Archiv der Kategorie: X-Ways Forensics

X-Ways Forensics Case Manager

Dieser Artikel beschäftigt sich mit dem Programm „X-Ways Forensics Case Manager“, kurz: XWFCM. Es wurde geschrieben um einen hunderprozentig sauberen Schnitt zwischen jeden Fall zu erreichen, aber trotzdem Flexibel mit dem Bearbeiten von Fällen zu sein. XWF trennt nicht zu 100% zwischen Fällen. Auch ist es Standard XWF immer auf den aktuellsten Stand zu halten. Dies führt unweigerlich dazu, dass ein Fall, zu einem späteren Zeitpunkt nochmals geöffnet, nicht mit der selben XWF-Version und Einstellungen ausgeführt wird. Aus Forensischer Sicht ist dies nicht zu empfehlen. Selbstverständlich kann man für jeden Fall eine separate Kopie anlegen. Dies ist auch das Ziel von XWFCM. Es erleichtert nur immens das Handling.

Weiterlesen

„Unterdrücktes ganz entfernen“ sinnvoll anwenden

Mit X-Ways Forensics können nicht relevante Dateien „unterdrückt“ werden, um sie prinzipiell für alle weiteren Operationen unsichtbar zu machen. Dabei bleiben diese Dateien natürlich in der internen Datenbank (Verzeichnisüberblick) enthalten.

In dem Verzeichnis-Browser Optionen/Filter Dialog gibt es eine Funktion, um unterdrückte Dateien gänzlich zu entfernen.

XWF VerzBrowser UnterdrücktesEntfernen

Die Verwendung ist allerdings nicht generell sinnvoll. Wird die Funktion auf „normale“ Dateien (also die beim erstellen des Verzeichnis-Überblicks existieren) angewendet, kann das entfernen sehr(!) lange dauern. Optisch friert XWF ein.

Gedacht ist die Funktion für alle Dateien, die durch den Dateiüberblick-Erweitern dem Überblick hinzugefügt wurden. Zum Beispiel nicht relevante Dateien die aus der Datei-Header-Signatursuche hervorgegangen sind.

Das entfernen von „normalen“ Dateien kann allerdings durch eine Option beim Einlesen des Datei-Überblicks wesentlich beschleunigt werden.

XWF Optionen des Datei-Überblicks

Hier gibt es die Option „Schneller Überblick ohne Cluster-Zuordnungen“ – für alle Dateisysteme. Allerdings verliert man damit die Funktionalität einen Sektor/Cluster einer Datei zuordnen zu können.

ClamAV Virendatenbank in X-Ways etc. verwenden

Der Gedanke direkt im forensischen Programm eine aktuelles Viren-Hashset zu haben lag mir schon länger im Kopf. Eher durch Zufall bin ich darauf gestoßen das in den Virusdefinitionen von ClamAV die allseits bekannten MD5 Hashes verwendet werden. Wie man diese Hashes in sein X-Ways (oder jedes andere Forensik-Tool) bekommt liest du hier.  Weiterlesen