X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#156: WinHex, X-Ways Forensics und X-Ways Investigator 19.4 veröffentlicht

6. September 2017

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.4. Erscheinungsdatum war der 5. September 2017. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Ja, wirklich.

Wir weisen erneut darauf hin, daß Dongles, die nicht mehr vorhanden sind und für die auch nicht die kostenlose Versicherungsmöglichkeit in Anspruch genommen wurde, nicht ersetzt werden. Es gibt immer noch Anfragen danach, obwohl das schon immer ausgeschlossen war und die Software Sie ständig daran erinnert, wenn Sie den Hinweis nicht unterdrücken. Es hilft auch nicht, wie heute eine deutsche Bundesbehörde, so zu formulieren, als sei es nur eine Frage des Prozederes oder der Kosten. Es wird einfach kein Ersatzdongle zur Verfügung gestellt, wenn der ursprüngliche Dongle nicht mehr da ist und nicht versichert war, Punkt. Es gibt nur 1 Dongle pro Lizenz, nicht mehr. Wir bitten um Verständnis.


Schulungstermine

Köln, 9.-12. Oktober
Termine im Ausland

Wenn wir Sie über weitere Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein.


Was ist neu in v19.4?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Verzeichnis-Browser, Datei-Listen

  • Wiederherstellen/Kopieren erlaubt es nun, Dateien nicht nur optional nach ihrer internen ID zu benennen, sondern auch nach jeder anderen Spalte im Verzeichnis-Browser, wie etwa Hash-Wert, ID, Kommentar, Offset im Dateisystem usw. usf. Solche Metadaten können auch hinten an den Dateinamen angehängt oder ihm vorangestellt werden, was z. B. nützlich sein könnte mit dem alternativen Namen, dem Existenzzustand, Berichtstabellen, Zeitstempel, Autor, Absender, Beschreibung, Attribute, Analyseergebnis, Hash-Set, ... Wenn der Zelltext aus mehreren Zeilen besteht (z. B. Kommentar- oder Metadaten-Spalte), wird nur die ersten Zeile zur Benennung herangezogen. Umgekehrte Schrägstriche im Pfad werden automatisch durch Unterstriche ersetzt. So kann man eine Datei nach ihrem vollständigen ursprünglichen Pfad benennen.

  • Viele weitere Spalten des Verzeichnis-Browsers werden nun für Gruppierungszwecke beim Wiederherstellen/Kopieren angeboten, darunter Asservat, Analyse, Pixel, Kommentare, Absender, Empfänger u. a. Bitte beachten Sie, daß das Gruppieren nach Asservat schon immer möglich war, wenn Dateien aus dem Asservat-Überblick mit einem Teilpfad herauskopiert wurden, lange bevor die Gruppierungsoption eingeführt wurde, aber diese Möglichkeit wurde trotz Dokumentation und sogar individuellem Hinweis darauf von einigen Benutzern übersehen, so daß sie jetzt entfallen ist.

  • Es ist jetzt möglich, den Namen des Gruppierungsverzeichnisses auf eine bestimmte Anzahl von Zeichen zu beschränken. Das kann sehr nützlich sein, wenn Sie Dateien z. B. nach Jahr gruppieren möchten (= die ersten vier Zeichen in Erzeugungs- oder Änderungszeitstempeln, geeignete Notationseinstellungen vorausgesetzt) oder einfach um eine riesig große Anzahl von auszugebenden Dateien in einigermaßen gleich große Unterverzeichnisse aufzuteilen (mit den ersten 1 oder 2 Zeichen des Hash-Werts, um 16 oder 256 solche Unterverzeichnisse zu erzeugen), basierend auf dem Gesetz der großen Zahlen, oder einfach um das Risiko von überlangen Gesamtpfaden zu reduzieren.

  • Wenn Dateien für die Aufnahme in den Fallbericht herauskopiert werden, können sie nun nicht nur nach ihrem Originalnamen und ihrer eindeutigen ID benannt werden, sondern auch nach Hash-Wert und diversen anderen mehr oder weniger eindeutigen Eigenschaften. Falls diese Werte leer sind, wird doch der Originalname verwendet.

  • Das Sortieren nach Vollpfad stellt nun sicher, daß die hierarchisch korrekte Reihenfolge mit Unterobjekten direkt nach ihrem jeweiligen Elternobjekt zur Anwendung kommt, auch dann, wenn einige Elterndateien oder Verzeichnisse oder E-Mails den exakt selben Namen haben.

  • Der Vollpfad-Filter unterstützt nun Sternchen am Ende jeder Zeile. Zum Beispiel \Windows\Prefetch\* liefert alle Dateien im Verzeichnis \Windows\Prefetch.

  • Beim Exportieren einer Liste von Dateien und Verzeichnissen mitsamt Unterobjekten und Sortierung nach Vollpfad, so daß Unterobjekte direkt ihren jeweils übergeordneten Objekten folgen, im Format TSV oder HTML, ist nun eine Option namens „Einrückung“ verfügbar, die die Namen von Unterobjekten hierarchisch genau einrückt, so daß es einfach ist zu sehen, welche Objekte Unterobjekte von welchen übergeordneten Objekten sind. Sie brauchen also nicht in ständig in der u. U. sehr langen Vollpfadspalte nachzusehen und brauchen diese erst gar nicht mit als Spalte auszugeben.

  • "Rekursiv auch Verzeichnisse mit ausgeben" ist jetzt ein dreistufiges Kontrollkästchen und standardmäßig halb gewählt. In diesem Zustand werden Verzeichnisse nur dann bei rekursiver Erkundung aufgelistet, wenn ein nicht-trivialer Filter aktiv ist (nicht-trivial = es werden nicht bloß ausgeblendete Dateien herausgefiltert) und wenn Filter auch tatsächlich auf Verzeichnisse angewandt werden. In dieser Kombination interessiert sich der Benutzer möglicherweise für Verzeichnisse, weil sie bestimmte Zeitstempel haben oder Namen, die bestimmte Wörter enthalten o. ä., aber im Normalfall vermutlich nicht, so daß dieser mittlere Zustand ein guter Kompromiß sein sollte.

  • Das Gruppieren von Dateien und Verzeichnisse ist nun ebenfalls ein dreistufiges Kontrollkästchen. Es wird nun standardmäßig in der mittleren Einstellung nur dann gruppiert, wenn nicht rekursiv erkundet wurde, d. h. nur wenn Verzeichnisse für Navigationszwecke benötigt werden und daher ganz oben in der Liste hilfreich sind und erwartet werden.

  • Aus Sektoren ausgegliederte Dateien können nun mit dem Filter der Beschreibungsspalte wie eine besondere Art von ehem. existierenden Dateien gefiltert werden, was etwas logischer und intern etwas schneller sein sollte.

Dateityp-Unterstützung

  • X-Ways Forensics und WinHex Lab Edition habe nun eine spezielle Fähigkeit zum farblichen Hervorheben von Datei-Header-Signaturen direkt in der Hex-Anzeige (X-Ways Forensics: Modi Disk/Partition/Volume und Datei). Die Identifikation erfolgt durch Anwenden der rohen GREP-fähigen Ausdrücke in "File Header Signatures Search *.txt" auf jeden einzelnen Offset in der aktuell sichtbaren Seite. Die "~"-Algorithmen, die oft falsche Treffer erkennen oder bei der Datei-Header-Signatur-Suche zwischen verschiedenen Untertypen unterscheiden können, kommen allerdings nicht zum Einsatz. Die farbliche Hervorhebung hilft Ihnen dabei, die Anfangspositionen von bekannten Daten-/Dateitypen mit bloßem Auge sofort zu erkennen, auch wenn sie in andere Daten eingebettet sind, z. B. Miniaturansichten in JPEG-Dateien, einzelne Datensätze in Zip-Archive, TIFF-Signaturen in Exif-Metadaten, Zertifikate in Windows-Registry-Hives u. v. a. m. Weitere Information erhalten Sie in der Erklärung des H-Flags der Signaturdefinitionsdatei. Wenn diese Option halb gewählt ist, werden Signaturen nur an 512-Byte-Grenzen gesucht und hervorgehoben.

  • Die Hervorhebung von FILETIME-Werten ist nun separat wählbar und nicht mehr Teil der MFT-FILE-Record-Hervorhebung.

  • Ein neues Flag wurde für Datei-Header-Signatur-Definitionen eingeführt: "H" means that a definition is meant only for the new highlighting feature, not for regular file header signature searches or for file type verification. Such definitions only require three pieces of information: The keyword or GREP expression, the relative offset (typically 0) and the flag "H". The description at the start of the line is optional, but recommended because the color depends on the description, and for different descriptions you will likely see different colors. You could even create a dedicated text file, for example named "File Type Signatures Search Highlighting.txt", that defines various keywords or GREP expressions that you are always interested in and would like to get highlighted immediately in every case even before running appropriate searches. Also useful if you analyze or reverse-engineer file formats, where for example records do not have a fixed length (so that the record presentation option in WinHex is not applicable), but are identifiable by signatures.

  • Ein weiteres Flag für Datei-Header-Signatur-Definitionen: "A" means that a definition heavily depends on the associated algorithm (the one defined with the ~ character) and is too generic for identification without it. Thus the new highlighting feature will not use signatures with the "A" flag.

  • X-Ways Forensics hat nun die Fähigkeit, paßwortgeschützte Dokumente gewisser Typen einzusehen, sofern das Paßwort bekannt ist. Nur bestimmte Verschlüsselungsvarianten von Microsoft-Office- und PDF-Dokumenten, Microsoft Outlook PST 97-2013 und Zip-Dateien werden unterstützt. Bei der Vorschau einer solchen Datei wird das Paßwort aus der Metadaten-Zelle der Datei entnommen (wenn dort eintragen in einer Zeile, die mit "Password: " beginnt) oder alternativ werden alle Paßwörter aus der Paßwortsammlung des aktiven Falls automatisch ausprobiert und dann für künftige Verwendung und Ihre Information in der Metadaten-Zelle verewigt. Wenn beim Einsehen einer solchen Datei kein passendes Paßwort gefunden wird, wird zusätzlich der Benutzer wiederholt nach dem Paßwort gefragt, solange bis das richtige Paßwort eingegeben wird oder der benutzer durch Klick auf Abbrechen signalisiert, daß er aufgibt.

  • Der dateiformatspezifische Verschlüsselungstest versucht nun, die Paßwörter in der Paßwortsammlung des aktuellen Falls automatisch auf verschlüsselte Exemplare unterstützter Dokumenttypen anzuwenden und merkt sich das passende Paßwort, sofern gefunden, in der Metadaten-Zelle der Datei, für die künftige Verwendung beim Einsehen oder der Vorschau der Datei und zu Ihrer Information.

  • Fähigkeit, Zip-Archive mit einer seltenen Datei-Header-Signatur-Variante zu verarbeiten (erweiterter lokaler Header).

  • Ausgliederung, Dateitypprüfung und provisorische Extraktionsunterstützung für E-Mails von Outlook 11 und Outlook 14 für Mac.

  • Metadaten-Extraktion überarbeitet für MS-Word-Dokumente. Der Zeitstempel für die Erzeugung des Inhalts kann jetzt für mehr Dateien als vorher ausgegeben werden. Es gibt zwei neue Metadatenfelder namens "Format version" und "Generator". Der Generator (Erzeuger) ist nicht notwendigerweise MS Word selbst, sondern kann z. B. auch Open Office sein. "Product created" wird jetzt mit einer zweistelligen Jahreszahl ausgegeben, so daß diese Ausgabe leichter als Zeitstempel erkennbar ist.

  • Zeitstempel für die Erzeugung des Inhalts  können nun auch für mehr PDF-Dokumente als zuvor ausgegeben werden, weil nun einige besondere Codierungsvarianten unterstützt werden.

  • Gründlichere Extraktion von Nachrichten aus bestimmten Skype-Datenbanken. Die Darstellung von Gesprächen wurde vereinfacht und redundante Informationen entfernt. Die einzelnen Gespräche in den Chat-Dateien werden nun in einer fortlaufenden Tabelle aufgelistet, mit hervorgehobenen Kennzeichnungen darüber, wann jedes Gespräche begann und endete. Diese Verbesserung wird rückwirkend auch auf v19.3 bis v19.0 angewandt, in Service-Releases nach dem 10. Juli 2017.

  • Beim Versuch, Prefetch-Dateien von Windows 10 unter Windows 7 einzusehen, der normalerweise zum Scheitern verurteilt ist, schlägt X-Ways Forensics nun einen Trick vor, mit dem das möglich ist.

  • Bessere Ergebnisse bei der Datei-Header-Signatur-Suche nach Dateien der Typen RAR, large PST, 7Zip, DWF und JPEG.

  • Bessere Ergebnisse beim Ausgliedern von großen eingebetteten Datenmengen in anderen Dateien.

  • Neuer Dateityp "vdata" definiert in der "Special-Interest"-Kategorie, für Bilder und Videos, die mit einer Android-App namens Vaulty versteckt wurden.

  • Unterstützung einer neuen Version von Windows Thumbcache-Dateien.

  • Ausgabe des offiziellen InstallDate einer Windows-10-Installation aus dem SOFTWARE-Hive zusätzlich zum ursprünglichen "Source OS *"-InstallDate des SYSTEM-Hives, sofern vorhanden, als "Upgrade"-Zeitstempel, in den Eigenschaften neu hinzugefügter Asservate, so daß Benutzer dort beide Zeitstempel vorfinden und keinen Fehler in X-Ways Forensics vermuten, weil das Installationsdatum, das sie für korrekt halten, nicht übereinstimmt mit dem angezeigten Datum. Nach wie vor ist es aber empfehlenswert, zum Erhalt vollständigerer Informationen den Registry-Bericht zu erzeugen.

Dateisystem-Unterstützung

  • Fähigkeit, ausführbare Dateien mit "WofCompressed"-Eigenschaft aus dem CompactOS-Feature von Windows 10 in NTFS zu dekomprimieren, in WinHex Lab Edition, X-Ways Investigator und X-Ways Forensics. Solche Dateien werden seit v19.1 als WofCompressed erkannt und in der Attr.-Spalte mit P und ~ gekennzeichnet (d. h. genau wie im Dateisystem als Reparse-Point-Umsetzung und sparse).

  • In NTFS-Partitionen und in Datei-Containern im Roh-Format kann man mit dem Befehl "Sicheres Löschen" im Kontextmenü des Verzeichnis-Browsers in WinHex nun optional auch die Metadaten in den definierenden Dateisystem-Datenstrukturen der ausgewählten Dateien (im Fall von Containern die einzigen solchen Metadaten) zusätzlich zum Datei-Inhalt sicher überschreiben. Wenn Sie das erledigen möchten, kreuzen Sie das neue Kästchen namens "MFT-Records initialisieren" an. Diese Option hat keine Auswirkung auf Dateien in anderen Dateisystemen oder auf Dateien, die in anderen Dateien eingebettet sind, oder auf aus Sektoren ausgegliederte Dateien.

  • Ext4: Für Dateien, deren Inhalt am Ende nicht definiert/initialisiert ist, wird die gültige Datenlänge nun im Datei-Modus angezeigt. Undefinierte Bereiche mitten in der Datei bleiben hierbei unbeachtet.

  • In neu erzeugten Datei-Überblicken von Ext3*-Dateisystemen werden nun die allermeisten Dateien, die Sparse-Speicherung verwenden oder die nur teilweise initialisiert sind, umgehend entsprechend in der Attr.-Spalte gekennzeichnet. Einige wenige Dateien mit dieser Art der Speicherung werden erst beim erstmaligen Öffnen als solche identifiziert (beim Öffnen zum Lesen, Durchsuchen, Verarbeiten, ...).

  • Der tatsächlich (wenn auch nicht offiziell) unbenutzte Bereich am Ende des letzten Blocks eines Verzeichnisses in Ext*-Dateisystemen wird nun im Datei-Modus als Schlupfspeicher farblich hübsch hervorgehoben, und nach dem erstmaligen Öffnen (im Dateimodus, für die logische Suche oder was auch immer) wird die logische Größe des Verzeichnisses auch im Datei-Überblick wiedergespiegelt (sichtbar in der Größenspalte des Verzeichnis-Browsers, sofern die Option zur rekursiven Auswahlstatistik nicht aktiv ist).

  • Frühere Releases haben in neueren Varianten von XFS-Dateisystemen u. U. einige Dateien übersehen. Eine vorläufige Fehlerkorrektur soll das nun verhindern.

  • Die wenigen erweiterten Attribute in HFS+, die nur reinen unformatierten Text enthalten, werden nun in der Metadaten-Spalte statt als Unterobjekte ausgegeben.

  • Viele hart verlinkte dir_*-Verzeichnisse in .HFS+ Private Directory Data in HFS+ verweisen nun auf ihre erste Verwendung zurück als sog. zugehöriges Objekt. Diese Information basiert auf erweiterten Attributen des Typs "firstlink".

  • Die Datei-Überblicks-Option "EA in Überblick aufnehmen" für erweiterte Attribute in HFS+-Dateisystemen wurde überarbeitet und umbenannt in "vollständige Ausgabe von EA". Eine vollständige Ausgabe von EA (erweiterten Attributen) in HFS+ erfolgt standardmäßig nicht. Alle von X-Ways Forensics für relevant befundenen Attribute werden aber verarbeitet und entweder in der Metadaten-Spalte ausgegeben, wenn sie textueller Natur sind, oder als Datei-Inhalt von residenten oder komprimierten Dateien oder als Verknüpfungen zu zugehörigen Verzeichnissen oder als Unterobjekte, die in der Attr.-Spalte mit (EA) gekennzeichnet sind. Wenn halb gewählt, werden zusätzlich "firstlink"- und "quarantine"-Attribute in der Metadaten-Spalte ausgegeben. Wenn ganz gewählt, werden sogar leere binäre PLists und gewöhnliche "Security"-Attribute als Unterobjekte ausgegeben.

  • Der zusätzliche Aufwand, den X-Ways Forensics betreibt, um gelöschte Objekte in FAT32-Dateisystemen korrekt in den Datei-Überblick aufzunehmen, ist nun optional. Wenn nur halb gewählt, wird nur für Unterverzeichnisse mehr Zeit investiert, nicht für Dateien.

  • Der technische Detail-Bericht für physische Datenträger mit GPT-Partitionierung enthält nun die eindeutigen Partitions-GUIDs.

Diverses

  • In bisherigen Versionen wurden Suchtreffer zu identischen Suchbegriffen immer zusammengefaßt und über denselben Eintrag in der Suchbegriffsliste zugänglich gemacht. Das ist nützlich z. B., wenn Sie Suchläufe nach denselben Stichwörtern oder GREP-Ausdrücken inkrementell (in mehreren Schritten) auf unterschiedliche Asservate loslassen. Es gibt nun aber ein Kontrollkästchen dazu, das man auch abwählen kann. Im abgewählten Zustand wird jedes Mal beim Starten einer Suche für jeden Suchbegriff ein neuer Eintrag in der Suchbegriffsliste erzeugt, auch wenn das Stichwort, nach dem Sie suchen, identisch ist zu einem in einem vorherigen Suchdurchlauf oder im selben Durchlauf verwendeten Stichwort. Das ist nützlich, wenn Sie die Suchen mit unterschiedlichen Einstellungen betreiben, z. B. dasselbe Stichwort gleichzeitig als ganzes Wort und als Teilwort, so daß Sie die jeweiligen Treffer später getrennt voneinander auflisten können.

  • Die Dateimaske für "Verknüpftes Programm verwenden beim Einsehen von..." hat nun Vorrang vor der internen Grafikanzeigebibliothek und (falls es sich um ein Video handelt) dem angegebenen Video-Player (der je nach Dateityp ein anderes Programm sein kann).

  • Es wurde ein neuer Befehlszeilenparameter namens "Override" eingeführt, mit dem Sie Meldungsfenster und Dialogfenster automatisch überspringen können, bis der letzte Befehlszeilenparameter abgearbeitet ist. The text of those boxes will be output to the Messages window (and thus indirectly also to msglog.txt, unless disabled), and either an automatic click on OK will be simulated (if the parameter is "Override:1") or a click on Cancel (in case of "Override:2"). If a message box has only one button, it does not matter which parameter value was specified. All of this helps to avoid interruptions and delays of automatic processing when the program is waiting for user input.

    The default setting and recommended behavior (if no Override parameter is specified) is like "Override:0", where message boxes and dialog boxes are shown normally and potentially alert the user of critical error conditions and anomalies such as incomplete images, undetectable image format etc. The parameter takes effect immediately upon start-up, before regular processing of other parameters begins, even if the Override parameter is specified last in the command line.

  • Der Override-Parameter gibt auch die gesamte Befehlszeile im Nachrichtenfenster aus (auch bei einem Wert von "0"), und wann das geschieht, hängt ab von der Stelle, an der der Parameter in der Befehlszeile steht. Das informiert Benutzer, die sich im Nachhinein mit dem Log auseinandersetzen, darüber, welche simulierte Reaktion auf die unterdrückten Meldungs- und Dialogfenster gesendet wurde.

  • Strg+Alt kann intern nun von Alt Gr unterschieden werden und steht als Basis-Tastenkombination für benutzerdefinierte Tastenkürzel zur Verfügung.

  • Die Funktion XWF_OutputMessage der X-Tension API unterstützt nun ein Flag, die die Ausgabe der Nachricht in das Fallprotokoll statt ins Nachrichtenfenster erlaubt.

  • 3-stufige Kontrollkästchen haben nun die kennzeichnende hochgestellte 3 links neben dem Kästchen statt rechts vom zugeordneten mehr oder weniger langen Text, was aufgeräumter aussieht.

  • Benutzer können nun ihre eigenen Tooltips definieren für vier Arten von Steuerelementen: Kontrollkästchen, Radioschalter, herunterklappbare Listen und gewöhnliche Schalter (außer "OK", "Abbrechen" und "Hilfe"). Das ist möglich, indem Sie solche Elemente bei gedrückt gehaltener Umschalttaste anklicken, und nützlich für individuelle Notizen und Ideen, so daß Sie Ihre bevorzugten Einstellung für verschiedene Situationen und ihre Bedeutungen beschreiben und sich daran besser erinnern können. Die Tooltip-Texte werden in einer Datei namens Tooltips.txt gespeichert und können auch mit anderen Benutzern ausgetauscht werden, z. B. innerhalb einer Organisation, um Ihre Kollegen darauf aufmerksam zu machen, welche Einstellungen gemäß den bei Ihnen definierten Konventionen verwendet werden sollen. Tooltip-Texte werden in Unicode gespeichert, dürfen bis zu 510 Zeichen lang sein und können zu Formatierungszwecken Zeilenumbrüche enthalten. Anhand eines grauen Sternchens links können Sie erkennen, daß für ein bestimmtes Steuerelement ein benutzerdefinierter Tooltip verfügbar ist. Ein Beispiel ist voreingestellt.

  • Die IUK-Forensik des LKA Rheinland-Pfalz hat dankenswerter- und freundlicherweise eine Datei bereitgestellt, in der deutschsprachige Erklärungen für die mächtigen 3-stufigen Kontrollkästchen hinterlegt sind. Diese können Sie als Benutzer von X-Ways Forensics oder X-Ways Investigator bei Interesse komplett übernehmen. Sie finden sie im Bereich "Zusätzliche Downloads" (s. Lizenzstatus-E-Mail). Bitte beachten Sie, daß die Datei in "Tooltips.txt" umbenannt werden muß, damit sie vom Programm gefunden wird.

  • Das Ändern der Einstellung für ein fallspezifisches Temp-Verzeichnis hat nun sofort Auswirkungen.

  • Zeichen, die in Dateinamen in Windows unzulässig sind, bleiben in Namen von Berichtstabellen nun auch im Modus "Arbeitsteilige Auswertung oder verteilte Erweiterung der Datei-Überblicke" erhalten.

  • Unzählige kleinere Verbesserungen.

  • Benutzerhandbuch und Programmhilfe für v19.4 aktualisiert.


Netzwerk-Dongle-Paket

  • Die Readme-Datei von X-Ways enthält nun einen Hinweis darauf, daß die Angabe der IP-Adresse des Rechners mit dem Netzwerk-Dongle wahrscheinlich zwingend erforderlich ist, wenn sich dieser Rechner in einem anderen Subnet befindet.

  • Ein Tool namens NrMon.exe ist jetzt enthalten, das vom Hersteller entwickelt wurde, um die Aktivitäten aller NetROCKEY4ND-Gerält im Netzwerk zu überwachen.

  • Einige unformatierte Textauszüge aus dem vom Hersteller bereitgestellten Benutzerleitfaden über .ini-Dateien, Dienstprogramme und das Überwachungsprogramm sind nun enthalten (ohne die Bildschirmfotos).


Änderungen der Service-Releases von v19.3

  • SR-1: Fixed an exception error that could occur when Canon zoom browser Thumbnail.info files were processed.

  • SR-1: RVS processing of files that are embedded in other files was not always completely done. That was fixed.

  • SR-1: Ability to detect newer versions of Wine under Linux as the operating system.

  • SR-1: Some improvements for execution in Wine under Linux.

  • SR-1: Prevented division by zero exception in v19.3 when running a file header signature search in uninterpreted lose files.

  • SR-1: Fixed an exception error that could occur with certain settings when producing thumbnails of non-picture files for the report.

  • SR-1: More debug information output for certain errors.

  • SR-1: Some minor improvements and fixes.

  • SR-2: More generator signatures defined.

  • SR-2: Ability to add images to an existing case through the command line. The first parameter for that is the path of the .xfc case file, and the next parameter is the usual AddImage command.

  • SR-2: The program no longer suggests to subscribe to the newsletter if run with command line parameters.

  • SR-2: Fixed an error that could occur in v19.3 when carving files in Ext2/Ext3 volumes.

  • SR-2: Some document excerpts were not extracted from the Windows.edb database correctly any more. That was fixed.

  • SR-3: Fixed potential error messages about failing to write into a file when processing SQLite databases.

  • SR-3: Fixed "... is an invalid character" error message during the particularly thorough file system data structure search in NTFS volumes in v19.3 for users with special regionally preferred digit grouping characters such as a non-breaking space.

  • SR-3: In v19.3, particularly thorough file system data structure searches for FILE records failed with an exception error on volumes whose treatment as NTFS the user had to force for example because they were reformatted with another file system. That was fixed.

  • SR-3: The internal marking of carved files changes with this service release, for future compatibility with v19.4, so older versions or releases will not describe carved files as carved files when they load volume snapshots previously opened or created by this release.

  • SR-3: X-Tension API: XWF_GetItemInformation with XWF_ITEM_INFO_DELETION now returns 5 instead 1 for carved files.

  • SR-4: Ability to open Linux block devices with Tools | Open Disk under Wine. Internally this requires interpretation of the files as disks, just like with raw image files, and thus works only in WinHex with a specialist license, WinHex Lab Edition, X-Ways Investigator and X-Ways Forensics. The device storage capacity is determined automatically, the sector size not necessarily.

  • SR-4: Creating report table associations based on matching hash sets did not work on multiple files in v19.3 if no second hash database existed. That was fixed.

  • SR-4: Fixed an exception error that could occur when processing TAR archives.

  • SR-4: The investigator.ini file had no effect in X-Ways Investigator v19.2 and v19.3. That was fixed.

  • SR-4: Improved stability when handling certain picture files.

  • SR-4: Improved ability to display GIF pictures with special header extensions.

  • SR-4: Prevented a handle leak in message boxes resulting from an error in Windows API functions that deal with icons.

  • SR-5: The preview of an SQLite database file now reliably shows the human readable representation in HTML format, if available, instead of potentially one of the other child object of that database.

  • SR-5: More reliable identification of Skype chat databases for adequate processing.

  • SR-5: Superimposition now has an effect on a partition again if the superimposition was applied to that partition directly instead of to the disk from within which the partition has been opened.

  • SR-5: Under very specific circumstances, files stored in Ext4 file systems were opened as corrupted despite being intact. The areas affected would have been displayed as sequences of binary zeroes. This was fixed.

  • SR-5: Simultaneous search: GREP set syntax (square brackets) now works in conjunction with the "MS Outlook cipher based on UTF-16" code page.

  • SR-5: In HFS+ volumes with many extended attributes not all of them were parsed. That was fixed.

  • SR-5: Fixed an infinite loop that could occur when parsing certain decompressed hiberfil.sys files.

  • SR-5: Fixed an error that could occur in v19.3 when splitting up report tables in the case report into multiple HTML file segments.

  • SR-6: Ability to extract files from GZ archives that are larger than 4 GB.

  • SR-6: Matching hash values against hash databases as part of volume snapshot refinement did not work when triggered through the command line. That was fixed.

  • SR-6: Fixed an exception error and instability that could occur with corrupt PST files.

  • SR-6: Fixed a problem with EDB processing.

  • SR-7: Removed size limitation for file carving within files.

  • SR-7: Prevented filename conflicts and potential loss of report table associations in shared analysis work mode.

  • SR-7: Deactivating the FlexFilters after they were both active and combined with a logical OR rendered filtering non-functional. That was fixed.

  • SR-7: Fixed an error in conversion from binary to Intel Hex and Motorola S format that existed since v18.9.

  • SR-7: Internal functioning of the Tools | Compare command improved.

  • SR-7: Ability to fully decompress some compressed files in HFS+ that could not be fully decompressed previously.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

  
#155: WinHex, X-Ways Forensics und X-Ways Investigator 19.3 veröffentlicht

16. Juni 2017

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.3. Erscheinungsdatum war der 14. Juni 2017. (Die Übersetzung ist ganz schön zeitaufwendig.)

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihre Update-Berechtigung oder Lizenz abgelaufen ist, erhalten von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Ja, wirklich.


Schulungstermine

Köln, 20.-23. Juni
Köln, 9.-12. Oktober
Termine im Ausland

Wenn wir Sie über weitere Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein.


Was ist neu in v19.3?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateisystem-Unterstützung

  • Wenn die Datei-Header-Signatur-Suche in Volumes mit einem unterstützten Dateisystem außer Ext2/Ext3 den Anfang einer Datei im freien Speicher findet, an einer Cluster-Grenze, wird nun standardmäßig angenommen, daß die zugehörigen Daten um potentiell folgende im Dateisystem als belegt markierte (allozierte) Cluster umfließen. Diese Vorgehensweise rekonstruiert Dateien korrekt, die zeitlich nach anderen Dateien und um diese herum gespeichert wurden, und dann gelöscht wurden, sofern die dabei freigegebenen Cluster anschließend nicht nochmal wiederverwendet und überschrieben wurde. Um dieses neue Verhalten zu verhindern, also dasselbe Verhalten wie in früheren Versionen zu erzielen, können Sie die neue Option „Dateien in freien Clustern allokationsavers ausgliedern“ abwählen.  Diese Option greift nur in dem Moment, in dem Dateien dem Datei-Überblick hinzugefügt werden, nicht rückwirkend für bereits zuvor hinzugefügt Dateien. Dateien, die auf diese Weise rein aus freiem Speicher ausgegliedert wurden, behalten ihren beim Hinzufügen zum Datei-Überblick vermuteten Speicherort bei, auch wenn der Status dieser Option nachträglich (beim nächsten Durchlauf) geändert wird. Allerdings verstehen ältere Versionen von X-Ways Forensics die neue Annahme über den Speicherort nicht und würden solche Dateien normal als zusammenhängend gespeicherte Dateien behandeln, wenn sie denselben Datei-Überblick laden.

  • Extras | Disk-Tools | Dateien retten nach Typ bietet dieselbe neue Cluster-Zuweisungslogik an.

  • Wenn die Dateisignaturdefinition mit dem stark gierigen Flag  (großes "G") versehen wurde, wird nur das erste Teilstück/Fragment einer allokationsavers ausgegliederten Datei im Fortgang der Datei-Header-Signatur-Suche übersprungen. Das "h"-Flag für den Ausschluß des Headers aus einer ausgegliederten Datei verhindert die Anwendung der neuen Logik für den jeweiligen Dateityp.

  • Dieselbe Cluster-Zuweisungslogik, die belegte Cluster umschifft, wird nun standardmäßig auch angewandt auf gelöschte Dateien in Datei-Überblicken der Dateisysteme FAT12, FAT16, FAT32 und exFAT, sofern nicht unter Optionen | Datei-Überblick ausgeschaltet. Das bedeutet, daß die Daten von gelöschten Dateien in FAT nicht mehr immer als physisch zusammenhängend angenommen werden, sondern es wird angenommen, daß so viele freie Cluster vom Anfangscluster an zugehörig sind wie nötig, um die bekannte Dateigröße zu unterfüttern, wobei die im Dateisystem als von anderen Dateien belegt markierte Cluster übersprungen werden. Wenn dabei das Ende des Volumes erreicht wird, wird der nächste freie Cluster vom Anfang des Volumes an gesehen als nächstes zugeordnet. Dies ahmt die in typischen FAT32-Dateisystemtreibern eingebaute Logik nach, die bei der Suche nach belegbaren Clustern durch ein Volume rotieren und sich dazu sogar über längere Zeiträume hinweg den zuletzt belegten Cluster merken. Diese Option des Datei-Überblicks ändert auch rückwirkend die Annahme über den Speicherort von bereits im Datei-Überblick enthaltenen gelöschten Dateien, so daß eine Änderung des Status dieser Option auch eine Änderung des Hash-Werte betroffener Dateien mit sich bringt, sofern diese neu berechnet werden.

  • Deutlich verbesserte Fähigkeit, gelöschte Dateien und Unterverzeichnisse in FAT32-Volumes korrekt wiederherzustellen (den Anfangscluster betreffend, nur in neu eingelesenen Datei-Überblicken).

  • Der Datei-Modus bietet nun einen "rohen" Untermodus für NTFS-komprimierte Dateien an. In diesem Roh-Modus können Sie die tatsächlichen komprimierten Daten incl. Sparse-Cluster sehen, genau wie laut Dateisystem gespeichert, nicht den dekomprimierten Zustand der Datei. Das kann nützlich sein für Forschungs- und Lernzwecke und weil theoretisch kleine Mengen von Daten manuell in den in ihrer Größe nicht explizit definierten, aber implizit existierenden Schlupfbereichen jeder einzelnen Kompressionseinheit versteckt worden sein könnten, im Anschluß an die jeweiligen komprimierten Nutzdaten.

  • Die Anzahl der Fehlerkennungen bei der Suche nach gelöschten Ext3-/Ext4-Partitionen wurde deutlich gesenkt.

  • Die interne Funktionsweise des Befehls "Cluster auflisten" im Verzeichnis-Browser-Kontextmenü würde grundlegend überarbeitet. Der Befehl kann nun auch auf einige "exotischere" Objekte angewandt werden, die bisher nicht dafür geeignet waren, darunter bestimmte eingebettete Dateien, bestimmte Dateisystembereiche und aus Sektoren ausgegliederte Dateien, um deren vom Programm angenommenen Speicherort besser nachvollziehen zu können, gerade auch im Hinblick auf die Wirkung der zuvor erwähnten neuen Optionen für die Cluster-Zuweisung. Der Befehl gibt automatisch Sektor- statt Cluster-Nummern aus für Objekte, die nicht an Cluster-Grenzen ausgerichtet sind. Er gibt die Gesamtzahl von Clustern und Sektoren nun auch dann aus, wenn zusammenhängende Cluster-Abschnitte in der optionalen kompakten Darstellungsweise ausgegeben werden. Wenn sie in eine Textdatei exportiert werden, wird die Textdatei nun im Anschluß automatisch in bevorzugten Texteditor geöffnet.

  • Die Datei-Überblicks-Optionen sind nun klarer strukturiert und aufgeteilt in dateisystemspezifische Einstellungen und dateisystemunabhängige Einstellungen.

  • Es gibt eine neue Datei-Überblicks-Option, die dafür sorgt, daß X-Ways Forensics etwaige nicht initialisierte Bereiche am Ende von Dateien (wenn die sog. gültige Datenlänge kleiner ist als die logische Dateigröße) in Form von binären Nullen liest anstelle der Daten, die in den tatsächlich belegten Clustern gespeichert sind. Das ahmt das Verhalten von Windows nach, wenn gewöhnliche Wald-und-Wiesen-Programme (d. h. nicht auf Sektorebene operierende Computerforensik-Programme) Dateien über das Betriebssystem öffnen und lesen statt direkt aus den Sektoren des Datenträgers. Nützlich z. B., um Hash-Kompatibilität mit solchen anderen Programmen zu erreichen. Diese neue Option hat wohlgemerkt ausdrücklich keine Auswirkung auf die Leseoperationen für die logische Suche, so daß die logische Suche weiterhin mit forensischer Gründlichkeit arbeitet, d. h. belegte, aber nicht initialisierte Cluster weiterhin durchsucht und nicht etwa ausläßt. Diese Optionen hat eine sofortige Wirkung auch auf bereits geöffnete Dateien, ab der nächsten Leseoperation.

Dateiformat-Unterstützung

  • Der Detailsmodus für JPEG-Dateien zeigt nun eine zusätzliche Tabelle ganz unten an. Diese Tabelle enthält die Generatorsignatur sowie wie die Verfassung ("condition") der Datei. Diese kann entweder "incomplete" sein (wenn die Datei abgeschnitten wurde) oder "trailing data" (wenn überschüssige Daten hinter dem Ende der JPEG-Daten zu finden sind) oder in einigen Fällen "original" (wenn eine Datei mit großer Sicherheit in einem unberührten Zustand vorliegt). "Original" basiert auf der Anwesenheit von Thumbnails, der Abwesenheit von Farbkorrekturzertifikaten, dem Nichtvorhandensein von nicht-ursprünglichen Metadaten wie XMP, Zeitstempeln, der Abwesenheit von Hinterlassenschaften (Artefakten) bekannter Bildbearbeitungsprogramme und der Abwesenheit der Erkennung einer Bildgrößenänderung.

  • Verbesserte Erkennung von eingescannten Bildern als solche. Die Liste von Modellbezeichnungen bekannter Scanner kann manuell erweitert werden im Abschnitt "KnownScanner" der Datei "Generator Signatures.txt". Die Einbeziehung des Modellnamens kann eine Erkennung von Bildern verbessern, wenn diese Exif-Daten enthalten oder bearbeitet wurden. Generell basiert die Erkennung auf 1. Generatorsignatur, 2. allgemeinen Eigenschaften der Exif-Daten (FileSource, Density, ...) und 3. der KnownScanner-Liste.

  • Verbesserte Erkennung von Bildschirmfotos im JPEG-Format.

  • Erkennung von JPEG-Dateien, die von Twitter erzeugt wurden, basierend auf ihrer Generatorsignatur.

  • Das Testen von Paßwörtern in der Paßwortsammlung für die Erkundung verschlüsselter Datei-Archive ist jetzt gründlicher, so daß einige seltene bisher zu Unrecht für korrekt erachtete Paßwörter jetzt nicht mehr zu vermeintlichen Treffern führen.

  • Ein seltener Ausnahmefehler wurde behoben, der im Zusammenhang mit verschlüsselten RAR-Archiven auftreten konnte. Ein weiterer seltener Ausnahmefehler bei der Behandlung von Datei-Archiven wurde behoben.

  • RAR-Hybrid-Dateien erhalten nun automatisch ein Unterobjekt namens "Trailing data", so daß keine Anstrengung auf Seiten des Benutzers erforderlich ist, um auf die versteckten Daten zuzugreifen.

  • Es werden nun eingebettete Daten in einigen weiteren .vcf-Dateien gefunden.

  • Ein neuer Carving-Algorithmus mit der Nummer ~109 wurde für die Wiederherstellung von Blu-ray-Videos eingebaut.

  • Die Signatur von Google Analytics wurde von der Rubrik "Special Interest" verschoben nach "Internet", da sie sich als recht nützlich erwiesen haben zum Sammeln von Web-Browsing-Ereignissen.

  • Die Beschreibungspalte von Ereignissen der Art UserAssist-Programmausführung enthält nun den Klartext nach ROT13-Decodierung.

  • Fähigkeit, Image-Dateien innerhalb von TAR-Archiven als Datenträger zu interpretieren, ohne diese zuerst herauskopieren/extrahieren zu müssen. Das ist hilfreich für VMDK-Images (Festplatten in virtuellen Maschinen) in OVA-Dateien (Open Virtualization Archives im TAR-Format).

  • Fähigkeit, Metadaten aus einigen neuen PDF-Formatvarianten zu extrahieren. Die PDF-Metadaten-Extraktion wurde generell überarbeitet.

  • Das Präfix "Reporting::" wurde in den Generatorsignatur-Definitionen eingefügt, so daß man leichter filtern kann nach PDF-Dateien, die erkennbar Berichts- oder Abrechnungszwecken dienen (Kontoauszüge, Kreditkartenabrechnungen u. ä.).

  • Erkennung von eingescannten PDF-Dokumenten als solche weiter verbessert.

  • Unterschiedliche Empfängerarten von E-Mails (To:, Cc: und Bcc:, sofern vorhanden) werden nun klarer voneinander getrennt dargestellt, in der Empfängerspalte und in der alternativen .eml-Vorschau.

  • Empfänger der Arten Cc: und Bcc: werden nun auch für MSG-E-Mail-Dateien von To:-Empfängern unterschieden.

Zeitstempel

  • In den Eigenschaften von Asservaten mit einem FAT-Dateisystem können Sie nun auf Wunsch definieren, welche Zeitzone den in Ortszeit gespeicherten Zeitstempeln in dem jeweiligen Dateisystem zugrundeliegt, sofern Sie davon eine konkrete Vorstellung haben. Die Zeitzone hängt ab von den Einstellungen in dem Computer oder Gerät, der/das in das Dateisystem geschrieben hat. (Bedenken Sie, daß solche Einstellungen sich im Laufe der Zeit ändern können und eine einzige Zeitzone u. U. nicht ausreicht, um alle Zeitstempel korrekt darzustellen.) Wenn Sie den Zeitzonenbezug definieren, werden Zeitstempel aus der Dateisystemebene gemäß der gewählten Anzeigezeitzone dargestellt und nicht mehr basierend auf ihrer ursprünglichen Zeitzone. Sie werden intern von Ortzeit nach UTC umgerechnet (gemäß dem von Ihnen angegebenen Zeitzonenbezug) und dann von UTC in die Anzeigezeitzone. Dies geschieht dynamisch in dem Augenblick, in dem die Zeitstempel angezeigt werden. Die Wirkung ist nicht dauerhaft; die Einstellungen zum Zeitzonenbezug können jederzeit wieder geändert werden. Die Definition eines Zeitzonenbezugs geht verloren, wenn ein Fall in Versionen vor v19.3 geöffnet werden.

  • Beim Kopieren von Dateien aus FAT-Dateisystemen in einen Datei-Container werden die direkt aus dem Dateisystem stammenden Zeitstempel gekennzeichnet als auf einer unbekannten lokalen Zeitzone basierend, so daß sie nicht umgerechnet werden in eine bestimmte Anzeigezeitzone, wenn den Container jemand in der Zukunft begutachtet. Wenn Sie hingegen sicher sind, welches die ursprüngliche Zeitzone war und dies als Zeitzonenbezug im Quellasservat definieren, werden die Zeitstempel darauf basierend für die Ablage im Container nach UTC umgerechnet und im Container permanent als UTC-Zeitstempel gekennzeichnet. In diesem Zustand werden die Zeitstempel später je nach gewählter Anzeigezeitzone bei der Darstellung auf dem Bildschirm umgerechnet, auch wenn Sie später Ihrer Meinung revidieren sollten und im Quellasservat den Zeitzonenbezug wieder ändern. Denn der Datei-Container ist in sich abgeschlossen und hat keine aktive Verbindung mehr zum Quellasservat, sobald die Dateien kopiert wurden.

  • Der rechts neben Zeitstempeln im Verzeichnis-Browser angezeigte Hinweis zur Umrechnung von UTC in die Anzeige-Zeitzone (die Anzahl der zu UTC addierten oder von UTC subtrahierten Stunden) ist nun im Tooltip dieser Zellen enthalten.

  • Die Konsistenz der Zeitstempeldarstellung und die Unicode-Fähigkeit der Notation wurde an einigen wenigen Stellen in der Benutzeroberfläche und im Fallbericht und Fallprotokoll verbessert.

  • Da die Anzahl der vom Kalender darstellbaren Jahre begrenzt ist, könnten kaputte Zeitstempel, die in der fernen Vergangenheit liegen, Sie der Möglichkeit berauben, die späteren Jahre, die Sie wirklich interessieren, zu sehen. wenn Sie keinen Filter setzen und Ereignisse mit Nonsens-Zeitstempeln nicht kurzerhand löschen. Es läßt sich aber nun auch ein Mindestjahr einstellen, ab dem Zeitstempel vom Kalender dargestellt werden. Alle früheren Zeitstempel werden dann vom Kalender ignoriert, selbst wenn kein Filter aktiv ist. Standardmäßig ist das Mindestjahr das Jahr 2000. Um das zu ändern, klicken Sie die Jahreszahl des ersten angezeigten Jahres links im Kalendermodus an.

  • Der Daten-Dolmetscher und Schablonen können nun FILETIME-Zeitstempel mit einer Genauigkeit von Millisekunden anzeigen und auch ändern, in Abhängigkeit der Einstellung in Optionen | Notation.

  • Zeitstempel von Dateien aus Verzeichnis-Auflistungen des Betriebssystems (im Programm kurz als Pseudodateisystem „OS dir list“ benannt), incl. solche zu entfernten Netzlaufwerken, werden nun auch mit höherer Genauigkeit angezeigt.

  • Anzeige von internen Erzeugungszeitstempeln im Verzeichnis-Browser mit Millisekunden-Genauigkeit, sofern verfügbar.

Suche

  • Die Option „Nur ganze Wörter” der Parallelen Suche funktioniert mit einem benutzerdefinierten Alphabet von Zeichen, aus denen Wörter in der Sprache des Benutzers zusammengesetzt sind, um zu erkennen, was ein Wort ist und wo dessen Grenzen liegen. In früheren Versionen wurde nur ein Alphabet mit Zeichen aus der Codepage Lateinisch I unterstützt (für alle westeuropäischen Sprachen). Jetzt kann ein weiteres Alphabet definiert werden für Buchstaben bestimmter anderer Sprachen. Wenn aktiviert, wird dieses Alphabet angewandt auf Suchen in UTF-16 und Suchen in regionalen ANSI/OEM/IBM/ISO/Mac-Codepages mit 1 Byte pro Zeichen wie Kyrillisch, Griechisch, Türkisch, Arabisch, Hebräisch, Vietnamesich und diverse mittel-, ost- und südosteuropäischen Sprachen. Das kyrillische Alphabet ist dabei vordefiniert und umfaßt gleichzeitig sowohl die in Rußland als auch die in der Ukraine gängigen Buchstaben.

  • Möglichkeit, Wörter zu indexieren, die Zeichen mit besonderer GREP-Bedeutung enthalten, wie #.?()[]{}\*, ohne sie zu maskieren, sowohl mit dem "range:"-Präfix als auch ohne.

  • Manuelle Verlagerungen und Größenänderungen von Suchtreffern (manchmal benötigt für technische Suchen nach Datensatzsignaturen o. ä., eher nicht für Suchtreffer zu natürlichsprachlichen Stichwörtern) über das Kontextmenü dürfen jetzt 32.767 Bytes überschreiten (bis zu 2.147.483.647 in beide Richtungen unterstützt). Was einen damit verwandten Befehl im Verzeichnis-Browser-Kontextmenü  betrifft, die Größe von aus Sektoren ausgegliederten Dateien kann nun manuell als absolute Zahl angegeben werden statt zuvor nur als relative Änderung der bisherigen Größe. Die maximale Größe dabei beträgt 4.294.967.295 Bytes.

  • Möglichkeit, die einfachen Suchfunktionen „Text suchen“ und „Hex-Werte suchen“ mit der Option „Treffer auflisten“ im Datei-Modus auch in Asservaten zu verwenden. Die Suchtreffer werden dabei im allgemeinen Positionsmanager gesammelt.

  • Suchtreffer im allgemeinen Positionmanager werden nun optional und standardmäßig gelöscht, sobald der Positionsmanager geschlossen wird, um Verwirrung vorzubeugen, da Positionen im allgemeinen Positionsmanager keinen Bezug zu einer bestimmten Datei oder einem bestimmten Datenträger haben, sondern bewußt jeglicher Datenquelle übergestülpt werden, auf die der Benutzer sie anwendet. Diese neue Option kann im Kontextmenü des Positionsmanagers gefunden werden.

X-Tensions API

  • The XWF_GetItemType function now allows to find out the detected file format consistency for a file.

  • The XWF_ShouldStop function now does not only check whether the user wishes to abort lengthy operations, it also helps to keep the GUI responsive when the X-Tension is not executed in a separate worker thread. Calling this function regularly will process mouse and keyboard input, allow the windows to redraw etc. The user realizes that the application is not hanging, and potential attempts of the user to close the progress indicator window will be noticed. Even if you ignore the result of this function call during lengthy operations conducted by your X-Tension, you are doing something good already by making the calls in the first place.

  • The X-Tension function XWF_CreateEvObj can now add multiple image files to the case with a single function call.

  • New X-Tensions API function XWF_GetHashSetAssocs. Retrieves the name(s) of the hash set(s) that the specified file is associated with.

Tastenkürzel

  • Es ist jetzt möglich, bis zu 20 benutzerdefinierte Tastenkombinationen festzulegen für Befehle im Kontextmenü des Verzeichnis-Browser und viele sonstige Befehle, in einem Dialogfenster, das über Optionen | Verzeichnis-Browser zugänglich ist. Derzeit nur in X-Ways Forensics verfügbar. Die Tastenkürzel sollen Ihre Produktivität bei immer wiederkehrenden Standardaktivitäten erhöhen. Nur Tastenkombinationen mit den Tasten Strg, Alt Gr, Umschalt und Leertaste sind hierbei möglich. Bitte beachten Sie: Wenn Sie die Leertaste für irgendeine Tastenkombination als Basis festgelegt haben, kann sie nicht mehr zum Markieren oder Entmarkieren von Objekten im Verzeichnis-Browser verwendet werden. Die jeweils zweite Taste kann relativ frei gewählt werden, indem Sie sie einfach dann drücken, wenn das ausgegraute Editierfeld den Eingabefokus hat. Falls für die Taste Ihrer Wahl keine menschenlesbare Beschreibung angezeigt wird und Sie später vergessen, welche Taste Sie sich überhaupt ausgesucht hatten, können Sie den hexadezimalen Tastaturcode für die Taste immer noch hier nachschlagen: https://msdn.microsoft.com/en-us/library/windows/desktop/dd375731(v=vs.85).aspx

    Die folgenden rd. 80 Codes für Befehle im Kontextmenü des Verzeichnis-Browsers kommen theoretisch in Frage (nicht alle wurden getestet) und können als Zahl eingegeben werden:

    9800: Mit externem Viewer-Programm Nr. 1 einsehen
    9801: Mit externem Viewer-Programm Nr. 2 einsehen
    9802: Mit externem Viewer-Programm Nr. 3 einsehen
    ...
    9831: Mit externem Viewer-Programm Nr. 32 einsehen

    9919: Dateityp definieren
    9920: Zugehörige Datei aufsuchen
    9921: Datei-Überblick für ausgewählte Dateien erweitern
    9927: X-Tension auf ausgewählte Dateien anwenden
    9928: Externe Datei anhängen
    9931: Metadaten editieren
    9932: Datei von ihrem Elternverzeichnis aus erkundet sehen
    9933: Datei vom Stammverzeichnis aus erkundet sehen
    9934: Elternobjekt aufsuchen
    9935: Logische Suche in ausgewählten Dateien
    9937: Externes Verzeichnis anhängen
    9938: Sicher löschen
    9939: Suchtrefferliste in Richtung eines bestimmten Verzeichnisses verlassen
    9940: Doppelte Treffer in der Liste löschen
    9941: Ausgeblendete Objekte auswählen
    9942: Kommentar bearbeiten
    9944: Einblenden
    9945: Markierte Objekte auswählen
    9946: Alle außer markierte Objekte ausblenden
    9947: Markierte Objekte ausblenden
    9948: Zum Container bzw. zur Minimalsicherung hinzufügen
    9949: Suchtreffer vergrößern
    9950: Suchtreffer verwandeln in aus Sektoren ausgegliederte Datei
    9951: Ausgliederte und virtuelle Dateien vergrößern
    9952: Suchtreffer einem anderen Suchbegriff zuordnen
    9953: Fortlaufende Video-Einzelbildern extrahieren
    9954: Suchtreffer in Bericht aufnehmen
    9955: Als Laufwerksbuchstabe einbinden (ergibt nur einen Sinn, wenn genau ein Verzeichnis ausgewählt ist)
    9956: Mit bevorzugtem Video-Abspielprogramm ansehen
    9957: Mit bevorzugtem HTML-Einsehprogramm einsehen
    9958: Mit bevorzugtem Texteditor einsehen
    9959: Mit dem in Windows verknüpften Programm öffnen
    9960: Eingesehene Objekte auswählen
    9961: Mit einem noch zu bestimmenden externen Programm einsehen
    9962: Anhand von Hash-Werten erkannte Duplikate entfernen
    9963: Objekt anhand von interner ID aufsuchen
    9964: Nach Relevanz sortieren
    9965: Drucken
    9966: Listeneintrag anhand von Positionsnummer aufsuchen
    9967: Nicht sortieren
    9968: Alles auswählen
    9969: Nach dem Hash-Wert der ausgewählten Datei filtern (um Duplikate zu finden)
    9971: Erkunden
    9972: Suchtreffer als wichtig kennzeichnen
    9973: Öffnen
    9974: Zur definierenden Datenstruktur navigieren
    9975: Liste exportieren
    9976: Cluster auflisten
    9977: Wiederherstellen/Kopieren
    9978: Erkunden/Einsehen
    9979: Auswahl umkehren
    9980: In Hash-Datenbank aufnehmen

    Es fallen Ihnen vielleicht einige verdächtige Lücken unter den fortlaufenden Nummern auf. Die fehlenden Nummern sind entweder undefiniert, der Aufruf des Befehls ist nicht empfehlenswert, oder die Nummern sind einfach nicht sinnvoll für benutzerdefinierte Tastenkürzel. Als Beispiel für letzteres mag der Befehl mit dem Code 9929 dienen. Dieser löscht einfach ausgewählte Suchtreffer oder Ereignisse, was natürlich bereits viel naheliegender durch Drücken der Entf-Taste erreicht werden kann. Diese Information soll ein ggf. bestehendes Bedürfnis auf Benutzerseite reduzieren, wahllos irgendwelche hier nicht genannten Nummern einfach blind auszuprobieren. Sollte dabei aber jemand auf die sagenumwobene Funktion „Alle Beweise finden“ stoßen, möge er oder sie sich aber bitte melden.

    Bitte beachten Sie noch, daß Sie auch ohne das Festlegen solcher Tastenkombinationen das Kontextmenü des Verzeichnis-Browsers rein mit der Tastatur erreichen können, indem Sie die Kontextmenü-Taste drücken. (Kann normalerweise zwischen der rechten Windows-Taste und der rechten Strg-Taste gefunden werden.) Und einige Menübefehle haben bereits von Haus aus eine zugehörige Tastenkombination. Z. B. ist das Drücken der Eingabetaste gleichbedeutend mit einem Doppelklick (entweder Einsehen oder Erkunden je nach Ihren Einstellungen). Die Multipliziertaste auf dem Zifferblock der Tastatur löst den Erkunden-Befehl aus. Entf bedeutet Ausblenden. Strg+Entf setzt Dateien auf den Zustand „noch von den Operationen der Datei-Überblicks-Erweiterung zu verarbeiten“ zurück und macht einige Erweiterungsoperationen rückgängig. Strg+Umsch+Entf entfernt Hash-Set-Treffer, Hash-Kategorie und PhotoDNA-Kategorisierung. Strg+Feststelltaste+Entf entfernt die Kennzeichnung als „Datei-Inhalt unbekannt“ einer Datei. (Das ist nützlich z. B. wenn wegen vorübergehender E/A-Probleme X-Ways Forensics einige Dateien so gekennzeichnet hat, obwohl die Dateien normalerweise einwandfrei gelesen werden können.) Strg+C kopiert die im Verzeichnis-Browser zu sehenden Angaben zu ausgewählten Objekte in die Zwischenablage unter Verwendung bestimmter Einstellungen des Dialogfensters zu „Liste exportieren“.

    Hauptmenü

    Benutzerdefinierte Tastenkürzel sollten außerdem in der Lage sein, praktisch alle Befehle des Hauptmenüs aufzurufen, und auch dann, wenn andere Teile der Benutzeroberfläche als der Verzeichnis-Browser den Eingabefokus haben. Wenn sich der Code eines Menübefehls in einer künftigen Version ändern sollte, stellt X-Ways Forensics sicher, daß Tastenkürzeldefinitionen, die diesen Code verwenden automatisch inaktiv werden, damit nicht versehentlich ggf. eine andere Funktion ausgelöst wird. Um die Befehlscodes des Hauptmenüs herauszufinden (oder anders ausgedrückt die IDs der Menüeinträge), können Sie die ausführbare Datei des Programms in einem sog. Ressourcen-Editor öffnen und die Menüressource in der von Ihnen verwendeten Sprache ansehen. Ein besonders empfehlenswertes leichtgewichtiges Tool für diesen Zweck ist "Pelles C for Windows", das gleichzeitig auch ein ordentlicher C-Compiler und eine komplette Entwicklungsumgebung ist, die sich zum Erstellen von X-Tensions eignet. Benutzerdefinierte Tastenkürzel für Befehle im Hauptmenü sollten weniger wichtig sein als solche für das Kontextmenü des Verzeichnis-Browsers, weil im Hauptmenü bereits sehr viele Tastenkürzel voreingestellt sind. Selbst wenn nicht für den von Ihnen favorisierten Befehl, können Sie ihn immer noch erreichen, ohne die Hände von der Tastatur zu nehmen, beginnend mit der Alt-Taste. Als Ideen für mögliche sinnvolle Anwendungen sei gesagt, daß Sie zwischen rekursiver und nichtrekursiver Erkundung mit dem Befehlscode 122 hin- und herwechseln können, und der Befehlscode zum Erzeugen eines neuen Datei-Überblicks ist 109.

    Befehlscodes für Filter
    (Die Reihenfolge ist historisch bedingt, so wurden die Filter nach und nach eingeführt.)

    9700: Name
    9701: Typ
    9702: Typstatus
    9703: Kategorie
    9704: Größe
    9705: Pfad
    9706: Absender
    9707: Empfänger
    9708: Zeitstempel
    9709: Attr
    9710: Hash 1
    9711: Hash-Set
    9712: Hash-Kategorie
    9713: Berichtstabelle
    9714: Kommentar
    9715: Metadaten
    9716: Analyse
    9717: Pixel
    9718: Int. ID
    9719: Eindeutige ID
    9720: Suchbegriffe
    9721: Besitzer
    9722: Elternname
    9723: Unterobjekte
    9724: ID
    9725: Autor
    9726: Suchtreffer-Beschreibung
    9727: Ereignnis-Zeitstempel
    9728: Ereignistyp
    9729: Ereignis-Beschreibung
    9730: Suchtreffer
    9731: Startsektor
    9732: Beschreibung
    9733: Hash 2
    9734: Vollpfad
    9735: Flex-Filter 1
    9736: Flex-Filter 2

    Befehlscodes für Modus-Schalter und verwandte Schalter

    122: Rekursive Erkunden
    138: Aufklappmenü des Zugriffsschalters
    172: Verzeichnis-Browser sichtbar machen bzw. verstecken
    186: Positionsmanager sichtbar machen bzw. verstecken
    223: Suchtrefferliste sichtbar machen bzw. verstecken
    224: Ereignisliste sichtbar machen bzw. verstecken
    225: Modus Disk/Partition/Volume/Container
    226: Datei-Modus
    227: Vorschau-Modus
    228: Details-Modus
    229: Galerie-Modus
    230: Kalender-Modus
    231: Legende
    232: Sync-Modus
    249: Roh-Vorschau-Modus
    250: Viewer X-Tension Vorschau-Modus

Automatisierung

  • Ein neuer Befehlszeilen-Parameter namens "Cfg:" wurde eingeführt, über den man den Namen der Konfigurationsdatei angeben kann, von der X-Ways Forensics bei Programmstart liest und in die es bei Programmende schreibt. Nützlich in Situationen, in denen eine andere Konfiguration als normalerweise zum Einsatz kommen soll (nicht die in der Datei WinHex.cfg). Insbes. wenn sie für eine automatisierte Ausführung andere Einstellungen brauchen, wahrscheinlich gezielt dafür voher definierte, mit bestimmten ausgewählten DÜE-Operationen, oder wenn Sie die Rückfrage, ob eine zweite Instanz gestartet werden soll,zwar normalerweise schätzen, aber nicht während einer automatisierten Ausführung, bietet sich dieser Parameter an. Ein solcher Parameter sieht beispielhaft so aus: "Cfg:Meine andere Einstellung.cfg". Die Anführungszeichen sind nur dann erforderlich, wenn der Dateiname Leerzeichen enthält. Die Maximallänge beträgt 31 Zeichen. Derzeit werden nun ANSI/ASCII-Zeichen unterstützt.

  • Die Textausgabe in Meldungsfenstern, die man manuell wegklicken muß, wird während der Abarbeitung der Befehlszeilen-Parameter "AddImage:" und "RVS:" nun umgeleitet in das Nachrichtenfenster, um den Vorgang nicht zu blockieren. Etwaige Dialogfenster hingegen werden normal angezeigt.

  • Der Befehlszeilen-Parameter AddImage: kann nun mehrere Image-Dateien auf einmal zum Fall hinzufügen, mit einem Sternchen im Dateinamen, etwa so: "AddImage:Z:\Meine Images\*.e01".

  • AddImage: unterstützt nun zwei optionale Unterparameter, um die Interpretation eines Images als entweder physischen, partitionierten Datenträger zu erzwingen (P) oder als logisches Volume (V) und um die Interpretation mit einer bestimmten Sektorgröße zu erzwingen, wobei die Sektorgröße optional ist, z. B. so:

    AddImage:#P#Z:\Images\*.dd
    AddImage:#P,4096#Z:\Images\*.dd

    Die Unterparameter werden von Rautezeichen umschlossen. Wenn Sie den Ausdruck mit den Rautezeichen ganz weglassen, so wie der AddImage-Parameter bisher funktionierte, könnte ein Dialogfenster erscheinen, das dem Benutzer eine manuelle Reaktion abnötigt, aber nur in ganz seltenen Fällen. Nur dann wenn es 1. für X-Ways Forensics nicht offensichtlich ist aus den Anfangssektoren, um was für eine Art von Image es sich handelt, wenn 2. das Image nicht von X-Ways Forensics oder X-Ways Imager erzeugt wurde und 3. das Image im Roh-Format vorliegt. Nur wenn alle drei Bedingungen zugleich erfüllt sind und Sie keine Unterparameter angeben, erscheint das Dialogfenster und unterbricht die Abarbeitung.

Benutzeroberfläche

  • Datei-Container haben im Falldatenfenster nun ein spezielles Icon zur besseren Erkennung.

  • Eine größere Schriftart in der Textspalte für UTF-16 sorgt für bessere Lesbarkeit insbes. von chinesischen Zeichen.

  • Einige seltene graphische Artefakte wurden vermieden in der Textspalte bei der Anzeige von Codepages mit einer variablen Anzahl von Bytes pro Zeichen.

  • Textdarstellungen von Dialogfenstern lassen nun standardmäßig nicht gewählte Einträge in Listenfenstern und nicht angekreuzte Kontrollkästchen und Radiobuttons einfach aus. Diese neue Option finden Sie in dem speziellen Menü beim Klick auf den unbeschrifteten Schalter in der oberen linken Ecke von Dialogfenstern. Sie beeinflußt auch die textuelle Übersicht über aktive Filter.

  • Das Infofenster wird jetzt Ausgabefenster genannt, weil das den Zweck des Fensters präziser beschreibt. Das Fenster hat jetzt seine eigene Bildschirmkoordinaten, braucht sie sich also nicht mehr mit dem Nachrichtenfenster teilen, wodurch es offenbar bisher manchmal übersehen wurde. Anfänglich ist es zentriert.

  • Ein neuer Menübefehl im Falldatenfenster ist verfügbar beim Rechtsklick auf den Falltitel. Er ermöglicht ein bequemes und komplette Einklappen des Fallbaum.

  • Aus Sektoren ausgegliederte Dateien sind als solche nun nicht mehr nur durch die Beschreibungsspalte eindeutig erkennbar, sondern auch durch ihre Icons, entweder mit einem stilisierten C (unter Windows 7, für englisch "carving") oder mit einem Hammer (unter Windows 10, da "carving" u. a. auch herausmeißeln bedeutet, leider nicht verfügbar unter Windows 7). Das tatsächlich verwendete Zeichen kann unter Optionen | Notation eingestellt werden. Dank der Identifizierung über das Icon erübrigt sich für einige Benutzer sicherlich das Benennen von ausgegliederten Dateien mit einem Präfix wie "Carved_".

  • Die Information, daß eine Datei ursprünglich eine aus Sektoren ausgegliederte Datei war, wird in Datei-Containern nun verewigt und in der Beschreibungsspalte sowie neuerdings wie gesagt im Icon auch beim Betrachten des Containers angezeigt.

  • Das optionale spezielle Datei-Icon für Bilder wird nun standardmäßig nicht mehr von weiteren Symbolen wie Fragezeichen, Scheren, Hämmern und was X-Ways Forensics sonst noch so alles einfällt überdeckt, so daß es klarer aussieht, weniger verwirrend. Sie können den exakten Löschzustand einer ehem. existierenden Bilddatei immer noch der Beschreibungsspalte entnehmen und den groben Zustand (existent oder nicht) noch am Kontrast des Icons. Wenn allerdings das Kontrollkästchen für die Spezialicons für Bilder nur halb angekreuzt ist, wird das Icon wie in früheren Versionen mit allen Details angezeigt.

  • Der Befehl zum Einsehen einer ausgewählten Datei mit einem noch zu bestimmenden externen Programm ruft nun den Standard-Windows-Dialog zur Auswahl eines solchen Programms auf.

  • Ob die Viewer-Komponente oder die interne Grafikanzeigebibliothek für Bilder zum Einsatz kommen soll, merkt sich X-Ways Forensics nun separat für den Vorschau-Modus und den Einsehen-Befehl. Für den Einsehen-Befehl hängt es ab von einer Einstellung unter Optionen | Viewer-Programme.

  • Wenn Sie es nicht erlauben, mehrere Bilder mit dem Einsehen-Befehl auf einmal einzusehen und wenn dabei die interne Grafikbibliothek zum Einsatz kommt, ist nun ein neues Kontrollkästchen namens "Auto-Update" unter Optionen | Viewer-Programme verfügbar. Wenn aktiv, wird das Bildanzeigefenster sofort aktualisiert, wenn ein neues Bild im Verzeichnis-Browser ausgewählt wird, auf welche Weise auch immer, z. B. mit einem einfachen Mausklick oder durch automatisches Fortschreiten zum nächsten Objekt in der Liste nach Erzeugen einer Berichtstabellenverknüpfung. Dieses Verhalten war zuvor beschränkt auf die Pfeiltaste in der Galerie. Es sollte hauptsächlich für die Arbeit mit mehreren Bildschirmen nützlich sein.

  • Die italienische Übersetzung wurde aktualisiert.

Diverses

  • FlexFilter unterscheiden nun optional zwischen Groß- und Kleinschreibung. Wenn diese Unterscheidung gemacht wird, sind Such- und Vergleichsoperationen  immer etwas schneller. Daher sollte die Schreibweise immer unterschieden werden, es sei denn, man muß wirklich beide Varianten finden können.

  • Die Statistiken im Aufklappmenü der Kategoriespalte bleiben nun auch beim Aktivieren des Kategoriefilters verfügbar.

  • Die blauen Trichtersymbole auf beiden Seiten der Überschriftszeile des Verzeichnis-Browsers sind nun immer gegenwärtig, wenn Filter aktiv sind, auch wenn gerade keine Objekte tatsächlich herausgefiltert werden.

  • Eine streng byteweise Berechnung von Prüfsummen auf mehreren Byte großen Akkumulatoren war der Standard in v18.9 und davor. Dieses Verhalten ist nun wieder optional verfügbar unter Optionen | Sicherheit. Die neue Variante besteht darin, solche Prüfsummen durch Addieren von Einheiten zu berechnen, die genauso groß sind wie der Akkumulator selbst, also z. B. 4 Bytes bei 32-Bit-Prüfsummen. Beide Berechnungsmöglichkeiten kommen in realen Anwendungen tatsächlich vor.

  • Wiederherstellen/Kopieren: Der Name der Protokolldatei kann nun frei gewählt werden, wenn diese Datei im Ausgabeverzeichnis erzeugt wird (und nicht im _log-Unterverzeichnis des Falls). Das könnten Sie nützlich finden, wenn Sie mehrere Kopierdurchläufe für unterschiedliche Zwecke oder unterschiedliche Empfänger hintereinander starten, um dafür jeweils  eine separate Protokolldatei mit allen nötigen Details zu erhalten, die Sie weitergeben können.

  • Liste exportieren: Die Einheit für die Größe des Suchtrefferkontextes ist nun korrekt mit Zeichen statt Bytes bezeichnet.

  • Möglichkeit, plattenübergreifende LVM2-Volumes zu öffnen auch dann, wenn die andere Platte fehlt. Dann sind die verfügbaren Daten natürlich unvollständig, aber trotzdem evtl. sehr hilfreich und natürlich besser als gar nichts.

  • Fähigkeit, ein Asservat, das ein Verzeichnis ist, auch dann zu öffnen, wenn das Verzeichnis gar nicht mehr existiert, um zumindest nochmal den Datei-Überblick in Augenschein nehmen zu können, mittels des Befehls "Öffnen (ohne Datenträger/Image)".

  • Wahnsinn, daß jemand tatsächlich alle Punkte in dieser langen Liste hier liest.

  • Es gibt nun eine Option, die Hash-Datenbank in dem Moment aus dem Speicher zu entladen, wenn alle Datenfenster geschlossen werden (genauer gesagt wenn das letzte noch offene Datenfenster geschlossen wird), um Arbeitsspeicher zu sparen oder gezielt deshalb, um gleichzeitigen anderen Benutzern derselben Kopie der Hash-Datenbank oder anderen Instanzen das Ändern/Pflegen dieser Hash-Datenbank zu ermöglichen.

  • Möglichkeit, den alternativen Namen einer Datei direkt zu ändern oder überhaupt erst zu setzen, indem man die Umschalttaste beim Umbenennen gedrückt hält (in dem Moment, wenn man den OK-Schalter anklickt).

  • Der technische Detailbericht wartet nun mit einer Option auf, die die Zeichen in einer vom Betriebssystem an X-Ways Forensics gemeldeten Festplattenseriennummer zusätzlich paarweise vertauscht ausgibt, wenn es möglich erscheint, daß die erhaltene Seriennummer von einem Hardware-Schreib-Blocker bereits auf diese Weise verdreht wurde, um sie also wieder zu korrigieren.

  • Vollständigere Darstellung des logischen Speicheradreßraums von 64-Bit-Prozessen.

  • Dateninkonsistenzen in einem bestimmten internen Metadaten-Speicher sind jetzt weniger fatal.

  • Unzählige kleinere Verbesserungen.

  • Benutzerhandbuch und Programmhilfe aktualisiert für v19.3.


Änderungen der Service-Releases von v19.2

  • SR-1: Fixed inability of v19.2 to remember the default volume snapshot refinement operations when run from the command line.

  • SR-1: Fixed inability of v19.2 to uncover embedded data from selected files.

  • SR-1: Fixed inability of v19.2 to take volume snapshots of drive letters without sector level access.

  • SR-1: Metadata extraction from certain irregular DOCX files supported.

  • SR-1: Improved internal handling of FlexFilters.

  • SR-2: Now able again to cope with .e01 evidence files that are incorrectly marked as images or physical disks by 3rd party software although they are just volume images.

  • SR-2: Fixed incorrect extraction of attachments encoded by Gmail found in MBOX archives and lose EML files.

  • SR-2: Fixed a cause of instability when the "Search in directory browser cells (metadata)" option was used for the Simultaneous Search.

  • SR-2: Fixed a rare exception error that could occur when extracting metadata from certain corrupt Zip-styled Office document files.

  • SR-2: The option to show non-picture files in the gallery is now represented by a three-state check box. If half checked, only those non-picture files will be represented as thumbnails in the gallery whose type can be confirmed or newly identified by X-Ways Forensics. That means that files of unknown types and garbage files will not be represented in the gallery any more. This will speed up the gallery, reduce the number of thumbnails with just ASCII character gibberish in them, and perhaps most importantly prevent an error in the viewer component from occurring, which exhausts the pool of available GDI objects (handles in the graphics device interface of Windows) in the process and leads to graphical screen artifacts, loss of functionality or even crashes. So far only files with garbage data are known to trigger this error. The error is probably very rarely encountered when specifically viewing or previewing individual files only, but when reviewing large amounts of non-picture files in the gallery it becomes more likely to occur. The error is known to Oracle as bug #25430258. No fix has been made available yet.

  • SR-2: Images stored in nested subdirectories of the case directory instead of directly in the case directory are now also found immediately even if drive letter or absolute path of the case have changed.

  • SR-2: Chinese translation of the user interface updated.

  • SR-3: The time out for the generation of thumbnails of non-picture files in the gallery is now the same user-defined value as previously used only for pictures that are loaded by the internal graphics viewing library. It can be adjusted in Options | Viewer Programs. A smaller value may result in a faster display of the gallery, but at the cost of interrupting the loading process of the viewer component for some files, in which case the gallery tile shows "Error - operation cancelled".

  • SR-3: v19.2 SR-2 did not properly execute external viewer programs. That was fixed.

  • SR-3: Videos are now again represented in the case report by their first extracted still as a thumbnail.

  • SR-3: If the output of the Compare function was a text file and the comparison start offsets in the two data windows were different, the second offset reported for a found difference was off. That was fixed.

  • SR-3: Fixed a problem in LVM2 support.

  • SR-3: Fixed a rare exception error that could occur when producing a registry report based on Reg Report Free Space.txt.

  • SR-3: Prevented rejection of certain ProjectVic JSON files for PhotoDNA import.

  • SR-4: Ability to show gallery tiles with rotating still images for processed videos in situations in which that did not work previously.

  • SR-4: Prevented a situation where the category statistics in the Category column's pop-up menu filter could be that of another data window.

  • SR-4: Fixed inability of v19.2 to take a volume snapshot of a directory with a network path (UNC path).

  • SR-4: The Exif metadata field formerly officially called "Daten taken" is now called "Content modified" in X-Ways Forensics.

  • SR-4: A relative path for the PhotoDNA hash database is now supported and preserved in Options | General.

  • SR-4: Fixed slightly corrupted presentation of e-mail attachments in some specific situations (e.g. Facebook e-mail received via Hotmail).

  • SR-4: Run counts from Windows 10 Prefetch files while shown correctly in Preview mode were not extracted correctly into the Metadata column. That was fixed.

  • SR-5: If original pictures were not included in the case report, but thumbnails of pictures were supposed to be output, those thumbnails were not generated for very small pictures. That was fixed.

  • SR-5: Under certain circumstances the detection of scanned images/PDF documents failed. That was fixed.

  • SR-5: The whole words only option of the Simultaneous Search is no longer applied to search hits that are not words according to the user's selected alphabet definition (checking only the first and the last character in the hit). However, the GREP word boundary indicator \b is still applied in such a case, for example to be able to search for certain data in between words, data that is not considered a word itself.

  • SR-6: The volume snapshot refinement option of v19.1 and later to omit files deemed irrelevant by the hash database also omitted known uncategorized files if they were identified as such only by a previous refinement run, with no re-matching. That was fixed.

  • SR-6: Fixed incorrect size of some few carved files and avoided output of some irrelevant/damaged OLE2 objects.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

  
#154: WinHex, X-Ways Forensics und X-Ways Investigator 19.2 veröffentlicht

29. Mrz. 2017

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.2. Erscheinungsdatum war der 27. März 2017.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihre Update-Berechtigung oder Lizenz abgelaufen ist, erhalten von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Ja, wirklich.


Schulungstermine

Köln, 20.-23. Juni
Termine im Ausland

Wenn wir Sie über weitere Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein.


X-Tensions

  • KPF von Jedson Technologies. Automatische Bild- und Video-Kategorisierung wie vorher im angelsächsischen Raum als "C4All" bekannt. Die X-Ways KPF-Version ist die ursprüngliche C4All-X-Tension und macht all das, was früher das C4All-EnScript gemacht hat, aber besser und mit größerem Funktionsumfang und sechs Mal schneller, und sie ist kostenlos. Weitere Versionen stehen bereit zur Ausgabe in JSON/ProjectVic, XML und anderen Formaten. 

  • NEU XT_RAW von Kuiper Forensics. Erkennt und konvertiert die RAW-Formate vieler Digitalkameras innerhalb von X-Ways Forensics.

  • Beyond Compare X-Tension von Chad Gough. Select any two files in X-Ways and quickly send them to Beyond Compare for review.

  • VirusTotal X-Tension von Chad Gough. Check the status of a file via the VirusTotal API directly through X-Ways Forensics and get the status in the Messages window.

  • Binary Large Objects von Christopher Lees. Extracts Binary Large Object (BLOB) data from Sqlite databases.

  • Multiple File Finder von Werner Rumpeltesz. Search for filenames and/or path names and add the matching files to a specific report table.

  • Luhn Credit Card Check von X-Ways Software Technology AG. 32-bit, 64-bit. For use during GREP searches for credit card numbers. Discards false hits based on the Luhn algorithm.

Weitere Informationen über die uns bekannten öffentlich verfügbaren X-Tensions finden Sie hier. Wenn Sie selbst X-Tensions beitragen möchten, nehmen Sie bitte mit uns Kontakt auf. Vielen Dank.

X-Tensions API

  • Disk I/O X-Tensions können nun nicht nur sektorweise E/A auf Datenträgerebene abfangen, (z. B. um verschlüsselte Festplatten oder Partition proaktiv zu entschlüsseln, so daß X-Ways Forensics direkt die entschlüsselten Daten sieht), sondern auch E/A auf Dateiebene (z. B. um verschlüsselte Dateien zu entschlüsseln). Die neue Funktion, die man zu diesem Zweck exportieren muß, heißt XT_FileIO. Details unter http://www.x-ways.net/forensics/x-tensions/XWF_functions.html#A.

  • Eine neue Funktion der X-Tension API namens XWF_FindItem1 erlaubt es, bequem die interne ID einer Datei mit gegebenem Namen in einem bestimmten Verzeichnis zu finden.


Was ist neu in v19.2?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateityp-Unterstützung

  • Dateien, die in Archiven vom Typ Zip, RAR oder 7z verschlüsselt sind, können nun dekomprimiert und verarbeitet werden, sofern das Paßwort bekannt ist oder erraten werden kann. X-Ways Forensics probiert alle Paßwörter aus, die in der Paßwortsammlung des aktuellen Falls aufgelistet sind oder in der allgemeinen Paßwortsammlung. Sie können die Liste direkt vom Dialogfenster mit den Einstellungen der Archivverarbeitung aus bearbeiten. Die fallspezifische Paßwortsammlung kann auch von den Falleigenschaften aus eingesehen und bearbeitet werden. Es handelt sich um eine Datei namens "Passwords.txt" im Fallverzeichnis, codiert in UTF-16. Die allgemeine Paßwortsammlung ist in einer Datei gleichen Namens im Installationsverzeichnis oder Ihrem Benutzerprofil gespeichert. Praktisch alle Unicode-Zeichen werden unterstützt, incl. Leerzeichen, chinesische Zeichen usw. Bei Paßwörtern macht Groß- und Kleinschreibung i. d. R. einen Unterschied.

    Wenn die Sammlung das richtige Paßwort für eine bestimmte Datei enthält, merkt sich X-Ways Forensics dieses Paßwort in den extrahierten Metadaten der Datei und entnimmt es künftig bei Bedarf direkt von dort statt aus einer Paßwortsammlung, um Dateien in dem Archiv zu lesen. Alternativ können Sie das Paßwort für eine bestimmte Datei auch manuell hinterlegen, indem Sie die extrahierten Metadaten der Datei bearbeiten. Sie müssen dazu lediglich wissen, daß vor das Paßwort das Wort "Password: " gestellt werden muß (mit Doppelpunkt und Leerzeichen). Dateien in verschlüsselten Datei-Archiven werden nicht als verschlüsselt dargestellt ("e"-Attribut) und gehandhabt, wenn das richtige Paßwort zu dem Zeitpunkt, wenn die Dateien dem Datei-Überblick hinzugefügt werden, verfügbar ist. Die Archive selbst werden immer noch mit dem "e!"-Attribut gekennzeichnet. RAR- und 7Zip-Archive, in denen nicht nur die Datei-Inhalte, sondern auch die Dateinamen verschlüsselt sind, werden derzeit nicht unterstützt..

  • Unterstützung für die Datenbank "sms.db" von iOS. Sämtliche aufgezeichnete Kommunikation per SMS wird in Form von individuellen Chat-Dateien extrahiert. Alle Nachrichten werden zudem der Ereignisliste hinzugefügt, wo sie basierend auf Telefonnummer oder E-Mail-Adresse gefiltert werden können.

  • Metadaten-Extraktion aus Quicktime-Video-Dateien überarbeitet. Insbes werden Geo-Daten von aktuellen iPhone-.mov-Dateien extrahiert.

  • Verbesserte Unterstützung regionaler ostasiatischer Codepages mit variabel langer Zeichencodierung bei Verwendung in komplexen GREP-Ausdrücken wie etwa negierten Zeichenmengen.

  • Extraktion von Metadaten aus JPEG-Dateien verbessert. Im Details-Modus werden mehr Metadaten präsentiert.

  • An JPEG-Dateien angehängte Daten werden nun als separate Unterobjekte bereitgestellt.

  • Besondere Unterstützung von JPEG-Metadaten von Samsung Galaxy S6 und S7, die u. a. mit einem weiteren Zeitstempel in einer Auflösung von 1 Millisekunde zu beglücken wissen.

  • Generatorsignaturen weiter überarbeitet.

  • Dateityp-Prüfung weiter verbessert.

  • Bezeichnungen von Dateityp-Gruppen werden nun zusammen mit der Typbeschreibung in der Spalte "Typbeschreibung" angezeigt.

  • Einige wenige Dateityp-Bezeichnungen waren zuvor mehreren Kategorien zugeordnet. Das wurde bereinigt.

  • Aktualisierte Dateimaske zum Suchen von eingebetteten Daten in diversen Dateien.

  • Als Teil der Verarbeitung von E-Mail-Archiven können nun Dateien aus MIM-Archiven extrahiert werden. (MIM-Archive dienen der Verwaltung von binären E-Mail-Attachments.)

  • Unterstützung des Imports von PhotoDNA-Hash-Werten in Hex-ASCII-Notation in JSON-Dateien von ProjectVic.

Datenträger-Unterstützung

  • Linux-Software-RAIDs: Fähigkeit, MD-RAID-Container-Partitionen als solche zu erkennen. Diese Partitionen werden als zwei separate Objekte dargestellt: Als statischer Vorspann, der Metadaten über das RAID enthält (normalerweise beim relativen Offset 4096) und als erkundbare Partition, die als RAID-Komponente fungiert. Im Fall von RAID-Level 1 enthält diese erkundbare Partition ein in sich vollständiges Volume, dessen Dateisystem normal eingelesen werden kann, sofern unterstützt, ohne die besondere Anstrengung einer RAID-Rekonstruktion unternehmen zu müssen. Bei anderen RAID-Leveln muß die Zusammensetzung wie üblich über den Befehl "RAID-System zusammensetzen" im Specialist-Menü erfolgen, und einige Hinweise die richtigen Rekonstruktionsparameter betreffend werden als Kommentare angezeigt, die an den jeweiligen statischen Vorspann angeheftet sind. Diese sind ausreichend, um die Zusammensetzung in X-Ways Forensics vornehmen zu können. Bitte beachten Sie, daß Sie alle relevanten Partitionen zuerst öffnen müssen, damit Sie Ihnen zur Auswahl als RAID-Komponenten angeboten werden. Das Ergebnis der RAID-Zusammensetzung ist ein einziges Volume, das von einem virtuellen physischen Datenträger umfaßt wird. Die RAID-Komponenten müssen aus internen Gründen im Fall als Asservate verbleiben, um das spätere erneute Öffnen des zusammengesetzten RAIDs mit einem einzigen Mausklick zu ermöglichen.

  • Die Auswirkung der Überlagerung von Sektoren war bisher beschränkt auf genau das Datenfenster und dessen Datenträger/Partition/Volume, auf das sie angewandt wurde. Ab jetzt wirkt sich die Überlagerung auch auf Partitionen aus, die von einem physischen Datenträger mit aktiver Sektor-Überlagerung aus geöffnet werden.

  • Fähigkeit zum Erkennen von Container-Partitionen von Windows Storage-Pools als solche.

  • Fähigkeit, Partitionen zu öffnen, deren Dateisystem auf einem Vielfachen derjenigen Sektorgröße basiert, die der zugrundeliegende physische Datenträger aufweist. Das ist wichtig z. B. bei Windows Storage-Space-Partitionen in Windows Storage-Space-Pool-Datenträgern. Diese virtuellen Partitionen und Datenträger haben eine simulierte Sektorgröße von 4 KB auch dann, wenn sie auf physischen Datenträgern mit einer Sektorgröße von 512 Bytes gespeichert sind.

  • Die Suche nach verlorenen Partitionen findet nun mit NTFS formatierte virtuelle Storage-Space-Partitionen innerhalb von Storage-Space-Container-Partitionen trotz der Sektorgrößen-Diskrepanz. Die Suche nach verlorenen Partitionen ist ein nützliche provisorische Lösung, um die tatsächlichen vom Benutzer verwendeten Partitionen in einfachen Windows Storage-Spaces, die nur aus einem einzigen Datenträger bestehen, zu finden und auszuwerten. Komplexere Storage-Spaces bestehend aus mehreren Datenträgern (mit Daten-Segmentierung und -Striping) muß man derzeit von Windows rekonstruieren lassen.

  • Partitionsnamen gemäß GUID-Partitionstabelle werden nun in der Namensspalte als alternative Namen in eckigen Klammern angezeigt. Dies sollte sich als hilfreich erweisen beim Auswerten von Android-Smartphone-Images, die eine Vielzahl von Partitionen enthalten, da die Namen Hinweise auf die jeweiligen Funktionen geben.

  • Der technische Detailbericht ist nun etwas vollständiger, indem er die Partitionsnamen gemäß GPT anzeigt.

  • Der Aufbau des Zugriffsschaltermenüs für partitionierte Datenträger wurde verbessert. (Zugriffsschalter ist der offizielle Name des Schalters mit dem weißen Pfeil, unterhalb des Sync-Schalters.)

Bedienbarkeit

  • Das Anklicken des Links zu einem Datei-Anhang innerhalb der alternativen E-Mail-Vorschau setzt nun genau dieselbe Aktion in Gang wie beim Einsehen der betreffenden Datei vom Verzeichnis-Browser aus. Das bedeutet zum einen, daß die Datei dadurch als bereits eingesehen gekennzeichnet wird. Zweitens wird die Datei, wenn sie ein Bild ist, abhängig von Ihren Präferenzen entweder von der Viewer-Komponente oder der internen Grafikanzeigebibliothek dargestellt. Drittens wird eine Datei in Abhängigkeit von Ihren sonstigen Viewer-Programm-Einstellungen u. U. direkt in einem externen Programm  geöffnet, z. B. wenn es ein Video ist, das Sie abspielen möchten.

  • Im Ersetzen-Modus für Berichtstabellen-Verknüpfungen werden die aktuell bereits verknüpften Berichtstabellen nun automatisch vorausgewählt, so daß es weniger Arbeit und weniger fehleranfällig ist, Verknüpfungen mit einzelnen Berichtstabellen gezielt zu entfernen  oder hinzuzufügen, während die anderen bestehen bleiben.

  • Das Fallverzeichnis ist das Verzeichnis, das denselben Namen hat wie eine .xfc-Falldatei, nur ohne Erweiterung. Es ist ein Unterverzeichnis des Fälleverzeichnisses. Es wurde nun eine besondere Unterstützung eingebaut für das Fallverzeichnis als Speicherort von Datenträgersicherungen. Wenn Datenträgersicherungen zuerst in das Fallverzeichnis verschoben und dann von dort aus dem Fall hinzugefügt werden oder wenn der Pfad eines bestehenden Images im Fall mit dem Befehl "Durch neues Image ersetzen" auf das Fallverzeichnis geändert wird, dann werden diese Images intern fortan völlig ohne Pfad referenziert und immer sofort gefunden, auch wenn der Fall in ein anderes Verzeichnis verschoben wurde oder sich der Laufwerksbuchstabe geändert hat. Ein Fall, der alle seine Images in seinem eigenen Verzeichnis hat, ist in sich vollständig und autark gespeichert. Bezüge auf Images im Fallverzeichnis ohne Pfad werden verstanden von v19.0 SR-14, v19.1 SR-7 und eben v19.2.

  • Das Ändern der Anzeige-Zeitzone eines Asservats, das ein physischer, partitionierter Datenträger ist, ändert nun automatisch auch die Anzeige-Zeitzone all seiner Partitionen (abhängigen Asservate).

Filter

  • Ein neues Filterkonzept namens FlexFilter wurde eingeführt. Zwei solche FlexFilter sind in WinHex Lab Edition, X-Ways Investigator und X-Ways Forensics verfügbar. Sie können sich auf jede gewünschte Spalte im normalen Verzeichnis-Browser beziehen (d. h. nicht auf die besonderen Spalten von Suchtrefferlisten und Ereignislisten), mit einer beliebigen Anzahl von Teilwörtern, und sie können mit einem logischen ODER oder einem logischen UND miteinander verknüpft werden. Das macht sie zu den einzigen Filtern, die miteinander mit einem logischen ODER verknüpft werden können.

    Z. B. sind diese neuen Filter nützlich, wenn Sie sich auf Dateien konzentrieren möchten, die nicht innerhalb eines bestimmten zusammenhängenden Zeitraums erzeugt oder verändert wurden, sondern allgemein an bestimmten Wochentagen oder Wochenenden, d. h. in deren Zeitstempelspalten mit Notation im Langformat sich Wörter wie "Samstag" oder "Sonntag" finden. Auch dann nützlich, wenn die jeweiligen spaltenspezifischen Filter Ihnen nicht so viele Möglichkeiten geben, wie Sie brauchen. Z. B. für Autor, Absender und Empfänger können Sie derzeit nur einen einzigen Namen oder eine Adresse oder ein Teilwort angeben, und mit dem Beschreibungsfilter können Sie derzeit nicht auf jene zusätzlichen Hardlinks abzielen, die von bestimmten Operationen ausgenommen werden.

    Die Farbe, die anzeigt, daß ein FlexFilter aktiv ist, ist violett statt blau, so daß ein FlexFilter leichter von einem normalen spaltenbasierten Filter unterschieden werden kann. Beide FlexFilter haben eine NICHT-Option, und sie können sogar beide auf dieselbe Spalte abzielen, so daß Sie Ergebnisse erreichen können wie "zeige mir alle E-Mails mit dem Namen Matthias im Absenderfeld, in denen das Absenderfeld nicht den Domain-Namen firma.de enthält" (z. B. bei der Suche nach privaten E-Mails dieser Person bei unbekannte E-Mail-Adresse).

  • Ein Rechtsklick auf einen Spaltenkopf im Verzeichnis-Browser aktiviert oder deaktiviert nun den Filter dieser Spalte schnellstmöglich, ohne erst das Dialogfenster mit den Filtereinstellungen anzuzeigen, genau wie  bisher schon ein Linksklick auf das Trichtersymbol bei gedrücktgehaltener Umschalt-Taste.

  • Es gibt nun die Möglichkeit, eine textuelle Übersicht über alle aktiven Filter mitsamt ihren Einstellungen zu erhalten, indem Sie das Trichtersymbol am linken oder rechten Rand der Überschriftszeile des Verzeichnis-Browsers mit der rechten Maustaste anklicken.

Erweiterung des Datei-Überblicks

  • Indexierung ist nun eine erlaubte Unteroperation der Datei-Überblick-Erweiterung  bei Durchläufen mit mehreren Threads. Die Indexierung wird dadurch allerdings nicht weitergehender als bisher selbst parallelisiert.

  • Frühere Übereinstimmungen aller Dateien in einem Datei-Überblick mit Hash-Sets werden nicht mehr vollständig verworfen, wenn man nur einzelne ausgewählte oder markierte Dateien nochmal mit einer Hash-Datenbank abgleicht. Dann werden nun nur noch genau die Treffer der betroffenen Dateien entfernt.

  • Eine neue Option beschränkt das Laden von Bildern auf einen einzigen Worker-Thread zur selben Zeit, mit einem Kontrollkästchen neben "Bildanalyse und -verarbeitung", entweder sehr streng (wenn ganz gewählt) oder weniger streng (wenn halb gewählt). Diese Option könnte u. U. nützlich sein, wenn Sie Ausnahmefehler oder Abstürze haben, wenn mehrere Bilder gleichzeitig verarbeitet werden.

  • Eine Datei namens ResIL.log wird bei bestimmten Problemen mit der Bildverarbeitung zu Zwecken der Fehlerverfolgung erzeugt.

Viewer-Komponente

  • Am 17. Januar 2017 hat Oracle einen Sicherheits-Patch  vom 12. Dezember 2016 für die Version 8.5.3 der Viewer-Komponente veröffentlicht. Die aktualisierte Version ist seit dem 18. Januar bei uns herunterladbar für benutzer mit aktivem Zugriff auf Updates. Sie ist aus Sicherheitsgründen empfehlenswert. Eine Liste der korrigierten Fehler wurde nicht bereitgestellt. Zwei DLLs haben sich geändert: dewp.dll und vspdf.dll. Diese sind wahrscheinlich verantwortlich für Textverarbeitungsdokumente und PDF-Dateien.

Diverses

  • Beim Erzeugen eines Datei-Überblicks ohne Zugriff auf Sektorebene, z. B. von einem entfernten Netzlaufwerk oder einem Verzeichnis oder einem lokalen Laufwerksbuchstaben ohne Administratorrechte, werden nun überlange Pfade mit bis zu ca. 1.000 Zeichen unterstützt..

  • Die meisten entscheidenden Funktionen in X-Ways Forensics können nun Dateien mit Pfaden bis zu ca. 1.000 Zeichen öffnen: Datei-Modus, Vorschau-Modus, Erweiterung des Datei-Überblicks, logische Suche.

  • Leicht verbesserte Unterstützung von segmentierten Roh-Images mit Dateinamenserweiterungen, die aus 4 Ziffern bestehen und die Aufzählung mit 0 statt 1 beginnen (also .0000).

  • Miniaturansichten können nun auch dann für den Fallbericht erzeugt und darin angezeigt werden, wenn die Originaldateien selbst nicht kopiert und verlinkt werden.

  • Es erfolgt nun eine akustische Benachrichtigung, wenn man eine einfache lineare Suche nach einem einzigen Treffer laufen läßt und dann tatsächlich ein Treffer gefunden wird, während sich das Programmfenster im Hintergrund befindet, um den Benutzer darauf aufmerksam zu machen.

  • Unzählige kleinere Verbesserungen.

  • Die Programmhilfe und das Benutzerhandbuch wurden auf den Stand von v19.2 gebracht.


Änderungen der Service-Releases von v19.1

  • SR-1: Some commands in the directory browser context menu in v19.1 did not always appear as they should have appeared. That was fixed.

  • SR-1: An exception error that could occur in v19.1 when hashing files should no longer occur now.

  • SR-1: The JPEG quality detection now also works for rotated JPEGs.

  • SR-2: Computing hash values and matching them against hash databases was not done repeatedly in the original v19.1 release. Now it is done repeatedly again, and that operation is now officially documented as one of the operations that will be applied repeatedly to the same files in a volume snapshot, the only other exception being indexing.

  • SR-2: Many descriptions for registry events were not output to the event list. That was changed. This improvement will also be applied to v19.0 SR-13.

  • SR-3: Prevented a rare infinite loop with certain previously existing EVTX files that are incompletely defined in volume shadow copies.

  • SR-3: Prevented a rare infinite loop when carving OLE2 compound files.

  • SR-3: Australia Adelaide time zone definition updated.

  • SR-3: Prevented a rare error with corruption of decoded textual data when running a logical search with multiple worker threads.

  • SR-3: The representation of search hits in the search hit list is now based on the code page of the search hit in certain situations where previously it was not. Improved code page based context preview specifically for search hits in ISO-2022 code pages, where the search hits and their surroundings may or may not be prepended directly with a suitable escape sequence and may or may not be just ordinary ASCII text.

  • SR-4: Support for one previously unsupported component of the PIDL data structure in OpenSavePidlMRU items in the Windows Registry.

  • SR-4: Fixed a stability problem in the Registry Viewer.

  • SR-4: Index searches for two words that are delimited by a space were unsuccessful in certain files. That was fixed.

  • SR-4: Some sent e-mails extracted from PST archives were presented with erroneously inserted header lines. That error in the extraction process was fixed.

  • SR-4: Fixed an exception error that could occur in v19.1 when selecting files, events or search hits in the Case Root window.

  • SR-5: Fixed potential hanging during XViD metadata extraction.

  • SR-5: Prevented an exception error that could occur at the end of indexing when not even a single word was found to index.

  • SR-5: Fixed inability to read files representing uncovered data embedded in HFS+-compressed files.

  • SR-5: Fixed an error in the Registry Viewer search.

  • SR-6: Certain currently unsupported file system level compression styles in HFS+ volumes are now recognized as such, and the affected files will be shown with their correct file size and "only metadata available" in the description.

  • SR-6: Fixed an exception error that occurred with template variables within loops if their names were longer than 30 characters.

  • SR-6: Since v17.3, files with child objects and an unknown hard-link count were potentially included in evidence file containers multiple times. That was fixed.

  • SR-6: Page count of some special PDF documents now reported correctly.

  • SR-7: Fixed an exception error that occurred in the X-Tension API function XWF_CreateEvObj if the case was still empty.

  • SR-7: Gallery scroll position is reset when the directory browser is re-filled.

  • SR-7: Uninitialized areas of NTFS-compressed files no longer have an undefined status, but are now presented with the data as stored on the disk, just as with ordinary (not compressed) files.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

  
#153: WinHex, X-Ways Forensics und X-Ways Investigator 19.1 veröffentlicht

19. Jan. 2017

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.1.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihre Update-Berechtigung oder Lizenz abgelaufen ist, erhalten von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Schulungstermine

Köln, 13.-16. Februar (ausgebucht)
Köln, 20.-23. Juni
Termine im Ausland

Wenn wir Sie über weitere Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein.


Was ist neu in v19.1?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateityp-Unterstützung

  • Unterstützung für Googles Chrome-Sync-Datenbank, in der die Informationen gefunden werden können, die zwischen verschiedenen Geräten synchronisiert werden, wie z. B. Lesezeichen, manuell eingegebene URLs, synchronisierte Geräte und vieles mehr. Eine Vorschau-HTML-Datei wird erzeugt und Ereignisse in die Ereignisliste übernommen.

  • Fähigkeit, kopfstehende Bitmap-Bilder mit der internen Bildbetrachtungsbibliothek und in der Galerie einzusehen. (Um sie vertikal gespiegelt anzusehen, müssen Sie diese aktuell allerdings mit der Viewer-Komponente betrachten.)

  • Die Behandlung von TAR-Archiven wurde überarbeitet.

  • Korrigierte Unterstützung für BZ2-Archive.

  • Zuverlässigere Erkennung von Bildern als Bildschirmfotos (Ausgabe als Berichtstabellen "Screenshot" und "Screenshot?").

  • Neue Berichtstabelle "Scan" für PDF- und JPEG-Dateien, die einen Scan enthalten. Die Erkennung basiert auf den Generator-Signaturen "PDF/Scan" und "JPEG/Scan".

  • Die meisten JPEG-Bilder, die von Facebook umgewandelt und von Facebook heruntergeladen wurden, werden in der Metadaten-Spalte jetzt als solches anhand ihrer Generator-Signatur identifiziert.

  • PDF-Metadaten-Extraktion speziell für PDF-Dateien von Acrobat 10 verbessert.

  • Probeweise Extraktion von Exif-Metadatenfeldern, die auf bestimmte Art beschädigt sind.

  • Überarbeitete Metadaten-Extraktion für JPEG. ICC-Profile werden ausgewertet, einschließlich Zeitstempeln.

  • Neue Datei-Signatur für .0tx Tobit-E-Mail definiert.

  • Generator-Signaturen-Tabelle weiter überarbeitet.

  • Der Typ-Status "anders erkannt" hat jetzt Auswirkungen auf die angenommene Relevanz einer Datei.

  • Die Relevanz einer Datei berücksichtigt jetzt zuverlässiger, ob ein Bild ein Bildschirmfoto ist oder nicht.

  • Verbesserte Stabilität bei der Verarbeitung von EDB-Datenbanken. Benutzer der Versionen v18.8, v18.9 und v19.0 können ihre Kopie der Datei EDBex.dat mit der Version ersetzen, die vorläufig probeweise nur mit v19.1 mitgeliefert wird.

  • Absender und Empfänger werden jetzt auch für MSG-Dateien angezeigt, auf die E-Mail-Verarbeitung angewandt wurde, nicht nur für die daraus extrahierten .eml-Dateien.

Dateisystem-Unterstützung

  • Erweiterte Attribute in HFS+ werden jetzt optional in den Datei-Überblick als Unterobjekte derjenigen Dateien oder Verzeichnisse mit aufgenommen, zu denen sie gehören (nur in X-Ways Forensics), abhängig von einem neuen dreistufigen Kontrollkästchens unter Optionen | Datei-Überblick. Voll angekreuzt werden erweiterte Attribute selbst dann als Unterobjekte angezeigt, wenn diese bereits gesondert von X-Ways Forensics intern verarbeitet wurden. Halb angekreuzt (die Standardeinstellung in X-Ways Forensics), werden sie nur dann als Unterobjekte aufgeführt, wenn sie von X-Ways Forensics noch nicht gesondert behandelt wurden, in der Annahme, daß der Benutzer diese ggf. manuell einsehen möchte.

  • Fähigkeit, resident/inline gespeicherte Dateien in HFS+ zu öffnen.

  • Fähigkeit, in HFS+ komprimiert gespeicherte Dateien zu erkennen und zu öffnen.

  • HTML-Vorschauen werden jetzt während der Metadaten-Extraktion für solche GZ-Archive erzeugt, die Apple FSEvent-Logs enthalten.

  • Ereignisse aus Apple FSEvent-Logs werden übernommen.

  • Erkennung eines neuen Dateisystem-Kompressionsstils in NTFS unter Windows 10.

  • In neu erzeugten Datei-Überblicken zeigen alternative Datenströme die Zahl der harten Verweise jetzt genauso wie ihre Eltern, um die alternativen Datenströme zusätzlicher harter Verweise optional ebenso bei Suchen etc. auslassen zu können.

Datenträger-Sicherung

  • Die beschreibende Text-Datei, die während der Sicherung erzeugt wird, gibt jetzt für alle Segmente von Roh-Images deren exakte Größe in Bytes und für alle Segmente von .e01-Evidence-Dateien deren genaue Block-Anzahl an. Sollte, aus welchen Gründen auch immer, eines oder mehrere Segmente verloren gehen oder beschädigt werden, ermöglicht dies die Erzeugung künstlicher Ersatz-Segmente in der passenden Kapazität, um die Lücken zu füllen, womit die Daten in folgenden Segmenten die korrekte logische Distanz zu den Daten in vorangegangen Segmenten haben, um die Gültigkeit interner Verweise in den Daten zu erhalten (die Startsektoren von Partitionen in der Partitionstabelle, Cluster-Nummern in den Dateisystem-Strukturen) sofern diejenigen Original-Image-Segmente vorhanden sind, die Quelle und Ziel des Verweises enthalten.

  • Fähigkeit, bequem Ersatz/Platzhalter-Segmente für .e01-Evidence-Dateien zu erzeugen, die fehlende/verlorene/defekte Original-Segmente ersetzen können, mit dem Befehl Datei | Neu. Der Benutzer spezifiziert die benötigte Block-Größe und die Anzahl der Blöcke und den Dateinamen für das gewünschte Segment (die Dateierweiterung muß korrekt sein, also die benötigte Segment-Nummer identifizieren, nicht Nummer 1). Die in die Blöcke geschriebenen Daten sind ein wiederkehrendes Text-Muster ("FEHLENDES IMAGE-SEGMENT" wenn man X-Ways Forensics mit der deutschsprachigen Benutzeroberfläche betreibt), damit Sie wissen, wenn Sie auf eine Lücke zwischen den verfügbaren Daten schauen, wenn Sie später auf das interpretierte, kombinierte Image schauen. Die Idee hinter solch einem künstlichen Platzhalter-Segment ist natürlich, daß bei korrekter Größe die Daten in den folgenden Segmenten den korrekten logischen Abstand von den Daten in vorangegangenen Segmenten haben. Der Hash der gesamten Sicherung kann natürlich nicht mehr erfolgreich verifiziert werden, wenn die Original-Daten fehlen, und natürlich sollte diese Funktionalität nur als letzter Ausweg verwendet werden, falls es kein Backup des fehlenden Segmentes gibt oder die Wiederherstellung der Daten fehlschlägt, etc. Die Erzeugung und Verwendung eines solchen Platzhalter-Segments sollte ordentlich dokumentiert werden. (nur mit forensischer Lizenz)

  • Bei der Interpretation einer .e01-Evidence-Datei, die Platzhalter-Segmente beinhaltet, werden Sie darüber informiert, und die Gesamtzahl der Platzhalter-Blöcke wird in den Eigenschaften des Asservates beim Hinzufügen zum Fall festgehalten.

  • Falls Sie einen Platzhalter für ein einzelnes fehlendes Segment benötigen, dessen Blockgröße und Blockanzahl Sie nicht kennen, weil die Sicherung ohne diese neuen Informationen in der beschreibenden Text-Datei erzeugt wurde, können Sie diese folgendermaßen ermitteln: Ändern Sie die Dateierweiterung des vorletzten Segmentes zu der des fehlenden Segments, um die Lücke zu schließen. Benennen Sie das letzte Segment in das jetzt fehlende vorletzte um. (Sollte es sich bei dem fehlenden Segment um das vorletzte gehandelt haben, brauchen Sie nur den letzten Schritt; sollte das letzte Segment das fehlende sein, muß gar nichts umbenannt werden.) Fügen Sie dann das Image (das erste Segment) ganz normal zu einem Fall in X-Ways Forensics hinzu. X-Ways Forensics wird Sie auf das falsch benannte Segment im Nachrichtenfenster hinweisen, was ignoriert werden kann. Schauen Sie in den Eigenschaften des Asservates nach der Blockgröße und die erwartete und die tatsächlich referenzierte Block-Anzahl. Subtrahieren Sie die tatsächlich referenzierte von der erwarteten Block-Anzahl. Das Resultat ist die Zahl der fehlenden Blöcke. Benennen Sie die Segmente wieder korrekt um und erzeugen Sie dann das fehlende Platzhalter-Segment mit der korrekten Block-Größe und -Anzahl und der korrekten Erweiterung.

    Mit einer Abweichung funktioniert dieser Ansatz auch, wenn mehrere zusammenhängende Segmente fehlen, indem Sie weitere verfügbare Segmente so umbenennen, daß die Lücke im ersten Schritt geschlossen wird, und Sie erzeugen soviele Platzhalter-Segmente, wie benötigt werden, um die Lücke zu schließen. Welches Platzhalter-Segment genau wieviele Blöcke enthält, ist nicht entscheidend, hauptsache, die Gesamtzahl der Ersatzblöcke entspricht genau der Gesamtzahl der fehlenden Blöcke. Falls mehrere nicht zusammen- hängende Segmente fehlen, können entsprechende Platzhalter-Segmente nur mit den neuen Informationen aus der beschreibenden Text-Datei erzeugt werden.

Erweiterung des Datei-Überblicks

  • Multi-Threading: Option, die Zahl der Arbeiter-Threads auf 1 zu setzen, was bedeutet, daß ein zusätzlicher Thread für die Verarbeitung gestartet wird, getrennt vom Haupt-Thread, was Interaktion mit der Benutzeroberfläche ohne Zeitverzögerung ermöglicht. Nützlich beispielsweise auf einem Terminalserver mit vielen gleichzeitigen Benutzern, wo Sie nicht zu viele Threads starten würden, die anderen Benutzern zuviel Prozessorzeit wegnehmen, aber zumindest die GUI weiterhin flüssig verwenden können möchten. Wenn die Zahl der zusätzlichen Threads auf 0 gesetzt ist, wird die Verarbeitung vom Haupt-Thread selbst gemacht, wie in v19.0 mit einem Thread oder generell in v18.9 und vorher, womit GUI-Interaktionen langsam sein können.

  • Fähigkeit, Operationen mit mehreren Worker-Threads mit der Pause-Taste anzuhalten.

  • Es ist jetzt möglich, nicht nur bekannte irrelevante Dateien, sondern auch bekannte relevante Dateien von weiteren Operationen der Datei-Überblick-Erweiterung auszulassen. Nützlich, wenn Sie in einem großen Fall viele solcher Dateien haben oder erwarten und Ihnen der Beweis ihrer Existenz genügt und Sie für diese Dateien die internen Metadaten dann nicht noch extrahiert brauchen, deren Hautfarbanteil oder PhotoDNA-Hashwert nicht mehr wissen müssen und sie auch nicht auf eingebettete Daten prüfen müssen usw. usf.

  • Wenn Treffer gleichzeitig sowohl aus normalen als auch aus PhotoDNA-Hash-Datenbanken mit widersprüchlichen Kategorisierungen gemeldet werden, setzt sich die "strengere" Kategorie durch: unbekannt < bekannt irrelevant < bekannt, aber unkategorisiert < bekannt relevant

  • Die Option, eine Datei als bereits eingesehen zu kennzeichnen, wenn sie als irrelevant kategorisiert wird, wird jetzt auf das kombinierte Ergebnis aus den Abgleichen mit normaler Hash-Datenbank und PhotoDNA-Hash-Datenbank angewandt.

  • Interne Metadaten werden jetzt nur für Dateien in ausgewählten Kategorien in die Metadatenspalte übernommen.

  • Optionen | Sicherheit | "Infos für Absturzbericht sammeln" ist jetzt ein dreistufiges Kontrollkästchen. Voll angekreuzt wird das Programm im Fall, daß die Erweiterung eines Datei-Überblicks das Programm zum Absturz bringt, beim Neustart auch angeben, welche Unteroperation genau auf das/die problematische(n) Datei(en) angewandt wurde, als das Programm abgestürzt ist. Es wurde bisher nicht getestet, ob diese erhöhte Genauigkeit beim Protokollieren eine erkennbare Verlangsamung nach sich ziehen könnte. Es kann mehrere Kandidaten für die problematische Datei geben, die die Instabilität verursacht hat, wenn zum Absturzzeitpunkt mehrere Threads aktiv waren. Im Unterschied zu v19.0 werden jetzt alle davon festgehalten, und sie werden jetzt beim Neustart mit Hilfe des Int. ID Filters angezeigt.

Berichtstabellen

  • Bei der Prüfung auf Duplikate mittels Hash-Wert können identische Dateien jetzt optional in spezielle Berichtstabellen gruppiert werden, damit Sie mit Hilfe des Berichtstabellen-Filters bequem jede einzelne Gruppe an Duplikaten im Verzeichnis-Browser auflisten lassen können, um beispielsweise herauszufinden, welche Kopie der Datei zuerst erzeugt wurde, welche zuletzt zugegriffen wurde, welche die meiste Bedeutung aufgrund von Metadaten wie Pfad, etc besitzt. Im Unterschied zur Kennzeichnung von Duplikaten als sog. zugehörige Objekte funktioniert die Gruppierung mittels Berichtstabelle auch über Asservatgrenzen hinweg, womit Sie nicht auf den Vergleich von Duplikaten innerhalb einzelner Asservate beschränkt sind.

  • Berichtstabellen, die Gruppen identischer Dateien repräsentieren, werden in türkis dargestellt. Insgesamt gibt es damit jetzt fünf verschiedene Arten von Berichtstabellen: 1) bebenutzerdefinierte Berichtstabellen, z. B. zu Berichtszwecken, 2) von X-Ways Forensics erzeugte Berichtstabellen, um den Benutzer auf bestimmte Eigenschaften von Dateien hinzuweisen, 3) Berichtstabellen, die in einer Datei enthaltene Suchbegriffe repräsentieren, 4) Berichtstabellen, die Hash-Sets repräsentieren, in denen eine Datei gefunden wurde, 5) Berichtstabellen, die Gruppen identischer Dateien repräsentieren.

  • Die maximale Anzahl an Berichtstabellen in einem Fall wurde von 256 auf 1.000 erhöht.

  • Um eine aufgeblähte Liste an Berichtstabellen zur Auswahl während der Berichtserzeugung zu vermeiden, werden in diesem Dialogfenster Berichtstabellen nur noch angeboten, wenn diese tatsächlich zu Berichtszwecken gedacht sind. Dies wird standardmäßig von allen benutzerdefinierten Berichtstabellen angenommen. Sie können den Berichtszweck-Status jeder Berichtstabelle im Dialogfenster für die Berichtstabellen-Verknüpfung ändern, indem Sie das "Stern"-Symbol zuweisen oder entfernen.

  • Beim Erzeugen eines neuen Datei-Überblicks werden alle Berichtstabellen-Verknüpfungen auf diesem Asservat verworfen. Falls dies eine Berichtstabelle, die nicht für Berichtszwecke gekennzeichnet ist, komplett leert, wird diese Berichtstabelle bei dieser Gelegenheit jetzt automatisch aus dem Fall gelöscht.

Bedienbarkeit & Benutzeroberfläche

  • Miniaturansichten von True-Color-Bildern können in der Galerie optional in Graustufen dargestellt werden. Diese Option unter Optionen | Viewer-Programme ist für Benutzer in Strafverfolgungsbehörden gedacht, die massenweise Kinderpornografie sichten müssen, um die psychische Belastung und den Streßfaktor zu reduzieren.

  • Ein neues dreistufiges Kontrollkästchen unter Optionen | Allgemein erlaubt es, das Starten von Windows-Bildschirmschonern zu verhindern. Damit entfällt auch das Risiko, daß sich die Notwendigkeit ergibt, das Paßwort des aktuell angemeldeten Benutzers erneut einzugeben. Dies wirkt sich entweder nur dann aus, wenn gerade länger andauernde Operationen laufen, die vom Fortschrittsanzeigefenster begleitet werden (wenn nur halb angekreuzt), oder aber während der gesamten Laufzeit des Programms (wenn ganz gewählt). Diese Option hat einen Effekt, egal ob das Hauptfenster sichtbar ist oder nicht und egal ob das Programm im Hintergrund oder Vordergrund läuft. Nützlich zum Beispiel beim Sichern eines laufenden Systems vor Ort, wenn Sie ungern die Kontrolle über das System verlieren würden, während die Sicherung läuft, oder einfach nur, wenn Sie die Fortschrittsanzeige einer laufenden Vorgangs auf Ihrem eigenen Rechner von einer anderen Ecke Ihres Büro aus im Auge behalten möchten.

  • Benutzerfreundlicheres Verhalten beim Versuch, in Datenfenstern den Editiermodus zu ändern, wo das nicht erlaubt ist, weil Sie X-Ways Forensics nicht als WinHex laufen lassen oder wegen des strengen Laufwerksschutzes.

  • Bequeme Option, die Ausgabeverzeichnisse von Wiederherstellen/Kopieren nach Beendigung automatisch zu öffnen.

  • In Bearbeiten | Block festlegen ist es jetzt optional möglich, die Größe des Blocks statt seines End-Offsets anzugeben. Außerdem ist es jetzt möglich, Anfang und Ende eines Blocks auf Basis von Sektornummern statt echten Offsets einzugeben.

  • Die Option, die Viewer-Komponente auch für Bilder zu verwenden, wird jetzt als bequem zu erreichender Schalter "VK" im Vorschau-Modus angeboten, um es deutlich schneller zu machen, zwischen der internen Grafikanzeigebibliothek und der separaten Viewer-Komponente umzuschalten. Früher mußten Benutzer dafür zum Dialogfenster Optionen | Viewer-Programme gehen, zum Beispiel um im Fall beschädigter Dateien eine zweite Meinung über den Inhalt des Bildes zu bekommen. Einige Benutzer hatten diese Option vermutlich außerdem immer aktiv, einfach, weil sie angenommen hatten, Bilder mit der Viewer-Komponente anzuzeigen sei zwingend, einfach nur um überhaupt Bilder angezeigt zu bekommen, da sie gar nicht wußten, daß Bilder in X-Ways Forensics standardmäßig von der internen Grafikanzeigebbibliothek dargestellt werden.

  • Verzeichnis-Icons für Asservate, die Verzeichnisse sind, im Falldatenfenster, um diese von Volumes unterscheiden zu können.

  • Unter Windows Vista und später werden Attachments jetzt bequem von der alternativen E-Mail-Repräsentation im Vorschau-Modus verlinkt.

  • Falldaten-Kontextmenüs wurden aufgeräumt.

  • Die französische Übersetzung der Benutzeroberfläche wurde aktualisiert.

  • Kontrollkästchen, die in romanischen Sprachen lange Textbeschreibungen haben, die aufgrund des beschränkten Platzes abgeschnitten werden, kommen jetzt automatisch mit Tool-Tips daher, die den vollständigen Text anzeigen, wenn man mit dem Mauszeiger darüber verharrt.

  • Die "Aufsuchen"-Befehle im Menü Navigation sind jetzt auch im Dateimodus verfügbar.

  • "SHA-1 & TTH192 in Base32 anzeigen" ist jetzt eine Notationsoption.

  • Einige Dialogfenster sind jetzt etwas klarer strukturiert.

X-Tensions API

  • Die Funktion XWF_CreateFile unterstützt jetzt ein neues Flag, das die Erzeugung von Dateien im Datei-Überblick mit Daten aus einem bereitgestellten Puffer erlaubt.
  • Dokumentation aktualisiert.

Diverses

  • Die Vollpfad-Spalte hat jetzt einen Filter.

  • Neue Optionen beim Importieren oder Erzeugen von Hash-Sets in normalen und Block-Hash-Datenbanken. Doppelte Hash-Werte, die in der Datenbank bereits enthalten sind, können jetzt entweder aus dem neuen Hash-Set entfernt werden, oder aus allen bereits vorhandenen, um die Hash-Datenbank kompakter/weniger redundant zu halten.

  • Ein neuer Befehl im Kontextmenü des Falldatenfensters ermöglicht es, ein Asservat mit einer Glühbirne zu markieren, als visuelle Hilfe, um es leichter zu finden, falls es wichtig ist.

  • Ein weiterer neuer Befehl im Kontextmenü des Falldatenfensters erlaubt es, bequem ein Backup des Datei-Überblicks des gewählten Asservats anzufertigen. Backups können mittels desselben Befehls später jederzeit wiederhergestellt oder auch gelöscht werden (klicken Sie einen Eintrag in der Liste der Backups rechts an, um den Lösch-Befehl zu erhalten). Ein solches Backup ist wie ein Snapshot eines Datei-Überblicks. Nützlich, wenn Sie der Meinung sind, daß Sie später zu einer bestimmten Verarbeitungsstufe zurückkehren (d. h. alle folgenden Änderungen des Datei-Überblicks rückgängig machen) möchten, beispielsweise weil Sie aufwendig Tausende Dateien markiert haben, die Sie nicht verlieren wollen, bevor Sie mit experimentellen Einstellungen eine Datei-Signatur-Suche laufen lassen, die ggf. viele Schrott-Dateien erzeugt; bevor Sie externe Dateien mit Optionen, die Sie noch nie ausprobiert haben, anhängen lassen; bevor Sie eine X-Tension laufen lassen, die aus einer fremden Quelle stammt; bevor Sie ausgeblendete Dateien völlig aus dem Datei-Überblick entfernen lassen.

    Berichtstabellen-Verknüpfungen, Ereignisse und Suchtreffer sind im Backup ebenfalls enthalten. Suchtreffer können aus dem Backup nur wiederhergestellt werden, wenn sich die Suchbegriffsliste des Falles in der Zwischenzeit nicht geändert hat. Indexe sind im Backup nicht enthalten, können aber natürlich manuell gesichert werden.

  • Derselbe Befehl, angewandt auf den gesamten Fall (klicken Sie zu diesem Zweck den fett dargestellten Fallnamen rechts an), erlaubt die Erzeugung eines Backups für den gesamten Fall, einschließlich aller Datei-Überblicke aller Asservate, alle Berichtstabellen, Ereignisse, Suchbegriffe, Suchtreffer, Indexe, Image-Datei-Pfade, usw. usf. Solche Backups können über dasselbe Dialogfenster wiederhergestellt werden. Solche Backups können auch mit dem "Fall öffnen"-Befehl direkt geöffnet werden, falls notwendig, da es sich um vollständige Kopien des Falles handelt. (Die Backup-.xfc-Dateien werden aber mit dem Attribut "versteckt" versehen, da sie eigentlich nur innerhalb von X-Ways Forensics direkt verwendet werden sollen.)

  • Duplikate können jetzt auch anhand des sekundären Hashes erkannt werden.

  • Duplikate können jetzt auch anhand identischer Startsektoren (innerhalb desselben Asservats) erkannt werden.

  • Es ist jetzt möglich, zusätzliche harte Verweise auch bei der Prüfung auf Duplikate zu ignorieren.

  • Option, ausgewählte Felder auf dem Deckblatt fett und in einer anderen Farbe drucken zu lassen, um die Aufmerksamkeit des Lesers auf bestimmte Punkte zu lenken.

  • Neue Umwandlungsfunktion für Groß-/Kleinschreibung für Text-Daten in UTF-16 (Menü Bearbeiten).

  • Getrennte Notationsoptionen für den Fallbericht, genau wie für exportierte Listen.

  • Zu Ihrer Information, zwei unserer Benutzer haben unabhängig voneinander bestätigt, daß die Anti-Viren-Software Webroot SecureAnywhere zufällige Programmabstürze (Programmbeendigung) in X-Ways Forensics auslöst. Aus diesem Grund ist es nicht empfehlenswert, die beiden Programme auf dem gleichen Rechner zur gleichen Zeit auszuführen.

  • Unzählige kleinere Verbesserungen.

  • Einige kleinere Korrekturen.

  • Die Programmhilfe und das Benutzerhandbuch wurden auf den Stand von v19.1 gebracht.


Änderungen der Service-Releases von v19.0

  • SR-1: Fixed support of v19.0 to recognize a few file types (those with the "x" flag), including SQLite 3.

  • SR-1: Fixed an instability problem in the registry viewer.

  • SR-1: Fixed crashes that could occur since v18.9 when extracting metadata from certain Linux PNG thumbnails.

  • SR-1b: Fixed an error in File mode in X-Ways Investigator.

  • SR-2: Fixed support of v19.0 to read a few sectors on very large hard disks.

  • SR-2: Fixed error in file type verification and uncovering embedded data when run with multiple threads.

  • SR-2: Fixed an error where attachments were not extracted from certain .eml files.

  • SR-2: Fixed new option to link attachments from HTML previews of e-mails in the case report.

  • SR-2: Fixed potentially wrong time zone translation of timestamps in transcoded Nikon photos.

  • SR-3: Fixed a volume snapshot data corruption problem in multi-threaded picture analysis and processing.

  • SR-3: More complete extraction of Chrome web history in some cases.

  • SR-4: Fixed an exception error that could occur when providing the alternative e-mail representation for certain e-mail messages.

  • SR-4: Fixed a potential exception error that could occur when running a file header signature search on physical, partitioned media.

  • SR-4: Fixed support of X-Ways Forensics 19.0 to view contained files in separate windows from within representations of the viewer component.

  • SR-5: Fixed an I/O error that could occur when the case auto-save interval elapsed while refining the volume snapshot with multiple threads.

  • SR-5: Report table descriptions were not handled correctly when deleting a report table. That was fixed.

  • SR-5: Fixed a crash that could occur with certain SQLite databases.

  • SR-5: Fixed a rare exception error that could occur during multi-threaded relevance computation.

  • SR-5: Fixed an exception error that could occur when exporting search hits with context in TSV format.

  • SR-5: Extraction of certain embedded pictures in .eml files.

  • SR-6: The hash filter did not correctly target the 2nd and 4th hash value if the hash type was 2 or 4 bytes in size (e.g. CRC32). That was fixed.

  • SR-6: Fixed an I/O error that could occur in v18.9 and v19.0 when applying File Recovery by Type to an uninterpreted image file.

  • SR-6: The internal graphics viewing library now represents Windows Bitmaps with 32 bits per pixel in correct colors. Fixed skin tone computation for certain Bitmaps with 8 bits per pixel.

  • SR-6: Fixed a potential infinite loop that could occur during a file header signature search for Zip archives when data of JNX files was found.

  • SR-6: Upward searches did not run correctly in v19.0. That was fixed.

  • SR-7: Support for previously unsupported SQLite database files.

  • SR-7: Multi-threaded operations generally more reliable now.

  • SR-7: When matching the files in a volume snapshot against hash databases more than once, previous matches according to the "Hash set" column are now automatically discarded. The hash category remains. This is for performance reasons. Keeping previous and new matches consistent and free of duplications potentially took a lot of time and was not optimized. Users of v18.7 through v18.9 have the option to discard hash set matches and categorizations for selected files with Ctrl+Shift+Del first to accelerate re-matching.

  • SR-7: Fixed problems when loading certain GIF files that contain extension blocks.

  • SR-7b: Fixed error in hash database matching with multiple threads.

  • SR-8: Fixed a crash that could occur when exploring certain keys in registry hives.

  • SR-8: Fixed an exception error that could occur when uncovering embedded data in certain executable files.

  • SR-8: Fixed a rare exception error that could occur when verifying the type of zip archives.

  • SR-8: Sorting by filename extension is now case-insensitive.

  • SR-8: Fixed a crash that could occur in v19.0 when extracting e-mails/attachments from MBOX e-mail archives and original .eml files.

  • SR-8: Prevented unnecessary inclusion of traces of existing files from volume shadow copies in the volume snapshot in certain situations.

  • SR-8: Fixed a cause for multi-threading instability.

  • SR-8: Improved stability with special GIF and TIFF pictures.

  • SR-9: For some few JPEG/TIFF files the extracted "Content created" date was wrong or incorrectly marked as local time. That was fixed.

  • SR-9: There was a problem with the multi-threading option on VMDK images and in Ext* file systems. That was fixed.

  • SR-9: Prevented potential instability with carved .lnk shortcut files.

  • SR-9: Warns the user of GUID conflicts among Windows dynamic disks if open at the same time, to prevent wrong volume-disk connections.

  • SR-10: Fixed support of v19.0 SR-8 and SR-9 to make certain changes to PhotoDNA databases.

  • SR-10: The category of PhotoDNA hash database matches no longer supersedes that of regular hash database matches during the same snapshot refinement run.

  • SR-10: Fixed a potential crash that could occur when extracting metadata from $UsnJrnl:$J.

  • SR-10: Fixed an exception error that could occur when uncovering embedded data from PE executable files.

  • SR-11: Newly identified 3GP files were erroneously assigned to the category "Other/unknown type" by the file type verification in v19.0 SR-1 and later. That does no longer happen now.

  • SR-11: X-Tension API: Two new kinds of evidence object IDs can now be retrieved with the XWF_GetEvObjProp function (nPropType 3 and 4).

  • SR-11: Fixed support of v19.0 to copy certain files along with the case report under certain circumstances if the type status was "newly identified".

  • SR-12: Fixed an I/O error that could occur when extracting e-mails from e-mail archives while multiple threads were active.

  • SR-12: Full filename matches in the Type filter did not count if the type status was "newly identified" or "confirmed". That was fixed. In v18.8 and later, full filename matches should have been ignored only if the type status was "mismatch detected".

  • SR-12: Fixed an exception error or crash that could occur under certain circumstances when opening partitions in X-Ways Investigator without opening the parent disk first.

  • SR-12: LVM2 container partitions are now interpreted properly even if the designated partition type in the MBR or GPT is wrong.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <