#174: X-Ways Forensics,
X-Ways Investigator und WinHex 21.1 sowie Exponent veröffentlicht
15. April 2024 |
In dieser Ausgabe informieren wir Sie
über ein am 5. April 2024 erschienenes Update mit wichtigen Verbesserungen, die Version
21.1, sowie ein kommerziell erhältliches Zusatzpaket von externen
Entwicklern, das sich sehr gut in X-Ways Forensics integriert. Nicht alle Beschreibungen
sind auf Deutsch verfügbar. Kunden erhalten Download-Instruktionen,
aktuelle
Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren
Lizenzen wie immer unter
https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates
oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw.
Lizenzverlängerungen.
Wenn Sie an Benachrichtigungen über Service-Releases
zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder
auch über Preview- und Beta-Releases, können Sie diese im
Bereich "Announcements"
des
Forums einsehen und sich
bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen
in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie
vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie
bitte zumindest das letzte Service-Release der betreffenden Version
verwenden.
Nächster Schulungstermin für "X-Ways Forensics I"
Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten,
sobald diese feststehen, können Sie
hier Ihre
E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie
online werden
hier aufgelistet.
Was ist neu in v21.1?
(Bitte beachten
Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
Datei-Überblick und Dateisystem-Unterstützung
-
Verbesserte Unterstützung für sehr große Datei-Überblicke.
Über 500 Millionen Objekte (also Dateien+Verzeichnisse) sind jetzt in einem
einzigen Volume möglich, aber nur in der 64-bit-Version und abhängig von
einer ausreichenden Menge an Arbeitsspeicher, und unter der Annahme, dass Sie
die Zeit haben, auf die vollständige Erfassung dieses Datei-Überblicks zu warten.
Diese getestete Fähigkeit sollte ein weiterer Pluspunkt für X-Ways Forensics als
leistungsfähiges Tool zur Datenträger-Analyse sein. Der Grenzwert von ca. 500 Millionen
basiert auf einer durchschnittlichen Dateinamenslänge von 16 Zeichen. Mit kürzeren
Namen wären auch 1 Milliarde Objekte oder mehr theoretisch möglich. Wenn nur der
interne Speicherplatz für Dateinamen ausgereizt ist, können weitere Dateien immer noch in
den Datei-Überblick aufgenommen werden, aber nur mit einem ? als Ersatz-Dateiname.
-
Datei-Überblicke von außergewöhnlich großen Volumes
unterstützen jetzt Dateien, deren Dateisystem-Eintrag oder deren Dateninhalte
an Offsets jenseits von 131 TB beginnen. Die neue Obergrenze ist 262 TB.
-
Leichte Beschleunigung für die Erzeugung eines Datei-Überblicks
in großen NTFS-Dateisystemen.
-
Zwei Arten von proaktiven Filtern, basierend
auf Namen und Zeitstempeln, können nun in den Eigenschaften eines Falls
aktiviert werden. Proaktive Filter ermöglichen es, einen anfänglich
erzeugten Datei-Überblick einzuschränken. Dateien, die die
Filterbedingung(en) nicht passieren, werden in keinen Datei-Überblick
aufgenommen, der erzeugt wird, während solche Filter aktiv sind.
Verzeichnisse sind von der Einschränkung nicht betroffen und werden
normal aufgenommen. Die Filter wirken sich nur auf Partitionen/Volumes
und Datei-Archive aus, die Asservate sind, und alle Dateien, die direkt
in ihnen gefunden werden durch Verfolgen der Datenstrukturen des
jeweiligen Dateisystems bzw. Archivs. Sie beschränken nicht das
Hinzufügen von Dateien, die auf irgendeine andere Art und Weise gefunden
werden, z. B. über eine Datei-Header-Signatur-Suche oder durch Prüfen
von Dateien, die bereits im Datei-Überblick enthalten sind, auf
eingebettete Daten o. ä..
-
Proaktive Filter sind besondere Filter, weil sie
verhindern können, dass Dateien überhaupt in einen Datei-Überblick
gelangen können: Dateien, die Sie nicht benötigen oder nicht dort haben
möchten oder die Sie gar nicht zu Gesicht bekommen sollten. Entweder
weil Ihre Aufgabe oder Ihr Augenmerk beschränkt ist auf bestimmte
Dateien, deren Namen oder Zeitstempelbereiche im voraus bekannt sind
oder weil das Asservat (Sicherung oder Datei-Archiv) so groß ist, dass
Sie allein durch das Vermeiden von Hunderten von Millionen Dateien
massiv Zeit und Hauptspeicher einsparen oder das Volume überhaupt erst
für X-Ways Forensics verdaulich machen (d. h. die Größe eines
Datei-Überblicks innerhalb der unterstützten Grenzen halten können). Die
Erzeugung des Datei-Überblicks selbst kann auf diese Art merklich
beschleunigt werden, wenn das Asservat eine Sicherung ist, und all die
nachfolgenden Schritte (Navigieren, Auflisten, Sortieren, Filtern,
Erweiterung des Datei-Überblicks) sind weniger rechenintensiv, wenn sie
bereits im Vorhinein die Aufnahme einer so großen Zahl ungewollter
Dateien verhindern konnten.
Die Anzahl der proaktiv ausgelassenen Dateien wird während der Erzeugung
des Datei-Überblicks im Fortschrittsanzeigefenster dargestellt. Nach
Abschluss der Erzeugung des Datei-Überblicks ist die Gesamtzahl solcher
Dateien im Status des Datei-Überblicks ersichtlich, im Dialogfenster für
die Erweiterung des Datei-Überblicks. Eine Warnung, dass ein proaktiver
Filter greift, wird pro Sitzung einmal im Nachrichtenfenster ausgegeben,
wenn ein Datei-Überblick erzeugt wird..
-
Verzeichnisauflistungen, die über das Betriebssystem erzeugt
wurden ("OS dir list"), die Sie z.B. durch Hinzufügen eines Verzeichnisses
oder einer einzelnen Datei als Asservat zu einem Fall erhalten, können jetzt auf
Wunsche wahlweise
keine Zeitstempel aus dem Dateisystem anzeigen, oder nur das Änderungsdatum.
Dies ist eine Option des Datei-Überblicks und nützlich, wenn die Zeitstempel nicht
die übliche Bedeutung haben, weil sie beispielsweise vom Zeitpunkt der Datensicherung
stammen, statt die ursprünglichen Zeitstempel an der Quelle widerzuspiegeln.
-
In neuen Installationen ist die Standardeinstellung für die
Datei-Überblicks-Option "Neu ermittelte Namen als Hauptnamen" jetzt
halb ausgewählt, was bedeutet, nur für Original-.eml-Dateien wird der neu
ermittelte Name (d.h. der Betreff) zum Hauptnamen in der Namensspalte, und der
evtl. wenig aussagende Dateiname laut Dateisystem wird zum Zweitnamen.
-
Fähigkeit, mit SquashFS komprimierte Dateisysteme als solches zu
erkennen und ihre Inhalte wie Dateiarchive zu behandeln. Die unterstützten
Kompressionsalgorithmen für SquashFS in X-Ways Forensics sind GZIP/zlib,
LZMA, LZO und XZ.
Hash-Datenbank
-
Normale Verwendung der Hash-Datenbank zu Lesezwecken
(um die Namen übereinstimmender Hash-Sets zur Anzeige in der Spalte "Hash-Set"
des Verzeichnis-Browsers zu laden), wenn sie mit anderen geteilt wird, hindert andere
Nutzer nicht mehr daran, die Hash-Datenbank zu aktualisieren, oder die Datenbank (d.h.
das Verzeichnis) als ganzes zu ersetzen, da die Hash-Set-Namen in einem lokalen Puffer
gehalten werden.
-
Der eher einfache CRC32-Algorithmus wird nun in
normalen Hash-Datenbanken unterstützt. Eine Hash-Datenbank basierend auf
CRC32 zu erzeugen ist (nur) dann nützlich, wenn Sie wirklich nur die
CRC32-Werte haben von Dateien, nach denen Sie suchen, keine
verlässlicheren Hash-Werte und keine Original-Datei-Inhalte, z. B. aus
verschlüsselten Zip-Archiven, weil solche Archive die CRC32-Werte der
unverschlüsselten Daten in den Metadaten haben. Wenn Sie beim Abgleich
mit einer CRC32-Hash-Datenbank einen Treffer erhalten und die Dateigröße
dieselbe ist wie von den Metadaten in einem solchen verschlüsselten
Zip-Archiv her bekannt, dann ist es sehr wahrscheinlich, dass Sie eine
unverschlüsselte Kopie derselben Datei gefunden haben.
Wenn Sie CRC32-Hash-Werte importieren möchten (mit "CRC32" in der ersten
Zeile, gefolgt von jeweils einem Hash-Wert in Hex-ASCII pro weiterer
Zeile), beachten Sie bitte, dass diese Hex-ASCII-Werte in Big-Endian-
(also "menschenlesbarer") Schreibweise/Byte-Reihenfolge erwartet werden,
genau wie sie in Software-Programmen wie 7-Zip und WinZip sowie X-Ways
Forensics selbst angezeigt werden, was anders als bei MD5, SHA-1 usw.
nicht die Byte-Reihenfolge ist, in der diese CRC32-Werte binär
gespeichert sind, sowohl in X-Ways Forensics intern als auch in
Zip-Archiven selbst und vermutlich anderswo.
-
Sie können die Blockgröße für Block-Hash-Datenbanken
nun selbst festlegen. 512 Bytes ist die Voreinstellung und empfohlen, es
sei denn, Sie wissen genau, was Sie tun. Blöcke von 4 KB z. B. können
kompatibel sein mit Volumes/Partitionen, die eine Clustergröße von 4 KB
aufweisen, und Festplatten mit einer Sektorgröße von 4 KB physisch und
logisch, aber würden eine Suche nach bekannten Daten vereiteln, wenn
diese im Zieldateisystem aus Sicht des Asservats nicht an 4-KB-Grenzen
ausgerichtet sind. Das könnte z. B. passieren, wenn das Dateisystem
einen irregulär großen Vorspann vor dem ersten Cluster hat (wie FAT)
oder wenn Sie das blockweise Hashen (nur) auf der Ebene eines
partitionierbaren Datenträgers anwenden, in dem die Partitionen nicht an
4-KB-Grenzen ausgerichtet sind. Die gute Nachricht ist aber, dass das
blockweise Hashen genau wie eine Datei-Header-Signatur-Suche in X-Ways
Forensics gezielt auf Partitionen angewandt wird, wenn Partitionen auf
einem partitionierbaren Datenträger (oder einer Sicherung davon) bekannt
sind, und nur der Bereich außerhalb von bekannten und erkundbaren
Partitionen auf der Ebene des partitionierbaren Datenträgers verarbeitet
wird..
-
Block-Hash-Treffer werden jetzt mit ihrer Größe in der
Suchtreffer-Spalte angezeigt.
-
PhotoDNA-Übereinstimmungen (insbesondere mehrere
Übereinstimmungen für dasselbe Bild) können jetzt optional als Vermerke
ausgegeben werden. Das ist nützlich, wenn Sie alle Übereinstimmungen sehen
möchten und/oder Übereinstimmungen mit PhotoDNA auf die gleiche Art sehen wollen
wie Übereinstimmungen mit normalen Hash-Datenbanken, die ebenfalls als
Vermerke ausgegeben werden können.
Benutzerschnittstelle
-
Sie können die Reihenfolge der Vermerke entweder im
Verwaltungsfenster für Vermerke oder im zugehörigen Filterfenster mit Hilfe
der Pfeil-Schalter umstellen, sofern aktuell nicht nach Name sortiert wird.
Die Änderung der Reihenfolge hier hat sofortige Auswirkungen auf die
Reihenfolge, in der die Vermerke in der entsprechenden Spalte angezeigt werden.
Auf diesem Weg können Sie sicherstellen, dass die Vermerke, die Ihnen am
wichtigsten sind, immer zuerst angezeigt werden.
-
Die Namen der Vermerke können in der entsprechenden Spalte
optional nach x Zeichen abgekürzt werden, um mehr Vermerke gleichzeitig in der Spalte sichtbar
zu machen. Dies ist eine Notationseinstellung. Halb ausgewählt wird die Abkürzung
durch Auslassungspunkte gekennzeichnet.
-
Das erweiterte Dialogfenster für die Verwaltung
von Vermerken ist neu organisiert
und aufgeräumt worden.
-
Die Option "Dynamische E-Mail- & Datumsspalten"
steuert jetzt auch die Sichtbarkeit der Spalte "Erz. des Inhalts" entsprechend.
-
Datumsfilter-Einstellung um auf Dateien zu filtern, die
bestimmte Zeitstempel gar nicht besitzen (üblicherweise, weil diese z.B. im
Dateisystem nicht gesetzt wurden).
-
Nutzerdefinierte Dateimasken werden konsistenter und
gründlicher auf Fehler und Plausibilität geprüft.
-
Option, die Synchronisierung mehrerer Galerie-Threads
ggf. zu verbessern.
-
Wenn Sie externe Programme aus X-Ways Forensics mit
bestimmten Parametern aufrufen wollen, zusätzlich zum Namen der Datei,
die extern geöffnet werden soll, können Sie diese Parameter in derselben
Zeile der Programs.txt mit angeben, vom Pfad der ausführbaren Datei durch
einen Tabulator getrennt. Der Name der zu öffnenden Datei wird am Ende
angehängt, nach den von Ihnen vorgegebenen Parametern, es sei denn, Sie
fügen den Platzhalter %1 an einer beliebigen Stelle in Ihren Parametern
ein. Dieser Platzhalter wird durch den Dateinamen ersetzt.
-
Um eine portable Installation von X-Ways Forensics
oder X-Ways Investigator und sein Icon auf einer bestimmten Maschine mit
.xfc-Falldateien zu verknüpfen, können Sie die Anwendung zumindest
einmal explizit als Administrator ausführen und sie wieder beenden,
während ein beliebiger der anpassbaren Standardpfade auf denselben
Laufwerksbuchstaben verweist, auf dem Ihre Windows-Installation liegt,
um der Anwendung einen Fingerzeig darauf zu geben, dass Sie der Besitzer
des aktiven Windows-Systems sind und kein Problem damit haben, dass
darauf schreiben zugegriffen wird. Das kann entweder der Pfad sein, in
dem Sie die Anwendung ausführen, der Pfad, in dem Fälle erzeugt und
erwartet werden, der Pfad, wo standardmäßig Datenträgersicherungen
erstellt und erwartet werden, oder der Pfad für temporäre Dateien.
-
Überarbeitete Darstellung von Kompression/Datendichte für
.e01-Evidence-Files. Unter anderem wird die Darstellung jetzt mit den DPI-Einstellungen
des Systems skaliert.
-
Wenn Vorschau- und Details-Modi kombiniert werden, und
die untere Hälfte des Datenfensters nach rechts bewegt wird, werden Vorschau
und Details jetzt vertikal getrennt, statt horizontal, mit der Vorschau über den
Details.
-
Die Beschreibungszelle im Details-Modus wird jetzt immer
detailliert dargestellt, unabhängig von den Notationseinstellungen für die
Beschreibungsspalte.
-
Die Video-Dateien, aus denen Einzelbilder zu extrahieren
sind, werden jetzt mit einer kommagetrennten Typen-Liste identifiziert statt
bisher mit einer Dateinamens-Maske.
-
Übersetzungen der Nutzeroberfläche für Ukrainisch und
Russisch wurden aktualisiert.
Bildinhaltsanalyse
-
Eine neue Excire-Version ist jetzt zum Download verfügbar,
und für den Einsatz mit X-Ways Forensics 21.1 erforderlich. Die Suche nach
"ähnlichen" Bildern wurde überarbeitet, und die Genauigkeit der
Inhaltserkennung wurde verbessert. Die Zahl der Bilder, die mehr als einen
falschen Begriff zugeordnet bekommen (false positives) wurde um 75% reduziert.
Die Zahl der Bilder ganz ohne falsche Schlüsselbegriffe wurde verdoppelt.
-
Die neue Excire-Version hat 69 bisher verwendete Begriffe,
die wenig verlässliche Ergebnisse gebracht haben, und ohnehin von geringem Interesse
waren, aus ihrer Erkennungsliste entfernt. Unterstützung für 87 neue Schlüsselbegriffe
wurde eingeführt, darunter einer, der von diversen Ermittlern ausdrücklich angefragt
wurde (Ausweisdokumente), plus diverse Körperteile (d.h. nicht vollständige Personen).
Dateiformat-Unterstützung
-
HTML-Berichtsdateien können nun automatisch für die
Windows-Registry-Hive-Dateien NTUSER.DAT, SYSTEM, SOFTWARE, SECURITY und
SAM als Teil der Metadaten-Extraktion erzeugt werden, basierend auf den
“Reg Report *.txt”-Definitionsdateien, die Sie in Ihrem
Installationsverzeichnis haben (von denen mehrere vorinstalliert sind).
Die HTML-Dateien werden dem Datei-Überblick als Unterobjekte
hinzugefügt. Der Vorteil ist, dass sie als menschenlesbare Vorschauen
für ausgewählte interessante Werte dienen können, und sie enthalten
einige codiert gespeicherte Texte als Klartext (insbes. sog.
UserAssist-Einträge), so dass die logische Suche sie finden kann.
Unmengen von Zeitstempeln aus den verarbeiteten Registry-Hives werden
zeitgleich der Ereignisliste hinzugefügt. All dies geschieht, wenn der
Benutzer HTML-Vorschauen von Browser-Datenbank usw. erzeugen lässt
und/oder interne Zeitstempel in Dateien als Ereignisse ausgeben lässt.
-
Bestimmte temporäre Dateien von MS Edge werden jetzt
automatisch auf eingebettete Bilder überprüft, als Teil der Option
"Datei-Header-Signatur-Suche in nicht obig behandelten Dateien"
in der Funktion "Eingebettete Daten in diversen Dateitypen suchen"
Die Dateimaske für diese Funktion wird von diesem Release aus diesem Grund
zurück gesetzt.
-
Extrahiert Microsoft Teams Nachrichten aus bestimmten
PST-Archiven, die über das Admin Center von Microsoft 365 exportiert wurden.
-
Fähigkeit, E-Mails aus OLM-Datenbanken von Microsoft Outlook
for Mac zu extrahieren.
-
Extrahiert rein als Text gespeicherte Anhänge aus
Original-.eml_Dateien sowieso MBOX-E-Mail-Archiven als Unterobjekte.
-
Fähigkeit, den Text aus .json-Dateien für logische Suchen,
Indexierung und den Text-Vorschau-Modus zu extrahieren, einschließlich für
Dateien, die speziell kodierte Unicode-Zeichen aus dem internationalen Bereich
(z.B. Chinesisch) enthalten.
-
Metadaten-Extraktion aus WEBP-Dateien ausgebaut. Insbesondere
wurde die Ausgabe von Exif-Metadaten in WEBP-Bildern zusätzlich zu den XMP-Metadaten
eingeführt.
-
Unterstützung für weitere TIFF-Bildformatvarianten in der internen
Graphikdarstellungsbibliothek.
-
"Social media" war bislang einer von mehreren möglichen
Werten für den sogenannten Bearbeitungszustand in der Summary-Tabelle für JPEG-Dateien
im Details-Modus. Dieser Bild-Ursprung wird jetzt stattdessen über die sogenannte
Software class sichtbar gemacht.
-
28 Software classes werden derzeit für JPEG- und WEBP-Bilder
unterstützt: AI generated, Adobe, Amazon (für Produktfotos von ihrer Seite),
Android, Apple, Beautifier, Bing, Camera,
ContentGeneral, Editor, Facebook/Instagram, Firmware, General,
Google/Picasa, LinkedIn, MSN, PHP, Pinterest, Scanner, Screenshot, Misc
social media, Stock (im Sinne von Fotobibliotheken/stock photography),
Twitter (X), Video still, Website builder, WhatsApp, Windows, Wordpress.
-
Ungefähr 75% aller JPEGs und PNGs (plus einige WEBP)
bekommen jetzt eine Software class zugeordnet.
-
Mehr Definitionen von Foto-erzeugenden Geräten. Insbesondere wurden
die Generator-Signaturen für Galaxy S23 und S24 aktualisiert.
-
Die Summary-Tabelle wurde überarbeitet.
-
Diverse spezifische Eigenschaften, die in Bildern festgestellt werden,
werden im Details-Modus mit numerischen "Remarks" festgehalten. Eine neue
Textdatei "Remarks.txt" ist enthalten, die diese Zahlen dokumentiert und mit
einer rudimentären Erläuterung versieht.
-
Verbesserte Metadaten-Ausgabe für ICC Farbprofile.
-
Die Ausgabe von QWORD-Werten im Registry Viewer war bisher auf 32 bit
beschränkt. Sie deckt jetzt die vollen 64 bit ab.
X-Tension API
-
Die
X-Tension
API wurde um zwei weitere Funktionen ergänzt: XWF_Mount() und XWF_Unmount().
Wenn Ihre X-Tensions externen Programmen Lesezugriff verschaffen
möchten/müssen auf besonderes große oder besonders viele Dateien in
einem Datei-Überblick, kann es schneller sein, den Datei-Überblick als
Laufwerksbuchstaben in aktiven Windows-System einzubinden, was den
Zugriff für externe Programme ermöglicht, als all diese Dateien
herauszukopieren in einen Pfad, von dem aus die externen Programm lesen
können.
-
Wenn X-Tensions Verzeichnisse zu einem Fall als
Asservate hinzufügen, können sie nun X-Ways Forensics dazu veranlassen,
jeden der vier regulären Zeitstempel in NTFS zu ignorieren, d. h. nicht
mit in den Datei-Überblick aufzunehmen, wenn sie wertlos sind.
-
Die X-Tension API hat ein beachtliches Paket von
zusätzlichen Modulen namens Exponent™
hervorgebracht, die sich direkt in X-Ways Forensics integrieren and
dessen Funktionaltität beträchtlich auswerten, speziell im Hinblick auf
bereits extern gesicherte Smartphone-Daten und E-Mail-Postfächer.
Exponent kann direkt von X-Ways
erworben werden. Details
s. u.!
Diverses
-
Der Befehl "Prozesse sichern" für den Einsatz auf
lebenden Windows-Systemen wurde überarbeitet. Die Fähigkeit, Bildschirmfotos einzelner
Anwendungsfenster zu erzeugen, wurde erheblich verbessert, insbesondere was Browser-Fenster
und bestimmte Microsoft-Anwendungen betrifft. Sie haben jetzt auch mehr Kontrolle darüber,
welche Informationen in die Tabulator-getrennte Fensterliste aufgenommen werden, z.B.
vollständige Listen der Unterfenster und (ebenfalls neu) die Hash-Werte der Bildschirmfotos.
-
Beim Interpretieren einer Datei als Roh-Image, die
nicht ein Vielfaches der angenommenen Sektorgröße als Dateigröße hat,
bleiben die überschüssigen Daten am Ende, die keinen weiteren ganzen
Sektor mehr ergeben, nun im Zugriff erhalten, anders als in vorherigen
Versionen, was sich z. B. auf die Hash-Berechnung auswirkt und
möglicherweise auf die Datei-Header-Signatur-Suche. Sie erhalten immer
noch eine Warnung wegen der unerwarteten Dateigröße, wenn solche
Roh-Images als Datenträger interpretiert werden, wenn es sich nicht um
das Asservat eines Falls handelt, für das Sie die Warnung bereits mal
unterdrückt haben. Sie erhalten u. U. Lesefehlermeldungen, wenn
Operationen, die sektorweise angewandt werden, den letzten
(unvollständigen) "Sektor" zu lesen versuchen.
-
Einträge in der Datei error.log werden nun in UTF-8
gespeichert statt in der in Windows aktiven ANSI-Codepage.
-
Verbesserte Fehlermeldung, wenn interne Zeitstempel
in .e01-Evidence-Files angetroffen werden, die nicht dem erwarteten
Standard entsprechen.
-
Die Programmhilfe und das Benutzerhandbuch wurden
aktualisiert.
-
Viele kleinere Verbesserungen.
Änderungen an den weiteren Service-Releases von 21.0
-
SR-1: The regular OR combination of timestamps in the
timestamp filter did not always work correctly in the original release
of v21.0. That was fixed.
-
SR-1: nLicID was wrong in the original release of
v21.0. That was fixed.
-
SR-2: An error message is now shown when taking a
volume snapshot when encountering files that are located beyond the 131
TB barrier in a volume because access to such files is not supported.
-
SR-2: X-Ways Forensics now more strictly prevents
users from treating data in free space as "embedded".
-
SR-2: Fixed an exception error that could occur in
v21.0 when extracting metadata from certain QuickTime video files.
-
SR-2: Fixed a crash that could occur with certain
TIFF pictures.
-
SR-2: Fixed an error present in v20.9 and v21.0,
which could include directories and files with alternative names into
the same evidence file container multiple times.
-
SR-2: Unusual zip archives in which overlapping
records are detected, which can theoretically be a sign of archive
bombs, are now labeled less intrusively.
-
SR-3: Ability to use UNC paths for temporary files
with the PST/OST e-mail extraction.
-
SR-3: Fixed an error in the alternative PST/OST
e-mail extraction.
-
SR-3: The API function XWF_GetItemName() did not work
correctly for certain files in v20.9 and v21.0 when trying to retrieve
potentially available alternative filenames. That was fixed.
-
SR-4: Largely prevented occasional inability to
display thumbnails in the gallery (where thumbnails were marked with the
word "Error") when the gallery was used with a great number of extra
threads.
-
SR-4: Improved ability to restart automatically after
a crash in conjunction with multiple instances, and fixed restart error
in SR-2 and SR-3.
-
SR-5: Fixed a time zone adjustment issue of Safari
Cache.db timestamps.
-
SR-5: Prevented the "dynamic e-mail and date columns"
feature from rendering the "Content created" column invisible.
-
SR-6: Fixed an error in the preview of newer
.automaticdestinations-ms files.
-
SR-6: Fixed repetition of timestamps in zeroed out
entries of wtmp log files.
-
SR-6: An exception error could occur when processing
Thunderbird e-mail stores under certain conditions. That was fixed.
-
SR-6: Fixed incomplete output of e-mail bodies
extracted from Thunderbird e-mail stores.
Exponent™
Exponent
ist ein kontinuierlich wachsendes, mächtiges Erweiterungspaket (X-Tensions
in 64 Bit), für den ausschließlichen Einsatz mit
X-Ways Forensics (XWF) entworfen, entwickelt von API Forensics Inc.,
erwerblich von X-Ways, derzeit zu
einem Einführungspreis. Dieses Paket erweitert und vereinfacht die forensische
Datenanalyse, Visualisierung und Berichtsfähigkeiten für den täglichen forensischen
Einsatz und Cyber-Security-Ermittlungen. Aktuelle Lizenzinhaber haben immer Zugriff
auf die aktuellste verfügbare Version und erhalten beliebige zukünftig erscheinende
Module ohne Zusatzkosten für die Laufzeit ihrer Lizenz. Testlizenzen können von
Nutzerinnen und Nutzern von X-Ways Forensics
hier angefragt werden.
Exponent wurde entworfen mit dem Ziel, Daten aus Mobilgeräten, die mit Drittprodukten
wie Magnet Axiom oder MSAB XRY gesichert wurden, importierbar zu machen. Ziel dieses
Ansatzes ist es, alle Beweismitteln in XWF zu importieren, um dann nur noch eine
forensische Auswertung in nur einem Tool zu benötigen. Dies gibt Ermittlern die
Möglichkeit, ihre Kenntnisse und die Fähigkeiten von XWF für die Analyse und die
effizientere Berichterstattung voll auszunutzen.
Exponent X-Tensions wurden selbst mit einer komfortablen
Nutzeroberfläche ausgestattet, um den Umgang und die Arbeit mit den diversen
X-Tensions vom Start weg bequem und intuitiv zu gestalten.
Exponent Cloud Mail
-
Unterstützt IMAP-E-Mail-Acquisition
-
Unterstützt Microsoft, Google, AOL, Yahoo, Zoho u. a.
-
Filtermöglichkeit nach Datum und Datumsbereichen
-
Filtermöglichkeit nach Schlüsselwörtern und
GREP-Ausdrücken
-
Schlüsselwörter können auf bestimmte Felder angewandt
werden (z. B. From,
To, Cc, Bcc, Betreff, Namen von Datei-Anhängen, sonstige Kopfzeilen)
-
E-Mails und Anhänge werden direkt in
den Datei-Überblick von X-Ways Forensics hinein geladen
-
Vollständige Details:
https://www.apiforensics.com/cloud-mail.asp
Exponent Mobile Messaging
-
Importiert mit Hilfe von ausgewählten externen Tools
gesammte Daten von Mobiltelefonen mit Android und iOS (s. u.)
-
Importiert SMS, MMS, iMessage, Instagram-Direktnachrichten,
WhatsApp-Nachrichten
-
Alle Metadaten, die von den externen Tools definiert
sind, werden bewahrt.
-
Nachrichten incl. eingebetteter Fotos und Videos
werden in .eml-Nachrichten konvertiert und in XWF importiert
-
Allows XWF to then process and extract the imported
data and embedded objects
-
Unterstützt MSAB XRY, Magnet Axiom und Standalone-iTunes-Backups
-
Sie können so Computer-Asservate und mobile Asservate
in einer einzigen Untersuchung kombinieren
-
Vollständige Details:
https://www.apiforensics.com/mobile-messaging.asp
Exponent Mobile Media
-
Importiert mit Hilfe von ausgewählten externen Tools
gesammte Daten von Mobiltelefonen mit Android und iOS (s. u.)
-
Importiert alle verfügbaren Bilder, die von MSAB XRY,
Magnet Axiom und Standalone-iTunes-Backups gesammelt wurden.
-
Alle Metadaten, die von den externen Tools definiert
sind, werden bewahrt.
-
Vollständige Details:
https://www.apiforensics.com/mobile-media.asp
Exponent Faces
-
Implements commercial, industry recognized facial
recognition technology that is in use by military and police
organizations
-
Quickly detect and extract FACES from pictures and
video files (by frame), including gender recognition
-
Match faces against faces you provide - create custom
libraries of faces for enrollment
-
Face matching is a powerful and fast way to determine
if a person of interest exists in your evidence
-
Extract FRAMES from videos up to 30 frames per second
(34 millisecond intervals)
-
Extract CLIPS (segments) from existing videos and add
it back to your case file
-
All FRAMES, FACES, MATCHES and CLIPS are added back
to your case file as child objects making it easy to navigate and audit
the evidence
-
Supports all the common file formats and more: BMP,
JPG, PNG, HEIC, MP4, MPG, MOV, VOB, AVI, FLV
-
Detects and extracts multiple faces from a single
photograph or video frame!
-
Easily produce reports from faces extracted or review
in Gallery view
-
Emulate built-in video playback in X-Ways Forensics
by navigating extracted FRAMES in conjunction with the Preview tab
-
Vollständige Details:
https://www.apiforensics.com/faces.asp
Here are some of the features and functionality that are
currently in development or being planned:
-
Support for Cellebrite in Mobile Messaging and Mobile
Media
-
Portable case for X-Ways Forensics
-
Loadfile and payload creator for Relativity
-
Built-in support for SQLite databases
-
Built-in media player
-
Registry Mounter (as its own evidence object)
-
Real time cloud collection of files, email, calendars
-
Production Order Importer (import files produced by
Google, Microsoft, Facebook, etc) as a result of a search warrant or
production order
-
Real time cyber and network security tools, including
OSINT
-
Cyber forensic artifacts
-
TotalMobile - a new X-Tension to import ALL available
artifacts collected by 3rd party mobile device tools
Werden Sie zertifizierer Benutzer von X-Ways Forensics
Werden Sie ein
X-PERTe. (X-Ways Professional in Evidence Recovery Techniques)
Beweisen Sie Ihre Fähigkeiten
in der Computerforensik im Allgemeinen und mit X-Ways Forensics im Speziellen mit
unserem Zertifizierungsprogramm. Nach dem Bestehen der herausfordernden Prüfung
werden Sie Teil einer exklusiven Gruppe und genießen neben der entsprechenden
Anerkennung auch weitere einhergehende Vorteile, wie Schulungsrabatte oder Zugang zum
aktualsierten Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden
Sie
hier.
Wir hoffen, Sie bald wieder auf
https://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie
diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z.
B. noch mit weiteren E-Mail-Adressen)
u. a.
hier. Vielen
Dank.
Freundliche Grüße
Stefan Fleischmann
-- X-Ways Software Technology AG Carl-Diem-Str. 32 32257 Bünde |