WinHex: Menü Specialist-Tools

Verfügbar nur für Inhaber von Specialist- oder forensischen Lizenzen.

Freien Speicher extrahieren: Durchläuft das gegenwärtig geöffnete logische Laufwerk und sammelt alle unbenutzten Cluster in einer von Ihnen anzugebenen Zieldatei. Nützlich um Daten-fragmente von vormals existierenden Dateien, die nicht sicher gelöscht wurden, zu untersuchen. Nimmt keine Änderungen am untersuchten Laufwerk vor. Die Zieldatei muß auf einem anderen Laufwerk abgelegt werden.

Schlupfspeicher extrahieren: Sammelt Schlupfspeicher (englisch "slack space", die unbenutzten Bytes im jeweils letzten Cluster einer Clusterkette, hinter dem tatsächlichen Ende der Datei) in einer Zieldatei. Jedem Vorkommen von Schlupfspeicher werden Zeilenumbrüche vorangestellt und die Nummer des Clusters, in dem er gefunden wurde, als ASCII-Text. Ansonsten ähnlich wie "Freien Speicher extrahieren". Funktioniert mit FAT12, FAT16, FAT32 und NTFS. WinHex kann Schlupfspeicher von Dateien, die auf Dateisystemebene komprimiert oder verschlüsselt sind, nicht erfassen.

Partitionslücken extrahieren: Erfaßt die Speicherbereiche einer physischen Festplatte, die zu keiner Partition gehören, in einer Zieldatei, zur schnellen Untersuchung, um herauszufinden, ob dort etwas versteckt ist oder übrig geblieben von früheren Partitionierungen.

Text extrahieren: Erkennt Text anhand der von Ihnen anzugebenden Parameter, erfaßt alle Vorkommnisse in einer Datei, auf einem Datenträger oder innerhalb eines Speicherbereichs und schreibt diese in eine Datei. Diese Art von Filter ist nützlich, um auszuwertende Datenmengen beträchtlich zu verringern, wenn z. B. bei einer forensischen Computeranalyse Hinweise in Form von Text (wie E-Mails, Dokumente) gesucht werden. Die Zieldatei kann leicht in benutzerdefinierte Größen zerlegt werden. Diese Funktion kann auch auf Dateien mit gesammelten Schlupf- oder freiem Speicher angewandt werden, oder auf beschädigte Dateien in einem proprietären Format, die nicht mehr von der zugehörigen Applikation, wie MS Word, geöffnet werden können, um zumindest unformatierten Text zu retten.

Parallele Suche: Diese Funktion läßt Sie nach nach einer beinahe unbegrenzt langen Liste von Zeichenketten (Strings) oder Hex-Werten (mit Präfix 0x anzugeben) gleichzeitig suchen. Je ein Suchbegriff pro Zeile. Die Vorkommnisse können entweder im Positionsmanager archiviert werden oder in einer mit Tabulator-Zeichen in Spalten aufgetrennten Textdatei, die in MS Excel oder einer Datenbank weiterverarbeitet werden kann. WinHex speichert jeweils Offset, Suchwort, Name der durchsuchten Datei/des durchsuchten Datenträgers und im Fall eines logischen Laufwerks auch die Clusterzuordnung! (also den Namen und den Pfad der Datei, die an der Fundstelle gespeichert ist)
Das heißt, forensische Ermittler können nun systematisch auf ganzen Festplatten in einem einzigen Durchlauf nach Wörtern wie z. B. "Droge", "Kokain", umgangssprachlichen Synonymen und Namen und Adressen von Rauschgifthändlern suchen. Bei der Suche auf einem logischen Laufwerk schränkt das die Untersuchung auf eine Liste von Dateien ein, auf die man sich konzentrieren kann. Wenn Sie WinHex die Fundstellen nicht archivieren lassen, können Sie die F3-Taste benutzen, um die Suche fortzusetzen.

Laufwerksinhaltstabelle erstellen: Erstellt einen "Katalog" aller existierender und/oder noch spurenweise zu findender gelöschter Dateien und Verzeichnisse, mit benutzerkonfigurierten Informationen wie Dateiattributen, allen verfügbaren Datums- und Zeitangaben, Größe, belegte Cluster, Hash (Prüfsumme oder Digest), alternative Datenströme (ADS, welche versteckte Daten enthalten, nur auf NTFS-Laufwerken) usw. Extrem nützlich, um den Inhalt eines Datenträgers systematisch zu untersuchen. Erlaubt es auch, die Suche durch Angabe einer Maske (wie *.jpg;*.gif) auf Dateien eines bestimmten Typs zu beschränken. Hash-Werte können nur für existierende Dateien berechnet werden. Interne Systemdateien und vollständige Clusterzuordnungs-Informationen werden für NTFS-Laufwerke nur gelistet, wenn Sie auch gelöschte Dateien mit auflisten lassen. In der Spalte mit den zugeordneten Cluster-Nummern finden Sie manchmal nur einen Sektor in der Master File Table aufgelistet (in der kleine Dateien direkt gespeichert sind). Cluster, die einem alternativen Datenstrom zugeordnet sind werden in dieser Spalte hinter dem ADS-Namen und einem Doppelpunkt aufgelistet.

Die resultierende Tabelle kann von Datenbank-Software oder MS Excel importiert und weiterverwendet werden. Das Sortieren nach Datum & Zeit gibt einen guten Überblick darüber, wozu ein Datenträger zu welcher Zeit benutzt wurde. Das NTFS-Attribut "verschlüsselt" könnte z. B. schnell die wichtigsten zu untersuchenden Dateien bei einer forensischen Analyse enthüllen.

Verzeichnisinhaltstabelle erstellen: Funktioniert wie "Laufwerksinhaltstabelle erstellen", wird aber nur auf ein vom Benutzer ausgewähltes Verzeichnis und dessen Unterverzeichnisse angewandt.

Datenträger-Detailbericht: Zeigt Informationen über den aktiven Datenträger bzw. die aktive Datei an und läßt Sie diese kopieren, z. B. in einen Bericht den Sie anfertigen. Besonders ausführlich bei physischen Festplatten, zu denen Details über jede Partition und allen keiner Partition zugeordneten Speicherlücken aufgeführt werden.

Image als Datenträger interpretieren: Behandelt eine geöffnete und aktive Image-Datei entweder als logisches Laufwerk oder physischen Datenträger. Das ist nützlich, wenn Sie den Inhalt eines Disk-Image untersuchen möchten, einzelne Dateien aus dem Dateisystem extrahieren möchten usw., ohne das Image zurück auf einem Datenträger zurückzuspielen. Beim Interpretieren als physischen Datenträger kann WinHex die im Image enthaltenen Partitionen öffnen wie von einer "echten" physischen Festplatte.
WinHex kann sogar dateiübergreifende Images interpretieren, also Image-Dateien, die aus einzel-nen Segmented beliebiger Größe bestehen (sog. "spanned image files"). Damit WinHex ein dateiübergreifendes Image erkennt, darf das erste Segment einen beliebigen Namen und eine nicht-numerische Namenserweiterung oder die Namenserweiterung ".000" haben. Das zweite Segment muß denselben Basisdateinamen, aber die Erweiterung ".001" haben, das dritte Segment ".002" usw. Das Plattenklon-Programm X-Ways Replica für DOS ist imstande, Disk-Images in einer solchen Segmentierung zu erzeugen. Das ist nützlich, da die maximal unterstützte Dateigröße bei FAT16 und FAT32 bei 2 GB bzw. 4 GB liegt.

Bates-Numerierung: Versieht alle Dateien innerhalb eines bestimmten Ordners und seiner Unterordner für die forensische Verwendung mit einer Bates-Numerierung. Fügt ein bis zu 13 Zeichen langes konstantes Präfix und eine eindeutige laufende Nummer zwischen Dateinamen und Dateinamenserweiterung ein, ähnlich wie Anwälte Papierdokumente für spätere Bezugnahme kennzeichnen.

Sicherer Dateiexport: Auch: "trusted download" (vertrauenswürdiges Überspielen von Daten). Löst ein Sicherheitsproblem. Wenn als vertraulich oder geheim eingestuftes Material von einem klassifizierten auf einen nicht-klassifizierten Datenträger übertragen wird, muß sichergestellt sein, daß keine überschüssigen Informationen in einem Cluster- oder Sektorüberhang ungewollt mit der eigentlichen Datei mitkopiert werden, da dieser sog. Schlupfspeicher (s. o.) noch vertrauliches oder geheimes Material von einem früheren Zeitpunkt enthalten kann, an dem er noch einer anderen Datei zugeordnet war. Dieser Befehl kopiert die ausgewählte(n) Datei(en) nur in ihrer aktuellen tatsächlichen Größe, und kein weiteres Byte mehr. Er kopiert nicht ganze Sektoren oder Cluster, wie es konventionelle Kopierbefehle tun. Es können mehrere Dateien eines Ordners auf einmal kopiert werden.

Freien Speicher/Schlupfspeicher hervorheben: Zeigt Offsets und Daten in weicheren Farben an (hellblau bzw. grau). Hilft, diese speziellen Laufwerksbereiche leicht zu erkennen. Funktioniert auf logischen FAT- und NTFS-Laufwerken sowie auf FAT-Partitionen.