Hinweise
|
Datei-Container sind während und nach ihrer
Erstellung praktisch Roh-Images mit einem speziellen Dateisystem (XWFS2).
Sie können ins .e01-Evidence-File-Format konvertiert werden. Das ändert aber natürlich nichts an den in den
Sektoren gespeicherten Dateisystem-Datenstrukturen und macht das
Dateisystem in dem Image nicht irgendwie "kompatibler" mit
anderen Tools. Ein Image ist eine Verpackung von in
Sektoreinheiten gespeicherten Daten in einem bestimmten Format. Das
Image-Dateiformat ist nicht zu verwechseln mit dem Format der in den
Sektoren gespeicherten Daten (dem Dateisystem).
Datei-Container sind so beschaffen, daß sie soviel
Metadaten über die enthaltenen Dateien wie möglich erhalten (s. u.). Sie können
sogar ausschließlich die
externen Metadaten von Dateien transportieren, ohne Datei-Inhalte, wenn das
vom Ersteller des Containers gewünscht wird, und dann werden
solche Dateien entsprechend als "nur Metadaten verfügbar"
gekennzeichnet und zeigen weiterhin die ursprüngliche Dateigröße
(die ja auch zu den externen Metadaten gehört), wobei der
Datei-Inhalt aber nicht im Container verfügbar ist. Die ist ein von normalen Dateisystemen
her nicht bekanntes Konzept, und auf manche
Empfänger von Containern, die mit X-Ways Forensics nicht vertraut
sind, wirkt es offenbar so irritierend, daß sie
an uns zurückmelden, daß beim Herauskopieren einer Datei mit einer
bestimmten Größe aus einem Container eine Kopie der Datei mit Größe
0 (also ohne Daten) entsteht, als ob das ein Fehler wäre, obwohl das
Programm bereits klar angezeigt hat, daß nur Metadaten verfügbar
sind.
Datei-Container können sogar bloß
einen ausgewählten Ausschnitt der Daten aus einer Datei enthalten
(von Offset X bis Offset Y). In dem Fall wird die Datei im Container
als Ausschnitt gekennzeichnet. Und der Ersteller kann wählen, ob der Originalpfad der Datei im
Container abgebildet werden soll, ganz oder teilweise, und dann
können die Elternverzeichnisse auch noch entweder ihrer eigenen
Daten aus dem Dateisystem (z. B. INDX-Puffer bei NTFS) in den
Container übernehmen, wenn gewünscht. (Das ist z. B. nicht
wünschenswert, wenn der Ersteller gegenüber dem Empfänger die
externen Metadaten von Dateien, die im Originalasservat im selben
Verzeichnis liegen, nicht offenbaren möchte.)
Kurz gesagt, wie immer haben
Benutzer von X-Ways Forensics die volle Kontrolle darüber, welche
Daten sie analysieren und weitergeben, und der Empfänger eines
Datei-Containers sollte sich definitiv klarmachen, daß der
Hauptzweck eines solchen Containers die Kapselung einer ausgewählten
Untermenge der Originaldaten ist. |