Archiv des Autors: Denny Mleinek

„Unterdrücktes ganz entfernen“ sinnvoll anwenden

Mit X-Ways Forensics können nicht relevante Dateien „unterdrückt“ werden, um sie prinzipiell für alle weiteren Operationen unsichtbar zu machen. Dabei bleiben diese Dateien natürlich in der internen Datenbank (Verzeichnisüberblick) enthalten.

In dem Verzeichnis-Browser Optionen/Filter Dialog gibt es eine Funktion, um unterdrückte Dateien gänzlich zu entfernen.

XWF VerzBrowser UnterdrücktesEntfernen

Die Verwendung ist allerdings nicht generell sinnvoll. Wird die Funktion auf „normale“ Dateien (also die beim erstellen des Verzeichnis-Überblicks existieren) angewendet, kann das entfernen sehr(!) lange dauern. Optisch friert XWF ein.

Gedacht ist die Funktion für alle Dateien, die durch den Dateiüberblick-Erweitern dem Überblick hinzugefügt wurden. Zum Beispiel nicht relevante Dateien die aus der Datei-Header-Signatursuche hervorgegangen sind.

Das entfernen von „normalen“ Dateien kann allerdings durch eine Option beim Einlesen des Datei-Überblicks wesentlich beschleunigt werden.

XWF Optionen des Datei-Überblicks

Hier gibt es die Option „Schneller Überblick ohne Cluster-Zuordnungen“ – für alle Dateisysteme. Allerdings verliert man damit die Funktionalität einen Sektor/Cluster einer Datei zuordnen zu können.

Datenträgersicherung von zwei Seiten mit X-Ways Forensics

X-Ways Forensics bietet den Möglichkeit einen Datenträger sowohl von Sektor 0 aufsteigend, als auch Rückwärts vom letzten Sektor beginnend zu sichern. Wie das funktioniert schauen wir uns im folgenden mal genauer an.

Weiterlesen

ClamAV Virendatenbank in X-Ways etc. verwenden

Der Gedanke direkt im forensischen Programm eine aktuelles Viren-Hashset zu haben lag mir schon länger im Kopf. Eher durch Zufall bin ich darauf gestoßen das in den Virusdefinitionen von ClamAV die allseits bekannten MD5 Hashes verwendet werden. Wie man diese Hashes in sein X-Ways (oder jedes andere Forensik-Tool) bekommt liest du hier.  Weiterlesen

Ruhezustandsdatei hyperfil.sys mit X-Ways aufbereiten

Dieser Artikel beschäftigt sich mit der Datei hyperfil.sys, welche durch Windows bei der Benutzung des „Ruhezustands“ verwendet wird. Welche Details Sie beachten müssen und wie Sie X-Ways Forensics korrekt anwenden erfahren Sie im folgenden Text.

Weiterlesen

Auffinden von TrueCrypt Containern

Dieser Artikel beschäftigt sich mit der Problematik, des Auffindens von TrueCrypt Containern, die sich hinter einen unauffälligen Dateinamen verstecken.

Weiterlesen