X-Ways Forensics Case Manager

Dieser Artikel beschäftigt sich mit dem Programm „X-Ways Forensics Case Manager“, kurz: XWFCM. Es wurde geschrieben um einen hunderprozentig sauberen Schnitt zwischen jeden Fall zu erreichen, aber trotzdem Flexibel mit dem Bearbeiten von Fällen zu sein. XWF trennt nicht zu 100% zwischen Fällen. Auch ist es Standard XWF immer auf den aktuellsten Stand zu halten. Dies führt unweigerlich dazu, dass ein Fall, zu einem späteren Zeitpunkt nochmals geöffnet, nicht mit der selben XWF-Version und Einstellungen ausgeführt wird. Aus Forensischer Sicht ist dies nicht zu empfehlen. Selbstverständlich kann man für jeden Fall eine separate Kopie anlegen. Dies ist auch das Ziel von XWFCM. Es erleichtert nur immens das Handling.

Installation:

Vor dem ersten Start sollte die XWFCM.EXE an einem passenden Ort platziert werden. XWFCM ist keine Anwendung die installiert werden muss. Am besten erstellt man auf einem schnellen Laufwerk ein Verzeichnis. z.b. „XWF“. Die Pfadlängen sollte man generell kurz halten. In das neue Verzeichnis kopiert ihr den Inhalt das Archivs. Also XWFCM.EXE, HTMLviewer.exe und TSVviewer.exe – die 2 zu letzt genannten liegen mit in diesem Paket weil sie XWFCM an passender Stelle verwendet und von der Größe keine Rolle spielen. Später mehr.

Jetzt kann man XWFCM starten und die Konfiguration über „App“ -> „Configuration“ anpassen. Folgende Informationen werden benötigt:

Fallverzeichnis: Hier werden die Fälle verwaltet und Unterverzeichnisse erstellt. In diesen Unterverzeichnissen liegt dann auch die XWF-Kopie für diesen Fall. Zum Beispiel wäre „c:xwfcases“ eine gute Wahl.

XWF Source: Hier kommt X-Ways als Grundinstallation hinein. Am besten nimmt man sich die Download-Tools xwfUpdater oder XWFIM (über das XWF-Forum erhältlich) zu Hilfe. Ich empfehle xwfUpdater. Einfach das Source Verzeichnis erstellen und xwfUpdater.exe hinein kopieren. Nach dem Speichern der Konfiguration kann es über das Menü aufgerufen werden.

Archivverzeichnis: Diese Funktion ist noch nicht implementiert. Es ist geplant einen Fall komplett zu packen (zip) und an einem anderen verschieben zu können. Bei Bedarf kann man ein Fall aus dem Archiv zurückholen.

AddOn-Fall-Verzeichnis: Dieses Verzeichnis kann mit Dateien (und Verzeichnissen) befüllt werden die beim anlegen eines neuen Falles mit in das Fallverzeichnis kopiert werden.

AddOn-XWF-Verzeichnis: Identisch zum obigen, nur werden diese Daten in das X-Ways Verzeichnis kopiert.

 

Der Hauptbildschirm von XWFCM:

Hauptbildschirm von XWFCM

Hauptbildschirm von XWFCM

Der linke Bereich zeigt die Liste der Fälle, getrennt nach „Aktiv“, „Erledigt“ und „Archiviert“. Wenn man mit der Maus über einen Fall schwebt bekommt man die Informationen zum Fall angezeigt ohne diesen sofort aufrufen zu müssen.

Der rechte Bereich ist der Arbeitsbereich für den Fall. Neben den Fallinformationen gibt es noch ein paar Zeitangaben, ein Notizfeld und die Information wie X-Ways gestartet wird. Letzteres passiert logischerweise über den großen Button.

Über das Menü kann mittels Case->New Case ein Neuer Fall angelegt werden. Des weiteren kann man sich auch alle laufenden X-Ways Instanzen anzeigen lassen. Dies funktioniert allerdings nur auf einer Rechteebene. Um also XWF-Instanzen mit Admin-Rechten sehen zu können, müssen Sie auch XWFCM mit Admin-Rechten starten.

Es ist Absicht das man einen Fall per GUI (sie können notfalls das Case-File editieren) nicht bearbeiten kann. XWF wird also fest auf 32 oder 64bit und Admin oder nicht Admin eingestellt. Falls Sie dennoch Bedarf für einen anderen Start benötigen oder WinHex ausführen möchten ist dies über das Case-Menü möglich.

Der Explorer

xwfcm-explorer

Der Explorer hilft alle relevanten Verzeichnisse eines Fallen beisammen zu halten und schnell ansteuern zu können. Bei Bedarf können auch vorhandene Laufwerke des Computers angezeigt werden. Der Explorer ist kein Ersatz für den Windows-Explorer. Wer diesen benötigt kann das angezeigte Verzeichnis per „Open external“ öffnen.

Die Buttons „E01“ und „Documents“ können beim anlegen eines Falles beliebig gesetzt werden und sind je nach Arbeitsweise ggf. nicht notwendig.

Der Notes Tab beinhaltet die selben Daten  wie die Notizen auf der Übersichtsseite. Lediglich Größer und man kann ein wenig formatieren.

Der ToDo Tab ist noch in der Entwicklung. Der Gedanke dahinter ist, eine CSV zu laden die ungefähr diesen Muster folgt: Erledigt <yes/no>;Kategorie;Freitext

Erledigte Punkte hakt man einfach ab. Neue Ideen fügt man einfach hinzu. Noch eine Filtermöglichkeit der Kategorie, ggf. eine Suche.. fertig.

Logfiles:

xwfcm-logfiles

Über diesen Tab erreicht man schnell die Log-Files des Falles. Für die Logfiles können der TSVviewer und der HTMLviewer verwendet werden. Je nachdem welche Dateiart vorliegt wird Notepad oder die Viewer gestartet. Die Viewer eignen sich auch sehr gut für den PreView von Listen / Berichtsexporten von X-Ways.

Über das Action Tab können derzeit folgende Funktion ausgeführt werden:

Fall Updaten: Wenn Sie xwfUpdater verwendet haben um das XWF-Source Verzeichnis zu füllen wird diese beim Erstellen eines neuen Fallen mit in das Fallverzeichnis kopiert. Jetzt können Sie jederzeit den Updater neu aufrufen und X-Ways des Falles updaten.

Auf erledigt setzen: Der Fall wandert in die Spalte „Finished“. Ansonsten ändert sich nichts. Der Fall kann nach wie vor gestartet werden.

Fall löschen: Dies löscht den Fall von ihrer Festplatte. Endgültig, außer Sie sind ein guter Forensiker =;o)

 

Lizenz:

XWFCM ist nicht Freeware, wird aber derzeit kostenfrei zur Verfügung gestellt. Die Software wird nach einem gewissen Zeitraum ablaufen, sodass Sie gelegentlich (wir reden hier von Monaten) eine neue Kopie laden müssen.

Hinweise, Vorschläge, Ideen, Kritik wird gerne angenommen. Benutzen Sie dazu einfach die Kontaktmöglichkeit auf der Webseite.

Die Software kann über den Download-Bereich heruntergeladen werden.