Computer-Forensik, EDV-Ermittlung und IT-Sicherheit
X-Ways Forensics
- Integrierte Software für forensische
EDV-Untersuchungen und Datenrettung
Ein Werkzeug für Ermittler in
Strafverfolgungsbehörden und Privatwirtschaft.
Kurzgefaßt
Der Kern von X-Ways Forensics und WinHex ist ein Hexadezimal-Editor für Dateien, Datenträger und RAM, der umgeben ist von zahlreichen dediziert forensischen Features, die WinHex zu einem mächten Analyse-Werkzeug für Computerdatenträger machen: Extraktion von freiem Laufwerksspeicher, Schlupfspeicher, Inter-Partitionsspeicher und Text; Erstellen einer Laufwerksinhaltstabelle von allen existierenden und gelöschten Dateien und Verzeichnissen und sogar alternativen Datenströmen (NTFS); Bates-Numerierung von Dateien und mehr. WinHex dient auch als Software zum Klonen und Imaging von Datenträgern, die echte Duplikate erzeugt (incl. Schlupfspeicher) und die meisten Datenträger-Typen duplizieren kann und Laufwerke und Dateien jeglicher Größe unterstützt (im Fall von NTFS sogar Terabytes). |
X-Ways Forensics und WinHex können die Verzeichnisstruktur auf FAT-, NTFS-, Ext2/3-, Reiser-, CDFS- und UDF-Datenträgern und in Image-Dateien nativ interpretieren und anzeigen. Stellen Sie Dateien von Festplatten, Speicherkarten, Disketten, ZIP, JAZ, CDs, DVDs u. a. sicher wieder her. In WinHex sind verschiedene automatische Mechanismen zur Datenrettung eingebaut sowie bequeme Möglichkeiten zum manuellen Retten von Daten. WinHex stellt ausgeklügelte flexible und blitzschnelle parallele Suchfunktionen zur Verfügung, mit denen Sie ganze Datenträger oder Image-Dateien (incl. Schlupfspeicher, gelöschte Dateien und versteckte Daten) durchsuchen können. Durch den Zugriff auf physische Datenträger kann dies auch dann erfolgen, wenn eine Partition vom Betriebssystem nicht erkannt wird, z. B. wegen eines unbekannten oder beschädigten Dateisystems. |
Evaluationsversion
herunterladen White-Paper
Evidor (elektronische Beweissuche)
X-Ways Trace
(Benutzeraktivität) Davory
(Datenrettung)
Einige der Features im Detail
- Disk-Editor, Datei-Editor, RAM-Editor
WinHex ist ein fortschrittlicher binärer Editor, der Ihnen Zugriff auf alle Dateien, Cluster, Sektoren, Bytes, Nibbles und Bits in einem Computer verschafft. Er unterstützt praktisch unbegrenzt große Dateien und Datenträger bis in die Terabyte-Region (Tausende von Gigabytes!). Dabei ist der Bedarf an Arbeitsspeicher minimal. Die Zugriffsgeschwindigkeit ist hervorragend.
- Verzeichnis-Browser für FAT, NTFS, Ext2/Ext3, ReiserFS,
CDFS/ISO9660, UDF
Der Verzeichnis-Browser ist genauso leicht zu benutzen wie der Windows Explorer (rechtsseitige Liste). Es werden sowohl existierende als auch gelöschte Dateien und Verzeichnisse mit allen Details aufgelistet. Er ermöglicht es, Clusterketten anzuzeigen, mit dem Disk-Editor zu Dateien und Verzeichnissen zu navigieren und Dateien von einem Datenträger herunterzukopieren. Dank der nativer Dateisystem-Unterstützung funktioniert er auch mit Image-Dateien und Partitionen, die nicht in Windows als Laufwerk geladen sind!
- Klonen von Datenträgern/Disk-Imaging unter DOS und Windows
WinHex erstellt sektorweise Kopien von den meisten Datenträgertypen, entweder auf andere Datenträger (Klone, Duplikate, Mirrors) oder in Form von Image-Dateien. Die Kopien sind forensisch einwandfrei, sie enthalten allen Schlupfspeicher (Slack Space) und freien Laufwerksspeicher. Dies ist von großer Bedeutung für forensische Zwecke, da es Ihnen erlaubt, auf einer Kopie des Originaldatenträgers zu arbeiten. Image-Dateien können optional komprimiert werden oder in kleine, unabhängige Segmente aufgeteilt werden. WinHex kann Protokolldateien erstellen, die jeden beim Klonen entdeckten beschädigten Sektor verzeichnen, ohne dass Sie ständig Fehlermeldungen wegklicken müssen. Alle lesbaren Daten werden in die Kopie übertragen. WinHex läßt Sie die Integrität und Authentizität von Image-Dateien vor deren Rücküberspielung auf einen Datenträger überprüfen.
Außerdem ist in WinHex ein DOS-basiertes Programm zum Klonen von Festplatten enthalten. Die meisten Windows-Umgebungen greifen ungefragt auf ein neu angeschlossenes Laufwerk zu, wobei z. B. das Datum des letzten Zugriffs einiger Dateien verfälscht wird. Dies kann beim Klonen des Originals unter DOS vermieden werden. Erfordert eine Specialist- oder forensische Lizenz. X-Ways Replica
- Datenrettung
Mit seinem hochentwickelten Disk-Editor ermöglicht WinHex nicht nur die gezielte manuelle Wiederherstellung von Dateien. WinHex kann Dateien und sogar ganze verschachtelte Verzeichnisstrukturen auch automatisch retten. Mehrere Datenrettungs-Methoden sind integriert:
1. Dateien retten nach Name: Geben Sie einfach einen oder mehrere Dateifilter an (wie *.gif, Meier*.doc, etc.) und lassen Sie WinHex den Rest erledigen. Funktioniert auf FAT12, FAT16, FAT32 und NTFS.
2. Dateien retten nach Typ: WinHex rettet alle Dateien, die an einer bestimmten Dateiheader-Signatur erkannt werden können (z. B. JPEG-Dateien, MS-Office-Dokumente). Dies funktioniert auf praktisch allen Dateisystem. Details
3. Mit dem zuvor erwähnten Verzeichnis-Browser lassen sich die aufgelisteten Dateien und Verzeichnisse bequem und selektiv wiederherstellen.
4. Es gibt einen speziellen Rettungsmodus für FAT- und NTFS-Laufwerke, der über den Zugriffsmenüschalter verfügbar ist. Details
- Wiederherstellung von Partitionen / Boot Records
Mit WinHex können sowohl FAT12-, FAT16-, FAT32- und NTFS-Bootsektoren als auch Partitionstabellen mit maßgeschneiderten Schablonen editiert werden.
- Forensisch sicheres Löschen von Festplatten
WinHex füllt jeden einzelnen Sektor einer Festplatte mit Nullbytes auf (die Bytefolge kann beliebig bestimmt oder sogar zufällig gewählt werden). Die Überschreibung der Festplatte mit Nullbytes kann beliebig oft wiederholt werden (um maximale Sicherheit zu gewährleisten). Durch diese Methode werden sämtliche Spuren von Dateien, Verzeichnisse, Viren, proprietärer und Diagnosepartitionen der Festplatte gelöscht und eine "klinisch" saubere Festplatte hinterlassen. Dabei wird der durch das US-Verteidigungsministerium erlassene Standard DoD 5220.22-M für das sichere Löschen von Daten eingehalten (für weitere Informationen klicken Sie bitte hier).
Zusätzlich ist es möglich, mit WinHex einzelne Dateien oder lediglich den freien ungenutzten Speicherplatz einer Festplatte sicher zu löschen. Darüber hinaus können Sektoren mit spezifischen Bytemustern gefüllt werden, die vor dem Klonen auf der Zielfestplatte beispielsweise für den ASCII String "fehlerhafter Sektor" standen. So können die Teile einer Festplatte leicht identifiziert werden, die während des Klonens nicht überschrieben werden konnten, da die Originalsektoren nicht gelesen werden konnten (weil sie physisch beschädigt sind) oder weil die originale Festplatte kleiner ist. (Alternativ können die nichtlesbaren Sektoren als mit Nullen gefüllte Sektoren auf die Zielfestplatte geschrieben werden)
- Schlupfspeicher extrahieren
Sammelt den Schlupfspeicher (englisch "slack space", die unbenutzten Bytes im jeweils letzten Cluster einer Clusterkette, hinter dem tatsächlichen Ende der Datei) von FAT12, FAT16, FAT32 und NTFS Betriebssystemen in einer Zieldatei. Jedem Vorkommen von Schlupfspeicher werden Zeilenumbrüche vorangestellt sowie die Nummer des Clusters, in dem er aufgefunden wurde. Diese Informationen werden dann als ASCII-Text gespeichert. WinHex kann Schlupfspeicher von Dateien, die auf Dateisystemebene komprimiert oder verschlüsselt sind, nicht erfassen. Dieses Feature benötigt die Specialist Lizenz.
- Freien Speicher extrahieren
Durchläuft das gegenwärtig geöffnete logische Laufwerk und sammelt alle unbenutzten Cluster in einer von Ihnen anzugebenden Zieldatei. Dies ist nützlich um Datenfragmente von vormals existierenden Dateien, die nicht sicher gelöscht wurden, zu untersuchen. Es werden keine Änderungen am untersuchten Laufwerk vorgenommen. Die Zieldatei muß auf einem anderen Laufwerk abgelegt werden. Dieses Feature benötigt die Specialist Lizenz.
- Partitionslücken extrahieren
Erfaßt die Speicherbereiche einer physischen Festplatte, die zu keiner Partition gehören, in einer Zieldatei. So kann schnell untersucht werden, ob dort etwas versteckt ist oder ob der Speicher von früheren Partitionen übrig geblieben ist. Erfordert eine Specialist- oder forensische Lizenz.
Text extrahieren
Diese Funktion erkennt Text anhand der von Ihnen anzugebenden Parameter und erfaßt alle Vorkommnisse in einer Datei, auf einem Datenträger oder innerhalb eines Speicherbereichs und schreibt diese in eine neue Datei. Diese Art von Filter ist nützlich, um die auszuwertenden Datenmengen beträchtlich zu verringern, wenn z. B. bei einer forensischen Computeranalyse Hinweise in Form von Text (wie E-Mails, Dokumente) gesucht werden. Die Zieldatei kann leicht in benutzerdefinierte Größen zerlegt werden. Diese Funktion kann auch auf Dateien mit gesammelten Schlupf- oder freiem Speicher angewandt werden, sowie auf beschädigte Dateien in einem proprietären Format, die nicht mehr von der zugehörigen Applikation, wie MS Word, geöffnet werden können, um zumindest den unformatierten Text zu retten. Erfordert eine Specialist- oder forensische Lizenz.
Laufwerksinhaltstabelle erstellen
Erstellt einen "Katalog" aller existierender und/oder noch spurenweise zu findender gelöschter Dateien und Verzeichnisse. Dabei werden benutzerkonfigurierte Informationen wie Dateiattribute, allen verfügbaren Datums- und Zeitangaben, Größe, belegte Cluster, Hash-Werte (Prüfsumme oder Digest), alternative Datenströme (ADS, welche versteckte Daten enthalten, nur auf NTFS-Laufwerken) usw. gesammelt. Dies ist extrem nützlich, um den Inhalt eines Datenträgers systematisch zu untersuchen. Die Suche kann auch durch die Angaben in einer Maske (wie *.jpg;*.gif) auf Dateien eines bestimmten Typs eingeschränkt werden. Die daraus resultierende Tabelle kann von Datenbanken oder MS Excel importiert und weiterverwendet werden. Das Sortieren nach Datum & Zeit gibt einen guten Überblick darüber, wozu ein Datenträger zu welcher Zeit benutzt wurde. Das NTFS-Attribut "verschlüsselt" kann z. B. schnell die wichtigsten Anhaltspunkte liefern, welche Dateien interessant für eine forensische Analyse sind.
Datenträger-Detailbericht
Zeigt Informationen über den aktiven Datenträger bzw. die aktive Datei an. Diese Informationen können kopiert werden, z. B. in einen Bericht. Besonders detaillierte Informationen werden bei physischen Festplatten gefunden, zu denen Details über jede Partition und allen keiner Partition zugeordneten Speicherlücken aufgeführt werden. Erfordert eine Specialist- oder forensische Lizenz.
Image als Datenträger interpretieren
Behandelt eine geöffnete und aktive Image-Datei entweder als logisches Laufwerk oder als physischen Datenträger. Das ist nützlich, wenn Sie beispielsweise den Inhalt eines Disk-Image untersuchen möchten, einzelne Dateien aus dem Dateisystem extrahieren möchten usw., ohne das Image auf einem Datenträger zurückzuspielen. Beim Interpretieren als physischen Datenträger kann WinHex die im Image enthaltenen Partitionen öffnen wie von einer "echten" physischen Festplatte. WinHex kann sogar dateiübergreifende Images interpretieren, also Image-Dateien, die aus einzelnen Segmenten beliebiger Größe bestehen (sog. "spanned image files"). Damit WinHex ein dateiübergreifendes Image erkennt, sollte das erste Segment einen beliebigen Namen und eine nicht-numerische Namenserweiterung oder die Namenserweiterung ".000" haben. Das zweite Segment muß denselben Basisdateinamen, aber die Erweiterung ".001" haben, das dritte Segment ".002" usw. Das Plattenklon-Programm X-Ways Replica für DOS ist imstande, Disk-Images in einer solchen Segmentierung zu erzeugen. Das ist nützlich, da die maximal unterstützte Dateigröße bei FAT16 und FAT32 bei 2 GB bzw. 4 GB liegt. Erfordert eine Specialist- oder forensische Lizenz.
- Daten Dometscher
Mit diesem Werkzeug lassen sich alle Integer und Gleitkomma Datentypen, Datenformate, Assembler Opcodes und andere Datentypen in beide Richtungen konvertieren. (Details)
- Daten Analyse
Diese Funktion kann z. B. dazu eingesetzt werden, um Datenmaterial unbekannter Art zu analysieren. (Details)
- Binäre / Volltextsuche
Mit WinHex können Sie nach allen vorstellbaren Daten suchen, die in hexadezimaler, ASCII, EBCDIC Schreibweise oder in allgemeinen Textpassagen versteckt sind. Dabei kann gewählt werden, ob WinHex entweder bei jedem Auftreten der gesuchten Daten anhalten oder sämtliche gefundene Daten in einen Bericht schreiben soll. Dies ermöglicht eine automatisierte Suche durch große Datenbestände. Nützlich ist dies z.B. bei der Suche nach bestimmten Schlüsselworten bei kriminalistischen Untersuchungen. Auf Wunsch können Lesefehler ignorieren werden, dies ist gerade bei beschädigten Datenträgern sehr hilfreich. Die Suchfunktion von WinHex durchsucht den gesamten Speicherbereich, den Schlupfspeicher sowie den nach dem löschten wieder freigegeben Speicher.
Parallele Suche
Mit dieser Funktion können Sie in einem einzigen Durchgang eine Festplatte nach einer frei von Ihnen festgelegten Anzahl von Suchbegriffen durchsuchen. Die Ergebnisse der Suche werden entweder im Positionsmanager angezeigt oder in einem durch Tabulatoren getrennten Textfile archiviert, dass direkt von MS Excel oder jeder Datenbank weiterverarbeitet werden kann. WinHex speichert dabei
- das Offset in dem der Suchbegriff gefunden wurde,
- den Suchbegriff selber,
- den Namen der Datei oder den Namen des Datenträgers in dem der Suchbegriff entdeckt wurde
- sogar die Zuordnung der Clusters wird gespeichert, falls der Suchbegriff auf einem logischen Laufwerk entdeckt wird. (z.B. der Name und der Pfad der Datei die in einem bestimmten Offset gespeichert wird)
Dadurch ist es möglich in einem Durchlauf eine eine Festplatte systematisch nach Wörtern wie
- Kokain
- (Slangwort #1 für Kokain)
- (Slangwort #2 für Kokain)
- (Slangwort #3 für Kokain)
- (Slangwort #3 for Kokain, falsche Schreibweise)
- (Name Dealer #1)
- (Name Dealer #2)
- (Name Dealer #3)
zu durchsuchen! Das Ergebnis der Suche wird eine eingegenzte Anzahl von Dateien sein, auf die sich die weitere Ermittlung konzentrieren kann. Falls WinHex die Fundstellen nicht speichern soll, ist es möglich mit der F3 Taste durch die einzelnen Fundstellen zu springen. Erfordert eine Specialist- oder forensische Lizenz.
- Bates-Nummerierung
Versieht alle Dateien innerhalb eines bestimmten Ordners und seiner Unterordner für die forensische Verwendung mit einer Bates-Nummerierung. Dies bedeutet, dass ein bis zu 13 Zeichen langes konstantes Präfix und eine eindeutige laufende Nummer zwischen Dateinamen und Dateinamenserweiterung eingefügt wird, ähnlich wie Anwälte Papierdokumente für spätere Bezugnahme kennzeichnen. Erfordert eine Specialist- oder forensische Lizenz.
- Scripte
Mit dem in WinHex integrierten Scripttool haben Sie die Möglichkeit Scripts individuell für Ihre Bedürfnisse zu entwickeln. So können Routineschritte, beispielsweise wenn nach bestimmten Kennwörtern immer wieder gesucht werden muss, wenn bestimmte Cluster regelmäßig auf ein anderes Laufwerke kopiert werden sollen oder verschiedene langwierige Suchen nacheinander über Nacht durchgeführt werden sollen, automatisiert werden.
- Positions-Manager
Mit dem Positions-Manager können die Fundstellen von Zeichenketten oder anderen wichtigen Adressen in den untersuchten Dateien oder Festplatten als Lesezeichen gespeichert werden. Die gesammelten Lesezeichen können als HTML Tabellen exportiert werden (z.B. um sie in MS Excel weiterzunutzen).
- Prüfsummen, CRC16, CRC32, MD5, SHA-1, SHA-256, PSCHF
WinHex kann verschiedene Prüfsummen von jeder Datei, Festplatte, Partition oder beliebigen Teilen eines Datenträgers berechnen. Es können sogar 256-bit Digests bei extrem verdächtigen Dateien berechnen werden. WinHex verwendet auch den MD5 Algorithmus, mit dem starke individuelle Einwegprüfsummen berechnet werden können (sogenannte Hash-Werte). Die Hash-Werte von bekannten Dateien (z.B. Windows Systemdateien) können mit denen auf beschlagnahmten Computersystemen verglichen werden. Stimmen diese Hash-Werte überein, ist dies ein statistisch eindeutiges Zeichen, dass die Dateien auf dem beschlagnahmten System nicht manipuliert wurden und somit auch nicht weiter untersucht werden müssen.
Evaluationsversion
herunterladen White-Paper
Evidor (elektronische Beweissuche)
X-Ways Trace
(Benutzeraktivität) Davory
(Datenrettung)
Festplatten klonen und Images erstellen
Die Herstellung einer exakten Kopie eines Datenträgers auf einen anderen Datenträger gleichen Typs wird Disk cloning genannt. Die Kopie muss also eine Spiegelung oder eine exakte Kopie der physikalischen Sektoren des Orginaldatenträgers sein. Disk imaging bedeutet das eine exakte Kopie eines Datenträgers in Form einer Imagedatei erzeugt wird. Diese Image kann auf unterschiedlichen Datenträgertypen gespeichert werden und bei Bedarf kann eine exakte Kopie auf dem gleichen Datenträgertyp wiederhergestellt werden. Sowohl das disk cloning als auch das disk imaging sind für die Datenwiederherstellung und forensische Untersuchungen auf Computersystemen notwendig.
- risikofreies Arbeiten
Bei der Datenwiederherstellung ist es umbedingt erforderlich zu wissen, dass jedes weitere Arbeiten mit dem beschädigten Datenträger den physikalischen Schaden und/oder die ?Logik? verschlimmern kann. Wenn mit WinHex ein Klon oder eine Image des beschädigten Datenträgers erzeugt wurde, können Sie ohne das Risiko von weiteren Verschlimmerungen des Schadens an der Datenwiederherstellung arbeiten.
- kriminalistische Analyse/Entdeckung
Im Bereich der Computerforensik gibt es keine Alternative zum disk cloning/imaging . Ein Ermittler muß ein Klon eines Datenträgers erstellen bevor er mit der Analyse des Datenträgers beginnen kann. Bei der Arbeit mit dem Klon / Image kann mit Hilfe von durch Prüfsummen und Digest (MD5) gewährleistet werden, dass sie sich nicht vom Orginaldatenträger unterscheiden. So ist sichergestellt, dass die Beweissicherung nicht den Orginaldatentäger verändert.
- Images auf verschiede Datenträger verteilen
Falls beim Erstellen eines Images festgestellt wird, dass der Zieldatentäger ist kleiner ist als die fertige Imagedatei, kann die Imagedatei in frei definierbare Images aufgeteilt werden. Beispielsweise wenn Sicherungen auf CD-Rom erstellt werden sollen, kann jeweils eine 650 MB Größe für die Imagedatei festgelegt werden. Nachdem das Image erzeugt wurde kann es mit einer normalen Brennsoftware aud CD gebrannt werden.
- Zusammenfügen von Images
Die aufgeteilten Images können jederzeit von WinHex wieder zusammengefügt werden. Es ist aber auch möglich, nur Teilaussschnitte wieder herzustellen, beispielsweise wenn nur der Bootsektor einer Festplatte benötig wird, die als Image gespeichert wurde, kann dies geschehen ohne das auf die langwierige Gesamtwiederherstellung des Image gewartet werden muß.
Version 11.1 is great. You continue to improve upon an already exemplary product and maintain excellent user support. I wish other software producers were in your league. I operate a computer forensic/electronic evidence business and use your product in all my cases almost without exception as a standard first line examination tool. The integration with Windows Explorer enables me to open many files quickly and conveniently under Winhex to quickly assess what I have. A great, reliable and bug free product.
Jeffrey R. Gross - President
Computer Forensic Associates, Inc.
Electronic Evidence Specialists
Investigations, Recovery, Analysis & Consulting
www.4nsic.org
As a professional forensics examiner, I have used Winhex as a
forensics instrument in recovering and analyzing digital information. I have tested and
validated the professional version and it has proved to be accurate and trustworthy in its
reporting. I have the highest level of confidence in WinHex's efficacy in digital
forensics cases. I am confident that the tool and my use of this instrument would stand
legal review and opposing challenge.
I have given past expert reports and testimony based on my personal use of Winhex
Professional in litigation which involves several significant civil matters. These include
investigations dealing with Enron Corporation, Andersen Consulting, NewPark Drilling and
ATMOS energy. I have also used Winhex in several criminal forensics matters here in the US
in Texas, Oklahoma, District of Columbia and Federal cases.
Larry Leibrock, Ph. D.
Founder and CTO of eForensics® LLC
Digital Forensics Examinations
Experienced Court Appointed Special Master
Enterprise Server/Network Investigations
Information Technologies Risk Assessments and Penetration Studies