X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#161: X-Ways Forensics, X-Ways Investigator und WinHex 19.9 veröffentlicht

15. November 2019

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.9. Erscheinungsdatum war der 14. November 2019. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten oder professionellen Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Anstehende Schulungstermine

Wenn Sie über weitere Termine informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen.


Was ist neu in v19.9?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Befehl Wiederherstellen/Kopieren

  • Es gibt jetzt die Möglichkeit, Dateien bestimmter unterstützter Typen ins PDF-Format zu konvertieren, um diese Dateien mit Anwendern zu teilen, deren Systeme sonst nicht die passenden Anwendungen besäßen, um diese Dateien anzuzeigen, oder falls Sie generell eine fixierte, umgebungsunabhängige Darstellung bevorzugen. Sie können festlegen, welche Dateitypen nicht umgewandelt werden sollen, z. B. diejenigen, die ganz einfach in einem Web-Browser oder mit gewöhnlichen Windows-Werkzeugen dargestellt werden können. Falls keine Umwandlung möglich ist, wird die Original-Datei unverändert herauskopiert.

  • Fähigkeit, den reinen Text aus Dateien verschiedener Typen zu extrahieren, und als Nur-Text-Dateien auszugeben. Dies ist dieselbe Darstellung, die Sie bekommen, wenn Sie vom normalen Vorschau-Modus zum rohen Vorschau-Modus wechseln und dabei die Umschalttaste gedrückt halten, und derselbe Text, den eine logische Suche für diese Datei zu sehen bekäme, wenn Sie X-Ways Forensics den Text in dieser Datei "dekodieren" lassen. Dateien, die sich für die Text-Extraktion nicht eignen (z. B. Bilder) oder aus denen aus irgendwelchen anderen Gründen kein Text extrahiert werden kann, werden entweder normal kopiert, wenn das entsprechende Kontrollkästchen nur halb markiert ist, oder ausgelassen, falls voll ausgewählt.

  • Es gibt jetzt eine Option, alle ausgewählten Dateien als eine einzige PDF-Datei auszugeben. Dies betrifft auch diejenigen Dateitypen, die einzeln normalerweise nicht in PDF umgewandelt würden. Zum Beispiel würde es vermutlich keinen Sinn ergeben, Original-PDF-Dateien erneut in PDF umzuwandeln, aber wenn der Zweck die Bündelung mehrerer Dateien in ein einziges Dokument zur vereinfachten Weitergabe ist, ist das dennoch sinnvoll.

  • Sie haben jetzt die Möglichkeit, den alternativen Namen einer Datei oder sowohl den Haupt- als auch den alternativen Namen in copylog.txt bzw. copylog.html ausgeben zu lassen, je nachdem, was Sie gern sehen würden.

  • Dieselbe Möglichkeit besteht auch für den Befehl "Liste exportieren".

Fallbericht

  • Dateien, die für den Bericht herauskopiert und von dort verlinkt werden, können jetzt bei Bedarf ins PDF-Format umgewandelt werden, analog zur vorgenannten Option des Befehls Wiederherstellen/Kopieren.

  • Sie können jetzt wahlweise den gesamten HTML-Fallbericht ins PDF-Format konvertieren lassen. Dies kann nicht verwendet werden in Verbindung mit der Option, den Fallbericht nach einer bestimmten Anzahl Dateien aufteilen zu lassen. Wenn das Kästchen mit der PDF-Option voll ausgewählt ist, erhalten Sie nur die PDF-Version des Berichts. Halb ausgewählt erhalten Sie sowohl HTML- als auch PDF-Version des Berichts.
    Bitte beachten Sie, falls Sie später eine der beiden Dateien (.html oder .pdf) im Windows Explorer löschen, wird dies automatisch und ggf. unfreiwillig auch das zugehörige Unterverzeichnis mit löschen, das die für den Bericht herauskopierten Dateien enthält, falls vorhanden, selbst, wenn diese für die andere Version des Berichts weiterhin gebraucht werden.

  • Die Erzeugung von Miniaturbildern von Nicht-Bild-Dateien mit oder ohne Schrumpfung ist jetzt auch in aktuellen Versionen von Windows 10 (1809 and 1903) möglich.

  • Die Bericht-Erzeugung produziert keine Kopien mehr von Dateien mit einer Größe von 0 Bytes.

Fallverwaltung

  • Die Datenträger-Sicherungen eines Falles werden im Fallverzeichnis jetzt auch dann automatisch gefunden, wenn es nicht bereits bekannt war, dass sie sich dort befinden (diese Bedingung bestand in früheren Versionen). Dies funktioniert auch dann, wenn sich der Pfad des Falles ändert. Bitte beachten Sie, das Fallverzeichnis ist das Verzeichnis des Falles, mit demselben Namen wie die .xfc-Datei des Falles; nicht zu verwechseln mit dem Standardverzeichnis für Fälle, welches ggf. mehrere Fälle (viele .xfc-Dateien und viele Fallverzeichnisse) enthalten kann.

  • Ein eigener, fallspezifischer Standardpfad für Datenträgersicherungen kann jetzt in den Eigenschaften eines Falles festgelegt und aktiviert werden, was den allgemeinen Standardpfad für Sicherungen in diesem Fall ersetzt. Das bedeutet, dieser Pfad wird voreingestellt, wenn neue Sicherungen erzeugt oder Sicherungen zum Fall hinzugefügt werden. Es wird außerdem zu einem Ort, an dem X-Ways Forensics automatisch nach Datenträgersicherungen sucht, die nicht mehr in ihrem zuletzt bekannten Pfad gefunden werden können. Der fallspezifische Pfad kann auch relativ sein, wobei sich in diesem Fall . auf das Fallverzeichnis und .. auf das Elternverzeichnis des Fallverzeichnisses bezieht. Ein vorgeschlagener spezifischer Ort, in dem die Images eines Falles gespeichert werden können, ist das Unterverzeichnis \!images für Fälle, die in v19.9 neu erzeugt werden.
    Bitte beachten Sie allerdings, dass es aus Performanzgründen weiterhin ratsam sein kann, Fälle und Images auf unterschiedlichen physischen Speichermedien abzulegen. Wenn Sie in v19.9 einen fallspezifischen Image-Pfad festlegen und diesen Fall in v19.8 oder früher öffnen, werden Sie eine Warnung erhalten, dass unbekannte Daten ignoriert und verloren gehen werden, aber Sie können mit diesem Fall dennoch in der älteren Version arbeiten und den Pfad später in v19.9 wieder definieren, falls notwendig.

  • Project-Vic-Kategorien für die USA sind jetzt in der benutzereditierbaren Datei PVicCat.txt festgelegt. Britische und kanadische Versionen dieser Datei gibt es im PhotoDNA-Download-Bereich unseres Web-Servers. Nutzer aus anderen Ländern mit anderen Kategorien können ihre Kategorie-Definitionen gerne mit uns teilen, um diese anderen Benutzern zur Verfügung zu stellen.

Suchfunktionalität

  • Indexierung und Index-Suchen wurden überarbeitet.

  • Fähigkeit, “sprechende” Namen für komplizierte GREP-Ausdrücke dauerhaft zu hinterlegen, wenn Sie Suchbegriffe in der Suchbegriffsliste umbenennen. Zukünftige Suchen nach denselben Ausdrücken werden die Einträge direkt mit dem leichter erkennbaren, freundlicheren Namen in die Suchbegriffsliste eintragen. Sprechende Namen und zugehörige GREP-Ausdrücke werden in der Textdatei "GREP Expressions.txt" gespeichert, die Sie mit Ihren Kollegen austauschen können und aus der Sie die GREP-Ausdrücke bei Bedarf leicht herauskopieren können. Die Datei kann aus dem Fenster der Parallelen Suche heraus geöffnet werden, indem Sie auf den Schalter mit der gelben Glühbirne klicken (eine Glühbirne für "Ideen" für Ausdrücke, nach denen man suchen könnte). Sie können diese Datei direkt mit einem beliebigen Text-Editor bearbeiten. Achten Sie lediglich darauf, die Struktur beizubehalten: Immer ein sprechender Name gefolgt von einem GREP-Ausdruck, also zwei Zeilen für jedes solche Paar, in UTF-16.

  • Die Logik der Suchtrefferfilter wurde überarbeitet: Sie haben jetzt die Möglichkeit, sich auf Suchtreffer zu konzentrieren, deren Kontext ein bestimmtes Wort NICHT enthält. Und Sie haben die Möglichkeit, alle Filteroptionen mit einem logischen ODER oder UND zu verknüpfen.

  • Es gibt jetzt einen Kontextmenü-Befehl in Suchtrefferlisten, der für alle Suchtreffer in dem/n vom aktuellen Datenfenster repräsentierten Asservat(en) die Kennzeichnung als wichtig entfernt. Dies ermöglicht eine stufenweise (inkrementelle) Filterung. Beispiel: Sie filtern nach Suchtreffern, deren Kontext das Wort "Hallo" enthält. Dann kennzeichnen Sie diese Treffer als wichtig (Strg+A gefolgt von dem neuen Kontextmenü-Befehl). Dann filtern Sie nach Suchtreffern, die wichtig sind UND das Wort "Hey" enthalten. Dann demarkieren Sie alle Suchtreffer (auch die, die aktuell nicht angezeigt werden), was auf die dargestellte Liste keinen unmittelbaren Effekt hat, und kennzeichnen stattdessen nur die aktuell aufgelisteten als wichtig. Im Ergebnis sind jetzt all die Suchtreffer als wichtig gekennzeichnet, deren Kontext sowohl "Hallo" als auch "Hey" enthält.

  • Es ist jetzt möglich, Dateien bei logischen Suchen auszulassen, die aus Hash-Datenbanken in irgendeiner Weise bekannt sind (gleichgültig, ob als bekanntermaßen irrelevant oder bekanntermaßen von Bedeutung).

Dateityp-Unterstützung

  • Die Bildbetrachtungsbibliothek wurde aktualisiert, überarbeitet insbesondere für GIF-Bilder.

  • Der Algorithmus, der die generische Relevanz von Bildern berechnet, wurde überarbeitet. Die generische Relevanz für JPEG-Dateien betont jetzt den Aufklärungswert gegenüber dem Nachrichtenwert und den Beweiswert gegenüber dem Informationswert.

  • Relevanz-Berechnung wurde insbesondere für JPEG- und PNG-Bilder überarbeitet. 3.0 ist der festgelegte Basiswert für JPEG-Dateien in "File Type Categories.txt". 3.0 ist auch der Wert, den Sie von Bildern erwarten können, die nur Werbung sind. 3.2 = typisches Bild im Browser-Cache. 3.5 = typisch für ein Bild aus der Systempartition. 3.9 = Social Media. 4.1 = Webcam. 4.2 = Backup. 4.7 = Foto wie ursprünglich von einer Kamera aufgenommen. Bilder nach Relevanz sortieren erzeugt einen Gruppierungseffekt in der Galerie, da Bilder aus einem ähnlichen Kontext nebeneinander sortiert werden.

  • Relevanz-Berechnung wird jetzt auch für einige etwas exotischere Dateitypen durchgeführt, die bisher nicht abgedeckt wurden.

  • Die Tabelle der Generatorsignaturen wurde erheblich erweitert und aktualisiert. Beispielsweise enthält sie jetzt eine neue Signatur für Smartphones wie das Samsung Galaxy S10.

  • Erkennung der Gerätetypen Screen und Frontkamera für neuere iPhone- und Samsung-Smartphone-Modelle aktualisiert.

  • Vorkommnisse fälschlicher Identifikation von Dateien als von einem Gerätetyp "Scanner" erzeugt wurden reduziert.

  • Eine neue Video-Generatorsignatur wurde hinzugefügt.

  • Generatorsignaturen werden jetzt für weitere Dateitypen berechnet, was auch Dateitypen wie GIF, HTML, WEBP, AVI und die RIFF-Format-Familie einschließen kann.

  • Die Liste der erkannten Smartphone-Modelle wurde erheblich ausgebaut und mit neuen Modellen aktualisiert.

  • Die Tabelle der iOS-Release-Daten wurde aktualisiert.

  • Details-Modus: Das Summary-Feld "Timestamp from file name" heißt jetzt allgemeiner "Filename analysis". Es zeigt das erkannte Namensschema, beispielsweise Twitter, und/oder einen Zeitstempel. Relativ viele JPEG-Dateien haben einen zusätzlichen Zeitstempel im Namen. Das erkannte Namensschema wird bei der Relevanz-Berechnung berücksichtigt.

  • Zwei weitere Zeitstempel werden aus dem PNG-Dateiformat extrahiert.

  • Einige seltene Erzeugungszeitstempel werden aus XMP-Metadaten in JPEG-Dateien extrahiert.

  • Zwei weitere Zeitstempel in JPEG-Dateien werden jetzt als Kandidaten für die Spalte "Erz. des Inhalts" betrachtet. Wenn ein offizieller Erzeugungszeitstempel in den internen Metadaten gefunden wird, wird dieser Zeitstempel hier angezeigt. Wenn nicht, kann praktisch jeder andere plausible Zeitstempel als Ersatz hergenommen werden, selbst ein Zeitstempel, der aus dem Dateinamen abgeleitet wurde, falls notwendig. Auf diesem Weg können schätzungsweise etwa 60% aller JPEGs mit einem Wert für Erzeugung des Inhalts angezeigt werden.

  • Extraktion von Erzeugungszeitstempeln aus iPhone-Screenshots im PNG-Format.

  • Der Zeitstempel für Erzeugung des Inhalts wird für extrahierte Miniaturbilder jetzt von der Elterndatei vererbt.

  • Fähigkeit, JPEG-Objekte in PDF-Dokumenten trotz einer speziellen, falschen Kodierung zu finden.

  • Verbesserte Metadaten-Extraktion aus MSG-Dateien.

  • Extraktion ursprünglicher Dateinamen aus den INFO2-Dateien im Papierkorb alter Schule.

  • Fähigkeit, inaktive Versionen der Logdateien utmp, wtmp und btmp anzuzeigen.

  • PList- und BPList-Dateien werden jetzt für die Vorschau bei Bedarf geparst, falls der Dateiüberblick noch nicht erweitert wurde und das Unterobjekt mit dem geparsten Inhalt noch nicht existiert.

  • Verarbeitung von PNG- und WEBP-Dateien überarbeitet. Die generische Relevanz wird jetzt analog zu JPEG-Dateien berechnet.

  • Verbesserte Erkennung von in Segmente zerlegten Archiven.

  • Die Archiv-Verarbeitung wurde allgemein überarbeitet.

Dateisystem-Unterstützung

  • Der erste Sektor einer komplett nicht initialisierten Datei (sog. gültige Datenlänge = 0) wird bei der Datei-Header-Signatur-Suche nicht mehr ausgelassen.

  • Der Vorschau-Modus behandelt die nicht initialisierten Bereiche einer Datei jetzt genau wie der Datei-Modus, abhängig von der entsprechenden Datei-Überblick-Option.

  • Bei der Suche nach FILE-Records als Teil der gründlichen Dateisystem-Datenstruktur-Suche werden Cluster, die zu virtuellen Festplatten-Images gehören, ausgelassen. Dies funktioniert jetzt für mehr Typen solche Festplatten-Images.

  • Die Ausgabe einfacher erweiterter Attribute in Apple-Dateiystemen als spezielle Zeilen in der Metadaten-Spalte anstatt als Unterobjekte ist jetzt optional. Falls in der Metadaten-Spalte enthalten, wird das Metadaten-Feld jetzt auch im Details-Modus angezeigt.

Verschiedenes

  • Computertechnisch versierte Nutzer haben jetzt die Möglichkeit, die gewünschten Dateiattribute neu erzeugter Datenträgersicherungen selbst festzulegen, wie z. B. "schreibgeschützt" oder "verschlüsselt", aber auch Buffering-Flags zur Performanzoptimierung in ungewöhnlichen Umgebungen wie z. B. "write through". Attributes werden gründlichst beschrieben unter https://docs.microsoft.com/en-us/windows/win32/fileio/file-attribute-constants, Flags unter https://docs.microsoft.com/en-us/windows/win32/api/fileapi/nf-fileapi-createfilea. Das Flag für "no buffering" sollte nicht verwendet werden. Attribute und Flags werden kombiniert durch Verodern oder Addition und müssen in hexadezimaler Notation angegeben werden.

  • Ein roher (nicht-.e01) Datei-Container kann jetzt von WinHex mit einem beliebigen Lizenztyp interpretiert und als Laufwerksbuchstabe gemountet werden, um die Dateien für andere Tools verfügbar zu machen, falls diese anderen Tools das Container-Format nicht selbst verstehen. (Falls ein solcher Container nicht mehr als 1.000 Objekte enthält, genügt sogar die Evaluationsversion von WinHex.)

  • Hex-Editieren: WinHex erlaubt es jetzt, eine Reihe von Hex-Werten einer bestimmten Länge, die allesamt aus Jokerzeichen bestehen, durch andere Hex-Werte zu ersetzen, wobei die ersetzenden Hex-Werte ebenfalls teilweise Jokerzeichen sein können, um einige ursprüngliche, aber variable Hex-Werte zu behalten, und andere zu ändern.

  • Der Befehl XWF_OpenItem der X-Tension API (in Verbindung mit XWF_Read) kann jetzt dazu verwendet werden, eine PDF-Darstellung der angeforderten Datei zu erhalten.

  • Der Befehl XWF_GetItemName der X-Tension API erlaubt jetzt, den alternativen Namen einer Datei aus dem Datei-Überblick abzufragen.

  • Fähigkeit, Windows 10 PE als Plattform zu erkennen.

  • Einige Stabilitätsverbesserungen.

  • Viele kleinere Verbesserungen.

  • Ein Fehler im Setup-Programm wurde behoben, der das Programm unerwartet beenden konnte.

  • Das Benutzerhandbuch und Hilfe wurden für v19.9 aktualisiert.


Änderungen der Service-Releases von v19.8

  • SR-1: Fixed erroneous presentation of certain compressed files in HFS+ as already viewed.

  • SR-1: Prevented usage of corrupt internal Photoshop filenames to name carved files.

  • SR-2: Fixed an exception error in v19.8 that could occur repeatedly during file header signature searches for JPEG files under certain conditions.

  • SR-2: Fixed an exception error in v19.8 that could occur when processing video files.

  • SR-2: Fixed an access violation error that could occur when processing certain EDB database files.

  • SR-3: Fixed an error in the dialog window for the copylog file settings.

  • SR-3: The new JSON export function skipped files in the 64-bit edition. That was fixed.

  • SR-3: Presentation of metadata from extended attributes in Apple file systems adjusted to make it more obvious where it comes from.

  • SR-3: German program help and user manual updated.

  • SR-4: Ability to skip the new window state where the lower half of a data window becomes the right half, by holding the Shift key when clicking the vertical bar with the four gray dots.

  • SR-4: Fixed inability to display certain GIF variants.

  • SR-4: Fixed an exception error that could occur when searching for embedded data.

  • SR-4: Fixed potential corruption of filenames in volume snapshots taken by v19.8.

  • SR-4: Ability to replace the path of an evidence object that is a single file.

  • SR-4: Fixed a general stability problem.

  • SR-4: Fixed an exception error that occurred with the Russian translation of the user interface.

  • SR-5: Support for Unix style absolute paths in zip archives.

  • SR-5: Fixed an exception error that could occur in v19.8 when filtering for report table associations and additionally including direct child objects.

  • SR-5: Fixed an instability issue that could occur when refining the volume snapshot with multiple threads.

  • SR-5: Understands extra large clusters in NTFS as now supported in Windows 10.

  • SR-5: No longer ignores FAT directory entries with corrupt size values.

  • SR-5: Fixed an exception error that occurred in the 64-bit edition when parsing non-standard $Bad FILE records.

  • SR-5: Entering the known password of an encrypted file archive that had been processed already did not always have an immediate effect. That was fixed.

  • SR-6: In certain situations, X-Ways Forensics alerted the user of Bcc: e-mail recipients, but presented them as Cc: recipients only instead of Bcc:. That was fixed.

  • SR-6: Fixed inability to open the virtual APFS Descriptors file.

  • SR-6: Now properly filters out ASCII control codes within Quoted Printable.

  • SR-6: More reliable archive password test.

  • SR-6: Fixed a rare zip extraction error.

  • SR-6: Fixed an error in Google Chrome SNSS processing.

  • SR-7: Fixed outdated category pop-up menu statistics in certain situations.

  • SR-7: Prevented instability caused by certain corrupted WofCompressed files.

  • SR-7: Fixed an error in zlib deflate conversion for larger amounts of data.

  • SR-7: Some more devices supported by BYOD.

  • SR-8: The option "Convert RTF e-mail bodies to plain UTF-8" did not work in all situations. That was fixed.

  • SR-8: Auxiliary timestamps of e-mail attachments as retrieved from the parent e-mail message are now also used for sorting, not only display purposes.

  • SR-8: Fixed sorting by the Full path column.

  • SR-8: Ignores clusters belonging to more virtual machine disk image types when searching for FILE records everywhere.

  • SR-8: Fixed incorrect reporting of registered owner in the Windows Registry report when the RegisteredOwner value is not present.

  • SR-8: Fixed incorrect reporting of a responsible file after a crash and restart when only a single thread was used (internal ID off by 1).

  • SR-9: Ability to parse BPLists with arrays instead of dicts at the top level.

  • SR-9: Fixed an error that could occur when adding hash values to a large hash database with the option "Omit hash values that are already contained in the database".

  • SR-9: Fixed internal recoding of search terms.

  • SR-10: Fixed calendar tooltips for high DPI settings.

  • SR-10: Auxiliary checkmark representation in the Type filter dialog window for Windows PE/FE.

  • SR-10: Prevented a rare exception error that could occur when parsing corrupt NTFS file system data structures.

  • SR-10: Write-protecting a physical storage device in X-Ways Forensics no longer officially also sets volumes internally defined in Windows on that device to read-only status as that triggers an unintended write operation in Windows.

  • SR-10: Fixed an exception error that could occur when opening directories in APFS.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

  
#160: X-Ways Forensics, X-Ways Investigator und WinHex 19.8 veröffentlicht

21. Februar 2019

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.8. Erscheinungsdatum war der 21. Februar 2019. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten (!! mit aktuellem Passwort !!) sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Anstehende Schulungstermine

19.-22. März Nürnberg X-Ways Forensics
12.+13. Juni Nürnberg X-Ways Forensics II

Wenn Sie über weitere Termine informiert werden möchten, können Sie hier Ihre E-Mail-Adresse hinterlassen.


Was ist neu in v19.8?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

File System Support

  • Umfassenderes Verständnis von APFS-Dateisystem-Datenstrukturen.

  • Unterstützung einer neuen Variante des Ext4-Dateisystems. Das Parsen dieser Variante (um einen Datei-Überblick zu erzeugen) ist ohne Verständnis der speziellen Eigenschaften zum Scheitern verurteilt. Frühere Versionen von X-Ways Forensics melden dem Nutzer die Anwesenheit eines nicht-unterstützten Dateisystem-Features.

  • Die Option, das Ext3/Ext4-Journal zu parsen, hat sich als etwas problematisch herausgestellt und wurde aus den Optionen des Datei-Überblicks entfernt.

  • Es gibt nun für die besonders intensive Dateisystem-Datenstruktur-Suche eine optionale Funktion, die bestimmten ehem. existierende Dateien, die sonst nur mit Metadaten des Dateisystems dargestellt würden und ohne Inhalt, doch Daten zuordnen kann, mit Hilfe des Ext3/Ext4-Journals.

  • Im Vergleich zu früheren Versionen deutlich erweiterte Vorschau/Darstellung des Ext3/Ext4-Journals.

  • Die fälschliche Anzeige als bereits eingesehen für bestimmte in HFS+ komprimiert gespeicherte Dateien wurde behoben.

Dateiformat-Unterstützung

  • Zwei zusätzliche interne Metadaten-Zeitstempel werden jetzt aus MS Word OLE2-Compound-Dokumenten extrahiert, die zum Abgleich nützlich sein können. Das Feld "nRevision" wird jetzt ebenfalls extrahiert, was laut seiner Dokumentation angibt, wie oft das Dokument gespeichert wurde.

  • Probeweise Unterstützung für das RAR-Archivformat Version 5.

  • Sprunglisten-Hash-Werte werden jetzt in Anwendungsnamen übersetzt bei der Metadaten-Darstellung von customDestionations-ms und automaticDestinations-ms Sprunglisten, basierend auf der neuen, Nutzer-editierbaren Textdatei namens JumpListNames.txt. Die Übersetzungstabelle besteht aktuell aus etwa 500 Einträgen. Falls Sie Einträge hinzufügen, achten Sie bitte darauf, dass Sie diese an der richtigen Stelle einfügen, damit die Einträge weiterhin aufsteigend nach CRC sortiert bleiben. Führende Nullen im CRC müssen natürlich erhalten bleiben. Zwischen CRC und Anwendungsname ist ein Tabulatorzeichen.

  • Darstellung weiterer Kamera-Raw-Formate in Galerie und Vorschaumodus nach erfolgter Suche nach eingebetteten Bildern: NEF, ARW, ORF

  • Der Zeichensatz bzw. die Code Page von Textdateien wird nicht mehr in der Typ-Spalte angezeigt, sondern in der Metadaten-Spalte.

  • Viele Detail-Verbesserungen bei der Metadaten-Extraktion.

  • Generator-Signaturen für die QuickTime-Video-Format-Familie (MOV, MP4, 3GP, ...) definiert, in der Datei "Video Signatures.txt". Videos dieser Format-Familie und auch AVIs bekommen einen Gerätetyp zugewiesen. Der ermittelte Gerätetyp von Videos wird auch deren generische Relevanz beeinflussen, basierend auf der Gewichtung, die Sie für JPEG-Dateien in der Datei "Generator Signatures.txt" anpassen können, am Ende der *** Zeilen. Die Struktur der "Video Signatures.txt" ist mit der der "Generator Signatures.txt" identisch. Aktuell besteht sie aus zwei Unterkategorien: Original und Generic. Sie können neue Signaturen (wie im Detailmodus angezeigt) zum Abschnitt Original hinzufügen, wenn Sie sich sicher sind, dass das Video nicht bearbeitet wurde, sonst im Abschnitt Generic.

  • Zusätzliche Metadaten werden aus QuickTime Videodateien extrahiert. Beispielsweise die Werte für pixel dimensions und handler sind neu. Die Anwesenheit von angehängten Daten (trailing data) wird ebenso erwähnt wie ein unvollständiger Zustand einer QuickTime Videodatei.

  • Der Bearbeitungszustand "Original" wird für QuickTime Videos im Detailmodus angezeigt, falls zutreffend. Diese Aussage ist allerdings nicht so stark wie für JPEG-Bilder. Die Inhalte könnten auf ungewöhnliche Art verändert sein, ohne, dass dies erkennbar wäre (z.B. der Austausch einzelner Frames). Die Aussage bezieht sich auf die Formatstruktur. Gewöhnliche Bearbeitungsprogramme ändern diese Struktur praktisch immer, weswegen "gewöhnliche" Bearbeitung erkannt wird.

  • Exif-Daten aus HEIC-Bildern werden extrahiert.

JPEG-Metadaten-Unterstützung

  • Der DHT-Marker in JPEG-Dateien wird bei der Metadaten-Extraktion jetzt ausgewertet. Falls der Marker vom JPEG-Standard definierte Werte enthält, wird er als "Standard" gekennzeichnet, andernfalls wird die Anzahl der Tabelleneinträge ausgegeben. Praktisch alle Digitalkameras verwenden Standardtabellen, aber von Sozialen Netzwerken erzeugte JPEGs nicht. Diese verwenden optimierte Tabellen und erreichen so eine Größenreduktion um etwa 5%.

  • Es werden jetzt über 20.000 Geräte anhand von "Generator Signatures.txt" und über 6.000 Smartphone-Modelle mittels "Phone Alias Table.txt" erkannt. Letztere muss jetzt alphabetisch sortiert sein, da dies Performanz verbessert. Beachten Sie, dass es sich hier um eine Unterstützungstabelle handelt. Entsprechende Einträge in Generator Signatures.txt sind entscheidend für die Erkennung und Kategorisierung in Geräteklassen. Dank zunehmend regionalspezifischer Smartphone-Modellvarianten können immer mehr Bilder bestimmten Regionen der Welt zugeordnet werden.

  • Zwei neue Gerätetypen wurden definiert: Action cams and Monitor cameras (=Game cameras, Trail cams, auch zu Überwachungszwecken genutzt).

  • Fähigkeit, die Regionsinformation aus Huawei Firmware-Kennungen zu dekodieren.

  • Verbesserte Erkennung von Bildern, die mit Frontkameras aufgenommen wurden.

  • Extraktion der Epoch-Zeitstempel aus Facebook-Dateinamen.

  • Aus Dateinamen entnommene Zeitstempel werden jetzt ausdrücklich in der Zusammenfassungstabelle von JPEG-Metadaten ausgegeben (früher nur für die Spalte Erz. des Inhalts verwendet). Nützlich für Bilder, die auf Sozialen Netzwerken geteilt wurden, wo wenige Metadaten verfügbar sind und wo diese den Zeitpunkt, zu dem das Bild geteilt wurde, angeben könnten.

  • Die Generator-Signaturen wurden leicht überarbeitet, um Bilder aus Sozialen Netzwerken besser als solches zu erkennen. Insbesondere Bilder von Facebook und Twitter werden jetzt besser erkannt als früher. Außerdem wurde ein Typ "Adobe embedded" hinzugefügt und die allgemeine Gerätetyp-Erkennung leicht verbessert.

  • Die Zusammenfassungstabelle von JPEG-Metadaten identifiziert jetzt einen "processing state", der einer der folgenden sein kann: original (=wie ursprünglich von einem Digitalgerät erzeugt), edited normally (die Bearbeitung wurde vom verwendeten Programm als solches gekennzeichnet), social media (wie von verschiedenen Sozialen Medien, Blogs, Foto-Sharing-Diensten oder auch eBay veröffentlicht), irregular editing detected (bedeutet, die Natur der Änderung ist etwas unklar, könnte auch Bearbeitung von Sozialen Medien bedeuten, wenn diese nicht als solches erkannt wird), und EXIF stripped (EXIF-Header künstlich entfernt).

  • Die Berechnung der generischen Relevanz für Bilder wurde leicht angepasst, um Bildern den Vorzug zu geben auf Basis von Kameraoriginal, exakt definiertem Erzeugungszeitpunkt und -ort, Gerätetyp, verfügbaren Metadaten, etc. Die mittlere Relevanz von JPEG-Bildern ist jetzt etwa 4,0. Die Gewichtung des Bearbeitungszustandes "Social media" zum Zweck der Relevanzberechnung kann in der Datei Generator Signatures.txt angepasst werden (suchen Sie nach der Zeile "JPEG/Social Media"). Der Standard ist mittlere Gewichtung.

  • Ein neuer Zustand für JPEG-Dateien wurde eingeführt: "embedded". Dieser Zustand identifiziert Bilder, die nicht als Einzeldateien erzeugt wurden, sondern in größere Dateien eingebettet, als Vorschaubilder oder Alternativdarstellung mit geringerer Auflösung. Dieser Zustand kann irreführenderweise auftreten, wenn ein Tool nachträglich JPEG-Metadaten entfernt.

  • Eine Generator-Signatur für WeChat wurde definiert. Der Verarbeitungszustand "Social Media" enthält jetzt WeChat.

  • Dekodierung und Ausgabe zusätzlicher Firmware-Zeitstempel.

  • Korrektur ehemals falscher JPEG-Metadaten-Ausgaben.

  • JPEG-Metadaten-Darstellung leicht verbessert.

E-Mail

  • E-Mail-Anhänge zeigen jetzt die gleichen Zeitstempel in den Spalten Erzeugung und Änderung wie die E-Mail-Nachrichten, zu denen sie gehören, damit Sie direkt sehen können, wann diese versandt (Spalte "Erzeugung") und zugestellt (Spalte "Änderung") wurden.

Nutzeroberfläche

  • Die maximale Anzahl zusätzlicher Arbeits-Threads bei Datei-Überblick erweitern und logischer Suche, sofern hinreichend Prozessorkerne vorhanden, wurde auf 16 in X-Ways Forensics und 3 in X-Ways Investigator erhöht.

  • Fähigkeit, Verzeichnis-Unterbäume im Vorschaumodus mit Verzeichnisgrößen anstelle von oder zusätzlich zur Datei-Anzahl anzuzeigen (siehe neue Einstellungen in Optionen | Viewer-Programme).

  • Der Berichtstabellen-Filter besitzt jetzt die Option, Unterobjekte von Dateien mit auszugeben, zusätzlich zu Geschwistern.

  • Dass neu entdeckte Namen (z.B. E-Mail-Betreff von Original-.eml-Dateien oder die ursprünglichen Namen von Dateien in iPhone-Backups) der neue Hauptname in einem Datei-Überblick werden (und damit auch potentiell Teil eines Pfads, falls sie Unterobjekte haben) ist jetzt optional. Falls nicht aktiv, werden sie stattdessen zum alternativen Namen, der in hellerer Farbe in eckigen Klammern als Zusatzinformation angezeigt wird.

  • Option, die Pfadspalte rechts auszurichten, falls Sie vorzugsweise eher das Ende des Pfads sehen und dennoch die Breite der Pfadspalte kompakt halten möchten. Einfach ein Schalter in den Verzeichnis-Browser-Optionen mit einem Pfeil, der in die Richtung zeigt, wo die Pfade ausgerichtet werden.

  • Einige GUI-Anpassungen für hohe DPI-Einstellungen in Windows. Nutzer können jetzt zwischen den höher aufgelösten Icons für Werkzeugleiste, Kontextmenü und Modus-Schalter wählen mittels eines nicht beschrifteten neuen Kontrollkästchens in Optionen | Allgemein. Standardmäßig werden die größeren Icons jetzt auf Systemen mit mehr als 150% DPI-Einstellungen verwendet.

  • Nur in X-Ways Forensics: Fähigkeit, eine Liste ausgewählter Dateien im Project Vic JSON-Format auszugeben.

  • Es war bereits in früheren Versionen möglich, die untere Hälfte des Datenfensters abzukoppeln und wie ein loses separates Fenster zu behandeln, das man z. B. auf einen anderen Monitor schieben kann. Ein erster Klick auf dieselben drei Punkte macht nun die untere Hälfte des Datenfensters zunächst zu dessen rechter Hälfte. Das kann bei den heutzutage üblichen Breitbild-Monitoren von Nutzen sein, auf denen vertikaler Platz knapp ist, so dass Sie eine lange vertikale Liste von Dateien sichtbar haben können und gleichzeitig die volle Bildschirmhöhe auch für Vorschauen von seitenbasierten Dokumenten zur Verfügung haben, die zum Betrachten im Hochformat gedacht sind. Nützlich auch für die Galerie, und sehr effizient für Bilder im Hochformat, den Detailmodus sowie Hex-Editor-Anzeigen in den Modi Disk/Partition/Volume/Datei, die traditionellerweise in nur 16 Bytes pro Zeile unterteilt sind.

  • "Nachrichten in msglog.txt erfassen" ist jetzt ein dreistufiges Kontrollkästchen. Das voreingestellte Verhalten hat sich nicht geändert, aber es ist jetzt der mittlere Zustand des Kästchens. Voll angekreuzt bedeutet nun, daß auch Nachrichten im Fortschrittsanzeigefenster (Beschreibungen von Vorgängen und die Namen von verarbeiteten Dateien) in die Log-Datei geschrieben werden. Das ist normalerweise etwas übertrieben.

  • Ein unbeschriftetes, aber mit Tool-Tip versehenes, neues Kontrollkästchen in der Mitte des Dialogfensters für die Allgemeinen Optionen erlaubt die programmweite Verwendung eines alternativen Dateiauswahl-Dialogfensters für den Fall, dass auf Ihrem System die Dialogfenster im Originalstil zu Problemen führen.

  • Mathematische Formeln in Schablonen können jetzt Variablen vom Typ uint_flex verwenden.

  • X-Ways Forensics fragt jetzt nach, bevor bestehende Markierungen durch pauschales (De-)Markieren ganzer Verzeichnisse oder Dateiauflistungen mit einem einzigen Mausklick verloren gehen.

  • Die graphischen oder textbasierten Bildschirmfotos der Einstellungen für Datei-Überblick erweitern für das Fallprotokoll beinhalten jetzt auch dann Bildschirmfotos der Unterfenster mit weiteren Einstellungen, wenn der Nutzer diese nicht geöffnet und mit OK wieder geschlossen hat.

Suche/Indexierung

  • Neue Version der Indexierung und der Index-Suche.

  • Die Funktionalität mehrerer Kontrollkästchen mit bisher drei Zuständen bei der Parallelen Suche wurde in jeweils zwei normale Kontrollkästchen aufgeteilt. Benutzer einer deutschen Tooltips.txt sollten bitte eine neue Version dieser Datei herunterladen.

  • Bei der Parallelen Suche ist "Nur ganze Wörter" nun eine dreistufige Option mit folgender Wirkung: Der mittlere Zustand sucht nach Wortanfängen, d. h. erfordert eine Wortgrenze am Anfang eines Suchtreffers. Das bedeutet, mit "echt" finden Sie auch "echte" und "echten", aber nicht "recht" oder "rechts". Das ist ansonsten nur mit GREP-Syntax zu erreichen, und falls Sie manche Suchbegriffe als ganze Wörter und andere als Wortanfänge suchen möchten, setzen Sie bitte dafür weiterhin GREP-Syntax ein.

  • Die Option "Nur ganze Wörter" bei der Parallelen Suche unterstützt jetzt Zeichen außerhalb von Latin I in vielen Sprachen (osteuropäischen Sprachen, Russisch, Arabisch, Hebräisch, Griechisch, ..., abhängig davon, welche Zeichen Sie eingeben) auch für Suchen in UTF-8.

Unterstützung für Datenträger(-sicherungen)

  • Es gibt nun eine Option in den Falleigenschaften, den Hash einer Datenträgersicherung sofort automatisch nach dem Hinzufügen zum Fall zu überprüfen, sofern ein solcher Hash-Wert vorhanden ist, oder (wenn das Kontrollkästchen ganz angekreuzt ist) einen solchen Hash-Wert bei der Gelegenheit von Grund auf neu zu berechnen, wenn kein Wert vorgefunden wird. Neu erzeugte Fälle erben diese Einstellung vom letzten geöffneten Fall, dessen Eigenschaften Sie mit OK bestätigen. Das bedeutet auch, daß Sie Images per Befehlszeile überprüfen lassen können, mit dem AddImage-Befehl. Das Ergebnis wird ausgegeben 1) im Nachrichtenfenster, 2) in der Datei msglog.txt, wenn gewünscht, und 3) in den Eigenschaften des Asservats, d. h. der Repräsentation des Images im Fall.

  • Fähigkeit, virtuelle Festplatten im VHDX-Format zu interpretieren und wie andere unterstützte Image-Formate zu einem Fall hinzuzufügen. Sie können auch direkt aus anderen in X-Ways Forensics geöffneten Asservaten heraus geöffnet und als Datenträgersicherung interpretiert werden.

  • Das Füllen neu erzeugter Ersatz-.e01-Segmente mit einem speziellen Wasserzeichen ("FEHLENDES IMAGE-SEGMENT") ist jetzt aus Performanzgründen optional. Ausgenullte Blöcke sind schneller zu erzeugen.

  • Verbesserte Darstellung von MD RAIDs und LVM2. Zum Beispiel werden die Container-Header-Bereiche jetzt als Dateien angezeigt, statt als Partitionen, und reine Container-Partitionen werden nicht mehr automatisch dem Fall hinzugefügt. Unterstützung von LVM2-Containern in Level 1 MD RAID Containern. Fälle, die Asservate mit MD RAID oder LVM2-Partitionierung beinhalten, die in früheren Versionen erzeugt wurden, sollten in v19.8 nicht weiter verarbeitet werden.

  • Einige Partitionsattribute aus GUID-Partitionstabellen werden jetzt in der Attr.-Spalte angezeigt: system (=vom Betriebssystem benötigt), hidden (=nicht als Laufwerksbuchstabe gemountet), read-only, shadow copy.

  • Unterstütztung für Partitionsnamen in GUID-Partitionstabellen in ASCII.

  • Partitionen, die als Unterobjekt-Asservate nachträglich zu einem Fallbaum hinzugefügt werden, wenn ihr Eltern-Asservat nicht am Ende des Baumes steht, bekommen jetzt eine Asservat-Nummer, die ihrer Position und Reihenfolge im Baum entspricht, was beim Sortieren des Verzeichnis-Browsers nach der Asservatspalte einen Unterschied macht.

Hashen/PhotoDNA

  • Identifikation doppelter Bilder mittels PhotoDNA erlaubt jetzt, die Duplikate in Berichtstabellen zu gruppieren.

  • Die Notationsoptionen beinhalten jetzt eine Einstellung, Berichtstabellen zu zeigen, die Gruppen identischer Dateien kennzeichnen.

  • Beim Abgleich von Hash-Werten mit der Hash-Datenbank (normale Hash-Werte wie MD5, SHA-1, SHA-256, ...) gibt es jetzt eine Option, eine lokale Kopie der Datenbank zu erzeugen und mit dieser Kopie zu arbeiten. Dies kann nützlich sein, wenn man die Datenbank mit Kollegen gemeinsam nutzt und Ihre Kollegen die Datenbank aktualisieren wollen (z.B. durch Hinzufügen neuer Hash-Sets) während sie zum Abgleich im Einsatz ist, was sonst für die gesamte Dauer der Erweiterung des Datei-Überblicks nicht möglich wäre. Dies könnte auch die Performanz verbessern, wenn die Datenbank so groß ist, dass sie nicht im Ganzen im Speicher gehalten werden kann und auf einem Netzlaufwerk gespeichert ist. Die lokale Kopie wird im Verzeichnis für temporäre Dateien angelegt, falls noch nicht vorhanden, und wird nur aktualisiert, wenn sich die Originalkopie der Datenbank geändert hat (alle Nutzer sollten v19.8 oder später verwenden, um unnötiges Kopieren einer unveränderten Datenbank zu vermeiden).

  • Unterstützt jetzt bis zu ~58.8 Mio. PhotoDNA-Hash-Werte in der Hash-Datenbank statt bisher ~29.4 Mio. (nur in der 64-bit-Edition). Bitte beachten Sie, dass es nicht empfehlenswert ist, so viele Hash-Werte in der PhotoDNA-Datenbank zu haben, da der Abgleich sehr lange dauern wird, selbst, wenn alle verfügbaren CPU-Kerne gleichzeitig eingesetzt werden.

Diverses

  • Wenn man den logischen Speichers eines laufenden Prozesses öffnet, wird der Erzeugungszeitpunkt des Prozesses in der Informationsspalte angezeigt.

  • Einige Stabilitätsverbesserungen.

  • Unzählige kleinere Verbesserungen.

  • Benutzerhandbuch und Programmhilfe für v19.8 aktualisiert.

  • Zu Ihrer Information: Einige sehr wenige Nutzer von Windows 10 haben Probleme in X-Ways Forensics gemeldet, seit sie auf Version 1809 von Windows 10 aktualisiert haben.


Änderungen der Service-Releases von v19.7

  • SR-1: Fähigkeit, bestimmte fragmentiert gespeicherte Dateien in APFS zu öffnen, bei denen das vorher nicht ging (sie wurden ohne Inhalt angezeigt oder es gab weitere Fehler).

  • SR-1: Einige erweiterte Attributein APFS werden jetzt als Information in der Metadatenspalte angezeigt, falls geeignet, andere gar nicht, in Abhängigkeit von denselben Datei-Überblick-Einstellungen, die bisher nur für HFS+ galten.

  • SR-1: Unnötige Meldungen wurden verhindert und die neue Option "Convert RTF e-mail bodies to plain UTF-8" wurde weiter verbessert.

  • SR-1: Ein Ausnahmefehler wurde behoben, der beim Ändern der automatisch ermittelten Sektorgröße von Roh-Images auftreten konnte.

  • SR-1: Die Unfähigkeit, mehrere angehängte E-Mail-Nachrichten mit Dateianhängen beim Wiederherstellen/Kopieren oder der Berichtserzeugung korrekt in ihre eine Eltern-E-Mail-Nachricht einzubetten wurde behoben.

  • SR-1: Die unvollständige HTML-Darstellung von $UsnJrnl:$J wurde korrigiert.

  • SR-2: Metadaten werden jetzt aus Schattenkopie-Dateien auch dann extrahiert, wenn die Datei-Überblick-Option, nicht initialisierte Bereiche als binäre Nullen zu lesen, aktiv ist.

  • SR-2: Die Unfähigkeit in v19.7, Image-basierte Asservate ohne vorhandenes Image zu öffnen, wurde behoben.

  • SR-2: Die Vorschau für Verzeichnisse kann jetzt über ein unbeschriftetes, aber mit Tool-Tip versehenes, neues Kontrollkästchen in Optionen | Viewer-Programme aktiviert oder deaktiviert werden; deaktiviert zum Beispiel zur Beschleunigung der Verzeichnis-Browser-Navigation.

  • SR-2: Logische Suchen betrachten zusätzlich auch die Rohdaten in bestimmten Clustern von NTFS-Kompressionseinheiten, jetzt mehr Cluster als vorher.

  • SR-3: Abstürze mit bestimmten SNSS-Dateien verhindert.

  • SR-3: Das Lesen aus einer Partition einer physischen Platte löst jetzt wieder Minimalsicherung aus, wenn die physische Platte das Ziel der Sicherung ist, wie in früheren Versionen.

  • SR-3: Spontane Berechnung von edk2-Hash-Werten beim Hinzufügen von Dateien in Datei-Container wird nicht unterstützt, aber wenn solche Hash-Werte bereits im Datei-Überblick gespeichert sind, werden diese jetzt korrekt in den Container übernommen, falls gewünscht.

  • SR-3: Ein Ausnahmefehler wurde behoben, der in v19.7 beim Carven bestimmter JPEG-Dateien auftreten konnte.

  • SR-3: Registry Viewer: Die Wert-Datentypen REG_DWORD_BIG_ENDIAN und REG_QWORD wurden bisher behandelt wie REG_BINARY und werden jetzt korrekter interpretiert.

  • SR-3: Registry Viewer: Ein Ausnahmefehler wurde behoben, der beim Erkunden von mehr als 80 ineinander verschachtelten Schlüsseln aufgetreten ist.

  • SR-3: Registry Viewer: Schlüssel mit überlangen Namne (mehr als 260 Zeichen) wurden nicht korrekt verarbeitet und konnten zu Programmabstürzen führen. Dies wurde behoben.

  • SR-3: Registry Viewer: ASCII-Zeichen im Bereich von 0x01 bis 0x1F wurden nicht konsistent behandelt. Dies wurde verbessert.

  • SR-3: Multi-Threading in der Galerie hat in Verbindung mit dem Filter auf Video-Einzelbilder und der Option "zugehör. Video direkt davor anzeigen" zu Problemen geführt, weswegen dies mit diesen Einstellungen jetzt unterbunden wird.

  • SR-3: Ein möglicher Absturz mit einen seltenen Finder Bookmark-Dateien (flnk) wurde behoben.

  • SR-4: Ein Ausnahmefehler wurde behoben, der möglicherweise beim Extrahieren von Metadaten auftreten konnte.

  • SR-4: Ein Ausnahmefehler wurde behoben, der beim Parsen von Registry Hives in v19.6 und später auftreten konnte.

  • SR-4: Die Option "Etw. lfd. Sicherungen in anderen Instanzen abwarten" hat in X-Ways Imager nicht funktioniert. Dies wurde behoben.

  • SR-4: Bei der Erzeugung des Fallberichts funktioniert die Option "In ausgewählten Asservaten" jetzt auch in Verbindung mit "Wie derzeit im Asservat-Überblick aufgelistet".

  • SR-4: Ein Fehler wurde behoben, der beim Indexieren von mehr als 8.190 Zeichen aufgetreten ist (Japanisch war die einzige betroffene vordefinierte Sprache mit knapp 15.000 Zeichen). Koreanisches Alphabet neu definiert. Die interne Übersetzung bestimmter Index-Zeichensätze wurde korrigiert.

  • SR-4: Ein seltener Ausnahmefehler wurde verhindert, der bei der Verarbeitung gecarvter Registry-Hive-Fragmente auftreten konnte.

  • SR-4: Ein seltenes Stabilitätsproblem wurde behoben, das bei der Metadaten-Extraktion mit zusätzlichen Threads auftreten konnte und zu einer nicht mehr reagierenden Nutzeroberfläche führen konnte.

  • SR-5: Die falsche Anzeige von freiem Speicher in einigen FAT12-Volumes wurde korrigiert.

  • SR-5: Korrigiert: Fälschliche Einfügung eines Punktes in den Datei- oder Verzeichnisnamen für bestimmte Verzeichnisse mit kurzen Namen in FAT in v19.4 SR-4.

  • SR-5: "nur jeweils 1 harten Verweis" hat keine Auswirkung mehr, wenn der Datei-Überblick nur für ausgewählte Dateien erweitert wird, wie in früheren Versionen.

  • SR-5: Ein Fehler wurde behoben beim Öffnen von Unterobjekten (entdeckte eingebettete Daten) in Dateien mit Hardlinks in HFS+.

  • SR-6: Die Verwendung der fallspezifischen Passwortsammlung wurde in v19.7 korrigiert.

  • SR-6: Ein Sektorzuordnungsfehler in v19.7 beim Befüllen einer physischen Minimalsicherung mit Daten aus enthaltenen Partitionen wurde korrigiert.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

 

 

> Archiv des Jahres 2018 <

> Archiv des Jahres 2017 <

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <