WinHex/X-Ways Forensics: Infos zur Installation

WinHex und X-Ways Forensics können ausgeführt werden unter Windows 2000/XP/2003 Server/Vista/2008 Server/7, sowohl 32 Bit als auch 64 Bit. Unter Windows 2000 und 98/Me wurde die Software seit Jahren nicht mehr getestet, und Kompatibilität mit Windows 98/Me ist im Laufe der Zeit seit v12/v13 nach und nach verlorengegangen. Die letzte unter Windows 3.1x ausführbare Version war v7.54. Ältere Versionen sind auf Anfrage für registrierte Benutzer verfügbar.

WinHex/X-Ways Forensics/X-Ways Investigator sind definitiv nicht ressourcenhungrig. Sie können diese Programme auf alten Rechner unter Windows 2000 ausführen, mit nur 256 MB RAM und 1 GB freiem Plattenspeicher. Mit bloßen 512 MB RAM können Sie bereits Dateisysteme mit rd. 5 Millionen Dateien öffnen und analysieren! Gut zu wissen, wenn Sie X-Ways Forensics auch vor Ort zum Prüfen von unbekannten alten Live-Systemen einsetzen möchten.

Im folgenden finden Sie Tips für höchste Performanz, in loser Reihenfolge:

• Je höher die Prozessortaktung, desto besser.

• 2 Prozessorkerne sind besser als 1, 4 besser als 2, in vielen Situationen.

• Verwenden Sie eine 64-Bit Windows-Version. Wenn Sie eine 32-Bit-Version haben, führen Sie Windows mit dem /3GB-Schalter aus.

• Verwenden Sie > 4 GB RAM. 4 GB können in einem 64-Bit-Windows direkt adressiert werden, 3 GB in einem 32-Bit-Windows.

• Innerhalb der o. a. Grenzen gilt: Je mehr RAM, desto größere  Datei-Überblicke werden unterstützt (Volumes mit vielen Dateien).

• Unter Bedingungen mit nicht ausreichendem Arbeitsspeicher, lassen Sie XWF weniger Daten im Speicher halten (s. Optionen des Datei-Überblicks) und halten Sie nicht mehrere Asservate mit vielen Dateien gleichzeitig offen, wenn nicht unbedingt nötig (Datei-Überblickserweiterungen und parallele Suchen können Asservate bei Bedarf selbständig öffnen und auch automatisch wieder schließen).

• Sammeln Sie nicht dauerhaft unnötigerweise Millionen von Suchtreffern an. Diese benötigten Speicher. Wenn Sie mit zu unspezifischen Suchbegriffen zu viele Suchtreffern erhalten, löschen Sie diese wieder, um Speicher freizumachen.

• Auf einem Terminal-Server mit mehreren Benutzern sind noch mehr Prozessorkerne und mehr RAM sinnvoll. 

• Wenn möglich, speichern Sie Fälle und Images nicht auf derselben Platte. 

• Wenn möglich, speichern Sie temporäre Dateien und Images nicht auf derselben Platte.

• Verwenden Sie schnellere Platten, mit höherer Datenübertragungsrate und schnellerem Zugriff.

• Speichern Sie Images auf einem RAID statt auf einer Platte, für höhere Übertragungsraten.

• Vermeiden Sie die Verwendung von über USB angeschlossenen Datenträgern.

• Formatieren Sie Ihre eigenen Partitionen mit NTFS, nicht FAT.

• Verzichten Sie auf NTFS-Verschlüsselung (EFS) und NTFS-Kompression.

• Verwenden Sie größere Cluster (z. B. 16 KB oder mehr) für die Partition, auf der Sie Images speichern.

• Verwenden Sie keine komprimierten .e01-Evidence-Files, die von anderen Tools als X-Ways Forensics erzeugt wurden (vermeiden Sie normale oder starke Komprimierung).

• Verzichten Sie auf einen aktiven Viren-Scanner im Hintergrund wenn möglich. 

• Betrifft nur v15.9 und älter: Wählen Sie nicht alle Dateitypen zum Carven (Datei-Header-Signatur-Suche) aus, wenn es nicht erforderlich ist.

• Für parallele Suchen verwenden Sie bei Bedarf die GREP-Syntax statt der einfachen Jokerzeichen-Option.

• Verwenden Sie für parallele Suchen mit mehr als ca. 4 Suchbegriffen v15.9 oder später.

• Für die Indexierung wählen Sie nicht mehr Zeichen und keine kürzeren oder längeren Wörter aus als absolut notwendig. Lassen Sie keine Teilworte indexieren, wenn es nicht absolut notwendig ist.

• Defragmentieren Sie die zu untersuchenden Festplatten, bevor Sie sie sichern und analysieren. Halt, das war nur ein Scherz!!

WinHex und X-Ways Forensics haben eine gemeinsame Code-Basis. X-Ways Forensics bietet unzählige zusätzliche Features gegenüber WinHex mit einer Specialist-Lizenz. Wenn Sie eine Lizenz für X-Ways Forensics haben, können Sie alternativ mit derselben Lizenz (und demselben Dongle) auch WinHex verwenden. Beide Programm arbeiten dann mit dem vollen forensischen Funktionsumfang und sind identisch bis auf die folgenden Unterschiede:

• Die Benutzeroberfläche von WinHex (winhex.exe) identifiziert sich immer als WinHex, die von X-Ways Forensics (xwforensics.exe) als X-Ways Forensics. Die Programmhilfe und das Benutzerhandbuch verwenden allerdings zumeist statisch "WinHex".

• winhex.exe ist optional als separater Download für Benutzer von X-Ways Forensics verfügbar. Wenn Sie winhex.exe zu einer Installation von X-Ways Forensics hinzufügen, müssen die Versionen übereinstimmen, was sichergestellt ist, wenn beide zur gleichen Zeit heruntergeladen wurden.

• In X-Ways Forensics werden Datenträger, interpretierte Image-Dateien, virtueller Arbeitsspeicher und physischer RAM-Speicher ausschließlich schreibgeschützt (im View-Modus) geöffnet, um forensisch sicheres Arbeit zu gewährleisten, bei dem keinerlei Veränderung von Beweisen geduldet wird. Dieser strenge Schreibschutz in X-Ways Forensics stellt sicher, daß die Original-Asservate nicht versehentlich verändert werden können, was vor Gericht von wesentlicher Bedeutung sein kann. Nur wenn Sie nicht von strengen Regeln gebunden sind und/oder aggressiver vorgehen möchten (weil z. B. ein Bootsektor repariert werden soll), können Sie WinHex statt X-Ways Forensics ausführen. Mit WinHex können Sie Datenträgersektoren editieren, ganze Datenträger oder freien Speicher oder Schlupfspeicher sicher überschreiben (wipen).

• Die WinHex API kann nur zusammen mit WinHex verwendet werden. 

Es ist nicht unbedingt erforderlich, WinHex/X-Ways Forensics mit dem beigefügten Programm setup.exe zu installieren. Dieses Installationsprogramm kopiert lediglich die mitgelieferten Dateien (und alle .whs-Dateien, die es findet) in das Zielverzeichnis, stellt die gewünschte Sprache (Englisch, Deutsch, Französisch, Spanisch, Italienisch oder Portugisisch) ein und erzeugt eine Verknüpfung im Startmenü. Alle übrigen Grundeinstellungen werden von  winhex.exe/xwforensics.exe selbst vorgenommen.

Allerdings wird empfohlen, das Setup-Programm zu verwenden, wenn Sie eine existierende Installation updaten, damit Sie gewarnt werden, falls die neue Version die existierenden Lizenzcodes nicht mehr akzeptiert, bevor die voll funktionsfähige Installation tatsächlich überschrieben wird.

Die Datei WinHex.cfg enthält die Einstellungen (Optionen, Filter, Pfade, ...). Sie wird von WinHex/X-Ways Forensics automatisch erzeugt, sollte bei Programmstart keine allgemeine Konfigurationsdatei und auch keine benutzerspezifische Konfirugationsdatei WinHex [Benutzername].cfg existieren. Das Einfügen des Benutzernamens (ab v13.2 SR-5) ermöglicht es, daß verschiedene Benutzer sich dieselbe Installation teilen können, dabei aber individuelle Einstellung behalten. Beachten Sie, daß vor dem Benutzernamen ein Leerzeichen stehen muß. Wenn eine Datei WinHex.cfg existiert (d. h. ohne Benutzername), wird diese Datei für alle Benutzer verwendet, die keine individuelle .cfg-Datei haben. Wenn gar keine Konfigurationsdatei gefunden wird, wird die Konfiguration mit teils sprachabhängigen Standardwerten initialisiert. Die voreingestellte Sprache ist Englisch. Um WinHex/X-Ways Forensics dazu zu zwingen, die Initialisierung mit einer anderen Sprache vorzunehmen, erzeugen Sie einfach eine leere Datei mit einem der Namen winhex.ger, winhex.fr, winhex.esp, winhex.ita oder winhex.por im Installationsverzeichnis.

Alternativ kann jeder Benutzer eine individuelle Konfiguration (eigene voreingestellte Verzeichnisse für Fälle und Image-Dateien und andere Einstellungen) in seiner System-Registrierung haben. Auf diese Weise wird das Verwendung der winhex*.cfg-Dateien komplett vermieden.  

Erzeugen Sie dazu lediglich eine leere Datei namens winhex.rgt im WinHex-Verzeichnis. Wenn diese Datei beim Programmstart gefunden wird, liest WinHex die Konfiguration aus der lokalen Registry. Sollte der Registry-Schlüssel noch nicht existieren, versucht WinHex als nächstes eine existierende Datei winhex [Benutzername].cfg im Installationsverzeichnis zu lesen. Falls diese Datei ebenfalls nicht existiert, startet WinHex mit den Grundeinstellungen. In jedem Fall speichert WinHex die Konfiguration in der lokalen Registry, wenn die Datei winhex.rgt bei der Programmbeendigung vorgefunden wird.  

Die Konfiguration über die Registry existiert seit WinHex v9.5.

If you suffer from data loss (e.g. your case file or volume snapshot becomes corrupt), you may be able to partially or fully recover your case knowing what is stored in which file. For example, if you spent a long time already refining the volume snapshot, tagging and adding comments to files, and then the main .xfc case file is lost, you can create a new case, add the same images again, and then behind XWF's back (when it's not running or at least that case is not open) replace the contents of the metadata subdirectory of the case with those from the original case, to restore the volume snapshots, comments and tagmarks.

Volume *.dir: Daten des Datei-Überblicks
Volume Clusters.dir: Zuordnung der Cluster zu Dateien im Dateisystem
Volume Comments.dir: Kommentare des Benutzers
Volume Extensions.dir: angetroffene Dateitypen
Volume Extra.dir: Verweise in SenRec.dir
Volume Filenames.dir: alle Dateinamen
Volume Files.dir: Datei-Metadaten des Dateisystems wie ID, Größe, 1. Sektor, Attribute, ..., sowieo Markierungen des Benutzers
Volume Files 2.dir: Datei-Metadaten wie Besitzer, HFA, Pixel (seit v15.? separat, vorher in Volume Files.dir)
Volume Files 3.dir: Zeitstempel der Dateien (seit v15.6, vorher in Volume Files 2.dir, davor in Volume Files.dir)
Volume Hash Values.dir: Hash-Werte der Dateien
Volume Metadata.dir: aus Dateien extrahierte Metadaten
Volume Search Hits.dir: Suchtreffer (seit v15.3, vorher in .xfc)
SenRec.dir: im Fall angetroffene Absender und Empfänger von E-Mails, seit v15.6
.xfc-Falldatei: alles andere, z. B. Namen von Berichtstabellen, Berichtstabellen-Verknüpfungen, Asservat-Eigenschaften, Suchbegriffe, auf die sich Suchtreffer beziehen

Die folgenden Dateien sind für die korrekte Funktion erforderlich:

• winhex.exe/xwforensics.exe (die ausführbare Anwendung)
• external.dll (wird benötigt für einige Arten des direkten Festplatten- bzw. Diskettenzugriffs)*
• psapi.dll (wird nur für den RAM-Editor unter Windows NT/2000/XP benötigt)*
• hi.dll (wird nur für die Bilderansicht benötigt, wird nur mit X-Ways Forensics geliefert, bis v13.7)*
• DevIL.dll (wird nur für die Bilderansicht benötigt, wird nur mit X-Ways Forensics geliefert, seit v13.7)*
• Chinese.dat, Chinese2.dat (wird für das for the Chinese user interface only, seit v13.7)*
• index*.txt (in X-Ways Forensics für die Indexierung verwendet)
• zlib1.dll (seit v13.7)
• zip.dll (wird nur für Behandlung von Archiven benötigt, wird nur mit X-Ways Forensics geliefert, seit v11.7)*
• rar.dll (wird nur für Behandlung von RAR-Archiven benötigt, wird nur mit X-Ways Forensics geliefert, seit v11.7)*
• zip.exe (wird nur zum Archivieren von Fällen benötigt, wird nur mit X-Ways Forensics geliefert, seit v12.8)*
• hash.dll (wird nur zur schnelleren Hash-Berechnung benötigt, wird mit X-Ways Forensics geliefert, ist für WinHex separat hier herunterladbar, erfordert eine professionelle Lizenz oder höher, verfügbar seit v12.9)*
• m.dat (nur in X-Ways Forensics)
• nfi.exe (nur v9.7 bis v10.7)
• dialogs.dat (enthält Dialog-Informationen, alle Sprachen)
• language.dat (enthält Standardtexte, alle Sprachen)
• EBCDIC.dat (Unterstützung für den EBCDIC-Zeichensatz, seit v9.26)*
• timezone.dat (Unterstützung für flexible Zeitzonen-Interpretation, seit v12.8)*
• winhex.hlp, winhex.cnt (englische Programmhilfe)*
• winhex-d.hlp, winhex-d.cnt (deutsche Programmhilfe)*
• winhex-f.hlp, winhex-f.cnt (französische Programmhilfe)*
• File Type Signatures.txt (Dateitypdefinitionen für Datenrettung nach Typ, seit v11.2)*
• File Type Categories.txt (Kategoriedefinitionen für die Kategorieansicht, wird nur mit X-Ways Forensics geliefert, seit v11.5)*
• Reg Report [Keys].txt (Definitionen für die Registry-Berichtsfunktion, wird nur mit X-Ways Forensics geliefert, seit v11.5)*
• *.tpl (diverse Beispiel-Schablonen)*
• *.whs (diverse Beispiel-Skripte, seit v10.0)*

*Dateien mit einem Stern sind nicht erforderlich, wenn die angegebene Funktionalität nicht benötigt wird.

Die Viewer-Komponente muß separat heruntergeladen und entpackt werden. Standardmäßig wird sie in einem Unterverzeichnis namens \viewer unterhalb des Installationsordners erwartet (seit v12.1).

Eine Hash-Datenbank wird nicht mitgeliefert. Standardmäßig wird eine interne Hash-Datenbank im Unterverzeichnis \HashDB unterhalb des Installationsordners erwartet. 

Das Programm MPlayer kann seit v14.8 in X-Ways Forensics und X-Ways Investigator zum Anschauen von und zur Bilderextraktion aus Video-Dateien verwendet werden. Standardmäßig wird es in einem Unterverzeichnis namens \mplayer unterhalb des Installationsordners erwartet. Das separate Codec-Package sollte ins Unterverzeichnis \codecs der MPlayer-Installation extrahiert werden.

Alternativ kann dsa Programm Forensic Framer zur Bilderextraktion verwendet werden. Es enthält MPlayer.

Für die Verwendung der WinHex API (WinHex 10.1 und später) in einer Programmiersprache wie C/C++, Pascal oder Visual Basic werden einige weitere Dateien benötigt. Details

Für direkten Zugriff auf CD-ROM Sektoren unter Windows 9x/Me muss das ASPI-Interface installiert sein (wnaspi32.dll). Diese Datei ist auf der Windows-Setup-CD verfügbar. Allerdings sollte sie auf den meisten Windows-Installationen bereits existieren.

WinHex benötigt keine bestimmte Version von comctl32.dll. WinHex ist nicht von der Anwesenheit irgendwelcher Laufzeitbibliotheken abhängig (z. B. msv*.dll).

Sektoren einer Festplatte zu editieren/schreiben erfordert unter Windows NT/2000/XP/Vista/7 Administratorrechte. Under Windows Vista/7 muß WinHex dazu explizit als Administrator ausgeführt werden. Das bloße Einloggen in Windows als Administrator genügt in diesen Windows Versionen nicht mehr!

Dieses Paket enthält alle notwendigen Konfigurationsdateien und Anleitungen für die Integration von WinHex/X-ways Forensics in BartPE.