WinHex/X-Ways Forensics: Infos zur Installation

WinHex und X-Ways Forensics können ausgeführt werden unter Windows 2000/XP/2003 Server/Vista/2008 Server/7, sowohl 32 Bit als auch 64 Bit. Unter Windows 2000 und 98/Me wurde die Software seit Jahren nicht mehr getestet, und Kompatibilität mit Windows 98/Me ist im Laufe der Zeit seit v12/v13 nach und nach verlorengegangen. Die letzte unter Windows 3.1x ausführbare Version war v7.54. Ältere Versionen sind auf Anfrage für registrierte Benutzer verfügbar.

WinHex/X-Ways Forensics/X-Ways Investigator sind definitiv nicht ressourcenhungrig! Sie können diese Programme auf alten Rechner unter Windows 2000 ausführen, mit nur 256 MB RAM und 1 GB freiem Plattenspeicher. Mit bloßen 512 MB RAM können Sie bereits Dateisysteme mit rd. 5 Millionen Dateien öffnen und analysieren!

Im folgenden finden Sie Tips für höchste Performanz, in loser Reihenfolge:

• Je höher die Prozessortaktung, desto besser.

• 2 Prozessorkerne sind besser als 1, 4 besser als 2, in vielen Situationen.

• Verwenden Sie eine 64-Bit Windows-Version. Wenn Sie eine 32-Bit-Version haben, führen Sie Windows mit dem /3GB-Schalter aus.

• Verwenden Sie > 4 GB RAM. 4 GB können in einem 64-Bit-Windows direkt adressiert werden, 3 GB in einem 32-Bit-Windows.

• Innerhalb der o. a. Grenzen gilt: Je mehr RAM, desto größere  Datei-Überblicke werden unterstützt (Volumes mit vielen Dateien). Unter Bedingungen mit nicht ausreichendem Arbeitsspeicher, lassen Sie XWF weniger Daten im Speicher halten (s. Optionen des Datei-Überblicks).

• Auf einem Terminal-Server mit mehreren Benutzern sind noch mehr Prozessorkerne und mehr RAM sinnvoll. 

• Speichern Sie Fälle und Images nicht auf derselben Platte. 

• Verwenden Sie schnellere Platten, mit höherer Datenübertragungsrate und schnellerem Zugriff.

• Speichern Sie Images auf einem RAID statt auf einer Platte, für höhere Übertragungsraten.

• Formatieren Sie Ihre eigenen Partitionen mit NTFS, nicht FAT.

• Verzichten Sie auf NTFS-Verschlüsselung (EFS) und NTFS-Kompression.

• Verwenden Sie größere Cluster (z. B. 16 KB oder mehr) für die Partition, auf der Sie Images speichern.

• Verwenden Sie keine komprimierten .e01-Evidence-Files, die von anderen Tools als X-Ways Forensics erzeugt wurden (vermeiden Sie normale oder starke Komprimierung).

• Verzichten Sie auf einen aktiven Viren-Scanner im Hintergrund wenn möglich. 

• Wählen Sie nicht alle Dateitypen zum Carven (Datei-Header-Signatur-Suche) aus, wenn es nicht erforderlich ist.

• Für parallele Suchen verwenden Sie bei Bedarf die GREP-Syntax statt der einfachen Jokerzeichen-Option.

• Für die Indexierung wählen Sie nicht mehr Zeichen und keine kürzeren oder längeren Wörter aus als absolut notwendig. Lassen Sie keine Teilworte indexieren, wenn es nicht absolut notwendig ist.

• Defragmentieren Sie als allererstes die zu untersuchenden Festplatten. Halt, das war nur ein Scherz!

WinHex und X-Ways Forensics haben eine gemeinsame Code-Basis. X-Ways Forensics bietet unzählige zusätzliche Features gegenüber WinHex mit einer Specialist-Lizenz. Wenn Sie eine Lizenz für X-Ways Forensics haben, können Sie alternativ mit derselben Lizenz (und demselben Dongle) auch WinHex verwenden. Beide Programm arbeiten dann mit dem vollen forensischen Funktionsumfang und sind identisch bis auf die folgenden Unterschiede:

• Die Benutzeroberfläche von WinHex (winhex.exe) identifiziert sich immer als WinHex, die von X-Ways Forensics (xwforensics.exe) als X-Ways Forensics. Die Programmhilfe und das Benutzerhandbuch verwenden allerdings zumeist statisch "WinHex".

• winhex.exe ist optional als separater Download für Benutzer von X-Ways Forensics verfügbar. Wenn Sie winhex.exe zu einer Installation von X-Ways Forensics hinzufügen, müssen die Versionen übereinstimmen, was sichergestellt ist, wenn beide zur gleichen Zeit heruntergeladen wurden.

• In X-Ways Forensics werden Datenträger, interpretierte Image-Dateien, virtueller Arbeitsspeicher und physischer RAM-Speicher ausschließlich schreibgeschützt (im View-Modus) geöffnet, um forensisch sicheres Arbeit zu gewährleisten, bei dem keinerlei Veränderung von Beweisen geduldet wird. Dieser strenge Schreibschutz in X-Ways Forensics stellt sicher, daß die Original-Asservate nicht versehentlich verändert werden können, was vor Gericht von wesentlicher Bedeutung sein kann. Nur wenn Sie nicht von strengen Regeln gebunden sind und/oder aggressiver vorgehen möchten (weil z. B. ein Bootsektor repariert werden soll), können Sie WinHex statt X-Ways Forensics ausführen. Mit WinHex können Sie Datenträgersektoren editieren, ganze Datenträger oder freien Speicher oder Schlupfspeicher sicher überschreiben (wipen).

• Die WinHex API kann nur zusammen mit WinHex verwendet werden. 

Es ist nicht unbedingt erforderlich, WinHex/X-Ways Forensics mit dem beigefügten Programm setup.exe zu installieren. Dieses Installationsprogramm kopiert lediglich die mitgelieferten Dateien (und alle .whs-Dateien, die es findet) in das Zielverzeichnis, stellt die gewünschte Sprache (Englisch, Deutsch, Französisch, Spanisch, Italienisch oder Portugisisch) ein und erzeugt eine Verknüpfung im Startmenü. Alle übrigen Grundeinstellungen werden von  winhex.exe/xwforensics.exe selbst vorgenommen.

Allerdings wird empfohlen, das Setup-Programm zu verwenden, wenn Sie eine existierende Installation updaten, damit Sie gewarnt werden, falls die neue Version die existierenden Lizenzcodes nicht mehr akzeptiert, bevor die voll funktionsfähige Installation tatsächlich überschrieben wird.

Die Datei winhex [Benutzername].cfg wird von WinHex/X-Ways Forensics automatisch erzeugt, sollte bei Programmstart keine Konfigurationsdatei existieren. Das Einfügen des Benutzernamens (ab v13.2 SR-5) ermöglicht es, daß verschiedene Benutzer sich dieselbe Installation teilen können, dabei aber individuelle Einstellung behalten. Wenn eine Datei winhex.cfg existiert (d. h. ohne Benutzername), so wie es bis zur Version 13.2 SR-4 der Normalfall war, wird diese Datei für alle Benutzer verwendet, die keine individuelle .cfg-Datei haben. Wenn gar keine Konfigurationsdatei gefunden wird, wird die Konfiguration mit teils sprachabhängigen Standardwerten initialisiert. Die voreingestellte Sprache ist Englisch. Um WinHex/X-Ways Forensics dazu zu zwingen, die Initialisierung mit einer anderen Sprache vorzunehmen, erzeugen Sie einfach eine leere Datei mit einem der Namen winhex.ger, winhex.fr, winhex.esp, winhex.ita oder winhex.por im Installationsverzeichnis.

Alternativ kann jeder Benutzer eine individuelle Konfiguration (eigene voreingestellte Verzeichnisse für Fälle und Image-Dateien und andere Einstellungen) in seiner System-Registrierung haben. Auf diese Weise wird das Verwendung der winhex*.cfg-Dateien komplett vermieden.  

Erzeugen Sie dazu lediglich eine leere Datei namens winhex.rgt im WinHex-Verzeichnis. Wenn diese Datei beim Programmstart gefunden wird, liest WinHex die Konfiguration aus der lokalen Registry. Sollte der Registry-Schlüssel noch nicht existieren, versucht WinHex als nächstes eine existierende Datei winhex [Benutzername].cfg im Installationsverzeichnis zu lesen. Falls diese Datei ebenfalls nicht existiert, startet WinHex mit den Grundeinstellungen. In jedem Fall speichert WinHex die Konfiguration in der lokalen Registry, wenn die Datei winhex.rgt bei der Programmbeendigung vorgefunden wird.  

Die Konfiguration über die Registry existiert seit WinHex v9.5.

Die folgenden Dateien sind für die korrekte Funktion erforderlich:

• winhex.exe/xwforensics.exe (die ausführbare Anwendung)
• external.dll (wird benötigt für einige Arten des direkten Festplatten- bzw. Diskettenzugriffs)*
• psapi.dll (wird nur für den RAM-Editor unter Windows NT/2000/XP benötigt)*
• hi.dll (wird nur für die Bilderansicht benötigt, wird nur mit X-Ways Forensics geliefert, bis v13.7)*
• DevIL.dll (wird nur für die Bilderansicht benötigt, wird nur mit X-Ways Forensics geliefert, seit v13.7)*
• Chinese.dat, Chinese2.dat (wird für das for the Chinese user interface only, seit v13.7)*
• index*.txt (in X-Ways Forensics für die Indexierung verwendet)
• zlib1.dll (seit v13.7)
• zip.dll (wird nur für Behandlung von Archiven benötigt, wird nur mit X-Ways Forensics geliefert, seit v11.7)*
• rar.dll (wird nur für Behandlung von RAR-Archiven benötigt, wird nur mit X-Ways Forensics geliefert, seit v11.7)*
• zip.exe (wird nur zum Archivieren von Fällen benötigt, wird nur mit X-Ways Forensics geliefert, seit v12.8)*
• hash.dll (wird nur zur schnelleren Hash-Berechnung benötigt, wird mit X-Ways Forensics geliefert, ist für WinHex separat hier herunterladbar, erfordert eine professionelle Lizenz oder höher, verfügbar seit v12.9)*
• m.dat (nur in X-Ways Forensics)
• nfi.exe (nur v9.7 bis v10.7)
• dialogs.dat (enthält Dialog-Informationen, alle Sprachen)
• language.dat (enthält Standardtexte, alle Sprachen)
• EBCDIC.dat (Unterstützung für den EBCDIC-Zeichensatz, seit v9.26)*
• timezone.dat (Unterstützung für flexible Zeitzonen-Interpretation, seit v12.8)*
• winhex.hlp, winhex.cnt (englische Programmhilfe)*
• winhex-d.hlp, winhex-d.cnt (deutsche Programmhilfe)*
• winhex-f.hlp, winhex-f.cnt (französische Programmhilfe)*
• File Type Signatures.txt (Dateitypdefinitionen für Datenrettung nach Typ, seit v11.2)*
• File Type Categories.txt (Kategoriedefinitionen für die Kategorieansicht, wird nur mit X-Ways Forensics geliefert, seit v11.5)*
• Reg Report [Keys].txt (Definitionen für die Registry-Berichtsfunktion, wird nur mit X-Ways Forensics geliefert, seit v11.5)*
• *.tpl (diverse Beispiel-Schablonen)*
• *.whs (diverse Beispiel-Skripte, seit v10.0)*

*Dateien mit einem Stern sind nicht erforderlich, wenn die angegebene Funktionalität nicht benötigt wird.

Die Viewer-Komponente muß separat heruntergeladen und entpackt werden. Standardmäßig wird sie in einem Unterverzeichnis namens \viewer unterhalb des Installationsordners erwartet (seit v12.1).

Eine Hash-Datenbank wird nicht mitgeliefert. Standardmäßig wird eine interne Hash-Datenbank im Unterverzeichnis \HashDB unterhalb des Installationsordners erwartet. 

Das Programm MPlayer kann seit v14.8 in X-Ways Forensics und X-Ways Investigator zum Anschauen von und zur Bilderextraktion aus Video-Dateien verwendet werden. Standardmäßig wird es in einem Unterverzeichnis namens \mplayer unterhalb des Installationsordners erwartet. Das separate Codec-Package sollte ins Unterverzeichnis \codecs der MPlayer-Installation extrahiert werden.

Alternativ kann dsa Programm Forensic Framer zur Bilderextraktion verwendet werden. Es enthält MPlayer.

Für die Verwendung der WinHex API (WinHex 10.1 und später) in einer Programmiersprache wie C/C++, Pascal oder Visual Basic werden einige weitere Dateien benötigt. Details

Für direkten Zugriff auf CD-ROM Sektoren unter Windows 9x/Me muss das ASPI-Interface installiert sein (wnaspi32.dll). Diese Datei ist auf der Windows-Setup-CD verfügbar. Allerdings sollte sie auf den meisten Windows-Installationen bereits existieren.

WinHex benötigt keine bestimmte Version von comctl32.dll. WinHex ist nicht von der Anwesenheit irgendwelcher Laufzeitbibliotheken abhängig (z. B. msv*.dll).

Sektoren einer Festplatte zu editieren/schreiben erfordert unter Windows NT/2000/XP/Vista/7 Administratorrechte. Unter Windows 9x/Me gibt es keine Einschränkungen. Under Windows Vista/7 muß WinHex dazu explizit als Administrator ausgeführt werden. Das bloße Einloggen in Windows als Administrator genügt in diesen Windows Versionen nicht mehr!

Dieses Paket enthält alle notwendigen Konfigurationsdateien und Anleitungen für die Integration von WinHex/X-ways Forensics in BartPE.