Bestellung, Preise:
NeulizenzenUpgrades
 
Produkte
 
X-Ways Forensics X-Ways Forensics
Integrierte Forensik-Software
 
X-Ways Investigator X-Ways Investigator
Ermittler-Version v. X-Ways Forensics
 
Näheres zu WinHex WinHex
Hex-, Disk- und RAM-Editor
 
Näheres zu X-Ways Imager X-Ways Imager
Disk-Imaging
 
Näheres zu X-Ways Capture X-Ways Capture
EDV-Beweissicherung
 
Näheres zu X-Ways Trace X-Ways Trace
Benutzer-Aktivität
 
Näheres zu Davory Davory
Datenrettung
 
Näheres zu X-Ways Security X-Ways Security
Datenlöschung
 
Dienstleistungen
 
Schulungsangebot
 

 
Kontakt zu X-Ways Kontakt
Benutzer-Forum
 
Die X-Ways AG Die X-Ways AG
X-Ways in Facebook X-Ways in Facebook
  X-Ways Software Technology AG
English
 
 

Datei-Container

Überblick

Datei-Container sind logische Images, die nur ausgewählte Dateien enthalten. Sie werden entweder für die elektronische Beweismittelsicherung verwendet als Ersatz für konventionelle forensische Images (in Fällen, in denen nur einige Dateien benötigt werden und ein kompletten sektorweise erstelles Image stark übertrieben wäre) oder zum Austausch ausgewählter Dateien mit anderen Ermittlern, Staatsanwälten, Rechtsanwälten, die Gegenseite usw. Datei-Container können erzeugt werden mit X-Ways Forensics und X-Ways Investigator. Vergleich mit Minimalsicherungen und bereinigten Sicherungen.

Datei-Container sind während und nach ihrer Erstellung praktisch Roh-Images mit einem speziellen Dateisystem (XWFS2). Sie können ins .e01-Evidence-File-Format konvertiert werden. (Das ändert aber natürlich nichts an den in den Sektoren gespeicherten Daten des Dateisystems und macht das Dateisystem in dem Image nicht irgendwie "kompatibler".) Datei-Container sind so beschaffen, daß sie soviel Metadaten über Dateien wie möglich erhalten (s. u.). Sie können sogar ausschließlich die Metadaten von Dateien transportieren, ohne Datei-Inhalte, wenn das gewünscht ist, und dennoch die ursprüngliche Datei-Größe zeigen (ein von normalen Dateisystemen nicht bekanntes Konzept, das auf manche Benutzer offenbar irritierend wirkt). 

Die Informationen auf dieser Seite beziehen sich auf das neue Container-Format von v16.3 und neuer. Es ist so universell wie möglich und wird von Forensik-Tools anderer Hersteller mit tiefgehender Dateisystem-Unterstützung standardmäßig oder sehr geringen zusätzlichen Aufwand unterstützt.

Basis-Metadaten

Liste:
  • filename
  • path
  • logical file size
  • valid data length
  • ordinary Windows world attributes
  • existing or deleted
  • creation date
  • modification date
  • last access date
  • last record update date
  • hard link count
  • examiner classifications (report table associations)
  • examiner comments

Basis-Metadaten und Datei-Inhalte in Datei-Containern werden verstanden von:

  • EnCase 5 (!) und neuer
  • MountImage Pro 4 und neuer (Image erst hinzufügen, dann Dateisystem mounten)
  • Belkasoft Evidence Center 6.3 und neuer
  • WinHex 12.5 und neuer, mit Specialist-Lizenz oder höher
  • X-Ways Forensics 12.5 und neuer
  • X-Ways Investigator, alle Versionen

Erweiterte Metadaten

Liste:
  • detailed deletion status (existing, previously existing, moved/renamed, partially overwritten, original contents assured despite deletion)
  • original file system file ID
  • original file system data structure offset
  • deletion date, internal creation date
  • UNIX/Linux permissions/file modes
  • compression/encryption status
  • classification as NTFS alternate data stream
  • classification as HFS[+] resource fork
  • classification as reparse point
  • classification as found in volume shadow copy
  • classification as file slack
  • classification as file excerpt
  • classification as video still
  • classification as manually attached
  • classification as virtual object
  • classification as e-mail message
  • classification as e-mail attachment
  • classification as misc. Outlook data
  • advanced attributes such as "has attachment", "unread e-mail", "has object ID“
  • sender and recipients for extracted or processed e-mail
  • skin color percentage and number of pixels (for pictures)
  • true file type
  • file name/file type mismatch status
  • owner ID
  • hash value
  • hash category
  • PhotoDNA category
  • case ID
  • evidence object ID
  • volume snapshot ID
Erweiterte Metadaten werden zum größten Teil verstanden von
  • WinHex 16.3 und neuer, mit Specialist-Lizenz oder höher
  • X-Ways Forensics 16.3 und neuer
  • X-Ways Investigator 16.3 und neuer
  • X-Ways Investigator CTR 16.3 und neuer

(Vollständig nur in der neuesten Version.)