X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#130: WinHex, X-Ways Forensics und X-Ways Investigator 16.8 veröffentlicht

29. November 2012

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres beachtenswertes Update, die Version 16.8.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager sowie lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, finden Download-Instruktionen, Log-In-Daten, Details zur Update-Berechtigung bzw. Upgrade-Angebote wie immer unter https://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bei der Kommerzialisierung der Vorweihnachtszeit wollen wir nicht zurückstehen. Daher werden im Dezember auf unserer Facebook-Seite einige limitierte Sonderangebote für Software und Schulungen zu finden sein.


Schulungen

Köln, 25.-28. Feb. 2013
Köln, 8.-11. Apr. 2013
Weitere Informationen


Datenträger-Sicherung

  • Beschleunigte Erzeugung von .e01-Evidence-Files.

  • Möglichkeit, zwei Hash-Werte gleichzeitig zu berechnen. Wenn Sie davon Gebrauch machen, werden beide Hash-Werte in der begleitenden Textdatei gespeichert. Der erste Hash-Wert ist derjenige, der auf Wunsch am Ende des Sicherungsvorgangs automatisch überprüft wird. Sie könnten hierfür gezielt den schnelleren Algorithmus wählen, denn der Hauptzweck ist hierbei wohl lediglich das Erkennen von Lese-, Schreib- und Dateifehlern. Der zweite Hash-Wert wird in die Asservateigenschaften übernommen, wenn Sie das Image einem Fall hinzufügen.

  • Wenn Sie eine Datenträger-Sicherung mittendrin abbrechen, schließt X-Ways Forensics nun das .e01-Evidence-Dateiformat (im aktuellen Segment) noch schnell ab, damit man ein konsistentes Image erhält, auch wenn es nicht vollständig ist. Nützlich z. B. in einer Notfallsituation, wenn Sie eine Sicherung vor Ort vornehmen, weil ein ohne Fehlermeldungen nutzbares unvollständiges Image besser ist als ein nicht nutzbares defektes Image. Wenn eine Hash-Berechnung stattfand, kann der Hash-Wert dadurch später verifiziert werden.

  • Möglichkeit, die Kompressionsstufe jederzeit während der Erzeugung eines .e01-Evidence-Files zu ändern. Nützlich, wenn Ihre Prioritäten (höhere Kompressionsrate oder höhere Geschwindigkeit) sich ändern, z. B. wenn Sie sehen, daß der verfügbare Plattenplatz plötzlich weniger groß aussieht oder wenn Sie den Vorgang schneller als zuvor gedacht beenden müssen. Auch nützlich zum Experimentieren, wenn Sie nicht sicher sind, welche Kompressionsstufe für eine bestimmte Systemkonfiguration am geeignetsten ist, etwa wenn Sie vor Ort ein laufendes System sichern und das Image über USB auf eine externe Festplatte schreiben müssen, was mit Kompression schneller sein könnte als ohne.

  • Leicht verbesserte Kompressionsrate für die langsame starke Kompressionsstufe, wenn diese bereits beim Starten der Sicherung eingestellt war (rechtfertigt aber i. d. R. immer noch nicht die zusätzlich benötigte Zeit).

  • Neue Definition der Chunk-CRC in verschlüsselten .e01-Evidence-Files.

  • Datei-Container des neuen Formats brauchen nun nicht mehr für eine bestimmte Anzahl von Dateien optimiert zu werden und haben nun ein fixes Limit von ca. 1 Milliarde Objekte, die sie aufnehmen können.

  • Unterstützung von Virtual PC Snapshot-Image-Dateien (VHD-Image mit Unterschieden im Vergleich zu einem vorherigen VHD-Image).

Mehrbenutzerfähigkeit für größere Verfahren

  • Verbesserte Unterstützung für arbeitsteilige Auswertung und verteilte Erweiterung von Datei-Überblicken im selben Fall. Verwenden Sie dieses Feature
    1) wenn mehrere Ermittler zur Bearbeitung desselben großen Falls zur Verfügung stehen, um verschiedene Asservate gleichzeitig auszuwerten, von unterschiedlichen Rechnern im selben Netz aus oder mit separaten Benutzerkonten auf einem Terminal-Server
    oder
    2) um die Datei-Überblicke verschiedener Asservate unter Einsatz mehrerer Rechner im selben Netz gleichzeitig zu erweitern.

    Jeder Benutzer/Computer öffnet dieselbe .xfc-Falldatei (dieselbe Kopie auf demselben Computer). Alle teilnehmenden Benutzer/Computer oder alle bis auf einen (die Hauptinstanz) müssen den Fall als teilweise schreibgeschützt öffnen, d. h. nur verteilte Auswertearbeit und Datei-Überblicks-Erweiterungen erlaubend. Das können Sie erreichen, indem Sie in dem Dialogfenster zum Öffnen des Falls den "View-Modus" wählen, oder Sie werden ohnehin automatisch danach gefragt, wenn Sie den Fall öffnen, wenn dieser bereits in einer anderen Sitzung als nicht schreibgeschützt geöffnet ist (d. h. in der Hauptinstanz).

    Nach Abschluß, werden die Ergebnisse (der erweiterte Datei-Überblick, Kommentare, Berichtstabellenverknüpfungen, Suchtreffer, Markierungen usw.) beim nächsten Öffnen des Asservats in der Hauptsitzung importiert und sichtbar (in der nächsten Sitzung, in der die Falldatei nicht als schreibgeschützt geöffnet wird), und ein Hinweis über die erfolgreiche Datensynchronisation erscheint im Nachrichtenfenster. 

  • Wenn zwei Benutzer versuchen, dasselbe Asservat zur gleichen Zeit nicht schreibgeschützt zu öffnen, wird der zweite von ihnen gewarnt und darauf hingewiesen, das Asservat schreibgeschützt zu öffnen, um Konflikte zu vermeiden. Nur ein einziger Benutzer darf den Datei-Überblick eines Asservats zur selben Zeit ändern/bearbeiten.

  • Möglichkeit, einzelne Asservate (nicht nur den ganzen Fall) gezielt so zu öffnen, daß der Datei-Überblick als schreibgeschützt behandelt wird, über einen gesonderten Befehl im Kontextmenü des Asservats im Falldatenfenster. Genau wie die Option zum Öffnen des ganzen Falls als schreibgeschützt, ist dies von Nutzen bei der arbeitsteiligen Auswertung, wenn Sie wissen, daß ein Kollege von Ihnen ggf. denselben Fall (dieselbe Kopie der .xfc-Datei) öffnen möchte, und Sie ihm den Vortritt bei einem bestimmten Asservat lassen möchten (ihn Änderungen am Datei-Überblick vornehmen lassen wollen), selbst aber die Kontrolle über den Fall an sich behalten (d. h. die Hauptinstanz betreiben) möchten.
    Bitte beachten  Sie noch, daß dies überhaupt nichts damit zu tun hat, wie das Asservat selbst (der Datenträger oder das Image) gehandhabt wird. X-Ways Forensics ändert niemals die Daten in Sektoren von Datenträgern oder interpretierten Images, wenn diese als Asservat geöffnet werden. Nur der Datei-Überblick, d.h. die Datenbank mit Informationen über alle gefundenen Dateien und Verzeichnisse, ist entweder schreibgeschützt oder, und das ist der Normallfall, änderbar.

Bedienbarkeit

  • Möglichkeit, Dateien in einem externen Programm zu öffnen, das Sie ad hoc bestimmen, über das Kontextmenü des Verzeichnis-Browsers, Untermenü Viewer-Programme. Das Programm, das Sie auswählen, wird als ein Standard-Viewer-Programm gespeichert, wenn noch nicht alle Plätze für externe Programme belegt sind, und dann auch für das nächste Mal, wenn Sie denselben Menübefehl aufrufen, automatisch vorgeschlagen.

  • Wenn eine Datei mit mehreren Berichstabellen verknüpft ist, werden deren Namen in der Spalte "Berichtstabelle" des Verzeichnis-Browsers nun immer in der Reihenfolge angezeigt, in der die Berichtstabellen definiert sind. (In früheren Versionen war die Reihenfolge nicht deterministisch.) Sie können diese Reihenfolge in jedem Dialogfenster ändern, das sich mit Berichtstabellen befaßt, und die Tabellen z. B. alphabetisch sortieren oder nach Wichtigkeit oder thematisch.

  • Wenn Sie die Reihenfolge der Berichtstabellen ändern, kann nun eine ganze zusammenhängende Gruppe ausgewählter Einträge auf einmal nach oben oder unten verschoben werden, was es bspw. erleichtert, alle intern erzeugten Berichtstabellen in einem einzigen Rutsch ans untere Ende der Liste zu befördern.

  • Möglichkeit, im Dialogfenster für den Zeitstempel-Filter die Zeitstempel basierend auf einer beliebigen Zeitzone einzugeben. In früheren Versionen mußten die Zeitstempel in UTC angegeben werden.

  • Leerzeilen, die bei der parallelen Suche als Suchbegriffe eingegeben werden, oder als Teilwörter für die Filter Name, Pfad, Elter-Name oder Unterobjekte, werden nun geflissentlich ignoriert und beim nächsten Aufruf derselben Funktion automatisch herausgefiltert.

  • Möglichkeit, alle Dateitypen im Dialogfenster für den Typfilter mit einem einzigen Mausklick abzuwählen.

Dateiformat-Unterstützung

  • Der interne Algorithmus, der bei der Datei-Header-Signatur-Suche für die automatische Längenerkennung von JPEG-Dateien und den nötigen Feinschliff sorgt, wurde überarbeitet. Der neue Algorithmus verbessert auch die aussagekräftige Benennung aus Sektoren herausgemeißelter JPEG-Dateien in der Art, daß bestimmte JPEG-Dateien sogar wieder ihren Originalnamen erhalten, so wie er ggf. in Photoshop-Metadaten zu finden ist. Auch die Qualität, mit der in anderen Dateien eingebettete JPEG-Bilder hervorgeholt werden, wurde stark verbessert.

  • Die Generator-Signaturen von JPEG-Dateien werden nun im Detail-Modus ausgegeben. Diese Signaturen lassen die erzeugende Software erkennen und bleiben auch dann verfügbar, wenn andere Metadaten entfernt wurden. Bei JPEG-Dateien mit den gewöhnlichen Metadaten können sie der Erhärtung von Erkenntnissen dienen.

  • Möglichkeit, bestimmte mißgebildete JPEG-Bilder in Galerie und Vorschau einzusehen, die eine deplazierte Header-Signatur aufweisen.

  • Möglichkeit zum Extrahieren von E-Mails und indexierten Dateien aus Windows.edb-Datenbanken von Windows Vista und Windows 7. Erfordert Windows Vista or 7.

  • Der HTML-Repräsentation von index.dat-Dateien (Verwaltung von Browser-Cache und Verlauf des Internet Explorer) wurde eine weitere Spalte spendiert, aus der man den Offset des Datensatzes ablesen kann, an dem dem die Daten der betreffenden Zeile gefunden wurden. Dieser Offset ist mit einem Link hinterlegt. Wenn Sie diesen anklicken, navigieren Sie automatisch zu dem Offset in der zugehörigen index.dat-Datei im Datei-Modus. Es ist als bequem, die von X-Ways Forensics aus dem dort gespeicherten Datensatz extrahierten Informationen selbst zu überprüfen. (Beachten Sie, daß dies nicht dann funktioniert, wenn der Link nicht in 2 Zeilen umgebrochen wurde, was in v8.4 der Viewer-Komponente passiert, aber nicht in v8.3.7. Man kann natürlich immer noch manuell zu dem Offset navigieren.)

  • Möglichkeit, Browser-Cache- und Verlaufsdatensätze des Internet Explorer, die im freien Speicher oder Schlupfspeicher herumliegen, in einer einzigen virtuellen Datei namens "index.dat" einzusammeln, als Teil der Datei-Header-Signatur-Suche. Die URL-Datensätze werden dabei clusterweise aneinandergehängt. Eine HTML-Vorschau der resultierenden "künstlichen" Roh-index.dat-Datei kann automatisch bei der Metadaten-Extraktion erzeugt werden, genau wie für natürlich index.dat. Der Offset in der Vorschau bezieht sich auf die index.dat-Datei. Um zum entsprechenden Offset innerhalb der Partition zu gelangen und die tatsächliche Grundlage der Interpretation in der HTML-Darstellung zu sehen, wechseln Sie einfach von der index.dat im Datei-Modus in den Modus "Partition".

  • Möglichkeit, hiberfil.sys-Dateien automatisch beim Erweitern des Datei-Überblicks zu dekomprimieren und dem Fall als Asservat hinzuzufügen, da sie wie Speicher-Dumps behandelt werden können. Sie finden dieses neue Feature unterhalb der neu benannten Funktion "Eingebettete Daten aus diversen Dateitypen hervorholen" (die eierlegende Wollmilchsau innerhalb der Datei-Überblick-Erweiterung).

  • Dateityp-Erkennung und Größenerkennung unterstützt für Chrome-Session-Dateien, die in der Typspalte als "snss" angezeigt werden. Diese Dateien speichern Informationen über geöffnete Reiter, deren Verläufe und besuchte Web-Sites.

  • Neue Datei-Header-Signatur-Definitionen hinzugefügt.

  • Interne Erkennung von Dokumenten der Typen Apple iWork Pages und Numbers. Sonderbehandlung für iWork-Dokuments bei der Erweiterung des Datei-Überblicks.

  • Fähigkeit, dateiformatspezifische Verschlüsselung bei diversen Dateitypen von MS Office 2007 und 2010 bei der Erweiterung des Datei-Überblicks zu erkennen.

  • MacOS X Finder-Bookmarks (flnk) werden nun in der Vorschau und beim Einsehen schön dargestellt.

  • Möglichkeit, die Spalten Absender, Empfänger und Interne Erzeugung für E-Mails im Dateiformat .olk14MsgSource beim Extrahieren von Metadaten wie aus Original-.eml-Dateien zu extrahieren. (Datei-Anhänge werden aus .olk14MsgSource bereits seit v16.3 extrahiert.)

  • Gecarvte TCP- und UDP-Pakete werden nun im Vorschau-Modus statt im Detail-Modus schön dargestellt.

  • Verbesserte Unterstützung des Windows Task Scheduler (Datei-Header-Signatur-Datenbank und Registry-Bericht).

  • Verwendet nun standardmäßig die Viewer-Komponente zur Darstellung von MS-Access-Datenbanken (.mdb-Dateien).

Dateisystem-Unterstützung

  • Interpretation der Dateizuordnungstabelle (FAT) in exFAT-Dateisystemen in der Informationsspalte. Angaben in Klammern bedeuten, daß die angezeigten Informationen nicht wirklich aus der Dateizuordnungstabelle stammen und daß der Eintrag, an dem der Cursor steht, nicht tatsächlich in Gebrauch ist.

Such-Funktionalität

  • Wenn 2 Suchbegriffe in der Suchbegriffsliste ausgewählt sind und mit einem logischen UND verknüpft werden (egal mit welcher der beiden verfügbaren Methoden), können Sie nun zusätzlich einstellen, daß Suchtreffer zu den Suchbegriffen "nahe beieinander" vorkommen müssen, um aufgelistet zu werden, um mit höherer Wahrscheinlichkeit relevante Kombinationen beider Suchbegriffe in derselben Datei zu finden, genau wie mit einer Umgebungssuche. Die maximale Entfernung zwischen den Suchtreffern, die noch als "nahe beieinander" gewertet werden soll, können Sie in Bytes definieren.

  • Die Anzahl der als wichtig gekennzeichneten Suchtreffer wird nun in Klammern in der Suchbegriffsliste angezeigt.

  • Suchtreffer in UTF-16 Big Endian werden nun richtig angezeigt. UTF-16 Big Endian ist gängig z. B. in der Apple Mac-Welt, für Dateinamen in den Dateisystemen Joliet und UDF sowie generell in Java.

X-Tensions API (details)

  • Die Funktion XWF_GetHashValue wurde implementiert.

  • Die Funktion XWF_GetSize ist jetzt offiziell verfügbar.

Diverses

  • XML wird jetzt als neue Ausgabeformat des Befehls "Liste exportieren" unterstützt. Viele der weiteren separaten Felder in der Metadaten-Spalte werden in diesem Format sauber aufgedröselt.

  • Neue Option zur Ausgabe des Befehls "Liste exportieren" in die Zwischenablange.

  • Optionale alternative E-Mail-Darstellung im Vorschau-Modus (s. Optionen des Verzeichnis-Browsers) und im Fallbericht. Letzteres erlaubt es Ihnen, E-Mails direkt im Bericht schön einzusehen, ohne externe Programme per Klick aufrufen zu müssen. Datei-Anhänge werden von dieser Art der E-Mail-Darstellung (noch) nicht verlinkt.

  • Um den Text zu sehen, den die Viewer-Komponent aus Dokumenten für die logische Suche und Indexierung extrahiert, können Sie neuerdings die Umschalt-Taste gedrückt halten, wenn Sie den "Roh"-Schalter im Vorschau-Modus anklicken.

  • Zwei seltene Ausnahmesituationen im Registry-Viewer verhindert.

  • Viele kleinere Verbesserungen.

  • Einige kleinere Korrekturen.


Viewer-Komponente

Eine neue Version der Viewer-Komponent (v8.4) steht lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung zum Download zur Verfügung. Die relevanten Änderungen sind:

  • Improved support for PDF documents, in particular those created by Acrobat 10, compressed PDF files, and PDF files using 256-bit AES encryption.

  • Support has been enhanced for processing hyperlinks in PDF files.

  • Support has been added for AutoCAD 2011 and 2012 files.

  • Support has been added for Hangul 2010 documents.

  • Scalable Vector Graphics (SVG) files are now identified as and processed like XML.

  • Support for digitally signed MSG and EML files.

  • Support has been added for Access 95, 97, 2000, 2002, 2003, 2007, and 2010 database files. You may want to remove *.mdb from the list of files types to view with the associated program.

  • Support has been added for text extraction from Microsoft OneNote 2007 and 2010 files.

  • Support has been added for Outlook 2010 PST and OST files, including support for High Encryption in all versions of Outlook PST and OST files.

  • Support has been added for rendering Outlook MSG files: Note, Task, Appointment, Contact, and Journal.

  • Support has been added for two types of Office 2003 files: WordProcessingML (Word 2003), text only; and SpreadSheetML (Excel 2003), text only. The XML version of the binary format will be processed, skipping embedded objects and tagging properties.

  • Support has been added for IBM SmartSuite 9.8 files: Lotus WordPro, Lotus 1-2-3, and Lotus Freelance.

  • Support has been added for Apple iWork 09 files for Mac OSX: Pages 09 PDF Preview & Text, Numbers 09 PDF Preview & Text, and Keynote 09 PDF Preview & Text.

  • Support has been added for WordPerfect X5 files: Word Processor, Quattro Pro, and Presentations.

  • Support has been added for Adobe Creative Suite 5 files: Photoshop CS5, Illustrator CS5, and InDesign CS5.

  • When automatic font color is selected in Microsoft Office (the default setting), the application renders the text as white if the text is on a dark background. The viewer component now assumes the same behavior.

  • Support has been added for Microsoft Project Note field rich text.

Die Installation dieses Updates wäre sehr empfehlenswert, wenn v8.4 nicht zwei Probleme mit HTML-Dateien hätte: Text in Tabellenzellen kann über die Zellgrenzen hinauslaufen, und Tabellen verwenden nicht die gesamte Fensterbreite. v8.3.7 war für HTML besser geeignet, insbes. für die interne HTML-Darstellung von index.dat und .evtx usw. Außerdem haben Benutzer berichtet, daß bestimmte PDF-Dokuments in v8.4 nicht eingesehen werden konnten, die in v8.3.7 kein Problem waren. Bitte beachten Sie noch, daß Sie Dateien von verschiedenen Versionen der Viewer-Komponente nicht im selben Verzeichnis vermischen dürfen.


Änderungen der Service-Releases von v16.7:

  • SR-1: Fixed inability to recognize the partitioning style on partitioned media in some random situations, which caused errors when opening partitions that were detected before.

  • SR-1: Fixed a problem which could lead to duplicate listings of logon/logoff activity in extracted security eventlog files.

  • SR-1: Avoided false hits when searching for lost Ext partitions.

  • SR-1: Minor fixes for Exchange EDB and SQLite database processing.

  • SR-1: Ability to extract browser history and browser cache management information from Internet Explorer 10 databases in Windows 2012 Server as part of metadata extraction. Requires Windows Vista or 7.

  • SR-2: Fixed exception error in v16.7 that occurred when opening excerpts carved from the slack area of other files.

  • SR-2: Automatic removal of alternate data streams from .chm files when invoking the program help from within the application.

  • SR-3: Fixed an erroneous item in index search hit lists in v16.7.

  • SR-3: Fixed a memory leak that occurred when carving binary PList files.

  • SR-3: Fixed inability to write sectors in some situations under Windows Vista/7.

  • SR-3: Fixed an error that could prevent opening files on remote network drives.

  • SR-3: Fixed an error that could prevent the output of devices as part of the registry report.

  • SR-3: Fixed an error that under certain circumstances could lead to a random hash value when creating encrypted .e01 evidence files.

  • SR-3: Fixed an error that could cause different versions and editions of X-Ways Forensics not to understand each others partitioning information for evidence objects once a search for lost partitions has been run.

  • SR-4: The search hit description filter did not work when used together with other filters. That was fixed.

  • SR-4: Ability to use system and user environment variables in standard paths (for cases, images etc.), where the variable name has to be enclosed in percentage signs, e.g. %TEMP%.

  • SR-4: Memory leak in processing of corrupt PList files fixed.

  • SR-5: Fixed an error that could occur when interpreting VHD Virtual PC images.

  • SR-5: Rare "The virtual System Area file will be incomplete" error fixed for Ext4 volumes.

  • SR-5: Misidentification of free space as idle space fixed on certain versions of Ext4.

  • SR-5: Fixed an exception error that could occur when clicking physical search hits.

  • SR-5: Fixed a memory leak that could occur during skin tone detection.

  • SR-5: Some minor fixes for Exchange EDB processing and other functions.

  • SR-6: Fixed an error that occurred in the 64-bit edition when saving volume snapshots with more than 77 million objects.

  • SR-6: Prevented a rare exception error that could occur in Details mode for files extracted from other files in NTFS volumes under certain circumstances.

  • SR-7: Prevented errors during EDB database processing from potentially crashing X-Ways Forensics.

  • SR-7: Fixed a memory leak that could occur when reading fragmented files in HFS+ volumes.

  • SR-7: Avoided an endless recursion that could occur when trying to parse XML-formatted PLists whose capitalization does not follow the established norms.

  • SR-7: Fixed an exception error that could occur in the 64-bit edition when extracting metadata from e-mail messages.

  • SR-8: Fixed an exception error that could occur when extracting e-mails from Outlook Express DBX e-mail archives with the new extraction method.

  • SR-8: In previous versions, a new snapshot was taken of the physical disk when lost partitions were found at any later point of time, unfortunately without warning, causing a loss of search hits found on the physical disk (not search hits in the partitions) and anything else that was newly defined in the volume snapshot (e.g. files carved in unpartitioned space). That does no longer happen.

  • SR-8: Files that are excerpts of other files in the volume snapshot were opened incorrectly in v16.7, with a wrong logical file size. This could prevent hashing such artificially defined files and may have caused repeated recursive detection of embedded JPEG files. Fixed now.

  • SR-8: Fixed an exception error that could occur under certain circumstances when running a byte level file header signature search.

  • SR-9: PDF file carving results had deteriorated with v16.4. That was fixed.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln

 

  
#129: WinHex, X-Ways Forensics und X-Ways Investigator 16.7 veröffentlicht

4. Oktober 2012

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres beachtenswertes Update, die Version 16.7.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager sowie lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, finden Download-Instruktionen, Log-In-Daten, Details zur Update-Berechtigung bzw. Upgrade-Angebote wie immer unter https://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.


Schulungen

Köln: 8. November 2012: Speicherforensik
Weitere Informationen


Was ist neu in v16.7?

Plattform-Unterstützung

  • Möglichkeit die Dongle-basierten Produktvarianten (X-Ways Forensics, X-Ways Imager und die besondere Version von WinHex, die Benutzer von X-Ways Forensics erhalten) jetzt auch unter Windows 8 und Windows 2012 Server zu verwenden. Die Dongle-freien Produktvarianten waren auch schon vorher unter diesen Windows-Versionen lauffähig. Dies wird weiter getestet.

  • Programmhilfe jetzt im .chm HTML-Hilfe-Format.

Such-Funktionalität

  • Möglichkeit, eine neue Parallele Suche während der Auswertung existierender Suchtreffer zu starten. Zusätzliche Suchtreffer werden aufgelistet, wenn Sie die Suchtrefferliste aktualisieren lassen, indem Sie wie bisher die Enter-Schaltfläche in der Suchbegriffsliste drücken.

  • Wenn der Suchtrefferlisten-Schalter gedrückt wird, um während einer laufenden Suche die vorläufigen Suchtreffer durchzusehen, wird diese Suche nicht angehalten, sondern läuft weiter.

  • Möglichkeit, im Suchtrefferlisten-Modus eigene Suchtreffer anzulegen.

  • Neuer Filter in der Suchtreffer-Anmerkungsspalte, der es ermöglicht, gezielt wichtige Treffer, eigene Treffer, Treffer in bestimmten Codepages, Treffer in Text-Extrakten aus Dokumenten oder Treffer in Schlupfspeicher oder nicht-initialisierten Endbereichen von Dateien aufzusuchen. Dies ist ein sehr mächtiger Filter und der erste suchtrefferspezifische Filter in der Suchtrefferliste!

  • Eigene Suchtreffer werden jetzt mit einem Stern (*) in in der Suchtreffer-Anmerkungsspalte gekennzeichnet.

  • Option, alle Suchtreffer in einer Datei im Datei-Modus gleichzeitig hervorgehoben zu bekommen, entweder nur, wenn die Suchtrefferliste gerade angezeigt wird (Option halb gewählt), oder permanent, nachdem die Suchtreffer für ein Asservat geladen wurden (Option ganz gewählt), d. h. auch bei der Arbeit im normalen Verzeichnis-Browser. Suchtreffer werden geladen, wenn ein Asservat geöffnet wurde, sobald die Suchtreffer aufgelistet werden. Dieses neue Feature betrifft auch eigene Suchtreffer.

  • Möglichkeit, ausgewählte Suchtreffer im Datei-Modus zu löschen, wenn man sie rechts anklickt.

  • Unfähigkeit, in v16.6 Suchtreffer in der Outlook-Codepage korrekt anzuzeigen, wurde behoben.

Dateisystem-Unterstützung

  • Schnellere und zuverlässigere Rekonstruktion von Dateien in Volume Shadow Copies (bis zu 1 GB).

  • Unterstützung für Ext2-, Ext3-, Ext4-, ReiserFS- und Reiser4-Volumes größer als 2 TB.

  • Wenn beim Wechsel vom Volume/Partition-Modus zum Datei-Modus der Datei-Modus diejenige Datei darstellt, von der bekannt ist, daß ihr der zuletzt im Volume/Partition-Modus gezeigte Cluster gehört, dann wird der relative Offset in der Datei berechnet, der der letzten Cursor-Position im Volume/Partition-Modus entspricht, und der Cursor wird automatisch dorthin bewegt. Nützlich z. B., wenn Sie sehen möchten, wie die Daten in der Datei weitergehen, auch wenn die Datei fragmentiert ist, oder um (in WinHex) die Daten im nächsten Fragment zu editieren. Funktioniert nicht für komprimierte Dateien.
    Sie können den Sync-Schalter benutzen, um automatisch die Datei auswählen zu lassen, von der bekannt ist, daß sie den derzeit in Volume/Partition-Modus sichtbaren Cluster enthält. Welche Datei den angezeigten Cluster enthält, wird in der Informationsspalte angezeigt.

  • Nur für WinHex: Möglichkeit, Dateien in NTFS-Dateisystemen sicher zu löschen, die komprimiert sind oder "sparse"-Bereiche enthalten, mittels des entsprechenden Kontextmenü-Befehls im Verzeichnis-Browser.

  • Unterstützung für Mode 2 Form 1 ISO-Images mit 2.352 Bytes pro Sektor. Bislang wurde nur Mode 1 unterstützt.

  • Verläßlicheres Auffinden verlorener Ext*-Partitionen und verläßlichere Identifikation von Ext*-Dateisystemen, in Fällen, wo eine Ext*-Partition zuvor mit einem Microsoft-Dateisystem formatiert war.

Unterstützung für Dateiformate

  • Base64-codierte Datenblöcke in XML-formatierten PLists (.plist) und rohe Datenblöcke in binär gespeicherten PLists (.bplist) werden beim Erweitern des Dateiüberblicks als separate Unterobjekte extrahiert. Es wird empfohlen, gleichzeitig Dateitypen überprüfen zu lassen, damit X-Ways Forensics zwischen traditionellen (XML-formatierten) und binären PLists (BPLists) unterscheiden kann. Viele PLists besitzen keine .plist-Namenserweiterung und müssen erst als PLists identifiziert werden. Da der Typ der eingebetteten Daten von der PList selbst nicht identifiziert wird, profitieren auch die resultierenden Unterobjekte von der gleichzeitigen Typ-Prüfung. Verschachtelte PLists (PLists, die selbst in PLists eingebettet sind) werden so ebenfalls erkannt und entsprechend rekursiv verarbeitet. Ein weiteres Unterobjekt stellt für PLists eine menschenlesbare Repräsentation ihrer Text-Elemente bereit und wird als Vorschau für die PList selbst verwendet.

  • Möglichkeit, Browser-History und Browser-Cache-Management-Informationen aus Internet Explorer 10 Datenbanken (aus Windows 8 und Windows 2012 Server) zu extrahieren, als Teil der Metadaten-Extraktion in Verbindung mit der Dateityp-Prüfung. Benötigt Windows Vista oder 7.

  • Dateigrößenermittlung für ELF-Dateien (ausführbare Dateien aus Unix/Linux und Shared Objects) als Teil der Datei-Header-Signatur-Suche.

  • Gigatribe (P2P) Signaturdefinitionen hinzugefügt.

  • Verbesserte Darstellung erweiterbarer Metadaten (Adobe-XMP) in JPEG- und PDF-Dateien.

Dateiüberblick erweitern

  • Die zuletzt vom Nutzer ausgewählten Operationen beim Erweitern eines neuen Dateiüberblicks sind aus Gründen der Bequemlichkeit beim nächsten Mal jetzt voreingestellt, wenn ein anderer neuer (d. h. noch völlig unerweiterter) Dateiüberblick erweitert wird.

  • Datei-Header-Signatur-Suche: Das Flag für "greedy" Sektorzuordnung ist jetzt "G" statt "g". "g" (kleingeschrieben) ist jetzt eine schwächere Form desselben Flags. Nur wenn ein interner Algorithmus zur Ermittlung der Dateigröße für einen Dateityp existiert und falls eine Datei mit dem gleichen Startsektor bereits mit der exakt gleichen Größe existiert wie ermittelt, bewirkt das Flag "g", daß X-Ways Forensics die betreffenden Sektoren überspringt. Dies kann helfen, einander überlappende Zip-Archive zu verhindern und so möglicherweise viele enthaltene Duplikate zu vermeiden.

  • Effizientere interne Speicherung für einige identifizierte eingebettete Bilder.

  • Viel effizientere Speicherung von Dateien, die manuell aus anderen Dateien ausgegliedert wurden (d. h. im Datei-Modus, unter Benutzung des Befehls "Block als virtuelle Datei hinzufügen"). Ältere Versionen von X-Ways Forensics sehen diese Ausschnitte als vollständige Kopien der ursprünglichen Trägerdatei.

  • Bereits aus einer bestimmten größeren Datei ausgegliederte Bereiche werden im Datei-Modus jetzt hervorgehoben. Nützlich um den Benutzer zu erinnern, ob er oder sie bereits Ausschnitte aus einer Datei erzeugt hat und wo (z. B. aus einer großen virtuellen Datei "Freier Speicher"), wenn die Betrachtung der umgebenden Datei fortgesetzt wird.

  • Die Extraktion von Metadaten aus Original-.eml-Dateien ist jetzt eine separate Option der Metadaten-Extraktion.

  • Möglichkeit, Dateien beim Erweitern des Datei-Überblicks auszulassen, die herausgefiltert sind. Das ist eine mächtige neue Eingrenzungsoption, die im voraus auf Dateien abzielen kann, die noch nicht Teil des Dateiüberblicks sind, wenn die Erweiterung beginnt. Zum Beispiel wenn zusätzliche Dateien von der Datei-Header-Signatur-Suche zum Datei-Überblick hinzugefügt werden, können diese Dateien abhängig von ihrem Dateityp weiter behandelt (z. B. ihr Hash berechnet) werden oder nicht, wenn der Typfilter während der weiteren Schritte der Erweiterung des Datei-Überblicks aktiv ist.

Hash-Werte

  • Filter für die Hash-Spalte. Erlaubt es, nach Dateien zu filtern, die einen Hash-Wert haben, die keinen Hash-Wert haben, deren Hash-Wert mit bestimmten Hex-Werten beginnt (falls Sie nur den Anfang eines Hash-Wertes angeben) oder einen bestimmten Hash-Wert besitzen (falls Sie einen vollständigen Hash-Wert angeben). Dieser Filter kann die Hash-Werte von Dateien mit bis zu 4 vom Nutzer in Hex-ASCII eingegebenen Hash-Werten vergleichen. Eine schnellere Alternative zur Erzeugung eines kleinen Hash-Sets in der Hash-Datenbank, falls Sie lediglich einige wenige Dateien finden wollen, z. B. Duplikate von Dateien mit einem bekannten Hash-Wert, den Sie einfach aus der Hash-Spalte im Verzeichnis-Browser kopieren können. Nur mit einer Specialist- oder forensischen Lizenz.

  • Die einfachste Möglichkeit, diesen Filter zu verwenden, um nach Duplikaten zu suchen, die nicht einmal Copy & Paste benötigt, ist ein Rechts-Klick auf den Hash-Wert einer gegebenen Datei im Verzeichnis-Browser und den neuen Befehl "Nach ... filtern" im Kontextmenü aufzurufen.

  • Möglichkeit, SHA-1-Hash-Sets in Base32-Darstellung für den Hash-Set-Abgleich in P2P-Ermittlungen zu importieren. Eine solche Hash-Set-Textdatei muss "SHA-1" in der ersten Zeile stehen haben, gefolgt von den Hash-Werten in Base32-Darstellung, einer pro Zeile.

  • Option, SHA-1-Hash-Werte im Verzeichnis-Browser in Base32-Darstellung anzuzeigen.

  • Der Hash-Filter-Dialog und der "Nach ... filtern"-Befehl im Kontextmenü verstehen ebenfalls beide SHA-1 Hash-Werte in Base32-Notation.

  • Möglichkeit, Hash-Sets in der internen Hash-Datenbank schnell verschmelzen zu lassen. Beachten Sie, daß doppelte Hash-Werte aus dem resultierenden Hash-Set nicht sofort entfernt werden, sondern erst beim nächsten Import eines Hash-Sets, und daß Sie nicht gewarnt werden, wenn Hash-Sets aus unterschiedlichen Kategorien verschmolzen werden.

Bedienbarkeit

  • Option, die Programmeinstellungen in der .cfg-Datei wie bisher beim (sauberen) Schließen des Programms zu speichern oder jedes Mal, wenn in einem Dialogfenster auf OK geklickt wird (könnte nützlich sein, falls das Programm nicht korrekt beendet wird, um den Verlust neuerer Einstellungen zu vermeiden). Zu finden in Optionen | Allgemein. Wenn gar nicht gewählt, werden die Programmeinstellungen nie gespeichert, es sei denn, Sie halten die Umschalttaste gedrückt, wenn Sie das Programm schließen, was zumindest einmal notwendig ist, um in der .cfg-Datei die Einstellung zu speichern, daß ab dann keine Einstellungen mehr gespeichert werden sollen.

  • Wann immer das Programm feststellt, daß Sie eine .cfg-Datei einer späteren Version in einer früheren Version verwenden, was nicht erlaubt ist, wird v16.7 die vorgenannte Option derart ändern, daß die Programmeinstellungen nicht gespeichert werden, um eine Beschädigung der .cfg-Datei zu verhindern.

  • Eine neue Option in investigator.ini erlaubt es, Nutzer am Ändern der Option zur Speicherung der Programmeinstellungen zu hindern, wie von einigen Organisationen für ihre Nutzer von X-Ways Investigator gewünscht, so daß diese das Programm immer mit den selben standardisierten Einstellungen starten wie von ihren erfahreneren Kollegen vordefiniert.

  • Die optionalen Vorbemerkungen für einen Fall-Bericht unterstützen jetzt HTML-Code.

  • Möglichkeit, eine manuell ausgegliederte Datei (Befehl "Block als virtuelle Datei hinzufügen") zum Zeitpunkt ihrer Erzeugung direkt zu Berichtstabellen hinzuzufügen.

  • Möglichkeit, spaltenbasierte Filter einzeln zu aktivieren oder deaktivieren, mit einem einzigen Maus-Klick auf das Filtersymbol im Spaltenkopf bei gedrückt gehaltener Umschalttaste. Die Optionen des betreffenden Filters bleiben dabei unverändert.

  • Neue Option für den Fallbericht, die den Internet-Browser dazu bringt, nach x Tabellenzeilen eine neue Seite anzufangen, wenn der HTML-Bericht gedruckt wird.

  • Drucken-Befehl im Kontextmenü des Verzeichnis-Browsers: Möglichkeit, nur das Deckblatt zu drucken, indem nur die Seiten 0 bis 0 des Dokuments oder Bildes selbst als Druckauftrag angegeben werden.

  • Im Kontextmenü von Datenfenstern in der englischen und deutschen Benutzeroberfläche wurden Lesezeichen in Positionen umbenannt. Dies ist konsistent mit dem Begriff "Positions-Manager" und unterstützt die Ansicht, daß Einträge im Positions-Manager nicht mehr die bevorzugte Methode sind, in der forensischen Benutzeroberfläche Fundstellen kenntlich zu machen. Wenn Sie mit Fällen arbeiten, sollten Sie idealerweise statt dessen sogenannte eigene Suchtreffer definieren, die deutlich mächtiger sind. (Sie können aufgelistet, ausgewählt, eingesehen und mitsamt ihrem Kontext exportiert werden, genau wie normale Suchtreffer.)

  • Möglichkeit, etwaige vorhandene zusätzlichen Maus-Tasten für Zurück und Vorwärts zur Navigation zurück und vorwärts einzusetzen.

X-Tensions API (details)

  • Neue Funktion XWF_CreateFile erlaubt eine externe Datei zum Dateiüberblick hinzuzufügen und effizient Dateien aus anderen Dateien auszugliedern (d. h. Dateien zu erzeugen, die im Dateiüberblick als Ausschnitt gekennzeichnet sind).

  • Eine neue Version des Python Plug-Ins ist verfügbar.

Diverses

  • Die Datei messages.txt heißt jetzt msglog.txt und ist UTF-8 kodiert statt UTF-16.

  • Relative Pfade werden jetzt auch für MPlayer/Forensic Framer und das bevorzugte Programm zum Abspielen von Videos unterstützt.

  • Unterstützung für eine zusätzliche Variante von Geo-Informationen in JPEG EXIF-Daten.

  • Viele kleinere Verbesserungen.


Änderungen in den Service-Releases von v16.6:

  • SR-1: Duplikate in Datei-Containern des neuen Formats für dasselbe Objekt auf demselben Dateisystem werden nicht mehr verhindert, wenn der Ursprung ein anderes Asservat ist oder ein neuer Dateiüberblick erzeugt wurde (z. B. wegen Änderungen im Asservat). Die Meldungen über vermiedene Duplikate werden nicht länger angezeigt.

  • SR-1: Verbesserte Decodierung der Namen von Anhängen bei der Extraktion aus DBX und MBOX.

  • SR-1: "Liste exportieren"-Befehl für eigene Suchtreffer wurde korrigiert.

  • SR-1: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn eine Datei-Header-Signatur-Suche durchgeführt wurde.

  • SR-2: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn bestimmte MSG-Dateien mit der neuen Extraktionsmethode behandelt wurden.

  • SR-2: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn bestimmte DBX-E-Mail-Archive eingesehen wurden.

  • SR-2: Für E-Mails, die aus PST/OST/EDB extrahiert wurden, Möglichkeit die E-Mail-Header geringfügig derart anzupassen, daß der HTML-formatierte Nachrichtentext in anderen Anwendungen wie Outlook Express und Windows Live Mail 2011 direkt angezeigt wird, nicht als Dateianhang.

  • SR-2: Unfähigkeit der x64-Version .evtx-Event-Log-Dateien zu verarbeiten wurde behoben.

  • SR-3: E-Mail-Extraktion besser vor bestimmten Arten fehlerhafter E-Mail-Header geschützt.

  • SR-3: Hash-Set-Import besser vor fehlerhaften Hash-Set-Textdateien geschützt.

  • SR-3: Im Registry-Report für Nutzerprofile, die im SAM-Hive definiert sind, wurden die Zeitstempel für letzten Logout, letzte Passwort-Änderung und letzter fehlgeschlagener Login-Versuch nicht in die eingestellte Zeitzone umgewandelt. Das wurde behoben.

  • SR-3: "..."-Schalter mit zusätzlichen Optionen in Wiederherstellen/Kopieren ist jetzt immer verfügbar, wenn diese Optionen eine Rolle spielen könnten.

  • SR-3: Die Nutzer-ID (letztes Segment) in der SID von Dateien, die NTFS-Dateisystemen entstammen, wird in Datei-Containern des neuen Formats jetzt angezeigt.

  • SR-3: Andere kleinere Verbesserungen und Korrekturen.

  • SR-4: Möglichkeit, ein Nachrichtenfenster in Notfällen nicht-modal zu machen, durch Doppel-Klicken seines Textes. Wenn zum Beispiel eine Fehlermeldung wiederholt in einer Schleife erscheint, wenn Sie auf OK klicken, gibt Ihnen dies die Chance Ihre Arbeit zu speichern (z. B. den Fall über das Menü zu speichern), bevor Sie das Programm schließen müssen. Andernfalls würde eine normale Fehlermeldung (in einem modalen Meldungsfenster) den Zugriff auf das Hauptfenster, das Falldaten-Fenster und ihre Menüs blockieren.

  • SR-4: Ein Fehler in der Datei-Header-Signatur-Suche wurden behoben, der auf Ext4-Volumes auftreten konnten.

  • SR-4: Auflistung der Geräte im Registry-Report ist nicht mehr auf 100 Einträge limitiert.

  • SR-4: Ein Fehler im Rückgängig-Befehl wurde behoben, der beim Hex-Editieren einer Datei seit v16.4 auftreten konnte.

  • SR-4: Ein Ausnahmefehler wurde behoben, der bei der Extraktion von Metadaten aus OLE2-Compound-Dateien auftreten konnte.

  • SR-5: Erkennung von mehrseitigen JPEG-Bildern wie sie von Sony- und Panasonic-Geräten erzeugt werden. Eine Berichtstabellen-Verknüpfung wird erzeugt, genau wie für mehrseitige TIFF-Bilder. Zusätzliche Seiten können von der Suche nach JPEG-Bildern in JPEG-Dateien gefunden werden.

  • SR-5: Die Unfähigkeit in v16.6, Suchtreffer in der Outlook-Codepage korrekt anzuzeigen, wurde behoben.

  • SR-5: Ein Eingabe-Fokus-Problem von v16.5 und v16.6 im Verzeichnis-Browser wurde behoben, das nach einer Änderung der Filtereinstellungen auftreten konnte.

  • SR-5: Ein Fehler wurde behoben, der auftreten konnte, wenn weitere Objekte zu einem bereits sehr großen Dateiüberblick (> 6 Millionen) hinzugefügt wurden.

  • SR-5: Eine in bestimmten Situationen unzutreffende Warnung vor ineffizientem .e01-Tabellen-Layout wurde vermieden.

  • SR-5: Abgeschnittene Fehlermeldungen bei der EDB-Verarbeitung wurden behoben (nur 64-Bit-Version).

  • SR-6: Ein Ausnahmefehler wurde behoben, der in v16.5 und später beim Parsen von FAT-Dateisystemen auftreten konnte.

  • SR-6: Die neuen E-Mail-Extraktionsmethoden für EML und MBOX erzeugten in einigen Fällen ungültige und zufällige Namen für Dateianhänge. Das wurde behoben.

  • SR-6: Ein Ausnahmefehler wurde behoben, der bei der Benutzung des Filters in der Spalte "Unterobjekte" auftreten konnte.

  • SR-7: Ein Fehler wurde behoben, der unvollständige zweite Kopien von .e01-Evidence-Files erzeugen konnte.

  • SR-7: Einige Ausnahmefehler wurden verhindert, die während der Erweiterung des Dateiüberblicks auftreten konnten, insbesondere bei der Extraktion von Metadaten.

  • SR-8: Vermeidet, daß ein Fenster mit dem Titel "Bitte warten" nicht mehr wieder verschwand, wenn Daten aus großen Archiven extrahiert wurden, um eine Kontext-Vorschau in Suchtrefferlisten zu anzuzueigen.

  • SR-8: Ein Absturz wurde verhindert, der beim Versuch auftreten konnte, mit der neuen Methode E-Mails aus bestimmten aus Sektoren ausgegliederten, defekten MSG-Dateien zu extrahieren.

  • SR-8: Korrekte Extraktion von E-Mail-Header-Feldern aus Original-.eml-Dateien mit UNIX-Zeilenendezeichen.

  • SR-8: Ein Fehler bei der Anzeige von freiem Speicher in XFS wurde behoben.

  • SR-8: Leichte Modifikationen bei der Kompression von Datenträger-Sicherungen.

  • SR-8: Kleinere Verbesserungen in der Unterstützung für XFS und anderen Funktionen.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook

 

  
#128: WinHex, X-Ways Forensics und X-Ways Investigator 16.6 veröffentlicht

2. August 2012

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres beachtenswertes Update, die Version 16.6.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager sowie lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, finden Download-Instruktionen, Log-In-Daten, Details zur Update-Berechtigung bzw. Upgrade-Angebote wie immer unter https://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.


Schulungen

Köln: 5.-8. November 2012: X-Ways Forensics + Speicherforensik
Weitere Informationen


Was ist neu in v16.6?

Suchfunktionen

  • Möglichkeit zum manuellen Definieren von Suchtreffern. Immer dann, wenn Sie auf relevanten Text stoßen, sei es irgendwo mitten im freien Speicher im Modus Disk/Partition/Volume oder innerhalb einer bestimmten Datei im Modus Datei, können sie ihn als Block auswählen und dann per Rechtsklick als sogenannten "eigenen Suchtreffer" den "herkömmlichen" (d. h. vom Programm selbst gefundenen) Suchtreffern hinzufügen. Sie können eigene Suchtreffer zu beliebig benannten Suchbegriffen (Kategorien) zuweisen. Wenn z. B. das, was Sie gefunden haben, mit dem Beschuldigten A zu tun, können Sie einen Suchbegriff wählen, der nach A benannt ist. Wenn auch mit Beschuldigten B zusammenhängend, dann auch erneut zu einem weiteren Suchbegriff (was dann später UND-Kombinationen erlaubt). Sie können eigene Suchtreffer auch "echten" Suchbegriffen zuweisen, die Sie bei einer automatischen Suche verwendet haben.
    Eigene Suchtreffer können bequem in Suchtrefferlisten aufgelistet und von dort auch schön exportiert werden, genau wie herkömmliche (automatisch erzeugte) Suchtreffer. Sie können die richtige Codepage für eigene Suchtreffer selbst angeben, wenn Sie sie definieren, was notwendig sein kann, damit der Text auch in der Suchtrefferliste korrekt angezeigt wird. Eigene Suchtreffer werden mit Verweis auf ein Objekt im Datei-Überblick gespeichert, wenn Sie sie im Modus Datei definieren. Eigene Suchtreffer sind vorwärtskompatibel, d. h. ältere Versionen (v16.2 und neuer) können solche in v16.6 erzeugten Suchtreffer auch sehen.

  • Suchtreffer können nun eine theoretische Maximallänge von 65.535 Bytes haben und werden nicht mehr nach 255 Bytes abgeschnitten.

  • Statt bisher 340 Bytes können nun bis zu 1.000 Bytes an Kontext um Suchtreffer herum exportiert werden, und Sie die Anzahl der Bytes kann nun separat für Kontext vor und nach dem Treffer angegeben werden. Auch 0 ist für eins von beiden möglich. Dies kann nützlich sein für technische Suchen (nicht Stichwortsuchen), wenn Sie z. B. nach einer Signatur gesucht haben, die den Anfang bestimmter Datensätzen anzeigt, wo die Daten vor dem Treffer irrelevant sind.

  • Doppelte Suchtreffer, die entstehen, wenn man unnötigerweise in mehreren Codepages auf einmal sucht, die für alle oder einige Suchbegriffe äquivalent sind, werden nun vermieden. Z. B. scheinen viele Benutzer sowohl in der Codepage Lateinisch 1 als auch in UTF-8 zu suchen, auch wenn die Suchbegriffe gar keine Umlaute oder ß oder andere Nicht-ASCII-Zeichen enthalten.

  • Überarbeitete Unterstützung für Wortgrenzen-Anker (\b) und Suchen nach ganzen Wörtern bei der Parallelen Suche (nur mit forensischer Lizenz). Sie können nun definieren, welche Zeichen als Teil von Wörtern angesehen werden sollen. Das ist nützlich, um falsche Treffer für kurze natürlichsprachliche Wörter in binären Mülldaten oder Base64-Code zu vermeiden und generell für Benutzer, die Zahlen als Teil von Wörtern ansehen (so wie in "GIF89"). Beispiel: Ein nicht wünschenswerter Treffer für "Band" in "7HZsIF9BAND4TpkSbSBS" kann verhindert werden, wenn Sie nur nach ganzen Wörtern suchen UND Sie das Alphabet so geändert haben, daß es auch die Ziffer 0-9 mit einschließt, d. h. so daß diese als Wort-Zeichen betrachtet werden.

  • Daß der Schlupf von Dateien bei logischen Suchen ausgespart wird, ist nun optional. Wenn das Kontrollkästchen für "Schlupf öffnen und durchsuchen" ganz gewählt (mit einem Häkchen versehen) ist, hat diese Option immer noch Priorität vor all den Optionen, die zum Ausschluß von Dateien von der Suche führen, aber nicht mehr im halb gewählten Zustand.

  • Beim Indexieren mehrere Asservate in einem einzigen Schritt werden nun die von X-Ways Forensics automatisch für die Indexierung geöffneten Asservate auch automatisch wieder geschlossen, wenn sie abgearbeitet sind (und dasselbe gilt auch für eine etwaige Optimierung), so daß sich auf dem der Bildschirm nicht unzählige Datenfenstern ansammeln und so daß nicht all deren Datei-Überblicke zur gleichen Zeit geladen sein müssen, was viel Speicher benötigen kann, wenn sie viele Millionen Dateien enthalten.

Dateisystem-Unterstützung

  • Unterstützung des Dateisystems XFS. Spuren von gelöschten Dateien können ebenfalls gefunden werden. Nur mit einer forensischen Lizenz.

  • Unterstützung für Zeitstempel mit hoher Präzision und Erzeugungszeitstempeln in Ext4-Dateisystemen, sofern vorhanden.

  • Wenn die besonders intensive Dateisystem-Datenstruktur-Suche in einem NTFS-Dateisystem abgebrochen wird, erinnert sich X-Ways Forensics nun daran, welche Schattenkopien (so es welche gibt) bereits verarbeitet wurden, damit diese bei einem erneuten Versuch übersprungen werden können.

  • Möglichkeit, ein einzelne Datei in einem Verzeichnis zum Fall hinzuzufügen, über den Befehl Datei | Datei hinzufügen im Falldaten-Fenster oder per Hinüberziehen & Fallenlassen in das Falldaten-Fenster (ja, gemeint ist Drag & Drop). Wenn Sie mehr als 1 Datei aus demselben Verzeichnis hinzufügen möchten, fügen Sie wie bisher das gesamte Verzeichnis hinzu, unterdrücken Sie lediglich nicht benötigte Dateien oder entfernen Sie sie ganz aus dem Datei-Überblick. Diese neue Art von Asservat ist vorwärtskompatibel mit v16.4 und v16.5. Das heißt, wenn Sie eine einzelne Datei zum Fall hinzufügen, können Sie damit auch in älteren Versionen arbeiten.

  • Optionen | Datei-Überblick | [x] "NTFS: FILE-Records überall suchen" ist jetzt eine der berüchtigten 3-stufigen Kontrollkästchen. Wenn ganz gewählt (mit Häkchen versehen), werden FILE-Records in allen Sektoren einer NTFS-Partition gesucht; wenn nur halb gewählt (Voreinstellung), dann nur in Schattenkopien.

Dateiformat-Unterstützung

  • E-Mail-Extraktion aus Exchange-EDB-Dateien verbessert.

  • Beim Extrahieren von empfangenen E-Mails aus E-Mail-Archives ohne Delivery-Date:-Zeile im Header übernimmt X-Ways Forensics als Änderungsdatum nun das Datum vom Ende der ersten Received:-Zeile.

  • Möglichkeit, den Registry-Viewer während laufender anderer Operationen wie Suchläufen und Datei-Überblicks-Erweiterungen zu verwenden.

  • Bestimmte HTML-E-Mails, die aus PST/EDB extrahiert wurden, werden nun klarer als im HTML-Format befindlich gekennzeichnet, was in einigen Fällen helfen kann, sie richtig einzusehen.

  • Überarbeitete Darstellung von wtmp/utmp/btmp Log-In-Protokollen.

  • Möglichkeit, beim Erweitern des Datei-Überblicks alle Arten von Dateien aus Safari cache.db Browser-Cache-Dateien zu extrahieren.

  • Die Inhalte von JAR-Archiven werden nun standardmäßig nicht mehr in den Datei-Überblick aufgenommen, nur noch optional. Diese Archive enthalten üblicherweise viele, viele irrelevante Dateien und sind oft tief verschachtelt.

Datenträger-Images

  • Möglichkeit, bei Bedarf eine zweite Kopie eines Images schon bei der Datenträger-Sicherung zu erzeugen, was viel schneller ist als das nachträgliche Kopieren der Image-Datei und Sinn hat, wenn die zweite Kopie auf einem anderen Datenträger erzeugt wird. Nur die erste Kopie wird optional automatisch überprüft. Das Aufteilen in mehrere Segmente geschieht synchron für beide Kopien, auch wenn der freie Speicherplatz nur auf einem der beiden Ziellaufwerke erschöpft ist.

  • Möglichkeit, mehrere ausgewählte Images in einem Fall in einer einzigen Operation zu überprüfen, d. h. deren Hash-Werte zu berechnen und ggf. mit einem bereits bekannten Hash-Wert zu vergleichen. Sie können den Befehl dafür im Kontextmenü des Falls finden (d. h. in dem Kontextmenü, das erscheint, wenn Sie den Falltitel dort, wo er fettgedruckt ist, rechts anklicken).

  • .e01-Evidence-Files mit größerer Chunk-Größe unterstützt.

  • Im Nachrichtenfenster werden nun Meldungen angezeigt, wenn Dateien zur Vermeidungen von Doppelungen nicht in einen Container des neuen Formats kopiert werden.

X-Tensions API (Details)

  • Funktionsdefinitionen für C++ und Plug-In für Python aktualisiert.

  • Möglichkeit zum Ausführen von X-Tensions in X-Ways Forensics direkt aus dem Hauptmenü heraus (Extras | Run X-Tensions). Nützlich für X-Tensions, die nicht mit dem Datei-Überblick oder den Suchtreffern  irgendeines Asservats interagieren, sondern z. B. selbst Asservate erzeugen oder anderweitig verwalten. Der nOpType-Parameter in der XT_Prepare-Funktion ist in einem solchen Fall XT_ACTION_RUN.

Bedienbarkeit

  • Zwei neue Spalten im Verzeichnis-Browser sind nun verfügbar (nur mit forensischer Lizenz): "Elter-Name" und "Unterobjekte". Beide Spalten sind mit Filtern ausgestattet. Der Filter für Unterobjekte erlaubt es Ihnen beispielsweise, schnell alle E-Mails zu finden, die einen Datei-Anhang mit einem bestimmten Namen haben. Auch beim Exportieren kann es schön sein, für eine E-Mail auch die Namen der Attachments mit auszugeben. Der Filter für den Elter-Namen ermöglicht es, schnell alle Attachments zu finden, die an E-Mails mit bestimmten Wörtern im Betreff angehängt waren. Beachten Sie, daß sich die Filter der Spalten Name, Elter-Name und Unterobjekte die gleichen Einstellungen teilen und sich gegenseitig ausschließen. D. h. sie können nicht gleichzeitig aktiv sein, sondern deaktivieren einander.

  • Das Fortschrittsanzeige-Fenster zeigt nun Dateinamen in derselben Farbe an wie der Verzeichnis-Browser und wie in der Legende ersichtlich. Dadurch ist leichter erkennbar, wenn gerade komprimierte Dateien verarbeitet werden.

  • Möglichkeit, beim Betrieb von Windows mit übergreifendem Desktop auf 2 Monitoren Vollfenster-Anzeigen von Bildern (nicht bei Verwendung der Viewer-Komponente) auf dem zweiten Monitor zu zentrieren.

  • Neue Option in Optionen | Viewer-Programme, die das automatische Schließen des vorherigen Bildanzeigefensters erlaubt, wenn ein neues Bild angezeigt wird (nur wenn die interne Grafikanzeigebibliothek für Bilder verwendet wird, nicht die Viewer-Komponente).

  • Die Pfade für Fälle, Images, temporäre Dateien und die Hash-Datenbank dürfen sich nun relativ auf das Verzeichnis beziehen, von dem aus X-Ways Forensics ausgeführt wird. z. B. .\Fälle und .\Temp. Nützlich als Einstellungsmöglichkeit, die Sie vor Ort mitnehmen zum Einsehen von Live-Systemen, so daß alle Dateien auf Ihrem eigenen externen Laufwerk erzeugt werden, aber dennoch in separaten Verzeichnissen.

  • Ebenso werden nun relative Pfade unterstützt, die mit .. beginnen, wobei .. für das Elternverzeichnis des Verzeichnisses steht, von dem aus X-Ways Forensics ausgeführt wird.

  • Externe Viewer-Programme können nun ebenfalls mit einem relativen Pfad angegeben werden (einem, der mit .\ oder ..\ anfängt).

  • Unbegrenzte Teilwort-Längen im Pfad-Filter erlaubt.

Diverses

  • Besserer Umgang mit vorübergehenden Problemen mit der Verbindung zum Dongle. Der normale Betrieb wird automatisch fortgesetzt, wenn die Verbindung wieder besteht, ohne daß ein Eingriff des Benutzers nötig wird. Nützlich z. B., wenn der Dongle an einen Dongle-Server angeschlossen ist und die Netzwerk-Verbindung zeitweise unterbrochen ist.

  • Besserer Umgang mit der Situation, wenn die Verbindung zum Dongle verlorengeht, weil der Computer auf Standby schaltet oder in den Ruhezustand versetzt wird.

  • Der Befehl "Liste exportieren" filtert jetzt alle Steuerzeichen <0x20 aus der Metadaten-Spalte heraus, außer Zeilenumbrüche und Tabulatorzeichen, welche nach wie vor durch Semikolons ersetzt werden.

  • Ein seltener Fehler von Heap-Korrumpierung wurde behoben, der von bestimmten Arten von GIF-Dateien verursacht wurde.

  • Der Befehl "Extras  | ... analysieren" funktionierte bisher nicht in der 64-Bit-Edition. Das wurde korrigiert.

  • Ein Anzeigefehler wurde korrigiert, der in Schablonen mit der Option "multiple" auftrat.

  • Viele kleinere Verbesserungen.


Änderungen in den Service-Releases von v16.5:

  • SR-1: Bestimmte Arten von VMDK-Snapshots wurden nicht als solche erkannt. Das wurde korrigiert.

  • SR-1: Die neue Extraktionsmethode für E-Mail-Attachments hatte noch Fehler. Diese wurden abgestellt.

  • SR-1: Der Versuch, während laufender anderer Operationen Dateien extern einzusehen oder Archive zu erkunden, hat das Fortschrittsanzeige-Fenster für diese anderen Operationen geschlossen. Das wurde behoben.

  • SR-2: Die Vorschau für $UsnJrnl:$J ist jetzt auf Benutzerwunsch hin eine echte tabulatorseparierte Textdatei. Das bedeutet, daß die Spalten in der Anzeige durch die Viewer-Komponente nicht mehr sauber ausgerichtet erscheinen.

  • SR-2: Ein Ausnahmefehler, der bei der Identifzierung von SQLite-Datenbanken auftreten konnte, wurde behoben.

  • SR-2: Unfähigkeit zum Sortieren im Asservat-Überblick in bestimmten Situationen vermieden.

  • SR-2: Der Befehl "Hex-Werte ersetzen" wurde manchmal bei Sequenzen von Hex-Werten zu Unrecht nicht fündig. Das wurde korrigiert.

  • SR-3: Möglichkeit, in Datei-Containern des neuen Formats eine Datei-Header-Signatur-Suche auf Byte-Ebene durchzuführen. Nützlich als Behelf, um nicht an Sektorgrenzen ausgerichtete kleinere Dateien in bestimmten größeren anderen Dateien zu finden (die zuvor in den Container kopiert werden müssen). ohne die Suche auf Byte-Ebene auf ein ganzes Image oder einen ganzen Datenträger anwenden zu müssen, was oft zu viele Mülldateien zur Folge und zuviel Zeit kosten würde.

  • SR-3: Das Drücken der Esc-Taste schließt nun alle Filter-Dialogfenster, ohne den betreffenden Filter zu aktivieren oder zu deaktivieren. Dasselbe Verhalten konnte vorher bereits durck Klick auf das "X" in der oberen rechten Ecke des Dialogfensters erreicht werden.

  • SR-3: Wichtig für Benutzer, die die Datei "File Type Categories.txt" auf eigene Bedürfnisse zugeschnitten haben: Dateitypen mußten in Kleinbuchstaben geschrieben werden, genau wie in der von uns bereitgestellten Originaldatei, ansonsten funktionierten der Dateityp-Filter und der Kategorie-Filter nicht mehr richtig. Diese Einschränkung besteht nun nicht mehr.

  • SR-3: Das Hinzufügen eines Blocks zum Datei-Überblick als virtuelle Datei funktionierte nicht in Suchtrefferlisten. Das wurde korrigiert.

  • SR-4: Die  Nachricht "Die laufende Operation muß erst abgebrochen werden." wurde in Situationen während logischer Suchen vermieden, in denen sie nicht hätte angezeigt werden sollen.

  • SR-4: Das Extrahieren von Dateien aus kleinen anderen Dateien mittels "Dateien retten nach Typ" schlug mit einem Lesefehler fehl. Das wurde korrigiert.

  • SR-4: Ein Ausnahmefehler wurde behoben, der unter bestimmten Umständen bei Anwendung des Befehls "Suche fortsetzen" auftreten konnte.

  • SR-5: Das virtuelle Verzeichnis "Modules" in einem Windows-Hauptspeicher-Abbild geht nun bei einer bes. intensiven Dateisystem-Datenstruktur-Suche nicht mehr verloren.

  • SR-5: Einige Felder in selbst versandten E-Mails in Outlook PST/OST-E-Mail-Archiven wurden in v16.5 nicht korrekt ausgegeben. Das wurde korrigiert.

  • SR-5: Einige kleinere Verbesserungen und Korrekturen.

  • SR-6: Schnellere, weniger speicherhungrige und etwas fehlertolerantere Verarbeitung von Exchange-EDB-Datenbanken.

  • SR-6: Fähigkeit verbessert, Prozesse und DLL-Namen in 64-Bit-Editionen von Windows in Extras | RAM öffnen anzuzeigen.

  • SR-6: Filter für bereits eingesehene Objekte repariert.

  • SR-6: Ein Fehler wurde behoben, der bei der Suche nach eingebetteten Bildern in Dateien mit sehr langem Pfad auftreten konnte.

  • SR-6: Fehler in chinesischer Benutzeroberfläche in v16.5 korrigiert.

  • SR-6: Meldung "Invalid, corrupt or simply unexpected directory entry found at offset ..." und Auslassen von Auslassung von ungültigen Verzeichniseinträgen in FAT vermieden, die manchmal für Dateien oder Verzeichnisse mit ostasiatischen Namen gefunden werden können.

  • SR-6: Einige kleinere Reparaturen und Verbesserungen.

  • SR-7: Weitere kleinere Verbesserungen der Verarbeitung von Exchange EDB.

  • SR-7: Höhere Stabilität von beim Extrahieren von Metadaten aus beschädigten iPhone-Backup-Dateien.

  • SR-7: Stabiler beim Verarbeiten von .evtx-Event-Logs.

  • SR-7: Stabiler beim Erkennen der Größe von SQLite-Datenbanken während der Datei-Header-Signatur-Suche.

  • SR-7: Stabiler beim Extrahieren von Metadaten aus Flash-Video-Dateien.

  • SR-7: Stabiler beim Extrahieren von Datei-Anhängen aus DBX-E-Mail-Archiven mit der neuen Methode.

  • SR-7: Endlosschleife beim Verarbeiten von .msg-Dateien vermieden.

  • SR-7: Basiert nun auf libpng 1.5.11. Das schließt die in v1.5.10 eingebrachte Korrektur einer Verwundbarkeit von libpng mit ein.

  • SR-7: Einige kleinere Verbesserungen und Korrekturen.

  • SR-8: Akzeptiert ungültige Verzeichniseinträge mit kurzen Dateinamen in FAT, die man in Android-Smartphones finden kann. Frühere Versionen haben solche Einträge als ungültig gemeldet.

  • SR-8: Fähigkeit zur Anzeige bestimmter JPEG-Dateityp-Varianten in der Galerie, die zuvor nicht angezeigt werden konnten.

  • SR-8: DLL-Abhängigkeit vermieden, die kurzzeitig in v16.5 SR-7 x86 existierte. 

  • SR-8: Unvermögen zum Anzeigen von physischen Suchtreffern korrigiert.

  • SR-8: Einige kleinere Verbesserungen und Reparaturen.

  • SR-9: Ein weiterer Fehler beim Extrahieren von Metadaten aus iPhone-Backup-Dateien wurde korrigiert.

  • SR-9: Ein Absturz wurde verhindert, der beim Extrahieren von Metadaten aus defekten .evtx-Event-Logs auftreten konnte.

  • SR-9: Fehler bei der Extraktion von Bildern aus bestimmten beschädigten thumbs.db-Dateien korrigiert.

  • SR-10: Stabiler beim Verarbeiten von $UsnJrnl:$J.

  • SR-10: Endlosschleife verhindert beim Exportieren von Einzelbildern aus bestimmten beschädigten Video-Dateien.

  • SR-10: Ausnahmefehler, die beim Verarbeiten von beschädigten .evtx-Event-Logs auftreten konnten, wurden verhindert. Weitere Verbesserungen der Stabilität im Zusammenhang mit .evtx-Event-Logs.

  • SR-10: Einige kleinere Verbesserungen und Korrekturen.

  • SR-11: Index-Suche-Fehler behoben, der in v16.5 Einzug gehalten hatte.

  • SR-11: Ausnahmefehler vermieden, die in v16.5 auftreten konnten.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook

 

  
#127: WinHex, X-Ways Forensics und X-Ways Investigator 16.5 veröffentlicht

28. Mai 2012

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein weiteres beachtenswertes Update, die Version 16.5.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager sowie lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, finden Download-Instruktionen, Log-In-Daten, Details zur Update-Berechtigung bzw. Upgrade-Angebote wie immer unter https://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.


Zahlreiche empfehlenswerte Video-Clips und Anleitungen zum Einsatz von X-Ways Forensics finden Sie hier. Dank an Ted Smith.


Wir möchten nochmals daran erinnern, daß Dongles für X-Ways Forensics bei Verlust oder Diebstahl nur dann ersetzt werden können, wenn sie versichert waren (was kostenlos ist), und sonst nicht.

Wichtig nur, wenn bei Ihnen mehrere Dongles im Einsatz sind: Haben Sie schon einmal die ID des Ihnen zugeteilten Dongles irgendwo vermerkt? Siehe unter Hilfe | Dongle. Die ID ist evtl. vonnöten, wenn Lizenzen upgegradet werden sollen oder Ihr Dongle plötzlich aufhört zu funktionieren. Bitte speichern Sie die ID an einem sicheren Platz. Noch besser ist eine von Ihrem Arbeitgeber zentral verwaltete Liste aller Dongles und ihrer jeweiligen Benutzer. Vielen Dank!  


Was ist neu in v16.5?

Dateiformate

  • Möglichkeit zum Betrachten von Browser-SQLite-Datenbanken durch Erzeugen einer Vorschau, über eine neue Option in Specialist | Datei-Überblick erweitern | „Interne Metadaten extrahieren und hübsch aufbereiten“. Dies erfordert, daß die Dateien auf ihren wahren Typ hin geprüft wurden (oder gleichzeitig geprüft werden). Unterstützt Firefox History, Firefox Downloads, Firefox Form History, Firefox Sign-Ons, Chrome Cookies, Chrome Archived History, Chrome History, Chrome Log-In-Daten, Chrome Web Data, Safari Cache und Safari Feeds sowie die Datei main.db von Skype mit Kontakten und Datei-Transfers.

  • Möglichkeit zum Betrachten von Internet Explorer index.dat-Dateien, ebenfalls durch Erzeugen einer Vorschau über dieselbe Funktion.

  • Eine permanent vorgehaltene Vorschau kann jetzt für $UsnJrnl:$J ebenfalls als Teil der Metadaten-Extraktion erzeugt werden, so daß sie nicht jedes Mal bei Bedarf (beim Betrachten dieses Logs) neu erstellt zu werden braucht, was bei großen Exemplaren (mehrere GB möglich) sehr zeitraubend sein kann.

  • Möglichkeit zum Erzeugen einer permanent vorgehaltenen Vorschau für Windows Event-Logs (.evt und .evtx).

  • Die Vorschau wird im Datei-Überblick jeweils in Form einer Unterobjekts hinterlegt, i. d. R. im HTML-Format. Diese Unterobjekte sind nicht nur intern durch X-Ways Forensics beim Einsehen der betreffenden Elterndatei verwendbar. Sie können sie auch selbst in einem externen Programm wie Ihrem bevorzugten Internet-Browser oder in MS Excel betrachten, einfach durch Senden an ein Programm Ihrer Wahl (Kontextmenü des Verzeichnis-Browsers). Die Existenz der HTML-Unterobjekte mit durchsuchbarem Text (wahrscheinlich in künftigen Versionen auch noch für weitere Datenquellen) verbessert auch die Effektivität von logischen Suchen und der Indexierung.

  • Möglichkeit zum Aufteilen von HTML-Tabellen in den Vorschauen von Browser-Datenbanken und Event-Logs nach einer beiliebigen Zahl von Zeilen. Diese Zahl können Sie stark erhöhen, wenn Sie die HTML-Vorschauen extern betrachten, mit Ihrem bevorzugten Internet-Browser, nicht mit der Viewer-Komponente (die mit sehr großen Tabellen nicht umgehen kann).

  • Möglichkeit zum Einsehen von Dateien der Typen Outlook NK2 Auto-Complete, Outlook WAB Adreßbuch und Internet Explorer Travellog (auch bekannt als RecoveryStore).

  • Automatisches farbliches Hervorheben von ausgerichteten FILETIME-Werten in den Modi Disk/Partition/Volume und Datei. Nützlich beim manuellen Inspizieren diverser Microsoft-Formate, die u. U. mehr Zeitstempel enthalten als automatisch extrahiert werden können (versuchen Sie z. B. index.dat, Registry-Hives, .lnk-Verknüpfungen usw. usf.). Wenn die untere Hälfte eines Datenfensters den Eingabefokus hat und FILETIME-Werte hervorgehoben erscheinen, können Sie auch den Mauszeiger über einen solchen Wert bewegen, um eine menschenlesbare Interpretation des Zeitstempels zu erhalten. Alternative können Sie diese natürlich wie immer auch vom Daten-Dolmetscher enthalten, wenn Sie das erste Byte eines solchen Werts anklicken.

  • Extraktion von Metadaten aus Datenbank-Dateien von MS Access.

  • Extraktion von Metadaten aus den iPhone-Backup-Dateien Manifest.mbdx und Manifest.mbdb .

  • Registry-Bericht-Definitionen überarbeitet. Neue Definitionsdatei Reg Report Autorun.txt eingeführt.

  • Automatische Extraktion von .lnk-Verknüpfungen aus Jump-Lists (.automaticdestinations-ms) als Teil des Erweiterns des Datei-Überblicks.

  • Verbesserte Fähigkeit beim Umgang mit beschädigten .evtx Event-Log-Dateien.

E-Mails

  • Neue Methode für die Extraktion von E-Mails und Datei-Anhängen aus MSG-Dateien, die MAPI nicht erfordert.

  • Neue Extraktion von E-Mails und Datei-Anhängen aus E-Mail-Archiven vom Typ DBX und MBOX .

  • Überarbeitete Extraktion von Datei-Anhängen aus Original .eml-Dateien.

  • Extraktion von E-Mails und diversen Outlook-Daten aus PST leicht verbessert und vervollständigt.

  • Möglichkeit, die neuen Extraktionsmethoden individuell für PST, MSG, DBX, MBOX und EML ein- oder auszuschalten. Die alte Extraktionsmethode für PST und MSG ist das, was in früheren Versionen die "MAPI"-Option genannt wurde. Die neue Methode für PST wurde bereits vor langer Zeit eingeführt und als empfohlene Standardoption voreingestellt. Die neuen Methoden für alle anderen Dateitypen sind in v16.5 neu hinzugekommen. Die alten Extraktionsmethoden werden in künftigen Versionen von X-Ways Forensics wahrscheinlich nicht mehr angeboten.

  • Vorschau verfügbar für E-Mail-Archive vom Typ Outlook Express DBX.

Dateisysteme

  • Unterstützung für Festplatten, die mit MBR LVM2 oder GPT LVM2 partitioniert wurden, wie sie in Fedora/Red Hat üblich sind und in Debian und Ubuntu möglich. Sowohl Vorkommnisse mit nur 1 Platte (Standarverhalten beim Installieren von Fedora auf einer normalen Festplatte) und übergreifende Volumes (d. h. logische Volumes, die sich über mehrere physischen Datenträger erstrecken) werden unterstützt. Letztere erfordern, daß alle zur Gruppe gehörenden Datenträger/Images in X-Ways Forensics geöffnet sind, damit alle erforderlichen Daten gefunden werden können.

  • Ability to reconstruct Linux software RAIDs from partitions. The partitions need to be opened before they can be selected.

  • Unterstützung diverser UDF-Dateisystem-Versionen und -Besonderheiten überarbeitet und beträchtlich ausgebaut: Verbesserte Unterstützung von UDF auf nicht-optischen Datenträgern, virtuellen Partitionen, Metadata-Partitionen und benannten Datenströmen (dem UDF-Gegenstück zu alternativen Datenströmen von NTFS).

  • Zeitstempel in 0x30-Attributen von FILE-Records in NTFS werden jetzt direkt unter ihren Pendants aus den 0x10-Attributen dargestellt.

  • Korrektur in der NTFS-Unterstützung auf Datenträgern mit einer Sektorgröße von 4 KB.

  • Fähigkeit zum Erkennen des neuen ReFS-Dateisystems als solches.

  • Die Datei-Überblicks-Option „Dateien mit unbekannten Clustern aufnehmen“ ist jetzt eine der berüchtigten Kontrollkästchen mit 3 Zustände. Wenn ganz angekreuzt, werden alle ehem. existierenden Dateien, von denen nur Metadaten bekannt sind, in den Datei-Überblick aufgenommen. Wenn gar nicht ausgewählt, werden solche Dateien komplett ignoriert. Wenn halb gewählt, werden nur Dateien, für die mehr als bloß der Namen bekannt ist (z. B. Größe, Attribute und Zeitstempel) aufgenommen, z. B. wie in Index-Records in INDX-Puffern zu finden oder in $LogFile in NTFS, aber keine Verzeichnisleichen in den Dateisystemen Ext* und Reiser*. (Besonders kritische Benutzer, die die detaillierteren dreistufige Kontrollkästchen nicht zu schätzen wissen oder ihnen generell skeptisch gegenüberstehen oder sich keine Meinung über ihre bevorzugte Standardeinstellung bilden möchten oder meinen, daß die filigranen Bedeutungsunterschiede auch direkt in den kleinen Dialogfenstern erklärt werden müßten statt „nur“ in der Programmhilfe und im Benutzerhandbuch, können die Option einfach ganz ein- oder ausgeschaltet lassen.)

Datenträger-Images

  • Unterstützung für VMDK-Snapshot-Images. Das Basis-Image und alle vorherigen Snapshot-Images müssen beim Interpretieren eines neueren Snapshots bereits geöffnet und interpretiert sein.

  • Versagen beim Lesen von flachen VMDK-Images behoben. Fähigkeit zum Interpretieren bestimmter VMDK-Images, die vorher nicht unterstützt wurde.

  • Fähigkeit zum Erstellen von Datei-Containers vom Menübefehl Datei | Datenträger-Sicherung aus, wo Neulinge im Umgang mit X-Ways Forensics eine solche Funktionalität wohl erwarten. (nur in X-Ways Forensics verfügbar, nicht WinHex)

  • Das Feld zum Eingeben der Beschreibung einer Datenträger-Sicherung ist jetzt größer und erlaubt Zeilenumbrüche. Nützlich, wenn Sie es für mehr Informationen verwenden und diese klarer strukturieren möchten.

X-Tensions API (Details)

  • C++ function definitions for the X-Tensions API are now available for download.

  • A plug-in to run Python scripts as X-Tensions can now be downloaded from the X-Tension API web page, along with sample scripts. Also a minimal Python installation is downloadable.

  • An X-Tension that during a simultaneous search uses the Luhn algorithm to check sequences of digits for whether they could be credit card numbers (and discards false hits) is now available in 32 bit and 64 bit. When more users create and share their own X-Tensions as we hope, we will create a dedicated web page for X-Tension downloads.

  • Ability to load X-Tension DLLs from any directory. By default, X-Ways Forensics expects X-Tension DLL in the directory for scripts and templates.

  • Only selected X-Tensions will be executed, not all X-Tensions that were added to the list.

  • 7 important new functions were added:
    XWF_Search
    XWF_OpenItem
    XWF_Close
    XWF_CreateContainer
    XWF_CopyToContainer
    XWF_CloseContainer
    XWF_CreateEvObj

  • XT_ProcessSearchHit now receives a handle of the item or volume in which a search hit was found, for optional further reading.

  • New functionality was added to the XWF_SetItemInformation function.

  • More return values for XT_Prepare supported.

  • New flag for XWF_OutputMessage function.

  • Last parameter in XWF_GetItemInformation API function fixed.

Bedienbarkeit

  • Wenn Sie den Datei-Überblick erweitern, parallele Suchen oder eine Indexierung starten, bleibt die meiste andere Funktionalität ab jetzt zugänglich und nutzbar. Der Verzeichnis-Browser, der Fallbaum und andere Elemente der Bedienoberfläche incl. aller Menüs reagieren meistens weiterhin auf Aktivität. Das bedeutet z. B., daß Sie weiterhin Dateien betrachten, Kommentare zu Dateien eingeben, Berichtstabellenverknüpfungen erstellen, Verzeichnisse erkunden, Filter aktivieren oder deaktieren, Dateien sortieren und drucken sowie andere Asservate öffnen und schließen können. Es gibt übrigens eine Möglichkeit zum Minimieren des kleinen Fortschrittsanzeige-Fensters, per Rechtsklick in dessen Titel.

  • Die Option zum Herunterfahren oder Versetzen des Rechners in den Ruhezustand nach Abschluß von Datenträger-Sicherungen oder Klon-Vorgängen ist jetzt im Fortschrittsanzeige-Fenster angesiedelt, so daß Sie noch während des Vorgangs sehen können, ob sie von ihr Gebrauch gemacht haben, und sich auch jederzeit noch umentscheiden können, z. B. wenn Sie doch noch länger als geplant am Computer arbeiten möchten/müssen.

  • Es ist jetzt möglich, mehrere an denselben Computer angeschlossene Dongles (z. B. Terminal-Server) zu verwenden. Bisher waren mehrere gleichzeitige Benutzer am gleichen Rechner nur mit Multi-User-Donglen möglich (s. https://www.x-ways.net/forensics/dongle-d.html). Jeder Benutzer kann bei Programmstart auswählen, welchen Dongle er benutzen möchte. Die ID des Dongles, den er oder sie zuletzt verwendet hatte, ist voreingestellt. Die im Dongle gespeicherten Text-Notizen, sofern vorhanden, werden auch angezeigt, um das Identifizieren des richtigen Dongles zu erleichtern.

  • Wenn der einzige aktive Filter der „natürlicherweise“ aktive Filter ist, der dazu führt, daß unterdrückte Dateien nicht aufgelistet werden, und wenn es tatsächlich unterdrückte Objekte gibt, die gerade im Verzeichnis-Browser herausgefiltert werden, dann erscheinen die zusätzlichen Filter-Icons, die einen aktiven Filter signalisieren, nun in dezentem Grau statt leuchtendem Blau, um zu unterstreichen, daß es normal ist, daß unterdrückte Dateien nicht aufgelistet werden und nichts anderes herausgefiltert wird, Sie also wahrscheinlich gerade nichts übersehen.

  • Die Optionen im Dialog für den Namensfilter sind nun übersichtlicher und verständlicher strukturiert.

  • Der Pfadfilter wurde erweitert. Es können jetzt mehrere Teilwörter (1 pro Zeile) eingegeben werden, und es gibt eine NICHT-Option.

  • Eine weitere Option für den Filter "Int. ID".

  • Virtuell angehängte Dateien haben jetzt ein Büroklammer-Icon.

  • Die Rücksetz-Taste und die Leertaste funktionieren nun auch im Fallbaum.

Datei-Header-Signatur-Suche

  • Daß die Anfangssektoren von im Datei-Überblick bereits verzeichneten Dateien immer von der Datei-Header-Signatur-Suche ausgenommen sind, ist  nun optional. X-Ways Forensics versucht natürlich weiterhin, Duplikate zu vermeiden, aber wenn die Datei-Header-Signatur oder die interne Größenerkennung so stark ist, daß man vermuten kann, daß eine bekannte gelöschte Dateien mit den Daten einer neuen Datei überschrieben wurde, dann wird diese neue Datei aus den Sektoren ausgegliedert, obwohl sie sich mit der bekannten Datei denselben Anfangssektor teilt.

  • Wenn Sie die Datei-Header-Signatur-Suche bewußt abbrechen oder wenn X-Ways Forensics mittendrin abstürzt, finden Sie beim nächsten Mal, wenn Sie eine Datei-Header-Signatur-Suche in demselben Asservat starten, eine Option zum Fortsetzen vor direkt an dem Sektor, wo Sie zuvor abgebrochen hatten bzw. an der Stelle, als der Datei-Überblick vor dem Absturz zuletzt gespeichert wurde (hängt vom Auto-Save-Intervall des Falls ab).

Diverses

  • Möglichkeit, nur Verknüpfungen mit vom Benutzer erstellten Berichtstabellen über Datei-Container weiterzugeben, nicht solchen von X-Ways Forensics intern und automatisch erzeugten. Um dies so einzustellen, muß die Option zum Exportieren von Berichtstabellenverknüpfungen halb angekreuzt sein, wenn Sie einen Container erzeugen. Dies ist nun auch die neue Voreinstellung.

  • Möglichkeit, den Allgemeinen Positions-Manager auch im Datei-Modus zu verwenden.

  • Ein beim Sortieren nach der Spalte SB-Anz. auftretender Fehler wurde behoben.

  • Das Benutzerhandbuch wurde auf den neusten Stand gebracht.

  • Viele kleinere Verbesserungen.


Änderungen in den Service-Releases von v16.4:

  • SR-1: Der Asservat-Überblick ist im Fallbaum nun klarer als solcher gekennzeichnet, mit den Worten "Asservat-Überblick".

  • SR-1: Die farbliche Codierung von Verzeichnissen und Asservatbezeichnungen im Falldaten-Fenster funktioniert nun in Windows 7 genauso wie von X-Ways Forensics unter Windows XP bekannt.

  • SR-1: Das Verarbeiten von .msg- und ursprünglichen .eml-Dateien ist nun wieder schneller.

  • SR-1: Speicherleckt im ursprünglichen v16.4-Release gestopft.

  • SR-1: Daß die Viewer-Komponente bei bestimmten defekten PST-Archiven einfriert, wird jetzt verhindert.

  • SR-1: Fehler behoben, der im ursprünglichen v16.4-Release beim Sortieren nach der Kategoriespalte auftreten konnte.

  • SR-2: Das Markieren einer Datei im Asservat-Überblick bewirkte in v16.4 bisher eine Ausnahmesituation. Das wurde korrigiert.

  • SR-2: Löschzeitstempel in $LogFile wurden versehentlich doppelt in Ortszeit umgerechnet. Dieser Fehler wurde behoben.

  • SR-3: Italienische Übersetzen aktualisiert.

  • SR-3: Definitionen von X-Tension-Funktionen überarbeitet.

  • SR-3: Option zum Erlauben überlappender GREP-Suchtreffer. Dies kann in bestimmten Situationen nützlich sein, z. B. bei der Suche nach Kreditkartennummern in langen nicht voneinander getrennten Sequenzen von Ziffern.

  • SR-3: Dateien im Datei-Überblick, die von einer X-Tension erzeugt wurden, werden nun speziell mit einem winzigen Vermerk "XT" im Quadrat für das Markierungszeichen angezeigt.

  • SR-4: Eine 64-Bit-Edition von X-Ways Investigator ist jetzt verfügbar und im Standard-Download enthalten.

  • SR-4: Einige Kontextmenübefehle von Suchtrefferlisten funktionierten nicht wie erwartet, und es gab einen Fehler, der bei der Anzeige der Spalten "Suchbegriffe" und "SB-Anz." auftreten konnte. Dies wurde korrigiert.

  • SR-4: Datei-Überblicke, die von v16.3 und v16.4 für NTFS-Partitions mit mehr als 48 Schattenkopien erstellt wurden, wurden beim Abspeichern beschädigt. Das wurde korrigiert.

  • SR-4: Unter bestimmten Umständen war es möglich, daß alle Hash-Werte einer Datei mit Unterobjekten in einem Datei-Container nach dem Erzeugen des Datei-Überblicks in Form von Nullen angezeigt wurden. Das wurde korrigiert.

  • SR-4: Die Option "Suche in Dateinamen" im Namensfilter funktionierte nicht für mehr als 1 Suchbegriff, außer wenn GREP aktiv war. Das wurde behoben.

  • SR-5: Die SMART-Daten sind in der 64-Bit-Edition nun teilweise von Festplatten ermittelbar.

  • SR-5: Die alternative Plattenzugriffsmethoden funktionieren nun auch in der 64-Bit-Edition.

  • SR-5: Ein Ausnahmefehler wurde behoben, der beim Erweitern von Datei-Überblicken von Partitionen auftreten konnte, die nicht als Asservat einem Fall hinzugefügt waren.

  • SR-6: Unfähigkeit von v16.4, physischen RAM unter Windows XP zu öffnen, korrigiert.

  • SR-6: Unfähigkeit von v16.4, eingebettete PNG-Bilder aus beliebigen anderen Dateien zu extrahieren.

  • SR-6: Ein Ausnahmefehler wurde behoben, der in der 64-Bit-Edition bei logischen Suchen in Dateien mit extrem langen Pfaden auftreten konnte.

  • SR-7: Das Auto-Save-Feature eines Falls hat den Fall nicht gespeichert, wenn seit dem vorherigen Speichern nur Berichtstabellen-Verknüpfungen erstellt wurden und  sonst keine Falldaten verändert wurden. Das wurde korrigiert.

  • SR-7: Kompatibilität des neuen Datei-Container-Formats mit anderer Software verbessert.

  • SR-7: Unvermögen von v16.4 korrigiert, Images einem Fall hinzuzufügen, in deren Namen eckige Klammern enthalten waren.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird. Vielen Dank.

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook

 

  
#126: WinHex, X-Ways Forensics und X-Ways Investigator 16.4 veröffentlicht

25. Mrz. 2012

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein wirklich beachtenswertes Update, die Version 16.4.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager sowie lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, finden Download-Instruktionen, aktuelle Log-In-Daten (!!), Details zur Update-Berechtigung bzw. Upgrade-Angebote wie immer unter https://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.


Schulungen

Köln: 7.-11. Mai 2012: X-Ways Forensics + Dateisysteme
Weitere Informationen


Wir möchten nochmals daran erinnern, daß Dongles für X-Ways Forensics bei Verlust oder Diebstahl nur dann ersetzt werden können, wenn sie versichert waren (was kostenlos ist), und sonst nicht.


Was ist neu in v16.4? (Eine ganze Menge.)

Performanz

  • Eine 64-Bit-Fassung von X-Ways Forensics und der speziellen WinHex-Version für lizenzierte Benutzer von X-Ways Forensics ist jetzt verfügbar. Sie kann einfach einer Installation der 32-Bit-Fassung von X-Ways Forensics hinzugefügt werden. Die 64-Bit .exe-Datei muß im selben Verzeichnis liegen wie die 32-Bit xwforensics.exe-Datei. Zuätzliche Dateien, die von der 64-Bit-Fassung benötigt werden, werden in einem Unterverzeichnis namen \x64 erwartet. Die meisten anderen Dateien werden von beiden Fassungen gemeinsam genutzt! Das bedeutet, daß sich komfortablerweise beide Fassungen an all Ihre Einstellungen, Suchbegriffe, Dateityp-Signatur-Definitionen, Dateityp-Kategorie-Definitionen usw. usf. erinnern und auf gleiche Weise speichern. Beide verwenden zudem exakt das gleiche Format für Falldateien, Datei-Überblicke, Suchtreffer usw.
    Es ist zwar nicht 100% der bekannten Funktionalität verfügbar (z. B. die Extraktion von SMART-Daten ist nur mit der 32-Bit-Fassung möglich), dennoch ist die 64-Bit-Fassung empfehlenswert, besonders in Situationen, in denen ein 32 Bit großer Speicheradreßraum u. U. nicht ausreicht, beim Arbeiten mit Datenträgern oder Images, die viele Millionen Dateien enthalten, vorausgesetzt, Sie haben reichlich physischen Arbeitsspeicher installiert. Bestimmte Operationen, die viel Rechenarbeit für den Prozessor beinhalten (z. B. Hashen oder Verschlüsseln), können in der 64-Bit-Fassung auch schneller sein.
    Eine 64-Bit-Fassung von X-Ways Investigator folgt bald.

  • Eine 64-Bit-Fassung der Viewer-Komponente steht nun auch zum Download bereit. X-Ways Forensics warnt Sie, wenn Sie versuchen, die 64-Bit-Viewer-Komponente von der 32-Bit-Fassung von X-Ways Forensics aus aufzurufen. (Einige Benutzer glauben, daß die 64-Bit-Viewer-Komponente generell für 64-Bit Windows gedacht ist, sie paßt aber nur auf die 64-Bit-Fassung von X-Ways Forensics.)

  • Fähigkeit zum Erstellen von Datei-Überblicken mit mehreren Millionen Dateien verbessert, insbes. in der 64-Bit-Fassung, aber auch im Rahmen ihrer Möglichkeiten in der 32-Bit-Fassung (sofern zusammen mit dem /3GB-Schalter oder besser in einem 64-Bit-Windows ausgeführt).

  • Das Hashen mit dem MD5-Algorithmus (die reine Berechnung, Datenträger-E/A zum Lesen der Daten außen vor gelassen) wurde in der 32-Bit-Fassung um ~30% beschleunigt, mit SHA-1 um ~20%! (variiert je nach Prozessor) Das Hashen in der 64-Bit-Fassung wurde auch optimiert und ist sogar noch etwas schneller als in der 32-Bit-Fassung.

  • AES-Verschlüsselung und -Entschlüsselung (die reine Rechenoperation) wurden um 70% in der 64-Bit-Fassung und 30% in der 32-Bit-Fassung beschleunigt.

  • Das Sortieren nach Dateiname ist nun mehr als 3 Mal so schnell wie zuvor.

  • Sortieren nach diversen weiteren Spalten merklich beschleunigt.

  • Das Kopieren großer Dateien (Befehl Wiederherstellen/Kopieren sowie Hinzufügen von Dateien zu Containern) wurde beschleunigt.

  • Neues Puffersystem beim Lesen aus .e01-Evidence-Files im Einsatz, das die Verarbeitung in bestimmten Situationen beschleunigen kann.

  • Unterstützt komplexere GREP-Suchausdrücke als zuvor. Solche komplexen Ausdrücken hätten in früheren Versionen zu viel Hauptspeicher zum Laufen benötigt.

  • Ehemals existierende Dateien, deren erster Cluster bekanntermaßen überschrieben war oder deren erster Cluster gar nicht bekannt ist (d. h. die Dateien mit dem roten X), werden nun generell von der Erweiterung des Datei-Überblicks ausgeschlossen, es sei denn, Sie adressieren sie gezielt durch Markieren. Sie sind auch von logischen Suchen ausgeschlossen sowie von der Indexierung, wenn die empfehlenswerte Datenreduktion aktiv ist, es sei denn, sie werden gezielt durch Markieren oder Auswahl adressiert.

  • Umgang mit sog. Zip-Bomben verbessert.

  • Die Verarbeitung von .msg- und ursprünglichen .eml-Dateien ist nun langsamer.

Programmierschnittstelle/Scripting

  • Automatisieren Sie Ermittlungsarbeit und erweitern Sie die Funktionalität von X-Ways Forensics mit X-Tensions: Die neue X-Ways Forensics X-Tension API (Anwendungsprogrammschnittstelle) erlaubt es Ihnen, viele der ausgeklügelten Fähigkeiten der Computer-Software X-Ways Forensics von eigenen Programmen aus zu verwenden und sie mit eigener Funktionalität zu erweitern. Zum Beispiel könnten Sie ein spezialisiertes File-Carving für bestimmte Dateitypen implementieren, automatische Triage-Funktionaltität, alternative Berichte erzeugen oder automatisch unerwünschte Suchtreffer anhand auf Ihren eigenen Anforderungen herausfiltern usw.

    U. a. erlauben Ihnen X-Tensions Folgendes:
    - von einem Datenträger/einer Partition/einem Image zu lesen
    - eine Fülle von Informationen über jede Datei und jedes Verzeichnis im Datei-Überblick abzufragen
    - aus jeder Datei zu lesen
    - neue Objekte im Datei-Überblick zu erzeugen
    - Dateien Berichtstabellen zuzuordnen
    - Dateien mit Kommentaren zu versehen
    - Suchtreffer zu verarbeiten, zu überprüfen und zu löschen
    - und praktisch alles sonstige, was mit einem Windows-Programm möglich ist! (dank der Windows-API)

    You can use your programming language of choice, e.g. C++, Delphi, or Visual Basic, and do not have to learn any new programming language. You can use your compiler of choice, for example Visual Studio Express (freeware).

    Since an extension is not an interpreted script, but regular compiled executable code that is running in the address space of the application itself, you can expect highest performance, the same as with internally implemented functionality. X-Tensions give you easy and direct access to crucial and powerful functions deep inside X-Ways Forensics.

    When X-Tensions functions can get called:
    - when refining the volume snapshot
    - when running a simultaneous search
    - via the directory browser context menu
    - in future versions of X-Ways Forensics via the search hit context menu

    You may distribute your XWF extension DLLs that you compile and/or your source code free of charge or even for a fee, under whatever license terms you see fit.


    Weitere Informationen erhalten Sie unter https://www.x-ways.net/forensics/x-tensions/api.html.

Bedienbarkeit

  • Bequemere Möglichkeit, um Natur, Sektorgröße und weitere Speicherorte von Roh-Images anzugeben, wenn Sie die Umschalt-Taste beim Interpretieren gedrückt halten.

  • Wenn das Lesen einer aus dem Datei-Überblick referenzierten Datei fehlschlägt beim Erweitern des Datei-Überblicks oder Durchführen einer logischen Suche, z. B. weil der Speicherort einiger Cluster unbekannt ist oder weil die Datei in einem defekten Datei-Archiv liegt, dann wird pro Sitzung nur noch eine einzige Fehlermeldung ausgegeben, und der Benutzer wird über ein neu eingeführtes Attribut namens "Datei-Inhalt unbekannt, teilweise" darüber informiert, nach dem man auch filtern kann.

  • Beim (z. B. versehentlichen) Drücken einer Tastenkombination der Art Strg+Ziffer, die zum betreffenden Zeitpunkt keine Berichtstabelle zugeordnet ist, gibt X-Ways Forensics nun einen Fehler-Sound aus.

  • Mehr Informationen im Fortschrittsanzeigefenster beim Kopieren von Dateien.

  • Beim Drucken mehrerer ausgewählter Dateien (unter Verwendung der Viewer-Komponente) wird nun nur noch ein einziger Druckauftrag abgesetzt, für alle Dateien (und ggf. deren Deckblätter), so daß keine anderen Druckaufträge sich dazwischendrängeln können und so daß Sie beim Drucken in eine PDF-Datei nur einmal nach einem Dateinamen gefragt werden und alles in eine einzige Ausgabedatei gedruckt wird.

  • Bei Untermenüs mit Namen "Position" wurden in "Navigation" umbenannt.

  • Zwei nützliche neue Befehle zur Navigation im Verzeichnis-Browser wurden dem Kontextmenü (Untermenü Navigation) hinzugefügt:
    "Gewähltes Objekt in dessen Verzeichnis" zeigt Ihnen die ausgewählte Dateien oder das ausgewählte Verzeichnis in der Umgebung ihrer/seiner Geschwister. Das kann hilfreich sein, um schnell zu überprüfen, ob es noch weitere relevante Dateien im selben Verzeichnis gibt oder um die Funktion einer Datei besser zu verstehen, wenn Sie sie in ihrem Umfeld/Kontext sehen.
    "Gewähltes Objekt aus Sicht des Stammverzeichnisses" zeigt Ihnen die ausgewählte Datei inmitten aller Dateien des betreffenden Volumes, rekursiv vom Stammverzeichnis des Dateisystems aus erkundet. Sinnvoll z. B., um herauszufinden, ob es Dateien mit demselben Namen, derselben ID (könnten Vorgängerversionen aus einer Schattenkopie sein), demselben Besitzer oder Absender oder mit ähnlichen Zeitstempeln o. ä. im selben Dateisystem gibt (dazu einfach entsprechend sortieren).
    Beide Befehle können auch vom Asservat-Überblick-Fenster und von Suchtrefferlisten aus aufgerufen werden (so daß der frühere Befehl "Zu dieser Datei im Verzeichnis-Browser" überflüssig wird). Beachten Sie, Sie können durch einen Klick auf den Zurück-Schalter in der Symbolleiste bequem zur vorherigen Sicht zurückkehren!

  • Beim Wechseln zwischen normaler und rekursiver Erkundung desselben Verzeichnisses, z. B. durch Klick auf den Schalter mit dem türkisfarbenen geschweiften Pfeil, wählt X-Ways Forensics nun automatisch das zuletzt gewählte Objekt erneut aus, wenn es nach der Umschaltung noch im Verzeichnis-Browser enthalten ist.

  • Auch beim Aktivieren und Deaktivieren eines Filters wählt X-Ways Forensics nun automatisch dasjenige Objekt im Verzeichnis-Browser erneut aus, das Sie zuletzt angeklickt hatten, wenn es noch im Verzeichnis-Browser aufgelistet ist.

  • Verbessere Reagibilität beim Dekomprimieren größerer Datei-Archive.

  • Wenn eine bestimmte Datei, für die zuvor ein Hash-Wert berechnet wurde oder für die zur gleichen Zeit (bei der Erweiterung des Datei-Überblicks) berechnet wird, in X-Ways Forensics einen Absturz verursacht (wovon Sie im Fall der Fälle ausführlich informiert werden, wenn Sie X-Ways Forensics neu starten), dann werden identische Dateien nun automatisch übersprungen, wenn Sie eine Erweiterung des Datei-Überblick anstoßen bzw. fortsetzen und dabei Hash-Werte berechnen lassen (zumindest, wenn der Schutz vor Duplikaten von Absturz-versursachenden Dateien in den Eigenschaften des Falls aktiv ist). Um einen einen Fall frühere problematische Dateien vergessen zu lassen, klicken Sie auf den entsprechenden Löschen-Schalter in der Falleigenschaften. Übersprungene Dateien werden automatisch der der Berichtstabelle "Absturzursache?" hinzugefügt.

  • Wenn Sie absturzsichere Textdecodierung nicht verwenden und die Viewer-Komponente X-Ways Forensics beim Decodieren einer bestimmten Datei zum Absturz bringt, weist X-Ways Forensics beim nächsten Neustart nun dediziert darauf hin, daß der Absturz während der Decodierung auftrat, und empfiehlt, die absturzsichere Decodierung einzuschalten (die in Optionen | Viewer-Programme zu finden ist).

File System Support

  • Beim Laufen einer intensiven Dateisystem-Datenstruktur-Suche in NTFS-Dateisystemen verarbeitet X-Ways Forensics nun speziell auch existierende und ehemals existierende Volume-Shadow-Copies und integriert wertvolle Informationen in den Datei-Überblick, die anderweitig nicht verfügbar wären, also Dateien, die nicht mehr in der aktuelle $MFT gefunden werden können und Vorgängerversionen von Dateien, deren Inhalt sich geändert hat (und anders als in früheren Versionen von X-Ways Forensics kann der Originalinhalt nun für Dateien beliebiger Größe rekonstruiert werden). Und all dies geschieht nun relativ schnell, und auch dann, wenn Sie die u. U. sehr zeitraubende Option "FILE-Records überall suchen" nicht verwenden.
    Das Verarbeiten von Schattenkopien, so es welche gibt, geschieht vor allen anderen Operationen, die Teil der intensiven Dateisystem-Datenstruktur-Suche sind ($LogFile auswerten, optional nach FILE-Records außerhalb von $MFT und Schattenkopien suchen, Index-Records im Schlupf von INDX-Puffern suchen). Wenn es Schattenkopien gibt, sagt Ihnen die Titelzeile des kleinen Fortschrittsanzeigefensters, wann sie ausgewertet werden.

  • Dateien, die in Schattenkopien gefunden wurden, werden in der Attr.-Spalte gesondert gekennzeichnet, wenn sie Vorgängerversionen von Dateien sind, die dem Datei-Überblick schon vor der intensiven Dateisystem-Datenstruktur-Suche aus $MFT bekannt waren. Erinnern Sie sich daran, daß Sie nach ID sortieren können, um aktuelle Datei mit zugehörigen Vorgängerversionen direkt untereinander zu sehen.

  • Eine Option hilft, das Hinzufügen von solchen Vorgängerversionen zum Datei-Überblick zu vermeiden, die exakte Duplikate (identischer Datei-Inhalt) sind, so daß es viel leichter fällt, sich auf solche Dateien zu konzentrieren, für die tatsächlich frühere Daten verfügbar sind. Selbst wenn das Änderungsdatum von Dateien in aktueller $MFT und Schatten unterschiedlich ist, stimmen die Datei-Inhalte oft überein, insbes. bei Dateien, die vom Betriebssystem installiert worden sind. Siehe Optionen | Datei-Überblick. Wenn ganz gewählt, vergleicht X-Ways Forensics Dateien bis 128 MB Größe, wenn halb gewählt, dann nur bis 16 MB, so daß für dieses Feature nicht zuviel Zeit aufgewendet wird.

  • X-Ways Forensics unterscheidet jetzt zwischen ehemals existierenden Dateien, deren Inhalt evtl. verlorengegangen ist (d. h. von anderen Dateien überschrieben wurde) und ehemals existierenden Dateien, deren ursprünglicher Inhalt bekanntermaßen noch verfügbar ist. Z. B. garantieren Schattenkopien oftn den Originalinhalt von Dateien, die anschließend gelöscht oder anderweitig geändert wurden. In einem solchen Fall werden die Dateien mit einem anderen Icon angezeigt. Das Icon von virtuellen Dateien hat sich auch geändert. Bitte sehen Sie sich den Überblick über alle Icons in der Legende noch einmal an.

  • Fähigkeit zum Öffnen eines Verzeichnisses (Datei | Verzeichnis öffnen). Diese neue Funktion kann Dateien und Unterverzeichnisse eines beliebigen auf Ihrem eigenen Computer zugreifbaren Verzeichnisses im Verzeichnis-Browser auflisten.

  • Möglichkeit zum Hinzufügen eines solchen Verzeichnisses zum Fall. Nützlich, wenn ein Verzeichnis oder eine Datei von Interesse ist, das oder die sich in einem Laufwerk inmitten vieler irrelevanter Dateien befindet, wenn Sie lediglich eine geringe Untermenge der Dateien betrachten, hashen, nach Stichwörtern durchsuchen, auf bestimmte Metadaten prüfen oder in einen Datei-Container kopieren möchten usw.

  • Fähigkeit um Erkennen des Dateisystems Btrfs.

  • Reparse-Punkte werden nicht mehr durch eine zusätzliche virtuelle Datei kenntlich gemacht, deren Name das Ziel angibt. Statt dessen erhält das Verzeichnis einen entsprechenden Kommentar.

File Format Support

  • Die E-Mail-Extraktion für bestimmte E-Mail-Archiv-Typen überarbeitet, u. a. Exchange EDB, DBX, MBOX, und MSG. Insbes. werden nun E-Mails in E-Mails besser unterstützt (d. h. in Form von Attachments per E-Mail weitergeleitete E-Mails)

  • Metadaten, die aus XML-Dateien in Office-Dokumenten extrahiert werden, können nun in der Metadaten-Zelle des äußeren Office-Dokuments gefunden werden, nicht mehr bei den inneren XML-Dateien, in denen sie ursprünglich gefunden wurden, weil manche Benutzer, die das Office-Dokument als eine Einheit betrachten, sie dort nicht erwartet haben.

  • OLE2-Zeitstempel können nun vom Daten-Dolmetscher und in Schablonen optional auch in Big Endian übersetzt werden, so wie in Chat-Nachrichten in ICQ 7 enthalten sind.

  • Dateiformat-Konsistenzprüfung (s. Metadaten-Extraktion) jetzt verfügbar für EXE, ZIP, RAR, JPEG, GIF, PNG, RIFF, BMP, PDF.

Datei-Header-Signatur-Suche

  • Die Datei-Header-Signatur-Suche wurde gründlich überarbeitet und beschleunigt, beschleunigt insbes. in Partitionen  mit Millionen von Dateien. Die bereits sehr hohe Qualität der Ergebnisse wurde noch weiter gesteigert.

  • Möglichkeit, die Dateitypen für die Datei-Header-Signatur-Suche auf bequemere Weise auszuwählen, nämlich gruppiert nach Kategorien statt in einer lose sortierten flachen Liste.

  • Automatische Dateigrößenerkennung für noch mehr Dateitypen als zuvor, insbes. jetzt z. B. für MPEG, MP3 generell und index.dat.

  • Für jeden Dateityp, den die intern in in X-Ways Forensics implementierten Algorithmen gut kennen und mit automatischer Größenerkennung unterstützen, wird die ID des zugehörigen Algorithmus nun in der Definition in "File Type Signatures Search.txt" anstelle einer Footer-Signatur angegeben, hinter einer Tilde (~). Dies kann z. B. nützlich sein, wenn Sie alternative Definitionen für einen bestimmten Dateityp anlegen (etwa um nur einen bestimmten Untertyp zu adressieren) und gleichzeitig sicherstellen möchten, daß die ausgeklügelte Größenerkennung von X-Ways Forensics auch dafür zur Anwendung gelangt.

  • Ein neues Flag "c" wird in den Dateityp-Signatur-Definitionen unterstützt, das, wenn berücksichtigt (hängt von Einstellungen in der Benutzeroberfläche ab), Datei-Header ignoriert, wenn sie nicht an Cluster-Grenzen ausgerichtet sind. Dies kann für bestimmte Dateitypen hilfreich sein, um falsche Treffer zu reduzieren.

  • Dateien, deren Typdefinition mit einem weiteren neuen Flag "g" versehen wurde (für "gierig"), nehmen all die ihnen zugeordneten Sektoren exklusiv in Beschlag. Die Datei-Header-Signatur-Suche setzt ihre Suche nach weiteren Datei-Headern erst hinter dem mutmaßlichen Ende von solchen Dateien fort. Dieses Verfahren kann in besonderen Situationen sinnvoll sein, wenn die internen Algorithmen in X-Ways Forensics verifizieren können, daß keine andere Art von Daten innerhalb der beschlagnahmten Sektoren beginnen. Benutzer von Konkurrenzprodukten, die weniger Dateien als X-Ways Forensics finden, kennen das vielleicht als Standardfunktionsweise und halten es sowieso für normal.

  • Ein neues Flag "u" erlaubt es, Dateien nur in laut Dateisystem unbenutzten Clustern zu carven.

  • Ein weiteres neues Flag "F" (großgeschrieben) läßt X-Ways Forensics Treffer der Datei-Header-Signatur-Suche verwerfen, wenn kein zugehöriger Footer gefunden werden kann,  sofern eine Footer-Signatur in der Definition angegeben ist. Kann sinnvoll sein, um die Zahl der falschen Treffer zu reduzieren.

  • Und nicht zuletzt signalisiert ein neues Flag "t" X-Ways Forensics, daß der Typ von gecarvten Dateien nicht sofort als bestätigt dargestellt werden soll. Nützlich z. B. für Dateiformat-Familien wie XML, damit der exakte Untertyp später bei der Dateityp-Prüfung bestimmt werden kann.

Verzeichnis-Browser

  • Option zum Kopieren von Unterobjekten von ausgewählten Dateien auch aus Suchtrefferlisten heraus verfügbar.

  • Möglichkeit, den Namensfilter für Stichwortsuche in Dateinamen auch ohne GREP-Syntax zu verwenden.

  • Filter für die Besitzer-Spalte.

  • Differenzierterer Filter für ehemals existierende Dateien.

  • Virtuellen Dateien werden nun in der Überschriftszeile des Verzeichnis-Browsers separat gezählt und nicht mehr bei den existierenden oder ehemals existierenden Dateien mit einberechnet. Die Icons von virtuellen Dateien und Verzeichnissen haben sich geändert.

  • Möglichkeit zum Markieren eines Asservats im Asservat-Überblick-Fenster mit eine gelben Flagge.

  • Fähigkeit zum Markieren und Entmarkieren aller Objekte in den Datei-Überblicken aller offenen Asservate durch Klick auf den Asservat-Überblick mit der mittleren Maustaste.

  • Möglichkeit zum Kopieren des Textes einer rechts angeklickten Zelle im Verzeichnis-Browser in die Zwischenablage. Bisher konnte man nur aus dem Details-Modus kopieren.

Verschiedenes

  • Fälle merken sich nun Nicht-Standard-Sektor-Größen von Roh-Images, so daß Sie diese nicht jedes Mal beim erneuten Öffnen eines solchen Asservats erneut anzugeben brauchen.

  • Möglichkeit, dem Datei-Überblick einen ausgewählten Block auch aus dem Asservat-Überblick-Fenster als virtuelle Datei hinzuzufügen (im Datei-Modus).

  • In neu erzeugten Datei-Überblicken von physischen, partitionierten Datenträgern, werden die virtuellen Dateien, die unpartitionierte Bereiche abdecken, von Erweiterungen des Datei-Überblicks (z. B. Hash-Berechnung) ausgeklammert, wenn sie nicht speziell über  Markierungen adressiert werden, um Zeit zu sparen und weil es sowieso nicht viel Sinn ergibt. Das gleiche gilt für partitionierte Bereiche auf Platten mit GPT+LDM, die nicht wie Partitionen behandelt werden, weil sie ohnehin nie ein Dateisystem enthalten (dies ist den dynamischen Volumes vorbehalten).

  • Ein Fehler in der direkten byteweisen Übersetzung von GREP wurde behoben, der einige falsche Treffer zusätzlich zur Folge haben konnte.

  • Mehr Informationen in Asservatauswahl-Dialogfenstern, die nun die Anzahl der Dateien in jedem Asservat und ggf. dessen gelbe Flagge zeigen.

  • Fähigkeit, besonderes große Offsets noch dezimal darzustellen.

  • Neuer Verschlüsselungsalgorithmus für .e01-Evidence-Files: 128-Bit-AES im Modus BE CTR, der nochmal ~67% schneller ist als die bereits in v16.4 beschleunigte Implementierung von 256-Bit-AES im Modus LE CTR, sowohl bei Verschlüsselung als auch Entschlüsselung. Frühere Versionen von X-Ways Forensics können .e01-Evidence-Files, die mit dem neuen Algorithmus erzeugt wurden, nicht öffnen.

  • Daß ein iterativer SHA-256-Hash vom Paßwort und dem Salz in verschlüsselten .e01-Evidence-Files zum Zweck der Paßwort-Überprüfung gespeichert wird, ist bei Verwendung der 256-Bit-AES-Verschlüsselung nun optional (siehe Sicherheitsoptionen). Frühere Versionen von X-Ways Forensics können .e01-Evidence-Files ohne einen solchen Hash nicht öffnen.

  • Unzählige kleinere Verbesserungen.


Änderungen in den Service-Releases von v16.3:

  • SR-1: Verbesserte UTF-8-Codierung von GREP-Ausdrücken.

  • SR-1: Code-Page-Anzeigeproblem bei besonders langen Suchbegriffen behoben.

  • SR-1: Nicht-Akzeptanz von Containern des neuen Formats bei bestimmten investigator.ini-Einstellungen korrigiert.

  • SR-1: Eine weitere Situation wurde vermieden, in der das Schreiben von Sektoren unter Windows Vista und neuer fehlschlagen konnte.

  • SR-1: Unfähigkeit von v16.3 zum Erkunden von verschachtelten Archiven behoben.

  • SR-2: Ausnahmesituationen behoben, die auftreten konnte, wenn man Dateien mit bestimmten Namen öffnete, wenn eine asiatische Codepage in Windows aktiv war.

  • SR-2: Korrekturen und Verbesserungen für die Extraktion aus Exchange EDB.

  • SR-3: Beim Extrahieren von E-Mail aus bestimmten E-Mail-Archivtypen wie DBX oder MBOX wurden identische Datei-Anhänge, die an mehrere E-Mails angehängt waren (gleicher Name, gleicher Inhalt), bisher nur als Unterobjekt von einer dieser E-Mails ausgegeben. Das wurde korrigiert.

  • SR-4: \b-Anker funktionierten nicht richtig in v16.3. Das wurde behoben.

  • SR-5: Fehler behoben, die in bestimmten Fällen beim Extrahieren von eingebetteten Bildern aus gecarvten Dateien auftreten konnten (E/A-Fehler und Nichtdarstellbarkeit der Bilder in der Galerie).

  • SR-5: Unfähigkeit zum Lesen von alternativen Datenströmen aus Datei-Containern des neuen Formats korrigiert.

  • SR-5: Verbesserte Darstellung von Datei-Schlupf, der gezielt in Asservate des neuen Formats übernommen wurde.

  • SR-5: Korrektur eines Puffer-Überblauf aus libpng 1.5.9 (http://www.libpng.org/pub/png/libpng.html) in die intere Grafikbibliothek übernommen, auch rückwirkend für in frühere Versionen: v16.2 SR-12, v16.1 SR-10, v16.0 SR-13, v15.9 SR-10, v15.8 SR-11.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird. Vielen Dank.

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <