X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

#112: WinHex, X-Ways Forensics und X-Ways Investigator 15.1 veröffentlicht

3. Sep. 2008

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 15.1.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter https://www.x-ways.net/winhex/license-d.html .

-------------------------------------------------------------

Nächste allgemein zugängliche Schulungstermine in Köln:
"X-Ways Forensics" 13.-15. Okt. (Warteliste)
"Dateisysteme" 16.+17. Okt. (Warteliste)
"X-Ways Forensics" 2.- 4. Dez. (Plätze frei)
Details unter https://www.x-ways.net/training/index-d.html.

-------------------------------------------------------------

Was ist neu?

* Möglichkeit, einfache Versuche zu erkennen, Dateien beliebigen Typs als ausführbare Dateien zu maskieren. Solche Dateien werden nicht mehr als ausführbare Dateien bestätigt. Nur mit forensischer Lizenz.

* Ungewöhnliche ausführbare Dateien können nun leichter ausfindig gemacht werden, da sie speziellen Berichtstabellen zugeordnet werden, wenn sie unbekannte Segmente oder ein unerwartetes Dateiende aufweisen. Nur mit forensischer Lizenz.

* Es kann nun besser unterschieden werden zwischen diversen exe-Dateitypen, incl. Altformate, DLLs, Fonts, VXDs und anderen Treibern (siehe Typ-Spalte nach Typprüfung). Nur mit forensischer Lizenz.

* Besondere Unterstützung für ausführbare Dateien bei der Datei-Header-Signatursuche. Die Dateigröße und der genaue Dateityp werden erkannt. Die exakte Dateigröße hilft dabei, bekanntermaßen irrelevante Dateien mit Hilfe von Hash-Datenbanken auszuschließen.

* Größenerkennung für besonders große Zip-Archive bei der Datei-Header-Signatursuche. Größenerkennung für 7zip-Archive.

* Es ist jetzt möglich, auch übergeordnete und Unterobjekte einer ausgewählten Datei automatisch einer Berichtstabelle hinzuzufügen. Nützlich z. B., wenn Sie nicht nur eine bestimmte E-Mail in einen Bericht aufnehmen möchten, sondern auch deren Anhänge, oder andersherum, oder nicht nur bestimmte Standbilder aus Videos, sondern auch das ganz zugehörige Video selbst. Berichtstabellen-Verknüpfungen können auch von übergeordneten und Unterobjekten in einem einzigen Schritt entfernt werden. Nur mit forensischer Lizenz.

* Dateien, die Unterobjekte einer *Datei* sind (d. h. deren übergeordnetes Objekt kein Verzeichnis ist), werden nun im Verzeichnis-Browser gesondert mit 3 hellblauen Punkten in der oberen linken Ecke des Icons gekennzeichnet, um auf diese Besonderheit hinzuweisen.

* Lange Listen von Dateinamen können nun direkt als Dateinamensfilter eingesetzt werden. Mehrere Dateinamen oder Dateinamensmasken werden nicht mehr per Semikolon verkettet, sondern 1 pro Zeile eingegeben oder aus der Zwischenablage eingefügt. Nützlich, wenn Sie eine Liste relevanter Dateien oder Stichwörter haben und schnell herausfinden möchten, ob Dateien mit solchen Namen vorhanden sind.

* Beim Extrahieren von Miniaturansichten aus JPEGs werden diese nun als Unterobjekte der jeweiligen JPEG-Datei angezeigt. Solche Miniaturansichten und andere generisch benannten eingebetteten Bilder werden nun als virtuelle Dateien klassifiziert. Nur mit forensischer Lizenz.

* Angehängte externe Dateien werden nun immer als Unterobjekte des gewählten Objekts hinzugefügt, selbst wenn Sie nur eine einzige Datei anhängen, es sei denn, Sie halten die Umschalt-Taste gedrückt. Es ist jetzt auch möglich, externe Dateien an ein Verzeichnis anzuhängen. Nur mit forensischer Lizenz.

* Möglichkeit, dem Datei-Überblick auch im Datei-Modus einen gewählten Block als virtuelle Datei hinzuzufügen (Bearbeiten-Menü). In diesem Fall wird die Datei als Unterobjekt der Originaldatei angeordnet. Nur mit forensischer Lizenz.

* Die NTFS-System-Datei $UsnJrnl kann nun besonders eingesehen werden, ein weiteres einzigartiges Feature. Nur mit forensischer Lizenz.

* Die Untersuchung von $LogFile als Teil der intensiven Dateisystem-Datenstruktur-Suche in NTFS-Dateisystemen ist nun noch vollständiger. Nur mit forensischer Lizenz.

* Die Interpretation von $LogFile für den Einsehen-Befehl/den Vorschau-Modus ist nun vollständiger. Sie zeigt jetzt auch das von der Datei abgedeckte Zeitintervall an (s. ganz unten in der Darstellung), so daß leicht feststellbar ist, ob relevante Zeitpunkte überhaupt in der betreffenden $LogFile-Datei enthalten sind. Es ist jetzt auch leichter, den Löschzeitpunkt einer Datei herauszufinden oder zumindest einzugrenzen, wenn dieser Vorgang zeitlich in der abgedeckten Rahmen fällt, indem man nach einer "Undo: Initialize File Record Segment"-Operation für die betreffende Datei sucht oder indem man nach der LSN aus dem Header des FILE-Records der betreffenden Datei sucht. Der folgende EndPage- Ausdruck zeigt dann jeweils den Zeitrahmen der Operation an. Generell verbesserte Darstellung. Nur mit forensischer Lizenz.

* Möglichkeit, FAT32-Dateisysteme auszuwerten, deren Haupt-Bootsektor defekt ist, sofern der Backup-Bootsektor noch vorliegt. Möglichkeit, FAT32-Partitionen automatisch bei der Suche nach verlorenen Partitionen zu finden, auch wenn der Haupt-Bootksektor defekt ist.

* Umgang mit extrem großen Verzeichnissen in FAT-Dateisystemen.

* Das Kopieren von Dateien aus einem Image auf eigene Laufwerke oder in einen Container funktioniert intern nun leicht anders. Diese Operationen können den Inhalt von ausgewählten Verzeichnissen nun auch in einer bereits rekursiven Ansicht berücksichtigen, und wenn man diese Möglichkeit nutzt, wird automatisch sichergestellt, daß zugleich direkt und indirekt ausgewählte Dateien nicht mehrfach kopiert werden. Auch wenn dieselbe Datei in einer Suchtrefferliste mehrfach aufgelistet ist, weil sie mehrere Suchtreffer enthält, und mehrfach ausgewählt ist, wird sie nur noch einmal kopiert, was sehr komfortabel ist. Eine weitere Folge ist, daß Sie die Meldung "Diese Operation kann in einer bereits rekursiven Ansicht nicht in ausgewählte Verzeichnisse verzweigen." nicht mehr sehen werden. Ein weiterer Vorteil ist, daß es nun 3 statt 2 Optionen für das Wiederherstellen des Originalpfads in dem Ausgabe-Ordner bzw. Datei-Container gibt:
vollständiger Pfad, kein Pfad oder teilweiser Pfad (basierend auf dem gegenwärtig erkundeten Verzeichnis, nicht vom Asservat-Überblick aus verfügbar).

* Der Befehl Wiederherstellen/Kopieren erlaubt es nun optional, Dateien mit überlangen Pfaden auszugeben (mehr als 260, bis 510 Zeichen, für Ausgabepfad + Originalpfad + Originaldateiname). Beachten Sie, daß Sie solche Dateien anschließend mit gewöhnlichen Tools wie dem Windows-Explorer nicht weiterverarbeiten können (weder ansehen noch kopieren noch löschen). Diese Option ist nützlich, wenn Sie auf diese Dateien mit Tools zugreifen, die überlange Pfade unterstützen. Ansonsten können Sie die Pfadlänge wie zuvor auf 260 Zeichen beschränken und Berichtstabellen-Verknüpfungen für ausgelassene Dateien erhalten. Nur mit forensischer Lizenz.

* Eine neue Option namens "empfehlenswerte Datenreduktion" für die logische Suche und die Indexierung spart Zeit, indem sie den logischen Teil bestimmter Dateien automatisch ausschließt: Dateiarchive wie ZIP und RAR, deren Inhalte bereits in den Datei-Überblick aufgenommen wurden, sowie PST- und DBX-E-Mail- Archive, deren E-Mails und Datei-Anhänge bereits extrahiert wurden. Letzteres ist besonders für die Indexierung hilfreich, weil Base64-Code den Index sonst extrem aufbläht und den Indexierungsvorgang stark verlangsamt.

* Es gibt nun einen "NICHT"-Operator im Attributfilter, der es erlaubt, alternative Datenströme, Symlinks, Dateien mit unbekanntem Inhalt usw. usf. herauszufiltern, wenn Sie solche Dateien *nicht* sehen möchten.

* Es gibt nun eine Fortschrittsanzeige für die Hash-Berechnung beim Erzeugen von Hash-Sets.

* Das Klonen von Datenträgern wird nun in Log-Dateien mit jeweils eindeutigem Namen protokolliert, der auf der Startzeit basiert.

* Möglichkeit, ausgewählte Dateien im Datei-Überblick so auf den Urzustand zurückzuversetzen, daß die diversen Optionen in der Funktion "Datei-Überblick erweitern" auf sie erneut zugreifen würden, auch wenn dies schon vorher passiert ist. Diese Funktion ist über Strg+Entf anwendbar. Sie räumt nicht hinter den ausgewählten Dateien auf, d. h. löscht z. B. nicht etwaige bereits extrahierte Unterobjekte aus dem Datei-Überblick, aber das ist ja manuell anderweitig möglich.

* Der Anwendungsbereich einer Suche, die vom Falldatenfenster aus ausgeführt wurde, war nicht konsistent. Dies wurde behoben.

* Die italienische Übersetzung wurde aktualisiert.

* Eine Fehler im neuen Indexierungsalgorithmus von v15.0 wurden behoben.

* Diverse kleinere Verbesserungen.

* Die Protokollierungsoption für den Befehl Wiederherstellen/Kopieren verlangsamt das Kopieren besonders vieler Dateien nicht mehr. (seit v15.0 SR-3)

* Gelegentliche Nichtverfügbarkeit des Druckbefehls im Kontextmenü korrigiert. (seit v15.0 SR-3)

* Ein Ausnahmefehler wurde behoben, der beim Ausführen einer Datei-Header-Signatursuche bei aktiver Darstellung einer Suchtrefferliste auftreten konnte. (seit v15.0 SR-3)

* Ein beim Beenden einer Suche verkleinertes Hauptfenster stellt kein Problem mehr dar. (seit v15.0 SR-3)

* Ein Ausnahmefehler wurden behoben, der beim Sichern eines aus Image-Dateien wiederhergestellten RAIDs in ein Image auftreten konnte. (seit v15.0 SR-3)

* Ein Fehler im Verzeichnis-Browser wurde behoben, der nach dem Erweitern des Datei-Überblicks oder nach der Rückkehr aus einer Suchtrefferliste auftreten konnte. (seit v15.0 SR-3)

* Intelligente Größenerkennung beim Carven von .tar-Archiven. (seit v15.0 SR-4)

* Ein Fehler wurde behoben, der die Interpretation eines e01-Evidence-Files mit vielen Segmenten unterbrechen konnte. (seit v15.0 SR-4)

* Dateien, die Ausnahmefehler oder Abstürze während der massenweise Metadaten-Extraktion hervorrufen, werden dem Benutzer vom Programm nun besonders zur Kenntnis gebracht, so daß sie leicht identifiziert, unterdrückt und/oder an uns weitergeleitet werden können. (seit v15.0 SR-5)

* Eine Instabilität bei der Extraktion von Metadaten aus Cookies des Internet Explorer wurde behoben. (seit v15.0 SR-7)

* Ein Ausnahmefehler wurde behoben, der beim Klick auf eine Position im Positions-Manager auftreten konnte. (seit v15.0 SR-5)

* Ein Ausnahmefehler wurde behoben, der beim Verarbeiten von großen AOL-PFC-Dateien auftreten konnte. (seit v15.0 SR-7)

-------------------------------------------------------------

Zugriffsmöglichkeit auf Datenträger über ein Netzwerk ( https://www.x-ways.net/forensics/f-response-d.html ) demnächst auch auf Zielcomputer mit Linux und OS X.

 

#111: X-Ways Forensics 15.0 SR-2 veröffentlicht; Zugriffsmöglichkeit auf Datenträger im Netz

11. Jul. 2008

In dieser Ausgabe dieses Newsletters informieren wir Sie über * Zugriffsmöglichkeit auf Datenträger über ein Netzwerk und * v15.0 SR-2 von WinHex, X-Ways Forensics und X-Ways Investigator.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote
unter https://www.x-ways.net/winhex/license-d.html .

-------------------------------------------------------------

Nächste allgemein zugängliche Schulungstermine in Köln:
"X-Ways Forensics" 13.-15. Okt. (Plätze frei)
"Dateisysteme" 16.+17. Okt. (Plätze frei)
Details unter https://www.x-ways.net/training/index-d.html.

Termine für gemischte Teilnehmergruppen interational:
https://www.x-ways.net/training/index.html

-------------------------------------------------------------

Was ist neu?

* Wenn Sie an entfernte Computer im Netz angeschlossene Datenträger untersuchen möchten, dann können wir Ihnen dafür jetzt eine Lösung anbieten! Verwenden Sie F-Response in Verbindung mit X-Ways Forensics. Damit können Sie die überlegene Analyse-Funktionalität, die Sie von X-Ways Forensics kennen, auch auf solche Netzlaufwerke anwenden, z. B. im unternehmenseigenen Netz. Details finden Sie unter >>>>> https://www.x-ways.net/forensics/f-response-d.html <<<<<.

Dank einer Vereinbarung zwischen Agile Risk Management LLC und X-Ways Software Technology AG können Sie F-Response von X-Ways einzeln erwerben, oder mit einem besonderen Rabatt im Bundle mit X-Ways Forensics,

Neuerungen in X-Ways Forensics:

* Wenn aufeinanderfolgend mit MPlayer aus Videos extrahierte Einzelbilder identisch sind, werden sie nicht mehr in den Datei-Überblick aufgenommen (Duplikatsvermeidung). (seit v15.0 SR-1)

* Es ist jetzt möglich, ganz kurze Intervalle (bis zu 1 Sekunde) für die Einzelbild-Extraktion anzugeben. Ob Sie damit tatsächlich zusätzliche, unterschiedliche Einzelbilder bekommen, hängt von der Codierung und Kompression der jeweiligen Video-Datei ab. (seit v15.0 SR-1)

* Für Images von optischen Datenträgern, die sowohl ein CDFS- als auch ein UDF-Dateisystem haben und die einem Fall als Asservate hinzugefügt werden, fragt X-Ways Forensics den Benutzer nun nur noch beim ersten Mal nach dem auszuwertenden Dateisystem. (seit v15.0 SR-1)

* Von X-Ways Forensics selbst erzeugte Berichtstabellenverknüpfungen (im Gegensatz zu den vom Benutzer erzeugten) werden im Verzeichnis-Browser nun durch graue statt grüne Dreiecke dargestellt, was es leichter macht, die beiden voneinander zu unterscheiden. (seit v15.0 SR-1)

* Die Maximalzahl von Berichtstabellen in einem Fall wurde auf 128 erhöht. (seit v15.0 SR-2)

* Möglichkeit, die Datei-Header-Signatur-Suche auf einen bestimmten Sektorenbereich einzuschränken, wenn ein Block definiert ist. Dies ist nützlich, wenn zum Beispiele ein vorherige Signatur-Suche unterbrochen wurde, um Zeit zu sparen. (seit v15.0 SR-2)

* Die Größe von PSD-Dateien wird bei der Datei-Header-Signatur-Suche nun intelligent erkannt. (seit v15.0 SR-2)

* Viele andere kleinere Verbesserungen.

* Zwei Fehler im neuen Indexierungsalgorithmus der Version 15.0 wurden gefunden und behoben. Der Index war nicht 100%ig vollständig, und unter bestimmten Umständen kam es zu einer Endlosschleife und/oder den Fehlern 1074 und 1075. (seit v15.0 SR-1)

* Ein weiterer Fehler wurde behoben, der den neuen Indexierungsalgorithmus unter bestimmten Umständen am kompletten Durchlaufen hinderte. (seit v15.0 SR-2)

* Die Fehlermeldung, die gelegentlich zu Unrecht behauptete, daß die Viewer-Komponente erst noch aktiviert werden mußte, tritt nun nicht mehr auf. (seit v15.0 SR-1)

* Ein Ausnahmefehler ist behoben worden, der beim Lesen von ehemals existierenden Dateien auftreten konnte, deren Datenposition unbekannt ist. (seit v15.0 SR-2)

* Ein Fehler beim Exportieren der Suchtrefferspalte mit Kontext wurde behoben. (seit v15.0 SR-2)

* Ein Ausnahmefehler wurde behoben, der beim Zusammensetzen von RAIDs aus Image-Dateien auftreten konnte. (seit v15.0 SR-2)

 

#110: WinHex, X-Ways Forensics und X-Ways Investigator 15.0 veröffentlicht

2. Jun. 2008

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 15.0.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter https://www.x-ways.net/winhex/license-d.html .

-------------------------------------------------------------

Nächste allgemein zugängliche Schulungstermine in Köln:
"X-Ways Forensics" 13.-15. Okt. (Plätze frei)
"Dateisysteme" 16.+17. Okt. (Plätze frei)
Details unter https://www.x-ways.net/training/index-d.html.

-------------------------------------------------------------

Was ist neu?

* Der Indexierungsalgorithmus in X-Ways Forensics wurde mit großem Aufwand überarbeitet. Er nutzt nun explizit mehrere Prozessorkerne, sofern vorhanden, und läuft bei Vorhandensein mehrerer Kerne schneller, insbesondere wenn man die für die (optionale) Optimierung benötigte Zeit einberechnet.

* Die Dateityp-Signaturen-Datenbank unterscheidet nun zwischen Signaturen, die nur für die Dateityp-Prüfung nützlich sind (um den Typ von solchen Dateien herauszufinden, die bereits im Datei-Überblick enthalten sind, nur mit forensischer Lizenz) und Signaturen, die stark und wichtig genug sind, um sie auch für die Datei-Header-Signatur-Suche einzusetzen, d. h. um weitere, ehemals existierende Dateien zu finden. Dazu liegen X-Ways Forensics nun zwei verschiedene Definitionsdateien bei.

Der Sinn liegt darin zu verhindern, daß arglose Benutzer einfach *alle* Dateitypen für die Suche auswählen, bei schwachen Signaturen zu viele falsche Treffer bekommen, zu viele nicht funktionierende Dateien zu erhalten (z. B. überlappende MPEG-Fragmente, die nicht abspielbar sind), zu viele irrelevante Dateien bekommen (z. B. Schriftarten und Mauszeiger-Dateien), die Suche unnötig verlangsamen und sich über die vorgenannten Effekten wundern oder beschweren. Es ist natürlich nach wie vor möglich, manuell neue Dateityp-Definitionen für die Datei-Header-Signatur-Suche hinzuzufügen oder bewußt Dateityp-Definitionen aus einer Definitionsdatei in die andere zu verschieben, wenn man weiß, was man tut.

* Es sind diverse weitere Dateityp-Signatur- und Kategorie-Definitionen hinzugekommen. Es werden nun bis zu 4096 Dateityp-Definitionen für die Typprüfung und bis zu 1024 Definitionen für die Datei-Header-Signatur-Suche unterstützt statt zuvor nur ca. 255.

* Die Namenskonventionen für per Signatur gefundene Dateien hat sich leicht geändert. Die Dateien werden nun basierend auf einer fortlaufenden Nummer benannt, die für jedes Asservat hochgezählt wird.

* Ehemals existierende Dateien, deren erste Cluster bekanntermaßen an andere Dateien neu vergeben wurden, werden nicht mehr auf ihren wahren Dateityp hin überprüft.

* Beim Überprüfen von Dateitypen unternimmt X-Ways Forensics für solche Dateien, deren Typ nicht mit Hilfe der Einträge in der Datei-Signaturen-Datenbank erkannt werden kann, nun noch weitere Anstrengungen. Das ist nützlich, damit Dateitypen erkannt werden können, die keine feststehende Signatur haben, wie z. B. E-Mails, Quellcode von Programmiersprachen, Stapelverarbeitungsdateien, diverse andere Arten von Textdateien u. v. a. m.

* Die Benennung von extrahierten .eml-Dateien nach der Betreffzeile erfolgt nun normalerweise authentischer, wenn diese in einer asiatischen Codepage codiert ist.

* Einige kleinere Verbesserungen bei der E-Mail-Verarbeitung.

* Bei der Ausgabe von Berichtstabellen in den Fallbericht ist es nun möglich, den Bericht z. B. zum Ausdrucken schmaler zu machen, indem unvorhersehbar lange und evtl. durch fehlende Leerzeichen nicht automatisch umbrechbare Dateinamen und Pfade künstlich nach einer benutzerdefinierten Anzahl von Pixeln umgebrochen werden. Damit kann man vermeiden, daß der Bericht breiter wird als eine druckbare Seite, insbes. wenn man mehr als eine Datei pro Zeile in einer Berichtstabelle ausgibt.

* Es ist in X-Ways Forensics jetzt möglich, manuell einen Block im Modus Volume/Partition/Disk zu definieren und ihn dem Datei-Überblick als eine herausgeschnitzte ("gecarvete") Datei hinzuzufügen. Nützlich, wenn Sie die Daten in einem bestimmten Bereich (z. B. HTML-Code oder lose E-Mails, die im freien Speicher herumliegen) wie eine Datei behandeln lassen möchten, um sie beispielsweise betrachten, speziell durchsuchen, kommentieren oder in einen Bericht ausgeben zu können. Der Befehl dazu kann im Bearbeiten-Menü gefunden werden. Der Name des virtuellen Verzeichnisse für herausgeschnitzte Dateien muß aufgrund diese Funktion nun allgemeiner ausfallen (bisher: "Per Signatur gefunden"). Der neue Name ist "Aus Sektoren ausgegliedert". Beachten Sie, daß Sie virtuelle Verzeichnisse nennen können, wie Sie möchten (s. Verzeichnis-Browser-Kontextmenü), da der Name ohnehin auch von X-Ways Forensics frei gewählt wird und einfach nur zweckmäßig sein soll.

* Eine neue Option für den Verzeichnis-Browser, genannt "Vollpfadsortierung übergeordneter Objekte", wurde für Objekte mit Unterobjekten eingeführt. Die Wirkung besteht darin, daß bei rekursiver Erkundung und bei Sortierung nach Pfad, Unterobjekte im Anschluß an ihre jeweiligen Elternobjekte angeordnet werden. Z. B. folgen gewöhnliche Dateien dann ihren Elternverzeichnissen; E-Mails den E-Mail-Archiven, aus denen sie extrahiert wurden; E-Mail-Anhänge den enthaltenden E-Mails; komprimierte Dateien den Archiven, in denen sie liegen usw.

* Zip- und Rar-Archive, von denen X-Ways Forensics weiß, daß sie Dateien verschlüsselt enthalten, werden nun auch selbst als verschlüsselt gekennzeichnet, mit dem Vermerk "e!" in der Attributspalte (dateiformatspezifisch verschlüsselt). Erlaubt es, sich bequemer als früher auf solche Dateien konzentieren zu können, um sie etwas herauszukopieren. (Einige Benutzer waren sich der bisherigen Möglichkeit dazu nicht bewußt.)

* Beim Betrachten von Suchtreffern in der decodierten Version von z. B. PDF-Dokumenten sehen Sie im "Roh"-Vorschaumodus nun den rohen decodierten Text nun exakt so, wie er auch für die Suche verwendet wurde. Die kann nützlich sein, wenn die Viewer-Komponenten einen Suchtreffer nicht in der normalen Ansicht eines PDF-Dokuments hervorheben kann.

* Es können nun zwei weitere externe Betrachtungsprogramme hinterlegt werden.

* Der oberste Teil des Details-Modus ("Daten aus dem Datei-Überblick") wird nun in Form einer Tabelle angezeigt, was optisch ansprechender ist.

* Metadaten-Extraktion aus BMP-Dateien und (auf logischen Laufwerksbuchstaben) aus EXE/DLL-Dateien.

* RAID-Zusammensetzung: Es wird nun auch eine Stripe-Größe von 1 Sektor unterstützt.

* Diverse weitere kleinere Verbesserungen. Mehrere Ausnahmefehler in speziellen Situationen verhindert.

* Bitte beachten Sie, daß .cfg Konfigurationsdateien von früheren Versionen nicht mehr weiterverwendet werden können.

* Die Version 8.2.2 der Viewer-Komponente wurde am 31. Mai zum Download bereitgestellt. Sie unterstützt nun JPEG-2000-Dateien, läuft offiziell unter Windows 2008 Server und enthält diverse Patches und Bug-Fixes. Die Installation dieses Updates wird empfohlen. (nur mit forensischer Lizenz)

* Die ursprüngliche Version 14.9 von X-Ways Forensics 14.9 hat die Viewer-Komponente nicht automatisch für den Verschlüsselungstest geladen, so daß es bei dem Test zu einer Fehlermeldung kam, wenn die Viewer-Komponente nicht vorher schon aus einem anderen Anlaß heraus geladen wurde. Dies wurde behoben mit v14.9 SR-1.

* Fehler bei einigen Kontrollkästchen im Attributfilter-Dialog in der ursprünglichen Version 14.9 behoben (seit v14.9 SR-2).

* Beim Kopieren von Dateien mit Unterobjekten aus einer rekursiven Ansicht ohne Wiederherstellung des Originalpfads erstellt X-Ways Forensics nun keine nach diesen Dateien benannten leeren Unterverzeichnisse mehr (seit v14.9 SR-2).

* Ein Fehler wurde behoben, der beim Anhängen einer Datei an eine Datei im Stammverzeichnis eines Volumes auftreten konnte (seit v14.9 SR-2).

* Eine Endlosschleife wurde behoben, die in einige seltenen Situationen beim Auffinden von OLE2-Compound-Dateien per Signatur auftreten konnte (seit v14.9 SR-3).

* Beim Anwenden der logischen Suche auf ausgewählte Dateien in einem rekursiv erkundeten Verzeichnis hatte das Pausieren der Suche zum Einsehen der Suchtreffer den Abbruch der Suche zur Folge. Dies wurde mit v14.9 SR-3 behoben.

* Eine Instabilität im Indexierungsalgorithmus wurde mit der Version 14.9 SR-3 behoben.

* Ein selten auftretender Fehler wurde behoben, bei dem zu viele Zeichen aus bestimmten Ext*-Verzeichniseinträgen mit im Dateinamen ausgegeben wurden. (seit v14.9 SR-3)

* Ein Fehler wurde behoben, der unter bestimmten Umständen dazu führte, daß in Container kopierte Datei-Anhänge darin unter "Pfad unbekannt" aufgeführt wurden. (seit v14.9 SR-3)

* Der GREP-Anker \b funktioniert nun auch bei eingeschalteter 16-Bit-Option (seit v14.9 SR-4).

* Die hiberfil.sys-Dekompression arbeitet nun getreuer dem Originalcode von Microsoft. (seit v14.9 SR-4)

* Mögliche versehentliche Doppeltaufnahme von Dateien mit Unterobjekten in Datei-Containern verhindert. (seit v14.9 SR-5)

* Bestimmte Ausnahmefehler beim Extrahieren von E-Mails aus E-Mail-Archiven verhindert. (seit v14.9 SR-5)

* Seit v14.8 wurde die Spalte "Besitzer" im Verzeichnis-Browser in bestimmten NTFS-Dateisystemen nicht mehr gefüllt. Dies wurde behoben. (seit v14.9 SR-5)

 

#109: WinHex, X-Ways Forensics und X-Ways Investigator 14.9 veröffentlicht

17. Apr. 2008

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 14.9.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip

Download-Instruktionen für registrierte Benutzer und
Details zur Update-Berechtigung sowie Upgrade-Angebote
unter https://www.x-ways.net/winhex/license-d.html .

-------------------------------------------------------------

Nächste allgemein zugängliche Schulungstermine in Köln:

"X-Ways Forensics" 26.-28. Mai (Warteliste)
"X-Ways Forensics" 2.-4. Juni (derzeit 1 Platz frei)
"X-Ways Forensics" 13.-15. Okt. (Plätze frei)
"Dateisysteme" 16.+17. Okt. (Plätze frei)

Details unter https://www.x-ways.net/training/index-d.html.

-------------------------------------------------------------

Was ist neu?

* WinHex und X-Ways Forensics geben nun einen Hinweis darauf, wenn eine Datei in einem NTFS-Dateisystem nur teilweise mit Daten gefüllt wurde. Solche Dateien werden in der Attributspalte mit der Anmerkung "partial init." (teilweise Initialisierung) versehen und können darauf hin gefiltert werden. Die Größe des tatsächlich initialisierten/definierten Bereichs einer Datei wird in der Informationsspalte angezeigt, wenn eine solche Datei geöffnet wird oder wenn Sie sie im Datei-Modus ansehen, hinter dem Vermerk "Davon initialisiert:". Der nicht initialisierte Teil wird in einer anderen Farbe angezeigt. Suchtreffer im nicht initialisierten Teil einer Datei werden als "Schlupf usw." gekennzeichnet. Die Tatsache, daß eine Datei auf dem Originaldatenträger nur teilweise initialisiert war (aber nicht das Ausmaß) wird auch in Containern gespeichert und erkennbar.

All dies soll fachkundige Computerforensik-Spezialisten davor bewahren, falsche Schlüsse zu ziehen. Dieses Risiko besteht, weil Daten, die in den allozierten Clustern einer Datei gespeichert sind, alte Daten sein können, die auf dem Datenträger vorhanden waren, bevor die Cluster jener Datei zugewiesen worden, wenn die Cluster nie tatsächlich mit neuen Daten überschrieben worden sind. D. h. es kann sich um Daten handeln, die mit der Datei nichts zu tun haben, obwohl sie der logischen Dateigröße zufolge Teil der Datei sind.

Typischerweise sind u. a. folgende Dateitypen oft nicht vollständig initialisiert:
- Windows Registry
- Windows Event Log (.evt and .evtx)
- CRMLOG
- Outlook PST
- Outlook Express DBX
- Windows MediaPlayer databases
- Windows Reliability Monitor
- SystemIndex Indexer CiFiles
- Microsoft Network Downloader
- Windows Font Cache
- Windows Vista thumbcache
- Windows rescache
- Microsoft IME User Dictionary
- Java .jsa
..außerdem Datenbank-Dateien, temporäre Dateien und generell Dateien, die von Anwendungen erzeugt wurden, die sich gern Speicherplatz vorab reservieren, aus Performanzgründen und/ oder um spätere Dateifragmentierung zu vermeiden.

* Beim Extrahieren von E-Mails und Datei-Anhängen werden Datei-Anhänge nun Unterobjekte der jeweils zugehörigen E- Mail. (nur mit forensischer Lizenz) Das vereinfacht es deutlich, die Dateianhänge zu einer bestimmten E-Mail zu finden oder die E-Mail zu finden, die einen bestimmten Datei-Anhang enthält. Wegen dieses Verhältnisses (übergeordnetes und untergeordnetes Objekt) können Sie nun bequem die enthaltende E-Mail beim Kopieren von Anhängen mit in einen Container kopieren, oder beim Kopieren von E-Mails die zugehörigen Anhängen mit kopieren. Das Markieren einer E-Mail markiert auch ihre Datei-Anhänge. Das Markieren eines Datei-Anhangs markiert auch die enthaltende E-Mail, zumindest halb. Die alte Logik der E-Mail-Extraktion von v14.8 und älter, in der Datei-Anhänge in einem separaten Verzeichnis namens "Attach" gesammelt wurden, kommt noch immer zur Anwendung, wenn Sie keine Dateien mit Unterobjekte erlauben (s. Optionen | Verzeichnis-Browser). Beachten Sie, daß diese Option in künftigen Versionen früher oder später entfallen wird. Sie war in v14.8 nur aus Gründen der Kompatibilität mit älteren Versionen eingeführt worden.

* Die Namen von angehängten und eingebetteten Dateien, die zu E-Mails im selben Ordner im selben E-Mail-Archiv gehören, werden nun normalerweise nicht mehr durch Einfügen einer laufenden Nummer in eckigen Klammen vor der Dateiendung künstlich eindeutig gemacht, so daß sie nun i. d. R. authentisch/original sind.

* Die Wiedergabe des Rumpfes von E-Mails, die aus PST-Archiven bei Vorhandensein von Outlook 2003 oder neuer extrahiert werden, ist für asiatische Sprachen nun originalgetreuer.

* Der Befehl im Kontextmenü des Verzeichnis-Browsers, der in früheren Versionen die enthaltende E-Mail zu einem gegebenen Datei-Anhang gefunden hat, wurde umbenannt in "Übergeordnetes Objekt aufsuchen", in das Untermenü "Position" verschoben und kann nun auf _beliebige_ Dateien angewandt werden. Seine Funktion ist nun identisch mit der Rücklöschtaste (Backspace), und er ist nun mit allen Lizenzarten verfügbar. Außerdem verläßt er eine rekursive Ansicht nicht mehr zugunsten einer nicht-rekursiven Ansicht, wenn das übergeordnete Objekt in dieser rekursiven Ansicht bereits enthalten ist.

* Auch nach dem Erkunden eines Verzeichnisses durch Anklicken im Verzeichnisbaum finden Sie nun einen ".."-Eintrag ganz oben im Verzeichnis-Browser, den Sie doppelt anklicken können, um aufwärts zum jeweiligen Elternverzeichnis zu navigieren, genau wie mit der Rücklöschtasten.

* Paßwortgeschützte Outlook PST E-Mail-Archive werde nun mit "e!" in der Attributspalte gekennzeichnet, wenn entweder der Verschlüsselungstest auf sie angewandt wird oder Sie versuchen, E-Mails aus ihnen zu extrahieren.

* Die E-Mail-Extraktion prüft nun Dateien mit der Endung .pst auf ihre Signatur und prüft ursprüngliche Dateien mit der Endung .eml auf das Vorhandensein eingebetteter Dateien, bevor mit der eigentlichen Extraktion begonnen wird. Dies reduziert die Anzahl der Dateien, für die unnötigerweise "Keine E-Mails gefunden in..." ausgegeben wird.

* Dateien, die aus ursprünglichen .eml-Dateien extrahiert werden, werden darüber hinaus nun direkt als Unterobjekte ausgegeben, und die E-Mail selbst wird nicht mehr unnötigerweise ein weiteres Mal aufgelistet.

* Einige weitere kleine Verbesserungen/Fehlerbehebungen für die Verarbeitung von E-Mail, betreffend E-Mails mit ungewöhnlichen Zeilenumbruchformaten sowieso Pegasus Mail und PocoMail.

* Besser strukturierte und optisch ansprechendere Präsentation der internen Datei-Metadaten im Details-Modus für verschiedene Dateitypen. (nur mit forensischer Lizenz)

* Die Darstellung von .lnk Shortcut-Dateien im Vorschau-Modus und im Einsehen-Befehl ist nun optisch ansprechender. (nur mit forensischer Lizenz)

* Metadaten-Extraktion aus MS Office 2007 XML, OpenOffice XML, StarOffice XML, .dmp Speicher-Dumps und Dateien vom Typ PNF (Precompiled Setup Information). Metadaten-Extraktion aus hiberfil.sys-Dateien, .wim Vista Image-Dateien und GZ-Archiven im Details-Modus. (nur mit forensischer Lizenz)

* Möglichkeit, sowohl aktive als auch inaktive ganze Windows XP 32-bit hiberfil.sys-Dateien zu dekomprimieren, nachdem man sie aus dem Image herauskopiert hat, um ein Abbild des physischen Arbeitsspeichers von einem früheren Zeitpunkt zu erhalten, als der Computer in den Ruhezustand überging. Außerdem können einzelne xpress-Blöcke aus dem "Schlupf" von hiberfil.sys-Dateien dekomprimiert werden, die von einem noch früheren Zeitpunkt stammen. Diese Funktion finden Sie unter Bearbeiten | Konvertieren. (nur mit forensischer Lizenz)

* Unterstützung für echte Unicode-Dateinamen bei der Untersuchung von Zip, RAR und 7zip-Archiven (nur mit forensischer Lizenz). Beachten Sie, daß Sie zum korrekten Verarbeiten von Dateien in Zip-Archiven mit echten Unicode-Dateinamen in den Falleigenschaften erst die richtige Codepage angeben müssen. Wenn das z. B. Zip-Archive sind, die unter Linux erstellt wurden, ist das wahrscheinlich UTF-8. Für Zip-Archive, die unter Windows in Asien erstellt wurden, ist das wahrscheinliche eine regionale Codepage.

* Bessere Unterstützung für sehr große Archive über 2 GB. Einige weitere kleinere Verbesserungen in Bezug auf die Verarbeitung von Archiven.

* Erzeugungs- und Zugriffszeitstempel von Dateien in Zip-Archiven werden nun in den Datei-Überblick aufgenommen, sofern verfügbar.

* Die Option, freien Laufwerksspeicher in ansonsten vollständige sektorgenaue Images von Partitionen/Volumes _nicht_mit aufzunehmen, ist nun auch in X-Ways Forensics verfügbar, nicht nur in WinHex mit Specialist oder forensischer Lizenz. Sie ist nun verfügbar, weil im Prinzip selektive Sicherungen vollständigen Sicherungen je nach den rechtlichen Verhältnissen u. U. sowieso vorzuziehen sind oder sogar explizit gefordert werden, und weil manche Staatsanwaltschaften bestimmte Ermittlungen ohnehin auf existierende Dateien beschränken möchten. Besondere Vorkehrungen helfen, das unbeabsichtigte Einschalten dieser Option zu verhindern.

* Möglichkeit, nur solche ehemals existierenden Dateien herauszufiltern, deren erster Cluster bekanntermaßen nicht mehr verfügbar ist, mittels des neuen dritten Zustands des Kontrollkästchens mit der Beschriftung "Ehem. exist. Objekte anzeigen". (nur mit forensischer Lizenz)

* Möglichkeit, sich mit dem Attributfilter auf Dateien zu konzentrieren, die Unterobjekte haben. (nur mit forensischer Lizenz)

* Immer wenn einer oder mehrere Filter aktiv sind, die auch tatsächlich Dateien in der aktuellen Anzeige des Verzeichnis-Browsers herausfiltern, sind die beiden blauem Filtersymbole in der Überschriftszeile des Verzeichnis-Browser nun anklickbar und ermöglichen es, *alle* Filter mit einem einzigen Mausklick auf einmal auszuschalten, um sicherzustellen, daß Sie keine Datei versehentlich übersehen. Dies war ein oft vorgetragener Wunsch der Benutzer. Die Filtersymbole bewirken auch ein vollständiges Anzeigen der Suchtrefferliste, indem bei mehreren ausgewählten Suchbegriffen die Einstellung "Min. x" oder "Alle x" auf "Min. 1" zurückgesetzt wird. Ebenso wird die Option "Nur 1 Treffer pro Datei auflisten" ggf. ausgeschaltet. (nur mit forensischer Lizenz)

* Möglichkeit, .e01 Evidence-Files mit einer Segmentgröße von über 2 GB zu schreiben und zu lesen. Tatsächlich ist es nun überhaupt nicht mehr erforderlich, sie in Segmente zu zerlegen (außer natürlich wenn das Zieldateisystem FAT32 ist oder Sie das Image auf CDs oder DVDs brennen möchten). Um Kompatibilität mit früheren Version von X-Ways Forensics zu erhalten, mit EnCase-Versions vor v6 und mit anderen Produkten, lassen Sie sie wie früher bei 2047 MB oder weniger splitten. (nur mit forensischer Lizenz)

* Berichtstabellen, die von X-Ways Forensics selbst erzeugt wurden (durch v14.9 Preview 3 und neuer) können in Dialogfenstern von benutzerdefinierten Berichtstabellen nun optisch unterschieden werden.

* Die Größenbeschränkung, die festlegt, wann ein Bild als irrelevant für die Hautfarbenerkennung eingestuft wird, ist
nun etwas strenger: Breite oder Höhe nicht mehr als 8 Pixel, oder Breite und Höhe beide nicht mehr als 16 Pixel. (nur mit forensischer Lizenz)

* Möglichkeit, virtuell angehängte Dateien in einem Datei- Überblick über das Verzeichnis-Browser-Kontextmenü umzubenennen. (nur mit forensischer Lizenz)

* Indexierung: Unnötige Unterbrechung durch eine vom Programm geforderte Bestätigung durch den Benutzer in bestimmte Situationen verhindert. (nur mit forensischer Lizenz)

* Bilder, die in anderen Dateien eingebettet sind, können nun auch dann in den Datei-Überblick aufgenommen werden, wenn die jeweilige Trägerdatei komprimiert ist. (nur mit forensischer Lizenz)

* Aus Videos extrahierte Einzelbilder werden nun auch bei Verwendung von MPlayer nach der jeweiligen Videodatei benannt (voll Unicode-fähig), nicht nur nach dem Zeitindex. Bei Verwendung von Forensic Framer werden etwaige echte Unicode- Zeichen im Dateinamen nun beibehalten. (nur mit forensischer Lizenz)

* Wenn Video-Dateien extern angeschaut werden, stellt X-Ways Forensics nun sicher, daß die Namen der Temporärdateien nur triviale Unicode-Zeichen enthalten (Latin 1), aus Gründen der Kompatibilität mit Programmen wie MPlayer, die nicht mit echten Unicode-Zeichen im Dateinamen umgehen können. (seit v14.8 SR-4)

* Das automatische Benennen per Signatur gefundener JPEG-Dateien nach Kameramodell und Aufnahmezeitpunkt, sofern möglich, ist nun optional. (betrifft Specialist- und forensische Lizenzen)

* Es ist nun möglich, nur halb markierte Dateien im Verzeichnis-Browser auszugeben oder diese herauszufiltern (s. Verzeichnis-Browser-Optionen, nur mit forensischer Lizenz).

* Option zum Export von Listen als Textdateien in Unicode. (nur mit forensischer Lizenz)

* Ein Fehler wurde behoben, der unter bestimmten Umständen die Signatursuche eine Datei erneut finden ließ, obwohl sie bereits im Datei-Überblick enthalten war und eine Verdoppelung vermieden werden sollte.

* Nun fast vollständige interne Verwendung von Unicode für die Benutzeroberfläche, so daß die chinesische und die japanische Übersetzung auch dann korrekt angezeigt werden können, wenn die in Windows aktive Codepage nicht 936 bzw. 932 ist. Verbesserte Unicode-Unterstützung auch für Fallberichte im HTML-Format in Chinesisch und Japanisch.

* Für bestimmte Dateitypen erkennt die Dateitypprüfung den korrekten Dateityp nun, ohne den Typstatus grundsätzlich auf "neu erkannt" zu setzen, selbst wenn der Typ nicht mit der Dateinamenserweiterung übereinstimmt. Dies geschieht für Windows Registry-Dateien (weil es normal ist, wenn diese Dateien überhaupt keine Endung haben) und für HTML/XML-Dateien (weil es eine Vielzahl von Endungen geben kann, die alle normal und plausibel sind). Dies hilft, die Anzahl der Dateien mit dem Typstatus "neu erkannt" niedrig zu halten, und erlaubt es, sich besser auf solche Dateien konzentrieren können, die u. U. tatsächlich falsch benannt wurden. (nur mit forensischer Lizenz)

* Findet gelöschte Partitionen nun auch dann automatisch, wenn sie 64 Sektoren von zuvor gefundenen Partitionen entfernt liegen (nicht nur 63 oder 2048 Sektoren wie zuvor).

* Seit der Einführung von 256-Bit-AES in WinHex/X-Ways Forensics wurde der Verschlüsselungsalgorithmus PC1 aus Gründen der Kompatibilität mit älteren Versionen noch weiter unterstützt. Diese Unterstützung wurde nun eingestellt.

* Dateien vom Typ XML und HTML werden nicht mehr der Berichtstabelle "Ohne erkennbaren textuellen Inhalt" hinzugefügt, wenn die Viewer-Komponente für die logische Suche/die Indexierung keinen Text mehr aus ihnen extrahieren kann. (nur mit forensischer Lizenz)

* Ein Fehler wurde behoben, der verhinderte, daß Dateien, deren Inhalte auf NTFS-Partitionen über 2 TB hinter der 2-TB-Grenze lagen, richtig gelesen wurden.

* Der erste Schritt der besonders intensiven Dateisystem-Datenstruktur-Suche auf NTFS-Partitionen funktioniert nun auch hinter der 2-TB-Grenze. (seit v14.8 SR-5)

* Ein Fehler wurde behoben beim Zusammensetzen von RAIDs über 2 TB. (seit v14.8 SR-1)

* X-Ways Forensics und X-Ways Investigator geben Ihnen nun automatisch bis zu drei Mal Bescheid, wenn Sie sich dem Ende Ihrer Update-Berechtigung nähern.

* Die Viewer-Komponent wird nun erst dann geladen, wenn sie tatsächlich benötigt wird, nicht schon zwingend beim Start der Software. (nur mit forensischer Lizenz)

* Der mit "Text" bezeichnete Schalter, der die Vorschau der Viewer-Komponente in eine Roh-Text-Ansicht umschaltet (was z. B. sehr hilfreich ist, wenn Sie alle Kopfzeilen einer E-Mail sehen möchten), heißt nun "Roh", um das Bewußtsein dafür etwas zu schärfen, daß dieser Modus normalerweise _nicht_ wünschenswert zum Betrachten von Dateien ist, basierend auf der Erfahrung, daß viele Anwender es vergessen, von der Roh-Ansicht zur normalen Ansicht zurückzuschalten, und sich dann wundern, daß z. B. Office-Dokumente nicht mehr schön angezeigt werden. (nur mit forensischer Lizenz)

* Beim Exportieren von Suchtreffern in eine tabulatorseparierte Textdatei (nicht HTML), einschließlich Kontext, wurde der eigentliche Suchbegriff zuvor durch "x"-Zeichen ersetzt. Dies wurde behoben. (seit v14.8 SR-4)

* Beim Exportieren von Metadaten in eine tabulatorseparierte Textdatei werden ursprüngliche Zeilenumbrüche und Tabulatoren nun durch Leerzeichen ersetzt. (seit v14.8 SR-4)

* Ein Fehler wurde behoben, der beim Versuch auftrat, Verzeichnisdaten (Verzeichniseinträge, INDX-Puffer usw.) mit der indirekten Füllmethode in einen Container zu kopieren. (seit v14.8 SR-3)

* Das Verwenden von Tastenkürzeln zum Erstellen von Berichtstabellenverknüpfungen ersetzt nun entweder bereits bestehende Verknüpfungen oder oder nicht, in Abhängigkeit von der Einstellung im Dialogfenster für Berichtstabellenverknüpfungen. (seit v14.8 SR-3)

* Ein Fehler in der Version v14.8 SR-1 wurde mit SR-2 behoben, der das automatische Interpretieren von Images mit mehreren Segmenten sofort nach der Erstellung betraf, zum Zwecke der Hash-Überprüfung oder des Ersetzens des Asservats. Die Images selbst waren in Ordnung.

* Ein Fehler beim Wiederherstellen von alternative Datenströmen als alternative Datenströme wurde behoben. (seit v14.8 SR-2)

* Eine mögliche Quelle von Instabiltität im Detailsmodus wurde behoben. (seit v14.8 SR-1)

* Eine neue Option in investigator.ini wurde eingeführt, die es verhindert, daß in X-Ways Investigator externe Dateien an einen Datei-Überblick angehängt werden können. (seit v14.8 SR-1)

* Unter bestimmten Umständen konnte die Fortschrittsanzeige für logische Suchen in ausgewählten Asservaten falsch sein. Dies wurde behoben. (seit v14.8 SR-1)

* Schnellere Anzeige von Metadaten-Zellen im Verzeichnis-Browser, wenn große Datenmengen extrahiert worden waren. (seit v14.8 SR-1)

* Diverse weitere kleinere Verbesserungen.

* Die Kurzanleitungen, die von der X-Ways Forensics Produktseite herunterladbar sind, wurden für v14.8/v14.9 auf den neuesten Stand gebracht, wo sich Änderungen ergeben hatten. Das Benutzerhandbuch wurde auch auf v14.9 angepaßt.

* Die Version 8.2 der Viewer-Komponente wurde am 14. und 20. März weiter aktualisiert. Sie friert beim Betrachten/Verarbeiten bestimmter HTML-Dateien nicht mehr, die in der Version 8.1.9 normal funktioniert hatten. MS-Word-Dokumente, die aus einer einzigen Tabelle bestanden, werden nun wieder richtig angezeigt.

-------------------------------------------------------------

Wenn Sie zwischen zwei Ausgaben des Newsletter über Service-Releases informiert werden möchten, können Sie in unserem Forum einfach einen Account erstellen ( https://www.x-ways.net/winhex/forum/create-account.html )
und E-Mail-Benachrichtigungen für den Bereich "Announcements" aktivieren.

 

#108: WinHex, X-Ways Forensics und X-Ways Investigator 14.8 veröffentlicht

27. Feb. 2008

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein größeres Update, die Version 14.8.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote
unter https://www.x-ways.net/winhex/license-d.html .

-------------------------------------------------------------

Nächste allgemein zugängliche Schulungstermine in Köln:

"X-Ways Forensics" 3.-5. März (Warteliste)
"Dateisysteme" 6.+7. März (1 Platz frei)
"X-Ways Forensics" 26.-28. Mai (Plätze frei)
"X-Ways Forensics" 2.-4. Juni (1 Platz frei)
"X-Ways Forensics" 13.-15. Okt. (Plätze frei)
"Dateisysteme" 16.+17. Okt. (Plätze frei)

Details unter https://www.x-ways.net/training/index-d.html.

-------------------------------------------------------------

Was ist neu?

* Es ist jetzt möglich, JPEG-Bilder aus Video-Dateien zu extrahieren, in benutzerdefinierten Zeitabständen (z. B. alle 20 Sekunden). Dies ist außerordentlich hilfreich, wenn Sie viele Videos systematisch auf illegalen oder sonstwie relevanten Inhalt prüfen müssen. Das Betrachten extrahierter Bilder in der Galerie ist viel schneller und weniger anstrengend als ein Video nach dem anderen ganz anschauen zu müssen, da die Datenmenge sich beträchtlich reduziert und die Extraktionsprozeß unbeaufsichtigt, etwa über Nacht, laufen kann. Selbst wenn der Inhalt sich mitten im Video ändert (z. B. Kinderpornographie versteckt in einem Familien- oder Urlaubsvideo), kann der Betrachter dies erkennen sofern der gewählte Zeitabstand nicht zu groß ist.

Auch nützlich, wenn Sie Standbilder in einen gedruckten oder auf dem Bildschirm zu präsentierenden Bericht einbinden möchten. Die extrahierten Bilder eines jeden Videos werden entweder als Unterobjekte der Video-Datei selbst gesammelt oder in einem virtuellen Verzeichnis, das nach der Videodatei benannt ist, als virtuelle Dateien, immer unterhalb desselben Pfades wie die ursprüngliche Videodatei. Daher ist es ein Leichtes, von relevanten Standbilder auf das Video zurückzuschließen, insbesondere da die Standbilder nach dem jeweiligen Zeitindex benannt werden. Das erste extrahierte Bild eines Videos dient gleichzeitig als Vorschaubild der Videodatei im Vorschau- und Galeriemodus. ASF/WMV-Videos, die mit digitalem Rechte-Management (DRM) geschützt sind, können nicht verarbeitet werden und werden konsequenterweise in der Attributsspalte mit e! gekennzeichnet.

Erfordert ein externes Programm, entweder die Nicht-GUI-Version von MPlayer(http://www.mplayerhq.hu/design7/dload.html) und das zugehöriger separat herunterladbaren Codec-Package (ins Unterverzeichnis "codecs" von MPlayer extrahieren), oder Forensic Framer (http://www.kuiper.de/). Das Programm muß in Optionen | Viewer-Programme ausgewählt werden. Bilder können von diesen Video-Formaten und Codecs extrahiert werden: http://www.mplayerhq.hu/DOCS/HTML/en/video-formats.html http://www.mplayerhq.hu/DOCS/codecs-status.html

* Das Dialogfenster Optionen | Viewer-Programme erlaubt es nun, ein zusätzliches externes Programm speziell zum Betrachten von Videodateien festzulegen (nur mit forensischer Lizenz). Wenn definiert, sendet ein Doppelklick Videodateien direkt an dieses externe Programm. Wenn MPlayer von X-Ways Forensics erkannt wird (oder Forensic Framer, der MPlayer enthält), wird der MPlayer voreingestellt.

* Wenn Bilder aus Videodateien oder Dokumenten oder thumbs.db-Dateien extrahiert werden, oder wenn E-Mails und Dateianhänge aus E-Mail-Archiven extrahiert werden, erzeugt X-Ways Forensics nun standardmäßig kein virtuelles Verzeichnis mehr, dessen Namen sich an den Originaldateinamen anlehnt und das die extrahierten Dateien aufnimmt. Statt dessen sind die extrahierten Dateien nun einfach über einen Doppelklick auf die Originaldatei zugänglich. Sie werden außerdem immer noch beim rekursiven Erkunden aufgelistet. Das Icon der Elterndatei wird mit "..." gekennzeichnet, um anzuzeigen, daß die Inhalte der Datei extrahiert wurden und "hinter" der Datei noch etwas zu finden ist. Der Hauptvorteil ist, daß es nun schneller gelingt, die jeweilige Elterndatei zu identifizieren. Wenn Sie z. B. eine extrahierte Datei markieren, wird die Elterndatei automatisch halb markiert, was es beispielsweise vereinfacht, solche Dateien später alle auf einmal einer Berichtstabelle hinzuzufügen. Und wenn Sie zurück vom extrahierten Inhalt durch Klick auf das ".."-Objekt aufwärts zur Elterndatei navigieren, wird die Elterndatei selbst statt des virtuellen Verzeichnisses automatisch ausgewählt. Außerdem ist der Pfad des extrahierten Inhalts authentischer, weil kein Suffix wie " Mail" oder " Pics" mehr künstlich in den Pfad eingefügt wird.

Beachten Sie noch Folgendes, wenn Sie viel mit Containern arbeiten: Wenn Sie Dateien, deren Elternobjekte andere Dateien (und keine Verzeichnisse) sind, in Container kopieren, werden ältere Version von X-Ways Forensics und X-Ways Investigator das Eltern-Kind-Verhältnis nicht verstehen und die Unterobjekte daher in "Pfad unbekannt" anzeigen. Aus Kompatibilitätsgründen ist es daher optional möglich, X-Ways Forensics wie bisher virtuelle Verzeichnisse statt Dateien mit Unterobjekten verwenden zu lassen (Optionen | Verzeichnis-Browser).

Aus Gründen der Konsistenz und Einfachheit wurde die optionale besondere Behandlung von Archiven wie Verzeichnisse entfernt. Statt dessen werden Archive nun genau wie andere Dateien mit Unterobjekten gehandhabt.

* Möglichkeit, $EFS Logged Utility Streams (LUS) und Windows Task Scheduler .job-Dateien zu betrachten (Vorschau und Einsehen, nur mit forensischer Lizenz).

* Möglichkeit, $I*-Papierkorb-Dateien von Vista zu betrachten (seit v14.7 SR-1, nur mit forensischer Lizenz).

* Die Option, $EFS Logged Utility Streams herauszufiltern, ist aus den Verzeichnis-Browser-Optionen entfernt worden. Statt dessen gibt es nun eine Option, die verhindert, daß NTFS-LUS überhaupt in neu erstellte Datei-Überblicke aufgenommen werden, oder zumindest solche LUS, die keine $EFS-LUS sind. Nützlich für NTFS-Partitionen, die von Windows Vista erzeugt wurden, wenn Sie sich nicht für die zahlreichen LUS interessieren.

* Die binären Inhalte von INFO2-Dateien des Papierkorbs, .lnk Shortcut-Dateien, $EFS-LUS und .job-Dateien werden nun nicht mehr direkt als Teil des Fallberichts ausgegeben, sondern es wird eine textuelle Repräsentation ihres Inhalts wie vom Vorschau-Modus bekannt verwendet.

* Attributfilter für NTFS $EFS-LUS, andere LUS, NTFS-Offline-Dateien, Dateien mit Object-ID, Unix/Linux-Symlinks und andere Spezialdateien aus der Unix/Linux-Welt. (nur mit forensischer Lizenz)

* Ein weiterer neuer Attributfilter ermöglicht es Ihnen nun, sich nur solche Dateien auflisten zu lassen, für die bloß Dateisystem-Metadaten verfügbar und deren Inhalte gänzlich unbekannt sind (weder der Inhalt noch der ursprüngliche Speicherort des Inhalts). Solche Dateien werden üblicherweise bei der intensiven Dateisystem-Datenstruktur-Suche auf NTFS-Partitionen Teil des Datei-Überblicks. (nur mit forensischer Lizenz)

* Es gibt weitere neue Attributefilter für Bilder, die aus Videos extrahiert wurden, und für virtuelle Dateien, die manuell vom Benutzer an den Datei-Überblick angehängt wurden. (nur mit forensischer Lizenz)

* Metadaten-Extraktion aus MP3-Dateien. Hinweise auf etwaige über ID3 eingebettete Dateien, die nicht als vom Typ JPEG oder PNG gekennzeichnet sind (da diese automatisch extrahiert werden können), erhalten Sie in Form einer Berichtstabellenverknüpfung der MP3-Datei. (nur mit forensischer Lizenz)

* Die Dateitypprüfung kann nun zwischen .wma/.wmv Audio/Video-Dateien unterscheiden. Es werden nun auch deutlich mehr Metadaten extrahiert aus .asf, .wmv, und .wma-Dateien. Aus MS-Excel-Dokumenten (vor Version 2007) wird nun der Name des Benutzers extrahiert, der die Datei zuletzt geöffnet hatte.

* Intelligente Dateigrößenerkennung für .rar-Archive bei der Datei-Header-Signatursuche und bei Dateien retten nach Typ, was es ermöglicht, Dateien in solchen Archiven, wenn intakt, nicht nur aufzulisten, sondern auch zu extrahieren.

* Datei-Header-Signatursuche und Dateitypprüfung mit Signaturen verbessert für HTML, XML, XSD und DTD.

* File Type Signatures.txt, File Type Categories.txt und allgemein das Auffinden von Dateien über Signaturen weiter ausgebaut und verbessert.

* Unterstützung für Anker in der GREP-Syntax: \b repräsentiert eine Wortgrenze, ^ steht für den Anfang einer Datei, $ für das Ende einer Datei.

* Die Optionen zum Herausfiltern von existierenden, ehemals existierenden und versteckten Objekten wurden ersetzt durch Optionen, die positiv statt negativ definiert sind und daher konsistent sind mit anderen Filtern: Existierende Dateien anzeigen, ehem. exist. Dateien anzeigen, markierte Objekte anzeigen, nicht markierte Objekte anzeigen, unterdrückte Objekte anzeigen, nicht unterdrückte anzeigen. Diese Änderung macht es auch sehr einfach, sich nur solche Dateien auflisten zu lassen, die markiert oder versteckt sind. (nur mit forensischer Lizenz)

Die Option, markierte und nicht markierte Objekte zu gruppieren, wurde im Gegenzug entfernt, da sie wegen der neuen Filtermöglichkeit nicht mehr erforderlich war, um die Komplexität zu reduzieren. (nur mit forensischer Lizenz)

* Die Option zum Herausfiltern von ehemals existierenden Dateien ist nun in X-Ways Investigator verfügbar, wenn nicht durch die neue Option "+28" in der Datei investigator.ini verhindert. Nützlich, wenn Sie sich auf die Analyse existierender Dateien beschränken möchten oder müssen.

* Eine weitere zusätzliche Option in investigator.ini verhindert, daß Benutzer Berichtstabellen löschen können.

* Ein Pfadfilter wurde eingeführt. Dieser erlaubt es Ihnen, gezielt solche Dateien aufzulisten, deren Pfad ein bestimmtes Teilwort enthält, wie z. B. "pic" oder "Temporary Int". (nur mit forensischer Lizenz)

* Dateien, die anhand von Hash-Werten als Duplikate erkannt wurden, werden nun nicht mehr optional mit Kommentaren kenntlich gemacht, sondern mit einem Hinweis "Duplikate gefunden" in der Attributsspalte, was effizienter zu speichern und filterbar ist. Die Information bleibt auch in Containern erhalten, so daß der Empfänger sehen kann, daß er bei Bedarf noch Duplikate der Datei bekommen kann, wenn sie nicht bereits im Container enthalten sind. (nur mit forensischer Lizenz)

* Bereits im Datei-Überblick vorhandene Hash-Werte von Dateien werden beim Erzeugen von Hash-Sets nun wiederverwendet und nicht mehr neu berechnet.

* Beim Erweitern des Datei-Überblicks wurde das Prüfen der Dateitypen anhand von Signaturen in früheren Versionen, wenn vom Benutzer eingeschaltet, auch auf Dateien angewandt, die schon vorher dieser Prüfung unterzogen wurden. Wenn Sie eine erneute Prüfung erzwingen möchten, z. B. weil Sie die Datei-Header-Signatur-Datenbank editiert haben, müssen Sie nun [x] "Erneut" ankreuzen. Sonst werden dieselben Dateien nicht nochmal bearbeitet, da dies etwas Zeit spart. Das heißt, neuerdings werden standardmäßig nur solche Dateien geprüft, bei denen das zuvor noch nicht gemacht wurde.

* Sollte X-Ways Forensics beim Erweitern des Datei-Überblicks oder bei der logischen Suche oder beim Indexieren abstürzen oder hängenbleiben, wenn es eine Datei im Datei-Überblick verarbeitet, werden Sie nach einem Neustart des Programms automatisch und umgehend auf die verursachende Datei hingewiesen, so daß Sie sich leicht unterdrücken und bei einem erneuten Durchlauf auslassen können. Diese Funktion hängt ab von einer neuen Option in den Sicherheitsoptionen. Die aus der Version 14.7 für solche Zwecke verwandte VS.log-Datei wird nicht mehr erzeugt.

* WinHex kann nun den exakten Typ von optischen Medien im technischen Detailbericht identifizieren (also CD-ROM, CD-R, CD-RW, DVD-ROM, DVD-RW, DVD+RW, usw.).

* Etwas schnellerer Lesezugriff auf DVDs.

* Verbesserter Umgang mit CD-ROM XA. Die meisten Sektoren lassen sich aber nach wie vor nicht lesen. Wie so oft gibt X-Ways Forensics Ihnen im Gegensatz zu Konkurrenzprodukten aber bei Problemen wenigstens Bescheid und zeigt in diesem Fall nicht einfach kommentarlos wissentlich falsche Daten (Nullen) an. Zumindest ist es nun möglich, Dateien von solchen CDs (z. B. Video-CDs) über das Betriebssystem zu öffnen, siehe Sicherheitsoptionen. (seit v14.7 SR-1, weiter verbessert mit v14.8)

* Vordefinierter Zeichenvorrat zum Indexieren japanischer Texte.

* Möglichkeit, ausgewählten Text aus Fenstern der Viewer-Komponente in die Zwischenablage im Unicode- und RTF-Format zu kopieren. (nur mit forensischer Lizenz)

* Der Details-Modus sieht nun optisch ansprechender aus und ist leichter verständlich aufgeteilt. Wird in künftigen Versionen noch weiter verbessert.

* Option, alternative Datenströme beim Verwenden des Befehls Wiederherstellen/Kopieren als solche beizubehalten, wenn das Zieldateisystem NTFS ist. (nur mit forensischer Lizenz) Wenn ausgeschaltet oder wenn in ein anderes Dateisystem zu kopieren, werden ADS wie bisher in Form normaler Dateien ausgegeben.

* Wenn der Befehl Wiederherstellen/Kopieren zum Kopieren von Dateien mit Originalpfad verwendet wird, wird der Name des Asservats nun auch im Ausgabeort als Verzeichnis erstellt, sofern "Asservatordner als Standardausgabe" in den Falleigenschaften ausgeschaltet ist, also nicht nur beim Kopieren aus einem rekursiv erkundeten Asservatüberblicksfenster. (nur mit forensischer Lizenz)

* Optionen zum expliziten Ein- oder Ausschließen von Unterobjekten von Verzeichnissen oder Dateien beim Verwenden des Befehls Wiederherstellen/Kopieren sowie beim Befüllen von Containern. Wie zuvor jedoch können Unterobjekte beim Kopieren aus einer bereits rekursiven Ansicht nicht indirekt mit kopiert werden. (nur mit forensischer Lizenz)

* Es ist jetzt möglich, Verzeichnisdaten (d. h. je nach Dateisystem Verzeichniseinträge, INDX-Puffer, ...) in Datei-Container zu übertragen. (nur mit forensischer Lizenz) Nützlich, wenn der Benutzer des Containers sich für Zeitstempel oder andere Metadaten in solchen Datenstrukturen interessieren könnte. Falls Sie sich entscheiden, Verzeichnisdaten in einen Container aufzunehmen, wenn Sie ihn erzeugen, hat das direkte Auswirkungen nur auf Verzeichnisse, die selbst ausgewählt sind. Es hat einen Effekt auf Elternobjekte von gewählten Objekten nur dann, wenn Sie eine weitere Option jeweils beim Kopiervorgang einschalten. Diese weitere Stufe ist erforderlich, weil die Verzeichnisdaten sonst unbeabsichtigt Namen und sonstige Metadaten von Dateien enthüllen könnten, die z. B. aus Datenschutzgründen bewußt nicht in den Container aufgenommen wurden. Frühere Versionen von X-Ways Forensics und X-Ways Investigator verstehen es, wenn Daten von Verzeichnissen verfügbar sind. (nur mit forensischer Lizenz)

* Option zum automatischen Komprimieren, Verschlüsseln und/oder Segmentieren von Datei-Containern nach deren Erstellung, die beim Schließen eines im Hintergrund geöffneten Containers angeboten wird. (nur mit forensischer Lizenz, nicht in X-Ways Investigator) Hilfreich z. B., um große Container auf CDs oder DVDs zu übermitteln.

* Das Setup-Programm verwendet nun eine Fortschrittsanzeige, wenn die Viewer-Komponent kopiert wird (falls sie im Unterverzeichnis \viewer vorgefunden wird). Das Setup-Programm kopiert auch MPlayer automatisch (wenn im Unterverzeichnis \MPlayer vorgefunden). Beachten Sie, daß wenn diese externen Komponenten in den erwarteten Unterverzeichnissen vorgefunden werden, sie auch automatisch in Optionen | Viewer-Programme aktiviert werden, was komfortabel, aber im Fall der Untersuchung eines Live-Systems auch weniger empfehlenswert sein kann.

* Wenn Sie in den Fallberichtsoptionen für Bilder eine maximale Größe von 0? Pixel einstellen, werden die Bilder jetzt nur noch verlinkt, genau wie andere Dateien, und nicht direkt im Bericht angezeigt.

* Extras | Disk-Tools | "Verlorene Partitionen suchen" erkennt nun Ext2/Ext3/Ext4-Partitionen an ihrem ersten Superblock.

* Das Entfernen von Objekten aus riesigen Datei-Überblicken ist nun gewöhnlich viel schneller. Allerdings können Sie nach dieser Operation nicht mehr von den internen IDs auf die Reihenfolge schließen, in der die Objekte in den Datei-Überblick aufgenommen wurden, weil die verbleibenden internen IDs beim Entfernen von Objekten durcheinandergewürfelt werden.

* Wenn in früheren Versionen unterdrückte Objekte ganz aus einem Datei-Überblick entfernt wurden, für den vorher Hash-Werte berechnet worden waren, hatte dies inkonsistente Hash-Werte für einige der verbleibenden Objekte zur Folge. Auch Berichtstabellen-Verknüpfungen, Kommentare und extrahierte Metadaten wurden nicht richtig beibehalten. Dies wurde korrigiert.

* Immer wenn der Fall automatisch gespeichert wird, weil das Autosave-Intervall abgelaufen ist, wird nun auch die Konfiguration gespeichert (diverse Optionen und Einstellungen).

* Der Befehl zum Anhängen externer Dateien im Verzeichnis-Browser- Kontextmenü ist nun auch in X-Ways Investigator verfügbar (seit v14.7 SR-1)

* Der Befehl zum Anhängen externer Dateien kann nun auch benutzt werden, um mehrere Dateien auf einmal anzuhängen. Das ist nützlich, wenn Sie z. B. manuell mehrere Datensätze/E-Mails/Bilder/Dateien aus einer Datei extrahiert haben. Wenn Sie die extern gespeicherten Dateien anhängen, werden sie direkte Unterobjekte (s. o.) der Originaldatei, oder ein virtuelles Verzeichnis, benannt nach der Originaldatei, wird erstellt, und die Dateien werden gesammelt in diesem Verzeichnis eingebunden. Wenn nur eine einzige Datei angehängt wird (z. B. die konvertierte/entschlüsselte/übersetzte Version eines Dokuments), wird kein virtuelles Verzeichnis benötigt. (seit v14.7 SR-2, geändert in v14.8)

* Möglichkeit, virtuelle Verzeichnisse umzubenennen, mit einem neuen Befehl im Verzeichnis-Browser-Kontextmenü.

* Ein Ausnahmefehler wurden behoben, der unter bestimmtem Umständen beim Wechsel in den Suchtreffermodus auftrat. (seit v14.7 SR-3)

* Seit v14.6 wurde jedes Hash-Set, das für den Hash-Set-Filter ausgewählt war, auch für den Abgleich mit Hash-Sets verwendet, selbst wenn es dafür vom Benutzer nicht ausgewählt wurde. Dies wurde behoben in v14.7 SR-5.

* Seit v14.6 hat die Option "Datei-Anhänge in E-Mails auch einbetten" die Attachments _nur_ in die .eml Dateien eingebettet und nicht extrahiert. Dies wurde behoben in v14.7 SR-5.

* Der Registry-Viewer erlaubt es nun, nach echten Unicode-Zeichen in den Werten/Daten zu suchen. Ein Fehler wurde behoben, der das Finden von Text in den Werten/Daten in früheren Versionen von v14.7 verhinderte. Die Anzahl der maximal zugleich ladbaren Hives wurde von 16 auf 32 erhöht. (seit v14.7 SR-6)

* Die Ausnahmeliste für den Indexierungsalgorithmus, wenn vom Benutzer aktiviert, wurde seit v14.3 nicht mehr richtig verwendet. Dies wurde behoben mit v14.7 SR-7.

* Ein Ausnahmefehler wurde mit v14.7 SR-7 behoben, der beim Öffnen von besonders großen FAT16-Partitionen auftreten konnte.

* Ein Anzeigeaktualisierungsproblem in der Galerie bei Dateien ohne bekannten Inhalt (für die nur Dateisystem-Metadaten verfügbar waren) wurde mit v14.7 SR-8 behoben.

* Unter bestimmten Umständen fehlende Möglichkeit zum Öffnen von dynamischen Volumes korrigiert.

* Viele weitere kleinere Verbesserungen, einige kleinere Fehlerkorrekturen.

* Die Viewer-Komponente wurde am 12. und 26. Februar aktualisiert. Einige Ausnahmefehler und Instabilitäten wurden behoben, und zwei Fehler korrigiert, die das Programm bei bestimmten defekten GZ-Archiven und bestimmten SWF-Dateien zum Hängen brachte.

 

#107: WinHex, X-Ways Forensics und X-Ways Investigator 14.7 veröffentlicht

17. Jan. 2008

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 14.7.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote
unter https://www.x-ways.net/winhex/license-d.html .

-------------------------------------------------------------

Nächste allgemein zugängliche Schulungstermine in Köln:

"X-Ways Forensics" 3.-5. März 2008 (Warteliste)
"Dateisysteme" 6.+7. März 2008 (1 Platz frei)
"X-Ways Forensics" 2.-4. Juni 2008 (Plätze frei)

Details unter https://www.x-ways.net/training/index-d.html.

-------------------------------------------------------------

Was ist neu?

* Das virtuelle Verzeichnis "Pfad unbekannt" für NTFS-Partitionen ist nun oftmals viel differenzierter aufgebaut. Es identifiziert Dateien und Unterverzeichnisse, deren ursprüngliche Elternverzeichnisse zwar unbekannt sind, aber bekanntermaßen dieselben sind. Solche Dateien und Unterverzeichnisse werden dann jeweils in einem einzigen generisch benannten virtuellen Verzeichnis gesammelt, weil sie ja ursprünglich zusammengehörten. Das erleichtert es, eine Vorstellung davon zu gewinnen, was dieses Verzeichnis mal war, und die Dateien darin als relevant oder irrelevant einzustufen. Dies betrifft nur von 14.7 neu erstellte Datei-Überblicke.

* Die intensive Dateisystem-Datenstruktur-Suche auf NTFS-Partitionen fördert nun noch mehr Spuren ehemals existierender Dateien zutage als in früheren Versionen, einschließlich frühere Namen und frühere Pfade von umbenannten/verschobenen Dateien. (nur mit forensischer Lizenz)

* Verbesserte Resultate einer intensiven Dateisystem-Datenstruktur-Suche auf NTFS-Partitionen, die noch als solche erkannt werden, deren MFT aber beschädigt ist und nicht mehr gelesen werden kann.

* Unterstützung für dynamische Volumes, die auf GUID-partitionierten Datenträgern (GPT) definiert sind. Solche dynamischen Volumes können unter Windows Vista und den 64-Bit-Versionen von Windows XP und Windows 2003 Server betrieben werden.

* Findet nun automatisch alle Partitionen auf Festplatten, die sowohl gültige GPT- als auch MBR-Partitionsdefinitionen enthalten.

* Partitionen, die mit exFAT formatiert sind, werden nun als solche erkannt. (Das bedeutet nicht, daß das exFAT-Dateisystem nun nativ unterstützt wird.)

* Das Fortschrittsanzeigefenster ist für die intensive Dateisystem-Datenstruktur-Suche auf NTFS und für die  Datei-Header-Signatur-Suche nun etwas informativer.

* Fortschrittsanzeigefenster und Möglichkeit zum Abbruch für die Metadaten-Extraktion.

* Extrahierte Metadaten wurden zuvor der Kommentarspalte hinzugefügt. Jetzt werden sie in einer separaten Spalte und mit einem eigenen Filter für Metadaten erfaßt, und die Kommentarspalte ist nun wieder ausschließlich den Kommentaren des Benutzers vorbehalten.

* Metadaten-Extraktion aus Dateien vom Typ RTF, MP4, 3GP, M4V, M4A, RIFF (.wav, .avi, ...) und IE-Cookies. (nur forensische Lizenz)

* Intelligente Dateigrößenerkennung für MP4, 3GP, M4V, M4A, MOV, DBX bei der Datei-Header-Signatursuche und bei Dateien retten nach Typ. Verbesserte JPEG-Größen-erkennung und -abschätzung.

* File Header Signatures.txt weiter ausgebaut.

* PDF-Dokumente mit alten, unsichtbaren Bearbeitungsständen desselben Dokuments werden automatisch mit einer besonderen Berichtstabelle verknüpft, sobald sie im Details-Modus gesehen oder ihre interne Metadaten extrahiert wurden. (nur mit forensischer Lizenz) Mit dem Wissen, daß alte Revisionen enthalten sind, können versierte Benutzer diese dann bei Interesse sichtbar machen.

* Extrahiert die interne Erzeugungszeitstempel von Cookies des Internet Explorer, Norton Ghost .gho und PGP pubring.pkr Keyring-Dateien. (nur mit forensischer Lizenz)

* Unterstützung von INFO2-Dateien im Preview-Modus/beim Einsehen.

* Möglichkeit, die meisten SPL-Drucker-Spool-Dateien einzusehen. Möglichkeit, EMF-Dateien aus SPL-Drucker-Spool-Dateien mit mehreren Seiten zu extrahieren (s. Datei-Überblick erweitern, nur mit forensischer Lizenz).

* thumbs.db-Dateien und viele Windows-Registry-Dateien, die über die Datei-Header-Signatursuche gefunden werden, werden nun mit ihrem ursprünglichen Namen aufgelistet bzw. wiederhergestellt. Intelligente Größenerkennung für Windows-Registry-Dateien.

* Microsoft-XPS-Dokumente werden nun wie Archive behandelt, so daß insbes. die XML-Dateien darin bei logischen Suchen ordnungsgemäß abgedeckt werden (natürlich wie üblich nur sofern der Inhalt von Archiven mit den Dateiüberblick aufgenommen wurde).

* Möglichkeit, bequem die E-Mail zu finden, die den ausgewählten Dateianhang enthält, über einen neu eingeführten Befehl im Verzeichnis-Browser-Kontextmenü. (Nur mit forensischer Lizenz.) Nicht für AOL PFC.

* Dateianhänge und eingebettete Dateien in E-Mails, die selbst Anhänge von anderen E-Mails sind (da z. B. in dieser Form weitergeleitet), können nun aus der äußeren E-Mail extrahiert werden, wenn Sie der Reihe von Dateinamensmasken für die E-Mail-Extraktion *.eml hinzufügen.

* Korrekte Unicode-Konvertierung von und zu den Windows-Codepages zwischen Nr. 50220 und 50230.

* Beim erneuten externen Betrachten einer Datei, die bereits zuvor in das Verzeichnis für temporäre Dateien zum externen Betrachten kopiert wurde und dort noch liegt, wird die Datei nun nicht noch einmal dorthin kopiert, was insbes. bei großen Video-Dateien Zeit spart.

* Möglichkeit, sofort und automatisch neu erzeugte Roh-Images und .e01-Evidence-Files zu verifizieren, indem deren Hash-Werte mit den Images neu berechnet werden. (nur mit forensischer Lizenz)

* Option, ein Asservats im aktiven Fall sofort durch ein von ihm erzeugtes Image zu ersetzen, wenn ein Datenträger gesichert wird, der ein Asservat des aktiven Falls ist.

* Beim Erzeugen von Roh-Image-Dateien oder .e01-Evidence-Files von Volumes/Partitions mit WinHex gibt es nun eine Option, freie Cluster in Form von Nullbytes zu speichern. (nur mit Specialist- oder forensischer Lizenz). Das ist nützlich, wenn Sie das Image zu Backup-Zwecken und nicht zu forensischen Zwecken erstellen, um zusammen mit der Komprimierungsoption Plattenplatz zu sparen. Diese Option ist nicht in X-Ways Forensics verfügbar, um die versehentliche Erzeugung von nicht forensisch einwandfreien Images von vornherein
auszuschließen.

* Möglichkeit, die NTFS-Kompression für neu erzeugte Roh-Image-Dateien in Datei | Datenträger-Sicherung direkt festzulegen: keine, Sparse oder normale Kompression.

* Nun vollständige Unicode-Unterstützung im technischen Detailbericht, in der technischen Beschreibung von Asservaten und in der technischen Beschreibung in .e01-Evidence-Dateien.

* Verbesserte Unicode-Unterstützung für textuelle Registry-Einträge im Registry-Viewer und im Registry-Bericht.

* Im Registry-Bericht können Binärdaten wie "RecentDocs" nun optional als Unicode-Text interpretiert werden, was es z. B. erlaubt, Dateinamen zu erkennen, die aus Buchstaben bestehen, die nicht in der Codepage Lateinisch 1 enthalten sind.

* Der automatisch vorgeschlagene Dateiname für den Registry-Bericht hängt nun von der verwendete Definitionsdatei ab. Nützlich, um versehentliches Überschreiben von Berichten zu verhindern, die auf anderen Registry-Schlüssel basieren und zu anderen Zwecken erstellt wurden, und um leicht den Zweck des Berichts ersehen zu können, sofern die Definitionsdatei bereits geeignet benannt war.

* Wenn Sie einen Eintrag in einem geladenen Hive im Registry-Viewer anklicken und sich das Datenfenster mit dem Datenträger/ Image, von dem aus der Hive geladen wurden, im Dateimodus befindet, springt der Cursor nun automatisch auf den jeweiligen Eintrag in der Registry-Datei im Dateimodus, und er wird automatisch in der Datei als Block ausgewählt. Dies erlaubt es einem, insbes. binäre Registry-Einträge sowohl hexadezimal als auch als Text zu sehen, und Binäreinträge leicht in Binärform oder als Text zu kopieren, nicht nur als Hex-ASCII wie zuvor.

* Möglichkeit, die Copylog-Datei als tabulatorseparierte ASCII- oder Unicode-Textdatei anstelle von HTML mitschreiben zu lassen. Darüber hinaus gibt es nun eine Option, nur den Zieldateinamen und -pfad und gar keine ursprünglichen Metadaten in zusätzlichen Spalten auszugeben. Auch andersherum hat der Benutzer die Wahl, nur die ursprünglichen Metadaten auszugeben und keinen Zieldateinamen und -pfad.

* Neue Option: Die in einem Datenfenster angezeigten Bytes können nun in der Textspalte einzeln dargestellt werden, oder WinHex kann versuchen sie zu kombinieren, was wenn die in Windows aktive Codepage ein Doppel-Byte-Zeichensatz ist wünschenswert sein kann, um die Zeichen richtig angezeigt zu bekommen (wenn 2 Bytes 1 Zeichen entsprechen), oder aus optischen Gründen wegen der dann variablen Zeilenlänge auch nicht wünschenswert sein kann.

* Beim verteilten Indexieren versucht X-Ways Forensics nun Unterschiede in den jeweiligen Indexierungseinstellungen der diversen Beteiligten zu erkennen (Optionen wie Codepages, Teilwortberücksichtigung, Zeichenvorrat usw.). Wenn erkannt, bekommt zumindest einer der Beteiligten eine Warnung angezeigt, bevor das Indexieren auf seinem Computer startet. In einer gemeinsamen Indexierungsoperation sollten natürlich die Einstellungen auf allen Computern gleich sein.

* Interpretierte Roh-Images werden nun im Dialogfenster "Zieldatenträger wählen" der Funktion Extras | Disk-Tools | Datenträger klonen zur Auswahl angeboten. Nur mit Specialist- oder forensischer Lizenz. Nicht in X-Ways Forensics. Nützlich, wenn Sie selektiv bestimmte in Sektoren ausgedrückte Bereiche von einem Image oder einem Datenträger in ein anderes, bereits bestehendes Image hineinkopieren möchten.

* Die Logs für Datei-Überblick erweitern, logische Suche und die Indexierung, die die internen IDs der verarbeiteten Dateien enthalten, um im Falle eines Absturzes die dafür verantwortliche Datei identifizieren zu können, werden nun nicht mehr in separaten Log-Dateien gespeichert und nicht mehr im Metadaten-Verzeichnis des jeweils betroffenen Asservats. Stattdessen wird nun eine einzige Datei namens "VS.log" in dem Verzeichnis erzeugt, in den X-Ways Forensics ausgeführt wird, und sie wird bei jeder neuen Operation wieder überschrieben. Das bedeutet, daß Sie nicht mehr nach der richtigen Log-Datei der letzten Operation zu suchen brauchen, und es wird auch Plattenplatz gespart. Wie zuvor können Sie der letzten Zeile in einer solchen Datei die interne ID der zuletzt verarbeiteten Datei entnehmen. Neu: Die Art der Operation und der Name des betreffenden Datenträgers/Images können Sie aus der ersten Zeile ersehen.

* Es wurde ein Ausnahmefehler behoben, der im Zusammenhang mit sehr langen Image-Dateinamen und -Pfaden auftreten konnte.

* Es wurde ein Fehler behoben, der dazu führte, daß bestimmte GREP-Suchtreffer wie Unicode-Treffer angezeigt wurden. (seit v14.6 SR-1)

* Drei neue investigator.ini-Options: Verhindern des Neueinlesens des Datei-Überblicks. Verhindern, daß beliebige Dateien extern mit dem jeweils verknüpften Programm geöffnet werden. Verhindern, daß andere externe Viewer-Programme festgelegt werden.

* Zwei neue investigator.ini-Optionen seit v14.6 SR-2: Verhindern des Entfernens von Asservaten aus dem Fall. Nichtverfügbarkeit des Befehls Wiederherstellen/Kopieren. Dieser Befehl ist in X-Ways Investigator nach wie vor nie verfügbar. Tatsächlich gedacht ist diese Option nur für X-Ways Forensics, wenn X-Ways Forensics aus Gründen der vereinfachten Bedienbarkeit für Nicht-Computerspezialisten mit der Benutzeroberfläche von X-Ways Investigator betrieben wird, dieser Befehl aber doch verfügbar sein soll.

* Verzeichnisse in PST-E-Mail-Archiven, deren Namen echte Unicode-Zeichen enthalten, können nun beim Extrahieren von E-Mail repliziert werden. Dies schlug bisher unter Verweis auf unzulässige Verzeichnisnamen fehl. Die Unicode-Zeichen gehen aber nach wie vor verloren und werden durch einen Unterstrich ersetzt. (seit v14.6 SR-2)

* Ein Ausnahmefehler wurden behoben, der beim Betrachten bestimmter Suchtreffer im Vorschaumodus auftreten konnte. (seit v14.6 SR-2)

* Es wurde ein Fehler behoben, der dazu führen konnte, daß beim Anzeigen von Sektoren hinter der 2-TB-Grenze eines Datenträgers oder Images nicht die richtigen Daten angezeigt wurden. (seit v14.6 SR-2)

* Verzeichniseinträge in weiteren Clustern nach dem ersten Cluster von Verzeichnissen in FAT12-/FAT16-Dateisytemen, die Unterverzeichnisse des Stammverzeichnisses sind und deren Namen nur aus 1-2 Zeichen bestehen, wurden bisher ignoriert. Dateien, die in solchen Verzeichniseinträge definiert waren, konnten nur
über eine Datei-Header-Signatur-Suche gefunden werden. Dies wurde behoben. (seit v14.6 SR-3)

* Einige Instabilitäten in der Unterstützung für bestimmte Dateitypen wurden korrigiert. (seit v14.6 SR-3)

* Viele kleinere Verbesserungen, einige kleinere Fehlerkorrekturen.

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <