Arbeitsaufteilungsmodell für Ermittlungsbehörden X-Ways Investigator (Ermittlerversion von X-Ways Forensics)

Vergleich der Benutzeroberflächen für Computer-spezialisten X-Ways Forensics Normal- preis (Konkurrenz) Vergleich der Benutzeroberflächen Funktionsumfang/Komplexität Preis X-Ways Investigator halber Preis für kriminalpolizeiliche Sachbearbeiter mit Spezialisierungen wie Buchprüfung, Baurecht, Geldwäsche, Kinderpornographie, ... weitere Vereinfachungen u. adminstrative Sicherheits-vorkehrungen möglich

X-Ways Investigator: Wichtige Funktionen Fälle anlegen, Asservate zuordnen (Datenträger oder Images, mit allen unterstützten Dateisystemen); optional ausschließlich Container als Asservate, und ebenfalls optional nur als sicher klassifizierte (d. h. virenfreie) Container („Containerversion“) Unterschiedlich spezialisierte Ermittler können mit denselben Containern arbeiten, in ihren eigenen Fällen, oder schreibgeschützt im Fall eines anderen Ermittlers. logische Suche, Suche im Index übergreifendes Auflisten von Dateien aus allen Asservaten, dynamische Filter, Dateien sortieren, Dateien markieren Dateien betrachten, Dokumente ausdrucken Dateien in Berichtstabellen aufnehmen, mit Kommentaren versehen, damit aus fachlicher Sicht für den Fall bewerten; Bericht erstellen

Arbeitsaufteilung Vorarbeiten mit X-Ways Forensics, z. B. Datenträger-Sicherung, Images verifizieren, RAIDs zusammensetzen, gelöschte Partitionen suchen lassen, ... intensive Suche nach gelöschten Dateien laufen lassen, Signaturprüfung, Inhalte von Archiven und in Dokumente eingebettete Bilder aufnehmen, verschlüsselte Dateien separat behandeln, ... grobes Bereinigen um irrelevante Daten, wie bekanntermaßen unverdächtige Dateien laut Hash, exakte Datei-Duplikate, anhand von fallspezifischen Filtern, ... grobe Auswahl potentiell relevanter Dateien anhand von Suchtreffern (nach Suchbegriffen wie von Ermittlern vorgegeben), mit dem Dateityp-Filter oder Hash-Sets ... aus großen Binärdateien wie freier Speicher, Swap-Datei, wenn z. B. aufgrund von Suchtreffern relevant, nur grob die Umgebung der Suchtreffer herauskopieren Erzeugung eines Suchindexes X-Ways Forensics

Datei-Container Vorarbeiten mit X-Ways Forensics  Ergebnis: ein sog. mit allen potentiell relevanten Dateien In einem Container bleiben für jede Datei erhalten: Datei-Inhalt, Dateigröße Dateiname in Unicode (asiatische Sprachen kein Problem) Originalpfad (optional incl. Name des Asservats) Löschzustand (existent, gelöscht, umbenannt, verschoben, ...) alle Original-Zeitstempel soweit vorhanden (Erstellung, Inhaltsänderung, Datensatzänderung, letzter Zugriff, Löschung) DOS/Windows-Attribute, Unix/Linux-Permissions/Filemode Kompressions- und Verschlüsselungsstatus ggf. Klassifikation als alternativer Datenstrom, Resource, Schlupf, ... ggf. Klassifikation als fiktive Datei (für „Freier Speicher“, eingebettete Bilder, Thumbnails, Partitionslücken usw.) Auch beliebige Anmerkungen zu jeder einzelnen Datei können mit weitergegeben werden, z. B. Realname des Besitzers der Datei.

Arbeitsaufteilung „Container- version“ X-Ways Forensics Staatsanwalt Bericht X-Ways Forensics Container „Container- version“ für Ermittler mit Spezialisierungen wie Buchprüfung, Baurecht, Geldwäsche, Kinderpornographie, ... X-Ways Investigator virenbefreit geschütztes internes Netz für Computer-spezialisten bei LKÄ, Polizeipräsidien, …

Installationsmöglichkeiten Jeder Ermittler hat seine eigene Installation auf eigenem Rechner. Individuelle Konfiguration. Etwas höherer administrativer Aufwand. Erforderlich z. B. für Ermittler im Bereich Kinder- pornographie, die eigenständig CDs und DVDs einlesen. Mehrere Ermittler teilen sich eine Installation auf einem Server. Wahlweise individuelle Konfiguration. Netzleitung stark belastet beim Suchen, Hashen usw. Mehrere Ermittler teilen sich eine Installation auf einem Terminal- Server. Wahlweise individuelle Konfiguration. Netzleitung wird immer nur mit den Bildschirmdaten belastet. Administratoren verantwortlich für Installation, Benutzerkonten und Vergabe der Zugriffsrechte auf Verzeichnisse mit Falldaten und Containern. Sog. Case-Manager versorgen Ermittler mit Containern und Such-Indexen.

Individueller Funktionsumfang Die Benutzeroberfläche von X-Ways Investigator kann von den Administratoren zum Teil individuell weiter vereinfacht/reduziert werden, z. B. aus Sicherheitsgründen. Verhindern des direkten Öffnens von Datenträgern Verhindern des Öffnens von konventionellen Images Verhindern des Öffnens von unsicheren Containern Verhindern der Möglichkeit, eigene Container zu erstellen Verhindern des Herauskopierens von Nicht-Bild-Dateien in den Bericht Ausblenden der Möglichkeit, mit Hash-Datenbanken zu arbeiten Verhindern der Wahl fortgeschrittener Optionen Verhindern des Ausführens komplexerer Funktionen