X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 

X-Ways Imager
Höchste Geschwindigkeit, intelligenteste Kompression

Forensisches Disk-Imaging-Tool. Stark reduzierte Version der Computerforensik-Software X-Ways Forensics, die vor allem nur die Funktionalität für Datenträgersicherungen enthält (s. u.). Ursprünglich wurde X-Ways Imager 2009 eingeführt aufgrund einer Anfrage einer US-Behörde, die in  Geschwindigkeitstests festgestellt hat, dass X-Ways Forensics im Vergleich zu anderen Imaging-Tools mit Abstand am schnellsten war, vor allem zusammen mit Hardware-Schreibblockern. Ein weiterer Test von einer vergleichbaren Behörde in Australien ergab ebenfalls signifikante Geschwindigkeitsvorteile gegenüber konkurrierenden Produkten. X-Ways Forensics/X-Ways Imager war etwa doppelt so schnell wie Konkurrenzprodukte in einem Test des Entwicklungsteams von F-Response! (Blog-Post) Doppelt oder sogar dreimal so schnell wie die Konkurrenz bei diesem Vergleichstest. Noch ein Vergleichstest hierUnd hier.

X-Ways Imager kann, wenn gewünscht, direkt z. B. von einem USB-Datenträger aus gestartet werden, ohne Installation, ist also voll portabel, genau wie WinHex und X-Ways Forensics, ganz im Gegensatz zu dem Imaging-Tool eines Wettbewerbers, das als geeignet für eine Live-Sicherung beschrieben wird, sich aber in Wirklichkeit ungeniert in den Temp-Ordner des laufenden Systems installiert, dort rd. 45 MB freien Speicher überschreibt und sich von dort nach Ausführung wieder heimlich löscht. Bitte lassen Sie sich wenn möglich nicht von Software anderer Hersteller täuschen und schieben Sie X-Ways Forensics keine Sicherungen niedriger Qualität unter, wenn es sich vermeiden lässt.

Die Intelligenz der Kompression in X-Ways Imager ist ein weiterer wichtiger Faktor. Die Kompressionsalgorithmen in X-Ways Forensics und X-Ways Imager zeichnen sich durch unübertroffene Adaptabilität und ein breites Spektrum wählbarer Kompromisse zwischen Geschwindigkeit und Kompressionsrate aus. Sie komprimieren praktisch nicht mehr weiter komprimierbare bereits vorkomprimierte Daten nicht zu Tode und ersparen damit der Analyse-Software das spätere Dekomprimieren, wenn die Platzersparnis durch Kompression ohnehin vernachlässigbar ist, im Gegensatz zu anderen Disk-Imaging-Tools.*

Von X-Ways Forensics und X-Ways Imager erstellte Sicherungen erlauben X-Ways Forensics bei der Analyse außerdem, ursprünglich mit binären Nullen gefüllte Plattenbereich komplett auszusparen, d. h. sie zu überspringen, weder zu lesen noch zu dekomprimieren noch die dekomprimierten Daten zu durchsuchen (z. B. bei Carven von Dateien und bei Stichwortsuchen). Die Zeitersparnis dadurch kann bei nicht voll genutzten riesigen Festplatten erheblich sein. Weitere besondere Features with der optionale Ausschluss von freiem Laufwerksspeicher beim Sichern und Kopieren von von Sektoren in umgekehrter Reihenfolge machen X-Ways Imager zur vielleicht besten Imaging-Software auf dem Markt.  

Außerdem können von X-Ways Imager praktisch alle Arten von plattenbasierten RAID-Systemen (JBOD, RAID 0, RAID 5, RAID 6) virtuell zusammengesetzt werden, aus den physischen Datenträgern (nicht Images), wenn Sie die richtigen Parameter kennen, und können dann auf eine andere Festplatte geklont oder als Image gesichert werden. Plattenbasiert bedeutet, dass die Komponenten des RAIDs physische Festplatten oder SSDs sind, keine logischen Partitionen/Volumes.

Die folgenden Menübefehle sind in der Software verwendbar:

  • Extras | Datenträger öffnen

  • Datei | Datenträger-Sicherung (außer der Option, ausgeblendete Dateien auszulassen)

  • Datei | Sicherung wiederherstellen

  • Extras | Disk-Tools | Datenträger klonen

  • Extras | Hash berechnen

  • Specialist | RAID-System zusammensetzen

  • Specialist | Technischer Detailbericht

Die Sektorinhalte werden in der Hex-und Text-Spalte dargestellt. Der Verzeichnis-Browser zeigt auf physischen Datenträgern die erkannte Partitionierung an. Es können ganze Datenträger oder einzelne Partitionen gesichert und geklont, d. h. sektorweise kopiert werden. Images können in Form von Roh-Images oder .e01-Evidence-Files erzeugt werden. Der sog. technische Detailbericht wird dabei auch mit ausgegeben. Image lassen sich auch nachträglich von einem in das andere Format konvertieren. Freier Speicher kann optional übersprungen werden, wenn Sie ihn nicht benötigen, was sehr viel Zeit und Plattenplatz sparen kann. Roh-Images können zusätzlich von hinten befüllt werden, wenn Sie sich mit schwer beschädigten Festplatten herumschlagen müssen, die Ihr System bei Erreichen einer bestimmten Stelle einfrieren oder abstürzen lassen. Erkennung und Lesen von HPAs und DCO-geschützten Bereichen. Fast alle anderen aus X-Ways Forensics bekannten Funktionen und Anzeigen sind in X-Ways Imager ausgegraut/nicht verfügbar. Insbes. können keine Datei-Container und keine Minimalsicherungen und keine bereinigte Sicherungen erzeugt werden.

F-Response ist ein ideales Add-On-Produkt, das es X-Ways Forensics ermöglicht, Datenträger und RAM von Computer im Netz zu analysiere. Und auch umgekehrt ist X-Ways Imager ein ideales Add-On für F-Response für Sicherungszwecke (Festplatten und RAM!).

Bildschirmfoto von X-Ways Imager

Testergebnisse von NIST, August 2016

*Bestimmte Imaging-Programme, darunter populäre kostenlose, erzeugen Images ohne Sinn und Verstand und werden sogar von manchen Benutzern für gut befunden, wenn sie möglichst viele CPU-Kerne mit sinnloser Kompression beschäftigen und z. B. aus einem Chunk von 32.768 Bytes schlecht komprimierbaren Daten in einem .e01-Evidence-File 32.763 Bytes machen (also wahnsinnige 5 Bytes einsparen). Diese Programme, man kann es kaum glauben, nehmen dann zu allem Überfluss auch noch die komprimierte Fassung der Daten tatsächlich in das Image auf statt sie wegen Misserfolgs zu verwerfen. Immer wenn später beim Lesen des Images Daten aus so einem ineffizient komprimierten Chunk benötigt werden, auch wenn es nur ein paar Bytes mittendrin sind, müssen die 32.763 Bytes dann durch den Dekompressionsalgorithmus geschickt werden, der daraus wieder zeitraubend die ursprünglichen 32.768 Bytes macht, und all der Aufwand nur für 0,01% Kompressionsrate. Der CPU klappen sich dann die Fußnägel hoch, sie akzeptiert diese Arbeit aber schweigend. X-Ways Forensics jedoch weist in besonders extremen Fällen auf eine solche Verschwendung von Rechenzeit und mutwillige Behinderung Ihrer Arbeit hin, weil die unnötigerweise langsame Verarbeitung, für die X-Ways Forensics keine Schuld trägt, sonst womöglich X-Ways Forensics angelastet wird und weil normale Benutzer sonst gar nicht wissen können, in effizient die Daten in ihren Images gespeichert sind. Bitte vermeiden Sie die Verwendung solcher Images. Danke.