 Klonen von Datenträgern, Erstellen von Disk-Images  Einlesen der Partitionierungs- und Dateisystemstruktur innerhalb von Roh-Image-Dateien („dd“-Images), ISO-, VHD- und VMDK-Images  vollständiger Zugriff auf Datenträger, RAIDs und Images größer als 2 TB (mit mehr als 232 Sektoren) mit Sektorgrößen bis 8 KB  native Interpretation von RAID-Systemen (JBOD, Level 0, 5, 5EE und 6), Linux Software- RAIDs, dynamischen Platten und LVM2  automatische Identifikation von gelöschten/verlorenen Partitionen  eingebaute Unterstützung von FAT12, FAT16, FAT32, exFAT, TFAT, NTFS, Ext2, Ext3, Ext4, Next3®, CDFS/ISO9660/Joliet, UDF  virtuelle Überlagerung von Sektors, z. B. mit korrigierten Partitionstabellen oder Dateisystem-Datenstrukturen, um Dateisysteme trotz Beschädigungen ganz einlesen zu können, ohne den Originaldatenträger oder das Original-Image ändern zu müssen  Einsehen und Sichern des physischen Arbeitsspeichers/RAM* und virtuellen Prozesspeichers  verschiedene Datenrettungs-Techniken, extrem schnelles und mächtiges Carving  sorgfältig gepflegte Datei-Header-Signatur-Datenbank basierend auf GREP-Notation  Daten-Dolmetscher für 20 Variablentypen  Einsehen und Editieren von binären Datenstrukturen mit Schablonen  forensisch sicheres Löschen von Festplatten, um sie „steril“ für die nächste Benutzung zu machen  Extraktion von Schlupfspeicher (Slack Space), freiem Laufwerksspeicher, Partitionslückenspeicher und Text auf Datenträgern und Image-Dateien  Erstellung eines Katalogs über alle Dateien und Verzeichnisse auf einem Datenträger  komfortable Erkennung und Zugriff auf alternative Datenströme (ADS) von NTFS  Hash-Berechnung für Dateien und Datenträger (CRC32, MD4, ed2k, MD5, SHA-1, SHA- 256, RipeMD, ...)  mächtige physische und logische Suchfunktionen für ganze Listen von Suchbegriffen auf einmal  verzeichnisübergreifende Ansicht aller existierenden und gelöschten Dateien auf Datenträgern  automatische Einfärbung der Bestandteile von FILE-Records in NTFS  Lesezeichen zum Wiederauffinden und Kenntlichmachen von Positionen  läuft auch unter Windows FE, der forensisch sicheren bootbaren Windows-Umgebung, z. B. für Triage-/Preview-Zwecke, mit einigen Einschränkungen  Lesezugriff auf Computer im Netzwerk über F-Response  verbesserte Funktionen für Datenträgersicherungen, mit intelligenter Kompression  Einlesen und Erzeugen von .e01-Evidence-Files (sog. EnCase-Images), optional mit echter Verschlüsselung (256-Bit AES, d.h. kein hanebüchener „Passwortschutz“)  Möglichkeit zum Erzeugen von Minimalsicherungen und bereinigten Sicherungen  Kopieren relevanter Dateien in spezielle Datei-Container und Beibehaltung praktisch aller Dateisystem-Metadaten, als selektive Sicherungsmöglichkeit oder zum Datenaustausch mit anderen Ermittlern oder anderen Verfahrensbeteiligten  komplette Fall-Verwaltung und -Bearbeitung  automatisches Protokollieren Ihrer Arbeitsschritte (Audit-Logs)  Schreibschutz zur Wahdrung der Datenintegrität  Zugriffsmöglichkeit auf Datenträger im Netzwerk optional möglich  zusätzliche Unterstützung für die Dateisysteme HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, XFS, viele Varianten von UFS1 und UFS2  Möglichkeit, Dateien aus allen Schattenkopien in die Analyse einzubeziehen (dabei aber Duplikate auszulassen), nach solchen Dateien zu filtern, die Eigenschaften des Snapshots auszulesen usw.  Die Grundlage für die Anzeige einer gefundenen Datei ist praktisch immer nur einen Mausklick weit weg. Navigieren Sie bequem zum den Datenstrukturen des Dateisystems, in denen die Datei definiert ist, wie etwas FILE-Record, Index-Record, $LogFile, Schattenkopie, FAT-Verzeichniseintrag, Ext*-Inode, enthaltende Datei falls eingebettet usw.  unterstützte Partitionierungsarten: Apple zusätzlich zu MBR, GPT (GUID), Windows dynamische Platten (MBR- und GPT-Stil), LVM2 (MBR- und GPT-Stil) und unpartitioniert (Floppy/ Superfloppy)  sehr mächtige Hauptspeicheranalyse für lokalen RAM und Memory-Dumps von Windows 2000, XP, Vista, 2003 Server, 2008 Server, Windows 7  bequeme Zurück- und Vorwärts-Navigation von einem Verzeichnis zum nächsten, mehrere Schritte; Wiederherstellung von Sortierkriterien, Filteraktivierung, Auswahl  zeigt Besitzer von Dateien an, NTFS-Zugriffsberechtigungen, Object-IDs/GUIDs, besondere Attribute  Ausgleich des Effekts von NTFS-Kompression und Ext2/Ext3-Block-Allokation bei Datei- Header-Signatur-Suche  Galerie-Ansicht für Bilder  Kalender-Ansicht  Dateivorschau, integrierte Dateibetrachter für mehr als 270 Dateitypen  Möglichkeit zum Ausdrucken von Dateien derselben Typen direkt im Programm, optional mit allen Metadaten auf einem Deckblatt  interner Betrachter für Registry-Dateien aller Windows-Versionen; automatische und konfigurierbare mächtige Registry-Berichterstellung  bequemes Einsehen von Windows-Ereignisprotokollen (Event Logs vom Typ .evt und .evtx), Windows-LNK-Dateien, Windows-Prefetch-Dateien, $LogFile, $UsnJrnl, Restore Point change.log, Windows Task Scheduler (.job), $EFS LUS, INFO2, Restore Point change.log.1, wtmp/utmp/btmp Log-In-Records, MacOS X kcpassword, AOL-PFC, Outlook NK2 auto-complete, Outlook WAB address book, Internet Explorer travellog (a.k.a. RecoveryStore), Internet Explorer index.dat Verlaufs- und Cache-Datenbanken, SQLite-Datenbanken wie Firefox history, Firefox downloads, Firefox form history, Firefox sign-ons, Chrome cookies, Chrome archived history, Chrome history, Chrome log-in data, Chrome web data, Safari cache, Safari feeds, Skype's main.db Datenbank mit Kontakten und Datei-Transfers, ...  sammelt im freien Speicher oder Schlupfspeicher aufzufindende index.dat-Datensätze aus Verlauf und Browser-Cache des Internet Explorer in einer einzigen virtuellen Datei ein  extrahiert Metadaten und interne Erzeugungszeitstempel aus diversen Dateitypen und erlaubt es, danach zu filtern, z. B. für MS Office, OpenOffice, StarOffice, HTML, MDI, PDF, RTF, WRI, AOL PFC, ASF, WMV, WMA, MOV, AVI, WAV, MP4, 3GP, M4V, M4A, JPEG, BMP, THM, TIFF, GIF, PNG, GZ, ZIP, PF, IE cookies, DMP memory dumps, hiberfil.sys, PNF, SHD & SPL Drucker-Spool-Dateien, tracking.log, .mdb MS Access database, manifest.mbdx/.mbdb iPhone backup, ...  merkt sich, welche Dateien bereits eingesehen wurden  erlaubt es, externe Dateien (wie z. B. übersetzte, entschlüsselte oder konvertierte Fassungen) an Originaldateien anzuhängen  Untersuchung von E-Mails in den Formaten Outlook (PST/OST), Exchange EDB, Outlook Express (DBX), AOL PFC, Mozilla (incl. Thunderbird), Generic Mailbox (mbox, Unix), MSG, EML  erzeugt auf Wunsch eine mächtige Ereignisliste basierend auf Zeitstempeln in allen unterstützten Dateisystem, in Betriebssystemen (incl. Event-Logs, Registry, Papierkorb, ...), Datei-Inhalte (z. B. E-Mail-Header, Exit-Zeitstempel, GPSZeitstempel, letzter Druckzeitpunkt; Browser-Datenbanken, Skype-Chats, -Anrufe, Dateitransfers, -Kontoerzeugung, ...).  Zeitstempel können chronologisch sortiert werden, um eine Zeitlinie der Ereignisse zu erhalten. Sie werden graphisch in einem Kalender dargestellt, damit man blitzschnell Zeiträume mit hoher Aktivität oder Inaktivität erkennen und mit 2 Mausklicks einen Filter auf gewünschte Zeiträume einstellen kann.  automatische und intensive Dateityp-Prüfung per Signatur-Datenbank und mit speziellen Algorithmen  relevante Dateien markieren und Berichtstabellen hinzufügen  automatische Erstellung von Berichten, die von jeder Applikation importiert und weiterverarbeitet werden können, die HTML versteht, wie z. B. MS Word  Kommentare zu Dateien hinterlegen, zur Ausgabe im Bericht oder zum Filtern  Verzeichnisbaum links mit Möglichkeit, Verzeichnisse incl. aller Unterverzeichnisse zu erkunden/zu markieren  Synchronisieren der Sektorenansicht mit dem Verzeichnis-Browser  mächtige dynamische Filter nach wahrem Dateityp, Hash-Set-Kategorie, Zeitstempel, Dateigröße, Kommentaren, Berichtstabellen, enthaltenen Suchbegriffen, ...  Möglichkeit, Dateien aus einem Image/Datenträger mit vollständigem Quellpfad herauszukopieren, mit oder ohne Schlupfspeicher (Slack), Schlupf separat oder nur Schlupf  automatische Erkennung verschlüsselter MS-Office- und PDF-Dokumente  automatisches Auffinden von eingebetteten Bildern in Dokumenten (MS Word, PDF, MS PowerPoint, ...)  extrahiert praktisch jede Art von eingebetteter Datei (incl. Bilder) aus fast jeder anderen Art von Datei, z. B. Miniaturansichten aus JPEGs und Thumbcache-Dateien, .lnk- Verknüpfungen aus Jump-Lists, diverse Daten aus Windows.edb, Browser-Caches, PLists, Tabellen aus SQLite-Datenbanken, diverse Elemente aus OLE2 und PDF-Dokumenten, ...  Hautfarbenerkennung (Galerie-Ansicht sortiert nach Hautfarbenanteil beschleunigt z. B. die Suche nach Spuren von Kinderpornographie immens)  Erkennung von Schwarzweiß- und Graustufen-Bildern, die eingescannte Dokumente sein könnten oder digital gespeicherte Faxe  Erkennung von PDF-Dokumenten, auf die man Texterkennungstools (OCR) anwenden sollte  Möglichkeit, Bilder aus Video-Dateien in benutzerdefinierten Zeiteinheiten zu extrahieren, mittels MPlayer oder Forensic Framer, um das Prüfen von Filmen auf unangemessene oder illegale Inhalte drastisch zu beschleunigen  automatisches Auflisten von Archivinhalten, auch in rekursiven Ansichten  logische Suche, in allen oder ausgewählten Dateien/Verzeichnissen, folgt Dateifragmentierung, auch in komprimierten Dateien, decodiert Text in PDF, HTML, EML, ..., optional mit GREP, benutzerdefinierte Option "ganze Wörter"  mächtiges Einsehen von Suchtreffern mit Kontextvorschau, z. B. „alle Treffer für Suchbegriffe A, B, und D in allen .doc- und .ppt-Dateien unterhalb von \Dokumente und Einstellungen mit Zugriffsdatum in 2004“  Suche und Indexierung in Unicode und diversen Codepages  hochflexibler Indexierungsalgorithmus mit Besonderheit Teilwort-Unterstützung (findet z. B. „Konto“ in „Bankkonto“ und „Unterkonto“ sowie „Rechnung“ in „Abrechnung“ usw.)  Suchtreffer mit logischen Operatoren UND, unscharfes UND, NEAR, + und - verknüpfen  Suchtreffer in HTML-Form exportieren, farblich hervorgehoben innerhalb des Kontextes, mit Datei-Metadaten  Erkennung und Entsperrung von Host Protected Areas (HPA, ATA-geschützte Bereiche) und DCOs  rasant schneller Abgleich von Dateien mit der internen Hash-Datenbank  Import von NSRL-RDS-2.x-, HashKeeper- und ILook-Hash-Sets  Erstellung eigener Hash-Sets  Möglichkeit, ganze hiberfil.sys-Dateien und einzelne xpress-Blöcke zu dekomprimieren  X-Tensions API (Programmierschnittstelle) zum Erweiterung der bestehenden Funktionalität mit hervorragender Performanz (z. B. das weitverbreitete C4All-Script ist damit ca. 6 Mal so schnell wie als EnScript), zwingt Sie nicht zum Lernen einer proprietären Programmiersprache  Keine komplizierte Datenbank aufzusetzen und zu verbinden, mit dem Risiko, die eigenen Fälle nicht mehr öffnen zu können wie in Software von der Konkurrenz  Schnittstelle für externe Analyse-Programme wie DoublePics, das z. B. bekannte Bilder wiedererkennt (dateiformatunabhängig und auch wenn verfremdet) und eine Klassifizierung (wie „Kipo“, „relevant“, „irrelevant“) an X-Ways Forensics zurückgibt