X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

  
#166: X-Ways Forensics, X-Ways Investigator und WinHex 20.3 veröffentlicht

27. Juni 2021

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit einigen beachtlichen Verbesserungen, die Version 20.3. Erscheinungsdatum war der 20. Juli 2021. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten oder professionellen Lizenz)

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Nächster Schulungstermin

17.-20. August, Online

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im Online-Live-Format werden hier aufgelistet. Darunter sind mehrere Termine für Teilnehmer in der mitteleuropäischen Zeitzone geeignet, auch für den Kurs X-Ways Forensics II.


Was ist neu in v20.3?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Text-Extraktion

  • Die Texterkennungsfähigkeiten (OCR) des Tesseract-Softwarepakets können jetzt aus X-Ways Forensics und X-Ways Investigator heraus direkt eingesetzt werden. Das Paket ist von unserem Web-Server herunterladbar. Die aktuellen Download-Instruktionen sind vom selben Ort wie immer abrufbar. Sofern Tesseract von v20.3 im Unterverzeichnis \Tesseract des Installationsverzeichnisses gefunden wird, wenn v20.3 zum ersten Mal gestartet wird, wird Tesseract automatisch aktiviert. Andernfalls gehen Sie bitte zu Optionen | Viewer-Programme, um den Pfad entsprechend anzugeben.

  • OCR kann als Teil logischer Suchen oder bei der Indexierung auf geeignete Dateien angewandt werde, wie beispielsweise gescannte Dokumente oder digital gespeicherte Faxe im TIFF-Format oder auf PDF-Dateien, die lediglich grafische Inhalte haben. Die Standard-Maske enthält sogar *.jpg, wobei Sie für sich entscheiden sollten, ob die OCR-Anwendung auf sämtliche JPEG-Dateien eines Falles in Ihren Augen doch etwas weit geht oder im Gegenteil nötig erscheint. Außerdem haben Sie natürlich wie gewohnt die volle Kontrolle über den tatsächlichen Zuständigkeitsbereich der Suche mittels der ohnehin vorhandenen Optionen. Bitte beachten Sie, dass hochauflösende Fotos viel Zeit zur Prüfung auf Text benötigen. Digitalfotos in JPEG- oder HEIC-Format werden entsprechend der Informationen in den EXIF-Metadaten rotiert, um so die korrekte Orientierung zu erzielen und die OCR-Erkennung von hoffentlich halbwegs horizontal fotografiertem Text zu ermöglichen. Falls die reguläre Textdecodierung für eine bestimmte Datei, deren Typ in beiden Dateimasken vorhanden ist (*.pdf), bereits erfolgreich war, wird OCR nicht noch zusätzlich angewandt. Die Option "Decodierten Text u.a. für Kontextvorschau speichern" hält auch durch OCR gewonnenen Text im Datei-Überblick fest.

  • Suchtreffer in der logischen Suche, die in durch OCR gewonnenem Text gefunden werden, werden in der Anmerk.-Spalte als solches gekennzeichnet und in anderer Farbe hervorgehoben. Der Filter der Anmerk.-Spalte erlaubt, nur OCR-Treffer oder keine solchen anzeigen zu lassen. Ältere Versionen von X-Ways Forensics können OCR-Suchtreffer aus v20.3 beim Öffnen desselben Falles sehen, aber werden nicht wissen, dass es sich um OCR-Treffer handelt.

  • Sie können bis zu zwei Sprachen für die Texterkennung gleichzeitig auswählen, wenn Sie den entsprechenden Schalter ... in Optionen Options | Viewer-Programme anklicken. Es gibt allerdings Wechselwirkungen, wenn Sie Chinesisch/Japanisch und eine europäische Sprache gleichzeitig auswählen. Dies wird die Erkennung der asiatischen Zeichen verschlechtern. In so einem Fall wären Sie ggf. besser beraten, nur Chinesisch/Japanisch auszuwählen, um für diese Sprache eine deutlich bessere Erkennung zu ermöglichen. Zeichen des lateinischen Alphabets werden in diesem Fall immer noch erkannt, in reduzierter Qualität, auch wenn Englisch nicht ausdrücklich ausgewählt ist. Die gleichzeitige Auswahl von Chinesisch/Japanisch und einer europäischen Sprache ist daher nur empfehlenswert, wenn die korrekte Erkennung in der europäischen Sprache für Sie wichtiger ist.

  • Der Vorschau-Modus hat jetzt, zusätzlich zum Roh-Untermodus, einen weiteren namens Text-Modus, in dem aus Nicht-Bilddateien der reine Text extrahiert wird, wie für die logische Suche mit der Decodier-Option. Dieser Untermodus kann auch nützlich sein, um besser zu verstehen, wie Text aus diversen Dokumenttypen extrahiert wird, insbesondere aus Tabellenkalkulationen, für die verschiedene Extraktionsoptionen existieren, deren Ausgabe sich, auch hinsichtlich Formatierung, unterscheiden kann.

  • Falls die normale Text-Extrahierung bzw. -Decodierung im Text-Untermodus kein Ergebnis liefert, oder falls die angezeigte Datei ein Bild ist, und sofern Tesseract vorhanden und aktiv ist, wird OCR angewandt. Dies ermöglicht Ihnen, besser zu verstehen, wie gut OCR in Suchen mit den Arten von Dateien zurechtkommen wird, mit denen Sie es zu tun haben. Sie können auch mit der Auswahl verschiedener Sprachen experimentieren und die Qualität der Ergebnisse vergleichen. Der Untermodus-Schalter wird standardmäßig als "Text" bzeichnet, aber ändert seine Beschriftung in diesem Fall zu "OCR" um Sie auf die Verwendung von OCR zur Texterkennung hinzuweisen. OCR kann für mehrseitige TIFF-Dateien und PDF-Dokumente zeitaufwendig sein, aber kann nutzerseitig bei Bedarf abgebrochen werden. Falls die logische Suche oder Indexierung auf eine Datei zuvor bereits OCR angewandt hat, und das Ergebnis im Datei-Überblick festgehalten wurde, ist die OCR-basierte Vorschau sofort verfügbar und OCR wird nicht von Neuem aufgerufen.

  • Beide Untermodi Roh und Text im Vorschau-Modus bleiben aktiv, bis Sie den Vorschau-Modus verlassen oder eine Datei eines anderen Typs auswählen. Sollten Sie einen dieser Untermodi etwas permanenter auswählen wollen, dass er auch bei der Vorschau verschiedener Dateitypen aktiv bleibt, können Sie die Umschalttaste gedrückt halten, wenn Sie den entsprechenden Untermodus-Schalter betätigen.

  • Das Tesseract-Paket, das von unserem Web-Server heruntergeladen werden kann, kommt mit den folgenden Sprachen bereits vorinstalliert, in alphabetischer Reihenfolge:
    ara: Arabisch
    chi_sim: Chinesisch, vereinfacht (nur horizontale Schrift)
    chi_tra: Chinesisch, traditionell (nur horizontale Schrift)
    deu: Deutsch
    eng: Englisch
    fra: Französisch
    heb: Hebräisch
    ita: Italienisch
    jpn: Japanisch (nur horizontale Schrift)
    kor: Koreanisch (nur horizontale Schrift)
    nld: Niederländisch
    pol: Polnisch
    rus: Russisch
    spa: Spanisch
    swe: Schwedisch
    tur: Türkisch
    Andere Sprachen können hinzugefügt werden, wenn Sie für diese passende .traineddata-Dateien unter https://github.com/tesseract-ocr/tessdata_fast finden können. Solche Dateien müssen lediglich in das Unterverzeichnis \tessdata des eigentlichen Tesseract-Verzeichnisses gelegt werden. Oder Sie können zu https://github.com/tesseract-ocr/tessdata_best gehen, wo es für die unterstützten Sprachen OCR-Daten mit höherer Qualität gibt, deren Verwendung allerdings auch sehr viel mehr Zeit in Anspruch nimmt.

  • Die unterstützten Dateitypen sind grundsätzlich die folgenden: PDF, PostScript (PS), TIFF, JPEG, HEIC, PNG, GIF, BMP, WEBP, AutoCAD DXF, Photoshop PSP und vielleicht weitere.

Weitere Such-Optionen

  • Fähigkeit, den Anmerk.-Filter zur Fokussierung auf Suchtreffer in versetzt gespeichertem (an ungeraden Offsets ausgerichtetem) UTF-16-Text zu verwenden.

  • Fähigkeit, Suchtreffer in der alternativen E-Mail-Darstellung anzuzeigen.

  • Fähigkeit, Suchtreffer aus Textdateien mit Unix/Linux-Zeilenumbrüchen zu laden.

Dateisystem-Unterstützung

  • Komprimiert gespeicherte Daten-Chunks aus NTFS-deduplizierten Dateien werden jetzt dekomprimiert, d. h. solche Dateien können jetzt geöffnet werden. Benötigt Windows 8 oder später.

  • In Ext-Dateisystemen erlaubt eine neue Option für den Datei-Überblick, bei der ursprünglichen Erzeugung des Datei-Überblicks eine tiefergehende Auswertung gelöschter Verzeichniseinträge, selbst, wenn diese relativ zu den aktuellen Verzeichniseinträgen falsch ausgerichtet sind. Dies könnte ggf. weitere ehemals existierende Dateien in Ext finden, wobei ein vermutlich überschaubares Risiko entsteht, auf diese Weise auch einige Müll-Einträge zu erhalten. Die Option hierfür ist beschriftet mit "Ext: Try misaligned deleted dir entries".

  • Fähigkeit, die von Apple Time Machine erzeugten Backup-Bundles als Datenträger interpretieren zu lassen, indem man die Datei namens "com.apple.TimeMachine.MachineID.plist" öffnet und dann als Datenträger interpretieren lässt. Benötigt WinHex Lab Edition oder höher. Nach der Interpretation können Sie den simulierten Datenträger als eigenes Asservat zum Fall hinzufügen lassen, sofern Sie dies wünschen, wie gewöhnlich z. B. durch Rechtsklick auf den Reiter und Aufruf des entsprechenden Befehls.

  • Die Host-Dateien von Schattenkopien werden jetzt so behandelt, als wären ihre Inhalte initialisiert bzw. gültig, obwohl das NTFS-Dateisystem dies anders darstellt, um unnötige Komplikationen für diejenigen Nutzer zu vermeiden, die X-Ways Forensics mit der Standardeinstellung verwenden, "Nicht initialisierte Dateien als Nullen lesen".

  • Erkennt das Dateisystem QNX in einer Partition als solches.

Dateityp-Unterstützung

  • Mehr Kameras bzw. bildgenerierende Geräte werden erkannt, inkl. der 8. iPad-Generation.

  • Verbesserte Erkennung der generierenden Geräteklasse und des Verarbeitungszustandes eines Bildes anhand seiner Dimensionen.

  • Roh-Darstellung neuerer $LogFile-Dateien von Windows 10 verfügbar.

Fall-Verwaltung

  • Es gibt jetzt eine Option, interne Informationen wie den Namen des Ermittlers und die Pfade von Fall und Datenträger-Sicherungen im Fall-Bericht nicht anzuzeigen, falls der Bericht für Personen außerhalb Ihrer Organisation erzeugt werden soll.

  • Es gibt jetzt eine Option, die technischen Beschreibungsdetails eines Asservates nicht anzuzeigen. Dies könnte nützlich sein, um unnötige Diskussionen mit Computer-Laien vor Gericht oder anderswo zu vermeiden, z. B. um Fragen wie was genau denn eine "Sektorgröße" sei.

  • Der Befehl "Asservate importieren" importiert standardmäßig jetzt alle Asservate eines Falles, und nur die als wichtig gekennzeichneten Asservate, wenn Sie die Umschalttaste in dem Moment gedrückt halten, wenn der Import beginnt.

  • Beim Importieren von Asservaten aus einem anderen Fall werden Berichtstabellen des importierten Falles, für die es in den importierten Asservaten keine Verknüpfungen gibt, nicht mehr mit importiert. Berichtstabellen des importierten Falles, deren Namen identisch sind mit Berichtstabellen des aktuellen Falles, werden jetzt mit diesen verschmolzen.

  • Wenn ein Kommandozeilen-Parameter der Pfad oder Name einer .xfc-Datei ist, und zu dem Zeitpunkt, wo dieser Paramter verarbeitet wird, bereits ein Fall geöffnet ist, werden die Asservate dieser .xfc-Datei automatisch in den bereits aktiven Fall importiert. (In früheren Versionen hätte dies den aktiven Fall geschlossen un deinen anderen Fall geöffnet.)

  • Fallberichte, die von X-Ways Investigator erzeugt werden, können jetzt ebenfalls die Hash-Werte von Dateien anzeigen.

  • Fähigkeit, Berichtstabellen im Dialogfenster für die Berichtstabellen-Verknüpfung miteinander zu verschmelzen.

Nutzeroberfläche

  • Fähigkeit, die Flex-Filter auf die zusätzlichen Spalten der Ereignisliste anzuwenden, wie z. B. die Ereignis-Zeitstempel und -Beschreibung.

  • Die Menübefehle Datei | Sicherung wiederherstellen und Specialist | Technischer Detailbericht sind jetzt auch in X-Ways Imager verfügbar.

  • Die Reihenfolge der Tabulator-Tasten-Wechsel, die im Hauptfenster festgelegt ist, gilt auch für den Suchtreffer-Modus.

  • Die Datei "GREP Expressions.txt", in der X-Ways Forensics die beschreibenden, menschenlesbaren Namen Ihrer bevorzugten regulären Ausdrücke festhält, heißt jetzt "Regular Expressions.txt". Bitte benennen Sie Ihre bisherige Datei, falls vorhanden, entsprechend um.

  • Die Anzahl der Suchtreffer für das blockweise Hashen wird jetzt im Nachrichtenfenster angegeben, um deren Vorhandensein zur Kenntnis zu geben und wo und wie diese aufzufinden sind.

X-Tension API

  • Das Plug-In, das für die Nutzung der X-Tension API mit Python benötigt wird, wurde aktualisiert und kann von https://www.x-ways.net/forensics/x-tensions/api.html heruntergeladen werden.

  • Neue X-Tension API-Funktionen XWF_PrepareTextAccess() und XWF_GetText().

  • Die neuen X-Tension API-Funktionen XWF_GetColumnTitle und XWF_GetCellText ermöglichen, die Inhalte aller Verzeichnis-Browser-Spalten als Text auszulesen.

  • X-Tension API: Die Funktion XWF_ManageSearchTerm() can jetzt Suchbegriffe umbenennen, um diese beispielsweise mit einem nutzerfreundlicheren Namen anzuzeigen.

  • Ein Instabilitätsproblem wurde behoben, das X-Tensions betreffen konnte, die im Zusammenhang mit mehreren Threads und als Reation auf XT_ProcessItem() bestimmte Datei-Lese-Operationen durchgeführt haben.

  • Es gibt jetzt ein eigenes Forum zum Thema X-Tension Programmierung. Bei Interesse können Sie sich über neue Beiträge in diesem Teil des Forums durch Abonnieren der Benachrichtigungen in Ihrem Nutzerprofil (https://www.x-ways.net/cgi-bin/discus/board-profile.cgi) benachrichtigen lassen. Nutzer, die die entsprechenden Benachrichtigungen für den Forums-Bereich Computerforensik abonniert haben, erhalten nicht automatisch auch die Benachrichtigungen für den neuen Bereich X-Tension Programmierung.

Verschiedenes

  • Beschleunigtes Arbeiten im Umgang mit undefinierten/spärlich allozierten Bereichen in Backup-Bundles, virtuellen Platten der Typen VDI, VHD, VHDX und VMDK, einschließlich differenzierender, d. h. solcher virtuellen Platten, die selbst wiederum von übergeordneten virtuellen Platten (Snapshots) abhängen.

  • Neue Option, per Signatur gefundene Dateien nach der Zahl ihres jeweiligen Startsektors zu benennen, wahlweise mit oder ohne führende Nullen.

  • Der Befehl Wiederherstellen/Kopieren, bei der Anwendung im Fenster für den Asservat-Überblick und mit nur halb angekreuzter Option für die Reproduktion des Originalpfads, gruppiert die Unterobjekte von Dateien jetzt in Unterverzeichnisse, genau, wie bei der Anwendung auf ein einzelnes Asservat.

  • Die Ausgabe der Spaltentitel beim Exportieren oder Herauskopieren einer Liste in TSV- oder HTML-Format ist jetzt optional.

  • Es gibt für Kunden im Bereich "Zusätzliche Downloads" (s. Lizenzstatus-E-Mail) eine aktualisierte herunterladbare deutschsprachige und eine neue englischsprachige Tooltips.txt-Datei.

  • Viele kleinere Verbesserungen.

  • Benutzerhandbuch und Programmhilfe aktualisiert für v20.3.


Änderungen an den weiteren Service-Releases von 20.2

  • SR-1: Supports one more variant of HEIC files.

  • SR-1: In certain situations Preview mode remained blank in v20.2 until a different file was selected in the directory browser. That was fixed.

  • SR-1: Prevented one situation in which the error message "The file does not contain offset ..." could pop up when opening a case with evidence objects in search hit list mode.

  • SR-1: Slightly reduced strain on the dongle.

  • SR-1: If the connection to the dongle gets lost, the open case will be saved immediately in addition to the interval-based automatic save.

  • SR-1: Reduced impact of a certain floating point exception error in SQLite processing.

  • SR-1: Fixed slow text extraction from spreadsheets that could occur previously when searching logically with more than 8 threads.

  • SR-2: Supports one more variant of HEIC files.

  • SR-2: HEIC picture data parsing is now optional (see Options | Viewer Programs).

  • SR-2: Potentially fixed a rare exception error that could occur when parsing Ext4 volumes with meta blockgroups.

  • SR-2: Ability to read deduplicated files in a previously not covered scenario.

  • SR-2: Around the time when SR-2 was released, the documentation of the XT_ProcessSearchHit() API function was updated and corrected.

  • SR-3: The GREP syntax option is now called "regular expressions".

  • SR-3: Easier to understand description of exactness of PhotoDNA matches in Details mode, in percent.

  • SR-3: Text decoding did not always preserve certain symbols in the 2xxx Unicode range, such as a French apostrophe. That was improved.

  • SR-3: Ability to save dialog window selections instead of filter settings from within the directory browser options dialog window, just like with other dialog windows.

  • SR-3: Prevented a possible exception error that could occur when extracting metadata.

  • SR-3: Addressed a rare infinite loop problem that could occur when extracting metadata.

  • SR-3: The option to discard duplicates of imported hash values in existing hash sets previously discarded even hash values that were rejected for import due to category mismatch. That was fixed.

  • SR-4: Timeout avoided with certain incomplete PNG files.

  • SR-4: Fixed a crash that could occur when text representations of dialog windows with extremely long lists were created for the activity log of the case.

  • SR-4: Representations of nested dialog windows of the volume snapshot refinement settings are now included in the case's activity log only if the corresponding operation is actually selected, and no longer potentially twice.

  • SR-4: The descriptions of events from .evtx event logs in the event list of v20.2 lacked the first character of extracted values like Address, UserID, SessionID. That was fixed in the metadata extraction function.

  • SR-4: Carves newer subversions of EDB databases than algorithmically supported, with the defined default file size.

  • SR-5: Graphics display library updated.


Eine überarbeitete Fassung für v8.5.4 der Viewer-Komponente ist seit dem 3. June 2021 zum Download verfügbar. Die untenstehenden Punkte werden davon behoben, was X-Ways Forensics unter Umständen betrifft. Wörtlich zitiert:

Some extra spaces are rendered after PDF file conversion-IX
Search Export generates XRunExport() failed: file is corrupt (0x0009)
PDF conversion doesn't provide correct conversion result
PDFs w/blanks sections are exporting bad format w/Search & Image Export
E-mail with background color performs differently from 8.5.3
Info->PageCount on attached excel files hang the drawpage.exe app(32 bit)
XLS file crashes drawpage.exe on 32-bit and 64-bit
Viewer hangs the system when the attached xlsx file is opened
PDF results in a core dump when running through exsimple via PX
Observed Text Overlapping and Data loss on PX Export for Given PDF file
Highlighting issue in Word documents with footnotes
UNADDRESSABLE ACCESS beyond heap bounds while exporting in tiff format
Email Header Redaction
Small msg file is rendered to a PDF file with over 65,000 pages
Customer searches for a name not found due to added space by SX
Watermark is obscuring document in OIT
Compressed Searchable PDF Files Generated by CVISION are not Previewable in OCE
Some extra spaces are rendered after PDF file conversion.
Document in RTF not correct shown or printed in OIT, 8.5.1 to 8.5.4
HTML charset not respected when enclosed in single quotes
OIT Viewer crash when opening XLSX document
Part of Text not showing in viewer: VW 8.5.4
Incorrect UTF8 output encoding for email content with iso-2022-kr character set
OIT 8.5.4 Viewer Crashes on attached xlsx file
word doc in WVX is missing a lot of data and only has two pages.
SCCOPT_TIMEZONE NOT WORKING FOR .EML FILES - IMAGE EXPORT
PFDA conversion of PDF is missing text.
Microsoft Outlook OST File count mismatch - 8.5.3 CA
OVERLAPPING TEXT IN .DOCX FILES

Attached DOCX file errors out while viewing on OIVT
Numbering in word documents are rendered incorrectly by PX and IX
Spacing Issue Observed on Given PDF file across SDKs
CA 8.5.5 producing blank output on some html files, customer crash
Text selection with Body and Footnote for redaction, it add extra lines and texts
French Character not extracted correctly
EXRunExport() failed: unknown chunker failure (0x0241) on Loading Input Doc File
eml files being reported as 7-bit files rather than emails in 8.5.4 and 8.5.5
Image covering header after conversion in latest 8.5.4/5
Some images in the PX and IX of DOC files are out of place
XLSX is not shown with drawpage.exe in OIVT8.5.4.20(BP10) but works in BP8
CEC: Fidelity Issues with PX Conversion of PDF - HME_DR_SimGrid_SNUBH_2016_FT
MS Excel file converted to PDF had Partial text hidden
CEC: Fidelity Issues with HTML5 Conversion of PDF - HME_DR_SimGrid_SNUBH_2016_FT
Exported pdf displays unmappable characters
Docx - Inline Image in the table in Header is not positioned or aligned properly
Oracle Outside-In adds redundant space in the word
Font rendering issues in 8.5.4, not present in 8.5.3
Extracted text of PDF document contains spaces between letter of a single word
WCC: certain excel hangs when exporting to pdf
with OIT 8.5.4 BP5, Redaction on last page of document is appearing on front
The umlauts in eml files are not rendered correctly
image export of eml file chops off portion of document
web view of Specific .xlsm file shows file corrupt message.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer

 

  
#165: X-Ways Forensics, X-Ways Investigator und WinHex 20.2 veröffentlicht

11. April 2021

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit einigen beachtlichen Verbesserungen, die Version 20.2. Erscheinungsdatum war der 22. März 2020. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten oder professionellen Lizenz)

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases wie jetzt gerade von der Version 20.3, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Nächster Schulungstermin

8.-11. Juni, Online

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im Online-Live-Format werden hier aufgelistet. Davon ist der Termin am 15.-18. Juni besonders für Teilnehmer in der mitteleuropäischen Zeitzone geeignet.


Was ist neu in v20.2?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateisystem-Unterstützung

  • Fähigkeit, im HEIC-Format vorliegende Bilder einzusehen und in der Vorschau zu sichten. Die Galerie lädt Miniaturansichten in HEIC-Dateien und zeigt diese an. Die Bildanalyse und -verarbeitung unterstützt jetzt auch HEIC-Dateien.

  • .thumbdata4-Archive von Android und HEIC-Dateien sind nun standardmäßig in der Liste von Dateien, die auf eingebettete Daten geprüft werden. (Miniaturansichten in HEIC-Dateien werden dabei im JPEG-Format ausgegeben.)

  • X-Ways Forensics kann nun spezifische Daten aus den Ereignissen in.evtx-Event-Logs extrahieren und diese direkt in der Ereignisliste darstellen. Das macht das Arbeiten mit Event-Logs deutlich mächtiger, weil man so schnell nach Benutzernamen, IP-Adressen von Anmelde- oder RDP-Ereignissen, Task- oder Service-Namen, PowerShell-Befehlen usw. Filtern kann. Es gibt dazu eine tabulatorseparierte Definitionsdatei namens „Event Log Events.txt“ im Installationsverzeichnis, die eine Liste von Ereignis-IDs enthält, (optional) die Namen der betreffenden Komponenten in Windows, die die Log-Einträge erzeugen, und eine Liste von individuellen Datenfeldern, die extrahiert werden sollen. Die Definitionsdatei kann nach Ihren eigenen Bedürfnissen angepasst werden. .

  • Windows .evtx-Event-Logs werden nun in Form einer einzigen tabulatorseparierten Tabelle (TSV-Datei) ausgegeben. Dies ersetzt die zuvor erfolgende Ausgabe in mehrere HTML-Dateien. Diese Tabelle enthält die kompletten Daten von jedem Ereignis. Sie kann idealerweise in MS Excel oder einer ähnlichen Anwendung eingesehen werden.

  • Ereignisse werden in der Ereignisliste nun mit weniger Stördaten ausgegeben.

  • Fähigkeit zum Extrahieren von E-Mail-Dateianhängen aus TNEF-Dateien, wenn sie von der Typprüfung als solche identifiziert werden. (Solche Dateien tragen normalerweise den Namen "winmail.dat".)

  • Es gibt nun eine Option, MSG-Dateien im Datei-Überblick nach der E-Mail-Betreffzeile zu benennen, wenn E-Mails und Datei-Anhänge aus ihnen extrahiert werden. Das kann nützlich sein, wenn Sie große Mengen an generisch benannten MSG-Dateien antreffen.

Bedienoberfläche

  • Die Galerie kann jetzt in einem alternativen Modus operieren, der mit dem Schalter links vom Sync-Schalter aktiviert wird. In dem Modus stellt die Galerie nicht die aktuell im Verzeichnis-Browser aufgelisteten Dateien dar, sondern statt dessen die Unterobjekte eines einzigen gewählten Objekts, wenn es solche Unterobjekte gibt. Dies sind entweder nur direkte Unterobjekte oder (im ²-Modus) Unterobjekte rekursiv. Dies ist ein einzigartige Möglichkeit, um mit einem einzigen Mausklick einen schnellen Überblick über ganze Verzeichnisse oder Datei-Archive zu erhalten. Außerdem nützlich für Videos, von denen Sie zuvor Standbilder haben extrahieren lassen. Sie können jedes aufgelistete Unterobjekt mit der rechten Maustaste anklicken und diverse Operationen darauf anwenden. Die meisten aus dem Kontextmenü des Verzeichnis-Browsers bekannten Befehle sind verfügbar. Insbes. können Sie ein Unterobjekt auf diese Weise mit Berichtstabellen verknüpfen, ausblenden, markieren oder zu ihm im Verzeichnis-Browser navigieren, um die Metadaten in allen Spalten zu sehen (zurück zur vorherigen Ansicht geht es dann bekanntlich durch Klick auf den Zurück-Schalter). Die Unterobjekte werden in der Galerie in aufsteigender Reihenfolge ihrer internen ID aufgelistet.

  • Die Auswahl der in Galerie spiegelt normalerweise exakt die Auswahl im Verzeichnis-Browser wieder. Bei der Darstellung der Unterobjekte einer gewählten Datei allerdings erlaubt die Galerie in sich selbst eine abweichende, separate Auswahl unter den Unterobjekten.

  • True-Color-Bilder können in der Galerie nun optional nicht nur in Graustufen dargestellt werden, sondern auch in völlig unnatürlichen Farben, um den psychologischen Eindruck bestimmter Fotos abzuschwächen. Diese neue Option ist als mittlerer Zustand des Kontrollkästchens verfügbar. Die Graustufen-Umwandlung (wenn das Kontrollkästchen voll mit einem Haken versehen ist) wurde leicht optimiert.

  • Es gibt nun die Möglichkeit, die Darstellungen der Modi Vorschau und Details für dieselbe Datei gleichzeitig zu sehen, nebeneinander, indem Sie das "+"-Zeichen am Details-Schalter anklicken während Sie sich im Vorschau-Modus befinden. Ein anschließender Klick auf einen der beiden Schalter macht den betreffenden Modus zum alleinig aktiven Modus.

  • Die ungefähre Rollposition im Details-Modus wird nun bei Wahl einer anderen Datei im Verzeichnis-Browser wiederhergestellt, und auch beim Schließen und erneuten Öffnen des Datenfensters oder der Anwendung, so dass Sie danach möglichst die gleiche Art von Metadaten sehen wie vorher.

  • Man kann den Inhalt des Details-Modus nun in einer HTML-Datei abspeichern, durch Klick auf das neue Disketten-Icon in der Statusleiste.

  • Tastenkürzel wurden definiert und werden nun im Verzeichnis-Browser-Kontextmenü angezeigt, mit denen man die ausgewählte(n) Datei(en) in X-Ways Forensics oder im verknüpften Programm einsehen kann.

  • Über die Befehlszeile lassen sich nun Dialogfenster-Auswahlen automatisiert laden. Dies überspielt i. d. R. bestimmte Teile der Konfiguration, die anfänglich aus einer WinHex.cfg-Datei geladen wird, in dem Moment, in dem dieser Befehlszeilen-Parameter abgearbeitet wird (nicht wenn diese Teile der Konfiguration ggf. beeinflussen, was die Anwendung genau macht). Der Befehl dazu lautet "Dlg:", direkt gefolgt vom Pfad der gewünschten .dlg-Datei. Nachdem Sie eine Dialogfenster-Auswahl gespeichert haben, stellen Sie bitte sicher, dass sie auch wirklich von der Anwendung akzeptiert wird, indem Sie auf OK klicken. Nur von v20.2 erzeugte .dlg-Dateien können hierfür verwendet werden. Ältere Versionen von X-Ways Forensics können auch .dlg-Dateien von v20.2 lesen (natürlich nicht über die Befehlszeile, das ging ja bisher nicht, nur manuell im jeweiligen Dialogfenster).

  • Die Notationsoptionen in Wiederherstellen/Kopieren sind nun auch dann zugänglich, wenn die "Gruppieren nach"-Optionen aktiv sind, weil sie dafür relevant sind.

  • Wenn Sie weitere Berichtstabellen-Verknüpfungen zur selben Datei hinzufügen, werden diese nun durchgängig in der Reihenfolgen angezeigt, in der die Berichtstabellen definiert sind.

  • Es wird nun verhindert, dass die Viewer-Komponente versucht, NTFS-Systemdateien wie $UpCase im Vorschau-Modus darzustellen, weil das problematisch war.

Suche, Indexierung

  • Die alternative Verarbeitung der Textdecodierung von Tabellenkalkulationen wurde überarbeitet. U. a. werden die Grenzen und ordinalen Nummern von  Arbeitsblättern nun mit Trennlinien markiert.

  • Es gibt nun eine Option, um Leerzeichen um geläufige chinesische Zeichen in decodiertem Text herauszufiltern (s. Optionen | Viewer-Programme). Solche Leerzeichen können unerwarteterweise z. B. bei der Verarbeitung bestimmter PDF-Dokumente erscheinen und Stichwort-Suchen in Chinesisch vereiteln.

  • Die Roh-Vorschau mit decodiertem Text (d. h. mit Umschalt + Klick auf "Roh") in Chinesisch wurde bisher  nicht richtig angezeigt weil die Viewer-Komponente die Daten nicht immer als UTF-16 identifizierte. Das wurde verbessert.

Diverses

  • WinHex Lab Edition und höher: Fähigkeit, Dateien zu öffnen und zu lesen, die auf NTFS-Volumes in Windows Server mit aktiver Deduplikation gespeichert wurden, sofern sie dabei nicht komprimiert wurden.

  • Wenn es mehrere Treffer für eine Datei in der PhotoDNA-Hash-Datenbank gibt, was mit Auslassungszeichen (...) nach dem ersten Treffer angedeutet wird, und wenn die PhotoDNA-Hash-Werte im Datei-Überblick gespeichert sind, lädt der Details-Modus nun die Hash-Datenbank und gibt explizit alle Treffer an.

  • Es werden noch mehr JPEG-erzeugende Gerät erkannt, jetzt über 30.000.

  • Es wurde eine seltene Endlosschleife korrigiert, die auftreten konnte, wenn man Dateien in APFS öffnete.

  • Ein sehr seltener Ausnahmefehler wurde entschärft,  der offenbar bei der besonders intensiven Dateisystem-Datenstruktursuche in exFAT auftreten konnte.

  • Es wurde ein seltener Ausnahmefehler behoben, der unter bestimmten Umständen auftreten konnte beim erneuten Öffnen einer rekursiv erkundeten Partition auf einem physischen Datenträger im Fall, wenn man nach Rückfrage entschied, einen neuen Datei-Überblick zu erzeugen.

  • Viele weitere kleine Verbesserungen.

  • Benutzerhandbuch und Programmhilfe für v20.2 aktualisiert.


Änderungen der Service-Releases von v20.1

  • SR-2: Finds certain Ext* partitions with an unusual configuration when searching for lost partitions.

  • SR-2: Identifies extended partitions as such even when wrongly described as a different partition type in the MBR, as seen in Kindle storage.

  • SR-2: Fixed I/O error that occurred in v20.1 when splitting up the case report into segments.

  • SR-3: Ability to define the alphabet to detect word boundaries for the commands Find Text and Replace Text, with any kind of license.

  • SR-3: Fixed an infinite loop that could occur when processing GZ archives with very long filenames.

  • SR-3: The X-Tension API function XWF_Read() returned 0 after reading between 2 and 4 GB of data instead of the actually amount of data that was read. That was fixed.

  • SR-3: Fixed an exception error that apparently could occur in certain cases when right-clicking multiple selected files in the case root window.

  • SR-3: Fixed an error that occurred when interpreting .e01 evidence files with a user-defined sector size.

  • SR-3: Fixed an exception error that could occur when parsing unexpected LVM2 container data.

  • SR-3: msglog.txt is now slightly more complete, showing which button was clicked in message boxes and showing when a case was closed if messages were output while the case was open.

  • SR-4: Corrupt files found by the file header signature search are now included optionally (and are now included by default when searching for embedded files).

  • SR-4: Fixed trailing spaces at the end of the names of some rare files in FAT in recent releases.

  • SR-4: Fixed a rare exception error that could occur with the gallery in freshly refined volume snapshots.

  • SR-6: The gallery option "Use auxiliary thumbnails" did not work correctly in v20.1 SR-4 and SR-5 and showed the wrong thumbnails for some pictures. That was fixed.

  • SR-6: Fixed an exception error that could occur in v20.1 when right-clicking multiple selected items from different evidence objects.

  • SR-6: Some minor improvements and fixes.

  • SR-7: If the creation of an .e01 evidence file is interrupted, a notice about that is now also left in the image itself, when it is provisionally finalized.

  • SR-7: When copying files with child objects to evidence file containers and including those child objects in the container and including the path, then the parent files would have been copied with their contents even if "Copy only metadata" was selected. That was fixed.

  • SR-7: Fixed an instability problem that could occur when extracting e-mails and attachments from MSG files.

  • SR-10: thumbcache*.db thumbnail stores were previously not processed in certain rare situations, namely if they were targeted only indirectly and the main thumbcache_idx.db file was a newer version than expected or could not be parsed as expected. In many such cases they are now checked for embedded thumbnails directly, independent of thumbcache_idx.db.

  • SR-10: Detects the XFS file system based on less strict rules again, like previous versions.

  • SR-10: File mode did not show slack correctly in NTFS in the previous service release. That was fixed.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer.

 

 

> Archiv des Jahres 2020 <

> Archiv des Jahres 2019 <

> Archiv des Jahres 2018 <

> Archiv des Jahres 2017 <

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <