WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 16.1.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter http://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich „Announcements“ per E-Mail anfordern: http://www.winhex.net

Schulungen

Köln: 5.-7. Sept. 2011: X-Ways Forensics + Dateisysteme
Weitere Informationen
Veranstaltungen werden auch auf unserer Facebook-Seite angekündigt.

F-Response Consultant + Covert im Bundle mit X-Ways Forensics

Verfügbar nur für kurze Zeit, die perfekte Kombination für Sicherung und Analyse übers Netzwerk zu einem reduzierten Preis, mit 3 Jahren Update-Berechtigung, für insges. EUR 5.259 zzgl. Mwst. Bestellbar hier. Consultant + Covert ist die traditionelle nicht-verdeckte (GUI) Consultant-Version von F-Response + eine zweite „Covert"-Console, die direkte, verdeckte, ferngesteuerte Ausführung auf einem einzelnen Ziel erlaubt, ähnlich wie bei F-Response Enterprise! Die Lizenz für F-Response gilt für 3 Jahre.

Was ist neu in v16.1?

• X-Ways Forensics kann jetzt Exchange-EDB-Datenbanken verarbeiten und die Mailboxen der Benutzer mit ihren E-Mails, Datei-Anhängen, Kontakten, Terminen und Aufgaben extrahieren. Erfordert, daß X-Ways Forensics unter Windows Vista oder neuer ausgeführt wird. Noch in der Testphase, und bei riesigen Datenbanken u. U. sehr langsam.

Editieren von Dateien; Datei-Tools

• Möglichkeit zum Editieren von Dateien, ohne Datei-Schreibbefehle des Betriebssystems zu verwenden, direkt auf einem Datenträger/in einem Roh-Image, in jedem von WinHex unterstützten Dateisystem, auch wenn Windows nicht bekannt, auch wenn Windows die Dateien nicht sehen kann (z. B. weil gelöscht), ohne die Zeitstempel oder Attribute zu ändern, im In-Place-Modus. Für diese neue Editierfähigkeit muß die Datei aus dem bereits geöffneten Dateisystem heraus geöffnet werden, das es enthält, über den Öffnen befehl im Kontextmenü des Verzeichnis-Browsers oder im Datei-Modus (nur mit forensischer Lizenz). Komprimierte Dateien und generell Dateien innerhalb anderer Dateien (z. B. E-Mails und Datei-Anhänge in E-Mail-Archiven) können nicht editiert werden, außer innerhalb eines Datei-Containers, wenn sie selbst dediziert vom Original-Datenträger oder Image dort hineinkopiert wurden.
  
  Zuvor war es nur möglich, Dateien zu editieren, wenn sie über Datei | Öffnen geöffnet wurden, unter Verwendung von Datei-Schreibbefehlen des Betriebssystems, oder indirekt durch das Editieren von Datenträger-Sektoren. Im Datei-Modus (nur mit forensischer Lizenz) und beim Öffnen von Dateien aus bereits geöffneten Dateisystemen heraus war der einzig verfügbare Modus der Schreibschutz-Modus. All das hat sich nun geändert. Beachten Sie, daß Dateien auf die neue Weise nicht gekürzt oder verlängert werden können und daß nur allozierte Bereiche einer Datei geändert werden können. Das Editieren von Dateien, die wie oben beschrieben direkt aus Datenträgern/Images heraus geöffnet werden, ist nur in WinHex möglich, nicht in X-Ways Forensics oder X-Ways Investigator, wo Schreibzugriff auf Sektor-Ebene (in das alle Datei-Schreibzugriffe der neuen Art intern übersetzt werden) ausgeschlossen sind und wo der einzige verfügbare Modus für Datenträger und interpretierte Images und für darin geöffnete Dateien nach wie vor der Schreibschutz ist. Für Besitzer einer Lizenz für X-Ways Forensics betrifft diese Änderung daher nur die spezielle-WinHex-Version, die sie zusätzlich erhalten können, nicht X-Ways Forensics selbst.
  
  In der Computerforensik und IT-Sicherheit kann die neue Editiermöglichkeit hilfreich sein beim manuellen Redigieren (z. B. Überschreiben mit xxx) von spezifischen Daten, die nicht untersucht/weitergegeben/eingesehen werden sollen oder um bestimmte Bereiche in einer Datei sicher zu überschreiben (z. B. als Block definieren und diesen dann füllen). Beachten Sie, daß Datei-Container Roh-Images sind, wenn sie nicht ins .e01-Evidence-File-Format konvertiert worden sind, und daher nachträgliches Editieren von Dateien erlauben, was aber natürlich begleitende Hash-Werte ungültig macht. Es ist sogar möglich, Verzeichnisse zu editieren, also die Cluster mit Verzeichnisdaten, wie z. B. INDX-Puffer in NTFS, z. B. wenn Sie darin vorkommende Namen bestimmter Dateien unlesbar machen müssen.

• Neue Funktionalität zum sicheren Löschen von Dateien und Verzeichnissen, die im Verzeichnis-Browser ausgewählt sind, verfügbar über einen Befehl im Kontextmenü. Die Daten im logischen Teil einer Datei (d. h. nicht die Daten im Dateischlupf) und die meisten Daten eines Verzeichnisses (etwa INDX-Puffer in NTFS und Verzeichnieinträge in FAT) werden gelöscht/überschrieben mit einem vom Benutzer gewählten Hex-Wert-Muster. Der Existenzstatus einer Datei im Dateisystem ändert sich dadurch nicht. Keine Dateisystem-Metadaten werden aktualisiert, weil keine Datei-Schreibbefehle auf Betriebssystemebene dabei zum Einsatz kommen. Keine Dateisystem-Datenstrukturen ändern sich, keine Dateinamen werden gelöscht, nur Inhalte von Dateien werden überschrieben. Komprimierte Dateien und generell Dateien innerhalb von anderen Dateien (z. B. E-Mails und Datei-Anhänge in E-Mail-Archiven) können nicht gelöscht werden. Ehemals existierende Dateien, deren Cluster bekanntermaßen für andere Dateien wiederverwendet wurden, werden nicht gelöscht. Beachten Sie, daß durch das Überschreiben von gelöschten Dateien u. U. Daten in Clustern gelöscht werden, die bereits zu anderen Dateien gehören. Daher wählen Sie besser nur existierende Dateien aus, wenn Sie das vermeiden möchten (konsistente Dateisysteme vorausgesetzt). Beachten Sie auch, daß Sie beim Löschen von aus Sektoren per Signatursuche ausgegliederte Dateien u. U. zuviel oder nicht genug Daten überschreiben, je nach erkannter/geschätzter Dateigröße und anhängig davon, ob die Dateien ursprünglich fragmentiert waren oder nicht Diese Funktionalität ist nur in WinHex verfügbar, nicht in X-Ways Forensics oder X-Ways Investigator.
  
  Nützlich z. B., wenn Sie Kopien von Images in Ermittler oder andere mit dem Fall befaßte Personen weitergeben, die die Inhalte bestimmter Dateien nicht sehen dürfen. Auch nützlich, wenn Sie Datenträger, auf denen Kipo gefunden wurde, an den Besitzer zurückgeben müssen, nachdem die betreffenden Dateien gelöscht wurden. Außerdem nützlich, wenn Sie Images für Schulungszwecke präparieren, die Sie veröffentlichen möchten und in denen Sie urheberrechtlich geschützte Dateien (z. B. Betriebssystem-Dateien oder Anwendungsprogramme) nachträglich überschreiben wollen..
  
  Sowohl erfolgreich gelöschte Dateien als auch Dateien, die nicht erfolgreich gelöscht wurden, werden beim Arbeiten mit einem Fall (nur mit forensischer Lizenz) zu separaten Berichtstabellen hinzugefügt, nach denen Sie filtern können, um das Ergebnis zu überprüfen.

• Coole neue Funktion zum Erzeugen von harten Verweisen auf Dateien in NTFS-Dateisystemen. Nützlich z. B., wenn Sie spielerisch mit harten Verweisen während unserer Dateisystem-Schulung experimentieren oder wenn Sie dasselbe Image ein zweites Mal zum selben Fall hinzufügen möchten, was nur unter einen anderen Namen möglich ist. Die harten Verweise werden im gleichen Verzeichnis erzeugt und können von Ihnen selbstverständlich umbenannt und verschoben werden, nachdem sie erzeugt wurden. Extras | Disk-Tools | Verhardlinken.

Fallbearbeitung

• Mächtigere und bequeme massenhafte Datenverarbeitung dank einer neuen Option, die automatisch logische Suchen nach dem Erweitern des Datei-Überblicks anstoßen kann (bisher nur Indexierung), und dank einer Option, die das sofortige Erweitern des Datei-Überblicks (und dadurch auch logische Suchen) direkt nach dem Hinzufügen von Images zum Fall erlaubt. Das bedeutet, daß Sie sich anfangs durch alle Dialogfenster durchklicken und dann alle ausgewählten Operationen ohne weitere Benutzerinteraktion laufen lassen können. Dies geschieht in folgender Reihenfolge: Erst werden alle Images dem Fall hinzugefügt. Dann werden die Datei-Überblicke erstellt und, sofern gewünscht, auch erweitert. Anschließend wird, falls gewählt, in ausgewählten Asservaten (bereits bestehenden oder neu hinzugefügten) eine logische Suche durchgeführt. Schließlich kann auch noch ein Index für alle gewählten Asservate erstellt werden..

• Möglichkeit, die Menübefehle zum Erweitern des Datei-Überblicks und Starten einer logischen Suche in ausgewählten Asservaten auch dann aufzurufen, wenn gerade keine Datenfenster offen sind. Wie immer öffnen diese Operationen die Datenfenster eigenständig, wenn sie gebraucht werden, und schließen sie wieder, wenn dies nicht mehr der Fall ist, um unnötige Speicherbelastung durch geladene Datei-Überblicke zu vermeiden.

• Ein neuer Befehl im Kontextmenü des Fallbaums erlaubt es, eine pseudographische Darstellung des gewählten Teilbaums als Unicode-Textdatei auszugeben, die am besten mit einer Schriftart mit fixer Zeichenbreite einzusehen ist. Der exportierte Baum repräsentiert Unterverzeichnisse in ihrem aktuellen Zustand (aus- oder eingeklappt). Der Menübefehl ist für Asservate verfügbar und auch für Verzeichnisse, sofern Sie die Strg-Taste beim Anklicken eines Verzeichnisses im Fallbaum mit der rechten Maustaste gedrückt halten. Denken Sie daran, wenn Sie einen Teilbaum komplett rekursiv ausklappen möchten, können Sie dazu die Wurzel dieses Teilbaums anklicken und die Multiplikationstaste auf dem Nummernblock der Tastatur drücken, wie überall in Windows üblich.

• Möglichkeit zum Ändern der Reihenfolge von Asservaten im Fallbaum, im Eigenschaft-Dialogfenster, außer für „abhängige“ Asservate (Partitionen, die zu einem physischen Datenträger gehören).

• Kürzere und sprachunabhängige Namen von Fallunterverzeichnissen in allen Fällen, die von v16.1 und neuer erstellt werden.

• Bequemere Bedienung des Programms, wenn sich Pfad oder Laufwerksbuchstabe von Images in einem Fall geändert haben, besonders wenn das Image zum Fall in v16.1 oder später hinzugefügt wurde und Sie das Standardverzeichnis für Images in den allgemeinen Optionen bereits entsprechend aktualisiert haben.

• Benachrichtigung schon beim Öffnen eines Falls, wenn er nur schreibgeschützt geöffnet werden kann, weil ein Schreibschutz-Attribut auf der .xfc-Datei oder unzureichende Berechtigungen ein Ändern der Datei verhindern,

Images

• Möglichkeit zum Interpretieren von VMware Virtual Machine Disk Images (VMDK) zusätzlich zu .e01-Evidence.Files, Roh-Images, ISO-Images und VHD.

• Möglichkeit, das System automatisch in den Ruhezustand zu versetzen, nach Abschluß von Datenträgersicherung, Image-Wiederherstellung und Klonen von Datenträgern. (Bisher einzige Option war komplettes Herunterfahren.) Wenn Windows signalisiert, daß das Versetzen in den Ruhezustand nicht gelingt, versucht X-Ways Forensics ein komplettes Herunterfahren.

• Datenträgersicherungen als komprimierte .e01-Evidence-Dateien beschleunigt für Datenträger, die große Bereiche reiner Nullbytes enthalten, z. B. weil sie vom Benutzer oder vom Hersteller mal mit Nullen überschrieben und danach nie komplett mit anderen Daten gefüllt wurden.

• Neue Kompressionsoption „sparse“ für .e01-Evidence-Dateien, die nur große Bereiche von Nullbytes auf sehr effiziente Weise komprimiert.

• Zusätzliche Informationen in der Log-Datei für Datenträgersicherungen.

Registry-Viewer

• Es wurde ein zusätzliches Fenster im Registry-Viewer eingebaut, das Ihnen die logische Größe des ausgewählten Werts verrät und die Größe seines Schlupfes. Es interpretiert auch Registry-Werte folgenden Typs, wie vom Registry-Bericht her bekannt: MRUListEx, BagMRU, ItemPos, ItemOrder, Order (menu), ViewView2, SlowInfoCache, IconStreams (Tray notifications), UserAssist, Zeitstempel (FILETIME, EPOCHE, Epoche8), MountedDevices, OpenSavePidlMRU, LastVisitedPidlMRU u. a. Das neue Fenster zeigt auch die Zugriffsberechtigungen des gewählten Schlüssels an, wenn (Default) ausgewählt ist.

• Neue Spezialtabelle „External Memory Devices“ im Registry-Bericht, die aus dem Software-Hive von Windows Vista und neuer gewonnen werden kann und externe Datenträger auflistet mit Zeitstempeln, Hardware-Seriennummer, Volume-Label, Volume-Seriennummer und Größe (letzteres oft nur unter Vista). Wählen Sie die Definitionsdatei „Reg Report Devices.txt", um die Tabelle auszugeben.

• Weitere neue Spezialtabelle namens „Browser Helper Objects", zusammengestellt aus Daten von den Hives NTUSER.DAT und Software, über Browser-Nutzung.

• Neuer Befehl „Liste exportieren“ im Registry-Viewer, der die Ausgabe aller Werte im ausgewählten Hive in einer tabulatorseparierte Textdatei erlaubt.

• Diverse kleinere Verbesserungen im Registry-Viewer und -Bericht.

Diverses

• Neue Version der intern benutzten Bibliothek zur Anzeige von Bildern.

• Neue Version der intern benutzten Bibliothek zur Dekompression von Datei-Archiven.

• Viele zusätzliche Datei-Signatur-Definitionen, überwiegend nur für Datei-Typ-Prüfungen.

• Die intensive Dateisystem-Datenstruktur-Suche prüft nun INDX-Puffer auf Index-Records, die existierende Dateien referenzieren, die nicht aus der $MFT ersichtlich sind, weil die $MFT z. B. defekt oder unvollständig ist, z. B. weil das Image unvollständig ist.

• Die Metadaten-Extraktion ist vom Kontextmenü des Verzeichnis-Browsers in die Erweiterung des Datei-Überblicks gewandert. Daher kann sie nun nicht mehr auf ausgewählte Dateien angewandt werden, sondern entweder auf alle Dateien, markierte Dateien oder alle nicht unterdrückten Dateien.

• Sie können bequem Viewer-Fenster (deren Inhalt von der Viewer-Komponente bereitgestellt wird) durch Drücken der Esc-Taste auf der Tastatur schließen.

• Es ist jetzt möglich, Filter-Dialogfenster durch Klick auf den „x“-Schalter in der oberen rechten Ecke oder Drücken von Alt+F4 bei aktivem Filter so zu schließen, daß der Filter nicht deaktiviert wird und auch die aktuelle Auswahl und die aktuelle Rollposition im Verzeichnis-Browser verloren gehen.

• Wenn die Funktion „Wiederherstellen/Kopieren“ verwendet wird und der Ausgabe-Dateiname gekürzt werden muß, um das vom Benutzer vorgegebene Pfadlängen-Limit einzuhalten, wird der Dateiname nun auf schönere Weise gekürzt, so daß die Dateinamenserweiterung wann immer möglich beibehalten wird. (nur mit forensischer Lizenz)

• Indexierung leicht beschleunigt.

• Viele kleinere Verbesserungen.

Änderungen von v16.0 SR-1 bis SR-11:

SR-1

• Im ursprünglichen Release war es nicht möglich, die Codepage für die Textspalte zu ändern. Das wurde behoben.

SR-2

• Problem bei der Darstellung von Zahlen behoben, das bei der ersten Ausführung einer frischen Installation auftrat.

SR-3

• Dateinamen werden nun wenn immer möglich beibehalten beim Kopieren von Dateien von Asservaten zur Aufnahme in den Fallbericht.

• Größere Systemschriftarten von Windows wirken sich nun auch im Verzeichnis-Browser voll aus.

• WinHex und X-Ways Forensics haben das in Windows eingestellte Datumsformat nicht richtig erkannt, wenn Tage oder Monate mit u. U. nur 1 Ziffer dargestellt werden sollten (z. B. d.m.yyyy oder m/d/yy). Das wurde behoben.

• Der Script-Befehl „Find“ kann nun auch dann eine Suche ohne Beachtung von Groß- und Kleinschreibung durchführen, wenn der Suchbegriff eine Variable ist.

SR-4

• Beim Zusammensetzen von RAIDs konnte der Stil „level 5 forward parity dynamic“ seit v15.8 nicht gewählt werden. Das wurde behoben.

• Ausnahmefehler bei der Metadaten-Extraktion vermieden.

• In bisherigen Releases von v16.0 hat X-Ways Forensics Benutzernamen beim Hinzufügen von Asservaten mit Windows-Installationen zum Fall nicht richtig aufgelöst. Das wurde korrigiert..

SR-5

• Datei-Header-Signatur-Suchen in bisherigen Releases von v16.0 haben Dateitypen nicht gefunden, deren Signaturen an relativen Offsets größer als 0 definiert waren. Das wurde behoben.

• Die Unicode-Unterstützung in Registry-Hives wurde weiter vervollständigt. Dies betrifft Benutzernamen und die Besitzer-Spalte im Verzeichnis-Browser.

• Unterstützung des Ordners Windows Image Acquisition MRU im Registry-Bericht.

• Die Option, einen bereits existierenden Index bei einer erneuten Indexierung nicht zu überschreiben, funktionierte nicht. Das wurde behoben.

SR-6

• Speicherleck in der Datei-Header-Signatur-Suche von v16.0 gestopft.

• Einige kleinere Verbesserungen bei der Verarbeitung von Registry-Hives.

SR-7

• Registry-Bericht weiter verbessert. Ein Ausnahmefehler behoben.

• Kleines Speicherleck in der Datei-Header-Signatur-Suche gestopft.

SR-8

• Speicherleck in intensiver Dateisystem-Datenstruktur-Suche für ReiserFS-Dateisysteme gestopft.

• Einige speicherintensive Funktionen waren in SR-7 sehr langsam. Das wurde korrigiert.

• Kleine Fehlerbehebung bei der Arbeit mit NTFS-Partitionen, die größer als 2 TB sind.

SR-9

• Unterstützung für höhere Sektorzahlen in Extras | Disk-Tools | Plattenparameter eingeben.

• Die besondere Registry-Bericht-Tabelle „Attached devices by serial number“ war in v16.0 SR-8 unvollständig. Das wurde behoben.

• Fähigkeit zum Umgang mit bestimmten mißgebildeten Multi-Part-E-Mails.

SR-10

• Problem mit unzulässigen Dateinamen behoben im Zusammenhang mit in den Bericht aufzunehmenden Dateien.

• Definitionsdateien für den Registry-Bericht aktualisiert.

• Fähigkeit zur Extraktion von Zeitstempeln aus E-Mails mit einem Microsoft FILETIME-Datum.

SR-11

• Ein Fehler wurde in der Datei-Header-Signatur-Suche von v16.0 behoben, der bei bestimmten Signaturen bei Suche auf Byte-Ebene auftrat.

• Ein seltener Fehler wurde vermieden, der offenbar auftreten konnte beim Interpretieren von Datei-Containern, die Dateien ohne Namen enthalten.

• Ein Ausnahmefehler wurde vermieden, der beim Erzeugen des Datei-Überblicks von großen Ext4-Partitionen mit vielen Inodes und kleinen Blöcken auftreten konnte.

• Das Klonen von Datenträgern meldete bei mehr als 2 TB die vollständige Anzahl der kopierten Sektoren nicht korrekt. Das wurde korrigiert.

• Fähigkeit zum Öffnen von Fällen, die mit v16.1 erzeugt wurden.

• Diverse kleinere Verbesserungen und Korrekturen.

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 16.0.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter http://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics mit aktiver Update-Berechtigung nun auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich „Announcements“ per E-Mail anfordern: http://www.winhex.net

Schulungen

Köln: 2.-6. Mai 2011: X-Ways Forensics + Dateisysteme
Köln: 28. Juni-1. Juli 2011:   X-Ways Forensics + Speicherforensik (!)
Weitere Informationen
Veranstaltungen werden auch auf unserer Facebook-Seite angekündigt.

F-Response jetzt besonders günstig!

Dank des im Vergleich zum Euro derzeit noch schwächeren US-Dollar konnten wir die Preise für F-Response senken. Günstiger und besser als mit X-Ways Forensics und F-Response zusammen können Sie andere über Netzwerk erreichbare Computer unseres Erachtens nach nicht sichern oder direkt untersuchen! Details hier.

Was ist neu in v16.0?

• Die gierige Auswahl vieler oder gleich aller Dateitypen für die Datei-Header-Signatur-Suche verlangsamt diese nun nicht mehr. Datei-Header-Signatur-Suchen wurden beträchtlich beschleunigt und werden in ihrer Geschwindigkeit praktisch nur noch von dem Datenträger begrenzt, von dem die Daten gelesen werden.

• Extras | Disk-Tools | Datenträger klonen erlaubt nun (mit Specialist- oder forensischer Lizenz), das Kopieren von Datenträger-Sektoren auch in umgekehrter Reihenfolge, also von hinten (vom Ende des Datenträgers beginnend) rückwärts. Das ist nützlich, wenn die Quellfestplatte schwerwiegende physische Defekte aufweist, die z. B. ein Sicherungsprogramm oder gleich den ganzen Computer zum Einfrieren oder Absturz bringen, wenn ein bestimmter Sektor erreicht wird. In einem solchen Fall können Sie zusätzlich ein Image in umgekehrter Reihenfolge erzeugen, wobei die Sektoren von der Platte rückwärts gelesen werden, und es ist sogar möglich, ein bereits auf konventionelle Weise (vorwärts) erzeugtes, aber (aufgrund eines Absturzes) unvollständiges Image zusätzlich noch von hinten zu befüllen, das daraufhin so vollständig wie möglich wird und nur irgendwo in der Mitte einen kleinen mit binären Nullen gefüllten blinden Fleck aufweist, der den nicht lesbaren beschädigten Bereich des Quelldatenträgers repräsentiert. X-Ways Forensics ist ein ausgeklügeltes Disk-Imaging-Tool, nicht nur aufgrund seiner Geschwindigkeit, und wir dürfen nochmal daran erinnern, daß zusätzliche Dongles extra für Datenträger-Sicherungen viel günstiger als vollständige Lizenzen verfügbar sind (s. hier).

• Mit den zusätzlichen Dongles für X-Ways Forensics nur für Datenträger-Sicherungen (Details) können Sie nun auch die Funktionalität Extras | Disk-Tools | Datenträger klonen verwenden.

• Möglichkeit zum Interpretieren von Daten in der Textspalte als Text in einer beliebigen wählbaren Codepage. Dies ist sehr nützlich für ostasiatische und osteuropäische Codepages sowie für UTF-8, wenn in diesen Codepages codierter Text außerhalb von Dateien gefunden wird, die mit der Viewer-Komponente schön eingesehen werden können, z. B. im freien Laufwerksspeicher. Der Zeichensatz/die Codepage für die Textspalte kann nun über Ansicht | Zeichensatz festgelegt werden. Bitte beachten, daß Sie in den Allgemeinen Optionen u. U. erst noch eine Schriftart auswählen müssen, die alle Zeichen, die Sie lesen können möchten, auch enthält, und daß für die Anzeige von ostasiatischen Zeichen muß Unterstützung von derlei Sprachen in Windows installiert sein muß. Die Möglichkeit, den Zeichensatz/die Codepage für die Modi Disk/Partition/Datei wählen zu können, ist zunächst testweise nun auch in X-Ways Investigator verfügbar.

• Möglichkeit zum Einsehen von Event-Logs von Windows Vista und Windows 7 (.evtx-Dateien), basierend auf Arbeit von Andreas Schuster.

• Vollständig überarbeitete und robustere Behandlung von Windows-Registry-Hives. Fähigkeit zum Finden gelöschter Schlüssel und Werte in Hives, die unbenutzten Speicher enthalten, sowie zum Finden verwaister Schlüssel/Werte in beschädigten/unvollständigen Hives. Im Registry-Bericht werden gelöschte Wert rot hervorgehoben. Wenn kein vollständiger Pfad für Schlüssel bekannt ist, werden diese nun als Unterschlüssel eines neu eingeführen virtuellen Schlüssels namens "Pfad unbekannt" in den Baum eingeordnet. Mit all den Verbesserungen zur Registry-Analyse in dieser Version sollte X-Ways Forensics endgültig das am gründlichsten arbeitende Tool in diesem Bereich sein.

• Analyse des freien Speichers in Registry-Hives mit der neuen Berichtsdefinitionsdatei "Reg Report Free Space.txt". Der freie Speicher kann mehrere MB groß sein, besonders als Konsequenz des Einsatzes von Viren-Scannern und Registry-Säuberungsprogrammen.

• Schlupfspeicher in Registry-Werten kann NTUSER.DAT-Hives relevante Größen erreichen. Diese Tatsache wird mit den zwei folgenden Maßnahmen ausgenutzt:
  
  1) Wenn der Schlupf Text-Strings enthält, wird er in Registry-Bericht ausgegeben (in Grün). Dieses neue Feature kann optional im Kontextmenü des Registry-Viewers ausgeschaltet werden.
  
  2) Für Werte, die sog. Item-Lists enthalten, also binär sind, können Sie die Definitionen in "Reg Report Free Space.txt" verwenden, um im Registry-Bericht Listen von Dateinamen mit Zeitstempeln in Grün auszugeben. Der erste Zeitstempelist ein Zugriffsdatum, der zweite ein Erzeugungsdatum. Wenn keine Zeitstempel ausgegeben werden, handelt es sich um Artefakte von "RecentDocs".

• Der Registry-Viewer erlaubt es nun, alle Schlüssel und Werte eines Hives rekursiv zu erkunden und in chronologischer Reihenfolge zu sortieren.

• Die Suchfunktion im Registry-Viewer ist jetzt gründlicher und robuster.

• Bessere Unicode-Unterstützung im Registry-Bericht für Registry-Hives von Computern in Asien.

• Tray-Notification-Artefakte von Registry-Hives aus Windows 7 werden jetzt unterstützt und decodiert. Die Zeitstempel machen diese Artefakte für Computerforensik nützlich. Weiter verbesserte Unterstützung von Shell-Bags.

• Im Registry-Bericht deckt ein neuer Datentyp %I (ITEM-List) nicht nur Shell-Bags ab (wie in früheren Versionen), sondern z. B. auch Arbeitsplatz-Verknüpfungen. Das Format würde für Windows Vista und 7 angepaßt.

• Möglichkeit, die Schreibweise von Datum, Zeit und Zahlen anzupassen (s. neuer Schalter in den Allgemeinen Optionen). Nützlich z. B., um unabhängig zu sein von den Einstellungen in einem Live-System, das man voreinsehen möchte. Möglichkeit, Jahreszahlen mit nur 2 Ziffern anzuzeigen.

• Die Option zur Anzeige von Bruchteilen von Sekunden in Zeitstempeln mit hoher Auflösung wurde von den Verzeichnis-Browser-Optionen in die neuen Notationsoptionen verschoben. Das gleiche gilt für die Option, den Abstand zur UTC-Zeitzone anzeigen zu lassen.

• Es ist jetzt möglich, ein Asservat auch dann zu öffnen, wenn der zugehörige Datenträger/das Image gerade nicht verfügbar ist, über einen speziellen Befehl im Kontextmenü des Asservats, um zumindest den Datei-Überblick einsehen zu können. Das bedeutet, Sie können alle Datei-Metadaten sehen, die im Datei-Überblick gespeichert sind (Dateiname, Pfad, Dateigröße, Zeitstempel, Attribute usw.), können die meisten Filter verwenden usw., aber können keine Daten in Sektoren sehen und keine Dateien öffnen/einsehen.

• Verbesserte Thumbnails-Extraktion aus den thumbcache_*.db-Dateien von Windows Vista und Windows 7. Fähigkeit, bestimmten Thumbnails Originaldateiname, Pfad und Änderungszeitstempel zuzuordnen, bei denen zuvor zur Benennung nur eine aus 16 Ziffern bestehende Hex-Zahl verwendet wurde.

• Wenn Sie vom Datei-Modus in den Modus Partition/Volume wechseln, bringt Sie X-Ways Forensics neuerdings automatisch an den Offset aus der Sicht der Partition/des Volumes, der dem Offset in der Datei entspricht, an dem der Cursor zuletzt positioniert war, auch wenn die Datei fragmentiert ist, wenn es einen entsprechenden Offset gibt (was nicht der Fall ist, wenn die Datei eine komprimierte oder virtuell angehängte Datei ist oder eine extrahierte E-Mail oder ein exportiertes Video-Einzelbild o. ä.).

• Möglichkeit, das Verzeichnis anzugeben, in dem ein Fall erzeugt werden soll, bei der Erzeugung eines neuen Falls, mit Gültigkeit nur für den speziellen Fall.

• Verzeichnisse mit Suchtreffern, die aus einer Suchtrefferliste heraus kopiert werden, erhalten nun einen besonderen namen, wenn Sie als Dateien im Ausgebordner wiederhergestellt werden.

• Das Sortieren nach den Suchbegriffsanzahl-Spalte wurde beschleunigt.

• Ein Ausnahmefehler wurde behoben, der beim Extrahieren von MP4- und ASF-Dateien auftreten konnte.

• Die Hash-Datenbank-Funktionen wurden intern überarbeitet. Beim Importieren der NSRL-RDS-Hash-Datenbank prüft X-Ways Forensics auf Datensätze mit den Flags "s" (special) und "m" (malicious), so daß diese Hash-Werte nicht fälschlicherweise in das gleiche interne Hash-Set aufgenommen werden, das als irrelevant klassifiziert werden sollte.

• Es ist jetzt möglich, länger andauernde Sortieroperationen abzubrechen. Der Verzeichnis-Browser ist nun nach dem Programmstart standardmäßig zunächst unsortieren. Dieses neue Verhalten kann in den Verzeichnis-Browser-Optionen abgeschaltet werden.

• Die Gruppieroptionen haben nun auch dann eine Wirkung, wenn im Verzeichnis-Browser nicht sortiert wird.

• Der Berichtstabellenfilter hat eine neue Option, die zusätzlich die "Geschwister" von Dateien in einer Berichtstabelle mit ausgeben kann, d. h. Dateien im selben Verzeichnis. Das ist nützlich, insbes. wenn man rekursiv erkundet und nach Pfad sortiert, um zu prüfen, ob weitere relevante Dateien in der Nachbarschaft zu finden sind.

• Möglichkeit, beim Verknüpfen einer Datei mit einer Berichtstabelle, etwaige bekannte Duplikate der Datei im selben Asservat (die anhand von Hash-Werten als Duplikate erkannt wurden und in der Attributspalte entsprechend gekennzeichnet sind) ebenfalls der Berichtstabelle zuzuordnen.

• Eine neue investigator.ini-Option +38 erlaubt es, das Importieren von Berichtstabellen-Verknüpfungen zu verhindern.

• Möglichkeit zum Identifizieren von animierten GIF-Grafiken. Animierte GIFs werden während der Dateityp-Prüfung einer besonderen Berichtstabelle hinzugefügt.

• Unterstützung für zwei neue Zip-Untertypen: APK Android Smartphone-Packages und KEY Apple iWork Keynote Präsentationen..

• Viele kleinere Verbesserungen.

Änderungen von v15.9 SR-1 bis SR-8:

SR-1:

• Allgemeine Unterstützung von Sektorgrößen bis 8 KB (bisheriges Maximum: 4 KB).

• Unterstützung von GPT-partitionierten Datenträgern mit 4 KB und 8 KB großen Sektoren.

• Kompatibilität mit HFS+/HFSX-Dateisystemen auf Datenträgern mit Sektorgrößen von mehr als 2 KB, wie in iPhones und iPads anzutreffen.

• Fähigkeit zum automatischen Erkennen der Sektorgröße in Roh-Images von GPT-partitionierten Datenträgern mit Sektorgrößen von 4 KB und 8 KB.

• Fähigkeit zum automatischen Erkennen der Sektorgröße in den meisten Roh-Images von MBR-partitionierten Datenträgern mit einer Sektorgröße von 4 KB.

• Nach so vielen Meldungen zu Verbesserungen bezüglich Sektorgrößen hier mal nur ein Eintrag zum Spaß, um zu testen, ob überhaupt jemand alles genau durchliest.

• Der teilweise Fortschritt der Erweiterung des Datei-Überblicks wird nun mit gespeichert, wenn das Zeitintervall zum automatischen Speichern des Falls abgelaufen list.

SR-2:

• Die Option "Nur 1 Treffer pro Datei auflisten" funktionierte in v15.9 zunächst nicht richtig. Dies wurde korrigiert.

• Funktion zum Löschen von doppelten Suchtreffern verbessert. Im Zweifelsfall behält X-Ways Forensics jetzt den längeren Suchbegriff bei (da ein Treffer für "Meierhoff" z. B. spezifischer ist als für "Meier") und bevorzugt Suchtreffer in existierenden Dateien.

• Das Auflisten von Millionen Suchtreffern wurde beschleunigt.

• Das Dialogfenster zum Öffnen von Datenträgern ohne Verwendung eines Falls war falsch. Dies wurde behoben.

SR-3:

• Der Hash-Set-Filter funktionierte in v15.9 anfänglich nicht. Das wurde korrigiert.

• Ein Ausnahmefehler wurde vermieden, der unter bestimmten Umständen beim Durchführen einer Datei-Header-Signatursuche auf Byte-Ebene auftreten konnte.

• Wenn die Kontextvorschau von Suchtreffern in Dateien in großen Archiven zu langsam ist, dann können Sie sie nun mit abschalten durch Abwahl der Option "Galerie: Bilder in Archiven anzeigen".

SR-4:

• Ein Ausnahmefehler wurde vermieden, der auftreten konnte, wenn das Fenster mit dem Asservat-Überblick bei Programmstart automatisch geöffnet wurde.

• Harmlose, aber evtl. störende Nachrichten vermieden, die von Windows u. U. angezeigt wirden, wenn man mit Images auf schreibgeschützten Laufwerken arbeitete.

• Ein Fehler wurde behoben, der beim Laden von Datei-Überblicken mit mehr als 6 Millionen Objekte auftreten konnte.

• Laufwerksbuchstaben fehlten in der besonderen Tabelle im Registry-Bericht in früheren Releases von v15.9. Dies wurde korrigiert.

SR-5:

• Mit dem neuen Suchalgorithmus wurden GREP-Ausdrücke variabler Länge in v15.9 mit dem kürzesten passenden Treffer gefunden statt mit dem längsten. Das wurde geändert.

SR-6:

• Das Auftreten eines Ausnahmefehler in v15.9 SR-5 beim Erweitern eines Datei-Überblicks ohne Fall wurde vermieden.

• Das Verschwinden von Partitionen im Fallbaum beim Entfernen von unterdrückten Objekten aus dem Datei-Überblick von physischen Datenträgern wurde korrigiert.

• Ein Ausnahmefehler wurde vermieden, der bei Verwendung der Wiederherstellen/Kopieren-Funktion auftreten konnte.

• Ein Fehler beim Umgang mit .e01-Evidence-Files, die aus mehr als 775 Segmenten bestehen, wurde behoben.

• Japanische Übersetzung aktualisiert.

SR-7:

• HFS+-Partitionsgrößenerkennung auf Datenträgern mit herkömmlicher Apple-Partitionierung korrigiert..

• Fähigkeit zum Umgang mit Volumes, deren Cluster aus mehr als 128 Sektoren bestehen, was in exFAT-Dateisystemen nicht unüblich zu sein scheint..

• Ausnahmefehler behoben, der im bestimmten Situationen im neuen Suchalgorithmus von v15.9 auftreten kmonnte.

• In WinHex 15.7 bis 15.9 mit Specialist-Lizenz konnte die parallele Suche nicht ohne Unterscheidung von Groß- und Kleinschreibung suchen. Das wurde korrigiert.

• Verbesserte Handhabung der internen Dateien des Datei-Überblicks, wenn das Lesen oder Schreiben dieser Dateien aufgrund von unzureichend freiem Speicher oder anderen Systemressourcen oder Dateisystem-Fehlern oder anderen Gründen fehlschlägt.

• Vollständigere Zuordnung von Laufwerksbuchstaben in der besonderen Tabelle "Attached Devices" im Registry-Bericht.

SR-8:

• Interne technische Informationen über .e01-Evidence-Files wurden in den Asservateigenschaften u. U. mehrfach aufgenommen. Dies wurde behoben.

• Mit Windows 7 kompatible Übernahme von regionalen Einstellungen (Datumsformat).

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 15.9.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter http://www.x-ways.net/winhex/license-d.html.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich „Announcements“ per E-Mail anfordern: http://www.winhex.net

Was ist neu in v15.9?

• Vier entscheidende Verbesserungen wurden bereits in Ausgabe #119c des Newsletters über v15.9 Beta vorgestellt:
  1) der neue Suchalgorithmus, der eine dramatische Beschleunigung konventioneller (Nicht-Index-) Suchen mit mehreren Suchbegriffen und Suchvarianten bewirkt,
  2) die neuen Spalten für Suchbegriffe und Suchbegriffsanzahl,
  3) der nochmals stark verbesserte Registry-Bericht
  4) Mehrbenutzerfähigkeit für größere Verfahren, unter Einsatz von Containern oder ohne.

Seit Erscheinen des o. g. Newsletters gab es noch folgende Verbesserungen:

• Die Standarddefinitionsdatei für Registry-Berichte wurde in 8 Teile zerlegt, so daß Sie beim Erstellen eines Berichts immer wählen können, welche Teile Sie benötigen. Wie zuvor können Sie die Definitionen nach eigenem Bedarf anpassen oder Ihre eigenen Definitionsdateien für spezielle Zwecke/verschiedene Arten von Fällen erstellen.

• Besser vorbereitet auf bestimmte PST-Dateien.

• E-Mails aus Outlook 2011 für Mac werden nun besonders unterstützt bei der Datei-Header-Signatursuche, Typprüfung, Extrahieren von Datei-Anhängen und in der Vorschau.

• Für die neue Suchtrefferspalte gibt es nun einen Filter.

• Es wird nun die Anzahl der Treffer angezeigt zu Suchbegriffen, die nicht ausgewählt sind, die basierend auf den aktuellen Einstellungen aufgelistet würden, wenn die Begriffe ausgewählt werden.

• Diverse kleinere Verbesserungen.

Änderungen von v15.8 SR-6 und SR-7:

• Unvermögen von v15.8 korrigiert, Datei-Überblicke bestimmter früherer Versionen korrekt zu konvertieren.

• Verbesserte Verarbeitung von .mht-Dateien.

• Speicherleck bei der E-Mail-Extraktion behoben.

• Die externe Virenprüfung funktionierte in v15.6 bis v15.8 nicht korrekt (und informierte den Benutzer darüber). Dies wurde korrigiert.