|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||
| #85:
WinHex & X-Ways Forensics 12.7 veröffentlicht 2. Dez. 2005 |
Ein beachtenswertes Update ist erschienen,
v12.7. WinHex-Download: http://www.x-ways.net/winhex.zip Weitere Informationen für registrierte Benutzer, insbes. Instruktionen zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html . Dort erhalten Sie Details zum Status Ihrer Lizenz, Upgrade-Angebote usw. Wenn Sie WinHex oder X-Ways Forensics vor weniger als 12 Monaten erworben haben, erfahren Sie von dort auch, bis wann genau Sie von kostenlosen Updates profitieren. ------------------------------------------------------------- Was ist neu in v12.7? * Rekursiv erkundete Verzeichnisse werden nun im Verzeichnis- baum mit besonderen Icons kenntlich gemacht. Ein einfacher Rechtsklick im Verzeichnisbaum ist nun ausreichend, um ein Verzeichnis mitsamt dem Inhalt aller Unterverzeichnisse aus- zugeben statt wie zuvor über einen Rechtsklick und einen Kontextmenübefehl. * Verzeichnisse, deren Inhalt entweder ganz oder teilweise markiert ist, werden nun im Verzeichnisbaum ebenfalls besonders hervorgehoben. Die mittlere Maustaste kann verwendet werden, um Verzeichnisse zu markieren oder ihre Markierung aufzuheben. * Unterstützung der Dateisysteme UFS und UFS2, sowohl in der Big-Endian- als auch der Little-Endian-Variante. * Der Befehl "Datei-Überblick erweitern" schmückt sich nun auch mit dem statistischen Entropie-Test zum Auffinden von möglicherweise vollverschlüsselten Dateien, wie vom nun überholten Befehl "Laufwerksinhaltstabelle erstellen" bekannt. Zusätzlich werden jetzt PDF-Dokumente und MS- Office-Dokumente (MS Word 4...2003, MS Excel 2...2003, MS PowerPoint 97-2003 und MS Project 98-2003) auf datei- formatspezifische Verschlüsselung bzw. dateiformatspezi- fischen Paßwortschutz getestet und besonders kenntlich gemacht. * Die Informationsspalte wird nun jeweils als Teil eines Datenfensters angezeigt, genauer gesagt in den Daten- oder Sektorenbereich von Datenfenstern integriert. Dies hat den Vorteil, daß horizontal mehr Platz auf dem Bildschirm zur Verfügung steht für den Verzeichnis-Browser, die Galerie- ansicht, die Dateivorschau, den Kalender, die Legende und die Statusleiste. * Zusätzlich zu der (leicht) reduzierten Benutzeroberfläche gibt es nun optional eine extrem vereinfachte sog. Sach- bearbeiter-Oberfläche, die gedacht ist für Ermittler in der Strafverfolgung, - die spezialisiert sind z. B. in Bereichen wie Wirtschafts- kriminalität, - die kein profundes Wissen über Computerforensik benötigen, - die die technischen Einblicke, die WinHex und X-Ways Forensics bekanntermaßen nebenbei gewähren, nicht brauchen, - die z. B. bequem zu handhabende Datei-Container von versier- ten Computerforensik-Fachleuten erhalten, mit ausgewählten Dateien verschiedener Quellen (z. B. "alle Dokumente, die die Stichwörter x und y enthalten"), in denen irrelevante Dateien bereits so gut wie möglich herausgefiltert sind, - die Hunderte von elektronischen Dokumenten sichten müssen, relevante Dokumente erkennen, mit Kommentaren versehen, logische Strukturen und Verbindungen identifizieren und mit Hilfen von Kommentaren kenntlich machen, Dokumente drucken, und all das möglichst mit wenigen Mausklicks, in einer einzigen Umgebung, die es ihnen erspart, jedes Dokument einzeln zu extrahieren und in der zugehörigen Applikation einzulesen. Der Sachbearbeiter-Oberfläche fehlen äußerlich viele fortge- schrittene technische Funktionen, um Nicht-EDV-Fachleuten einen leichteren Zugang zum Programm zu gewähren. Forensische Lizenzen, die ausschließlich die Verwendung der Sachbearbeiter- Oberfläche erlauben, sind auf Anfrage zu 50% des regulären Preises erhältlich. Wir würden uns über Ihr Interesse freuen. * Bestimmte Suchoperationen (ohne GREP, mit mehreren Suchbegriffen, ohne Unterscheidung von Groß- und Klein- schreibung) sind nun merklich schneller. * Datei-Container können nun optional die Namen von Daten- trägern/Images als oberste Verzeichnisebene übernehmen, so daß beim Betrachten eines Containers mit Dateien aus unterschiedlichen Quellen offensichtlich ist, welche Dateien aus welchem Asservat stammen. * Es ist jetzt möglich, Dateien mit UNIX-artigen Permissions und Dateien mit DOS/Windows-artigen Attributen im selben Datei-Container unterzubringen. Beides wird in X-Ways Forensics korrekt dargestellt. * Datei-Überblicke, die von v12.7 oder später erzeugt werden, enthalten ein fiktives Verzeichnis "Pfad unbekannt" statt zuvor "Gelöschte Objekte". Grund: Eine Übersicht speziell aller gelöschten Objekte ist bereits in rekursiven Ansichten unter Einsatz des dynamischen Filters verfügbar, so daß nur noch Bedarf besteht für ein Verzeichnis, in dem behelfsweise solche gelöschten oder anderweitig verloren- gegangenen Dateien untergebracht werden, deren Pfad unbe- kannt ist, weil sie entweder verwaist sind oder nur anhand ihrer Header-Signatur entdeckt wurden. * Möglichkeit verbessert, Datenträger auf einem laufenden System voreinzusehen, ohne daß temporäre Dateien irgendwo auf diesem System geschrieben werden. Zu diesem Zweck können Sie den Ordner für temporäre Dateien und für Fälle z. B. auf die CD setzen, von der aus Sie X-Ways Forensics starten (etwa einfach "." als Pfad angeben). X-Ways Forensics wird Ihnen dann erlauben, einen vorläufigen Fall anzulegen und damit zu arbeiten, kann ihn dann nur nicht speichern. Beachten Sie, daß X-Ways Forensics nicht "installiert" zu werden braucht, sondern auch auf fremden Rechnern direkt ausgeführt werden kann. * Der Laufwerkbuchstabe, der den Ordner für Image-Dateien enthält, ist nun offiziell als legitimer Speicherort für Dateien in X-Ways Forensics freigegeben. * Der Schlupfspeicher einer Datei kann nun gezielt einem Datei-Container hinzugefügt werden, wenn Sie die Shift- Taste beim Aufruf des Menübefehls zum Hinzufügen der Datei gedrückt halten. (seit 12.6 SR-1) * Optional können Sie nun "schlanke" Datei-Überblicke ohne Cluster-Zuordnungsfeststellung für alle Dateisystem aktivieren (Sicherheitsoptionen). Dies ist nützlich z. B. wenn Sie in ein fremdes laufendes System Einblick nehmen, die temporären Dateien für den Datei-Überblick auf Ihren eigenen USB-Stick schreiben lassen, dies aber nur mit der Geschwindigkeit von USB 1.1 vonstattengeht. (seit v12.6 SR-4) * Möglichkeit, ein intern zusammengesetztes RAID 0 als Quelldatenträger im Dialogfenster "Datenträger klonen" auszuwählen, so daß sie das gesamte RAID auf ein einzige konventionelle Festplatte überführen können, wenn sie denn groß genug ist. (seit v12.6 SR-7) * Diverse andere kleinere Verbesserungen und Fehlerkorrekturen. |
| #84:
WinHex & X-Ways Forensics 12.65 veröffentlicht 27. Okt. 2005 |
Ein beachtenswertes Update ist erschienen,
v12.65. WinHex-Download: http://www.x-ways.net/winhex.zip Weitere Informationen für registrierte Benutzer, insbes. Instruktionen zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html . WinHex 12.65 ist ein kostenloses Update für alle Inhaber einer auf WinHex 11.8 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 22.10.2004). Unter http://www.x-ways.net/winhex/upgrade-d.html erfahren Sie mehr über den Erwerb eines preisreduzierten Upgrades, falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten. Ein Upgrade berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate wieder kostenlos zu erhalten. ------------------------------------------------------------- Was ist neu in v12.65? * Wir bieten forensische Lizenzen nun optional ohne Updatefähigkeit an (zu einem reduzierten Preis) oder mit 2 Jahren Updatefähigkeit statt 1 Jahr (zu einem Aufpreis). * Möglichkeit, Dateien und Verzeichnisse im Verzeichnis- Browser mit einem Kommentar zu versehen. Danach kann man mit dem Filter bequem solche Objekte ausblenden, die keinen Kommentar haben oder sich auf solche konzentrieren, die einen bestimmten Kommentar haben, also gewisse Stich- wörter enthalten. Der Kommentar wird auch in den Bericht aufgenommen, wenn die Objekte Teil einer Berichtstabelle sind und die Tabelle im flachen Format ausgegeben wird. (nur mit forensischer Lizenz) * Ausgewählte Hash-Sets können nun aus der internen Hash- Datenbank exportiert werden, um sie mit anderen Benutzern gemeinsam benutzen zu können, ohne die gesamten Datenbank austauschen zu müssen. * Die Anzeige von Verzeichnissen kann nun rekursiv unter- drückt werden, so daß alle Dateien und Unterverzeichnisse ebenfalls ausgeblendet werden. Wenn Sie nur den Inhalt bestimmter Verzeichnisse einsehen dürfen/möchten, können Sie alle übrigen Verzeichnisse daher vom Verzeichnis- Browser, aus der Galerie-Ansicht, von logischen Suchvor- gängen, Kopieraktionen usw. ausschließen. * Neues Darstellungsweise der Markierung von Dateien und Verzeichnissen (reine visuelle Kennzeichnung). Möglichkeit, alle markierten Dateien und Verzeichnisse, die im Verzeichnis-Browser aufgelistet sind, auszuwählen. (nur mit forensischer Lizenz) * Auch das Markieren von Verzeichnissen kann rekursiv erfolgen, so daß ihre Dateien und Unterverzeichnisse mit markiert werden. Dann kann z. B. die Anzeige aller nicht markierten Objekte unterdrückt werden. Mit Hilfe des dynamischen Filters kann man Markierungen und Unter- drückungen flexibel anwenden. * Das Kontextmenü des Verzeichnis-Browsers wurde umstruk- turiert. * Die Operationen beim Erweitern des Datei-Überblicks können nun beschränkt werden auf alle markierten Dateien oder auf Dateien, deren Anzeige nicht unterdrückt wurde. * Es ist jetzt möglich, ausgewählte Dateien innerhalb von Archiven einem Datei-Container hinzuzufügen. Voraussetzung: Der Datei-Überblick wurde erweitert und enthält den Inhalt von Archiven. * Neue Script-Befehle: GetClusterAllocEx, GetClusterSize * Diverse kleinere Verbesserungen und Fehlerbehebungen. Z. B. wird nun während der Erzeugung von Hash-Sets der Name der gerade gehashten Dateien in der Titelzeile des Fortschrittsanzeigefensters angezeigt. Die Core-Datei der geladenen internen Hash-Datenbank wird nun gesperrt, während WinHex/X-Ways Forensics läuft, um zu verhindern, daß ein Benutzer das Verzeichnis mit der Hash-Datenbank in dieser Zeit versehentlich verschiebt oder ersetzt. ------------------------------------------------------------- Häufig gestellte Fragen: * Wie installiere ich das Update am besten? Es reicht aus, die neue Version mit dem Setup-Programm in den bestehenden WinHex-Ordner zu installieren. Es ist nicht nötig, die bereits installierte Version voher zu deinstallieren. Allerdings muß WinHex vor der Installation beendet werden. Nach der Installation kann ein Windows- Neustart erforderlich sein. Falls die neue Version für Sie nicht mehr als kostenloses Update zur Verfügung steht oder Sie eine neue Lizenzdatei benötigen, wird eine entsprechende Warnung bei der Installation ausgegeben, _bevor_ die alte Version überschrieben wird. * Berechtigt mich meine Lizenz noch zu kostenlosen Updates? Die Online-Datenbank informiert Sie über den Ablauf Ihrer Updateberechtigung: http://www.x-ways.net/winhex/upgrade-d.html. |
| #83:
WinHex & X-Ways Forensics 12.6 veröffentlicht 25. Sept. 2005 |
Ein beachtenswertes Update ist erschienen,
v12.6. WinHex-Download:
http://www.x-ways.net/winhex.zip |
| #82:
WinHex & X-Ways Forensics 12.55 veröffentlicht 3. Sept. 2005 |
Ein beachtenswertes Update ist erschienen,
v12.55. WinHex-Download: http://www.x-ways.net/winhex.zip Weitere Informationen für registrierte Benutzer, insbes. Instruktionen zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html . WinHex 12.55 ist ein kostenloses Update für alle Inhaber einer auf WinHex 11.7 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 1. Sept. 2004). Unter http://www.x-ways.net/winhex/upgrade-d.html erfahren Sie mehr über den Erwerb eines stark preisreduzierten Upgrades, falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten. ------------------------------------------------------------- Was ist neu in v12.55? * Möglichkeit, gelöschte oder anderweitig verlorene Dateien auf Reiser4-Partitionen zu finden. Möglichkeit, den internen Reiser4-Baum zu rekonstruieren, wenn seine Wurzel verlorengegangen ist, z. B. nach einer Umbildung des Baums, wenn Linux den aktualisierten Puffer des Superblocks nicht zurück auf die Platte schreiben konnte. Alle diese Features sollten Alleinstellungsmerkmale sein, die Sie nirgendwo sonst finden. * Der standardmäßige Datei-Überblick, der nicht auf einer Inhaltstabelle basiert, kann nun ähnlich wie eine Laufwerksinhaltstabelle erweitert werden. Verwenden Sie Specialist | Datei-Überblick erweitern, um verwaiste Dateien und Verzeichnisse auf FAT-Partitionen zu finden, verlorene Bestandteile der MFT auf NTFS-Partitionen und gelöschte Dateien auf ReiserFS- und Reiser4-Partitionen. Gelöschte oder anderweitig verlorene Verzeichnisse, die mit der intensiven Suche bei der Erstellung des Datei-Überblicks gefunden werden, werden auch im Verzeichnisbaum im Falldaten-Fenster eingefügt und bleiben dort auch nach einem Neustart von X-Ways Forensics bestehen, wenn Sie X-Ways Forensics Datei-Überblicke aufbewahren lassen (Voreinstellung). Nach einer intensiven Suche im Rahmen der Erstellung des Datei-Überblicks erscheint auch für ReiserFS- und Reiser4-Partitionen das Hilfsverzeichnis "Gelöschte Objekte". * Verschlüsselung mit 256-Bit AES (Rijndael) auf der Höhe der Zeit. Diese Implementierung von AES arbeitet im Counter-Modus (CTR) und mit gehashten 256-Bit-Schlüsseln, kryptographisch sicherem Zufallseinfluß ("Salt") und einem zufällig bestimmten Initialzählerstand. Verwenden Sie Bearbeiten | Konvertieren, um eine oder mehrere Dateien auf einmal zu ver- oder entschlüssen. * Evidence-Files können nun ebenfalls mit 256-Bit AES verschlüsselt werden. Auch verschlüsselte Evidence-Files erlauben wahlfreien Lesezugriff. Natürlich sind die Datentransferraten von verschlüsselten Evidence-Files etwas niedriger als bei unverschlüsselten. Verschlüsselte Evidence-Files werden nicht von anderen Computerforensik-Software-Produkten unterstützt. * Es ist jetzt möglich, Falldateien mit einem Paßwort zu versehen und dadurch wahlweise nicht autorisiertes Öffnen oder Speichern zu verhindern. Dieser Schutz basiert nicht auf Verschlüsselung, so daß er theoretisch mit genügend Anstrengung und Hintergrundwissen umgangen werden kann. * Das Markieren von Dateien und das Hinzufügen zur Tabelle besonders wichtiger Objekte sind nun zwei separate Operationen. Daher können Sie das Markieren nun wahlweise für andere Zwecke einsetzen, z. B. um Dateien als "bereits untersucht" zu kennzeichnen. Wenn Sie weiterhin Dateien beim Klassifizieren als "wichtig" visuell hervorheben lassen möchten, können Sie das alte Verhalten in den Verzeichnis-Browser-Optionen einstellen. Als Nebeneffekt der Aufspaltung ist es jetzt möglich, Dateien in Archiven der Tabelle besonders wichtiger Objekte hinzuzufügen. * In Fällen, die mit X-Ways Forensics 12.55 und später erstellt werden, gibt es ein zusätzliches Unterverzeichnis pro Asservat, mit dem Präfix "_Metadata". Das Standard-Unterverzeichnis ist dann reserviert für Originaldateien, die aus dem Asservat stammen, und im Meta-Daten-Unterverzeichnis werden Dateien abgelegt, die von X-Ways Forensics selbst erzeugt wurden: Laufwerksinhaltstabellen, Suchtrefferlisten und auch die Dateien, die den gespeicherten Datei-Überblick (Volume Snapshot) beinhalten. Durch diese Trennung wird jede Unklarheit darüber vermieden, welche Dateien Originalbeweismaterial darstellen und welche Dateien unterstützender Natur sind. Außerdem ist es nun einfach, die Dateien zu identifizieren, die die Datenbank mit dem Datei-Überblick eines bestimmten Asservats bilden. * Wenn die separate Viewer-Komponente aktiv ist, können Sie nun Dateien zum Drucken im Verzeichnis-Browser auswählen und den Drucken-Befehl im Kontextmenü verwenden. * Es ist nun möglich, noch während eine logische oder physische Suche läuft und WinHex Suchtreffer auflistet, die Treffer einzusehen und die Dateien, die die Treffer enthalten, über das Kontextmenü der Trefferliste zu öffnen. Nach dem Öffnen können Sie die Dateien auch mit der Viewer-Komponente einsehen (Extras | Einsehen) oder die Dateien exportieren (Datei | Speichern untern). Es ist nun auch möglich, zwischen Suchtrefferliste und Verzeichnis-Browser während einer laufenden Suche hin- un herzuwechseln, indem man die betreffenden Modusschalter anklickt. (seit v12.5 SR-1) * WinHex-Backups im alten WHX-Format wurden in v12.1 bis 12.5 SR-1 bei eingeschalteter Verschlüsselung nicht korrekt verschlüsselt. Diese Backups sind nicht sicher geschützt. Fehler behoben seit v12.5 SR-2. * Mehrere weitere kleine Verbesserungen. |
| #81:
WinHex & X-Ways Forensics 12.5 veröffentlicht 12. August 2005 |
Das größte Update des Jahres ist erschienen,
v12.5. WinHex-Download: http://www.x-ways.net/winhex.zip Instruktionen für registrierte Benutzer, insbes. zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html . WinHex 12.5 ist ein kostenloses Update für alle Inhaber einer auf WinHex 11.6 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 20. Juni 2004). Unter http://www.x-ways.net/winhex/upgrade-d.html erfahren Sie mehr über den Erwerb eines stark preisreduzierten Upgrades, falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten. ------------------------------------------------------------- X-WAYS CAPTURE 1.0 Elektronische Beweismittelsicherung mit Erfolg Computerforensik-Tool für die elektronische Beweismittelsicherung von Windows- und Linux-Systemen im laufenden Betrieb. X-Ways Capture sichert alle Daten logisch und physisch, so daß auch solche Daten für eine forensische Untersuchung zur Verfügung stehen, die einer Verschlüsselung oder anderem Zugriffsschutz unterworfen, aber zum Zeitpunkt der Sicherung gerade per Passwort freigeschaltet waren. So vermeiden Sie, wie nach dem Abschalten des Systems und einer konventionellen Sicherung unnötigerweise mit leeren Händen dazustehen, wenn Sie feststellen, daß relevante Dateien verschlüsselt sind. Etwaige Passwörter lassen sich u. U. zudem später im gesicherten Arbeitsspeicher finden. Unter http://www.x-ways.net/capture/ erhalten Sie weitere Informationen und können des Newsletter zu X-Ways Capture abonnieren, um über Neuerungen informiert zu werden. ------------------------------------------------------------- Was ist neu in WinHex & X-Ways Forensics 12.5? * Das Apple-Macintosh-Dateisystem HFS+ (auch bekannt als HFS Plus und Mac OS Extended) und das brandneue Linux-Dateisystem Reiser4 werden nun nativ unterstützt. (nur forensische Lizenzen) * Das Erkunden großer Verzeichnisse (einschließlich großer "Gelöschte Objekte"-Ordner) ist nun sehr schnell. Auch das rekursive Erkunden ganzer Partitionen (per Rechtsklick auf Stammverzeichnis) wurde immens beschleunigt! * Das Verzeichnis "Gelöschte Objekte" auf NTFS-Partitionen zeigt nun Originalpfade an, soweit bekannt, anstatt nur "?". Es gibt nun ein ebensolches Verzeichnis für FAT-Partitionen. * WinHex kann auf FAT-Partitionen nun häufiger die ehemalige Zuordnung von nun freien Clustern zu gelöschten Dateien rekonstruieren. * Alternative Datenströme (ADS) auf NTFS-Partitionen, Nicht-Verzeichnis-INDX-Ströme und $EFS-Ströme werden nun in der normalen Verzeichnisansicht auch aufgelistet, nicht nur in Inhaltstabellen. * Die Größe von Verzeichnissen wird auf NTFS-Partitionen nun immer angezeigt. * Die Nummern der jeweils ersten Cluster von Dateien und Verzeichnissen kann nun in einer optionalen Spalte des Verzeichnis-Browsers angezeigt werden. Das erlaubt es Ihnen, Dateien anhand ihrer physischen Anfangsposition auf dem Datenträger zu sortieren sowie existierende und gelöschte Dateien zu identifizieren, die denselben Startcluster referenzieren. * Die sechs vorgenannten Verbesserungen basieren zur Gänze (Spalte "1. Cluster": teilweise) auf einer neuen Methode der Dateisystemanalyse, die sofort beim Öffnen einer Partition stattfindet. Diese Analyse ist vollständiger als der frühere sog. Cluster-Scan und ersetzt ihn. * Die IDs von Dateien und Verzeichnissen, wie entweder vom Dateisystem oder von WinHex selbst vergeben, werden jetzt in einer optionalen Spalte im Verzeichnis-Browser angezeigt. * Die alternative Zugriffsmethode Nr. 1 ist nun die Standardmethode für optische Datenträger. Der Vorteil ist, daß immer die volle Sektoranzahl auf CDs und DVD erkannt wird. Das bedeutet auch, daß die Wahl einer der alternativen Zugriffsmethode nun nur noch Auswirkungen auf Festplatten hat. Die Methode Nr. 1 arbeitet nun auch mit einem Time-Out. * In ganz bestimmten Konfigurationen under Windows 2000/XP hat WinHex früher die erkannte Festplatten-Modellbezeichnung und -Größe mit der falschen physischen Festplatte assoziiert. Das sollte nicht mehr auftreten. Außerdem kann WinHex unter Windows 2000/XP nun auch den Bustyp erkennen, mit dem eine Festplatte angeschlossen ist (ATA, SATA/SCSI, USB, ...). * Verbesserte Unterstützung für Dateinamen mit Zeichen aus nicht westeuropäischen Sprachen. (seit v12.35) Verbesserungen am Verzeichnis-Browser u. a.: * Sie können nun mehrere Zeichen eintippen, um im Verzeichnis-Browser zum ersten übereinstimmenden Eintrag zu springen (z. B. t-o-m, um zu "tomate.jpg" zu gelangen). Das ist besonders bei sehr langen Dateilisten nützlich. Die eingetippten Zeichen werden mit den Einträgen in derjenigen Spalte verglichen, die gerade als Hauptsortierkriterium ausgewählt ist. * Das Aktualisierung der Anzeige beim Gedrückthalten von Cursor-Tasten in einem Verzeichnis-Browser mit vielen hunderttausend Einträgen wurde verbessert. * Wird der Mauszeiger über das Icon eines Objekts im Verzeichnis-Browser gehalten, wird nun zusätzlich zum vollständigen Pfad die Nummer dieses Objekts in einem Tooltip angezeigt. Die Zahl kann z. B. verwendet werden, um die Untersuchung von Dateien genau dort fortzusetzen, wo der Verzeichnis-Browser verlassen wurde. Das Kontextmenü des Verzeichnis-Browsers (Untermenü Position) erlaubt es, zu einem beliebigen Objekt anhand seiner Nummer zu springen. Die Numerierung beginnt mit 0. Beachten Sie, daß die Numerierung der Objekte davon abhängt, was genau im Verzeichnis-Browser aufgelistet ist, und je nach gegenwärtigem oder früheren Sortierkriterium anders ausfallen kann. * Der Speicherbedarf des Verzeichnis-Browsers wurdereduziert. -- * Die Galerieansicht wurde vom Verzeichnis-Browser entkoppelt. Das heißt, wenn genügend Platz auf dem Bildschirm ist, werden nun mehr Miniaturbilder pro Seite angezeigt als Objekte im Verzeichnis-Browser zugleich sichtbar sind. * Schutz gegen bestimmte seltene Bilddateien, die X-Ways Forensics zuvor zum Hängen gebracht haben, mit Hilfe eines Time-Out. * Die Funktion ROT13 ist nun unter Bearbeiten | Daten modifizieren verfügbar. * Das Zurückschreiben einer nicht interpretierten Image-Datei auf einen Datenträger ist nun unter Windows 2000/XP deutlich schneller. * Wenn die Segmente eines Roh-Image über zwei verschiedene Laufwerke verteilt sind, ist es nun möglich, den anderen Speicherort mitzuteilen, indem man die Strg-Taste gedrückt hält, wenn das erste Segment interpretiert wird. * Dateien, die einer im Bericht auszugebenden Tabelle hinzugefügt werden, können im Bericht nun selbst als Bild oder Link eingefügt werden, wenn die Tabelle als flache, vertikale Liste ausgegeben wird und die entsprechende Option in den Falleigenschaften zum Zeitpunkt des Hinzufügens eingeschaltet war. * Fehler beim Öffnen von Dateien auf bestimmten ReiserFS-Partitionen behoben. (seit v12.35 SR-3) * Fehler in der Datensatzdarstellung und im Befehl "Seite aufsuchen" behoben. (seit v12.35 SR-3) * Zeitweilige Nichtakzeptanz der Header-Größe 0 beim Zusammensetzen von RAID-0-Systemen korrigiert. * Ein Fehler, der beim Umbenennen von Hash-Sets auftreten konnte, wurde behoben. * Verwendung auf eigene Gefahr: Möglichkeit, große Partitionen mit FAT32 zu formatieren, was Windows XP für 32 GB und größer nicht zuläßt, aber oft wünschenswert ist aus Gründen der Kompatibilität mit anderen Betriebssystemen (z. B. DOS, um Image-Dateien mit X-Ways Replica sichern zu können). Öffnen Sie eine Festplattenpartition, die nicht als Laufwerksbuchstabe geladen ist, und drücken Sie Umschalt+Strg+F. Sie werden dann nach der gewünschten Cluster-Größe gefragt (128 Sektoren pro Cluster maximal; 8, 16 oder 32 empfohlen). * Mehrere weitere kleine Verbesserungen. |
| #80:
WinHex & X-Ways Forensics 12.35 veröffentlicht 11. Juli 2005 |
Ein kleineres Update ist erschienen, v12.35. WinHex-Download: http://www.x-ways.net/winhex.zip Instruktionen für registrierte Benutzer, insbes. zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html . WinHex 12.35 ist noch immer ein kostenloses Update für alle Inhaber einer auf WinHex 11.26 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 2. März 2004). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines stark preisreduzierten Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten. ------------------------------------------------------------- COMPUTERFORENSIK-SCHULUNG IN KÖLN "X-Ways Forensics", 2.+3. August "Dateisysteme FAT, NTFS und Ext2/Ext3", 4.+5. August Weitere Informationen unter http://www.x-ways.net/signup-d.html und http://www.x-ways.net/training-d.html . Teilnehmerzahl begrenzt. ------------------------------------------------------------- Was ist neu? * Unterstützung für Festplattenpartitionierung wie bei Apple-Computern üblich. (seit v12.3 SR-1) * Unterstützung für das Datums- und Zeitformat der Apple-Dateisysteme im Datendolmetscher und in Schablonen. (seit v12.3 SR-1) * Kompatibilitätsprobleme mit bestimmten Evidence-Files behoben.(seit v12.3 SR-2) * Einige Korrekturen in der Unterstützung von CDFS und UDF. (seit v12.3 SR-2) * Fehler beim erneuten Laden bestimmter Inhaltstabellen behoben. (seit v12.3 SR-1) * Die Beschränkungen bzgl. akzeptierter Ausgabeordner in X-Ways Forensics wurden etwas gelockert. (seit v12.3 SR-3) * Fehler beim Aufruf von externen Programmen behoben. * Verbesserungen in der Viewer-Komponente mit Stand vom 5. Juli: - scaling for drawings in PDF documents improved - handling of frames that should appear behind text in RTF files - support for bidirectional display of Hebrew and Arabic text files - character and font mapping - handling of extended characters in PowerPoint - handling of a system's default character set - mapping of some Chinese characters in RTF files - better memory usage in RTF files that contain embedded files, - support for V4 encryption for PDF password security in PDF 1.4 vs. 1.5 - faster text decoding in PDF documents, UUE files, Microsoft Project documents, password-protected PowerPoint and Excel files, Outlook PST, Lotus 1-2-3, WordPerfect 5x, AutoCAD, and more * Einige weitere kleinere Verbesserungen und Fehlerkorrekturen. |
| #79:
WinHex & X-Ways Forensics 12.3 veröffentlicht 23. Juni 2005 |
Ein kleineres Update ist erschienen, v12.3. WinHex-Download: http://www.x-ways.net/winhex.zip Instruktionen für registrierte Benutzer, insbes. zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html . WinHex 12.3 ist noch immer ein kostenloses Update für alle Inhaber einer auf WinHex 11.26 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 2. März 2004). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines stark preisreduzierten Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten. ------------------------------------------------------------- COMPUTERFORENSIK-SCHULUNG IN KÖLN "X-Ways Forensics", 2.+3. August "Dateisysteme FAT, NTFS und Ext2/Ext3", 4.+5. August Weitere Informationen unter http://www.x-ways.net/signup-d.html und http://www.x-ways.net/training-d.html . Teilnehmerzahl begrenzt. ------------------------------------------------------------- Was ist neu? * Es ist jetzt möglich, solche JPEG- und PNG-Bilder in eine Inhaltstabelle aufzunehmen, die eingebettet sind in MS-Word-Dokumenten, PDF-Dateien oder thumbs.db-Miniaturansicht-Puffern. Solche Bilder können anhand ihrer Dateiheader-Signatur gefunden werden. Sie werden unter generischen Namen aufgelistet als "Embedded 1.jpg", "Embedded 2.png" usw. (seit v12.25 SR-1, nur forensische Lizenzen). * Wenn Sie Dateien nur auf ihren Inhalt hin untersuchen und Dateinamen, Zeitangaben, Löschzustand und andere Metadaten irrelevant sind, können Sie nun den Befehl "Duplikate entfernen" im Kontextmenü des Verzeichnis-Browsers verwenden, um inhaltlich identische Dateien aus einer Inhaltstabelle basierend auf Hash-Werten herauszufiltern (sofern Hash-Werte berechnet wurden). * Möglichkeit, X-Ways Trace für Browser-History-Dateien namens "history.dat", wie von Mozilla und Firefox verwendet, aufzurufen, sowie für Opera's Browser-Cache-Übersichtsdatei "dcache4.url". Eine Beta-Version von X-Ways Trace 2.0, die diese Dateitypen nun interpretieren kann, ist verfügbar von http://www.x-ways.net/trace/ . * Beim Kopieren/Retten von Dateien mit dem Verzeichnis-Browser oder über "Dateien retten nach Name" unterscheidet das Fallprotokoll nun, ob existierende Dateien "kopiert" oder gelöschte/verlorene Dateien "gerettet" wurden. * Möglichkeit, Berichtstabellen in den Fallbericht in Form von flachen, vertikalen Listen auszugeben, was vorteilhaft zum Ausdrucken ist, während zur Anzeige im Browser auf dem Bildschirm die standardmäßige 3D-Tabellenausgabe weiterhin nützlich ist. * In "Dateien retten nach Typ" kann das Präfix für die Ausgabedateinamen nun einen Platzhalter "%d" enthalten, der durch den Datenträgernamen ersetzt wird. Dies ist vor allem dann hilfreich, wenn Sie "Dateien retten nach Typ" auf mehrere Datenträger auf einmal anwenden, um Dateien leicht unterscheiden zu können, die von unterschiedlichen Datenträgern stammen, ohne in das Protokoll schauen zu müssen. * Einige kleinere Verbesserungen und Fehlerkorrekturen. |
| #78:
WinHex & X-Ways Forensics 12.25 veröffentlicht 2. Juni 2005 |
Ein kleineres Update ist erschienen, v12.25. WinHex-Download: http://www.x-ways.net/winhex.zip Instruktionen für registrierte Benutzer unter http://www.x-ways.net/winhex/upgrade-d.html . WinHex 12.25 ist ein kostenloses Update für alle Inhaber einer auf WinHex 11.26 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 2. März 2004). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten. ------------------------------------------------------------- Was ist neu? * Es gibt nun eine alternative Zugriffsmethode Nr. 2, die sich auf den Umgang mit physischen Festplatten unter Windows 2000/XP auswirkt. Diese Methode erlaubt es Ihnen, einen Time-Out in Millisekunden anzugeben, nach dem Leseversuche abgebrochen werden. Dies kann auf Platten mit defekten Sektoren nützlich sein, auf denen sonst der versuchte Zugriff auf einen einzigen beschädigten Sektor zu eine Verzögerung von mehreren Sekunden oder Minuten führen kann. (seit v12.2 SR-8) * Es ist jetzt möglich, die Funktion "Dateien retten nach Typ" direkt auf physischen Arbeitsspeicher anzuwenden. (seit v12.2 SR-5) * Die Anzeige von Datensatz-Nummern und relativen Datensatz-Offsets in der Statusleiste, wenn die Datensatz-Darstellung aktiv ist, wurde verbessert. Außerdem gibt es nun einen Dialog "Datensatz aufsuchen", und Strg+Bild auf/ab bewegt den Cursor in Einheiten der Datensatzgröße. (seit v12.2 SR-6) * Eine neue Schablone interpretiert den Header und die Attributsstruktur von FILE-Records in NTFS. Die Schablone kann über das Zugriffsschaltermenü erreicht werden, wenn gerade ein FILE-Record in der Sektorenansicht sichtbar ist. * Die Größe des Fallprotokolls kann nun in den Falleigenschaften und den Asservateigenschaften eingesehen werden. Das Protokoll und alle zugehörigen Bildschirmfotos können von dort aus auch gelöscht werden. (seit v12.2 SR-4) * Bis zu 50 (statt zuvor 32) virtuelle logische Laufwerke (=Partitionen von physischen Platten oder Image-Dateien) können nun zugleich geöffnet sein * Bis zu 50 (statt zuvor 32) virtuelle physische Platten (=entsprechend interpretierte Image-Dateien) können nun zugleich geöffnet sein. * Einige weitere kleinere Verbesserungen und Fehlerkorrekturen. * X-Ways Replica: v2.35 ist ein wichtiges Update, mit dem ein Fehler in der MD5-Berechnung für Datenmengen größer als 256 MB behoben wurde. |
| #77:
WinHex & X-Ways Forensics 12.2 veröffentlicht 2. Mai 2005 |
Ein beachtenswertes Update ist erschienen,
v12.2. WinHex-Download: http://www.x-ways.net/winhex.zip Instruktionen für registrierte Benutzer unter http://www.x-ways.net/winhex/upgrade-d.html. WinHex 12.2 ist noch immer ein kostenloses Update für alle Inhaber einer auf WinHex 11.25 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 17. Jan. 2004). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten. ------------------------------------------------------------- Was ist neu? * Es ist jetzt möglich, Dateien zu neu erzeugten Tabellen hinzuzufügen, die im Bericht unter eindeutigen Namen aufgeführt werden können. Dies ermöglicht es Ihnen, eine große Anzahl relevanter Dateien systematischer zu verwalten als in nur einer einzigen Inhaltstabelle für wichtige Dateien. Zum Beispiel könnten Sie relevante Favoriten-Dateien des Internet Explorers in einer Tabelle sammeln und aussagekräftige Bilder in einer anderen. Benutzen Sie das Kontextmenü der Asservate um eine leere Berichts-Inhaltstabelle zu erzeugen. (nur mit forensischer Lizenz) * Es ist jetzt möglich, Inhaltstabellen bequem mit dem Kontextmenü des Falldatenfensters zu kopieren. Indem Sie auf Kopien arbeiten, können Sie sicherstellen, daß Sie die ursprüngliche Dateiliste nicht verlieren, wenn Sie irrelevante Dateien entfernen, um die Liste der potentiell relevanten Dateien einzugrenzen. * Zusätzlich zu dynamischen Platten der Typen "simple", "spanned" und "striped" unterstützt WinHex jetzt auch logische RAID-5-Partitionen von Windows 2000. (nur mit Specialist- oder forensischer Lizenz) * WinHex kann jetzt RAID-0-Systeme mit bis zu fünf Komponenten (physische Platten oder Image-Dateien) intern zusammensetzen und unterstützt unterschiedliche RAID-Header-Größen pro Komponente. Somit erübrigt sich die Benutzung eines Skripts zum Zusammenfügen und Exportieren von RAID-Systemen in ein neues Image und spart Zeit und Plattenspeicher. Öffnen Sie zuerst die Komponenten und rufen Sie dann den Menübefehl Specialist | "RAID-System zusammensetzen" auf. (nur mit Specialist- oder forensischer Lizenz) Die RAID-Konfiguration und die Partitionen, die im RAID-System angelegt sind, können in Asservaten gespeichert werden, womit es möglich ist, auf diese ohne Zeitverlust später wieder zuzugreifen. (nur mit forensischer Lizenz) * Wenn Sie den Anfangssektor einer Partition auf einer physischen Platte finden (z.B. eine verlorene Partition), kann WinHex eine solche Partition jetzt bequem über den Zugriffsschalter zugreifbar machen, mittels des neuen Menübefehls Extras | Disk-Tools | Als Partitionsanfang interpretieren. * Bislang wurden Dateien mit einer bekannten Erweiterung, aber einer unbekannten (nicht passenden) Dateisignatur lediglich in den Inhaltstabellen-Dateien mit dem Wort "unknown" in der Mismatch-Spalte markiert, was z. B. in MS Excel sichtbar war. Solche Dateien werden jetzt auch im Verzeichnis-Browser entsprechend markiert, wenn eine Inhaltstabelle mit Typunstimmigkeitserkennung angezeigt wird. In diesem Fall steht "(Sign. unbek.)" in der sortierbaren Attr.-Spalte. (seit v12.15 SR-6) * Dateien mit Endungen wie .jpg, .gif, .png usw., die nicht als Bilder dargestellt werden können, weil sie entweder defekt sind oder zu Unrecht mit der Dateiendung versehen worden sind, erscheinen jetzt mit einer ASCII-Darstellung in der Vorschau-Ansicht anstelle des Hinweises "Dieses Bild kann nicht angezeigt werden". * Zusätzlich zur Navigation in Verzeichnissen im Verzeichnis-Browser ist es jetzt möglich, ihre Datenstrukturen in einem separaten Datenfenster zu öffnen, d. h. die Verzeichniseinträge in FAT und die INDX-Records in NTFS. (s. Kontextmenü des Verzeichnis-Browsers, seit v12.15 SR-4) * Eine besondere Datei ".badblocks" wird nun im Stammverzeichnis der Dateisysteme Ext2/Ext3 angezeigt. Diese Datei enthält die defekten Blöcke, die dem Dateisystem bekannt sind. * Verzeichnisleichen in den Dateisystemen Ext2 und Ext3 können nun optional ausgegeben werden. Gemeint sind gelöschte Dateien, von denen nur noch der Name bekannt ist, nicht jedoch ursprüngliche Daten, Größe oder Zeitangaben. * Daß das Standardausgabeziel für gerettete Dateien das Verzeichnis des Asservats ist, ist jetzt optional. (s. Falleigenschaften, seit v12.15 SR-6) * Es gibt eine neue Option, einzustellen in den Fall-Eigenschaften, die es ermöglicht, immer automatisch alle Partitionen zu einem Fall hinzuzufügen, wenn eine physische Platte hinzugefügt wird. * Ein neuer Skript-Befehl "StrToInt" konvertiert in ASCII dargestellte ganze Zahlen in binär codierte Integer-Werte. Ein neuer "Release"-Befehl gibt den Speicher einer Variablen frei und zerstört die Variable. * In Abhängigkeit von den gewählten Parametern haben die Suchfunktionen in v12.15 SR-2 bis SR-9 verfrüht abgebrochen. Dies wurde behoben. * Das Klonen von Datenträgern mit defekten Sektoren, wenn sowohl die simultane E/A als auch die Erzeugung einer Log-Datei aktiviert waren, verursachte einen Absturz. Dies wurde behoben. * Diverse weitere kleinere Verbesserungen sowie Fehlerkorrekturen. Das Benutzerhandbuch wurde auf den neusten Stand gebracht. |
| #76:
WinHex & X-Ways Forensics 12.15 veröffentlicht 19. April 2005 |
Ein beachtenswertes Update ist erschienen, v12.15.
WinHex-Download: http://www.x-ways.net/winhex.zip Instruktionen für registrierte Benutzer unter http://www.x-ways.net/winhex/upgrade-d.html. WinHex 12.15 ist ein kostenloses Update für alle Inhaber einer auf WinHex 11.25 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 17. Jan. 2004). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten. ------------------------------------------------------------- Was ist neu? * Bislang konnte der RAM-Viewer/RAM-Editor den virtuellen Speicher aktiver Prozesse laden. Zusätzlich hierzu ist es jetzt möglich, den physischen Arbeitsspeicher einzusehen bzw. zu editieren (unter Windows 2000 und XP). * Physischer Zugriff auf Floppy-Disketten unter Windows 2000/XP ist jetzt 20% schneller als bisher. Physischer Zugriff auf DVDs unter Windows 2000/XP kann jetzt auch geschützte Sektoren lesen. * Logische Suchoperationen können jetzt auch optional den Text extrahieren und decodieren, der in Dateien der Formate Adobe PDF, Corel WordPerfect (WPD), Corel Draw (CDR) und Microsoft Visio (VSD) enthalten ist, und kann den Klartext automatisch durchsuchen. Mögliche Suchtreffer in solchen Dateien würden sonst übersehen, da diese Dateitypen Text üblicherweise auf eine besonders codierte, verschlüsselte oder anderweitig unlesbare Art speichern. Diese Funktion benötigt die Viewer-Komponente für die Dekodierung und die Textextraktion. (http://www.x-ways.net/forensics/viewer-d.html) * Suchtrefferlisten erlauben jetzt normalerweise, die zugehörige Datei zu öffnen, und dabei, sofern der relative Offset bekannt ist, automatisch zum Suchtreffer in der Datei zu springen. Dies ist insbesondere für Dateien nützlich, die entweder komprimiert sind oder deren Suchtreffer nur im dekodierten Klartext vorkommen, da es dort keine dem Suchtreffer entsprechende Position auf dem physischen Datenträger gibt, die angezeigt werden könnte. Sowohl der physische als auch der relative (= logische) Offset werden für Suchtreffer, sofern bekannt, in separaten Spalten angezeigt, falls verfügbar. * Im Fall vieler tausend Suchtreffer oder Lesezeichen mit aktivierter Hervorhebung wurde die Darstellung bisher eher träge. Dieses Problem ist jetzt behoben. * Logische Suchen in Verzeichnissen schließen jetzt auch die Verzeichnisdaten selbst mit ein, d. h. Verzeichniseinträge in FAT und INDX-Records in NTFS werden ebenfalls durchsucht. * Dateisystembereiche wie etwa die Dateizuordnungstabelle (FAT), die Inodes in Ext2/Ext3 oder der interne Reiser-Baum können jetzt bequem logisch durchsucht werden über einen neuen Dummy-Eintrag namens "Dateisystembereiche" im Verzeichnisbrowser, analog zu "Freier Speicher". * Wenn Verzeichnisse mit Hash-Set-Dateien importiert werden, ist es jetzt möglich, diese in ein einziges Hash-Set der internen Datenbank zu importieren, sie also unter einem einzigen Namen zu vereinigen. * Das Importieren von Verzeichnissen mit vielen Hash-Sets in die interne Datenbank ist jetzt erheblich schneller. Dasselbe gilt für das Löschen von Hash-Sets aus einer sehr großen Datenbank. * Zugriff auf die Daten in Roh-Image-Dateien (seit v12.1 SR-4) und Evidence-Dateien ist jetzt grundsätzlich ein bißchen schneller. * Wenn das Laden sehr großer Dateien mit der separaten Viewer-Komponente zu lange dauert, können Sie den Prozess jetzt bequem abbrechen. * Ein Rechts-Klick auf eine Datei im Verzeichnisbrowser (zum Aufruf des Kontextmenüs) löst keine Aktualisierung der Vorschau mehr aus, was möglicherweise die Anzeige des Menüs verzögert hätte. * Es gibt jetzt eine Legende, die die Icons, Farben und Attribute erläutert, die im Verzeichnis-Browser angezeigt werden. (nur mit forensischer Lizenz, seit v12.1 SR-2) * Es gibt jetzt eine optionale Spalte für die Kategorie des Dateityps im Verzeichnis-Browser. (nur mit forensischer Lizenz, seit v12.1 SR-3) * ATA-Paßwortschutz auf Festplatten kann jetzt unter Windows 2000 und XP bei der Erstellung eines Datenträger-Detailberichts entdeckt werden (seit v12.1 SR-4). Falls festgestellt, wird der Schutzlevel berichtet und ob das Master-Paßwort noch der Werkseinstellung entspricht. * Frühere Versionen von X-Ways Forensics and WinHex erlaubten dem Nutzer die Angabe von Segmentgröße für Evidence-Files von bis zu 2047 MB. Unter speziellen Umständen konnte offenbar der Fall auftreten, daß ein Set von Evidence-Files beschädigt erstellt wurde, wenn dieses Limit ganz oder beinahe ausgenutzt wurde. Ein Auftreten dieses Fehlers kann leicht festgestellt werden, da es zu einer sofortigen Fehlermeldung "Unvollständiges Image" führt, wenn diese Sicherung geöffnet wird. Derart defekte Sicherungen müssen neu erzeugt werden. Das neue Limit liegt bei 2025 MB, und eine derartige Beschädigung würde jetzt schon zum Zeitpunkt der Erstellung erkannt. * In früheren Versionen konnte die Initialisierung von Schlupfspeicher auf NTFS-Partitionen unter Umständen zur Beschädigung EFS-verschlüsselter Dateien führen. Dieser Fehler ist behoben worden. * Diverse weitere kleinere Verbesserungen. ------------------------------------------------------------- Häufig gestellte Fragen: * Wie installiere ich das Update am besten? Es reicht aus, die neue Version mit dem Setup-Programm in den bestehenden WinHex-Ordner zu installieren. Es ist nicht nötig, die bereits installierte Version vorher zu deinstallieren. Allerdings muß WinHex vor der Installation beendet werden. Nach der Installation kann ein Windows-Neustart erforderlich sein. Falls die neue Version für Sie nicht mehr als kostenloses Update zur Verfügung steht oder Sie eine neue Lizenzdatei benötigen, wird eine entsprechende Warnung bei der Installation ausgegeben, _bevor_ die alte Version überschrieben wird. * Für welche Version hatte ich ursprünglich eine Lizenz erworben? Das zeigt Ihnen WinHex immer im Dialog Hilfe | Info an. |
| #75:
WinHex & X-Ways Forensics 12.1 veröffentlicht 02. April 2005 |
Ein größeres Update ist erschienen, v12.1.
WinHex-Download: http://www.x-ways.net/winhex.zip Weitere Instruktionen für registrierte Benutzer unter http://www.x-ways.net/winhex/upgrade-d.html. WinHex 12.1 ist noch immer ein kostenloses Update für alle Inhaber einer auf WinHex 11.15 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 8. Nov. 2003). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten. ------------------------------------------------------------- Was ist neu? * Wir bieten eine Zusatzkomponente an, die es ermöglicht, über 200 (!) Dateiformate (wie z. B. MS Word/Excel/PowerPoint/Access/ Works/Outlook, HTML, PDF, CorelDraw, StarOffice, OpenOffice, ...) direkt in WinHex und X-Ways Forensics einzusehen. Weitere Infos unter http://www.x-ways.net/forensics/viewer-d.html. Die Viewer-Komponente kann auch dazu verwendet werden, Dateien in Datenträgersicherungen oder auf logischen Laufwerken in einem separaten Fenster oder bequem im Vorschaumodus einzusehen. Dieses Add-On ist jetzt in jeder neu erworbenen forensischen Lizenz enthalten und wird nachträglich allen Inhabern einer auf v12.05 ausgestellten forensischen Lizenz kostenlos zur Verfügung gestellt. Alle anderen registrierten Nutzer können ein Upgrade auf eine forensische Lizenz für v12.1 erwerben, wenn sie an diesem Add-On interessiert sind. (http://www.x-ways.net/winhex/upgrade-d.html) * Eine neue interne Hash-Datenbank (nur mit forensischer Lizenz) ermöglicht sehr schnelle Dateiabgleiche. Sie können existierende Hash-Sets in den Formaten NSRL RDS 2.x, HashKeeper oder ILook importieren oder auch Ihre eigenen erzeugen wie bisher. Wenn Sie eine Inhaltstabelle erzeugen, können Sie jetzt die zu verwendenden Hash-Sets in der Datenbank individuell auswählen. Bekannte harmlose Dateien können nach wie vor automatisch herausgefiltert werden. Zusätzlich können die den Dateien entsprechenden Hash-Sets und die Hash-Kategorien nun auch in optionalen Spalten des Verzeichnis-Browsers eingesehen und nach diesen Spalten sortiert werden. Dies ermöglicht es Ihnen, irrelevante Dateien manuell herauszufiltern oder bekanntermaßen verdächtige Dateien schneller zu finden. Auch der Hash-Wert selbst ist jetzt in einer optionalen Spalte sichtbar. * Dynamische Festplatten von Windows 2000/XP (mit Volumes der Typen simple, spanned oder striped) werden jetzt unterstützt. (nur mit Specialist- oder forensischer Lizenz) * Die von WinHex erzeugten Evidence-Files sind jetzt mit anderen Computerforensik-Programmen kompatibel. * Bei der Erzeugung komprimierter Evidence-Files ist die Standardkompression jetzt ein schneller, zeitsparender Algorithmus. * Der Dialog zur Erzeugung einer Datenträger-Sicherung bietet jetzt die Option, defekte Quellsektoren zu tolerieren, ohne den Kopiervorgang zu unterbrechen, und ein ASCII-Ersatzmuster für solche Sektoren anzugeben. * Die Größe von Verzeichnissen wird jetzt auch für FAT- und NTFS-Dateisysteme angezeigt (NTFS: nur in Inhaltstabellen). * Das Löschdatum gelöschter Dateien ist jetzt in einer optionalen Spalte zu sehen (nur für die Dateisysteme Ext2 und Ext3). * Die Maximalzahl von Inhaltstabellen, die mit einem Asservat verknüpft sein können, wurde von 16 auf 32 erhöht. (seit 12.05 SR-4) * Es ist jetzt möglich, bis zu 32 extern gespeicherte Suchtrefferlisten (.pos-Dateien) mit einem Asservat zu verknüpfen. Die einzige Suchtrefferliste eines Asservats, die intern gespeichert wird (die in bisherigen Versionen das Standardziel für zu archivierende Suchtreffer war) wird jetzt als die Hauptliste für die als besonders wichtig eingestuften Suchtreffer betrachtet, die aus den externen Trefferlisten explizit dorthin verschoben werden. Nur die Suchtreffer in dieser Hauptliste werden im Fallbericht aufgeführt. (seit 12.05 SR-4) * Es gibt jetzt einen Befehl im Kontextmenü eines Asservats, der es ermöglicht, das betreffende Asservat durch eine andere Image-Datei zu ersetzen, so daß Sie, beispielsweise nachdem Sie eine physisch angeschlossene Festplatte betrachtet und ein Sicherung davon angelegt haben, mit demselben Asservat weiterarbeiten können, wenn die Festplatte nicht mehr zur Verfügung steht. (seit 12.05 SR-8) * Die alternative Plattenzugriffsmethode ist bei bestimmten Systemkonfigurationen nun schneller. (seit 12.05 SR-9) * Neue Skript-Befehle: StrCat, GetUserInput, GetUserInputI (seit 12.05 SR-11) und Terminate. * Fehlerbehebung: Dateisignaturen hinter den ersten 127 in der Datei File Type Signatures.txt definierten wurden bislang bei Dateiname/ Dateityp-Unstimmigkeitsprüfungen ignoriert. Die unterstützte Höchstzahl an Dateisignaturen in der Datei ist nach wie vor 255. * Fehlerbehebung: Die Erkennung gelöschter Partitionen führte bisher in bestimmten Situationen zu einem Abbruch mit einer Fehlermeldung. * Diverse weitere kleinere Verbesserungen. |
| #74:
WinHex & X-Ways Forensics 12.05 veröffentlicht 23. Februar 2005 |
Ein größeres Update ist erschienen, v12.05. WinHex-Download: http://www.x-ways.net/winhex.zip Registrierte Benutzer erhalten weitere Informationen unter http://www.x-ways.net/winhex/upgrade-d.html . WinHex 12.05 ist ein kostenloses Update für alle Inhaber einer auf WinHex 11.15 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 8. Nov. 2003). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten. ------------------------------------------------------------- Was ist neu? * Das Laden großer Inhaltstabellen (mit Hunderttausenden von Objekten) in den Verzeichnis-Browser ist nun erheblich schneller. * Es gibt jetzt neue optionale Spalten im Verzeichnisbrowser, die den Pfad und den Zeitpunkt der letzten Änderung am Datei-Record bzw. an der Inode enthalten. Versteckte Spalten (mit einer Breite von 0) können über das Dialogfenster sichtbar gemacht werden, das sich öffnet, wenn man die Spaltenüberschriften mit der rechten Maustaste anklickt. * Der Verzeichnisbrowser hat jetzt seinen eigenen Optionendialog. Die Gruppierung von Dateien und Verzeichnissen ist nun optional. Die $EFS-Ströme NTFS-verschlüsselter Dateien können jetzt in Inhaltstabellen aufgelistet werden. * Der Inhalt des allgemeinen Positionsmanagers und die zu Asservaten gehörenden Anmerkungen und Suchtreffer werden nicht mehr in einem eigenen Dialogfenster angezeigt, sondern im selben Fenster wie die eigentlichen Daten. Einzelnes Anklicken der Einträge in der Liste der Anmerkungen oder Suchtreffer springt bequem an die entsprechende Stelle in der Sektorenansicht. * Suchtreffer auf logischen Laufwerken/Partitionen oder Images derselben werden jetzt mit Dateiname und Pfad in separaten Spalten angezeigt und sind entsprechend sortierbar. Mit forensischer Lizenz ist es außerdem optional möglich, eine Vorschau des Kontexts der Suchtreffer direkt innerhalb des Positionsmanagers zu erhalten. * Einzelnes Anklicken von Objekten im Verzeichnisbrowser oder im Fallbaum genügt nun, um die Anzeige zu aktualisieren. * "Dateien retten nach Typ" kann jetzt optional Dateien auch mit individuellen, vom Dateityp abhängigen Standarddateigrößen wiederherstellen. Somit könnte man jetzt z. B. gleichzeitig große MPEG- und kleine JPEG-Dateien retten lassen. * Es gibt jetzt eine virtuelle Datei "Freier Speicher" im Verzeichnisbrowser (Stammverzeichnis), das es Ihnen ermöglicht, die nicht belegten Cluster bequem zu öffnen, einzusehen und zu durchsuchen. (nur mit Specialist- oder forensischer Lizenz) * Sie können jetzt Inhaltstabellen mit der logischen Suche erstellen lassen. Jede Datei mit zumindest einem Suchtreffer für zumindest einen der angegebenen Suchbegriffe wird zu dieser Inhaltstabelle hinzugefügt. Dies ist eine ausgezeichnete Möglichkeit, große Inhaltstabellen auf Dateien mit relevantem Inhalt zu reduzieren. (seit v12.0 SR-4) * Es ist jetzt optional möglich, Dateien über den Verzeichnis-Browser inklusive ihrem Schlupfspeicher zu öffnen und zu durchsuchen. (s. Verzeichnis-Browser-Optionen). (seit v12.0 SR-11) * WinHex kann jetzt Archive in Archiven (d. h. bis zur zweiten Ebene) im Verzeichnis-Browser erkunden, bei der Erzeugung von Inhaltstabellen und bei der logischen Suche. (nur mit forensischer Lizenz, seit v12.0 SR-3) * Die Erzeugung von Inhaltstabellen auf NTFS-Laufwerken mit einer Minimalauswahl selektierter Optionen ist jetzt erheblich schneller. (seit v12.0 SR-?) * Es gibt jetzt eine Option, die Benutzeroberfläche zu vereinfachen (indem die Menü-Strukturen reduziert werden), wenn die forensische Oberfläche (Falldaten-Fenster) aktiv ist. Siehe Optionen-Menü. * Die Suche nach früher existierenden Festplattenpartitionen (Disk-Tools-Menü: Verlorene Partitionen suchen) kann jetzt optional auf eine ganze Festplatte bzw. ein Image angewandt werden, nicht nur auf den gegenwärtig unpartitionierten Bereich. * Es gibt jetzt einen "Sync"-Schalter, der automatisch für den jeweils aktuell angezeigten Cluster diejenige Datei im Verzeichnis-Browser auswählt, zu der der Cluster gehört. Der Verzeichnisbaum wechselt ebenfalls zum Verzeichnis, in dem diese Datei liegt. Nur mit forensischer Lizenz verfügbar. (seit v12.0 SR-11, verbessert in v12.05) * Ein Fehler in der Implementation von SHA-1 und SHA-256 wurde behoben, der mit Dateien größer 512 MB auftrat. (seit v12.0 SR-9) * Ein Fehler in der ReiserFS-Unterstützung wurde behoben. * WinHex kann jetzt NTFS-Reparse-Punkte (insbes. "Junction Points") auflisten, wenn Verzeichnisse mit dem Verzeichnis-Browser erkundet oder Laufwerksinhaltstabellen erstellt werden. (seit v12.0 SR-4) * Die Gesamtgröße aller ausgewählten Dateien im Verzeichnis-Browser wird jetzt zusammen mit der Anzahl der selektierten Dateien angezeigt. * Viele weitere kleinere Verbesserungen. |
| #73:
WinHex & X-Ways Forensics 12.0 veröffentlicht 4. Januar 2005 |
Ein größeres Update ist erschienen, v12.0.
WinHex-Download:
http://www.x-ways.net/winhex.zip
Häufig gestellte Fragen: |