X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 

WinHex/X-Ways Forensics: Administrationshinweise

Diese Informationen sollen Ihnen helfen, Ihre Installation von WinHex/X-Ways Forensics anzupassen oder die Installation auf mehreren Rechnern zu automatisieren (bspw. in einem Netzwerk). Bitte beachten Sie die Lizenzvereinbarung und die Anzahl der von Ihnen erworbenen Lizenzen . 

System-Optimierung

WinHex/X-Ways Forensics/X-Ways Investigator sind definitiv nicht ressourcenhungrig. Mit bloßen 512 MB RAM konnte man unter Windows XP bereits Dateisysteme mit rd. 5 Millionen Dateien öffnen und analysieren! (Es war nicht schnell, aber es ging.) Im folgenden finden Sie Tips für höhere Performanz und Skalierbarkeit (Bewältigung größerer Datei-Anzahlen), in loser Reihenfolge:

  • Je höher die Prozessortaktung, desto besser.

  • Das Vorhandensein mehrerer Prozessorkerne wird in vielen Situationen von der Anwendung genutzt: Bei Datenträger-Sicherungen, beim Klonen von Datenträgern, Indexierung, bei logischen Suchen und bei der Erweiterung des Datei-Überblicks (für die letzten beiden Operationen in v19.8 bis zu 16 Threads, zuvor bis zu 8 Threads).

  • Das Erweitern der Datei-Überblicke von mehreren Asservaten gleichzeitig zur besseren Auslastung mehrerer Prozessorkerne ist möglich, wenn Sie denselben Fall (dieselbe Kopie der .xfc-Datei) in mehreren Instanzen des Programms öffnen (im Modus „Verteilte Auswertung oder Erweiterung von Datei-Überblicken“). Dies hat den bei größtmöglichen Effekt, wenn diese Asservate nicht auf derselben Festplatte gespeichert sind.

  • Refining volume snapshots of different evidence objects in parallel is possible if you open the same case in multiple instances of the program (in “Allow distributed analysis work and volume snapshot refinment” mode), but makes sense only if the evidence objects are not stored on the same hard disk.

  • Auf einem Terminal-Server mit mehreren Benutzern oder wenn Sie mehrere Instanzen von X-ways Forensics gleichzeitig laufen lassen, sind noch mehr Prozessorkerne und mehr RAM sinnvoll, auch bei Verwendung der 32-Bit-Edition. 

  • Verwenden Sie eine 64-Bit Windows-Version. Wenn Sie eine 32-Bit-Version haben, führen Sie Windows mit dem /3GB-Schalter aus.

  • Verwenden Sie > 4 GB RAM. In der 32-Bit-Edition von X-Ways Forensics können in einem 64-Bit Windows 4 GB direkt adressiert werden, in einem 32-Bit Windows 3 GB. Mehr Speicher hilft auch in 32 Bit immer noch indirekt durch Puffer in Windows. In der 64-Bit-Edition kann natürlich auch viel mehr Speicher direkt verwendet werden. Je mehr RAM direkt verwendet werden kann, desto größere  Datei-Überblicke werden unterstützt (Asservate mit vielen Millionen Dateien), desto mehr Asservate mit großen Datei-Überblicken können gleichzeitig geöffnet sein, desto mehr Daten von Datei-Überblicken können im Speicher gehalten werden und desto mehr Suchtreffer können verwaltet werden.

  • Mit der 32-Bit-Edition von X-Ways Forensics ist das Analysieren von Partitionen mit z. B. 25 Millionen Objekten (Dateien und Verzeichnissen) kein Problem, sofern Sie ein 64-Bit-Windows verwenden. Für noch umfangreichere Datei-Überblicke oder wenn Sie mehrere Asservate mit solche umfangreichen Datei-Überblicken gleichzeitig geöffnet haben möchten, verwenden Sie besser die 64-Bit-Edition von X-Ways Forensics.

  • Unter Bedingungen mit nicht ausreichendem Arbeitsspeicher, lassen Sie XWF weniger Daten im Speicher halten (s. Optionen des Datei-Überblicks) und halten Sie nicht mehrere Asservate mit vielen Dateien gleichzeitig offen, wenn nicht unbedingt nötig (Datei-Überblickserweiterungen und parallele Suchen können Asservate bei Bedarf selbständig öffnen, außer dynamische Platten von Windows und LVM2-Platten von Linux mit übergreifenden Volumes, und auch automatisch wieder schließen).

  • Sammeln Sie nicht dauerhaft unnötigerweise Millionen von Suchtreffern an. Diese benötigten Speicher. Wenn Sie mit zu unspezifischen Suchbegriffen zu viele Suchtreffern erhalten, löschen Sie diese wieder, um Speicher freizumachen.

  • Wenn möglich, speichern Sie Fälle und Images nicht auf derselben Platte. 

  • Wenn möglich, speichern Sie temporäre Dateien und Images nicht auf derselben Platte.

  • Verwenden Sie schnellere Platten, mit höherer Datenübertragungsrate und schnellerem Zugriff,

  • Hochqualitative SSDs sind natürlich besser.

  • Speichern Sie Images auf einem RAID statt auf einer Platte, für höhere Übertragungsraten.

  • Vermeiden Sie die Verwendung von über USB angeschlossenen Datenträgern.

  • Formatieren Sie Ihre eigenen Partitionen mit NTFS, nicht FAT.

  • Verzichten Sie auf NTFS-Verschlüsselung (EFS) und NTFS-Kompression.

  • Verwenden Sie größere Cluster (z. B. 16 KB oder mehr) für die Partition, auf der Sie Images speichern.

  • Verwenden Sie keine komprimierten .e01-Evidence-Files, die von anderen Tools als X-Ways Forensics erzeugt wurden (vermeiden Sie normale oder starke Komprimierung).

  • Verzichten Sie auf einen aktiven Viren-Scanner im Hintergrund wenn möglich. 

  • Für die Indexierung wählen Sie nicht mehr Zeichen und keine kürzeren oder längeren Wörter aus als absolut notwendig. Lassen Sie keine Teilworte indexieren, wenn es nicht absolut notwendig ist.

Unterschiede zwischen WinHex und X-Ways Forensics, Parallelbetrieb der beiden Programme

WinHex und X-Ways Forensics haben eine gemeinsame Code-Basis. X-Ways Forensics bietet unzählige zusätzliche Features gegenüber WinHex mit einer Specialist-Lizenz. Wenn Sie eine Lizenz für X-Ways Forensics haben, können Sie alternativ mit derselben Lizenz (und demselben Dongle) auch WinHex verwenden. Dazu einfach xwforensics[64].exe im selben Verzeichnis kopieren und die Kopie winhex[64].exe nennen. Beide Programm arbeiten dann mit dem vollen forensischen Funktionsumfang und sind identisch bis auf die folgenden Unterschiede:

  • Die Benutzeroberfläche von WinHex (winhex.exe) identifiziert sich immer als WinHex, die von X-Ways Forensics (xwforensics.exe) als X-Ways Forensics. Die Programmhilfe und das Benutzerhandbuch verwenden allerdings zumeist statisch "WinHex".
  • In X-Ways Forensics werden Datenträger, interpretierte Image-Dateien, virtueller Arbeitsspeicher und physischer RAM-Speicher ausschließlich schreibgeschützt (im View-Modus) geöffnet, um forensisch sicheres Arbeit zu gewährleisten, bei dem keinerlei Veränderung von Beweisen geduldet wird. Dieser strenge Schreibschutz in X-Ways Forensics stellt sicher, daß die Original-Asservate nicht versehentlich verändert werden können, was vor Gericht von wesentlicher Bedeutung sein kann. Nur wenn Sie nicht von strengen Regeln gebunden sind und/oder aggressiver vorgehen möchten (weil z. B. ein Bootsektor repariert werden soll), können Sie WinHex statt X-Ways Forensics ausführen. Mit WinHex können Sie Datenträgersektoren editieren, ganze Datenträger oder freien Speicher oder Schlupfspeicher sicher überschreiben (wipen). 
Setup-Programm

Es ist nicht erforderlich, WinHex/X-Ways Forensics/X-Ways Investigator mit dem beigefügten Programm setup.exe zu installieren. Tatsächlich weist das Setup-Programm selbst darauf hin. Es kopiert lediglich die mitgelieferten Dateien (und alle .whs-Dateien, die es findet) in das Zielverzeichnis, stellt die gewünschte Sprache (Englisch, Deutsch, Französisch, Spanisch, Italienisch oder Portugisisch) ein und erzeugt eine Verknüpfung im Startmenü. Alle übrigen Grundeinstellungen werden von  winhex.exe/xwforensics.exe selbst vorgenommen. WinHex/X-Ways Forensics/X-Ways Investigator sind voll portable Anwendungen, die von einem USB-Stick oder anderem Datenträger oder Netzlaufwerk auf jedem Computer mit Windows ohne spezielle Installation ausgeführt werden können.

Wenn Sie eine existierende Installation eines nicht dongle-basierten Produkts updaten, werden Sie bei Einsatz des Setup-Programms gewarnt, falls die neue Version die existierenden Lizenzcodes nicht mehr akzeptiert, bevor die voll funktionsfähige bestehende Installation überschrieben wird.

Konfigurationsdatei
(v17.0 und neuer)

Die Datei WinHex.cfg enthält die Einstellungen (Optionen, Filter, Pfade, ...). Sie wird von WinHex/X-Ways Forensics/X-Ways Investigator automatisch beim ersten Programmstart erzeugt und verwaltet, zwar und entweder a) im Installationsverzeichnis oder b) in einem Unterverzeichnis von \AppData\Local\X-Ways im Profil des Benutzers. b) trifft zu falls 1. WinHex.cfg bereits in diesem Verzeichnis existiert, 2. das Installationsverzeichnis auf Laufwerk C: liegt und für den Benutzer schreibgeschützt ist oder 3. eine Datei namens winhex.user oder (ab v18.7 SR-7) namens winhex.user.[Benutzername] im Installationsverzeichnis vorhanden ist. Wenn nur eine generische Datei WinHex.cfg existiert (im Installationsverzeichnis), und keine benutzerspezifische/individuelle, aber eine benutzerspezifische Konfiguration aufgrund von 2. oder 3. angezeigt ist, wird die generische Datei verwendet, um die Einstellungen solcher Benutzer zu initialisieren, die (noch) keine individuelle WinHex.cfg-Datei haben. Wenn gar keine Konfigurationsdatei gefunden wird, wird die Konfiguration mit Voreinstellungen initialisiert.

Diese Voreinstellungen sind teils sprachspezifisch. Die Standardsprache ist Englisch. Um WinHex/X-Ways Forensics/X-Ways Investigator dazu zu zwingen, die Initialisierung mit einer anderen Sprache vorzunehmen, erzeugen Sie einfach eine leere Datei namens winhex.ger, winhex.fr, winhex.esp, winhex.ita oder winhex.por im Installationsverzeichnis, wenn noch keine WinHex.cfg-Datei existiert. Standardmäßig speichern WinHex/X-Ways Forensics/X-Ways Investigator alle Daten incl. WinHex.cfg in dem Verzeichnis, in dem sich die .exe-Datei befindet, so daß das Program voll portabel ist und unnötige Änderungen an einem zu analysierenden Live-System zu verhindern. Sie können wie erwähnt eine leere Datei namens winhex.user erzeugen, um benutzerspezifische Konfiguration zu erzwingen.  In v17.3 und neuer können Sie außerdem eine leere Datei namens winhex.nouser erzeugen, um eine generische Konfiguration zu erzwingen, z. B. zur portablen Verwendung auf einer externen USB-Festplatte. Eine benutzerspezifische Konfiguration bedeutet, dass diverse benutzerspezifische Dateien in einem besonderen Unterverzeichnis des Benutzerprofil-Verzeichnisses abgelegt und erwartet werden. Eine benutzerspezifische Konfiguration ist unumgänglich, wenn das Programm aufgrund von fehlenden Schreibrechten im Installationsverzeichnis gar keine Dateien speichern kann.

Konfigurationsdatei
(v16.9 und älter)

Die Datei WinHex [Benutzername].cfg liegt entweder im Installationsverzeichnis oder in einem Unterverzeichnis von "Virtual Store" (nur im Fall der 32-Bit-Edition, ab Windows Vista). Das Einfügen des Benutzernamens (ab v13.2 SR-5) ermöglicht es, daß verschiedene Benutzer sich dieselbe Installation teilen können, dabei aber individuelle Einstellung behalten. Beachten Sie, daß vor dem Benutzernamen ein Leerzeichen stehen muß. Wenn eine Datei WinHex.cfg existiert (d. h. ohne Benutzername), wird diese Datei für alle Benutzer verwendet, die keine individuelle .cfg-Datei haben. Wenn gar keine Konfigurationsdatei gefunden wird, wird die Konfiguration mit Standardwerten initialisiert. Um WinHex/X-Ways Forensics dazu zu zwingen, benutzerspezifische Konfigurationsdateien zu verwenden, erzeugen Sie einfach eine leere Datei namens winhex.user im Installationsverzeichnis (ab v16.9 SR-1).

Konfiguration über lokale Registry
(v9.5 und neuer)

Alternativ kann jeder Benutzer eine individuelle Konfiguration (eigene voreingestellte Verzeichnisse für Fälle und Image-Dateien und andere Einstellungen) in seiner System-Registrierung haben. Auf diese Weise wird das Verwendung der winhex*.cfg-Dateien komplett vermieden.  

Erzeugen Sie dazu lediglich eine leere Datei namens winhex.rgt im WinHex-Verzeichnis. Wenn diese Datei beim Programmstart gefunden wird, liest WinHex die Konfiguration aus der lokalen Registry. Sollte der Registry-Schlüssel noch nicht existieren, versucht WinHex als nächstes eine existierende Datei winhex [Benutzername].cfg im Installationsverzeichnis zu lesen. Falls diese Datei ebenfalls nicht existiert, startet WinHex mit den Grundeinstellungen. In jedem Fall speichert WinHex die Konfiguration in der lokalen Registry, wenn die Datei winhex.rgt bei der Programmbeendigung vorgefunden wird.  

Verträglichkeit unterschiedlicher Versionen und Konfigurationen

Unterschiedliche Versionen können gleichzeitig in verschiedenen Verzeichnissen installiert sein und haben ihre eigenen Konfigurationen. Auch mehrere Installationen derselben Version in verschiedenen Verzeichnissen sind möglich, um unterschiedliche Konfigurationen verwenden zu können. In beiden Fällen, um unterschiedliche Konfigurationen sicherzustellen, müssen die Installationen in Verzeichnissen unterschiedlichen Namens enthalten sein.

Neuere Versionen dürfen über ältere Versionen kopiert/installiert werden, aber keinesfalls umgekehrt. WinHex mit forensischer Lizenz und X-Ways Forensics (sofern exakt gleiches Release) dürfen und sollen sich dasselbe Installationsverzeichnis teilen und viele identische Dateien gemeinsam nutzen. 32-Bit- und 64-Bit-Edition (sofern exakt gleiches Release) dürfen und sollen sich ebenfalls dasselbe Verzeichnis teilen. .exe-Dateien unterschiedlicher Versionen dürfen nicht im selben Verzeichnis vermischt und ausgeführt werden.

Organisation der Speicherung der Falldaten Knowing about what is stored in which file using which storage technology enables you to optimize your backup strategy and may allow you to partially or fully recover your case if you suffer from data loss (e.g. your case file or volume snapshot becomes corrupt). For example, if you spent a long time already refining the volume snapshot, tagging and adding comments to files, and then the main .xfc case file is lost, you can create a new case, add the same images again, and then behind XWF's back (when it's not running or that case is not open or at least the evidence object is not open) replace the files the "_" subdirectory of the evidence object(s) with those from the original case to restore the volume snapshots, comments and tagmarks.
 
Name in v16 Name in v17 Storage specialty Purpose
Volume Files.dir Main 1 * main volume snapshot data (e.g. file size, file ID, type status, attributes, tagged status, already viewed status, ...) always in memory
Volume Files 2.dir Main 2 * main volume snapshot data (e.g. start sector number, hard link count, skin color percentage, ...), optionally held in memory
Volume Files 3.dir Main 3 * main volume snapshot data (timestamps), optionally held in memory
Volume Clusters.dir Clusters NTFS compression, * allocation of the clusters of the file system to the files
Volume Comments.dir Comments * examiner's comments
Volume Extensions.dir Types * file types encountered
Volume Extra.dir Xtra * references into SenRec.dir, data runs for certain recovered files, and more
Volume Filenames.dir Names * names of files and directories
Volume Hash Values.dir Hash Values * hash values
Volume Matches.dir Matches * hash set matches
Volume Metadata.dir Metadata * metadata extracted from the file contents
Volume Search Hits.dir Search Hits * search hits
Events.dir Events 1 * event main data (timestamps, type of event, corresponding file in the volume snapshot)
EvDescr.dir Events 2 * event variable length text
Decoded Text.dir Decoded * decoded text from various files for logical searches and indexing
Bitmap.dir Bitmap NTFS compression, * bitmap of clusters by which free space is optionally reduced
External subdirectory External Temporary preallocation to prevent fragmentation, * extracted files (e-mail messages, attachments, video stills, attached files)
n/a Control NTFS sparse, * internal use
n/a Relations NTFS sparse, * internal use
Index subdirectory variable * Index
SenRec.dir SenRec.dir   sender and recipients of e-mail encountered in the case
.xfc case file .xfc case file   everything else, e.g. report table names, report table associations, evidence objects properties, search terms that the search hits relate to, ...

*NTFS not indexed

Zugehörige Dateien

Beschreibung einiger in WinHex und/oder X-Ways Forensics enthaltener Dateien:

  • winhex.exe/xwforensics.exe (main executable file, 32-bit edition)
  • winhex64.exe/xwforensics64.exe (main executable file, 64-bit edition)
  • DevIL.dll, ILU.dll, ILUT.dll (required only for picture viewing)
  • Chinese.* (required for the Chinese user interface only)
  • index*.txt (used for indexing in X-Ways Forensics)
  • indexer*.exe (used for indexing and index searches in X-Ways Forensics)
  • zlib1.dll
  • zip.dll (required only for archive handling)
  • rar.dll (required only for RAR archive handling)
  • zip.exe (required only for case backups)
  • hash.dll (for faster hash computation)
  • dialogs.dat (dialog resources)
  • language.dat (string resources)
  • timezone.dat (time zone definitions)
  • decode.dat (used for crash-safe text decoding, two separate files, for the 32-bit and 64-bit edition)
  • winhex*.chm (program help)
  • File Type Signatures *.txt (file type signature definitions)
  • File Type Categories.txt (file category definition file)
  • Reg Report *.txt (definitions for the registry report function)
  • *.tpl (various sample template definition files)
  • *.whs (various sample scripts, as of v10.0)
  • ...

Sie können Dateien löschen, die Funktionalität bereitstellen, die Sie nicht benötigt. Wenn Sie z. B. falsche generische Virus-Warnungen zu der kleinen 32-Bit decode.dat-Datei erhalten und sowieso nur die 64-Bit-Edition von X-Ways Forensics verwenden, können Sie die 32-Bit decode.dat einfach löschen. Außerdem geben wir Ihnen hiermit die Erlaubnis, die decode.dat beim Hersteller Ihres Antiviren-Tools zur Analyse einzuschicken, damit die Warnung in Signatur-Updates verschwindet.

Viewer-Komponente,
Hash-Datenbank

Die Viewer-Komponente muß separat heruntergeladen und entpackt werden. Standardmäßig wird sie in einem Unterverzeichnis namens \viewer unterhalb des Installationsordners erwartet (seit v12.1).

Eine Hash-Datenbank wird nicht mitgeliefert. Standardmäßig wird eine interne Hash-Datenbank im Unterverzeichnis \HashDB unterhalb des Installationsordners erwartet. 

MPlayer

Das Programm MPlayer kann seit v14.8 in X-Ways Forensics und X-Ways Investigator zum Anschauen von und zur Bilderextraktion aus Video-Dateien verwendet werden. Standardmäßig wird es in einem Unterverzeichnis namens \mplayer unterhalb des Installationsordners erwartet. 

Datenträger editieren

Sektoren eines Datenträgers zu editieren/schreiben erfordert unter allen NT-basierten Windows-Versionen Administratorrechte. Under Windows Vista und neuer muß WinHex dazu explizit als Administrator ausgeführt werden. Das bloße Einloggen in Windows als Administrator genügt in diesen Windows-Versionen nicht mehr!

Erforderliche Dateien, die nicht enthalten sind

Für die Verwendung der WinHex API (WinHex 10.1 und später) in einer Programmiersprache wie C/C++, Pascal oder Visual Basic werden einige weitere Dateien benötigt. Details

Für direkten Zugriff auf CD-ROM Sektoren unter Windows 9x/Me muss das ASPI-Interface installiert sein (wnaspi32.dll). Diese Datei ist auf der Windows-Setup-CD verfügbar. Allerdings sollte sie auf den meisten Windows-Installationen bereits existieren.

WinHex benötigt keine bestimmte Version von comctl32.dll. WinHex ist nicht von der Anwesenheit irgendwelcher Laufzeitbibliotheken abhängig (z. B. msv*.dll).

Bart's PE Builder

Dieses Paket enthält alle notwendigen Konfigurationsdateien und Anleitungen für die Integration von WinHex/X-ways Forensics in BartPE.