#169: X-Ways Forensics,
X-Ways Investigator und WinHex 20.6 veröffentlicht
9. August 2022 |
In dieser Ausgabe informieren wir Sie über ein weiteres
Update mit einigen beachtlichen Verbesserungen, die Version 20.6.
Erscheinungstermin war der 24. Juli. Nicht alle Beschreibungen
sind auf Deutsch verfügbar. Kunden erhalten Download-Instruktionen,
aktuelle
Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter
https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates
oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw.
Lizenzverlängerungen.
Wenn Sie an Benachrichtigungen über Service-Releases
zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder
auch über Preview- und Beta-Releases, können Sie diese im
Bereich „Announcements“
des
Forums einsehen und sich
bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen
in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie
vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie
bitte zumindest das letzte Service-Release der betreffenden Version
verwenden.
Nächste Schulungstermine
X-Ways Forensics:
25.-28. Oktober, online
X-Ways Forensics II:
8.-10. November, online
Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten,
sobald diese feststehen, können Sie
hier Ihre
E-Mail-Adresse hinterlassen. Englischsprachige Schulungen werden
hier aufgelistet.
Was ist neu in v20.6?
(Bitte beachten
Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
Bildanalyse
-
Das Dialogfenster zum Pixel-Filter wurde neu
gestaltet, um das Verständnis von dessen Funktionsweise zu verbessern.
-
Es gibt nun einen kleinen Schalter auf der rechten
Seite des Dialogfensters für die Bildanalyse und -verarbeitung. Ein
Klick auf diesen Schalter zeigt die Steuerungselemente für PhotoDNA und
Excire PhotoAI an, auch wenn die Funktionalität gar nicht verfügbar ist.
Dadurch können Sie eine bessere Vorstellung davon bekommen, wie diese
Module genutzt werden können. PhotoDNA wird Strafverfolgungsbehörden
kostenlos zur Verfügung gestellt. Excire PhotoAI ist kommerziell
erhältlich und wird hier
beschrieben.
-
Fähigkeit, Bilder im HEIC-Format mit Excire PhotoAI
zu analysieren.
-
Fähigkeit, die Mindestauflösung von Bildern
anzugeben, die mit Excire PhotoAI analysiert werden sollen. Das
vorherige Minimum war 224x224 Pixel. Wenn Sie nur an hochqualitativen
Digitalfotos interessiert sind, können Sie Zeit sparen und die
Mindestauflösung stark heraufsetzen. Wenn Sie auch an Bildern in
niedriger Auflösung interessiert sind, incl. Miniaturansichten (z. B.
weil Sie annehmen müssen, dass Sie manchmal nicht mehr als
Miniaturansichten von verdächtigen Bildern wiederherstellen können),
können Sie die Mindestauflösung herabsetzen. Das absolute Minimum ist 48x48
Pixel, aber es wird nicht empfohlen, deutlich unter 80x80 zu gehen, weil
Erkennungsfehler natürlich bei schlechter Bildqualität verstärkt
auftreten.
-
Bilder können nun mit Excire PhotoAI automatisch als
irrelevant oder verdächtig klassifiziert werden. In der
umfangreichen Hierarchie identifizierbarer Objekte können Sie
einzelne Objekte oder ganze Teilbäume auswählen, die ein Bild aus Ihrer
Sicht irrelevant machen, wie etwas jegliche Arten von Tieren, Pflanzen,
Musikinstrumenten, Sportarten usw. Die automatische Einstufung von
Bildern als irrelevant basierend auf dem Bildinhalt setzt eine gewisse
Gewissheit bei der Erkennung voraus (die Sie einstellen können) und eine
gewisse Mindestauflösung in KP (fix).
-
Um die Anzahl der Berichtstabellenverknüpfungen zu
reduzieren, die Excire PhotoAI erzeugt, können Sie entscheiden, dass
innerhalb eines als irrelevant gekennzeichneten Teilbaums keine
Erkennungen auf unteren Ebenenen ausgegeben werden. Wenn Sie also z. B.
den Teilbaum „Tier“ als irrelevant markiert haben und in einem Foto wird
ein Schmetterling erkannt, dann werden Sie mit dieser Einstellung keine
Berichtstabelle für „Schmetterling“ oder „Insekt“ bekommen, sondern nur
für Tier. (Optional können Sie sich dabei aber in der Kommentarspalte
immer noch angeben lassen, welches Tier genau erkannt wurde.)
-
Sie können definieren, was ein Bild für Sie
verdächtig macht, z. B. Entblößung, Waffen, puderförmige Substanzen,
Fahrzeuge, Text usw. Die Einstufung als „verdächtig“ überstimmt im
Zweifelsfall eine Einstufung als irrelevant, wenn z. B. Hunde in einem
bestimmten Fall als verdächtig definiert wurden, aber Tiere im
allgemeinen immer noch als irrelevant.
-
Bei der Einstufung von Bildern als verdächtig werden
logische UND-Verknüpfungen unterstützt. Um eine neue UND-Kombination zu
erstellen, klicken Sie auf das erste Schlagwort in der Hierarchie, dann
den UND-Schalter, dann das zweite Schlagwort und dann nochmal den
UND-Schalter. Falls Sie sich verklickt haben, können Sie das
Dialogfenster mit Abbrechen verlassen oder einfach das Häkchen
vor Ihrer verunglückten oder nicht mehr benötigten UND-Kombinationen
entfernen, so dass diese verworfen wird, wenn Sie auf OK klicken. Einige
UND-Kombinationen sind in frischen Installationen voreingestellt. Sie
können jegliche Objekte im Baum miteinander kombinieren, nicht nur
solche auf der untersten Ebene, die von Datei-Icons repräsentiert
werden. Die Definitionen von irrelevant und verdächtig werden in diesen
beiden Textdateien gespeichert: „Excire Irrelevant.txt“ und „Excire Notable.txt“.
-
Es gibt nun die Möglichkeit, die interne
Schlagwortliste von Excire PhotoAI mitsamt benutzerfreundlicher
Übersetzung in Englisch, Deutsch, Spanisch, Italienisch oder Französisch
(abhängig von der aktiven Sprache der Benutzeroberfäche) einzusehen und
Übersetzungen bei Bedarf zu ändern, durch Klick auf den
„Bearbeiten“-Schalter im Kategorisierungsfenster von Excire. X-Ways Forensics
muss u. U. neu gestartet werden, damit Änderungen greifen.
Bildanzeige
-
Die interne Grafikanzeigebibliothek wurde
aktualisiert.
-
Bessere Unterstützung von bestimmte PNG-Bilder mit
Transparenz.
-
The Art und Weise, in der Miniaturansichten für den
Fallbericht erzeugt werden, hat sich geändert für Dateitypen, die von
der internen Bildanzeigebibliothek unterstützt werden. Das betrifft u.
a. Photoshop-PSD-Dateien, die offenbar von der 64-Bit-Fassung der
Viewer-Komponente nicht ordnungsgemäß dargestellt werden können, aber
von der internen Bildanzeigebibliothek schon.
-
Die Anwendung der Exif-Orientierungsmetadaten im
Vorschau-Modus, im Einsehen-Befehl, in der Galerie, für OCR und für
Excire PhotoAI wurde teilweise überarbeitet, ist nun optional und kann
über ein dreistufiges Kontrollkästchen unter Optionen |
Datei-Betrachtung gesteuert werden. Wenn voll gewählt, wird die
Exif-Orientierung streng (und blind) angewandt. Wenn sie halb gewählt
ist, wird sie nicht angewandt, wenn X-Ways Forensics glaubt, dass es
wahrscheinlich korrekt ist, das Bild nicht (weiter) zu drehen bzw.
umzukehren. Das war auch das Verhalten in früheren Versionen und ist
noch immer die Voreinstellung.
-
Verbesserte Exif-Orientierungskonformität in der
Galerie. Insbesondere richtet sich die Darstellung von Miniaturansichten
und von Alternativbildern in niedriger Auflösung nun nach der
Exif-Orientierung der jeweiligen Elterndatei.
Metadaten-Extraktion
-
Die Relevanzskala für PNG-Dateien ist nun
vergleichbar mit der für JPEG, so dass das Sortieren nach beiden
Dateitypen nach Relevanz eine plausiblere Reihenfolge liefert.
-
Der Kompressionsgrad von PNG-Dateien wird nun in den
internen Metadaten im Detailsmodus ausgegeben. Er beeinflusst auch die
Relevanzberechnung.
-
Die Zustände „trailing data“ und „incomplete“
(ebenfalls im Detailsmodus) sind für PNG-Dateien neu hinzugekommen.
-
Ein Problem der Falscherkennung eines Scanners als
erzeugendes Gerät bei PNG-Dateien wurde behoben.
-
Wenn das Feld „IFD GPS“ in Exif-Metadaten verfügbar,
aber leer ist, oder wenn es ungültige Koordinaten enthält, ist das eine irreguläre
Situation, anders als das komplette Fehlen von „IFD GPS“, und bedeutet
oft, dass die GPS-Daten nachträglich entfernt wurden. Dies wird nun
dargestellt als „GPS format: NaN“, wobei NaN „not a number“ bedeutet
(keine Zahl).
-
Ein seltener Fehler, bei dem die Geolocation zuvor
nicht ausgegeben wurde, wurde behoben.
-
Das Konzept der Generatorsignatur von JPEG-Bildern
wurde überarbeitet. Die Fehlerrate wurde reduziert auf unter 0,1%, durch
Vermeiden von Hash-Kollisionen (in der eine Signatur auf zwei
verschiedene Geräte passt). Dies fällt evtl. speziell bei Geräten des
Typs Samsung Galaxy auf.
-
Die Summary-Tabelle im Detailsmodus von JPEG-Dateien
gibt nun die Gewissheit an, mit der der erzeugende Gerätetyp
identifiziert wurde.
-
Benutzer können nun die Mindestgewissheit in %
angeben, ab der für JPEG- und PNG-Dateien eine Ausgabe des erzeugenden
Gerätetyps erfolgen soll.
-
AMPF (Abkürzung vermutlich für „Apple Multi Picture
Format“) im JFIF-Header wird nun Detailsmodus erwähnt.
Verzeichnis-Browser
-
Verbesserte Lesbarkeit von Tooltips zu Zellen im
Verzeichnis-Browser, die sehr langen Text ohne Zeilenumbrüche enthalten,
z. B. Kommentare.
-
Die Anzahl der Textzeichen, die aus einer Datei
extrahiert wurde, sei es über Textdecodierung oder OCR, wird nun in der
Beschreibungsspalte angezeigt, wenn das Kästchen „andere“ angekreuzt ist
in den Notationsoptionen der Beschreibungsspalte. Und mit dem Filter
können Sie sich auf Dateien mit einer bestimmten Mindestanzahl von
extrahierten Zeichen fokussieren (z. B. 5 oder 10, maximal 255), zum
Beispiel um Bilder auszuklammern, in denen bloß ein paar wenige
Müllzeichen (fehl)erkannt wurden, d. h. Bilder, die in Wirklichkeit gar
keinen Text enthalten.
-
Es gibt eine neue Verzeichnis-Browser-Option zur
Anzeige des Start-Offsets der Daten einer Datei in der Spalte
Startsektor. Diese Angabe ist deutlich präziser und für die
meisten Dateien verfügbar. Die Bezeichnung der Spalte ändert sich dann
entsprechend an den meisten Stellen in der Benutzeroberfläche. Der
Offset kann optional ein physischer Offset sein (aus Sicht des
physischen Datenträgers/Images, wenn innerhalb einer Partition
angezeigt) genau wie Sektornummern in physische Sektornummern
umgerechnet werden können. Der Filter dieser Spalte erwartet Angaben mit
derselben Bedeutung wie aktuell im Verzeichnis-Browser angezeigt, d. h.
entweder Offsets oder Sektornummern, in derselben Notation, d. h.
dezimal für Sektornummern, dezimal oder hexadezimal für Offsets.
-
Das Kontextmenü des Verzeichnis-Browsers enthält den
Befehl „Duplikate in Liste finden“. Dieser kann nun Duplikate auch
basierend auf exakt gleichen Startoffsets identifizieren anstelle von
gleichen Startsektor-Nummern, wenn die Spalte „Startsektor“ entsprechend
umfunktioniert wurde.
-
Die Hash-Kategorie-Spalte, die anzeigt, welche
Dateien als verdächtig oder irrelevant eingestuft wurden, wurde
umbenannt in „Kategorisierung“. Hintergrund ist, dass der Abgleich mit
einer Hash-Datenbank mittlerweile nur noch eine von vielen Methoden ist,
um diese Spalte zu befüllen. Dateien können auch von X-Tensions als
verdächtig oder irrelevant eingeordnet werden, ebenso über Metadaten in
Datei-Containern, ..., ..., und nun in v20.6 auch einfach über ein
Untermenü im Kontextmenü des Verzeichnis-Browsers.
-
Die bisher „Kategorie“ genannte Spalte mit der
Dateityp-Kategorie heißt nun „Typ-Kategorie“, analog zu „Typ-Status“ und
„Typ-Beschreibung“.
Bedienbarkeit
-
Sie können nun jede beliebige Spalte im
Verzeichnis-Browser nach Ihrem Geschmack umbenennen, z. B. um
Kontinuität in der Benutzerschnittstelle zwischen früheren und neueren
Versionen aufrechtzuerhalten oder um Kompatibilität in Datentransfers zu
wahren (man denke an den Befehl „Liste exportieren“) oder weil ein
bestimmter Spaltenname nicht in Ihre bevorzugte (auf lateinischen
Buchstaben basierende) Sprache der Benutzerschnittstelle übersetzt wurde
und Sie gern Ihre eigene Übersetzung anstelle des englischen Namens
sehen würden, oder auch weil Sie einfach lieber „Attribute“ statt die
Abkürzung „Attr.“ sehen möchten usw. usf. Im Dialogfenster mit den
Verzeichnis-Browser-Optionen können Sie dazu einfach einen Spaltennamen
rechts anklicken und erhalten dann die Gelegenheit, ihn zu ersetzen.
-
Tatsächlich können nun noch weitaus mehr
Textfragmente (sog. Strings) in der Benutzerschnittstelle an die eigenen
Bedürfnisse angepasst werden, über diesen Menübefehl: Hilfe |
Setup | UI Text Adjustments. Sie müssten dazu bitte das exakte zu
ersetzende Textfragment identifizieren und Ihre eigene Version davon
angeben. Wenn der Text, den Sie adressieren möchten, nicht gefunden wird
und Sie nicht genau wissen, wie er intern gespeichert ist, können Sie in
die mitgelieferte Datei „language.dat“ hineinsehen. Ihre Anpassungen
werden in einer separaten Datei („UI Text Adjustments.txt“) gespeicherte
und können daher leicht mit anderen Benutzern geteilt werden. Diese
Datei kann voraussichtlich auch in künftigen Versionen Verwendung
finden, solange die Original-Textfragmente gleich bleiben. Sie besteht
einfach nur aus einer Anpassung pro Zeile, beginnend mit dem
Originaltext, gefolgt von einem Tabulatorzeichen zur Trennung und dann
dem Ersatztext. (Das bedeutet, dass die wenigen Textfragmente, die
bereits ein Tabulatorzeichen enthalten, nicht angepasst werden können).
Sie können die Datei auch direkt in einem Texteditor bearbeiten. Bitte
beachten Sie, dass die Übersetzungen in nicht auf lateinischen
Buchstaben basierende Sprachen sowieso schon in Form von einfachen
Textdateien vorliegen und daher direkter geändert werden können.
-
X-Ways Forensics hat nun die Fähigkeit, bestimmte
Operationen auch nach einem Absturz (einem unfreiwilligen Programmende)
ohne Eingriff des Benutzers automatisch fortzusetzen. Dies ist eine
Einstellung unter Optionen | Sicherheit. Die derzeit unterstützten
Operationen sind die Teilschritte „Datei-Header-Signatur-Suche“ und
„Individuelle Verarbeitung einzelner Dateien“ der Erweiterung des
Datei-Überblicks, bei Aufruf über das Hauptmenü oder über die
Befehlszeile oder beim Hinzufügen von Asservaten zum Fall. Im Gefolge
eines Absturzes werden diese Vorgänge automatisch fortgesetzt an einer
Stelle, die davon abhängt, wann der Datei-Überblick zuletzt gespeichert
wurde. (Das wiederum hängt vom Intervall fürs automatische Speichern in
den Falleigenschaften ab, denn wann immer der aktive Fall gespeichert
wird, wird auch der Datei-Überblick eines jeden offenen Asservats
gespeichert. Sie können den Fall auch manuell speichern, während der
Datei-Überblick erweitert wird.) Wenn es nicht klar ist, welche Datei
genau einen Absturz ausgelöst hat, weil Sie eine Operation mit
zusätzlichen Threads haben laufen lassen, dann wird diese Operation
zunächst ohne zusätzliche Threads fortgeführt. Mit etwas Glück, wird der
Absturz dann gar nicht mehr auftreten. Wenn doch, wird die Operation
abermals fortgesetzt, und wenn eine bestimmte Datei als Auslöser erkannt
wird, wird diese beim nächsten Versuch automatisch übersprungen. Im Fall
eines Absturzes bei der Datei-Header-Signatur-Suche wird hingegen der
Sektor, an dem eine problematische Datei ausgegliedert wurde,
übersprungen.
-
Ausschließlich in Preview- und Beta-Releases können
Sie Abstürze auf Wunsch simulieren, wenn Sie die o. g. Neuerung
beobachten, testen oder demonstrieren möchten, z. B. weil Sie sie sich
zunutze machen möchten bei der mehr oder weniger automatisierten
Ausführung von X-Ways Forensics mit Befehlszeilen-Parametern, wo Sie
evtl. auf die Situation reagieren müssen, dass eine Instanz von X-Ways Forensics
verschwindet und sofort von einer weiteren Instanz ersetzt wird, die Sie
nicht selbst gestartet haben. Für die Simulation können Sie den Namen
einer Datei angeben, die einen Crash in den unterstützten Operationen
auslösen soll. Dieser Dateiname sollte natürlich möglichst eindeutig
sein und idealerweise nur auf eine einzige Datei passen. Eine Datei
also, von der Sie wissen, dass sie im initialen Datei-Überblick
enthalten ist oder deren Hinzufügen Sie bei der Erweitung des
Datei-Überblicks erwarten. Groß- und Kleinschreibung im Dateinamen macht
dabei einen Unterschied. Bitte beachten Sie, dass wenn Sie X-Ways Forensics
aus Sektoren ausgegliederten Dateien Namen mit fortlaufenden Nummern
zuweisen, und Sie einen Absturz simulieren lassen mit einer Datei, deren
Name erwartungsgemäß 012345.jpg wird, dass selbst wenn X-Ways Forensics
erfolgreich lernt, den Sektor zu meiden, in dem die Datei bei der
Datei-Header-Signatur-Suche gefunden wird, dass die nächste
ausgegliederte Datei evtl. auch wieder 012345.jpg genannt wird (abhängig
vom Dateityp) und somit noch einen weiter Absturz auslösen wird.
Eindeutige Namen von ausgegliederten Dateien sind solche, die von der
intelligenten Benennungsoption erzeugt werden (sowas wie „Canon DIGITAL
IXUS 950 IS 2007-07-01 12:01:46.jpg“) oder von der Option, Dateien nach
Startsektor-Nummern zu benennen. Um einen zufälligen, nicht
reproduzierbaren Absturz zu simulieren, können Sie X-Ways Forensics
einfach mit dem Task-Manager von Windows terminieren. v20.6
Beta 5 ist nach Erscheinen von v20.6 noch ein paar Wochen verfügbar,
falls Sie dieses Feature benötigen.
-
Die Funktionalität „Eingebettete Daten in diversen
Dateitypen suchen“ trifft nun besondere Vorkehrungen, um keine Duplikate
von Dateien zu erzeugen, die bereits von der Datei-Header-Signatur-Suche
aus Sektoren ausgegliedert wurden. Genauer gesagt ersetzt die Ausgabe
dieser Funktionalität nun die entsprechenden zuvor ausgegliederten
Dateien im Datei-Überblick. Deren interne IDs bleiben gleich.
Zusätzliche Metadaten werden u. U. verfügbar (z. B. Pfad/Darstellung als
Unterobjekt einer Trägerdatei, vermuteter Original-Dateiname, korrektere
Dateigröße usw.). Mit den üblichen Einstellungen betrifft diese eine
beträchtliche Anzahl von an Sektorgrenzen ausgerichteten Dateien, z. B.
im Browser-Cache von Google Chrome.
-
Es wird im Fallbericht vermerkt, wie die ausgegebenen
Objekte in den Berichtstabellen sortiert sind.
-
In der Verwaltung der Hash-Datenbanken wird dem
Benutzer nun zur Erinnerung angezeigt, unter welchen Pfaden sie
gespeichert sind.
-
Die komplexere Version des Dialogfensters zur
Verwaltung von Berichtstabellen und Berichtstabellen-Verknüpfungen hat
nun auch den Schalter, mit dem man von den ausgewählten Dateien alle
Verknüpfungen mit ausgewählten Berichtstabellen entfernen kann.
Benutzerschnittstelle
-
Fähigkeit, auch über die Befehlszeile zwei Kopien
einer Datenträger-Sicherung auf einmal zu erzeugen. Der Pfad der zweiten
Kopie, sofern gewünscht, wird einfach an den Pfad der ersten angehängt,
getrennt durch einen normalen Schrägstrich. Beispiel: „|e01|Z:\Erste
Kopie.e01/V:\Zweite Kopie.e01|Image-Beschreibung|Benutzername“.
-
RVS:~ in der Befehlszeile erweitert bekanntlich die
Datei-Überblicke von allen Asservaten im Fall. RVS:~+ wurde neu
eingeführt und erlaubt die Erweiterung nur für die neu hinzugefügten
Asservate, d. h. solche, die hinzugefügt wurden, seit dem der Fall
geöffnet wurde.
-
Die Benutzerschnittstelle zeigt nun verbesserte
Anleitungen für die Rekonstruktion bestimmter MD-RAID-Varianten von
Linux an.
-
Die Einstellungen der Datei-Header-Signatur-Suche
sind nun vom Dialogfenster zur Erweiterung des Datei-Überblicks auf
genau dieselbe Weise zugänglich wie die anderer Unteroperationen, über
einen „...“-Schalter. Und genau wie die Einstellungsmöglichkeiten
anderer Unteroperationen werden sie nun normalerweise nur noch auf
Nachfrage (Klick auf „...“) angezeigt.
Dateityp-Unterstützung
-
Neue Option zur Beschleunigung diverser Operationen:
Erweiterung des Datei-Überblicks, logische Suche und insbes. die
optionale dynamische Darstellung des Kontextvorschau von Suchtreffern in
der Suchtrefferliste. Dazu werden mehr dekomprimierte Inhalte von
Datei-Archiven im Cache des Datei-Überblicks gehalten. Diese Option
findet sich daher unter Optionen | Datei-Überblick. Sie beschleunigt
generell das erneute Öffnen von Dateien in Archiven nach dem ersten Mal,
insbes. in verschachtelten Archiven.
Der Cache des Datei-Überblicks kann auf diese Weise sehr groß werden. Er
kann optional verworfen werden, wann immer Sie das Datenfenster
schließen (nützlich, wenn Sie mit dem betreffenden Asservat oder dem
ganzen Fall erstmal fertig sind), und das ist eine fallspezifische
Einstellung in den Falleigenschaften. Wenn der Cache geleert wurde,
können Dateien jederzeit erneut dort abgelegt werden, wenn sie erneut
geöffnet werden, sofern die Option dafür aktiv ist. Wenn das
Kontrollkästchen fürs Caching halb gewählt ist, bedeutet das, dass nur
verschachtelte Archive im Cache gehalten werden, ähnlich wie in früheren
Versionen komprimierte TAR-Archive gehandhabt wurden.
-
Das Anklicken von Dateien in nicht verschachtelten
Archiven des Typs Zip im Verzeichnis-Browser im Modus Partition/Volume
löst nun einen Sprung direkt zum jeweiligen Zip-Datensatz aus. Genauer
gesagt zu dem Teil des Datensatzes, der den Dateinamen enthält, um die
erste enthaltene Datei besser von ihrer Elterndatei unterscheidbar zu
machen (auch was die Spalte Startsektor/Offset angeht). Der tatsächliche
Anfang des Datensatzes wird bereits hinreichend von der automatischen
Signaturerkennung hervorgehoben.
Suche
-
Führende Leerzeichen/Whitespaces aus der
OCR-Texterkennung werden nun automatisch herausgefiltert.
-
Eine neue Option unter Optionen | Datei-Betrachtung
lässt X-Ways Forensics über OCR gewonnenen Text verwerfen, wenn er nicht
mind. x aufeinanderfolgende „nützliche“ Zeichen enthält. Solche
Ergebnisse werden also nicht gespeichert, ausgegeben, kopiert, indexiert
oder durchsucht. Das ist vorteilhaft, wenn Sie OCR auf
unbekannte/wahllos herausgesuchte/normale Bilder anwenden (d. h. keine
bekannten Textdaten), um die Anzahl der Dateien zu reduzieren, die
später (irreführenderweise) auf den Beschreibungsfilter für Dateien mit
per OCR ermitteltem Text reagieren oder für die (unnötigerweise)
Unterobjekte erzeugt werden durch die Funktion „Kopieren: extrahierter
Text“ usw. Ein „nützliches“ Zeichen ist hier definiert als ein Zeichen
mit einem ASCII-/Unicode-Wert von 0x30 oder höher. Das bedeutet, dass
sog. Whitespaces <=0x20 nicht zählen, und ebensowenig die druckbaren
Zeichen !=#$%&'()*+,-.& (die Spanne 0x21-0x2F), weil einige davon
gelegentlich zu Unrecht in zufälligen Pixel-Kombinationen erkannt
werden. Alle echten Buchstaben in jeder Sprache zählen, und auch Ziffern
(„0“ bis „9“).
-
Logische Suchen merken sich nun im Datei-Überblick,
wenn OCR bereits erfolglos aufbestimmte Bilddateien angewandt wurde (d.
h. wenn kein Text erkannt wurde), so dass folgende Suchläufe mit
aktiviertem OCR nicht erneut OCR bei diesen Dateien versuchen.
-
X-Ways Forensics weist den Benutzer nun auf etwaige
Leerzeichen am Ende von Suchbegriffen hin (die dort z. B. durch
unsauberes Copy & Paste landen könnten).
Dateisystem-Unterstützung
-
Verbesserte Darstellung von HFS+-Dateisystemen mit
redundanten inaktiven Katalog-Einträgen. Doppelte Einträge im Katalog
(einer inaktiv und einer aktiv) für dieselbe Datei oder dasselbe
Verzeichnis (gleiche ID, gleicher Name) werden offenbar unter bestimmten
Umständen beim Befüllen des Dateisystems unter Linux erzeugt. In neu
erzeugten Datei-Überblicken wird nun normalerweise nur noch der aktive
Eintrag übernommen.
-
HFS+: Wenn ein inaktiver und ein aktiver
Katalogeintrag für dasselbe Verzeichnis gefunden wird (gleiche ID,
gleicher Name) und beide in den Datei-Überblick aufgenommen werden, wird
der Inhalt dieses Verzeichnisses nun auf jeden Fall für den
existierenden Eintrag angezeigt und nicht zufällig für einen von beiden.
-
Option, die Suche nach NTFS-FILE-Records (Teil der
gründlichen Dateisystem-Datenstruktur-Suche) auf den aktuell definierten
Block zu beschränken. (Wenn gar kein Block definiert ist, wird die Suche
ganz normal in allen Sektoren des Volumes/der Partition durchgeführt.)
-
Die Art der Datenstruktur, die in NTFS an dem
angegebenen Dateisystem-Offset zu finden ist, wird nun direkt in der
Spalte „Dateisystem-Offset“ genannt, für Dateien und verzeichnisse.
-
Es gibt nun in den Falleigenschaften eine Option, für
Ext*-Dateisysteme bei der Interpretation von Datei- und Verzeichnisnamen
bei Bedarf auf eine bestimmte alternative Codepage (also nicht UTF-8)
zurückzugreifen oder deren Verwendung sogar zu erzwingen. Dazu versetzen
Sie das Kontrollkästchen neben der zweiten fallspezifischen Codepage in
den halb oder ganz gewählten Zustand. Diese Codepage wird verwendet für
Namen, die nicht wie in Linux üblich in UTF-8 codiert sind, in
bestimmten Altsystemen oder in speziellen Umgebungen, in denen eine
andere Codepage eingestellt wurde.
Diverses
-
In der Konfigurationsdatei „Event Log Events.txt“
gilt nun ein Zeilenbeginn (1. Spalte) mit Semikolon als Kommentar.
Dadurch können Sie Zeilen deaktivieren oder für bestimmte Abschnitte
erklärende Kommentare einfügen. Die Datei akzeptiert nun auch Angaben in
einer optionalen 4. Spalte. Darüber können Sie einfache Textkommentare
direkt in der Spalte mit der Beschreibung eines Ereignisses erscheinen
lassen.
-
Die mitgelieferte „Event Log Events.txt“-Datei
enthält nun einige Erklärungen und ein Beispiel für einen Kommentar, der
in die Ereignisbeschreibung übernommen wird.
-
Das Exportieren und Importieren ausgewählter
Berichtstabellen in/aus Textdateien schließt nun die Beschreibung der
Tabellen mit ein, wenn es eine gibt, zusätzlich zu den Namen.
-
Die Liste der bei der Datei-Header-Signatur-Suche
auszulassenden Sektoren kann nun bis zu 16 Einträge umfaseen statt
bislang 8.
-
Dokumente, deren Text per FuzZyDoc als teilweise
bekannt identifiziert wird, können nun optional automatisch als
verdächtig kategorisiert werden.
-
Unterstützung von Unicode-Dateinamen in der Funktion
„Sicher Löschen“.
-
X-Tension API: Die Funktion XWF_OutputMessage()
akzeptiert nun das Flag 0x8, das die Nachricht an das Ausgabefenster
leitet statt ans Nachrichtenfenster, aus dem Benutzer ebenso leicht mit
Copy & Paste Text entnehmen können, wo aber kein [XT]-Präfix
vorangestellt wird, um interne Nachrichten von Nachrichten von X-Tensions
zu unterscheiden.
-
Die Programmhilfe und das Benutzerhandbuch wurden
aktualisiert.
-
Viele kleinere Verbesserungen.
Excire PhotoAI: Neue
Erkennung verdächtiger Bildelemente
Ein neues
Excire-PhotoAI-Paket ist jetzt für lizenzierte Benutzer und Testnutzer
herunterladbar, vom selben Verzeichnis wie vorher, das mit X-Ways Forensics
20.6 kompatibel ist.
-
Eine neue Kategorie namens „Forensik“ wurde
eingeführt, die die neuen Schlagwörter enthält (s. u.), nach denen
manche Benutzer werden Ausschau halten wollen und die, wenn erkannt, zu
automatischen einer Kategorisierung von Bildern als verdächtig genutzt
werden können. Sie ist nur ab X-Ways Forensics 20.6 SR-1 sichtbar.
-
Sowohl Handfeuerwaffen als auch Langwaffen werden in
Fotos ziemlich zuverlässig erkannt und voneinander unterschieden. Sie
sind bilden zusammen die Gruppe „Waffe“. Gelegentlich werden auch Messer
als Waffen erkannt.
-
Pillen und puderförmige Substanzen werden nun auch
normalerweise erkannt. Sie bilden eine neue Gruppe namens „Droge“.
-
Nacktheit in unterschiedlichem Ausmaß und
Pornographie werden nun typischerweise als „Entblößung“ erkannt.
UND-Kombinationen von Entblößung und Kind oder Teenager werden in der
Voreinstellung in neuen Installationen von X-Ways Forensics 20.6 SR-1
automatisch als verdächtig eingestuft, wenn Sie Kategorisierungen
einschalten.
-
Das bereits zuvor unterstützte Schlagwort „Akt“ wurde
zum besseren Verständnis umbenannt in „Aktfotografie“. Bilder, die als
solches identifiziert wurden, haben evtl. einen höheren ästhetischen
oder künstlerischen Anspruch als solche mit Erkennung als „Entblößung“.
Wenn Sie X-Ways Forensics bereits haben und an einer
Testlizenz für Excire PhotoAI interessiert sind, finden Sie Instruktionen
dafür in Ihrem
Lizenzstatus.
Änderungen an den weiteren Service-Releases von 20.5
-
SR-1: The table of generating devices was updated.
-
SR-1: Some new video generator signatures.
-
SR-1: Some more format variants added for the device
type „Video publishing“.
-
SR-1: Structure types are now computed for the file
types XLS, WEBP, and WAV.
-
SR-1: More formats supported for filename analysis.
-
SR-1: Keyboard shortcut assignments in the report
table association dialog did not always work in v20.5. That was fixed.
-
SR-2: Improved Unicode support for EVTX processing.
-
SR-2: The definitions in „Event Log Events.txt“ were
not applied completely when processing .evtx event logs since v20.4
SR-6. That was fixed.
-
SR-2: Fixed unintended dependency of the alternative
e-mail presentation in the case report on the setting in Options |
Viewer Programs.
-
SR-2: Originally WofCompressed files in evidence file
containers could not be opened for reading. That was fixed.
-
SR-2: The particularly thorough file system data
structure search in NTFS now skips some volume areas that could only
result in unnecessary duplicate findings, and grouping orphaned files
now always happens in virtual directories that have a connection to the
root directory via the virtual „Path unknown“ directory.
-
SR-2: Fixed some report table management functions
for the new optional report table listing in alphabetical order.
-
SR-2: Clarified supported file types in online Excire
product description. Clarified supported file types for face definitions
in marker-help.txt in the Excire package. Face marking now accepts
supported picture files with any filename extension or without filename
extension.
-
SR-3: The directory browser context menu command to
copy extracted text to various output channels had encoding issues with
some settings. That was fixed.
-
SR-3: The alternative e-mail preview did not present
Date and Recipient fields in some rare cases. That was fixed.
-
SR-3: Fixed occasional inability to preview
compressed Prefetch files in v20.5.
-
SR-3: Fixed sorting partitions by size in the
directory browser.
-
SR-3: Fixed a user interface error that could occur
in some installations in v20.5 SR-2.
-
SR-4: Some minor improvements and fixes
Wir hoffen, Sie bald wieder auf
http://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie
diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z.
B. noch mit weiteren E-Mail-Adressen)
u. a.
hier. Vielen
Dank.
Freundliche Grüße
Stefan Fleischmann
--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde |