X-Ways Forensics: Integrierte Software für Computerforensik

X-Ways Forensics ist eine hochintegrierte Arbeitsumgebung für Computerspezialisten bei der forensischen (kriminaltechnischen) Untersuchung von EDV (Computerforensik) für Windows XP/2003/Vista/2008/7/8*, 32 Bit/64 Bit. Im Vergleich zu Produkten von der US-amerikanischen Konkurrenz ist X-Ways Forensics nach einer Eingewöhnungsphase effizienter zu nutzen, oft schneller in der Verarbeitungsgeschwindigkeit, nicht so ressourcenhungrig, findet gelöschte Dateien und Suchtreffer, die andere nicht finden, enthält viele Features, die anderswo fehlen, ... und kostet nur einen Bruchteil. Besonders hervorzuheben ist, daß sich X-Ways Forensics speziell in Deutschland angesichts der Rechtsprechung des Bundesverfassungsgerichts** dank dosierter und selektiver Sicherungs-, Ausblende- und Filtermöglichkeiten wohl wie kein anderes Tool zur rechtssicheren Beweismittelsicherung und -auswertung eignet.

X-Ways Forensics enthält den Hex- und Disk-Editor WinHex. X-Ways Forensics ist Teil eines effizienten Workflow-Modells, in dem Computerforensiker mit spezialisierten anderen Ermittlern zusammenarbeiten, die ihrerseits X-Ways Investigator verwenden, und ihnen komfortabel vorgefilterte Daten zur Verfügung stellen können, um die eigentliche Auswertetätigkeit zu ermöglichen.
 

X-Ways Forensics
17.1

Download der Vollversion nur für Kunden (URL-Mitteilung bei Kauf und hier)

Handbuch

Kurzanleitung
Videos
Brett Shaver's Guide

Benutzer-oberfläche

Demoversion für handelsregisterlich eingetragene Unternehmen und Behörden auf Anfrage erhältlich.
Bitte teilen Sie uns Ihre vollständigen Kontaktdaten mit.

Demoversion
von WinHex

Rezension in der iX 4/2005

X-Ways Forensics enthält alle bekannten Features von WinHex, wie etwa...

• Klonen von Datenträgern, Erstellen von Disk-Images
• Einlesen der Partitionierungs- und Dateisystemstruktur innerhalb von Roh-Image-Dateien („dd“-Images), ISO-, VHD- und VMDK-Images
• vollständiger Zugriff auf Datenträger, RAIDs und Images größer als 2 TB (mit mehr als 2³² Sektoren) mit Sektorgrößen bis 8 KB
• native Interpretation von RAID-Systemen (JBOD, Level 0, 5 und 6, auch Linux Software-RAIDs), dynamischen Platten und LVM2
• eingebaute Unterstützung von FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3®, CDFS/ISO9660/Joliet, UDF
• Einsehen und Sichern des physischen Arbeitsspeichers/RAM* und virtuellen Prozeßspeichers
• verschiedene Datenrettungs-Techniken, extrem schnelles und mächtiges Carving
• sorgfältig gepflegte Datei-Header-Signatur-Datenbank basierend auf GREP-Notation
• Daten-Dolmetscher für 20 Variablentypen
• Einsehen und Editieren von binären Datenstrukturen mit Schablonen
• forensisch sicheres Löschen von Festplatten, um sie „steril“ für die nächste Benutzung zu machen
• Extraktion von Schlupfspeicher (Slack Space), freiem Laufwerksspeicher, Partitionslückenspeicher und Text auf Datenträgern und Image-Dateien
• Erstellung eines Katalogs über alle Dateien und Verzeichnisse auf einem Datenträger
• komfortable Erkennung und Zugriff auf alternative Datenströme (ADS) von NTFS
• Hash-Berechnung für Dateien und Datenträger (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD, ...)
• mächtige physische und logische Suchfunktionen für ganze Listen von Suchbegriffen auf einmal
• verzeichnisübergreifende Ansicht aller existierenden und gelöschten Dateien auf Datenträgern
• automatische Einfärbung der Bestandteile von FILE-Records in NTFS
• Lesezeichen zum Wiederauffinden und Kenntlichmachen von Positionen
• Läuft auch in WinFE, der forensisch sicheren bootbaren Windows-Umgebung, z. B. für Triage-/Preview-Zwecke, mit einigen Einschränkungen
• Lesezugriff auf Computer im Netzwerk über F-Response
• ...

...und darüber hinaus entscheidende weitere Funktionsmerkmale:

• 64-Bit-Version verfügbar
• verbesserte Funktionen für Datenträgersicherungen, mit intelligenter Kompression
• Einlesen und Erzeugen von .e01-Evidence-Files (sog. EnCase-Images), optional mit echter Verschlüsselung (256-Bit AES, d.h. kein hanebüchener „Paßwortschutz“)
• komplette Fall-Verwaltung und -Bearbeitung
• automatisches Protokollieren Ihrer Arbeitsschritte (Audit-Logs)
• Schreibschutz zur Wahrung der Datenintegrität
• Zugriffsmöglichkeit auf Datenträger im Netzwerk optional möglich (Details)
• zusätzliche Unterstützung für die Dateisysteme HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, viele Varianten von UFS1 und UFS2
• unterstützte Partitionierungsarten: Apple zusätzlich zu MBR, GPT (GUID), Windows dynamische Platten (MBR- und GPT-Stil), LVM2 (MBR- und GPT-Stil) und unpartitioniert (Floppy/ Superfloppy)
• Kopieren relevanter Dateien in spezielle Datei-Container und Beibehaltung praktisch aller Dateisystem-Metadaten, als selektive Sicherungsmöglichkeit oder zum Datenaustausch mit anderen Ermittlern oder anderen Verfahrensbeteiligten
• sehr mächtige Hauptspeicheranalyse für lokalen RAM und Memory-Dumps von Windows 2000, XP, Vista, 2003 Server, 2008 Server, Windows 7
• bequeme Zurück- und Vorwärts-Navigation von einem Verzeichnis zum nächsten, mehrere Schritte; Wiederherstellung von Sortierkriterien, Filteraktivierung, Auswahl
• zeigt Besitzer von Dateien an, NTFS-Zugriffsberechtigungen, Object-IDs/GUIDs, besondere Attribute
• Galerie-Ansicht für Bilder
• Kalender-Ansicht
• Dateivorschau, integrierte Dateibetrachter für mehr als 270 Dateitypen
• merkt sich, welche Dateien bereits eingesehen wurden
• Untersuchung von E-Mails in den Formaten Outlook (PST/OST), Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (incl. Thunderbird), Generic Mailbox (mbox, Unix), MSG, EML
• automatische und intensive Dateityp-Prüfung per Signatur-Datenbank und mit speziellen Algorithmen
• relevante Dateien markieren und Berichtsabellen hinzufügen
• automatische Erstellung von Berichten, die von jeder Applikation importiert und weiterverarbeitet werden können, die HTML versteht, wie z. B. MS Word
• Kommentare zu Dateien hinterlegen, zur Ausgabe im Bericht oder zum Filtern
• Verzeichnisbaum links mit Möglichkeit, Verzeichnisse incl. aller Unterverzeichnisse zu erkunden/zu markieren
• Synchronisieren der Sektorenansicht mit dem Verzeichnis-Browser
• mächtige dynamische Filter nach wahrem Dateityp, Hash-Set-Kategorie, Zeitstempel, Dateigröße, Kommentaren, Berichtstabellen, enthaltenen Suchbegriffen, ...
• Möglichkeit, Dateien aus einem Image/Datenträger mit vollständigem Quellpfad herauszukopieren, mit oder ohne Schlupfspeicher (Slack), Schlupf separat oder nur Schlupf
• Ausgleich des Effekts von NTFS-Kompression und Ext2/Ext3-Block-Allokation bei Datei-Header-Signatur-Suche
• automatische Erkennung verschlüsselter MS-Office- und PDF-Dokumente
• automatisches Auffinden von eingebetteten Bildern in Dokumenten (MS Word, PDF, MS PowerPoint, ...)
• Hautfarbenerkennung (Galerie-Ansicht sortiert nach Hautfarbenanteil beschleunigt z. B. die Suche nach Spuren von Kinderpornographie immens)
• Möglichkeit, Bilder aus Video-Dateien in benutzerdefinierten Zeiteinheiten zu extrahieren, mittels MPlayer oder Forensic Framer, um das Prüfen von Filmen auf unangemessene oder illegale Inhalte drastisch zu beschleunigen
• automatisches Auflisten von Archivinhalten, auch in rekursiven Ansichten
• interner Betrachter für Registry-Dateien aller Windows-Versionen; automatische und konfigurierbare mächtige Registry-Berichterstellung
• bequemes Einsehen von Windows-Ereignisprotokollen (Event Logs vom Typ .evt und .evtx), Windows-LNK-Dateien, Windows-Prefetch-Dateien, $LogFile, $UsnJrnl, Restore Point change.log, Windows Task Scheduler (.job), $EFS LUS, INFO2, Restore Point change.log.1, wtmp/utmp/btmp Log-In-Records, MacOS X kcpassword, AOL-PFC, Outlook NK2 auto-complete, Outlook WAB address book, Internet Explorer travellog (a.k.a. RecoveryStore), SQLite-Datenbanken wie Firefox history, Firefox downloads, Firefox form history, Firefox sign-ons, Chrome cookies, Chrome archived history, Chrome history, Chrome log-in data, Chrome web data, Safari cache, Safari feeds, Skype's main.db Datenbank mit Kontakten und Datei-Transfers, ...
• extrahiert Metadaten und interne Erzeugungszeitstempel aus diversen Dateitypen und erlaubt es, danach zu filtern, z. B. für MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP memory dumps, hiberfil.sys, PNF, SHD & SPL Drucker-Spool-Dateien, tracking.log, .mdb MS Access database, manifest.mbdx/.mbdb iPhone backup, ...
• logische Suche, in allen oder ausgewählten Dateien/Verzeichnissen, folgt Dateifragmentierung, auch in komprimierten Dateien, decodiert Text in PDF, XML, ...
• mächtiges Einsehen von Suchtreffern mit Kontextvorschau, z. B. „alle Treffer für Suchbegriffe A, B, und D in allen .doc- und .ppt-Dateien unterhalb von \Dokumente und Einstellungen mit Zugriffsdatum in 2004“
• Suche und Indexierung in Unicode und diversen Codepages
• hochflexibler Indexierungsalgorithmus mit Besonderheit Teilwort-Unterstützung (findet z. B. „Konto“ in „Bankkonto“ und „Unterkonto“ sowie „Rechnung“ in „Abrechnung“ usw.)
• Suchtreffer mit logischen Operatoren UND, unscharfes UND, + und - verknüpfen
• Suchtreffer in HTML-Form exportieren, farblich hervorgehoben innerhalb des Kontextes, mit Datei-Metadaten
• Erkennung und Entsperrung von Host Protected Areas (HPA, ATA-geschützte Bereiche) und DCOs
• rasant schneller Abgleich von Dateien mit der internen Hash-Datenbank
• Import von NSRL-RDS-2.x-, HashKeeper- und ILook-Hash-Sets
• Erstellung eigener Hash-Sets
• Möglichkeit, ganze hiberfil.sys-Dateien und einzelne xpress-Blöcke zu dekomprimieren
• X-Tensions API (Programmierschnittstelle) zum Erweiterung der bestehenden Funktionalität
• Schnittstelle für externe Analyse-Programme wie DoublePics, das z. B. bekannte Bilder wiedererkennt (dateiformatunabhängig und auch wenn verfremdet) und eine Klassifizierung (wie „Kipo“, „relevant“, „irrelevant“) an X-Ways Forensics zurückgibt
• [...]

X-Ways Forensics wird zu einem sehr attraktiven Preis angeboten, immer gleichzeitig mit WinHex aktualisiert und wird mit einem Dongle geschützt. Spezialpreise für Lizenzen nur für Datenträgersicherungen. Reduzierte und vereinfachte Benutzeroberfläche verfügbar für Ermittler, die nicht auf Computer spezialisiert sind, zum halben Preis: X-Ways Investigator