WinHex/X-Ways Forensics: Infos zur Installation

WinHex und X-Ways Forensics können ausgeführt werden unter Windows XP/Vista/Server 2003/7/Server 2008/8/Server 2012, sowohl 32 Bit als auch 64 Bit. Unter Windows 2000 wurde die Software seit ca. 10 Jahren nicht mehr getestet, und Kompatibilität mit Windows 98/Me ist im Laufe der Zeit seit v12/v13 nach und nach verlorengegangen. Die letzte unter Windows 3.1x ausführbare Version war v7.54. Ältere Versionen sind auf Anfrage für registrierte Benutzer verfügbar.

WinHex/X-Ways Forensics/X-Ways Investigator sind definitiv nicht ressourcenhungrig. Sie können diese Programme auf alten Rechner unter Windows XP ausführen, mit nur 256 MB RAM und 1 GB freiem Plattenspeicher. Mit bloßen 512 MB RAM können Sie bereits Dateisysteme mit rd. 5 Millionen Dateien öffnen und analysieren! (Es ist nicht schnell, aber es geht.) Gut zu wissen, wenn Sie X-Ways Forensics auch vor Ort zum Prüfen von unbekannten alten Live-Systemen einsetzen möchten.

Im folgenden finden Sie Tips für höhere Performanz und die Bewältigung größerer Datei-Anzahlen, in loser Reihenfolge:

• Je höher die Prozessortaktung, desto besser.

• 2 Prozessorkerne sind besser als 1, 4 besser als 2, in vielen Situationen. Mehr als 4 werden in speziellen Situationen verwendet, z. B. bei Datenträger-Sicherungen.

• Auf einem Terminal-Server mit mehreren Benutzern oder wenn Sie mehrere Instanzen von X-ways Forensics gleichzeitig laufen lassen, sind noch mehr Prozessorkerne und mehr RAM sinnvoll, auch bei Verwendung der 32-Bit-Edition. 

• Verwenden Sie eine 64-Bit Windows-Version. Wenn Sie eine 32-Bit-Version haben, führen Sie Windows mit dem /3GB-Schalter aus.

• Verwenden Sie > 4 GB RAM. In der 32-Bit-Edition von X-Ways Forensics können in einem 64-Bit Windows 4 GB direkt adressiert werden, in einem 32-Bit Windows 3 GB. Mehr Speicher hilft immer noch indirekt durch Puffer in Windows. In der 64-Bit-Edition kann natürlich auch mehr Speicher direkt verwendet werden. Je mehr RAM direkt verwendet werden kann, desto größere  Datei-Überblicke werden unterstützt (Asservate mit vielen Millionen Dateien), desto mehr Asservate mit großen Datei-Überblicken können gleichzeitig geöffnet sein, desto mehr Daten von Datei-Überblicken können im Speicher gehalten werden und desto mehr Suchtreffer können verwaltet werden.

• Mit der 32-Bit-Edition von X-Ways Forensics 16.4 ist das Analysieren von Partitionen mit z. B. 25 Millionen Objekten (Dateien und Verzeichnissen) kein Problem, sofern Sie ein 64-Bit-Windows verwenden. Für noch umfangreichere Datei-Überblicke oder wenn Sie mehrere Asservate mit solche umfangreichen Datei-Überblicken gleichzeitig geöffnet haben möchten, verwenden Sie besser die 64-Bit-Edition von X-Ways Forensics.

• Unter Bedingungen mit nicht ausreichendem Arbeitsspeicher, lassen Sie XWF weniger Daten im Speicher halten (s. Optionen des Datei-Überblicks) und halten Sie nicht mehrere Asservate mit vielen Dateien gleichzeitig offen, wenn nicht unbedingt nötig (Datei-Überblickserweiterungen und parallele Suchen können Asservate bei Bedarf selbständig öffnen, außer dynamische Platten von Windows und LVM2-Platten von Linux mit übergreifenden Volumes, und auch automatisch wieder schließen).

• Sammeln Sie nicht dauerhaft unnötigerweise Millionen von Suchtreffern an. Diese benötigten Speicher. Wenn Sie mit zu unspezifischen Suchbegriffen zu viele Suchtreffern erhalten, löschen Sie diese wieder, um Speicher freizumachen.

• Wenn möglich, speichern Sie Fälle und Images nicht auf derselben Platte. 

• Wenn möglich, speichern Sie temporäre Dateien und Images nicht auf derselben Platte.

• Verwenden Sie schnellere Platten, mit höherer Datenübertragungsrate und schnellerem Zugriff.

• Speichern Sie Images auf einem RAID statt auf einer Platte, für höhere Übertragungsraten.

• Vermeiden Sie die Verwendung von über USB angeschlossenen Datenträgern.

• Formatieren Sie Ihre eigenen Partitionen mit NTFS, nicht FAT.

• Verzichten Sie auf NTFS-Verschlüsselung (EFS) und NTFS-Kompression.

• Verwenden Sie größere Cluster (z. B. 16 KB oder mehr) für die Partition, auf der Sie Images speichern.

• Verwenden Sie keine komprimierten .e01-Evidence-Files, die von anderen Tools als X-Ways Forensics erzeugt wurden (vermeiden Sie normale oder starke Komprimierung).

• Verzichten Sie auf einen aktiven Viren-Scanner im Hintergrund wenn möglich. 

• Betrifft nur v15.9 und älter: Wählen Sie nicht alle Dateitypen zum Carven (Datei-Header-Signatur-Suche) aus, wenn es nicht erforderlich ist.

• Verwenden Sie für parallele Suchen mit mehr als ca. 4 Suchbegriffen v15.9 oder neuer.

• Für die Indexierung wählen Sie nicht mehr Zeichen und keine kürzeren oder längeren Wörter aus als absolut notwendig. Lassen Sie keine Teilworte indexieren, wenn es nicht absolut notwendig ist.

WinHex und X-Ways Forensics haben eine gemeinsame Code-Basis. X-Ways Forensics bietet unzählige zusätzliche Features gegenüber WinHex mit einer Specialist-Lizenz. Wenn Sie eine Lizenz für X-Ways Forensics haben, können Sie alternativ mit derselben Lizenz (und demselben Dongle) auch WinHex verwenden. Beide Programm arbeiten dann mit dem vollen forensischen Funktionsumfang und sind identisch bis auf die folgenden Unterschiede:

• Die Benutzeroberfläche von WinHex (winhex.exe) identifiziert sich immer als WinHex, die von X-Ways Forensics (xwforensics.exe) als X-Ways Forensics. Die Programmhilfe und das Benutzerhandbuch verwenden allerdings zumeist statisch "WinHex".

• winhex.exe ist optional als separater Download für Benutzer von X-Ways Forensics verfügbar. Wenn Sie winhex.exe zu einer Installation von X-Ways Forensics hinzufügen, müssen die Versionen übereinstimmen, was sichergestellt ist, wenn beide zur gleichen Zeit heruntergeladen wurden.

• In X-Ways Forensics werden Datenträger, interpretierte Image-Dateien, virtueller Arbeitsspeicher und physischer RAM-Speicher ausschließlich schreibgeschützt (im View-Modus) geöffnet, um forensisch sicheres Arbeit zu gewährleisten, bei dem keinerlei Veränderung von Beweisen geduldet wird. Dieser strenge Schreibschutz in X-Ways Forensics stellt sicher, daß die Original-Asservate nicht versehentlich verändert werden können, was vor Gericht von wesentlicher Bedeutung sein kann. Nur wenn Sie nicht von strengen Regeln gebunden sind und/oder aggressiver vorgehen möchten (weil z. B. ein Bootsektor repariert werden soll), können Sie WinHex statt X-Ways Forensics ausführen. Mit WinHex können Sie Datenträgersektoren editieren, ganze Datenträger oder freien Speicher oder Schlupfspeicher sicher überschreiben (wipen).

• Die WinHex API kann nur zusammen mit WinHex verwendet werden. 

Es ist nicht unbedingt erforderlich, WinHex/X-Ways Forensics/X-Ways Investigator mit dem beigefügten Programm setup.exe zu installieren. Dieses Installationsprogramm kopiert lediglich die mitgelieferten Dateien (und alle .whs-Dateien, die es findet) in das Zielverzeichnis, stellt die gewünschte Sprache (Englisch, Deutsch, Französisch, Spanisch, Italienisch oder Portugisisch) ein und erzeugt eine Verknüpfung im Startmenü. Alle übrigen Grundeinstellungen werden von  winhex.exe/xwforensics.exe selbst vorgenommen. WinHex/X-Ways Forensics/X-Ways Investigator ist eine voll portable Anwendung, die auch von einem USB-Stick auf jedem Computer mit Windows ohne vorherige Installation ausgeführt werden kann.

Wenn Sie eine existierende Installation eines nicht dongle-basierten Produkts updaten, werden Sie bei Einsatz des Setup-Programms gewarnt, falls die neue Version die existierenden Lizenzcodes nicht mehr akzeptiert, bevor die voll funktionsfähige bestehende Installation überschrieben wird.

Die Datei WinHex.cfg enthält die Einstellungen (Optionen, Filter, Pfade, ...). Sie wird von WinHex/X-Ways Forensics/X-Ways Investigator automatisch beim ersten Programmstart erzeugt, und verwaltet entweder im Installationsverzeichnis, oder in einem benutzerspezifischen Unterverzeichnis wie \AppData\Local\X-Ways im Profil des Benutzers falls 1. WinHex.cfg bereits in diesem Verzeichnis existiert, 2. das Installationsverzeichnis auf Laufwerk C: liegt und für den Benutzer schreibgeschützt ist oder 3. eine Datei namens winhex.user im Installationsverzeichnis vorhanden ist. Wenn nur eine generische Datei WinHex.cfg existiert (im Installationsverzeichnis), und keine benutzerspezifische, aber eine benutzerspezifische Konfiguration aufgrund von 2. oder 3. angezeigt ist, wird die generische Datei verwendet, um die Einstellungen von derer Benutzer zu initialisieren, die keine individuelle WinHex.cfg-Datei haben. Wenn gar keine Konfigurationsdatei gefunden wird, wird die Konfiguration mit Voreinstellungen initialisiert, die teils sprachspezifisch sind. Die Standardsprache ist Englisch. Um WinHex/X-Ways Forensics dazu zu zwingen, die Initialisierung mit einer anderen Sprache vorzunehmen, erzeugen Sie einfach eine leere Datei namens winhex.ger, winhex.fr, winhex.esp, winhex.ita oder winhex.por im Installationsverzeichnis. Standardmäßig speichern WinHex/X-Ways Forensics/X-Ways Investigator alle Daten in dem Verzeichnis, in dem sich die .exe-Datei befindet, so daß das Program voll portabel ist und unnötige Änderungen an den System, das analysiert wird, zu verhindern. Sie können eine leere Datei namens winhex.user erzeugen, um benutzerspezifische Konfiration zu erzwingen. 

Die Datei WinHex [Benutzername].cfg liegt entweder im Installationsverzeichnis oder in einem Unterverzeichnis von "Virtual Store" (nur im Fall der 32-Bit-Edition, ab Windows Vista). Das Einfügen des Benutzernamens (ab v13.2 SR-5) ermöglicht es, daß verschiedene Benutzer sich dieselbe Installation teilen können, dabei aber individuelle Einstellung behalten. Beachten Sie, daß vor dem Benutzernamen ein Leerzeichen stehen muß. Wenn eine Datei WinHex.cfg existiert (d. h. ohne Benutzername), wird diese Datei für alle Benutzer verwendet, die keine individuelle .cfg-Datei haben. Wenn gar keine Konfigurationsdatei gefunden wird, wird die Konfiguration mit Standardwerten initialisiert. Um WinHex/X-Ways Forensics dazu zu zwingen, benutzerspezifische Konfigurationsdateien zu verwenden, erzeugen Sie einfach eine leere Datei namens winhex.user im Installationsverzeichnis (ab v16.9 SR-1).

Alternativ kann jeder Benutzer eine individuelle Konfiguration (eigene voreingestellte Verzeichnisse für Fälle und Image-Dateien und andere Einstellungen) in seiner System-Registrierung haben. Auf diese Weise wird das Verwendung der winhex*.cfg-Dateien komplett vermieden.  

Erzeugen Sie dazu lediglich eine leere Datei namens winhex.rgt im WinHex-Verzeichnis. Wenn diese Datei beim Programmstart gefunden wird, liest WinHex die Konfiguration aus der lokalen Registry. Sollte der Registry-Schlüssel noch nicht existieren, versucht WinHex als nächstes eine existierende Datei winhex [Benutzername].cfg im Installationsverzeichnis zu lesen. Falls diese Datei ebenfalls nicht existiert, startet WinHex mit den Grundeinstellungen. In jedem Fall speichert WinHex die Konfiguration in der lokalen Registry, wenn die Datei winhex.rgt bei der Programmbeendigung vorgefunden wird.  

Unterschiedliche Versionen können gleichzeitig in verschiedenen Verzeichnissen installiert sein und haben ihre eigenen Konfigurationen. Auch mehrere Installationen derselben Version in verschiedenen Verzeichnissen sind möglich, um unterschiedliche Konfigurationen verwenden zu können. In beiden Fällen, um unterschiedliche Konfigurationen sicherzustellen, müssen die Installationen in Verzeichnissen unterschiedlichen Namens enthalten sein.

Neuere Versionen dürfen über ältere Versionen kopiert/installiert werden, aber keinesfalls umgekehrt. WinHex mit forensischer Lizenz und X-Ways Forensics (sofern exakt gleiches Release) dürfen und sollen sich dasselbe Installationsverzeichnis teilen und viele identische Dateien gemeinsam nutzen. 32-Bit- und 64-Bit-Edition (sofern exakt gleiches Release) dürfen und sollen sich ebenfalls dasselbe Verzeichnis teilen. .exe-Dateien unterschiedlicher Versionen dürfen nicht im selben Verzeichnis vermischt und ausgeführt werden.

*NTFS not indexed

Die folgenden Dateien sind für die korrekte Funktion erforderlich:

• winhex.exe/xwforensics.exe (die ausführbare Anwendung)
• external.dll (wird benötigt für einige Arten des direkten Festplatten- bzw. Diskettenzugriffs)*
• psapi.dll (wird nur für den RAM-Editor unter Windows NT/2000/XP benötigt)*
• hi.dll (wird nur für die Bilderansicht benötigt, wird nur mit X-Ways Forensics geliefert, bis v13.7)*
• DevIL.dll (wird nur für die Bilderansicht benötigt, wird nur mit X-Ways Forensics geliefert, seit v13.7)*
• Chinese.dat, Chinese2.dat (wird für das for the Chinese user interface only, seit v13.7)*
• index*.txt (in X-Ways Forensics für die Indexierung verwendet)
• zlib1.dll (seit v13.7)
• zip.dll (wird nur für Behandlung von Archiven benötigt, wird nur mit X-Ways Forensics geliefert, seit v11.7)*
• rar.dll (wird nur für Behandlung von RAR-Archiven benötigt, wird nur mit X-Ways Forensics geliefert, seit v11.7)*
• zip.exe (wird nur zum Archivieren von Fällen benötigt, wird nur mit X-Ways Forensics geliefert, seit v12.8)*
• hash.dll (wird nur zur schnelleren Hash-Berechnung benötigt, wird mit X-Ways Forensics geliefert, ist für WinHex separat hier herunterladbar, erfordert eine professionelle Lizenz oder höher, verfügbar seit v12.9)*
• m.dat (nur in X-Ways Forensics)
• nfi.exe (nur v9.7 bis v10.7)
• dialogs.dat (enthält Dialog-Informationen, alle Sprachen)
• language.dat (enthält Standardtexte, alle Sprachen)
• EBCDIC.dat (Unterstützung für den EBCDIC-Zeichensatz, seit v9.26)*
• timezone.dat (Unterstützung für flexible Zeitzonen-Interpretation, seit v12.8)*
• winhex.hlp, winhex.cnt (englische Programmhilfe)*
• winhex-d.hlp, winhex-d.cnt (deutsche Programmhilfe)*
• winhex-f.hlp, winhex-f.cnt (französische Programmhilfe)*
• File Type Signatures.txt (Dateitypdefinitionen für Datenrettung nach Typ, seit v11.2)*
• File Type Categories.txt (Kategoriedefinitionen für die Kategorieansicht, wird nur mit X-Ways Forensics geliefert, seit v11.5)*
• Reg Report [Keys].txt (Definitionen für die Registry-Berichtsfunktion, wird nur mit X-Ways Forensics geliefert, seit v11.5)*
• *.tpl (diverse Beispiel-Schablonen)*
• *.whs (diverse Beispiel-Skripte, seit v10.0)*

*Dateien mit einem Stern sind nicht erforderlich, wenn die angegebene Funktionalität nicht benötigt wird.

Die Viewer-Komponente muß separat heruntergeladen und entpackt werden. Standardmäßig wird sie in einem Unterverzeichnis namens \viewer unterhalb des Installationsordners erwartet (seit v12.1).

Eine Hash-Datenbank wird nicht mitgeliefert. Standardmäßig wird eine interne Hash-Datenbank im Unterverzeichnis \HashDB unterhalb des Installationsordners erwartet. 

Das Programm MPlayer kann seit v14.8 in X-Ways Forensics und X-Ways Investigator zum Anschauen von und zur Bilderextraktion aus Video-Dateien verwendet werden. Standardmäßig wird es in einem Unterverzeichnis namens \mplayer unterhalb des Installationsordners erwartet. Das separate Codec-Package sollte ins Unterverzeichnis \codecs der MPlayer-Installation extrahiert werden.

Alternativ kann dsa Programm Forensic Framer zur Bilderextraktion verwendet werden. Es enthält MPlayer.

Für die Verwendung der WinHex API (WinHex 10.1 und später) in einer Programmiersprache wie C/C++, Pascal oder Visual Basic werden einige weitere Dateien benötigt. Details

Für direkten Zugriff auf CD-ROM Sektoren unter Windows 9x/Me muss das ASPI-Interface installiert sein (wnaspi32.dll). Diese Datei ist auf der Windows-Setup-CD verfügbar. Allerdings sollte sie auf den meisten Windows-Installationen bereits existieren.

WinHex benötigt keine bestimmte Version von comctl32.dll. WinHex ist nicht von der Anwesenheit irgendwelcher Laufzeitbibliotheken abhängig (z. B. msv*.dll).

Sektoren einer Festplatte zu editieren/schreiben erfordert unter Windows NT/2000/XP/Vista/7 Administratorrechte. Under Windows Vista/7 muß WinHex dazu explizit als Administrator ausgeführt werden. Das bloße Einloggen in Windows als Administrator genügt in diesen Windows Versionen nicht mehr!

Dieses Paket enthält alle notwendigen Konfigurationsdateien und Anleitungen für die Integration von WinHex/X-ways Forensics in BartPE.