X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#148: WinHex, X-Ways Forensics und X-Ways Investigator 18.6 veröffentlicht

12. Nov. 2015

In dieser Ausgabe des Newsletters informieren wir Sie über ein größeres Update mit vielen nützlichen Verbesserungen, die Version 18.6. Sie wurde veröffentlicht am 11. November.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Schulungstermine

Köln, 7.-10. März 2016
Termine im Ausland

Wenn wir Sie über weitere Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein.


Individuell lange Update-Berechtigung

Neue dauerhafte Lizenzen für X-Ways Forensics können nun direkt online mit flexibel wählbar langer Update-Berechtigung bestellt werden. Sie können z. B. dasselbe Ablaufdatum der Update-Berechtigung wählen wie das Ihrer schon bestehenden Lizenzen. Dann können wir alte und neue Lizenzen desselben Typs in unserer Datenbank in einen einzigen Eintrag zusammenführen und zusammen verwalten. Künftige Upgrades machen dann weniger Arbeit, und Sie erhalten künftig den kombinierten Mengenrabatt basierend auf der Gesamtzahl der identischen Lizenzen. Wenn Sie das Ablaufdatum der Update-Berechtigung frei wählen können, können Sie es auch passend zu Ihrem internen Geschäftsjahr einstellen, oder Sie können das Ihnen derzeit zur Verfügung stehende Budget maximal ausnutzen, indem Sie so viel Update-Berechtigung im voraus bestellen, wie das Budget zuläßt.

Wenn Sie existierende Lizenzen für X-Ways Forensics mit neuer Update-Berechtigung upgraden möchten, können Sie dazu nun ebenfalls ein neues Ablaufdatum Ihrer Wahl angeben, aus denselben möglichen Gründen wie o. g., auf der Seite für die Lizenzstatusabfrage mit weiteren Optionen.


Was ist neu in v18.6?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Einbinden als Laufwerksbuchstabe

  • X-Ways Forensics hat nun eine Funktion zum Einbinden der vom aktiven Datenfenster repräsentierten Partition im eigenen Windows-System als Laufwerksbuchstabe. Das Einbinden ist entweder vollständig (beim Aufruf über das Specialist-Menü oder über das Falldatenfenster-Kontextmenü für ein ganzes Volume) oder ausschnitthaft (wenn über das Kontextmenü des Verzeichnis-Browsers oder das Falldatenfenster-Kontextmenü auf ein Verzeichnis oder eine Datei mit Unterobjekten angewandt). So erhalten Sie bei Bedarf mit externen Programmen bequem und schnell Zugriff auf alle Dateien, ohne diese erst mit dem Befehl Wiederherstellen/Kopieren herauskopieren zu müssen. Sehr effizient insbes., wenn Sie eine ganze Partition oder ein Verzeichnis mit einem Virenscanner überprüfen möchten. Das Einbinden funktioniert für alle unterstützten Dateisysteme, für alle unterstützten Partitionierungsmethoden und alle unterstützten Image-Typen (in X-Ways Forensics: Roh-Images, .e01, VDI, VMDK, VHD, und selbstverständlich Datei-Container), sogar für Images innerhalb von anderen, auch für Partitionen von physisch angeschlossenen Datenträgern, die mit einem Dateisystem formatiert sind, das Windows unbekannt ist. Der Zugriff auf alle Dateien ist ein vollständig schreibgeschützter Zugriff. Das Mounten von Images oder Datenträger-Partitionen ändert nichts in dem Image bzw. auf dem Datenträger. Um das Einbinden als Laufwerksbuchstabe zu beenden, rufen Sie den Menübefehl einfach erneut auf und klicken dann auf den Abbrechen-Schalter.

    Sie können wahlweise alle existierenden und/oder alle bekannten ehemals existierenden Dateien des Volumes im eingebundenen Laufwerk sehen, genau dieselben Dateien wie im außerordentlich gründlichen Datei-Überblick von X-Ways Forensics selbst. Dessen Vollständigkeit hängt bekanntlich davon ab, ob er bereits erweitert worden ist oder nicht. Optional können herausgefilterte Dateien auch in den Verzeichnissen des eingebundenen Laufwerks von der Auflistung ausgenommen werden. D. h. in anderen Worten, die internen Filter von X-Ways Forensics können auch extern wirken. Unterobjekte von Dateien (Dateien in Dateien) werden ebenfalls optional nach außen dargestellt, als Dateien in einem künstlichen Unterverzeichnis, das denselben Namen hat wie die Elterndatei, lediglich um ein einziges Zeichen ergänzt, damit der Name eindeutig wird, wie Sie es evtl. vom Wiederherstellen/Kopieren-Befehl kennen. Standardmäßig ist dieses Zeichenanhängsel unsichtbar, d. h. ein Unicode-Zeichen ohne eigenen Breite, damit der Pfad des Unterobjekts so original wie möglich aussieht. Sie können das Zeichen allerdings durch ein anderes ersetzen, z. B. einen Unterstrich, wenn Sie etwas mit einem alten externen Programm auf die Dateien zugreifen, das nicht unicodefähig ist. Dazu müssen Sie das unsichtbare Zeichen zunächst aus dem Editierfeld entfernen, z. B. durch Anklicken und Drücken der Rücksetz-Taste. Das funktioniert auch dann, wenn es scheinbar keinen sichtbaren Effekt hat. Danach können Sie ein beliebiges anderes Zeichen einfügen.

    Ehemals existierende Dateien werden optional aufgelistet, und wenn dies der Fall ist, werden Sie extern mit dem Attribut "versteckt" dargestellt, so daß sie auch im Windows Explorer optisch von existierenden Dateien unterscheidbar sind. Virtuelle Verzeichnisse werden auf dieselbe Art präsentiert. (Natürlich werden versteckte Dateien in Windows nur dann angezeigt, wenn Sie angeben, daß Sie sie sehen möchten, s. Extras | Ordner-Optionen | Ansicht). Virtuelle Dateien in einem Datei-Überblick sowie interne Dateien von Dateisystemen (wie $MFT in NTFS und Catalog in HFS+) werden ebenfalls nur optional eingebunden. Dasselbe gilt für die Originalnamen und -Orte von belanntermaßen umbenannten/verschobenen Dateien. Besondere Objekte wie alternative Datenströme, extrahierte E-Mails, Video-Standbilder, eingebettete Miniaturansichten, Ausschnitte usw. usf. werden im eingebundenen Laufwerk wie normale Dateien dargestellt. Dateischlupf wird nicht nach außen zugänglich gemacht. Dateien mit identischem Namen im selbem Verzeichnis (z. B. eine existierende Datei und eine ehem. existierende Dateien, bis zu 16) sind kein Problem für das Einbinden als Laufwerksbuchstabe. Solche Dateien können extern über den Laufwerksbuchstaben so geöffnet werden, als hätten sie eindeutige Namen.

    Diese Funktion erfordert Windows 7 oder neuer sowie die Installation einen Treibers. Letztere wird automatisch in Angriff genommen, wenn Sie einen beliebigen der Menübefehle zum Einbinden zum ersten mal aufrufen. Zuvor muß jedoch das Microsoft Visual C++ 2013 Redistributable Package installiert werden, in sowohl der 32-Bit- als auch der 64-Bit-Variante. Dieses ist in Windows standardmäßig nicht enthalten ist und daher muß daher i. d. R. separat heruntergeladen werden. Das bedeutet, daß diese spezielle Funktionalität von X-Ways Forensics nicht portabel ist, aber das Einbinden als Laufwerksbuchstabe ist ohnehin keine typische Funktion für die Vorab-Einsichtnahme von laufenden Systemen vor Ort.

    Interaktivität: Das Löschen einer Datei in einem von X-Ways Forensics bereitgestellten Laufwerksbuchstaben in Windows löscht natürlich nicht die Datei im Image oder auf dem Datenträger, aber kann eine der folgenden Aktionen im Datei-Überblick auslösen:
    1) Datei im Datei-Überblick ausblenden
    2) Datei als bereits eingesehen kennzeichnen
    oder
    3) Datei mit einer frei wählbaren Berichtstabelle verknüpfen.
    Die dritte Optione ist besonders dann nützlich, wenn Sie die Partition zum Überprüfen auf Malware mit einem Virenscanner als lokales Laufwerk einbinden. Sollte der Virenscanner eine Datei löschen oder in Quarantäne verschieben, wird X-Ways Forensics das bemerken und diese Datei der Berichtstabelle hinzufügen. Beachten Sie, daß wenn Sie eine Datei aus dem Laufwerk heraus verschieben dieselbe Aktion ausgelöst wird, denn ein solches Verschieben ist identisch mit Kopieren gefolgt von Löschen. Das Verschieben einer Datei innerhalb des von X-Ways Forensics bereitgestellten Laufwerksbuchstabens ist nicht erlaubt.

    Wenn Sie eine Datei in einem eingebundenen Laufwerk in Windows umbenennen, so wird auch die Datei im Datei-Überblick von X-Ways Forensics umbenannt. (Der Originalname wird ebenfalls aufbewahrt und im Verzeichnis-Browser zusätzlich angezeigt.)
     

  • Seit v18.5 SR-3 erlaubt WinHex das Interpretieren von Datei-Containern mit nicht mehr als 1.000 Objekten als Datenträger mit jedem beliebigen Lizenztyp und auch in der Evaluationsversion, kostenlos und nicht nur für Evaluationszwecke. Und in v18.6 kann WinHex nun mit jedem beliebigen Lizenztyp und auch in der Evaluationsversion solche Containers als Laufwerksbuchstaben einbinden. (Änderungen vorbehalten.) Wenn Sie Dateien logisch in einem Container sichern und den Container an andere Parteien weitergeben, die keine Lizenz für X-Ways Investigator oder Forensics haben, können die Empfänger nun Geld sparen, indem Sie den Container kostenlos mounten oder in WinHex Lab Edition (s. u.).

Neue Produktvariante: WinHex Lab Edition

  • Die neue Funktion zum Mounten (Einbinden als Laufwerk) ist jetzt auch in einer neuen Produktvariante von WinHex verfügbar, genannt WinHex Lab Edition. In WinHex Lab Edition ist die gesamte Funktionalität von WinHex mit einer Specialist-Lizenz enthalten. Zusätzlich kann man X-Tensions ausführen (außer Viewer-X-Tensions), und es werden dieselben Dateisysteme unterstützt wie in X-Ways Forensics (also auch HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, UFS und XFS). Und man kann Datei-Container selbst erzeugen. Und Container und Datenträger und unterstützte Image-Typen als Laufwerksbuchstaben einbinden. WinHex Lab Edition füllt also die große funktionelle Lücke zwischen WinHex mit Specialist-Lizenz auf der einen Seite und X-Ways Forensics auf der anderen Seite. Funktionell und preislich liegt WinHex Lab Edition aber dennoch deutlich näher an WinHex mit Specialist-Lizenz.

    Den Produkt- und Lizenztypenvergleich finden Sie hier (aktualisiert, aber angesichts Hunderter oder Tausender Funktionen und Optionen in X-Ways Forensics unvermeidlicherweise unvollständig). Lizenzen für WinHex Lab Edition können online bestellt werden. 

Beschreibungsspalte

  • Die Beschreibungsspalte verdient nun deutlich mehr Aufmerksamkeit als bisher. Sie hat zahlreiche Verantwortlichkeiten für die Anzeige von Informationen von der Attr.-Spalte übernommen, die nichts mit Dateisystemen zu tun haben und sich in der Attr.-Spalte im Laufe der Jahre zu eher Unrecht angesammelt hatten. Ebenso sind nun die Hälfte der Filter der Attr.-Spalte zur Beschreibungsspalte gewandert. Darüber hinaus hat die Beschreibungsspalte die ehemals spaltenunabhängigen Filter aus den Verzeichnis-Browser-Optionen geerbt. Diese Lösung ist für Neulingen intuitiver und logischer, und sie ist einheitlicher, weil nun alle Filtermöglichkeiten zu einer bestimmten Spalte gehören. Außerdem wurde dadurch etwas Platz in dem notorisch überfüllten Dialogfenster mit den Verzeichnis-Browser-Optionen frei. (Dieser wurde zum großen Teil auch gleich wieder von etwas Neuem in Beschlag genommen.) Die bisher behelfsmäßig in der Spalte "1. Sektor" untergebrachte Filtermöglichkeit für gecarvte Dateien gehört nun auch zur Beschreibungsspalte.

  • Eine neue Filtereinstellung in der Beschreibungsspalte erlaubt nun das Herausfiltern von virtuellen Objekten genau wie von existierenden und ehemals existierenden Objekten.

  • Der Beschreibungsfilter ist so nun auf Anhieb zu einem der wichtigsten Filter geworden. Der schnellste Weg, um zu den Filtereinstellungen zu gelangen, ist ein Rechtsklick auf die Überschriftszeile des Verzeichnis-Browsers. Diese Abkürzung steht auch dann zur Verfügung, wenn die Beschreibungsspalte nicht auf dem Bildschirm zu sehen ist, auch auch dann, wenn die Spalte überhaupt nicht angezeigt wird. Ein Linksklick in derselben Zeile öffnet weiterhin schnell das Dialogfenster mit den Verzeichnis-Browser-Optionen.

  • Das Trichtersymbol, das den Filter der Beschreibungsspalte repräsentiert, hat nun vier mögliche Farben:  1) Grau wenn inaktiv, wie auch bei anderen Filtern üblich. 2) Grau mit einer ganz, ganz leichten Tendenz zu blau, fast nicht von grau unterscheidbar, wenn der Filter zwar theoretisch aktiv ist, aber nur ausgeblendete Dateien herausfiltern würde, wovon es aber im erkundeten Pfad nicht mal welche gibt. 3) Blaugrau wenn nur ausgeblendete Dateien vom Filter ausgesondert werden und das auch tatsächlich passiert. 4) Normal blau, um Ihre Aufmerksamkeit darauf zu lenken, daß der Beschreibungsfilter aktiv ist und nicht nur ausgeblendete Dateien heraussiebt, sondern auf andere Eigenschaften achtet. Das zurückhaltende Farbschema wurde eingeführt, weil viele Benutzer es für den Normalzustand halten, wenn ausgeblendete Dateien tatsächlich herausgefiltert werden, weil sie sie genau zu dem Zweck ausblenden, um sie nicht mehr zu sehen. Dann ist die Erinnerung daran durch ein ins Auge springendes Blau unnötig ablenkend.

  • Die Beschreibungsspalte ist nun etwas präziser darin, die jeweilige Objektart zu benennen (z. B. gecarvte Datei, Unterobjekt von Datei, alternativer Datenstrom, Video-Einzelbild, ...), den Lösch- oder Existenzzustand und andere Eigenschaften. Darüber hinaus ist die Spalte nun konfigurierbar. Sie können in den Notationsoptionen (s. Allg. Optionen) festlegen, welche Informationen in der Spalte angezeigt werden sollen. Daß die Einstellungen in den Notationsoptionen getroffen werden, bedeutet, daß man zwei verschiedene Einstellungen zugleich speichern kann, eine allgemein für den Verzeichnis-Browser und eine andere speziell für den Befehl „Liste exportieren“. Das ist nützlich, denn in einer exportierten Liste werden tendenziell mehr textuelle Informationen dieser Art benötigt, weil es dort im Gegensatz zum Verzeichnis-Browser keine Icons gibt, die Ihnen dabei helfen, verschiedene Objektarten und Löschzustände voneinander zu unterscheiden.

  • v18.6 (nur diese Version) lädt die Breite der (nun wichtigeren) Beschreibungsspalte nicht aus Fällen. Auf diese verliert niemand die in v18.6 voreingestellte Breite dieser Spalte beim Laden eines Falls, der von v18.5 oder älter mit eingebetteten Verzeichnis-Browser-Einstellungen gespeichert wurde, auch wenn die Spalte er in früheren auf eine Breite von 0 eingestellt hatte.

Dateiformat-Unterstützung

  • Überarbeitete Erkennung von und Schutz vor ZIP-Bomben. Neu eingeführte Erkennung von und Schutz vor rekursiven ZIP- und GZ- und evtl. auch anderen Archiv-Typen. Der Schutz bedeutet, daß die Verarbeitung auf einer bestimmten Ebene beendet wird, wenn die böswillige Natur des Archivs erkannt wird. Derart identifizierte Archive werden als bereits verarbeitet gekennzeichnet und einer speziellen internen Berichtstabelle zugeordnet. Bitte beachten Sie, falls Sie später manuell weiter in das Archiv hinein navigieren wollen, als die Ebene, auf der die rekursive automatische Erkundung aufhört, können Sie dies tun, indem Sie das derzeit innerste Archiv als noch zu verarbeiten kennzeichnen (durch Drücken von Strg+Entf) und dann per Kontextmenü manuell den Erkunden-Befehl darauf anwenden.

  • Noch mehr Formatvarianten für MP4, MOV, etc. werden beim Datei-Carven und der Konsistenzprüfung unterstützt.

  • Unterstützung für die Registry Hives von Windows 10 und ihre neuen Datentypen. (Ein in früheren Versionen von X-Ways Forensics erzeugter Registry-Bericht wäre für eine Windows 10 Registry unvollständig.) Einige neue Registry-Berichtsdefinitionen für Windows 10.

  • Unterstützung für das neue Prefetch-Dateiformat von Windows 10 im Vorschau-Modus, auf Windows 8.1 und Windows 10 Plattformen. Neuer Carving-Algorithmus für diese Prefetch-Dateien.

  • Unterstützung für die neuen $I-Papierkorb-Dateien in Windows 10.

  • Extraktion des Feldes AppVersion aus neuen Office-Dokumenttypen. Extraktion des absoluten Pfads aus Office 2013 .xlsx-Dateien.

  • Unix- und DOS-Attribute von Dateien in ZIP-Archiven werden jetzt im Detail-Modus in dekodierter Form ausgegeben.

  • Zeigt Gruppen und Gruppenmitglieder im Registry Viewer und in Registry-Berichten an.

  • Photoshop-Metadaten in JPEG-Bildern werden jetzt in HTML-Tabellen hübsch formatiert angezeigt. Das relativ neue Drucker-Metadaten-Feld wurde hinzugefügt. Bessere Unterstützung für UTF-8-codierte Metadaten. Die häufigsten IPTC-Felder haben jetzt einen lesbaren Feldnamen.

  • AppCompatCache-Registry-Einträge von Windows 8.1 und Windows 10 werden jetzt unterstützt. Diese Einträge sind bei der Untersuchung von Programmausführungen relevant.

  • Ausgabe des Flags "Executed" aus dem Shim Cache (AppCompatCache) im Registry Viewer. Unter Umständen für Untersuchungen von Schadsoftware relevant.

  • Ausgabe von drei Zeitstempeln aus Google Analytics Cookies im Detail-Modus (erster Besuch, voriger Besuch, letzter Besuch). Analytics Cookies haben die Dateierweiterung .eiurl. Sie sind als URL kodiert, die auf ein GIF-Bild mit einer Größe von 1x1 Pixel verweist und optional gecarvt werden kann (s. Kategorie "Special interest").

  • Der Google Analytics Zeitstempel für den letzten Besuch (URLs mit "ie"-Zeitstempeln) wird jetzt auch als Ereignis angeboten, wenn eingebettete Dateien aus Google Chrome Cache-Dateien extrahiert werden. Nützlich insbesondere für Nutzer, die normalerweise nicht auf dem gesamten Datenträger oder der Partition auf Byte-Ebene nach URLs mit "ei"-Zeitstempeln carven lassen, was nur als Carving-Definition der Kategorie "special interest" klassififiziert ist.

  • Zeitzonenwechsel von Windows-Systemen und die Zeitstempel, wenn Anwendungen vom Windows MSI Installer installiert, deinstalliert oder aktualisiert werden, werden jetzt als Ereignisse in der Ereignisliste ausgegeben.

  • Unterstützung für eine alte Dateiformatvariante von SKP (Google SketchUp).

  • Genauer bei der Anzeige des ersten Sektors bestimmter eingebetteter Dateien.

  • Der Betreff von E-Mails in originalen, einzelnen E-Mail-Dateien (.eml, .emlx, .olk14msgsource) wird jetzt als Teil von Specialist | Datei-Überblick erweitern | Diverse interne Metadaten u. Ereignisse aufbereiten | [x] "Absender, Empfänger und Betreff aus Original-.eml-Dateien extrahieren" extrahiert und in der Namensspalte angezeigt, falls vom Dateinamen abweichend, und sofern die Datei nicht gecarvt ist (d.h. der Dateiname nicht ohnehin künstlich erzeugt ist), wird der Originalname erhalten und als alternativer Dateiname in derselben Spalte angezeigt.

Datei-Überblick

  • Es gibt jetzt die Möglichkeit, die Gesamtzahl der erzeugten Video-Einzelbilder pro Video benutzerdefiniert zu limitieren (1-255), unabhängig von der Spiellänge des Videos. Nützlich, um die Ergebnisse im Vergleich zu festgelegten Intervallen für längere Videos erheblich zu reduzieren. (Festgelegte Intervalle führen zu Einzelbildern, deren Anzahl proportional mit der Spiellänge wächst.) Dies kann den Aufwand bei der Auswertung der Einzelbilder in der Galerie und auch die Zeit, die für die Verarbeitung langer Videos benötigt wird, erheblich reduzieren, aber natürlich mit dem Preis, weniger gründlich zu sein und das Risiko zu erhöhen, etwas zu übersehen, sollte ein Verdächtiger relevante Inhalte irgendwo inmitten harmlos aussehender Videos verstecken. X-Ways Forensics versucht, die festgelegte Zahl an Einzelbildern in gleichmäßigen Abständen aus dem gesamten Video zu extrahieren, um eine möglichst repräsentative Darstellung zu erreichen.

  • Fähigkeit, bestimmte Zeilen aus den extrahierten Metadaten entfernen zu lassen, um diese nicht in der Metadaten-Spalte zu sehen, z. B. um den Fallbericht oder die Ausgabe des Befehls Liste exportieren zum Drucken oder Einsehen auf dem Bildschirm kompakter zu halten, oder einfach, weil bestimmte Metadaten-Felder für Sie nicht von Bedeutung sind. Sie können unerwünschte Metadaten-Felder durch ein Teilwort identifizieren lassen. Das Teilwort kann entweder den Feldnamen (z. B. "Focal Length") oder einen bestimmten erwarteten Feldwert (z. B. den Autorennamen "Josef Huber" in einem Dokument) identifizieren. Pro Zeile wird ein Teilwort eingegeben. Sie können Ihre Definitionen teilen, indem Sie die Datei "Unwanted Metadata.txt" austauschen.

  • Unterstützung für Dateien mit Unterobjekten im Datei-Überblick eines physischen Datenträgers, was in früheren Versionen nicht möglich war. Und physische Datenträger erhalten bei der Ausführung der Datei-Header-Signatur-Suche jetzt auch ein virtuelles Verzeichnis speziell für gecarvte Dateien. Daher haben physische Datenträger mit Unterobjekten oder virtuellen Verzeichnissen jetzt auch einen Schalter zur rekursiven Erkundung, aber bitte beachten Sie, daß eine rekursive Erkundung keine Partitionen einschließt, die diese ihre eigenen Datei-Überblicke haben. Beachten Sie bitte außerdem, daß Verzeichnisse und Dateien mit Unterobjekten im Baum des Falldaten-Fensters auch weiterhin nur für Volumes, nicht für physische Datenträger angezeigt werden.

  • Die Initialen des Nutzers, der im Disk-/Partitions-/Volume-Modus manuell eine Datei gecarvt hat, werden jetzt optional hinter dem Dateinamen in eckigen Klammern angezeigt, genau wie für andere selbst definierte Dateien (angehängte Dateien oder manuelle Ausschnitte).

  • Beim Anhängen externer Dateien per Kontextmenü des Falls an ihre jeweils entsprechenden Originale, wie von der eindeutigen ID identifiziert (z. B. nach deren Entschlüsselung, Konvertierung, Übersetzung, ...), erhalten Sie jetzt vier Möglichkeiten:
    1) die angehängte Datei kann das Unterobjekt der Original-Datei werden (wie bisher)
    oder
    2) die angehängte Datei kann ein Geschwister der Original-Datei werden (nebeneinander im selben Verzeichnis angezeigt)
    oder
    3) die angehängte Datei kann die Original-Datei ersetzen (die Original-Datei nicht mehr vorhanden)
    oder
    4) die angehängte Datei kann das Original ersetzen und die Original-Datei kann ein Unterobjekt der neuen Datei werden, falls weiterhin benötigt.
    Sie können die Anhängemethode für normale Dateien und E-Mail-Anhänge separat festlegen. Die drei neuen Methoden sind insbesondere für E-Mail-Anhänge nützlich, da nur die direkten Unterobjekte von .eml-Dateien beim Wiederherstellen/Kopieren in ihre Eltern-.eml-Dateien eingebettet werden. Wenn Sie also die entschlüsselte/konvertierte/übersetzte Version eines Anhangs in die .eml-Datei eingebettet haben möchten, sollte diese Version nicht wie in früheren Versionen das Unter-Unterobjekt werden. Wenn Sie sowohl das Original als auch die neue Version eingebettet haben möchten, machen Sie diese Geschwister. Sofern Sie das Original gar nicht eingebettet haben möchten, ersetzen Sie es entweder komplett oder erhalten Sie es lediglich als Unterobjekt der neuen Version (d.h. als Unter-Unterobjekt der .eml-Datei).

  • Es gibt jetzt eine Datei-Überblick-Option zur schrittweisen Vervollständigung des Datei-Überblicks, wenn eine Verzeichnisauflistung des Betriebssystems als Asservat verwendet wird (wenn Sie ein Verzeichnis zu Ihrem Fall hinzufügen). Wenn ausgewählt, enthält der Datei-Überblick zunächst nur die Inhalte des obersten Verzeichnisses und wird nur bei Bedarf schrittweise weiter vervollständigt, wenn Sie manuell in Unterverzeichnisse navigieren. Dies ist genau, wie der Windows Explorer/Datei Explorer in Windows funktioniert, und nützlich, wenn man mit langsamen und großen Netzlaufwerken arbeitet, deren vollständiger Scan vorab sehr lange dauern würde. Dies ist allerdings ganz anders als der normale Ansatz in X-Ways Forensics und wird natürlich verhindern, daß Sie beim rekursiven Erkunden eine vollständige Auflistung aller Dateien erhalten, einfach, weil es keine Garantie gibt, daß bereits alle Dateien in den Datei-Überblick übernommen wurden, bis Sie alle Unterverzeichnisse erkundet haben. Sollten Sie zu irgendeiner Zeit entscheiden, die Inhalte eines bestimmten Verzeichnisses rekursiv in den Datei-Überblick übernehmen zu wollen, können Sie den Befehl "Alles aufklappen" im Kontextmenü des Falldaten-Fensters (per Rechtsklick auf das Verzeichnis) verwenden, oder die Option, den Datei-Überblick bei Bedarf zu vervollständigen, deselektieren und dann das Verzeichnis erkunden. Bitte erinnern Sie sich daran, daß der bequemste Weg, einen gesamten Unterbaum aufzuklappen, durch Klick auf seine Wurzel und Drücken der Multiplikationstaste auf dem numerischen Teil der Tastatur zu erreichen ist (Standard-Feature in Windows).

  • Ein neues Flag "y" für die Signatur-Suche, das Dateitypen kennzeichnet, von denen bekannt ist, daß sie intern Verschlüsselung verwenden, was ermöglicht, gecarvte Dateien dieser Typen in der Attr.-Spalte mit "e!" zu kennzeichnen.

PhotoDNA

  • Beim Importieren von PhotoDNA-Hash-Sets oder wenn Sie selbst PhotoDNA-Hash-Sets erzeugen, werden die neuen Einträge mit bereits vorhandenen mit exakt derselben (Un-)Genauigkeit verglichen, die auch bei der Auswertung verwendet wird. Dies kann bei möglichen Umkategorisierungen bestehender Einträge wichtig sein. Der Vorteil des ungenauen Abgleiches ist, daß Sie die Kategorie bestimmter Einträge, deren ursprüngliche Kategorisierung von fremden Quellen (z. B. Project Vic) stammt, anpassen können, was unter Umständen wegen unterschiedlicher Gesetzgebung oder Rechtslage in Ihrem Land oder schlicht wegen ursprünglicher Kategorisierungsfehler oder unterschiedlicher Interpretation notwendig sein kann, sofern Sie Varianten derselben Bilder in Ihrer Sammlung haben (nicht notwendigerweise die exakt selben Dateien). Allerdings, ob die neuen Einträge ebenfalls zur Datenbank hinzugefügt werden, zusätzlich zu den ähnlichen, bestehenden Einträgen, hängt weiterhin vom bisherigen, relativ strengen Grenzwert ab (strenger als die Bedingung für die Rekategorisierung existierender Einträge).

  • Sie können jetzt im Verzeichnis-Browser sehen, ob es Treffer für mehr als eine PhotoDNA-Kategorie für ein bestimmtes Bild gibt. Dies wurde dank der vorgenannten Verbesserung weniger wahrscheinlich, aber in denjenigen raren Fällen, in denen es vorkommt, kann dieser Hinweis sehr wichtig nachzuverfolgen sein. Sofern Treffer mit verschiedenen Kategorien vorhanden sind, wird der Name der Kategorie mit der genauesten Übereinstimmung angezeigt (wie bisher), jetzt gefolgt von einem Komma und einem Auslassungszeichen. Außerdem können Sie jetzt nach Bildern, die in mehr als einer Kategorie gefunden wurden, filtern lassen. Solche Bilder verdienen ggf. soviel Aufmerksamkeit wie Duplikate in herkömmlichen Hash-Datenbanken, die gleichzeitig als "irrelevant" und "verdächtig" klassifiziert sind, und sind üblicherweise das Ergebnis einer inkonsistent befüllten Datenbank, z. B. versehentliche Fehlkategorisierung oder korrekte Kategorisierung durch Nutzer mit unterschiedlichen Gesetzeslagen, etc. Falls die für das Bild ausgegebene beste zutreffende Kategorie in Ihren Augen falsch ist, können Sie dies dadurch beheben, daß Sie erneut ein Hash-Set für dieses Bild zur PhotoDNA-Datenbank hinzufügen, unter Angabe der korrekten Kategorie.

  • Für Bilder, für die mindestens ein PhotoDNA-Hash-Wert im Datei-Überblick gespeichert ist, wird ein stilisiertes P in der Analyse-Spalte angezeigt.

  • Der PhotoDNA-Hash-Wert eines Bildes, falls im Datei-Überblick gespeichert, kann jetzt im Detail-Modus eingesehen werden.

Suchfunktionen

  • Fähigkeit, Suchtreffer mit dem grünen Gitter-Icon zur Ausgabe im Bericht zu kennzeichnen, mittels eines neuen Befehls im Kontextmenü der Suchtrefferliste. Wenn eine Datei mit einer Berichtstabelle verknüpft ist und die Berichtstabelle in einem Bericht ausgegeben wird und die Datei Suchtreffer enthält, die vom Benutzer zur Ausgabe im Bericht vorgesehen worden sind, dann wird der Kontext dieser Suchtreffer unter der Auflistung dieser Datei angezeigt. Aufnahme in den Bericht und die Kennzeichnung als wichtig sind zwei verschiedene Eigenschaften eines Suchtreffers. Sie können nach beiden Eigenschaften über den Filter der Suchtreffer-Spalte filtern lassen.

    Sog. Eigene Suchtreffer (vom Benutzer manuell definierte Suctreffer) können natürlich genauso im Bericht ausgegeben werden. Das bedeutet, Sie können jeden Teil einer Datei im Datei-Modus auswählen, als Eigenen Suchtreffer hinzufügen und dann diesen Teil automatisch im Fallbericht zitiert bekommen.

  • Maximale Länge der einfachen Suchen- und Ersetzen-Funktionen erweitert von 50 auf 100 Bytes.

Bedienbarkeit und Benutzeroberfläche

  • Rollen im Kalender-Modus aktualisiert die Ansicht jetzt sofort. Das Mausrad kann nun im Kalendermodus zum horizontalen Rollen zu verwenden. Der Kalender zeigt jetzt keine Jahre mehr an, die mehr als ein Jahr in der Zukunft liegen, selbst, wenn weit entfernt liegende Müll-Zeitstempel im Verzeichnis-Browser oder der Ereignisliste angezeigt werden. Dies dient dazu, die angezeigte Zeitspanne kompakter zu halten.

  • Die Auflistung des Stammverzeichnisses eines Volumes im Verzeichnis-Browser im Stammerverzeichnis selbst ist etwas unlogisch, kann aber sehr hilfreich sein, um die Zeitstempel (sofern vorhanden, je nach Dateisystem) dieses Verzeichnisses zu sehen, oder um schnell zu den Clustern des Verzeichnisses zu navigieren (sofern vorhanden, ebenfalls dateisystemabhängig), oder als weiterer Ort, an dem man schnell alle Objekte des Volumes markieren oder entmarkieren kann. Ob das Stammverzeichnis angezeigt wird, hängt jetzt nicht mehr vom Dateisystem ab, sondern kann in den Verzeichnis-Browser-Optionen vom Benutzer festgelegt werden.

  • Eine weitere neue Verzeichnis-Browser-Einstellung macht die Anzeige der internen Dateien des Dateisystems im normalen Verzeichnis-Browser optional. Dies betrifft z. B. die diversen $*-Dateien in NTFS. Insbesondere in X-Ways Investigator werden diese Dateien nicht mehr angezeigt, da diese für nicht-technische Ermittler (die Zielgruppe von X-Ways Investigator) ohne Bedeutung sind und Verwirrung stiften könnten, weil Benutzer normaler Computer-Programme mit diesen Dateien nicht vertraut sind.

  • Es gibt jetzt eine zweite Gruppierungsoption für den Befehl Wiederherstellen/Kopieren. Das bedeutet, Sie können jetzt nach zwei beliebigen der bereits bekannten Aspekte gleichzeitig gruppieren lassen, z. B. zunächst nach Löschzustand und dann nach Typ, oder zuerst nach Berichtstabelle und dann nach Dateityp-Kategorie.

  • Die Dateinamenserweiterung eines Original-Images (ein Image des Beschuldigten, das in einem Asservat gefunden und dem Fall hinzugefügt wurde, z. B. VMDK, VHD, VDI, ISO) wird aus dem Titel des Asservats nicht mehr entfernt, so daß Sie es überall in der Benutzeroberfläche sehen können und den Kontext besser verstehen, wenn in einem solchen Image relevante Dateien gefunden werden.

  • Ausschnitte werden jetzt mit einer Schere im Icon gekennzeichnet.

  • Dateien, für die nur Metadaten vorhanden sind (Datei-Inhalt unbekannt) haben jetzt ein Icon mit weißem Inneren.

  • Fähigkeit, alle Dateitypen für die Datei-Header-Signatur-Suche mit einem einzelnen Mausklick aus- bzw. abzuwählen.

Verschiedenes

  • Das Setup-Programm wurde überarbeitet.

  • Viele kleinere Verbesserungen.

  • Einige kleine Fixes.

  • Die Programmhilfe und das Benutzerhandbuch wurden für v18.6 aktualisiert.


Änderungen der Service-Releases von v18.5:

  • SR-1: Das Öffnen des gesamten Speichers eines laufenden Prozesses hat in der 32-bit-Edition seit v18.4 nicht mehr funktioniert. Dies wurde korrigiert.

  • SR-1: Die sich wiederholende Fehlermeldung "Ungültige Datei", die einige Nutzer während der Erweiterung des Datei-Überblicks erhalten hatten, gehört jetzt der Vergangenheit an. (Für diejenigen, die dachten, daß der einzige Weg, sie loszuwerden, wäre, X-Ways Forensics über den Windows Task Manager zu schließen, seien Sie bitte daran erinnert, daß Sie länger andauernde Operationen wie das Erweitern des Datei-Überblicks durch Klick auf das "x" in der oberen rechten Ecke des Fortschrittsanzeigefensters beenden können.)

  • SR-1: Eine möglicherweise unvollständige Ausgabe des Befehls Liste exportieren mit der Zwischenablagen-Option in Abhängigkeit von der (unsichtbaren) Option "Max. lines per file" wurde behoben.

  • SR-2: Ein Ausnahmefehler wurde behoben, der beim Abgleich von Dateien mit der FuzZyDoc-Hash-Datenbank auftreten konnte.

  • SR-2: Eine Endlosschleife wurde verhindert, die beim Carven bestimmter, seltener, defekter ZIP-Archive auftreten konnte.

  • SR-2: Unnötige Zeilenumbrüche in der Metadaten-Spalte verhindert.

  • SR-2: Einige unerwünschte Sonderzeichen in Registry-Berichten für Windows 10 System Hives, die mit der 64-bit-Edition erzeugt wurden, wurden verhindert.

  • SR-3: Bei der Suche in Dateien, die durch das Betriebssystem geöffnet wurden (durch Ihren eigenen Laufwerksbuchstaben), wenn auch deren Verzeichnis-Browser-Zellen durchsucht wurden, mit GREP syntax, ohne überlappende Treffer zuzulassen, wenn es in einer Verzeichnis-Browser-Zelle einen Treffer gab, wurden zusätzliche Treffer in den Inhalten der Datei ignoriert. Dieser Fehler wurde behoben.

  • SR-3: Die rohe Base64 zu binär Konvertierungsfunktion ignoriert jetzt auch Leerzeichen und Tabulatoren, zusätzlich zu Zeilenumbrüchen.

  • SR-3: Ein seltener Ausnahmefehler wurde behoben, der beim Einsehen einer Ext* .journal-Datei auftreten konnte.

  • SR-3: Russische und chinesische Übersetzung der Nutzeroberfläche aktualisiert.

  • SR-3: Ein Formatierungsfehler in der Metadaten-Extraktion des vorigen Release wurde behoben.

  • SR-4: Richtige Typ-Anzeige und Dateityp-Behandlung für Dateien, die aus dem unpartitionierten Bereich physischer Datenträger gecarvt wurden.

  • SR-4: Andere Sektorgrößen als 512 Bytes unterstützt für Ext-Dateisysteme.

  • SR-4: Die Auslassung von Dateisystem-Zeitstempeln für bestimmte Dateien ohne Dateiinhalte in der Ereignisliste wurde korrigiert.

  • SR-5: v18.5 hat bestimmte Verzeichnisse in exFAT-Volumes unvollständig geparst. Dies wurde korrigiert.

  • SR-6: Ein Fehler wurde behoben, der bei der Interpretation von Images auftreten konnte, die in anderen Images oder Datenträgern gespeichert waren, ohne sie vorher aus dem Image oder Datenträger heraus zu kopieren.

  • SR-6: Ein seltener Fehler wurde behoben, der bei der Extraktion von E-Mails aus Outlook Express DBX-Dateien auftreten konnte.

  • SR-6: Die Unfähigkeit, die Zelltexte von Ereignissen anzuzeigen, die zu gar keiner Datei gehören, wurde korrigiert.

  • SR-6: Bestimmte Vorkommnisse der Fehlermeldung "The viewer component does not accept your path for temporary files" in v18.5 wurden verhindert.

  • SR-7: Unterstützt jetzt eine Pfadlänge von 255 Zeichen für das Temp-Verzeichnis der Viewer-Komponente sofern der Pfad aus reinen ANSI-Codepage-Zeichen besteht. Sofern zumindest ein echtes Unicode-Zeichen im Pfad vorhanden ist, beträgt das Limit 127 Zeichen. In v18.4 und früher war das Limit 255 ANSI-Codepage-Zeichen und echte Unicode-Zeichen waren nicht erlaubt. In v18.5 vor SR-7 war das Limit 127 Zeichen und Unicode-Zeichen waren erlaubt.

  • SR-7: Die Verarbeitung von MSG-Dateien wurde leicht überarbeitet.

  • SR-7: Für JPEG-Bilder, die als zu beschädigt gelten, z. B. derart abgeschnitten, daß mehr als 50% fehlen, werden keine Hautfarbanteile oder PhotoDNA-Hash-Werte mehr berechnet.

  • SR-7: PhotoDNA-Hash-Werte werden im Datei-Überblick zu erneuten Abgleichs- oder Duplikaterkennungszwecken jetzt auch für triviale einfarbige Bilder gespeichert.

  • SR-8: PDF-Datei-Carving-Probleme in v18.5 behoben.

  • SR-8: Ein seltener Ausnahmefehler wurde behoben, der in aktuelleren Versionen beim Öffnen des virtuellen Speichers anderer Prozesse auftreten konnte.

  • SR-8: v18.5 hat manuell gecarvte Dateien nicht tatsächlich den ausgewählten Berichtstabellen hinzugefügt, falls gewünscht. Dies wurde korrigiert.

  • SR-8: Die Umbenennung von Suchbegriffen hat nicht immer korrekt funktioniert, in Abhängigkeit von der angezeigten Reihenfolge der Suchbegriffe. Dies wurde korrigiert.

  • SR-9: Erheblich reduzierter freier Speicherbedarf für die Interpretation verschachtelter Images.

  • SR-9: Die Tabelle "Partitions by disk signature" war im Registry-Bericht der 64-Bit-Edition gelegentlich beschädigt. Das wurde korrigiert.

  • SR-9: Ein Ausnahmefehler wurde behoben, der beim Sortieren der Block-Hash-Treffer nach der Suchtreffer-Spalte auftreten konnte.

  • SR-9: Die Formatvariante "Xtra Atom" wurde bereits für das Carven von F4V-Videos unterstützt, jetzt auch für MP4.

  • SR-9: Eine mögliche Instabilität bei defekten SketchUp-Dateien wurde korrigiert.


Viewer-Komponente

Oracle hat ein "Critical Patch Update" für die Versionen 8.5.2, 8.5.1 und v8.5.0 oder Viewer-Komponente herausgegeben. Die aktualisierten Versionen sind seit dem 25.10.2015 von unserem Web-Server herunterladbar. Sie sind wahrscheinlich aus Sicherheitsgründen empfehlenswert. Dieses Mal ist es aber schwer zu sagen, was genau tatsächlich gefixt wurde, weil mehrere DLLs für allgemeine Zwecke betroffen sind. Andere geänderte DLLs stellen Unterstützung für Dateien der Typen PDF, TGA, PDX und WK4 bereit.

Oracles Beschreibung des Updates beginnt wie üblich mit einer sehr vielversprechenden Überschrift, aber ist ansonsten nicht sehr erhellend:

What this Update Fixes:
October 2015 Critical Patch Update for Outside In
This patch is the initial Outside In 8.5.2 Critical Patch Update


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

  
#147: WinHex, X-Ways Forensics und X-Ways Investigator 18.5 veröffentlicht

2. Sept. 2015

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen nützlichen Verbesserungen, die Version 18.5, veröffentlicht am 1. September.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie zumindest das letzte Service-Release der betreffenden Version verwenden.


Was ist neu in v18.5?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Platten- und Image-Unterstützung

  • Unterstützung für Virtual Box Datenträger-Images (VDI) des Standard-Untertyps "sparse" und der Untertypen "fixed size" und "diff" (Snapshots). Snapshot-Images können wie üblich nur dann interpretiert werden, wenn das zugrundeliegende Basis-Image verfügbar ist und seinerseits bereits geöffnet und interpretiert wurde.

  • Es ist jetzt möglich, Images diverser Typen (unsegmentierte Roh-Images und die meisten VHD-/VMDK-/VDI-Images) und beider Arten (partitionierter Datenträger einerseits, Volume andererseits) auch dann als Datenträger zu interpretieren, wenn sie innerhalb von anderen Images gespeichert sind (in forensischen Sicherungen, die Sie selbst erzeugt haben), ohne sie aus dem äußeren Image erst herauskopieren zu müssen. Das kann merklich Zeit sparen, besonders wenn Sie nach dem Interpretieren des enthaltenen Images schnell feststellen, daß es nicht relevant ist. Und diese Art des Zugriffs spart natürlich auch Plattenplatz.
    Klicken Sie das Sie interessierende Image im Verzeichnis-Browser zunächst mit der rechten Maustaste an und öffnen Sie es mit dem "Öffnen"-Befehl des Kontextmenüs in einem separaten Datenfenster. Danach rufen Sie den Befehl "Specialist | Image als Datenträger interpretieren" im Hauptmenü auf. Und anschließend, wenn der Datei-Überblick erzeugt wurde und Sie das Image für relevant halten, können Sie es zum aktiven Fall wie üblich hinzufügen über den "Hinzufügen"-Befehl im Datei-Menü des Falldatenfensters oder über den Befehl "Hinzufügen zum aktiven Fall" im Kontextmenü der Registerkarte (Reiter) des Datenfensters.

  • Wenn Sie neue Asservate zum Fall hinzufügen, speichert X-Ways Forensics nun die technischen Informationen von mehr als nur einer Windows-Installation pro Partition in den Asservateigenschaften, wenn Spuren mehrerer Installationen gefunden werden. Das ist z. B. dann der Fall, wenn wegen eines Windows-Upgrades ein Backup-Verzeichnis namens "Windows.old" existiert.

  • Wenn sich Partitionen überlappen, z. B. weil eine ehemals existierende Partition teilweise von einer neuen Partition überschrieben wurde, dann wird nun ein Hinweis im Nachrichtenfenster ausgegeben (nur wenn Sie Partitionen nach Lage numerieren lassen). Dieser Hinweis soll arglosen Benutzern die möglichen Konsequenzen bewußt machen, ihnen z. B. zu verstehen geben, daß Fehler beim Einlesen des Dateisystems in der teilweise überschriebenen Partitionen wahrscheinlich normal sind und kein Grund, um Unterstützung nachzufragen.

  • Unterstützung für die Dateisysteme HFS+/HFSJ/HFSX bei der Suche nach gelöschten Partitionen. Es werden Anstrengungen unternommen, um falsche Treffer automatisch auszusondern. Unterstützt die Sektorgrößen 512, 4.096 und 8.192 Bytes.

  • Einige Verbesserungen beim Einlesen von exFAT-Dateisystemen.

  • Unterstützung für Ext4-Journals mit 64-bittigen Block-Nummern.

Bedienbarkeit

  • Der Befehl "Liste exportieren" merkt sich Notationseinstellungen nun separat von denen in den allgemeinen Optionen. Das ist nützlich, weil das Datenbank- oder Tabellenkalkulationsprogramm, in dem Sie die Daten ggf. importieren möchten, die Formatierung, die Sie gern im Verzeichnis-Browser sehen, vermutlich nicht mag (z. B. Bruchteile von Sekunden in Zeitstempeln, Zeitzonenumrechnung, Wochentage im Datum, bestimmte Trennzeichen zwischen Datum, und Uhrzeit, Zifferngruppierung usw. usf.). Während das Dialogfenster des Befehls "Liste exportieren" auf dem Bildschirm zu sehen ist, basiert die Anzeige des Verzeichnis-Browsers vorübergehend auf den Notationseinstellungen fürs "Liste exportieren", als eine Art Vorschau.

  • Für Ihre 9 wichtigsten Berichtstabellen sind nun Tastenkürzel auch zum Entfernen von Verknüpfungen von ausgewählten Dateien definiert. Strg+n fügt bekanntlich ausgewählte Dateien zu der betreffenden Berichtstabelle hinzu, Alt+n entfernt sie daraus wieder. Nützlich wenn Sie versehentlich die falsche Tastenkombination mit Strg+n drücken oder sich bzgl. der Einordnung der Datei umentscheiden, dabei aber bestehende Verknüpfungen mit diversen anderen Berichtstabellen beibehalten möchten (ansonsten könnten Sie ja einfach Strg+0 drücken).

  • Es gibt nun einen Befehl, der den aktiven Fall schließt, ohne ihn zu speichern. Normalerweise werden ja der Fall und die Datei-Überblicke der geöffneten Asservate immer gespeichert, spätestens wenn der Fall bzw. die Asservate  geschlossen werden. Das möchten Sie aber vielleicht ausnahmsweise vermeiden, wenn Sie z. B. mit viel Mühe und Liebe über einen längeren Zeitraum zahllose Dateien markiert haben und dann versehentlich alle Markierungen verloren haben (etwa Entmarkieren aller Objekte durch einen fehlgeleiteten Klick auf den Spaltenkopf oder weil die Bürokatze über die Maus herfällt) oder wenn Sie alle Berichtstabellenverknüpfungen verlieren (durch versehentliches Drücken von Strg+0 für alle ausgewählten Dateien). In einer solchen Situation ist es lediglich entscheidend, den neuen Befehl so bald wie möglich aufzurufen, bevor das Zeitintervall zum automatischen Speichern das nächste Mal abläuft. Danach können Sie den Fall wieder öffnen, und werden alles so vorfinden, wie es bei der letzten automatischen Speicherung zuvor war, was bedeutet, daß Sie im Durchschnitt nur die Hälfte Ihrer Arbeit seit dem letzten Speicherpunkt verlieren und nicht alles.

  • Der Sync-Modus bei nicht-rekursiver Erkundung hat nun eine ähnliche Wirkung wie die Option "Automatically expand to current folder" im Windows-Explorer. Das bedeutet, daß beim Navigieren von einem Verzeichnis zum anderen bei inaktivem Sync-Modus der Verzeichnisbaum links nicht mehr das aktuell erkundete Verzeichnis anzeigt und auch nicht bei Bedarf dessen Elternverzeichnis aufklappt. Ob der Sync-Modus aktiv ist oder nicht merkt sich das Programm getrennt für rekursive und nicht-rekursive Erkundung.
    Der andere Effekt, den der Sync-Modus bisher hatte, daß beim Navigieren von einem Cluster zum anderen die Datei, deren Daten in dem neuen Cluster gespeichert sind, automatisch im Verzeichnis-Browser ausgewählt wurde, kann nun nur noch über das Kontextmenü der Informationsspalte erreicht werden. Der Befehl dort heißt nun "Datei auswählen". Ob bei der Gelegenheit das enthaltende Verzeichnis automatisch im Verzeichnisbaum ausgewählt wird, hängt wiederum davon ab, ob der Sync-Modus aktiv ist oder nicht.

Coole neue Funktionen

  • Es gibt einen neuen Befehl im Verzeichnis-Browser-Kontextmenü zum Identifizieren und Ausblenden von doppelten Bildern unter Verwendung von PhotoDNA (wenn Sie Zugang zu PhotoDNA in X-Ways Forensics haben). Alle Duplikate werden wie üblich mit dem Vermerk "Duplikat gefunden" in der Attr.-Spalte versehen, und alle bis auf einen davon werden ausgeblendet. Im Zweifelsfall werden bevorzugt gelöschte Dateien ausgeblendet oder Bilder mit niedrigerer Auflösung, und existierende Dateien und Bilder mit höherer Auflösung beibehalten. Bitte beachten Sie, daß der Hash-Vergleich eine u. U. sehr, sehr zeitaufwendige Operation ist, wenn viele Bilder im Verzeichnis-Browser aufgelistet sind, nicht vergleichbar mit herkömmlichen Hash-Werten. Sie können den Vergleich allerdings jederzeit abbrechen, wenn Sie die Geduld verlieren.
    Die Funktion erfordert, daß PhotoDNA-Hash-Werte bereits zuvor berechnet wurden, über Specialist | Datei-Überblick erweitern | Bildanalyse- und verarbeitung | PhotoDNA-Hash-Werte berechnen. Sie ist nützlich z. B. für Strafverfolgungsbehörden, die PhotoDNA-Hash-Sets aus einer Sammlung bekannter Bilder von früheren Fällen erstellen möchten, aber Bildern ohne Duplikate. Die Strenge des Bildvergleichs ist dieselbe wie im Dialogfenster zu Specialist | Datei-Überblick erweitern | Bildanalyse- und verarbeitung für den Abgleich mit einer PhotoDNA-Hash-Datenbank festgelegt.

  • Es gibt nun eine Möglichkeit,  zuvor herauskopierte und dann extern bearbeitete Dateien fallweit als Unterobjekte an ihre Pendants im Original-Datei-Überblick anzuhängen (nach Entschlüsseln, Übersetzen, Konvertieren, OCR, ... außerhalb von X-Ways Forensics). Fallweit bedeutet, daß dies automatisch für alle Asservate auf einmal  funktioniert, sofern die Dateien nach der eindeutigen ID der Ursprungsdateien benannt sind. Sie können Dateien nach der eindeutigen ID benennen lassen, wenn Sie sie mit dem Befehl "Wiederherstellen/Kopieren" herauskopieren. Dabei braucht der Pfad nicht mit wiederhergestellt zu werden, denn die eindeutige ID identifiziert ja jede Datei bereits vollumfänglich und unzweideutig. Nützlich, wenn Sie externe Tools auf die herauskopierten Dateien anwenden möchten und das Resultat zurück in den Datei-Überblick überführen möchten. Der neue Befehl kann im Kontextmenü des Falls gefunden werden, wegen der fallweiten (nicht auf ein Asservat beschränkten) Anwendung.

  • Eine neue Einstellung im Filter für die Zeitstempel-Spalten erlaubt es, sich auf solche Dateien zu konzentrieren, deren Erzeugungsdatum später ist als ihr Änderungsdatum, d. h. solche Dateien, die offenbar kopiert wurden und dadurch mit einem neuen Erzeugungsdatum versehen wurden. Über die Notationsoptionen können solche Dateien außerdem mit dem Wort "(kopiert)" in der Erzeugungsspalte gekennzeichnet werden. Das Vorhandensein dieses Wortes kann dann auch für die bedingte Zelleinfärbung herangezogen werden, so daß Sie schnell sehen können, welche Dateien vermutlich Originaldateien auf dem betreffenden Datenträger sind und welche kopiert wurden. Das Wort "kopiert" ist allerdings sprachabhängig. Daher bietet es sich evtl. an, in der Bedingung statt dessen auf das Vorhandensein einer runden Klammer in der Spalte für Erzeungszeitstempel abzustellen.

  • Sie können nun freien Text als Beschreibung für jede Berichtstabelle hinterlegen, wenn Sie den Schalter mit dem Eigenschafts-Icon im Dialogfenster für Berichtstabellenverknüpfungen anklicken. Diese Beschreibung ist im Fallbericht zu sehen, wenn Sie die Berichtstabelle ausgeben. Die Beschreibung ist nützlich für längere Erklärungen zur Bedeutung der Berichtstabelle und hilft, den Namen der Tabelle selbst, der an diversen Stellen in der Benutzeroberfläche erscheint, kürzer fassen zu können.

  • Wiederherstellen/Kopieren: Eine weitere Option versucht, aus lauter binären Nullen bestehende Bereiche in einer Datei beim Schreiben auf den Zieldatenträger speicherplatzsparend als "sparse" zu codieren. Das gelingt nur dann, wenn die genullten Bereiche einigermaßen ausgerichtet und groß genug sind, und natürlich nur dann, wenn die Dateien in ein NTFS- oder ReFS-Dateisystem gespeichert werden, nicht FAT. Der Erfolg hängt nicht davon ab, ob die Quelldatei bereits in ihrem ursprünglichen Dateisystem als sparse definiert war oder nicht. Diese Option reduziert (außer bei riesigen fast nur aus Nullen bestehenden Dateien) die Datentransferrate und ist nur dann empfehlenswert, wenn Sie schon eine Ahnung haben, daß es sich lohnt, die Daten, die Sie kopieren, also geeignet sind.

Suchtreffer

  • Ein neuer Befehl im Kontextmenü von Suchtrefferlisten namens "Vergrößern" erlaubt das relative Ändern der Größe und der Position der ausgewählten Suchtreffer, basierend auf ihrer aktuellen Größe un Position. Wenn Sie z. B. nach einer Signatur suchen, die Datensätze in einer Datenbank identifiziert, und Sie erhalten viele Treffer mit dieser Signatur, aber Sie interessieren sich eigentlich für die Daten, die hinter der Signatur folgen und möchten diese exportieren, dann können Sie nun Offsets und Länge all dieser Suchtreffer auf einen Schlag geeignet anpassen. Nützlich auch beim Exportieren von Suchtreffern; dabei kann dann auf Wunsch der Suchtreffer selbst größer exportiert und der Kontext drumherum im Gegenzug evtl. entfallen. Die Wirkung wird sofort sichtbar in der Kontextvorschau der Suchtrefferliste (aber nicht unbedingt sofort in der Hervorhebung in der unteren Hälfte des Datenfensters).

  • Mit einem weiteren neuen Befehl für Suchtrefferlisten können Sie Suchtreffer in ausgegliederte Dateien konvertieren. Das ist nützlich, wenn Sie die Suchtreffer als Dateien in einem Bericht ausgeben möchten, zu einer Berichtstabelle hinzufügen, sie mit einem Kommentar versehen oder ausdrucken möchten, Wiederherstellen/Kopieren darauf anwenden möchten o. ä.
    Beachten Sie, daß Suchtreffer, die sowohl einen physischen als auch einen logischen Offset haben, auf Sektor-Ebene ausgegliedert und im virtuellen Verzeichnis für gecarvete Dateien ausgegeben werden. Suchtreffer, die nur einen logischen Offset haben, werden innerhalb der Datei, in der sie gefunden wurden, ausgegliedert, und erscheinen als Unterobjekt. Suchtreffer im decodierten Text einer Datei sowie Suchtreffer in Verzeichnis-Browser-Spalten können nicht auf diese Weise in Dateien umgewandelt werden, sondern werden von dieser Funktion ignoriert.

  • Der mögliche Suchtrefferkontext im Befehl "Liste exportieren" wurde auf ca. 16.384 Bytes in beide Richtungen ausgedehnt (von ca. 1.000 Bytes zuvor). Der Text insgesamt, incl. dem Suchtreffer selbst, ist auf ca. 32.768 Bytes beschränkt.

  • Sie haben nun die Möglichkeit, Suchtreffer zu kategorisieren, indem Sie sie separaten Suchbegriffen zuordnen. Wenn Sie z. B. mehrere relevante Treffer für den Suchbegriff "Rechnung" erhalten und einige Treffer in anderer Weise relevant sind als andere, können Sie diese anderen Suchbegriffen zuordnen wie "Rechnung ABC GmbH" oder "Rechnung XYZ AG" usw. Die so neu erzeugten Suchbegriffe erscheinen in der Suchtrefferliste, auch wenn nie wörtlich nach ihnen selbst gesucht wurde, und haben eher die Funktion von Kategorien.

    Wie das funktioniert: In der Suchtrefferliste wählen Sie die zu kategorisierenden Suchtreffer aus, klicken sie mit der rechten Maustaste an und rufen dann den neuen Menübefehl "Anderem Suchbegriff zuweisen" auf. Sie können die Treffer einem Suchbegriff zuweisen, der bereits existiert, oder eine neue Kategorie dafür definieren. Sie können auch bestehende Suchbegriffe/Kategorien mit einem neuen Befehl im Kontextmenü der Suchbegriffsliste nachträglich umbenennen. Künstlich erzeugte Suchbegriffe werden mit einem ? gekennzeichnet, genau wie Suchbegriffe, denen manuell gefundene Suchtreffer zugeordnet werden, sog. "eigenen" Suchtreffern.

Datei-Format-Unterstützung

  • Der Ansatz zur Datei-Header-Signatur-Suche wurde überarbeitet, was je nach Daten zu einer schnelleren Verarbeitung führt.

  • Die Qualität der Ergebnisse der internen Datei-Carving-Algorithmen für die Quicktime-Dateiformat-Familie (MP4, MOV, 3GP, ...) und GIF wurde verbessert.

  • Per Datei-Header-Signatur-Suche gefundene Dateien sowie Dateien, die aus anderen Dateien herausgemeißelt wurden, können nun vom Benutzer manuell vergrößert oder verkleinert werden wenn nötig (über einen weiteren Befehl im Kontextmenü des Verzeichnis-Browsers, namens "Vergrößern").

  • Es gibt nun eine Option, im Fallbericht die vollständigen internen Metadaten einer Datei auszugeben, wie vom Details-Modus her bekannt, im HTML-Format, statt der extrahierten Untermenge aus der Metadaten-Spalte im unformatierten Textformat.

  • Fähigkeit, die nur noch teilweise enthaltene komprimierte Datei am Ende eines unvollständigen (abgeschnittenen) Zip-Archivs so weit wie möglich zu dekomprimieren statt gar nicht.

  • Verhindert die Übernahme von Ausreißern bei der Extraktion von Zeitstempeln aus Registry-Hives in die Ereignisliste.

  • Ein Ausnahmefehler wurde behoben, der beim Versuch auftrat, Registry-Hives mit einer Größe von nicht mehr als 4 KB einzusehen.

  • Die Vertauschung von Erzeugungs- und Zugriffszeitstempel in den extrahierten Metadaten von Zip-Records (aus dem sog. Extra-Feld) wurde korrigiert.

X-Tensions API (Details)

  •  XT_Prepare kann nun ein neues Flag zurückgeben, das signalisiert, daß auch wenn der Benutzer bestimmte Dateien von der Erweiterung des Datei-Überblicks ausnehmen möchte (aus einer der drei möglichen Gründe) die X-Tension für diese Dateien aufgerufen werden soll, um sie verarbeiten zu können. Ein weiteres Flag gibt an, daß eine X-Tension auch für Verzeichnisse aufgerufen werden möchte.

  • Eine neue Funktion namens XWF_GetUserInput erlaubt es, eine textuelle oder ganzzahlige Eingabe vom Benutzer anzufordern, z. B. ein Paßwort, ohne daß die X-Tension sich selbst um die GUI dafür kümmern muß (z. B. mit einer Dialogfenster-Ressource).

  • XWF_AddSearchTerm erlaubt es, der Suchbegriffsliste eines Falls Suchbegriffe programmatisch hinzuzufügen. Benutzen Sie diese Funktion z. B., wenn Sie Suchbegriffe automatisiert kategorisieren (d. h. unterschiedlichen Suchbegriffen zuordnen) möchten während Sie auf XT_ProcessSearchHit-Aufrufe reagieren.

  • Der Quellcode für Delphi und das Beispiel-Projekt wurden aktualisiert.

Verschiedenes

  • Wenn die automatische Einfärbung von FILE-Records usw. ganz angekreuzt ist, werden mögliche FILETIME-Strukturen jetzt auch dann optisch hervorgehoben, wenn sich nicht an 4-Byte-Grenzen ausgerichtet sind.

  • Die Filter für Kommentare, Metadaten und Ereignisbeschreibungen haben eine NICHT-Option spendiert bekommen.

  • Die Programmhilfe und das Benutzerhandbuch wurden für v18.5 aktualisiert.


Änderungen der Service-Releases von v18.4:

  • SR-1: Fähigkeit, solche 7z-Archive zu dekomprimieren, deren Kompressionsgrad durch einen BCJ-Vorverarbeitungsfilter verbessert wurde.

  • SR-2: Ein Fehler wurde behoben, der während einer Suche im Index auftreten konnte, wenn man nach Suchbegriffen mit Leerzeichen mittendrin suchte.

  • SR-2: Ein möglicher Ausnahmefehler wurde behoben, der bei der Verarbeitung von LiveComm.edb auftreten konnte.

  • SR-2: Ein Fehler in der Logik für "gierige Sprünge" bei der Datei-Header-Signatur-Suche in v18.4 wurde behoben.

  • SR-3: Unterstützung für bestimmte unorthodoxe GZ-Archive.

  • SR-3: Ein Ausnahmefehler wurde behoben, der beim Herausmeißeln von Dateien aus anderen Dateien ("eingebettete Datei in diversen Dateitypen suchen") in SR-2 auftreten konnte.

  • SR-3: Ein Fehler im XML-Export wurde behoben, der auftrat, wenn die Benutzeroberfläche auf Englisch umgeschaltet worden war.

  • SR-4: Wenn in früheren Versionen Benutzer versuchten, ein Volume im Falldatenfenster aufzuklappen (z. B. durch Doppelklick auf ein Partitions-Icon), um den Verzeichnisbaum zu sehen, obwohl der Datei-Überblick zu dem Zeitpunkt noch gar nicht erzeugt worden war, konnte dies zu einem vorübergehend unvollständigen Verzeichnisbaum für dieses Volume im Falldatenfenster führen oder zu einem fehlenden Pluszeichen neben dem Volume-Icon (woraufhin das Volume gar nicht mehr aufgeklappt werden konnte). Dies wird nun verhindert. Bitte beachten Sie aber, daß zum Öffnen eines Asservats (und zum erstmaligen Erzeugung des Datei-Überblicks) ein einziger Klick ausreichend ist.

  • SR-4: Das u. U. auftretende "Überschwappen" von Spaltenbreiten beim Ändern der Reihenfolge von Spalten des Verzeichnis-Browsers in v18.4 tritt jetzt nicht mehr auf.

  • SR-4: Ein Ausnahmefehler (Division durch Null) trat in v18.4 unter bestimmten Umständen bei der Datei-Header-Signatur-Suche auf. Das wurde korrigiert.

  • SR-4: Ein Fehler wurde behoben, der beim gemeinsamen Öffnen der Datei "Addl" auftrat, wenn zusätzliche Benutzer dasselbe Asservat im selben Fall zur gleichen Zeit öffneten, wenn der Datei-Überblick des Asservats gerade erst erweitert worden war.


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im allgemeinen und in X-Ways Forensics im besonderen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

  
#146: WinHex, X-Ways Forensics und X-Ways Investigator 18.4 veröffentlicht

6. Juli 2015

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen nützlichen Verbesserungen, die Version 18.4, veröffentlicht am 4. Juli.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung werden auch ältere Versionen automatisch zum Download angeboten, lizenzierten Benutzern anderer Produkte i. d. R. auf Anfrage (aber nicht garantiert).

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Schulungen

Stuttgart, 7.-11. September 2015
München, 14.-18. September 2015 (auf Englisch)

Weitere InformationenEnglischsprachige Schulungen


Eine neue Version der Viewer-Komponente (v8.5.2) steht Nutzern einer aktuell update-berechtigten Lizenz von X-Ways Forensics und X-Ways Investigator seit 18. Juni 2015 zum Download zur Verfügung. Die relevanten Änderungen laut Oracle sind:

1) PPT, PPTX: Text-Rotation um 90 und 270 Grad in Tabellen jetzt unterstützt. Potentiell verbesserte Text-Dekodierung in versteckten Folieninhalten.

2) HTML-Inline-Graphiken: Base64-kodierte Graphiken, die in einem <img>-Tag im HTML-Body eingebettet sind (nicht in einem Style), werden jetzt angezeigt bzw. können wie andere eingebettete Objekte behandelt werden.*

3) Open Office Write Tabellenzellausrichtung: Ausrichtung in der Mitte und unten werden jetzt unterstützt.


*Das können wir nicht bestätigen. HTML-Fallberichte z. B., die von X-Ways Forensics mit eingebetteten Graphiken in Inline-Base64-Kodierung erzeugt werden, werden scheinbar nicht unterstützt.

Ein kleiner Vorteil: Die Viewer-Komponente in dekomprimierter Form ist jetzt 14 MB kleiner, weil die SQLite-Datenbank oit_font_metrics.db auf magische Weise erheblich geschrumpft ist. Installation dieses Updates ist optional.


Was ist neu in v18.4?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Analyse mit FuzZyDoc

  • Eine neue Technologie hilft Ihnen jetzt dabei, bekannte Dokumente (Textverarbeitungsdokumente, Präsentationen, Tabellenkalkulationen, E-Mails, klassische Textdateien, ...) mit einem deutlich robusteren Ansatz als durch herkömmliche Hash-Werte zu identifizieren. Selbst, wenn ein Dokument in einem anderen Dateiformat gespeichert wurde (z. B. zuerst PPT, dann PPTX, dann PDF), kann es immer noch erkannt werden. Änderungen interner Metadaten, z. B. nach einem "Speichern unter" oder nach dem Drucken (was den Zeitstempel "zuletzt gedruckt" aktualisieren kann), verhindern die Identifikation ebenfalls nicht. Sehr oft kann ein Dokument selbst dann noch erkannt werden, wenn Text eingefügt/gelöscht/umstruktiert/überarbeitet wurde. Dies wird durch den Einsatz von "Fuzzy Hashing" erreicht. Die Technologie nennen wir FuzZyDoc?.

    FuzZyDoc-Hash-Werte werden in einer weiteren Hash-Datenbank in X-Ways Forensics gespeichert. Somit gibt es inzwischen insgesamt 5 Hash-Datenbanken, Tendenz steigend. Hash-Sets basierend auf ausgewählten Dokumenten können zur FuzZyDoc-Datenbank genauso hinzugefügt werden, wie Hash-Sets für normale Hash-Datenbanken erzeugt werden können, und die FuzZyDoc-Hash-Datenbank kann auch über das selbe Dialogfenster verwaltet werden, wie die anderen Hash-Datenbanken, womit bestehende Nutzer keine Probleme haben werden, die neue Funktionalität zu finden und einzusetzen. Für jedes ausgewählte Dokument können Sie ein separates Hash-Set erzeugten, alternativ ein Hash-Set für alle ausgewählten Dokumente. Bis zu 65.535 Hash-Sets werden in der FuzZyDoc-Hash-Datenbank unterstützt.

    FuzZyDoc ist verfügbar für alle Nutzer von X-Ways Forensics und X-Ways Investigator (d.h. nicht nur Polizeibehörden). FuzZyDoc sollte gut funktionieren für Dokumente in praktisch allen west- und osteuropäischen Sprachen, vielen asiatischen Sprachen (z. B. Chinesisch, Japanisch, Koreanisch, Indonesisch, Malaysisch, Tamil, Tagalog, ..., aber nicht Thailändisch, Divehi, Tibetisch, Punjabi, ...), und Sprachen des Nahen Osten (z. B. Arabisch, Hebräisch, ..., aber nicht Paschtunisch, ...). Beachten Sie, daß Zahlen in Tabellenzellen von diesem Algorithmus nicht ausgewertet werden, nur Text. Beachten Sie, daß nur Dateien mit einem bestätigten oder neu erkannten Typ mit der FuzZyDoc-Hash-Datenbank abgeglichen werden. Aus diesem Grund wird Dateityp-Prüfung automatisch angewandt, wenn FuzZyDoc-Abgleich verlangt wird.

    Dokumente, deren Inhalte im wesentlichen identisch sind (z. B. Rechnungen, die von derselben Firma mit demselben Briefkopf erzeugt werden), werden von dem Algorithmus als ähnlich erkannt, selbst, wenn sich wichtige Details unterscheiden (Rechnungsadresse, Preis, Produktbeschreibung), in Abhängigkeit von der Menge an identischem Text. Das bedeutet, wenn Sie eine Kopie einer Rechnung eines Unternehmens haben, kann der Abgleich mit unbekannten Dokumenten leicht weitere Rechnungen desselben Unternehmens identifizieren. Für jedes Dokument, das mit der Datenbank abgeglichen wird, werden bis zu vier zutreffende Hash-Sets ausgegeben, und die besten vier werden ausgewählt, wenn mehr als vier zutreffen. Für jedes zutreffende Hash-Set gibt X-Ways Forensics auch einen Prozentwert an, der grob den Übereinstimmungsgrad des Dokuments mit dem Hash-Set angibt. Zwei verschiedene Ansätze sind verfügbar. Ein Prozentwert bezogen auf den Text im jeweiligen verarbeiteten Dokument gibt Ihnen eine Vorstellung, wieviel von dem Text im Dokument bekannt ist/erkannt wurde, während Ihnen ein Prozentwert bezogen auf den vom Hash-Set repräsentierten Text eine Vorstellung gibt, wie sehr ein Dokument dem Original, auf dem das Hash-Set basiert, entspricht (ergibt nur Sinn, wenn Sie ein Hash-Set pro Dokument erzeugen, d.h. nicht mehrere Dokumente in einem Hash-Set zusammenfassen). Der resultierende Prozentwert zählt Zeichen nicht einzeln und er funktioniert nur mit sinnhaften Dokumenten, nicht mit kleinen Testdateien, die nur ein paar Worte enthalten.

    Bevor Sie Dateien mit der FuzZyDoc-Hash-Datenbank abgleichen lassen (eine neue Funktion in Specialist | Datei-Überblick erweitern), können Sie festlegen, welche Arten von Dateien Sie analysieren lassen wollen, und Sie können Hash-Sets, an denen Sie aktuell nicht interessiert sind, deselektieren. Beachten Sie, daß die Verarbeitung von weniger Dateien (z. B. indem Sie weniger Dateitypen in der Maske festlegen) natürlich proportional weniger Zeit braucht, aber die Auswahl von weniger Hash-Sets zum Abgleich als solches keine Zeit spart. Sie können einen Mindestprozentsatz für einen gültigen Abgleich festlegen (standardmäßig 15%), um bedeutungslose kleinere Ähnlichkeiten zu ignorieren. Diese Option ist ebenfalls nicht als Zeitersparnis zu verstehen.

    Um alle Dokumente im Datei-Überblick erneut mit der FuzZyDoc-Hash-Datenbank abzugleichen, entfernen Sie bitte zuerst den Haken aus dem Feld "Bereits erledigt?". Andernfalls würden dieselben Dateien nicht erneut verglichen, aus Performanzgründen. Der erneute Abgleich derselben Dateien kann nicht nur dann notwendig werden, wenn zusätzliche Hash-Sets zu Ihrer FuzZyDoc-Datenbank hinzugefügt werden, sondern auch, wenn Sie Hash-Sets löschen, da dies einige interne Verweise ungültig machen könnte (falls dies passiert, wird dies in den Zellen der Ergebnis-Spalte angezeigt).

    FuzZyDoc sollte sich insbes. für Untersuchungen im Rahmen von Wirtschaftskriminalität als nützlich erweisen, vor allem (aber nicht nur) solchen, die sich mit gestohlenem geistigen Eigentum (z. B. Software-Quellcode) oder der Veröffentlichung geheimer Dokumente befassen.

  • Übereinstimmungen mit der FuzZyDoc-Datenbank werden in derselben Spalte angezeigt wie die Übereinstimmungen mit PhotoDNA und der Hautfarbanteil. Diese kombinierte Spalte heißt jetzt etwas generischer "Analyse". Ein Filter für FuzZyDoc-Übereinstimmungen ist verfügbar. Sortieren der Analyse-Spalte in absteigender Reihenfolge zeigt jetzt zuerst Dateien mit FuzZyDoc-Übereinstimmungen (diejenigen Dateien mit den höchsten Übereinstimmungen für irgendeines der Hash-Sets zuoberst, mit niedrigeren Prozentwerten dahinter), gefolgt von PhotoDNA-Übereinstimmungen, falls vorhanden, gefolgt von Bildern ohne PhotoDNA-Übereinstimmungen (in absteigender Reihenfolge ihres Hautfarbanteils). Danach folgen die unerheblichen Bilder (Bilder mit extrem kleinen Pixelzahlen) und danach Dateien, die keine Bilder sind, und am Ende die Bilder in schwarz-weiß und Graustufen. Farbkodierter Text in dieser Spalte macht die Unterscheidung zwischen den verschiedenen Kategorisierungsarten jetzt leichter.

Analyse mit PhotoDNA

  • Es ist jetzt bequemer möglich, Bilder erneut mit der PhotoDNA-Hash-Datenbank abzugleichen, beispielsweise nachdem weitere Hash-Werte zur Datenbank hinzugefügt wurden oder nachdem Hash-Werte einer anderen Kategorie zugeordnet wurden, durch ein neues Kontrollkästchen "Erneut". Sie können weiterhin auch das Kontrollkästchen "Bereits erledigt?" für die gesamte Bildanalyse- und -verarbeitungsoperation deselektieren, um auch die Ergebnisse der Hautfarbberechnung und die vorab erzeugten Vorschaubilder zu verwerfen, und beide zusammen mit den PhotoDNA-Übereinstimmungen frisch neu erzeugen zu lassen.

  • Der erneute Abgleich von Bildern mit der PhotoDNA-Hash-Datenbank ist jetzt viel schneller, wenn Sie bei einem vorhergehenden Durchlauf die berechneten PhotoDNA-Hash-Werte von X-Ways Forensics im Datei-Überblick haben speichern lassen. Dies ist eine neue Option. Spart die Zeit, die Dateien erneut aus dem Datenträger/Image zu lesen und die JPEG-Daten oder anderen Formate zu dekodieren/dekomprimieren (zeitintensiv bei hochauflösenden Bildern) und die Hash-Werte neu zu berechnen. Bitte beachten Sie, daß PhotoDNA-Hash-Werte erheblich mehr Platz benötigen als herkömmliche Hash-Werte. Außerdem ist möglicherweise mehr als ein PhotoDNA-Hash-Wert für ein einziges Bild erforderlich. Es wird empfohlen, die Hash-Werte für zukünftige schnellere Neuabgleiche nur dann im Datei-Überblick zu speichern, wenn Sie erwarten, daß sich Ihre PhotoDNA-Hash-Datenbank während der Fallbearbeitung verändern wird, beispielsweise, weil die Wahrscheinlichkeit hoch ist, daß Sie oder Ihre Kollegen weitere für diesen Fall relevante Bilder entdecken, weswegen Sie gezwungen sind, noch nach Duplikaten von diesen Bildern zu suchen.

    Bitte beachten Sie, daß für die Option "Erneut" bei der Verwendung früher berechneter Hash-Werte Veränderungen bei der Einstellung "Bilder auch gespiegelt erkennen" keine Auswirkung haben. Das bedeutet, falls bei der ursprünglichen Berechnung und Speicherung der Hash-Werte im Datei-Überblick nicht ausgewählt, nützt eine spätere Auswahl der Option bei gleichzeitiger Wiederverwendung der gespeicherten Hash-Werte nichts.

    Um gespeicherte Hash-Werte zu verwerfen, können Sie entweder einen neuen Datei-Überblick erzeugen lassen, oder alternativ die Datei namens "PDNA" löschen, aus dem "_"-Unterverzeichnis des Asservats, wo der Datei-Überblick intern gespeichert ist.

Benutzeroberfläche

  • Seit den Tagen von Windows 95 (oder möglicherweise schon Windows 3.1?) können Benutzer Strg+C drücken, um eine schlichte Text-Repräsentation von Standard-Windows-Meldungsfenstern in der Zwischenablage zu erzeugen. Dies funktioniert genauso auch in Meldungsfenstern von WinHex und X-Ways Forensics. Obwohl dies seit über 20 Jahren ein grundlegendes Windows-Feature ist, und erfahrenen Windows-Nutzern als solches bekannt sein sollte, und obwohl WinHex und X-Ways Forensics Benutzer darauf aufmerksam machen ("Wußten Sie schon? ..."), erzeugt die große Mehrheit der Benutzer aus irgendwelchen Gründen dennoch graphische Bildschirmfotos und fügen diese in HTML-E-Mails ein, beispielsweise, wenn sie von Fehlermeldungen berichten wollen, obwohl dies mehr Aufwand ist als einfach Strg+C und Strg+V zu drücken und obwohl dies die Größe der E-Mail unnötig aufbläht, da Tausende von Pixel-Werten erheblich mehr Platz benötigen als ein paar ASCII-Zeichen, und obwohl das bedeutet, daß das Bildschirmfoto bei der Beantwortung der E-Mail verloren geht, wenn diese in reinen Text umgewandelt wird, und natürlich ist der eigentliche Fehlermeldungstext in einem Bildschirmfoto nicht per Suche auffindbar und kann nicht einfach vom Empfänger ausgewählt und als Text in die Zwischenablage kopiert werden, und der Empfänger kann den exakten Unicode-Wert für bestimmte Zeichen nicht sicher ermitteln, für die es mehrere Varianten gibt. Und es wird natürlich bei der Betrachtung in verschiedenen Bildschirmauflösungen nicht unbedingt gut erkennbar skaliert. Bildschirmfotos von Textdaten ergeben einfach keinen Sinn und doch werden sie von den meisten Nutzer immer und immer wieder erstellt.

    In v18.4 ist es jetzt sogar möglich, eine rudimentäre ASCII-Darstellung von Dialogfenstern und fast all ihren Steuerungselementen (statischer Text, Schalter, Kontrollkästchen, Radioknöpfe, Editierfelder, statische Listen, aufklappbare Listen und Baumdarstellungen) einschließlich ihres Zustandes (gar nicht, ganz oder halb ausgewählt) in die Zwischenablage zu kopieren, indem man mit einem aktiven Dialogfenster auf dem Schirm Strg+C drückt (nicht, wenn ein Editierfeld mit ausgewähltem Text den Eingabefokus hat). Das System-Menü (auch als Fenstermenü- oder Kontroll-Menü bekannt) erlaubt ebenfalls das Kopieren eines Dialogfensters als Text. Das System-Menü ist das Menü, das erscheint, wenn Sie die Titelleiste eines Fensters mit der rechten Maustaste anklicken.

    Dies ist eine sehr effiziente Möglichkeit, Ihre Einstellungen in einem bestimmten Dialogfenster mit anderen Benutzern auszutauschen, und um diesen die Möglichkeit zu geben, Zeichenketten zur Verwendung in ihren eigenen Textfeldern zu kopieren, damit sie diese nicht selbst eintippen müssen und so Fehler vermeiden. Die Textdarstellung ist mächtiger als ein Bildschirmfoto, da der Inhalt von Text- und Listenfeldern auch dann komplett angezeigt wird, wenn diese Elemente Rollbalken haben und die Inhalte gar nicht komplett auf einmal sichtbar sind. Unicode-Zeichen werden unterstützt. Wir empfehlen Nutzern, Bildschirmfotos von Nachrichten- und Dialogfenstern nur dann zu erzeugen, wenn unbedingt erforderlich, z. B. wenn sie bestimmte Elemente graphisch in Photoshop oder ähnlichen Anwendungen hervorheben wollen, um einen bestimmten Punkt zu illustrieren.

  • Die ASCII-Darstellung von Dialogfenstern kann auch im Protokoll des Fallberichts als Ersatz für tatsächliche Bildschirmfotos verwendet werden. Falls "Protokoll mit Bildschirmfotos" in den Falleigenschaften halb ausgewählt ist, bedeutet das, daß keine tatsächlichen Bildschirmfotos erzeugt werden, sondern die ASCII-Darstellung im Protokoll gespeichert wird. Diese Details werden auf spezielle Weise in die HTML-Ausgabe eingebettet, damit sie nicht zu sehr von den hauptsächlichen Protokolleinträgen ablenken. Sie werden entweder mit kleinerer Schrift und grau ausgegeben (falls "Protokoll mit Bildschirmfotos" voll angekreuzt ist) oder lediglich als Pop-Up, wenn der Mauszeiger sich über einem platzsparendenen Platzhalterrechteck befindet, wie von Windows Registry-Berichten in X-Ways Forensics bekannt (falls halb angekreuzt), oder gar nicht (falls nicht angekreuzt). Platzhalterrechteck und Pop-Up funktionieren am besten in Google Chrome, da dieser Browser lange Texte nicht abschneidet und sogar eine Vorschau der ersten Zeile im Platzhalterrechteck anzeigt.

  • In herkömmlichen richtigen Bildschirmfotos von Dialogfenstern im Protokoll, wie von bisherigen Versionen bekannt, können Pixel mit der grauen Hintergrundfarbe zu reinem Weiß geändert werden, um Toner/Tinte zu sparen, falls das Protokoll später gedruckt werden soll (bitte denken Sie darüber nochmal nach und sparen Sie Papier).

  • Einstellungen in praktisch allen Dialogfenstern können jetzt über das System-Menü bequem in Dateien gespeichert und von dort nach Bedarf wieder geladen werden. Diese Funktion kann die Auswahlzustände der meisten wichtigen Kontrollelemente speichern: Kontrollkästchen, Radioknöpfe, Editierfelder, statische Listen, aufklappbare Listen und Baumdarstellungen. Dies funktioniert auch dann, wenn die Elemente aktuell unsichtbar sind. Die Einstellungen werden in Dateien mit der Endung .dlg (für "Dialog") gespeichert, im selben Verzeichnis wie Schablonen und Skripte.

    Die Inhalte von Textfeldern werden ebenfalls gespeichert. Diese Funktion merkt sich allerdings nicht die Inhalte/Textbezeichner von Kontrollkästchen, Listen und Baumdarstellungen, z. B. welche Codepage ein Kontrollkästchen im Dialogfenster der simultanen Suche repräsentiert, welche Berichtstabellen in der Berichtstabellen-Filter-Liste stehen, welche externen Programme im Dialogfenster für Viewer-Programme stehen, welche Dateitypen in einer Baumdarstellung aufgelistet werden, etc. Es merkt sich außerdem auch nicht die Reihenfolge von Elementen oder Listeneinträgen. Es merkt sich auch nicht die Einstellungen in einem untergeordneten separaten Dialogfenster (welches z. B. geöffnet wird, wenn man auf einen "..." Schalter klickt). Diese Funktionalität ist nicht für das Dialogfenster der Verzeichnis-Browser-Optionen verfügbar. Für diese speichern und laden Sie bitte weiterhin .settings-Dateien, indem Sie die entsprechenden Icons in der Titelzeile des Verzeichnis-Browsers anklicken.

    Diese neue Funktionalität ist für viele Befehle nützlich, zum Beispiel den Befehl "Liste exportieren", wo manche Nutzer wiederholt verschiedene Einstellungen für verschiedene Zwecke benötigen und wo die Einträge in der Auswahlliste immer dieselben sind (einfach die verfügbaren Spalten), außer nach dem Wechsel der Sprache der Nutzeroberfläche.

  • Einige kleinere Änderungen dahingehend, wie Farben im Verzeichnis-Browser angewandt werden, insbesondere, wenn der Verzeichnis-Browser aktuell nicht den Eingabefokus hat.

  • Bedingte Zelleinfärbung erlaubt jetzt den Einsatz von * als Joker-Zeichen, um Zellen oder ganze Zeilen einzufärben, sofern die Zielzelle zumindest irgendwelchen Text enthält.

  • Fähigkeit, die Größe, Zeitstempel und Attribute einer Datei über Datei | Eigenschaften auch in X-Ways Forensics anzupassen, nicht nur in WinHex. Dies ermöglicht unter anderem eine Datei als "sparse" zu kennzeichnen und die Größe einer Datei künstlich spontan in GB- oder TB-Regionen zu erhöhen, ohne Daten hinein zu schreiben (gültige Datenlänge bleibt gleich). Dies kann beispielsweise verwendet werden, um manuell eine Minimalsicherungsdatei vorzubereiten, bevor sie per Copy & Paste spärlich mit Daten befüllt wird.

  • Suche im Registry Viewer: Verbesserte Darstellung von Treffern in den Daten von Werten.

  • Italienische Übersetzung der Nutzeroberfläche überarbeitet.

Dateityp-Unterstützung

  • Die Web-History aus Internet Explorer Webcache*-Dateien wird jetzt der Ereignisliste hinzugefügt.

  • Unterstützung für mehrere thumbs.db-Varianten verbessert.

  • Verarbeitet bestimmte PST-E-Mail-Archive trotz ungültiger interner Prüfsummen.

  • E-Mails, die aus LiveComm.edb extrahiert werden, bekommen einen Eintrag in der Ereignisliste und einen verbesserteren rekonstruierten Header.

  • Verbesserte Unterstützung für die Windows.edb aus Windows 8 oder neuer. Die Ausschnitte werden zum Dateiüberblick mit ihrem Original-Dateinamen hinzugefügt, sofern verfügbar (bislang nur in wenigen Fällen). Der Pfad der Original-Datei wird jetzt immer in der Metadaten-Spalte angezeigt (bislang nur in wenigen Fällen).

  • Ein seltener Fall wurde korrigiert, in dem relevante (d.h. nicht duplizierte/redundante) Ereignisse aus $UsnJrnl:$J nicht ausgegeben wurden.

  • Dateityp-Prüfung wurde verbessert. Datei-Header-Signatur-Suchen auf Byte-Ebene innerhalb von pagefile.sys-Dateien werden jetzt standardmäßig durchgeführt, um E-Mail-Fragemente, .lnk-Shortcut-Dateien, Bilder, etc. zu finden.

  • Verwirft automatisch Treffer für die Signatur-Suche auf der Byte-Ebene in NTFS $MFT FILE-Records, da diese Records bereits beim Parsen des Dateisystems ausgewertet werden.

  • Verwirft automatisch Treffer für die Signatur-Suche auf der Byte-Ebene für einzelne E-Mails und Base64-kodierte Dateianhänge wie auch einzelne Zip-Records, falls in bekannten E-Mail- bzw. Zip-Archiven enthalten, um unnötige Duplikation zu vermeiden.

  • Unterstützung für eine weitere Variante von MOV-Dateien beim Carven und der Dateityp-Prüfung.

  • Ein Fehler im Carving-Algorithmus für HBIN-Dateien wurde behoben.

  • Neues Flag "S" für die Dateityp-Signatur-Definitionen, das Signaturen kennzeichnet, die gut genug für die Datei-Header-Signatur-Suche sind (vermutlich in Verbindung mit einem Carving-Algorithmus), aber nicht für die Dateityp-Prüfung, wegen gelegentlicher Fehlidentifikationen. Dieses Flag sollte nur sehr selten benötigt werden.

  • Datei-Carving-Algorithmus für .emlx.

  • Ein seltener Ausnahmefehler wurde behoben, der beim Carven einzelner E-Mails (.eml-Dateien) auftreten konnte.

  • Ein seltener Ausnahmefehler wurde behoben, der beim Extrahieren von Metadaten aus beschädigten DBX-E-Mail-Archiven auftreten konnte.

  • Ein seltener Ausnahmefehler wurde behoben, der beim Carven von .dxf-Dateien auftreten konnte.

Dateisystem-Unterstützung

  • Testweise Unterstützung für 64-Bit-Blocknummern in Ext4.

  • Einige Inkonsistenzen bei der Aufnahme ehemals existierender Dateien und Verzeichnisse in Datei-Überblicke von Ext3/Ext4-Volumes in v18.3 wurden behoben.

  • Beschleunigtes Auflösen symbolischer Verweise beim Erzeugen eines Überblicks für Partitionen mit sehr vielen solchen Verweisen.

  • Verläßlichere Zählung von harten Verweisen in neu erzeugten Datei-Überblicken von Windows 8.1 Installationen, wo der offizielle Verweis-Zähler in den FILE-Record-Köpfen unsinnig zu sein scheint.

  • Der Ausgleich für NTFS-Kompression während der Datei-Header-Signatur-Suche funktioniert jetzt auch beim Carven auf der Byte-Ebene (komplett oder teilweise via Flags).

  • Mögliche Fehler beim Parsen von UDF-Dateisystemen wurden behoben.

  • Ein Ausnahmefehler wurde behoben, der beim Erzeugen eines Datei-Überblicks eines nicht regelkonformen FAT16-Dateisystemen auftreten konnte.

Disk/Image-Unterstützung

  • Die X-Tension API wurde weiter vervollständigt und erlaubt jetzt die Entwicklung und Verwendung sogenannter Disk I/O X-Tensions. Diese werden zwischengeschaltet und sitzen zwischen allen Analyse-Funktionen und der Benutzeroberfläche von X-Ways Forensics auf der einen Seite und einem/r Datenträger/Image/RAID/Partition/Volume, von wo Sektoren gelesen werden, auf der anderen. Diese können beispielsweise mit der Datenträger-Vollverschlüsselung umgehen und alle Sektoren, die X-Ways Forensics lesen will, transparent bei Bedarf entschlüsseln, womit alle relevanten Funktionen nur die entschlüsselten Daten zu sehen bekommen und mit diesen verfahren können, als ob es sich um einen normalen Datenträger oder Image handelt.

    Der Benutzer kann ein ausgewähltes Asservat durch eine solche Disk I/O X-Tension mittels eines neuen Befehls im Kontextmenü des Falldatenfensters öffnen. Nach Auswahl der gewünschten X-Tension DLL, sofern die DLL signalisiert, daß sie mit den Daten im Asservant erfolgreich arbeiten kann, wird sich der Fall merken, welche DLL ausgewählt war, und diese automatisch auch beim nächsten Öffnen desselben Asservats wieder anwenden. Beachten Sie, daß Partitionen wie immer als eigene Asservate zählen. Damit kann sowohl Festplatten-Vollverschlüsselung als auch Verschlüsselung auf Volume-Ebene behandelt werden.

    Für weitere Informationen sollten Entwickler und andere interessierte Parteien https://www.x-ways.net/forensics/x-tensions/api.html#diskio besuchen. Die Demo-X-Tension für Delphi wurde aktualisiert und kann jetzt auch als Disk I/O X-Tension verwendet werden (macht aber nur Unsinniges zur Demonstration des Prinzips). Diese API-Erweiterung soll andere Entwickler ermutigen, Entschlüsselungslösungen für das Interface zu finden. X-Ways wird dies ebenfalls in Betracht ziehen. Wie immer gilt, X-Tensions können der Allgemeinheit mit oder ohne Quellcode, umsonst oder gegen Gebühr, über unsere Webseite oder jeden anderen Kanal zur Verfügung gestellt werden.

  • Fähigkeit, die grundsätzliche Natur eines Images (Datenträger oder Volume) und seine Sektorgröße bei der Erzeugung der Sicherung zu ändern. Dies ist nicht nur für .e01-Evidence-Files möglich, wo beides explizit in den internen Metadaten festgehalten wird (mit anderen Produkten kompatibel), sondern auch für Roh-Images (mittels externer Metadaten, kompatibel nur mit X-Ways Forensics/Imager v18.4 und später, geht verloren, wenn das Image außerhalb von NTFS-Dateisystemen gespeichert wird). Nützlich, wenn die Datenquelle keine ideale Interpretation darstellt. Wenn beispielsweise ein rekonstruiertes RAID tatsächlich ein Volume repräsentiert, keinen physischen Datenträger, können Sie die Art der Sicherung entsprechend anpassen. Oder falls die Sektorgröße des rekonstruierten RAID oder eines Datenträgers in einem geschlossenen Gerät nicht der Sektorgröße des Dateisystems in der Partition entspricht, können Sie die Sektorgröße der Sicherung entsprechend anpassen. Dies alles ermöglicht eine reibungslosere und erfolgversprechendere Verwendung der Sicherung später, insbesondere durch Benutzer, die sich mit Details wie Image-Natur oder Sektorgröße nicht auskennen oder dafür interessieren. Mit den vorhandenen zusätzlichen Metadaten für Roh-Images muß X-Ways Forensics Benutzer nicht mehr nach der Natur der Sicherung und der Sektorgröße fragen, selbst wenn es dies unter normalen Umständen tun würde (beispielsweise, weil die Sicherung nicht mit einer leicht identifizierbaren Partitionierungsmethode oder einem Volume-Boot-Sektor beginnt).

  • Der technische Detailbericht zeigt jetzt die physische Sektorgröße von Advanced Format Festplatten (4 KB), wenn diese eine konventionelle 512-Byte-Sektorgröße logisch emulieren.

  • Unterstützt zweistellige Windows-Datenträgernummern bei der Kommandozeilen-Syntax für die Datenträgersicherung.

Import/Export

  • Neue Wiederherstellen/Kopieren-Option, um den alternativen Namen, falls vorhanden, für die Ausgabe zu verwenden. Der alternative Name, falls einer existiert, kann im Verzeichnis-Browser in eckigen Klammern gesehen werden. Beim Parsen von iPhone-Backups, zum Beispiel, ändert X-Ways Forensics die künstlichen, generischen Dateinamen automatisch zurück zu den ursprünglichen. Oder beim Parsen von $I-Dateien aus dem Windows-Papierkorb werden die entsprechenden $R-Dateien wieder mit ihren Original-Namen versehen. Wenn Sie aus irgendwelchen Gründen beim Herauskopieren solcher Dateien auf Ihre eigene Festplatte deren nicht-übersetzte Dateinamen bevorzugen, beispielsweise, weil Sie diese Dateien mit einem externen Werkzeug verarbeiten wollen, das die künstlichen Dateinamen erwartet, können Sie jetzt diese Option verwenden.

  • Befehl Liste exportieren: Option, die Dateien aus dem Datenträger bzw. der Sicherung zu kopieren und aus der HTML-Ausgabe zu verlinken. Diese Links sind in der Namensspalte zu finden. Das Verhalten wird von zwei Fallberichtsoptionen beeinflusst: "Dateien nach eindeutiger ID benennen" und "Datei-Anhänge in .eml-Elterndatei einbetten". Eine interessante Layout-Alternative zur normalen Ausgabe von Berichtstabellen.

  • Einige illegale Zeichen in XML-Tags des Befehls Liste exportieren wurden verhindert.

Verschiedenes

  • Fähigkeit, alle Indexe eines Asservats zu löschen, indem man den Haken in "Bereits erledigt?" entfernt. Dies entfernt auch das kleine blaue "i" von allen indexierten Dateien im Datei-Überblick.

  • Die Filter für Absender und Empfänger für verarbeitete Original-.eml und andere Einzel-Mail-Dateien wurden repariert. Diese Filter haben in v18.2 und v18.3 nicht funktioniert.

  • Viele kleinere Verbesserungen und einige kleinere Korrekturen.

  • Die Programmhilfe und das Benutzerhandbuch wurden für v18.4 aktualisiert.


Änderungen der Service-Releases von v18.3:

  • SR-1: Verbesserter Zeichenfilter zur Textdekodierung.

  • SR-1: Ein Instabilitätsproblem wurde behoben, das beim Anhängen von Dateien zu großen Datei-Überblicken auftreten konnte.

  • SR-1: Bedingte Zelleinfärbung hat bislang für Nutzer, die die Spaltenreihenfolge geändert hatten, nicht korrekt funktoniert. Dies wurde behoben.

  • SR-1: Die gelegentliche Unfähigkeit, Hash-Übereinstimmungen aus früheren Versionen zu importieren, wurde behoben.

  • SR-1: Ein Ausnahmefehler wurde behoben, der beim Parsen von .evtx-Event-Log-Dateien auftreten konnte.

  • SR-2: Ein Ausnahmefehler wurde behoben, der in v18.3 bei der Verarbeitung von Dateien in Archiven verschiedener Asservate in einer einzelnen Operation auftreten konnte.

  • SR-2: Die unnötige Zuweisung bestimmter Dateien zum Verzeichnis "Pfad unbekannt" in HFS+ wurde korrigiert.

  • SR-3: Ein seltener Arbeitsspeicherfehler wurde behoben, der bei Extraktion von Metadaten aus großen .pf-Prefetch-Dateien auftreten konnte.

  • SR-3: Ein Ausnahmefehler wurde behoben, der in v18.3 beim Lesen aus dem logischen Speicheradressraum von Prozessen in Speicherabbildern auftreten konnte.

  • SR-3: Eine Layout-Ineffizienz in .e01-Evidence-Files, die von v18.3 erzeugt wurden, wurde behoben.

  • SR-4: Ein Ausnahmefehler bei der EDB-Verarbeitung wurde behoben.

  • SR-4: Spezifikation der XWF_GetHashValue API-Funktion überarbeitet.

  • SR-4: Das potentiell unvollständige Parsen stark fragmentierter Verzeichnisse in Ext4 in v18.1 bis v18.3 wurde behoben.

  • SR-4: Das möglicherweise extrem langsame und redundante Carven von MPEG-Videos wurde korrigiert.

  • SR-4: Erkennt bestimmte FAT-Boot-Sektoren, die die offizielle Microsoft Spezifikation verletzen.

  • SR-5: Der unvollständige HTML-Export in v18.3 SR-3 und SR-4 wurde korrigiert.

  • SR-5: Der Typ-Filter für vollständige Namensübereinstimmungen hat in v18.3 nicht immer korrekt funktioniert. Dies wurde behoben.

  • SR-5: Einige Fehler in der neuen Adressraumdarstellung für 32-bit-Prozesse wurden behoben.

  • SR-6: Wiederherstellen/Kopieren: Die Option "Dateien nach eindeutiger ID benennen" hat für Dateien ohne Dateinamenserweiterung nicht funktioniert. Dies wurde behoben.

  • SR-6: Ein möglicher Ausnahmefehler wurde behoben, der unter bestimmten Umständen in v18.1 und später beim rekursiven Erkunden auftreten konnte.

  • SR-6: Unvollständige Einzelbild-Extraktion aus einigen Videos wurde korrigiert.

  • SR-6: Zeitzonen-Übersetzung für Ereignis-Listen-Zeitstempel, die aus dem Mac OS X system.log extrahiert wurden, korrigiert.

  • SR-7: Die Standard-Dateimaske für "Eingebettete Daten in diversen Dateitypen suchen" in neuen Installationen von v18.3 SR-5 und SR-6 war etwas zu lang, weswegen das letzte Zeichen überschrieben werden konnte und hiberfil.sys-Dateien, falls vorhanden, möglicherweise nicht mehr automatisch dekomprimiert und zum Fall als Speicher-Dumps hinzugefügt wurden. Im jüngsten Download ist die Standard-Maske nicht mehr zu lang. Beachten Sie, daß die maximale Länge für die Dateimaske in v18.4 vergrößert wurde.

  • SR-7: Ein Ausnahmefehler wurde behoben, der beim Befüllen eines Datei-Containers von einer Quelle, die nicht zu einem Fall als Asservat hinzugefügt worden ist, auftreten konnte.

  • SR-7: Die Unfähigkeit, exFAT-Dateisysteme mit extrem großen Clustergrößen zu parsen, wurde behoben.

  • SR-7: Die unvollständige Extraktion bestimmter eingebetteter Daten in PDF-Dokumenten wurde behoben.

  • SR-7: Ein Instabilitätsproblem wurde behoben, daß beim Parsen des Journal in bestimmten Ext3/Ext4-Volumes in v18.2 und v18.3 auftreten konnte.


Es fragen noch immer gelegentlich Benutzer nach Ersatz für ihren verlorengegangenen Dongle, obwohl ihr Dongle nicht versichert war und obwohl wir immer wieder sagen, daß wir versicherte verlorengegangene oder gestohlene Dongles ersetzen. Einige Kunden fragen gar nicht, sondern gehen direkt davon aus, daß ein Ersatz immer möglich ist und daß wir es schon nicht so meinen, wie wir es sagen. Wenn wir aber so viele Dongles pro Lizenz zur Verfügung stellen würden wie von Benutzern gewünscht, hätte die Verwendung von Dongles überhaupt keinen Sinn, und wir könnten uns den Aufwand damit sparen.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

  
#145: WinHex, X-Ways Forensics und X-Ways Investigator 18.3 veröffentlicht

15. Mai 2015

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit nützlichen Verbesserungen, die Version 18.3, veröffentlicht am 14. Mai.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung werden auch ältere Versionen automatisch zum Download angeboten, lizenzierten Benutzern anderer Produkte i. d. R. auf Anfrage (aber nicht garantiert).

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Schulungen

Hamburg, 9.-12. Juni 2015: X-Ways Forensics
Hamburg, 15.-19. Juni 2015: FAT*, exFAT; NTFS, XWFS2; Ext*, XFS; X-Ways Forensics II (erstmalig in Deutschland!)
Weitere InformationenEnglischsprachige Schulungen


Oracle hat ein "kritisches Update" für v8.5.1 der Viewer-Komponente zur Verfügung gestellt. Die aktualisierte Version steht zum Herunterladen bereit. Sie ist vermutlich aus Sicherheitsgründen empfehlenswert. Die einzigen veränderten Dateien sind "ibpsd2.dll" und "vsw12.dll". Erstere ist für PSD-Bilddateien zuständig. Die zweite scheint in der Viewer-Komponente eher allgemeinere Verwendung zu haben.

Oracles eigene Beschreibung:

What this Update Fixes:
April 2015 Critical Patch Update for Outside In
This is the initial Outside In Critical Patch Update for 8.5.1


Was ist neu in v18.3?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Bedienbarkeit

  • Bedingte Zelleinfärbung ist jetzt als Option in Optionen | Verzeichnis-Browser verfügbar. Hilft, die Aufmerksamkeit auf interessante Details zu lenken, ohne alle unzutreffenden Objekte herauszufiltern. Zutreffende Objekte werden mittels Teilwort-Suche in den Zellinhalten einer ausgewählten Spalte gefunden. Die Teilwort-Ausdrücke können bis zu 15 Zeichen lang sein. Wenn eine Zelle als Treffer identifiziert wird, kann entweder nur der Hintergrund der betreffenden Zelle ("zell-spezifische Einfärbung") oder der gesamten Zeile gefärbt werden. Um eine gesamte Spalte, unabhängig von den jeweiligen Zellinhalten, einzufärben, aktivieren Sie zell-spezifische Einfärbung für diese Spalte und geben Sie eine leere Bedingung an, d.h. gar keine Bedingung.

    Falls eine Zelle mehrere zell- oder zeilenspezifische Bedingungen erfüllt, wird nur die erste Bedingung jeder Gruppe angewandt. Falls unterschiedliche Bedingungen auf dieselbe Zelle zutreffen (eine zell- und eine zeilen-spezifische Farbe), wird die Zelle in einer Mischung beider Farben dargestellt. Für zeilen-spezifische Einfärbung wird nur das Durchsuchen der ersten 255 Zeichen der betreffenden Zelle garantiert.

    Für Suchtreffer-spezifische Spalten können keine Bedingungen definiert werden, für Ereignis-spezifische Spalten schon. Das kann bei der Identifizierung von Ereignis-Mustern nützlich werden. Sie könnten z. B. alle Ereignisse vom Typ "Program started" rot und Log-In-Ereignisse gelb einfärben und dann leichter sehen, wie weit diese jeweils auseinander liegen.

    Bedingte Zelleinfärbung ist fallspezifisch, falls "Einstellungen in Fällen speichern" aktiviert ist. Die Definitionen werden in einer separaten .cfg-Datei namens "Conditional Coloring.cfg" gespeichert. Sie sind auch in .settings-Dateien enthalten. .settings-Dateien sind weiterhin mit früheren Versionen kompatibel. Bis zu 255 Bedingungen können festgelegt werden.

    Einige bedingte Farbdefinitionen für Ereignislisten, die dem Farbschema von SANS für Aktivitäten folgen, stehen Benutzern von X-Ways Forensics und X-Ways Investigator zum Herunterladen zur Verfügung (rufen Sie Ihren Lizenzstatus für die neuesten Download-Instruktionen ab).

  • Automatische Fortschrittsbenachrichtigungen per E-Mail überarbeitet. Falls dieses Feature für Sie in früheren Versionen nicht funktioniert hat, insbesondere in der 64-Bit-Version, sollten Sie es ggf. noch einmal probieren. Sie können jetzt den SMTP-Port frei festlegen (standardmäßig 25, wobei 587 ebenfalls gängig ist) und direkt aus dem Dialogfenster mit den Einstellungen (Optionen | Allgemein | Fortschrittsbenachrichtigung...) testen lassen. Prüfen Sie auch Ihren Spam-Ordner, wenn Sie nach eingehenden automatisch erzeugten E-Mails suchen.

  • Unterstützung für größere Miniaturbilder in der Galerie. Könnte für Nutzer hilfreich sein, die sehr große Miniaturbilder bevorzugen und eine sehr hohe Bildschirmauflösung haben.

  • Fähigkeit, leichter zumindest das Deckblatt zu drucken für Dateitypen, die die Viewer-Komponente nicht unterstützt, für die sie die Meldung anzeigt "The display engine for this format is not installed", z. B. Corel Draw- oder Wave-Dateien.

  • Fähigkeit, die Darstellung einer geladenen Viewer-X-Tension in Situationen zu aktivieren oder zu deaktivieren, in denen das bisher nicht möglich war.

  • Kombinierter Markierungsstatus wird jetzt auch in Suchtreffer- und Ereignislisten eingangs im Kopf der Name-Spalte angezeigt.

  • Fähigkeit, ausgeblendete Objekte in einem einzelnen Schritt ganz aus den Datei-Überblicken aller Asservate zu entfernen, die derzeit im Asservat-Überblick rekursiv aufgelistet sind. Dies mußte bislang für jedes Asservat einzeln gemacht werden.

  • Das automatische Auswählen des nächsten Objektes in der Liste, nachdem das aktuelle einer Berichtstabelle hinzugefügt wurde, ist jetzt optional. Ein dreistufiges Ankreuzfeld ermöglicht Ihnen, dies entweder gar nicht, oder nur für Verknüpfungen, die mit Tastatur-Shortcuts erzeugt wurden, oder für alle Verknüpfungsmethoden zu tun.

  • Ehemals existierende Drucker werden in Druck-Dialogen nicht mehr angezeigt.

  • Chinesische Übersetzung der Benutzeroberfläche aktualisiert.

Dateityp-Unterstützung

  • Eine neue Verzeichnis-Browser-Option erlaubt die Anzeige des Dateityp-Rangs in der Typ-Status-Spalte, was bei Sortierung nach dieser Spalte auch dazu führt, daß nach diesem Rang sortiert wird. Einige neue Dateitypen mit Rang 4 oder 5 wurden hinzugefügt.

  • Ein neuer Signatur-Such-Algorithmus für sessionrestore. sessionrestore ist ein Dateityp mit Rang 4, eine wichtige Informationsquelle für Firefox-Nutzung neben dem Cache. Der neue Algorithmus kann Fragmente von sessionrestore carven. Das ist wichtig, da wenige sessionrestore-Objekte völlig intakt bleiben. Die meisten gefundenen Artefakte stammen typischerweise von Facebook oder Webmail.

  • Ein neuer Signatur-Such-Algorithmus für E-Mail-Fragmente.

  • Neue Registry-Berichtsausgaben für Remote Desktop-Verbindungen definiert.

  • IPA-Dateityp-Erkennung verbessert.

  • PNG-Metadaten-Extraktion aktualisiert.

  • Erheblich kleinere HTML-Vorschau für Windows Event-Logs, was es erleichtert, diese mit der Viewer-Komponente einzusehen. Die Zahl der verarbeiteten Einträge wird am Ende der Vorschau angezeigt. Events für Terminal Service-Verbindungen werden der Liste jetzt mit Nutzername und IP-Adresse hinzugefügt.

  • Verschickte Dateien werden in der Vorschau für Skype-Chat-Verläufe mit Dateiname und Größe und auch in der Ereignisliste angezeigt. Letzteres ermöglicht es, schnell nach Dateien, die per Skype verschickt oder empfangen wurden, zu filtern.

  • Mehrere weitere Datei-Header-Signaturen zum Carven definiert, unter anderem spezielle Base64-Varianten für JPEG, PNG, PDF, OLE2.

  • Verbessertes und gründlicheres Carven nach einzelnen E-Mails, die im freien Speicher, pagefile.sys etc., zu finden sind, mit einer speziellen Signatur-Definition namens "E-mail fragment" und einem speziellen internen Algorithmus. Am gründlichsten in Verbindung mit dem Flag "b" für Byte-Level-Suche.

  • MSO-Dateien werden jetzt nach eingebetteten Dateien durchsucht.

  • PSPImage-Dateien (neuere Paint Shop Pro Bilder) werden jetzt standardmäßig nach eingebetteten Miniaturansichten durchsucht.

  • Es werden nun zwei getrennte Dateimasken für die Suche nach eingebetteten Daten in diversen Dateitypen verwaltet, aus Bequemlichkeitsgründen. Die zweite Maske ist optional und als "special interest" bezeichnet. Ermittler, die beispielsweise an Schadprogrammen interessiert sind, können so im Bedarfsfall ausführbare Dateien verarbeiten lassen.

Hash-Datenbank

  • Fähigkeit, mehrere Hash-Sets in einem einzigen Schritt erzeugen zu lassen, wobei die Hash-Werte der ausgewählten Dateien in Hash-Sets gespeichert werden, die nach den jeweiligen Berichtstabellenverknüpfungen der einzelnen Dateien benannt sind. Dies ist nützlich, wenn Sie in einem Fall relevante Dateien mit Hilfe von Berichtstabellen kategorisieren (z. B. auf der Basis verschiedener Arten von KP), und dieselben Dateien später in anderen Fällen schnell wieder identifizieren können wollen, und dabei automatisch die ursprünglich zugewiesene Kategorie als den Namen des Hash-Sets sehen wollen. Das neue Ankreuzfeld im Dialogfenster des Befehls Hash-Set erzeugen ist beschriftet "Sofern vorhanden, nach Berichtstabellenverknüpfungen benennen". Falls eine ausgewählte Datei keine Berichtstabellenverknüpfungen besitzt, wird ihr Hash-Wert dem Hash-Set hinzugefügt, dessen Namen Sie selbst angeben, wie in früheren Versionen oder als ob Sie die Option nicht ankreuzen.

  • Die Berücksichtigung von Unterobjekten gewählter Dateien bei der Erzeugung von Hash-Sets ist jetzt optional.

  • Hash-Set-Filter erheblich beschleunigt für Datei-Überblicke mit einer großen Anzahl an Hash-Set-Treffern. Frühere Versionen werden nicht in der Lage sein, von v18.3 oder später gespeichert Hash-Set-Treffer zu laden.

  • Unterobjekte von Dateien erben jetzt die Hash-Kategorie "irrelevant" von ihren Eltern. Dies ist möglich, weil, wenn eine Datei im Ganzen irrelevant ist, muß auch alles, was daraus extrahiert werden kann, ebenfalls irrelevant sein. Im Unterschied dazu ist nicht alles, was aus einer "verdächtigen" Datei extrahiert werden kann, automatisch auch verdächtig, da möglicherweise nur bestimmte Teile oder Aspekte der enthaltenden Datei verdächtig sind. Unterobjekte irrelevanter Dateien werden natürlich überhaupt nur dann ausgegeben, wenn der Nutzer entscheidet, irrelevante Dateien bei der weiteren Verarbeitung nicht ohnehin auszulassen.

  • Fähigkeit, PhotoDNA-Hash-Werte zu importieren, die in Text-Dateien gespeichert sind, mit "PhotoDNA" in der ersten Zeile, gefolgt von einem Hash-Wert pro Zeile, in Hex-ASCII oder Base64.

  • Option, eine Hash-Datenbank beim Abgleich komplett auszulassen.

Suchen

  • Unterstützung für GREP-Ausdrücke mit \unnnn in parallelen Suchen, wobei nnnn vier hexadezimale Ziffern sind, die einen bestimmten Unicode-Wert in menschlicher Darstellung (Big Endian Reihenfolge) definieren. Je nach für die Suche gewählter/n Codepage(s) wird der konstante Unicode-Zeichen-Wert für die tatsächliche Suche in unterschiedliche Byte-Werte und ggf. auch unterschiedliche Byte-Zahlen umgewandelt. Nützlich beispielsweise bei der Suche nach nullterminierten oder auf einen Null-Wert folgenden Zeichenketten, wobei das Null-Zeichen je nach Zeichensatz von einer unterschiedlichen Anzahl Bytes repräsentiert wird (z. B. 1 in UTF-8, 2 in UTF-16). Auch nützlich, wenn Sie den Unicode-Wert eines speziellen Zeichens, nach dem Sie suchen, kennen, aber das Zeichen mit Ihrer Tastatur nicht leicht eingeben und auch nicht von irgendwo kopieren können.

  • Unterstützt parallele Suchen, in denen einige Suchbegriffe mit (mit vorangestelltem "case:") und andere ohne Unterscheidung nach Groß- und Kleinschreibung gleichzeitig gesucht werden.

  • Die Option, nur 1 Treffer pro Objekt aufzulisten, filtert Suchtreffer im Schlupfspeicher nun nicht mehr heraus. Dies ist nützlich, weil der Schlupfspeicher einer Datei typischerweise nichts mit den Inhalten der Datei selbst zu tun hat, womit Suchtreffer im Schlupfspeicher sehr wahrscheinlich einen anderen Zusammenhang haben als Treffer im logischen Bereich der Datei und daher separat bewertet werden sollten. Bitte beachten Sie, daß es üblicherweise weiterhin notwendig ist, die Option "Nur 1 Treffer pro Objekt auflisten" zu deaktivieren, um die Suchtreffer in Konglomeraten wie pagefile.sys und der virtuellen Datei "Freier Speicher" auszuwerten, die Daten aus völlig unterschiedlichen Quellen enthalten. Die Option "Nur 1 Treffer pro Objekt auflisten" ist weiterhin am nützlichsten bei Dokumenten, wo Sie oft nach einem Blick im Vorschau-Modus beurteilen können, ob die Datei als Ganzes relevant ist oder nicht.

  • ?, * und {0,n} am Ende eines GREP-Ausdrucks sind nicht immer auch mit 0 Vorkommnissen akzeptiert worden. Dieser Fehler wird jetzt vermieden.

  • Leicht verbesserte Verfügbarkeit der Kontextvorschau für Suchtreffer in verschachtelten Archiven.

Unterstützung für Datenträger-Sicherungen

  • Fähigkeit, ausdrücklich eine größere Chunk-Größe bei der Erzeugung von .e01-Evidence-Files festzulegen. Könnte von einigen Benutzern als nützlich erachtet werden, um eine etwas bessere Kompressionsrate für durchschnittliche Daten zu erhalten, mit dem Nachteil, daß sowohl die Erzeugung der Sicherung als auch das spätere zufällige Zugreifen auf Daten in der Sicherung länger dauert. Allerdings wird im Fall extrem komprimierbarer Daten eine erhebliche Verbesserung der Kompression erzielt (z. B. eine mit Nullen überschriebene oder überwiegend völlig unbenutzte Festplatte). Eine Chunk-Größe von 512 KB reduziert die Größe der Sicherung mit idealen Daten (z. B. ausschließlich Byte mit Wert 0x00) ceteris paribus um zusätzliche 40% im Vergleich zu einer Chunk-Größe von 32 KB.

  • Die gleichzeitige Erzeugung mehrerer Kopien eines .e01-Evidence-Files mit Verschlüsselung funktionierte nicht. Das wurde korrigiert.

  • Unterstützung einer weiteren VMDK-Variante.

Verschiedenes

  • Fähigkeit, Text aus der Textspalte ausdrücklich als Unicode herauszukopieren, selbst, wenn die Textspalte nicht in Unicode angezeigt wird, oder ausdrücklich als ANSI-codierten Text, selbst, wenn die Textspalte nicht als ANSI ASCII angezeigt wird, mittels eines zusätzlichen Befehls im Menü Bearbeiten | Block kopieren. Dieser Befehl ist potentiell relevant, weil einige Nutzer offenbar nicht sehr vertraut mit grundlegenden Computer-Konzepten wie Zeichensätzen oder null-terminierten Zeichenketten sind, und denken, daß Text in westeuropäischen Sprachen in UTF-16 (wo jedes zweite Byte den Wert 0x00 hat) von WinHex/X-Ways Forensics nicht korrekt kopiert wird, nur weil ein Text-Editor oder anderes Textverarbeitungsprogramm beim Einfügen den Text natürlich beim ersten Null-Byte abschneidet. Diese Nutzer bemerken jetzt möglicherweise in der Nutzeroberfläche die Existenz einer weiteren Option und geben dieser vielleicht einen Versuch. Früher war es notwendig, die Darstellung der Textspalte auf Unicode umzustellen, um Text als Unicode zu kopieren (ganz im Sinne von "what you see is what you get").

    Für Benutzer, die mit dem Konzept nullterminierter Zeichenketten nicht vertraut sind und die sich der Konsequenzen von UTF-16 und binären Daten nicht bewußt sind, wenn sie ausgewählte Daten als ANSI-Text kopieren, um ihn als Text in anderen Windows-Programmen wieder einzufügen, gibt es jetzt ein Nachrichtenfenster mit einem Hinweis, wenn sie Daten mit Null-Bytes darin als ANSI-Text kopieren. Wiederholt wurde von arglosen Benutzern berichtet, daß WinHex "den Text nicht richtig kopiert", obwohl in Wahrheit das Zielprogramm nicht alles einfügt, weil die kopierten Daten Null-Bytes enthalten. Der Hinweis wird Benutzer in Zukunft hoffentlich davon abbringen, die Schuld daran auf WinHex/X-Ways Forensics zu schieben.

    Bitte beachten Sie, es ist leicht, Null-Bytes zu entfernen, indem Sie die kopierten Daten zunächst in WinHex selbst einfügen (in ein neues Datenfenster, durch Drücken von Umschalt+Einfg, was natürlich Binärdaten unterstützt und sowohl die Null-Bytes als auch die darauf folgenden Daten beinhaltet) und dann 0x00 durch Leerzeichen, Zeilenumbrüche oder gar nichts ersetzen lassen, ganz nach Wunsch. Danach könnten Sie die Daten erneut kopieren und im Zielprogramm einfügen. Eine andere Methode, nur druckbare Zeichen und damit höchst wahrscheinlich lesbaren Text (tatsächliche Begriffe auf Englisch, Deutsch oder Französisch) aus einem gesamten Datenfenster extrahieren zu lassen, ist der Befehl Specialist | Text extrahieren.

  • Die interne Logik des Typ-Filters wurde leicht überarbeitet, was im Fall überlappender Definitionen (wie z. B. beim vollen Dateinamen "pagefile.sys" in der Kategorie Windows Internals und "sys" in Programs) beim Einsatz von NICHT auffallen könnte.

  • Einige Operationen, wie z. B. Specialist | Datei-Überblick erweitern und logische Suchen sind jetzt etwas schneller, wenn auf tatsächliche Datenträger, nicht Sicherungen, angewandt, insbesondere wenn diese Operationen auf das über seinen Laufwerksbuchstaben geöffnete Laufwerk C: angewandt werden.

  • Seiten im Nutzeradreßraum von 32-Bit-Prozessen, die nicht gemappt sind, werden bei der Analyse von Speicher-Dumps im Prozeß-Modus nicht mehr dargestellt.

  • Akzeptiert bestimmte Nicht-Standard-FAT12-Boot-Sektoren.

  • Das Trennsymbol für Standardgröße und Größenerkennungslimit in File Type Signatures Search.txt ist jetzt ein Vorwärts-Schrägstrich, um Inkompatibilitätsprobleme beim Editieren mit MS Excel zu vermeiden. Der Doppelpunkt von v18.2 SR-1 und später wird für eine Weile weiterhin akzeptiert werden, falls Sie Ihre eigenen Definitionsdateien haben, die bereits Doppelpunkte verwenden.

  • Viele kleinere Verbesserungen und einige kleinere Korrekturen.

  • Die Programmhilfe und das Benutzerhandbuch wurden für v18.3 aktualisiert.


Änderungen der Service-Releases von v18.2:

  • SR-1: Übereinstimmungen mit gelöschten Hash-Sets (die nicht aus Datei-Überblicken entfernt werden, wenn das Hash-Set in der Hash-Datenbank als gelöscht markiert wird) werden in der Spalte "Hash-Set" mit dem Wort "gelöscht" gekennzeichnet, um Verwirrung und Verwechslungen mit existierenden Hash-Sets gleichen Namens zu vermeiden. Einige Nutzer, die Hash-Sets aus der Hash-Datenbank gelöscht und neue Hash-Sets hinzugefügt, aber die Hash-Werte nicht erneut mit der Hash-Datenbank haben abgleichen lassen, haben möglicherweise verwechselt, dass sie in diesem Fall die bestehenden Hash-Set-Treffer nicht mit dem Filter der Spalte "Hash-Set" aufsuchen können, da dieser nur existierende Hash-Sets anbietet.

  • SR-1: Datei-Container haben mit höherer Wahrscheinlichkeit jetzt genug Platz für E-Mails mit extrem langen Betreffzeilen, extrahiertem Absender- und Empfänger-Text, Kommentaren und Berichtstabellenverknüpfungen.

  • SR-1: Vermerkt eingesehene Dateien als solches in der Galerie nur für Bilder, selbst, wenn Nicht-Bild-Dateien in der Galerie ebenfalls als Miniaturansichten dargestellt werden (wie mit v18.0 eingeführt).

  • SR-1: Die fälschlich angezeigte Meldung "Die laufende Operation muß erst abgebrochen werden.", die beim Hashen von Dateien in großen Datei-Überblicken mit anschließenden Ausnahmefehlern auftreten konnte, wurde verhindert.

  • SR-1: Ein Fehler mit der Meldung "Unable to release memory", der bei der Datei-Header-Signatur-Suche auftreten konnte, wurde behoben.

  • SR-2: Fehler wurden behoben, die beim Umgang mit mittleren bis großen Hash-Datenbanken auftreten konnten. Symptome waren Berichte einer korrupten Hash-Datenbank im Integritätstest (obwohl die Datenbank, wie sie auf der Platte gespeichert war, nicht zwingend korrupt war), wie auch potentiell andere, unspezifische Fehler. Sollten Sie eine existierende Hash-Datenbank in v18.2 verändert haben, könnte der Integritätstest in v18.2 SR-2 immer noch Fehler in der Hash-Datenbank melden, und in diesem Fall wären die Fehler permanent und Sie müssten die Ihre Datenbank erneut einrichten. Verzeihung.

  • SR-2: Ein Ausnahmefehler wurde behoben, der in v18.2 auftreten konnte, wenn man Objekte mit Datei-Überblick mit Strg+Entf zurücksetzen wollte.

  • SR-2: Ein Stabilitätsproblem wurde behoben, das beim Parsen bestimmter PList-Dateien auftreten konnte.

  • SR-2: Der Filter für Ereignisse aus Windows Event-Logs arbeitet jetzt etwas weniger streng. Verbesserte Stabilität und Reaktion bei der Verarbeitung von Event-Logs und Anzeige für Unterprozess hinzugefügt.

  • SR-2: Ausnahmefehler behoben, der bei der Extraktion von Metadaten aus .eml-Dateien auftreten konnte.

  • SR-2: Eine sehr seltene Typ-Fehlidentifikation für einige sehr kleine Dateien wurde behoben.

  • SR-2: Ein Ausnahmefehler wurde behoben, der in v18.2 nach der Sicherung eines Datenträgers vor der automatischen Prüfung der Sicherung auftreten konnte, falls Galerie-Modus aktiv war.

  • SR-3: Ein möglicher Stack-Überlauf wurde behoben, der beim Umgang mit bestimmten Konstellationen sehr tief verschachtelter Archive auftreten konnte.

  • SR-3: Ein möglicher Absturz wurde verhindert, der nach einer Suche nach mehreren langen Suchbegriffen mit Treffern für viele dieser Suchbegriffe in derselben Datei auftreten konnte.

  • SR-3: Die HTML-Vorschau für SQLite-Datenbanken erschien in der 64-Bit-Version gelegentlich unvollständig. Dies wurde behoben.

  • SR-3: Einige rare Ausnahmefehler wurden behoben.

  • SR-4: Ein Fehler wurde behoben, der zur mehrfachen und sehr langsamen Aufnahme ehemals existierender Dateien in Datei-Überblicke von Ext2/Ext3/Ext4-Dateisystemen führen konnte.

  • SR-4: Eine mögliche Endlosschleife bei der Verarbeitung von Newsgroup-Archiven im DBX-Format wurde verhindert.


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

  
#144: WinHex, X-Ways Forensics und X-Ways Investigator 18.2 veröffentlicht

29. Mrz. 2015

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit nützlichen Verbesserungen, die Version 18.2. Das offizielle Datum der Veröffentlichung war der 26. März.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Die Log-In-Daten für X-Ways Forensics wurden geändert, bitte dort erneut abfragen (nicht uns fragen). Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung werden auch ältere Versionen automatisch zum Download angeboten, lizenzierten Benutzern anderer Produkte i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Schulungen

Frankfurt, 13.-17. April 2015: X-Ways Forensics und Speicherforensik
Hamburg, 9.-12. Juni 2015: X-Ways Forensics (neu angesetzt)
Hamburg, 15.-19. Juni 2015: FAT*, exFAT; NTFS, XWFS2; Ext*, XFS; X-Ways Forensics II (erstmalig in Deutschland!)
Weitere InformationenEnglischsprachige Schulungen


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Was ist neu in v18.2?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateisystem-Unterstützung

  • Auch für die Dateisysteme Ext2/Ext3/Ext4 gibt es nun eine „besonders gründliche Dateisystem-Datenstruktur-Suche“. Diese prüft die gesamte Partition auf Strukturen ehemals existierender Verzeichnisse, deren Inhalte nicht von zugehörigen Inodes her bekannt sind (solche wären schon bei der Erstellung des anfänglichen Datei-Überblicks untersucht worden). Die dabei gefundenen Verzeichnisse werden mit einem generischen Namen aufgelistet („Verzeichnis mit ID ...“), zumeist in „Pfad unbekannt“, aber u. U. auch im Stammverzeichnis, wenn das Verzeichnis im Stammverzeichnis angeordnet war. (Das Stammverzeichnis hat in dieser Situation eine Sonderrolle, weil es eine unveränderliche ID hat.)

  • Möglichkeit zum Einsehen des Ext3-/Ext4-Journals. Unsere Dateisysteme-Kurs über Ext* erklärt nun ebenfalls das Journal in Ext-Dateisystemen.

  • Die Verarbeitung von Schattenkopien wurde überarbeitet. Sie bringt nun bessere Ergebnisse.

  • Verbesserter Umgang mit unvollständigen Ext*-Partitionen, insbes. Teil-Partitionen von Linux-Software-RAIDs, wenn das RAID nicht vom Benutzer zusammengesetzt wurde, sondern die Teil-Partitionen einfach arglos so wie sie angetroffen verarbeitet werden.

Dateityp-Unterstützung

  • Versuchsweise Unterstützung von EDB-Datenbanken von Exchange 2010. Rückmeldungen hierzu werden gern entgegengenommen. Die Extraktion von E-Mails aus Exchange-EDB-Datenbanken wurde generell überarbeitet.

  • Möglichkeit, sehr detailliert festzulegen, welche Typen von Dateiarchiven und welche Zip-Untertypen bei der Erweiterung des Datei-Überblicks erkundet werden sollen, um ihren Inhalt in den Datei-Überblick aufzunehmen. Zu den Zip-Untertypen, deren Inhalte in den meisten Fällen irrelevant sind, gehören .jar, .apk und .ipa, aber z. B. spezialisierte Malware-Ermittler könnten das auch ganz anders sehen. Die Entscheidung liegt bei Ihnen.

  • Sowohl die bei der Datei-Header-Signatur-Suche angenommene Normalgröße als auch die Maximalgröße von Dateien werden nun individuell in der Datei „File Type Signatures Search.txt“ auf Dateityp-Basis festgelegt, nicht mehr generisch in der Benutzeroberfläche. Das erlaubt eine bessere Ausgabequalität, weil unterschiedliche Dateitypen unterschiedlich große Varianzen von typischen Dateigrößen aufweisen (größere oder kleinere Abweichungen von ihrer jeweiligen Durchschnittsgröße).

  • Extraktion von Browser-Verlaufsinformationen aus Safaris Icon-Datenbank. Diese alternative Datenquelle ist sehr interessant, weil in ihr auch dann der Browser-Verlauf aufgezeichnet ist, wenn Safari im privaten Browser-Modus betrieben wurde.

  • Fähigkeit zum detaillierteren Einsehen von .DS_Store-Dateien im Vorschau-Modus.

  • Überarbeitete Dateityp-Prüfung.

  • Effizientere Verarbeitung von 7zip-Archiven mit dateigrenzenübergreifender Kompression.

  • Schnellere Verarbeitung von riesigen Mengen von Original-.eml- und -.msg-Dateien in sehr großen Datei-Überblicken. Datei-Überblicke von älteren Versionen müssen von v18.2 und neuer in ein anderen Format konvertiert werden.

Bedienbarkeit

  • Unterstützung für bis zu 32 externe Betrachtungsprogramme statt zuvor 9. Deren Pfade werden nun in einer separaten Datei namens „Programs.txt“ gespeichert, so daß es einfach ist, eine Sammlung solcher externer Programme mit anderen Benutzern auszutauschen, oder auch die eigene Programmliste zu behalten, wenn man alle sonstigen Einstellungen von jemand anderem übernehmen möchte.

  • Unterstützung von relativen Pfaden für externe Programme ausgeweitet.

  • Teilwort-Filter für die Spalte „Autor“.

  • Möglichkeit, den Pfad des ausgewählten Schlüssels im Registry-Viewer über einen neuen Kontextmenübefehl zu kopieren.

  • Bis zu 8 zuletzt im Registry-Viewer verwendete Suchbegriffe werden gespeichert und sind bequem erneut verwendbar.

  • Ein neuer Schalter namens „XT“ ist nun zu sehen, wenn Viewer-X-Tensions verfügbar (geladen) sind, neben dem „Raw“-Schalter. Dieser Schalter erlaubt es, die Vorschau bequem umzuschalten um die Darstellung, die von dere ersten Viewer-X-Tension bereitgestellt wird, die sich für den Typ der ausgewählten Datei verantwortlich fühlt. Oder auch zurück zur regulären Vorschau, wenn die Darstellung der X-Tension nicht hilfreich ist, in beide Richtungen mit einem einzigen Mausklick. Sie können auch die Untermodi Roh und XT der Vorschau kombinieren, z. B. zu Debug-Zwecken, wenn Sie selbst eine Viewer-X-Tension entwickeln und sie HTML-Code zurückliefern lassen, den Sie in X-Ways Forensics direkt prüfen möchten.

  • Ein neuer Befehl im Kontextmenü des Verzeichnis-Browsers läßt Sie nun Dateien basierend auf identischen Dateinamen ausblenden statt basierend auf identischen Hash-Werten. Dies ist ein Vergleich ohne Beachtung von Groß- und Kleinschreibung, und er sollte natürlich nur durchgeführt werden, wenn Sie genau wissen, was Sie tun, da hierbei keine Datei-Inhalte verglichen werden. Der Befehl kann z. B. nützlich sein, wenn Sie weitere Kopien derselben Datei aus dem Blick haben möchten, die in Backups gefunden wurde, wenn Sie keine verschiedenen Versionen dieser Dateien benötigen. Wenn Sie vor der Identifierung von namensgleichen Dateien z. B. nach dem Zeitpunkt der letzten Änderung in absteigender Reihenfolge sortieren, ist sichergestellt, daß die neueste Version eine Datei  behalten wird und die älteren Versionen ausgeblendet werden. Dateien mit identischen Namen werden nicht als Duplikate in der Attr.-Spalte markiert. Das ist wie in früheren Versionen solchen Dateien vorbehalten, die anhand von Hash-Werten als identisch erkannt werden.

  • Es wurde ein Kontextmenü für Verzeichnisse im Falldaten-Fenster eingeführt. Dieses ist verfügbar, wenn das Kontrollkästchen namens „Weitere Kontextmenüs“ in den Allgemeinen Optionen ganz angekreuzt ist oder Sie beim Rechtsklick auf ein Verzeichnis die Umschalt-Taste gedrückt halten. Die Befehle in diesem Menü erlauben das rekursive Erkunden des rechts angeklickten Verzeichnisses (genauso wie ein Rechtsklick, wenn gar kein Kontextmenü angezeigt wird), das rekursive Markieren eines Verzeichnisses (als ob man die Leertaste drückt), das rekursive Aufklappen des Verzeichnisses (als ob man die Multiplikationstaste im Ziffernblock der Tastatur drückt), das rekursive Einklappen, das Exportieren eines Teilbaums als ASCII-Textdatei sowie das Kopieren  des gesamten Pfades des Verzeichnisses in die Zwischenablage.

  • Zuordnungen von Dateien im Datei-Überblick zu gelöschte Hash-Sets  werden im Datei-Überblick nicht entsorgt, wenn die Hash-Sets in der Hash-Datenbank als gelöscht markiert werden. (Logischerweise nicht, es sind zu einem solchen Zeitpunkt ja auch gar nicht alle potentiell betroffenen Datei-Überblicke geladen, geschweige denn alle Fälle, in denen Abgleiche mit der Hash-Datenbank vorgenommen wurden.) Solche Zuordnungen werden in der Spalte „Hash-Set“ des Verzeichnis-Browsers nun mit dem Wort „gelöscht“ gekennzeichnet, um Verwirrungen zu vermeiden und Verwechslungen mit existierenden Hash-Sets desselben Namens. Einige Benutzer, die Hash-Sets aus der Hash-Datenbank löschen, neue Hash-Sets hinzufügen, aber dann keinen erneuten Abgleich durchführen, waren bisher u. U. irritiert, wenn sie die Dateien mit offensichtlichen Hash-Set-Zuordnungen nicht über den Filter der Hash-Set-Spalte erfassen konnten, was daran liegt, daß der Filterdialog nur existierende Hash-Sets anbietet. (Neuerung von v18.2 SR-1)

  • X-Ways Forensics setzt den Zustand „bereits eingesehen“ bei Anzeige in der Galerie nun wieder nun noch bei Bildern, auch wenn Nicht-Bilder in der Galerie ebenfalls durch eine Miniaturansicht repräsentiert werden, wie mit v18.0 eingeführt. (Neuerung von v18.2 SR-1)

Berichterstellung

  • Die Berichtsoption „Hauptteil erzeugen“ kommt jetzt in Form einer der beliebten 3-stufigen  Kontrollkästchen daher. Wenn nur halb gewählt, werden technische Details über die Asservate nicht in den Fallbericht aufgenommen, sondern die Asservate werden lediglich namentlich genannt. Wenn die technischen Details der Asservate aufgenommen werden, erscheinen sie im Bericht nun vor den Berichtstabellen.

  • Links zu den Anfängen von Berichtstabellen funktionieren nun auch dann, wenn der Gesamtbericht über mehrere HTML-Dateien verteilt wird und die betreffende Berichtstabelle nicht im ersten SEgment eeginnt, und es gibt nun einen Link von jeder Berichtstabelle zurück zur Übersicht aller Berichtstabellen. Der Bericht wird nun ggf. aufgeteilt in Abhängigkeit von der Gesamtzahl der referenzierten Objekte, nicht mehr in Abhängigkeit von der Zahl der im Bericht angezeigten Bilder. Wenn der Bericht aufgeteilt wird, wird das jeweils nächste Segment vom unteren Ende des vorherigen Segments verlinkt.

  • Wenn das Fallprotokoll zusammen mit dem Fallbericht ausgegeben wird, dann nun als separate HTML-Datei. Wenn der Bericht und damit das Protokoll nicht im Fallverzeichnis gespeichert werden und Bildschirmfotos des Protokolls eingebunden werden sollen, kopiert X-Ways Forensics diese Bildschirmfotos nun eigenständig in ein passendes Unterverzeichnis im selben Pfad.

  • Möglichkeit, besonders große HTML- und TSV-Exporte aus dem Verzeichnis-Browser in mehrere Dateien aufzuteilen.

Verschiedenes

  • Speichert die PhotoDNA-Kategorie von Bildern, sofern identifiziert, verläßlich in Datei-Containern, und kann sie in Installationen, die eine PhotoDNA-Datenbank mit einer Katgorie desselben Namens haben, direkt anzeigen.

  • Möglichkeit zum Feinjustieren von CPU- und Speicherauslastung beim Indexieren. Außerdem werden nun konservativere Werte voreingestellt.

  • Die virtuelle Datei "Free space" wird nun auch dann eingefroren, wenn sie indexiert worden ist, um zu vermeiden, daß Offsets im Index später ungültig werden.

  • Icons in der Symbolleiste auf Systemen mit High-Color-Farbtiefe (16 Bit) sehen nun nicht mehr kaputt aus. Und Icons, die aktuell nicht verfügbare Befehle repräsentieren, werden auf solchen Systemen nun einfach gar nicht mehr angezeigt statt sanft von links oben nach rechts unten ausgegraut. Das ist aber kein Verlust an Funktionalität, wie mal ein Benutzer in Hamburg meinte, denn man hätte sie ja sowieso nicht anklicken können.

  • Verbesserte Unterstützung von logischen Speicheradressen im Position-Manager (ehem. virtuelle Adressen genannt).

  • Es gibt nun mit höherer Wahrscheinlichkeit genug Speicherplatz in Datei-Containern für E-Mails oder diverse Outlook-Daten mit extrem langen Betreffzeilen, extrahierten Absender und Empfängern, Kommentaren und Berichtstabellenverknüpfungen. (seit v18.2 SR-1)

  • Die Meldung „Die laufende Operation muß erst abgebrochen werden.“ konnte zu Unrecht erscheinen, wenn man großen Datei-Überblicken die Dateien hashen wollte, und es traten Folgefehler auf. Dies wurde korrigiert. (mit v18.2 SR-1)

  • Ein Fehler mit der Meldung "Unable to release memory...", der bei der Datei-Header-Signatur-Suche auftreten konnte, wurde behoben. (in v18.2 SR-1)

  • Die chinesische Übersetzung der Benutzeroberfläche wurde auf den neuesten Stand gebracht. Gerade für Benutzer im deutschsprachigen Bereich dürfte das ein entscheidender Anstoß dazu sein, schnell auf die Version 18.2 zu wechseln. (Scherz.)

  • Aktualisierte language.txt-Dateien für benutzereigene Übersetzungen (z. B. einfach Berichtserzeugung in Landessprache) stehen nun für v17.9, v18.0 und v18.1 zum Herunterladen bereit.

  • Viele kleinere Verbesserungen und Korrekturen.

  • Die Programmhilfe und das Benutzerhandbuch wurden für v18.2 aktualisiert.


Änderungen der Service-Releases von v18.1:

  • SR-1: Verarbeitung von weiteren Zip-Untertypen.

  • SR-1: Ein seltener Ausnahmefehler wird behoben, der beim Verarbeiten von MBOX-Dateien auftreten konnte.

  • SR-1: Unvollständige Darstellung von WebCacheV01.dat-Dateien in v18.1 korrigiert.

  • SR-1: v18.1 erzeugte keine korrekten Datei-Überblicke von bestimmten Ext3/4-Partitionen. Das wurde behoben.

  • SR-1: Übernimmt beim Programmiert bestimmte rechnerspezifische Einstellungen aus wiederverwendeten .cfg-Dateien nicht mehr blind, wenn diese nur mit anderer Hardware sinnvoll waren.

  • SR-2: Extrem langsamer Fortschritt (fast wie ein Stillstand aussehend) beim Carven von MPEG-Dateien in v17.9 und neuer korrigiert.

  • SR-2: Ein Fehler wurde behoben, der unter bestimmten Umständen in der 64-Bit-Edition beim Verarbeiten von Datei-Archiven auftreten konnte, die größer als 4 GB sind.

  • SR-2: Ein Absturz wurde verhindert, der in der 64-Bit-Edition beim Extrahieren von Metadaten aus bestimmten HTML-Dateien auftreten konnte.

  • SR-2: Einige kleinere Korrekturen bei der Dateityp-Prüfung.

  • SR-2: Einige unnötige Fehlermeldungen wurden verhindert, die u. U. in v18.1 bei der Suche nach in OLE2-Verbunddateien eingebetteten Daten auftreten konnten.

  • SR-3: Es werden nun Absender und Empfänger angezeigt für E-Mails, die aus livecomm.edb extrahiert wurde.

  • SR-3: Ein Ausnahmefehler wurde behoben, der in v18.1 bei einer Suche im Registry-Viewer auftreten konnte.

  • SR-3: Ein Ausnahmefehler beim Carven bestimmter PDF-Dateien in v18.0 und v18.1 wurde aus der Welt geschafft.

  • SR-3: Ein Fehler wurde behoben, der zu Datenbeschädigung in verbliebenen extrahierten Dateien führen konnte, wenn man andere extrahierte Dateien aus dem Datei-Überblick entfernt hat.

  • SR-3: Eine Beschädigung von Speicherstrukturen konnte bei der Berechnung von freiem Speicher auftreten. Das wurde repariert.

  • SR-3: Ein Ausnahmefehler wurde behoben, der in v18.1 beim Einlesen bestimmter Ext3/Ext4-Partitionen auftreten konnte.

  • SR-3: Einge in sehr speziellen Situationen auftretende Ausnahmefehler wurden gefixt.

  • SR-4: Eine beträchtliche unnötige Ineffizienz bei der Verarbeitung von besonders großen verschachtelten Datei-Archiven wurde korrigiert.

  • SR-4: Ein Ausnahmefehler wurde behoben, der beim Extrahieren von Dateien aus Fragmenten von Windows-Registry-Hives auftreten konnte.

  • SR-4: Ein Codepage-Fehler in der italienischen Übersetzung der Benutzeroberfläche von v18.1 wurde behoben.

  • SR-4: X-Ways Forensics hat sich nicht immer an die im Dialogfenster aufgelisteten X-Tensions aus früheren Sitzungen erinnert. Das wurde korrigiert.

  • SR-5: Ein in sehr speziellen Situationen auftretender exzessiver Speicherverbrauch beim Decodieren von Text für logische Suchen und für die Idnexierung wurde verhindert.

  • SR-5: Das Problem  fehlender Rollbalken in der Vorschau von PDF-Dokumenten nach der Darstellung von Nichtbildern in der Galerie wurde gelöst.

  • SR-5: Ein u. U. beim Verarbeiten defekter RIFF-Dateien auftretender Ausnahmefehler gehört nun der Vergangenheit an.

  • SR-5: Eine mögliche Endlosschleife beim Verarbeiten defekter EVT-Dateien tritt nun nicht mehr auf.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde 

 

  
#143: WinHex, X-Ways Forensics und X-Ways Investigator 18.1 veröffentlicht

16. Feb. 2015

In dieser Ausgabe des Newsletters informieren wir Sie wieder über ein Update mit bemerkenswerten Verbesserungen, die Version 18.1.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung werden auch ältere Versionen automatisch zum Download angeboten, lizenzierten Benutzern anderer Produkte i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Schulungen

Frankfurt, 13.-17. April 2015: X-Ways Forensics und Speicherforensik
Hamburg, 15.-19. Juni 2015: FAT12/16/32, exFAT; NTFS, XWFS2; Ext2/3/4, XFS; X-Ways Forensics II (erstmalig in Deutschland!)
Weitere InformationenEnglischsprachige Schulungen


Diverse verbesserte Regelungen

  • Wir haben unser Treueprogramm kürzlich überarbeitet. Es gibt jetzt zwei Level statt nur einen: Silber und Gold. Es ist jetzt leichter als früher, einen Status zu erreichen, und es gibt jetzt mehr, äußerst praktische Vorteile. Alle Details finden Sie hier.

  • Für die Versicherung gegen Diebstahl (nicht einfach nur Verlust), falls Sie Ihren Dongle mit einer Version vor v18.0 versichert hatten, machen Sie die Versicherung bitte rückgängig und versichern Sie ihn sofort wieder mit v18.0 oder später. v18.0 und spätere erlauben Ihnen jetzt, mindestens eine E-Mail-Adresse für Ihren Dongle zu hinterlegen, wenn Sie ihn zum ersten Mal aufstocken. Dies kann unter Umständen wichtig sein, da es clevere Diebe daran hindert, die Dongle-Versicherung sofort zu deaktivieren, bevor Sie die Gelegenheit hatten, ihn als gestohlen zu melden. Nur die Besitzer der registrierten E-Mail-Adressen können den Versicherungsschutz aufheben, sofern E-Mail-Adressen registriert sind.

  • Es ist jetzt möglich, (laufzeitbeschränkte) Mietlizenzen zu einem vergünstigten Preis zu verlängern, jederzeit nach deren Ablauf, um ein Jahr beginnend mit dem Datum der Verlängerung, oder bereits 2 Monate im Voraus, ebenfalls um ein ganzes Jahr gerechnet ab dem Ende der aktuellen Laufzeit.

  • Alle für Lizenzierung relevanten Begriffe und Details werden hier erklärt.


Was ist neu in v18.1?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Verwendbarkeit

  • Unterstützung für Windows 10 (Technical Preview) als Plattform.

  • Verbesserte Skalierung diverser Elemente der Benutzeroberfläche für hohe DPI-Einstellungen in Windows, insbesondere Verzeichnis-Browser- und Verzeichnisbaum-Icons, die Schalter in der Bildschirmmitte, die Statusleiste, Markierungskästchen und Sortierpfeile. Mehrere Symbolleisten- und Menü-Icons wurden überarbeitet. Insbesondere sind jetzt fast alle Icons in hoher Auflösung für hohe DPI-Einstellungen verfügbar. Datei- und Verzeichnissymbole wurden ebenfalls überarbeitet und sind jetzt konsistenter in Verzeichnisbaum und Verzeichnis-Browser. Neue Symbole repräsentieren Bilder, E-Mails, und diverse Outlook-Daten. Erheblich verbesserte Unterstützung für größere Schriftgrößen in der Darstellung des Hex-Editors und in den Zeichentabellen. Diese Verbesserungen sind insbesondere für hochauflösende Bildschirme (4K- oder 5K-Displays, wie z. B. die Retina-Displays aktueller Mac-Computer) und Nutzer mit Seh-Einschränkungen bedeutsam.

  • Jetzt können bis zu 2 Alter Egos desselben Benutzers denselben Fall gleichzeitig öffnen. Manchen Nutzern könnte dies bei der parallelisierten, simultanen Datei-Überblick-Erweiterung verschiedener Asservate im selben Fall auf demselben Rechner helfen.

  • Eine neue Galerie-Option erlaubt es, Dateien durch Anklicken einer beliebigen Stelle in der Miniaturansicht zu markieren, nicht nur im Markierungskästchen. Dies macht das Markieren einer großen Anzahl von Dateien bequemer, und ist angenehmer als mehrere Dateien auszuwählen, während man die Strg-Taste gedrückt hält.

  • Italienische Übersetzung der Benutzeroberfläche aktualisiert.

HTML-Berichte

  • Es ist jetzt einfacher, CSS (Cascading Style Sheets) zur Formatierung des Fallberichts zu verwenden. Zusätzlich zur Parameter-Definition für Standard-HTML-Elemente (was auch bisher schon möglich war), wird wesentlichen Elementen des Berichts jetzt auch ein "class"-Parameter zugewiesen, um deren gezielte Ansteuerung zu Formatierzwecken zu erleichtern. Beispiel-Stylesheets als Ausgangspunkt für weitere Anpassungen sind vorhanden. Die Berichtsoptionen erlauben die Auswahl oder Bearbeitung einer CSS.txt als Teil des Berichtsprozesses.

  • Zwei neue Fallberichtsoptionen wurden hinzugefügt. "Dateien nach eindeutiger ID benennen" stellt sicher, daß Dateinamen kompakt, eindeutig, verfolgbar und reproduzierbar sind, und stellt außerdem sicher, falls dieselbe Datei mit mehreren Berichtstabellen verknüpft ist, daß diese in das Berichts-Unterverzeichnis nur einmal kopiert wird. Das spart Zeit und Speicherplatz. "Jede Datei nur einmal auflisten" ist eine 3-stufige Option. Voll angekreuzt wird keine Datei im Bericht von mehr als einer Berichtstabelle mehr erwähnt. Beachten Sie, daß Sie immer noch alle Berichtstabellenverknüpfungen einer Datei in ihrer einen Berichtstabellennennung sehen können, wenn Sie das Feld "Berichtstabelle" mit ausgeben lassen. Falls die Option halb-angekreuzt ist, wird die Datei weiterhin in mehreren Berichtstabellen im Bericht aufgeführt, sofern sie mehrere Verknüpfungen hat, aber nur einmal herauskopiert und nur aus der ersten Berichtstabelle verlinkt.

Hash-Werte

  • Option, die Block-Hash-Datenbank mit einem Hash-Set pro Datei zu befüllen, wenn mehrere Dateien ausgewählt sind, im Unterschied zu früheren Versionen, die ein einziges Hash-Set für alle ausgewählten Dateien erzeugt haben.

  • Unterstützung für Project VIC JSON-Dateiformat 1.1.

  • Fähigkeit, zwei Hash-Werte pro Asservat zu verwalten. Fähigkeit, zwei Hash-Werte aus .e01-Evidence-Files zu importieren, die von X-Ways Forensics oder X-Ways Imager erzeugt wurden.

  • Unterstützung für die Hash-Typen Tiger128, Tiger160 und Tiger192.

  • Unterstützung für Tiger-Tree-Hash-Werte (TTH). Nützlich für Ermittlungen, die Direct Connect P2P Filesharing-Programme beinhalten. Base32-Darstellung für TTH kann in den Verzeichnis-Browser-Optionen aktiviert werden.

Suchen

  • Die Suchbegriffsliste bietet jetzt eine "Max. 1"-Option, wenn mehrere Suchbegriffe ausgewählt sind, die nicht mit einem + erzwungen oder mit einem - ausgeschlossen werden. "Max. 1" listet Suchtreffer nur auf, wenn sich diese in Dateien befinden, die keinen der anderen ausgewählten Suchbegriffe enthalten. Um beispielsweise für 3 Suchbegriffe in früheren Versionen dasselbe Resultat zu erhalten, hätten Sie Treffer für Suchbegriff A anzeigen lassen müssen, während B und C ausgeschlossen sind, dann Treffer für B während A und C ausgeschlossen sind, und schließlich Treffer für C unter Auschluss von A und B, was natürlich erstens weniger elegant ist und zweitens nicht alle solchen Treffer gleichzeitig zeigen kann.

  • Die Suchbegriffsliste bietet nun eine "NOT NEAR"-Option (abgekürzt NTNR) zusätzlich zu "NEAR". Mit zwei ausgewählten Suchbegriffen zeigt NTNR nur solche Treffer an, die nicht in der Nähe irgendwelcher Treffer des jeweils anderen Suchbegriffs sind. Mit mehr als zwei ausgewählten Suchbegriffen ist das Ergebnis derzeit nicht definiert.

  • Kleinere Korrektur im HTML-Code von exportierten Suchtreffern.

Dateityp-Unterstützung

  • Dateityp-Prüfung überarbeitet.

  • Reihenfolge der Kategorien überarbeitet (basierend auf typischer Häufigkeit).

  • Neue Carving-Methode für Quickbooks .qbw-Dateien.

  • .evtx-Event-Log-Verarbeitung leicht überarbeitet.

  • Unterstützung für das aktualisierte Datenbankformat der Chrome-History. Unterstützung für die Opera Browser-History seit Version 15.0 (die Umstellung auf die Chromium-Engine).

  • Hübschere Namen für Dateien, die aus Google Chrome Cache extrahiert wurden.

  • Spezielle Carving-Unterstützung für EDB (ESE) Log-Dateien (.edblog). Diese Log-Dateien sind forensisch dahingehend relevant, daß Microsoft zunehmend interne Daten über EDB-Datenbanken in diesen Dateien speichert. Die Log-Dateien halten sämtliche Daten fest, die zu einem bestimmten Zeitpunkt zu einer Datenbank hinzugefügt werden, bis diese schließlich aus der Log-Datei gelöscht werden. Typischerweise können mehrere solcher Dateien in Windows Systemen wiederhergestellt werden, und Suchtreffer in solchen Log-Dateien sind bedeutungsvoller als in generischem freiem Speicher. Metadaten werden aus diesen Log-Dateien ebenfalls extrahiert.

  • Bessere Unterstützung für die CAB-Dateiformat-Familie, die Windows Installer-Dateien (weniger interessant), Windows Cabinet (interessanter, kann E-Mails beinhalten) und Microsoft OneNote-Packages (ebenfalls interessanter) beinhaltet.

  • Unterstützung für Deflate64-Kompression in Zip-Archiven.

  • Ein Ausnahmefehler wurde behoben, der bei der Extraktion von E-Mails aus bestimmten MBOX-E-Mail-Archiven auftreten konnte.

  • Kleinere Korrektur und Verbesserung der Ereignis-Extraktion aus .evtx-Event-Logs für den Fall, daß Ereignisse im Event-Log vom Nutzer gelöscht worden waren.

  • Ein möglicher fehlerhafter Übertrag von Absendern und Empfängern auf andere E-Mail-Fragmente, die aus Windows.edb extrahiert wurden, wurde behoben.

  • Ein Fehler wurde eliminiert, der beim Verarbeiten von über 2 GB großen Datei-Archiven auftreten konnte.

Dateisystem-Unterstützung

  • In neu erzeugten Datei-Überblicken von Ext3- und Ext4-Dateisystemen betrachtet X-Ways Forensics ab jetzt auch die Inhalte des Journals dieser Dateisysteme als alternative Informationsquelle. Dies kann zur Auflistung zusätzlicher ehemals existiernder Dateien führen, oder dem Auflisten ehemals existierender Dateien mit Inhalten und Zeitstempeln, die zuvor nicht verfügbar waren, oder zur Identifikation früherer Namen existierender Dateien (im letzteren Fall wird ein entsprechender Hinweis in der Metadaten-Spalte der betreffenden Datei hinterlegt). Wichtiger Hinweis: Da das Journaling in Ext3/4 Kopien ganzer Dateisystem-Blöcke beinhaltet, dürfte sich das Journal auf sehr aktiven Partitionen in relativ kurzer Zeit selbst überschreiben, wobei die jüngsten Einträge im Journal natürlich identisch mit den aktuell ohnehin im Dateisystem verfügbaren Daten sind.

  • Dateien, deren Darstellung auf einer Inode aus dem Ext3/Ext4-Journal basiert, werden mit (Jrnl) in der Attr.-Spalte gekennzeichnet. Ein Filter für solche Dateien ist verfügbar.

  • Identifiziert einige grundlegende Informationen über Windows-Installationen, falls gefunden, aus Partitionen oder Images, die einem Fall hinzugefügt werden, und zeigt diese in den Asservat-Eigenschaften an.

X-Tensions API

  • X-Tensions werden zusätzliche Informationen über den Aufruf von XT_Init zur Verfügung gestellt.

  • Eine neue X-Tension-Funktion XWF_GetEvent, die Informationen über ein Ereignis in der internen Ereignisliste eines Asservats liefert.

  • Die X-Tension-Funktionen XWF_GetReportTableInfo und XWF_GetVSProp wurden überarbeitet.

Diverses

  • Beim Sichern von Datenträgern mit aktiver Komprimierung gibt X-Ways Forensics jetzt direkt visuelles Feedback über die tatsächliche Datenmenge auf dem Datenträger. Dies ist möglich, da Regionen, die entweder noch nie beschrieben oder gewiped wurden, extrem hohe Kompressionsraten erzielen. Die laufende Kompressionsrate wird während des Sicherungsvorgangs durch vertikale Balken in einem gesonderten Fenster dargestellt. Je höher der Balken, desto niedriger die "Datendichte" in dem betreffenden Bereich. Die Kompressionsstatistik wird auch im .e01-Evidence-File gespeichert, womit die Balkendarstellung auch zu einem späteren Zeitpunkt über die Asservat-Eigenschaften verfügbar sind, wenn Sie auf den Schalter "Kompression" klicken.

  • Die Option "Dateien nach eindeutiger ID benennen" in Wiederherstellen/Kopieren ist jetzt auch in Verbindung mit der Erzeugung von vollständigen oder partiellen Pfaden im Ausgabeordner verfügbar. Es ist jetzt eine 3-stufige Option. Halb angekreuzt werden die Dateien nicht mehr ausschließlich nach ihrer eindeutigen ID (+Erweiterung) benannt. Stattdessen wird die eindeutige ID zwischen den Basis-Dateinamen und die Dateinamenserweiterung eingefügt.

  • Fähigkeit, in einem rekursiv erkundeten Asservat-Überblick alle Objekte in allen offenen Asservaten über die Verzeichnis-Browser-Optionen "einzublenden".

  • Specialist | Datei-Überblick erweitern zeigt jetzt die Größe der extrahierten Metadaten und Kommentare im Speicher an und erlaubt, die extrahierten Metadaten zu verwerfen, falls notwendig, um Speicherbedarf zu reduzieren. Unterstützt jetzt bis zu ~4 GB an extrahierten Metadaten pro Datei-Überblick (bislang ~2 GB before).

  • Möglichkeit, im Bericht Bilder in den Berichtstabellen über dem zugehörigen Text anzuzeigen, statt darunter.

  • Viele kleinere Verbesserungen.

  • Programmhilfe und Benutzerhandbuch wurden für v18.1 aktualisiert.


Änderungen der Service-Releases von v18.0:

  • SR-1: Ein Ausnahmefehler wurde behoben, der bei der Verwendung von X-Ways Forensics ohne eine zweite Hash-Datenbank auftreten konnte.

  • SR-2: Unterstützung für einige weitere TIFF-Untertypen für den Abgleich per PhotoDNA.

  • SR-2: Bestimmte nicht unterstützte TIFF-Untertypen werden jetzt dahingehend korrekter behandelt, daß der Abgleich per PhotoDNA und eventuell auch die Hautfarberkennung nicht mehr versucht werden, falls hoffnungslos, und stattdessen ein Fragezeichen ausgegeben wird.

  • SR-2: Korrekt für bestimmte Varianten von FAT12.

  • SR-3: Unterstützung für relative Pfade beim Einsatz der PhotoDNA-Hash-Datenbank.

  • SR-3: Extraktion von EXIF-Metadaten aus .wav-Dateien.

  • SR-3: Interne Zeitstempel aus JPEG-Dateien, die von aktuelleren Canon Kameramodellen erzeugt wurden, werden jetzt mitsamt Zeitzonen-Informationen extrahiert und können daher in die Anzeige-Zeitzone umgewandelt werden.

  • SR-3: Ein möglicher Fehler wurde behoben, der beim Sortieren nach der HFA/PhotoDNA-Spalte auftreten konnte.

  • SR-3: Ein Stabilitätsproblem, das bei beschädigten Google Chrome Caches auftreten konnte, wurde behoben.

  • SR-3: Ein Fehler wurde behoben, der bei der Verarbeitung von .ieurl-Dateien, die aus Google Chrome Caches extrahiert wurden, auftreten konnte.

  • SR-3: Ein Absturz, der mit Windows Vista Thumbcaches auftreten konnte, wurde behoben.

  • SR-4: Die massenhafte Extraktion von Metadaten wird nicht mehr von der Option "Bearbeitung durch gleichzeitige Benutzer sorgfältiger koordinieren" verlangsamt.

  • SR-4: Ein Ausnahmefehler, der bei der Benutzung des Registry Viewers auftreten konnte, wurde behoben.

  • SR-4: Automatische Berichtstabellenverknüpfungen für Duplikate haben nicht mehr funktioniert. Dies wurde behoben.

  • SR-5: Ein Fehler wurde behoben, der in v18.0 SR-4 Abstürze mit OLE2-Dateien produzieren konnte.

  • SR-5: v18.0 hat in zusätzlichen Durchläufen von Datei-Überblick erweitern nicht immer die Hash-Werte mit der Hash-Datenbank abgeglichen. Dies wurde behoben.

  • SR-5: Ein Fehler in der X-Tension API-Funktion XWF_GetRasterImage wurde korrigiert.

  • SR-6: Fehlerhafte Ereignisse mit Zeitstempeln im Jahr 1829 wurden korrigiert.

  • SR-6: Die Unfähigkeit von v18.0, aus allen E-Mail-Headern Absender und Empfänger zu extrahieren, wurde behoben.

  • SR-6: Die unzureichende Behandlung defekter Sektoren in aktuelleren Versionen wurde behoben.

  • SR-6: Ein Ausnahmefehler wurde behoben, der in der 64-bit-Version bei der Verarbeitung von Google Chrome Cache-Dateien auftreten konnte.

  • SR-7: Ein ungerechtfertigter unvollständiger Lesefehler in v18.0 wurde behoben.

  • SR-7: Ein möglicher Fehler mit verlorenen Kommentaren, die aus Datei-Containern importiert wurden, wurde behoben.

  • SR-7: Ein Absturz wurde behoben, der beim Versuch auftreten konnte, sehr lange Suchtreffer anzuzeigen (z. B. erzeugt mit einem GREP-Ausdruck wie .*).

  • SR-8: Ein Ausnahmefehler wurde behoben, der beim Wechseln zur Suchtrefferliste im Asservat-Überblick auftreten konnte, wenn im Verzeichnis-Browser noch sortiert wurde.

  • SR-8: Ein möglicher Absturz mit defekten OLE2-Dateien wurde behoben.

  • SR-8: Dongle-Fehler, die einige Nutzer bei der Nutzung mehrerer simultaner Programminstanzen bekommen haben, wurden behoben.

  • SR-8: Einige kleinere Verbesserungen und Korrekturen.

  • SR-9: Ein Ausnahmefehler wurde behoben, der bei der automatischen Überprüfung von Images nach der Sicherung mit bestimmten Einstellungen auftreten konnte.

  • SR-9: Verhindert ungewollte Abwandlungen von Berichtstabellennamen unter bestimmten Umständen während der Synchronisation arbeitsteiliger Auswertungen.


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde 

 

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <