#152: WinHex, X-Ways
Forensics und X-Ways Investigator 19.0 veröffentlicht
18. Okt. 2016 |
In dieser Ausgabe des Newsletters informieren wir Sie
über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version
19.0.
Evaluationsversion von WinHex:
https://www.x-ways.net/winhex.zip
(korrekte Download-Adresse auch für Benutzer mit einer privaten,
professionellen oder Specialist-Lizenz)
Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter
https://www.x-ways.net/winhex/license-d.html. Wenn Ihre Update-Berechtigung
oder Lizenz abgelaufen ist, erhalten von dort Angebote zu Upgrades bzw.
Lizenzverlängerungen. Das Paßwort für X-Ways Forensics wird sich übrigens in
Kürze ändern.
Wenn Sie an Informationen über Service-Releases interessiert sind, wenn
diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des
Forums einsehen und sich bei noch aktiver
Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie:
Wenn Sie vorerst bei einer älteren Version
bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte
Service-Release der betreffenden Version verwenden.
Schulungstermine
Köln,
13.-16. Februar
Termine im Ausland
Wenn wir Sie über weitere Termine informieren dürfen,
geben Sie bitte hier
Ihre E-Mail-Adresse ein.
Was ist neu in v19.0?
(Bitte beachten
Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
Performanz
-
Analog zur logischen Suche unterstützt jetzt auch
die Datei-Verarbeitung beim Erweitern des Datei-Überblicks mehrere
Threads (nur, wenn nicht auf eine Auswahl angewandt). Dies wird aktuell
als experimentell betrachtet. Abhängig von den ausgewählten Operationen
und den Dateitypen im Volume, und je nach E/A-Geschwindigkeit kann dies
die Performanz verdoppeln, verdreifachen oder gar vervierfachen. Je
schneller Ihre Massenspeicherlösung ist (HDD, SSD, RAID) bezüglich
Zugriffszeiten und Datentransferrate, desto mehr Zeit sparen Sie prozentual.
Dieses Parallelisierungs-Feature wird noch als experimentell und nicht
vollständig erachtet, aber das Zeitersparpotential in einer
der wichtigsten und zeitintensivsten Programmfunktionen ist bereits jetzt
erheblich.
Die Auswahl mehrerer Threads hat nur Auswirkung bei der Verarbeitung von
Asservaten, die Datenträger-Sicherungen oder Verzeichnisse
sind, nicht bei Datenträgern. Wenn Sie nur einen Thread auswählen, funktioniert
es wie bei X-Ways Forensics Versionen vor 19.0. Falls Sie zwei oder mehr
Threads auswählen, findet die Verarbeitung in zusätzlichen Arbeiter-Threads
statt (so viele, wie Sie auswählen) und der Haupt-Thread des Prozesses bleibt
untätig, womit die Oberfläche reaktionsfreudig bleibt. In X-Ways
Investigator können bis zu zwei Arbeiter-Threads verwendet werden, in
X-Ways Forensics bis zu acht, sofern Ihre CPU dies unterstützt. Falls die
Verarbeitung mit mehreren Threads abstürzt, kann Ihnen das Programm beim nächsten
Neustart nicht mitteilen, welche Datei vermutlich den Absturz verursacht hat.
Bitte beachten Sie, daß bei ohnehin sehr E/A-intensiven Operationen, wie z.B.
beim Hashen, nicht mehr viel gewonnen werden kann, wenn das
Massenspeichermedium langsam ist.
Die dateiweise Verarbeitung mittels X-Tensions (durch Aufrufe von
XT_ProcessItem oder XT_ProcessItemEx) wird ebenfalls parallelisiert,
sofern die X-Tension sich selbst als threadsicher identifiziert. Die
Verarbeitung von Dateien in Archiven ist intern aktuell von der Parallelisierung
ausgeschlossen. Die Parallelisierungsoption wird aktuell nicht angeboten,
wenn die Indexierung ausgewählt ist.
-
Die Zeit, die die Erweiterung des Datei-Überblicks benötigt
hat, wird jetzt im Nachrichtenfenster angezeigt, sofern auf ausgwählte Asservate
angewandt. Nützlich, um eigene Performanz-Tests mit einzelnen oder mehreren
Threads durchzuführen.
-
Für Performanz-Vergleichstests möchten Sie unter
Umständen alle Datei-Puffer entsorgen, die Windows bei hinreichendem Speicherplatz
pflegt, um dieselben Operationen auf derselben Datenträger-Sicherung erneut
laufen zu lassen, ohne verzerrte Ergebnisse beim zweiten Durchlauf, weil
weniger Festplattenoperationen notwendig sind. Eine Funktion zur
Wiederverwendung/Erschöpfung überschüssigen Arbeitsspeichers findet sich jetzt
im Dialog Optionen | Sicherheit. Klicken Sie auf den Schalter mit dem
Recycling-Symbol.
-
Ein unbeschriftetes (aber mit Tool-Tip ausgestattetes)
Kontrollkästchen im Dialogfenster zum Datei-Überblick-Erweitern kann X-Ways Forensics
jetzt dazu bringen, anzuzeigen, welche Unteroperationen aktuell auf die aktuell
verarbeitete Datei angewandt wird. Eine aus drei Buchstaben bestehende Abkürzung wird angezeigt
mit den folgenden Bedeutungen:
Sig: Dateityp-Prüfung
Hsh: Hashen
Vid: vereinzelte Standbilder aus Videos erzeugen
Idx: Vorverarbeitung der Original-Dateiinhalte für die Indexierung
Dec: Text-Dekodierung für die Indexierung
IdX: Vorverarbeitung des dekodierten Texts für die Indexierung
Emb: Suche nach eingebetteten Daten
PDN: PhotoDNA-Datenbank-Abgleich
Pic: andere Bildanalyse-Schritte
Eml: E-Mail-Extraktion
Fuz: FuzZyDoc-Datenbank-Abgleich
Met: Metadaten-Extraktion
Enc: Dateiformatspezifischer Verschlüsselungstest
Ent: Entropie-Prüfung
Arc: Aufnahme von Dateien in Archiven in den Datei-Überblick
Dies kann lehrreich sein, indem es Nutzern eine bessere Vorstellung davon
vermittelt, wie aufwendig bestimmte Unteroperationen sind und wieviel Zeit
gespart werden könnte, indem man diese nicht auswählt, falls nicht wirklich
notwendig. Es könnte sich auch bei der Fehleridentifikation als nützlich
herausstellen. Ob diese Option auf bestimmten Systemen die Verarbeitung
verlangsamt, wurde nicht getestet.
-
Eine neue Option ermöglicht, sehr große Dateien
nicht zu hashen. Dies kann sehr viel Zeit und Festplattenoperationen
sparen. Für sehr große Dateien (wie z.B. Backups, virtuelle Festplatten,
Datenbanken, Pagefiles, $UsnJrnl:$J, ...) weil viele davon einmalig sind
und nicht basierend auf Hash-Werten gesucht werden oder ihre Hash-Werte
in Hash-Datenbanken bekannter Dateien enthalten sind. Ein Grund, diese
Option nicht zu verwenden, wäre beispielsweise, wenn Sie nach hochauflösenden
Raubkopien von Filmen suchen.
-
PhotoDNA-Abgleich um ca. 20% beschleunigt!
-
PhotoDNA-Hash-Werte werden jetzt nur berechnet und
abgeglichen, wenn das Bild eine Gesamtanzahl an Pixeln beinhaltet, die
ein nutzerdefiniertes Minimum überschreitet (Breite mal Höhe). Dies
vermeidet Datenbank-Suchen, die in sehr großen PhotoDNA-Hash-Datenbanken
zeitaufwendig sein können und für kleine, wertlose Bilder keinen Nutzen
bringen. Die erlaubten Mindestmaße sind 50x50 Pixel, was in früheren
Versionen die implizite Bedingung war. Der PhotoDNA-Algorithmus benötigt
zwingend eine bestimmte Mindestanzahl an Pixeln, um aussagefähige Ergebnisse
zu produzieren.
-
Die benötigte Mindest-Pixelanzahl in einem Bild für die
Berechnung des Hautfarbanteils und die Prüfung auf Schwarz-Weiß ist jetzt
nutzerdefinierbar. Falls ein Bilder weniger Pixel hat, wird es als
"irrelevant" in der Analyse-Spalte angezeigt, und ein kleines
bißchen Zeit wird gespart, indem die Farben nicht geprüft werden. Die
Mindesthöhe und -breite waren in allen früheren 16 Pixel. Der neue
Standardwert ist jetzt 32x32=1024 Pixel insgesamt.
-
Die Verarbeitung von EDB-Datenbanken wurde überarbeitet,
für verbesserte Geschwindigkeit und Stabilität bei gleichzeitig reduziertem
Ressourcenverbrauch. Eine sehr selten auftretende Endlosschleife bei der
Verarbeitung von WebCache-Datenbanken wurde behoben.
-
Fähigkeit, zur Beschleunigung beim Hash-Abgleich
größere Teile von großen Hash-Datenbanken in den Hauptspeicher zu
laden, und der Nutzer kann jetzt anpassen, wieviel des verfügbaren
Speichers verwendet werden sollte.
-
Die Option, beschädigte Festplattenbereiche beim
Klonen von Festplatten zu vermeiden, indem Sektoren übersprungen werden,
wenn ein defekter Sektor erkannt wurde, kann jetzt viel größere Sprünge
machen und springt immer exakt um die vom Nutzer festgelegte Anzahl
Sektoren weiter.
Technische Spezifikationen
-
Pro Hash-Set und pro Hash-Datenbank werden jetzt bis
zu 231 Hash-Werte unterstützt statt 230 in früheren
Versionen.
-
Fähigkeit, mit der Viewer-Komponente Dateien ein- bzw.
in der Vorschau anzusehen, die größer als 2 GB sind.
-
16-, 32- und 64-Bit-Prüfsummen werden jetzt nicht mehr
Byte-weise mit einem Akkumulator der angegebenen Größe berechnet, sondern
sind die Summen von Integer-Einheiten der jeweiligen Größe.
-
Um Breitbildschirme besser zu nutzen, und um Ermittler
insbesondere in Asien besser zu unterstützen, die im selben Fall mit in
verschiedenen Zeichensätzen und Codepages kodiertem Text konfroniert
sein können, ist es jetzt abhängig vom Lizenztyp möglich, gleichzeitig
mehrere Textinterpretationen der Binärdaten in der Textanzeige des Hex
Editors darzustellen. Sie können die Zeichensätze/Codepages für jede Spalte
einzeln im Ansicht-Menü auswählen. Dies ist auch nützlich, um bei der Durchsicht
der Roh-Daten von Outlook-PST-Dateien mit Cipher-Kodierung kodierten
ANSI-Text, kodierten Unicode-Text und völlig unkodierten Text gleichzeitig
lesen zu können.
Persönliche Lizenz für WinHex: nur 1 Zeichensatz gleichzeitig
Professionelle Lizenz für WinHex: bis zu 2 Zeichensätze gleichzeitig
Specialist Lizenz für WinHex, X-Ways Investigator: bis zu 3 Zeichensätze gleichzeitig
WinHex Lab Edition, X-Ways Forensics: bis zu 4 Zeichensätze gleichzeitig
Bitte beachten Sie, daß jede Texteingabe von der Tastatur als auf der
aktuell im System eingestellten ANSI-Codepage basierend interpretiert
wird, es sei denn, die primäre Textspalte ist auf die IBM/OEM/DOS-Codepage 850
(Latin I) eingestellt, in welchem Fall die Eingabe als auf dieser Codepage
basierend interpretiert wird, genau wie in bisherigen Versionen von WinHex/X-Ways Forensics.
Verzeichnis-Browser
-
Neue Spalte "Existent": Zeigt an, ob eine
Datei eine existierende Datei oder ein Unterobjekt einer existierenden
Datei ist oder nicht (existierend gemäß dem Bezugssystem, z. B.
Dateisystem), entweder mit einem Häkchen oder einem mathematischen
Symbol oder in natürlicher Sprache, abhängig von den Notationsoptionen.
Ein dritter Zustand ist "virtuell". Um basierend auf dem Existenzzustand
zu filtern, verwenden Sie bitte den Beschreibungsfilter. Bitte beachten
Sie, daß Sie auch nach dem Existenzzustand gruppieren können (s.
Verzeichnis-Browser-Optionen) und nach dieser Spalte sortieren können.
-
Neue Spalte "Vollpfad" (Specialist-Lizenz oder höher):
Der Vollpfad enthält den Namen der Datei bzw. des Verzeichnisses selbst.
Nach dem Vollpfad zu sortieren, ergibt eine nützliche Reihenfolge, weil
Unterobjekte dabei direkt ihren jeweiligen Eltern folgen.
-
Es gibt jetzt eine separate Spalte für den optionalen
2. Hash-Wert, ebenfalls mit Filter ausgestattet. Zuvor war eine einzige
Spalte optional für beide Hash-Werte zuständig.
-
Neue Spalte "Gruppe" (forensische Lizenz): In neu
erstellten Datei-Überblicken zeigt diese Spalte die ID der Gruppe an,
die einer Datei in Linux-Dateisystemen zugeordnet ist..
-
Neue Spalte "Offset im Dateisystem" (Specialist-Lizenz
oder höher): Zeigt den Offset der definierenden Struktur einer Datei oder
eines Verzeichnisses im Dateisystem, d.h. die Struktur, die die Basis für die
Aufnahme der Datei in den Datei-Überblick bildet. Dieser Offset ist der Ort,
an dem Sie manuell Details prüfen können, falls es irgendwelche Zweifel darüber
gibt, wo X-Ways Forensics die Metadaten von Dateisystemebene her hat. Dies ist
auch der Ort, an dem Sie geeignete Templates für eine alternative Interpretation
anwenden können und wohin Sie benachteiligte Nutzer anderer Werkzeuge verweisen
können, die solche wichtigen Orte eventuell nicht finden können oder bestimmte
gelöschte Dateien gar nicht angezeigt bekommen. Aus Sektoren ausgegliederte
oder in anderen Dateien eingebettete Dateien besitzen aus offensichtlichen
Gründen keinen Offset im Dateisystem (oder im Fall gecarvter Dateien ist
dieser X-Ways Forensics zumindest nicht bekannt). Der Offset im Dateisystem ist
auch der Ort, an den Sie mit dem speziellen Kontextmenübefehl zum Aufsuchen
des FILE-Records/der Inode/des Verzeichniseintrags/Catalog Key, etc navigieren,
wie von allen Versionen bekannt. Der Kontextmenübefehl zum Sortieren nach den
Offsets der definierenden Strukturen ist jetzt nicht mehr nötig, da Nutzer nach
dieser Spalte sortieren können.
-
Option, Dateien, die Sie ausdrücklich an ein bestimmtes
Verzeichnis oder eine Datei anhängen, als das zu klassifizieren, was sie
tatsächlich sind, z.B. Video-Einzelbilder, die außerhalb von X-Ways Forensics
erzeugt wurde, E-Mails, die außerhalb von X-Ways Forensics aus E-Mail-Archiven
extrahiert wurden, OLE2-Objekte, Datei-Anhänge verschiedener Arten (insbesondere
von PDF-Dokumenten), etc. etc. Sofern korrekt als Video-Einzelbilder klassifiziert,
werden die angehängten Bilder beispielsweise auch als Vorschau für das jeweilige
übergeordnete Video verwendet. Die Klassifizierung ist in der Beschreibungsspalte
zu sehen.
-
Dateien, die ihren jeweiligen Original-Entsprechungen
im Datei-Überblick automatisch per eindeutiger ID angehängt werden, übernehmen
jetzt die Klassifikation der Original-Datei. Außer für Original-Dateien ohne
gesonderte Klassifikatiion, in diesem Fall werden die angehängten Dateien als
angehängte Dateien klassifiziert.
Datenträger-/Image-Handhabung
-
Fähigkeit, die interne Beschreibung eines Images
und den Namen des Bearbeiters beim Sichern eines Datenträgers automatisch
von der Kommandozeile festzulegen. Zum Beispiel erzeugt
:1 "|e01|G:\Test.e01|My description|My name
eine Sicherung des Datenträgers mit der internen Nummer 1 in Windows im
.e01 Evidence-File-Format mit Namen "Test.e01" im Verzeichnis G:,
mit der Beschreibung "My description" und dem Namen "My name".
Die Parameter werden von Vertikalstrichen (Pipes) getrennt und dürfen Leerzeichen
enthalten. Die Reihenfolge der Parameter ist fix. Beschreibung und
Ermittler sind optional.
-
Eine neue Option erlaubt es, den Arbeitsspeicher kurz
vor der Hash-Überprüfung so auszulasten, daß die von Windows verwendeten
Dateipuffer automatisch aufgelöst werden und ein Lesen der Image-Daten
direkt von der Platte erzwungen wird (so daß die Daten nicht aus dem
Speicherpuffer entnommen werden). Diese Option besteht für kleine Images
und für etwas paranoide oder höchst sorgfältige Nutzer. Sie ist nicht notwendig
für Sicherungen, die deutlich größer sind, als der im System installierte
Arbeitsspeicher, da in diesem Fall die anfänglichen Teile nicht mehr im
Puffer sind, bis die letzten Teile endlich geschrieben sind, und die letzten
Teile sind nicht mehr im Puffer, wenn sie zur Überprüfung dran sind, da in
der Zwischenzeit die anfänglichen Teile zur Überprüfung wieder dorthin
geladen wurden. Diese Option kann eine kleine, temporäre Auswirkung auf
die Systemperformanz haben und die Hash-Überprüfung kann etwas langsamer
sein als üblich.
-
X-Ways Forensics unterstützt jetzt mehrere Images mit
identischem Namen im selben Fall, in allen Fällen, die von v16.1 oder
später erzeugt wurden. Nützlich für Nutzer, die aus irgendwelchen Gründen
Datenträger mit einem Werkzeug sichern, das allen Sicherungen denselben
Namen zuweist. Auch nützlich, wenn Sie mehrere Images mit demselben Namen
innerhalb einer Datenträger-Sicherung vorfinden (nicht ungewöhnlich für
vom Verdächtigen verwendete virtuelle Festplatten), und Sie diese dann
nicht einzeln umbenennen müssen. Bitte beachten Sie, daß Sie nicht mit
Asservaten, die von mehrfach verwendeten Namen betroffen sind, in v18.9
oder früher arbeiten sollten, da diese Versionen ggf. den falschen
Datei-Überblick laden könnten.
-
Eine neue "allgemeine" Option läßt den Benutzer beim
Interpretieren von Roh-Images immer die bevorzugte Handhabung
bestätigen, d. h. von welcher Art von Image (Volume oder Disk)
ausgegangen werden soll, welche Sektorgröße angenommen werden soll und
in welchem Pfad ggf. weitere Image-Datei-Segmente gesucht werden sollen.
Das ist genau das, was auch passiert, wenn Sie die Umsch-Taste gedrückt
halten während des Interpretierens eines Images als Datenträger oder
beim Hinzufügen eines Images zum Fall. Normalerweise nicht nötig, wenn
das Image von X-Ways Forensics selbst erzeugt wurde, aber dennoch,
bestimmte Wechseldatenträger (USB-Sticks und Speicherkarten) können zu
unterschiedlichen Zeiten sowohl als Volume als auch als partitionierter
Datenträger formatiert und verwendet worden sein. In solchen Situationen
kann das Interpretieren als Volume und als Disk unterschiedliche
Dateisysteme zum Vorschein bringen, die einander überlappen.
-
Die Optionen zum Hervorheben von freiem und
Schlupfspeicher für Specialist-Lizenzen und höher sind in das
Dialogfenster für allgemeine Optionen verschoben worden.
-
Option, bereits aus Dateien extrahierte Metadaten
mit in Datei-Containern zu speichern, damit der Empfänger diese direkt
sehen kann, ohne erneut Metadaten extrahieren lassen zu müssen.
-
LVM2-Container-Partitionen werden jetzt als solche auch
dann erkannt, wenn der zugewiesene Partitionstyp in MBR oder GPT falsch
ist.
-
Fähigkeit, Ext*-Dateisysteme mit einer Blockgröße zu
parsen, die kleiner ist als die Sektorgröße des sie umgebenden physischen
Images, was bei Android-Geräten vorkommen kann.
-
Falls der Benutzer die Interpretation eines Volumes als
NTFS erzwingt, weil der Boot-Sektor das Dateisystem nicht mehr als NTFS
identifiziert und der Backup-Boot-Sektor ebenfalls fehlt, fragt WinHex
jetzt nach der erwarteten Cluster-Größe, damit Sie keinen fiktiven
Boot-Sektor mehr überlagern müssen, um den Speicherort von Dateidaten
richtig interpretiert zu bekommen (unter der Annahme, daß die gründliche
Dateisystem-Datenstruktur-Suche FILE-Records findet).
PhotoDNA
-
Ein neuer Schalter mit einem Lupensymbol ermöglicht
Ihnen jetzt, die Datenbank auf Anwesenheit eines spezifischen Hash-Wertes
zu prüfen, den Sie in Hex ASCII oder Base64 angeben. Sofern es einen Treffer
gibt, wird der Name der Hash-Sammlung angezeigt, die den Hash-Wert enthält.
Sofern der betreffende Eintrag in der Datenbank eine Textbeschreibung
besitzt, wird diese Beschreibung ebenfalls angezeigt. Bis zu 19 Treffer
werden angezeigt, jeder mit seiner jeweiligen Genauigkeit (je höher, desto
genauer; selbe einfache Skala wie z. B. bein benutzerdefinierten
Strengegrad für den Abgleich, d.h. Level 1 bedeutet sehr grobe Treffer). Sie haben die
Möglichkeit, die Ergebnisliste auf genauere Treffer zu beschränken, indem
Sie einen höheren Strengegrad erzwingen, was nützlich ist, wenn mehr
Treffer existieren, als angezeigt werden können.
-
Fragt den Nutzer nochmal, falls der niedrigstmögliche
Strengegrad (Level 1) beim PhotoDNA-Abgleich ausgewählt ist, da diese
Einstellung gelegentlich falsche Treffer liefert. Sie wird in X-Ways
Forensics nur angeboten, weil die ursprünglichen Entwickler von PhotoDNA
diesen als möglichen Startwert vorgeschlagen hatten. Der empfohlene und
voreingestellte Strengegrad in X-Ways Forensics ist Level 3.
-
Option, bequem und frei den Pfad für die PhotoDNA-Datenbank
in den allgemeinen Optionen festzulegen. Nutzer können jederzeit von einer zu
einer anderen Datenbank wechseln.
-
Option, Prüfungen auf Duplikate und Konsistenz beim
PhotoDNA-Import komplett zu überspringen, was potentiell mehrere Stunden
spart, mit dem Nachteil, daß der Abgleich beim Erweitern des Datei-Überblicks
länger dauert und für Varianten desselben Bilder u.U. unterschiedliche
Klassifikationen gemeldet werden (nur zutreffend, falls die Hash-Sammlungen,
die Sie importieren, untereinander nicht sehr konsistent sind oder sich sogar
widersprechen).
-
Die Umkategorisierung bestehender PhotoDNA-Datenbankeinträge,
die neu importierten Einträgen entsprechen, ist jetzt gründlicher und betrifft
nicht mehr nur den besten übereinstimmenden Eintrag. Dies bedeutet allerdings
langsameres Importieren.
-
Option, ausgewählte PhotoDNA-Kategorien als
"bevorzugt" zu kategorisieren, mit einem schwarzen Stern. Falls
für ein Bild beim Abgleich Treffer in verschiedenen Kategorien gefunden
werden, bekommen die bevorzugten Priorität. Solche bevorzugten Kategorien
werden auch dann als Treffer gemeldet, wenn andere Treffer mit nicht
bevorzugten Kategorien eigentlich genauere Treffer sind. Dies ist nützlich,
wenn Sie zum Beispiel in Ihrer Datenbank Kategorien haben, deren Genauigkeit
und Verwendbarkeit Sie vertrauen, und andere, denen Sie weniger trauen, weil
Sie beispielsweise wissen, daß diese Fehler enthalten (z.B. das gleiche Bild
sowohl als KP als auch irrelevant klassifiziert) und/oder weil diese aus
ausländischen Quellen mit ggf. anderen Gesetzen und Vorschriften stammen.
-
Wenn beim Import neuer Hash-Werte in die interne
PhotoDNA-Datenbank einer der neuen Hash-Werte einem bestehenden oder einem
ebenfalls neuen Hash-Wert sehr ähnlich ist, kann X-Ways Forensics den
bisherigen Hash-Wert durch den neuen komplett ersetzen, um die Datenbank
schlanker und weniger redundant zu halten. Dies passiert, wenn die
Abweichung zwischen den beiden Werten unter einem bestimmten Grenzwert liegt.
Dieser Grenzwert wurde erhöht, d.h. die Genauigkeit für die Redundanzverringerung
wurde verringert, was bedeutet, daß mehr Hash-Werte als ähnlich erachtet und
entfernt werden.
-
Die zwei Strengegrade für die Redundanzverringerung
und Konsistenzverbesserung beim Import in die PhotoDNA-Datenbank sind jetzt
beide nutzerdefinierbar.
-
Die Statistik am Ende eines PhotoDNA-Imports zeigt jetzt
auch an, wie viele bereits existierende Einträge in der Datenbank eine neue
Klassifizierung erhalten haben.
-
Fähigkeit, ausgewählte Hash-Sammlungen aus der internen
PhotoDNA-Hash-Datenbank in Textdateien zu exportieren, um diese mit anderen
Nutzern auszutauschen, oder um zu prüfen, welche Hash-Werte enthalten bzw.
welche als Duplikate entfernt worden sind, etc.
-
Das Parsen von ODATA/JSON-Dateien wurde überarbeitet.
Fallbericht
-
Die Formatierungsdefinitionen im "Cascading Style Sheet"
(CSS) für den Fallbericht in der Textdatei "Case Report.txt" besitzen jetzt
reichlich Erläuterungen, die es einfacher machen sollten, die Formatierung nach Ihren
Wünschen anzupassen.
-
Falls .eml-Dateien direkt als HTML im Browser angezeigt
werden (die sogenannte alternative Darstellung), können die Anhänge jetzt
optional zusammen mit den .eml-Dateien kopiert und direkt aus der HTML-Darstellung
verlinkt werden.
-
In diesem Zusammenhang: Die Darstellung von .eml-Dateien
ohne die Header und die alternative .eml-Darstellung sind jetzt getrennte
Optionen, die miteinander kombiniert werden können.
-
Möglichkeit, die Beschreibung von Berichtstabellen
direkt in den Dialogfenstern für den Berichtstabellenfilter und für die
Erzeugung und Verwaltung von Berichtstabellen und -verknüpfungen zu sehen.
Suchtreffer
-
Block-Hash-Treffer können jetzt größer als ~ 64 KB sein.
Größere Treffer müssen daher nicht mehr in Fragmente von je ~ 64 KB aufgeteilt
werden.
-
Physische Suchtreffer (d.h. in
Disk/Partition/Volume-Modus definierte) können jetzt ebenfalls größer
als ~ 64 KB sein, z. B. selbst definierte Suchtreffer (sog. eigene
Suchtreffer).
-
Die Vergleichsfunktion wurde aus dem Menü Datei-Tools
in das Menü Extras verschoben (da sie ggf. für Datenträger noch nützlicher ist
als für Dateien) und wurde für Nutzer von X-Ways Forensics weiter überarbeitet.
Sie besitzt jetzt die Möglichkeit, die identifizierten unterschiedlichen oder
identischen Datenbereiche als Suchtreffer (ein Eintrag pro zutreffendem
Bereich) anstelle einer Textdatei (eine Zeile pro zutreffendem Byte)
auszugeben, für bequemere Einsicht und Navigation direkt im Programm in der
Suchtrefferliste, analog zu Block-Hash-Treffern. Diese Option ist nur
verfügbar, wenn zumindest die zweite Datenquelle ein Asservat ist. Das
Ergebnis ist in der Suchtrefferliste dieses Asservats zu sehen.
Nützlich beispielsweise für Nutzer, die geklonte Festplatten mit kleineren
Änderungen miteinander vergleichen wollen, wenn sich deren Hash-Werte
unterscheiden, oder eine der beiden Platten noch etwas verwendet wurde, um
die tatsächlichen Unterschiede zu identifizieren und besser zu verstehen, was
diese verursacht hat. Auch nützlich, um die an einem RAID-Level 0 System
beteiligten Platten oder Mirror-Volumes zu vergleichen, um zu prüfen, ob diese
tatsächlich völlig identisch sind, bzw. falls nicht, die tatsächlich abweichenden
Bereiche leicht zu finden, zu sehen wie groß diese sind, was für Daten diese
enthalten, und um zu beurteilen, ob auch die zweite Kopie einer vollständigen
Untersuchung unterzogen werden muß, einschließlich Carven, Begriffssuchen,
etc. Bitte bedenken Sie auch, daß Sie zum visuellen Vergleich der Daten in
verschiedenen Datenfenstern auf Unterschiede an einander entsprechenden Offsets
den Befehl Synchronisieren & vergleichen einsetzen können.
-
Die Länge der Block-Hash-Treffer, nutzerdefinierter physischer
Suchtreffer und der Vergleichsergebnisse wird jetzt in der Suchtrefferliste in
der Größenspalte angezeigt. Dies ist beispielsweise nützlich, um Block-Hash-Treffer
nach ihrer Länge sortieren zu können und die relevanteren (größeren) Übereinstimmungen
zuerst zu sehen.
-
Die maximale Anzahl Suchbegriffe, die in der Suchbegriffsspalte
angezeigt wird, wurde von 25 auf 50 erhöht.
Dateityp-Unterstützung
-
Die Abdeckung der Generator-Signaturen wurde deutlich weiter
zur Perfektion gebraucht.
-
Die spartan.edb Datenbank des Edge Browsers wird für die
Metadaten-Extraktion unterstützt. Eine HTML-formatierte Vorschau wird erzeugt
und Ereignisse werden zur Ereignisliste hinzugefügt für alle Favoriten und
ReadingList-Einträge.
-
Windows PowerShell Events und ihre wichtigsten Werte werden
aus Windows-Event-Logs extrahiert und in die Ereignisliste ausgegeben. Diese
Ereignisse beinhalten Start und Stop der Konsole und die (ggf. erfolglose)
Ausführung von Skripten (einschließlich deren Pfad). Für Untersuchungen von
Schadprogrammen potentiell nützlich.
-
Die interne Behandlung von Dateiarchiven wurde überarbeitet.
-
Die Extraktion von Exif-Metadaten aus Nikon-Kameras
wurde verbessert.
-
MP3-Metadaten-Extraktion überarbeitet. Eine sinnvolle
Auswahl wird in die Metadaten-Spalte ausgegeben, um besser zwischen MP3-Dateien
verschiedener Arten oder aus verschiedenen Quellen unterscheiden zu können, z.B.
Sprachaufnahmen oder kommerzielle Audio-Dateien. Bitte beachten Sie, daß Sie auch
nach generischer Relevanz sortieren lassen können, um zu versuchen solche Dateien
zu unterscheiden.
-
Zeitstempel in der HTML-Vorschau von EDB-Datenbanken
werden jetzt basierend auf der nutzerdefinierten Zeitzone anstatt UTC
ausgegeben.
-
Die Gewichtung, mit der die Aktualität und die Größe
einer Datei ihre berechnete generische Relevanz beeinflussen, ist jetzt
nutzerdefinierbar. 100% bedeutet Standard-Gewichtung. 50% bedeutet halb
soviel. 0% bedeutet, der Faktor hat gar keinen Effekt. Maximum ist 255%.
-
Die berechnete generische Relevanz wird jetzt als
Zahlenwert
dargestellt.
Datei-Header-Signatur-Suche
-
Die Zahl der falschen Carving-Treffer Signatur-Suche
mit vermuteter NTFS-Kompression wurde reduziert.
-
Falls die Datei-Header-Signatur-Suche abstürzt beim
Parsen der Daten, unter Annahme eines bestimmten Dateiformats, die in
einem bestimmten Sektor beginnen, wurde bisher nur ein solcher Sektor
festgehalten und automatisch übersprungen, wenn die Datei-Header-Signatur-Suche
erneut gestartet wurde. Jetzt werden bis zu acht solcher Sektornummern
festgehalten, und sie werden in den Eigenschaften des Asservats gespeichert,
statt im Datei-Überblick, was bedeutet, daß die Informationen nicht
verloren gehen, wenn ein neuer Datei-Überblick erzeugt wird. Diese können
eingesehen und bearbeitet werden, indem man auf den neuen "..." Schalter
im Dialogfenster für die Asservat-Eigenschaften klickt.
-
Datei-Header-Signaturen können in den
"File Type Signatures *.txt"-Dateien jetzt optional direkt (nicht in GREP)
festgehalten werden, mit dem neuen Flag "d". Nützlich beispielsweise, wenn
Sie mit GREP-Notation nicht sonderlich vertraut sind, oder kein GREP brauchen und die
Zeichen einfach nur wörtlich basierend auf der Codepage Ihres aktuellen Windows-Systems
interpretiert haben möchten, ohne darüber nachdenken zu müssen, ob bestimmte Zeichen
in GREP Sonderbedeutung haben. Zum Beispiel ist <?xml version="1 eine gültige
Signatur für bestimmte XML-Dateien, funktioniert aber nur mit dem neuen "direkt"-Flag,
da das Fragezeichen in GREP Sonderbedeutung hat, die für diese Signatur intern eine andere
Byte-Wert-Sequenz ergeben würde, falls der Ausdruck in GREP interpretiert wird, und würde
bei aktiver GREP-Interpretation keinerlei Treffer ergeben.
-
Ein neues Flag "L" in "File Type Signatures Search.txt"
identifiziert Verweise, die lediglich andere Definitionen referenzieren. Nützlich
beispielsweise, um einen Eintrag für OpenOffice-Dateien zu haben, der von einigen
Nutzern vermisst wurde, und dessen Abwesenheit zu der Fehlannahme führt, daß es nicht
möglich ist, OpenOffice-Dateien mit WinHex oder X-Ways Forensics zu carven. Falls
der Eintrag für OpenOffice-Dateien zum Carven ausgewählt wird, wählt dies intern
automatisch ZIP-Archive zum Carven aus, was Sinn ergibt, da OpenOffice-Dateien
technisch ZIP-Dateien sind und als solche auch gecarvt werden können. Der Nachteil ist
nur, daß auch ZIP-Archive gecarvt werden, die keine OpenOffice-Dateien sind.
Allerdings können diese dank der internen Dateityp-Erkennung voneinander
unterschieden werden, beispielsweise auf der Basis der automatisch zugewiesenen
Dateierweiterung.
X-Tensions API
-
Flags, um Kommentare und extrahierte Metadaten zu Dateien in Datei-Container zu
übernehmen, wurden definiert.
-
Neue X-Tensions API Funktion: XWF_SetHashValue.
-
Dokumentation aktualisiert.
Verschiedenes
-
Beim Import von Hash-Werten aus NSRL RDS, wenn Sie das
Hash-Set als irrelevant klassifizieren, werden als besonders oder als
bösartig gekennzeichnete Hash-Werte ignoriert (nicht importiert). Wenn Sie
das Hash-Set als verdächtig klassifizieren, werden nur als bösartig gekennzeichnete
Hash-Werte importiert. Wenn Sie das Hash-Set als unkategorisiert kennzeichnen,
werden nur Werte importiert, die als besonders klassifiziert sind, oder ein
unbekanntes Flag besitzen. Wenn Sie also alle Hash-Werte importieren möchten,
können Sie dieselbe NSRL-Hash-Set-Datei dreimal importieren, mit jeweils anderer
Klassifizierung, und alle Hash-Werte kommen in angemessen klassifizierte interne
Hash-Sets.
-
Wiederherstellen/Kopieren: Option, Dateien zu überspringen,
wenn identisch benannte Dateien im Ausgabeverzeichnis bereits existieren.
-
Beim Start einer weiteren Instanz wird Ihnen jetzt
angezeigt, welche Instanzen mit jeweils welchem Fall bereits laufen, und Sie
können auswählen, exakt welche dieser Instanzen Sie analysieren oder
wiederbeleben möchten, und Sie haben jetzt zusätzlich die Möglichkeit, eine
bestimmte Instanz direkt zu beenden, wie mit dem Windows Task Manager (aber
mit der Sicherheit, die korrekte Instanz zu erwischen, da Sie den Namen des
jeweiligen Falles sehen können).
-
Fortschrittsbenachrichtigungen werden jetzt optional nur
verschickt, wenn der Bildschirm gesperrt ist, d.h. der Benutzer
bekanntermaßen nicht am Arbeitsplatz
ist.
-
Die chinesische Übersetzung ist jetzt mit jedem
Lizenztyp verfügbar. (Besonders wichtige Information im
deutschsprachigen Newsletter.)
-
Viele kleinere Verbesserungen.
-
Einige kleinere Korrekturen.
-
Die Programmhilfe und das Benutzerhandbuch wurden auf
den Stand von v19.0 gebracht.
Änderungen der Service-Releases von v18.9
-
SR-1: Fixed inability to convert certain old volume
snapshots to the current format.
-
SR-1: Fixed synchronization of report table
associations for multiple examiners in the same case.
-
SR-1: Fixed exception errors that could occur when
viewing the SAM registry hive.
-
SR-1: Inline files embedded in original .eml/.emlx
files are now extracted and provided as child objects.
-
SR-1: Avoided "Hash database not suitable for
matching" error message in certain situations.
-
SR-2: No longer ignores certain FILE records deleted
by certain non-Windows NTFS file system drivers.
-
SR-2: Fixed an instability issue that could occur
when parsing certain olk14Message files.
-
SR-2: Fixed problems with EDB database processing.
-
SR-2: The Description filter option "list respective
parent video as well" had a problematic effect when checked if the check
box was invisible. That was fixed.
-
SR-3: Fixed crashes that could occur when loading
certain TIFF and olk14message files.
-
SR-3: The creation of report tables for group IDs of
files whose group permissions are different from the permissions of
others (only v18.9) is now optional (see volume snapshot options), and
should best be inactive when parsing Android Ext4* file systems because
of the sheer number of defined user groups.
-
SR-3: Quoted printable decoding in the alternative
.eml preview now also for multi-part messages.
-
SR-3: Creation timestamps in orphaned inodes of Ext4
file systems, where available, are now included in the volume snapshot.
-
SR-4: Automatic hash verification of multi-segment
images immediately after creation failed in v18.9 even though the images
were fine. That was fixed.
-
SR-5: In v18.6 SR-4 and later (but not v18.8), when
trying to resolve conflicting categorizations in newly imported PhotoDNA
hash values, the category of some existing hash values in the database
may have been inadvertently changed. That was fixed.
-
SR-5: Accelerated duplicate and consistency checks
when importing huge PhotoDNA hash set collections.
-
SR-5: PhotoDNA import logic generally slightly
revised.
-
SR-5: If during the import of a ProjectVic database
it is discovered that the same picture is categorized as child abuse and
child exploitation at the same time, this is still counted as an
inconsistency, but such instances are no longer specifically brought to
the user's attention. The first 10 encountered other conflicting
classifications, if any, are still output in great detail, and the
affected PhotoDNA hash values are now listed in Base64 notation instead
of Hex ASCII, i.e. in the same encoding as used in ODATA JSON files for
easier reference.
-
SR-5: Classification inconsistencies are now reported
also when importing X-Ways Forensics PhotoDNA hash databases.
-
SR-5: Ability to import extracted metadata from
evidence file containers as stored in containers by v19.0 and later.
-
SR-6: The recommended data reduction no longer causes
directory browser cells of red X files to be omitted from logical
searches.
-
SR-6: An exception error was avoided that could occur
during assembler opcode interpretation by the Data Interpreter in v18.9.
-
SR-6: Fixed a rare exception error that could occur
when parsing .evt event log files.
-
SR-6: The values of some integer fields in .evtx
event log files were not output in the HTML previews. That was fixed.
-
SR-6: With certain case report settings certain
copied files were not linked. That was fixed.
-
SR-7: A change of internal Windows behavior
introduced with Windows 10 Anniversary Update caused instability when
using Details mode. That effect is now prevented.
-
SR-7: Fixed missing update of the gallery in certain
situations when the listing of files in the directory browser was
changed.
-
SR-8: X-Tension API: A new flag
(XT_PREPARE_TARGETZEROBYTEFILES) now allows an X-Tension to tell X-Ways
Forensics that it wishes to be called also for files with a size of 0
bytes.SR-8: The "Other" option of the Owner filter did not always work
correctly for files from file systems other than NTFS. That was fixed.
-
SR-8: The option to jump to a specified absolute disk
sector number within its respective partition did not work quite right
if partitions overlapped. That was fixed.
-
SR-8: Fixed problem of missing date in the 2nd
timestamp column of weekly index.dat files.
-
SR-8: Fixed an exception error that could occur when
taking a snapshot of Ext3/Ext4 volumes with WinHex Lab Edition or WinHex
with a specialist license.
-
SR-8: Some other exception errors fixed.
-
SR-9: In the registry viewer in v18.9 some rare
values or keys were not displayed or triggered an exception error. That
was fixed.
-
SR-10: Fixed an exception error in the Export List
command that occurred when not working with a case.
-
SR-10: Fixed instability resulting from SQLite
databases with 100,000 embedded binary objects or more.
-
SR-10: Selecting values in the registry viewer that
are stored beyond the first 64 MB of a registry hive did not update the
block in the underlying data window and or the information in the lower
right corner of the registry viewer. That was fixed.
-
SR-10: Timestamps extracted from registry hives were
not presented correctly to local time for the event list. That was
fixed.
-
SR-10: Fixed an exception error that could occur when
running a file header signature search on a partitioned disk with
overlapping partitions.
Wir hoffen, Sie bald wieder auf
http://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie diesen Newsletter
an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit
weiteren E-Mail-Adressen)
hier. Vielen Dank.
Freundliche Grüße
Stefan Fleischmann
--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde |