X-Ways Forensics: Integrierte Software für Computerforensik

X-Ways Forensics ist eine fortschrittliche Arbeitsumgebung für Computerspezialisten bei der forensischen (kriminaltechnischen) Untersuchung von EDV (Computerforensik) für Windows 2000/XP/2003/Vista*/2008*. Im Vergleich zu Produkten von der US-amerikanischen Konkurrenz ist X-Ways Forensics nach einer Eingewöhnungsphase effizienter zu nutzen, oft schneller in der Verarbeitungsgeschwindigkeit, nicht so ressourcenhungrig, findet gelöschte Dateien und Suchtreffer, die andere nicht finden, enthält viele Features, die anderswo fehlen, ... und kostet nur einen Bruchteil. Besonders hervorzuheben ist, daß sich X-Ways Forensics speziell in Deutschland angesichts der Rechtsprechung des Bundesverfassungsgerichts** dank dosierter und selektiver Sicherungs-, Ausblende- und Filtermöglichkeiten wohl wie kein anderes Tool zur rechtssicheren Beweismittelsicherung und -auswertung eignet.

X-Ways Forensics enthält den Hex- und Disk-Editor WinHex. X-Ways Forensics ist Teil eines effizienten Workflow-Modells, in dem Computerforensiker mit spezialisierten anderen Ermittlern zusammenarbeiten, die ihrerseits X-Ways Investigator verwenden, und ihnen komfortabel vorgefilterte Daten zur Verfügung stellen können, um die eigentliche Auswertetätigkeit zu ermöglichen.

X-Ways Forensics
14.9

Download der Vollversion nur für Kunden (URL-Mitteilung bei Kauf und hier)

Handbuch

Kurzanleitungen
Images erstellen
Fall anlegen
Datei-Bericht
Dynam. Filtern
Suchfunktion

Demoversion für Firmen und Behörden auf Anfrage erhältlich.
Bitte teilen Sie uns Ihre vollständige offizielle Adresse mit.

Demoversion
von WinHex

Rezension in der iX 4/2005

X-Ways Forensics enthält alle bekannten Features von WinHex, wie etwa...

• Klonen von Datenträgern, Erstellen von Disk-Images, auch unter DOS mit X-Ways Replica
• Untersuchung der kompletten Verzeichnisstruktur innerhalb von Roh-Image-Dateien („dd“-Images), auch wenn diese über mehrere Segmente verteilt sind
• eingebaute Unterstützung von FAT, NTFS, Ext2/3/4, CDFS, UDF
• native Interpretation von RAID-Systemen (Level 0 und 5) und dynamischen Platten
• vollständiger Zugriff auf Datenträger, RAIDs und Images größer als 2 TB (mit mehr als 2³² Sektoren)
• Einsehen und Sichern des physischen Arbeitsspeichers (RAM) und virtuellen Prozeßspeichers
• verschiedene Datenrettungs-Techniken
• Datei-Header-Signatur-Datenbank basierend auf flexibler GREP-Notation
• forensisch sicheres Löschen von Festplatten, um sie „steril“ für die nächste Benutzung zu machen
• Extraktion von Schlupfspeicher (Slack Space), freiem Laufwerksspeicher, Partitionslückenspeicher und Text auf Datenträgern und Image-Dateien
• Erstellung eines Katalogs über alle Dateien und Verzeichnisse auf einem Datenträger
• komfortable Erkennung und Zugriff auf alternative Datenströme (ADS) von NTFS, selbst solche, die in anderen Programmen unentdeckt bleiben
• Hash-Berechnung für Dateien und Datenträger (CRC32, MD5, SHA-1, SHA-256, ...)
• keine Fixierung auf den MD5 als Hash-Wert wie bei der Konkurrenz
• mächtige physische und logische Suchfunktionen für ganze Listen von Suchbegriffen auf einmal
• verzeichnisübergreifende Ansicht aller existierenden und gelöschten Dateien auf Datenträgern
• automatische Einfärbung der Bestandteile von FILE-Records in NTFS
• Lesezeichen zum Wiederauffinden und Kenntlichmachen von Positionen
• Bates-Numerierung von Dateien
• ...

...und darüber hinaus entscheidende weitere Funktionsmerkmale:

• komplette Fall-Verwaltung und -Bearbeitung
• automatisches Protokollieren Ihrer Arbeitsschritte (Audit-Logs)
• Schreibschutz zur Wahrung der Datenintegrität
• zusätzliche Unterstützung für die Dateisysteme HFS, HFS+, ReiserFS, Reiser4, viele Varianten von UFS1 und UFS2
• Unterstützte Partitionierungsarten: Windows dynamische Platten (MBR- und GPT-Stil) und Apple zusätzlich zu MBR, GPT (GUID) und unpartitioniert (Floppy/ Superfloppy)
• Einlesen und Erzeugen von Evidence-Files (.e01-Dateien), optional mit echter Verschlüsselung (256-Bit AES, d.h. kein hanebüchener „Paßwortschutz“) und sehr flexibler Komprimierung
• Kopieren relevanter Dateien in spezielle Datei-Container und Beibehaltung praktisch aller Dateisystem-Metadaten, als selektive Sicherungsmöglichkeit oder zum Datenaustausch mit anderen Ermittlern oder anderen Verfahrensbeteiligten
• Zeigt Besitzer von Dateien und NTFS-Zugriffsberechtigungen
• Galerie-Ansicht für Bilder
• Kalender-Ansicht
• Dateivorschau, integrierte Dateibetrachter für mehr als 270 Dateitypen
• Merkt sich, welche Dateien bereits eingesehen wurden
• Untersuchung von E-Mails in den Formaten Outlook (PST)***, Outlook Express (DBX), Mozilla (incl. Netscape and Thunderbird), AOL PFC, Generic Mailbox (mbox, Berkeley, BSD, Unix), Eudora, PocoMail, Barca, Opera, Forte Agent, The Bat!, Pegasus, PMMail, FoxMail, Maildir-Ordner (lokale Kopien)
• automatische Dateisignaturprüfung
• automatische Erstellung von Berichten, die von jeder Applikation importiert und weiterverarbeitet werden können, die HTML versteht, wie z. B. MS Word
• Kommentare zu Dateien hinterlegen, zur Ausgabe im Bericht oder zum Filtern
• relevante Dateien markieren und Berichtsabellen hinzufügen
• Verzeichnisbaum links mit Möglichkeit, Verzeichnisse incl. aller Unterverzeichnisse zu erkunden/zu markieren
• Synchronisieren der Sektorenansicht mit dem Verzeichnis-Browser
• mächtige dynamische Filter nach wahrem Dateityp, Hash-Set-Kategorie, Zeitstempel, Dateigröße, Kommentaren, Berichtstabellen usw.
• Möglichkeit, Dateien aus einem Image/Datenträger mit vollständigem Quellpfad herauszukopieren, mit oder ohne Schlupfspeicher (Slack), Schlupf separat oder nur Schlupf
• Ausgleich des Effekts von NTFS-Kompression und Ext2/Ext3-Block-Allokation bei Datei-Header-Signatur-Suche
• automatische Erkennung verschlüsselter MS-Office- und PDF-Dokumente
• automatisches Auffinden von eingebetteten Bildern in Dokumenten (MS Word, PDF, MS PowerPoint, ...)
• Hautfarbenerkennung (Galerie-Ansicht sortiert nach Hautfarbenanteil beschleunigt z. B. die Suche nach Spuren von Kinderpornographie immens)
• Möglichkeit, Bilder aus Video-Dateien in benutzerdefinierten Zeiteinheiten zu extrahieren, mittels MPlayer oder Forensic Framer, um das Prüfen von Filmen auf unangemessene oder illegale Inhalte drastisch zu beschleunigen
• automatisches Auflisten von Archivinhalten, auch in rekursiven Ansichten
• interner Betrachter für Registry-Dateien aller Windows-Versionen; automatische Registry-Berichterstellung
• bequemes Einsehen von Windows-Ereignisprotokollen (Event Logs), Windows-LNK-Dateien, Windows-Prefetch-Dateien, $LogFile
• Extrahiert Metadaten und interne Erzeugungszeitstempel aus diversen Dateitypen und erlaubt es, danach zu filtern, z. B. für MS Office, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, THM, TIFF, GIF, PNG, GZ, ZIP, IE Cookies, SHD & SPL Drucker-Spool
• logische Suche, in allen oder ausgewählten Dateien/Verzeichnissen, folgt Dateifragmentierung, auch in komprimierten Dateien, decodiert Text in PDF, XML, ...
• mächtiges Einsehen von Suchtreffern mit Kontextvorschau, z. B. „alle Treffer für Suchbegriffe A, B, und D in allen .doc- und .ppt-Dateien unterhalb von \Dokumente und Einstellungen mit Zugriffsdatum in 2004“
• Suche und Indexierung in Unicode und diversen Codepages
• Hochflexibler Indexierungsalgorithmus mit Besonderheit Teilwort-Unterstützung (findet z. B. „Konto“ in „Bankkonto“ und „Unterkonto“ sowie „Rechnung“ in „Abrechnung“ usw.)
• Suchtreffer mit logischen Operatoren UND, unscharfes UND, + und - verknüpfen
• Suchtreffer in HTML-Form exportieren, farblich hervorgehoben innerhalb des Kontextes, mit Datei-Metadaten
• Erkennung von Host Protected Areas (HPA), auch bekannt als ATA-geschützte Bereiche
• rasant schneller Abgleich von Dateien mit der internen Hash-Datenbank
• Import von NSRL-RDS-2.x-, HashKeeper- und ILook-Hash-Sets
• Erstellung eigener Hash-Sets
• Möglichkeit, ganze hiberfil.sys-Dateien und einzelne xpress-Blöcke zu dekomprimieren
• [...]
• Reduzierte und vereinfachte Benutzeroberfläche verfügbar für Ermittler, die nicht auf Computer spezialisiert sind, zum halben Preis: X-Ways Investigator

X-Ways Forensics wird zu einem sehr attraktiven Preis angeboten. X-Ways Forensics wird immer gleichzeitig mit WinHex aktualisiert. Des weiteren bieten wir auch Computerforensik-Schulungen für unsere Produkte an. Weitere forensische Software.