| #180: X-Ways Forensics,
X-Ways Investigator und WinHex 21.7 veröffentlicht
26. Feb. 2026 |
In dieser Ausgabe informieren wir Sie über ein am 17.
Februar erschienenes Update mit wichtigen Verbesserungen, die Version 21.7. Kunden erhalten Download-Instruktionen, aktuelle
Log-In-Daten (!) sowie Details zu Ihren Lizenzen
wie immer unter
https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu
Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu
Upgrades bzw. Lizenzverlängerungen.
Wenn Sie an Service-Releases oder auch Preview- und
Beta-Releases interessiert sind, können Sie Informationen dazu jederzeit
aktuell im Bereich "Announcements"
des
Forums
finden. Bitte legen Sie sich ein
Konto
an (dazu werden die Log-In-Daten benötigt), um die Ankündigungen in diesem
Bereich immer sofort per E-Mail zu erhalten. Wenn Sie vorerst bei einer
älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das
letzte Service-Release der betreffenden Version verwenden. Danke. Wir bitten
darum, dass sich mit dem gelegentlich verwendeten
generischen Maskulinum in unseren Texten alle Benutzer(innen) unserer
Software gleichermaßen angesprochen fühlen.
Nächste deutschsprachige Schulungstermine:
Wenn Sie über Termine für deutschsprachige Schulungen
informiert werden möchten, sobald diese feststehen, können Sie
hier Ihre
E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie
online werden
hier
aufgelistet.
Was ist neu in v21.7?
(Die meisten Änderungen
beziehen sich nur auf X-Ways Forensics.)
Dateityp-Unterstützung
-
Die Spieldauer bestimmter Videodateien, die nicht
von der Metadaten-Extraktion in die Metadaten-Spalte übertragen werden
kann, kann jetzt bei der Erzeugung der Video-Einzelbilder ermittelt
werden.
-
Wenn Sie mehrere Videodateien auswählen, deren Spieldauer
in der Metadaten-Spalte bekannt ist, wird die Gesamtdauer berechnet und unterhalb
des Verzeichnis-Browsers angezeigt. Dies gibt Ihnen und anderen (bspw. Anwälten)
einen besseren Einblick in die Menge an Videodaten, um z. B. einzuschätzen,
wie vollständig die Abdeckung einer Videoüberwachung ist oder um die Menge
an illegalem Videomaterial in einer sinnvolleren Bemessungsgrundlage zu
beurteilen als nach Mega-, Giga- oder Terabytes, gerade auch aus Laiensicht.
-
Aktualisierte Unterstützung für PNG-, TIFF- und WEBP-Bilder
in der internen Bildanzeigebibliothek.
-
Mehr Bilder können jetzt als der Geräteklasse (device
class) "No device" zugehörig identifiziert werden, welche als
nicht von optischen Geräten wie Kameras oder Scannern, sondern ausschließlich
von Software erzeugt wurden.
-
Der "Propensity"-Punktwert in der zusammenfassenden
Sachverhaltstabelle im Detailsmodus von Bilddateien bestimmter Typen wurde ersetzt durch die Einführung eines
Prozentwertes für die Konfidenz bezüglich der Geräteklasse.
-
Die neue Angabe zur Mediengestaltung (media design)
in der Sachverhaltstabelle soll dabei helfen, das Seitenverhältnis
(aspect ratio) eines Bildes besser einordnen zu können. Das
Seitenverhältnis erscheint in dem Feld "Bildgröße" (picture size). Es
gibt etwa 128 Seitenverhältnisse, die sich statistisch als Signal vom
Hintergrund abheben. Alle anderen Seitenverhältnise werden mit der
Angabe Random gekennzeichnet. Besonders häufig vorkommende
Seitenverhältnisse wie z. B. 4:3, die von Kamerasensoren verwendet
werden, sind mit der Angabe Native (ungestaltet) gekennzeichnet.
Die Gruppe der als Framed (gestaltet) gekennzeichneten
Mediengestaltungen wird noch weiter differenziert in Framed,
Square, Scaled, Social media und Featured.
Featured bezieht sich auf einen von Google initierten Standard
namens "Open Graph", mit dem Bilder markiert werden, die die Webseite
insgesamt repräsentieren sollen. Man kann die Angabe zur
Mediengestaltung vor allem für eine Stimmigkeitsprüfung benutzen. So
sollte ein Bild mit dem Bearbeitungszustand "original" eigentlich immer
das Mediendesign Native besitzen. Bei einem bearbeitetem Bild würde man
das Mediendesign Framed erwarten, wohingegen Featured oder
Social media mit dem Bearbeitungszustand "disseminated"
korreliert. Wenn ein Bild überhaupt keine Anhaltpunkte besitzt, kann man
die erkannte Mediengestaltung immerhin noch für eine grobe Einordnung
benutzen.
-
Selbstextrahierende Archive in Form von Windows PE
.exe-Dateien (sofern als Typ "sfx" identifiziert) werden jetzt,
analog zu Zip, RAR und 7z, wie allgemeine ("General purpose")
Archive behandelt, und ihre verschiedenen Sektionen werden angezeigt,
wie auch eventuelle Zertifikate, falls signiert. Die PE-Sektion, deren
Daten als eingebettetes Zip- oder RAR-Archiv interpretiert werden können,
wird dann üblicherweise identifiziert und entsprechend verarbeitet.
-
Überarbeitete Aufbereitung von .evtx-Event-Log-Dateien.
Einige Fehler wurden behoben. Vollständigere Abdeckung von Datentypen und
Ausgabe des Namensattributs.
-
"Eingebettete Daten in diversen Dateitypen suchen"
gibt jetzt alle in BPListen gefundenen Zeitstempel als eigenständigen
Ereignistyp aus.
Dateisystem-Unterstützung
-
Unterstützung in NTFS für resident gespeicherte WofCompressed-Dateien.
-
Unterstützung für benannte, erweiterte Attribute in Ext4-Dateisystemen.
-
Verbesserte Behandlung bestimmter beschädigter
Cluster-Ketten in FAT-Dateisystemen.
-
Wenn man zu Beginn einer Minimalsicherung von einer bereits
geöffneten Partition einen neuen Datei-Überblick einlesen lässt, werden jetzt
automatisch auch ein paar Sektoren vom Anfang der Partition mit übernommen, um
die Identifizierung der gängigsten Dateisysteme in der Zielsicherung zu
ermöglichen. Beachten Sie, dass es kein Muss ist, beim Befüllen
einer Minimalsicherung überhaupt einen Datei-Überblick zu erstellen und
dadurch alle essentiellen Dateisystem-Datenstrukturen in die Sicherung
zu befördern. Das könnte leicht Hunderttausende oder Millionen Namen von
Dateien und Verzeichnissen beinhalten, was für Ihre Zwecke notwendig und
angemessen sein kann oder auch nicht. Wenn Sie z. B. bloß die Inhalte
und einige Metadaten bestimmter Dateien in einem NTFS-Dateisystem
benötigen, können Sie gezielt die FILE-Records und Inhalte dieser
Dateien übertragen lassen, ohne die gesamte $MFT, und dank der
Einbindung von Sektor 0 (dem Bootsektor) wird X-Ways Forensics später
wissen, was das Dateisystem und die Clustergröße war und wird die
FILE-Records mit einer besonders intensiven
Dateisystem-Datenstruktursuche in der Minimalsicherung finden können
(schnell dank Sparse-Speicherung) und wird die Speicherorte und Namen
und Zeitstempel usw. dieser Dateien im Dateisystem ermitteln können.
-
Eine kleine Anzahl von Sektoren werden jetzt nicht mehr
indirekt in Minimalsicherungen übernommen, wenn sie nur für interne Zwecke
(z. B. um Schlupfbereiche zu identifizieren und hervorzuheben) gelesen wurden.
-
Datei-Inhalte mit sog. residenter Speicherung in $MFT
in NTFS können optional aus einer Minimalsicherung getilgt (mit binären
Nullen überschrieben) werden, wenn die $MFT-Datei beim Einlesen des
Datei-Überblicks in eine Minimalsicherung übertragen wird. Die Wahl
dieser Option liegt evtl. nahe, weil „normale“ (größere, nicht resident
gespeicherte) Dateien natürlich auch nicht einfach so unbeabsichtigt in
eine Minimalsicherung aufgenommen werden. Allerdings erfordert dies ein
nachträgliches Redigieren der Daten innerhalb bestimmten Sektoren, was
die berechneten Hash-Werte von in einem Rutsch übertragenen
Sektor-Bereichen für die Sicherung ungültig bzw. nicht mehr
nachvollziehbar macht. Als Kompromiss wird, wenn die Berechnung eines
Hash-Werts aktiv ist, ein zweiter Hash-Wert erzeugt für die redigierten
Sektoren, und ebenfalls in die .log-Datei aufgenommen, und dieser zweite
Hash-Wert ist derjenige, den X-Ways Forensics zum Vergleich heranzieht,
wenn Sie die Integrität einer Minimalsicherung überprüfen lassen.
Residente Hauptdaten einer Datei und residente alternative Datenströme,
die sich denselben FILE-Record als Speicherort teilen, erfahren die
gleiche Behandlung.
-
Das Hinzufügen gewählter Dateien zu einer Minimalsicherung
kopiert diese Dateien jetzt normalerweise ohne Schlupfbereiche, d. h. die
Sektorzugriffe beschränken sich auf die logische Dateigröße.
-
Nachdem von einem Quell-Volume einer Minimalsicherung
ein neuer Datei-Überblick erzeugt wurde, der alle relevanten Dateisystem-Datenstrukturen
zur Identifikation aller Dateiinhalte enthält, wird jetzt automatisch
angeboten, die Minimalsicherung in den Wartezustand zu versetzen, damit
zukünftige wahllose Lesezugriffe keine weitere automatische Sicherung
verursachen, was es Ihnen ermöglicht, danach beliebig mit Daten zu
interagieren, im Verzeichnis-Browser zu navigieren, etc. Über den
entsprechenden Befehl im Kontextmenü des Verzeichnis-Browsers können
weiterhin jederzeit die Inhalte gewählter Dateien explizit in die
Minimalsicherung kopiert werden.
BitLocker-Unterstützung
-
Falls ein passender Startup-Key für ein
BitLocker-Volume in einer .BEK-Datei im Fallverzeichnis gefunden
wurde, wird dies im Nachrichtenfenster gemeldet und die entsprechende
Datei benannt und angegeben, wo sie gefunden wurde.
-
BitLocker-Partitionen, die X-Ways Forensics
entschlüsseln kann, prüft es automatisch auch auf nicht verschlüsselte
Bereiche. Solche Bereiche können vorhanden sein, wenn nur in Benutzung
befindlicher Speicher verschlüsselt und neu geschrieben wurde, als
BitLocker aktiviert wurde, z. B. um Zeit zu sparen oder weil die damit
verbundenen Sicherheitseinbußen nicht verstanden wurden. Wenn diese
Situation erkannt wird, empfiehlt X-Ways Forensics, Ihre Analysen auch
im nicht entschlüsselten Zustand der Partition laufen zu lassen, so dass
der BitLocker-Algorithmus zur Entschlüsselung also umgangen wird. Es
könnte beispielsweise empfehlenswert sein, Suchbegriffe nicht nur in den
Dateiinhalten des entschlüsselten Volumes, sondern zusätzlich auch in den
nicht entschlüsselten Sektoren suchen zu lassen.
-
Für Asservate, die BitLocker-Volumes sind, die
X-Ways Forensics
entschlüsseln kann, gibt es jetzt einen neuen Kontextmenü-Befehl. Dieser
ermöglicht, ein solches Volume zu öffnen, ohne die Daten in den Sektoren
zu entschlüsseln, um die Daten tatsächlich so zu sehen, wie sie wirklich
gespeichert sind. Sie könnten in diesem Zustand auch physische Suchen
veranlassen, oder Dateien aus Sektoren ausgliedern, sowohl automatisch als auch manuell.
Nicht verfügbar in X-Ways Investigator.
-
Die Datei-Header-Signatur-Suche kann zusätzlich und
automatisch einen zweiten Durchlauf starten, direkt so auf den Daten,
wie sie in einer von BitLocker geschützten Partition gespeichert sind.
Entweder nur, wenn die Präsenz unverschlüsselter Bereiche von X-Ways
Forensics selbst erkannt wurde (evtl. bloß Sekunden zuvor, während des
normalen ersten Durchlaufs der Datei-Header-Signatur-Suche selbst!)
oder, wenn voll gewählt, in einfach jeder BitLocker-Partition, die in
ihrer entschlüsselten Form nach Datei-Header-Signaturen durchsucht wird,
zusätzlich im Anschluss.
-
X-Ways Forensics merkt es sich für jede einzelne
Datei, ob sie während einer inaktiven BitLocker-Entschlüsselung aus
Sektoren ausgegliedert wurde (ob automatisch oder manuell!) oder nicht,
so dass sie später korrekt gelesen werden kann, auch wenn die
BitLocker-Entschlüsselung generell gerade aktiv ist. Die
Beschreibungsspalte identifiziert solche Dateien. Wenn Sie mit einer
entschlüsselten BitLocker-Partition arbeiten, zeigt das Hin- und
Herwechseln zwischen den Modi Volume/Partition und Datei für solche
Dateien offensichtliche Differenzen zwischen den Daten, die in den
erstgenannten Modi durch den Entschlüsselungsalgorithmus geschickt
werden (zu Unrecht, weil sie ja nicht verschlüsselt worden waren) und im
Datei-Modus nicht.
Performanz und Stabilität
-
Deutlich beschleunigtes Laden sehr großer
Passwords.txt-Dateien.
-
Die Passwort-Sammlung in Passwords.txt kann jetzt
zum versuchten Öffnen von BitLocker-Volumes in mehreren Threads
verwendet werden, für deutlich bessere Performanz.
-
Die interne Bildanzeigebibliothek wurde
grundlegend überarbeitet.
-
Verschwendet keine Zeit mit unnötigen Dateisystemzugriffen
oder dem Öffnen komprimierter Dateien, wenn ausgewählte Dateien in ein neues
Hash-Set aufgenommen werden sollen und deren Hash-Werte direkt aus dem Datei-Überblick
übernommen werden können.
Benutzeroberfläche
-
Die bereits in früheren Versionen verfügbare Option,
Vermerke auf die nächste übergeordnete Datei zuzuweisen, hat jetzt einen
(englischsprachigen) Tooltip, der auf die Funktionalität dieser Option hinweist:
Es wird das nächste übergeordnete Objekt, das kein Verzeichnis ist, mit
dem Vermerk ausgestattet. Verzeichnisse werden übergangen und in der
Pfadhierarchie wird aufwärts gesucht, bis eine Datei gefunden wird. Gibt es in der
Hierarchie eine solche Datei nicht, wird auch kein Vermerk vergeben.
-
Eine neue, verwandte Option wurde eingeführt, die die
sog. ultimative Datei betrifft. Dies ist diejenige Datei, die in der
übergeordneten Pfadhierarchie an der höchsten Stelle steht, also die
allumfassendeste, übergeordnete Datei, die das aktuell gewählte Objekt
enthält. Übergeordnete Verzeichnisse (in Datei- oder E-Mail-Archiven)
können optional übersprungen werden. Falls nicht, gilt die letzte
übergeordnete Datei vor dem ersten übergeordneten Verzeichnis als die
ultimative Datei. Sollte keine übergeordnete Datei in der Hierarchie
gefunden werden, wird das ausgewählte Objekt selbst mit dem Vermerk
ausgestattet, sofern es eine Datei ist.
-
Eine weitere neue Option erlaubt das Zuweisen eines
Vermerks auf alle übergeordneten Dateien, in einer Reihe, die von
Verzeichnissen unterbrochen sein darf, oder auch nicht. Sie könnten
dann beispielsweise später noch mit Hilfe des Typfilters entscheiden,
welche davon Sie tatsächlich benötigen (z.B. E-Mails).
-
Eine neue Option ermöglicht die Zuweisung eines
Vermerks zum direkten Elternobjekt einer gewählten Datei, egal, ob es
sich dabei um eine Datei oder ein Verzeichnis handelt.
-
Das Dialogfenster für die Verwaltung der Vermerke
wurde generell leicht überarbeitet.
-
Falls eine Datei für die Übernahme in den Fallbericht
vorgesehen ist, weil sie einen Vermerk hat, der selbst wiederum als in den
Fallbericht aufnehmbar gekennzeichnet ist, wird diese Datei jetzt mit einem
speziellen Symbol in ihrer Namenszelle gekennzeichnet, wo auch ein gelbes
Notizsymbol erscheint, wenn eine Datei einen Kommentar besitzt. Das
Bericht-Symbol wird verblasst dargestellt, falls der Vermerk derzeit nicht
für die Ausgabe in den Bericht ausgewählt ist.
-
Ausgeblendete Unterobjekte beim Drucken ebenfalls
auszulassen ist jetzt optional.
-
Einige Symbole in der Benutzeroberfläche wurden überarbeitet,
für die parallele Suche, das Kopieren extrahierten Texts, Minimalsicherungen
und den Aufruf externer Programme.
Suchtreffer- und Ereignislisten
-
Der Filter für Suchtreffer erlaubt jetzt, genauer zu
definieren, wo im Kontext eines Suchtreffers ein weiterer Suchbegriff
erscheinen muss; wahlweise nur links oder nur rechts vom eigentlichen Suchtreffer,
oder beides. Außerdem kann ein zusätzlicher Suchbegriff im Suchtreffer selbst
verlangt werden. Dies kann nützlich sein, wenn die Daten des Suchtreffers
variabel sind, weil kein fixer Suchbegriff, sondern ein regulärer Ausdruck
verwendet wurde (z. B. für beliebige E-Mail-Adressen), oder weil Sie den
Offset des Suchtreffers nach links oder rechts verschoben haben, um auch
zugehörige Daten mit abzudecken, die mit exportiert werden sollen, etc.
-
Sowohl für Suchtreffer als auch für Ereignisse gibt es
jetzt zwei getrennte Menübefehle um Einträge in den Bericht zu übernehmen,
oder diese wieder zu entfernen. (Für Suchtreffer gab es hierfür bislang einen
einzelnen Menübefehl, der zwischen diesen beiden Zuständen gewechselt hat.)
-
Ausgewählte Ereignisse aus allen gewählten Asservaten
können jetzt im Fallbericht ausgegeben werden, gegen Ende, in der
Reihenfolge, wie sie zuletzt in einer Ereignisliste verwendet wurde, z. B.
in chronologischer Reihenfolge nach Zeitstempel sortiert. (Nicht in
X-Ways Investigator.)
-
Die Beschreibung einzelner Ereignisse kann jetzt geändert
oder nachträglich benutzerseitig definiert werden, über das Kontextmenü.
(Ereignisbeschreibungen sind derzeit auf 255 Bytes in UTF-8 beschränkt.).
Verschiedenes
-
Fortschrittsbenachrichtigungen können jetzt optional
in Unterverzeichnisse ausgegeben werden, die nach der Maschine benannt
sind, auf denen die aktuelle Sitzung von X-Ways Forensics läuft, die diese
Benachrichtigungen erzeugt.
-
ASCII-Ersatzmuster für nicht lesbare Sektoren auf
fehlerhaften Datenträgern, bereinigte Sektoren in bereinigten Sicherungen,
etc. werden jetzt mit einer vorangestellten UTF-8-Signatur geschrieben,
damit die neueste Version der Viewer-Komponente diese Muster beim Einsehen
oder in der Vorschau der betroffenen Dateien lesbar darstellt, sofern die
Dateien nur aus solchem Text (mit phasenweise Nullbytes dazwischen)
bestehen.
-
X-Tension API: Das Flag
XT_PREPARE_TARGETFILESWITHUNKNOWNDATA erzwingt jetzt Aufrufe an XT_ProcessItem()
und XT_ProcessItemEx() für Dateien mit nicht unterstützter Verschlüsselung oder
Kompression.
-
Dateien in bestimmten beschädigten/unvollständigen Archiven
können jetzt mit einer Größe von 0 Bytes geöffnet werden, statt bisher gar nicht.
Dies bedeutet auch, dass die X-Tension API Funktion XT_ProcessItemEx() für diese
Dateien Aufrufe mit (nutzlosen) Handles bekommen kann.
-
Die am 2. Nov. 2025 zuletzt mit Updates aktualisierte Version
der Viewer-Komponente steht auf unserem Server zum Download zur Verfügung.
-
Die NSRL RDS Hash-Sets, in einem Format zum direkten
Import in X-Ways Forensics, wurden auf die Version 2025.12.1 aktualisiert
und stehen zum Download aus dem Resourcen-Verzeichnis, sowohl als MD5- als
auch als SHA-1-Variante, zur Verfügung.
-
Die Programmhilfe und das Benutzerhandbuch wurden
aktualisiert.
-
Viele kleinere Verbesserungen.
Änderungen der Service-Releases von 21.6:
-
SR-1: Fähigkeit, eine seltene JPEG-Variante anzuzeigen.
-
SR-1: Die Unfähigkeit des ursprünglichen v21.6 Release,
den gleichen Fall mit dem gleichen Nutzerkonto im arbeitsteiligen Modus zu
mehr als einmal zu öffnen (beim zweiten Mal als das Alter Ego) wurde behoben.
-
SR-1: Die ausschließliche Verwendung von AND-Kombinationen
erkannter Bildinhalte in der Bildinhaltsanalyse für die Kategorisierung als
verdächtig hat nicht funktioniert, da diese Kombinationen verloren gingen. Dies
wurde behoben.
-
SR-2: Eine in bestimmten Situationen beim Programmstart
erscheinende, unnötige Fehlermeldung bezüglich der Erzeugung einer temporären
Datei wurde vermieden.
-
SR-2: Das Statistikfenster für die Datendichte bzw.
Kompression ist jetzt mit höherer Wahrscheinlichkeit auch auf Monitoren
mit einer niedrigeren Bildauflösung im sichtbaren Fensterbereich.
-
SR-2: Ein Ausnahmefehler wurde behoben, der bei der
gleichzeitigen Berechnung von ed2k und einem beliebigen, weiteren Hash-Wert
aufgetreten ist (auch in v21.5 SR-10)
-
SR-2: Die automatische Dekrementierung der verbliebenen
Programmstarts bei versicherten Dongles nach einem automatischen Programmneustart
wurde behoben. (auch in v21.5 SR-10)
-
SR-2: Die Gerätetyp-abhängige Anwendung von OCR wurde in
bestimmten Situationen korrigiert. (auch in v21.5 SR-10)
-
SR-3: Einfache Prüfsummen, byteweise mit einem
Multi-Byte-Accumulator berechnet werden, werden jetzt wieder in
umgekehrter Hex-ASCII-Byte-Anordnung dargestellt, wie in v21.4 und
früher.
-
SR-3: Ein Ausnahmefehler wurde behoben, der in
v21.6 beim Erzeugen eines neuen Datei-Containers auftreten konnte.
-
SR-3: Funktioniert mit mehr Tesseract-Versionen.
-
SR-3: Zu einer übergeordneten Datei per Doppelklick auf
den Eintrag .. kann jetzt nicht mehr zu einem unerwünschten Einsehen der
Datei führen.
-
SR-3: Unterstützung für die Prefetch Dateien aus Windows 11 24H2.
-
SR-3: Ein Fehler im Rückgängig-Befehl in v21.6 wurde behoben.
-
SR-3: Die Zeichenangleichung hat für die Indexierung in v21.6
nicht funktioniert. Dies wurde behoben.
-
SR-4: Die Dekompression bestimmter, nicht-residenter
Dateien die WofCompressed gespeichert sind, wurde korrigiert.
-
SR-4: Unterstützung längerer Pfade und Dateinamen in der
Funktion zur Fortschrittsbenachrichtigung.
-
SR-4: Ein Fehler in der nicht-alternativen Methode zur
Extraktion von TAR-Archiven in v21.4 und später wurde behoben, der bei
bestimmten TAR-Archiven auftreten konnte, die verschachtelte Archive enthalten.
-
SR-4: Ein Fehler wurde behoben, der dazu geführt hat,
dass bestimmte E-Mails aus MBOX-Archiven mit einer Größe von 4 GB extrahiert wurden.
-
SR-4: Eine beim Einsatz mehrerer Threads evtl.
mögliche Trennung des Präfix [XT] von der eigentlichen Meldung, die
von einer X-Tension ausgegeben wurde, im Nachrichtenfenster wurde verhindert.
-
SR-5: Ein mögliches Stabilitätsproblem bei der massenhaften
Bildverarbeitung wurde behoben.
-
SR-6: SHA-512 war als Hash-Verfahren für die Datenträgersicherung
nicht verwendbar. Dies wurde behoben.
-
SR-6: Eine etwas genauere Darstellung des
Existenz-Status gelöschter Dateien und Verzeichnisse in exFAT, deren
erster Cluster unbekannt ist.
-
SR-6: Die Darstellung einzelner, seltener $I-Recyle-Bin-Dateien
mit der v8.5.7 der Viewer-Komponente wurde korrigiert.
-
SR-6: Die Erkennung von BitLocker-to-go FAT16-Dateisystemen
wurde korrigiert.
-
SR-6: X-Tension API: Die Flags XT_PREPARE_DONTOMIT
und XT_PREPARE_TARGETFILESWITHUNKNOWNDATA, wenn kombiniert, setzen sich
jetzt über die Option in der Nutzeroberfläche hinweg, Dateien auszulassen,
deren erster Cluster nicht verfügbar ist.
Werden Sie zertifizierter Benutzer von X-Ways Forensics
Werden Sie
X-PERTe.
(X-Ways Professional in Evidence Recovery Techniques)
Beweisen Sie Ihre
Fähigkeiten in der Computerforensik im Allgemeinen und mit X-Ways Forensics
im Speziellen mit unserem Zertifizierungsprogramm. Nach dem Bestehen der
herausfordernden Prüfung werden Sie Teil einer exklusiven Gruppe und
genießen neben der entsprechenden Anerkennung auch weitere einhergehende
Vorteile, wie Schulungsrabatte oder Zugang zum aktualisierten
Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden
Sie
hier.
Wir hoffen, Sie bald wieder auf
https://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie
diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z.
B. noch mit weiteren E-Mail-Adressen) u. a.
hier. Vielen
Dank.
Freundliche Grüße
Stefan Fleischmann
--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde |
