X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 

Datei-Container

Überblick

Datei-Container sind logische Images, die nur ausgewählte Dateien enthalten und diese Dateien im Originalzustand konservieren, mit samt praktisch allen externen Metadaten. Sie werden entweder für die elektronische Beweismittelsicherung verwendet als Ersatz für konventionelle forensische Images (in Fällen, in denen nur einige Dateien benötigt werden und ein kompletten sektorweise erstelles Image stark übertrieben wäre) oder zum Austausch ausgewählter Dateien mit anderen Ermittlern, Staatsanwälten, Rechtsanwälten, die Gegenseite usw. Datei-Container können erzeugt werden mit X-Ways Forensics und X-Ways Investigator. Vergleich mit Minimalsicherungen und bereinigten Sicherungen.

Datei-Container sind während und nach ihrer Erstellung praktisch Roh-Images mit einem speziellen Dateisystem (XWFS2). Sie können ins .e01-Evidence-File-Format konvertiert werden. Das ändert aber natürlich nichts an den in den Sektoren gespeicherten Dateisystem-Datenstrukturen und macht das Dateisystem in dem Image nicht irgendwie "kompatibler" mit anderen Tools. Ein Image ist eine Verpackung von in Sektoreinheiten gespeicherten Daten in einem bestimmten Format. Das Image-Format ist nicht zu verwechseln mit dem Format der in den Sektoren gespeicherten Daten.

Die Informationen auf dieser Seite beziehen sich auf das neue Container-Format von v16.3 und neuer. Es ist so universell wie möglich und wird von Forensik-Tools anderer Hersteller mit tiefgehender Dateisystem-Unterstützung standardmäßig oder sehr geringen zusätzlichen Aufwand unterstützt.

Hinweise

Datei-Container sind so beschaffen, daß sie soviel Metadaten über die enthaltenen Dateien wie möglich erhalten (s. u.). Sie können sogar ausschließlich die externen Metadaten von Dateien transportieren, ohne Datei-Inhalte, wenn das vom Ersteller des Containers gewünscht wird, und dann werden solche Dateien entsprechend als "nur Metadaten verfügbar" gekennzeichnet und zeigen weiterhin die ursprüngliche Dateigröße (die ja auch zu den externen Metadaten gehört), wobei der Datei-Inhalt aber nicht im Container verfügbar ist. Die ist ein von normalen Dateisystemen her nicht bekanntes Konzept, und auf manche Empfänger von Containern wirkt es offenbar so irritierend, daß sie an uns zurückmelden, daß beim Herauskopieren einer Datei mit einer bestimmten Größe aus einem Container eine Kopie der Datei mit Größe 0 (also ohne Daten) entsteht, als ob das ein Fehler wäre.

Datei-Container können sogar bloß einen ausgewählten Ausschnitt der Daten aus einer Datei enthalten (von Offset X bis Offset Y). In dem Fall wird die Datei im Container als Ausschnitt gekennzeichnet. Und der Ersteller kann wählen, ob der Originalpfad der Datei im Container abgebildet werden soll, ganz oder teilweise, und dann können die Elternverzeichnisse auch noch entweder ihrer eigenen Daten aus dem Dateisystem (z. B. INDX-Puffer bei NTFS) in den Container übernehmen, wenn gewünscht. (Das ist z. B. nicht wünschenswert, wenn der Ersteller gegenüber dem Empfänger die externen Metadaten von Dateien, die im Originalasservat im selben Verzeichnis liegen, nicht offenbaren möchte.)

Kurz gesagt, wie immer haben Benutzer von X-Ways Forensics die volle Kontrolle darüber, welche Daten sie analysieren und weitergeben, und der Empfänger eines Datei-Containers sollte sich definitiv klarmachen, daß der Hauptzweck eines solchen Containers die Kapselung einer ausgewählten Untermenge der Originaldaten ist.

Basis-Metadaten

Liste:
  • filename
  • path
  • logical file size
  • valid data length
  • ordinary Windows world attributes
  • existing or deleted
  • creation date
  • modification date
  • last access date
  • last record update date
  • hard link count
  • examiner classifications (report table associations)
  • examiner comments

Basis-Metadaten und Datei-Inhalte in Datei-Containern werden verstanden von:

  • EnCase 5 und neuer
  • MountImage Pro 4 und neuer (Image erst hinzufügen, dann Dateisystem mounten)
  • Belkasoft Evidence Center 6.3 und neuer
  • WinHex 12.5 und neuer, mit Specialist-Lizenz oder höher
  • WinHex 18.5 und neuer mit beliebiger oder ganz ohne Lizenz (Container bis max. 1000 Objekte), und in WinHex 18.6 können solche Container auch als Laufwerksbuchstabe eingebunden werden (erst Dokan installieren)
  • X-Ways Forensics 12.5 und neuer
  • X-Ways Investigator, alle Versionen
  • ?

Erweiterte Metadaten

Liste:
  • detailed deletion status (existing, previously existing, moved/renamed, partially overwritten, original contents assured despite deletion)
  • original file system file ID
  • original file system data structure offset
  • deletion date, internal creation date
  • UNIX/Linux permissions/file modes
  • compression/encryption status
  • classification as NTFS alternate data stream
  • classification as HFS[+] resource fork
  • classification as reparse point
  • classification as found in volume shadow copy
  • classification as file slack
  • classification as file excerpt
  • classification as video still
  • classification as manually attached
  • classification as virtual object
  • classification as e-mail message
  • classification as e-mail attachment
  • classification as misc. Outlook data
  • advanced attributes such as "has attachment", "unread e-mail", "has object ID“
  • sender and recipients for extracted or processed e-mail
  • skin color percentage and number of pixels (for pictures)
  • true file type
  • file name/file type mismatch status
  • owner ID
  • hash value
  • hash category
  • PhotoDNA category
  • case ID
  • evidence object ID
  • volume snapshot ID
Erweiterte Metadaten werden zum größten Teil verstanden von
  • WinHex 16.3 und neuer, mit Specialist-Lizenz oder höher
  • X-Ways Forensics 16.3 und neuer
  • X-Ways Investigator 16.3 und neuer
  • X-Ways Investigator CTR 16.3 und neuer

(Vollständig nur in der neuesten Version.)