WinHex: Zusätzliche Features mit Specialist-Lizenz
Datei-Überblick erweitern:
1) Dateisystem-Struktur-Suche besonders intensiv:
FAT12/FAT16/FAT32: Diese Option sucht nach verwaisten Unterverzeichnissen,
also Unterverzeichnissen, die von keinem anderen Verzeichnis mehr
referenziert werden.
NTFS: Diese Option sucht nach FILE-Records in Sektoren, die nicht der MFT
in ihrer aktuellen Größe und Lage angehören. Solche FILE-Records können z.
B. gefunden werden, wenn eine Partition neu erstellen, neu formatiert,
verschoben, vergrößert, verkleinert oder defragmentiert wurde. Diese Option
sucht mit einer forensischen Lizenz in einem zweiten und dritten Schritt
außerdem in INDX-Puffern und in $LogFile nach Überbleibseln von
Index-Records mit einem gewissen Mehrwert, die entweder frühere Namen oder
Pfade von umbenannten/verschobenen Dateien/Verzeichnissen enthüllen, die im
Datei-Überblick schon verzeichnet waren, oder gelöschte Dateien, die dem
Datei-Überblick noch unbekannt waren (allerdings ohne zugehörige
Dateiinhalte).
UDF: Während die erste und die letzte Session auf einer
Multisession-UDF-CD/-DVD automatisch aufgelistet werden, können weitere
Sessions in der Mitte nur mit dieser Option gefunden werden.
CDFS: In den meisten Fällen werden alle Sessions auf Multisession-CD/DVDs
automatisch gefunden. In Ausnahmefällen (z. B. wenn CDFS zeitgleich zu UDF
existiert oder die Abstände zwischen den Sessions ungewöhnlich groß sind),
können hiermit weitere Sessions hinter der ersten gefunden werden.
Das intensive Suchen nach Dateisystem-Datenstrukturen ist eine potentiell
lang andauernde Operation, abhängig von der Größe der Partition, und aus
diesem Grund nicht Teil der Standardprozedur beim Öffnen von Partitionen.
2) Die Option "Datei-Header-Signatur-Suche" hilft, solche Dateien in den
Datei-Überblick aufzunehmen, die im freien oder belegten Laufwerksspeicher
nur noch anhand ihrer Datei-Header-Signatur gefunden werden können und nicht
mehr von Dateisystem-Datenstrukturen referenziert werden. Dazu werden Sie
gefragt, welche bestimmten Dateitypen erkannt werden sollen, welche
Standardgröße verwendet werden soll, welcher Präfix für den Ausgabenamen
verwendet werden sollen usw., wie von "Dateien retten nach Typ" bekannt
(Details s. dort und in den Dateityp-Definitionen). Dateien, die mit dieser
Methode gefunden werden, werden nur dann in den Datei-Überblick aufgenommen,
wenn es noch keine andere Datei im Datei-Überblick mit derselben
Startsektornummer gibt, um Doppelungen zu vermeiden, um Doppellistungen zu
vermeiden. Dateien werden mit dieser Methode mit einem generischen Namen und
der Größe wie sie vom Mechanismus "Dateien retten nach Typ" erkannt
ausgegeben. Wenn auf eine physische, partitionierte Asservate angewandt,
werden nur unpartitionierte Bereiche und Partitionslücken nach Signaturen
durchsucht, und grundsätzlich an Sektorgrenzen, da die Partitionen als
separate, zusätzliche Asservate behandelt werden.
3) Es können Hash-Werte für Dateien im Datei-Überblick berechnet werden.
Zusätzlich erlauben es forensische Lizenzen, Hash-Werte mit individuell
ausgewählten (oder einfach allen) Hash-Sets in der internen Hash-Datenbank
abzugleichen. Der dynamische Filter kann dann anschließend eingesetzt
werden, um bekanntermaßen irrelevante Dateien auszublenden. Mit Hilfe der
Hash-Datenbank als irrelevant erkannte Dateien werden außerdem von der
weiteren Bearbeitung bei der Erweiterung des Datei-Überblicks
ausgeschlossen, wenn die entsprechende Option gewählt ist, was u. a. Zeit
spart.
Technischer Detailbericht:
Zeigt Informationen über den aktiven Datenträger bzw. die aktive Datei
an und läßt Sie diese kopieren, z. B. in einen Bericht den Sie
anfertigen. Besonders ausführlich bei physischen Festplatten, zu denen
Details über jede Partition und allen keiner Partition zugeordneten
Speicherlücken aufgeführt werden. WinHex berichtet auch den Paßwortschutz-Status von ATA-Festplatten.
Nur mit forensischer Lizenz: WinHex kann versteckte sog. Host Protected Areas (HPAs, auch bekannt als
ATA-geschützte Bereiche) sowie Device Configuration Overlays
(DCO-Bereiche) auf IDE-Festplatten erkennen. Ein Meldungsfenster mit
einer Warnung wird angezeigt, falls eine künstlich herabgesetzte
Festplattengröße festgestellt wird. Auf jeden Fall wird die tatsächliche
Gesamtzahl der Sektoren laut ATA, wenn erfolgreich ermittelt, im
Detailbericht mit aufgelistet. Auch einige wichtige
SMART-Status-Informationen werden angezeigt für über [S]ATA
angeschlossene Festplatten, die SMART unterstützen. Useful to check for
one's own hard disk as well as that of suspects. For example, you can
learn how often and how long the hard disk was used and whether it has
had any bad sectors (in the sense that unreliable sectors were replaced
internally with spare sectors). If a hard disk is returned to a suspect
and he or she consequently complains about bad sectors and accuses you
of having damaged the disk, a details report created when the hard disk
was initially captured can now show whether it was already in a bad
shape at that time. Also, seeing that spare sectors are in use means
knowing that there is additional data to gain from the hard disk (with
the appropriate technical means).
Image als Datenträger interpretieren: Behandelt eine geöffnete
und aktive Image-Datei entweder als logisches Laufwerk oder physischen
Datenträger. Das ist nützlich, wenn Sie den Inhalt eines Disk-Image
untersuchen möchten, einzelne Dateien aus dem Dateisystem extrahieren
möchten usw., ohne das Image zurück auf einem Datenträger
zurückzuspielen. Beim Interpretieren als physischen Datenträger kann
WinHex die im Image enthaltenen Partitionen öffnen wie von einer
"echten" physischen Festplatte.
WinHex kann sogar dateiübergreifende Roh-Images interpretieren, also
Image-Dateien, die aus einzelnen Segmenten beliebiger Größe bestehen
(sog. "spanned image files"). Damit WinHex ein dateiübergreifendes Image
erkennt, darf das erste Segment einen beliebigen Namen und eine
nicht-numerische Namenserweiterung oder die Namenserweiterung ".001"
haben. Das zweite Segment muß denselben Basisdateinamen, aber die
Erweiterung ".002" haben, das dritte Segment ".003" usw. Sowohl der
Befehl "Datenträger-Sicherung" als auch das Plattenklon-Programm X-Ways
Replica für DOS erzeugen kompatibel bennante Disk-Image-Segmente.
Segmentierung ist nützlich, da die maximal unterstützte Dateigröße bei
FAT-Dateisystemen limitiert ist.
In seltenen Fällen kann WinHex nicht korrekt erkennen, ob der erste
Sektor in einem Image ein Sektor ist, der den Master Boot Record
enthält, oder bereits ein Bootsektor einer Partition ist, und
interpretiert die Struktur der Image-Datei daraufhin falsch. Um Abhilfe
zu schaffen, können Sie die Umschalt-Taste beim Aufruf dieses Befehls
gedrückt halten, damit WinHex nicht selbst entscheidet, sondern Sie
fragt. Sie haben dann außerdem die Gelegenheit, die ursprüngliche
Sektorgröße anzugeben. Wenn die Segmente eines Roh-Image über zwei
Laufwerke verteilt vorliegen, halten Sie die Strg-Taste gedrückt, um den
anderen Speicherort mitteilen zu können. Sollte es Probleme bei der
Erkennung des Dateisystems auf einem Volume geben, können Sie Umschalt
und Strg beim Öffnen gedrückt halten, um WinHex das von Ihnen darin
vermutete Dateisystem selbst mitzuteilen.
ISO-CD-Images (Mode 1) werden auch unterstützt, sofern sie nicht
segmentiert sind, sowie (mit einer forensischen Lizenz) auch
Hauptspeicher-Dumps. Mit einer forensischen Lizenz kann WinHex auch
.e01-Evidence-Files interpretieren, die mit dem Befehl
"Datenträger-Sicherung" erstellt werden können.
RAID-System zusammensetzen: s. Handbuch
Freien Speicher extrahieren: Durchläuft das gegenwärtig geöffnete
logische Laufwerk und sammelt alle unbenutzten Cluster in einer von
Ihnen anzugebenen Zieldatei. Nützlich um Datenfragmente von vormals
existierenden Dateien, die nicht sicher gelöscht wurden, zu untersuchen.
Nimmt keine Änderungen am untersuchten Laufwerk vor. Die Zieldatei muß
auf einem anderen Laufwerk abgelegt werden.
Schlupfspeicher extrahieren: Sammelt Schlupfspeicher (englisch
"slack space", die unbenutzten Bytes im jeweils letzten Cluster einer
Clusterkette, hinter dem tatsächlichen Ende der Datei) in einer
Zieldatei. Jedem Vorkommen von Schlupfspeicher werden Zeilenumbrüche
vorangestellt und die Nummer des Clusters, in dem er gefunden wurde, als
ASCII-Text. Ansonsten ähnlich wie "Freien Speicher extrahieren". WinHex
kann Schlupfspeicher von Dateien, die auf Dateisystemebene komprimiert
oder verschlüsselt sind, nicht erfassen.
Partitionslücken extrahieren: Erfaßt die Speicherbereiche einer
physischen Festplatte, die zu keiner Partition gehören, in einer
Zieldatei, zur schnellen Untersuchung, um herauszufinden, ob dort etwas
versteckt ist oder übrig geblieben von früheren Partitionierungen.
Text extrahieren: Erkennt Text anhand der von Ihnen anzugebenden
Parameter, erfaßt alle Vorkommnisse in einer Datei, auf einem
Datenträger oder innerhalb eines Speicherbereichs und schreibt diese in
eine Datei. Diese Art von Filter ist nützlich, um auszuwertende
Datenmengen beträchtlich zu verringern, wenn z. B. bei einer
forensischen Computeranalyse Hinweise in Form von Text (wie E-Mails,
Dokumente) gesucht werden. Die Zieldatei kann leicht in
benutzerdefinierte Größen zerlegt werden. Diese Funktion kann auch auf
Dateien mit gesammelten Schlupf- oder freiem Speicher angewandt werden,
oder auf beschädigte Dateien in einem proprietären Format, die nicht
mehr von der zugehörigen Applikation, wie MS Word, geöffnet werden
können, um zumindest unformatierten Text zu retten.
Bates-Numerierung: Versieht alle Dateien innerhalb eines
bestimmten Ordners und seiner Unterordner für die forensische Verwendung
mit einer Bates-Numerierung. Fügt ein bis zu 13 Zeichen langes
konstantes Präfix und eine eindeutige laufende Nummer zwischen
Dateinamen und Dateinamenserweiterung ein, ähnlich wie Anwälte
Papierdokumente für spätere Bezugnahme kennzeichnen.
Sicherer Dateiexport: Auch: "trusted download"
(vertrauenswürdiges Überspielen von Daten). Löst ein Sicherheitsproblem.
Wenn als vertraulich oder geheim eingestuftes Material von einem
klassifizierten auf einen nicht-klassifizierten Datenträger übertragen
wird, muß sichergestellt sein, daß keine überschüssigen Informationen in
einem Cluster- oder Sektorüberhang ungewollt mit der eigentlichen Datei
mitkopiert werden, da dieser sog. Schlupfspeicher (s. o.) noch
vertrauliches oder geheimes Material von einem früheren Zeitpunkt
enthalten kann, an dem er noch einer anderen Datei zugeordnet war.
Dieser Befehl kopiert die ausgewählte(n) Datei(en) nur in ihrer
aktuellen tatsächlichen Größe, und kein weiteres Byte mehr. Er kopiert
nicht ganze Sektoren oder Cluster, wie es konventionelle Kopierbefehle
tun. Es können mehrere Dateien eines Ordners auf einmal kopiert werden.
Freien Speicher/Schlupfspeicher hervorheben: Zeigt Offsets und
Daten in weicheren Farben an (hellblau bzw. grau). Hilft, diese
speziellen Laufwerksbereiche leicht zu erkennen. Funktioniert auf FAT-,
NTFS- und Ext2/Ext3-Partitionen.