X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

  
#175: X-Ways Forensics, X-Ways Investigator und WinHex 21.2 veröffentlicht

18. Juli 2024

In dieser Ausgabe informieren wir Sie über ein am 9. Juli 2024 erschienenes Update mit wichtigen Verbesserungen, die Version 21.2. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Service-Releases oder auch Preview- und Beta-Releases interessiert sind, können Sie Informationen dazu jederzeit aktuell im Bereich "Announcements" des Forums finden. Bitte legen Sie sich ein Konto an (dazu werden die Log-In-Daten benötigt), um die Ankündigungen in diesem Bereich immer sofort per E-Mail zu erhalten. Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Danke.


Nächste deutschsprachige Schulungstermine:

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie online werden hier aufgelistet.


Was ist neu in v21.2?
(Die meisten Änderungen beziehen sich nur auf X-Ways Forensics.)

Umgang mit Speichermedien

  • Falls die Verbindung zu einem lokal angeschlossenen Datenträger beim Lesen oder Schreiben von Sektoren verlorengeht, beispielweise wegen eines Wackelkontakts oder weil Sie das Gerät trennen und wieder anschließen müssen, weil es gelegentlich Ihr Windows-System einfrieren lässt, können E/A-Operationen danach neuerdings automatisch weiterlaufen, ohne das Datenfenster für das betreffende Gerät schließen und neu öffnen zu müssen. Dies war bislang ein potentielles Problem im Umgang mit bestimmten nicht mehr richtig funktionierenden Datenträgern.

  • Fähigkeit, die Plattenzugriffsmethode im laufenden Betrieb zu wechseln. Bislang mussten vorhandene Datenfenster für Speichermedien geschlossen und neu geöffnet werden, um Fehler zu vermeiden.

  • Überarbeitete Handhabung von Schreibfehlern auf physischen Speichermedien. Wenn Sie über einen Schreibfehler informiert werden, wird Ihnen als erste Option angeboten, es einfach erneut zu versuchen denselben Sektor zu schreiben. Dies können Sie beliebig oft wiederholen, wenn Sie soweit sind. Dies könnte ggf. nützlich sein, wenn in der Zwischenzeit das Gerät getrennt und neu angeschlossen wurde und jetzt wieder reagiert. Sie würden in diesem Fall nach dem erneuten Anschließen ein paar Sekunden abwarten bis Windows das Gerät wieder erkannt hat (z.B. wenn sich Windows Explorer öffnet) und dann auf den Schalter für den erneuten Versuch klicken. Die zweite Möglichkeit ist, mit dem nächsten Sektor fortzufahren, was Sie auch als Standardmethode für solche Situationen festlegen können, um weitere derarte Meldungen zu vermeiden, bis das Gerät geschlossen oder die Plattenzugriffsmethode gewechselt wird. (Dies könnte allerdings ein sehr langsamer Ansatz sein, wenn viele defekte Sektoren auf dem Datenträger vorliegen.) Die dritte Möglichkeit besteht darin, abzubrechen, was bedeutet, dass entweder der Schreibvorgang für den aktuellen Sektorbereich oder optional die gesamte Operation (z.B. das Überschreiben mehrerer ausgewählter Dateien) abgebrochen wird. Auch dies kann als die Standardmethode zur Vermeidung weiterer solcher Rückfragen festgelegt werden. Nach dem lokalen Abbruch kann die übergeordnete Operation weiter fortfahren. Falls gewünscht, kann die Operation danach jederzeit auf die übliche Art abgebrochen werden, solange sowohl das Gerät als auch die Anwendung noch reagieren, indem das Fenster mit der Fortschrittsanzeige geschlossen wird. Dank der Möglichkeit, eine Standardmethode festzulegen, sollte es möglich sein, für die jeweilige Situation einen passenden Kompromiss zu finden, wenn Sie z.B. eine bereits nicht mehr verlässlich ansprechbare Festplatte dennoch entweder bis zum maximal möglichen oder angesichts von Zeitbeschränkungen zu einem vertretbaren Ausmaß überschreiben lassen wollen.

  • Falls die Option "Dateisystem-Dateien ausgeben" nicht aktiv ist, hat das jetzt auch bei den Dateisystemen FAT12, FAT16 und FAT32 Auswirkungen.

  • Beim Versuch, ein JBOD-RAID-System mit Komponenten unterschiedlicher Sektorgröße zusammen zu setzen, wird eine Warnung ausgegeben, da dies unerwartete Effekte haben kann.

  • Nach der nachträglichen Entdeckung einer weiteren Partition, wird eventuell vorhandener, unpartitionierter Speicher von X-Ways Forensics jetzt mit einer weiteren virtuellen Datei abgedeckt.

Datenbereinigung und Löschung

  • Der Befehl Bearbeiten | Alle Sektoren füllen zeigt jetzt Sektornummern im Fortschrittsfenster an, damit Sie im Fall des Einfrierens wegen Hardware-Fehlern sehen können, bis zu welcher Sektornummer der Vorgang gekommen war.

  • Der Befehl im Kontextmenü des Verzeichnis-Browsers zur sicheren Löschung von Dateien wurde umbenannt zu "Daten unkenntlich machen". Er ist nur in WinHex verfügbar (auch wenn X-Ways Forensics als WinHex gestartet wird), beispielsweise zur nachträglichen Bereinigung eines Roh-Images, bevor es an Dritte weitergegeben wird, oder um gezielt und partiell physische Datenträger zu bereinigen, wenn Sie nicht damit rechnen, dass beim Schreibvorgang Sektoren neu zugewiesen werden, bzw. dies nicht als relevant erachten.

  • Fähigkeit, den Kontextmenü-Befehl "Daten unkenntlich machen" auf ausgewählte Dateien im Fenster des Asservat-Überblicks anzuwenden.

  • Fähigkeit, zum Füllen/Überschreiben/Bereinigen von Sektoren, Blöcken und Dateien ein lesbares Text-Muster (Wasserzeichen) statt roher Hex-Werte einzusetzen, entweder in ASCII oder UTF-16 Unicode, wie von der Erzeugung bereinigter Sicherungen bereits bekannt.

  • Der Befehl zur Bereinigung ausgewählter Dateien hat jetzt eine Option, den Schlupfspeicher ebenfalls mit zu überschreiben.

  • Es gibt jetzt eine etwas detailliertere Erfolgsmeldung, wenn der Befehl "Daten unkenntlich machen" auf mehrere ausgewählte Dateien angewendet wurde, zusätzlich zur Vermerk-Ausgabe, für jedes betroffene Asservat einzeln, falls über den Asservat-Überblick veranlasst.

  • Dass auch die Daten in den Clustern der ausgewählten Verzeichnisse vom Befehl "Daten unkenntlich machen" mit überschrieben werden, ist jetzt optional, und standardmäßig nicht mehr der Fall, d.h. Sie können bequem und diesbezüglich gefahrlos auch ganze Verzeichnisse auswählen, um alle darin liegenden Dateien überschreiben zu lassen. Sollte diese Option zum Tilgen von Verzeichnsdaten angewählt werden, wird eine Warnung ausgegeben, da dies das Dateisystem beschädigt und verwaiste Dateien hinterlassen wird. Bedenken Sie auch, je nachdem, mit welchem Dateisystem Sie es zu tun haben, kann nach Überschreiben der Verzeichnisse eventuell auch X-Ways Forensics selbst diese Dateien beim Neueinlesen des Datei-Überblicks nicht mehr finden.

  • Es werden jetzt auch Warnungen angezeigt, wenn bestimmte, bekannte Systemdateien zum Überschreiben ausgewählt sind, da deren Überschreibung das Dateisystem beschädigen wird.

  • Die Befehlsvarianten Bearbeiten | Datei füllen und Bearbeiten | Block füllen können jetzt im Datei-Modus auf eine Datei angewendet werden, die im Verzeichnis-Browser ausgewählt ist.

  • Beim Befehl "Sicher löschen" im Hauptmenü ist jetzt das tatsächliche Löschen der gewählten Dateien im Dateisystem optional. Falls nicht gewünscht, wird nur ihr Dateiinhalt überschrieben.

Verzeichnis-Browser

  • Nach Verwendung des Befehls "Listenpos. aufsuchen" (ehem. "Eintrag Nr. aufsuchen") im Kontextmenü des Verzeichnis-Browsers wird jetzt der blaue Tool-Tip angezeigt, der die Nummer des Listeneintrags darstellt, um zu bestätigen, dass Sie an der gewünschten Stelle in der Liste gelandet sind.

  • Der Befehl "Listenpos. aufsuchen" kann jetzt optional die Auswahl im Verzeichnis-Browser beibehalten und lediglich die gewünschten Listenposition in den angezeigten Ausschnitt bewegen und hervorheben. Bedenken Sie, wenn Sie das Kontextmenü verwenden wollen, ohne die bestehende Auswahl zu verlieren, obwohl Sie aktuell kein ausgewähltes Objekt in der Anzeige sehen können, weil Sie die Ansicht nach oben oder unten gerollt haben, können Sie das durch einen Rechtsklick auf ein beliebiges, nicht ausgewähltes Objekt erreichen, wenn Sie gleichzeitig die Strg-Taste gedrückt halten. Alternativ können Sie die Taste für das Kontextmenü auf Ihrer Tastatur drücken.

  • Der Befehl zum Aufsuchen einer Listenposition hat jetzt zwei weitere Schalter, die Ihnen ermöglichen, zum ersten bzw. letzten aktuell ausgewählten Objekt im Verzeichnis-Browser zu navigieren. Das kann in einer sehr langen Liste nützlich sein, wenn Sie den sichtbaren Ausschnitt zwischenzeitlich woanders hin gerollt haben, jetzt aber zu einem Punkt zurückkehren wollen, wo Sie Dateien ausgewählt hatten.

  • Die Auswahlstatistik unter dem Verzeichnis-Browser zeigt jetzt auch die Spanne der aktuell gewählten Listenpositionen an. Ein Klick auf die Statistik ruft das Dialogfenster zum Aufsuchen einer Listenposition auf.

  • Ein Mittel-Klick auf ein Objekt im Verzeichnis-Browser markiert bzw. demarkiert dieses jetzt, genau wie im Fallbaum.

  • Die Pfad-Filter können jetzt optional Groß-/Kleinschreibung beachten, wodurch sie schneller arbeiten.

  • Die Filter für Typ und Typ-Kategorie wurden beschleunigt.

  • Möglichkeit, den Beschreibungsfilter dazu zu verwenden, um Dateien zu identifizieren, auf die OCR angewendet wurde, aber ohne Ergebnis, d.h. <= 0 Zeichen, zur etwaigen eigenen Begutachtung nach Bedarf. Der Filter kann jetzt Ergebnisse mit mehr als oder weniger als 65.534 Zeichen identifizieren.

  • Separater Kontextmenü-Befehl zur Entfernung von Markierungen für Suchtreffer und Ereignisse. (Die Leertaste schaltet weiterhin zwischen Markierung und Nicht-Markierung ausgewählter Suchtreffer/Ereignisse hin und her.)

  • Fähigkeit, bestimmte Vermerke von der Anzeige in der in der Spalte Vermerke auszuschließen, beispielsweise, weil Sie diese nicht zu sehen brauchen und sie nur unnötig die Spalte voll machen, oder weil Sie Ihren Bildschirm jemand anderem zeigen wollen, diese Vermerke aber nicht. Sie können das im Fenster zur Verwaltung und Zuweisung von Vermerken anpassen, durch Verwendung des Ausblenden-Schalters mit dem "×"-Symbol.

  • Verbesserte Darstellung von Text-Extraktion und OCR-Ergebnissen in der Beschreibungsspalte (sofern die Option "andere" in den Notationsoptionen ausgewählt ist).

  • Häkchen zur Markierung sind im Dunkelmodus jetzt besser sichtbar.

  • Wenn der Mauszeiger sich über einer Zeile im Verzeichnis-Browser befindet, sieht man das jetzt auch im Markierungsbereich.

Benutzeroberfläche

  • Ein neuer Befehl im Kontextmenü des Falles ermöglicht das Aufsuchen einer Datei oder eines Verzeichnisses mit einer bestimmten eindeutigen ID. Sollte das Asservat, das das Objekt enthält, aktuell nicht geöffnet sein, wird es automatisch geöffnet.

  • Alle drei Kategorisierungs-Icons (für verdächtig, irrelevant und nicht kategorisiert) können jetzt optional in der Namensspalte angezeigt werden, nicht nur das Icon für "verdächtige". Dies kann in den Optionen des Verzeichnis-Browsers geändert werden.

  • Das Dialogfenster zur Verwaltung der Vermerke wurde weiter überarbeitet. U. a. ist dort jetzt das Auflistung aller Arten von Vermerken optional.

  • Die Einrichtung von Tastenkürzeln über Optionen | Allgemein | Tastenkürzel festlegen... ist jetzt leichter, weil das Dialogfenster die ID des zuletzt verwendeten Befehls verrät. Um also die ID eines bestimmten Befehls, für den Sie gerne ein Tastenkürzel vergeben möchten, zu ermitteln, rufen Sie einfach diesen Befehl auf (und brechen Sie ihn ab, falls das eine Option ist) und danach können Sie dessen ID sehen. Die meisten Befehle im Hauptfenster, in einem Datenfenster, im Verzeichnis-Browser oder im Falldaten-Fenster sind hierfür geeignet.

  • Das Dialogfenster für Optionen | Allgemein | Tastenkürzel festlegen... erinnert Sie jetzt auch an die spezielle ID, die Sie verwenden können, um den zuletzt benutzten Befehl zu wiederholen, welcher auch immer das jeweils war. Wenn Sie also beispielsweise in mehreren Einzelschritten Dateien manuell als verdächtig kategorisieren möchten, können Sie das über das Kontextmenü des Verzeichnis-Browsers beim ersten Mal machen, und danach einfach das spezielle Tastenkürzel verwenden, dass Sie für diese ID vergeben haben. Die spezielle ID ist aktuell die 182. Die meisten Befehle im Hauptfenster, in einem Datenfenster, im Verzeichnis-Browser oder im Falldaten-Fenster sind hierfür geeignet. In neuen Installationen ist das Tastenkürzel Strg+F5 zum Wiederholen des letzten Befehls vordefiniert.

  • Wenn Asservate im Fallbaum mit der alten Methode (die Pfeiltasten im Eigenschaften-Dialogfenster) nach unten bewegt werden, ist dort nun anschließend immer noch dasselbe Asservat hervorgehoben.

  • Verbesserte Skalierung einiger GUI-Elemente für die Verwendung mit hochauflösenden Bildschirmen und hohen DPI-Einstellungen in Windows, inkl. der Option, Häkchen zur Markierung zu verwenden.

  • Schalter haben jetzt einen Maus-Over-Effekt.

  • Einige Icons überarbeitet.

Bildanzeige

  • Beim Einsehen bzw. in der Vorschau von Bildern mit der internen Bildbetrachtungsbibliothek werden niedrig aufgelöste Bilder jetzt automatisch zu einem gewissen Grad vergrößert. Dies ist abhängig davon, mit bis zu welchem Faktor Sie maximal arbeiten wollen, um zu starke Verpixelung zu vermeiden, und das Maximum kann in Optionen | Datei-Betrachtung festgelegt werden. Standardmäßig werden nur natürliche Vergrößerungsfaktoren (100%, 200%, 300%, ...) verwendet, um die sonst notwendige Interpolation zu vermeiden, aber es gibt ein Kontrollkästchen, um das zu ändern. Der Unterschied ist am besten mit einem kleinen Bild und einem hohen maximalen Vergrößerungswert zu sehen, wenn Sie den Vorschaubereich in der Größe verändern. Unter Berücksichtigung der benutzerdefinierbaren maximalen Vergrößerung und der potentiellen Beschränkung auf einfache Pixel-Vermehrung (ohne Interpolation) werden Bilder im Vorschau-Modus und beim Einsehen mit der internen Bildbetrachtungsbibliothek auf die maximal mögliche Größe angesichts der aktuellen Dimensionen des Vorschaufensters bzw. des Bildschirms vergrößert.

  • Die aktuelle Vergrößerung im Vorschau-Modus unter Verwendung der internen Bildbetrachtungsbibliothek wird jetzt in der unteren linken Ecke des Vorschaubereichs als Prozentwert angezeigt. (Die Vergrößerung, die beim Einsehen mit der internen Bildbetrachtungsbibliothek verwendet wird, wurde schon immer in der Titelzeile des Fensters hinter dem Dateinamen angezeigt.)

  • Fähigkeit, beim Betrachten von Bildern im Vorschau-Modus mit der internen Bildbetrachtungsbibliothek mit dem Mausrad rein und raus zu Zoomen, in Schritten von 10%. (Dies verändert aktuell nicht die Bildmitte in Abhängigkeit von der Mausposition. Um in einem stark vergrößerten Bild zu navigieren, verwenden Sie bitte den Einsehen-Befehl.)

  • HEIC-Darstellungsfunktionalität aktualisiert.

  • Die interne Bildbetrachtungsbibliothek wurde für andere Dateiformate ebenfalls überarbeitet.

  • Sie haben jetzt die Möglichkeit, auch für TIFF-Bilder in der Vorschau von der Viewer-Komponente (VK) zur internen Bildbetrachtungsbibliothek zu wechseln, über den VK-Submodus-Schalter, der für TIFF-Bilder standardmäßig gedrückt erscheint. Beachten Sie, dass die interne Bildbetrachtungsbibliothek eventuell vorhandene weitere Seiten eines TIFF-Bildes nicht darstellen kann.

Bildinhaltsanalyse

  • Weitere erkannte Foto-Stile (wie z.B. "Farbenfroh", "Bilderrahmen", "Selektive Farbe", "Ungesättigt", "Hell") können jetzt zu Kategorisierungszwecken verwendet werden.

  • Verbesserter Umgang mit ungenügendem Speicherplatz für temporäre Dateien, die bei der Bildinhaltsanalyse erzeugt werden.

  • Bestimmte Dateiformatvarianten oder Beschädigungen, mit denen die interne Bildbetrachtungsbibliothek umgehen kann, die aber von Excire nicht unterstützt werden, können jetzt ebenfalls die Bildinhaltsanalyse durchlaufen. Ein aktualisiertes Excire-Paket ist jetzt zum Download verfügbar und für den Einsatz mit v21.2 erforderlich (und weiterhin auch mit v21.1 kompatibel).

X-Tension API

  • Die X-Tension-API-Funktion XWF_GetEvObjProp unterstützt jetzt zwei weitere Eigenschaftstypen: 30 erfragt die Referenzzeitzonendifferenz eines Asservats, falls eine solche Zeitzone vom Nutzer gesetzt wurde. 31 erfragt die Anzeigezeitzonendifferenz eines Asservats. Weitere Informationen zur Sommerzeitumstellung können für beide Zeitzonen optional zur Verfügung gestellt werden.

  • Die X-Tension-API-Funktion XWF_GetItemInformation unterstützt jetzt diverse XWF_ITEM_INFO_*_DISPLAY_OFS-Typen (je einen für jeden Zeitstempel-Typ) über die man ermitteln kann, wieviele Minuten hinzuaddiert bzw. abgezogen werden müssen, um von diesem Zeitstempel zur selben lokalen Zeitzone zu kommen, die X-Ways Forensics selbst anzeigen würde. Dies hängt offensichtlich ab von 1) der nutzerdefinierten Anzeigezeitzone (die für den gesamten Fall gleich, oder individuell für jedes Asservat einzeln festgelegt sein kann), 2) der Ausgangszeitzone, in der der Zeitstempel entweder bekanntermaßen gespeichert ist, oder der nutzerdefinierten Referenzzeitzone, in der er mutmaßlich gespeichert ist, 3) ob der jeweilige Zeitstempel laut Ausgangs- oder Referenzzeitzone in die Sommerzeitphase des Jahres fällt, 4) ob der Zeitstempel laut Anzeigezeitzone in die Sommerzeitphase des Jahres fällt. Ein spezieller Rückgabewert ist -1. Er zeigt an, dass der Zeitstempel nicht in die gewünschte Anzeigezeitzone umgewandelt werden kann, und stattdessen so anzeigt wird, wie er ist, in Lokalzeit, basierend auf welcher Zeitzone auch immer das ursprünglich gewesen ist, oder, dass kein gültiger Zeitstempel vorhanden ist.

Verschiedenes

  • Die Obergrenze von ca. 2 Milliarden Hash-Werten in der Hash-Datenbank wurde angehoben. Die neue theoretische Obergrenze liegt bei ca. 4 Milliarden Hash-Werten.

  • Die Zahl der erkannten bilderzeugenden Geräte wurde weiter erhöht.

  • Ein tiefergehender Integritätstest für Datei-Überblicke ist über den Schalter mit dem Häkchen-Symbol im Dialogfenster von Datei-Überblick erweitern verfügbar.

  • Ermöglicht jetzt bis zu einem Gigabyte an Daten in die Zwischenablage zum Einfügen in andere Windows-Anwendungen zu kopieren, statt bisher 128 MB.

  • Beim Drucken von Dateien haben Sie jetzt die Möglichkeit, nicht nur den vollen Pfad auf die erste Seite zu drucken, sondern auch die eindeutige ID der jeweiligen Datei.

  • Sie können jetzt einzelne Kontrollelemente eines Dialogfensters verstecken, bevor Sie Ihre Einstellungen in einer .dlg-Datei speichern lassen, womit die Werte dieser Elemente in der betreffenden .dlg-Datei undefiniert bleiben und in der Folge keine Probleme bei der Verwendung dieser .dlg-Dateien erzeugen können, z. B. bei der unbeaufsichtigten Verwendung über die Kommandozeile. Um ein Kontrollelement zu verstecken, drücken Sie die Umschalttaste und bewegen Sie das Mausrad in eine beliebige Richtung über dem Element. Es ist nützlich, bestimmte Werte aus einer .dlg-Datei herauszuhalten, wenn diese Werte nicht von allgemeiner Bedeutung sind, sondern nur für den aktuellen Einsatz Sinn haben, wie z.B. der Name der zu erzeugenden Image-Datei oder der letzte zu sichernde Sektor des Datenträgers. Einstellungen wie die Kompressionmethode und -stärke, Block- und Segmentgrößen hingegen verwenden Sie hingegen vermutlich länger, sofern sich Ihre Präferenzen nicht ändern. Von unterschiedlichen Programmversionen erzeugte .dlg-Dateien sind miteinander kompatibel, sofern sich die Steuerelemente des betreffenden Dialogfensters nicht verändert haben. Sie könnten also mit v21.2 neue .dlg-Dateien erzeugen und diese auch in älteren Versionen einsetzen, mit der vorgenannten Einschränkung.

  • OCR wird für sehr kleine Dateien jetzt unterbunden, um etwas Zeit zu sparen.

  • OCR hat jetzt eine Option für einen ausführlichen Berichtsmodus, wo diverse Anmerkungen, die Tesseract für die jeweils verarbeiteten Dateien ausgibt, im Nachrichtenfenster erscheinen.

  • Die Funktion zum Export einer Cluster-Liste als Textdatei unterstützt jetzt Unicode und erzeugt eine UTF-8-Textdatei.

  • Die Export-Funktion für FuzZyDoc Hash-Sets hatte (mit Ausnahme spezieller Umstände) keine Wirkung. Dies wurde korrigiert.

  • Preview- und Beta-Versionen zeigen für Dateien, die in der Galerie nur als Icon statt als Miniaturbild angezeigt werden, in der unteren linken Ecke der betreffenden Galerie-Kachel eine Zahl an. Diese Zahl ist ein interner Indikator, warum kein Miniaturbild erzeugt wurde.

  • Die Programmhilfe und das Nutzerhandbuch wurden aktualisiert.

  • Viele kleinere Verbesserungen.


Änderungen in den Service-Releases von v21.1

  • SR-1: Die Funktion zur Verschmelzung von Vermerken (früher Berichtstabellen) hat seit v20.5 nicht unter allen Umständen korrekt funktioniert. Dies wurde behoben.

  • SR-1: Einige Bilddateien wurden zuvor nicht von der Bildinhaltsanalyse verarbeitet, mehrheitlich PNG-Dateien und eine WEBP-Variante. Dies wurde behoben.

  • SR-1: Eine eventuell unvollständige Ausgabe von error.log-Einträgen im ursprünglichen v21.1-Release wurde behoben.

  • SR-2: Die eigenständige Prozessphase der Bildinhaltsanalyse nach dem Datei-Überblick erweitern verwendet jetzt immer die basierend auf der verwendeten CPU maximal mügliche Anzahl an Threads, unabhängig von der Einstellung für Datei-Überblick erweitern als solches.

  • SR-2: Einige vordefinierte Tool-Tips waren in v21.1 falsch zugeordnet. Dies wurde behoben.

  • SR-2: Ein Ausnahmefehler, der in v21.1 beim Dekodieren von .json-Dateien für die logische Suche auftreten konnte, wurde behoben.

  • SR-3: Jetzt für die neuere Tesseract-Version, die wir im Oktober 2023 zur Verfügung gestellt haben, optimiert und setzt diese auch zwingend voraus. OCR ist mit mehreren Threads jetzt erheblich schneller.

  • SR-3: Der Befehl "Dlg:" setzt die Ausführung nicht mehr länger fort, wenn Werte, die so einem Dialog-Fenster zugewiesen werden, von X-Ways Forensics nicht akzeptiert werden. Stattdessen wird die Ausführung pausiert, bis eine manuelle Korrektur von Nutzerseite stattgefunden hat und OK oder Abbrechen angeklickt wird. Dies ermüglicht Ihnen, von Problemen in solchen .dlg-Dateien überhaupt zu erfahren und diese auch zu lokalisieren. Ein neuer Befehl DLG: in Großbuchstaben verhält sich so, wie es zuvor Dlg: getan hat, d.h. es wird eine weitere Ausführung erzwungen, selbst, wenn ein Problem auftreten sollte. Dies kann bedeuten, dass andere Werte in dieser .dlg-Datei, die eigentlich funktionsfähig wären, ignoriert werden künnten!

  • SR-3: Fälle erinnern sich jetzt an alle neun Tastenkürzel für Vermerke.

  • SR-3: Die speziellen Parameter des Befehls AddImage auf der Kommandozeile haben nicht wie erwartet funktioniert. Dies wurde behoben.

  • SR-3: Nicht übereinstimmende Informationen in den Empfänger-Spalten für MSG-Dateien mit bestimmten erhaltenen E-Mails wurden behoben.

  • SR-3: Ein seltener Fehler im Umgang mit LVM2 wurde behoben, der auftreten konnte, wenn eine einzelne physische Platte mehrere LVM2-Container-Partitionen enthält, eine eine Partition in diesem LVM2-Setup sich über mehrere dieser LVM2-Container-Partitionen erstreckt hat.

  • SR-3: "Remarks" sind in "Annotations" umbenannt worden, und die entsprechenden Informationen sind jetzt in einer Datei namens "Annotations.txt" statt "Remarks.txt" hinterlegt.

  • SR-4: Fähigkeit, die Bildinhaltsanalyse erneut anzuwenden, indem Sie ausgewählte Dateien durch Drücken von Strg+Entf zurück auf den Status "noch zu verarbeiten" setzen.

  • SR-4: Die 64-bit-Ausgabe von früheren Releases von v21.1 hatte Schwierigkeiten mit bestimmten Datei-Überblicken älterer Versionen. Dies wurde behoben. Ältere Versionen künnen einen Datei-Überblick nicht mehr laden, wenn dieser von v21.1 SR-4 gespeichert wurde, mit Ausnahme zukünftiger Releases älterer Versionen, die diesen schreibgeschützt laden künnen.

  • SR-4: Die Unfähigkeit von v21.1 in bestimmten Umgebungen herauszufinden, ob das Programm mit Administratorrechten läuft, wurde behoben.

  • SR-5: Die Meldung "Die laufende Operation muss erst abgebrochen werden", die in früheren Releases von v21.1 in bestimmten Situationen auftreten konnte, wurde verhindert.

  • SR-5: Fähigkeit, sehr kleine Partitionen mit SquashFS zu erkunden.

  • SR-5: TAR-Archive künnen jetzt direkt als Asservate zu einem Fall hinzugefügt werden, selbst wenn die alternative Verarbeitungsmethode für TAR aktiv ist.

  • SR-5: Die interne Bildbetrachtungsbibliothek wurde etwas aktualisiert.

  • SR-6: Ein Stabilitätsproblem wurde behoben, das beim Hinzufügen von Positionen zum Positions-Manager auftreten konnte, wenn dieser noch nicht sichtbar war.

  • SR-6: Ein Stabilitätsproblem wurde behoben, das auftreten konnte, wenn für temporäre Dateien ein sehr langer Pfad eingestellt war.

  • SR-6: Eine in bestimmten Situationen auftretende, unerwünschte Aktivierung eines anderen Datenfensters beim Aktivieren oder Deaktivieren eines Filters wurde behoben.

  • SR-7: Ein Ausnahmefehler wurde behoben, der beim Hinzufügen sehr langer Texte zur "Hash Comments"-Datenbank aufgetreten ist.

  • SR-7: Lesefehler, die beim Lesen aus einem zusammengesetzten RAID oder JBOD mit einer Sektorgrüße von 4 KB auftreten konnten, wurden behoben.

  • SR-7: Eine potentiell fehlerhafte Extraktion von E-Mail-Anhängen aus MBOX-E-Mail-Archiven und Original-.eml-Dateien wurde behoben.


Exponent LoadReady

Ein weiteres Exponent-Drittanbieter-Modul ist jetzt verfügbar, welches die Lücke zwischen X-Ways Forensics und bestimmten E-Discovery-Anwendungen schließt. Exponent LoadReady erzeugt ladefertige ('load-ready') Pakete von ausgewählten Dateien in Ihrem Fall. So verpackte Beweismittel, in einem industrieweit eingesetzten Format, ermöglicht die zeitsparende und akurate Übernahme in gemeinhin verwendeten E-Discovery-Plattformen, speziell Relativity. Angebote für das gesamte Exponent-Paket, welches alle (derzeit) 5 Module umfasst, bekommen Sie von X-Ways hier.


Werden Sie zertifizierer Benutzer von X-Ways Forensics
Werden Sie ein X-PERTe.
(X-Ways Professional in Evidence Recovery Techniques)

Beweisen Sie Ihre Fähigkeiten in der Computerforensik im Allgemeinen und mit X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm. Nach dem Bestehen der herausfordernden Prüfung werden Sie Teil einer exklusiven Gruppe und genießen neben der entsprechenden Anerkennung auch weitere einhergehende Vorteile, wie Schulungsrabatte oder Zugang zum aktualisierten Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden Sie hier.


Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

  
#174: X-Ways Forensics, X-Ways Investigator und WinHex 21.1 sowie Exponent veröffentlicht

15. April 2024

In dieser Ausgabe informieren wir Sie über ein am 5. April 2024 erschienenes Update mit wichtigen Verbesserungen, die Version 21.1, sowie ein kommerziell erhältliches Zusatzpaket von externen Entwicklern, das sich sehr gut in X-Ways Forensics integriert. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich "Announcements" des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Nächster Schulungstermin für "X-Ways Forensics I"

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie online werden hier aufgelistet.


Was ist neu in v21.1?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Datei-Überblick und Dateisystem-Unterstützung

  • Verbesserte Unterstützung für sehr große Datei-Überblicke. Über 500 Millionen Objekte (also Dateien+Verzeichnisse) sind jetzt in einem einzigen Volume möglich, aber nur in der 64-bit-Version und abhängig von einer ausreichenden Menge an Arbeitsspeicher, und unter der Annahme, dass Sie die Zeit haben, auf die vollständige Erfassung dieses Datei-Überblicks zu warten. Diese getestete Fähigkeit sollte ein weiterer Pluspunkt für X-Ways Forensics als leistungsfähiges Tool zur Datenträger-Analyse sein. Der Grenzwert von ca. 500 Millionen basiert auf einer durchschnittlichen Dateinamenslänge von 16 Zeichen. Mit kürzeren Namen wären auch 1 Milliarde Objekte oder mehr theoretisch möglich. Wenn nur der interne Speicherplatz für Dateinamen ausgereizt ist, können weitere Dateien immer noch in den Datei-Überblick aufgenommen werden, aber nur mit einem ? als Ersatz-Dateiname.

  • Datei-Überblicke von außergewöhnlich großen Volumes unterstützen jetzt Dateien, deren Dateisystem-Eintrag oder deren Dateninhalte an Offsets jenseits von 131 TB beginnen. Die neue Obergrenze ist 262 TB.

  • Leichte Beschleunigung für die Erzeugung eines Datei-Überblicks in großen NTFS-Dateisystemen.

  • Zwei Arten von proaktiven Filtern, basierend auf Namen und Zeitstempeln, können nun in den Eigenschaften eines Falls aktiviert werden. Proaktive Filter ermöglichen es, einen anfänglich erzeugten Datei-Überblick einzuschränken. Dateien, die die Filterbedingung(en) nicht passieren, werden in keinen Datei-Überblick aufgenommen, der erzeugt wird, während solche Filter aktiv sind. Verzeichnisse sind von der Einschränkung nicht betroffen und werden normal aufgenommen. Die Filter wirken sich nur auf Partitionen/Volumes und Datei-Archive aus, die Asservate sind, und alle Dateien, die direkt in ihnen gefunden werden durch Verfolgen der Datenstrukturen des jeweiligen Dateisystems bzw. Archivs. Sie beschränken nicht das Hinzufügen von Dateien, die auf irgendeine andere Art und Weise gefunden werden, z. B. über eine Datei-Header-Signatur-Suche oder durch Prüfen von Dateien, die bereits im Datei-Überblick enthalten sind, auf eingebettete Daten o. ä..

  • Proaktive Filter sind besondere Filter, weil sie verhindern können, dass Dateien überhaupt in einen Datei-Überblick gelangen können: Dateien, die Sie nicht benötigen oder nicht dort haben möchten oder die Sie gar nicht zu Gesicht bekommen sollten. Entweder weil Ihre Aufgabe oder Ihr Augenmerk beschränkt ist auf bestimmte Dateien, deren Namen oder Zeitstempelbereiche im voraus bekannt sind oder weil das Asservat (Sicherung oder Datei-Archiv) so groß ist, dass Sie allein durch das Vermeiden von Hunderten von Millionen Dateien massiv Zeit und Hauptspeicher einsparen oder das Volume überhaupt erst für X-Ways Forensics verdaulich machen (d. h. die Größe eines Datei-Überblicks innerhalb der unterstützten Grenzen halten können). Die Erzeugung des Datei-Überblicks selbst kann auf diese Art merklich beschleunigt werden, wenn das Asservat eine Sicherung ist, und all die nachfolgenden Schritte (Navigieren, Auflisten, Sortieren, Filtern, Erweiterung des Datei-Überblicks) sind weniger rechenintensiv, wenn sie bereits im Vorhinein die Aufnahme einer so großen Zahl ungewollter Dateien verhindern konnten.

    Die Anzahl der proaktiv ausgelassenen Dateien wird während der Erzeugung des Datei-Überblicks im Fortschrittsanzeigefenster dargestellt. Nach Abschluss der Erzeugung des Datei-Überblicks ist die Gesamtzahl solcher Dateien im Status des Datei-Überblicks ersichtlich, im Dialogfenster für die Erweiterung des Datei-Überblicks. Eine Warnung, dass ein proaktiver Filter greift, wird pro Sitzung einmal im Nachrichtenfenster ausgegeben, wenn ein Datei-Überblick erzeugt wird..

  • Verzeichnisauflistungen, die über das Betriebssystem erzeugt wurden ("OS dir list"), die Sie z.B. durch Hinzufügen eines Verzeichnisses oder einer einzelnen Datei als Asservat zu einem Fall erhalten, können jetzt auf Wunsche wahlweise keine Zeitstempel aus dem Dateisystem anzeigen, oder nur das Änderungsdatum. Dies ist eine Option des Datei-Überblicks und nützlich, wenn die Zeitstempel nicht die übliche Bedeutung haben, weil sie beispielsweise vom Zeitpunkt der Datensicherung stammen, statt die ursprünglichen Zeitstempel an der Quelle widerzuspiegeln.

  • In neuen Installationen ist die Standardeinstellung für die Datei-Überblicks-Option "Neu ermittelte Namen als Hauptnamen" jetzt halb ausgewählt, was bedeutet, nur für Original-.eml-Dateien wird der neu ermittelte Name (d.h. der Betreff) zum Hauptnamen in der Namensspalte, und der evtl. wenig aussagende Dateiname laut Dateisystem wird zum Zweitnamen.

  • Fähigkeit, mit SquashFS komprimierte Dateisysteme als solches zu erkennen und ihre Inhalte wie Dateiarchive zu behandeln. Die unterstützten Kompressionsalgorithmen für SquashFS in X-Ways Forensics sind GZIP/zlib, LZMA, LZO und XZ.

Hash-Datenbank

  • Normale Verwendung der Hash-Datenbank zu Lesezwecken (um die Namen übereinstimmender Hash-Sets zur Anzeige in der Spalte "Hash-Set" des Verzeichnis-Browsers zu laden), wenn sie mit anderen geteilt wird, hindert andere Nutzer nicht mehr daran, die Hash-Datenbank zu aktualisieren, oder die Datenbank (d.h. das Verzeichnis) als ganzes zu ersetzen, da die Hash-Set-Namen in einem lokalen Puffer gehalten werden.

  • Der eher einfache CRC32-Algorithmus wird nun in normalen Hash-Datenbanken unterstützt. Eine Hash-Datenbank basierend auf CRC32 zu erzeugen ist (nur) dann nützlich, wenn Sie wirklich nur die CRC32-Werte haben von Dateien, nach denen Sie suchen, keine verlässlicheren Hash-Werte und keine Original-Datei-Inhalte, z. B. aus verschlüsselten Zip-Archiven, weil solche Archive die CRC32-Werte der unverschlüsselten Daten in den Metadaten haben. Wenn Sie beim Abgleich mit einer CRC32-Hash-Datenbank einen Treffer erhalten und die Dateigröße dieselbe ist wie von den Metadaten in einem solchen verschlüsselten Zip-Archiv her bekannt, dann ist es sehr wahrscheinlich, dass Sie eine unverschlüsselte Kopie derselben Datei gefunden haben.

    Wenn Sie CRC32-Hash-Werte importieren möchten (mit "CRC32" in der ersten Zeile, gefolgt von jeweils einem Hash-Wert in Hex-ASCII pro weiterer Zeile), beachten Sie bitte, dass diese Hex-ASCII-Werte in Big-Endian- (also "menschenlesbarer") Schreibweise/Byte-Reihenfolge erwartet werden, genau wie sie in Software-Programmen wie 7-Zip und WinZip sowie X-Ways Forensics selbst angezeigt werden, was anders als bei MD5, SHA-1 usw. nicht die Byte-Reihenfolge ist, in der diese CRC32-Werte binär gespeichert sind, sowohl in X-Ways Forensics intern als auch in Zip-Archiven selbst und vermutlich anderswo.

  • Sie können die Blockgröße für Block-Hash-Datenbanken nun selbst festlegen. 512 Bytes ist die Voreinstellung und empfohlen, es sei denn, Sie wissen genau, was Sie tun. Blöcke von 4 KB z. B. können kompatibel sein mit Volumes/Partitionen, die eine Clustergröße von 4 KB aufweisen, und Festplatten mit einer Sektorgröße von 4 KB physisch und logisch, aber würden eine Suche nach bekannten Daten vereiteln, wenn diese im Zieldateisystem aus Sicht des Asservats nicht an 4-KB-Grenzen ausgerichtet sind. Das könnte z. B. passieren, wenn das Dateisystem einen irregulär großen Vorspann vor dem ersten Cluster hat (wie FAT) oder wenn Sie das blockweise Hashen (nur) auf der Ebene eines partitionierbaren Datenträgers anwenden, in dem die Partitionen nicht an 4-KB-Grenzen ausgerichtet sind. Die gute Nachricht ist aber, dass das blockweise Hashen genau wie eine Datei-Header-Signatur-Suche in X-Ways Forensics gezielt auf Partitionen angewandt wird, wenn Partitionen auf einem partitionierbaren Datenträger (oder einer Sicherung davon) bekannt sind, und nur der Bereich außerhalb von bekannten und erkundbaren Partitionen auf der Ebene des partitionierbaren Datenträgers verarbeitet wird..

  • Block-Hash-Treffer werden jetzt mit ihrer Größe in der Suchtreffer-Spalte angezeigt.

  • PhotoDNA-Übereinstimmungen (insbesondere mehrere Übereinstimmungen für dasselbe Bild) können jetzt optional als Vermerke ausgegeben werden. Das ist nützlich, wenn Sie alle Übereinstimmungen sehen möchten und/oder Übereinstimmungen mit PhotoDNA auf die gleiche Art sehen wollen wie Übereinstimmungen mit normalen Hash-Datenbanken, die ebenfalls als Vermerke ausgegeben werden können.

Benutzerschnittstelle

  • Sie können die Reihenfolge der Vermerke entweder im Verwaltungsfenster für Vermerke oder im zugehörigen Filterfenster mit Hilfe der Pfeil-Schalter umstellen, sofern aktuell nicht nach Name sortiert wird. Die Änderung der Reihenfolge hier hat sofortige Auswirkungen auf die Reihenfolge, in der die Vermerke in der entsprechenden Spalte angezeigt werden. Auf diesem Weg können Sie sicherstellen, dass die Vermerke, die Ihnen am wichtigsten sind, immer zuerst angezeigt werden.

  • Die Namen der Vermerke können in der entsprechenden Spalte optional nach x Zeichen abgekürzt werden, um mehr Vermerke gleichzeitig in der Spalte sichtbar zu machen. Dies ist eine Notationseinstellung. Halb ausgewählt wird die Abkürzung durch Auslassungspunkte gekennzeichnet.

  • Das erweiterte Dialogfenster für die Verwaltung von Vermerken ist neu organisiert und aufgeräumt worden.

  • Die Option "Dynamische E-Mail- & Datumsspalten" steuert jetzt auch die Sichtbarkeit der Spalte "Erz. des Inhalts" entsprechend.

  • Datumsfilter-Einstellung um auf Dateien zu filtern, die bestimmte Zeitstempel gar nicht besitzen (üblicherweise, weil diese z.B. im Dateisystem nicht gesetzt wurden).

  • Nutzerdefinierte Dateimasken werden konsistenter und gründlicher auf Fehler und Plausibilität geprüft.

  • Option, die Synchronisierung mehrerer Galerie-Threads ggf. zu verbessern.

  • Wenn Sie externe Programme aus X-Ways Forensics mit bestimmten Parametern aufrufen wollen, zusätzlich zum Namen der Datei, die extern geöffnet werden soll, können Sie diese Parameter in derselben Zeile der Programs.txt mit angeben, vom Pfad der ausführbaren Datei durch einen Tabulator getrennt. Der Name der zu öffnenden Datei wird am Ende angehängt, nach den von Ihnen vorgegebenen Parametern, es sei denn, Sie fügen den Platzhalter %1 an einer beliebigen Stelle in Ihren Parametern ein. Dieser Platzhalter wird durch den Dateinamen ersetzt.

  • Um eine portable Installation von X-Ways Forensics oder X-Ways Investigator und sein Icon auf einer bestimmten Maschine mit .xfc-Falldateien zu verknüpfen, können Sie die Anwendung zumindest einmal explizit als Administrator ausführen und sie wieder beenden, während ein beliebiger der anpassbaren Standardpfade auf denselben Laufwerksbuchstaben verweist, auf dem Ihre Windows-Installation liegt, um der Anwendung einen Fingerzeig darauf zu geben, dass Sie der Besitzer des aktiven Windows-Systems sind und kein Problem damit haben, dass darauf schreiben zugegriffen wird. Das kann entweder der Pfad sein, in dem Sie die Anwendung ausführen, der Pfad, in dem Fälle erzeugt und erwartet werden, der Pfad, wo standardmäßig Datenträgersicherungen erstellt und erwartet werden, oder der Pfad für temporäre Dateien.

  • Überarbeitete Darstellung von Kompression/Datendichte für .e01-Evidence-Files. Unter anderem wird die Darstellung jetzt mit den DPI-Einstellungen des Systems skaliert.

  • Wenn Vorschau- und Details-Modi kombiniert werden, und die untere Hälfte des Datenfensters nach rechts bewegt wird, werden Vorschau und Details jetzt vertikal getrennt, statt horizontal, mit der Vorschau über den Details.

  • Die Beschreibungszelle im Details-Modus wird jetzt immer detailliert dargestellt, unabhängig von den Notationseinstellungen für die Beschreibungsspalte.

  • Die Video-Dateien, aus denen Einzelbilder zu extrahieren sind, werden jetzt mit einer kommagetrennten Typen-Liste identifiziert statt bisher mit einer Dateinamens-Maske.

  • Übersetzungen der Nutzeroberfläche für Ukrainisch und Russisch wurden aktualisiert.

Bildinhaltsanalyse

  • Eine neue Excire-Version ist jetzt zum Download verfügbar, und für den Einsatz mit X-Ways Forensics 21.1 erforderlich. Die Suche nach "ähnlichen" Bildern wurde überarbeitet, und die Genauigkeit der Inhaltserkennung wurde verbessert. Die Zahl der Bilder, die mehr als einen falschen Begriff zugeordnet bekommen (false positives) wurde um 75% reduziert. Die Zahl der Bilder ganz ohne falsche Schlüsselbegriffe wurde verdoppelt.

  • Die neue Excire-Version hat 69 bisher verwendete Begriffe, die wenig verlässliche Ergebnisse gebracht haben, und ohnehin von geringem Interesse waren, aus ihrer Erkennungsliste entfernt. Unterstützung für 87 neue Schlüsselbegriffe wurde eingeführt, darunter einer, der von diversen Ermittlern ausdrücklich angefragt wurde (Ausweisdokumente), plus diverse Körperteile (d.h. nicht vollständige Personen).

Dateiformat-Unterstützung

  • HTML-Berichtsdateien können nun automatisch für die Windows-Registry-Hive-Dateien NTUSER.DAT, SYSTEM, SOFTWARE, SECURITY und SAM als Teil der Metadaten-Extraktion erzeugt werden, basierend auf den “Reg Report *.txt”-Definitionsdateien, die Sie in Ihrem Installationsverzeichnis haben (von denen mehrere vorinstalliert sind). Die HTML-Dateien werden dem Datei-Überblick als Unterobjekte hinzugefügt. Der Vorteil ist, dass sie als menschenlesbare Vorschauen für ausgewählte interessante Werte dienen können, und sie enthalten einige codiert gespeicherte Texte als Klartext (insbes. sog. UserAssist-Einträge), so dass die logische Suche sie finden kann. Unmengen von Zeitstempeln aus den verarbeiteten Registry-Hives werden zeitgleich der Ereignisliste hinzugefügt. All dies geschieht, wenn der Benutzer HTML-Vorschauen von Browser-Datenbank usw. erzeugen lässt und/oder interne Zeitstempel in Dateien als Ereignisse ausgeben lässt.

  • Bestimmte temporäre Dateien von MS Edge werden jetzt automatisch auf eingebettete Bilder überprüft, als Teil der Option "Datei-Header-Signatur-Suche in nicht obig behandelten Dateien" in der Funktion "Eingebettete Daten in diversen Dateitypen suchen" Die Dateimaske für diese Funktion wird von diesem Release aus diesem Grund zurück gesetzt.

  • Extrahiert Microsoft Teams Nachrichten aus bestimmten PST-Archiven, die über das Admin Center von Microsoft 365 exportiert wurden.

  • Fähigkeit, E-Mails aus OLM-Datenbanken von Microsoft Outlook for Mac zu extrahieren.

  • Extrahiert rein als Text gespeicherte Anhänge aus Original-.eml_Dateien sowieso MBOX-E-Mail-Archiven als Unterobjekte.

  • Fähigkeit, den Text aus .json-Dateien für logische Suchen, Indexierung und den Text-Vorschau-Modus zu extrahieren, einschließlich für Dateien, die speziell kodierte Unicode-Zeichen aus dem internationalen Bereich (z.B. Chinesisch) enthalten.

  • Metadaten-Extraktion aus WEBP-Dateien ausgebaut. Insbesondere wurde die Ausgabe von Exif-Metadaten in WEBP-Bildern zusätzlich zu den XMP-Metadaten eingeführt.

  • Unterstützung für weitere TIFF-Bildformatvarianten in der internen Graphikdarstellungsbibliothek.

  • "Social media" war bislang einer von mehreren möglichen Werten für den sogenannten Bearbeitungszustand in der Summary-Tabelle für JPEG-Dateien im Details-Modus. Dieser Bild-Ursprung wird jetzt stattdessen über die sogenannte Software class sichtbar gemacht.

  • 28 Software classes werden derzeit für JPEG- und WEBP-Bilder unterstützt: AI generated, Adobe, Amazon (für Produktfotos von ihrer Seite), Android, Apple, Beautifier, Bing, Camera, ContentGeneral, Editor, Facebook/Instagram, Firmware, General, Google/Picasa, LinkedIn, MSN, PHP, Pinterest, Scanner, Screenshot, Misc social media, Stock (im Sinne von Fotobibliotheken/stock photography), Twitter (X), Video still, Website builder, WhatsApp, Windows, Wordpress.

  • Ungefähr 75% aller JPEGs und PNGs (plus einige WEBP) bekommen jetzt eine Software class zugeordnet.

  • Mehr Definitionen von Foto-erzeugenden Geräten. Insbesondere wurden die Generator-Signaturen für Galaxy S23 und S24 aktualisiert.

  • Die Summary-Tabelle wurde überarbeitet.

  • Diverse spezifische Eigenschaften, die in Bildern festgestellt werden, werden im Details-Modus mit numerischen "Remarks" festgehalten. Eine neue Textdatei "Remarks.txt" ist enthalten, die diese Zahlen dokumentiert und mit einer rudimentären Erläuterung versieht.

  • Verbesserte Metadaten-Ausgabe für ICC Farbprofile.

  • Die Ausgabe von QWORD-Werten im Registry Viewer war bisher auf 32 bit beschränkt. Sie deckt jetzt die vollen 64 bit ab.

X-Tension API

  • Die X-Tension API wurde um zwei weitere Funktionen ergänzt: XWF_Mount() und XWF_Unmount(). Wenn Ihre X-Tensions externen Programmen Lesezugriff verschaffen möchten/müssen auf besonderes große oder besonders viele Dateien in einem Datei-Überblick, kann es schneller sein, den Datei-Überblick als Laufwerksbuchstaben in aktiven Windows-System einzubinden, was den Zugriff für externe Programme ermöglicht, als all diese Dateien herauszukopieren in einen Pfad, von dem aus die externen Programm lesen können.

  • Wenn X-Tensions Verzeichnisse zu einem Fall als Asservate hinzufügen, können sie nun X-Ways Forensics dazu veranlassen, jeden der vier regulären Zeitstempel in NTFS zu ignorieren, d. h. nicht mit in den Datei-Überblick aufzunehmen, wenn sie wertlos sind.

  • Die X-Tension API hat ein beachtliches Paket von zusätzlichen Modulen namens Exponent™ hervorgebracht, die sich direkt in X-Ways Forensics integrieren and dessen Funktionaltität beträchtlich auswerten, speziell im Hinblick auf bereits extern gesicherte Smartphone-Daten und E-Mail-Postfächer. Exponent kann direkt von X-Ways erworben werden. Details s. u.!

Diverses

  • Der Befehl "Prozesse sichern" für den Einsatz auf lebenden Windows-Systemen wurde überarbeitet. Die Fähigkeit, Bildschirmfotos einzelner Anwendungsfenster zu erzeugen, wurde erheblich verbessert, insbesondere was Browser-Fenster und bestimmte Microsoft-Anwendungen betrifft. Sie haben jetzt auch mehr Kontrolle darüber, welche Informationen in die Tabulator-getrennte Fensterliste aufgenommen werden, z.B. vollständige Listen der Unterfenster und (ebenfalls neu) die Hash-Werte der Bildschirmfotos.

  • Beim Interpretieren einer Datei als Roh-Image, die nicht ein Vielfaches der angenommenen Sektorgröße als Dateigröße hat, bleiben die überschüssigen Daten am Ende, die keinen weiteren ganzen Sektor mehr ergeben, nun im Zugriff erhalten, anders als in vorherigen Versionen, was sich z. B. auf die Hash-Berechnung auswirkt und möglicherweise auf die Datei-Header-Signatur-Suche. Sie erhalten immer noch eine Warnung wegen der unerwarteten Dateigröße, wenn solche Roh-Images als Datenträger interpretiert werden, wenn es sich nicht um das Asservat eines Falls handelt, für das Sie die Warnung bereits mal unterdrückt haben. Sie erhalten u. U. Lesefehlermeldungen, wenn Operationen, die sektorweise angewandt werden, den letzten (unvollständigen) "Sektor" zu lesen versuchen.

  • Einträge in der Datei error.log werden nun in UTF-8 gespeichert statt in der in Windows aktiven ANSI-Codepage.

  • Verbesserte Fehlermeldung, wenn interne Zeitstempel in .e01-Evidence-Files angetroffen werden, die nicht dem erwarteten Standard entsprechen.

  • Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

  • Viele kleinere Verbesserungen.


Änderungen an den weiteren Service-Releases von 21.0

  • SR-1: The regular OR combination of timestamps in the timestamp filter did not always work correctly in the original release of v21.0. That was fixed.

  • SR-1: nLicID was wrong in the original release of v21.0. That was fixed.

  • SR-2: An error message is now shown when taking a volume snapshot when encountering files that are located beyond the 131 TB barrier in a volume because access to such files is not supported.

  • SR-2: X-Ways Forensics now more strictly prevents users from treating data in free space as "embedded".

  • SR-2: Fixed an exception error that could occur in v21.0 when extracting metadata from certain QuickTime video files.

  • SR-2: Fixed a crash that could occur with certain TIFF pictures.

  • SR-2: Fixed an error present in v20.9 and v21.0, which could include directories and files with alternative names into the same evidence file container multiple times.

  • SR-2: Unusual zip archives in which overlapping records are detected, which can theoretically be a sign of archive bombs, are now labeled less intrusively.

  • SR-3: Ability to use UNC paths for temporary files with the PST/OST e-mail extraction.

  • SR-3: Fixed an error in the alternative PST/OST e-mail extraction.

  • SR-3: The API function XWF_GetItemName() did not work correctly for certain files in v20.9 and v21.0 when trying to retrieve potentially available alternative filenames. That was fixed.

  • SR-4: Largely prevented occasional inability to display thumbnails in the gallery (where thumbnails were marked with the word "Error") when the gallery was used with a great number of extra threads.

  • SR-4: Improved ability to restart automatically after a crash in conjunction with multiple instances, and fixed restart error in SR-2 and SR-3.

  • SR-5: Fixed a time zone adjustment issue of Safari Cache.db timestamps.

  • SR-5: Prevented the "dynamic e-mail and date columns" feature from rendering the "Content created" column invisible.

  • SR-6: Fixed an error in the preview of newer .automaticdestinations-ms files.

  • SR-6: Fixed repetition of timestamps in zeroed out entries of wtmp log files.

  • SR-6: An exception error could occur when processing Thunderbird e-mail stores under certain conditions. That was fixed.

  • SR-6: Fixed incomplete output of e-mail bodies extracted from Thunderbird e-mail stores.


Exponent

Exponent ist ein kontinuierlich wachsendes, mächtiges Erweiterungspaket (X-Tensions in 64 Bit), für den ausschließlichen Einsatz mit X-Ways Forensics (XWF) entworfen, entwickelt von API Forensics Inc., erwerblich von X-Ways, derzeit zu einem Einführungspreis. Dieses Paket erweitert und vereinfacht die forensische Datenanalyse, Visualisierung und Berichtsfähigkeiten für den täglichen forensischen Einsatz und Cyber-Security-Ermittlungen. Aktuelle Lizenzinhaber haben immer Zugriff auf die aktuellste verfügbare Version und erhalten beliebige zukünftig erscheinende Module ohne Zusatzkosten für die Laufzeit ihrer Lizenz. Testlizenzen können von Nutzerinnen und Nutzern von X-Ways Forensics hier angefragt werden.

Exponent wurde entworfen mit dem Ziel, Daten aus Mobilgeräten, die mit Drittprodukten wie Magnet Axiom oder MSAB XRY gesichert wurden, importierbar zu machen. Ziel dieses Ansatzes ist es, alle Beweismitteln in XWF zu importieren, um dann nur noch eine forensische Auswertung in nur einem Tool zu benötigen. Dies gibt Ermittlern die Möglichkeit, ihre Kenntnisse und die Fähigkeiten von XWF für die Analyse und die effizientere Berichterstattung voll auszunutzen.

Exponent X-Tensions wurden selbst mit einer komfortablen Nutzeroberfläche ausgestattet, um den Umgang und die Arbeit mit den diversen X-Tensions vom Start weg bequem und intuitiv zu gestalten.

Exponent Cloud Mail

  • Unterstützt IMAP-E-Mail-Acquisition

  • Unterstützt Microsoft, Google, AOL, Yahoo, Zoho u. a.

  • Filtermöglichkeit nach Datum und Datumsbereichen

  • Filtermöglichkeit nach Schlüsselwörtern und GREP-Ausdrücken

  • Schlüsselwörter können auf bestimmte Felder angewandt werden (z. B. From, To, Cc, Bcc, Betreff, Namen von Datei-Anhängen, sonstige Kopfzeilen)

  • E-Mails und Anhänge werden direkt in den Datei-Überblick von X-Ways Forensics hinein geladen

  • Vollständige Details: https://www.apiforensics.com/cloud-mail.asp

Exponent Mobile Messaging

  • Importiert mit Hilfe von ausgewählten externen Tools gesammte Daten von Mobiltelefonen mit Android und iOS (s. u.)

  • Importiert SMS, MMS, iMessage, Instagram-Direktnachrichten, WhatsApp-Nachrichten

  • Alle Metadaten, die von den externen Tools definiert sind, werden bewahrt.

  • Nachrichten incl. eingebetteter Fotos und Videos werden in .eml-Nachrichten konvertiert und in XWF importiert

  • Allows XWF to then process and extract the imported data and embedded objects

  • Unterstützt MSAB XRY, Magnet Axiom und Standalone-iTunes-Backups

  • Sie können so Computer-Asservate und mobile Asservate in einer einzigen Untersuchung kombinieren

  • Vollständige Details: https://www.apiforensics.com/mobile-messaging.asp

Exponent Mobile Media

  • Importiert mit Hilfe von ausgewählten externen Tools gesammte Daten von Mobiltelefonen mit Android und iOS (s. u.)

  • Importiert alle verfügbaren Bilder, die von MSAB XRY, Magnet Axiom und Standalone-iTunes-Backups gesammelt wurden.

  • Alle Metadaten, die von den externen Tools definiert sind, werden bewahrt.

  • Vollständige Details: https://www.apiforensics.com/mobile-media.asp

Exponent Faces

  • Implements commercial, industry recognized facial recognition technology that is in use by military and police organizations

  • Quickly detect and extract FACES from pictures and video files (by frame), including gender recognition

  • Match faces against faces you provide - create custom libraries of faces for enrollment

  • Face matching is a powerful and fast way to determine if a person of interest exists in your evidence

  • Extract FRAMES from videos up to 30 frames per second (34 millisecond intervals)

  • Extract CLIPS (segments) from existing videos and add it back to your case file

  • All FRAMES, FACES, MATCHES and CLIPS are added back to your case file as child objects making it easy to navigate and audit the evidence

  • Supports all the common file formats and more:  BMP, JPG, PNG, HEIC, MP4, MPG, MOV, VOB, AVI, FLV

  • Detects and extracts multiple faces from a single photograph or video frame!

  • Easily produce reports from faces extracted or review in Gallery view

  • Emulate built-in video playback in X-Ways Forensics by navigating extracted FRAMES in conjunction with the Preview tab

  • Vollständige Details: https://www.apiforensics.com/faces.asp

Here are some of the features and functionality that are currently in development or being planned:

  • Support for Cellebrite in Mobile Messaging and Mobile Media

  • Portable case for X-Ways Forensics

  • Loadfile and payload creator for Relativity

  • Built-in support for SQLite databases

  • Built-in media player

  • Registry Mounter (as its own evidence object)

  • Real time cloud collection of files, email, calendars

  • Production Order Importer (import files produced by Google, Microsoft, Facebook, etc) as a result of a search warrant or production order

  • Real time cyber and network security tools, including OSINT

  • Cyber forensic artifacts

  • TotalMobile - a new X-Tension to import ALL available artifacts collected by 3rd party mobile device tools


Werden Sie zertifizierer Benutzer von X-Ways Forensics
Werden Sie ein X-PERTe.
(X-Ways Professional in Evidence Recovery Techniques)

Beweisen Sie Ihre Fähigkeiten in der Computerforensik im Allgemeinen und mit X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm. Nach dem Bestehen der herausfordernden Prüfung werden Sie Teil einer exklusiven Gruppe und genießen neben der entsprechenden Anerkennung auch weitere einhergehende Vorteile, wie Schulungsrabatte oder Zugang zum aktualsierten Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden Sie hier.


Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

> Archiv des Jahres 2023 <

> Archiv des Jahres 2022 <

> Archiv des Jahres 2021 <

> Archiv des Jahres 2020 <

> Archiv des Jahres 2019 <

> Archiv des Jahres 2018 <

> Archiv des Jahres 2017 <

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <