|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||
|
|||||||||||||
| #119c: X-Ways Forensics
15.9 Beta, Änderungen an WinHex/X-Ways Forensics 15.8 22. Dez. 2010 |
In dieser Ausgabe dieses Newsletters informieren wir Sie
nochmals außer der Reihe über diverse Änderungen in v15.8 und
außerdem über die Version 15.9 Beta, die mit diversen nützlichen
Neuerungen aufwartet. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz) Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich „Announcements“ per E-Mail anfordern: http://www.winhex.net Was ist neu in v15.9 Beta?
Was ist neu seit v15.8 SR-3?
Was ist neu seit v15.8 SR-4?
Was ist neu in v15.8 SR-5?
Vielen Dank für Ihre Aufmerksamkeit! Wir hoffen, Sie bald
wieder auf
http://www.x-ways.net zu sehen. Bitte leiten Sie diesen
Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder
sie interessieren wird. |
| #119b: Änderungen an
WinHex/X-Ways Forensics 15.8 u. a. 9. Nov. 2010 |
In dieser Ausgabe dieses Newsletters informieren wir
Sie außer der Reihe über diverse Änderungen in v15.8 und weitere
Neuigkeiten. Nächster allgemein zugänglicher Schulungstermin in Deutsch Sie finden uns nun hier bei Facebook. Wir sind uns bewußt, daß viele unserer Benutzer vermutlich Arbeit und Privatleben streng trennen, hoffen aber dennoch auf ein paar Klicks auf „Gefällt mir“. Je nach Resonanz werden künftig zusätzliche Neuigkeiten und Informationen bei Facebook veröffentlicht. Versprochen: Selbstverständlich gewähren wir Facebook keinen Zugang zu unseren E-Mails, und teilen mit Facebook bestimmt nicht unsere tausende Kontakte. Außerdem ist unserer offizielle Web-Site nicht Teil irgendeines Facebook-Netzwerks, das Facebook oder anderen Firmen erlauben würde, Sie bei einem Besuch auf unserer Web-Site zu sehen oder wiederzuerkennen. Was ist neu in v15.8 SR-1?
Was ist neu in v15.8 SR-2?
Vielen Dank für Ihre Aufmerksamkeit! Wir hoffen, Sie bald wieder auf
http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter
weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren
wird. |
| #119: WinHex, X-Ways
Forensics und X-Ways Investigator 15.8 veröffentlicht 11. Okt. 2010 |
In dieser Ausgabe dieses Newsletters informieren wir Sie
über ein beachtenswertes Update, die Version 15.8. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz) Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich "Announcements" per E-Mail anfordern: http://www.winhex.net ------------------------------------------------------------- [...] ------------------------------------------------------------- Was ist neu? * Die Gesamtzahl von Dateien, die in einem Verzeichnis oder Asservat direkt oder indirekt enthalten ist, wird nun optional im Verzeichnisbaum und im Verzeichnis-Browser hinter dem Namen angezeigt. Dies erlaubt es, leicht diejenigen Verzeichnisse oder Asservate/Partitionen auszumachen, die die meisten Dateien enthalten. Die Datei-Anzahl wird auch für Dateien mit Unterobjekte ausgegeben. Sie wird ebenfalls in einer separaten neuen Spalte im Verzeichnis-Browser angezeigt, die sortierbar ist. Nur mit forensischer Lizenz. * Wenn die rekursive Auswahlstatistik aktiv ist, wird im Verzeichnis-Browser als Größe von Verzeichnissen nun die Gesamtgröße aller Dateien angezeigt, die direkt oder indirekt in dem betreffenden Verzeichnis enthalten sind, und nicht mehr die Größe der Datenstrukturen des Verzeichnisses im Dateisystem. Nur mit forensischer Lizenz. Die rekursive Auswahlstatistik versteht sich jetzt ausschließlich der Größe der Datenstrukturen der Verzeichnisse selbst. * Die rekursive Auswahlstatistik wird neuerdings in besonderes großen Datei-Überblicken deutlich schneller berechnet. * Möglichkeit, intern JBODs zusammenzusetzen, d. h. hintereinander übergreifend bespielte Festplatten (oder Images davon) virtuell zu verketten, über den Menübefehl Specialist | RAID-System zusammensetzen. Erfordert eine Specialist-Lizenz oder höher. Beachten Sie, daß wenn nicht alle Sektoren auf den Komponenten- Platten tatsächlich benutzt werden (sondern einige am Ende reserviert sind), Sie die benutzte Anzahl von Sektoren für jede Komponente vor dem Zusammensetzen über Extras | Disk-Tools | "Plattenparameter eingeben" einstellen können. * Wiederherstellen/Kopieren: Möglichkeit, existierende und gelöschte Dateien auch ohne Wiederherstellen des Originalpfades zu gruppieren. Möglichkeit zum Gruppieren nach anderen Parametern wie Dateityp, Kategorie, Beschreibung, Absender, Besitzer, Hash-Set, Hash-Kategorie, Berichtstabellen- Verknüpfung! Nur mit forensischer Lizenz. * Wiederherstellen/Kopieren: Option zum Einbetten von Datei-Anhängen in E-Mails (.eml-Dateien), die nicht nur einen Datei-Anhang, sondern auch weiteren Inhalt haben, wenn sowohl die Anhänge aus auch die E-Mail zum Kopieren ausgewählt sind und nicht über Filter ausgeschlossen werden. Nur mit forensischer Lizenz. Die Möglichkeit zum Einbetten von Attachments in .eml-Dateien bereits beim Extrahieren von E-Mails aus E-Mail-Archiven wird erst in der nächsten Version nach 15.8 endgültig entfallen. * Wiederherstellen/Kopieren: Das aus einem einzigen Zeichen bestehende Suffix zum Benennen künstlicher Ausgabeverzeichnisse, die Unterobjekte von Dateien aufnehmen beim Kopieren mit Pfad, das sie von den Namen der jeweiligen Elterndateien unterscheidet, um Namenskonflikte zu vermeiden, ist nun benutzerdefinierbar. Es kann auch ganz ausgeschaltet werden, damit sich X-Ways Forensics wie in v15.5 und zuvor verhält, so daß das Wort " Unterobjekte" angehängt wird. Nur mit forensischer Lizenz. * Wiederherstellen/Kopieren repliziert nicht mehr die Original-Windows-Attribute von Dateien, da versteckte und mit dem Attribut "System" versehene Dateien mit Standard- Einstellungen im Windows-Explorer nicht sichtbar sind. * Für E-Mails, die von v15.8 extrahiert wurden, können Sie es nun in der Attributspalte ablesen, wenn eine E-Mails als ungelesen markiert ist. Nur mit forensischer Lizenz. * Das Filtern nach E-Mails über die Attributspalte wurde überarbeitet. Beachten Sie, daß die zusätzlichen E-Mail- Eigenschaften, nach denen Sie filtern können, mit einem logischen UND verküpft werden, nicht ODER wie ansonsten im Attribut-Filter üblich. Nur mit forensischer Lizenz. * Auch selbst versandte E-Mails in PST-/OST-Archiven werden mit der Nicht-MAPI-Extraktionsmethode nun in Form von eml-Dateien ausgegeben, und ihre Zeitstempel werden in üblichen Spalten ausgeben. * Unterstützung für nicht-deutschsprachige Namen von Datei-Anhängen in der künstlich generierten .eml- Repräsentation von E-Mails, die mit der Nicht-MAPI- Methode aus OST und PST extrahiert wurden. * Von Outlook in PST-Archiven gespeicherte Kalendereinträge, Kontakte, Notizen und Aufgaben werden nun auch mit Zeit- stempeln angezeigt. * Outlook-Journal-Einträge werden nun besser dargestellt. * Mit einer forensischen Lizenz können Sie langwierige Operationen nun von anderen Computern im selben Netzwerk aus überwachen, also sehen, ob sie noch andauern oder beendet wurden. Sie können Fortschrittsbenachrichtigungen in Form von Textdateien erhalten (die in einem Verzeichnis auf einem Netzlaufwerk erzeugt werden) oder per E-Mail, in benutzerdefinierten Intervallen, einstellbar in den Allgemeinen Optionen. * Neues voreingestelltes Verzeichnis für Fälle unter Windows Vista und 7, wenn X-Ways Forensics mit dem Setup-Programm installiert wurde. * Das Aufklappmenü des Kategoriefilters zeigt nun eine Statistik über die Kategorien der im Verzeichnis-Browser aufzulistenden Dateien an. * Numerisch gefüllte Spalten des Verzeichnis-Browsers wie etwa 1. Sektor, Hautfarbenanteil, interne ID usw. sind nun rechtsbündig. * Zeitstempel und Koordinaten von GPS-Modulen können nun mit den sonstigen Metadaten aus JPEG-Dateien extrahiert werden. * Kommentare in Zip-Archiven werden nun bei der Metadaten- Extraktion mit extrahiert. * Zip-Archive, die versteckte Dateien enthalten, werden nun mit einer Berichtstabellenverknüpfung versehen, um besondere Aufmerksamkeit auf sie zu lenken. * Bestimmte gelöschte Dateien, die von der intensiven Dateisystem-Datenstruktur-Suche in NTFS gefunden wurden, können nun mit korrektem Inhalt dargestellt werden, auch wenn Sie fragmentiert sind und ihr FILE-Record nicht mehr verfügbar ist. * Neue Option für die logische Suche und die Indexierung, die es erlaubt, die Datenstrukturen von Verzeichnissen gezielt auszulassen (d. h. in NTFS-INDX-Puffern und FAT- Verzeichniseinträgen usw. nicht zu suchen). * Unterstützte Maximalzahl von Suchbegriffen, die logisch mit einem unscharfen UND verknüpft werden können, leicht von 7 auf 8 angehoben. * Zusammenhängende in FAT-Dateisystemen als defekt markierte Cluster werden nun als separate virtuelle Dateien dargestellt. * Korrekte Darstellung von FATs und Stammverzeichnis im Datei-Überblick für FAT-Dateisysteme mit nur einer FAT. * Detektierung von eCryptfs-verschlüsselten Dateien (die vom Enterprise Cryptographic File System für Linux gespeichert wurden), basierend auf Implementationen für Ubuntu 8.10, 9.04, 9.10 und 10.04. Solche Dateien werden in der Attribut- Spalten mit einem "E" versehen, genau wie EFS-verschlüsselte Dateien in NTFS, aber erst nach Anwender des Verschlüsselungs- tests. Nur mit forensischer Lizenz. * Unterstützung für das Linux-Dateisystem next3. Die Exclude-Bitmap-Inode wird ausgewertet, und Snapshot- Dateien werden in der Attributspalte mit (SF) markiert. Nur mit Specialist-Lizenz oder höher. * Die Tabelle "Partitions by disk signature" im Registry- Bericht wird nun auch für Registries von Windows 7 gefüllt. Es gibt außerdem eine neue Spezialtabelle namens "Windows portable devices". * Polnische Übersetzung der Benutzeroberfläche (noch nicht vollendet). * Ein Ausnahmefehler wurde behoben, der beim Konvertieren von Hex-ASCII nach Binär mit dem Menübefehl Bearbeiten | Konvertieren auftreten konnte. (seit v15.7 SR-7) * Bestimmte empfangene E-Mails mit Datei-Anhängen in OST-/PST-Archiven wurden nicht korrekt dargestellt, wenn sie mit der Nicht-MAPI-Methode extrahiert wurden. Das wurde behoben. (seit v15.7 SR-7) * Bestimmte fehlerhafte .- und ..-Einträge in FAT- Unterverzeichnissen werden nun toleriert. (seit v15.7 SR-8) * Vervielfacher in GREP-Notation funktionierten u. U. nicht korrekt in Unicode in v15.7. Dies wurde behoben mit v15.7 SR-8. * Hex-Werte in eckigen Klammern in GREP-Notation wurden in v15.7 nicht korrekt ausgewertet. Dies wurde behoben mit v15.7 SR-8. * Ein Ausnahmefehler wurde behoben, der beim Abschluß einer physischen Suche auftreten konnte, bei der keine Treffer erzielt wurden. (seit v15.7 SR-8) * Viele andere kleine Verbesserungen, z. B. bei der Dateityp-Erkennung. Bitte beachten Sie, daß Datei-Überblicke, die von v15.8 erstellt oder importiert wurden, nicht mehr von früheren Versionen verwendet werden können. |
| #118b: Änderungen an
WinHex/X-Ways Forensics 15.7, X-Ways Forensics 15.8 Preview u. a. 20. Sep. 2010 |
In dieser Ausgabe dieses Newsletters informieren wir Sie außer der Reihe
über diverse Änderungen in v15.7, ein Stellenangebot und weitere weitere
Neuigkeiten. Lizenzierte Benutzer von X-Ways Forensicse erhalten von http://www.x-ways.net/winhex/license-d.html per E-Mail Download-Instruktionen für - X-Ways Forensics 15.7 SR-6 - X-Ways Forensics 15.8 Preview - eine neue Version der Viewer-Komponente Die Neuerungen von v15.8 Preview sind beschrieben unter http://www.x-ways.net/cgi-bin/discus/show.cgi?tpc=1&post=17081#POST17081. Die Neuerungen der Viewer-Komponente sind beschrieben unter http://www.x-ways.net/cgi-bin/discus/show.cgi?tpc=1&post=17058#POST17058. ------------------------------------------------------------- [...] ------------------------------------------------------------- Was hat sich in v15.7 geändert? * Die Spalten Absender und Empfänger waren in der ursprüng- lichen Version 15.7 vertauscht. Korrigiert mit SR-1. * Zwei Fehler wurden in SR-2 behoben, die beim Erzeugen eines Datei-Überblicks in SR-2 auftreten konnten. SR-3: * Nicht-MAPI-Verarbeitung von PST/OST weiter verbessert. * Möglichkeit, die letzten Filtereinstellungen auch dann wiederherzustellen, (über den Zurück-Schalter der Symbol- leiste) wenn alle Filter mit einem einzigen Mausklick deaktiviert wurden. * Ein Ausnahmefehler wurde behoben, der beim Erzeugen des technischen Detailberichts bei bestimmten nicht 100%ig effizient formatierten großen FAT32-Partitionen auftreten konnte. * Ineffiziente Handhabung negierter GREP-Ausdrücke bei Suchen in Unicode behoben. * Ein Fehler beim HTML-Export von GREP-Suchtreffern wurde korrigiert. * Einige kleinere Verbesserungen. SR-4: * Die italienische Übersetzung der Benutzeroberfläche wurde auf den neuesten Stand gebracht. * Möglichkeit, den strengen Laufwerksbuchstabenschutz direkt beim Speichern von Dateien abzuschalten, z. B. wenn mitten beim Sichern eines Datenträgers der Speicherplatz ausgeht und man ein neues Ziel auf einem anderen Laufwerksbuchstaben angeben muß. * Wenn die bevorzugte Extraktionsmethode für PST-Dateien MAPI ist, wird nun die Nicht-MAPI-Methode zusätzlich benutzt, um Spuren von E-Mails im nicht allozierten Bereich innerhalb der PST-Dateien zu finden. * Fähigkeit, ZIPX- und XAP-Dateien von normalen ZIP-Archiven zu unterscheiden. * Zusätzliche Definitionen für den Registry-Bericht. * Fähigkeit, Kombinationen von SID und Benutzernamen aus bestimmten Nicht-Standard-SAM-Hives automatisch zu extrahieren, bei denen dies vorher fehlschlug. * Verbesserte Unterstützung der Windows Registry von Windows XP bis 7. * Zwei Ausnahmefehler wurden behoben, die beim Verarbeiten von Registry-Hives auftreten konnten. * Ein Problem wurde behoben, das beim Exportieren von Such- treffern, die das Ergebnis von GREP-Suchen waren, ohne Kontext aufrat. * Ein Absturz wurde verhindert, der beim Importieren eines Ordners mit Hash-Sets oder eines Hash-Sets mit doppelten Hash-Werten in die Hash-Datenbank auftreten konnte. SR-5: * "NICHT"-Option für den Dateityp-Filter. * Verbesserte Verarbeitung einiger sehr ungewöhnlicher FAT- Dateisystem-Anordnungen. * Ein Ausnahmefehler wurde behoben, der beim Öffnen bestimmte FAT-Partitionen auftreten konnte. * Verbesserte PDF-Metadaten-Extraktion für bestimmte PDF- Generatoren. * Leichte Verbesserungen für den Registry-Bericht. * Polnische Übersetzung der Benutzeroberfläche (noch im Anfangsstadium). * Ein Ausnahmefehler wurde behoben, der beim Erzeugen des Registry-Berichts auftreten konnte. * Ein Pfadproblem bei der E-Mail-Extraktion mit v15.7 SR-4 wurde behoben. SR-6: * Besser vorbereitet auf die neue Version der Viewer-Komponente. * Der Dateinamensfilter unterscheidet nun optional zwischen Groß- und Kleinschreibung. * GREP-Ausdrücke, die im Dateinamensfilter verwendet werden, dürfen nun echte Unicode-Zeichen enthalten (z. B. chinesische) und dürfen nun den Anker ^ verwendet. * Ein Fehler im Dateinamensfilter wurde behoben, der in v15.7 bei Verwendung von GREP-Syntax auftreten konnte. * Falsche Zeilenende-Zeichen in .eml-Dateien korrigiert, die in SR-3 bis SR-5 aus OST/PST-Archiven mit der Nicht-MAPI- Methode erzeugt wurden. * Einige kleinere Verbesserungen. |
| #118: WinHex, X-Ways
Forensics und X-Ways Investigator 15.7 veröffentlicht 29. Juli 2010 |
In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 15.7. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer private, professionellen oder Specialist-Lizenz) Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter http://www.x-ways.net/winhex/license-d.html . Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich "Announcements" per E-Mail anfordern: http://www.winhex.net ------------------------------------------------------------- FAQ: Warum ist ein Upgrade von X-Ways Forensics mit 2 Jahren Update- Berechtigung u. U. mehr als doppelt so teuer als ein Upgrade mit 1 Jahr Update-Berechtigung? Tatsächlich ist im Preis für 2 Jahre schon ein größerer Rabatt eingerechnet, sonst wäre er höher. Die Software wird aber mit jeder Version mächtiger und auch etwas teurer. Daher ist Update-Berechtigung in der fernen Zukunft mehr wert (und teurer) als in der nahen Zukunft. ------------------------------------------------------------- Was ist neu? * Es wurde eine Schnittstelle eingeführt, die es erlaubt, Dateien einer bestimmten Kategorie aus ausgewählten Asservaten in ein benutzerdefiniertes Ausgabeverzeichnis zu kopieren und damit an ein externes Analyseprogramm zu übergeben, das direkt aufgerufen wird. Das externe Programm kann dann relevante oder irrelevante Dateien idenfizieren und Dateien generell klassifizieren. Das Ergebnis kann in den Fall zurück importiert werden und wird in Form von Berichtstabellenverknüpfungen dargestellt, nach denen man filtern oder Berichte erzeugen kann. Die Schnittstelle arbeitet auf der Fallebene, und die Befehle dazu finden Sie im Fall-Kontextmenü. Erfordert eine forensische Lizenz oder X-Ways Investigator. * Über diese Schnittstelle wird es mit der Profiversion der Software DoublePics (www.dotnetfabrik.de) und einer geeigneten Datenbank mit Bildern aus früheren Fällen möglich sein, bequem und automatisch Bilder in neuen Fällen zu kategorisieren, die bereits bekannt sind, als "Kipo", "normale Pornographie", "Grenzbereich", "irrelevant" o. ä. Solche Bilder können auch dann wiedererkannt werden, wenn sie in einem anderen Datei- format gespeichert sind, vergrößert oder verkleinert wurden, wenn die Farben oder die Bildqualität sich geändert haben, wenn sie bearbeitet worden sind usw., dank Fuzzy Logic und justierbarer Empfindlichkeit und Toleranz. Daher ist diese Methode für die Wiedererkennung von Bildern der Verwendung von Hash-Sets weit überlegen. * Unterstützung des Dateisystems exFAT. (erfordert eine Specialist-Lizenz oder höher) * Möglichkeit zum Interpretieren von dynamischen VHD-Images von Virtual PC. (erfordert eine Specialist-Lizenz oder höher) Allozierte Bereiche in solchen Images können auch editiert werden (in WinHex, nicht in X-Ways Forensics). * Möglichkeit zum Interpretieren von .e01 Evidence-Files mit einer internen Block/Chunk-Größe von bis zu 256 KB (statt zuvor maximal 128 KB). Damit können Sie z. B. auch Memory-Dumps öffnen, die von einer anderen Software erzeugt wurden. * Ältere Versionen von Dateien, die von der intensiven Datei- system-Datenstruktur-Suche in Volume-Shadow-Copies in NTFS- Dateisystemen gefunden wurden, werden nun mit (SC) in der Attributspalte gekennzeichnet und können danach gefiltert werden. Die alten Inhalte von alten Versionen von größeren Dateien werden in einem künftigen Release korrekt dargestellt. Die Dateisystem-Metadaten von alten Versionen und normalerweise die Inhalte von kleineren Dateien werden bereits korrekt dargestellt. * Alte Namen/Pfade von umbenannten/verschobenen Dateien in NTFS, wie optional von der intensiven Dateisystem-Datenstruktur- Suche entdeckt, werden nun standardmäßig nicht mehr wie bisher als zusätzliche Objekte im Datei-Überblick und im Verzeichnis- Browser aufgelistet. Statt dessen werden sie in Kommentaren erwähnt, die an die umbenannten/verschobenen Dateien angehängt werden. Dies macht die Dateilisten im Verzeichnis-Browser deutlich kürzer und kompakter und beschleunigt logische Suchvorgänge, und mach die Historie einer Datei durch Einsehen der Kommentare leicht verständlich und überblickbar. * Die parallele Suche unterstützt nun Suchen ohne Beachtung von Groß- und Kleinschreibung nicht nur bei deutschen Buchstaben. * GREP-Ausdrücke können nun echte Unicode-Zeichen enthalten (oder anders ausgedrückt können Unicode-Suchbegriffe nun spezielle GREP-Zeichen verwenden), und es ist möglich, auch bei Verwendung von GREP-Syntax in bestimmten Code-Pages zu suchen. * Die wichtigsten Dokumenttypen von MS Office 2007/2010 und OpenOffice 2/3 werden nun standardmäßig für die logische Suche decodiert. Die Haupt-XML-Datei darin wird (bei aktiver empfehlenswerter Datenreduktion) dafür im Gegenzug bei der Suche ausgelassen. Dies stellt sicher, daß Sie die Suchtreffer direkt in den Dokumenten bekommen und nicht in den XML-Dateien, was bequemer ist, und daß Sie sie nicht unnötigerweise doppelt bekommen. Die anderen XML-Dateien, die wichtige Metadaten enthalten können, werden weiterhin durchsucht (natürlich nur dann, wenn Sie die Inhalte von Archiven überhaupt in den Datei-Überblick aufgenommen haben). * Bei Verwendung der Nicht-MAPI-Methode zum Extrahieren von E-Mails aus PST/OST-Archiven werde nun auch HTML-formatierte E-Mails gewöhnlich im .eml-Format dargestellt (außer für selbst versandte E-Mails). Zusätzlich gibt es es anklickbare Links zu den Datei-Anhängen im Vorschau-Modus (außer für selbst versandte E-Mails, und nicht garantiert funktionsfähig, wenn diese Datei-Anhänge Namen mit Zeichen aus anderen Sprachen haben). * Früher bestehende Beschränkungen zum Schreiben von Sektoren in partitionierten Bereichen von Datenträgern unter Windows Vista/7 wurden praktisch ganz aufgehoben. In 99% aller Fälle ist es nun möglich, in diesen Windows-Versionen Sektoren auch zu schreiben. * Möglichkeit zum rekursiven Löschen von Verzeichnissen mit Unterverzeichnissen, die mit dem Windows Explorer oder anderen Windows-Tools und -Befehlen wegen unzulässiger Zeichen nicht gelöscht werden können, über Extras | Disk-Tools | Rekursiv löschen. * Verbessertes Verhalten, wenn eine bereits laufende Instanz angetroffen wird, die nicht mehr reagiert. Ein neuer mittlerer Zustand des Kontrollkästchens, das das Verhalten steuert (s. Allgemeine Optionen) erlaubt es zudem, von Fall zu Fall zu entscheiden, ob eine weitere Instanz gestartet werden soll oder nicht. * Es gibt eine neue Option zum Filtern nach interner ID. Nützlich zum Beispiel und sehr einfach zu benutzen, wenn Sie sich auf Dateien konzentrieren möchten, die als letzte zum Datei-Überblick hinzugefügt wurden (nachdem Sie ihn erweitert haben), oder wenn Sie eine logische Suche ab einer bestimmten internen ID fortsetzen möchten (also Dateien herausfiltern und auslassen, die u. U. schon zuvor durchsucht wurden). * Metadaten-Extraktion für .lnk-Dateien von Windows 7 verbessert. * Kataloge von JumpList-Dateien werden nun im Details- Modus ausgegeben. * Ausnahmefehler wurden behoben, die beim Erstellen des Datei-Überblicks auftreten konnten. * Einige Fehler wurden mit v15.6 SR-1 und SR-2 behoben, die in der ursprünglichen Version 15.6 enthalten waren. * Unterstützung für sehr lange Pfade und Betreffzeilen in E-Mails in PST/OST-ARchiven durch die Extraktion mit der Nicht-MAPI-Methode, die länger als 259 Zeichen sind. (seit v15.6 SR-3) * Beim Anhängen eines Verzeichnisses von einem Ihrer eigenen Laufwerke an den Datei-Überblick eines Asservats werden nun Unterverzeichnis rekursiv ebenfalls eingebunden, und der Unterverzeichnisbaum wird im Datei-Überblick mit Hilfe von virtuellen Verzeichnissen abgebildet. Diese Funktionalität ist nun über einen separaten Kontextmenü- befehl verfügbar, nicht mehr durch das Gedrückthalten der Strg-Taste beim Aufruf des bereits bekannten Befehls "Externe Datei anhängen". (seit v15.6 SR-3) * Hilfe-Schalter und separates Hilfe-Thema für den Befehl Wiederherstellen/Kopieren. (seit v15.6 SR-3) * Unterstützung von Wiederherstellungspunkten bei der Metadaten-Extraktion: Interne Erzeugungsdaten werden aus rp.log extrahiert, und zusätzliche Metadaten werden im Details-Modus für change.log ausgegeben. (seit v15.6 SR-3) * Neuer Attributfilter für Dateien, die Unterobjekte anderer Dateien sind (und nicht Unterobjekte von Verzeichnissen, wie es der Normalfall ist). (seit v15.6 SR-3) * System-SIDs von Windows werden nun auch in der Spalte Besitzer aufgelöst, nicht nur in der Anzeige der NTFS- Berechtigungen. (seit v15.6 SR-3) * Die Identifizierung von Base64 als Dateityp wurde verbessert. (seit v15.6 SR-3) * Unterstützung von $I-Dateien bei der Dateitypprüfung und bei der Datei-Header-Signatur-Suche. (seit v15.6 SR-3) * Fehlerbehebungen in der Metadaten-Extraktion. (seit v15.6-SR3) * Fehler bei der AOL-PFC-Verarbeitung behoben. (seit v15.6-SR3) * Fehler behoben, der auf einigen Computern auftreten konnte, wenn pff.dat ausgeführt wurde und eine bestimmte DLL fehlte. (seit v15.6 SR-3) * Korrekte HTML-Zeilenende-Zeichen für Metadaten-Felder in Fallberichten. (seit v15.6 SR-3) * Daß Meldungen zum Fehlschlagen des Öffnens von Dateien bei der Indexierung in v15.6 bis SR-2 weggeklickt werden mußten, wurde verbessert. (seit v15.6 SR-3) * Absender- und Empfängernamen (zusätzlich zu den E-Mail- Adressen) werden nun in den betreffenden Spalten auch für selbt versendete Nachrichten aus Outlook PST/OST-E-Mail- Archives angezeigt. (seit v15.6 SR-4) * Die Pfadeinfärbung und der türkisfarbene Pfeil im Falldatenfenster spiegeln nun die rekursive Erkundung des Asservatüberblick-Fensters wieder, wenn dieses offen und aktiv ist, und andernfalls wie zuvor den Zustand invidiueller Datenfenster von Asservaten. (seit v15.6 SR-4, wobei das Feature der Pfadeinfärbung nicht unter Windows Vista/7 verfügbar ist.) * Ausnahmefehler bei der Metadaten-Extraktion aus bestimmten OLE2-Dateien behoben. (seit v15.6 SR-4) * Ausnahmefehler bei der E-Mail-Extraktion behoben. (seit v15.6 SR-4) * Das Problem mit der Meldung "Unable to record a search hit" wurde behoben. Es konnte auftreten für bestimmte Suchbegriffe, die deutsche Umlaute enthalten. (seit v15.6 SR-4) * Ein Speicherleck wurde behoben, das beim Erstellen eines Datei-Überblicks von Ext*-Partitionen auftreten konnte. (seit v15.6 SR-4) * Daß versteckte Objekte in X-Ways Investigator verpflichtend angezeigt werden, wird nun nicht mehr bei jeden Neustart erzwungen, wenn die investigator.ini-Option Nr. 31 nicht aktiv ist. (seit v15.6 SR-4) * E-Mail-Extraktion aus PST-Archiven mit der Nicht-MAPI-Methode: Einige unnötige Fehlermeldungen über vermeintlich fehlende Objekte wurden vermieden, die tatsächlich nicht fehlten. (seit v15.6 SR-4) * Einige Tastenkürzel funktionierten bisher in Dialog- und Meldungsfenstern nur, wenn ein bestimmter Schalterstil aktiv war. Dies wurde korrigiert. (seit v15.6 SR-5) * Ein Fehler wurde behoben, der in SR-4 Suchbegriffe z. T. abschnitt. (seit v15.6 SR-5) * Die Sommerzeit-Definitionen für Westaustralien wurden auf den neuesten Stand gebracht. Diese Verbesserung wird bei Benutzern im deutschsprachigen Raum natürlich Begeisterungsstürme hervorrufen. Weitere Witze sind in diesem Newsletter aber nicht versteckt. (seit v15.6 SR-5) * Verbesserte Darstellung von Kontakten, Terminen, Aufgaben und Dateien, die in PST-Archives gespeichert sind, bei der Nicht-MAPI-Extraktionsmethode. Z. B. wird nicht mehr jedes einzelne Objekt in einem separaten Unterverzeichnis dargestellt, und Sie können sich mit Hilfe eines neuen Attributfilters nun bei Bedarf leicht auf solche Objekte konzentrieren, weil sie in der Attributspalte mit als "(Div. Outlook-Daten)" gekenn- zeichnet sind. (seit v15.6 SR-6) * Einige Speicherlecks behoben. (seit v15.6 SR-6) * Es können nun bis zu 99 statt 64 Volumes gleichzeitig geöffnet sein, zusätzlich zu 26 Laufwerksbuchstaben. (seit v15.6 SR-6) * Interne Erzeugungsdaten werden nun extrahiert aus Dateien vom Typ EDB, ETL und SQM. (seit v15.6 SR-6) * Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn man versuchte, gelöschte Dateien in Ext*-Dateisystemen zu öffnen, die nicht geöffnet werden können. (seit v15.6 SR-6) * .eml-Dateien, die HTML-formatierte E-Mails repräsentieren, werden nun optional .html statt .txt genannt, wenn sie aus dem Image für den Fallbericht herauskopiert werden, so daß sie schön in Original-Formatierung betrachtet werden können. (seit v15.6 SR-6) * Ein Fehler wurde behoben, der in X-Ways Forensics dazu führen konnte, daß der wahre Typ von Dateien in Datei-Containern unter bestimmten Umständen falsch ausgelesen wurde. (seit v15.6 SR-6) * Deer Befehl Wiederherstellen/Kopieren und die Funktion zum Hinzufügen von Dateien zu einem Datei-Container können nun optional etwaige aktive Filter berücksichtigen und herausgefilterte Dateien auslassen, auch wenn sie in zum Kopieren ausgewählten Verzeichnissen enthalten sind. (seit v15.6 SR-7) * Beim Versuch, Dateien einem Container hinzuzufügen, die nicht vollständig lesbar sind, schlug dieser Vorgang bisher ganz fehl; solche Dateien wurden überhaupt nicht hinzugefügt. Jetzt ist es so, daß sie dem Container mit dem Vermerk "Ausschnitt" hinzugefügt werden, sofern sie teilweise lesbar sind. Falls ihr Inhalt überhaupt nicht gelesen werden kann, werden sie mit dem Vermerk "Datei-Inhalt unbekannt" versehen. (seit v15.6 SR-7) Dies zeigt erneut, daß für die ausgewählten Dateien ein Container praktisch genauso gut sein kann und fast exakt so detaillierte Metadaten enthalten kann wie eine herkömmliche physische Datenträger-Sicherung. * Das Unvermögen, gelöschte Ext*-Partitionen zu finden, wenn sie mit bestimmten Blockgrößen formatiert wurden, wurde korrigiert. Weitere Optionen beim Suchen nach gelöschten Partitionen wurden eingeführt. Bei Standardeinstellungen werden nun viele falsche Treffer vermieden. (seit v15.6 SR-7) * Spezielle Regeln für E-Mails beim Unterdrücken von Duplikaten berücksichtigen nun auch header.txt-Dateien, die bis v15.6 oft Unterobjekte von E-Mails aus PST/OST-Archives waren. (seit v15.6 SR-7) * Algorithmus zur Dateityp-Prüfung erweitert und weiter verbessert. (seit v15.6 SR-7) * Eine Endlosschleife wurde korrigiert, die unter bestimmten Umständen bei der Datei-Header-Signatur-Suche auftreten konnte. (seit v15.6 SR-7) * Ein Rekursionsfehler beim Verarbeiten von großen Archiven mit vielen verschachtelt enthaltenen Archiven wurde verhindert. (seit v15.6 SR-7) * Ein Ausnahmefehler wurde behoben, der beim Verarbeiten von Reiser4-Dateisystemen mit einem besonders großen internen Baum auftreten konnte. (seit v15.6 SR-7) * Unterstützung für mehrere neue Dateitypen bei der Dateityp- Prüfung und der Datei-Header-Signatur-Suche (z. B. TravelLog dat-Dateien, sessionrestore.js, jump list files, diverse XML-Untertypen, diverse Zip-Untertypen, ...). (seit v15.6 SR-7) * Ein Fehler wurde behoben, der in SR-7 X-Ways Forensics dazu brachte, per Signatur-Suche gefundene Dateien unter bestimmten Umständen falsch zu lesen. (seit v15.6 SR-8) * Verbesserter Umgang mit Fehlern und verbesserte Vollständigkeit der Nicht-MAPI-E-Mail-Extraktionsmethode. (seit v15.6 SR-9) * hiberfil.sys-Dekompression für Windows 7 korrigiert. (seit v15.6 SR-9) * Beschreibende Textdateien, die von X-Ways Forensics erstellte Sicherungen begleiten, sind nun in UTF-8 codiert. (seit v15.6 SR-9) * Das Beschreibungsfeld für Datenträger-Sicherungen ist nun Unicode-fähig. (seit v15.6 SR-9) * Ein Bearbeiterfeld für Datenträger-Sicherungen wurde eingeführt. Es ist ebenfalls Unicode-fähig. (seit v15.6 SR-9) * Wenn die Erzeugung der Miniatur-Ansicht eines Bildes für die Galerie X-Ways Forensics zum Einfrieren oder Abstürzen bringt, werden Sie nun beim nächsten Neustart automatisch informiert, welches die verursachende Datei war. (seit v15.6 SR-9) * Vermeidet einen Ausnahmefehler, der in SR-8 nach den Zusammen- setzen eines RAID-Systems auftreten konnte. (seit v15.6 SR-9) * Vermeidet einen Ausnahmefehler, der beim Überprüfung von Dateitypen auftreten konnte. (seit v15.6 SR-10) * Der Prozeß, alle Duplikate als bereits eingesehen zu kennzeichnen, wenn eine dieser Dateien eingesehen wurde, wurde beschleunigt. (seit v15.6 SR-10) * Die Konvertierung von Base64 nach Binär filtert nun automatisch Zeilenumbrüche heraus. (seit v15.6 SR-10) * Wenn es beim Abgleich von Hash-Werten mit der Hash-Datenbank für mehrere Dateien Treffer in mehreren Hash-Sets gibt, werden diese nun immer in der gleichen Reihenfolge angezeigt, was optisch gefälliger und für eine Sortierung nach der Hash-Set-Spalte sinnvoll ist. (seit v15.6 SR-11) * Wenn es mehrere Treffer in mehreren Hash-Sets gibt und diese Hash-Sets gar nicht alle zur gleichen Kategorie gehören, wird im Meldungsfenster eine Warnung ausgegeben. (seit v15.6 SR-11) * Vermeidet nun noch mehr redundante doppelte Dateien, wenn alte Versionen von Dateien aus Volume-Shadow-Copies dem Datei-Überblick während der intensiven Dateisystem-Datenstruktur-Suche in NTFS- Dateisystemen hinzugefügt werden. (seit v15.6 SR-11) * Die E-Mail-Extraktion mit der Nicht-MAPI-Methode erzeugte in seltenen Fällen Unterverzeichnisse im Ordner für temporäre Dateien, die nicht mehr gelöscht werden konnten. Dies wurde behoben. (seit v15.6 SR-11) * Das Tastenkürzel Strg+Entf löscht jetzt zusätzlich auch bereits extrahierte Metadaten für die ausgewählten Dateien. (seit v15.6 SR-11) * Neue Version der Grafikbibliothek. Verhindert einen Ausnahme- fehler, der beim Laden bestimmter Photoshop-PSD-Dateien auftreten konnte. (seit v15.6 SR-11) * Ein Ausnahmefehler wurde behoben, der in neuren Releases beim Verwenden des Positions-Managers auftreten konnte. (seit v15.6 SR-11) * Die Hautfarben- und Schwarz-Weiß-Bild-Erkennung funktionierte nicht richtig in v15.6 SR-11. Dies wurde behoben. (seit v15.6 SR-12) * Verbesserte Darstellung von Notizen aus PST-Archiven, die mit der Nicht-MAPI-Methode extrahiert wurden. (seit v15.6 SR-12) * Metadaten-Extraktion aus Cookies optisch (Formatierung) und inhaltlich verbessert (jetzt oft mit Zeitstempel aus dem Internet). (seit v15.6 SR-12) * Möglichkeit, das Tastenkürzel Strg+Entf auch in X-Ways Investigator zum Zurücksetzen des Bearbeitungsstatus von Dateien im Datei-Überblick zu verwenden, sofern nicht durch die neue investigator.ini-Option +33 verhindert. (seit v15.6 SR-12) * Unterstützung größerer NTFS-komprimierter Dateien in NTFS. (seit v15.6 SR-12) * Export von Unicode-Suchtreffern verbessert. (seit v15.6 SR-12) * Ein seltener Ausnahmefehler im Registry-Viewer und in der Metadaten-Extraktion wurde vermieden. (seit v15.6 SR-12) * Ein Datei-Erzeugungsfehler bei Verwendung des Befehls Wiederherstellen/ Kopieren wurde behoben. (seit v15.6 SR-13) * Zugriff auf physischen RAM unter Windows 2000/XP funktionierte nicht in v15.6 SR-12. Dies wurde mit v15.6 SR-13 behoben. * Viele andere kleinere Verbesserungen, einige weitere kleine Fehlerbehebungen. |
| #117: WinHex, X-Ways
Forensics und X-Ways Investigator 15.6 veröffentlicht 1. März 2010 |
In dieser Ausgabe dieses Newsletters informieren wir Sie
über ein wichtiges Update, die Version 15.6. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer private, professionellen oder Specialist-Lizenz) Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich "Announcements" per E-Mail anfordern: http://www.winhex.net ------------------------------------------------------------- Im englischsprachigen Computer-Forensics-Bereich des Forums wurden von einem Benutzer kürzlich einige Vergleiche der Geschwindigkeit von Datenträgersicherungen mitgeteilt. In diesen Vergleichen schlug X-Ways Forensics alle getesteten Konkurrenzprodukte. Preisreduzierte Lizenzen für X-Ways Forensics rein für Datenträgersicherungen können erworben werden unter http://www.x-ways.net/forensics/dongle-d.html#imaging. ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: Köln, 1.-5. März 2010: http://www.x-ways.net/training/koeln1.html Köln, 31. Mai-2. Juni: http://www.x-ways.net/training/koeln2.html Details unter http://www.x-ways.net/training/index-d.html. ------------------------------------------------------------- Was ist neu? * Es können nun mehrere beim Hash-Abgleich erzielte Treffer (in verschiedenen Hash-Sets) pro Datei im Datei-Überblick aufgenommen werden, nicht mehr nur wie bisher ein Treffer (ggf. mit dem Pluszeichen versehen). (nur mit forensischer Lizenz) * Beim Importieren eines Hash-Sets filtert X-Ways Forensics nun automatisch doppelte Hash-Werte innerhalb dieses Hash-Sets heraus. Dies hat einen beachtlichen Effekt vor allem bei der US NIST NSRL-RDS-Datenbank. Deren Größe reduziert sich dadurch enorm. Wenn Ihre Hash-Datenbank bereits Hash-Sets mit Duplikaten enthält, werden diese von v15.6 ebenfalls eliminiert, wenn Sie das nächste Mal irgendein weiteres Hash-Set importieren. Hash-Datenbanken, die von v15.6 oder später benutzt wurden, können anschließend nicht mehr von v15.1 oder früher geöffnet werden. (nur mit forensischer Lizenz) * X-Ways Forensics kann nun normalerweise die tatsächliche Gesamtzahl an Sektoren gemäß ATA auf ATA/SATA-Fesplatten auch in solchen Konstellationen ermitteln, wo dies in früheren Versionen fehlschlug (nur ein Fragezeichen zurücklieferte). Nützlich, um Versuche aufzudecken, die adressierbare Kapazität einer Platte mit einer HPA (Host-Protected Area) der DCO (Device Configuration Overlay) künstlich zu begrenzen. (nur mit forensischer Lizenz) * Immer wenn X-Ways Forensics auf eine HPA/DCO prüft (also beim Sichern einer Festplatte, beim Hinzufügen zum Fall oder beim Erstellen des technischen Detailberichts) und auch tatsächlich eine findet, bietet es nun an, diese entwedervorübergehend oder permanent zu deaktivieren und die volle offizielle Plattenkapazität zugreifbar zu machen, so daß Sie die Platte z. B. in ihrer vollen Größe sichern können, bevor Sie in ihren früheren Zustand zurückfällt, wenn sie das nächste Mal heruntergefahren wird. (nur mit forensischer Lizenz) * Der technische Detailbericht kann nun den intern von derFestplatte aufgezeichneten Fehlerzähler ermitteln, sofern über die SMART-Schnittstelle verfügbar. (nur mit forensischer Lizenz) * Einfacher und schneller Plausibilitätstest für intern zusammengesetzte RAID-5-Systeme, der Sie sofort nach dem Zusammensetzen warnt, sollte die Parity nicht zu den übrigen Daten passen. (nur mit Specialist- oder forensischer Lizenz) * Bequeme Anzeige und Zerlegung von Object-ID(s) von Dateien,die in NTFS-Dateisystem gespeichert sind, im Detailsmodus. (nur mit forensischer Lizenz) * Bessere Plausibilitätsprüfung für gelöschte Dateien in Ext2/3-Dateisystemen. (nur mit Specialist- oder forensischerLizenz) * Repräsentation von Dateisystembereichen in bestimmten Ext4-Partitionen korrigiert. (nur mit Specialist- oder forensischer Lizenz) * Die "Link-Referenz" (Inode-Nummer) einer Hartverweis-Datei in HFS+ wird nun in der Kommentarspalte angezeigt.Sie können den Kommentarfilter verwenden, um nach einer bestimmten Inode-Nummer zu fahnden. (nur mit forensischerLizenz) * Repräsentation der Systemdateien "Attributes" und "Startup"im Stammverzeichnis von HFS+-Dateisystemen, falls definiert. (nur mit forensischer Lizenz) * Ver- und Entschlüsselung mit AES wird nun auf Computernmit mehreren Prozessorkernen durch Parallelisierungbeschleunigt. * Indexierung und Index-Optimierung wurden überarbeitet. Beide Schritte sind nun etwas schneller, und effizienter in ihrer Speichernutzung. (nur mit forensischer Lizenz) * Eine neue Verzeichnis-Browser-Option steuert nun, obDateien mit Unterobjekte normalerweise eingesehen odererkundet werden, wenn Sie sie doppelt anklicken. Wenn das Kontrollkästchen halb angekreuzt ist, werden Sie beimDoppelklick auf eine solche Datei immer gefragt, welche Aktion Sie bevorzugen. In früheren Versionen wurde grundsätzlich erkundet, auch wenn es u. U. intuitiver war,eine solche Datei einzusehen (denken Sie an ein von MS Office 2007 oder OpenOffice erzeugtes Dokument mit XML-Dateien als Unterobjekte). * Erhöhte Sortiergeschwindigkeit für Spalten, für die das Sortieren in v15.4 langsamer wurde (Datumsspalten, Hautfarbenanteil, Pixel, Besitzer, Verweise, ...). * Daß .eml-Dateien in .txt beim Herauskopieren zumEinfügen im Bericht umbenannt wurden, so daß der Internet Explorer sie öffnen kann, ist nun optional. Ohne das Umbenennen kann Firefox solche Dateien beim Anklicken ggf. an Outlook Express schicken. (nur mit forensischer Lizenz) * Bildern können nun optional direkt in den HTML-Fall-bericht als Inline-Base64-Code eingebettet werden, sodaß keine weiteren separaten Dateien im Unterverzeichnis des Berichts erforderlich werden. Natürlich vergrößert das die HTML-Datei immens, und nur Firefox unterstützt diese Art der Codierung für größere Bilder. (nur mit forensischer Lizenz) * Der Ordner für Scripte wird nun auch als Ordner für Schablonen verwendet. * Daß der allgemeine Ordner für Sicherungen voreingestellt ist beim Hinzufügen von Image zu einem Fall, ist nun optional. (betrifft nur Inhaber einer forensischer Lizenz) * Die Spalten Absender und Empfänger werden nun auch für Datei-Anhänge gefüllt, so daß Sie auch beim Durchsehen von Datei-Anhängen sofort sagen können, wer welche Dateian wen geschickt hat, ohne zum jeweiligen Elternobjekt (E-Mail) navigieren zu müssen (was z. B. durch Drückender Rücksetz-Taste möglich wäre). Sie können Datei-Anhänge auch anhand Absender und Empfänger filtern. (nur mit forensischer Lizenz) * Die Felder Absender und Empfänger werden nun auch für solche E-Mails in Datei-Container aufgenommen, die ohne MAPI-Methode aus PST-Archiven sowie aus anderen Archivtypen extrahiert wurden. (nur mit forensischer Lizenz) * Das Sortieren vieler E-Mails nach Absender oder Empfänger war potentiell sehr langsam in früheren Versionen, außerin v15.5 für E-Mails, die mit der neuen Methode aus PST/OST-Archiven extrahiert wurden. Das Sortieren ist nun generellschnell für E-Mails, die mit v15.6 extrahiert wurden. (nur mit forensischer Lizenz) * Die Felder Absender und Empfänger sowie internes Erzeugungsdatum werden nun aus ursprünglichen .eml-Dateien (also .eml-Dateien, die nicht von X-Ways Forensics beim Extrahieren von E-Mails aus E-Mail-Archiven selbsterzeugt wurden) beim Extrahieren von Metadaten gefüllt. (nur mit forensischer Lizenz) * Es wurde ein Fehler behoben, der Instabilitäten beim Verwenden der Filter Absender und Empfänger zur Folgehaben konnte. (nur mit forensischer Lizenz) * Metadaten-Extraktion aus HTML-Dokumenten. (nur mit forensischer Lizenz) * Möglichkeit, Datei-Container nach dem Befüllen auch inX-Ways Investigator zu fixieren, zu konvertieren und zu verschlüsseln, genau wie in X-Ways Forensics. Nützlichz. B. wenn kriminalpolizeiliche Sachbearbeiter das von ihnen gefundene inkriminierende Material (z. B. Kipo) an andere Abteilungen/Behörden im verschlüsselten Zustandweitergeben sollen. Um Benutzer von X-Ways Investigator,die diese Funktion nicht benötigen, nicht unnötig zuverwirren, können Sie ihnen diese Funktion mit dem neueingeführten Schalter +32 in der Datei investigator.ini gezielt vorenthalten. * Option, WinHex/X-Ways Forensics unter Windows Vista/7 gezielt immer als Administrator auszuführen (s. AllgemeineOptionen). * Option zum automatischen Neustart des Programms, wenndies nach Änderung bestimmter Einstellung nötig ist. * Option, dem Schlüssel für bereits hinzugefügte AES-verschlüsselte .e01-Evidence-Files in der Falldateizu speichern, so daß Sie ihn nicht immer wieder beimÖffnen eingeben müssen. Das ist bequem, aber 100% sichernur dann, wenn Sie Ihre Falldateien adäquat schützen.(nur mit forensischer Lizenz) * Der Attributsfilter für "e?" funktionierte nicht richtig für Dateien, die als Datei-Anhänge gekennzeichnet waren. Dies wurde behoben. * Es wurden ein Fehler behoben, der die geladenen Dateityp-Kategorie-Definitionen beschädigte und zu einer leeren Datei "File Type Categories.txt" führen konnte. * Ein Fehler wurde behoben, der beim Öffnen von Dateien mit sehr langen Namen in HFS+-Dateisystemen auftretenkonnte. (seit v15.5 SR-1) * Die Erzeugung von Roh-Image-Dateien im "sparse"-Stil lief in der ursprünglichen Version 15.5 nicht korrekt.Das wurde mit v15.5 SR-1 korrigiert. * Die Definitionen in "File Type Categories.txt" wurden aktualisiert und erweitert. (nur mit forensischer Lizenz) * Fehlzuordnungen mit v15.5 SR-2 behoben, die beim Importieren von Berichtstabellenverknüpfungen und Kommentaren aus Datei-Containern in den Datei-Überblick in v15.5und v15.5 SR-1 auftreten konnten. * Ausnahmefehler mit v15.5 SR-2 behoben, der in seltenen Situationen beim Überprüfen des Typs von bestimmten Textdateien auftreten konnte. * Der Dateinamensfilter hat bei anderen Buchstaben als A-Z entgegen der Dokumentation zwischen Groß- und Klein-schreibung unterschieden. Dies wurde mit v15.5 SR-3 korrigiert. * Entfernt Punkte am Ende von Verzeichnisnamen beimKopieren/Wiederherstellen mit Pfad, so daß Windows das Erzeugen dieser Verzeichnisse erlaubt. (seit v15.5 SR-3) * Ein Ausnahmefehler wurde verhindert, der beim Auswähleneines Datenträgers auftreten konnte. (seit v15.5 SR-3) * Unterstützung von .e01-Evidence-Files mit mehr als 2^32 Sektoren. (seit v15.5 SR-3) (nur mit forensischerLizenz) * Ein Fehler wurde behoben, der in einigen Versionenneueren Datums eine Fehlinterpretation der Sektorgrößein Roh-Images von bestimmten Apple-Festplatten zur Folge hatte. (seit v15.5 SR-3) * Fähigkeit, die Historie der 10 letzten Abspeicherungenin MS-Word-Dokumenten in einigen seltenen Fällen anzu-zeigen, in denen dies vorher nicht gelang. (nur mit forensischer Lizenz) * Informationen im Details-Modus über neuere hiberfil.sys-Dateien in Windows Vista und Windows 7 korrigiert. (seit v15.5 SR-4, nur mit forensischer Lizenz) * Zwei seltene Ausnahmefehler in der Typprüfung behoben.(seit v15.5 SR-4) * Das Initialisieren des freien Speichers ließ in v15.5den zuvor freien Speicher als allokierte Datei zurück.Dies wurde in v15.5 SR-4 behoben. * Ein Ausnahmefehler wurde behoben, der in v15.5 beim Exportieren der Spalten Absender und Empfänger auftretenkonnte. (seit v15.5 SR-4) * Ein Fehler wurde behoben, der beim Schreiben von Datenträgersektoren jenseits der 2-TB-Grenze auftretenkonnte. (seit v15.5 SR-4) * Ein Ausnahmefehler wurde behoben, der beim Editieren von Sektoren auf Datenträgern mit einer Sektorgröße von4 KB auftrat. (seit v15.5 SR-4) * Die Auflistung einer virtuelle Datei namens "Nichtpartitionierbarer Speicher" wird nun in Fällen, in denen sie keinen Sinn hat, vermieden. (seit v15.5 SR-4) * Viele andere kleinere Verbesserungen, einige weitere kleine Fehlerbehebungen. |