X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 

 
X-Ways Replica: Klonen und Imaging von Datenträgern unter DOS

X-Ways Replica 2.36
von Okt. 2005
nicht weiter gepflegt

X-Ways Replica

43 KB
MS-DOS

Klonen unter Windows können Sie mit X-Ways Imager or WinHex und X-Ways Forensics.

Eine forensische Untersuchung sollte gewöhnlich nicht auf dem Originaldatenträger vorgenommen werden. X-Ways Replica ist ein einfach zu benutzendes, englischsprachiges Tool, das Duplikate ganzer Festplatten oder einzelner Partitionen (egal mit welchem Dateisystem) erstellt. Die Klone/Images entsprechen forensischen Anforderungen, da sie exakte Bit-genaue Kopien sind, incl. dem gesamten unbenutzten Speicher und Schlupfspeicher. Das ermöglicht es Ihnen, statt mit dem Original mit dem Duplikat oder einer Sicherung (einem Image) zu arbeiten. Optional wird zu Dokumentationszwecken eine vollständige Protokolldatei erstellt. HPA (ATA-geschützte Bereiche) werden automatisch erkannt und können vor dem Klonen entfernt werden. Ein ATA-Paßwortschutz kann mit Kenntnis des Paßworts aufgehoben werden.

Die meisten Windows-Umgebungen würden auf den Originaldatenträger ungefragt zugreifen, sobald er neu angeschlossen ist, und dabei z. B. Datum und Zeit des letzten Zugriffs einiger Dateien darauf verändern. Das kann mit X-Ways Replica vermieden werden, da es im reinen DOS-Modus läuft, wie etwa von einer Boot-Diskette. Eine MS-DOS Boot-Diskette kann leicht erstellt werden, wenn Sie mit dem Windows-Explorer eine Diskette formatieren (außer in Windows 2000). 

X-Ways Replica ist derzeit nicht mehr erhältlich, außer auf Anfrage für lizenzierte Benutzer von Evidor und X-Ways Forensics (Replica 1.3 auch für Inhaber eine WinHex Specialist-Lizenz). Wenn Sie bereits eine Specialist- oder forensische Lizenz für WinHex besitzen, fordern Sie bitte hier Ihren WinHex-Lizenzstatus per E-Mail an, um X-Ways Replica zu erhalten. Ansonsten können Sie eine forensische WinHex-Lizenz (=X-Ways Forensics) oder Evidor bestellen. Bitte beachten Sie, daß X-Ways Replica nicht mehr weiter gepflegt wird. 


Hinweise zum Gebrauch:

Beim Disk-Imaging (wenn das Ziel eine Image-Datei ist) geben Sie eine maximale Dateigröße an, an der die Ausgabedatei abgetrennt wird und eine neue Segmentdatei begonnen wird. Dies ist auf FAT-Dateisytemen mit ihren Dateigrößen-Beschränkungen erforderlich (FAT16: 2 GB, FAT32: 4 GB), aber auch nützlich, die einzelnen Segmente auf CD archivieren zu können (650 MB). WinHex ist in der Lage, alle Dateisegmente als einzelne große Image-Datei zu interpretieren, wenn sie sich im selben Ordner befinden.

Sie können X-Ways Replica eine Protokolldatei schreiben lassen anstatt sich bei Auftreten von beschädigten Sektoren fragen zu lassen, wie fortgefahren werden soll. Dieses Feature ist generell nützlich, um exakte Aufzeichnungen darüber vorzuhalten, welche Sektoren/Partitionen geklont wurden, wann (Datum und Zeit), welche Sektoren als Ziel ausgewählt wurden, welche Sektoren erfolgreich kopiert werden konnten, welche Sektoren als unlesbar erkannt wurden usw.

Die Quell- und die Zielfestplatte müssen beide an denselben Computer angeschlossen sein und vom BIOS erkannt werden. Die Zielplatte muß genau gleich groß oder größer als die Quellplatte sein. Wenn das nicht der Fall ist, warnt Replica Sie. Während des Klonens können Sie Esc oder Strg+Untbr drücken, um abzubrechen. Bedenken Sie, daß Sie sehr vorsichtig beim Auswählen der Zielfestplatte sein müssen, da alle Daten auf dieser Platte verloren gehen.

 

X-Ways Replica kann durch Einsatz von UltraDMA-2-Treibern (hier und hier verfügbar) um ca. 300% beschleunigt werden.

Writing images on remote network drives is possible when booting with the Universal TCP/IP Network Bootdisk (we are not aware yet of a prove that it is forensically sound). After removing their floppy disk, one can insert the one with Replica and use it to create the image on a remote computer, because that remote drive will become available as a drive letter under DOS.

 

USB-Massenspeichergeräte können von Replica erkannt werden, wenn Sie den Panasonic v2.20 ASPI Manager für USB-Massenspeichergeräte und den Moto Hairu ASPI-Treiber installiert haben, die unter DOS die Unterstützung für USB-Geräte bereitstellen (gemäß USB 1.x oder USB 2.0 Spezifikation).

Um diese Treiber unter DOS einzubinden, müssen Sie diese Dateien in das Verzeichnis kopieren, in dem sich config.sys befindet, und folgende Zeilen in Ihre config.sys übernehmen:

DOS=HIGH,UMB
lastdrive=Z
device=HIMEM.SYS
rem load Panasonic's universal USB controller
devicehigh=USBASPI.SYS /v /w
rem load aspi mass storage driver for USB hard drives and compact flash memory cards
devicehigh=DI1000DD.SYS

History

2.36: Clarified message after unlocking an HPA because a reboot might be necessary.

2.35: An error was fixed in the MD5 implementation for data in excess of 256 MB.

2.32: Bug fixed that tried to unlock password-protected ATA drives even when in frozen security mode

2.31: Bug fixed that accepted using arrow keys in the partition selection menu

2.3: ATA password-protected drives can be unlocked with user or master password until system reboot if password is known.
MFS/HFS, HPFS partitions are recognized as such.
Available drive letters are listed when entering source or destination image filename with path.
Entering image filenames can be aborted any time by pressing ESC.
New menu font color light gray instead of blue.

2.2: Host protected areas (HPA): Reliable disabling (unlocking) of HPAs, either volatile or non-volatile.
Ext2, Ext3, Reiser, Linux Swap, JFS, and XFS partitions are recognized as such.
Image segment numbering now starts with .001 (or non-numeric extension) instead of .000.
Up to 32 installed partitions can be displayed for selection (instead of 15 at max. before).
Copying selected sectors: Number of lines no longer limited (instead of 500 at max. before).

2.13: Bug fixed that allowed negative reported disk size and erroneous reporting of HPA

2.12: Source and destination image files must have either '.000' as extension or a non-numerical extension. Segments with size 0 allowed in spanned images now.

2.11: Fixed: Some command-line parameters were not recognized starting in version 2.02.

2.1: Bug fixed that prevented images larger than 2 GB from being read.

2.02 & 2.01: Log entries are immediately written to file upon encounter of bad sectors.

2.0: Restoring an image file back to a disk. Calculating and logging hashes of the source data. Invoking the cloning process from the command line by means of parameters, for completely unattended operation. Option to clone only selected sectors, forwards or backwards. Audible notification (beep) of bad sectors during cloning. Additional information (like manufacturer model number) about hard disks. Detection and temporary removal of host-protected areas (HPA).

1.3: Image files created read-only. More in-progress information.
1.2: Disk imaging (option to write to an image file)
1.0: Log file option
0.95: "Ignore always" option fixed
0.94: Ability to work with un-partitioned hard disks
0.9: First release