#126: WinHex, X-Ways
Forensics und X-Ways Investigator 16.4 veröffentlicht
25. Mrz. 2012 |
In dieser Ausgabe dieses Newsletters informieren wir Sie
über ein wirklich beachtenswertes Update, die Version 16.4.
Evaluationsversion von WinHex:
https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für
jeden mit einer privaten, professionellen oder Specialist-Lizenz)
Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager sowie
lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, finden
Download-Instruktionen, aktuelle Log-In-Daten (!!), Details zur
Update-Berechtigung bzw. Upgrade-Angebote wie immer unter
https://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß
lizenzierte Benutzer von X-Ways Forensics und X-Ways Investigator mit
aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download
angeboten werden.
Wenn Sie an Informationen über Service-Releases interessiert sind, wenn
diese veröffentlicht werden, können Sie diese im Bereich Announcements des
Forums
einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und
Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail
abonnieren.
Schulungen
Köln: 7.-11. Mai 2012: X-Ways Forensics + Dateisysteme
Weitere Informationen
Wir möchten nochmals daran erinnern, daß
Dongles für X-Ways Forensics bei Verlust oder Diebstahl nur dann ersetzt
werden können, wenn sie
versichert waren (was kostenlos ist), und sonst nicht.
Was ist neu in v16.4? (Eine ganze
Menge.)
Performanz
-
Eine 64-Bit-Fassung von X-Ways Forensics und der
speziellen WinHex-Version für lizenzierte Benutzer von X-Ways Forensics
ist jetzt verfügbar. Sie kann einfach einer Installation der
32-Bit-Fassung von X-Ways Forensics hinzugefügt werden. Die 64-Bit
.exe-Datei muß im selben Verzeichnis liegen wie die 32-Bit
xwforensics.exe-Datei. Zuätzliche Dateien, die von der 64-Bit-Fassung
benötigt werden, werden in einem Unterverzeichnis namen \x64 erwartet.
Die meisten anderen Dateien werden von beiden Fassungen gemeinsam
genutzt! Das bedeutet, daß sich komfortablerweise beide Fassungen an all
Ihre Einstellungen, Suchbegriffe, Dateityp-Signatur-Definitionen,
Dateityp-Kategorie-Definitionen usw. usf. erinnern und auf gleiche Weise
speichern. Beide verwenden zudem exakt das gleiche Format für
Falldateien, Datei-Überblicke, Suchtreffer usw.
Es ist zwar nicht 100% der bekannten Funktionalität verfügbar (z. B. die
Extraktion von SMART-Daten ist nur mit der 32-Bit-Fassung möglich),
dennoch ist die 64-Bit-Fassung empfehlenswert, besonders in Situationen,
in denen ein 32 Bit großer Speicheradreßraum u. U. nicht ausreicht, beim
Arbeiten mit Datenträgern oder Images, die viele Millionen Dateien
enthalten, vorausgesetzt, Sie haben reichlich physischen Arbeitsspeicher
installiert. Bestimmte Operationen, die viel Rechenarbeit für den
Prozessor beinhalten (z. B. Hashen oder Verschlüsseln), können in der
64-Bit-Fassung auch schneller sein.
Eine 64-Bit-Fassung von X-Ways Investigator folgt bald.
-
Eine 64-Bit-Fassung der Viewer-Komponente steht nun
auch zum Download bereit. X-Ways Forensics warnt Sie, wenn Sie
versuchen, die 64-Bit-Viewer-Komponente von der 32-Bit-Fassung von
X-Ways Forensics aus aufzurufen. (Einige Benutzer glauben, daß die
64-Bit-Viewer-Komponente generell für 64-Bit Windows gedacht ist, sie
paßt aber nur auf die 64-Bit-Fassung von X-Ways Forensics.)
-
Fähigkeit zum Erstellen von Datei-Überblicken mit
mehreren Millionen Dateien verbessert, insbes. in der 64-Bit-Fassung,
aber auch im Rahmen ihrer Möglichkeiten in der 32-Bit-Fassung (sofern
zusammen mit dem /3GB-Schalter oder besser in einem 64-Bit-Windows
ausgeführt).
-
Das Hashen mit dem MD5-Algorithmus (die reine
Berechnung, Datenträger-E/A zum Lesen der Daten außen vor gelassen)
wurde in der 32-Bit-Fassung um ~30% beschleunigt, mit SHA-1 um ~20%!
(variiert je nach Prozessor) Das Hashen in der 64-Bit-Fassung wurde auch
optimiert und ist sogar noch etwas schneller als in der 32-Bit-Fassung.
-
AES-Verschlüsselung und -Entschlüsselung (die reine
Rechenoperation) wurden um 70% in der 64-Bit-Fassung und 30% in der
32-Bit-Fassung beschleunigt.
-
Das Sortieren nach Dateiname ist nun mehr als 3 Mal
so schnell wie zuvor.
-
Sortieren nach diversen weiteren Spalten merklich
beschleunigt.
-
Das Kopieren großer Dateien (Befehl
Wiederherstellen/Kopieren sowie Hinzufügen von Dateien zu Containern)
wurde beschleunigt.
-
Neues Puffersystem beim Lesen aus .e01-Evidence-Files
im Einsatz, das die Verarbeitung in bestimmten Situationen beschleunigen
kann.
-
Unterstützt komplexere GREP-Suchausdrücke als zuvor.
Solche komplexen Ausdrücken hätten in früheren Versionen zu viel
Hauptspeicher zum Laufen benötigt.
-
Ehemals existierende Dateien, deren erster Cluster
bekanntermaßen überschrieben war oder deren erster Cluster gar nicht
bekannt ist (d. h. die Dateien mit dem roten X), werden nun generell von
der Erweiterung des Datei-Überblicks ausgeschlossen, es sei denn, Sie
adressieren sie gezielt durch Markieren. Sie sind auch von logischen
Suchen ausgeschlossen sowie von der Indexierung, wenn die
empfehlenswerte Datenreduktion aktiv ist, es sei denn, sie werden
gezielt durch Markieren oder Auswahl adressiert.
-
Umgang mit sog. Zip-Bomben verbessert.
-
Die Verarbeitung von .msg- und ursprünglichen
.eml-Dateien ist nun langsamer.
Programmierschnittstelle/Scripting
-
Automatisieren Sie Ermittlungsarbeit und erweitern
Sie die Funktionalität von X-Ways Forensics mit X-Tensions: Die
neue X-Ways Forensics X-Tension API (Anwendungsprogrammschnittstelle)
erlaubt es Ihnen, viele der ausgeklügelten Fähigkeiten der
Computer-Software X-Ways Forensics von eigenen Programmen aus zu
verwenden und sie mit eigener Funktionalität zu erweitern. Zum Beispiel
könnten Sie ein spezialisiertes File-Carving für bestimmte Dateitypen
implementieren, automatische Triage-Funktionaltität, alternative
Berichte erzeugen oder automatisch unerwünschte Suchtreffer anhand auf
Ihren eigenen Anforderungen herausfiltern usw.
U. a. erlauben Ihnen X-Tensions Folgendes:
- von einem Datenträger/einer Partition/einem Image zu lesen
- eine Fülle von Informationen über jede Datei und jedes Verzeichnis im
Datei-Überblick abzufragen
- aus jeder Datei zu lesen
- neue Objekte im Datei-Überblick zu erzeugen
- Dateien Berichtstabellen zuzuordnen
- Dateien mit Kommentaren zu versehen
- Suchtreffer zu verarbeiten, zu überprüfen und zu löschen
- und praktisch alles sonstige, was mit einem Windows-Programm
möglich ist! (dank der Windows-API)
You can use your programming language of choice,
e.g. C++, Delphi, or Visual Basic, and do not have to learn any new
programming language. You can use your compiler of choice, for example
Visual Studio Express (freeware).
Since an extension is not an interpreted script, but regular compiled
executable code that is running in the address space of the application
itself, you can expect highest performance, the same as with internally
implemented functionality. X-Tensions give you easy and direct access to
crucial and powerful functions deep inside X-Ways Forensics.
When X-Tensions functions can get called:
- when refining the volume snapshot
- when running a simultaneous search
- via the directory browser context menu
- in future versions of X-Ways Forensics via the search hit context menu
You may distribute your XWF extension DLLs that you compile and/or your
source code free of charge or even for a fee, under whatever license
terms you see fit.
Weitere Informationen erhalten Sie unter
https://www.x-ways.net/forensics/x-tensions/api.html.
Bedienbarkeit
-
Bequemere Möglichkeit, um Natur, Sektorgröße und
weitere Speicherorte von Roh-Images anzugeben, wenn Sie die
Umschalt-Taste beim Interpretieren gedrückt halten.
-
Wenn das Lesen einer aus dem Datei-Überblick
referenzierten Datei fehlschlägt beim Erweitern des Datei-Überblicks
oder Durchführen einer logischen Suche, z. B. weil der Speicherort
einiger Cluster unbekannt ist oder weil die Datei in einem defekten
Datei-Archiv liegt, dann wird pro Sitzung nur noch eine einzige
Fehlermeldung ausgegeben, und der Benutzer wird über ein neu
eingeführtes Attribut namens "Datei-Inhalt unbekannt, teilweise" darüber
informiert, nach dem man auch filtern kann.
-
Beim (z. B. versehentlichen) Drücken einer
Tastenkombination der Art Strg+Ziffer, die zum betreffenden Zeitpunkt
keine Berichtstabelle zugeordnet ist, gibt X-Ways Forensics nun einen
Fehler-Sound aus.
-
Mehr Informationen im Fortschrittsanzeigefenster beim
Kopieren von Dateien.
-
Beim Drucken mehrerer ausgewählter Dateien (unter
Verwendung der Viewer-Komponente) wird nun nur noch ein einziger
Druckauftrag abgesetzt, für alle Dateien (und ggf. deren Deckblätter),
so daß keine anderen Druckaufträge sich dazwischendrängeln können und so
daß Sie beim Drucken in eine PDF-Datei nur einmal nach einem Dateinamen
gefragt werden und alles in eine einzige Ausgabedatei gedruckt wird.
-
Bei Untermenüs mit Namen "Position" wurden in
"Navigation" umbenannt.
-
Zwei nützliche neue Befehle zur Navigation im
Verzeichnis-Browser wurden dem Kontextmenü (Untermenü Navigation)
hinzugefügt:
"Gewähltes Objekt in dessen Verzeichnis" zeigt Ihnen die ausgewählte
Dateien oder das ausgewählte Verzeichnis in der Umgebung ihrer/seiner
Geschwister. Das kann hilfreich sein, um schnell zu überprüfen, ob es
noch weitere relevante Dateien im selben Verzeichnis gibt oder um die
Funktion einer Datei besser zu verstehen, wenn Sie sie in ihrem
Umfeld/Kontext sehen.
"Gewähltes Objekt aus Sicht des Stammverzeichnisses" zeigt Ihnen die
ausgewählte Datei inmitten aller Dateien des betreffenden Volumes,
rekursiv vom Stammverzeichnis des Dateisystems aus erkundet. Sinnvoll z.
B., um herauszufinden, ob es Dateien mit demselben Namen, derselben ID
(könnten Vorgängerversionen aus einer Schattenkopie sein), demselben
Besitzer oder Absender oder mit ähnlichen Zeitstempeln o. ä. im selben
Dateisystem gibt (dazu einfach entsprechend sortieren).
Beide Befehle können auch vom Asservat-Überblick-Fenster und von
Suchtrefferlisten aus aufgerufen werden (so daß der frühere Befehl "Zu
dieser Datei im Verzeichnis-Browser" überflüssig wird). Beachten Sie,
Sie können durch einen Klick auf den Zurück-Schalter in der Symbolleiste
bequem zur vorherigen Sicht zurückkehren!
-
Beim Wechseln zwischen normaler und rekursiver
Erkundung desselben Verzeichnisses, z. B. durch Klick auf den Schalter
mit dem türkisfarbenen geschweiften Pfeil, wählt X-Ways Forensics nun
automatisch das zuletzt gewählte Objekt erneut aus, wenn es nach der
Umschaltung noch im Verzeichnis-Browser enthalten ist.
-
Auch beim Aktivieren und Deaktivieren eines Filters
wählt X-Ways Forensics nun automatisch dasjenige Objekt im
Verzeichnis-Browser erneut aus, das Sie zuletzt angeklickt hatten, wenn
es noch im Verzeichnis-Browser aufgelistet ist.
-
Verbessere Reagibilität beim Dekomprimieren größerer
Datei-Archive.
-
Wenn eine bestimmte Datei, für die zuvor ein
Hash-Wert berechnet wurde oder für die zur gleichen Zeit (bei der
Erweiterung des Datei-Überblicks) berechnet wird, in X-Ways Forensics
einen Absturz verursacht (wovon Sie im Fall der Fälle ausführlich
informiert werden, wenn Sie X-Ways Forensics neu starten), dann werden
identische Dateien nun automatisch übersprungen, wenn Sie eine
Erweiterung des Datei-Überblick anstoßen bzw. fortsetzen und dabei
Hash-Werte berechnen lassen (zumindest, wenn der Schutz vor Duplikaten
von Absturz-versursachenden Dateien in den Eigenschaften des Falls aktiv
ist). Um einen einen Fall frühere problematische Dateien vergessen zu
lassen, klicken Sie auf den entsprechenden Löschen-Schalter in der
Falleigenschaften. Übersprungene Dateien werden automatisch der der
Berichtstabelle "Absturzursache?" hinzugefügt.
-
Wenn Sie absturzsichere Textdecodierung nicht
verwenden und die Viewer-Komponente X-Ways Forensics beim Decodieren
einer bestimmten Datei zum Absturz bringt, weist X-Ways Forensics beim
nächsten Neustart nun dediziert darauf hin, daß der Absturz während der
Decodierung auftrat, und empfiehlt, die absturzsichere Decodierung
einzuschalten (die in Optionen | Viewer-Programme zu finden ist).
File System Support
-
Beim Laufen einer intensiven
Dateisystem-Datenstruktur-Suche in NTFS-Dateisystemen verarbeitet X-Ways
Forensics nun speziell auch existierende und ehemals existierende
Volume-Shadow-Copies und integriert wertvolle Informationen in den
Datei-Überblick, die anderweitig nicht verfügbar wären, also Dateien,
die nicht mehr in der aktuelle $MFT gefunden werden können und
Vorgängerversionen von Dateien, deren Inhalt sich geändert hat (und
anders als in früheren Versionen von X-Ways Forensics kann der
Originalinhalt nun für Dateien beliebiger Größe rekonstruiert werden).
Und all dies geschieht nun relativ schnell, und auch dann, wenn Sie die
u. U. sehr zeitraubende Option "FILE-Records überall suchen" nicht
verwenden.
Das Verarbeiten von Schattenkopien, so es welche gibt, geschieht vor
allen anderen Operationen, die Teil der intensiven
Dateisystem-Datenstruktur-Suche sind ($LogFile auswerten, optional nach
FILE-Records außerhalb von $MFT und Schattenkopien suchen, Index-Records
im Schlupf von INDX-Puffern suchen). Wenn es Schattenkopien gibt, sagt
Ihnen die Titelzeile des kleinen Fortschrittsanzeigefensters, wann sie
ausgewertet werden.
-
Dateien, die in Schattenkopien gefunden wurden,
werden in der Attr.-Spalte gesondert gekennzeichnet, wenn sie
Vorgängerversionen von Dateien sind, die dem Datei-Überblick schon vor
der intensiven Dateisystem-Datenstruktur-Suche aus $MFT bekannt waren.
Erinnern Sie sich daran, daß Sie nach ID sortieren können, um aktuelle
Datei mit zugehörigen Vorgängerversionen direkt untereinander zu sehen.
-
Eine Option hilft, das Hinzufügen von solchen
Vorgängerversionen zum Datei-Überblick zu vermeiden, die exakte
Duplikate (identischer Datei-Inhalt) sind, so daß es viel leichter
fällt, sich auf solche Dateien zu konzentrieren, für die tatsächlich
frühere Daten verfügbar sind. Selbst wenn das Änderungsdatum von Dateien
in aktueller $MFT und Schatten unterschiedlich ist, stimmen die
Datei-Inhalte oft überein, insbes. bei Dateien, die vom Betriebssystem
installiert worden sind. Siehe Optionen | Datei-Überblick. Wenn ganz
gewählt, vergleicht X-Ways Forensics Dateien bis 128 MB Größe, wenn halb
gewählt, dann nur bis 16 MB, so daß für dieses Feature nicht zuviel Zeit
aufgewendet wird.
-
X-Ways Forensics unterscheidet jetzt zwischen ehemals
existierenden Dateien, deren Inhalt evtl. verlorengegangen ist (d. h.
von anderen Dateien überschrieben wurde) und ehemals existierenden
Dateien, deren ursprünglicher Inhalt bekanntermaßen noch verfügbar ist.
Z. B. garantieren Schattenkopien oftn den Originalinhalt von Dateien,
die anschließend gelöscht oder anderweitig geändert wurden. In einem
solchen Fall werden die Dateien mit einem anderen Icon angezeigt. Das
Icon von virtuellen Dateien hat sich auch geändert. Bitte sehen Sie sich
den Überblick über alle Icons in der Legende noch einmal an.
-
Fähigkeit zum Öffnen eines Verzeichnisses (Datei |
Verzeichnis öffnen). Diese neue Funktion kann Dateien und
Unterverzeichnisse eines beliebigen auf Ihrem eigenen Computer
zugreifbaren Verzeichnisses im Verzeichnis-Browser auflisten.
-
Möglichkeit zum Hinzufügen eines solchen
Verzeichnisses zum Fall. Nützlich, wenn ein Verzeichnis oder eine Datei
von Interesse ist, das oder die sich in einem Laufwerk inmitten vieler
irrelevanter Dateien befindet, wenn Sie lediglich eine geringe
Untermenge der Dateien betrachten, hashen, nach Stichwörtern
durchsuchen, auf bestimmte Metadaten prüfen oder in einen
Datei-Container kopieren möchten usw.
-
Fähigkeit um Erkennen des Dateisystems Btrfs.
-
Reparse-Punkte werden nicht mehr durch eine
zusätzliche virtuelle Datei kenntlich gemacht, deren Name das Ziel
angibt. Statt dessen erhält das Verzeichnis einen entsprechenden
Kommentar.
File Format Support
-
Die E-Mail-Extraktion für bestimmte
E-Mail-Archiv-Typen überarbeitet, u. a. Exchange EDB, DBX, MBOX, und
MSG. Insbes. werden nun E-Mails in E-Mails besser unterstützt (d. h. in
Form von Attachments per E-Mail weitergeleitete E-Mails)
-
Metadaten, die aus XML-Dateien in Office-Dokumenten
extrahiert werden, können nun in der Metadaten-Zelle des äußeren
Office-Dokuments gefunden werden, nicht mehr bei den inneren
XML-Dateien, in denen sie ursprünglich gefunden wurden, weil manche
Benutzer, die das Office-Dokument als eine Einheit betrachten, sie dort
nicht erwartet haben.
-
OLE2-Zeitstempel können nun vom Daten-Dolmetscher und
in Schablonen optional auch in Big Endian übersetzt werden, so wie in
Chat-Nachrichten in ICQ 7 enthalten sind.
-
Dateiformat-Konsistenzprüfung (s.
Metadaten-Extraktion) jetzt verfügbar für EXE, ZIP, RAR, JPEG, GIF, PNG,
RIFF, BMP, PDF.
Datei-Header-Signatur-Suche
-
Die Datei-Header-Signatur-Suche wurde gründlich
überarbeitet und beschleunigt, beschleunigt insbes. in Partitionen mit
Millionen von Dateien. Die bereits sehr hohe Qualität der Ergebnisse
wurde noch weiter gesteigert.
-
Möglichkeit, die Dateitypen für die
Datei-Header-Signatur-Suche auf bequemere Weise auszuwählen, nämlich
gruppiert nach Kategorien statt in einer lose sortierten flachen Liste.
-
Automatische Dateigrößenerkennung für noch mehr
Dateitypen als zuvor, insbes. jetzt z. B. für MPEG, MP3 generell und
index.dat.
-
Für jeden Dateityp, den die intern in in X-Ways
Forensics implementierten Algorithmen gut kennen und mit automatischer
Größenerkennung unterstützen, wird die ID des zugehörigen Algorithmus
nun in der Definition in "File Type Signatures Search.txt" anstelle
einer Footer-Signatur angegeben, hinter einer Tilde (~). Dies kann z. B.
nützlich sein, wenn Sie alternative Definitionen für einen bestimmten
Dateityp anlegen (etwa um nur einen bestimmten Untertyp zu adressieren)
und gleichzeitig sicherstellen möchten, daß die ausgeklügelte
Größenerkennung von X-Ways Forensics auch dafür zur Anwendung gelangt.
-
Ein neues Flag "c" wird in den
Dateityp-Signatur-Definitionen unterstützt, das, wenn berücksichtigt
(hängt von Einstellungen in der Benutzeroberfläche ab), Datei-Header
ignoriert, wenn sie nicht an Cluster-Grenzen ausgerichtet sind.
Dies kann für bestimmte Dateitypen hilfreich sein, um falsche Treffer zu
reduzieren.
-
Dateien, deren Typdefinition mit einem weiteren neuen
Flag "g" versehen wurde (für "gierig"), nehmen all die ihnen
zugeordneten Sektoren exklusiv in Beschlag. Die
Datei-Header-Signatur-Suche setzt ihre Suche nach weiteren Datei-Headern
erst hinter dem mutmaßlichen Ende von solchen Dateien fort. Dieses
Verfahren kann in besonderen Situationen sinnvoll sein, wenn die
internen Algorithmen in X-Ways Forensics verifizieren können, daß keine
andere Art von Daten innerhalb der beschlagnahmten Sektoren beginnen.
Benutzer von Konkurrenzprodukten, die weniger Dateien als X-Ways
Forensics finden, kennen das vielleicht als Standardfunktionsweise und
halten es sowieso für normal.
-
Ein neues Flag "u" erlaubt es, Dateien nur in laut
Dateisystem unbenutzten Clustern zu carven.
-
Ein weiteres neues Flag "F" (großgeschrieben) läßt
X-Ways Forensics Treffer der Datei-Header-Signatur-Suche verwerfen, wenn
kein zugehöriger Footer gefunden werden kann, sofern eine
Footer-Signatur in der Definition angegeben ist. Kann sinnvoll sein, um
die Zahl der falschen Treffer zu reduzieren.
-
Und nicht zuletzt signalisiert ein neues Flag "t"
X-Ways Forensics, daß der Typ von gecarvten Dateien nicht sofort
als bestätigt dargestellt werden soll. Nützlich z. B. für
Dateiformat-Familien wie XML, damit der exakte Untertyp später bei der
Dateityp-Prüfung bestimmt werden kann.
Verzeichnis-Browser
-
Option zum Kopieren von Unterobjekten von
ausgewählten Dateien auch aus Suchtrefferlisten heraus verfügbar.
-
Möglichkeit, den Namensfilter für Stichwortsuche in
Dateinamen auch ohne GREP-Syntax zu verwenden.
-
Filter für die Besitzer-Spalte.
-
Differenzierterer Filter für ehemals existierende
Dateien.
-
Virtuellen Dateien werden nun in der
Überschriftszeile des Verzeichnis-Browsers separat gezählt und nicht
mehr bei den existierenden oder ehemals existierenden Dateien mit
einberechnet. Die Icons von virtuellen Dateien und Verzeichnissen haben
sich geändert.
-
Möglichkeit zum Markieren eines Asservats im
Asservat-Überblick-Fenster mit eine gelben Flagge.
-
Fähigkeit zum Markieren und Entmarkieren aller
Objekte in den Datei-Überblicken aller offenen Asservate durch Klick auf
den Asservat-Überblick mit der mittleren Maustaste.
-
Möglichkeit zum Kopieren des Textes einer rechts
angeklickten Zelle im Verzeichnis-Browser in die Zwischenablage. Bisher
konnte man nur aus dem Details-Modus kopieren.
Verschiedenes
-
Fälle merken sich nun Nicht-Standard-Sektor-Größen
von Roh-Images, so daß Sie diese nicht jedes Mal beim erneuten Öffnen
eines solchen Asservats erneut anzugeben brauchen.
-
Möglichkeit, dem Datei-Überblick einen ausgewählten
Block auch aus dem Asservat-Überblick-Fenster als virtuelle Datei
hinzuzufügen (im Datei-Modus).
-
In neu erzeugten Datei-Überblicken von physischen,
partitionierten Datenträgern, werden die virtuellen Dateien, die
unpartitionierte Bereiche abdecken, von Erweiterungen des
Datei-Überblicks (z. B. Hash-Berechnung) ausgeklammert, wenn sie nicht
speziell über Markierungen adressiert werden, um Zeit zu sparen und
weil es sowieso nicht viel Sinn ergibt. Das gleiche gilt für
partitionierte Bereiche auf Platten mit GPT+LDM, die nicht wie
Partitionen behandelt werden, weil sie ohnehin nie ein Dateisystem
enthalten (dies ist den dynamischen Volumes vorbehalten).
-
Ein Fehler in der direkten byteweisen Übersetzung von
GREP wurde behoben, der einige falsche Treffer zusätzlich zur Folge
haben konnte.
-
Mehr Informationen in Asservatauswahl-Dialogfenstern,
die nun die Anzahl der Dateien in jedem Asservat und ggf. dessen gelbe
Flagge zeigen.
-
Fähigkeit, besonderes große Offsets noch dezimal
darzustellen.
-
Neuer Verschlüsselungsalgorithmus für
.e01-Evidence-Files: 128-Bit-AES im Modus BE CTR, der nochmal ~67%
schneller ist als die bereits in v16.4 beschleunigte Implementierung von
256-Bit-AES im Modus LE CTR, sowohl bei Verschlüsselung als auch
Entschlüsselung. Frühere Versionen von X-Ways Forensics können
.e01-Evidence-Files, die mit dem neuen Algorithmus erzeugt wurden, nicht
öffnen.
-
Daß ein iterativer SHA-256-Hash vom Paßwort und dem
Salz in verschlüsselten .e01-Evidence-Files zum Zweck der
Paßwort-Überprüfung gespeichert wird, ist bei Verwendung der
256-Bit-AES-Verschlüsselung nun optional (siehe Sicherheitsoptionen).
Frühere Versionen von X-Ways Forensics können .e01-Evidence-Files ohne
einen solchen Hash nicht öffnen.
-
Unzählige kleinere Verbesserungen.
Änderungen in den Service-Releases von v16.3:
-
SR-1: Verbesserte UTF-8-Codierung von
GREP-Ausdrücken.
-
SR-1: Code-Page-Anzeigeproblem bei besonders langen
Suchbegriffen behoben.
-
SR-1: Nicht-Akzeptanz von Containern des neuen
Formats bei bestimmten investigator.ini-Einstellungen korrigiert.
-
SR-1: Eine weitere Situation wurde vermieden, in der
das Schreiben von Sektoren unter Windows Vista und neuer fehlschlagen
konnte.
-
SR-1: Unfähigkeit von v16.3 zum Erkunden von
verschachtelten Archiven behoben.
-
SR-2: Ausnahmesituationen behoben, die auftreten
konnte, wenn man Dateien mit bestimmten Namen öffnete, wenn eine
asiatische Codepage in Windows aktiv war.
-
SR-2: Korrekturen und Verbesserungen für die
Extraktion aus Exchange EDB.
-
SR-3: Beim Extrahieren von E-Mail aus bestimmten
E-Mail-Archivtypen wie DBX oder MBOX wurden identische Datei-Anhänge,
die an mehrere E-Mails angehängt waren (gleicher Name, gleicher Inhalt),
bisher nur als Unterobjekt von einer dieser E-Mails ausgegeben. Das
wurde korrigiert.
-
SR-4: \b-Anker funktionierten nicht richtig in v16.3.
Das wurde behoben.
-
SR-5: Fehler behoben, die in bestimmten Fällen beim
Extrahieren von eingebetteten Bildern aus gecarvten Dateien auftreten
konnten (E/A-Fehler und Nichtdarstellbarkeit der Bilder in der Galerie).
-
SR-5: Unfähigkeit zum Lesen von alternativen
Datenströmen aus Datei-Containern des neuen Formats korrigiert.
-
SR-5: Verbesserte Darstellung von Datei-Schlupf, der
gezielt in Asservate des neuen Formats übernommen wurde.
-
SR-5: Korrektur eines Puffer-Überblauf aus libpng
1.5.9 (http://www.libpng.org/pub/png/libpng.html) in die intere
Grafikbibliothek übernommen, auch rückwirkend für in frühere Versionen:
v16.2 SR-12, v16.1 SR-10, v16.0 SR-13, v15.9 SR-10, v15.8 SR-11.
Wir hoffen, Sie bald wieder auf
http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter
weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren
wird. Vielen Dank.
Stefan Fleischmann
--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook |