kopiert nicht ganze Sektoren oder Cluster, wie es konventionelle Kopierbefehle tun. Es können mehrere Dateien eines Ordners auf einmal kopiert werden.

Freien Speicher/Schlupfspeicher hervorheben: Zeigt Offsets und Daten in weicheren Farben an (hellblau bzw. grau). Hilft, diese speziellen Laufwerksbereiche leicht zu erkennen. Funktioniert auf FAT-, NTFS- und Ext2/Ext3-Partitionen.