X-Ways Forensics: Integrierte Software für Computerforensik
X-Ways Forensics Download nur für Kunden (aktuelle Instruktionen immer hier) |
X-Ways Forensics ist eine hochintegrierte Arbeitsumgebung für Computerspezialisten bei der forensischen (kriminaltechnischen) Untersuchung von EDV (Computerforensik) für Windows XP/2003/Vista/2008/7/8/8.1/2012/10/2016/2019/11*, 32 Bit/64 Bit, Standard/PE/FE. (Windows FE wird hier, hier und hier beschrieben.) X-Ways Forensics ist nach einer Eingewöhnungsphase sehr effizient zu nutzen, oft viel schneller als Produkte von der Konkurrenz, längst nicht so ressourcenhungrig, findet gelöschte Dateien und Suchtreffer, die andere nicht finden, enthält viele Features, die anderswo fehlen, als deutsches Produkt weniger leicht kompromittierbar, ..., und kostet nur einen Bruchteil. X-Ways Forensics ist voll portabel, läuft von einem USB-Stick aus in jedem Windows-System ohne vorherige Installation, hat keine so gewaltigen Hardware-Anforderungen wie die Konkurrenz, erfordert nicht die Einrichtung eines komplexen Datenbanksystems und ist innerhalb von Sekunden herunterzuladen und zu installieren (da nur einige MB, nicht GB, groß). Besonders hervorzuheben ist, daß sich X-Ways Forensics speziell in Deutschland angesichts der Rechtsprechung des Bundesverfassungsgerichts** dank dosierter und selektiver Sicherungs-, Ausblende- und Filtermöglichkeiten wohl wie kein anderes Tool zur rechtssicheren Beweismittelsicherung und -auswertung eignet. X-Ways Forensics enthält den Hex- und Disk-Editor WinHex. X-Ways Forensics ist Teil eines effizienten Workflow-Modells, in dem Computerforensiker mit spezialisierten anderen Ermittlern zusammenarbeiten, die ihrerseits X-Ways Investigator verwenden, und ihnen komfortabel vorgefilterte Daten zur Verfügung stellen können, um die eigentliche Auswertetätigkeit zu ermöglichen. Schulung • Zertifizierung • Benutzerhandbuch • Videos zu Installation und Einstellungen • Ältere Videos zu einigen wichtigen Funktionen • Ted Smiths Videos • Ankündigungen von Service-Releases • Buch • Benutzeroberfläche • Eerweiterungsmodule von Dritten • Administrationshinweise Evaluationsversion für Behörden sowie u. U. einige handelsregisterlich eingetragene Unternehmen auf Anfrage erhältlich. Bitte teilen Sie uns dazu Ihre vollständigen offiziellen Kontaktdaten mit. Demoversion von WinHex. |
X-Ways Forensics enthält alle bekannten Features von WinHex, wie etwa...
- Klonen von Datenträgern, Erstellen von Disk-Images
- Einlesen der Partitionierungs- und Dateisystemstruktur innerhalb von Roh-Image-Dateien („dd“-Images), ISO-, VHD-, VHDX-, VDI- und VMDK-Images
- vollständiger Zugriff auf Datenträger, RAIDs und Images größer als 2 TB (mit mehr als 232 Sektoren) mit Sektorgrößen bis 8 KB
- native Interpretation von RAID-Systemen (JBOD, Level 0, 5, 5EE und 6), Linux Software-RAIDs, dynamischen Platten und LVM2
- automatische Identifikation von gelöschten/verlorenen Partitionen
- eingebaute Unterstützung von FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, CDFS/ISO9660/Joliet, UDF
- virtuelle Überlagerung von Sektors, z. B. mit korrigierten Partitionstabellen oder Dateisystem-Datenstrukturen, um Dateisysteme trotz Beschädigungen ganz einlesen zu können, ohne den Originaldatenträger oder das Original-Image ändern zu müssen
- Zugriff auf den gesamten logischen Adreßraum des Speichers laufender Prozesse
- verschiedene Datenrettungs-Techniken, extrem schnelles und mächtiges Carving
- sorgfältig gepflegte Datei-Header-Signatur-Datenbank basierend auf GREP-Notation
- Daten-Dolmetscher für 20 Variablentypen
- Einsehen und Editieren von binären Datenstrukturen mit Schablonen
- forensisch sicheres Löschen von Festplatten, um sie „steril“ für die nächste Benutzung zu machen
- Extraktion von Schlupfspeicher (Slack Space), freiem Laufwerksspeicher, Partitionslückenspeicher und Text auf Datenträgern und Image-Dateien
- Erstellung eines Katalogs über alle Dateien und Verzeichnisse auf einem Datenträger
- komfortable Erkennung und Zugriff auf alternative Datenströme (ADS) von NTFS
- Hash-Berechnung für Dateien und Datenträger (Adler32, CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD-128, RipeMD-160, Tiger-128, Tiger-16, Tiger-192, TigerTree, ...)
- mächtige physische und logische Suchfunktionen für ganze Listen von Suchbegriffen auf einmal
- verzeichnisübergreifende Ansicht aller existierenden und gelöschten Dateien auf Datenträgern
- automatische Einfärbung der Bestandteile von FILE-Records in NTFS
- Lesezeichen zum Wiederauffinden und Kenntlichmachen von Positionen
- läuft auch unter Windows FE, der forensisch sicheren bootbaren Windows-Umgebung, z. B. für Triage-/Preview-Zwecke, mit einigen Einschränkungen
- Unterstützung von hohen DPI-Einstellungen in Windows
- Lesezugriff auf Computer im Netzwerk über F-Response
- ...
...und darüber hinaus entscheidende weitere Funktionsmerkmale:
- Unterstützung für die Dateisysteme HFS, HFS+/HFSJ/HFSX, XFS, Btrfs, ReiserFS, Reiser4, UFS1, UFS2, APFS, QNX,SquashFS
- verbesserte Funktionen für Datenträgersicherungen, mit intelligenter Kompression
- Einlesen und Erzeugen von .e01-Evidence-Files (sog. EnCase-Images)
- Möglichkeit zum Erzeugen von Minimalsicherungen, bereinigten Sicherungen und punktuellen Sicherungen (Details)
- Logische Sicherung: Kopieren relevanter Dateien und Verzeichnisse in spezielle Datei-Container und Beibehaltung praktisch aller Dateisystem-Metadaten, als selektive Sicherungsmöglichkeit oder zum Datenaustausch mit anderen Ermittlern oder anderen Verfahrensbeteiligten
- komplette Fall-Verwaltung und -Bearbeitung
- relevante Dateien markieren und Berichtsabellen hinzufügen, Hinterlegen von Kommentaren zu Dateien, zur Ausgabe im Bericht oder zum Filtern
- Unterstützung mehrerer Ermittler im selben Fall, wobei X-Ways Forensics zwischen Benutzern anhand ihrer Windows-Benutzerkonten unterscheidet und die Benutzer zu unterschiedlichen Zeiten oder auch zur gleichen Zeit mit demselben Fall arbeiten. Die Ergebnisse (Suchtreffer, Kommentare, Berichtstabellenverknüpfungen, Markierungen, eingesehene, ausgeblendete Dateien, angehängte Dateien) werden separat verwaltet und auf Wunsch geteilt.
- automatische Erstellung von Berichten, die von jeder Applikation importiert und weiterverarbeitet werden können, die HTML versteht, wie z. B. MS Word
- Berichtformat definierbar mit CSS (Cascading Style Sheets)
- automatisches Protokollieren Ihrer Arbeitsschritte (Audit-Logs)
- Schreibschutz zur Wahrung der Datenintegrität
- hält Sie auf Wunsch über ein Laufwerk im selben Rechnernetz oder per E-Mail über den Stand der automatischen Verarbeitung auf dem Laufenden, während Sie nicht am Platz sind
- Zugriffsmöglichkeit auf Datenträger im Netzwerk optional möglich (Details)
- Möglichkeit, Dateien aus allen Schattenkopien in die Analyse einzubeziehen (dabei aber Duplikate auszulassen), nach solchen Dateien zu filtern, die Eigenschaften des Snapshots auszulesen usw.
- findet oft viel mehr Spuren gelöschter Dateien als konkurrierende Programme, dank überlegender Analyse von Dateisystem-Datenstrukturen, incl. $LogFile in NTFS und .journal in Ext3/Ext4
- Die Grundlage für die Anzeige einer gefundenen Datei ist praktisch immer nur einen Mausklick weit weg. Navigieren Sie bequem zum den Datenstrukturen des Dateisystems, in denen die Datei definiert ist, wie etwas FILE-Record, Index-Record, $LogFile, Schattenkopie, FAT-Verzeichniseintrag, Ext*-Inode, enthaltende Datei falls eingebettet usw.
- unterstützte Partitionierungsarten: MBR, GPT (GUID), Apple, Windows dynamische Platten (MBR- und GPT-Stil), LVM2 (MBR- und GPT-Stil) und unpartitioniert (Floppy/ Superfloppy)
- sehr mächtige Hauptspeicheranalyse für lokalen RAM und Memory-Dumps von Windows 2000, XP, Vista, 2003 Server, 2008 Server, Windows 7
- Sektorüberlagerung zum virtuellen Reparieren defekter Daten auf Datenträgern oder in Images, um weitere Analyseschritte zu ermöglichen, ohne den Inhalt von Plattensektoren/Images tatsächlich zu verändern
- zeigt Besitzer von Dateien an, NTFS-Zugriffsberechtigungen, Object-IDs/GUIDs, besondere Attribute
- Ausgabe aller internen Dateisystem-Zeitstempel (auch 0x30-Zeitstempel in NTFS, Added Date in HFS+)
- besondere Identifikatio verdächtert Extended Attributes ($EA) in NTFS, wie z. B. von Regin verwendet
- Ausgleich des Effekts von NTFS-Kompression und Ext2/Ext3-Block-Allokation bei Datei-Header-Signatur-Suche
- Carven von Dateien auch innerhalb anderer Dateien
- rasanter Abgleich von Dateien mit bis zu zwei internen Datei-Hash-Datenbanken
- Abgleich von Sektorinhalten mit einer internen Block-Hash-Datenbank, zum Aufspüren von unvollständigen Fragmenten gesuchter Dateien
- Hashing mit FuzZyDoc™ zum Identifizieren von bekannten Texten (z. B. als geheim eingestuften Dokumenten, Rechnungen, urheberrechtlich relevante Materialien, E-Mails) auch wenn in einem anderen Dateiformat gespeichert, anders formatiert, bearbeitet, ...
- Hashing mit PhotoDNA zum Identifizieren bekannten Bildmaterials (z. B. Kipo) auch wenn in einem anderen Dateiformat gespeichert, vergrößert oder verkleinert, kontrastbearbeitet, farblich verändert, schärfebearbeitet, gespiegelt (nur für Strafverfolgungsbehörden)
- künstliche Intelligenz erkennt Inhalte von Fotos, identifiziert ähnliche Bilder und erkennt Gesichter relevanter Personen in Fotos wieder (Excire Forensics)
- Import von Hash-Sets in den Formaten Project Vic JSON/ODATA, NSRL RDS 2.x, HashKeeper, ILook u. a.
- Erstellung eigener Hash-Sets
- Berechnung von zwei Hash-Werte verschiedener Typen auf einmal
- Unterstützung stichprobenbasierter Begutachtungen dank ID-Modulo-Filter und ohne Verzögerung verfügbarer Pseudo-Hash-Werte
- bequeme Zurück- und Vorwärts-Navigation von einem Verzeichnis zum nächsten, mehrere Schritte; Wiederherstellung von Sortierkriterien, Filteraktivierung, Auswahl
- Galerie-Ansicht mit Miniaturansichten von Bildern, Videos, Dokumenten und vielen anderen Nichtbild-Dateitypen
- Kalender-Ansicht, die leicht Aktivitätsdichte erkennen läßt, ideal zu kombinieren mit der chronologischen Ereignisliste
- Dateivorschau, integrierte Dateibetrachter für mehr als 270 Dateitypen
- Möglichkeit zum Ausdrucken von Dateien derselben Typen direkt im Programm, optional mit allen Metadaten auf einem Deckblatt
- interner Betrachter für Registry-Dateien aller Windows-Versionen; automatische und konfigurierbare mächtige Registry-Berichterstellung, die auch Value-Slack in Registry-Hives berücksichtigt
- bequemes Einsehen von Windows-Ereignisprotokollen (Event Logs vom Typ .evt und .evtx), Windows-LNK-Dateien, Windows-Prefetch-Dateien, $LogFile, $UsnJrnl, Restore Point change.log, Windows Task Scheduler (.job), $EFS LUS, INFO2, Restore Point change.log.1, wtmp/utmp/btmp Log-In-Records, MacOS X kcpassword, AOL-PFC, Outlook NK2 auto-complete, Outlook WAB address book, Internet Explorer travellog (a.k.a. RecoveryStore), Internet Explorer index.dat Verlaufs- und Cache-Datenbanken, SQLite-Datenbanken wie Firefox history, Firefox downloads, Firefox form history, Firefox sign-ons, Chrome cookies, Chrome archived history, Chrome history, Chrome log-in data, Chrome web data, Safari cache, Safari feeds, Skype's main.db Datenbank mit Kontakten und Datei-Transfers, ...
- sammelt im freien Speicher oder Schlupfspeicher aufzufindende index.dat-Datensätze aus Verlauf und Browser-Cache des Internet Explorer in einer einzigen virtuellen Datei ein
- extrahiert Metadaten und interne Erzeugungszeitstempel aus diversen Dateitypen und erlaubt es, danach zu filtern, z. B. für MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP memory dumps, hiberfil.sys, PNF, SHD & SPL Drucker-Spool-Dateien, tracking.log, .mdb MS Access database, manifest.mbdx/.mbdb iPhone backup, ...
- merkt sich, welche Dateien bereits eingesehen wurden
- automatische Zelleinfärbung anhand benutzerdefinierter Bedingungen hilft, die Aufmerksamkeit auf interessante Details zu lenken, ohne alle übrigen Dateien herauszufiltern
- erlaubt es, externe Dateien (wie z. B. übersetzte, entschlüsselte oder konvertierte Fassungen) an Originaldateien anzuhängen
- Untersuchung von E-Mails in den Formaten Outlook (PST/OST), Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (incl. Thunderbird), Generic Mailbox (mbox, Unix), MSG, EML
- erzeugt auf Wunsch eine mächtige Ereignisliste basierend auf Zeitstempeln in allen unterstützten Dateisystem, in Betriebssystemen (incl. Event-Logs, Registry, Papierkorb, ...), Datei-Inhalte (z. B. E-Mail-Header, Exif-Zeitstempel, GPS-Zeitstempel, letzter Druckzeitpunkt; Browser-Datenbanken, Skype-Chats, -Anrufe, -Dateitransfers, -Kontoerzeugung, ...).
- Zeitstempel können chronologisch sortiert werden, um eine Zeitlinie der Ereignisse zu erhalten. Sie werden graphisch in einem Kalender dargestellt, damit man blitzschnell Zeiträume mit hoher Aktivität oder Inaktivität erkennen und mit 2 Mausklicks einen Filter auf gewünschte Zeiträume einstellen kann.
- extrem intensive und präzise Dateityp-Prüfung per Signatur-Datenbank und mit speziellen Algorithmen
- erlaubt Ihnen, Datei-Header-Signaturen selbst zu definieren, ebenso Dateitypen, Typkategorien, Typränge und Typgruppen
- Verzeichnisbaum links mit Möglichkeit, Verzeichnisse incl. aller Unterverzeichnisse zu erkunden/zu markieren
- Synchronisieren der Sektorenansicht mit dem Verzeichnis-Browser
- unzählige mächtige dynamische Filter nach wahrem Dateityp, Hash-Set-Kategorie, Zeitstempel, Dateigröße, Kommentaren, Berichtstabellen, enthaltenen Suchbegriffen, ...
- Möglichkeit, doppelte Dateien zu erkennen und herauszufiltern
- Möglichkeit, Dateien aus einem Image/Datenträger mit vollständigem Quellpfad herauszukopieren, mit oder ohne Schlupfspeicher (Slack), Schlupf separat oder nur Schlupf
- automatische Erkennung verschlüsselter MS-Office- und PDF-Dokumente
- automatisches Auffinden von eingebetteten Bildern in Dokumenten (MS Word, PDF, MS PowerPoint, ...)
- extrahiert praktisch jede Art von eingebetteter Datei (incl. Bilder) aus fast jeder anderen Art von Datei, z. B. Miniaturansichten aus JPEGs und Thumbcache-Dateien, .lnk-Verknüpfungen aus Jump-Lists, diverse Daten aus Windows.edb, Browser-Caches, PLists, Tabellen aus SQLite-Datenbanken, diverse Elemente aus OLE2 und PDF-Dokumenten, ...
- Hautfarbenerkennung (Galerie-Ansicht sortiert nach Hautfarbenanteil beschleunigt z. B. die Suche nach Spuren von Kinderpornographie immens)
- Erkennung von Schwarzweiß- und Graustufen-Bildern, die eingescannte Dokumente sein könnten oder digital gespeicherte Faxe
- Erkennung von PDF-Dokumenten, auf die man Texterkennungstools (OCR) anwenden sollte
- Möglichkeit, Bilder aus Video-Dateien in benutzerdefinierten Zeiteinheiten zu extrahieren, mittels MPlayer oder Forensic Framer, um das Prüfen von Filmen auf unangemessene oder illegale Inhalte drastisch zu beschleunigen
- automatisches Auflisten von Archivinhalten, auch in rekursiven Ansichten
- logische Suche, in allen oder ausgewählten Dateien/Verzeichnissen, folgt Dateifragmentierung, auch in komprimierten Dateien, Metadaten, decodiert Text in PDF, HTML, EML, ..., optional mit GREP (reguläre Ausdrücken), benutzerdefinierte Option "ganze Wörter" u. v. a. m.
- mächtiges Einsehen von Suchtreffern mit Kontextvorschau, z. B. „alle Treffer für Suchbegriffe A, B, und D in allen .doc- und .ppt-Dateien unterhalb von \Dokumente und Einstellungen mit Zugriffsdatum in 2004“
- Option zum Sortieren von Suchtreffern nach ihrem Inhalt und Kontext anstatt bloß nach dem Suchbegriffes, zu dem sie gehören. Fähigkeit, Suchtreffer nach dem sie umgebenden textuellen Kontext mittels eines weiteren Suchbegriffs zu filtern.
- hochflexibler Indexierungsalgorithmus mit Teilwort-Unterstützung (findet z. B. „Konto“ in „Bankkonto“ und „Unterkonto“ sowie „Rechnung“ in „Abrechnung“ usw.) für praktisch alle Sprachen
- Suche und Indexierung in Unicode und diversen Codepages
- Suchtreffer mit logischen Operatoren UND, unscharfes UND, NEAR, NOTNEAR, + und - verknüpfen
- Suchtreffer in HTML-Form exportieren, farblich hervorgehoben innerhalb des Kontextes, mit Datei-Metadaten
- Erkennung und Entsperrung von Host Protected Areas (HPA, ATA-geschützte Bereiche) und DCOs unter Windows XP
- Möglichkeit, ganze hiberfil.sys-Dateien und einzelne xpress-Blöcke zu dekomprimieren
- X-Tensions API (Programmierschnittstelle) zum Erweiterung der bestehenden Funktionalität mit hervorragender Performanz (z. B. das weitverbreitete C4All-Script ist damit ca. 6 Mal so schnell wie als EnScript), zwingt Sie nicht zum Lernen einer proprietären Programmiersprache
- Schnittstelle für PhotoDNA (nur für Strafverfolgungsbehörden), das bekannte Bilder wiedererkennt (dateiformatunabhängig und auch wenn verfremdet) und eine Klassifizierung (wie „Kipo“, „relevant“, „irrelevant“) an X-Ways Forensics zurückgibt
- ...
Diese Funktionsübersicht ist unvollständig. Es ist praktisch nicht möglich, alle Features und Optionen im einzelnen darzustellen; dazu sind es zu viele. Die obige Liste ist unvollständig; sie wurde zuletzt aktualisiert am 23. Mai 2015. Preise ermitteln & bestellen. Kopierschutz: Dongle, Netzwerk-Dongle oder BYOD. Reduzierte und vereinfachte Benutzeroberfläche verfügbar für Ermittler, die nicht auf Computer spezialisiert sind, zum halben Preis: X-Ways Investigator.
Benutzer von X-Ways Forensics können den Goldstatus erlangen.
Unterschied zwischen X-Ways Forensics und WinHex mit forensischer Lizenz
*Beschränkungen unter Vista und neuer: Keine Möglichkeit, physischen Arbeitsspeicher zu öffnen. Kein Schreiben von Sektoren auf den Partitionen, die Windows und WinHex enthalten möglich.
**Eine übermäßige Datenerhebung ist zu vermeiden, Verhältnismäßigkeitsgrundsätze und Verfahrensrechte müssen beachtet werden. Zumindest bei schwerwiegenden, bewußten oder willkürlichen Verfahrensverstößen ist ein Beweisverwertungsverbot als Folge einer fehlerhaften Durchsuchung und Beschlagnahme von Datenträgern und der darauf vorhandenen Daten geboten (vgl. 12.04.2005). Eingriffe in den absolut geschützten Kernbereich privater Lebensgestaltung sind zu vermeiden. Die Erhebung kernbereichsrelevanter Daten soll soweit wie informationstechnisch und ermittlungstechnisch möglich unterbleiben (vgl. 27.02.2008).