#132: WinHex, X-Ways
Forensics und X-Ways Investigator 17.0 veröffentlicht
27. März 2013 |
In dieser Ausgabe des Newsletters informieren wir Sie
über ein weiteres Update mit bemerkenswerten neue Features, die Version
17.0.
Evaluationsversion von WinHex:
https://www.x-ways.net/winhex.zip
(korrekte Download-Adresse auch für Benutzer mit einer privaten,
professionellen oder Specialist-Lizenz)
Insbes.
Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden
Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter
https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benuter, deren
Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß
lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit
aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download
angeboten werden, anderen i. d. R. auf Anfrage.
Wenn Sie an Informationen über Service-Releases interessiert sind, wenn
diese veröffentlicht werden, können Sie diese im Bereich Announcements des Forums einsehen und sich bei noch aktiver
Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue
Informationen in diesem Bereich per E-Mail abonnieren.
Bitte beachten Sie, wenn Sie eine ältere Version weiter
nutzen möchten, sollten Sie das letzte Service-Release der betreffenden
Version verwenden. Fehler in älteren Releases sind mit einer gewissen
Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns
berichtet werden.
Schulungen
Köln,
8.-11. Apr. 2013 (X-Ways Forensics, ausgebucht)
Köln,
3.-6. Juni 2013 (Speicherforensik, FAT, exFAT, NTFS, XWFS2, Ext2/3/4,
XFS)
Weitere Informationen
Was ist neu in v17.0?
(Beachten
Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die
forensische Edition von WinHex.)
Netzwerk-Dongle
-
Fähigkeit, X-Ways Forensics 17.0 und folgende Versionen
(auch v16.9 SR-4 und v16.8 SR-10) mit Netzwerk-Dongles zu verwenden. Netzwerk-Dongles
sind ab jetzt optional anstellen von normalen Dongles erhältlich. Ein einzelner
Netzwerk-Dongle kann x Lizenzen repräsentieren und x normale
Dongles ersetzen und es den Benutzern ermöglichen, X-Ways Forensics auf
x Rechnern
im selben Netzwerk gleichzeitig laufen zu lassen. Der Netzwerk-Dongle wird an
einen beliebigen Rechner im Netzwerk angeschlossen und den Client-Systemen durch ein
Dongle-Server-Programm oder einen -Service zur Verfügung gestellt. Falls ein
Client-System mehrere Netzwerk-Dongles findet, kann der Nutzer einen davon beim Start
von X-Ways Forensics auswählen. Falls einer dieser Dongles bereits vollständig
verwendet ist hinsichtlich der Anzahl Lizenzen, die er repräsentiert, kann der
Nutzer dies sehen und einen anderen Dongle wählen. Praktischerweise kann ein
Netzwerk-Dongle auch lokal wie ein gewöhnlicher Dongle oder ein Multi-User-Dongle
verwendet werden, wenn nötig!
Sie haben die Wahl, neue Lizenzen mit einem Netzwerk-Dongle statt normaler
Dongles zu bestellen, abhängig von der Anzahl Lizenzen entweder umsonst
oder gegen einen Aufpreis. Wenn Sie bereits viele Lizenzen besitzen, können
wir Ihnen anbieten, viele oder alle Ihrer existierenden normalen Dongles gegen
einen einzelnen Netzwerk-Dongle einzutauschen. Viele weitere Informationen zu
Dongles im allgemeinen und Netzwerk-Dongles im Besonderen finden Sie auf
https://www.x-ways.net/forensics/dongle-d.html#types.
Dateisystem-Unterstützung
-
In neu erzeugten Datei-Überblicken von HFS+-Volumes mit
harten Verweisen können Sie solche Dateien jetzt direkt einsehen und müssen
die zugehörige sogenannte indirekte Knoten-Datei nicht mehr manuell
aufsuchen (diejenige, deren Name die iNode-Nummer enthält, die in der Kommentar-Spalte
angegeben ist).
-
Neu erzeugte Datei-Überblicke unterstützen jetzt ein
neues Konzept: "zugehöriger" Dateien; die miteinander verwandt
sind auf andere Weise als Eltern-Kind-
und Geschwister-Beziehungen. Die zugehörige Datei für harte Verweise in
HFS+ zum Beispiel ist die entsprechende indirekte Knoten-Datei. Die
zugehörige Datei für Dateien,
die in Schattenkopien in NTFS gefunden wurden, ist die
Schattenkopie-Trägerdatei. Die zugehörige Datei für eine
Schattenkopie-Trägerdatei ist die zugehörige Snapshot-Properties-Datei
(in der Typ-Spalte als "snapprop" bezeichnet). Weitere Arten von n:1-Beziehungen sind in zukünftigen Versionen vorstellbar. Dateien,
für die eine zugehörige Datei definiert ist, werden links neben in ihrem
Icon mit einem kleinen blauen, nach unten zeigenden Pfeil versehen.
-
Ein neuer Befehl im Kontextmenü des Verzeichnis-Browsers (im
Untermenü Navigation) erlaubt das bequeme Aufsuchen der zugehörigen Datei, falls
eine solche für die ausgewählte Datei existiert. Sie können auch
Umschalt+Rücksetztaste drücken, um zur verwandten Datei zu navigieren. Dies ist
analog zum alleinigen Betätigen der Rücksetztaste, was zur Eltern-Datei bzw.
-Verzeichnis navigiert.
-
Für Dateien, die von v17.0 und später in
Schattenkopien gefunden werden, zeigt die Attr.-Spalte jetzt die fortlaufende Nummer des
Snapshots an, in dem diese gefunden wurden, wie von der Snapshot-Properties-Datei
angezeigt.
-
Vermeidet weitere bedeutungslose identischen Spuren von Dateien, die
in Schattenkopien gefunden werden.
-
In neu erzeugten Datei-Überblicken von NTFS-Volumes erhalten
Dateien mit harten Verweisen jetzt eine Sonderbehandlung. Ein zusätzlicher harter Verweis, der
lediglich einen kurzen Dateinamen bereitstellt, um die 8.3-Bedingungen alter Microsoft
DOS/Windows-Versionen zu erfüllen, wird nicht mehr als Verweis gezählt.
Stattdessen wird für solche Dateien ihre Verweis-Zählung in der Verweise-Spalte
des Verzeichnis-Browsers mit einem ? markiert. Auf diese Art repräsentiert die
Verweis-Zählung besser die tatsächlich im Datei-Überblick von X-Ways
Forensics vorhandenen harten Verweise, und normale Dateien haben immer einen Wert 1, während
2 oder mehr wirklich eine Besonderheit bedeutet.
-
Ein Filter für die ID-Spalte ist jetzt verfügbar, mit dem
bequem andere harte Verweise einer gegebenen Datei ermittelt werden können
(außer in HFS+).
-
Wenn eine Datei mit harten Verweisen in Dateisystemen mit direkter
Unterstützung für harte Verweise (nicht HFS+) eingesehen wird, werden die anderen
harten Verweise optional jetzt ebenfalls zugleich als bereits eingesehen markiert,
wie von früheren Versionen bekannt für Duplikate laut Hash.
-
Wenn eine Berichtstabellen-Verknüpfung gleichzeitig auch
für Duplikate der ausgewählten Dateien erzeugt wird, schließt dies
jetzt auch die anderen harten Verweise derselben Datei mit ein (außer in HFS+).
-
Unterstützung von tiefer verschachtelten
Unterverzeichnissen in Ext*-Dateisystemen.
Suchfunktionen
-
In neu erzeugten Datei-Überblicken von NTFS-Volumes können alle
"echten" harten Verweise (d. h. alle außer kurze Dateinamen) bis
auf einen bequem von der logischen Suche und der Indexierung ausgeschlossen werden. Heutzutage finden sich
in Windows-Installationen oft zwischen 10.000 und 100.000 harte Verweise
von Systemdateien, zum Beispiel 27 Verweise auf eine Datei wie
"Ph3xIB64MV.dll" in Verzeichnissen wie etwa
\Windows\System32\DriverStore\FileRepository\ph3xibc9.inf_amd64_neutral_ff3a566e4...
\Windows\System32\DriverStore\FileRepository\ph3xibc2.inf_amd64_neutral_7621f5d6...
\Windows\System32\DriverStore\FileRepository\ph3xibc5.inf_amd64_neutral_2270382...
\Windows\winsxs\amd64_ph3xibc9.inf_31bf3856ad364e35_6.1.7600.16385_none_a0a...
\Windows\winsxs\amd64_ph3xibc5.inf_31bf3856ad364e35_6.1.7600.16385_none_9e7...
\Windows\winsxs\amd64_ph3xibc12.inf_31bf3856ad364e35_6.1.7600.16385_none_64...
etc. etc.
Indem man nur einen Verweis einer Datei durchsucht, kann man typischerweise
mehrere GB an doppelten Daten ausschließen und verpaßt dennoch
nichts,
wenn man alle anderen Dateien durchsucht. Die zusätzlichen harten Verweise,
die ausgeschlossen werden, werden in der Spalte Verweise mit einem Stern (*) markiert. Suchtreffer im einzigen Verweis,
der durchsucht wurde, werden mit dem Hinweis "-> Verweise" in der Spalte
Anmerk. versehen, um Sie an die anderen harten Verweise derselben Datei zu erinnern,
falls diese Suchtreffer relevant sind.
-
Unterstützung für eine weitere künstlich definierte
Codepage, die es ermöglicht, UTF-16-Text zu suchen und zu lesen, der von MS Outlook
in sogenannter komprimierbarer Verschlüsselung kodiert ist.
-
Es ist jetzt möglich in bis zu sechs Codepages gleichzeitig
suchen oder indexieren zu lassen.
-
Die bereits früher unterstützte künstliche
nicht-Unicode-Codepage für MS Outlook komprimierbare Verschlüsselung
arbeitet jetzt auf der Basis einer nutzerdefinierten Codepage (standardmäßig
identisch mit derjenigen, die in Ihrem Windows-System für Nicht-Unicode-Anwendungen
aktiv ist), nicht nur Latin 1. Unter Umständen wichtig für Sprachen, die
nicht westeuropäisch sind. Outlook verwendet die Windows-System-Codepage in seiner
alten, nicht-Unicode-fähigen Variante von PST.
-
PST- und OST-Dateien werden von der logischen Suche und der
Indexierung jetzt nicht mehr ausgeschlossen, wenn die empfehlenswerte
Datenreduktion aktiv ist und E-Mails und andere Outlook-Daten daraus extrahiert
wurden, dafür aber MBOX.
-
Suchtreffer in allen Varianten von UTF-16, die nicht an geradzahligen
Offsets ausgerichtet sind, werden in der Anmerk.-Spalte als
"unaligned" gekennzeichnet, als kleiner Hinweis und Erklärung, warum Sie
den Text nur in der die Ausrichtung beachtenden Kontext-Vorschau der Suchtreffer-Spalte
lesen können, aber nicht in der Text-Spalte.
-
Logische Suchen decken jetzt auch ganz speziell den
Übergangsbereich zwischen nicht-initialisierten (aber physisch
allokierten) Bereichen von Dateien zu unmittelbar folgendem freien Speicher
ab, falls die Option "Übergang Dateischlupf/freier Speicher" aktiv ist.
-
Fähigkeit, eine logische Suche in ausgewählten Dateien
über das
Kontextmenü des Verzeichnis-Browsers aus dem Asservat-Überblick zu starten.
Dateiformat-Unterstützung
-
Die Funktion "Eingebettete Daten aus diversen Dateitypen
hervorholen" verwendet einige spezielle Algorithmen für bestimmte Dateitypen
(Windows.edb, thumbs.db, PLists) und Datei-Header-Suche auf Byte-Ebene für alle
anderen Host-Dateien. Diese Header-Suche war in früheren Versionen auf eingebettete
JPEG- und PNG-Dateien beschränkt (+EMF in mehrseitigen .spl Druck-Spooler-Dateien).
Jetzt wird nach allen Dateitypen gesucht, deren Definition in der Datei "File Type
Signatures Search.txt" einen Tilde-Algorithmus (~) besitzt und mit dem neuen Flag
"e" (für "eingebettet") markiert ist. Ein sehr gutes Beispiel dieser
neuen Flexibilität sind .lnk-Verknüpfungen, die jetzt in
customdestinations-ms Jumplists gesucht werden.
-
Spezielle Extraktion von Objekten (Bilder und andere), die
in OLE2-Verbunddateien wie MS Word .doc und MS PowerPoint .ppt eingebettet sind, in
denen zuvor nur JPEG und PNG gefunden wurden, und dies nur durch gewöhnliche Datei-Header-Suche.
Eingebettete Bilder werden jetzt oft mit ihrem Originalnamen oder ihrer Benennung im
Dokument ausgegeben und werden korrekt extrahiert, selbst wenn sie innerhalb der
OLE2-Verbunddatei fragmentiert gespeichert sind.
-
Das Aufnehmen der Inhalte von 5 üblicherweise eher irrelevanten
Zip-Untertypen ist beim Erweitern des Datei-Überblicks jetzt optional, statt wie
bisher nur JAR.
-
Das Erkunden Zip-basierter Office-Dokumente wie die von
MS Office 2007/2010, LibreOffice, OpenOffice, iWork ist jetzt ebenfalls optional
bei der Erweiterung des Datei-Überblicks. Nützlich, wenn Sie oder die
Empfänger von Datei-Containern, die Sie erzeugen, die Dokumente nur
als Ganzes sehen wollen, ohne die eingebetteten Bilder oder XML-Dateien separat,
und aus diesen XML-Dateien keine Metadaten extrahieren müssen und verschachtelte
Dokumente (Dokumente in anderen Dokumenten eingebettet) selbst erkennen können.
-
Die Unterstützung für binäre PLists wurde um die
Behandlung des undokumentierten Datentyps CF$UID ergänzt.
-
Unterstützung in der Datei-Header-Suche für "Gatherer Transaction Log".
-
Spezielle Unterstützung für Header-Suche nach Thumbcache-Fragmenten
(CMMM-Records) auf der Byte-Ebene.
-
Die ungefähre Auflösung von Videos wird jetzt in der
Pixel-Spalte angezeigt, nachdem zumindest ein Video-Einzelbild extrahiert wurde.
-
Die Option, Objekte in Registry-Hive-Dateien rekursiv anzuzeigen,
wurde entfernt.
Datenträger-Unterstützung, Datenträger-Sicherung
-
Der Technische Detailbericht prüft jetzt auf bestimmte
Lese-Inkonsistenzen, die mit Flash-Datenträgern (zum Beispiel bei bestimmten
USB-Stick-Marken/-Modellen, aber nicht bei anderen) in Bereichen auftreten können,
die noch nie beschrieben/verwendet wurden, wo die Daten undefiniert sind. Daten, die
aus solchen Bereichen gelesen werden, beispielsweise bei der Erstellung einer
Datenträger-Sicherung, können von der Menge an Daten
abhängen, die mit einem einzelnen Lesebefehl auf einmal gelesen werden.
Das Ergebnis wird im Bericht erwähnt. Wenn solche Inkonsistenzen erkannt
werden ("Inconsistent read results!" im Bericht), werden Sie ein
Meldungsfenster sehen, das anbietet, die Sektoren aus diesem
Datenträger in kleineren Einheiten zu lesen, solange er offen ist, was vermutlich die
erwarteten Nullen als Byte-Werte produziert, anstelle eines nicht aus Nullen
bestehenden Datenmusters,
das nach Zufallswerten aussieht, wenn man solche Bereiche liest. Die Nutzung dieser Option
ergibt nicht korrektere oder echtere Daten (undefiniert ist undefiniert, was nicht dasselbe
ist wie mit Nullen überschrieben), oder Daten, die mehr oder weniger Beweismaterial
enthalten, es kann lediglich einen erheblichen Einfluß auf die zu erzielende
Kompressionsrate haben und auf die Reproduzierbarkeit von Hash-Werten mit anderen
Anwendungen, die möglicherweise in anderen Größeneinheiten lesen und so
unterschiedliche Daten und Hash-Werte erzeugen. Bitte beachten Sie, daß
Inkonsistenzen auftreten können, die X-Ways Forensics nicht erkennt, da eine
vollständige Prüfung sehr langsam wäre. Wie gesagt, diese Inkonsistenzen
sind nicht fatal und kein Software-Fehler, und sie können erklärt werden.
Bedeutet das, daß Sie vor der Datenträger-Sicherung Specialist | Technischer
Detailbericht aufrufen sollten? Nein, der Bericht wird am Anfang einer Sicherung automatisch
erzeugt.
-
Seit v16.3 ist es möglich, ein RAID-System Level 5EE durch Auswahl
einer kompatiblen Variante von Level 6 zusammenzusetzen. Jetzt ist es auch möglich,
RAID-Systeme 5EE explizit auszuwählen und diese auch dann zu rekonstruieren, wenn eine
zugehörige Festplatte fehlt. RAID 5EE wird mit Forward und
Backward Parity unterstützt.
-
Fähigkeit anzugeben, wie viele Extra-Threads bei der Erzeugung von
.e01-Evidence-Files verwendet werden sollen, wenn man den winzigen Schalter in der unteren
rechten Ecke des Dialogfensters Datenträger-Sicherung anklickt. Standardmäßig
verwendet X-Ways Forensics nicht mehr als vier und macht das abhängig von der Anzahl der
Rechner-Kerne in Ihrem System, aber Sie können normalerweise problemlos versuchen, dies
auf bis zu 8 oder auf sehr leistungsfähigen Systemen mit sehr vielen Kernen auch auf 16
zu erhöhen, um die Geschwindigkeit eventuell noch weiter zu erhöhen.
-
Erkennung von dynamischen Volumes von
Windows größer als
2 TB auf GPT-LDM-partitionierten Datenträgern.
Herangehensweise
-
Fähigkeit, Dateitypen einen Rang basierend auf
deren Bedeutung/Relevanz zuzuweisen und mittels Typ-Status-Filter nach diesem
Rang zu filtern. Das Herausfiltern von Dateitypen mit Rang 0 oder 1 wird
Schriftart-Dateien, Mauszeiger, Icons, Themes, Skins, Clip-Arts, etc. ausschließen.
Dateien mit einem niedrigen Rang sind nur in sehr spezifischen Ermittlungen von
Bedeutung, wie etwa Quellcode, an dem Sie beispielsweise auf der Suche
nach Office-Dokumenten oder Bildern nicht interessiert wären, aber vielleicht
schon, wenn Sie einen Viren-Programmierer suchen. Dateitypen mit höherem Rang
sind in mehr Fällen von Bedeutung. Grundsätzlich ist der Rang in einfachen
Situationen hilfreich, wo Sie erwarten, was Sie suchen, in gemeinhin bekannten
Dateitypen zu finden. Eine andere Idee könnte sein, sich anzugewöhnen, nur
Dateien höheren Rangs zu indexieren.
-
Fähigkeit, Dateitypen einer sogenannten Gruppe zuzuordnen,
ein neues Konzept, das nicht identisch mit Dateityp-Kategorien ist. Nützlich zum
Beispiel, wenn es Ihre Standard-Vorgehensweise ist, Ermittler A Bilder und Videos
auswerten zu lassen, Ermittler B Dokumente, E-Mails und andere Internet-Aktivitäten
und Ermittler C verschiedene Formen von Betriebssystem-Dateien, basierend auf deren
jeweiligen Spezialisierungen. Sie können diesen Gruppen aussagekräftige
Namen geben und nach ihnen filtern, ebenfalls mittels Typ-Status-Filter. Die Gruppen
werden im Typ-Filter angezeigt.
-
Die neuen Festlegungen werden alle in der Datei "File Type
Categories.txt" gemacht. Existierende Dateien dieser Art werden auch weiterhin
verwendbar bleiben. Vorschläge für Rang sind in der neuen Standard-Datei
bereits angelegt. Sowohl Rang (von 0 bis 9, wobei ein fehlender Rang 0 bedeutet) und
Gruppen (Buchstaben von A bis Z) können nach einem Tabulatorzeichen am Ende der
Zeile optional definiert werden, in beliebiger Reihenfolge, zum Beispiel als
"2P" oder "DI3". So sind bis zu 10 Rang-Ebenen (aber
es ist nicht erforderlich, die Bandbreite vollständig zu nutzen) und bis zu 26
Gruppen (und Sie müssen nicht alphabetisch anfangen, Groß-/Kleinschreibung
wird ignoriert) möglich. Sie können auch Rang und Gruppen für eine
ganze Kategorie auf einmal festlegen, nach einem Tabulatorzeichen in einer Kategorie-Zeile. Um
einer Gruppe einen aussagekräftigeren Namen zu geben als nur einen Buchstaben,
fügen Sie Gruppen-Definitions-Zeilen am Ende der Textdatei ein, die mit einem
Gleichheitszeichen beginnen, z.B.
=P=Photos und Videos für Bildauswertung
=D=Dokumente, E-Mails und Internet
=I=Dateitypen für Indexierung
Ereignis-Analyse
-
Ereignis-Extraktion aus gecarvten Fragmenten von Gatherer
Transaction Logs (.gthr2) und existierenden .NTfy.gthr Dateien und mehreren
anderen Dateitypen. Dies ist eine Übersicht der Dateiformate, aus denen
derzeit Ereignisse extrahiert werden:
.firefox (~55) Fragmente
_CACHE_001_ und _CACHE_002_
.lnk Verknüpfungen
.automaticDestination-ms
.chrome Chromium cache data_1, data_2
.usnjrnl Fragmente
Registry-Hives
.hbin Registry-Hive-Fragmente
.doc (zuletzt gedruckt)
.msg
rp.log XP-Wiederherstellungspunkt
INFO2 XP-Papierkorb
.recycler Vista-Papierkorb
.snapprop Vista Snapshot-Properties
.cookie
.gthr;.gthr2 Gatherer und Gatherer-Fragmente
.pf Prefetch
JPEG GPS
OLE2 letzte Änderung
-
Mehrere Ereignisse haben jetzt individuelle Beschreibungen,
zum Beispiele Ereignisse in der Windows Registry und in index.dat-Dateien
des Internet Explorer.
-
Ein Filter für die Ereignis-Typ-Spalte ist jetzt verfügbar.
Installation/Administration
-
Benutzerspezifische Konfigurationen werden jetzt im Nutzerprofil
von Windows gespeichert, in einem Unterverzeichnis von \AppData\Local\X-Ways. Die Konfiguration wird
jetzt automatisch benutzerspezifisch, wenn X-Ways Forensics ohne Administrator-Rechte aus
einem Verzeichnis auf dem C:-Laufwerk gestartet wird, in dem der Nutzer keinen Schreibzugriff
hat, wie etwa C:\Programme. Sonst läuft X-Ways Forensics weiterhin mit einer
nicht-benutzerspezifischen Konfiguration, damit es eine portable Anwendung bleibt und nicht
unnötig Änderungen in laufenden Systemen vornimmt, die Sie einsehen möchten (Triage).
Weitere Details finden Sie auf
https://www.x-ways.net/winhex/setup-d.html. Ob eine benutzerspezifische Konfiguration
verwendet wird oder nicht (und falls ja, aus welchem Grund und wo diese gespeichert ist)
kann im Fenster Hilfe | Info nachgesehen werden. Der Grund kann sein
"necessarily" (notwendigerweise), falls im Installationsverzeichnis kein
Schreibzugriff besteht, oder "forced" (erzwungen), falls eine Datei namens
winhex.user im Installationsverzeichnis gefunden wird, oder "for this user"
(für diesen Nutzer), falls der Nutzer bereits eine individuelle Konfiguration besitzt,
aus einem der anderen beiden Gründe. Die inkonsistente Verwendung von Unterverzeichnissen
in Virtual Store wird jetzt vermieden.
Bedienbarkeit
-
Fähigkeit, den Datei-Überblick nur für ausgewählte Dateien
zu erweitern, über das Kontextmenü des Verzeichnis-Browsers.
-
Fähigkeit, die meisten Filter- und alle Sortier-Einstellungen
im aktiven Fall zu speichern und automatisch wieder zu laden, wenn ein Fall geöffnet
wird. Siehe Optionen | Verzeichnis-Browser.
-
Fähigkeit, Filter- und Sortier-Einstellungen in einer
separaten Datei zu speichern und jederzeit wieder zu laden, durch Anklicken der
Öffnen/Speichern-Icons am rechten Ende der Überschriftszeile des
Verzeichnis-Browsers. Solche Dateien erhalten die Dateierweiterung ".settings".
-
Die ausgewählten Dateitypen des Typ-Filters werden jetzt
ebenfalls optional im Fall gespeichert, wie andere Filter-Einstellungen. Beachten
Sie, daß Kollisionen zwischen Dateityp-Bezeichnungen erkennbar werden, wenn die
Auswahl für den Dateityp-Filter geladen wird. Wenn Sie beispielsweise
ursprünglich "mmf" = "MailMessage File" (Kategorie E-Mail)
ausgewählt hatten, dann werden Sie feststellen, dass "mmf" auch als
"Yamaha SMAF" (Kategorie Sound/Music) ausgewählt ist. Dies ist
normal und hat keinen Einfluß auf die Filter-Funktion. Im Zweifelsfall listet
der Filter auch andere Typen mit derselben Bezeichnung, um auszuschließen,
daß etwas übersehen wird.
-
Falls Sie entscheiden, den Verzeichnis-Browser beim Start
zunächst nicht sortieren zu lassen, dann wird ab jetzt auch beim Abschalten aller
Filter mit einem einzelnen Mausklick nicht sortiert, um Verzögerungen zu
vermeiden, wenn plötzlich alle Dateien wieder rekursiv gelistet werden.
-
Strg+A funktioniert jetzt in allen Editierfeldern und allen
Mehrfach-Auswahl-Listen in Dialogfenstern.
-
Die Prüfung auf Updates kann jetzt unter Hilfe | Online
gefunden werden.
-
Fähigkeit, in den Filtern für ID und int. ID auf
"Ungleichheit" filtern zu lassen. Nützlich falls das Erweitern
des Datei-Überblicks abstürzen sollte mit einer Datei, die noch nicht
Teil des Datei-Überblicks war, als er bei der Erweiterung zuletzt gespeichert
wurde. In diesem Fall können Sie bei einem erneuten Versuch die problematische
Datei im Voraus herausfiltern und auslassen anhand der zukuenftig zugewiesenen int.
ID.
-
Neue Attr.-Filter-Option für andere virtuelle
Dateien, was beispielsweise menschenlesbare HTML-Darstellungen für
Internet-Browser-Datenbanken, Event-Logs, etc. enthält.
-
Aktivieren des Sync-Modus deaktiviert jetzt automatisch
alle Filter, falls Filter den Verzeichnis-Browser daran hindern, die Datei
anzuzeigen, die die aktuelle Cursor-Position im Partitions-/Volume-Modus
enthält. Wie immer können Sie den Zurück-Schalter benutzen,
um zur vorherigen Liste im Verzeichnis-Browser zurückzukehren, aber
beachten Sie, daß dies nur funktioniert, wenn der Verzeichnis-Browser
den Eingabe-Fokus besitzt, nicht die untere Hälfte des Datenfensters,
wo Sie im Partitions-/Volume-Modus navigiert sind, wo mit den Zurück-
und Vorwärts-Schaltern Sprünge von einem
Offset zum nächsten rückgängig gemacht oder wiederholt werden
können.
Verschiedenes
-
Die Werte der Pixel-Spalte werden nun in Datei-Containern
des neuen Typs gespeichert.
-
Falls die Option, Unterobjekte gewählter Dateien
wiederherzustellen/zu kopieren, halb gewählt ist, bedeutet dies, daß
die einzigen Unterobjekte, die kopiert werden, E-Mail-Anhänge sind.
-
Beim Kopieren von Dateien oder Alternativen Datenströmen oder anderen
Objekten, denen einige oder alle Zeitstempel fehlen, mit dem Befehl Wiederherstellen/Kopieren
repräsentiert X-Ways Forensics den Umstand, dass ein Zeitstempel nicht verfügbar ist
indem es den entsprechenden Zeitstempel der ausgegebenen Datei auf ~0 setzt (1. Jan. 1601 in NTFS).
Dieses Verhalten existierte bereits in Versionen vor April 2012. Es kann vermieden werden, indem
man die Umschalttaste drückt, wenn man im Dialog-Fenster auf OK klickt, beispielsweise falls
Sie ein anderes Programm mit dieser Datei verwenden möchten, das Dateien mit solchen
Zeitstempeln nicht öffnet (dies wurde für VLC berichtet).
-
Fähigkeit, Video-Einzelbilder verläßlich mit aktuellen
Versionen von MPlayer zu extrahieren. MPlayer 1.1 zur Verwendung mit v17 wird jetzt als
Download bereitgehalten.
-
Verzeichnis-Browser-Option, Datei-Markierung als Häkchen darzustellen.
-
Die Option "Dateigrößen immer in Bytes anzeigen"
befindet sich jetzt in Optionen | Allgemein | Notation. Die Option zur alternativen .eml-Vorschau
befindet sich jetzt in Optionen | Viewer-Programme.
-
Extras | Datei-Tools | Rekursiv Löschen kann jetzt
automatisch Dateien löschen, für die Sie aktuell nicht das Recht
haben, sie zu löschen (zum Beispiel, weil "Trusted Installer"
der Eigentümer ist), aber für die Sie alle Rechte bekommen können
(falls Sie WinHex mit Administrator-Rechten betreiben).
-
Der Mindest-Speicherverbrauch für geladene
Datei-Überblicke wurde reduziert. Mehr Daten aus dem Datei-Überblick
können jetzt optional für bessere Performanz im Speicher gehalten werden.
-
Kompaktere interne Organisation bestimmter Dateien
im Datei-Überblick (extrahierte E-Mails, Video-Einzelbilder, virtuell
angehängte Dateien).
-
Datei-Überblicke von v16.3 (veröffentlicht Oktober
2011) and später können importiert werden, von v15.8 (Oktober 2010) bis v16.2
ebenfalls, solange keine E-Mails von diesen Versionen extrahiert wurden. Ein inkompatibler
Datei-Überblick wird erkannt und nicht konvertiert.
-
Speicherbedarf für Suchtreffer wurde um 17% reduziert. Ältere
Versionen können Suchtrefferlisten nicht öffnen, die von v17.0 und späteren
erzeugt werden.
-
Viele kleinere Verbesserungen.
-
PDF-Nutzerhandbuch und Programmhilfe überarbeitet und aktualisiert
für v17.0 auf Deutsch und Englisch.
Änderungen der Service-Releases von v16.9:
-
SR-1: Fähigkeit, eine nutzerspezifische WinHex*.cfg
Konfigurationsdatei zu erzwingen, indem eine leere Datei namens "winhex.user" im
Installationsverzeichnis angelegt wird.
-
SR-1: Zwei Fehler im Befehl "Liste exportieren" für Ereignislisten
wurden behoben.
-
SR-1: Die Spalten Absender und Empfänger werden jetzt
auch für
E-Mails befüllt, die aus MBOX- und DBX-E-Mail-Archiven mit der neuen Methode extrahiert werden.
-
SR-1: Die Unfähigkeit von X-Ways Investigator 16.9, Datenträger-Sicherungen/Container zu öffnen, wurde behoben.
-
SR-2: Mehr Tabellen werden aus bereits zuvor unterstützten
SQLite-Datenbanken extrahiert.
-
SR-2: Chinesische Übersetzung der Benutzeroberfläche aktualisiert.
-
SR-2: Ein Ausnahmefehler wurde behoben, der beim Versuch
auftreten konnte, gelöschte Verzeichniseinträge zu finden, bei der
Erzeugung eines Datei-Überblicks in XFS-Volumes.
-
SR-2: Eine theoretisch mögliche Situation wurde
vermieden,
in der zufällige Zeichen an einen (ansonsten korrekten) Dateinamen in XFS
angehängt hätten werden können.
-
SR-2: Ein Ausnahmefehler wurde behoben, der auftreten konnte,
wenn der Suchbegriffe-Filter aktiv war während ein Asservat geöffnet wurde,
das Suchtreffer enthielt.
-
SR-2: Ein Ausnahmefehler wurde behoben, der beim Parsen von PLists
unter bestimmten Umständen auftreten konnte.
-
SR-2: Ein seltener Ausnahmefehler wurde behoben, der beim Parsen
von index.dat-Dateien auftreten konnte.
-
SR-2: Ein Verarbeitungsfehler für thumbcache*.db wurde behoben.
-
SR-2: Ein seltener Fehler in der SHA-256 Berechnung bei der
Datenträger-Sicherung wurde behoben, der, falls er auftrat, bei der
späteren Prüfung
des Hash-Wertes entdeckt wurde.
-
SR-3: Die Flags u and U für die Datei-Header-Suche carven jetzt
auch aus unpartitionierten Bereichen und Partitionen mit unbekanntem Dateisystem.
-
SR-3: Die neue Option für getrennte Druckaufträge hat nicht
auf allen Systemen funktioniert. Jetzt behoben.
-
SR-3: Fähigkeit, die Online-Prüfung auf Updates jederzeit auszulösen.
-
SR-3: Die Darstellung in der Pfad-Spalte war in
v16.9 abgeschnitten. Dies wurde behoben.
-
SR-3: Ein Hängenbleiben bei Verwendung des Befehls "Cluster auflisten"
bei bestimmten Verzeichnissen in XFS wurde behoben.
-
SR-3: Ein Stabilitätsproblem in v16.9 beim Parsen von
$UsnJrnl:$J wurde behoben.
-
SR-4: Fähigkeit, die neuen Netzwerk-Dongles zu verwenden, genau
wie in v17.0.
-
SR-4: Dateisystem-Zeitstempel von Verzeichnissen werden jetzt ebenfalls
als Ereignisse ausgegeben.
-
SR-4: Reguläre Ausdrücke mit \nnn, wobei \nnn eine
Dezimalzahl darstellt, wurden in vorhergehenden Versionen nicht korrekt verarbeitet.
Dies wurde korrigiert.
-
SR-5: .lnk-Verknüpfungen, die aus Jumplists extrahiert
wurden, wurden intern fälschlich als E-Mail-Anhänge gekennzeichnet. Dies
wurde korrigiert.
-
SR-5: Die Metadaten-Extraktion wurde nach einer neuen
Installation nicht durchgeführt, bis die Unteroptionen einmal durch
Klicken von OK bestätigt wurden. Dies wurde behoben.
-
SR-5: Ein Ausnahmefehler wurde vermieden, der beim
Auswerten von Schattenkopien auftreten konnte.
-
SR-5: Verbesserte Kommunikation mit dem Netzwerk-Dongle-Server.
Wir hoffen, Sie bald wieder auf
http://www.x-ways.net
zu sehen, oder bei Facebook. Bitte leiten Sie diesen Newsletter
an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit
weiteren E-Mail-Adressen)
hier. Vielen Dank.
Freundliche Grüße
Stefan Fleischmann
--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer
Wettbewerb ist normal und gesund. Die Vorstellung, daß einem
Unternehmen das alleinige Recht auf abgerundete Rechtecke und bestimmte
Fingerbewegungen zusteht, ist absurd. Meiden Sie Produkte der Firma, die mit
ihren Anwälten rücksichtslos gegen jeden vorgeht, den sie als Hindernis ansieht,
z. B. eine Caf?Besitzerin in Bonn und den brasilianischen Schöpfer des
Worts "iphone". Danke. |