X-Ways Forensics: Integrierte Software für Computerforensik

X-Ways Forensics ist eine hochintegrierte Arbeitsumgebung für Computerspezialisten bei der forensischen (kriminaltechnischen) Untersuchung von EDV (Computerforensik) für Windows 2000/XP/2003/Vista*/2008*/7*, 32 Bit/64 Bit. Im Vergleich zu Produkten von der US-amerikanischen Konkurrenz ist X-Ways Forensics nach einer Eingewöhnungsphase effizienter zu nutzen, oft schneller in der Verarbeitungsgeschwindigkeit, nicht so ressourcenhungrig, findet gelöschte Dateien und Suchtreffer, die andere nicht finden, enthält viele Features, die anderswo fehlen, ... und kostet nur einen Bruchteil. Besonders hervorzuheben ist, daß sich X-Ways Forensics speziell in Deutschland angesichts der Rechtsprechung des Bundesverfassungsgerichts** dank dosierter und selektiver Sicherungs-, Ausblende- und Filtermöglichkeiten wohl wie kein anderes Tool zur rechtssicheren Beweismittelsicherung und -auswertung eignet.

X-Ways Forensics enthält den Hex- und Disk-Editor WinHex. X-Ways Forensics ist Teil eines effizienten Workflow-Modells, in dem Computerforensiker mit spezialisierten anderen Ermittlern zusammenarbeiten, die ihrerseits X-Ways Investigator verwenden, und ihnen komfortabel vorgefilterte Daten zur Verfügung stellen können, um die eigentliche Auswertetätigkeit zu ermöglichen.

X-Ways Forensics
15.7

Download der Vollversion nur für Kunden (URL-Mitteilung bei Kauf und hier)

Handbuch

Kurzanleitungen
Brett Shaver's Guide
Images erstellen
Fall anlegen
Datei-Bericht
Dynam. Filtern
Suchfunktion

Demoversion für handelsregisterlich eingetragene Unternehmen und Behörden auf Anfrage erhältlich.
Bitte teilen Sie uns Ihre vollständigen Kontaktdaten mit.

Demoversion
von WinHex

Rezension in der iX 4/2005

X-Ways Forensics enthält alle bekannten Features von WinHex, wie etwa...

• Klonen von Datenträgern, Erstellen von Disk-Images
• Einlesen der Partitionierungs- und Dateisystemstruktur innerhalb von Roh-Image-Dateien („dd“-Images), ISO- und VHD-Images
• vollständiger Zugriff auf Datenträger, RAIDs und Images größer als 2 TB (mit mehr als 2³² Sektoren) mit Sektorgrößen bis 4 KB
• native Interpretation von RAID-Systemen (Level 0 und 5) und dynamischen Platten
• eingebaute Unterstützung von FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, CDFS/ISO9660/Joliet, UDF
• Einsehen und Sichern des physischen Arbeitsspeichers (RAM) und virtuellen Prozeßspeichers
• verschiedene Datenrettungs-Techniken
• Datei-Header-Signatur-Datenbank basierend auf flexibler GREP-Notation
• forensisch sicheres Löschen von Festplatten, um sie „steril“ für die nächste Benutzung zu machen
• Extraktion von Schlupfspeicher (Slack Space), freiem Laufwerksspeicher, Partitionslückenspeicher und Text auf Datenträgern und Image-Dateien
• Erstellung eines Katalogs über alle Dateien und Verzeichnisse auf einem Datenträger
• komfortable Erkennung und Zugriff auf alternative Datenströme (ADS) von NTFS
• Hash-Berechnung für Dateien und Datenträger (CRC32, MD4, ed2k, MD5, SHA-1, SHA-256, RipeMD, ...)
• mächtige physische und logische Suchfunktionen für ganze Listen von Suchbegriffen auf einmal
• verzeichnisübergreifende Ansicht aller existierenden und gelöschten Dateien auf Datenträgern
• automatische Einfärbung der Bestandteile von FILE-Records in NTFS
• Lesezeichen zum Wiederauffinden und Kenntlichmachen von Positionen
• ...

...und darüber hinaus entscheidende weitere Funktionsmerkmale:

• erweiterte Funktionen für Datenträgersicherungen
• Einlesen und Erzeugen von .e01-Evidence-Files (sog. EnCase-Images), optional mit echter Verschlüsselung (256-Bit AES, d.h. kein hanebüchener „Paßwortschutz“) und intelligenter Komprimierung
• komplette Fall-Verwaltung und -Bearbeitung
• automatisches Protokollieren Ihrer Arbeitsschritte (Audit-Logs)
• Schreibschutz zur Wahrung der Datenintegrität
• Zugriffsmöglichkeit auf Datenträger im Netzwerk optional möglich (Details)
• zusätzliche Unterstützung für die Dateisysteme HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, viele Varianten von UFS1 und UFS2
• Unterstützte Partitionierungsarten: Windows dynamische Platten (MBR- und GPT-Stil) und Apple zusätzlich zu MBR, GPT (GUID) und unpartitioniert (Floppy/ Superfloppy)
• Kopieren relevanter Dateien in spezielle Datei-Container und Beibehaltung praktisch aller Dateisystem-Metadaten, als selektive Sicherungsmöglichkeit oder zum Datenaustausch mit anderen Ermittlern oder anderen Verfahrensbeteiligten
• Sehr mächtige Hauptspeicheranalyse für lokalen RAM und Memory-Dumps von Windows 2000, XP, Vista, 2003 Server, 2008 Server, Windows 7
• Bequeme Zurück- und Vorwärts-Navigation von einem Verzeichnis zum nächsten, mehrere Schritte; Wiederherstellung von Sortierkriterien, Filteraktivierung, Auswahl
• Zeigt Besitzer von Dateien an, NTFS-Zugriffsberechtigungen, Object-IDs/GUIDs, besondere Attribute
• Galerie-Ansicht für Bilder
• Kalender-Ansicht
• Dateivorschau, integrierte Dateibetrachter für mehr als 270 Dateitypen
• Merkt sich, welche Dateien bereits eingesehen wurden
• Untersuchung von E-Mails in den Formaten Outlook (PST/OST), Outlook Express (DBX), Mozilla (incl. Netscape and Thunderbird), AOL PFC, Generic Mailbox (mbox, Berkeley, BSD, Unix), Eudora, PocoMail, Barca, Opera, Forte Agent, The Bat!, Pegasus, PMMail, FoxMail, Maildir-Ordner (lokale Kopien)
• automatische und intensive Dateityp-Prüfung per Signatur-Datenbank und mit speziellen Algorithmen
• relevante Dateien markieren und Berichtsabellen hinzufügen
• automatische Erstellung von Berichten, die von jeder Applikation importiert und weiterverarbeitet werden können, die HTML versteht, wie z. B. MS Word
• Kommentare zu Dateien hinterlegen, zur Ausgabe im Bericht oder zum Filtern
• Verzeichnisbaum links mit Möglichkeit, Verzeichnisse incl. aller Unterverzeichnisse zu erkunden/zu markieren
• Synchronisieren der Sektorenansicht mit dem Verzeichnis-Browser
• mächtige dynamische Filter nach wahrem Dateityp, Hash-Set-Kategorie, Zeitstempel, Dateigröße, Kommentaren, Berichtstabellen usw.
• Möglichkeit, Dateien aus einem Image/Datenträger mit vollständigem Quellpfad herauszukopieren, mit oder ohne Schlupfspeicher (Slack), Schlupf separat oder nur Schlupf
• Ausgleich des Effekts von NTFS-Kompression und Ext2/Ext3-Block-Allokation bei Datei-Header-Signatur-Suche
• automatische Erkennung verschlüsselter MS-Office- und PDF-Dokumente
• automatisches Auffinden von eingebetteten Bildern in Dokumenten (MS Word, PDF, MS PowerPoint, ...)
• Hautfarbenerkennung (Galerie-Ansicht sortiert nach Hautfarbenanteil beschleunigt z. B. die Suche nach Spuren von Kinderpornographie immens)
• Möglichkeit, Bilder aus Video-Dateien in benutzerdefinierten Zeiteinheiten zu extrahieren, mittels MPlayer oder Forensic Framer, um das Prüfen von Filmen auf unangemessene oder illegale Inhalte drastisch zu beschleunigen
• automatisches Auflisten von Archivinhalten, auch in rekursiven Ansichten
• interner Betrachter für Registry-Dateien aller Windows-Versionen; automatische Registry-Berichterstellung
• bequemes Einsehen von Windows-Ereignisprotokollen (Event Logs), Windows-LNK-Dateien, Windows-Prefetch-Dateien, $LogFile, $UsnJrnl, ...
• Extrahiert Metadaten und interne Erzeugungszeitstempel aus diversen Dateitypen und erlaubt es, danach zu filtern, z. B. für MS Office, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, THM, TIFF, GIF, PNG, GZ, ZIP, IE Cookies, SHD & SPL Drucker-Spool
• logische Suche, in allen oder ausgewählten Dateien/Verzeichnissen, folgt Dateifragmentierung, auch in komprimierten Dateien, decodiert Text in PDF, XML, ...
• mächtiges Einsehen von Suchtreffern mit Kontextvorschau, z. B. „alle Treffer für Suchbegriffe A, B, und D in allen .doc- und .ppt-Dateien unterhalb von \Dokumente und Einstellungen mit Zugriffsdatum in 2004“
• Suche und Indexierung in Unicode und diversen Codepages
• Hochflexibler Indexierungsalgorithmus mit Besonderheit Teilwort-Unterstützung (findet z. B. „Konto“ in „Bankkonto“ und „Unterkonto“ sowie „Rechnung“ in „Abrechnung“ usw.)
• Suchtreffer mit logischen Operatoren UND, unscharfes UND, + und - verknüpfen
• Suchtreffer in HTML-Form exportieren, farblich hervorgehoben innerhalb des Kontextes, mit Datei-Metadaten
• Erkennung von Host Protected Areas (HPA), auch bekannt als ATA-geschützte Bereiche
• rasant schneller Abgleich von Dateien mit der internen Hash-Datenbank
• Import von NSRL-RDS-2.x-, HashKeeper- und ILook-Hash-Sets
• Erstellung eigener Hash-Sets
• Möglichkeit, ganze hiberfil.sys-Dateien und einzelne xpress-Blöcke zu dekomprimieren
• Schnittstelle für externe Analyse-Programme wie DoublePics, das z. B. bekannte Bilder wiedererkennt(dateiformatunabhängig und auch wenn verfremdet) und eine Klassifizierung (wie „Kipo“, „relevant“, „irrelevant“) an X-Ways Forensics zurückgibt

• Läuft auch in WinFE, der forensisch sicheren bootbaren Windows-Umgebung, z. B. für Triage-/Preview-Zwecke, mit einigen Einschränkungen

• [...]

X-Ways Forensics wird zu einem sehr attraktiven Preis angeboten, immer gleichzeitig mit WinHex aktualisiert und wird mit einem Dongle geschützt. Spezialpreise für Lizenzen nur für Datenträgersicherungen. Reduzierte und vereinfachte Benutzeroberfläche verfügbar für Ermittler, die nicht auf Computer spezialisiert sind, zum halben Preis: X-Ways Investigator