WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

In dieser Ausgabe informieren wir Sie über ein am 5. April 2024 erschienenes Update mit wichtigen Verbesserungen, die Version 21.1, sowie ein kommerziell erhältliches Zusatzpaket von externen Entwicklern, das sich sehr gut in X-Ways Forensics integriert. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich "Announcements" des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Nächster Schulungstermin für "X-Ways Forensics I"

• 18.-21. Juni 2024: Online-Schulung

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie online werden hier aufgelistet.

Was ist neu in v21.1?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Datei-Überblick und Dateisystem-Unterstützung

• Verbesserte Unterstützung für sehr große Datei-Überblicke. Über 500 Millionen Objekte (also Dateien+Verzeichnisse) sind jetzt in einem einzigen Volume möglich, aber nur in der 64-bit-Version und abhängig von einer ausreichenden Menge an Arbeitsspeicher, und unter der Annahme, dass Sie die Zeit haben, auf die vollständige Erfassung dieses Datei-Überblicks zu warten. Diese getestete Fähigkeit sollte ein weiterer Pluspunkt für X-Ways Forensics als leistungsfähiges Tool zur Datenträger-Analyse sein. Der Grenzwert von ca. 500 Millionen basiert auf einer durchschnittlichen Dateinamenslänge von 16 Zeichen. Mit kürzeren Namen wären auch 1 Milliarde Objekte oder mehr theoretisch möglich. Wenn nur der interne Speicherplatz für Dateinamen ausgereizt ist, können weitere Dateien immer noch in den Datei-Überblick aufgenommen werden, aber nur mit einem ? als Ersatz-Dateiname.

• Datei-Überblicke von außergewöhnlich großen Volumes unterstützen jetzt Dateien, deren Dateisystem-Eintrag oder deren Dateninhalte an Offsets jenseits von 131 TB beginnen. Die neue Obergrenze ist 262 TB.

• Leichte Beschleunigung für die Erzeugung eines Datei-Überblicks in großen NTFS-Dateisystemen.

• Zwei Arten von proaktiven Filtern, basierend auf Namen und Zeitstempeln, können nun in den Eigenschaften eines Falls aktiviert werden. Proaktive Filter ermöglichen es, einen anfänglich erzeugten Datei-Überblick einzuschränken. Dateien, die die Filterbedingung(en) nicht passieren, werden in keinen Datei-Überblick aufgenommen, der erzeugt wird, während solche Filter aktiv sind. Verzeichnisse sind von der Einschränkung nicht betroffen und werden normal aufgenommen. Die Filter wirken sich nur auf Partitionen/Volumes und Datei-Archive aus, die Asservate sind, und alle Dateien, die direkt in ihnen gefunden werden durch Verfolgen der Datenstrukturen des jeweiligen Dateisystems bzw. Archivs. Sie beschränken nicht das Hinzufügen von Dateien, die auf irgendeine andere Art und Weise gefunden werden, z. B. über eine Datei-Header-Signatur-Suche oder durch Prüfen von Dateien, die bereits im Datei-Überblick enthalten sind, auf eingebettete Daten o. ä..

• Proaktive Filter sind besondere Filter, weil sie verhindern können, dass Dateien überhaupt in einen Datei-Überblick gelangen können: Dateien, die Sie nicht benötigen oder nicht dort haben möchten oder die Sie gar nicht zu Gesicht bekommen sollten. Entweder weil Ihre Aufgabe oder Ihr Augenmerk beschränkt ist auf bestimmte Dateien, deren Namen oder Zeitstempelbereiche im voraus bekannt sind oder weil das Asservat (Sicherung oder Datei-Archiv) so groß ist, dass Sie allein durch das Vermeiden von Hunderten von Millionen Dateien massiv Zeit und Hauptspeicher einsparen oder das Volume überhaupt erst für X-Ways Forensics verdaulich machen (d. h. die Größe eines Datei-Überblicks innerhalb der unterstützten Grenzen halten können). Die Erzeugung des Datei-Überblicks selbst kann auf diese Art merklich beschleunigt werden, wenn das Asservat eine Sicherung ist, und all die nachfolgenden Schritte (Navigieren, Auflisten, Sortieren, Filtern, Erweiterung des Datei-Überblicks) sind weniger rechenintensiv, wenn sie bereits im Vorhinein die Aufnahme einer so großen Zahl ungewollter Dateien verhindern konnten.
  
  Die Anzahl der proaktiv ausgelassenen Dateien wird während der Erzeugung des Datei-Überblicks im Fortschrittsanzeigefenster dargestellt. Nach Abschluss der Erzeugung des Datei-Überblicks ist die Gesamtzahl solcher Dateien im Status des Datei-Überblicks ersichtlich, im Dialogfenster für die Erweiterung des Datei-Überblicks. Eine Warnung, dass ein proaktiver Filter greift, wird pro Sitzung einmal im Nachrichtenfenster ausgegeben, wenn ein Datei-Überblick erzeugt wird..

• Verzeichnisauflistungen, die über das Betriebssystem erzeugt wurden ("OS dir list"), die Sie z.B. durch Hinzufügen eines Verzeichnisses oder einer einzelnen Datei als Asservat zu einem Fall erhalten, können jetzt auf Wunsche wahlweise keine Zeitstempel aus dem Dateisystem anzeigen, oder nur das Änderungsdatum. Dies ist eine Option des Datei-Überblicks und nützlich, wenn die Zeitstempel nicht die übliche Bedeutung haben, weil sie beispielsweise vom Zeitpunkt der Datensicherung stammen, statt die ursprünglichen Zeitstempel an der Quelle widerzuspiegeln.

• In neuen Installationen ist die Standardeinstellung für die Datei-Überblicks-Option "Neu ermittelte Namen als Hauptnamen" jetzt halb ausgewählt, was bedeutet, nur für Original-.eml-Dateien wird der neu ermittelte Name (d.h. der Betreff) zum Hauptnamen in der Namensspalte, und der evtl. wenig aussagende Dateiname laut Dateisystem wird zum Zweitnamen.

• Fähigkeit, mit SquashFS komprimierte Dateisysteme als solches zu erkennen und ihre Inhalte wie Dateiarchive zu behandeln. Die unterstützten Kompressionsalgorithmen für SquashFS in X-Ways Forensics sind GZIP/zlib, LZMA, LZO und XZ.

Hash-Datenbank

• Normale Verwendung der Hash-Datenbank zu Lesezwecken (um die Namen übereinstimmender Hash-Sets zur Anzeige in der Spalte "Hash-Set" des Verzeichnis-Browsers zu laden), wenn sie mit anderen geteilt wird, hindert andere Nutzer nicht mehr daran, die Hash-Datenbank zu aktualisieren, oder die Datenbank (d.h. das Verzeichnis) als ganzes zu ersetzen, da die Hash-Set-Namen in einem lokalen Puffer gehalten werden.

• Der eher einfache CRC32-Algorithmus wird nun in normalen Hash-Datenbanken unterstützt. Eine Hash-Datenbank basierend auf CRC32 zu erzeugen ist (nur) dann nützlich, wenn Sie wirklich nur die CRC32-Werte haben von Dateien, nach denen Sie suchen, keine verlässlicheren Hash-Werte und keine Original-Datei-Inhalte, z. B. aus verschlüsselten Zip-Archiven, weil solche Archive die CRC32-Werte der unverschlüsselten Daten in den Metadaten haben. Wenn Sie beim Abgleich mit einer CRC32-Hash-Datenbank einen Treffer erhalten und die Dateigröße dieselbe ist wie von den Metadaten in einem solchen verschlüsselten Zip-Archiv her bekannt, dann ist es sehr wahrscheinlich, dass Sie eine unverschlüsselte Kopie derselben Datei gefunden haben.
  
  Wenn Sie CRC32-Hash-Werte importieren möchten (mit "CRC32" in der ersten Zeile, gefolgt von jeweils einem Hash-Wert in Hex-ASCII pro weiterer Zeile), beachten Sie bitte, dass diese Hex-ASCII-Werte in Big-Endian- (also "menschenlesbarer") Schreibweise/Byte-Reihenfolge erwartet werden, genau wie sie in Software-Programmen wie 7-Zip und WinZip sowie X-Ways Forensics selbst angezeigt werden, was anders als bei MD5, SHA-1 usw. nicht die Byte-Reihenfolge ist, in der diese CRC32-Werte binär gespeichert sind, sowohl in X-Ways Forensics intern als auch in Zip-Archiven selbst und vermutlich anderswo.

• Sie können die Blockgröße für Block-Hash-Datenbanken nun selbst festlegen. 512 Bytes ist die Voreinstellung und empfohlen, es sei denn, Sie wissen genau, was Sie tun. Blöcke von 4 KB z. B. können kompatibel sein mit Volumes/Partitionen, die eine Clustergröße von 4 KB aufweisen, und Festplatten mit einer Sektorgröße von 4 KB physisch und logisch, aber würden eine Suche nach bekannten Daten vereiteln, wenn diese im Zieldateisystem aus Sicht des Asservats nicht an 4-KB-Grenzen ausgerichtet sind. Das könnte z. B. passieren, wenn das Dateisystem einen irregulär großen Vorspann vor dem ersten Cluster hat (wie FAT) oder wenn Sie das blockweise Hashen (nur) auf der Ebene eines partitionierbaren Datenträgers anwenden, in dem die Partitionen nicht an 4-KB-Grenzen ausgerichtet sind. Die gute Nachricht ist aber, dass das blockweise Hashen genau wie eine Datei-Header-Signatur-Suche in X-Ways Forensics gezielt auf Partitionen angewandt wird, wenn Partitionen auf einem partitionierbaren Datenträger (oder einer Sicherung davon) bekannt sind, und nur der Bereich außerhalb von bekannten und erkundbaren Partitionen auf der Ebene des partitionierbaren Datenträgers verarbeitet wird..

• Block-Hash-Treffer werden jetzt mit ihrer Größe in der Suchtreffer-Spalte angezeigt.

• PhotoDNA-Übereinstimmungen (insbesondere mehrere Übereinstimmungen für dasselbe Bild) können jetzt optional als Vermerke ausgegeben werden. Das ist nützlich, wenn Sie alle Übereinstimmungen sehen möchten und/oder Übereinstimmungen mit PhotoDNA auf die gleiche Art sehen wollen wie Übereinstimmungen mit normalen Hash-Datenbanken, die ebenfalls als Vermerke ausgegeben werden können.

Benutzerschnittstelle

• Sie können die Reihenfolge der Vermerke entweder im Verwaltungsfenster für Vermerke oder im zugehörigen Filterfenster mit Hilfe der Pfeil-Schalter umstellen, sofern aktuell nicht nach Name sortiert wird. Die Änderung der Reihenfolge hier hat sofortige Auswirkungen auf die Reihenfolge, in der die Vermerke in der entsprechenden Spalte angezeigt werden. Auf diesem Weg können Sie sicherstellen, dass die Vermerke, die Ihnen am wichtigsten sind, immer zuerst angezeigt werden.

• Die Namen der Vermerke können in der entsprechenden Spalte optional nach x Zeichen abgekürzt werden, um mehr Vermerke gleichzeitig in der Spalte sichtbar zu machen. Dies ist eine Notationseinstellung. Halb ausgewählt wird die Abkürzung durch Auslassungspunkte gekennzeichnet.

• Das erweiterte Dialogfenster für die Verwaltung von Vermerken ist neu organisiert und aufgeräumt worden.

• Die Option "Dynamische E-Mail- & Datumsspalten" steuert jetzt auch die Sichtbarkeit der Spalte "Erz. des Inhalts" entsprechend.

• Datumsfilter-Einstellung um auf Dateien zu filtern, die bestimmte Zeitstempel gar nicht besitzen (üblicherweise, weil diese z.B. im Dateisystem nicht gesetzt wurden).

• Nutzerdefinierte Dateimasken werden konsistenter und gründlicher auf Fehler und Plausibilität geprüft.

• Option, die Synchronisierung mehrerer Galerie-Threads ggf. zu verbessern.

• Wenn Sie externe Programme aus X-Ways Forensics mit bestimmten Parametern aufrufen wollen, zusätzlich zum Namen der Datei, die extern geöffnet werden soll, können Sie diese Parameter in derselben Zeile der Programs.txt mit angeben, vom Pfad der ausführbaren Datei durch einen Tabulator getrennt. Der Name der zu öffnenden Datei wird am Ende angehängt, nach den von Ihnen vorgegebenen Parametern, es sei denn, Sie fügen den Platzhalter %1 an einer beliebigen Stelle in Ihren Parametern ein. Dieser Platzhalter wird durch den Dateinamen ersetzt.

• Um eine portable Installation von X-Ways Forensics oder X-Ways Investigator und sein Icon auf einer bestimmten Maschine mit .xfc-Falldateien zu verknüpfen, können Sie die Anwendung zumindest einmal explizit als Administrator ausführen und sie wieder beenden, während ein beliebiger der anpassbaren Standardpfade auf denselben Laufwerksbuchstaben verweist, auf dem Ihre Windows-Installation liegt, um der Anwendung einen Fingerzeig darauf zu geben, dass Sie der Besitzer des aktiven Windows-Systems sind und kein Problem damit haben, dass darauf schreiben zugegriffen wird. Das kann entweder der Pfad sein, in dem Sie die Anwendung ausführen, der Pfad, in dem Fälle erzeugt und erwartet werden, der Pfad, wo standardmäßig Datenträgersicherungen erstellt und erwartet werden, oder der Pfad für temporäre Dateien.

• Überarbeitete Darstellung von Kompression/Datendichte für .e01-Evidence-Files. Unter anderem wird die Darstellung jetzt mit den DPI-Einstellungen des Systems skaliert.

• Wenn Vorschau- und Details-Modi kombiniert werden, und die untere Hälfte des Datenfensters nach rechts bewegt wird, werden Vorschau und Details jetzt vertikal getrennt, statt horizontal, mit der Vorschau über den Details.

• Die Beschreibungszelle im Details-Modus wird jetzt immer detailliert dargestellt, unabhängig von den Notationseinstellungen für die Beschreibungsspalte.

• Die Video-Dateien, aus denen Einzelbilder zu extrahieren sind, werden jetzt mit einer kommagetrennten Typen-Liste identifiziert statt bisher mit einer Dateinamens-Maske.

• Übersetzungen der Nutzeroberfläche für Ukrainisch und Russisch wurden aktualisiert.

Bildinhaltsanalyse

• Eine neue Excire-Version ist jetzt zum Download verfügbar, und für den Einsatz mit X-Ways Forensics 21.1 erforderlich. Die Suche nach "ähnlichen" Bildern wurde überarbeitet, und die Genauigkeit der Inhaltserkennung wurde verbessert. Die Zahl der Bilder, die mehr als einen falschen Begriff zugeordnet bekommen (false positives) wurde um 75% reduziert. Die Zahl der Bilder ganz ohne falsche Schlüsselbegriffe wurde verdoppelt.

• Die neue Excire-Version hat 69 bisher verwendete Begriffe, die wenig verlässliche Ergebnisse gebracht haben, und ohnehin von geringem Interesse waren, aus ihrer Erkennungsliste entfernt. Unterstützung für 87 neue Schlüsselbegriffe wurde eingeführt, darunter einer, der von diversen Ermittlern ausdrücklich angefragt wurde (Ausweisdokumente), plus diverse Körperteile (d.h. nicht vollständige Personen).

Dateiformat-Unterstützung

• HTML-Berichtsdateien können nun automatisch für die Windows-Registry-Hive-Dateien NTUSER.DAT, SYSTEM, SOFTWARE, SECURITY und SAM als Teil der Metadaten-Extraktion erzeugt werden, basierend auf den “Reg Report *.txt”-Definitionsdateien, die Sie in Ihrem Installationsverzeichnis haben (von denen mehrere vorinstalliert sind). Die HTML-Dateien werden dem Datei-Überblick als Unterobjekte hinzugefügt. Der Vorteil ist, dass sie als menschenlesbare Vorschauen für ausgewählte interessante Werte dienen können, und sie enthalten einige codiert gespeicherte Texte als Klartext (insbes. sog. UserAssist-Einträge), so dass die logische Suche sie finden kann. Unmengen von Zeitstempeln aus den verarbeiteten Registry-Hives werden zeitgleich der Ereignisliste hinzugefügt. All dies geschieht, wenn der Benutzer HTML-Vorschauen von Browser-Datenbank usw. erzeugen lässt und/oder interne Zeitstempel in Dateien als Ereignisse ausgeben lässt.

• Bestimmte temporäre Dateien von MS Edge werden jetzt automatisch auf eingebettete Bilder überprüft, als Teil der Option "Datei-Header-Signatur-Suche in nicht obig behandelten Dateien" in der Funktion "Eingebettete Daten in diversen Dateitypen suchen" Die Dateimaske für diese Funktion wird von diesem Release aus diesem Grund zurück gesetzt.

• Extrahiert Microsoft Teams Nachrichten aus bestimmten PST-Archiven, die über das Admin Center von Microsoft 365 exportiert wurden.

• Fähigkeit, E-Mails aus OLM-Datenbanken von Microsoft Outlook for Mac zu extrahieren.

• Extrahiert rein als Text gespeicherte Anhänge aus Original-.eml_Dateien sowieso MBOX-E-Mail-Archiven als Unterobjekte.

• Fähigkeit, den Text aus .json-Dateien für logische Suchen, Indexierung und den Text-Vorschau-Modus zu extrahieren, einschließlich für Dateien, die speziell kodierte Unicode-Zeichen aus dem internationalen Bereich (z.B. Chinesisch) enthalten.

• Metadaten-Extraktion aus WEBP-Dateien ausgebaut. Insbesondere wurde die Ausgabe von Exif-Metadaten in WEBP-Bildern zusätzlich zu den XMP-Metadaten eingeführt.

• Unterstützung für weitere TIFF-Bildformatvarianten in der internen Graphikdarstellungsbibliothek.

• "Social media" war bislang einer von mehreren möglichen Werten für den sogenannten Bearbeitungszustand in der Summary-Tabelle für JPEG-Dateien im Details-Modus. Dieser Bild-Ursprung wird jetzt stattdessen über die sogenannte Software class sichtbar gemacht.

• 28 Software classes werden derzeit für JPEG- und WEBP-Bilder unterstützt: AI generated, Adobe, Amazon (für Produktfotos von ihrer Seite), Android, Apple, Beautifier, Bing, Camera, ContentGeneral, Editor, Facebook/Instagram, Firmware, General, Google/Picasa, LinkedIn, MSN, PHP, Pinterest, Scanner, Screenshot, Misc social media, Stock (im Sinne von Fotobibliotheken/stock photography), Twitter (X), Video still, Website builder, WhatsApp, Windows, Wordpress.

• Ungefähr 75% aller JPEGs und PNGs (plus einige WEBP) bekommen jetzt eine Software class zugeordnet.

• Mehr Definitionen von Foto-erzeugenden Geräten. Insbesondere wurden die Generator-Signaturen für Galaxy S23 und S24 aktualisiert.

• Die Summary-Tabelle wurde überarbeitet.

• Diverse spezifische Eigenschaften, die in Bildern festgestellt werden, werden im Details-Modus mit numerischen "Remarks" festgehalten. Eine neue Textdatei "Remarks.txt" ist enthalten, die diese Zahlen dokumentiert und mit einer rudimentären Erläuterung versieht.

• Verbesserte Metadaten-Ausgabe für ICC Farbprofile.

• Die Ausgabe von QWORD-Werten im Registry Viewer war bisher auf 32 bit beschränkt. Sie deckt jetzt die vollen 64 bit ab.

X-Tension API

• Die X-Tension API wurde um zwei weitere Funktionen ergänzt: XWF_Mount() und XWF_Unmount(). Wenn Ihre X-Tensions externen Programmen Lesezugriff verschaffen möchten/müssen auf besonderes große oder besonders viele Dateien in einem Datei-Überblick, kann es schneller sein, den Datei-Überblick als Laufwerksbuchstaben in aktiven Windows-System einzubinden, was den Zugriff für externe Programme ermöglicht, als all diese Dateien herauszukopieren in einen Pfad, von dem aus die externen Programm lesen können.

• Wenn X-Tensions Verzeichnisse zu einem Fall als Asservate hinzufügen, können sie nun X-Ways Forensics dazu veranlassen, jeden der vier regulären Zeitstempel in NTFS zu ignorieren, d. h. nicht mit in den Datei-Überblick aufzunehmen, wenn sie wertlos sind.

• Die X-Tension API hat ein beachtliches Paket von zusätzlichen Modulen namens Exponent™ hervorgebracht, die sich direkt in X-Ways Forensics integrieren and dessen Funktionaltität beträchtlich auswerten, speziell im Hinblick auf bereits extern gesicherte Smartphone-Daten und E-Mail-Postfächer. Exponent kann direkt von X-Ways erworben werden. Details s. u.!

Diverses

• Der Befehl "Prozesse sichern" für den Einsatz auf lebenden Windows-Systemen wurde überarbeitet. Die Fähigkeit, Bildschirmfotos einzelner Anwendungsfenster zu erzeugen, wurde erheblich verbessert, insbesondere was Browser-Fenster und bestimmte Microsoft-Anwendungen betrifft. Sie haben jetzt auch mehr Kontrolle darüber, welche Informationen in die Tabulator-getrennte Fensterliste aufgenommen werden, z.B. vollständige Listen der Unterfenster und (ebenfalls neu) die Hash-Werte der Bildschirmfotos.

• Beim Interpretieren einer Datei als Roh-Image, die nicht ein Vielfaches der angenommenen Sektorgröße als Dateigröße hat, bleiben die überschüssigen Daten am Ende, die keinen weiteren ganzen Sektor mehr ergeben, nun im Zugriff erhalten, anders als in vorherigen Versionen, was sich z. B. auf die Hash-Berechnung auswirkt und möglicherweise auf die Datei-Header-Signatur-Suche. Sie erhalten immer noch eine Warnung wegen der unerwarteten Dateigröße, wenn solche Roh-Images als Datenträger interpretiert werden, wenn es sich nicht um das Asservat eines Falls handelt, für das Sie die Warnung bereits mal unterdrückt haben. Sie erhalten u. U. Lesefehlermeldungen, wenn Operationen, die sektorweise angewandt werden, den letzten (unvollständigen) "Sektor" zu lesen versuchen.

• Einträge in der Datei error.log werden nun in UTF-8 gespeichert statt in der in Windows aktiven ANSI-Codepage.

• Verbesserte Fehlermeldung, wenn interne Zeitstempel in .e01-Evidence-Files angetroffen werden, die nicht dem erwarteten Standard entsprechen.

• Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

• Viele kleinere Verbesserungen.

Änderungen an den weiteren Service-Releases von 21.0

• SR-1: The regular OR combination of timestamps in the timestamp filter did not always work correctly in the original release of v21.0. That was fixed.

• SR-1: nLicID was wrong in the original release of v21.0. That was fixed.

• SR-2: An error message is now shown when taking a volume snapshot when encountering files that are located beyond the 131 TB barrier in a volume because access to such files is not supported.

• SR-2: X-Ways Forensics now more strictly prevents users from treating data in free space as "embedded".

• SR-2: Fixed an exception error that could occur in v21.0 when extracting metadata from certain QuickTime video files.

• SR-2: Fixed a crash that could occur with certain TIFF pictures.

• SR-2: Fixed an error present in v20.9 and v21.0, which could include directories and files with alternative names into the same evidence file container multiple times.

• SR-2: Unusual zip archives in which overlapping records are detected, which can theoretically be a sign of archive bombs, are now labeled less intrusively.

• SR-3: Ability to use UNC paths for temporary files with the PST/OST e-mail extraction.

• SR-3: Fixed an error in the alternative PST/OST e-mail extraction.

• SR-3: The API function XWF_GetItemName() did not work correctly for certain files in v20.9 and v21.0 when trying to retrieve potentially available alternative filenames. That was fixed.

• SR-4: Largely prevented occasional inability to display thumbnails in the gallery (where thumbnails were marked with the word "Error") when the gallery was used with a great number of extra threads.

• SR-4: Improved ability to restart automatically after a crash in conjunction with multiple instances, and fixed restart error in SR-2 and SR-3.

• SR-5: Fixed a time zone adjustment issue of Safari Cache.db timestamps.

• SR-5: Prevented the "dynamic e-mail and date columns" feature from rendering the "Content created" column invisible.

• SR-6: Fixed an error in the preview of newer .automaticdestinations-ms files.

• SR-6: Fixed repetition of timestamps in zeroed out entries of wtmp log files.

• SR-6: An exception error could occur when processing Thunderbird e-mail stores under certain conditions. That was fixed.

• SR-6: Fixed incomplete output of e-mail bodies extracted from Thunderbird e-mail stores.

Exponent™

Exponent ist ein kontinuierlich wachsendes, mächtiges Erweiterungspaket (X-Tensions in 64 Bit), für den ausschließlichen Einsatz mit X-Ways Forensics (XWF) entworfen, entwickelt von API Forensics Inc., erwerblich von X-Ways, derzeit zu einem Einführungspreis. Dieses Paket erweitert und vereinfacht die forensische Datenanalyse, Visualisierung und Berichtsfähigkeiten für den täglichen forensischen Einsatz und Cyber-Security-Ermittlungen. Aktuelle Lizenzinhaber haben immer Zugriff auf die aktuellste verfügbare Version und erhalten beliebige zukünftig erscheinende Module ohne Zusatzkosten für die Laufzeit ihrer Lizenz. Testlizenzen können von Nutzerinnen und Nutzern von X-Ways Forensics hier angefragt werden.

Exponent wurde entworfen mit dem Ziel, Daten aus Mobilgeräten, die mit Drittprodukten wie Magnet Axiom oder MSAB XRY gesichert wurden, importierbar zu machen. Ziel dieses Ansatzes ist es, alle Beweismitteln in XWF zu importieren, um dann nur noch eine forensische Auswertung in nur einem Tool zu benötigen. Dies gibt Ermittlern die Möglichkeit, ihre Kenntnisse und die Fähigkeiten von XWF für die Analyse und die effizientere Berichterstattung voll auszunutzen.

Exponent X-Tensions wurden selbst mit einer komfortablen Nutzeroberfläche ausgestattet, um den Umgang und die Arbeit mit den diversen X-Tensions vom Start weg bequem und intuitiv zu gestalten.

Exponent Cloud Mail

• Unterstützt IMAP-E-Mail-Acquisition

• Unterstützt Microsoft, Google, AOL, Yahoo, Zoho u. a.

• Filtermöglichkeit nach Datum und Datumsbereichen

• Filtermöglichkeit nach Schlüsselwörtern und GREP-Ausdrücken

• Schlüsselwörter können auf bestimmte Felder angewandt werden (z. B. From, To, Cc, Bcc, Betreff, Namen von Datei-Anhängen, sonstige Kopfzeilen)

• E-Mails und Anhänge werden direkt in den Datei-Überblick von X-Ways Forensics hinein geladen

• Vollständige Details: https://www.apiforensics.com/cloud-mail.asp

Exponent Mobile Messaging

• Importiert mit Hilfe von ausgewählten externen Tools gesammte Daten von Mobiltelefonen mit Android und iOS (s. u.)

• Importiert SMS, MMS, iMessage, Instagram-Direktnachrichten, WhatsApp-Nachrichten

• Alle Metadaten, die von den externen Tools definiert sind, werden bewahrt.

• Nachrichten incl. eingebetteter Fotos und Videos werden in .eml-Nachrichten konvertiert und in XWF importiert

• Allows XWF to then process and extract the imported data and embedded objects

• Unterstützt MSAB XRY, Magnet Axiom und Standalone-iTunes-Backups

• Sie können so Computer-Asservate und mobile Asservate in einer einzigen Untersuchung kombinieren

• Vollständige Details: https://www.apiforensics.com/mobile-messaging.asp

Exponent Mobile Media

• Importiert mit Hilfe von ausgewählten externen Tools gesammte Daten von Mobiltelefonen mit Android und iOS (s. u.)

• Importiert alle verfügbaren Bilder, die von MSAB XRY, Magnet Axiom und Standalone-iTunes-Backups gesammelt wurden.

• Alle Metadaten, die von den externen Tools definiert sind, werden bewahrt.

• Vollständige Details: https://www.apiforensics.com/mobile-media.asp

Exponent Faces

• Implements commercial, industry recognized facial recognition technology that is in use by military and police organizations

• Quickly detect and extract FACES from pictures and video files (by frame), including gender recognition

• Match faces against faces you provide - create custom libraries of faces for enrollment

• Face matching is a powerful and fast way to determine if a person of interest exists in your evidence

• Extract FRAMES from videos up to 30 frames per second (34 millisecond intervals)

• Extract CLIPS (segments) from existing videos and add it back to your case file

• All FRAMES, FACES, MATCHES and CLIPS are added back to your case file as child objects making it easy to navigate and audit the evidence

• Supports all the common file formats and more:  BMP, JPG, PNG, HEIC, MP4, MPG, MOV, VOB, AVI, FLV

• Detects and extracts multiple faces from a single photograph or video frame!

• Easily produce reports from faces extracted or review in Gallery view

• Emulate built-in video playback in X-Ways Forensics by navigating extracted FRAMES in conjunction with the Preview tab

• Vollständige Details: https://www.apiforensics.com/faces.asp

Here are some of the features and functionality that are currently in development or being planned:

• Support for Cellebrite in Mobile Messaging and Mobile Media

• Portable case for X-Ways Forensics

• Loadfile and payload creator for Relativity

• Built-in support for SQLite databases

• Built-in media player

• Registry Mounter (as its own evidence object)

• Real time cloud collection of files, email, calendars

• Production Order Importer (import files produced by Google, Microsoft, Facebook, etc) as a result of a search warrant or production order

• Real time cyber and network security tools, including OSINT

• Cyber forensic artifacts

• TotalMobile - a new X-Tension to import ALL available artifacts collected by 3rd party mobile device tools

Werden Sie zertifizierer Benutzer von X-Ways Forensics
Werden Sie ein X-PERTe. (X-Ways Professional in Evidence Recovery Techniques)

Beweisen Sie Ihre Fähigkeiten in der Computerforensik im Allgemeinen und mit X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm. Nach dem Bestehen der herausfordernden Prüfung werden Sie Teil einer exklusiven Gruppe und genießen neben der entsprechenden Anerkennung auch weitere einhergehende Vorteile, wie Schulungsrabatte oder Zugang zum aktualsierten Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden Sie hier.

Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde