WinHex &
X-Ways Forensics Newsletter-Archiv (deutsch)
(Sie können den Newsletter hier abonnieren.)
#112: WinHex, X-Ways
Forensics und X-Ways Investigator 15.1 veröffentlicht 3. Sep. 2008 |
In dieser Ausgabe dieses Newsletters
informieren wir Sie
über ein beachtenswertes Update, die Version 15.1. Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter https://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics" 13.-15. Okt. (Warteliste) "Dateisysteme" 16.+17. Okt. (Warteliste) "X-Ways Forensics" 2.- 4. Dez. (Plätze frei) Details unter https://www.x-ways.net/training/index-d.html. ------------------------------------------------------------- Was ist neu? * Möglichkeit, einfache Versuche zu erkennen, Dateien beliebigen Typs als ausführbare Dateien zu maskieren. Solche Dateien werden nicht mehr als ausführbare Dateien bestätigt. Nur mit forensischer Lizenz. * Ungewöhnliche ausführbare Dateien können nun leichter ausfindig gemacht werden, da sie speziellen Berichtstabellen zugeordnet werden, wenn sie unbekannte Segmente oder ein unerwartetes Dateiende aufweisen. Nur mit forensischer Lizenz. * Es kann nun besser unterschieden werden zwischen diversen exe-Dateitypen, incl. Altformate, DLLs, Fonts, VXDs und anderen Treibern (siehe Typ-Spalte nach Typprüfung). Nur mit forensischer Lizenz. * Besondere Unterstützung für ausführbare Dateien bei der Datei-Header-Signatursuche. Die Dateigröße und der genaue Dateityp werden erkannt. Die exakte Dateigröße hilft dabei, bekanntermaßen irrelevante Dateien mit Hilfe von Hash-Datenbanken auszuschließen. * Größenerkennung für besonders große Zip-Archive bei der Datei-Header-Signatursuche. Größenerkennung für 7zip-Archive. * Es ist jetzt möglich, auch übergeordnete und Unterobjekte einer ausgewählten Datei automatisch einer Berichtstabelle hinzuzufügen. Nützlich z. B., wenn Sie nicht nur eine bestimmte E-Mail in einen Bericht aufnehmen möchten, sondern auch deren Anhänge, oder andersherum, oder nicht nur bestimmte Standbilder aus Videos, sondern auch das ganz zugehörige Video selbst. Berichtstabellen-Verknüpfungen können auch von übergeordneten und Unterobjekten in einem einzigen Schritt entfernt werden. Nur mit forensischer Lizenz. * Dateien, die Unterobjekte einer *Datei* sind (d. h. deren übergeordnetes Objekt kein Verzeichnis ist), werden nun im Verzeichnis-Browser gesondert mit 3 hellblauen Punkten in der oberen linken Ecke des Icons gekennzeichnet, um auf diese Besonderheit hinzuweisen. * Lange Listen von Dateinamen können nun direkt als Dateinamensfilter eingesetzt werden. Mehrere Dateinamen oder Dateinamensmasken werden nicht mehr per Semikolon verkettet, sondern 1 pro Zeile eingegeben oder aus der Zwischenablage eingefügt. Nützlich, wenn Sie eine Liste relevanter Dateien oder Stichwörter haben und schnell herausfinden möchten, ob Dateien mit solchen Namen vorhanden sind. * Beim Extrahieren von Miniaturansichten aus JPEGs werden diese nun als Unterobjekte der jeweiligen JPEG-Datei angezeigt. Solche Miniaturansichten und andere generisch benannten eingebetteten Bilder werden nun als virtuelle Dateien klassifiziert. Nur mit forensischer Lizenz. * Angehängte externe Dateien werden nun immer als Unterobjekte des gewählten Objekts hinzugefügt, selbst wenn Sie nur eine einzige Datei anhängen, es sei denn, Sie halten die Umschalt-Taste gedrückt. Es ist jetzt auch möglich, externe Dateien an ein Verzeichnis anzuhängen. Nur mit forensischer Lizenz. * Möglichkeit, dem Datei-Überblick auch im Datei-Modus einen gewählten Block als virtuelle Datei hinzuzufügen (Bearbeiten-Menü). In diesem Fall wird die Datei als Unterobjekt der Originaldatei angeordnet. Nur mit forensischer Lizenz. * Die NTFS-System-Datei $UsnJrnl kann nun besonders eingesehen werden, ein weiteres einzigartiges Feature. Nur mit forensischer Lizenz. * Die Untersuchung von $LogFile als Teil der intensiven Dateisystem-Datenstruktur-Suche in NTFS-Dateisystemen ist nun noch vollständiger. Nur mit forensischer Lizenz. * Die Interpretation von $LogFile für den Einsehen-Befehl/den Vorschau-Modus ist nun vollständiger. Sie zeigt jetzt auch das von der Datei abgedeckte Zeitintervall an (s. ganz unten in der Darstellung), so daß leicht feststellbar ist, ob relevante Zeitpunkte überhaupt in der betreffenden $LogFile-Datei enthalten sind. Es ist jetzt auch leichter, den Löschzeitpunkt einer Datei herauszufinden oder zumindest einzugrenzen, wenn dieser Vorgang zeitlich in der abgedeckten Rahmen fällt, indem man nach einer "Undo: Initialize File Record Segment"-Operation für die betreffende Datei sucht oder indem man nach der LSN aus dem Header des FILE-Records der betreffenden Datei sucht. Der folgende EndPage- Ausdruck zeigt dann jeweils den Zeitrahmen der Operation an. Generell verbesserte Darstellung. Nur mit forensischer Lizenz. * Möglichkeit, FAT32-Dateisysteme auszuwerten, deren Haupt-Bootsektor defekt ist, sofern der Backup-Bootsektor noch vorliegt. Möglichkeit, FAT32-Partitionen automatisch bei der Suche nach verlorenen Partitionen zu finden, auch wenn der Haupt-Bootksektor defekt ist. * Umgang mit extrem großen Verzeichnissen in FAT-Dateisystemen. * Das Kopieren von Dateien aus einem Image auf eigene Laufwerke oder in einen Container funktioniert intern nun leicht anders. Diese Operationen können den Inhalt von ausgewählten Verzeichnissen nun auch in einer bereits rekursiven Ansicht berücksichtigen, und wenn man diese Möglichkeit nutzt, wird automatisch sichergestellt, daß zugleich direkt und indirekt ausgewählte Dateien nicht mehrfach kopiert werden. Auch wenn dieselbe Datei in einer Suchtrefferliste mehrfach aufgelistet ist, weil sie mehrere Suchtreffer enthält, und mehrfach ausgewählt ist, wird sie nur noch einmal kopiert, was sehr komfortabel ist. Eine weitere Folge ist, daß Sie die Meldung "Diese Operation kann in einer bereits rekursiven Ansicht nicht in ausgewählte Verzeichnisse verzweigen." nicht mehr sehen werden. Ein weiterer Vorteil ist, daß es nun 3 statt 2 Optionen für das Wiederherstellen des Originalpfads in dem Ausgabe-Ordner bzw. Datei-Container gibt: vollständiger Pfad, kein Pfad oder teilweiser Pfad (basierend auf dem gegenwärtig erkundeten Verzeichnis, nicht vom Asservat-Überblick aus verfügbar). * Der Befehl Wiederherstellen/Kopieren erlaubt es nun optional, Dateien mit überlangen Pfaden auszugeben (mehr als 260, bis 510 Zeichen, für Ausgabepfad + Originalpfad + Originaldateiname). Beachten Sie, daß Sie solche Dateien anschließend mit gewöhnlichen Tools wie dem Windows-Explorer nicht weiterverarbeiten können (weder ansehen noch kopieren noch löschen). Diese Option ist nützlich, wenn Sie auf diese Dateien mit Tools zugreifen, die überlange Pfade unterstützen. Ansonsten können Sie die Pfadlänge wie zuvor auf 260 Zeichen beschränken und Berichtstabellen-Verknüpfungen für ausgelassene Dateien erhalten. Nur mit forensischer Lizenz. * Eine neue Option namens "empfehlenswerte Datenreduktion" für die logische Suche und die Indexierung spart Zeit, indem sie den logischen Teil bestimmter Dateien automatisch ausschließt: Dateiarchive wie ZIP und RAR, deren Inhalte bereits in den Datei-Überblick aufgenommen wurden, sowie PST- und DBX-E-Mail- Archive, deren E-Mails und Datei-Anhänge bereits extrahiert wurden. Letzteres ist besonders für die Indexierung hilfreich, weil Base64-Code den Index sonst extrem aufbläht und den Indexierungsvorgang stark verlangsamt. * Es gibt nun einen "NICHT"-Operator im Attributfilter, der es erlaubt, alternative Datenströme, Symlinks, Dateien mit unbekanntem Inhalt usw. usf. herauszufiltern, wenn Sie solche Dateien *nicht* sehen möchten. * Es gibt nun eine Fortschrittsanzeige für die Hash-Berechnung beim Erzeugen von Hash-Sets. * Das Klonen von Datenträgern wird nun in Log-Dateien mit jeweils eindeutigem Namen protokolliert, der auf der Startzeit basiert. * Möglichkeit, ausgewählte Dateien im Datei-Überblick so auf den Urzustand zurückzuversetzen, daß die diversen Optionen in der Funktion "Datei-Überblick erweitern" auf sie erneut zugreifen würden, auch wenn dies schon vorher passiert ist. Diese Funktion ist über Strg+Entf anwendbar. Sie räumt nicht hinter den ausgewählten Dateien auf, d. h. löscht z. B. nicht etwaige bereits extrahierte Unterobjekte aus dem Datei-Überblick, aber das ist ja manuell anderweitig möglich. * Der Anwendungsbereich einer Suche, die vom Falldatenfenster aus ausgeführt wurde, war nicht konsistent. Dies wurde behoben. * Die italienische Übersetzung wurde aktualisiert. * Eine Fehler im neuen Indexierungsalgorithmus von v15.0 wurden behoben. * Diverse kleinere Verbesserungen. * Die Protokollierungsoption für den Befehl Wiederherstellen/Kopieren verlangsamt das Kopieren besonders vieler Dateien nicht mehr. (seit v15.0 SR-3) * Gelegentliche Nichtverfügbarkeit des Druckbefehls im Kontextmenü korrigiert. (seit v15.0 SR-3) * Ein Ausnahmefehler wurde behoben, der beim Ausführen einer Datei-Header-Signatursuche bei aktiver Darstellung einer Suchtrefferliste auftreten konnte. (seit v15.0 SR-3) * Ein beim Beenden einer Suche verkleinertes Hauptfenster stellt kein Problem mehr dar. (seit v15.0 SR-3) * Ein Ausnahmefehler wurden behoben, der beim Sichern eines aus Image-Dateien wiederhergestellten RAIDs in ein Image auftreten konnte. (seit v15.0 SR-3) * Ein Fehler im Verzeichnis-Browser wurde behoben, der nach dem Erweitern des Datei-Überblicks oder nach der Rückkehr aus einer Suchtrefferliste auftreten konnte. (seit v15.0 SR-3) * Intelligente Größenerkennung beim Carven von .tar-Archiven. (seit v15.0 SR-4) * Ein Fehler wurde behoben, der die Interpretation eines e01-Evidence-Files mit vielen Segmenten unterbrechen konnte. (seit v15.0 SR-4) * Dateien, die Ausnahmefehler oder Abstürze während der massenweise Metadaten-Extraktion hervorrufen, werden dem Benutzer vom Programm nun besonders zur Kenntnis gebracht, so daß sie leicht identifiziert, unterdrückt und/oder an uns weitergeleitet werden können. (seit v15.0 SR-5) * Eine Instabilität bei der Extraktion von Metadaten aus Cookies des Internet Explorer wurde behoben. (seit v15.0 SR-7) * Ein Ausnahmefehler wurde behoben, der beim Klick auf eine Position im Positions-Manager auftreten konnte. (seit v15.0 SR-5) * Ein Ausnahmefehler wurde behoben, der beim Verarbeiten von großen AOL-PFC-Dateien auftreten konnte. (seit v15.0 SR-7) ------------------------------------------------------------- Zugriffsmöglichkeit auf Datenträger über ein Netzwerk ( https://www.x-ways.net/forensics/f-response-d.html ) demnächst auch auf Zielcomputer mit Linux und OS X. |
#111: X-Ways Forensics
15.0 SR-2 veröffentlicht; Zugriffsmöglichkeit auf Datenträger im Netz 11. Jul. 2008 |
In dieser Ausgabe dieses Newsletters
informieren wir Sie über
* Zugriffsmöglichkeit auf Datenträger über ein Netzwerk und
* v15.0 SR-2 von WinHex, X-Ways Forensics und X-Ways Investigator. Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter https://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics" 13.-15. Okt. (Plätze frei) "Dateisysteme" 16.+17. Okt. (Plätze frei) Details unter https://www.x-ways.net/training/index-d.html. Termine für gemischte Teilnehmergruppen interational: https://www.x-ways.net/training/index.html ------------------------------------------------------------- Was ist neu? * Wenn Sie an entfernte Computer im Netz angeschlossene Datenträger untersuchen möchten, dann können wir Ihnen dafür jetzt eine Lösung anbieten! Verwenden Sie F-Response in Verbindung mit X-Ways Forensics. Damit können Sie die überlegene Analyse-Funktionalität, die Sie von X-Ways Forensics kennen, auch auf solche Netzlaufwerke anwenden, z. B. im unternehmenseigenen Netz. Details finden Sie unter >>>>> https://www.x-ways.net/forensics/f-response-d.html <<<<<. Dank einer Vereinbarung zwischen Agile Risk Management LLC und X-Ways Software Technology AG können Sie F-Response von X-Ways einzeln erwerben, oder mit einem besonderen Rabatt im Bundle mit X-Ways Forensics, Neuerungen in X-Ways Forensics: * Wenn aufeinanderfolgend mit MPlayer aus Videos extrahierte Einzelbilder identisch sind, werden sie nicht mehr in den Datei-Überblick aufgenommen (Duplikatsvermeidung). (seit v15.0 SR-1) * Es ist jetzt möglich, ganz kurze Intervalle (bis zu 1 Sekunde) für die Einzelbild-Extraktion anzugeben. Ob Sie damit tatsächlich zusätzliche, unterschiedliche Einzelbilder bekommen, hängt von der Codierung und Kompression der jeweiligen Video-Datei ab. (seit v15.0 SR-1) * Für Images von optischen Datenträgern, die sowohl ein CDFS- als auch ein UDF-Dateisystem haben und die einem Fall als Asservate hinzugefügt werden, fragt X-Ways Forensics den Benutzer nun nur noch beim ersten Mal nach dem auszuwertenden Dateisystem. (seit v15.0 SR-1) * Von X-Ways Forensics selbst erzeugte Berichtstabellenverknüpfungen (im Gegensatz zu den vom Benutzer erzeugten) werden im Verzeichnis-Browser nun durch graue statt grüne Dreiecke dargestellt, was es leichter macht, die beiden voneinander zu unterscheiden. (seit v15.0 SR-1) * Die Maximalzahl von Berichtstabellen in einem Fall wurde auf 128 erhöht. (seit v15.0 SR-2) * Möglichkeit, die Datei-Header-Signatur-Suche auf einen bestimmten Sektorenbereich einzuschränken, wenn ein Block definiert ist. Dies ist nützlich, wenn zum Beispiele ein vorherige Signatur-Suche unterbrochen wurde, um Zeit zu sparen. (seit v15.0 SR-2) * Die Größe von PSD-Dateien wird bei der Datei-Header-Signatur-Suche nun intelligent erkannt. (seit v15.0 SR-2) * Viele andere kleinere Verbesserungen. * Zwei Fehler im neuen Indexierungsalgorithmus der Version 15.0 wurden gefunden und behoben. Der Index war nicht 100%ig vollständig, und unter bestimmten Umständen kam es zu einer Endlosschleife und/oder den Fehlern 1074 und 1075. (seit v15.0 SR-1) * Ein weiterer Fehler wurde behoben, der den neuen Indexierungsalgorithmus unter bestimmten Umständen am kompletten Durchlaufen hinderte. (seit v15.0 SR-2) * Die Fehlermeldung, die gelegentlich zu Unrecht behauptete, daß die Viewer-Komponente erst noch aktiviert werden mußte, tritt nun nicht mehr auf. (seit v15.0 SR-1) * Ein Ausnahmefehler ist behoben worden, der beim Lesen von ehemals existierenden Dateien auftreten konnte, deren Datenposition unbekannt ist. (seit v15.0 SR-2) * Ein Fehler beim Exportieren der Suchtrefferspalte mit Kontext wurde behoben. (seit v15.0 SR-2) * Ein Ausnahmefehler wurde behoben, der beim Zusammensetzen von RAIDs aus Image-Dateien auftreten konnte. (seit v15.0 SR-2) |
#110: WinHex, X-Ways
Forensics und X-Ways Investigator 15.0 veröffentlicht 2. Jun. 2008 |
In dieser Ausgabe dieses Newsletters
informieren wir Sie über ein beachtenswertes Update, die Version 15.0. Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter https://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics" 13.-15. Okt. (Plätze frei) "Dateisysteme" 16.+17. Okt. (Plätze frei) Details unter https://www.x-ways.net/training/index-d.html. ------------------------------------------------------------- Was ist neu? * Der Indexierungsalgorithmus in X-Ways Forensics wurde mit großem Aufwand überarbeitet. Er nutzt nun explizit mehrere Prozessorkerne, sofern vorhanden, und läuft bei Vorhandensein mehrerer Kerne schneller, insbesondere wenn man die für die (optionale) Optimierung benötigte Zeit einberechnet. * Die Dateityp-Signaturen-Datenbank unterscheidet nun zwischen Signaturen, die nur für die Dateityp-Prüfung nützlich sind (um den Typ von solchen Dateien herauszufinden, die bereits im Datei-Überblick enthalten sind, nur mit forensischer Lizenz) und Signaturen, die stark und wichtig genug sind, um sie auch für die Datei-Header-Signatur-Suche einzusetzen, d. h. um weitere, ehemals existierende Dateien zu finden. Dazu liegen X-Ways Forensics nun zwei verschiedene Definitionsdateien bei. Der Sinn liegt darin zu verhindern, daß arglose Benutzer einfach *alle* Dateitypen für die Suche auswählen, bei schwachen Signaturen zu viele falsche Treffer bekommen, zu viele nicht funktionierende Dateien zu erhalten (z. B. überlappende MPEG-Fragmente, die nicht abspielbar sind), zu viele irrelevante Dateien bekommen (z. B. Schriftarten und Mauszeiger-Dateien), die Suche unnötig verlangsamen und sich über die vorgenannten Effekten wundern oder beschweren. Es ist natürlich nach wie vor möglich, manuell neue Dateityp-Definitionen für die Datei-Header-Signatur-Suche hinzuzufügen oder bewußt Dateityp-Definitionen aus einer Definitionsdatei in die andere zu verschieben, wenn man weiß, was man tut. * Es sind diverse weitere Dateityp-Signatur- und Kategorie-Definitionen hinzugekommen. Es werden nun bis zu 4096 Dateityp-Definitionen für die Typprüfung und bis zu 1024 Definitionen für die Datei-Header-Signatur-Suche unterstützt statt zuvor nur ca. 255. * Die Namenskonventionen für per Signatur gefundene Dateien hat sich leicht geändert. Die Dateien werden nun basierend auf einer fortlaufenden Nummer benannt, die für jedes Asservat hochgezählt wird. * Ehemals existierende Dateien, deren erste Cluster bekanntermaßen an andere Dateien neu vergeben wurden, werden nicht mehr auf ihren wahren Dateityp hin überprüft. * Beim Überprüfen von Dateitypen unternimmt X-Ways Forensics für solche Dateien, deren Typ nicht mit Hilfe der Einträge in der Datei-Signaturen-Datenbank erkannt werden kann, nun noch weitere Anstrengungen. Das ist nützlich, damit Dateitypen erkannt werden können, die keine feststehende Signatur haben, wie z. B. E-Mails, Quellcode von Programmiersprachen, Stapelverarbeitungsdateien, diverse andere Arten von Textdateien u. v. a. m. * Die Benennung von extrahierten .eml-Dateien nach der Betreffzeile erfolgt nun normalerweise authentischer, wenn diese in einer asiatischen Codepage codiert ist. * Einige kleinere Verbesserungen bei der E-Mail-Verarbeitung. * Bei der Ausgabe von Berichtstabellen in den Fallbericht ist es nun möglich, den Bericht z. B. zum Ausdrucken schmaler zu machen, indem unvorhersehbar lange und evtl. durch fehlende Leerzeichen nicht automatisch umbrechbare Dateinamen und Pfade künstlich nach einer benutzerdefinierten Anzahl von Pixeln umgebrochen werden. Damit kann man vermeiden, daß der Bericht breiter wird als eine druckbare Seite, insbes. wenn man mehr als eine Datei pro Zeile in einer Berichtstabelle ausgibt. * Es ist in X-Ways Forensics jetzt möglich, manuell einen Block im Modus Volume/Partition/Disk zu definieren und ihn dem Datei-Überblick als eine herausgeschnitzte ("gecarvete") Datei hinzuzufügen. Nützlich, wenn Sie die Daten in einem bestimmten Bereich (z. B. HTML-Code oder lose E-Mails, die im freien Speicher herumliegen) wie eine Datei behandeln lassen möchten, um sie beispielsweise betrachten, speziell durchsuchen, kommentieren oder in einen Bericht ausgeben zu können. Der Befehl dazu kann im Bearbeiten-Menü gefunden werden. Der Name des virtuellen Verzeichnisse für herausgeschnitzte Dateien muß aufgrund diese Funktion nun allgemeiner ausfallen (bisher: "Per Signatur gefunden"). Der neue Name ist "Aus Sektoren ausgegliedert". Beachten Sie, daß Sie virtuelle Verzeichnisse nennen können, wie Sie möchten (s. Verzeichnis-Browser-Kontextmenü), da der Name ohnehin auch von X-Ways Forensics frei gewählt wird und einfach nur zweckmäßig sein soll. * Eine neue Option für den Verzeichnis-Browser, genannt "Vollpfadsortierung übergeordneter Objekte", wurde für Objekte mit Unterobjekten eingeführt. Die Wirkung besteht darin, daß bei rekursiver Erkundung und bei Sortierung nach Pfad, Unterobjekte im Anschluß an ihre jeweiligen Elternobjekte angeordnet werden. Z. B. folgen gewöhnliche Dateien dann ihren Elternverzeichnissen; E-Mails den E-Mail-Archiven, aus denen sie extrahiert wurden; E-Mail-Anhänge den enthaltenden E-Mails; komprimierte Dateien den Archiven, in denen sie liegen usw. * Zip- und Rar-Archive, von denen X-Ways Forensics weiß, daß sie Dateien verschlüsselt enthalten, werden nun auch selbst als verschlüsselt gekennzeichnet, mit dem Vermerk "e!" in der Attributspalte (dateiformatspezifisch verschlüsselt). Erlaubt es, sich bequemer als früher auf solche Dateien konzentieren zu können, um sie etwas herauszukopieren. (Einige Benutzer waren sich der bisherigen Möglichkeit dazu nicht bewußt.) * Beim Betrachten von Suchtreffern in der decodierten Version von z. B. PDF-Dokumenten sehen Sie im "Roh"-Vorschaumodus nun den rohen decodierten Text nun exakt so, wie er auch für die Suche verwendet wurde. Die kann nützlich sein, wenn die Viewer-Komponenten einen Suchtreffer nicht in der normalen Ansicht eines PDF-Dokuments hervorheben kann. * Es können nun zwei weitere externe Betrachtungsprogramme hinterlegt werden. * Der oberste Teil des Details-Modus ("Daten aus dem Datei-Überblick") wird nun in Form einer Tabelle angezeigt, was optisch ansprechender ist. * Metadaten-Extraktion aus BMP-Dateien und (auf logischen Laufwerksbuchstaben) aus EXE/DLL-Dateien. * RAID-Zusammensetzung: Es wird nun auch eine Stripe-Größe von 1 Sektor unterstützt. * Diverse weitere kleinere Verbesserungen. Mehrere Ausnahmefehler in speziellen Situationen verhindert. * Bitte beachten Sie, daß .cfg Konfigurationsdateien von früheren Versionen nicht mehr weiterverwendet werden können. * Die Version 8.2.2 der Viewer-Komponente wurde am 31. Mai zum Download bereitgestellt. Sie unterstützt nun JPEG-2000-Dateien, läuft offiziell unter Windows 2008 Server und enthält diverse Patches und Bug-Fixes. Die Installation dieses Updates wird empfohlen. (nur mit forensischer Lizenz) * Die ursprüngliche Version 14.9 von X-Ways Forensics 14.9 hat die Viewer-Komponente nicht automatisch für den Verschlüsselungstest geladen, so daß es bei dem Test zu einer Fehlermeldung kam, wenn die Viewer-Komponente nicht vorher schon aus einem anderen Anlaß heraus geladen wurde. Dies wurde behoben mit v14.9 SR-1. * Fehler bei einigen Kontrollkästchen im Attributfilter-Dialog in der ursprünglichen Version 14.9 behoben (seit v14.9 SR-2). * Beim Kopieren von Dateien mit Unterobjekten aus einer rekursiven Ansicht ohne Wiederherstellung des Originalpfads erstellt X-Ways Forensics nun keine nach diesen Dateien benannten leeren Unterverzeichnisse mehr (seit v14.9 SR-2). * Ein Fehler wurde behoben, der beim Anhängen einer Datei an eine Datei im Stammverzeichnis eines Volumes auftreten konnte (seit v14.9 SR-2). * Eine Endlosschleife wurde behoben, die in einige seltenen Situationen beim Auffinden von OLE2-Compound-Dateien per Signatur auftreten konnte (seit v14.9 SR-3). * Beim Anwenden der logischen Suche auf ausgewählte Dateien in einem rekursiv erkundeten Verzeichnis hatte das Pausieren der Suche zum Einsehen der Suchtreffer den Abbruch der Suche zur Folge. Dies wurde mit v14.9 SR-3 behoben. * Eine Instabilität im Indexierungsalgorithmus wurde mit der Version 14.9 SR-3 behoben. * Ein selten auftretender Fehler wurde behoben, bei dem zu viele Zeichen aus bestimmten Ext*-Verzeichniseinträgen mit im Dateinamen ausgegeben wurden. (seit v14.9 SR-3) * Ein Fehler wurde behoben, der unter bestimmten Umständen dazu führte, daß in Container kopierte Datei-Anhänge darin unter "Pfad unbekannt" aufgeführt wurden. (seit v14.9 SR-3) * Der GREP-Anker \b funktioniert nun auch bei eingeschalteter 16-Bit-Option (seit v14.9 SR-4). * Die hiberfil.sys-Dekompression arbeitet nun getreuer dem Originalcode von Microsoft. (seit v14.9 SR-4) * Mögliche versehentliche Doppeltaufnahme von Dateien mit Unterobjekten in Datei-Containern verhindert. (seit v14.9 SR-5) * Bestimmte Ausnahmefehler beim Extrahieren von E-Mails aus E-Mail-Archiven verhindert. (seit v14.9 SR-5) * Seit v14.8 wurde die Spalte "Besitzer" im Verzeichnis-Browser in bestimmten NTFS-Dateisystemen nicht mehr gefüllt. Dies wurde behoben. (seit v14.9 SR-5) |
#109: WinHex, X-Ways
Forensics und X-Ways Investigator 14.9 veröffentlicht 17. Apr. 2008 |
In dieser Ausgabe dieses Newsletters
informieren wir Sie
über ein beachtenswertes Update, die Version 14.9. Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter https://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics" 26.-28. Mai (Warteliste) "X-Ways Forensics" 2.-4. Juni (derzeit 1 Platz frei) "X-Ways Forensics" 13.-15. Okt. (Plätze frei) "Dateisysteme" 16.+17. Okt. (Plätze frei) Details unter https://www.x-ways.net/training/index-d.html. ------------------------------------------------------------- Was ist neu? * WinHex und X-Ways Forensics geben nun einen Hinweis darauf, wenn eine Datei in einem NTFS-Dateisystem nur teilweise mit Daten gefüllt wurde. Solche Dateien werden in der Attributspalte mit der Anmerkung "partial init." (teilweise Initialisierung) versehen und können darauf hin gefiltert werden. Die Größe des tatsächlich initialisierten/definierten Bereichs einer Datei wird in der Informationsspalte angezeigt, wenn eine solche Datei geöffnet wird oder wenn Sie sie im Datei-Modus ansehen, hinter dem Vermerk "Davon initialisiert:". Der nicht initialisierte Teil wird in einer anderen Farbe angezeigt. Suchtreffer im nicht initialisierten Teil einer Datei werden als "Schlupf usw." gekennzeichnet. Die Tatsache, daß eine Datei auf dem Originaldatenträger nur teilweise initialisiert war (aber nicht das Ausmaß) wird auch in Containern gespeichert und erkennbar. All dies soll fachkundige Computerforensik-Spezialisten davor bewahren, falsche Schlüsse zu ziehen. Dieses Risiko besteht, weil Daten, die in den allozierten Clustern einer Datei gespeichert sind, alte Daten sein können, die auf dem Datenträger vorhanden waren, bevor die Cluster jener Datei zugewiesen worden, wenn die Cluster nie tatsächlich mit neuen Daten überschrieben worden sind. D. h. es kann sich um Daten handeln, die mit der Datei nichts zu tun haben, obwohl sie der logischen Dateigröße zufolge Teil der Datei sind. Typischerweise sind u. a. folgende Dateitypen oft nicht vollständig initialisiert: - Windows Registry - Windows Event Log (.evt and .evtx) - CRMLOG - Outlook PST - Outlook Express DBX - Windows MediaPlayer databases - Windows Reliability Monitor - SystemIndex Indexer CiFiles - Microsoft Network Downloader - Windows Font Cache - Windows Vista thumbcache - Windows rescache - Microsoft IME User Dictionary - Java .jsa ..außerdem Datenbank-Dateien, temporäre Dateien und generell Dateien, die von Anwendungen erzeugt wurden, die sich gern Speicherplatz vorab reservieren, aus Performanzgründen und/ oder um spätere Dateifragmentierung zu vermeiden. * Beim Extrahieren von E-Mails und Datei-Anhängen werden Datei-Anhänge nun Unterobjekte der jeweils zugehörigen E- Mail. (nur mit forensischer Lizenz) Das vereinfacht es deutlich, die Dateianhänge zu einer bestimmten E-Mail zu finden oder die E-Mail zu finden, die einen bestimmten Datei-Anhang enthält. Wegen dieses Verhältnisses (übergeordnetes und untergeordnetes Objekt) können Sie nun bequem die enthaltende E-Mail beim Kopieren von Anhängen mit in einen Container kopieren, oder beim Kopieren von E-Mails die zugehörigen Anhängen mit kopieren. Das Markieren einer E-Mail markiert auch ihre Datei-Anhänge. Das Markieren eines Datei-Anhangs markiert auch die enthaltende E-Mail, zumindest halb. Die alte Logik der E-Mail-Extraktion von v14.8 und älter, in der Datei-Anhänge in einem separaten Verzeichnis namens "Attach" gesammelt wurden, kommt noch immer zur Anwendung, wenn Sie keine Dateien mit Unterobjekte erlauben (s. Optionen | Verzeichnis-Browser). Beachten Sie, daß diese Option in künftigen Versionen früher oder später entfallen wird. Sie war in v14.8 nur aus Gründen der Kompatibilität mit älteren Versionen eingeführt worden. * Die Namen von angehängten und eingebetteten Dateien, die zu E-Mails im selben Ordner im selben E-Mail-Archiv gehören, werden nun normalerweise nicht mehr durch Einfügen einer laufenden Nummer in eckigen Klammen vor der Dateiendung künstlich eindeutig gemacht, so daß sie nun i. d. R. authentisch/original sind. * Die Wiedergabe des Rumpfes von E-Mails, die aus PST-Archiven bei Vorhandensein von Outlook 2003 oder neuer extrahiert werden, ist für asiatische Sprachen nun originalgetreuer. * Der Befehl im Kontextmenü des Verzeichnis-Browsers, der in früheren Versionen die enthaltende E-Mail zu einem gegebenen Datei-Anhang gefunden hat, wurde umbenannt in "Übergeordnetes Objekt aufsuchen", in das Untermenü "Position" verschoben und kann nun auf _beliebige_ Dateien angewandt werden. Seine Funktion ist nun identisch mit der Rücklöschtaste (Backspace), und er ist nun mit allen Lizenzarten verfügbar. Außerdem verläßt er eine rekursive Ansicht nicht mehr zugunsten einer nicht-rekursiven Ansicht, wenn das übergeordnete Objekt in dieser rekursiven Ansicht bereits enthalten ist. * Auch nach dem Erkunden eines Verzeichnisses durch Anklicken
im Verzeichnisbaum finden Sie nun einen ".."-Eintrag ganz oben
im Verzeichnis-Browser, den Sie doppelt anklicken können, um
aufwärts zum jeweiligen Elternverzeichnis zu navigieren, genau
wie mit der Rücklöschtasten. * Besser strukturierte und optisch ansprechendere Präsentation
der internen Datei-Metadaten im Details-Modus für verschiedene
Dateitypen. (nur mit forensischer Lizenz) * Ein Fehler wurde behoben, der unter bestimmten Umständen die
Signatursuche eine Datei erneut finden ließ, obwohl sie bereits
im Datei-Überblick enthalten war und eine Verdoppelung vermieden werden sollte. |
#108: WinHex, X-Ways
Forensics und X-Ways Investigator 14.8 veröffentlicht 27. Feb. 2008 |
In dieser Ausgabe dieses Newsletters informieren wir Sie
über ein größeres Update, die Version 14.8. Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter https://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics" 3.-5. März (Warteliste) "Dateisysteme" 6.+7. März (1 Platz frei) "X-Ways Forensics" 26.-28. Mai (Plätze frei) "X-Ways Forensics" 2.-4. Juni (1 Platz frei) "X-Ways Forensics" 13.-15. Okt. (Plätze frei) "Dateisysteme" 16.+17. Okt. (Plätze frei) Details unter https://www.x-ways.net/training/index-d.html. ------------------------------------------------------------- Was ist neu? * Es ist jetzt möglich, JPEG-Bilder aus Video-Dateien zu extrahieren, in benutzerdefinierten Zeitabständen (z. B. alle 20 Sekunden). Dies ist außerordentlich hilfreich, wenn Sie viele Videos systematisch auf illegalen oder sonstwie relevanten Inhalt prüfen müssen. Das Betrachten extrahierter Bilder in der Galerie ist viel schneller und weniger anstrengend als ein Video nach dem anderen ganz anschauen zu müssen, da die Datenmenge sich beträchtlich reduziert und die Extraktionsprozeß unbeaufsichtigt, etwa über Nacht, laufen kann. Selbst wenn der Inhalt sich mitten im Video ändert (z. B. Kinderpornographie versteckt in einem Familien- oder Urlaubsvideo), kann der Betrachter dies erkennen sofern der gewählte Zeitabstand nicht zu groß ist. Auch nützlich, wenn Sie Standbilder in einen gedruckten oder auf dem Bildschirm zu präsentierenden Bericht einbinden möchten. Die extrahierten Bilder eines jeden Videos werden entweder als Unterobjekte der Video-Datei selbst gesammelt oder in einem virtuellen Verzeichnis, das nach der Videodatei benannt ist, als virtuelle Dateien, immer unterhalb desselben Pfades wie die ursprüngliche Videodatei. Daher ist es ein Leichtes, von relevanten Standbilder auf das Video zurückzuschließen, insbesondere da die Standbilder nach dem jeweiligen Zeitindex benannt werden. Das erste extrahierte Bild eines Videos dient gleichzeitig als Vorschaubild der Videodatei im Vorschau- und Galeriemodus. ASF/WMV-Videos, die mit digitalem Rechte-Management (DRM) geschützt sind, können nicht verarbeitet werden und werden konsequenterweise in der Attributsspalte mit e! gekennzeichnet. Erfordert ein externes Programm, entweder die Nicht-GUI-Version von MPlayer(http://www.mplayerhq.hu/design7/dload.html) und das zugehöriger separat herunterladbaren Codec-Package (ins Unterverzeichnis "codecs" von MPlayer extrahieren), oder Forensic Framer (http://www.kuiper.de/). Das Programm muß in Optionen | Viewer-Programme ausgewählt werden. Bilder können von diesen Video-Formaten und Codecs extrahiert werden: http://www.mplayerhq.hu/DOCS/HTML/en/video-formats.html http://www.mplayerhq.hu/DOCS/codecs-status.html
* Das Dialogfenster Optionen | Viewer-Programme erlaubt es nun,
ein zusätzliches externes Programm speziell zum Betrachten von
Videodateien festzulegen (nur mit forensischer Lizenz). Wenn
definiert, sendet ein Doppelklick Videodateien direkt an dieses
externe Programm. Wenn MPlayer von X-Ways Forensics erkannt
wird (oder Forensic Framer, der MPlayer enthält), wird der
MPlayer voreingestellt.
Beachten Sie noch Folgendes, wenn Sie viel mit Containern arbeiten: Wenn Sie Dateien, deren Elternobjekte andere Dateien (und keine Verzeichnisse) sind, in Container kopieren, werden ältere
Version von X-Ways Forensics und X-Ways Investigator das Eltern-Kind-Verhältnis nicht verstehen und die Unterobjekte daher in
"Pfad unbekannt" anzeigen. Aus Kompatibilitätsgründen ist es
daher optional möglich, X-Ways Forensics wie bisher virtuelle
Verzeichnisse statt Dateien mit Unterobjekten verwenden zu lassen
(Optionen | Verzeichnis-Browser).
* Die Ausnahmeliste für den Indexierungsalgorithmus, wenn vom
Benutzer aktiviert, wurde seit v14.3 nicht mehr richtig verwendet.
Dies wurde behoben mit v14.7 SR-7. |
#107: WinHex, X-Ways
Forensics und X-Ways Investigator 14.7 veröffentlicht 17. Jan. 2008 |
In dieser Ausgabe dieses Newsletters informieren wir Sie über ein
beachtenswertes Update, die Version 14.7. Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter https://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics" 3.-5. März 2008 (Warteliste) "Dateisysteme" 6.+7. März 2008 (1 Platz frei) "X-Ways Forensics" 2.-4. Juni 2008 (Plätze frei) Details unter https://www.x-ways.net/training/index-d.html. ------------------------------------------------------------- Was ist neu? * Das virtuelle Verzeichnis "Pfad unbekannt" für NTFS-Partitionen ist nun oftmals viel differenzierter aufgebaut. Es identifiziert Dateien und Unterverzeichnisse, deren ursprüngliche Elternverzeichnisse zwar unbekannt sind, aber bekanntermaßen dieselben sind. Solche Dateien und Unterverzeichnisse werden dann jeweils in einem einzigen generisch benannten virtuellen Verzeichnis gesammelt, weil sie ja ursprünglich zusammengehörten. Das erleichtert es, eine Vorstellung davon zu gewinnen, was dieses Verzeichnis mal war, und die Dateien darin als relevant oder irrelevant einzustufen. Dies betrifft nur von 14.7 neu erstellte Datei-Überblicke. * Die intensive Dateisystem-Datenstruktur-Suche auf NTFS-Partitionen fördert nun noch mehr Spuren ehemals existierender Dateien zutage als in früheren Versionen, einschließlich frühere Namen und frühere Pfade von umbenannten/verschobenen Dateien. (nur mit forensischer Lizenz) * Verbesserte Resultate einer intensiven Dateisystem-Datenstruktur-Suche auf NTFS-Partitionen, die noch als solche erkannt werden, deren MFT aber beschädigt ist und nicht mehr gelesen werden kann. * Unterstützung für dynamische Volumes, die auf GUID-partitionierten Datenträgern (GPT) definiert sind. Solche dynamischen Volumes können unter Windows Vista und den 64-Bit-Versionen von Windows XP und Windows 2003 Server betrieben werden. * Findet nun automatisch alle Partitionen auf Festplatten, die sowohl gültige GPT- als auch MBR-Partitionsdefinitionen enthalten. * Partitionen, die mit exFAT formatiert sind, werden nun als solche erkannt. (Das bedeutet nicht, daß das exFAT-Dateisystem nun nativ unterstützt wird.) * Das Fortschrittsanzeigefenster ist für die intensive Dateisystem-Datenstruktur-Suche auf NTFS und für die Datei-Header-Signatur-Suche nun etwas informativer. * Fortschrittsanzeigefenster und Möglichkeit zum Abbruch für die Metadaten-Extraktion. * Extrahierte Metadaten wurden zuvor der Kommentarspalte hinzugefügt. Jetzt werden sie in einer separaten Spalte und mit einem eigenen Filter für Metadaten erfaßt, und die Kommentarspalte ist nun wieder ausschließlich den Kommentaren des Benutzers vorbehalten. * Metadaten-Extraktion aus Dateien vom Typ RTF, MP4, 3GP, M4V, M4A, RIFF (.wav, .avi, ...) und IE-Cookies. (nur forensische Lizenz) * Intelligente Dateigrößenerkennung für MP4, 3GP, M4V, M4A, MOV, DBX bei der Datei-Header-Signatursuche und bei Dateien retten nach Typ. Verbesserte JPEG-Größen-erkennung und -abschätzung. * File Header Signatures.txt weiter ausgebaut. * PDF-Dokumente mit alten, unsichtbaren Bearbeitungsständen desselben Dokuments werden automatisch mit einer besonderen Berichtstabelle verknüpft, sobald sie im Details-Modus gesehen oder ihre interne Metadaten extrahiert wurden. (nur mit forensischer Lizenz) Mit dem Wissen, daß alte Revisionen enthalten sind, können versierte Benutzer diese dann bei Interesse sichtbar machen. * Extrahiert die interne Erzeugungszeitstempel von Cookies des Internet Explorer, Norton Ghost .gho und PGP pubring.pkr Keyring-Dateien. (nur mit forensischer Lizenz) * Unterstützung von INFO2-Dateien im Preview-Modus/beim Einsehen. * Möglichkeit, die meisten SPL-Drucker-Spool-Dateien einzusehen. Möglichkeit, EMF-Dateien aus SPL-Drucker-Spool-Dateien mit mehreren Seiten zu extrahieren (s. Datei-Überblick erweitern, nur mit forensischer Lizenz). * thumbs.db-Dateien und viele Windows-Registry-Dateien, die über die Datei-Header-Signatursuche gefunden werden, werden nun mit ihrem ursprünglichen Namen aufgelistet bzw. wiederhergestellt. Intelligente Größenerkennung für Windows-Registry-Dateien. * Microsoft-XPS-Dokumente werden nun wie Archive behandelt, so daß insbes. die XML-Dateien darin bei logischen Suchen ordnungsgemäß abgedeckt werden (natürlich wie üblich nur sofern der Inhalt von Archiven mit den Dateiüberblick aufgenommen wurde). * Möglichkeit, bequem die E-Mail zu finden, die den ausgewählten Dateianhang enthält, über einen neu eingeführten Befehl im Verzeichnis-Browser-Kontextmenü. (Nur mit forensischer Lizenz.) Nicht für AOL PFC. * Dateianhänge und eingebettete Dateien in E-Mails, die selbst Anhänge von anderen E-Mails sind (da z. B. in dieser Form weitergeleitet), können nun aus der äußeren E-Mail extrahiert werden, wenn Sie der Reihe von Dateinamensmasken für die E-Mail-Extraktion *.eml hinzufügen. * Korrekte Unicode-Konvertierung von und zu den Windows-Codepages zwischen Nr. 50220 und 50230. * Beim erneuten externen Betrachten einer Datei, die bereits zuvor in das Verzeichnis für temporäre Dateien zum externen Betrachten kopiert wurde und dort noch liegt, wird die Datei nun nicht noch einmal dorthin kopiert, was insbes. bei großen Video-Dateien Zeit spart. * Möglichkeit, sofort und automatisch neu erzeugte Roh-Images und .e01-Evidence-Files zu verifizieren, indem deren Hash-Werte mit den Images neu berechnet werden. (nur mit forensischer Lizenz) * Option, ein Asservats im aktiven Fall sofort durch ein von ihm erzeugtes Image zu ersetzen, wenn ein Datenträger gesichert wird, der ein Asservat des aktiven Falls ist. * Beim Erzeugen von Roh-Image-Dateien oder .e01-Evidence-Files von Volumes/Partitions mit WinHex gibt es nun eine Option, freie Cluster in Form von Nullbytes zu speichern. (nur mit Specialist- oder forensischer Lizenz). Das ist nützlich, wenn Sie das Image zu Backup-Zwecken und nicht zu forensischen Zwecken erstellen, um zusammen mit der Komprimierungsoption Plattenplatz zu sparen. Diese Option ist nicht in X-Ways Forensics verfügbar, um die versehentliche Erzeugung von nicht forensisch einwandfreien Images von vornherein auszuschließen. * Möglichkeit, die NTFS-Kompression für neu erzeugte Roh-Image-Dateien in Datei | Datenträger-Sicherung direkt festzulegen: keine, Sparse oder normale Kompression. * Nun vollständige Unicode-Unterstützung im technischen Detailbericht, in der technischen Beschreibung von Asservaten und in der technischen Beschreibung in .e01-Evidence-Dateien. * Verbesserte Unicode-Unterstützung für textuelle Registry-Einträge im Registry-Viewer und im Registry-Bericht. * Im Registry-Bericht können Binärdaten wie "RecentDocs" nun optional als Unicode-Text interpretiert werden, was es z. B. erlaubt, Dateinamen zu erkennen, die aus Buchstaben bestehen, die nicht in der Codepage Lateinisch 1 enthalten sind. * Der automatisch vorgeschlagene Dateiname für den Registry-Bericht hängt nun von der verwendete Definitionsdatei ab. Nützlich, um versehentliches Überschreiben von Berichten zu verhindern, die auf anderen Registry-Schlüssel basieren und zu anderen Zwecken erstellt wurden, und um leicht den Zweck des Berichts ersehen zu können, sofern die Definitionsdatei bereits geeignet benannt war. * Wenn Sie einen Eintrag in einem geladenen Hive im Registry-Viewer anklicken und sich das Datenfenster mit dem Datenträger/ Image, von dem aus der Hive geladen wurden, im Dateimodus befindet, springt der Cursor nun automatisch auf den jeweiligen Eintrag in der Registry-Datei im Dateimodus, und er wird automatisch in der Datei als Block ausgewählt. Dies erlaubt es einem, insbes. binäre Registry-Einträge sowohl hexadezimal als auch als Text zu sehen, und Binäreinträge leicht in Binärform oder als Text zu kopieren, nicht nur als Hex-ASCII wie zuvor. * Möglichkeit, die Copylog-Datei als tabulatorseparierte ASCII- oder Unicode-Textdatei anstelle von HTML mitschreiben zu lassen. Darüber hinaus gibt es nun eine Option, nur den Zieldateinamen und -pfad und gar keine ursprünglichen Metadaten in zusätzlichen Spalten auszugeben. Auch andersherum hat der Benutzer die Wahl, nur die ursprünglichen Metadaten auszugeben und keinen Zieldateinamen und -pfad. * Neue Option: Die in einem Datenfenster angezeigten Bytes können nun in der Textspalte einzeln dargestellt werden, oder WinHex kann versuchen sie zu kombinieren, was wenn die in Windows aktive Codepage ein Doppel-Byte-Zeichensatz ist wünschenswert sein kann, um die Zeichen richtig angezeigt zu bekommen (wenn 2 Bytes 1 Zeichen entsprechen), oder aus optischen Gründen wegen der dann variablen Zeilenlänge auch nicht wünschenswert sein kann. * Beim verteilten Indexieren versucht X-Ways Forensics nun Unterschiede in den jeweiligen Indexierungseinstellungen der diversen Beteiligten zu erkennen (Optionen wie Codepages, Teilwortberücksichtigung, Zeichenvorrat usw.). Wenn erkannt, bekommt zumindest einer der Beteiligten eine Warnung angezeigt, bevor das Indexieren auf seinem Computer startet. In einer gemeinsamen Indexierungsoperation sollten natürlich die Einstellungen auf allen Computern gleich sein. * Interpretierte Roh-Images werden nun im Dialogfenster "Zieldatenträger wählen" der Funktion Extras | Disk-Tools | Datenträger klonen zur Auswahl angeboten. Nur mit Specialist- oder forensischer Lizenz. Nicht in X-Ways Forensics. Nützlich, wenn Sie selektiv bestimmte in Sektoren ausgedrückte Bereiche von einem Image oder einem Datenträger in ein anderes, bereits bestehendes Image hineinkopieren möchten. * Die Logs für Datei-Überblick erweitern, logische Suche und die Indexierung, die die internen IDs der verarbeiteten Dateien enthalten, um im Falle eines Absturzes die dafür verantwortliche Datei identifizieren zu können, werden nun nicht mehr in separaten Log-Dateien gespeichert und nicht mehr im Metadaten-Verzeichnis des jeweils betroffenen Asservats. Stattdessen wird nun eine einzige Datei namens "VS.log" in dem Verzeichnis erzeugt, in den X-Ways Forensics ausgeführt wird, und sie wird bei jeder neuen Operation wieder überschrieben. Das bedeutet, daß Sie nicht mehr nach der richtigen Log-Datei der letzten Operation zu suchen brauchen, und es wird auch Plattenplatz gespart. Wie zuvor können Sie der letzten Zeile in einer solchen Datei die interne ID der zuletzt verarbeiteten Datei entnehmen. Neu: Die Art der Operation und der Name des betreffenden Datenträgers/Images können Sie aus der ersten Zeile ersehen. * Es wurde ein Ausnahmefehler behoben, der im Zusammenhang mit sehr langen Image-Dateinamen und -Pfaden auftreten konnte. * Es wurde ein Fehler behoben, der dazu führte, daß bestimmte GREP-Suchtreffer wie Unicode-Treffer angezeigt wurden. (seit v14.6 SR-1) * Drei neue investigator.ini-Options: Verhindern des Neueinlesens des Datei-Überblicks. Verhindern, daß beliebige Dateien extern mit dem jeweils verknüpften Programm geöffnet werden. Verhindern, daß andere externe Viewer-Programme festgelegt werden. * Zwei neue investigator.ini-Optionen seit v14.6 SR-2: Verhindern des Entfernens von Asservaten aus dem Fall. Nichtverfügbarkeit des Befehls Wiederherstellen/Kopieren. Dieser Befehl ist in X-Ways Investigator nach wie vor nie verfügbar. Tatsächlich gedacht ist diese Option nur für X-Ways Forensics, wenn X-Ways Forensics aus Gründen der vereinfachten Bedienbarkeit für Nicht-Computerspezialisten mit der Benutzeroberfläche von X-Ways Investigator betrieben wird, dieser Befehl aber doch verfügbar sein soll. * Verzeichnisse in PST-E-Mail-Archiven, deren Namen echte Unicode-Zeichen enthalten, können nun beim Extrahieren von E-Mail repliziert werden. Dies schlug bisher unter Verweis auf unzulässige Verzeichnisnamen fehl. Die Unicode-Zeichen gehen aber nach wie vor verloren und werden durch einen Unterstrich ersetzt. (seit v14.6 SR-2) * Ein Ausnahmefehler wurden behoben, der beim Betrachten bestimmter Suchtreffer im Vorschaumodus auftreten konnte. (seit v14.6 SR-2) * Es wurde ein Fehler behoben, der dazu führen konnte, daß beim Anzeigen von Sektoren hinter der 2-TB-Grenze eines Datenträgers oder Images nicht die richtigen Daten angezeigt wurden. (seit v14.6 SR-2) * Verzeichniseinträge in weiteren Clustern nach dem ersten Cluster von Verzeichnissen in FAT12-/FAT16-Dateisytemen, die Unterverzeichnisse des Stammverzeichnisses sind und deren Namen nur aus 1-2 Zeichen bestehen, wurden bisher ignoriert. Dateien, die in solchen Verzeichniseinträge definiert waren, konnten nur über eine Datei-Header-Signatur-Suche gefunden werden. Dies wurde behoben. (seit v14.6 SR-3) * Einige Instabilitäten in der Unterstützung für bestimmte Dateitypen wurden korrigiert. (seit v14.6 SR-3) * Viele kleinere Verbesserungen, einige kleinere Fehlerkorrekturen. |