|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||
| |||||||||||||||||||||
| #106: WinHex, X-Ways
Forensics und X-Ways Investigator 14.6 veröffentlicht 6. Dez. 2007 |
In dieser Ausgabe dieses Newsletters informieren wir Sie
über ein größeres Update, die Version 14.6. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics" 3.-5. März 2008 (Warteliste) "Dateisysteme" 6.+7. März 2008 (neu, Plätze frei) "X-Ways Forensics" 21.-23. Mai 2008 (neu, Plätze frei) Details unter http://www.x-ways.net/training/index-d.html. ------------------------------------------------------------- Was ist neu? * Möglichkeit, auf Datenträger, RAIDs und interpretierte Image-Dateien mit mehr als 4,3 Milliarden (2^32) Sektoren vollständig zuzugreifen. Erlaubt es, auf Datenträgern mit einer Sektorgröße von 512 Bytes Daten von jenseits der 2-TB-Grenze zu lesen. * Unterstützung für NTFS-Dateisysteme, die aus mehr als 2^32 Sektoren bestehen (bis 2^32 Cluster). Andere Dateisysteme auf solch großen Partitionen werden bis jetzt nicht speziell unterstützt. * Suchbegriffe können nun in der Suchbegriffsliste variabler logisch kombiniert werden. Insbesondere ist das Verwenden eines NOT-Operators nun bequemer. Um einen Suchbegriff zu erzwingen, wählen Sie ihn aus und drücken die "+"-Taste. Um einen Suchbegriff auzuschließen drücken Sie die "-"- Taste. Um ein + oder - wieder zu entfernen, drücken die Esc-Taste. Sie können für all dies auch das Kontextmenü der Suchbegriffsliste verwenden. A B = Suchtreffer für A und Suchtreffer für B in beliebigen Dateien (normale ODER-Kombination) +A B = Suchtreffer für A und Suchtreffer für B in Dateien, die A enthalten +A +B = Suchtreffer für A und Suchtreffer für B in Dateien, die sowohl A als auch B enthalten (UND) +A -B = Suchtreffer für A in Dateien, die nicht B enthalten * Eine logische Suche kann nun optional auf alle ausgewählten Objekte angewandt werden, wie in X-Ways-Forensics-Versionen bis 13.7, über das Kontextmenü des Verzeichnis-Browsers. Derzeit nicht im Asservat-Überblick verfügbar. * Möglichkeit, externe Dateien in den Datei-Überblick einzubinden und von X-Ways Forensics wie die ursprünglichen Dateien im Datei-Überblick weiterverarbeiten zu lassen. Nützlich, wenn Originaldateien z. B. übersetzt, konvertiert oder entschlüsselt werden müssen und das Ergebnis wieder in den ursprünglichen Datei-Überblick aufgenommen werden soll, im Originalpfad, zur weiteren Untersuchung, zur Aufnahme in den Bericht, zum Filtern, für Suchläufe usw. Sobald sie eingebunden sind, werden solche externen Dateien vollständig von X-Ways Forensics verwaltet und dazu im Metadaten-Verzeichnis aufbewahrt und im Datei-Überblick als virtuelle Dateien gekennzeichnet. Eine externe Datei sollte vom Benutzer geeignet benannt werden, am besten basierend auf dem Namen der Ursprungsdatei. * Beim Befüllen eines Datei-Containers gibt es nun zwei neue Optionen: Die erste erlaubt es Ihnen, Dateien nur teilweise in einen Container zu kopieren. Das ist möglich, wenn die Datei im Datei-Modus geöffnet und ein Block ausgewählt ist. Nützlich z. B., wenn Sie einen relevanten Suchtreffer in der Mitte einer 2 GB großen Auslagerungsdatei oder inmitten einer 100 GB großen virtuellen Datei "Freier Speicher" gefunden haben und Sie die Umgebung des Treffer an jemanden über einen Container weitergeben und dabei viele Gigabytes an irrelevanten Daten aussparen möchten. * Die andere Option erlaubt es Ihnen, nur die Dateisystem-Metadaten ausgewählter Dateien in einen Container zu kopieren und die eigentlichen Dateiinhalte komplett auszulassen, z. B. weil Sie die Inhalte nicht kopieren dürfen und die Dateisystem-Metadaten und der Verzeichnisbaum allein schon hilfreich sein könnten. Wenn Sie einen so erzeugten Container untersuchen, sehen Sie die gesamte ursprüngliche Verzeichnisstruktur, alle Dateinamen, Zeitstempel, Dateigrößen, Attribute, Löschzustand usw.,und können die diversen Filter verwenden. * Möglichkeit, die Effekte von NTFS-Kompression bei der Suche nach Datei-Header-Signaturen speziell zu berücksichtigen (nur mit forensischer Lizenz). Erlaubt es, von NTFS komprimierte Dateien bestimmter Typen automatisch sogar dann zu finden, wenn deren FILE-Records gar nicht mehr verfügbar sind. Diese Dateien werden dann auch automatisch dekomprimiert für Suchläufe, zum Hashen, für den Vorschau-Modus, den Wiederherstellen/Kopieren-Befehl usw. usf. * Extrahiert Metadaten von JPEG, PNG, TIF, GIF, THM, ASF, WMV, WMA, MOV, GZ und thumbs.db im Details-Modus zusätzlich zu vielen anderen bereits vorher unterstützten Dateitypen. Zusätzliche Metadaten werden nun aus PPT-Dateien extrahiert. Weitere allgemeine Verbesserungen für OLE2-Verbunddateien (z. B. MS-Office-Dateien vor Version 2007). * Wenn Sie eine Datei-Header-Signatur-Suche laufen lassen, benennen WinHex und X-Ways Forensics JPEG-Bilder von Digitalkameras nun nach der Modellbezeichnung und dem internen Zeitstempel. (Specialist-Lizenz oder höher) * Das interne Erzeugungsdatum, das in diversen Dateitypen gespeichert ist, kann nun in einer separaten neuen Spalte des Verzeichnis-Browsers angezeigt werden, sobald es mit dem neuen Kontextmenübefehl "Interne Metadaten extrahieren" ermittelt worden ist oder im Details-Modus angezeigt wurde. Dank dieser neuen Spalte und dem Zeitstempel-Filter fällt es nun sehr leicht, sich auf Dateien/Dokumente zu konzentrieren, die ursprünglich zu einer bestimmten Zeit erstellt wurden (nicht bloß in einem bestimmten Dateisystem erzeugt/kopiert wurden). Intern gespeicherte Zeitstempel sind üblicherweile weniger flüchtig als Zeitstempel aus der Dateisystemebene und weniger leicht nachträglich zu manipulieren. Die unterstützten Dateitypen sind: OLE2-Verbunddateien (z. B. MS Office vor Version 2007), PDF, MDI, ASF, WMV, WMA, MOV, diverse JPEG-Varianten, THM, TIFF, PNG, GZ, SHD Drucker-Spool, PF-Prefetch, LNK-Shortcut-Dateien und alternative Datenströme vom Typ DocumentSummary. * Aus den meisten PDF-Dokumenten können nun auch einige Metadaten extrahiert werden. Für Zip-Archive werden im Details-Modus Informationen angezeigt. * Die Option, Metadata in das Kommentarfeld zu übernehmen oder daran anzuhängen wurde in den oben erwähnten neuen Kontextmenübefehl "Interne Metadaten extrahieren" verschoben. * Möglichkeit, MS-Office-Dokumente (Word, Excel und Power-Point) mit Microsoft DRM (Digital Rights Management) oder Oracle IRM zu erkennen. Solche Dateien werden in der Attributspalte mit e! gekennzeichnet, genau wie dateiformatspezifisch verschlüsselte Dateien. Benötigt die neueste Version 8.2 der Viewer-Komponente. * Die Hash-Set-Spalte hat nun einen Filter, der es erlaubt, sich bequemer auf Dateien zu konzentrieren, deren Hash-Werte in ausgewählten Hash-Sets enthalten oder nicht enthalten sind. * Wenn Sie den Wiederherstellen/Kopieren-Befehl verwenden, werden überlange Pfade nun gekürzt und für Windows akzeptabel gemacht, wenn das Kürzen der letzten Pfadkomponente dies erreichen kann. Jede Datei mit einem Pfad, der nach diesem Versuch noch länger als 259 Zeichen ist, wird wie zuvor nicht kopiert und statt dessen mit einer Berichtstabelle verknüpft (so daß man sie anschließend bequem filtern und separat ohne Pfad herauskopieren kann), weil es ohnehin nicht möglich wäre, mit einer solchen Datei in Windows weiter zu operieren. * Unterstützung für mehrere Sommerzeit-Varianten in derselben Zeitzone in unterschiedlichen Jahren. Vordefiniert für USA, Kanada, (West-) Australien und Neuseeland angesichts jüngster Änderungen in der Sommerzeit. Zusätzliche Hinweise und Berichtigungen nehmen wir gerne entgegen. * Im Registry-Viewer und im Registry-Bericht angezeigte UTC-basierte Zeitstempel beachten nun die Option "Abstand von UTC-Zeit anzeigen", so daß es offensichtlich ist, ob und wie sie in Ortszeit umgerechnet wurden. Es werden dieselben Zeitzonen-Einstellungen verwendet wie auch sonst überall im aktiven Fall. * Beim Analysieren kleiner Datenmengen (<50000 Bytes) mit Extras | Datenanalyse wird die Kompressionsrate, die zlib für diese Daten erzielt, in der Titelzeile des Analysefenster angezeigt. * Attachments in Original-.eml-E-Mail-Dateien (nicht durch X-Ways Forensics selbst erzeugte) können nun extrahiert werden, wenn Sie *.eml der Reihe von Dateimasken für die E-Mail-Extraktion hinzufügen. * Der Sektorenmodus wird jetzt mit Disk, Partition, Volume oder Container bezeichnet, je nach Art des Datenträgers/ Images, der vom Datenfenster repräsentiert wird. * Möglichkeit, Dateien anhand von Datei-Header-Signaturenzu finden und sie mit Dateigrößen über 2 GB wiederherzustellen oder auch bloß aufzulisten. * Sowohl die Datei-Header-Signatursuche als auch "Dateien retten nach Typ" unterscheiden nun zwischen Standardgrößen, die benutzt werden, wenn der interne Algorithmus einen bestimmten Dateityp nicht unterstützt, und einer Maximaldateigröße, die Versuche des internen Algorithmus beschränkt, das Ende von Dateien der besonders unterstützten Typen zu finden. * Möglichkeit, unvollständige Roh-Image und .e01 Evidence-Files zu erzeugen, indem man als letzten zu kopierenden Sektor einen Sektor angibt, der nicht der letzte auf der Platte ist. * Unterstützung für .e01 Evidence-Files, die aus mehr als 512 Segmenten bestehen. * Deutlich verringerter Arbeitsspeicherbedarf für .e01 Evidence-Files, die aus besonders vielen Segmenten bestehen. * Fälle merken sich nun für jedes Asservat einen optionalen alternativen Pfad, in dem weitere Image-Datei-Segmente gespeichert sind. Das heißt, Sie brauchen den zusätzlichen Pfad nicht jedesmal erneut anzugeben, wenn Sie das Asservat öffnen. Nützlich wenn Ihre Images zu groß sind, um auf einen einzigen Laufwerksbuchstaben zu passen. * Möglichkeit, inaktive Verzeichniseinträge auf FAT-Laufwerken sicher zu löschen, um Spuren vorher existierender Dateien oder frühere Namen/Orte von Dateien aus dem Dateisystem zu entfernen: Extras | Disk-Tools | Verzeichniseinträge initialisieren. (noch im Test-Betrieb) Nützlich besonders zusammen mit dem Befehl zum Initialisieren des freien Speichers. Verfügbar nur in WinHex, nicht in X-Ways Forensics. * Das Auslesen der NTFS-Systemdatei $LogFile für den Vorschau-Modus sowie für das normale Einsehen geschieht nun deutlich schneller. * Die automatische Einfärbung von FILE-Records in der MFT funktioniert nun optional auch auf beschädigten Partitionen, die nicht mehr als NTFS-Volumes erkannt werden, sowie auf physischen Datenträgern. * Es ist jetzt möglich, Dateien bequemer zu kategorisieren (d. h. mit Berichtstabellen zu verknüpfen), indem man dafür Tastenkürzel verwendet. Probieren Sie Strg+1, Strg+2, ...,Strg+9 aus, um Berichtstabellenverknüpfungen für ausgewählte Dateien anzulegen. Alternativ kann auf den meisten Computern auch der Ziffernblock benutzt werden, wenn NumLock aktiv ist. Sie können Ihren am häufigsten verwendeten Berichtstabellen diese Tastaturkürzel selbst zuordnen, indem Sie die genannten Tasten in dem Dialogfenster für Berichtstabellenverknüpfungen bei ausgewählten Berichtstabellen drücken. Die zugeordneten Tasten werden im Fall gespeichert. * Das in von X-Ways Forensics 14.5 und später erzeugten Datei-Containern verfügbare interne Erzeugungs- und Änderungsdatum kann nun nach dem Hinzufügen zum Fall in den Asservateigenschaften eingesehen werden. Man kann dort auch nachsehen, ob ein Container als sicher klassifiziert ist (also mit der indirekten Methode befüllt worden ist) oder nicht. * Enthält ein Container eine interne Beschreibung und wird einem Fall hinzugefügt, wird die Beschreibung nun nicht mehr nur in den Asservateigenschaften, sondern auch in einem separaten Meldungsfenster angezeigt. Das ist nützlich, weil dieses Feld dem Ersteller des Containers erlaubt, dem Empfänger Hinweise, Anweisungen oder sonstige Nachrichten zukommen zu lassen. * Sekundenangaben in Zeitstempeln können nun optional mit bis zu 3 Stellen nach dem Komma im Verzeichnis-Browser angezeigt werden, sofern diese Genauigkeit verfügbar ist (z. B. in den Dateisystemen NTFS und Reiser4, teilweise in FAT, teilweise in internen Erzeugungsdaten). * Dateigrößen können nun optional immer in Bytes im Verzeichnis-Browser angezeigt werden statt in KB, MB oder TB. * Es ist jetzt möglich, ausgewählte Verzeichnis rekursiv auch in einer bereits rekursiv erkundeten Liste zu markieren. * Eintragsnummern im Verzeichnis-Browser werden nun von 1 an gezählt statt von 0. * Eine zusätzliche Spalte zeigt die interne ID des Elternverzeichnisses einer Datei oder eines Verzeichnisses an. Nützlich wenn man z. B. eine Liste von Dateien und Verzeichnissen exportiert, um Elternverzeichnisse eindeutig zu identifizieren, wenn es mehrere Verzeichnisse gleichen Namens im gleichen Pfad gibt (z. B. eins gelöscht, eins existent). * Fehler beim Erzeugen der Fallberichtsdatei behoben, der auftrat, wenn keine existierende Datei überschrieben wurde. (seit v14.5 SR-1) * Dateien in Archiven wurden in Containern nur mit einem Icon in der Galerie angezeigt, unabhängig von der entsprechenden Einstellung in den Allgemeinen Optionen. Dies wurde korrigiert. (seit v14.5 SR-1) * Die Ausgabe von wirren Zeichen im Kommentarfeld im Fallbericht wurde korrigiert. (seit v14.5 SR-2) * Erkennung von zirkulären Verweisen im Verzeichnisbaum von Dateisystemen verbessert. (seit v14.5 SR-3) * Viele kleinere Verbesserungen, einige kleinere Fehlerkorrekturen. ------------------------------------------------------------- Ein Update der Viewer-Komponent (v8.2) ist nun verfügbar für Besitzer von Lizenzen für X-Ways Forensics mit aktueller Update-Berechtigung. Beachten Sie bitte die unten genannten noch bestehenden Bedenken gegenüber dieser Version. Das Update ist verbunden mit den folgenden Änderungen laut Oracle: * Concerning MS Office 2007, Word, Excel and PowerPoint, there is now viewing support for more Office Art, including line styles, fills, and shapes. Text Extraction of Smart Art objects. * Concerning Star Office / Open Office Calc 2.x / 8.0 and 6.0: Extends support for viewing and transformation of Calc 2.x /8.0 and 6.0 beyond text only. This filter now supports character attributes (bold, underlined, color) and paragraph attributes (alignment, tabs, spacing, borders, hidden, revisions). It does not yet support embedded graphics. * Concerning Star Office / Open Office Writer 2.x / 8.0 Embedded graphics: Supports viewing and conversion of embedded graphics in Writer 2.x / 8.0 except for draw objects in Star Office. * Supports the viewing Yahoo! Instant Messenger 8.x files. * Fully verified support to view the 2007 versions of Outlook and Exchange related formats: MSG, PST. Des weiteren gab es folgende Änderungen, auf die wir aufmerksam machen möchten: * Die Anzeige von Bildern ist nun deutlich schneller. * Wenn man eine Datei druckt und der Pfad in der Kopfzeile (Platzhalter "%P") Umlaute oder wahrscheinlich andere Codepage-abhängige Zeichen aus anderen Sprachen enthielt, wurden diese nicht richtig dargestellt. Dies wurde behoben. * Bestimmte defekte HTML-Dateien verursachten bisher Probleme. Die Viewer-Komponent konnte den oberen Teil darstellen, fror X-Ways Forensics dann aber ein. Entsprechende Probleme konnten auch beim Decodieren von defekten HTML-Dateien für die logische Suche und fürs Indexieren auftreten. Dies wurde behoben. * Die Viewer-Komponente konnte beim Betrachten von defekten oder abgeschnittenen OpenOffice-Dokumenten einfrieren. Dies wurde korrigiert. * In bestimmten .msg-E-Mail-Dateien war der Nachrichtenrumpf in der Viewer-Komponente nicht lesbar. Es gab einen anklickbaren Link, der ein neues Fenster öffnete, in dem der Nachrichtentext in Schwarz auf sehr dunklem blauen Hintergrund dargestellt wurde, schwerlich erkennbar. Dieselben Dateien konnten in MS Outlook normal eingesehen werden. Dies wurde behoben. * Es war nicht möglich, mit dem Suchbefehl in der Viewer-Komponente deutsche Umlaute oder andere Zeichen außerhalb von 7-Bit-ASCII zu finden. Dies betraf reine Textdateien, für deren Anzeige die Windows-Codepage ANSI 1252 ausgewählt wurde, sowie bestimmte Dateitypen wie MS-Word-Dokument. Dies wurde korrigiert. * Bestimmte .eml-E-Mail-Dateien basierend auf bestimmten Codepages (wie Japanisch ISO-2022-JP) konnten bisher nicht richtig eingesehen werden. Dies wurde behoben. * Eine weitere wichtige Änderung, wenn Sie X-Ways Forensics und die Viewer-Komponente zur direkten Untersuchung eines laufenden Systens verwenden möchten, ist, daß die Viewer-Komponente ihre Konfiguration und Einstellungen nun im Windows-Profil (\Application Data\.oit) des angemeldeten Benutzers statt wie zuvor in der Windows-System-Registrierung ablegt. Um das Schreiben von Dateien auf den Datenträgern eines Live-Systems, das Sie untersuchen möchten, zu verhindern, aktivieren Sie die Viewer-Komponente in X-Ways Forensics nicht und stellen Sie sicher, daß sie nicht im Unterverzeichnis \viewer von X-Ways Forensics vorhanden ist (z. B. auf dem externen USB-Datenträger, von dem Sie vorhaben, X-Ways Forensics zu starten), wo die Viewer-Komponent von X-Ways Forensics automatisch gefunden und aktiviert werden könnte. * Diese Version benötigt msvcr80.dll aus dem Microsoft Visual C++ 2005 SP1 Redistributable Package. Dieses Package kann heruntergeladen werden von http://www.microsoft.com/downloads/details.aspx?FamilyID=200b2fd9-ae1a-4a14-984d-389c36f85647&DisplayLang=en (2,6 MB). Auf vielen Windows-Computern ist es bereit installiert unter C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_*. Auf anderen Windows-Computern müssen Sie es installieren, bevor Sie die Version 8.2 der Viewer-Komponente erfolgreich laden können. * Ansonsten extrahieren Sie einfach die Dateien, die zur Viewer-Komponente gehören, in ein Verzeichnis Ihrer Wahl und verweisen X-Ways Forensics auf dieses Verzeichnis unter Optionen | Viewer-Programme. WICHTIG: Einige wenige Dateien verschiedener Typen, die in den Vorgängerversionen der Viewer-Komponente normal eingesehen werden konnten, können nun in v8.2 nicht mehr eingesehen werden und provozieren einen Ausnahmefehler vom Typ 207 in X-Ways Forensics. Dies wird noch untersucht, und wir werden Neuigkeiten dazu im Bereich Announcements im Forum bekanntgeben, wenn sich etwas ergibt. Wegen dieses Problems wird das Update einstweilen nur empfohlen, um von der gestärkten Stabilität beim Decodieren von Text aus defekten HTML- und OpenOffice-Dateien für logische Suchen und das Indexieren zu profitieren. Ohne das Problem wäre es äußerst empfehlenswert, das Update der Viewer-Komponente zu installieren, wegen der diversen Korrekturen und Verbesserungen. |
| #105: WinHex, X-Ways
Forensics und X-Ways Investigator 14.5 veröffentlicht 2. Nov. 2007 |
In dieser Ausgabe dieses Newsletters informieren wir Sie
über ein beachtenswertes Update, die Version 14.5. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics", 20.-22. November 2007 (Warteliste) "X-Ways Forensics", 4.-6. Dezember 2007 (Warteliste) "X-Ways Forensics", 4.-6. März 2008 (neu, Plätze frei) Details unter http://www.x-ways.net/training/index-d.html! ------------------------------------------------------------- Das Angebot der X-Ways AG mit ihrer Software X-Ways Forensics hat den Zuschlag erhalten bei einer EU-weiten Ausschreibung des ZKA über Software zur elektronischen Beweismittelsicherung und -Auswertung. Der Umfang der Beschaffung beläuft sich auf 500-1000 Lizenzen zur großzügigen bundesweiten Ausstattung nebst 4-jähriger Pflegeleistung. Durch die Entscheidung für X-Ways Forensics ist die Behörde technisch auf der Höhe der Zeit und spart dabei noch einen siebenstelligen Euro-Betrag. Daß sich ein langjähriger Kunde nun komplett mit unserer Software ausstattet, freut uns sehr und beweist das langfristige Vertrauen in unsere Lösungen. ------------------------------------------------------------- Was ist neu? * Das Lesen von Multi-Session-CDs und -DVDs geht nun merklich schneller vonstatten, weil WinHex und X-Ways Forensics unbeschriebene Sektoren nun überspringen. Der Unterschied wird z. B. beim Sichern, Hashen und Suchen auf solchen Datenträgern deutlich. * Im technischen Detailbericht werden jetzt weitere Informationen über optische Datenträger ausgegeben. * Es ist jetzt möglich, RAID-Systeme zusammenzusetzen, die aus bis 16 statt zuvor 10 Komponenten bestehen. * Ein weiteres RAID-5-Muster wird nun unterstützt: Forward Dynamic Parity, auch bekannt als Right Synchronous, einer der vier in Software-RAIDs unter Linux verwandten Algorithmen. Die anderen drei Linux-Algorithmen werden bereits von X-Ways Forensics unterstützt. * Möglichkeit, eine vom Standard abweichende Parity-Start-Komponente anzugeben. Z. B. verwenden RAID-Kontroller vom Typ Intel SRCU42L eine andere Platte als Nr. 1 als Anfang für das Parity in ihrem Forward-Parity-Muster. * Wenn physische Superfloppy-Datenträger (unpartitioniert, aus einem einzigen Volume bestehend) als .e01-Evidence-Files gesichert werden, werden diese Dateien nun als Images von logischen Volumes statt physischen Datenträgern gekennzeichnet. Dies vermeidet die unnötige Einbindung als zwei Asservate, wenn ein solches Evidence-File einem Fall hinzugefügt wird. * Im Fallbericht können Zellen von Berichtstabellen nun optional Ränder und einen inneren Abstand vom Rand (Padding) haben. Die in Berichtstabellen und im Protokoll verwendete Schriftgröße ist nun benutzerkonfigurierbar. Sie können Platz/Papier sparen, indem Sie Schriftgröße verringern (z. B. 10 Punkte statt Standard 12 Punkte). * Wenn Sie Berichtstabellen in den Bericht aufnehmen, werden die Kommentarfelder nun nicht mehr abgeschnitten. * .eml-Dateien in Berichtstabellen werden nun intern vom Fallbericht aus mit einer .txt-Endung verlinkt, so daß man sie direkt im Internet Explorer einsehen kann. (seit v14.4 SR-2) * Es ist jetzt möglich, physische Asservate aus einem Fall zu entfernen, ohne etwaige untergeordnete Asservate (Partitionen) zuvor zu entfernen. * Ein "Speichern-unter"-Befehl ist jetzt auch für Fälle verfügbar. Das erlaubt das Speichern des aktuellen Falls unter einem anderen internen Namen und/oder in einem anderen Verzeichnis. Dabei wird das gesamte Fallunterverzeichnis auch mit kopiert. Dieser Befehl kann auch dann aufgerufen werden, wenn ein Fall vom Benutzer als schreibgeschützt geöffnet wurde, sofern dies freiwillig geschah und nicht wegen eines Paßwortschutzes. * Beim Arbeiten mit einem schreibgeschützt geöffneten Fall wird der Benutzer nun an den Schreibschutz erinnert, wann immer das Autosave-Intervall abläuft oder ein Asservat geschlossen wird, in dessen Datei-Überblick Änderungen vorgenommen wurden. Dies ist nützlich, wenn man sich unbeabsichtigt im Schreibschutz-Modus befindet, nachdem man etwa einen nicht sauber geschlossenen Fall schreibgeschützt geöffnet hat, ohne die Konsequenzen zu verstehen. * Ein Container kann nun optional den Namen seines Erstellers speichern. Die interne Bezeichnung eines Containers kann nun 63 statt zuvor 31 Zeichen lang sein. Ein Container merkt sich nun intern sein Erstellungsdatum und das Datum seiner letzten Änderung. * Benutzerdefinierte Metadaten in OLE2-Dateien, wie sie z. B. beim Export von Dokumenten aus OpenOffice im MS-Office-Format erzeugt werden, können nun im Detail-Modus eingesehen werden. Es werden neuerdings außerdem weitere OLE2-Metadaten und insbes. weitere Metadaten aus MS-Word-Dokumenten extrahiert. * Die in Kommentare übernehmbaren Metadaten werden nun maßgeschneideter ausgewählt. Auch Metadaten aus .mdi-Dateien (MS Office Document Imaging) und .wri (Windows Write) können nun extrahiert werden. Metadaten weiterer Dateiformate werden in v14.6 unterstützt werden. * Möglichkeit, den Verzeichnis-Browser und die Datei-Vorschau zu nutzen, während das Erweitern des Datei-Überblicks noch andauert, um vorläufige Ergebnisse einzusehen (z. B. zu überprüfen, ob die für die Datei-Header-Signatursuche getroffenen Einstellung des gewünschten Effekt haben). * Das Auflisten der zu einer besonders großen Datei gehörigen Cluster kann nun immens beschleunigt werden, indem man die Cluster in der Mitte einer Reihe von zusammenhängenden Cluster nicht mit auflisten läßt. Jede Auslassung wird durch eine besondere Zeile in eckigen Klammern mit der Anzahl der ausgelassenen Cluster angezeigt. Daß die Nummer des letzten Clusters in einem Fragment aufgelistet wird, macht es weiterhin einfach, zum Ende des Fragments zu navigieren. Diese neue Option kann im Kontextmenü einer Cluster-Liste gefunden werden und tritt beim nächsten Aufruf einer Cluster-Liste in Kraft. * Die untere Wortlängengrenze beim Indexieren wurde von 3 auf 2 reduziert, um das Suchen nach 2 chinesischen Zeichen zu ermöglichen (z. B. Namen). * Es wurde ein Fehler behoben, der eine vollständige Index-Optimierung verhinderte, wenn dieser Vorgang zuvor abgebrochen worden war. * Beim Erzeugen eines Containers fährt X-Ways Forensics nun auch bei der "direkten" Füllmethode im Fall eines Lesefehlers mit der nächsten Datei fort und berichtet lediglich, welche Dateien nicht kopiert werden konnten. (seit v14.4 SR-1) * Beim Extrahieren von Thumbails aus thumbs.db-Dateien ist X-Ways Forensics nun robuster (seit v14.4 SR-2). * Eine Instabilität im Zusammenhang mit besonders langen Pfad wurde aus der Welt geschafft. (seit v14.4 SR-2) * Die Zeitstempel für Zugriff und letzte Änderung waren beim Einsehen von Windows Link-Dateien (.lnk) vertauscht. Dies wurde behoben (seit v14.4 SR-2). * Ein Datei-Caching-Problem unter Windows Vista beim Arbeiten mit großen Image-Dateien wird jetzt vermieden. (seit v14.4 SR-2) * Wenn nur Hautfarbenanteile berechnet wurden und sonst seit dem Öffnen des Asservats nichts im Datei-Überblick geändert wurde, hat X-Ways Forensics die Hautfarbenanteile beim Schließen des Asservats nicht gespeichert. Dies wurde behoben. (seit v14.4 SR-2) * Ein Längenfehler bei der Suchtreffervorschau für DBCS-Codepages wurde behoben. (seit v14.4 SR-3) * Nach Auskunft von Oracle, wird die Version 8.2 der Viewer-Komponente in den nächsten Tagen veröffentlich. Wenn verfügbar, werden Sie eine Nachricht im Bereich "Announcements" des Forum sehen (http://www.x-ways.net/cgi-bin/discus/show.cgi?tpc=1&post=11065) und einen Hinweis in Form eines Datums in den Download-Instruktionen von http://www.x-ways.net/winhex/license-d.html. * Diverse kleinere Verbesserungen. |
| #104: WinHex, X-Ways
Forensics und X-Ways Investigator 14.4 veröffentlicht 20. Sept. 2007 |
In dieser Ausgabe dieses Newsletters informieren wir Sie
über ein beachtenswertes Update, die Version 14.4. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics", 20.-22. November 2007 (Warteliste) "X-Ways Forensics", 4.-6. Dezember 2007 (Plätze frei) Details unter http://www.x-ways.net/training/index-d.html! ------------------------------------------------------------- Was ist neu? * Es ist nun möglich, E-Mails und eingebettete Dateien aus AOL-PFC-Dateien zu extrahieren (nur mit forensischer Lizenz). Beachten Sie, daß solche Dateien, wenn sie keine Dateinamenserweiterung haben, nur über die Signaturprüfung als PFC-Dateien erkannt werden. * In MHT-Web-Archive eingebettete Dateien können nun extrahiert werden, wenn Sie ";*.mht" an die Reihe von Dateinamensmasken für die E-Mail-Extraktion anhängen. (nur mit forensischer Lizenz) * Im Details-Modus werden nun NTFS-Zugriffsberechtigungen angezeigt. * Die Interna des NTFS-Dateisystem-Journals $LogFile können nun mit dem Einsehen-Befehl und im Vorschaumodus betrachtet werden. * Ebenso können nun Windows-Prefetch-Dateien bequem eingesehen werden. * Für NTFS-Partitionen werden im technischen Detailbericht nun die Volume-GUID, die NTFS-Versionsnummer und die Volume-Flags angezeigt. * Die für Windows-Verknüpfungsdateien (.lnk) angezeigten MAC-Adressen sind nun definitiv MAC-Adressen. Das Datum und die Uhrzeit der Erzeugung der Object-ID des Ziels werden jetzt auch angezeigt. Volume-ID, Ursprungs-Volume-ID und Object-ID werden nun in spezieller GUID-Notation angezeigt. * Es wurde eine Möglichkeit eingeführt, um Metadaten von Dateien in die Kommentarfelder der ausgewählten Dateien zu kopieren oder anzuhängen, wenn man Kommentare editiert. Das erlaubt es später, nach diesen Metadaten mit dem Kommentarfilter zu filtern, die Metadaten mit dem Befehl "Liste exportieren" zu exportieren sowie sie mit einer Berichtstabellen in den Fallbericht auszugeben. (nur mit forensischer Lizenz) Metadaten können aus Windows-Verknüpfungsdateien (.lnk), OLE2-Verbunddateien (z. B. MS Office vor 2007), alternativen Datenströmen und .shd-Drucker-Spool-Dateien extrahiert werden. Weitere Dateitypen werden künftig noch hinzukommen. * Die Puffergröße für Kommentare im Fallbericht wurde erhöht. Zeilenumbrüche in Kommentaren werden nun für den Fallbericht in HTML-Zeilenumbrüche konvertiert. * Mehr Platz für die vom Anwender zu Dateien hinterlegten Kommentare beim Drucken mit Deckblatt. * Es ist jetzt möglich, die Dateien im Datei-Überblick eines Asservats an einen externen Virenscanner zu schicken. (nur mit forensischer Lizenz) Infizierte Dateien werden einer Berichtstabelle namens "Virenverdacht" hinzugefügt. Den Befehl dazu finden Sie im Specialist-Menü, Details dazu in der Programmhilfe. * Es ist jetzt möglich, Berichtstabellenverknüpfungen beim Erstellen eines Containers mit zu exportieren, so daß der Empfänger Klassifikationen wie "Wichtig", "Rechnung", "Familie", "Kipo vermutet", "Bombenbau" usw. direkt sieht, wenn er den Container seinem Fall hinzufügt. * Dateien, die mit Hilfe der Hash-Datenbank als irrelevant erkannt wurden, können nun optional von weiteren Erweiterungen des Datei-Überblicks ausgeschlossen werden, um Zeit zu sparen und die Aufnahme weiterer (z. B. eingebetteter) irrelevanter Dateien in den Datei-Überblick zu verhindern. Dies hat sofortige Wirkung, wenn der Abgleich mit der Hash-Datenbank zeitgleich mit anderen Optionen wie Hautfarben-Berechnung, Suche nach eingebetteten Bildern usw. durchgeführt wird. * In einer Suchtrefferliste ist es nun möglich, Dateien, die ausgewählte Suchtreffer enthalten, automatisch in Unterverzeichnisse herauszukopieren, die nach dem jeweiligen Suchbegriff benannt sind. Dazu stellen Sie den Schalter "Incl. vollständigen Pfad kopieren" auf seinen neuen dritten Auswahlzustand. * Es gibt einen neuen Befehl im Untermenü "Position" des Kontextmenü in der Suchtrefferliste einer Partition, mit dem Sie die Suchtrefferliste bequem verlassen und direkt zu der rechts angeklickten Datei in ihrem Verzeichnis navigieren können, um dort nach weiteren, ähnlich relevanten Dateien zu fahnden. * Suchtreffer, die auf der Codepage 1251 (Kyrillisch) basieren, werden nun in der Suchtrefferliste korrekt dargestellt. (seit v14.3 SR-5) * Das manuelle Vermischen verschiedener .xfi-Index-Dateien im selben Index-Unterverzeichnis (undokumentiertes Feature) funktioniert nun verläßlich. Damit können Sie z. B. mehrere Indexe verwenden, die auf demselben Zeichensatz basieren, wie etwa einen Index von Wörtern (a-zA-Zäöüß) und einen von Zahlen (0-9), und beide gleichzeitig durchsuchen. (seit v14.3 SR-4) * Leere Indexe ohne Wörter werden nicht mehr als .xfi-Dateien gespeichert. Dadurch gibt es keine nervenden Fehlermeldungen bezüglich leerer Indexe bei der Index-Suche mehr. Der Index eines Asservats kann z. B. dann leer sein, wenn man nur markierte Dateien hat indexieren lassen und die markierten Dateien überhaupt keinen Text enthalten, eine Größe von 0 Bytes haben usw. * Es ist jetzt möglich, optional Teilworte bei einer Index-Suchen zu suchen, die vom Asservatüberblick aus gestartet wurde. Die Option zum Einbeziehen von Teilworten in Indexe funktionierte in der ursprünglichen 14.3-Version nicht für Unicode. Dies wurde mit v14.3 SR-1 behoben. * In Indexen, die mit Teilwortoption von 14.3 SR-1 und später erzeugt wurden, kann X-Ways Forensics nun optional dennoch nur nach ganzen Wörtern suchen (genauer gesagt nach Wortanfängen). Dies verhindert, daß Sie z. B. "Platte" in "Tischplatte" finden. Nützlich, wenn Sie zu viele Treffer in zusammengesetzten Wörtern finden und sich mehr für den Suchbegriff als ganzes Wort interessieren. * Es wurde ein Fehler behoben, der bei einer Index-Suche vom Asservatüberblick aus auftreten konnte. Ein weiterer Fehler, der unter bestimmten Umständen beim Beginn des Indexierens auftreten konnte, wurde ebenfalls aus der Welt geschafft. * Möglichkeit, ausgewählte Dateien als Hex-Werte in GREP-Notation zu kopieren, z. B. um nach ihnen mit der Parallelen Suche zu suchen. * Unter Windows Vista wird die abgekoppelte untere Hälfte eines Datenfensters beim Wiedereingliedern in das Hauptfenster nicht mehr unsichtbar. * Beim Extrahieren eingebetteter JPEG-Dateien aus anderen Dateien ist X-Ways Forensics nun strenger, wenn es entscheiden muß, was tatsächlich ein JPEG-Bild ist und was nur ähnlich anfängt. * Die Ausgabe von Verzeichnissen in einer rekursiven Ansicht ist nun eine 3-stufige Option. Im mittleren Zu- stand werden echte Verzeichnisse nicht ausgegeben, aber Archive, die wie Verzeichnisse behandelt werden, schon. * Der bei der internen Datei-Header-Signatursuche eingesetzte Algorithmus erkannt nun auch die ursprüngliche Größe von Outlook-PST-Dateien, AOL PFC, Prefetch, EMF und SPL-Dateien automatisch. * Möglichkeit, weitere Sessions auf einer Multisession-CD, die von Roxio-Software gebrannt wurde, mit der intensiven Dateisystem-Datenstruktursuche zu finden, wenn CDFS nicht mit UDF koexistiert. * X-Ways Forensics versteht nun bestimmte dynamische Platten, die von Windows Vista auf eine Weise erzeugt wurden, die mit früheren Windows-Versionen nicht kompatibel ist. * Volle Unterstützung von NTFS-Partitionen mit exotischen FILE-Record-Größen (seit v14.3 SR-5). * Sollte die Viewer-Komponente beim Decodieren des Textes einer Datei für die logische Suche oder für das Indexieren einfrieren, fährt X-Ways Forensics nun nach Ablauf eines Time-Outs mit der nächsten Datei fort, und fügt die problematische Datei einer Berichtstabelle namens "Text nicht decodierbar" hinzu. * Eine japanische Übersetzung der Benutzeroberfläche von X-Ways Forensics ist nun von der japanischen Firma "Data Recovery Center" erhältlich. * Die Maximalzahl von Berichtstabellen in einem Fall wurde von 64 auf 100 erhöht. * Frühere Versionen von X-Ways Forensics überließen es dem Benutzer, darüber zu entscheiden, ob im partitionierten Bereich von physischen, partitionierten Asservaten bei der Erweiterung des Datei-Überblicks nach Datei-Header-Signaturen gesucht werden sollte. Diese Option wurde entfernt, und die Suche wird nun im partitionierten Bereich nur innerhalb der Partitionen selbst vorgenommen, um unnötige Doppeltauffindungen zu vermeiden. * Weitere Einschränkungen der reduzierten Benutzeroberfläche von X-Ways Investigator können nun für bestimmte Benutzer auch dann individuell festgelegt werden, wenn sich mehrere Benutzer eine Installation teilen, indem man Kopien der Datei "investigator.ini" anlegt und sie "investigator *.ini" nennt, wobei * der Name des betreffenden Benutzers ist, für den diese jeweiligen Einstellungen gelten sollen. * X-Ways Investigator erlaubt es nicht mehr, einen Fall zu öffnen, dessen Fallverzeichis nicht mehr existiert (z. B. weil nur die Falldatei umbenannt wurde und nicht analog das zugehörige Fallverzeichnis). WinHex und X-Ways Forensics erlauben dies weiterhin nach Rückfrage, für Notfälle. * Diverse kleinere Verbesserungen und Fehlerkorrekturen. * X-Ways Forensics ist nun beim Einlesen von abgeschnittenen FAT-Partitionen in unvollständigen Image-Dateien weniger empfindlich. (seit v14.3 SR-1) * Neue Verzeichnis-Icons. Ein gesondertes Icon für gelöschte Partitionen im Fallbaum und im Asservat-Überblicksfenster. (seit v14.3 SR-3) * Möglichkeit, das Protokoll eines Falls aus X-Ways Forensics heraus zu löschen. (seit v14.3 SR-3) * Das Java-Datums- und Zeit-Format richtet sich nun nach der Big-Endian-Option des Daten-Dolmetschers. Dieses Format kann in Little-Endian im BlackBerry-Speicherabzügen gefunden werden. Früher war es im Daten-Dolmetscher einfach immer auf Big-Endian-Philosophie bezogen, wie in Java üblich. (seit v14.3 SR-4) * Ein Fehler wurde behoben, der das Öffnen bestimmter extrem stark fragmentierte alternative Datenströme in NTFS verhinderte. (seit v14.3 SR-4) * Ein Aktualisierungsproblem bei der Anzeige des Asservat-Übersichtsfensters wurde behoben. (seit v14.3 SR-4) * Die Definitionen in File Type Signatures.txt und File Type Categories.txt wurden leicht geändert, so daß ausführbare Dateien aus der Unix/Linux-Welt nun den Typ "elf" statt "elfexe" haben, und Event-Log-Dateien von Windows Vista nun den Typ "evtx" statt "elf". (seit v14.3 SR-4) * Es wurde ein Fehler behoben, der unter ganz besonderen Umständen die Anzeige von existierenden Partitionen als gelöschte Partitionen zur Folge hatte (seit v14.3 SR-6). |
| #103: WinHex, X-Ways
Forensics und X-Ways Investigator 14.3 veröffentlicht 30. Juli 2007 |
In dieser Ausgabe dieses Newsletters informieren wir Sie über ein
beachtenswertes Update, die Version 14.3. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics", 10.-12. September 2007 (Warteliste) "Dateisysteme FAT, NTFS, Ext2/Ext3/Ext4", 13.+14. September 2007 (2 Plätze frei) "X-Ways Forensics", 20.-22. November 2007 (4 Plätze frei) Details unter http://www.x-ways.net/training/index-d.html . ------------------------------------------------------------- Was ist neu? * Die Indexierungsfunktionalität wurde deutlich erweitert. Es ist jetzt möglich, Text sowohl in Codepages mit 1 Byte pro Zeichen als auch in Unicode zu indexieren! Auch ist es möglich, bis zu drei solcher Indexe pro Asservat vorzuhalten (z. B. kyrillische Zeichen einmal indexiert in Unicode und in zwei kyrillischen Codepages). Mehrere Indexe, wenn gewählt, werden in dieser Version nacheinander erzeugt, aber Benutzerinteraktion ist nur einmal am Anfang erforderlich. Die Index-Suche sucht in allen erstellten Indexes eines Asservats auf einmal. Da nun Unicode bei der Indexierung unterstützt wird, werden die zu indexierenden Zeichen als Unicode-Zeichen eingegeben, und X-Ways Forensics ermöglicht es Ihnen, Alphabete von mehr als 22 Sprachen bequem auszuwählen. Derzeit sind die meisten europäischen und viele asiatische Sprachen vordefiniert. Bitte beachten Sie, daß es in der Verantwortung des Benutzers liegt, eine geeignete Codepage auszuwählen, und Teilwortindexierung einzuschalten, wenn die Wörter in der zu indexierenden Sprache nicht durch Leerzeichen voneinander getrennt sind (z. B. in Thai). * Es ist nun optional möglich, einen Index zu erstellen, der Groß- und Kleinschreibung unterscheidet. Dies ist z. B.dann nützlich, wenn Sie den Index mit der Absicht erzeugen, eine Wortliste für einen individuell angepaßten Wörterbuch-Angriff zu verwenden. * Sie können eine Zeichenersetzungsliste in Unicode definieren, die bestimmte zu indexierende Buchstaben als andere Buchstaben indexiert (z. B. das "é" mit Accent einfach wie ein normales "e"). Dies erlaubt es Ihnen, bestimmte Varianten in der Schreibweise mit einer einzigen Index-Suche zu finden, z. B. den Namen "René"/"Rene" mit einer der beiden Schreibweisen. * Die Optimierung verschmilzt .xfi-Dateien nun nicht mehr über die 2-GB-Grenze hinaus. Das ermöglicht es, diese Dateien in konventionellen Zip-Archiven zu archivieren (wenn Sie z. B. einen Fall von X-Ways Forensics aus archivieren und Index-Dateien dafür mit auswählen). Generell ist der Schritt der Optimierung nun deutlich schneller als in früheren Versionen. * Der Details-Modus wurde deutlich erweitert, und zwar für OLE2-Dateien (etwa MS-Office-Dokumente vor Version 2007) und .shd Drucker-Spool-Dateien, deren Metadaten er nun anzeigt. Für MS-Office-Dokumente sehen Sie oft weitere Zeitstempel (z. B. wann zuletzt gedruckt), Betreff, Verfasser, Organisation, Schlüsselwörter, akkummulierte Bearbeitungszeit, u. v. a. m. * Sie können ab sofort eine detaillierte Aufstellung des Inhalts von Windows-Verknüpfungsdateien (.lnk) sehen, wenn Sie sie im Vorschaumodus betrachten oder in einem separaten Fenster einsehen. Diese Aufstellung kann Folgendes enthalten: Pfad, Name, Größe und Zeitstempel der referenzierten Datei; Volume-Label und Seriennummer, Datenträgertyp, Icon-Datei, Verknüpfungsbeschreibung, MAC-Adresse u. v. a. m. * Beim Erweitern des Datei-Überblicks und Überprüfen des wahren Dateityps laut Signatur warnt X-Ways Forensics jetzt, wenn es MS-Office-Hybriddateien findet, genauer gesagt verschmolzene MS-Word- und Excel-Dokumente, die in beiden Applikationen geöffnet werden können und dabei unterschiedliche Inhalte zeigen. Ein Hinweis darauf wird im Nachrichtenfenster angezeigt, und detektierte Dateien werden mit einer besonderen Berichtstabelle verknüpft. MS-Office-Hybriddateien sind ein raffinierter Versuch, den Inhalt eines der beiden verschmolzenen Dokumente zu verstecken. * Möglichkeit, CDs/DVDs in externen optischen Laufwerken als physische Datenträger zu öffnen. * Die chinesische Übersetzung wurde auf den neuesten Stand gebracht. Außerdem werden nun bei aktiver chinesischer Sprache mehr Elemente der Benutzeroberfläche tatsächlich in chinesischen Schriftzeichen angezeigt wenn die chinesische Codepage gar nicht die in Windows aktive Codepage ist (sofern Unterstützung für ostasiatische Sprachen installiert ist). * Zusätzliche Hash-Kategorie-Filter wurden eingeführt: Nur irrelevante Dateien ausgeben, nur unbekannte Dateien ausgeben. * In neu erstellten Datei-Überblicken werden Dateien und Verzeichnisse auf NTFS-Partitionen nun mit einem großen "I" in der Attributsspalte kenntlich gemacht, wenn sie eine Object-ID besitzen. * Wenn eine Datei nicht in einen Container kopiert werden kann, z. B. beim indirekten Befüllen, weil ein Antiviren-Tool die Datei abfängt und ihr Vordringen in den Container verhindert, wird diese Datei nun einer besonderen Berichtstabelle hinzugefügt, so daß es leicht fällt, diese Dateien herauszufiltern und separat zu behandeln. * Möglichkeit, bestimmte Registry-Dateien von Windows Vista einzusehen, die zuvor nicht geladen werden konnten. * Unicode-Suchtreffer können nun im Vorschaumodus in Dokumenten hervorgehoben werden auch wenn sie Nicht-ASCII-Zeichen enthalten. * Die Suchbegriffsliste hat nun ein Kontextmenü, von dem aus man Suchbegriffe löschen kann. Nützlich für Benutzer von MacBooks, die keine Entf-Taste haben. * Die Suchtrefferliste wird beim Aufruf von Suchen | Text suchen ohne die Option, Suchtreffer aufzulisten, nicht mehr geschlossen. * Es ist jetzt möglich, logische Suchen mitzuprotokollieren, so daß wenn z. B. Text aus einer bestimmten beschädigten Datei nicht extrahiert werden kann und das Programm abstürzt, Sie leicht deren interne ID der Datei "search.log" entnehmen und die Datei bei einem erneuten Versuch auslassen können. * Beim Ersetzen eines partitionierten Asservats durch ein (anderes) Image, werden die davon abhängigen Asservate (die Partitionen) nun ebenfalls automatisch durch dasselbe Image ersetzt. * Es wurde ein Fehler behoben, der beim Ersetzen eines Asservats durch ein (anderes) Image unter bestimmten Umständen nach dem Erstellen eines technischen Detailberichts auftreten konnte. (seit v14.2 SR-5) * Die Viewer-Komponente wurde aktualisiert. Nur eine Datei hat sich tatsächlich geändert. Dieser Patch behebt einen Fehler, der mit bestimmten Visio-Dokumenten (.vsd) auftreten konnte. Es wird empfohlen, die Viewer-Komponente neu herunterzuladen und zu installieren, wenn Sie Visio-Dokumente einsehen möchten oder ihren Text bei der logischen Suche oder bei der Indexierung decodieren lassen. * Das Nachrichtenfenster kann nun minimiert, maximiert und wiederhergestellt werden. * Das Dialogfenster "Allgemeine Optionen" wurde neu organisiert. In diesem Fenster wird nun das Ersatzmuster für nichtlesbare Sektoren definiert. Diese Option wurde aus dem Dialog "Datenträger-Sicherung" entfernt, weil sie das Verarbeiten von defekten Sektoren überall im Programm beeinflußt. * Wenn die Betreffzeilen von extrahierten E-Mails nicht auf der Codepage basieren, die gegenwärtig in Windows aktiv ist, werden sie u. U. nicht korrekt angezeigt. X-Ways Forensics kann nun versuchen, den Betreff wie in der Spalte "Name" angezeigt zu reparieren, wenn Sie für die Bearbeitung dieses Falls geeignete Codepages in den Falleigenschaften definieren. Um diese Sonderbehandlung zu vermeiden, wählen Sie dort einfach die ohnehin in Windows aktive Codepage zweimal aus. * Diverse kleinere Verbesserungen, u. a. die Extraktion von E-Mails betreffend, und Fehlerkorrekturen. * Es wurde ein Fehler behoben, der dazu führte, daß beim Kopieren von Dateien und Verzeichnissen unter bestimmten Umständen Internet-Explorer-Fenster geöffnet wurden. (seit v14.2 SR-3) * Ein Fehler wurden behoben, der in der chinesischen Version von X-Ways Forensics nach einer intensiven Dateisystem-Struktursuche doppelte Datei-Auflistungen zur Folge hatte. (seit v14.2 SR-4) * Ein Fehler wurde behoben, der dazu führte, daß bestimmte Operationen im Verzeichnis-Browser (Kopieren und Erzeugen eines Hash-Sets) unvollständig abgebrochen wurden, wenn auf eine rekursive Ansicht angewandt, die als Verzeichnisse behandelte Archive enthielt. (seit v14.2 SR-5) * Bestimmte Ausnahmesituationen werden nun verhindert, die beim Verarbeiten von defekten Daten in NTFS FILE-Records auftreten konnten. (seit v14.2 SR-5). |
| #102: WinHex, X-Ways
Forensics und X-Ways Investigator 14.2 veröffentlicht 20. Juni 2007 |
In dieser Ausgabe dieses Newsletters informieren wir Sie über ein größeres
Update, die Version 14.2. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächster allgemein zugänglicher Schulungstermin in Köln: "X-Ways Forensics", 10.-12. September 2007 (wieder 1 Platz frei!) "Dateisysteme FAT, NTFS, Ext2/Ext3/Ext4", 13.+14. September 2007 Details unter http://www.x-ways.net/training/koeln.html und http://www.x-ways.net/training/index-d.html . ------------------------------------------------------------- Was ist neu? * Bessere Unterstützung von Systemen mit mehreren Monitoren. Einige Anzeigeprobleme wurden behoben, und Dialog- und Meldungsfenster werden nun immer zentriert im WinHex-Hauptfenster dargestellt, außer für den Fall daß sie dann zwischen zwei Bildschirmen aufgeteilt werden müßten (wenn das Hauptfenster zwei Bildschirme umfaßt). In diesem Fall werden sie auf dem Hauptbildschirm zentriert. * Es ist nun möglich die untere Hälfte des Datenfensters (im Sektoren-Modus, Datei-Modus, Vorschau, Galerie usw.) vom Datenfenster zu lösen, indem man die drei Punkte links vom Sektorenschalter anklickt. Dann kann diese Hälfte frei verschoben und in der Größe geändert werden. Bei Mehrmonitorsystemen ist es möglich, diesen Teil der Benutzeroberfläche auf einen anderen Bildschirm zu schieben und ihn dort sogar zu maximieren! * X-Ways Forensics informiert nun über den SMART-Status von [S]ATA-Festplatten (wenn verbunden über [S]ATA) als Teil des technischen Detail-Berichtes. Dies ist nützlich, um sowohl seine eigene Festplatte als auch die eines Beschuldigten zu überprüfen. Z. B. erfährt man, wie oft und wie lange eine Festplatte benutzt wurde und ob fehlerhafte Sektoren erkannt und durch Ersatzsektoren ersetzt wurden. Wenn eine Festplatte einem Beschuldigten zurückgegeben werden muß und dieser behauptet, Sie hätten die Platte beschädigt, weil sie nun fehlerhafte Sektoren habe, so können Sie anhand des Detail-Berichts belegen, in welchem Zustand die Platte ursprünglich war. Wenn Sie sehen können, daß fehlerhafte Sektoren bereits ausgetauscht wurden, bedeutet das auch, daß mit den entsprechenden technischen Mitteln zusätzliche Daten aus den ausgetauschten wiederhergestellt werden könnten. * Wenn eine Datenträgersicherung erstellt wird, wird der SMART-Status einmal zu Beginn (im Rahmen des technischen Detail-Berichts) und einmal am Ende des Vorgangs abgefragt. Daran kann man ablesen, ob sich der Zustand der Platte währenddessen ggf. weiter verschlechtert hat. Zum anderen läßt sich dann bestimmen, in welcher Maßeinheit die "Power on time" angegeben ist, denn diese kann hersteller- und modellabhängig etwas anderes (kleineres) als Stunden sein. * Es wurde ein neuer Modus "Details" eingeführt. Dieser zeigt für eine einzelne ausgewählte Datei alle Informationen aus allen Spalten des Verzeichnis-Browser, inklusive der gerade nicht sichtbaren Spalten. (nur für forensische Lizenz) Dies ist besonders nützlich, wenn z. B. der Pfad so lang ist, daß er nicht vollständig in einer Spalte zu sehen ist, oder sogar nicht einmal in der Tool-Tip-Anzeige. Zusätzlich erlaubt dies, einen selektierten Dateinamen oder Pfad oder sonstige Daten in die Zwischenablge von Windows zu übertragen (Kopieren-Befehl im Kontextmenü). In zukünftigen Versionen wird die Detailanzeige noch für die Ausgabe zusätzlicher Informationen über eine Datei genutzt werden, etwa deren interne Metadaten. * Es wurde eine zusätzliche Verzeichnis-Browser-Spalte "Typ-Beschreibung" eingeführt, die in der Regel den Namen der Anwendung, zu der die Dateiendung gehört, anzeigt oder sagt, wofür die Dateiendung eine Abkürzung ist, oder was auch immer als Hinweis in der Datei "File Type Categories.txt" hinterlegt wurde. (nur forensische Lizenz) Falls dieselbe Dateiendung in der Definitionsdatei mehrfach vorkommt, werden alle ihre Beschreibungen angezeigt. Z. B. könnte .pm ein Perl-Modul, eine Pagemaker-Datei, eine Pegasus-Datei oder eine X11-Pixmap-Datei sein. Das Format der Datei File Type Categories.txt hat sich geringfügig geändert, so daß Kategorie-Zeilen jetzt mit *** beginnen statt wie bisher mit :aufsteigende Zahl:. Diese entlastet den Benutzer von der Pflicht, für eindeutige Kategorienummern sorgen zu müssen, und führt dazu, daß die Kategoriegrenzen leichter zu erkennen sind. Dieselbe Dateinamenserweiterung kann dabei mehreren Dateityp-Kategorien zugeordnet werden. In einem solchen Fall zeigt die Kategoriespalte nur eine Kategorie. Der Kategoriefilter funktioniert aber dennoch. * Noch eine weitere Spalte, genannt "Pixel", wurde eingeführt. (nur forensische Lizenz) In dieser Spalte word die Größe von Bildern (=Breite mal Höhe) in gerundeter Darstellung angezeigt. Die Abmessungen werden beim Bestimmen des Hautfarbenanteils (HFA) oder beim Betrachten eines Bildes (Vollbild, Vorschau oder Galerie) nebenbei ermittelt. Dies ist nützlich, um z. B. zwischen kleinen Web-Site-Grafiken, die man sich beim Surfen im Internet im Browser-Cache einfängt, und hochqualitativen digitalen Photos unterscheiden zu können. Die Spalte ist auch mit einem Filter ausgestattet. Damit kann man sich gezielt Bilder in einem benutzerdefinierten Größenbereich anzeigen lassen. * Vorschaubilder können jetzt selbst dann erfolgreich aus thumbs.db-Dateien extrahiert werden, wenn sie darin fragmentiert gespeichert sind. Die ursprünglichen Dateinamen und Zeitstempel werden nun ebenfalls für diese Vorschaubilder extrahiert. Dies ist insbesondere bedeutsam angesichts der Tatsache, daß Vorschaubilder in der thumbs.db auch dann erhalten bleiben, wenn das dazugehörige Bild gelöscht wird. (nur forensische Lizenz) * Es ist bei Befüllen eines Datei-Containers nun möglich, Hash-Werte der kopierten Dateien zu berechnen und in dem Container abzuspeichern. Die Hash-Werte werden direkt während des Übertragungsvorgangs von den vom Quelldatenträger gelesenen Daten berechnet. Die Hash-Werte werden beim Interpretieren des Datei-Containers automatisch in den Datei-Überblick importiert. * Es ist nun möglich, die bereits in einem Datei-Überblick enthaltenen Hash-Werte mit der Funktion "Datei-Überblick erweitern" zu verifizieren. Damit können Sie sich davon überzeugen, daß die Dateien sich seit dem Erfassen vom Originaldatenträger nicht verändert haben. Sollten doch Änderungen an Hash-Werten festgestellt werden, werden die betroffenen Dateien zum komfortablen Einsehen einer speziellen Berichtstabelle hinzugefügt * Es gibt nun die Möglichkeit, nicht relevante und nicht benötigte Dateien aus dem Datei-Überblick einfach zu entfernen. Dies bietet sich unter anderem an für bedeutungslosen "Müll", der über die Signatursuche gefunden wurde. Diese Funktion macht den Datei-Überblick effizienter in der Handhabung und schont den Hauptspeicher (spielt bei Hunderttausenden solcher Dateien evtl. eine Rolle). Zunächst müssen die betreffenden Dateien unterdrückt werden. Danach können alle unterdrückten Dateien mittels eines neuen Schalters im Verzeichnis-Browser-Optionen-Dialog endgültig gelöscht werden. Dies geht jedoch nur bei einem Datei-Überblick, der mit v14.2 oder neuer erzeugt wurde. Diese Funktion kann auch genutzt werden, um X-Ways Forensics Dateien erneut per Signatursuche finden zu lassen, für die inzwischen eine neue Standardgröße festgelegt wurde. * Ein Datei-Überblick, der mit der Version 14.2 erzeugt oder bearbeitet wurde, kann nicht mehr von früheren Versionen korrekt verarbeitet werden. Es gibt jedoch Warnungen diesbezüglich in bestimmten Situationen. * Möglichkeit, mittels eines neuen Befehls im Kontextmenü des Verzeichnis-Browsers unterdrückte Dateien auszuwählen (sofern nicht herausgefiltert). Dies ist nützlich, wenn - man gezielt unterdrückte Dateien einsehen möchte (zuerst auswählen, dann markieren, dann markierte und nicht markierte Objekte gruppieren) - relevante Dateien bereits einer Berichtstabelle hinzugefügt wurden und X-Ways Forensics Duplikate anhand ihrer Hashwerte unter diesen Dateien unterdrücken soll, um den Bericht schlanker zu machen. * Im Galerie-Modus warden jetzt der Pfad und der Name eines gewählten Bildes in der Statusleiste angezeigt. Der Pfad enthält den Asservatennamen. * Es besteht nun die Möglichkeit, eine parallele Suche mit einer zweiten Codepage durchzuführen. (nur forensische Lizenz) Dies ist nützlich, wenn man nach Suchbegriffen sucht, die Nicht-7-Bit-ASCII-Zeichen enthalten. Sucht man z. B. zusätzlich zu der für Deutsch typischen Windows-Codepage 1252 (Lateinisch 1) auch in UTF-8, macht das die Decodierung des Textes z. B. in XML-Dateien (MS Office 2007 usw.) überflüssig. Diese Option einer zweiten Codepage ist nicht von Bedeutung, wenn ohnehin nur nach 7-Bit-ASCII-Text gesucht wird (also z. B. ohne deutsche Umlaute, ohne ß usw.), wenn also auch das Decodieren von XML-Dateien keinen weiteren Nutzen brächte. * Die Auswirkungen der Verwendung der GREP-Option im Dialogfenster für die parallele Suche sind nun klarer. Es entfallen u. a. die Codepage-Übersetzungsoptionen. * Bei der Anzeige von Suchtreffern in einer bestimmten Codepage mit ihrem Kontext wandelt X-Ways Forensics den Text nun in Unicode um, so daß die Darstellung von der Codepage unabhängig ist und auch dann korrekt ist, wenn die dem Suchtreffer zugrundeliegende Codepage gar nicht die aktive Codepage in dem Windows-System ist, auf dem X-Ways Forensics ausgeführt wird! * Beim Anzeigen der Suchtreffer im Vorschaumodus kann es passieren, daß der Suchtreffer nicht hervorgehoben warden kann, weil er in den Metadaten der Datei liegt. Diese können von der Viewer-Komponente nicht dargestellt werden. X-Ways Forensics bietet in einem solchen Fall neuerdings automatisch an, zum Datei-Modus zu wechseln. * Möglichkeit, Text aus diversen Codepages nach Unicode und umgekehrt zu konvertieren, mit denen Optionen unter Bearbeiten | Konvertieren. * Beim Arbeiten mit Roh-Images besteht jetzt die Möglichkeit, eine alternative Sektorgröße anzugeben. Dazu muß die Umschalt-Taste gedrückt gehalten werden. Danach muß – wie in früheren Versionen - eine Angabe zur Natur der Image-Datei gemacht werden (ob partitionierter physischer Datenträger oder Partition). Wird die Umschalt-Taste dann weiterhin gedrückt, kann die Sektorgröße angegeben werden. In älteren Versionen wurden bereits implizite Sektorgrößenangaben dem FAT- oder NTFS-Bootsektor entnommen, und bei .e01 Evidence-Dateien ist die Sektorgröße in den Metadaten der Datei spezifiziert. * Es besteht nun die Möglichkeit, die internen IDs der verarbeiteten Dateien sowohl beim Erweitern des Datei-Überblicks als auch beim Indexieren zu protokollieren. Die entsprechenden Dateien heißen RVS.log und Indexing.log und werden im Metadatenverzeichnis des Asservats erzeugt. Sollte eine defekte Datei in X-Ways Forensics zu einem Absturz führen in der Art, daß das Hauptfenster weiß bleibt oder ganz geschlossen wird, kann die Protokolldatei die verursachende Datei offenbaren, so daß diese beim nächsten Versuch ausgelassen werden kann. * Bislang konnten beschädigte OpenOffice2-Writer-Dokumente (.odt) den dateiformatspezifischen Verschlüsselungstest im Ausnahmefall komplett einfrieren. In solchen Fällen wird jetzt nach Ablauf eines Timeouts abgebrochen. * Das Redewendung "Wasch mich, aber mach mich nicht naß" trifft oft zu, wenn Benutzer von X-Ways Forenscis Archive wie Verzeichnisse behandeln lassen und sich dann wundern, daß sie diese Archive dann nicht wie andere Dateien aus einem Asservat herauskopieren können oder daß diese Archive nicht in der rekursiven Auflistung erscheinen (Option "Rekursiv auch Verz. mit ausgeben" deaktiviert). Für das letztgenannte "Problem" gibt es jetzt eine Lösung: Archive, die wie Verzeichnisse behandelt werden, werden jetzt nicht mehr abhängig von dieser Option von der rekursiven Auflistung ausgeschlossen. Außerdem werden sie nicht mehr zusammen mit den Verzeichnissen gruppiert, und Filter werden selbst bei aktivierter Option "Archivdateien wie Verzeichnisse behandeln" auch auf Archive angewandt. Eine mögliche "Lösung" für das Kopierproblem: Man kann die Behandlung als Verzeichnisse in Specialist | "Datei-Überblick erweitern" nachträglich wieder deaktivieren, oder man kann ein zu kopierendes Archiv öffnen (Öffnen-Befehl im Verzeichnis-Brower-Kontextmenü) und dann mit Datei | Speichern unter speichern. Beachten Sie bitte, daß es nie zwingend erforderlich war, Archive wie Verzeichnisse behandeln zu lassen. Sind die Dateien in Archiven einmal dem Datei-Überblick hinzugefügt worden, sind sie in jeder rekursiven Auflistung enthalten (es sei denn, ein Filter verhindert dies), unabhängig davon, ob Archive wie Verzeichnisse behandelt werden oder nicht. * Es ist jetzt möglich, die Datenanalyse-Funktionalität auf die gewählte Datei im Dateimodus anzuwenden. * Beim Befüllen eines Containers mit Asservatnamen als oberste Verzeichnisebene unter Beibehaltung des Pfads konnten bisher Objekte aus dem virtuellen Verzeichnis "Pfad unbekannt" im "Pfad unbekannt"-Verzeichnis eines falschen Asservats landen. Dies passiert bei neu erstellten Datei-Überblicken und bei importierten Datei-Überblicken aus v14.1 oder früher nicht mehr. * Ein Fehler beim Decodieren von Text aus bestimmten Dateien für die logische Suche wurde behoben. * Unter bestimmten Bedingungen (wohl bei Systemen mit dem Internet Exlorer 7.0) wurden beim Herauskopieren von Dateien Internet-Explorer-Fenster geöffnet. Dies wurde behoben mit v14.1 SR-2. * Unter bestimmten Bedingungen wurden Dateien, deren Typ in "Datei-Überblick erweitern" neu erkannt wurde, in der ursprünglichen 14.1-Version nicht im selben Schritt dementsprechend weiterverarbeitet. Dies wurde behoben mit v14.1 SR-2. * Ein Fehler in der WHX_Open-Funktionalität der WinHex API wurde behoben. (seit v14.1 SR-3) * Ein Problem, das unter bestimmten Umständen beim Exportieren von Index-Suchtreffern als HTML mit Kontextvorschau auftrat, ist behoben worden. (seit v14.1 SR-3) * Die Option "+19" in investigator.ini hält Benutzer von X-Ways Investigator nun auch davon ab, das Verzeichnis für Fälle und für temporäre Dateien zu verändern. (seit v14.1 SR-1) * Das Feature von X-Ways Investigator, Datei-Container zu erzeugen, ist nun getestet und funktioniert. (seit v14.1 SR-3) * Bestimmte Suchoptionen funktionierten in v14.2 nicht vor v14.2 SR-1. * Diverse kleinere Verbesserungen und Fehlerkorrekturen. |
| #101: WinHex, X-Ways
Forensics und X-Ways Investigator 14.1 veröffentlicht 21. Mai 2007 |
In dieser Ausgabe des Newsletters informieren wir Sie
über ein beachtenswertes Update, die Version 14.1. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächster allgemein zugänglicher Schulungstermin in Köln: "X-Ways Forensics", 10.-12. September 2007 (Warteliste) "Dateisysteme FAT, NTFS, Ext2/Ext3/Ext4", 13.+14. September 2007 Details unter http://www.x-ways.net/training/koeln.html und http://www.x-ways.net/training/index-d.html . ------------------------------------------------------------- Was ist neu? * X-Ways Forensics bietet nun eine gesonderte Option an, um Suchtreffer logisch mit einem Booleschen UND-Operator zu kombinieren. Damit fordert man, daß eine Dateien alle gewählten Suchbegriffe zugleich enthalten muß. Wenn diese Bedingung nicht erfüllt ist, werden die Suchtreffer in der Datei in der Suchtrefferliste ausgelassen. Auf diese Weise können Sie die Ansicht reduzieren auf solche Dateien, die Suchbegriffe A UND B enthalten. Wenn Sie wissen, daß das Dokument, nach dem Sie suchen, beide Suchbegriffe enthält, schränkt das die Suchtreffer auf die am wahrscheinlichsten Relevanten ein. Das ist aber noch nicht alles: Sie können mehr als zwei Suchbegriffe auswählen (z. B. 4) und verlangen, daß die aufzulistenden Dateien eine beliebige Mindestanzahl von verschiedenen Suchbegriffen zugleich enthalten sollen (z. B. 2 oder 3, oder eben alle 4)! * Das Reduzieren eine gewaltigen Suchtrefferliste auf eine Liste mit 1 Treffer pro Datei kann sehr viel Zeit sparen, wenn Sie vorhaben, jede Datei mit mind. 1 Treffer ohnehin anzuschauen, aber sich nicht mehrmals derselben Datei zuwenden möchten (wenn es mehrere Treffer in derselben Datei gibt). Es ist jetzt bequemer, die Ausgabe auf 1 Suchtreffer pro Datei zu beschränken, mit einem neuen Auswahlkästchen unterhalb der Suchbegriffsliste. Der frühere Kontextmenübefehl für denselben Zweck ist im Gegenzug entfallen. * Wenn Suchtreffer von der Suchtrefferliste ausgeklammert werden, entweder wegen der Beschränkung auf 1 Treffer pro Datei oder wegen der logischen UND-Kombination, wird die Anzahl der ausgelassenen Suchtreffer mit einem Filter-Symbol in der Überschriftszeile des Verzeichnis-Browsers angezeigt, als optische Erinnerung daran, daß die Suchtrefferliste auf dem Bildschirm nicht die vollständige Liste ist. * Das HTML-Format zum Exportieren von Dateilisten oder Suchtreffern ist jetzt optional. Wenn nicht gewählt, werden wie in früheren Versionen tabulatorseparierte Textdateien erzeugt. Das kann u. U. bei besonders großen Datenmengen wünschenswert sein. * Auf Systemen mit Mehrkern-Prozessoren wird der Performanz-Nachteil, der sich durch das Arbeiten mit komprimierten .e01-Evidence-Files ergibt, beträchtlich verringert, um ca. 50% bei einem Dual-Core-Prozessor. Für konventionelle Prozessoren entsteht zumindest eine geringfügige Verbesserung. * Es wird ein neuer Kompressionsgrad zum Erzeugen von .e01-Evidence-Files angeboten: "schnell". Diese Option ist sehr empfehlenswert, da sie einen sehr guter Kompromiß zwischen Geschwindigkeit und guter Kompression darstellt. Bei durchschnittlichen Daten können Sie hierbei eine Kompressionsrate erwarten, die in etwa halb so hoch ist wie bei der "normalen" Stufe, bei einer Geschwindigkeit zwischen "keiner" und "normaler" Kompression. Für besonders gut komprimierbare Daten ist auch bei "schneller" Komprimierung die Kompressionsrate sehr hoch, und die Geschwindigkeit wegen der enormen Reduzierung der Datenmenge u. U. sogar höher als bei keiner Kompression. Für nicht komprimierbare Daten werden Sie fast dieselbe Geschwindigkeit beobachten wie ohne Kompression (viel schneller also als bei "normal"). * Das Suchen nach gelöschten Dateien und das Überprüfen des wahren Dateityps anhand von Header-Signaturen ist noch deutlich flexibler geworden. Die Signaturen werden nun in GREP-Syntax definiert. Das heißt, es ist jetzt z. B. möglich, Alternativen zu erlauben (z. B. "das 4. Byte könnte entweder 0xE0 oder 0xE1 sein") und bestimmte Bereiche innerhalb der Signatur undefiniert zu lassen (Jokerzeichen "."). Die neue Signatur-Datenbank, die WinHex und X-Ways Forensics beiliegt, nutzt diese Möglichkeit bereits, um die Anzahl falscher Treffer weiter zu verringern und um die Anzahl nötiger Definitionen für denselben Dateitype zu verkleinern (z. B. HTML). "File Type Signatures.txt"-Dateien aus alten Versionen können noch gelesen werden, können aber keine GREP-Syntax verwenden. * Dateien, die beim Erweitern des Datei-Überblicks anhand von Header-Signaturen gefunden werden, werden nun in einem eigenen virtuellen Verzeichnis namens "Per Signatur gefunden" aufgelistet, unterhalb von "Pfad unbekannt". Das macht es bequemer, sich bei Bedarf gezielt solchen Dateien zu widmen. * In neue erstellten Datei-Überblicken werden verwaiste leere Unterverzeichnisse nun in einem eigenen virtuellen Verzeichnis "Leere Verzeichnisse" unterhalb von "Pfad unbekannt" eingeordnet. Das machten das Erkunden von "Pfad unbekannt" und das Navigieren darin auf größeren und intensiv genutzten Partitionen bequemer. * Für Dateien und Verzeichnisse auf NTFS-Partitionen kann X-Ways Forensics nun oft den Benutzernamen anstelle der SID in der Spalte "Besitzer" anzeigen. X-Ways Forensics sammelt SIDs und Benutzernamen von Windows-Installationen in allen dem Fall hinzugefügten Asservaten (in bereits bestehenden Fällen von früheren Versionen in allen erneut geöffneten Asservaten). Eine Übersicht über alle gefundenen Kombinationen von SIDs und Benutzernamen können Sie vom Falleigenschaftsfenster aus aufrufen. * Beim manuellen Retten von NTFS-komprimierten Dateien (z. B. wenn nur manuell gefunden oder über eine auf NTFS-komprimierte Dateien speziell angepaßte Header-Signatur-Suche gefunden) ist es nötig, diese Dateien separat zu dekomprimieren. Zuvor war es möglich, einzelne 16-Cluster-Einheiten von komprimierten Daten mit Bearbeiten | Konvertieren erfolgreich zu dekomprimieren. Mehrere 16-Cluster-Einheiten konnten in einem einzigen Anlauf nur dann dekomprimiert werden, wenn sie physisch 16 Cluster voneinander entfernt lagen (wie es unter Windows XP normalerweise der Fall ist, wenn eine bereits bestehende Datei auf einer NTFS-Partition erst nachträglich komprimiert wird). Der Dekompressionsalgorithmus in WinHex/X-Ways Forensics funktioniert nun auch dann, wenn keine physischen Lücken zwischen den einzelnen Einheiten bestehen (wie es unter Windows XP normalerweise der Fall ist, wenn eine Datei sofort und direkt mit Kompression gespeichert wird). Der Algorithmus wählt individuell von Fall zu Fall automatisch diejenige Dekompressionsstrategie, die die größte Menge an dekomprimierten Daten erzielt. Beachten Sie, daß Sie die komprimierten Daten im Sektorenmodus erst als Block auswählen und in eine neue Datei kopieren müssen. * Die Auto-Kolorierung auf NTFS funktioniert nun auch für FILE-Records, die nicht Teil der aktiven MFT sind, wenn anderswo auf der Partition gefunden (z. B. in $LogFile oder im freien Speicher) und gerade auf dem Bildschirm sichtbar. Die automatische Einfärbung hebt nun auch Attribute im Schlupfspeicher eines FILE-Records hervor, die z. B. dort zurückbleiben, wenn ein vorangehendes Attribut gekürzt wird (z. B. der Dateiname) oder in einen Erweiterungs-FILE-Record verschoben wird. Außerdem hebt es nun einzelne FILETIME-Strukturen im Schlupf eines FILE-Records hervor, die nicht mehr Teil eines vollständigen Attributs sind (z. B. Standard-Informationen oder Dateiname). * "Offline"-Dateien werden nun mit dem Großbuchstaben "O" in der Attributsspalte gekennzeichnet, Dateien mit dem Attribut "temporär" mit einem großen "T". * Es ist jetzt möglich, eine Freitext-Beschreibung von bis zu 60.000 Unicode-Zeichen in einen Datei-Container zu integrieren, den der Empfänger in den Asservateigenschaften sehen kann, wenn er den Container seinem Fall hinzufügt. * Bei der Datei-Header-Signatur-Suche und bei der Datei-Typ-Überprüfung kann nun sehr viel präziser unterschieden werden zwischen verschiedenen OLE2-Compound-Dateitypen (z. B. Dokumente, die von MS Office bis Version 2003 erstellt wurden). * Dokumente von MS Office 2007 und OpenOffice 2 werden nun wie Archive behandelt (was es leichter macht, eingebettete Bilder und sonstige Objekte zu extrahieren), aber zugleich behalten sie ihre spezielle Dateiendung in der Typspalte, so daß sie von normalen Zip-Archiven leicht unterschieden werden können und immer noch in die Kategorie "Dokumente" statt "Archive" eingeordnet werden. Diese Kombination war in früheren Versionen nicht möglich. Konsequenterweise wird Text in OpenOffice-Dokumenten nun nicht mehr standardmäßig bei der logischen Suche und bei der Indexierung decodiert, weil die enthaltenen XML-Dateien bereits in ihrem dekomprimierten Zustand durchsucht werden (wenn Archivinhalte in den Datenüberblick aufgenommen wurden). Die XML-Dateien selbst sollte allerdings noch der Text-Decodierung unterworfen werden, wenn Ihre Suchbegriffe andere Zeichen als 7-Bit-ASCII enthalten, wegen der UTF-8-Codierung in XML (es sei denn, Sie suchen gezielt in der UTF-8-Codepage). Sicherheitshalber wurde *.xml der Standard-Dateimaske zum Extrahieren von Text bei logischer Suche und Indexierung hinzugefügt. * Sowohl normale Archive als auch MS Office 2007/OpenOffice-Dokumente können nun vom Kontextmenü des Verzeichnis-Browsers aus in einem separaten Fenster eingesehen und nicht nur erkundet und im Vorschau-Modus betrachtet werden. * Der interne Hive-Name von Registry-Dateien in Restore-Points, wie er im Registry-Viewer geladen wird, wurde angepaßt, so daß der Registry-Bericht auch für solche Backups von Registry-Dateien erstellt werden kann. Zuvor war dies nicht möglich, weil die zu extrahierenden Hive-Pfade laut Definitionsdatei nicht auf diese Registry-Dateien paßten. * Es ist jetzt möglich, eine Definitionsdatei für den Registry-Bericht gezielt auszusuchen, bevor man den Bericht erstellt. Nützlich, wenn Sie mehrere solcher Dateien vorhalten, z. B. eine zum Extrahieren von Informationen über Hardware, eine weitere für Informationen über Benutzer usw. * Ein Fehler im Registry-Viewer wurden behoben, der verhinderte, daß eine Suche in einem anderen Hive als dem, in dem der erste Treffer gefunden wurde, fortgesetzt wurde. * Fehler bei der Unterstützung von Sparse-Dateien in Ext2-/ Ext3-Dateisystemen behoben. * Diverse kleinere Verbesserungen. Seit v14.0 SR-1: * Das Betätigen bestimmter Tasten in der Galerie führte in X-Ways Forensics 14.0 dazu, daß in den Sektorenmodus gewechselt wurde. Das wurde behoben. * Eindeutige Ausgabedateinamen für "Wiederherstellen/ Kopieren" werden nun auch für solche Dateien garantiert, bei denen X-Ways die vermutete richtige Dateiendung anhängt (abhängig von der Option in den Verzeichnis-Browser-Optionen). * Das Ausschalten der Ausnahmeliste für die Indexierung verursachte Fehler. Dies wurde korrigiert. * Viele weitere Dateinamenserweiterung wurden der Definitionsdatei für Dateityp-Kategorien hinzugefügt. Unser Dank gilt Herrn Günter Fabian, Landespolizeikommando Oberösterreich. * Bei der Ausgabe des Export-Befehls für Suchtreffer wurde ein Fehler behoben. (Die Möglichkeit, Suchtreffer _ohne_ Kontext zu exportieren, funktionierte nicht richtig.) * Daß partitionierte Bereicht auf physischen Platten/Images bei der Datei-Header-Signatursuche ausgelassen werden, ist nun optional. Das Auslassen ist aber sinnvoll, um Duplikate zu vermeiden, wenn dieselbe Signatursuche auch auf den Partitionen durchgeführt wird. * X-Ways Forensics erlaubt es nun, Signatursuchen auf Byte-Ebene in Datei-Containern laufen zu lassen. Dies kann nützlich sein, um eingebettete Dateien eines anderen Typs als JPEG und PNG in ausgewählten Trägerdateien zu finden. Solche Dateien müssen dann erst in einem Container gesammelt werden. Seit v14.0 SR-2: * Die Möglichkeit, Suchtreffer während einer noch andauernden _physischen_ Suche über Pause/Fortfahren zu sichten, funktionierte nicht richtig. Dies wurde korrigiert. Seit v14.0 SR-3: * Aufgrund vielfachen Wunsches ist "Windows Registry" wieder als eigenständige Kategorie definiert und kann wie in früheren Versionen wieder anhand eines Namensabgleiches die wichtigsten Registry-Dateien erfassen, selbst wenn noch keine Dateityp-Überprüfung per Signatur stattgefunden hat. Die Typprüfung und die künstliche Bezeichnung "registry" in der Typspalte (vormals "regis") sind aber immer noch erforderlich, um andere Registry-Dateien mit dem Typ- oder Kategoriefilter abzudecken, z. B. Backups von Registry-Dateien in Restore-Points. * Ein Fehler wurden behoben, der ungewollt den Sektorenmodus aktivierte, wenn man die Miniaturansicht eines Bildes in der Galerie anklickte, wenn gleichzeitig der Sync-Modus aktiv war und ein Verzeichnis rekursiv erkundet worden war. |
| #100: WinHex, X-Ways Forensics
und X-Ways Investigator
14.0 veröffentlicht 19. April 2007 |
In der 100. Ausgabe dieses Newsletters informieren wir Sie
über ein größeres Update, die Version 14.0. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Stellenangebot bei X-Ways Software Technology AG http://www.x-ways.net/corporate/jobs-d.html http://www.x-ways.net/corporate/Stellenangebot_Computerforensik.pdf ------------------------------------------------------------- Nächster allgemein zugänglicher Schulungstermin in Köln: "X-Ways Forensics", 10.-12. September 2007 "Dateisysteme FAT, NTFS, Ext2/Ext3/Ext4", 13.+14. September 2007 Details unter http://www.x-ways.net/training/koeln.html und http://www.x-ways.net/training/index-d.html . Teilnehmerzahl begrenzt. ------------------------------------------------------------- Was ist neu? * X-Ways Forensics und X-Ways Investigator können sich nun optional für Sie merken, welche Dateien bereits eingesehen wurden. Diese werden optisch mit einer grünen Hintergrundfarbe um das Markierungsfeld herum versehen. Dies ist besonders dann nützlich, wenn man Hunderte oder Tausende von Dokumenten oder Bildern über eine längere Zeit betrachtet, um zu vermeiden, dieselben Dateien versehentlich mehrfach anzuschauen und um sich seines Fortschritts gewissern zu können. Eine Datei kann automatisch als bereits eingesehen gekennzeichnet werden, wenn sie im Vorschau- oder Vollfenstermodus betrachtet wird, wenn ein Bild in der Galerie angezeigt wird oder wenn eine Datei von der Hash-Datenbank als bekanntermaßen irrelevant identifiziert wird. Dies ist in den Verzeichnis-Browser-Optionen einstellbar. Um Dateien manuell als bereits eingesehen zu kennzeichnen, können Sie die Alt-Taste in Kombination mit den Cursor-Tasten drücken. Alt+Links entfernt die Kennzeichnung. Ein Verzeichnis wird als bereits eingesehen hervorgehoben, wenn alle darin befindlichen Dateien so gekennzeichnet sind. Die Gesamtzahl bereits eingesehener Objekte in einem Datei-Überblick wird angezeigt unter Specialist | Datei-Überblick erweitern. * Wir haben einen vielfach geäußerten Wunsch erfüllt, indem es nun möglich ist, die Reihenfolge der Spalten im Verzeichnis-Browser zu ändern, und zwar in den Verzeichnis-Browser-Optionen. Dies ändert auch die Reihenfolge der Felder im Fallbericht (d. h. in Berichtstabellen), auf Druckdeckblättern und in exportieren Dateilisten. Sie können eine Spalte verschieben, indem Sie erst den der Spalte zugeordneten runden Auswahlschalter anklicken und dann den vertikalen Rollbalken, der oben erscheint. Die ursprüngliche Standardreihenfolge der Spalten kann wiederhergestellt werden, indem Sie diesen Rollbalken mit der rechten Maustaste anklicken. * Es gibt nun einen Filter für die Hautfarbenanteilsspalte, der es einem erlaubt, sich gezielt auf Bilder mit einem hohen Anteil an Hautfarben oder Schwarz-Weiß- bzw. Graustufen-Bilder zu konzentrieren. * Der Attributfilter erlaubt es nun, solche Dateien aufzulisten, die aufgrund des statistischen Tests als möglicherweise verschlüsselt eingestuft wurden ("e?"). Außerdem adressiert der Filter jetzt optional Dateien mit dem Attribut "versteckt", extrahierte E-Mails sowie E-Mail-Anhänge. * Zwei weitere Spalten wurden eingeführt, Absender und Empfänger, die für extrahierte E-Mails gefüllt werden. Diese Spalten bieten einen bequemen Teilwortfilter an. Sie können optional dynamisch angezeigt werden. Dann sind sie nur dann im Verzeichnis-Browser enthalten, wenn auch tatsächlich E-Mails im sichtbaren Bereich aufgelistet werden. Wenn nicht, spart man den Platz auf dem Bildschirm ein, den die Spalten sonst belegen würden. * E-Mails und Datei-Anhänge können nun aus Outlook .msg-Dateien extrahiert werden. * Die Dateisignatur-Suche nach MPEG-Dateien an Sektorgrenzen wurde verbessert, so daß keine überlappenden MPEG-Fragmente und keine MPEG-Fragmente inmitten von bekannten MPEG-Dateien mehr extrahiert bzw. aufgelistet werden. * MP3-Dateien werden von X-Ways Forensics bei der Prüfung auf eingebettete JPEG-Bilder nun standardmäßig auch untersucht. * Das Anzeigen von Bildern durch die separate Viewer-Komponente (statt mit der internen Grafikbibliothek) ist nun merklich schneller (aber immer noch deutlich langsamer als mit der internen Grafikbibliothek). * Möglichkeit, doppelte Suchtreffer mit einem Befehl im Kontextmenü der Suchtrefferliste zu löschen. Suchtreffer werden als identisch/doppelt eingestuft, wenn sie entweder den gleichen physischen Offset haben oder, falls kein physischer Offset angegeben ist, wenn ihr logischer Offset und die zugehörige interne Datei-ID gleich sind. Man darf sich nicht darauf verlassen, daß der vom Programm zum Löschen ausgewählte Suchtreffer der "weniger wertvolle" ist (aber das könnte in künftigen Versionen verbessert werden). Z. B. könnte ein Suchtreffer in einer gelöschten Datei namens "Lieferschein 28924.pdf" hilfreicher sein als in der virtuellen Datei "Freier Speicher", auch wenn es im Grunde derselbe Suchtreffer ist. Oder ein Treffer für "Meierhoff" könnte wertvoller sein als ein Treffer für "Meier". * Es ist nun möglich, eine (unvollständige) Suchtrefferliste einzusehen, wenn die Parallele Suche noch nicht beendet ist. Das Anklicken des Schalters für die Suchtrefferliste hält die Suche dazu vorübergehend an und erlaubt es, die vorläufige Trefferliste zu betrachten, bis der Benutzer die Suche, falls noch erforderlich, fortsetzt. * Die interne Suchfensterbreite für GREP-Suchen ist jetzt benutzerdefinierbar. Eine Erklärung des Suchfensters und seiner Bedeutung für die Umgebungssuche wurde in die Programmhilfe und ins Benutzerhandbuch aufgenommen. * Es werden nun bis zu 75 lokal zugreifbare physische Datenträger statt zuvor 30 unterstützt. * Schreibzugriff auf Sektoren unter Windows Vista ist nun für physische Datenträger und von dort geöffnete Partitionen (nicht als Laufwerksbuchstabe geöffnet) möglich in den meisten Situationen, in denen dies in früheren Versionen von WinHex fehlschlug. * Die Asservat-Übersicht ist nun ein vollständiger Überblick über alle Asservate. Es ist jetzt möglich, Asservate aus dem Fall über den Asservat-Überblick zu entfernen, insbes. mehrere Asservate auf einmal zu entfernen (nützlich z. B., wenn man mehrere gewöhnliche Dateien dem Fall hinzufügt hat statt einem Container, was eher zu empfehlen ist). * Die Anzahl der Backups, die X-Ways Forensics von einer Falldatei aufbewahrt, ist nun benutzerdefinierbar (standardmäßig 3) statt zuvor grundsätzlich 1. * Beim Verwenden des Befehls Wiederherstellen/Kopieren in Suchtrefferlisten werden Verzeichnisse im Ausgabeordner nun als Dateien wiederhergestellt, da die Wahrscheinlichkeit hoch ist, daß der Benutzer die Originaldaten mit dem Suchtreffer herauskopieren möchte. Der Befehl Wiederherstellen/Kopieren verzweigte in früheren Versionen ohnehin nicht in ausgewählte Verzeichnisse. * Die genaue Auswirkung des Befehls Wiederherstellen/Kopieren wird nicht mehr im allgemeinen Fallprotokoll erfaßt, sondern in einer separaten HTML-Datei names "copylog.html", die nicht nur den Ausgabe-Dateinamen und -Pfad enthalten kann, sondern alle verfügbaren Metadaten über die kopierten Dateien, z. B. Originalname, Originalpfad, Größe, Zeitstempel, wahrer Typ usw. Die HTML-Datei wird im Unterverzeichnis _log eines Falls erstellt. (nur forensische Lizenz) * Möglichkeit, die Dateien "messages.txt" und "copylog.html" direkt aus dem Fenster Fall-Eigenschaften aus aufzurufen. * Der Exportieren-Befehl erstellt nun HTML-Dateien statt Textdateien. Die Ausgabe ist nun viel bequemer zu betrachten (z. B. in einem Web-Browser, in MS Word oder MS Excel), insbes. wenn man Suchtreffer mit Kontext exportiert, wobei der eigentliche Suchbegriff inmitten der extrahierten Daten optisch hervorgehoben werden kann (gelbe Hintergrundfarbe). Letzteres ist optional, da es beim Betrachten in MS Excel leider nicht den gewünschten Effekt hat. Mit der HTML-Ausgabe für Suchbegriffe ist die Hauptfunktionalität von Evidor nun auch in X-Ways Forensics enthalten. Falls nötig, können Programme wie MS Excel noch immer benutzt werden, um den HTML-Code in eine tabulatorseparierte Textdatei in ASCII oder Unicode zu konvertieren, wie sie von früheren Versionen von X-Ways Forensics erstellt wurde. * Ein neuer Script-Befehl namens Write2 wurde eingeführt, der sich vom konventionellen Write unterscheidet, wenn das Ende der Datei erreicht wird. Details sind in der Programmhilfe beschrieben. Seit v13.9 SR-1: * Fähigkeit, gelöschte Partitionen mit 1 MB großen Lücken automatisch zu erkennen. (So werden Partitionen typischerweise von Windows Vista erzeugt.) * Die Dateinamenserweiterungen .whs und .whx werden nun nicht mehr automatisch mit X-Ways Forensics in der Windows-Registry verknüpft. * Verbesserungen beim Ausführen von WinHex/X-Ways Forensics unter Windows Vista: Gelöste Probleme: - Probleme bei der Ausrichtung bestimmter Zeichen in der Textanzeige behoben. - Anzeige der Icons im Registry-Viewer korrigiert. Geringfügige Verbesserungen: - Verschlüsselte Teile von BitLocker-Volumes werden nun durch eine virtuelle Datei repräsentiert, die das Verschlüsselungsattribut trägt. Nicht gelöste oder unlösbare Probleme: - Das Öffnen von physischem RAM funktioniert unter Windows Vista nicht mehr. - Die farbliche Unterscheidung von Asservatinhalten im Falldatenfenster funktioniert nicht. Die empfohlene Plattform für WinHex/X-Ways Forensics bleibt Windows XP. Seit v13.9 SR-2: * Die Dateinamenserweiterung .xfc wird nun nur noch dann mit X-Ways Forensics in der Windows-Registry verküpft, wenn X-Ways Forensics mit dem Setup-Programm installiert wurde. Grund: Vermeidbare Änderungen an der Registry sollen nicht vorgenommen werden, wenn man X-Ways Forensics ohne Installation auf einem laufenden und zu begutachtenden System ausführt. (Beachten Sie, daß die Viewer-Komponente in die Registry schreibt, wenn sie von X-Ways Forensics geladen wird.) * Ein Ausnahmefehler wurde verhindert, der unter bestimmten Umständen nach dem Löschen von Suchtreffern auftreten konnte. Seit v13.9 SR-3: * Ein Fehler wurde behoben, der verhinderte, daß man mit der Parallelen Suche einen Begriff suchen konnte, der eine runde Klammer enthält. * Diverse kleinere Verbesserungen. |
| #99: WinHex, X-Ways Forensics
und X-Ways Investigator
13.9 veröffentlicht 23. März 2007 |
Ein beachtenswertes Update ist erschienen, v13.9. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Stellenangebot bei X-Ways Software Technology AG http://www.x-ways.net/corporate/jobs-d.html http://www.x-ways.net/corporate/Stellenangebot_Computerforensik.pdf ------------------------------------------------------------- Nächster allgemein zugänglicher Schulungstermin in Köln: "X-Ways Forensics", 10.-12. September 2007 "Dateisysteme FAT, NTFS und Ext2/Ext3/Ext4", 13.+14. September 2007 Details unter http://www.x-ways.net/training/koeln.html und http://www.x-ways.net/training/index-d.html . Teilnehmerzahl begrenzt. ------------------------------------------------------------- Was ist neu? * Nur für forensische Lizenzen: Möglichkeit, entfernte Netzlaufwerke auf logischer Ebene zu öffnen, wenn dafür lokal ein Laufwerksbuchstabe zugewiesen wurde. Der Verzeichnis-Browser sowie die Modi Datei, Vorschau, Galerie und Kalender sind alle verfügbar. Ein Datei-Überblick kann erstellt und erweitert werden (nicht mit den Optionen, die Sektorzugriff erfordern), Filter können verwendet werden, logische Suchläufe können gestartet werden. Andererseits können Sektoren, freier Speicher, Schlupfspeicher, gelöschte Dateien, alternative Datenströme, Benutzer-SIDs usw. nicht angezeigt werden. Sehr nützlich, um vor Ort bei Durchsuchungen Netzlaufwerke einsehen zu können und z. B. relevante Dokument zu suchen oder zu kopieren, wenn kein physischer Zugriff auf bestimmte Server im Netzwerk möglich ist. Ein weiterer Vorteil ist, daß von NTFS (EFS) verschlüsselte Dateien, auf die der gegenwärtig eingeloggte Benutzer Zugriff hat, in ihrem entschlüsselten Zustand geöffnet und verarbeitet werden können. * Nur für forensische Lizenzen: Möglichkeit, lokale Laufwerksbuchstaben ohne Administratorrechte zu öffnen. Dafür gelten dieselben Einschränkungen wie o. a. * Unterstützung des Dateisystems Ext4 (nur für Specialist- und forensische Lizenzen). * X-Ways Forensics warnt neuerdings beim Öffnen eines Falls, wenn dieser Fall bereits anderswo (von einem anderen Benutzer) geöffnet ist, falls dort nicht im Schreibschutzmodus. * Beim Decodieren von Text in Dateien der Typen PDF, HTML, RTF, StarOffice, WordPerfect usw. für die logische Suche und zum Indexieren kann das Extrakt nun optional (abschaltbar in Optionen | Viewer-Programme) gepuffert werden. Weil das Decodieren relativ langsam ist, sind die sich daraus ergebende Vorteile, daß weitere Suchläufe bei Vorhandensein von besonders vielen zu decodierenden Dateien merklich beschleunigt werden und daß eine Kontextvorschau für Suchtreffer im Textextrakt möglich wird! Dies macht das Einsehen von Suchtrefferlisten deutlich bequemer. Der decodierte Text wird nun dateiweise entweder in ASCII oder Unicode ausgegeben, je nach Art der Zeichen im Text. * Der Druckbefehl im Kontextmenü des Verzeichnis-Browsers ist flexibler geworden. Er erlaubt es, bei Drucken mit der Viewer-Komponente ein von X-Ways Forensics erstelltes Deckblatt voranzustellen. Eine weitere Möglichkeit besteht darin, X-Ways Forensics den Dateinamen und Pfad oben auf die erste Seite drucken zu lassen. Diese Option ist nicht denselben Pfadlängenbeschränkungen unterworfen wie der optional von der Viewer-Komponente gedruckte Header. Um zu vermeiden, daß der Pfad auf der ersten Seite zweimal gedruckt wird, lassen Sie ihn entweder von X-Ways Forensics _oder_ von der Viewer-Komponente drucken, nicht von beiden. * Wenn in der neuen Druckfunktionalität die Auflösung des Druckers in dpi nicht automatisch erkannt wird, kann/muß der Benutzer die Auflösung nun selbst eingeben, um ein ordnungsgemäßes Druckergebnis zu erzielen. * Es fällt jetzt leichter, das Asservat, das im aktiven Datenfenster repräsentiert wird, im Falldatenfenster schnell zu identifizieren, weil alle anderen Asservate mitsamt ihrer Verzeichnisbäume dort nun in Grau dargestellt werden. * Änderungen bei den physischen Datenträgern im Windows-System (z. B. neu angeschlossene USB-Festplatten) werden nun erkannt, ohne das Programm neu starten zu müssen. * Datei-Container haben nun eine optionale interne Bezeichnung (das XWFS-Volume-Label). Nützlich als weiteres Mittel, erkennen zu können, zu welchem Fall/Beschuldigten ein Container gehört, wenn der Dateiname nach allgemeinen Regeln zu wählen ist (und in verschiedenen Fällen ähnlich ist) oder versehentlich geändert wurde. * Ein neuer Schalter "+19" in der Datei investigator.ini kann verhindern, daß Benutzer von X-Ways Investigator Images/Container öffnen können, die nicht im Standardpfad für Sicherungsdateien liegen. Nützlich, wenn der Standardpfad verfahrens-/fallabhängig von außen automatisch gesteuert wird und die Benutzer nicht versehentlich Container, auf die sie grundsätzlich Zugriff haben, einem Fall hinzufügen können sollen, zu dem sie nicht gehören. * Möglichkeit, auch Verzeichnisse optional mit der Dateinamensspalte zu filtern. Dies ist der einzige Filter, der auf einer Spalte des Verzeichnis-Browsers beruht, der auch auf Verzeichnisse Auswirkungen hat. * Jedes Asservat merkt sich nun die letzten 32 Dateien, die im Vorschau-Modus betrachtet wurden. Mit Strg+Umsch+ F7 können Sie diese Liste für ein Asservat einsehen. In der Liste stehen Datum und Uhrzeit des Einsehens, Dateiname und interne ID. Nützlich z. B., wenn vergessen wurde, bei welcher Datei die manuelle Durchsicht einer langen Liste unterbrochen wurde oder um daraus die vorher eingestellte Sortierreihenfolge abzuleiten. Nicht in der Programmhilfe oder im Handbuch dokumentiert, Funktionalität kann sich ändern. * Die Sortierreihenfolge der Spalte für Suchtreffer-Beschreibungen wurde so umdefiniert, daß Treffer im Dateischlupf nicht mehr lediglich gruppiert, sondern auch fest am unteren Ende der Liste angesiedelt werden, wo sie leicht gefunden und ausgewählt werden können, so daß der Schlupf von vielen Dateien auf einmal, soweit aufgrund von Suchtreffern relevant, gezielt mit geeigneten Einstellungen über Wiederherstellen/Kopieren herauskopiert werden kann. (seit v13.8 SR-5) * Decodierter Text wurde in v13.8 vor v13.8 SR-2 nicht richtig indexiert. Dies wurde behoben. * Die logische Suche hatte in v13.8 vor v13.8 SR-2 ein Speicherleck. Dies wurde behoben. * Ein Speicherleck in der Indexierung wurde mit v13.8 SR-5 behoben. * Ein Speicher beim Interpretieren von ganzen Dateinamen in der Datei File Type Categories.txt wurde in v13.8 SR-3 behoben. * Diverse kleinere Verbesserungen. |
| #98: WinHex, X-Ways Forensics
und X-Ways Investigator
13.8 veröffentlicht 14. Februar 2007 |
Ein beachtenswertes Update ist erschienen, v13.8. * Die Ermittlerversion von X-Ways Forensics ist jetzt ein eigenständiges Produkt, X-Ways Investigator, mit eigener Produktseite: http://www.x-ways.net/investigator/. Die Benutzeroberfläche der Ermittlerversion läßt sich jetzt bis zu einem gewissen Grad anpassen: Mittels einer optionalen Datei "investigator.ini" können zusätzliche administrative Sicherheitsvorkehrungen und zusätzliche Benutzungsvereinfachungen individuell aktiviert werden. * Die Fähigkeit, .e01 Evidence-Files zu interpretieren, wurde X-Ways Investigator hinzugefügt. Dies bedeutet, Ermittler können Datei-Container erhalten, die in .e01 Evidence-Files umgewandelt wurden (optional komprimiert oder verschlüsselt). Außerdem wurde X-Ways Investigator die Möglichkeit hinzugefügt, Datei-Container zu _erzeugen_. Das bedeutet, Ermittler können jetzt selbst Container erzeugen und so relevante Dateien in andere Container kopieren, für den eigenen Bedarf oder zur Weitergabe an Kollegen. Die Fähigkeit, Such-Indexe zu erstellen, wurde entfernt. * Die logische parallele Suche wurde aus dem Verzeichnis-Browser-Kontextmenü entfernt und in Suche | Parallele Suche integriert. Von dort kann man nun sowohl die physische als auch die logische Suche ausführen. Die logische Suche wurde intern umgebaut: Sie durchsucht nicht mehr die _ausgewählten_ Dateien, sondern entweder alle oder _markierte_ Dateien, und sie verarbeitet die Dateien jetzt immer in der Reihenfolge, in der sie im Datei-Überblick vorkommen (d. h. aufsteigend nach interner ID). * Die physische parallele Suche ist für die Durchsuchung ganzer Datenträger nun unnötig geworden, da die logische Suche für das freie Speicher/Schlupfspeicher-Paradoxon nun eine Lösung hat, indem alle Übergänge von Schlupf in freien Speicher gezielt zusätzlich abgesucht werden. (Das Paradox on ist, daß - obwohl der gesamte freie Speicher und auch der gesamte Schlupfspeicher durchsucht werden - gewisse Standardwerkzeuge für Computerforensik nicht alle Vorkommnisse der Suchbegriffe in diesen Bereichen finden.) * Irrelevante, versteckte oder herausgefilterte Dateien können in der logischen Suche nun ausgelassen werden. Falls Schlupfspeicher mit durchsucht wird, ist die Suche für solche Dateien darauf begrenzt. Dies spart Zeit und reduziert die Anzahl irrelevanter Treffer. * Auch die Indexierung kann auf den Schlupfspeicher irrelevanter, versteckter oder gefilterter Dateien beschränkt werden. * Es ist jetzt möglich, bis zu einem gewissen Grad weiterhin Dateien zu begutachten und im Verzeichnis-Browser zu arbeiten, während die logische Suche läuft, da der Verzeichnis-Browser dabei nicht mehr blockiert ist. * Wenn PDF-/OpenOffice-/WPD-/HTML-/...-Dateien für die logische Suche dekodiert werden, liegt der extrahierte Text jetzt in 16-Bit Unicode vor statt ASCII. Das bedeutet, daß Unicode aktiviert sein muß, wenn mit dieser Option gesucht wird (die Software stellt das automatisch sicher). * Der Datei-Überblick kann jetzt erweitert und ein Index erzeugt werden für _ausgewählte_ Asservate auf einmal, und es ist jetzt auch möglich, die Indexierung direkt im Anschluß an die Erweiterung des Datei-Überblicks automatisch zu beginnen. Sofern letztere Option gewählt wurde, wird zuerst der Datei-Überblick der ausgewählten Asservate erweitert, dann automatisch der Index für diese Asservate erstellt und zuletzt werden die Indexe optimiert (was wie bisher optional ist und jederzeit abgebrochen, ggf. später fortgesetzt werden kann). * Der Datei-Überblick kann jetzt auch für physische, partitionierte Datenträger erweitert werden. Dies ist nützlich, um bequem Dateien in unpartionierten Bereichen aufzulisten, die mit einer Header-Signatur-Suche gefunden werden können. Dateien im _partitionierten_ Bereich können nur mit einer Signatur-Suche in der betreffenden Partition gefunden werden, wie bisher. Dies vermeidet Duplikate. * Physische Datenträger besitzen jetzt einen Datei-Modus, einen Vorschau-Modus und einen Galerie-Modus. Nützlich für Dateien, die mit einer Header-Signatur-Suche gefunden wurden. * Die Fähigkeit, mehrere ausgewählte Dokumente in einem Rutsch ohne weitere Mausklicks zu drucken, mittels des überarbeiteten Kontextmenü-Befehls "Drucken mit Deckblatt". Das Deckblatt enthält Datum und Uhrzeit des Druckauftrags und vom Benutzer wählbare Meta-Informationen, z. B. Dateiname, Pfad, Name des Asservats, Dateigröße, Beschreibung, Zeitstempel, Kommentare... Das Deckblatt wird von X-Ways Forensics selbst gedruckt, die folgenden Seiten mit dem eigentlichen Dokument werden von der Viewer-Komponente gedruckt. Um Dokumente mit der Viewer-Komponente ohne Deckblatt zu drucken, wie bisher, benutzen Sie den Drucken-Befehl im Hauptmenü oder das Drucker-Icon in der Werkzeugleiste, während die Anzeige im Vorschau-Modus ist oder das Dokument in einem eigenen Fenster angezeigt wird. Bekannter Fehler: Die Viewer-Komponente zeigt nicht immer den Namen des korrekten Druckers während des Druckvorgangs an, obwohl der Druckauftrag tatsächlich an den gewählten Drucker gesendet wird. * Selbstextrahierende .exe-Archive, wie sie von WinZip (getestet mit v9.0 and v11.0), WinRAR (GUI- und Konsolen-.exe-Dateien, Zip- und RAR-Kompression, getestet mit v3.0, v3.3, v3.62 und v3.7 Beta), 7-Zip (getestet mit v4.42) und WinACE (getestet mit SFX-Factory v2.64) erzeugt werden, werden jetzt als solche von der Datei-Signaturen-Prüfung erkannt. Sie werden klassifiziert als Dateityp "sfx" und der Kategorie "Archives" hinzugefügt, damit sie gezielt betrachtet werden können. Dies verhindert, daß komprimierte Dateien in solchen Archiven in einer Untersuchung völlig unbeachtet bleiben. .exe-Archive mit Zip-Kompression können im Vorschau-Modus betrachtet werden, andere selbstextrahierende Archive müssen aus dem Image herauskopiert und mit einem entsprechenden Tool wie WinRAR oder 7-Zip geöffnet werden. * Das Lesen aus komprimierten Evidence-Files ist jetzt erheblich schneller. * Die CRC32-Berechnung ist jetzt etwas schneller. * Wenn Hardware-RAIDs zusammengesetzt werden, kann die Header-Größe einer Komponente neuerdings mehr als 65.535 Sektoren betragen. * Es werden jetzt 48 statt bisher 32 Skript-Variablen gleichzeitig unterstützt. * Extras | Disk-Tools | Plattenparameter eingeben akzeptiert für physische Datenträger jetzt leere Felder für die C/H/S-Werte. Wenn leer gelassen, berechnet X-Ways Forensics selbst geeignete Werte. * Die Daten-Analyse-Funktion funktioniert jetzt mit mehr als 4 Milliarden Vorkommnissen eines einzelnen Byte-Wertes. Damit kann diese Funktion problemfrei auf viele GB an Daten angewandt werden, obwohl sie für deutlich kleinere Datenmengen gedacht ist. Die erhöhte Rechenzeit wurde kompensiert, indem die Prüfsummenberechnung weggelassen wurde. * In Optionen | Viewer-Programme wird jetzt eine Liste von Dateinamenserweiterungen geführt, die angibt, welche Dateien besser mit einem externen Programm eingesehen werden sollten, z. B. weil die Viewer-Komponente und die interne Bild-Anzeige und Galerie diese nicht unterstützen. Wenn eine solche Datei doppelt angeklickt bzw. eingesehen wird, wird automatisch das Programm gestartet, das auf dem Auswertesystem mit dieser Erweiterung verknüpft ist. In den Standard-Einstellungen betrifft dies die Dateien der Typen *.mdi;*.mdb;*.mpeg;*.mov; *.asf;*.avi;*.mp3. Die Liste ist vom Benutzer editierbar (siehe Optionen | Viewer-Programme). Insbesondere Dateien vom Typ MDI (Microsoft Document Imaging), einem Dateityp ähnlich TIFF, sollten normalerweise nicht übersehen werden, da dieses Format in MS Office dazu verwendet werden kann, gescannte Dokumente oder Druckausgaben zu speichern. * Möglichkeit, den Computer automatisch nach einer erfolgreichen Datenträgersicherung herunterzufahren. (seit v13.7 SR-1) * Die Stabilität und Geschwindigkeit der Bildbehandlung wurden weiter verbessert (mit v13.7 SR-2 und SR-5). Bitte beachten Sie, falls es Probleme bei der Behandlung oder Darstellung von Bildern gibt, könnte es helfen, auf die Bilddarstellungsfunktionen früherer Versionen zurückzuschalten, indem Sie Optionen | Viewer-Programme | [x] "Bildanzeige-Funktionalität von v13.6 verwenden" ankreuzen. Wir bitten jedoch um Mitteilung, wenn Ihnen Bilder begegnen, die X-Ways Forensics Probleme bereiten. * Ein Fehler im Skript-Befehl ExecuteScript wurde behoben. (seit v13.7 SR-2) * Ein Ausnahmefehler wurde behoben, der bei der Betrachtung von Suchtrefferlisten eintreten konnte. (seit v13.7 SR-3) * Zeichen in der Text-Spalte werden jetzt normalerweise auch dann in Zwei-Byte-Code-Pages wie z. B. Simplified Chinese (falls aktiv) korrekt angezeigt, wenn ein Block oder Lesezeichen in einer Zeile definiert ist. (seit v13.7 SR-3) * Ein Ausnahmefehler wurde behoben, der während der besonders intensiven Dateisystem-Struktur-Suche für NTFS auftreten konnte. (seit v13.7 SR-4) * Ein Stabilitätsproblem mit extrem langen Dateinamenserweiterungen (über 127 Zeichen) wurde in der Text-Dekodier-Option behoben. (seit v13.7 SR-8) * Fehlermeldung "Internal search term list inconsistent" verhindert. (seit v13.7 SR-8) * Fehler in der Indexierungsfortschrittsanzeige behoben. (seit v13.8 SR-1) * Diverse weitere kleinere Verbesserungen und Fehlerkorrekturen, u. a. betreffend den Befehl Wiederherstellen/Kopieren. |
| #97: WinHex & X-Ways Forensics
13.7 veröffentlicht 13. Januar 2007 |
Ein beachtenswertes Update ist erschienen,
v13.7. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer sowie Details zur Update-Berechtigung und Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html . Stellenangebot bei X-Ways Software Technology AG
http://www.x-ways.net/corporate/jobs-d.html Was ist neu? * Möglichkeit, nach Zeichen aus nicht-westeuropäischen Sprachen (z. B. kyrillischen, arabischen, griechischen, chinesischen oder japanischen Zeichen), zusätzlich zu 16-Bit-Unicode in einer explizit angebbaren Codepage zu suchen, im Rahmen der physischen und logischen parallelen Suche. * Möglichkeit, Suchtreffer-Offsets und Suchtreffer aus Suchtrefferliste zu exportieren. Dabei können Suchtreffer mit einer Kontextvorschau in benutzerdefinierter Länge (bis zu 240 Bytes insgesamt) ausgegeben werden, d. h. mit dem Text links und rechts vom Treffer. Verfügbar für Unicode- und Codepage-Suchtreffer, sowohl für ASCII- als auch Unicode-Ausgabe-Textdateien. * Eine weitere sortierbare Spalte für Suchtrefferlisten wurde eingeführt, die für jeden Suchtreffer beschreibt, ob er ein Unicode- oder ein Codepage-Suchtreffer ist, ob er die decodierte Version einer Datei betrifft und ob der Suchtreffer sich im Schlupf einer Datei befindet (nur für Suchtreffer, die mit v13.7 gefunden wurden). Letzteres erlaubt es, mit dem Wiederherstellen/Kopieren-Befehl systematisch für alle Treffer, die nicht im logischen Teil einer Datei liegen, den Dateischlupf aus dem Asservat herauszukopieren. * Möglichkeit, Index-Suchtreffer permanent zu speichern, ohne sie als wichtig kennzeichnen zu müssen, unter einem eigenen Suchbegriffseintrag in der Suchbegriffsliste. Verwenden Sie dazu das Kontextmenü. * Suchbegriffe für die Index-Suche werden nun mitprotokolliert. * Es ist jetzt möglich, das Indexieren für alle Asservate vom Asservatüberblick aus zu starten. Der optionale Optimierungsschritt wird beim Indexieren aller Asservate nun erst dann durchgeführt, wenn alle Asservate indexiert wurden, nicht zwischendurch für jedes Asservat einzeln. * In bestimmten Szenarien mit erneut partitionierten oder formatierten NTFS-Volumes konnten ehemals existierende Dateien beim Indexieren eine Endlosschleife auslösen. Dies wurde korrigiert. (seit v13.6 SR-7) * Die Galerie ist für größere Bilder nun deutlich schneller. Selbiges gilt für die Vollfensteransicht und den Vorschaumodus. * Di |