X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

#85: WinHex & X-Ways Forensics 12.7 veröffentlicht

2. Dez. 2005

Ein beachtenswertes Update ist erschienen, v12.7.

WinHex-Download: http://www.x-ways.net/winhex.zip

Weitere Informationen für registrierte Benutzer, insbes.
Instruktionen zum Download von X-Ways Forensics, unter
http://www.x-ways.net/winhex/upgrade-d.html . Dort erhalten
Sie Details zum Status Ihrer Lizenz, Upgrade-Angebote usw.
Wenn Sie WinHex oder X-Ways Forensics vor weniger als 12
Monaten erworben haben, erfahren Sie von dort auch, bis
wann genau Sie von kostenlosen Updates profitieren.

-------------------------------------------------------------

Was ist neu in v12.7?

* Rekursiv erkundete Verzeichnisse werden nun im Verzeichnis-
baum mit besonderen Icons kenntlich gemacht. Ein einfacher
Rechtsklick im Verzeichnisbaum ist nun ausreichend, um ein
Verzeichnis mitsamt dem Inhalt aller Unterverzeichnisse aus-
zugeben statt wie zuvor über einen Rechtsklick und einen
Kontextmenübefehl.

* Verzeichnisse, deren Inhalt entweder ganz oder teilweise
markiert ist, werden nun im Verzeichnisbaum ebenfalls
besonders hervorgehoben. Die mittlere Maustaste kann verwendet
werden, um Verzeichnisse zu markieren oder ihre Markierung
aufzuheben.

* Unterstützung der Dateisysteme UFS und UFS2, sowohl in
der Big-Endian- als auch der Little-Endian-Variante.

* Der Befehl "Datei-Überblick erweitern" schmückt sich nun
auch mit dem statistischen Entropie-Test zum Auffinden von
möglicherweise vollverschlüsselten Dateien, wie vom nun
überholten Befehl "Laufwerksinhaltstabelle erstellen"
bekannt. Zusätzlich werden jetzt PDF-Dokumente und MS-
Office-Dokumente (MS Word 4...2003, MS Excel 2...2003,
MS PowerPoint 97-2003 und MS Project 98-2003) auf datei-
formatspezifische Verschlüsselung bzw. dateiformatspezi-
fischen Paßwortschutz getestet und besonders kenntlich
gemacht.

* Die Informationsspalte wird nun jeweils als Teil eines
Datenfensters angezeigt, genauer gesagt in den Daten- oder
Sektorenbereich von Datenfenstern integriert. Dies hat den
Vorteil, daß horizontal mehr Platz auf dem Bildschirm zur
Verfügung steht für den Verzeichnis-Browser, die Galerie-
ansicht, die Dateivorschau, den Kalender, die Legende und
die Statusleiste.

* Zusätzlich zu der (leicht) reduzierten Benutzeroberfläche
gibt es nun optional eine extrem vereinfachte sog. Sach-
bearbeiter-Oberfläche, die gedacht ist für Ermittler in der
Strafverfolgung,
- die spezialisiert sind z. B. in Bereichen wie Wirtschafts-
kriminalität,
- die kein profundes Wissen über Computerforensik benötigen,
- die die technischen Einblicke, die WinHex und X-Ways
Forensics bekanntermaßen nebenbei gewähren, nicht brauchen,
- die z. B. bequem zu handhabende Datei-Container von versier-
ten Computerforensik-Fachleuten erhalten, mit ausgewählten
Dateien verschiedener Quellen (z. B. "alle Dokumente, die
die Stichwörter x und y enthalten"), in denen irrelevante
Dateien bereits so gut wie möglich herausgefiltert sind,
- die Hunderte von elektronischen Dokumenten sichten müssen,
relevante Dokumente erkennen, mit Kommentaren versehen,
logische Strukturen und Verbindungen identifizieren und mit
Hilfen von Kommentaren kenntlich machen, Dokumente drucken,
und all das möglichst mit wenigen Mausklicks, in einer
einzigen Umgebung, die es ihnen erspart, jedes Dokument
einzeln zu extrahieren und in der zugehörigen Applikation
einzulesen.
Der Sachbearbeiter-Oberfläche fehlen äußerlich viele fortge-
schrittene technische Funktionen, um Nicht-EDV-Fachleuten
einen leichteren Zugang zum Programm zu gewähren. Forensische
Lizenzen, die ausschließlich die Verwendung der Sachbearbeiter-
Oberfläche erlauben, sind auf Anfrage zu 50% des regulären
Preises erhältlich. Wir würden uns über Ihr Interesse freuen.

* Bestimmte Suchoperationen (ohne GREP, mit mehreren
Suchbegriffen, ohne Unterscheidung von Groß- und Klein-
schreibung) sind nun merklich schneller.

* Datei-Container können nun optional die Namen von Daten-
trägern/Images als oberste Verzeichnisebene übernehmen,
so daß beim Betrachten eines Containers mit Dateien aus
unterschiedlichen Quellen offensichtlich ist, welche
Dateien aus welchem Asservat stammen.

* Es ist jetzt möglich, Dateien mit UNIX-artigen Permissions
und Dateien mit DOS/Windows-artigen Attributen im selben
Datei-Container unterzubringen. Beides wird in X-Ways
Forensics korrekt dargestellt.

* Datei-Überblicke, die von v12.7 oder später erzeugt
werden, enthalten ein fiktives Verzeichnis "Pfad unbekannt"
statt zuvor "Gelöschte Objekte". Grund: Eine Übersicht
speziell aller gelöschten Objekte ist bereits in rekursiven
Ansichten unter Einsatz des dynamischen Filters verfügbar,
so daß nur noch Bedarf besteht für ein Verzeichnis, in dem
behelfsweise solche gelöschten oder anderweitig verloren-
gegangenen Dateien untergebracht werden, deren Pfad unbe-
kannt ist, weil sie entweder verwaist sind oder nur anhand
ihrer Header-Signatur entdeckt wurden.

* Möglichkeit verbessert, Datenträger auf einem laufenden
System voreinzusehen, ohne daß temporäre Dateien irgendwo
auf diesem System geschrieben werden. Zu diesem Zweck
können Sie den Ordner für temporäre Dateien und für Fälle
z. B. auf die CD setzen, von der aus Sie X-Ways Forensics
starten (etwa einfach "." als Pfad angeben). X-Ways Forensics
wird Ihnen dann erlauben, einen vorläufigen Fall anzulegen
und damit zu arbeiten, kann ihn dann nur nicht speichern.
Beachten Sie, daß X-Ways Forensics nicht "installiert" zu
werden braucht, sondern auch auf fremden Rechnern direkt
ausgeführt werden kann.

* Der Laufwerkbuchstabe, der den Ordner für Image-Dateien
enthält, ist nun offiziell als legitimer Speicherort für
Dateien in X-Ways Forensics freigegeben.

* Der Schlupfspeicher einer Datei kann nun gezielt einem
Datei-Container hinzugefügt werden, wenn Sie die Shift-
Taste beim Aufruf des Menübefehls zum Hinzufügen der Datei
gedrückt halten. (seit 12.6 SR-1)

* Optional können Sie nun "schlanke" Datei-Überblicke ohne
Cluster-Zuordnungsfeststellung für alle Dateisystem
aktivieren (Sicherheitsoptionen). Dies ist nützlich z. B.
wenn Sie in ein fremdes laufendes System Einblick nehmen,
die temporären Dateien für den Datei-Überblick auf Ihren
eigenen USB-Stick schreiben lassen, dies aber nur mit der
Geschwindigkeit von USB 1.1 vonstattengeht. (seit v12.6
SR-4)

* Möglichkeit, ein intern zusammengesetztes RAID 0 als
Quelldatenträger im Dialogfenster "Datenträger klonen"
auszuwählen, so daß sie das gesamte RAID auf ein einzige
konventionelle Festplatte überführen können, wenn sie denn
groß genug ist. (seit v12.6 SR-7)

* Diverse andere kleinere Verbesserungen und Fehlerkorrekturen.

 

#84: WinHex & X-Ways Forensics 12.65 veröffentlicht

27. Okt. 2005

Ein beachtenswertes Update ist erschienen, v12.65.

WinHex-Download: http://www.x-ways.net/winhex.zip

Weitere Informationen für registrierte Benutzer,
insbes. Instruktionen zum Download von X-Ways Forensics,
unter http://www.x-ways.net/winhex/upgrade-d.html .

WinHex 12.65 ist ein kostenloses Update für alle Inhaber
einer auf WinHex 11.8 oder neuer ausgestellten Lizenz
(z. B. online erworben nach dem 22.10.2004). Unter
http://www.x-ways.net/winhex/upgrade-d.html erfahren
Sie mehr über den Erwerb eines preisreduzierten Upgrades,
falls Sie nicht mehr dazugehören oder auf einen anderen
Lizenztyp umsteigen möchten. Ein Upgrade berechtigt Sie,
zukünftige Versionen mindestens der nächsten 12 Monate
wieder kostenlos zu erhalten.

-------------------------------------------------------------

Was ist neu in v12.65?

* Wir bieten forensische Lizenzen nun optional ohne
Updatefähigkeit an (zu einem reduzierten Preis) oder mit
2 Jahren Updatefähigkeit statt 1 Jahr (zu einem Aufpreis).

* Möglichkeit, Dateien und Verzeichnisse im Verzeichnis-
Browser mit einem Kommentar zu versehen. Danach kann man
mit dem Filter bequem solche Objekte ausblenden, die
keinen Kommentar haben oder sich auf solche konzentrieren,
die einen bestimmten Kommentar haben, also gewisse Stich-
wörter enthalten. Der Kommentar wird auch in den Bericht
aufgenommen, wenn die Objekte Teil einer Berichtstabelle
sind und die Tabelle im flachen Format ausgegeben wird.
(nur mit forensischer Lizenz)

* Ausgewählte Hash-Sets können nun aus der internen Hash-
Datenbank exportiert werden, um sie mit anderen Benutzern
gemeinsam benutzen zu können, ohne die gesamten Datenbank
austauschen zu müssen.

* Die Anzeige von Verzeichnissen kann nun rekursiv unter-
drückt werden, so daß alle Dateien und Unterverzeichnisse
ebenfalls ausgeblendet werden. Wenn Sie nur den Inhalt
bestimmter Verzeichnisse einsehen dürfen/möchten, können
Sie alle übrigen Verzeichnisse daher vom Verzeichnis-
Browser, aus der Galerie-Ansicht, von logischen Suchvor-
gängen, Kopieraktionen usw. ausschließen.

* Neues Darstellungsweise der Markierung von Dateien und
Verzeichnissen (reine visuelle Kennzeichnung). Möglichkeit,
alle markierten Dateien und Verzeichnisse, die im
Verzeichnis-Browser aufgelistet sind, auszuwählen.
(nur mit forensischer Lizenz)

* Auch das Markieren von Verzeichnissen kann rekursiv
erfolgen, so daß ihre Dateien und Unterverzeichnisse mit
markiert werden. Dann kann z. B. die Anzeige aller nicht
markierten Objekte unterdrückt werden. Mit Hilfe des
dynamischen Filters kann man Markierungen und Unter-
drückungen flexibel anwenden.

* Das Kontextmenü des Verzeichnis-Browsers wurde umstruk-
turiert.

* Die Operationen beim Erweitern des Datei-Überblicks
können nun beschränkt werden auf alle markierten Dateien
oder auf Dateien, deren Anzeige nicht unterdrückt wurde.

* Es ist jetzt möglich, ausgewählte Dateien innerhalb von
Archiven einem Datei-Container hinzuzufügen. Voraussetzung:
Der Datei-Überblick wurde erweitert und enthält den Inhalt
von Archiven.

* Neue Script-Befehle: GetClusterAllocEx, GetClusterSize

* Diverse kleinere Verbesserungen und Fehlerbehebungen.
Z. B. wird nun während der Erzeugung von Hash-Sets der
Name der gerade gehashten Dateien in der Titelzeile des
Fortschrittsanzeigefensters angezeigt. Die Core-Datei der
geladenen internen Hash-Datenbank wird nun gesperrt,
während WinHex/X-Ways Forensics läuft, um zu verhindern,
daß ein Benutzer das Verzeichnis mit der Hash-Datenbank
in dieser Zeit versehentlich verschiebt oder ersetzt.

-------------------------------------------------------------

Häufig gestellte Fragen:

* Wie installiere ich das Update am besten?

Es reicht aus, die neue Version mit dem Setup-Programm in
den bestehenden WinHex-Ordner zu installieren. Es ist
nicht nötig, die bereits installierte Version voher zu
deinstallieren. Allerdings muß WinHex vor der Installation
beendet werden. Nach der Installation kann ein Windows-
Neustart erforderlich sein. Falls die neue Version für
Sie nicht mehr als kostenloses Update zur Verfügung steht
oder Sie eine neue Lizenzdatei benötigen, wird eine
entsprechende Warnung bei der Installation ausgegeben,
_bevor_ die alte Version überschrieben wird.

* Berechtigt mich meine Lizenz noch zu kostenlosen Updates?

Die Online-Datenbank informiert Sie über den Ablauf Ihrer
Updateberechtigung: http://www.x-ways.net/winhex/upgrade-d.html.

 

#83: WinHex & X-Ways Forensics 12.6 veröffentlicht

25. Sept. 2005

Ein beachtenswertes Update ist erschienen, v12.6.

WinHex-Download: http://www.x-ways.net/winhex.zip

Weitere Informationen für registrierte Benutzer,
insbes. Instruktionen zum Download von X-Ways Forensics,
unter http://www.x-ways.net/winhex/upgrade-d.html .

WinHex 12.6 ist noch immer ein kostenloses Update für
alle Inhaber einer auf WinHex 11.7 oder neuer ausge-
stellten Lizenz (z. B. online erworben ab September
2004). Unter http://www.x-ways.net/winhex/upgrade-d.html
erfahren Sie mehr über den Erwerb eines stark preis-
reduzierten Upgrades, falls Sie nicht mehr dazugehören
oder auf einen anderen Lizenztyp umsteigen möchten.
Der Kauf der aktuellen Version (oder das Upgrade)
berechtigt Sie, zukünftige Versionen mindestens der
nächsten 12 Monate kostenlos zu erhalten.

-------------------------------------------------------------

Besitzer von forensischen Lizenzen können X-Ways Trace
2.0 (NEU: Unterstützung von Mozilla/Firefox und Opera)
bis zum 30. September mit 15% Rabatt erhalten! Den
Gutscheincode für Online-Bestellungen erhalten Sie
ebenfalls von http://www.x-ways.net/winhex/upgrade.html .
Infos über X-Ways Trace: http://www.x-ways.net/trace/

-------------------------------------------------------------

Was ist neu in v12.6?

* Erweiterte Datei-Überblicke lösen Laufwerksinhalts-
tabellen ab als empfohlene Grundlage, Dateien auf
Computer-Datenträgern systematisch und vollständig zu
begutachten. Sie bieten ähnliche Features an (wie die
Möglichkeit, in Dokumente eingebettete Bilder aufzu-
listen, Hautfarbenanteile zu berechnen usw.) und er-
lauben es zusätzlich, auch verzeichnisweise vorzugehen,
nicht nur in Form einer flachen Liste.

* Möglichkeit, Dateien anhand von Kriterien wie Lösch-
zustand, Dateiname, Dateityp-Kategorie, Hash-Set-Zuge-
hörigkeit usw. bequem und dynamisch herauszufiltern.
Optionen | Verzeichnis-Browser. Möglichkeit, ausgewählte
Dateien auszublenden (weil sie z. B. irrelevant für
die aktuelle Betrachtung sind) und später wieder ein-
zublenden.

* GREP-Syntax bei physischen und logischen parallelen
Suchen. (nur mit Specialist- und forensischer Lizenz)

* Logische Suchen in mehreren Asservaten auf einmal
sind nun bequemer durchzuführen mit der Hilfe des
globalen Fallwurzelfensters, in dem die zu durchsuchenden
Asservate ausgewählt werden können. Im Gegensatz zur
Suche in einer verschmolzenen Inhaltstabelle ist es
möglich, Suchergebnisse in Form einer Trefferliste
oder als Tabelle von Dateien mit Treffern auszugeben.

* Die Dateivorschau ist nun auch während des Betrachtens
von Suchtrefferlisten und Lesezeichen verfügbar. Die
Kontextvorschau von Suchtreffern wird nun auch bei
Unicode-Suchtreffern unterstützt.

* Möglichkeit, forensische Datei-Container anzulegen.
(Nur mit forensischer Lizenz.) Ein Datei-Container ist
eine spezielle Roh-Image-Datei, der Sie über den
Verzeichnis-Browser Dateien per Kontextmenu hinzufügen
können. Dabei gehen einige technische Metadaten (wie
Original-Clusterbelegung) verloren, jedoch bleiben Name,
Pfad, Größe, Attribute, Zeitstempel und insbes. der
Inhalt erhalten. Wenn Sie also ausgesuchte Dateien
(auch von verschiedenen Asservaten) mit besonderer
Relevanz für einen Fall in einem einzigen handlichen
Container an andere Beteiligte des Verfahrens weiter-
geben möchten, die irrelevante Dateien nicht zu sehen
brauchen oder sogar nicht sehen dürfen, empfiehlt sich
diese Funktion. Datei-Container lassen sich ab X-Ways
Forensics 12.6 wie andere Image-Dateien auch inter-
pretieren und bequem untersuchen.

* Diverse kleinere Verbesserungen.

 

 

 

#82: WinHex & X-Ways Forensics 12.55 veröffentlicht

3. Sept. 2005

Ein beachtenswertes Update ist erschienen, v12.55.

WinHex-Download: http://www.x-ways.net/winhex.zip

Weitere Informationen für registrierte Benutzer, insbes. Instruktionen zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html .

WinHex 12.55 ist ein kostenloses Update für alle Inhaber einer auf WinHex 11.7 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 1. Sept. 2004). Unter http://www.x-ways.net/winhex/upgrade-d.html erfahren Sie mehr über den Erwerb eines stark preisreduzierten Upgrades, falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten.

-------------------------------------------------------------

Was ist neu in v12.55?

* Möglichkeit, gelöschte oder anderweitig verlorene Dateien auf Reiser4-Partitionen zu finden. Möglichkeit, den internen Reiser4-Baum zu rekonstruieren, wenn seine Wurzel verlorengegangen ist, z. B. nach einer Umbildung des Baums, wenn Linux den aktualisierten Puffer des Superblocks nicht zurück auf die Platte schreiben konnte. Alle diese Features sollten Alleinstellungsmerkmale sein, die Sie nirgendwo sonst finden.

* Der standardmäßige Datei-Überblick, der nicht auf einer Inhaltstabelle basiert, kann nun ähnlich wie eine Laufwerksinhaltstabelle erweitert werden. Verwenden Sie Specialist | Datei-Überblick erweitern, um verwaiste Dateien und Verzeichnisse auf FAT-Partitionen zu finden, verlorene Bestandteile der MFT auf NTFS-Partitionen und gelöschte Dateien auf ReiserFS- und Reiser4-Partitionen. Gelöschte oder anderweitig verlorene Verzeichnisse, die mit der intensiven Suche bei der Erstellung des Datei-Überblicks gefunden werden, werden auch im Verzeichnisbaum im Falldaten-Fenster eingefügt und bleiben dort auch nach
einem Neustart von X-Ways Forensics bestehen, wenn Sie X-Ways Forensics Datei-Überblicke aufbewahren lassen (Voreinstellung). Nach einer intensiven Suche im Rahmen der Erstellung des Datei-Überblicks erscheint auch für ReiserFS- und Reiser4-Partitionen das Hilfsverzeichnis "Gelöschte Objekte".

* Verschlüsselung mit 256-Bit AES (Rijndael) auf der Höhe der Zeit. Diese Implementierung von AES arbeitet im Counter-Modus (CTR) und mit gehashten 256-Bit-Schlüsseln, kryptographisch sicherem Zufallseinfluß ("Salt") und einem
zufällig bestimmten Initialzählerstand. Verwenden Sie Bearbeiten | Konvertieren, um eine oder mehrere Dateien auf einmal zu ver- oder entschlüssen.

* Evidence-Files können nun ebenfalls mit 256-Bit AES verschlüsselt werden. Auch verschlüsselte Evidence-Files erlauben wahlfreien Lesezugriff. Natürlich sind die Datentransferraten von verschlüsselten Evidence-Files etwas niedriger als bei unverschlüsselten. Verschlüsselte Evidence-Files werden nicht von anderen Computerforensik-Software-Produkten unterstützt.

* Es ist jetzt möglich, Falldateien mit einem Paßwort zu versehen und dadurch wahlweise nicht autorisiertes Öffnen oder Speichern zu verhindern. Dieser Schutz basiert nicht auf Verschlüsselung, so daß er theoretisch mit genügend Anstrengung und Hintergrundwissen umgangen werden kann.

* Das Markieren von Dateien und das Hinzufügen zur Tabelle besonders wichtiger Objekte sind nun zwei separate Operationen. Daher können Sie das Markieren nun wahlweise für andere Zwecke einsetzen, z. B. um Dateien als "bereits untersucht" zu kennzeichnen. Wenn Sie weiterhin Dateien beim Klassifizieren als "wichtig" visuell hervorheben lassen möchten, können Sie das alte Verhalten in den Verzeichnis-Browser-Optionen einstellen. Als Nebeneffekt der Aufspaltung ist es jetzt möglich, Dateien in Archiven der Tabelle besonders wichtiger Objekte hinzuzufügen.

* In Fällen, die mit X-Ways Forensics 12.55 und später erstellt werden, gibt es ein zusätzliches Unterverzeichnis pro Asservat, mit dem Präfix "_Metadata". Das Standard-Unterverzeichnis ist dann reserviert für Originaldateien, die aus dem Asservat stammen, und im Meta-Daten-Unterverzeichnis werden Dateien abgelegt, die von X-Ways Forensics selbst erzeugt wurden: Laufwerksinhaltstabellen, Suchtrefferlisten und auch die Dateien, die den gespeicherten Datei-Überblick (Volume Snapshot) beinhalten. Durch diese Trennung wird jede Unklarheit darüber vermieden, welche Dateien Originalbeweismaterial darstellen und welche Dateien unterstützender Natur sind. Außerdem ist es nun einfach, die Dateien zu identifizieren, die die Datenbank mit dem Datei-Überblick eines bestimmten Asservats bilden.

* Wenn die separate Viewer-Komponente aktiv ist, können Sie nun Dateien zum Drucken im Verzeichnis-Browser auswählen und den Drucken-Befehl im Kontextmenü verwenden.

* Es ist nun möglich, noch während eine logische oder physische Suche läuft und WinHex Suchtreffer auflistet, die Treffer einzusehen und die Dateien, die die Treffer enthalten, über das Kontextmenü der Trefferliste zu öffnen. Nach dem Öffnen können Sie die Dateien auch mit der Viewer-Komponente einsehen (Extras | Einsehen) oder die Dateien exportieren (Datei | Speichern untern). Es ist nun auch möglich, zwischen Suchtrefferliste und Verzeichnis-Browser während einer laufenden Suche hin- un herzuwechseln, indem man die betreffenden Modusschalter anklickt. (seit v12.5 SR-1)

* WinHex-Backups im alten WHX-Format wurden in v12.1 bis 12.5 SR-1 bei eingeschalteter Verschlüsselung nicht korrekt verschlüsselt. Diese Backups sind nicht sicher geschützt. Fehler behoben seit v12.5 SR-2.

* Mehrere weitere kleine Verbesserungen.

 

#81: WinHex & X-Ways Forensics 12.5 veröffentlicht

12. August 2005

Das größte Update des Jahres ist erschienen, v12.5.

WinHex-Download: http://www.x-ways.net/winhex.zip

Instruktionen für registrierte Benutzer, insbes. zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html .

WinHex 12.5 ist ein kostenloses Update für alle Inhaber einer auf WinHex 11.6 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 20. Juni 2004). Unter http://www.x-ways.net/winhex/upgrade-d.html erfahren Sie mehr über den Erwerb eines stark preisreduzierten Upgrades, falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten.

-------------------------------------------------------------

X-WAYS CAPTURE 1.0
Elektronische Beweismittelsicherung mit Erfolg

Computerforensik-Tool für die elektronische Beweismittelsicherung von Windows- und Linux-Systemen im laufenden Betrieb. X-Ways Capture sichert alle Daten logisch und physisch, so daß auch solche Daten für eine forensische Untersuchung zur Verfügung stehen, die einer Verschlüsselung oder anderem Zugriffsschutz unterworfen, aber zum Zeitpunkt der Sicherung gerade per Passwort freigeschaltet waren. So vermeiden Sie, wie nach dem Abschalten des Systems und einer konventionellen Sicherung unnötigerweise mit leeren Händen dazustehen, wenn Sie feststellen, daß relevante Dateien verschlüsselt sind. Etwaige Passwörter lassen sich u. U. zudem später im gesicherten Arbeitsspeicher finden.

Unter http://www.x-ways.net/capture/ erhalten Sie weitere Informationen und können des Newsletter zu X-Ways Capture abonnieren, um über Neuerungen informiert zu werden.

-------------------------------------------------------------

Was ist neu in WinHex & X-Ways Forensics 12.5?

* Das Apple-Macintosh-Dateisystem HFS+ (auch bekannt als HFS Plus und Mac OS Extended) und das brandneue Linux-Dateisystem Reiser4 werden nun nativ unterstützt. (nur forensische Lizenzen)

* Das Erkunden großer Verzeichnisse (einschließlich großer "Gelöschte Objekte"-Ordner) ist nun sehr schnell. Auch das rekursive Erkunden ganzer Partitionen (per Rechtsklick auf Stammverzeichnis) wurde immens beschleunigt!

* Das Verzeichnis "Gelöschte Objekte" auf NTFS-Partitionen zeigt nun Originalpfade an, soweit bekannt, anstatt nur "?". Es gibt nun ein ebensolches Verzeichnis für FAT-Partitionen.

* WinHex kann auf FAT-Partitionen nun häufiger die ehemalige Zuordnung von nun freien Clustern zu gelöschten Dateien rekonstruieren.

* Alternative Datenströme (ADS) auf NTFS-Partitionen, Nicht-Verzeichnis-INDX-Ströme und $EFS-Ströme werden nun in der normalen Verzeichnisansicht auch aufgelistet, nicht nur in Inhaltstabellen.

* Die Größe von Verzeichnissen wird auf NTFS-Partitionen nun immer angezeigt.

* Die Nummern der jeweils ersten Cluster von Dateien und Verzeichnissen kann nun in einer optionalen Spalte des Verzeichnis-Browsers angezeigt werden. Das erlaubt es Ihnen, Dateien anhand ihrer physischen Anfangsposition auf dem Datenträger zu sortieren sowie existierende und gelöschte Dateien zu identifizieren, die denselben Startcluster referenzieren.

* Die sechs vorgenannten Verbesserungen basieren zur Gänze (Spalte "1. Cluster": teilweise) auf einer neuen Methode der Dateisystemanalyse, die sofort beim Öffnen einer Partition stattfindet. Diese Analyse ist vollständiger als der frühere sog. Cluster-Scan und ersetzt ihn.

* Die IDs von Dateien und Verzeichnissen, wie entweder vom Dateisystem oder von WinHex selbst vergeben, werden jetzt in einer optionalen Spalte im Verzeichnis-Browser angezeigt.

* Die alternative Zugriffsmethode Nr. 1 ist nun die Standardmethode für optische Datenträger. Der Vorteil ist, daß immer die volle Sektoranzahl auf CDs und DVD erkannt wird. Das bedeutet auch, daß die Wahl einer der alternativen Zugriffsmethode nun nur noch Auswirkungen auf Festplatten hat. Die Methode Nr. 1 arbeitet nun auch mit einem Time-Out.

* In ganz bestimmten Konfigurationen under Windows 2000/XP hat WinHex früher die erkannte Festplatten-Modellbezeichnung und -Größe mit der falschen physischen Festplatte assoziiert. Das sollte nicht mehr auftreten. Außerdem kann WinHex unter Windows 2000/XP nun auch den Bustyp erkennen, mit dem eine Festplatte angeschlossen ist (ATA, SATA/SCSI, USB, ...).

* Verbesserte Unterstützung für Dateinamen mit Zeichen aus nicht westeuropäischen Sprachen. (seit v12.35)

Verbesserungen am Verzeichnis-Browser u. a.:

* Sie können nun mehrere Zeichen eintippen, um im Verzeichnis-Browser zum ersten übereinstimmenden Eintrag zu springen (z. B. t-o-m, um zu "tomate.jpg" zu gelangen). Das ist besonders bei sehr langen Dateilisten nützlich. Die eingetippten Zeichen werden mit den Einträgen in derjenigen Spalte verglichen, die gerade als Hauptsortierkriterium ausgewählt ist.

* Das Aktualisierung der Anzeige beim Gedrückthalten von Cursor-Tasten in einem Verzeichnis-Browser mit vielen hunderttausend Einträgen wurde verbessert.

* Wird der Mauszeiger über das Icon eines Objekts im Verzeichnis-Browser gehalten, wird nun zusätzlich zum vollständigen Pfad die Nummer dieses Objekts in einem Tooltip angezeigt. Die Zahl kann z. B. verwendet werden, um die Untersuchung von Dateien genau dort fortzusetzen, wo der Verzeichnis-Browser verlassen wurde. Das Kontextmenü des Verzeichnis-Browsers (Untermenü Position) erlaubt es, zu einem beliebigen Objekt anhand seiner Nummer zu springen. Die Numerierung beginnt mit 0. Beachten Sie, daß die Numerierung der Objekte davon abhängt, was genau im Verzeichnis-Browser aufgelistet ist, und je nach gegenwärtigem oder früheren Sortierkriterium anders ausfallen kann.

* Der Speicherbedarf des Verzeichnis-Browsers wurdereduziert.

--

* Die Galerieansicht wurde vom Verzeichnis-Browser entkoppelt. Das heißt, wenn genügend Platz auf dem Bildschirm ist, werden nun mehr Miniaturbilder pro Seite
angezeigt als Objekte im Verzeichnis-Browser zugleich sichtbar sind.

* Schutz gegen bestimmte seltene Bilddateien, die X-Ways Forensics zuvor zum Hängen gebracht haben, mit Hilfe eines Time-Out.

* Die Funktion ROT13 ist nun unter Bearbeiten | Daten modifizieren verfügbar.

* Das Zurückschreiben einer nicht interpretierten Image-Datei auf einen Datenträger ist nun unter Windows 2000/XP deutlich schneller.

* Wenn die Segmente eines Roh-Image über zwei verschiedene Laufwerke verteilt sind, ist es nun möglich, den anderen Speicherort mitzuteilen, indem man die Strg-Taste gedrückt hält, wenn das erste Segment interpretiert wird.

* Dateien, die einer im Bericht auszugebenden Tabelle hinzugefügt werden, können im Bericht nun selbst als Bild oder Link eingefügt werden, wenn die Tabelle als flache, vertikale Liste ausgegeben wird und die entsprechende Option in den Falleigenschaften zum Zeitpunkt des Hinzufügens eingeschaltet war.

* Fehler beim Öffnen von Dateien auf bestimmten ReiserFS-Partitionen behoben. (seit v12.35 SR-3)

* Fehler in der Datensatzdarstellung und im Befehl "Seite aufsuchen" behoben. (seit v12.35 SR-3)

* Zeitweilige Nichtakzeptanz der Header-Größe 0 beim Zusammensetzen von RAID-0-Systemen korrigiert.

* Ein Fehler, der beim Umbenennen von Hash-Sets auftreten konnte, wurde behoben.

* Verwendung auf eigene Gefahr: Möglichkeit, große Partitionen mit FAT32 zu formatieren, was Windows XP für 32 GB und größer nicht zuläßt, aber oft wünschenswert ist aus Gründen der Kompatibilität mit anderen Betriebssystemen
(z. B. DOS, um Image-Dateien mit X-Ways Replica sichern zu können). Öffnen Sie eine Festplattenpartition, die nicht als Laufwerksbuchstabe geladen ist, und drücken Sie Umschalt+Strg+F. Sie werden dann nach der gewünschten Cluster-Größe gefragt (128 Sektoren pro Cluster maximal; 8, 16 oder 32 empfohlen).

* Mehrere weitere kleine Verbesserungen.

 

#80: WinHex & X-Ways Forensics 12.35 veröffentlicht

11. Juli 2005

Ein kleineres Update ist erschienen, v12.35.

WinHex-Download: http://www.x-ways.net/winhex.zip

Instruktionen für registrierte Benutzer, insbes. zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html .

WinHex 12.35 ist noch immer ein kostenloses Update für alle Inhaber einer auf WinHex 11.26 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 2. März 2004). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines stark preisreduzierten Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten.

-------------------------------------------------------------

COMPUTERFORENSIK-SCHULUNG IN KÖLN

"X-Ways Forensics", 2.+3. August
"Dateisysteme FAT, NTFS und Ext2/Ext3", 4.+5. August

Weitere Informationen unter http://www.x-ways.net/signup-d.html und http://www.x-ways.net/training-d.html . Teilnehmerzahl begrenzt.

-------------------------------------------------------------

Was ist neu?

* Unterstützung für Festplattenpartitionierung wie bei Apple-Computern üblich. (seit v12.3 SR-1)

* Unterstützung für das Datums- und Zeitformat der Apple-Dateisysteme im Datendolmetscher und in Schablonen. (seit v12.3 SR-1)

* Kompatibilitätsprobleme mit bestimmten Evidence-Files behoben.(seit v12.3 SR-2)

* Einige Korrekturen in der Unterstützung von CDFS und UDF. (seit v12.3 SR-2)

* Fehler beim erneuten Laden bestimmter Inhaltstabellen behoben. (seit v12.3 SR-1)

* Die Beschränkungen bzgl. akzeptierter Ausgabeordner in X-Ways Forensics wurden etwas gelockert. (seit v12.3 SR-3)

* Fehler beim Aufruf von externen Programmen behoben.

* Verbesserungen in der Viewer-Komponente mit Stand vom 5. Juli:
- scaling for drawings in PDF documents improved
- handling of frames that should appear behind text in RTF files
- support for bidirectional display of Hebrew and Arabic text files
- character and font mapping
- handling of extended characters in PowerPoint
- handling of a system's default character set
- mapping of some Chinese characters in RTF files
- better memory usage in RTF files that contain embedded files,
- support for V4 encryption for PDF password security in PDF 1.4 vs. 1.5
- faster text decoding in PDF documents, UUE files, Microsoft Project documents, password-protected PowerPoint and Excel files, Outlook PST, Lotus 1-2-3, WordPerfect 5x, AutoCAD, and more

* Einige weitere kleinere Verbesserungen und Fehlerkorrekturen.

 

#79: WinHex & X-Ways Forensics 12.3 veröffentlicht

23. Juni 2005

Ein kleineres Update ist erschienen, v12.3.

WinHex-Download: http://www.x-ways.net/winhex.zip

Instruktionen für registrierte Benutzer, insbes. zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html .

WinHex 12.3 ist noch immer ein kostenloses Update für alle Inhaber einer auf WinHex 11.26 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 2. März 2004). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines stark preisreduzierten Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten.

-------------------------------------------------------------

COMPUTERFORENSIK-SCHULUNG IN KÖLN

"X-Ways Forensics", 2.+3. August
"Dateisysteme FAT, NTFS und Ext2/Ext3", 4.+5. August

Weitere Informationen unter http://www.x-ways.net/signup-d.html und http://www.x-ways.net/training-d.html . Teilnehmerzahl begrenzt.

-------------------------------------------------------------

Was ist neu?

* Es ist jetzt möglich, solche JPEG- und PNG-Bilder in eine Inhaltstabelle aufzunehmen, die eingebettet sind in MS-Word-Dokumenten, PDF-Dateien oder thumbs.db-Miniaturansicht-Puffern. Solche Bilder können anhand ihrer Dateiheader-Signatur gefunden werden. Sie werden unter generischen Namen aufgelistet als "Embedded 1.jpg", "Embedded 2.png" usw. (seit v12.25 SR-1, nur forensische Lizenzen).

* Wenn Sie Dateien nur auf ihren Inhalt hin untersuchen und Dateinamen, Zeitangaben, Löschzustand und andere Metadaten irrelevant sind, können Sie nun den Befehl "Duplikate entfernen" im Kontextmenü des Verzeichnis-Browsers verwenden, um inhaltlich identische Dateien aus einer Inhaltstabelle basierend auf Hash-Werten herauszufiltern (sofern Hash-Werte berechnet wurden).

* Möglichkeit, X-Ways Trace für Browser-History-Dateien namens "history.dat", wie von Mozilla und Firefox verwendet, aufzurufen, sowie für Opera's Browser-Cache-Übersichtsdatei "dcache4.url". Eine Beta-Version von X-Ways Trace 2.0, die diese Dateitypen nun interpretieren kann, ist verfügbar von http://www.x-ways.net/trace/ .

* Beim Kopieren/Retten von Dateien mit dem Verzeichnis-Browser oder über "Dateien retten nach Name" unterscheidet das Fallprotokoll nun, ob existierende Dateien "kopiert" oder gelöschte/verlorene Dateien "gerettet" wurden.

* Möglichkeit, Berichtstabellen in den Fallbericht in Form von flachen, vertikalen Listen auszugeben, was vorteilhaft zum Ausdrucken ist, während zur Anzeige im Browser auf dem Bildschirm die standardmäßige 3D-Tabellenausgabe weiterhin nützlich ist.

* In "Dateien retten nach Typ" kann das Präfix für die Ausgabedateinamen nun einen Platzhalter "%d" enthalten, der durch den Datenträgernamen ersetzt wird. Dies ist vor allem dann hilfreich, wenn Sie "Dateien retten nach Typ" auf mehrere Datenträger auf einmal anwenden, um Dateien leicht unterscheiden zu können, die von unterschiedlichen Datenträgern stammen, ohne in das Protokoll schauen zu müssen.

* Einige kleinere Verbesserungen und Fehlerkorrekturen.

 

#78: WinHex & X-Ways Forensics 12.25 veröffentlicht

2. Juni 2005

Ein kleineres Update ist erschienen, v12.25.

WinHex-Download: http://www.x-ways.net/winhex.zip

Instruktionen für registrierte Benutzer unter
http://www.x-ways.net/winhex/upgrade-d.html .

WinHex 12.25 ist ein kostenloses Update für alle Inhaber einer auf WinHex 11.26 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 2. März 2004). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den
Erwerb eines Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten.

-------------------------------------------------------------

Was ist neu?

* Es gibt nun eine alternative Zugriffsmethode Nr. 2, die sich auf den Umgang mit physischen Festplatten unter Windows 2000/XP auswirkt. Diese Methode erlaubt es Ihnen, einen Time-Out in Millisekunden anzugeben, nach dem Leseversuche abgebrochen werden. Dies kann auf Platten mit defekten Sektoren nützlich sein, auf denen sonst der versuchte Zugriff auf einen einzigen beschädigten Sektor zu eine Verzögerung von mehreren Sekunden oder Minuten führen kann. (seit v12.2 SR-8)

* Es ist jetzt möglich, die Funktion "Dateien retten nach Typ" direkt auf physischen Arbeitsspeicher anzuwenden. (seit v12.2 SR-5)

* Die Anzeige von Datensatz-Nummern und relativen Datensatz-Offsets in der Statusleiste, wenn die Datensatz-Darstellung aktiv ist, wurde verbessert. Außerdem gibt es nun einen Dialog "Datensatz aufsuchen", und Strg+Bild auf/ab bewegt den Cursor in Einheiten der Datensatzgröße. (seit v12.2 SR-6)

* Eine neue Schablone interpretiert den Header und die Attributsstruktur von FILE-Records in NTFS. Die Schablone kann über das Zugriffsschaltermenü erreicht werden, wenn gerade ein FILE-Record in der Sektorenansicht sichtbar ist.

* Die Größe des Fallprotokolls kann nun in den Falleigenschaften und den Asservateigenschaften eingesehen werden. Das Protokoll und alle zugehörigen Bildschirmfotos können von dort aus auch gelöscht werden. (seit v12.2 SR-4)

* Bis zu 50 (statt zuvor 32) virtuelle logische Laufwerke (=Partitionen von physischen Platten oder Image-Dateien) können nun zugleich geöffnet sein

* Bis zu 50 (statt zuvor 32) virtuelle physische Platten (=entsprechend interpretierte Image-Dateien) können nun zugleich geöffnet sein.

* Einige weitere kleinere Verbesserungen und Fehlerkorrekturen.

* X-Ways Replica: v2.35 ist ein wichtiges Update, mit dem ein Fehler in der MD5-Berechnung für Datenmengen größer als 256 MB behoben wurde.

 

#77: WinHex & X-Ways Forensics 12.2 veröffentlicht

2. Mai 2005

Ein beachtenswertes Update ist erschienen, v12.2.

WinHex-Download: http://www.x-ways.net/winhex.zip

Instruktionen für registrierte Benutzer unter http://www.x-ways.net/winhex/upgrade-d.html.

WinHex 12.2 ist noch immer ein kostenloses Update für alle Inhaber einer auf WinHex 11.25 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 17. Jan. 2004). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten.

-------------------------------------------------------------

Was ist neu?

* Es ist jetzt möglich, Dateien zu neu erzeugten Tabellen hinzuzufügen, die im Bericht unter eindeutigen Namen aufgeführt werden können. Dies ermöglicht es Ihnen, eine große Anzahl relevanter Dateien systematischer zu verwalten als in nur einer einzigen Inhaltstabelle für wichtige Dateien. Zum Beispiel könnten Sie relevante Favoriten-Dateien des Internet Explorers in einer Tabelle sammeln und aussagekräftige Bilder in einer anderen. Benutzen Sie das Kontextmenü der Asservate um eine leere Berichts-Inhaltstabelle zu erzeugen. (nur mit forensischer Lizenz)

* Es ist jetzt möglich, Inhaltstabellen bequem mit dem Kontextmenü des Falldatenfensters zu kopieren. Indem Sie auf Kopien arbeiten, können Sie sicherstellen, daß Sie die ursprüngliche Dateiliste nicht verlieren, wenn Sie irrelevante Dateien entfernen, um die Liste der potentiell relevanten Dateien einzugrenzen.

* Zusätzlich zu dynamischen Platten der Typen "simple", "spanned" und "striped" unterstützt WinHex jetzt auch logische RAID-5-Partitionen von Windows 2000. (nur mit Specialist- oder forensischer Lizenz)

* WinHex kann jetzt RAID-0-Systeme mit bis zu fünf Komponenten (physische Platten oder Image-Dateien) intern zusammensetzen und unterstützt unterschiedliche RAID-Header-Größen pro Komponente. Somit erübrigt sich die Benutzung eines Skripts zum Zusammenfügen und Exportieren von RAID-Systemen in ein neues Image und spart Zeit und Plattenspeicher. Öffnen Sie zuerst die Komponenten und rufen Sie dann den Menübefehl Specialist | "RAID-System zusammensetzen" auf. (nur mit Specialist- oder forensischer Lizenz) Die RAID-Konfiguration und die Partitionen, die im RAID-System angelegt sind, können in Asservaten gespeichert werden, womit es möglich ist, auf diese ohne Zeitverlust später wieder zuzugreifen. (nur mit forensischer Lizenz)

* Wenn Sie den Anfangssektor einer Partition auf einer physischen Platte finden (z.B. eine verlorene Partition), kann WinHex eine solche Partition jetzt bequem über den Zugriffsschalter zugreifbar machen, mittels des neuen Menübefehls Extras | Disk-Tools | Als Partitionsanfang interpretieren.

* Bislang wurden Dateien mit einer bekannten Erweiterung, aber einer unbekannten (nicht passenden) Dateisignatur lediglich in den Inhaltstabellen-Dateien mit dem Wort "unknown" in der Mismatch-Spalte markiert, was z. B. in MS Excel sichtbar war. Solche Dateien werden jetzt auch im Verzeichnis-Browser entsprechend markiert, wenn eine Inhaltstabelle mit Typunstimmigkeitserkennung angezeigt wird. In diesem Fall steht "(Sign. unbek.)" in der sortierbaren Attr.-Spalte. (seit v12.15 SR-6)

* Dateien mit Endungen wie .jpg, .gif, .png usw., die nicht als Bilder dargestellt werden können, weil sie entweder defekt sind oder zu Unrecht mit der Dateiendung versehen worden sind, erscheinen jetzt mit einer ASCII-Darstellung in der Vorschau-Ansicht anstelle des Hinweises "Dieses Bild kann nicht angezeigt werden".

* Zusätzlich zur Navigation in Verzeichnissen im Verzeichnis-Browser ist es jetzt möglich, ihre Datenstrukturen in einem separaten Datenfenster zu öffnen, d. h. die Verzeichniseinträge in FAT und die INDX-Records in NTFS. (s. Kontextmenü des Verzeichnis-Browsers, seit v12.15 SR-4)

* Eine besondere Datei ".badblocks" wird nun im Stammverzeichnis der Dateisysteme Ext2/Ext3 angezeigt. Diese Datei enthält die defekten Blöcke, die dem Dateisystem bekannt sind.

* Verzeichnisleichen in den Dateisystemen Ext2 und Ext3 können nun optional ausgegeben werden. Gemeint sind gelöschte Dateien, von denen nur noch der Name bekannt ist, nicht jedoch ursprüngliche Daten, Größe oder Zeitangaben.

* Daß das Standardausgabeziel für gerettete Dateien das Verzeichnis des Asservats ist, ist jetzt optional. (s. Falleigenschaften, seit v12.15 SR-6)

* Es gibt eine neue Option, einzustellen in den Fall-Eigenschaften, die es ermöglicht, immer automatisch alle Partitionen zu einem Fall hinzuzufügen, wenn eine physische Platte hinzugefügt wird.

* Ein neuer Skript-Befehl "StrToInt" konvertiert in ASCII dargestellte ganze Zahlen in binär codierte Integer-Werte. Ein neuer "Release"-Befehl gibt den Speicher einer Variablen frei und zerstört die Variable.

* In Abhängigkeit von den gewählten Parametern haben die Suchfunktionen in v12.15 SR-2 bis SR-9 verfrüht abgebrochen. Dies wurde behoben.

* Das Klonen von Datenträgern mit defekten Sektoren, wenn sowohl die simultane E/A als auch die Erzeugung einer Log-Datei aktiviert waren, verursachte einen Absturz. Dies wurde behoben.

* Diverse weitere kleinere Verbesserungen sowie Fehlerkorrekturen.

Das Benutzerhandbuch wurde auf den neusten Stand gebracht.

 

 

#76: WinHex & X-Ways Forensics 12.15 veröffentlicht

19. April 2005

Ein beachtenswertes Update ist erschienen, v12.15.

WinHex-Download: http://www.x-ways.net/winhex.zip

Instruktionen für registrierte Benutzer unter http://www.x-ways.net/winhex/upgrade-d.html.

WinHex 12.15 ist ein kostenloses Update für alle Inhaber einer auf WinHex 11.25 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 17. Jan. 2004). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten.

-------------------------------------------------------------

Was ist neu?

* Bislang konnte der RAM-Viewer/RAM-Editor den virtuellen Speicher aktiver Prozesse laden. Zusätzlich hierzu ist es jetzt möglich, den physischen Arbeitsspeicher einzusehen bzw. zu editieren (unter Windows 2000 und XP).

* Physischer Zugriff auf Floppy-Disketten unter Windows 2000/XP ist jetzt 20% schneller als bisher. Physischer Zugriff auf DVDs unter Windows 2000/XP kann jetzt auch geschützte Sektoren lesen.

* Logische Suchoperationen können jetzt auch optional den Text extrahieren und decodieren, der in Dateien der Formate Adobe PDF, Corel WordPerfect (WPD), Corel Draw (CDR) und Microsoft Visio (VSD) enthalten ist, und kann den Klartext automatisch durchsuchen. Mögliche Suchtreffer in solchen Dateien würden sonst übersehen, da diese Dateitypen Text üblicherweise auf eine besonders codierte, verschlüsselte oder anderweitig unlesbare Art speichern. Diese Funktion benötigt die Viewer-Komponente für die Dekodierung und die Textextraktion. (http://www.x-ways.net/forensics/viewer-d.html)

* Suchtrefferlisten erlauben jetzt normalerweise, die zugehörige Datei zu öffnen, und dabei, sofern der relative Offset bekannt ist, automatisch zum Suchtreffer in der Datei zu springen. Dies ist insbesondere für Dateien nützlich, die entweder komprimiert sind oder deren Suchtreffer nur im dekodierten Klartext vorkommen, da es dort keine dem Suchtreffer entsprechende Position auf dem physischen Datenträger gibt, die angezeigt werden könnte. Sowohl der physische als auch der relative (= logische) Offset werden für Suchtreffer, sofern bekannt, in separaten Spalten angezeigt, falls verfügbar.

* Im Fall vieler tausend Suchtreffer oder Lesezeichen mit aktivierter Hervorhebung wurde die Darstellung bisher eher träge. Dieses Problem ist jetzt behoben.

* Logische Suchen in Verzeichnissen schließen jetzt auch die Verzeichnisdaten selbst mit ein, d. h. Verzeichniseinträge in FAT und INDX-Records in NTFS werden ebenfalls durchsucht.

* Dateisystembereiche wie etwa die Dateizuordnungstabelle (FAT), die Inodes in Ext2/Ext3 oder der interne Reiser-Baum können jetzt bequem logisch durchsucht werden über einen neuen Dummy-Eintrag namens "Dateisystembereiche" im Verzeichnisbrowser, analog zu "Freier Speicher".

* Wenn Verzeichnisse mit Hash-Set-Dateien importiert werden, ist es jetzt möglich, diese in ein einziges Hash-Set der internen Datenbank zu importieren, sie also unter einem einzigen Namen zu vereinigen.

* Das Importieren von Verzeichnissen mit vielen Hash-Sets in die interne Datenbank ist jetzt erheblich schneller. Dasselbe gilt für das Löschen von Hash-Sets aus einer sehr großen Datenbank.

* Zugriff auf die Daten in Roh-Image-Dateien (seit v12.1 SR-4) und Evidence-Dateien ist jetzt grundsätzlich ein bißchen schneller.

* Wenn das Laden sehr großer Dateien mit der separaten Viewer-Komponente zu lange dauert, können Sie den Prozess jetzt bequem abbrechen.

* Ein Rechts-Klick auf eine Datei im Verzeichnisbrowser (zum Aufruf des Kontextmenüs) löst keine Aktualisierung der Vorschau mehr aus, was möglicherweise die Anzeige des Menüs verzögert hätte.

* Es gibt jetzt eine Legende, die die Icons, Farben und Attribute erläutert, die im Verzeichnis-Browser angezeigt werden. (nur mit forensischer Lizenz, seit v12.1 SR-2)

* Es gibt jetzt eine optionale Spalte für die Kategorie des Dateityps im Verzeichnis-Browser. (nur mit forensischer Lizenz, seit v12.1 SR-3)

* ATA-Paßwortschutz auf Festplatten kann jetzt unter Windows 2000 und XP bei der Erstellung eines Datenträger-Detailberichts entdeckt werden (seit v12.1 SR-4). Falls festgestellt, wird der Schutzlevel berichtet und ob das Master-Paßwort noch der Werkseinstellung entspricht.

* Frühere Versionen von X-Ways Forensics and WinHex erlaubten dem Nutzer die Angabe von Segmentgröße für Evidence-Files von bis zu 2047 MB. Unter speziellen Umständen konnte offenbar der Fall auftreten, daß ein Set von Evidence-Files beschädigt erstellt wurde, wenn dieses Limit ganz oder beinahe ausgenutzt wurde. Ein Auftreten dieses Fehlers kann leicht festgestellt werden, da es zu einer sofortigen Fehlermeldung "Unvollständiges Image" führt, wenn diese Sicherung geöffnet wird. Derart defekte Sicherungen müssen neu erzeugt werden. Das neue Limit liegt bei 2025 MB, und eine derartige Beschädigung würde jetzt schon zum Zeitpunkt der Erstellung erkannt.

* In früheren Versionen konnte die Initialisierung von Schlupfspeicher auf NTFS-Partitionen unter Umständen zur Beschädigung EFS-verschlüsselter Dateien führen. Dieser Fehler ist behoben worden.

* Diverse weitere kleinere Verbesserungen.

-------------------------------------------------------------

Häufig gestellte Fragen:

* Wie installiere ich das Update am besten?

Es reicht aus, die neue Version mit dem Setup-Programm in den bestehenden WinHex-Ordner zu installieren. Es ist nicht nötig, die bereits installierte Version vorher zu deinstallieren. Allerdings muß WinHex vor der Installation beendet werden. Nach der Installation kann ein Windows-Neustart erforderlich sein. Falls die neue Version für Sie nicht mehr als kostenloses Update zur Verfügung steht oder Sie eine neue Lizenzdatei benötigen, wird eine entsprechende Warnung bei der Installation ausgegeben, _bevor_ die alte Version überschrieben wird.

* Für welche Version hatte ich ursprünglich eine Lizenz erworben?

Das zeigt Ihnen WinHex immer im Dialog Hilfe | Info an.

 

#75: WinHex & X-Ways Forensics 12.1 veröffentlicht

02. April 2005

Ein größeres Update ist erschienen, v12.1.

WinHex-Download: http://www.x-ways.net/winhex.zip

Weitere Instruktionen für registrierte Benutzer unter http://www.x-ways.net/winhex/upgrade-d.html.

WinHex 12.1 ist noch immer ein kostenloses Update für alle Inhaber einer auf WinHex 11.15 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 8. Nov. 2003). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten.

-------------------------------------------------------------

Was ist neu?

* Wir bieten eine Zusatzkomponente an, die es ermöglicht, über 200 (!) Dateiformate (wie z. B. MS Word/Excel/PowerPoint/Access/ Works/Outlook, HTML, PDF, CorelDraw, StarOffice, OpenOffice, ...) direkt in WinHex und X-Ways Forensics einzusehen. Weitere Infos unter http://www.x-ways.net/forensics/viewer-d.html. Die Viewer-Komponente kann auch dazu verwendet werden, Dateien in Datenträgersicherungen oder auf logischen Laufwerken in einem separaten Fenster oder bequem im Vorschaumodus einzusehen. Dieses Add-On ist jetzt in jeder neu erworbenen forensischen Lizenz enthalten und wird nachträglich allen Inhabern einer auf v12.05 ausgestellten forensischen Lizenz kostenlos zur Verfügung gestellt. Alle anderen registrierten Nutzer können ein Upgrade auf eine forensische Lizenz für v12.1 erwerben, wenn sie an diesem Add-On interessiert sind. (http://www.x-ways.net/winhex/upgrade-d.html)

* Eine neue interne Hash-Datenbank (nur mit forensischer Lizenz) ermöglicht sehr schnelle Dateiabgleiche. Sie können existierende Hash-Sets in den Formaten NSRL RDS 2.x, HashKeeper oder ILook importieren oder auch Ihre eigenen erzeugen wie bisher. Wenn Sie eine Inhaltstabelle erzeugen, können Sie jetzt die zu verwendenden Hash-Sets in der Datenbank individuell auswählen. Bekannte harmlose Dateien können nach wie vor automatisch herausgefiltert werden. Zusätzlich können die den Dateien entsprechenden Hash-Sets und die Hash-Kategorien nun auch in optionalen Spalten des Verzeichnis-Browsers eingesehen und nach diesen Spalten sortiert werden. Dies ermöglicht es Ihnen, irrelevante Dateien manuell herauszufiltern oder bekanntermaßen verdächtige Dateien schneller zu finden. Auch der Hash-Wert selbst ist jetzt in einer optionalen Spalte sichtbar.

* Dynamische Festplatten von Windows 2000/XP (mit Volumes der Typen simple, spanned oder striped) werden jetzt unterstützt. (nur mit Specialist- oder forensischer Lizenz)

* Die von WinHex erzeugten Evidence-Files sind jetzt mit anderen Computerforensik-Programmen kompatibel.

* Bei der Erzeugung komprimierter Evidence-Files ist die Standardkompression jetzt ein schneller, zeitsparender Algorithmus.

* Der Dialog zur Erzeugung einer Datenträger-Sicherung bietet jetzt die Option, defekte Quellsektoren zu tolerieren, ohne den Kopiervorgang zu unterbrechen, und ein ASCII-Ersatzmuster für solche Sektoren anzugeben.

* Die Größe von Verzeichnissen wird jetzt auch für FAT- und NTFS-Dateisysteme angezeigt (NTFS: nur in Inhaltstabellen).

* Das Löschdatum gelöschter Dateien ist jetzt in einer optionalen Spalte zu sehen (nur für die Dateisysteme Ext2 und Ext3).

* Die Maximalzahl von Inhaltstabellen, die mit einem Asservat verknüpft sein können, wurde von 16 auf 32 erhöht. (seit 12.05 SR-4)

* Es ist jetzt möglich, bis zu 32 extern gespeicherte Suchtrefferlisten (.pos-Dateien) mit einem Asservat zu verknüpfen. Die einzige Suchtrefferliste eines Asservats, die intern gespeichert wird (die in bisherigen Versionen das Standardziel für zu archivierende Suchtreffer war) wird jetzt als die Hauptliste für die als besonders wichtig eingestuften Suchtreffer betrachtet, die aus den externen Trefferlisten explizit dorthin verschoben werden. Nur die Suchtreffer in dieser Hauptliste werden im Fallbericht aufgeführt. (seit 12.05 SR-4)

* Es gibt jetzt einen Befehl im Kontextmenü eines Asservats, der es ermöglicht, das betreffende Asservat durch eine andere Image-Datei zu ersetzen, so daß Sie, beispielsweise nachdem Sie eine physisch angeschlossene Festplatte betrachtet und ein Sicherung davon angelegt haben, mit demselben Asservat weiterarbeiten können, wenn die Festplatte nicht mehr zur Verfügung steht. (seit 12.05 SR-8)

* Die alternative Plattenzugriffsmethode ist bei bestimmten Systemkonfigurationen nun schneller. (seit 12.05 SR-9)

* Neue Skript-Befehle: StrCat, GetUserInput, GetUserInputI (seit 12.05 SR-11) und Terminate.

* Fehlerbehebung: Dateisignaturen hinter den ersten 127 in der Datei File Type Signatures.txt definierten wurden bislang bei Dateiname/ Dateityp-Unstimmigkeitsprüfungen ignoriert. Die unterstützte Höchstzahl an Dateisignaturen in der Datei ist nach wie vor 255.

* Fehlerbehebung: Die Erkennung gelöschter Partitionen führte bisher in bestimmten Situationen zu einem Abbruch mit einer Fehlermeldung.

* Diverse weitere kleinere Verbesserungen.

 

#74: WinHex & X-Ways Forensics 12.05 veröffentlicht

23. Februar 2005

Ein größeres Update ist erschienen, v12.05.

WinHex-Download: http://www.x-ways.net/winhex.zip

Registrierte Benutzer erhalten weitere Informationen unter http://www.x-ways.net/winhex/upgrade-d.html .

WinHex 12.05 ist ein kostenloses Update für alle Inhaber einer auf WinHex 11.15 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 8. Nov. 2003). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den
Erwerb eines Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten.

-------------------------------------------------------------

Was ist neu?

* Das Laden großer Inhaltstabellen (mit Hunderttausenden von Objekten) in den Verzeichnis-Browser ist nun erheblich schneller.

* Es gibt jetzt neue optionale Spalten im Verzeichnisbrowser, die den Pfad und den Zeitpunkt der letzten Änderung am Datei-Record bzw. an der Inode enthalten. Versteckte Spalten (mit einer Breite von 0) können über das Dialogfenster sichtbar gemacht werden, das sich öffnet, wenn man die Spaltenüberschriften mit der rechten Maustaste anklickt.

* Der Verzeichnisbrowser hat jetzt seinen eigenen Optionendialog. Die Gruppierung von Dateien und Verzeichnissen ist nun optional. Die $EFS-Ströme NTFS-verschlüsselter Dateien können jetzt in Inhaltstabellen aufgelistet werden.

* Der Inhalt des allgemeinen Positionsmanagers und die zu Asservaten gehörenden Anmerkungen und Suchtreffer werden nicht mehr in einem eigenen Dialogfenster angezeigt, sondern im selben Fenster wie die
eigentlichen Daten. Einzelnes Anklicken der Einträge in der Liste der Anmerkungen oder Suchtreffer springt bequem an die entsprechende Stelle in der Sektorenansicht.

* Suchtreffer auf logischen Laufwerken/Partitionen oder Images derselben werden jetzt mit Dateiname und Pfad in separaten Spalten angezeigt und sind entsprechend sortierbar. Mit forensischer Lizenz ist es außerdem optional möglich, eine Vorschau des Kontexts der Suchtreffer direkt innerhalb des Positionsmanagers zu erhalten.

* Einzelnes Anklicken von Objekten im Verzeichnisbrowser oder im Fallbaum genügt nun, um die Anzeige zu aktualisieren.

* "Dateien retten nach Typ" kann jetzt optional Dateien auch mit individuellen, vom Dateityp abhängigen Standarddateigrößen wiederherstellen. Somit könnte man jetzt z. B. gleichzeitig große MPEG- und kleine JPEG-Dateien retten lassen.

* Es gibt jetzt eine virtuelle Datei "Freier Speicher" im Verzeichnisbrowser (Stammverzeichnis), das es Ihnen ermöglicht, die nicht belegten Cluster bequem zu öffnen, einzusehen und zu durchsuchen. (nur mit Specialist- oder forensischer Lizenz)

* Sie können jetzt Inhaltstabellen mit der logischen Suche erstellen lassen. Jede Datei mit zumindest einem Suchtreffer für zumindest einen der angegebenen Suchbegriffe wird zu dieser Inhaltstabelle hinzugefügt. Dies ist eine ausgezeichnete Möglichkeit, große Inhaltstabellen auf Dateien mit relevantem Inhalt zu reduzieren. (seit v12.0 SR-4)

* Es ist jetzt optional möglich, Dateien über den Verzeichnis-Browser inklusive ihrem Schlupfspeicher zu öffnen und zu durchsuchen. (s. Verzeichnis-Browser-Optionen). (seit v12.0 SR-11)

* WinHex kann jetzt Archive in Archiven (d. h. bis zur zweiten Ebene) im Verzeichnis-Browser erkunden, bei der Erzeugung von Inhaltstabellen und bei der logischen Suche. (nur mit forensischer Lizenz, seit v12.0 SR-3)

* Die Erzeugung von Inhaltstabellen auf NTFS-Laufwerken mit einer Minimalauswahl selektierter Optionen ist jetzt erheblich schneller. (seit v12.0 SR-?)

* Es gibt jetzt eine Option, die Benutzeroberfläche zu vereinfachen (indem die Menü-Strukturen reduziert werden), wenn die forensische Oberfläche (Falldaten-Fenster) aktiv ist. Siehe Optionen-Menü.

* Die Suche nach früher existierenden Festplattenpartitionen (Disk-Tools-Menü: Verlorene Partitionen suchen) kann jetzt optional auf eine ganze Festplatte bzw. ein Image angewandt werden, nicht nur auf den gegenwärtig unpartitionierten Bereich.

* Es gibt jetzt einen "Sync"-Schalter, der automatisch für den jeweils aktuell angezeigten Cluster diejenige Datei im Verzeichnis-Browser auswählt, zu der der Cluster gehört. Der Verzeichnisbaum wechselt ebenfalls zum Verzeichnis, in dem diese Datei liegt. Nur mit forensischer Lizenz verfügbar. (seit v12.0 SR-11, verbessert in v12.05)

* Ein Fehler in der Implementation von SHA-1 und SHA-256 wurde behoben, der mit Dateien größer 512 MB auftrat. (seit v12.0 SR-9)

* Ein Fehler in der ReiserFS-Unterstützung wurde behoben.

* WinHex kann jetzt NTFS-Reparse-Punkte (insbes. "Junction Points") auflisten, wenn Verzeichnisse mit dem Verzeichnis-Browser erkundet oder Laufwerksinhaltstabellen erstellt werden. (seit v12.0 SR-4)

* Die Gesamtgröße aller ausgewählten Dateien im Verzeichnis-Browser wird jetzt zusammen mit der Anzahl der selektierten Dateien angezeigt.

* Viele weitere kleinere Verbesserungen.

 

#73: WinHex & X-Ways Forensics 12.0 veröffentlicht

4. Januar 2005

Ein größeres Update ist erschienen, v12.0.

WinHex-Download: http://www.x-ways.net/winhex.zip

X-Ways Forensics: URL abfragbar durch registrierte Benutzer über http://www.x-ways.net/winhex/upgrade-d.html

Auch WinHex 12.0 ist noch ein kostenloses Update für alle Inhaber einer auf WinHex 11.0 oder neuer ausgestellten Lizenz (z. B. online erworben nach dem 12. Aug. 2003). Falls Sie nicht mehr dazugehören oder auf einen anderen Lizenztyp umsteigen möchten, können Sie unter http://www.x-ways.net/winhex/upgrade-d.html mehr über den Erwerb eines Upgrades erfahren. Der Kauf der aktuellen Version (oder das Upgrade) berechtigt Sie, zukünftige Versionen mindestens der nächsten 12 Monate kostenlos zu erhalten.



* Es gibt jetzt einen Verzeichnisbaum im Fallfenster für logische Laufwerke, Partitionen und interpretierte Image-Dateien, falls ein Fall geöffnet ist, der mit dem Verzeichnisbrowser interagiert. (Es ist möglich, auch ohne forensische Lizenz mit dem Fallfenster zu arbeiten; es ist nur nicht möglich, gespeicherte Fälle wieder zu öffnen.)

* Der Verzeichnisbaum bietet die Möglichkeit, Verzeichnisse rekursiv zu erkunden, d. h. ihre Inhalte aufzulisten inklusive der Inhalte ihrer Unterverzeichnisse. Klicken Sie hierzu ein Verzeichnis im Verzeichnisbaum mit der rechten Maustaste an.

* Als Alternative zur Standard-Sektoransicht und der Galerieansicht gibt es jetzt eine Dateivorschau und einen Kalender für Dateien, die im Verzeichnisbrowser ausgewählt sind (nur mit forensischer Lizenz). Die Dateivorschau-Funktion prüft die Dateisignatur und zeigt entweder ein Bild oder eine rudimentäre ASCII-Text-Vorschau an. Der Kalender bietet eine nützliche graphische Übersicht darüber, wann Dateien in bestimmten Verzeichnissen, mit bestimmten Namen oder bestimmten Typs auf einem Laufwerk erzeugt oder geändert wurden oder wann auf sie zuletzt zugegriffen wurde.

* Die Galerieansicht enthält nun auch Nicht-Bild-Dateien und prüft standardmäßig die Signatur der Dateien, um Dateinamens-/Dateityp-Unstimmigkeiten zu entdecken. Nicht-Bild-Dateien werden durch ein Icon repräsentiert, unter Angabe von Dateiname, Dateinamenserweiterung und Ergebnis der Signaturprüfung.

* Vollständige Unterstützung für das Dateisystem ReiserFS (nur mit forensischer Lizenz). Bei der Erzeugung einer Laufwerksinhaltstabelle kann WinHex nicht nur existierende Dateien suchen und auflisten, sondern auch gelöschte Dateien, so daß sie über den Verzeichnisbrowser wiederhergestellt werden können. Wenn Sie eine Möglichkeit suchen, auf einer Reiser-Partition Dateilöschungen rückgängig zu machen, haben Sie sie hiermit gefunden.

* Es ist jetzt möglich, über den Verzeichnisbrowser Dateien inklusive Original-Pfad zu kopieren bzw. wiederherzustellen. Dies einstellbar in den Allgemeinen Optionen. Der Pfad wird innerhalb des Ausgabeordners wiederhergestellt.

* Im Verzeichnisbrowser eines Asservats können Sie jetzt bequem einzelne Dateien hervorheben und als wichtig markieren, wodurch sie automatisch Teil einer speziellen Laufwerksinhaltstabelle werden. Diese Dateien werden auch im Fallbericht erscheinen. Durch die Verwaltung in der speziellen Laufwerksinhaltstabelle können diese Dateien zu einem späteren Zeitpunkt z. B. in einem einzigen Schritt kopiert/wiederhergestellt oder in einer Galerieansicht auf einen Blick dargestellt werden.

* Es gibt nun einen Befehl im Kontextmenü des Verzeichnisbrowsers, der es ermöglicht, die ausgewählte Datei mit demjenigen externen Programm zu öffnen, das mit der Dateiendung verknüpft ist.

* Es ist jetzt möglich, den geöffneten Fall in seinem aktuellen Zustand bequem in ein ZIP-Archiv zu sichern (ohne Image-Dateien und wiederhergestellten Dateien).

* Die Vollbildansicht der Bilder ist jetzt flexibler und unterstützt das Hinein- und Herauszoomen durch Drücken von + und -.

* Die Einbindung des Protokolls in den automatisch erzeugten Fallbericht ist jetzt optional.

* Selbst auf nicht unterstützten oder sehr stark zerstörten Dateisystemen kann WinHex jetzt den Verzeichnisbrowser mit Dateien füllen, nämlich mit denen, die anhand ihrer Dateisignatur gefunden werden
können. (seit v11.9 SR-5)

* Viele weitere kleinere Verbesserungen.


Häufig gestellte Fragen:

* Wie installiere ich das Update am besten?

Es reicht aus, die neue Version mit dem Setup-Programm in den bestehenden WinHex-Ordner zu installieren. Es ist nicht nötig, die bereits installierte Version voher zu deinstallieren. Allerdings muß WinHex vor der Installation beendet werden. Nach der Installation kann ein Windows-Neustart erforderlich sein. Falls die neue Version für Sie nicht mehr als kostenloses Update zur Verfügung steht oder Sie eine neue Lizenzdatei benötigen, wird eine entsprechende Warnung bei der Installation ausgegeben, *bevor* die alte Version überschrieben wird.

* Für welche Version hatte ich ursprünglich eine Lizenz erworben?

Das zeigt Ihnen WinHex immer im Dialog Hilfe | Info an, in der untersten Zeile.



Computerforensik-Schulungsprogramm: http://www.x-ways.net/training-d.html

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <