WinHex/X-Ways Forensics: Administrationshinweise
Diese Informationen sollen Ihnen helfen, Ihre Installation von WinHex/X-Ways Forensics anzupassen oder die Installation auf mehreren Rechnern zu automatisieren (bspw. in einem Netzwerk). Bitte beachten Sie die Lizenzvereinbarung und die Anzahl der von Ihnen erworbenen Lizenzen .
System-Optimierung |
WinHex/X-Ways Forensics/X-Ways Investigator sind definitiv nicht ressourcenhungrig. Mit bloßen 512 MB RAM konnte man unter Windows XP bereits Dateisysteme mit rd. 5 Millionen Dateien öffnen und analysieren! (Es war nicht schnell, aber es ging.) Im folgenden finden Sie Tips für höhere Performanz und Skalierbarkeit (Bewältigung größerer Datei-Anzahlen), in loser Reihenfolge:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Unterschiede zwischen WinHex und X-Ways Forensics, Parallelbetrieb der beiden Programme | WinHex und X-Ways Forensics haben eine gemeinsame Code-Basis. X-Ways Forensics bietet unzählige zusätzliche Features gegenüber WinHex mit einer Specialist-Lizenz. Wenn Sie eine Lizenz für X-Ways Forensics haben, können Sie alternativ mit derselben Lizenz (und demselben Dongle) auch WinHex verwenden. Dazu einfach xwforensics[64].exe im selben Verzeichnis kopieren und die Kopie winhex[64].exe nennen. Beide Programm arbeiten dann mit dem vollen forensischen Funktionsumfang und sind identisch bis auf die folgenden Unterschiede:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Setup-Programm | Es ist nicht erforderlich, WinHex/X-Ways Forensics/X-Ways Investigator mit dem beigefügten Programm setup.exe zu installieren. Tatsächlich weist das Setup-Programm selbst darauf hin. Es kopiert lediglich die mitgelieferten Dateien (und alle .whs-Dateien, die es findet) in das Zielverzeichnis, stellt die gewünschte Sprache (Englisch, Deutsch, Französisch, Spanisch, Italienisch oder Portugisisch) ein und erzeugt eine Verknüpfung im Startmenü. Alle übrigen Grundeinstellungen werden von winhex.exe/xwforensics.exe selbst vorgenommen. WinHex/X-Ways Forensics/X-Ways Investigator sind voll portable Anwendungen, die von einem USB-Stick oder anderem Datenträger oder Netzlaufwerk auf jedem Computer mit Windows ohne spezielle Installation ausgeführt werden können. Wenn Sie eine existierende Installation eines nicht dongle-basierten Produkts updaten, werden Sie bei Einsatz des Setup-Programms gewarnt, falls die neue Version die existierenden Lizenzcodes nicht mehr akzeptiert, bevor die voll funktionsfähige bestehende Installation überschrieben wird. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konfigurationsdatei (v17.0 und neuer) |
Die Datei WinHex.cfg enthält die Einstellungen (Optionen, Filter, Pfade, ...). Sie wird von WinHex/X-Ways Forensics/X-Ways Investigator automatisch beim ersten Programmstart erzeugt und verwaltet, zwar und entweder a) im Installationsverzeichnis oder b) in einem Unterverzeichnis von \AppData\Local\X-Ways im Profil des Benutzers. b) trifft zu falls 1. WinHex.cfg bereits in diesem Verzeichnis existiert, 2. das Installationsverzeichnis auf Laufwerk C: liegt und für den Benutzer schreibgeschützt ist oder 3. eine Datei namens winhex.user oder (ab v18.7 SR-7) namens winhex.user.[Benutzername] im Installationsverzeichnis vorhanden ist. Wenn nur eine generische Datei WinHex.cfg existiert (im Installationsverzeichnis), und keine benutzerspezifische/individuelle, aber eine benutzerspezifische Konfiguration aufgrund von 2. oder 3. angezeigt ist, wird die generische Datei verwendet, um die Einstellungen solcher Benutzer zu initialisieren, die (noch) keine individuelle WinHex.cfg-Datei haben. Wenn gar keine Konfigurationsdatei gefunden wird, wird die Konfiguration mit Voreinstellungen initialisiert. Diese Voreinstellungen sind teils sprachspezifisch. Die Standardsprache ist Englisch. Um WinHex/X-Ways Forensics/X-Ways Investigator dazu zu zwingen, die Initialisierung mit einer anderen Sprache vorzunehmen, erzeugen Sie einfach eine leere Datei namens winhex.ger, winhex.fr, winhex.esp, winhex.ita oder winhex.por im Installationsverzeichnis, wenn noch keine WinHex.cfg-Datei existiert. Standardmäßig speichern WinHex/X-Ways Forensics/X-Ways Investigator alle Daten incl. WinHex.cfg in dem Verzeichnis, in dem sich die .exe-Datei befindet, so daß das Program voll portabel ist und unnötige Änderungen an einem zu analysierenden Live-System zu verhindern. Sie können wie erwähnt eine leere Datei namens winhex.user erzeugen, um benutzerspezifische Konfiguration zu erzwingen. In v17.3 und neuer können Sie außerdem eine leere Datei namens winhex.nouser erzeugen, um eine generische Konfiguration zu erzwingen, z. B. zur portablen Verwendung auf einer externen USB-Festplatte. Eine benutzerspezifische Konfiguration bedeutet, dass diverse benutzerspezifische Dateien in einem besonderen Unterverzeichnis des Benutzerprofil-Verzeichnisses abgelegt und erwartet werden. Eine benutzerspezifische Konfiguration ist unumgänglich, wenn das Programm aufgrund von fehlenden Schreibrechten im Installationsverzeichnis gar keine Dateien speichern kann. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konfigurationsdatei (v16.9 und älter) |
Die Datei WinHex [Benutzername].cfg liegt entweder im Installationsverzeichnis oder in einem Unterverzeichnis von "Virtual Store" (nur im Fall der 32-Bit-Edition, ab Windows Vista). Das Einfügen des Benutzernamens (ab v13.2 SR-5) ermöglicht es, daß verschiedene Benutzer sich dieselbe Installation teilen können, dabei aber individuelle Einstellung behalten. Beachten Sie, daß vor dem Benutzernamen ein Leerzeichen stehen muß. Wenn eine Datei WinHex.cfg existiert (d. h. ohne Benutzername), wird diese Datei für alle Benutzer verwendet, die keine individuelle .cfg-Datei haben. Wenn gar keine Konfigurationsdatei gefunden wird, wird die Konfiguration mit Standardwerten initialisiert. Um WinHex/X-Ways Forensics dazu zu zwingen, benutzerspezifische Konfigurationsdateien zu verwenden, erzeugen Sie einfach eine leere Datei namens winhex.user im Installationsverzeichnis (ab v16.9 SR-1). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Konfiguration über
lokale Registry (v9.5 und neuer) |
Alternativ kann jeder Benutzer eine individuelle Konfiguration (eigene voreingestellte Verzeichnisse für Fälle und Image-Dateien und andere Einstellungen) in seiner System-Registrierung haben. Auf diese Weise wird das Verwendung der winhex*.cfg-Dateien komplett vermieden. Erzeugen Sie dazu lediglich eine leere Datei namens winhex.rgt im WinHex-Verzeichnis. Wenn diese Datei beim Programmstart gefunden wird, liest WinHex die Konfiguration aus der lokalen Registry. Sollte der Registry-Schlüssel noch nicht existieren, versucht WinHex als nächstes eine existierende Datei winhex [Benutzername].cfg im Installationsverzeichnis zu lesen. Falls diese Datei ebenfalls nicht existiert, startet WinHex mit den Grundeinstellungen. In jedem Fall speichert WinHex die Konfiguration in der lokalen Registry, wenn die Datei winhex.rgt bei der Programmbeendigung vorgefunden wird. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Verträglichkeit unterschiedlicher Versionen und Konfigurationen | Unterschiedliche Versionen können gleichzeitig in verschiedenen Verzeichnissen installiert sein und haben ihre eigenen Konfigurationen. Auch mehrere Installationen derselben Version in verschiedenen Verzeichnissen sind möglich, um unterschiedliche Konfigurationen verwenden zu können. In beiden Fällen, um unterschiedliche Konfigurationen sicherzustellen, müssen die Installationen in Verzeichnissen unterschiedlichen Namens enthalten sein. Neuere Versionen dürfen über ältere Versionen kopiert/installiert werden, aber keinesfalls umgekehrt. WinHex mit forensischer Lizenz und X-Ways Forensics (sofern exakt gleiches Release) dürfen und sollen sich dasselbe Installationsverzeichnis teilen und viele identische Dateien gemeinsam nutzen. 32-Bit- und 64-Bit-Edition (sofern exakt gleiches Release) dürfen und sollen sich ebenfalls dasselbe Verzeichnis teilen. .exe-Dateien unterschiedlicher Versionen dürfen nicht im selben Verzeichnis vermischt und ausgeführt werden. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Organisation der Speicherung der Falldaten | Knowing about what is stored in
which file using which storage technology enables you to optimize your backup strategy and may allow you to
partially or fully recover your case if you suffer
from data loss (e.g. your case file or volume snapshot becomes corrupt). For example, if you spent a long time already refining the
volume snapshot, tagging and adding comments to files, and then the main
.xfc case file is lost, you can create a new case, add the same images
again, and then behind XWF's back (when it's not running or that
case is not open or at least the evidence object is not open) replace the
files the "_" subdirectory of the evidence object(s) with those from the original case to restore the volume
snapshots, comments and tagmarks.
*NTFS not indexed |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Zugehörige Dateien | Beschreibung einiger in WinHex und/oder X-Ways Forensics enthaltener Dateien:
Sie können Dateien löschen, die Funktionalität bereitstellen, die Sie nicht benötigt. Wenn Sie z. B. falsche generische Virus-Warnungen zu der kleinen 32-Bit decode.dat-Datei erhalten und sowieso nur die 64-Bit-Edition von X-Ways Forensics verwenden, können Sie die 32-Bit decode.dat einfach löschen. Außerdem geben wir Ihnen hiermit die Erlaubnis, die decode.dat beim Hersteller Ihres Antiviren-Tools zur Analyse einzuschicken, damit die Warnung in Signatur-Updates verschwindet. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Viewer-Komponente, Hash-Datenbank |
Die Viewer-Komponente muß separat heruntergeladen und entpackt werden. Standardmäßig wird sie in einem Unterverzeichnis namens \viewer unterhalb des Installationsordners erwartet (seit v12.1). Eine Hash-Datenbank wird nicht mitgeliefert. Standardmäßig wird eine interne Hash-Datenbank im Unterverzeichnis \HashDB unterhalb des Installationsordners erwartet. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
MPlayer | Das Programm MPlayer kann seit v14.8 in X-Ways Forensics und X-Ways Investigator zum Anschauen von und zur Bilderextraktion aus Video-Dateien verwendet werden. Standardmäßig wird es in einem Unterverzeichnis namens \mplayer unterhalb des Installationsordners erwartet. |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Datenträger editieren | Sektoren eines Datenträgers zu editieren/schreiben erfordert unter allen NT-basierten Windows-Versionen Administratorrechte. Under Windows Vista und neuer muß WinHex dazu explizit als Administrator ausgeführt werden. Das bloße Einloggen in Windows als Administrator genügt in diesen Windows-Versionen nicht mehr! |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Erforderliche Dateien, die nicht enthalten sind | Für die Verwendung der WinHex API (WinHex 10.1 und später) in einer Programmiersprache wie C/C++, Pascal oder Visual Basic werden einige weitere Dateien benötigt. Details Für direkten Zugriff auf CD-ROM Sektoren unter Windows 9x/Me muss das ASPI-Interface installiert sein (wnaspi32.dll). Diese Datei ist auf der Windows-Setup-CD verfügbar. Allerdings sollte sie auf den meisten Windows-Installationen bereits existieren. WinHex benötigt keine bestimmte Version von comctl32.dll. WinHex ist nicht von der Anwesenheit irgendwelcher Laufzeitbibliotheken abhängig (z. B. msv*.dll). |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Bart's PE Builder | Dieses Paket enthält alle notwendigen Konfigurationsdateien und Anleitungen für die Integration von WinHex/X-ways Forensics in BartPE. |