X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

  
#164: X-Ways Forensics, X-Ways Investigator und WinHex 20.1 veröffentlicht

9. Januar 2021

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 20.1. Erscheinungsdatum war der 23. Dezember 2020. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten oder professionellen Lizenz)

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Anstehender Schulungstermin

8.-11. Februar, Online

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im Online-Live-Format werden hier aufgelistet.


Was ist neu in v20.1?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateisystem-Unterstützung

  • Fähigkeit, BtrFS-Dateisysteme auf einzelnen Datenträgern einzulesen und einen Datei-Überblick zu erzeugen. Mehrfach-Datenträger mit LVM2- oder RAID-Setups werden unterstützt, aber keine Multi-Device-Setups von BtrFS. Mehrfache Unter-Volumes innerhalb einer BtrFS-Volume werden unterstützt und als solche angezeigt.

  • Es bestehen mit der besonders intensiven Dateisystem-Datenstruktur-Suche gute Chancen,  Spuren gelöschter Dateien in BtrFS zu finden. X-Ways Forensics kann zwischen 100%ig wiederherstellbaren ehemals existierenden Dateien und solchen, deren Wiederherstellbarkeit ungewiss ist, unterscheiden. Auch fragmentierte Dateien können mitunder wiederherstellbar sein. Zu erkennen ist die garantierte Wiederherstellbarkeit wie üblich an der Beschreibung "Daten unverändert".

  • Fähigkeit, zlib-komprimierte Dateien in BtrFS mit den dekompimierten Originaldaten zu öffnen.

  • Auch für NTFS-komprimierte Dateien können nun Cluster-Listen präsentiert werden.

  • Es gibt nun eine Option, um fragmentierte Dateien und Verzeichnisse in neu erzeugten Datei-Überblicken besonders kenntlich zu machen. In Asservaten werden solche Objekte mit einer speziellen Berichtstabelle verknüpft. Wenn man nicht mit einem Fall arbeitet, werden sie teilweise markiert. Die Identifikation kann nützlich sein zu Ausbildungszwecken (um Dateien zu finden, für die sich das Dateisystem nicht zusammenhängende Clusterketten in besonderen Datenstrukturen merken muss, und um besser zu verstehen, mit welcher Logik ein Dateisystemtreiber freie Cluster für Allokationen auswählt) oder um ein paar grobe Rückschlüsse auf die Verwendung des Dateisystems ziehen zu können (Dateien sind mit höherer Wahrscheinlichkeit fragmentiert, wenn sie später im Dateisystem erzeugt wurden, zu einer Zeit, als viele andere Dateien schon wieder gelöscht worden waren, aber andere noch existierten, so dass Allokationslücken entstanden sind).

  • Wenn der logische Speicheradressraum eines laufenden Prozesses dargestellt wird, zeigt die Informationsspalte nun die exakten Grenzen und die Größe des Allokationsbereichs an, in dem sich der Cursor gerade befindet. Die Adressen der Grenzen können in die Zwischenablage kopiert werden, dass Sie sie bei Bedarf leicht aufsuchen können.

  • Die Datei-Header-Signatur-Suche in APFS-Partitionen ist nun deutlich schneller.

  • Für einige Dateien, die in gemeinsam genutzten Bereichen von APFS gespeichert sind, wurde das Δ-Attribut bislang nicht angezeigt. Das ist in neu erzeugten Datei-Überblicken nun nicht mehr der Fall.

  • In einigen seltenen Fällen haben frühere Datei-Überblicke in APFS nicht den Startsektor einer Datei angegeben. Das wird nun automatisch korrigiert, wenn eine solche Datei zum ersten Mal geöffnet wird.

  • Zwei neue Inkompatibilitäts-Feature-Flags von XFS werden nun als normal angesehen.

Dateiformat-Unterstützung

  • Es können nun weitere erzeugende Geräte identifiziert werden, z. B. basierend auf der Bildschirmauflösung von Smartphones.

  • Es gibt eine neue Datei-Header-Signatur von Firefox-Sessions (Listen von in Erinnerung behaltenen offenen und geschlossenen Reitern). Eine gute Möglichkeit, um solche Dateien in menschenlesbare HTML-Darstellungen zu verwandeln ist übrigens www.jeffersonscher.com/ffu/scrounger.html .

  • Der Analyse-Filter wurde ausgeweitet auf unverarbeitete/nicht erkannte Dateien.

  • Die Autor-Spalte wird nun auch für Bilder befüllt, die Copyright-Informationen enthalten.

  • Bestimmte iPhone-Thumbnail-Bitmaps können nun angezeigt werden, insbes. nicht mehr auf dem Kopf stehend.

  • Die korrekte Bildorientierung von JPEGs basierend auf Exif-Daten von weiteren Geräten wie dem iPhone 12 wird nun identifiziert.

  • Der Vorschau-Modus spiegelt nun JPEG-Bildern horizontal und/oder vertikal, wenn das von den Exif-Daten so angeregt wird (ggf. zusätzlich zur korrekten Drehung).

  • Eingebettete JPEG-Thumbnails werden nun im Vorschau-Modus genauso gedreht und gespiegelt wie die jeweils enthaltende Elterndatei.

  • Unterstützung für eine besonders seltene JPEG-Formatvariante.

  • Fähigkeit der Vorschau und des Einsehen-Befehls, PNG-Bilder der Unterart "CgBI" von Apple mit der internen Bilddarstellungsbibliothek anzuzeigen.

Dateianalyse

  • Eine neue Spalte im Verzeichnis-Browser namens "Struktur-Typ" ist nun verfügbar. Diese Spalte kann bei der Metadaten-Extraktion befüllt werden. Sie ist eine Weiterentwicklung des Generatorsignatur-Konzepts mit der Idee einer skalierbaren Typologie, die die Lücke zwischen Dateityp und Hash-Wert ausfüllt.

    Der Struktur-Typ wird als 32-Bit-Integer in hexadezimaler Schreibweise präsentiert. Identische Werte identifizieren Bilder/Videos/Dokumente/Dateien, die zur selben Sequenz gehören (z. B. während einer Sitzung aufgenomme Fotos). Der Struktur-Typ wird berechnet für JPEG, PNG, GIF, WEBP, BMP, DOC, EML, MSG, GZIP, normale ZIP, TAR, MP3, HTML, PDF, Quicktime-Videos (MP4, MOV, 3GP, ...) und testweise für DOCX, PPTX, XLSX. Sie können den Struktur-Typ einer Dateien, die Ihr Interesse geweckt hat, kopieren und den Filter der Spalte dazu verwenden, um weitere Dateien mit diesem Struktur-Typ ausfindig zu machen. Bitte überprüfen Sie dabei gewonnene Erkenntnisse über Zusammenhänge zwischen den Dateien mit Zeitstempel und weiteren Metadaten.

  • Ein neuer Befehl  wird im Kontextmenü des Verzeichnis-Browsers angeboten. Er heißt "Nach Ähnlichem filtern" und nutzt den Struktur-Typ-Filter, um Dateien desselben Typs zu finden, die wahrscheinlich ungefähr zur gleichen Zeit von derselben Applikation oder vom selben Gerät mit denselben Einstellungen oder für denselben Zweck o. ä. erzeugt wurden. Diese Funktionalität wird verfügbar, wenn die Struktur-Typ-Spalte befüllt wurde, für unterstützte Dateitypen.

  • "Duplikate in Liste finden" illustriert jetzt direkt im Dialogfenster die aktuellen Notationseinstellungen für Zeitstempel und die von Ihnen angegebene Anzahl an zu vergleichenden Zeichen anhand eines Beispiels, so dass Sie direkt sehen, mit welcher Genauigkeit Sie ggf. fast gleiche Zeitstempel als gleichwertig definieren. Sowohl mit der Anzahl der zu vergleichenden Zeichen als auch mit der Anzahl der Nachkommastellen in den Notationseinstellungen beeinflussen Sie die Duplikatserkennung, sei es bewusst oder unwissentlich. Eine Beschränkung der Genauigkeit kann wünschenswert sein, z. B. um Kopien von Dateien in NTFS und FAT auch dann als identisch zu werten, wenn sich die Änderungszeitstempel Sekunden unterscheiden, weil das aufgrund der Rundung von Zeitstempeln in FAT zu erwarten ist.

  • Auf die Notationseinstellungen können Sie nun direkt vom Dialogfenster für die Deduplikation aus zugreifen.

  • Sie haben nun die Möglichkeit, ein oder zwei zusätzliche Kriterien für die Identifikation von Duplikaten heranzuziehen: Änderungszeitstempel (in voller verfügbarer Genauigkeit) und Größe. Diese beiden kombiniert mit dem Dateinamen als Hauptkriterium sind ziemlich verlässlich für nicht 100%ig exakten forensischen Gebrauch.

  • Eine weitere Möglichkeit ist die Verwendung des Struktur-Typs für die Deduplikation, für unterstützte Dateitypen. Diese identifiziert eigentlich Gruppen von ähnlichen oder verwandten Dateien. Kombiniert mit Änderungszeitstempel und Größe ist der Struktur-Typ ziemlich verlässlich für die Ermittlung von Dubletten.

    Die Berechnung von Hash-Werten in großen Datensätzen kann sehr zeitraubend sein, so dass jede vernünftige Deduplizierungsoption, die ohne Hash-Werte auskommt, hoffentlich von einigen Benutzern geschätzt wird.

  • Überarbeitete Möglichkeit, aus Sektoren ausgegliederte Dateien, virtuelle Dateien und manuell angehängte Dateien sowie Suchtreffer zu vergrößern oder zu verkleinern, sowohl mit einer absoluten neuen Größe oder einer positiven oder negativen relativen Größenänderung. Es können nun auch mehrere Dateien auf einmal mit derselben Einstellung auf einmal vergrößert oder verkleinert werden.

Suchfunktionen

  • Eine alternative Methode, um  Daten aus einer Tabellenkalkulation als Text zu extrahieren, ist nun unter Optionen | Viewer-Programme ein- und ausschaltbar. Diese Option ist noch etwas experimentell. Sie gewährleistet eine originalgetreuere Textextraktion im Sinne von Reihenfolge und Anordnung von Zellen, normalisiert die Formatierung von Datumszellen im decodierten Text auf die Notationseinstellung, die in X-Ways Forensics aktiv ist (für verlässlichere Suchergebnisse) und sie erfasst mit Sicherheit auch ausgeblendete Zellen. Wenn Sie Zeichen beibehalten möchten, die Ihre aktive Windows-Codepage nicht unterstützt (z. B. chinesische Zeichen auf einem typischen Computer in Europa oder Amerika) weil Sie beabsichtigen, nach ihnen zu suchen, kreuzen Sie bitte ein weiteres Kästchen an ("Muss Unicode unterstützen"). Mit dieser Option braucht die alternative Extraktionsmethode Zugriff auf die Windows-Zwischenablage.

  • Sie können eine Zeichenersetzung nun nicht mehr nur bei der Indexierung vornehmen lassen, sondern auch bei der Parallelen Suche. Die Funktionsweise ist intern etwas anders. Die Liste wird in einer Textdatei namens "Character Adjustment.txt" (vormals "indexsub.txt")codiert als UTF-16 erwartet. Diese wird optional auch bei der Indexierung verwendet. Sie beginnt mit dem Byte-Reihenfolge-Zeichen für Little Endian, gefolgt von eine Anweisung pro Zeile, mit einem Pfeil (Größer-als-Symbol) in der Mitte. Diese Anweisungen bilden ein Zeichen auf ein anderes ab. Sie können sie nach eigenem Ermessen für Suchen in Ihrer Sprache anpassen.

    Beispiele für Französisch: Die Zeile
    É>E
    bedeutet, dass der Buchstabe É in den zu durchsuchenden Daten (bei Wahl geeigneter Codepages) als Variante von E in Ihren Suchbegriffen akzeptiert wird. Sie bräuchten also nur nach Edith Piaf zu suchen und würden dabei sowohl Edith Piaf als auch Édith Piaf finden. Intern werden beide Varianten gesucht.

    ç>c
    bewirkt, dass Sie bei Suche nach Francois sowohl Francois (die vereinfachte Schreibweise) als auch François (die französische Originalschreibweise) finden können. Sie finden das vielleicht vorteilhaft, wenn Ihre Tastatur die Erzeugung des Zeichens ç gar nicht so leicht erlaubt. Umgekehrt kann es auch Sinn ergeben:
    c>ç
    bewirkt, dass bei der Suche nach François (was Sie vielleicht bevorzugen, wenn Sie frankophil sind, oder wenn Sie den Namen direkt so von irgendwo herkopieren) sowohl François als auch Francois gefunden wird. (Diese Ersetzungsrichtung ist allerdings für die Indexierung nicht empfehlenswert.)

    Selbst wenn Sie gar nicht speziell daran interessiert sind, andere Schreibweisen mit zu erfassen, können Sie solche Ersetzungen einmal definieren (z. B. unter Zuhilfenahme von Copy & Paste), um die Sonderzeichen später nie wieder bei der Suche mit der Tastatur erzeugen zu müssen.

    Die Nichtbeachtung von Groß- und Kleinschreibung setzt nicht auf die Zeichenanpassung auf. So wird bspw. bei aktiver Anpassung é>e eine Suche nach e ohne Beachtung von Groß- und Kleinschreibung sowohl e als auch é finden und auch E, aber nicht É. Dafür müssten Sie die Anpassung É>E hinzufügen. NB: Sie könnten theoretisch Ihre eigenen Regeln für Suchen ohne Beachtung von Groß- und Kleinschreibung definieren allein mit Hilfe der Zeichenanpassung. Das wäre aber wirklich nur etwas für Nerds.

    Bis zu 16 Zeichenabbildungen für dasselbe Zielzeichen werden unterstützt. Zeichenanpassungen funktionieren zusammen mit GREP-Syntax, aber nur für Zielzeichen, die keine besondere GREP-Bedeutung haben und nicht für Zeichen innerhalb von []-Alternativen.

  • Das Herausfiltern von überlappenden GREP-Suchtreffern funktioniert nun auch dann konsistent, wenn Sie die Parallele Suche mit mehreren Threads laufen lassen. (Nicht wenn Sie im selben Suchlauf redundante GREP-Ausdrücke einsetzen, die auf dieselben Daten passen.)

Zeichensatz-Unterstützung

  • Es gibt nun die Möglichkeit zur Interpretation von Daten als nicht ausgerichteter Text in UTF-16 LE und UTF-16 BE in dem Modi Disk/Partition/Volume und Datei. Nicht ausgerichtet bedeutet, dass die Bytes für ein Zeichen an einem ungeraden Offset beginnen. Das macht einen Unterschied gegenüber ASCII bei allen Sprachen außer westeuropäischen Sprachen und macht einen auf diese Weise gespeicehrten Text erst tatsächlich lesbar.

  • Die Kontextvorschau von nicht ausgerichteten Suchtreffern in UTF-16 war bislang in einigen seltenen Situationen nicht korrekt. Das wurde korrigiert.

  • Eine weitere Textspalte ist nun verfügbar in den Modi Disk/Partition/Volume und Datei, nur in X-Ways Forensics.

  • Das Ersatzzeichen für nicht druckbare ASCII-Zeichen kleiner als 0x20 in der Textansicht können, das unter Optionen | Allgemein festgelegt werden kann, typischerweise ein Leerzeichen oder ein Punkt, kann nun auch für hohe Unicode-Werte eingesetzt werden. Es ist für das Auge angenehmer, wenn Zeichen aus anderen Sprachen als der eigenen nicht angezeigt werden, und Sie können es sich wahrscheinlich erlauben, sie nicht zu sehen, wenn Sie ohnehin nicht nach fremdsprachlichem Text (z. B. Chinesisch, Japanisch, Koreanisch) suchen. Wenn Sie nur reine 7-Bit ASCII-Zeichen brauchen (ausreichend für Englisch), in ANSI ASCII und allen UTF-16-Varianten, können Sie das Ersatzzeichen anwenden auf alle Werte oberhalb von 0x0080. Um wenigstens noch alle Buchstaben von westeuropäischen Sprachen wie Deutsch, Französisch und Spanisch zu sehen, wenden Sie es auf > 0x00FF an. Um auch noch osteuropäische Sprachen zu sehen, > 0x04FF.

Benutzerschnittstelle

  • Das Anklicken einer Datei oder eines Verzeichnisses im Verzeichnis-Browser in der Zelle mit dem "Dateisystem-Offset" springt nun automatisch zu diesem Offset statt zum Startsektor des Datei-Inhalts, wenn man sich im Modus Disk/Partition/Volume befindet.

  • Die Cursor-Position und der definierte Block im Modus Disk/Partition/Volume oder Datei werden nun im Asservat gespeichert, wenn man es schließt, und beim erneuten Öffnen automatisch wiederhergestellt.

  • Asservate merken sich nun auch einzeln den Modus, in dem sie zuletzt geöffnet waren.

  • Das Zeitlimit (Time-Out) zum Laden von Bildern für die Bildanalyse und -verarbeitung und für die API-Funktion XWF_GetRasterImage() und für die Berichtserzeugung ist nun doppelt so lang wie das Zeitlimit zum Laden von Bildern in die Galerie, das unter Optionen | Viewer-Programme eingestellt werden kann.

  • Es kann nun ein Zeitlimit für die Erzeugung von Miniaturansichten von Nichtbildern im Fallbericht eingestellt werden, in Millisekunden. Bitte beachten Sie, dass das Limit nicht streng für alle Dateitypen durchgesetzt werden kann.

  • Die Steuerelemente im Dialogfenster Optionen | Viewer-Programme wurden neu  angeordnet.

  • Möglichkeit, das Standard-Ausgabeverzeichnis für ein Assservat schnell im File-Explorer von Windows zu öffnen, durch Klick auf einen neuen Schalter im Dialogfenster mit den Asservateigenschaften. Halten Sie während des Klicks die Strg-Taste gedrückt, falls Sie statt dessen das intern genutzte Verzeichnis zur Ablage von Daten zu dem Asservat öffnen möchten, wo oder Datei-Überblick gespeichert ist.

  • Es gibt im Registry-Viewer nun einen Kontextmenübefehl, mit dem man einen bereits geöffneten Hive wieder aus der Baumdarstellung entfernen kann, um den Anwendungsbereich des Registry-Berichts bei Bedarf zu reduzieren.

  • Der Name des Asservats, zu dem der aktuell ausgewählte Hive gehört, wird nun in der Statusleiste des Registry-Viewers angezeigt.

  • Über die Befehlszeile kann nun eine X-Tension ausgeführt werden, und zwar mit einem Parameter namens "XT", dem ein Doppelpunkt folgt und dann der Pfad und Name der gewünschten X-Tension-DLL.

  • Neue Option in Optionen | Viewer-Programme zum Auflisten von Dateien in der baumartigen Darstellung von Verzeichnissen im Modus Vorschau. Wenn gewählt, werden Verzeichnisnamen fettgedruckt, um sie von Dateien zu unterscheiden.

Datenträger-Unterstützung

  • Fähigkeit, die volle Kapazität von virtuellen Speichergeräten zu erkennen, die von bestimmten Treibern simuliert werden, die nicht auf alle Anfragen wie erwartet reagieren.

  • Einfachere Handhabung von ungewöhnlichen Partitionen, die verschachtelt selbst wieder eine GPT-Partitionierungsstruktur enthalten.

  • Hinweise an den Benutzer, wie mit den MD RAID Levels -1 und -4 verfahren werden kann, werden nun in der Benutzeroberfläche in Form von Kommentaren angezeigt.

  • Die Suche nach gelöschten Partitionen  kann nun mit XFS oder BtrFS formatierte Partitione finden, und akzeptiert einige seltene Ext*-Partitionen als gültig, die früher als nicht plausibel ignoriert worden wären.

Diverses

  • Effizientere Datenübertragung bei Verwendung der Viewer-Komponente.

  • Die Statistiken des Datei-Überblicks im Dialogfenster zu dessen Erweiterung nennen nun auch die Anzahl von teilweise markierten Dateien.

  • Das Exportieren von Dateilisten im JSON-Format ist nun vollständiger.

  • Die eindeutige ID kann optional mit im JSON-Format exportiert werden.

  • Viele weitere kleine Verbesserungen.

  • Benutzerhandbuch und Programmhilfe für v20.1 aktualisiert.


Änderungen der Service-Releases von v20.0

  • SR-2: Can now reliably convert PDF documents with RC4 encryption to not password-protected PDF files with the "Convert to PDF format" option of Recover/Copy if you provide the password in the metadata cell, prepended with "Password: ".

  • SR-2: Improved clipboard format selection dialog when pasting external data.

  • SR-2: More reliable ability to copy text in UTF-16 Unicode from within windows of the viewer component (Preview mode or View command).

  • SR-2: The keyboard shortcuts / and ÷ (different keys, but same function) are now available in the directory browser and in the case tree. They toggle between recursive and normal exploration.

  • SR-2: Ability to extract data from certain GZ archives with a corrupt size field in the footer.

  • SR-2: Fixed: Extended timestamps from the extra field in zip records are now extracted and presented in the timestamp columns based on Apple specifications, which however is not always how these timestamps are meant. (For the more likely correct interpretation, especially in GrayKey collections, check the box for "Zip: alternative ext. timestamp interpretation" in Options | Volume Snapshot, which already worked in the original release of v20.0.)

  • SR-2: Fixed: The Technical Details Report now show details of MacOS X installations on HFS+ or APFS volumes. These details now also become part of the evidence object properties if the volume is added to the case only after a volume snapshot exists.

  • SR-2: Fixed an exception error that could occur under rare circumstances when starting up X-Ways Forensics.

  • SR-3: Fixed a crash that could occur with the 64-bit executable of SR-2 under certain circumstances when the viewer component was in use.

  • SR-4: Fixed an error that could occur in v20.0 when searching for embedded data in multiple PDF documents in multiple threads at the same time.

  • SR-4: Some carved files erroneously excluded the footer and in v20.0 some carved files were not described as carved. That was fixed.

  • SR-4: Timeout increased for the generation of thumbnails of non-picture files for the case report (now 4 times the standard time-out in the gallery).

  • SR-4: Prevented a possible division by zero error in the graphics display library.

  • SR-4: Error messages about file archive processing are now output in the Metadata cells of the affected archive files, not in the Messages window any more.

  • SR-4: Conversion from Intel Hex to binary now supports target files up to 4 GB instead of just 2 GB.

  • SR-5: * Addressed memory consumption issue in v20.0 with certain corrupt PNG and GIF pictures.

  • SR-5: File archive libraries revised.

  • SR-5: Recognition (identification) of the Btrfs file system fixed.

  • SR-5: "Convert binary storage of numbers/dates in spreadsheets to text" is now inactive by default because that is faster and therefore more practical for all searches where numbers and dates are not among the search terms.

  • SR-5: Fixed an exception error that could occur in v20.0 when extracting metadata from carved JPEG files.

  • SR-6: Some user-defined dialog window tooltips from v19.5 and earlier were not targeted at the right dialog window any more. That was fixed.

  • SR-6: Improved representation of contents of fragmented deleted files in exFAT.

  • SR-6: Fixed an exception error that could occur in v20.0 when opening APFS volumes.

  • SR-6: No longer ignores certain unusual FAT directory entries.

  • SR-6: Fixed incomplete handling of evidence file containers with more than ~4.2 million items.

  • SR-6: Improved stability in case of exceptions compared to previous service releases of v20.0.

  • SR-6: Gallery now more stable with multiple threads.

  • SR-7: Fixed a rare source of instability when processing pictures with multiple threads.

  • SR-7: DRM-protected documents were detected as encrypted only if file type verification was applied instead of the encryption test. That was improved.

  • SR-7: Reduced excessive memory consumption of tooltips of cells with extremely long lines of text, as possible in the Comments and Metadata columns.

  • SR-7: Fixed an error that prevented the exploration of certain nested file archives.

  • SR-7: Certain APFS volumes for which X-Ways Forensics would have reported "No Superblock found" previously are now supported.

  • SR-7: Ability to carve a new variant of RAR archives.

  • SR-7: The occasional presence of an unexpected additional header in IPTC metadata prevented the output of IPTC metadata. That was fixed.

  • SR-7: Zip files are no longer marked with the E flag in FTSS.txt, so that they can now be selected for file header signature searches within other files.

  • SR-8: UUDecode now works with the newer padding character.

  • SR-8: Fixed an exception error that occurred when adding images with extremely long paths/names to a case.

  • SR-8: Evidence objects that are images stored on network shares may not have had the "Replace with new image" context menu command. That was fixed.

  • SR-8: The total virtual capacity of interpreted VHD images was slightly overestimated in most cases. That was fixed.

  • SR-8: Fragmented files in externally decrypted APFS volumes were not opened with the correct data. That was fixed.

  • SR-8: The option "FAT32: Extra effort for deleted objects" did not work correctly any more since v19.4. That was fixed.

  • SR-8: Picture thumbnails were not output correctly in the case report in v20.0 SR-7. That was fixed.

  • SR-9: Fixed an exception error that could occur when opening certain files in older evidence file container in v20.0 SR-6 and SR-7.

  • SR-9: Fixed an exception error that occurred if an I/O error occurred when updating the PhotoDNA database.

  • SR-9: Zip-styled Office documents could not be viewed with a double-click in v20.0, only explored. That was fixed.

  • SR-9: FAT short filename directory entries with certain Japanese characters were rejected as corrupt or unexpected and brought to the user's attention. That was improved.

  • SR-9: The directory browser context menu commands for exclusion and inclusion are now available in X-Ways Investigator, unless suppressed via investigator.ini ("+7").


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

 

  
#163: X-Ways Forensics, X-Ways Investigator und WinHex 20.0 veröffentlicht

19. August 2020

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 20.0. Erscheinungsdatum war der 18. August 2020. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten oder professionellen Lizenz)

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (!!) sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Anstehende Schulungstermine

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im Online-Live-Format werden hier aufgelistet. Davon ist der Termin am 8.-11. September besonders für Teilnehmer in der mitteleuropäischen Zeitzone geeignet.


Was ist neu in v20.0?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateisystem-/Datenträger-Unterstützung

  • Die Unterstützung für UFS wurde überarbeitet. Erheblich mehr Varianten von UFS werden jetzt verstanden.

  • APFS: Die neue Catalog-ID-Struktur von Mac OS Catalina wird jetzt unterstützt.

  • Der technischer Detailbericht/die Asservateigenschaften zeigen jetzt Details von MacOS X Installationen auf HFS+ oder APFS Volumes: Exakte OS-X-Version, Zeitzone, der Netzwerk- und Anzeigename des Systems.

  • Unterstützung für erheblich stärker verschachtelte Unterverzeichnisse auf XFS-Volumes.

  • Unterstützt Ext4-Volumes mit Version 2 des "Sparse Superblock" Feature.

  • Leicht vervollständigte Ausgabe der Ext*-Dateisystemzeitstempel.

  • Möglichkeit auszuwählen, mit welcher Kopie der FAT12/FAT16/FAT32-Dateizuordnungstabelle gearbeitet werden soll, in Optionen | Datei-Überblick. Das kann entweder eine benutzerdefinierte Kopie sein, oder die, die vom Bootsektor als aktiv gekennzeichnet ist (bei FAT32). Falls weder der Benutzer eine Kopie auswählt, noch der Bootsektor eine konkrete Kopie als aktiv kennzeichnet, wird die erste Kopie verwendet, als "FAT 1" gekennzeichnet, wie in früheren Versionen. Die Kopie, die zum Zeitpunkt der Erzeugung des Datei-Überblicks ausgewählt war, wird für die gesamte Lebensdauer dieses Datei-Überblicks verwendet, selbst, wenn die Einstellung geändert wird. Sie wird in der Informationsspalte angezeigt. Der technische Detailbericht zeigt jetzt an, welche Kopie oder Kopien im Dateisystem als aktiv erachtet werden.

  • Identifiziert unpartitionierte physische Datenträger oder Datenträgersicherungen als solches in einigen seltenen Fällen, wo dies bisher nicht der Fall war.

  • Allgemeine Option, Volumes einschließlich ihres Schlupfbereiches zu öffnen, der keinen weiteren Cluster mehr ergibt, genau wie beim Öffnen ganzer Partitionen. Die Daten in diesem Bereich, vom NTFS Bootsektor-Backup abgesehen, gehören logisch nicht zu diesem Volume, und waren in den Sektoren bereits gespeichert, bevor das Volume erzeugt wurde. Der Bereich wird nicht benötigt, um das Dateisystem auszulesen oder das Volume zu "mounten" (auch wenn manche Tools vielleicht eine Fehlermeldung ausgeben, wenn er nicht enthalten ist). Diese Daten in einer Volume-Sicherung mit zu erfassen kann ein Sicherheitsrisiko darstellen, falls nur der regulär zugreifbare Teil des Volumes vor der Neuverwendung bereinigt wurde.

  • Identifiziert einige neue Bustypen für aktuell angeschlossene Datenträger.

  • Aktive Sektorüberlagerung wird für Asservate jetzt gespeichert und beim nächsten Öffnen des Asservats automatisch wieder aktiviert, und der Nutzer wird darauf hingewiesen.

  • Allgemein verbesserte Behandlung unvollständiger/beschädigter .01-Evidence-Files, ähnlich der Behandlung von Datenträgern mit unlesbaren Bereichen (defekte Sektoren). NTFS: Eine eingeschränkte Auflistung der Systemdateien wird in einem solchen unvollständigen Image nun auf Basis der $MFTMirr erzeugt, wenn die $MFT nicht enthalten ist, $MFTMirr aber schon.

  • Fähigkeit, die potentiell langwierige Erstellung der Cluster-Zuordnung für riesige Volumes abzubrechen, und dennoch mit der Erstellung des eigentlichen Datei-Überblicks fortzufahren, falls gewünscht (ohne die Möglichkeit, die Verwendung einzelner Cluster angezeigt zu bekommen).

Bildunterstützung

  • Neue Version der internen Bilddarstellungsbibliothek.

  • WEBP-Bilder werden jetzt in Vorschau, Galerie und für den Befehl Einsehen unterstützt.

  • Fähigkeit, Bilder in einigen Varianten des DICOM-Formats anzuzeigen.

  • Metadaten-Extraktion von WEBP-Bildern überarbeitet. Ausgabe von Verarbeitungszuständen ähnlich zu PNG-Dateien. Die Erkennung bzw. Typprüfung für DICOM und WEBP wurde überarbeitet.

  • Alle JPEG-Dateien werden im Detailmodus jetzt mit einem Bearbeitungszustand angezeigt. Zwei zusätzliche Zustandswerte wurden eingeführt.

  • Der Bearbeitungszustand hängt jetzt vom erkannten Generator ab, wobei jeder Generator jetzt einer von drei Generator-Klassen zugeordnet ist: D (Device), E (Editor), or C (Content Management System). JPEG-Dateien erzeugt von Generator-Klasse D sind eindeutige Originale. Der Bearbeitungszustand ist immer "original". JPEG-Dateien erzeugt von der Generator-Klasse E sind relative Originale. Ihr Bearbeitungszustand ist "Regulär bearbeitet". Beispiele sind Fotos von Nachrichtenagenturen wie Reuters.

  • Der ermittelte Bearbeitungszustand der dritten Generator-Klasse (CMS wie WordPress, Drupal, TYPO3, Joomla etc.) kann verschiedene Werte annehmen. Sie sind üblicherweise irregulär bearbeitet, d.h. ihr Bearbeitungszustand wird nicht offiziell gekennzeichnet. Der Zustand kann indirekt abgeleitet werden basierend auf Dateiname, Generator-Signatur, Pixel-Dimensionen. Der Zustand "Irregulär bearbeitet" kann auch aus Bildmanipulationen resultieren.

  • Der neue Bearbeitungszustand "scaled" bedeutet, dass ein Bild mit einem Content Management System wie WordPress, TYPO3 oder Drupal erzeugt wurde. Es kann mit hoher Wahrscheinlichkeit davon ausgegangen werden, dass solche Bilder veröffentlicht wurden, was mit einem reduzierten Aufklärungswert einhergeht. Solche Bilder können praktisch nicht als dokumentartig angesehen werden. Sie wurden automatisch und individuell an die jeweilige Ausgabedarstellung angepasst, um die Ladezeit der Seite zu optimieren.

  • Der Zustand "EXIF stripped" bezieht sich auf JPEG-Bilder, deren Geräteherkunft erkannt wurde, obwohl keine EXIF-Metadaten vorhanden sind. Das Gerät kann potentiell anhand der Generator-Signatur, des Dateinamens oder charakteristischer Pixel-Dimensionen erkannt werden.

  • Der Zustand "Social Media" wird separat angegeben, da solche Bilder oft einen höheren intelligence value besitzen. Im Unterschied zu Bildern von Nachrichtenagenturen sind diese eher halb-öffentlicher Natur.

  • Der Zustand "minimized" ist ebenfalls neu und zeigt an, dass die Qualität eines JPEGs oder die Dateigröße durch optimierte Neukompression (jpeg-recompress, JPEGMini) reduziert wurde.

  • Der Zustand "undefined" bedeutet, dass der Zustand nicht bestimmt werden kann. Es ist die Kategorie für alles, was übrig bleibt. Solche Bilder sind üblicherweise ebenfalls Produkte von Content-Management-Dateien beispielswSystemen, die sich nicht identifizieren und deren Format noch nicht identifiziert wurde (was sich in zukünftigen Versionen ändern kann).

  • Der Bearbeitungszustand und andere Angaben (Größe, Bits per Pixel, Analyse des Dateinamens) werden jetzt auch für PNG-Dateien ausgegeben. Dieselben Bearbeitungszustände wie für JPEG werden verwendet, aber "Irregulär bearbeitet" und "EXIF stripped" sind nicht möglich. Der Wert "Original" wird nur für Bildschirmfotos verwendet, sofern diese einen spezifischen Test bestehen.

  • Die "Size"-Angabe für JPEG-Bilder im Detail-Modus hat jetzt immer einen oder zwei Werte. Größen, die keinen standardisierten Namen (wie z.B. "XGA") haben, werden jetzt beschrieben als "thumbnail", "medium", "medium large", "large" oder "big" basierend auf der von WordPress etablierten Terminologie. Sofern ein erzeugendes Gerät erkannt wird, wird das Feld stattdessen "Sensor size" bzw. im Fall von Scannern als "Paper size" bezeichnet.

  • Reduzierte Falsch-Positive bei der Erkennung von gescannten Dokumenten.

  • Die Identifikation von JPEG-Bildschirmfotos basiert nun auf der Erkennung des erzeugenden Geräts.

  • Verbesserte Bildklassifikation basierend auf den Pixel-Dimensionen.

  • X-Ways Forensics erkennt jetzt zusätzliche 5000+ Geräte zur besseren Identifikation der Herkunft von JPEG-Bildern und anderen Dateien. Die Tabellen für Generator- und Video-Signaturen wurden aktualisiert.

  • Vereinfachte Ausgabe der "Quality" in der Summary-Tabelle für JPEG-Dateien. Sie kann jetzt einen der Werte High, Medium, Low und Very low annehmen. Sie basiert auf der in Prozent angegebenen Stärke der verlustbehafteten Kompression des DQT-Segments.

  • Bei der Prüfung auf Kamera-Originale wird zusätzlich berücksichtigt, ob die EXIF-Tags sortiert sind oder nicht.

  • Ausgabe der GPS-Koordinaten mit bis zu sechs Nachkommastellen. Nützlich, da neuere Samsung-Geräte dazu neigen, weitere Stellen anzugeben und so indirekt die Präzision des Wertes anzugeben, entgegen der Konvention zu diesem Zweck den GPS-Error-Tag zu verwenden, wie es Apple- und ältere Samsung-Geräte tun.

  • Falls in einer JPEG-Datei ein angesichts des vermuteten Ursprungs "unerwartetes" GPS-Format vorgefunden wird, wird dies dem Nutzer im Detail-Modus mitgeteilt. Das GPS-Format wird als "unknown" angezeigt, wenn es in Bildern verwendet wird, die keine Kamera-Originale sind (z.B. das Format der Anwendung Geosetter).

  • Generell verbesserte Prüfung auf GPS-Format-Konsistenz.

  • Einige weitere Zeitstempel für "Erz. des Inhalts" werden jetzt aus Bildern extrahiert, insbesondere von XMP-Metadaten.

  • Ausgabe des von Photoshop gespeicherten Felds "Preserved file name" in den Metadaten.

Dateiarchiv-Unterstützung

  • Unterstützung für in Teildateien aufgesplittete Archive der Typen PKZIP/WinZip und 7-Zip.

  • Erweiterte Zeitstempel aus dem Extrafeld in Zip-Records werden jetzt extrahiert und in den Zeitstempelspalten angezeigt, basierend auf der Apple-Spezifikation, was allerdings nicht immer deren tatsächlicher Bedeutung entspricht. Eine alternative Interpretation für jeden Zip-Record wird angezeigt, wenn das Archiv im Detail-Modus angezeigt wird. Letztere Interpretation zeigt diese Zeitstempel mit dem Präfix "UT" und versucht, die tatsächliche Format-Variante zu erkennen, z.B. die in GrayKey-Collections verwendete, und extrahiert aus solchen GrayKey-Collections auch einen zusätzlichen Zeitstempel-Typ (einen Record-Change-Zeitstempel).

  • Die alternative Interpretation der erweiterten Zeitstempel kann auch im Verzeichnis-Browser verfügbar gemacht werden. Dies ist eine Option Optionen | Datei-Überblick. Die alternative Verarbeitung benötigt aktuell etwas mehr Zeit.

  • In neu erweiterten Datei-Überblicken wird die Spalte Startsektor für Dateien in Zip-Archiven jetzt korrekt belegt, mit dem Sektor, der den Zip-Record der betreffenden Datei enthält. Anklicken einer Datei in einem Zip-Archiv springt jetzt automatisch zu seinem Zip-Record, dem wiederum die (überlicherweise) komprimierten Dateiinhalte folgen. Dies trifft auf Dateien in verschachtelten Archiven nicht zu.

  • Erkennung und Vermeidung weiterer Varianten von Zip-Bomben.

  • Die alternative TAR-Extraktionsmethode schätzt die Größe eines MBOX-E-Mail-Archivs in einer Google Takeout TGZ-Datei, wenn die Größe fälschlicherweise als 0 gespeichert ist, was offenbar in der Realität so vorkommt. Nur mit diesem Work-Around kann das MBOX-E-Mail-Archiv aus einer solchen Takeout-Datei überhaupt extrahiert werden, und nachdem das erfolgt ist, können daraus natürlich normalerweise wiederum die enthaltenen E-Mails und Anhänge extrahiert werden.

  • Navigation in einem Dateiarchiv mit Verzeichnissen ist jetzt möglich, ohne beim Klick auf ein Verzeichnis den Datei-Modus zu verlassen.

  • Archiv-Untertypen einer Gruppe, die nicht für die automatische Aufnahme in den Datei-Überblick ausgewählt ist, werden jetzt dennoch erkundet, wenn der Benutzer sie doppelt anklickt.

  • Unterstützung für .ctx Chrome-Extensions als Dateiarchive. Dieser Dateityp ist in einer neuen Installation jetzt in der "Special interest" Gruppe der Archive aufgeführt.

  • Verbesserte Fähigkeit, Anhänge in PDF-Dateien zu extrahieren, insbesondere aus sogenannten PDF-Portfolios (vom Benutzer zusammengestellte Sammlungen beliebiger Dateien), mit den ursprünglichen Namen und internen Pfaden der Attachments bzw. eingebetteten Dateien, wobei die Beschreibungsspalte diese Dateien als Anhänge identifiziert.

Tabellenkalkulation

  • Neue Fähigkeit der logischen parallelen Suche, Zahlen und Datumsangaben nicht nur als wörtlich gespeicherten Text zu finden, sondern auch denn, wenn sie in binärer Form in bestimmten Tabellenkalkulationsdateien gespeichert sind (z.B. im OLE2-Compound-Dateiformat) oder in einer anderweitig codierten Form (z.B. als ganze Zahlen in Form von Text innerhalb von XML), sofern die Option "Text decodieren" aktiv ist. Dies funktioniert recht gut mit Zahlen in Excel- und LibreOffice-Calc-Tabellen, kann aber hinsichtlich des Formats eines Datums gelegentlich schwierig werden, wenn der ursprüngliche Excel-Benutzer ein selbst gewähltes Datumsformat verwendet statt eines der Standarddatumsformate, und auch wegen einiger Besonderheiten bei bestimmten Calc-Dateien, wo es nicht 100%ig sicher ist, dass ein Datum im erwarteten Format extrahierbar ist. Diese Art von Suche funktioniert sehr wahrscheinlich auch gut mit einigen anderen Dateitypen, z.B. ältere Tabellenformate wie MS Works oder Lotus 123. Sie können versuchen, die Dateitypen in Optionen | Viewer-Programme bei Bedarf selbst festzulegen. Um die Extraktion von Zahlen und Daten bei einer bestimmten Datei schnell zu sehen und zu prüfen, wählen Sie die Datei im Verzeichnis-Browser aus und wechseln Sie vom regulären zum rohen Vorschau-Modus während Sie die Umschalt-Taste gedrückt halten. Sie können stattdessen zur Beschleunigung der Textdecodierung diese neue Dateimaske gerne auch komplett entfernen, wenn Sie gar nicht nach Zahlen oder Daten in Tabellen suchen möchten.

    Einige weitere Details zur Suche nach Zahlen: Stellen Sie sich eine Zelle in einer MS-Excel-Tabelle vor, die die Zahl 1234567 enthält. Sie können diese Zahl jetzt mit der parallelen Suche finden, indem Sie einfach "1234567" (ohne Anführungszeichen) als Suchbegriff eingeben. Selbst, wenn Sie nur einen Teil der Ziffernfolge kennen und nach "34567" suchen, werden Sie einen Treffer bekommen (sofern Sie nicht die Option "Ganze Wörter" gewählt haben). Falls die Zelle als "Zahl" formatiert ist (nicht "Standard"), mit aktiver Zifferngruppierung, können Sie die Zahl von der Decodierung optional mit Zifferngruppierung erhalten, wenn die Datei in diesem Datei-Überblick zum ersten Mal durchsucht/indexiert/decodiert wird, unter Verwendung des Zifferngruppierungssymbols, das in X-Ways Forensics unter Optionen | Allgemein | Notation eingestellt ist. Dies ist aber allgemein nicht empfehlenswert, da Sie nach jeder Zahl sicherheitshalber mit und ohne Zifferngruppierung suchen müssten, wenn Sie nicht wissen, ob die Tabellenzellen ursprünglich als "Zahl" mit oder ohne Zifferngruppierung oder als "Standard" formatiert waren. Um Ihnen ein weiteres Beispiel zu geben: Wenn Sie die Zifferngruppierung in Optionen | Viewer-Programme aktivieren und Sie die in Deutschland üblich Notation mit dem Punkt als Symbol zur Zifferngruppierung verwenden, würden Sie jetzt nach "1.234.567" suchen, um diese Zahl in einer als Zahl formatierten Zelle zu finden. Sie könnten auch einfach nach ".567" suchen, um die Zifferngruppe "567" am Ende oder in der Mitte einer größeren Zahl mit dieser Notation zu finden.

    Falls die Zahl, die Sie suchen, eine Gleitkommazahl ist, gelten dieselben Regeln, wobei Sie die Zahl optional mit maximal sovielen Nachkommastellen eingeben können, wie Sie erwarten, in der Zelle in der ursprünglichen Anwendung sehen zu können, mit demselben Dezimalzeichen (Komma oder Punkt) wie in Ihren Notationseinstellungen in X-Ways Forensics. Wenn ein Gleitkommawert beispielsweise als 9,876 gespeichert, und mit zwei sichtbaren Nachkommastellen formatiert angezeigt wird, wird der Wert in der ursprünglichen Anwendung gerundet angezeigt als 9,88, und genauso auch suchbar in X-Ways Forensics. Die selben Regeln gelten für Währungsbeträge. Sie können das Währungssymbol anhängen oder voranstellen, wenn Sie sicher wissen, dass es in der Originaldarstellung sichtbar war, und wie (davor oder dahinter, mit oder ohne Leerzeichen zwischen Währungssymbol und Zahl), oder Sie können das Symbol einfach weglassen.

    Sie können nach Datumsangaben in reinen Datumszellen mit der Notation suchen, die in X-Ways Forensics als das sogenannte einfache Format eingestellt ist. Wenn Ihr einfaches Datumsformat DD.MM.YYYY lautet, würden Sie nach dem 31.12.2019 suchen, um dieses Datum zu finden. Je nach Datumsformatierung kann auch ein Teilsuche sinnvoll sein: im obigen Format z.B. wäre eine Suche nach ".07.2019" geeignet, jedes beliebige Datum im Juli 2019 zu finden. Dasselbe Ergebnis bekäme man in ISO-Notation "yyyy-MM-dd" mit einer Suche nach "2019-07-".

    Reine Zeit-Zellen-Suchen sind jetzt ebenfalls möglich (mit teilweisen oder ganzen Zeitangaben). Stellen Sie aber sicher, dass Sie das Trennzeichen verwenden, das in X-Ways Forensics für die Darstellung von Zeiten eingestellt ist. Suchen nach kombinierten Datums- und Zeitwerten sind möglich, allerdings ist die Trennung zw. Datum und Uhrzeit nicht wie in den Allgemeinen Optionen in Notation eingestellt, sondern typischerweise ein einzelnes Leerzeichen, oder ein vom Benutzer des Spreadsheet-Programms individuell eingestelltes Zeichen.

    Falls eine Excel-Tabelle in eine Datei der Typen .docx, .pptx, oder .odt eingebettet ist, und der Datei-Überblick hinreichend erweitert wurde, wird diese Tabelle genauso verarbeitet und durchsucht, als handele es sich um eine eigene Datei. Falls sie in eine .doc-Datei eingebettet ist, erhalten Sie einen Hinweis in Form einer Berichtstabellen-Verknüpfung "Contains embedded document(s)", welches ohnehin wert ist, gesondert geprüft zu werden.

    Die Fähigkeiten zur Zahlensuche sollten sich als nützlich erweisen, insbesondere zum Zweck der Wirtschaftsprüfung, Steuerermittlungen, etc. Bitte beachten Sie, dass die einfache Suchfunktion der Viewer-Komponente (Strg+F) im normalen ("hübschen") Vorschau-Modus oder auch beim Einsehen Zahlen und Datumsangaben in Tabellen nicht finden kann, egal, wie Sie sie eingeben.

  • Vorschau-Modus und der Einsehen-Befehl benutzen jetzt dieselben Zeichen für Zifferngruppierung, Dezimaltrennung, Datums- und Zeittrennung und die selbe Datumsformatierung, die in X-Ways Forensics zu anderen Zwecken auch verwendet werden, um Zahlen und Daten in Tabellenkalkulationen zu formatieren.

E-Mail-Unterstützung

  • Alternative Extraktionsmethoden sind jetzt verfügbar für PST/OST/MBOX-E-Mail-Archive (derzeit noch in der Testphase). Diese Methoden werden verwendet, wenn die Hauptextraktionsmethode bei der E-Mail-Extraktion scheitert, oder wenn der Benutzer das so einstellt. Es gibt für diese Festlegung ein neues Kontrollkästchen, ohne Beschriftung aber mit Tool-Tip. Die alternative Methode für PST/OST funktioniert nicht für passwortgeschützte E-Mail-Archive und kann keine ehemals existierenden Objekte finden.

  • Beim Anhängen eines Verzeichnisses mit externen Dateien an ein E-Mail-Archiv (PST, OST oder MBOX) werden die Inhalte dieses Verzeichnisses behandelt wie das Ergebnis einer E-Mail-Extraktion, die von der Viewer-Komponente vollzogen wurde. Das bedeutet beispielsweise, dass redundante leere Verzeichnisse der obersten Ebene wie "Top of Personal Folders", "Root - Mailbox", "IPM_SUBTREE" wie in X-Ways Forensics üblich ausgelassen werden, und dass die MSG-Dateien automatisch zerlegt werden in EML-Dateien mit E-Mail-Kopf und -Rumpf plus ggf. separate Dateianhänge. Eine solche Extraktion kann durchgeführt werden mit den Kontextmenü-Befehlen "Extract Selected Files" und "Extract All Files" in der Vorschau oder beim Einsehen solcher E-Mail-Archive.

  • E-Mails, die aus PST/OST-E-Mail-Archiven extrahiert wurden, und die wiederum an andere E-Mails angehängt sind, werden jetzt als extrahierte E-Mails und als E-Mail-Anhang gleichzeitig beschrieben.

  • Unterstützung für weitere Code-Pages bei der E-Mail-Extraktion aus MSG.

  • Die alternative .eml-Vorschau-Option betrifft jetzt auch die PDF-Darstellung von E-Mails, die über den Befehl Wiederherstellen/Kopieren erzeugt wird.

Allgemeine Dateiformat-Unterstützung

  • Überarbeitete und gründlichere Metadaten-Extraktion aus HTML-Dateien. Insbesondere werden jetzt auch "Open Graph" Metadaten extrahiert.

  • Unterstützung für bestimmte kopiergeschützte PDF-Dokumente, die von X-Ways verwendet werden.

  • Fähigkeit, Hash-Werte aus ProjectVIC-JSON-Dateien der Version 2 zu importieren.

  • Kann jetzt Suchbegriffe in ISO-2022 Code-Pages (Japanisch, Koreanisch, Chinesisch) finden, die sich in den ursprünglichen Daten über eine Escape-Sequenz hinweg erstrecken. Kann jetzt einzelne Zeichen in koreanischen und chinesischen ISO-2022-Code-Pages finden, die eine Escape-Sequenz voraussetzen.

  • Verbesserte Umwandlung von Text aus und in ISO-2022-Code-Pages.

  • UTF-16-Text aus der Zwischenablage wird jetzt ohne den abschließenden Null-Terminator eingefügt.

Benutzerschnittstelle

  • WinHex und X-Ways Forensics respektieren jetzt die Windows-Einstellungen für Fenstertext und Hintergrundfarben. Wir beziehen uns auf die Einstellungen, die man unter Windows XP mit ein paar Mausklicks in der Systemsteuerung erreichen konnte, die man unter Windows 7 immer noch über Personalisierung | Fensterfarben | Erweiterte Darstellungsoptionen erreichen kann, und die man in Windows 10 noch als rohe RGB-Werte über den Registry-Editor in diesem Schlüssel verändern kann: HKEY_CURRENT_USER | Control Panel | Colors (danach einmal aus- und wieder einloggen).

    Insbesondere schwarze Hintergründe für fast alle Teile der Benutzeroberfläche (Hauptfenster, Daten- und Falldatenfenster, ...) werden jetzt in X-Ways Forensics unterstützt, was nützlich sein kann, wenn man in einer Umgebung mit geringer Umgebungsbeleuchtung arbeitet, allgemein hilfreich ist für Benutzer, die an einem weniger hellen Bildschirm länger arbeiten können, und sollte grundsätzlich die Störung der Melatoninproduktion und des Tag-Nacht-Rhythmus' reduzieren bei Menschen, die vor Bildschirmen sitzen, die unnatürliches Licht ausstrahlen. Die Viewer-Komponente hat diese Einstellungen schon früher für die meisten Dokumenttypen respektiert (für PDF-Dateien allerdings kann oder tut sie das beispielsweise nicht).

    Für eine vollständige Dark-Screen-Umgebung würden Sie Ihr gesamtes Windows System auf ein dunkles Theme umstellen. Die einfachste Methode, nicht nur für "Apps", sondern auch richtige Desktop-Programme, ist die Umstellung auf das schwarze Hoch-Kontrast-Theme. In Windows 10 gehen Sie zu den Systemeinstellungen | Personalisierung | Einstellungen für hohen Kontrast | Hohen Kontrast aktivieren | Kontrast Schwarz.

  • Ein "erzwungener" Dunkelmodus nur in WinHex/X-Ways Forensics ist jetzt auch ohne die obigen Prozeduren und Einstellungen jederzeit verfügbar, unter Optionen | Allgemein, wo Sie den Dunkelmodus bei Bedarf z.B. nachts oder auch grundsätzlich einstellen können, aus gesundheitlichen Gründen oder um bei einem verdeckten Einsatz in einer dunklen, feindlichen Umgebung weniger Aufmerksamkeit auf sich zu ziehen. Diese Variante ist nicht 100% vollständig, da sie beispielsweise Elemente der Benutzeroberfläche wie Fenstertitel, Popup-Menüs, Scrollbalken, Dateiauswahldialoge, oder Datumsauswahlfenster nicht mit abdeckt. Für diese ist der Dunkelmodus von Windows notwendig (s. o.).

  • Diverse Farben in der graphischen Benutzeroberfläche mussten für X-Ways Forensics' eigenen Dunkelmodus oder bei der Übernahme eines dunklen Hintergrunds aus den Windows-Einstellungen angepasst werden, beispielsweise die Färbung der Dateitypen in Abhängigkeit vom Typstatus. Im Kalender wird die Grauskala für Tage mit viel Aktivität invertiert, wenn die Hintergrundfarbe schwarz ist. Wenn Sie Text entdecken, der im Dunkelmodus unlesbar ist, melden Sie uns das bitte. Farbeinstellungen für Blockauswahl, Markierungen, "bereits eingesehen", veränderte Bytes und zur Hervorhebung von Positionen/Suchtreffern werden jetzt für Normal- und Dunkelmodus getrennt gespeichert.

  • Eine neue Option, nützlich in Verbindung mit dem Dunkelmodus, ist die Fähigkeit Bilder mit der internen Bildbetrachtungsbibliothek, und auch die Galeriebilder dunkler darstellen zu lassen. Wenn dieses Kontrollkästchen, das unter Optionen | Allgemein neben dem Kontrollkästchen für den Dunkelmodus gefunden werden kann, nur halb ausgewählt ist, werden die Pixel etwas weniger abgedunkelt.

  • Einige weitere GUI-Anpassungen für hohe DPI-Einstellungen.

  • Der Windows-Nutzername des aktuellen Benutzers wird jetzt in jedem Abschnitt der msglog.txt festgehalten, zusätzlich zum exakten Programm-Release, was auch bisher schon festgehalten wurde.

  • Der Kommandozeilen-Parameter für das automatisierte (unbeaufsichtigte) Sichern von Datenträgern wird jetzt in X-Ways Imager genauso unterstützt wie in X-Ways Forensics.

  • Die Filter für Größe und Startsektor haben jetzt eine Modulo-Option. Mit dieser Option im Größenfilter können Sie beispielsweise alle Dateien herausfiltern lassen, die nicht ein Vielfaches der Sektorgröße sind, z.B. bei der Suche nach Roh-Disk-Images oder TrueCrypt/VeraCrypt-Container-Dateien. Mit dieser Option im Startsektorfilter können Sie beispielsweise konkret auf Dateien filtern, die an den Clustergrenzen ausgerichtet sind, oder genau nicht.

  • Die Einstellungen für den Größenfilter, den Hash-Wert-Filter, und den Gerätetyp-Filter werden jetzt in .settings-Dateien und in .xfc-Falldateien gespeichert, genau wie die Einstellungen anderer spaltenbasierter Filter.

  • Die Flex-Filter besitzen jetzt die Option einer logischen UND-Kombination aller Filterbegriffe, womit Sie jetzt z.B. auf E-Mails filtern können, die gleichzeitig als Attachments beschrieben sind.

  • Verbesserte Möglichkeit, aus Sektoren ausgegliederte Dateien über die Beschreibungsspalte zu filtern.

  • Die Textfilter für Kommentare, Metadaten und Ereignis-Beschreibungen haben jetzt eine Option zur Berücksichtigung von Groß- und Kleinschreibung.

X-Tension API

  • Neue API-Funktion XWF_ManageSearchTerm().

  • Fähigkeit der X-Tension-API-Funktion XWF_Search(), das/die Alphabet(e) zu spezifizieren, womit die Wortgrenzen definiert werden.

  • XWF_OpenItem unterstützt jetzt ein neues Flag, um nur den reinen Text aus Dateien zu öffnen, den X-Ways Forensics aus verschiedenen Dateitypen extrahieren kann.

  • C++ Funktionsdefinitionen und C++ Beispielprojekte auf der X-Tension-API-Webseite aktualisiert.

  • Ein Fehler in der Disk I/O X-Tension API wurde korrigiert.

Verschiedenes

  • Effizientere Erzeugung von Miniaturbildern von Nicht-Bildern in der Galerie.

  • Die Erzeugung von Miniaturbildern von Nicht-Bild-Dateien für den Bericht ist jetzt in seinen Ergebnissen konsistenter.

  • Die Verwendung interner Keyboard-Hooks für erweiterte Tastaturkürzel ist jetzt optional, s. Optionen | Sicherheit.

  • Einige Verbesserungen in der Stabilität und im Fehler-Handling.

  • SR-1: Ein Ausnahmefehler wurde behoben, der bei der Extraktion eingebetteter Daten aus PDF-Dokumenten auftreten konnte.

  • Benutzer, die von ihren Büros abgeschnitten sind, und/oder wegen lokaler Lockdowns, Quarantäne-Maßnahmen, Reisebeschränkungen oder Post-Dienst-Unterbrechungen keinen Zugriff auf ihre Dongles haben, haben seit Mai 2020 folgende Möglichkeit: Solange zumindest jemand anderes auf den Dongle zugreifen kann (ein Kollege), kann diese person den Dongle in v20.0 vorübergehend stilllegen, was Ihnen erlaubt, X-Ways Forensics vorläufig auf andere Art freizuschalten, gegen eine geringe Bearbeitungsgebühr. Details finden Sie unter www.x-ways.net/dongle_schutz2.html.

  • Viele kleinere Verbesserungen.

  • Das Benutzerhandbuch und die Programmhilfe wurden für v20.0 aktualisiert.

Viewer-Komponente

  • In der Zwischenzeit wurden neue Fassungen von Version 8.5.4 der Viewer-Komponent zum Download eingestellt, am 18. April, 23. Mail und 16. Juli. Sicherheits-Patches von Oracle von April und Juli wurden damit eingespielt. Die u. g. Problemchen wurden dabei angegangen. Die einzelnen Punkte sind entweder wörtlich zitiert oder von uns zum besseren Verständnis neu formuliert worden.

  • April/Mai:
    Web-view export crashes when exporting PDF file
    Installation of 8.5.4 breaks conversion in .NET application
    Fidelity Issues with HTML5 Conversion of PDF
    Attachments of message eml files with winmail.dat not extracted
    Infinite loop with certain pdf files
    Certain MSG files generate out of memory error
    PDF file with ZAPFDINGBATS does not display properly
    MSG converted to PDF has striked out lines
    EMF OUTPUT QUALITY OF PDF FILE WITH EMBEDDED FONTS IS NOT GOOD
    PDF to Image produces improper outputs on WCC11G Patches
    A separate embedded email does not get extracted
    Certain PDF file does not render
    Spacing issue after PDF export
    Viewing of PDF with embedded Fonts results in garbled text
    PDF File rendered with garbage characters
    Not all the characters are being displayed
    Issue with the attachments and Message Body in the eml samples
    PDF text shows as garbled in viewer
    No attachments get extracted for 201401_00943057_winmail.dat
    Text and Spacing issues
    PDF garbled
    PDF conversion issue
    Extra spaces and new lines are found in content of some pdf file
    External Compute Instance Can Not Preview PDF (BIDI)
    Rendering issues in 8.5.4 but not in 8.5.3
    Multiple degradation after upgrade to 854 from 853
    Lines are struck out when viewing certain msg file
    Viewer hangs on attached PDF file
    Conversion to PDF: Header text is shown on the wrong side
    PDF export fails to process certain pptx files
    Attachments not extracted from tnef encoded eml files.
    Overprint issue with some .DOCX files
    SOME CHARACTERS ARE OUT OF THE VIEWING AREA AND SOME ARE OVERWRITTEN
    Special characters (ö,ä,ü,ß) are not displayed correctly and missing
    OIT should support LATEST HWP Version 5.0.4.x and 5.0.5.x
    Unknown error when opening doc in viewer
    "Unknown chunker failure" error when viewing the attached docx file
    Support additional properties from winmail.dat
    Extraction of an attachment does not work in a certain eml file
    Redactions shifted in Excel documents

  • Juli:
    E-mail with background color set to white color will make the white body text disappear
    Email header is in a dark background
    Issue with text extraction from One Note with non-ASCII characters
    Issue with text extraction from PDF with broken words with spaces
    Issue with text extraction from PDF incorrect Hebrew texts from PDF file
    Conversion from MS Word DOC to PDF could produce garbage character
    Viewer hangs while rendering a certain PDF file with formulas
    Conversion from MS Word DOC to PDF could print certain paragraph numbers twice
    Enhancement for support of HWP files 5.0.4 and above
    Outlook Appointment files show as corrupted when viewing/exporting.
    Candidate Word file attachments received corrupted from Outside-In service
    Selecting from both body and header of MSG document creates redaction more than
    Viewer failed to display content of a particular MS Excel document properly
    msg file converted with extra question mark like character
    OutsideIn garbles Japanese and other multi-byte characters
    Drawpage produces half size view for the tiff file
    Exporting PDF file results in inverted text
    Conversion to PDF skips some text and graphics elements
    Crashes when viewing a particular MS Excel document


Änderungen der Service-Releases von v19.9

  • SR-1: Fixed usage of predefined Project Vic categories.

  • SR-1: PDF conversion failed for certain extracted files. That was fixed.

  • SR-1: Some timestamps in UTC were displayed in v19.9 as if they were stored in local time. That was fixed.

  • SR-1: Fixed an exception error that could occur in v19.9 when extracting internal metadata specifically without "Content created" timestamps.

  • SR-1: Fixed an exception error that could occur when extracting metadata from certain QuickTime video files.

  • SR-1: Fixed screenshot paths in the activity log of cases created with v19.9.

  • SR-1: FYI, "converting" individual original PDF documents to PDF format for report generation or during Recover/Copy can make sense to security-minded users because it will not transfer potentially malicious JavaScript code from the original files to the newly generated PDF files.

  • SR-2: Updated RunCount interpretation in Prefetch files based on Windows 10 versions 1903 and 1909.

  • SR-2: On request (after prompting the user), accepts certain malformed Ext* superblocks as valid.

  • SR-2: Recognizes Ext4 volumes with the bigalloc feature as Ext4.

  • SR-2: More precise type classifications of events extracted from WebCacheV01.dat files as Cookie timestamps and modification timestamps.

  • SR-2: Avoided indexing interruption by "Numeric limits exceeded" error in v19.8 and v19.9.

  • SR-2: New notation option that uses a special backslash character in paths in order to force path components to be displayed strictly in left-to-right order even if multiple consecutive components are in Arabic or Hebrew. Currently this has an effect in the Path columns of the directory browser, the caption line of the directory browser, and the path line in the Info Pane.

  • SR-2: Internal graphics viewing library updated for PNG.

  • SR-2: Avoided certain unnecessary reminders to use the latest version of the viewer component.

  • SR-2: Fixed occasional change of the "Omit unchecked/unselected items" setting of textual dialog window representations.

  • SR-2: Several minor improvements.

  • SR-3: Fixed reset of the amount of memory used for indexing when the dialog window with the settings was opened.

  • SR-3: Fixed potential rejection of indexes as invalid.

  • SR-3: Prevented some loss of functionality that could occur when parsing certain misidentified CDFS data structures.

  • SR-3: APFS: Unnecessary repeats of the message informing the user about unsupported high Catalog IDs are now avoided.

  • SR-3: The option to omit unselected items in dialog windows from text representations does not have an effect on checkboxes and radio buttons any more, only lists.

  • SR-3: That option is now more prominently shown in the Case Properties dialog window for textual screenshots of the case's activity log.

  • SR-3: Output of a reserved backward compatibility GUID variant by Microsoft in the Data Interpreter and in templates.

  • SR-3: Some other minor improvements.

  • SR-3: Supersedes expiring previous service release.

  • SR-4: Fixed problem with exchanging clipboard data between multiple simultaneous instances.

  • SR-4: Fixed certain unsuccessful index searches for sequences of Asian language characters.

  • SR-5: Fixed an infinite loop that could occur in v19.9 when indexing large amounts of data.
    SR-5: Fixed exception error in API function XWF_CreateEvObj when applied to empty cases.

  • SR-5: Some minor fixes and improvements.

  • SR-6: Fixed an infinite loop that could occur when processing a TAR archive that is stored in a corrupt parent archive.

  • SR-6: Fixed a sector read error that could occur in v19.9 when re-opening evidence objects that are physical storage devices.

  • SR-7: Fixed an infinite loop that could occur when processing nested TAR archives within a corrupt parent archive.

  • SR-7: Prevented a very rare exception error that could occur when loading the file signature table.

  • SR-7: Fixed a display problem with GIF pictures in v19.9.

  • SR-7: Ability to create and fill evidence file containers with WinHex Lab Edition.

  • SR-7: Fixed an exception error that could occur when extracting metadata from certain PNG files.

  • SR-7: The device type filter now also works for PNG.

  • SR-7: New X-Tension API functions XWF_GetWindow() and XWF_GetProp().

  • SR-7: New nPropType 50 for the X-Tension API function XWF_GetEvObjProp().

  • SR-7: Processes zip archives with certain non-standard headers.

  • SR-7: Several other improvements.

  • SR-8: Password detection using a dictionary did not work in certain encrypted archives. That was fixed.

  • SR-8: Big-endian interpretation of data as FILETIME timestamps in the Data Interpreter failed when interpretation as a big-endian floating point number was active and not successful ("NAN"). That was fixed.

  • SR-8: Fixed processing of Windows.edb and SRUDB.dat files in v19.9.

  • SR-9: Prevented a rare exception error that could occur when resolving symlinks.

  • SR-9: Prevented a very rare exception error that could occur when parsing Zone.Identifier ADS.

  • SR-9: A rare error that could occur when reading XFS directories has been fixed.

  • SR-9: Ability to process certain MBOX files with unusual line break characters between e-mails.

  • SR-9: Fixed inability to read from files in some GZ archives that occurred if these files were opened repeatedly and the evidence object was not closed in between.

  • SR-9: Fixed RunCount interpretation of certain Windows 10 Prefetch files.

  • SR-10: Fixed an internal recoding error for search terms that could occur when the simultaneous search was run as part of volume snapshot refinement.

  • SR-10: Prevented a crash that could occur when extracting metadata from certain MP3 files with a corrupt ID3 tag.

  • SR-10: Under certain circumstances, logical searches with multiple threads unnecessarily processed the same file more than once. That was fixed.

  • SR-10: The alternative TAR extraction method no longer omits files with a size of 0 bytes in TAR archives.

  • SR-10: X-Tension API: XWF_GetVSProp() with XWF_VSPROP_SET_HASHTYPE1* and XWF_SetHashValue() did not work in volume snapshots with no previous or simultaneous hash value computation. That was fixed.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

 

  
#162: Various news related to X-Ways Forensics

25. Mai 2020

(Nur auf Englisch verschickt, wird in der deutschen Newsletter-Ausgabe #163 enthalten sein.)

 

> Archiv des Jahres 2019 <

> Archiv des Jahres 2018 <

> Archiv des Jahres 2017 <

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <