X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

  
#178: X-Ways Forensics, X-Ways Investigator und WinHex 21.5 veröffentlicht

26. Juni 2025

In dieser Ausgabe informieren wir Sie über ein am 8. Juni erschienenes Update mit wichtigen Verbesserungen, die Version 21.5.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Service-Releases oder auch Preview- und Beta-Releases interessiert sind, können Sie Informationen dazu jederzeit aktuell im Bereich "Announcements" des Forums finden. Bitte legen Sie sich ein Konto an (dazu werden die Log-In-Daten benötigt), um die Ankündigungen in diesem Bereich immer sofort per E-Mail zu erhalten. Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Danke.


Nächste deutschsprachige Schulungstermine:

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie online werden hier aufgelistet.


Was ist neu in v21.5?
(Die meisten Änderungen beziehen sich nur auf X-Ways Forensics.)

Datenträger- und Dateisystem-Unterstützung

  • Ein Bild sagt mehr als tausend Worte: Die Anordnung von Partitionen auf physischen Datenträgern wird nun unterhalb der Liste von Partitionen im Verzeichnis-Browser graphisch dargestellt. Die horizontalen Positionen und Breiten aller Partitionen sind dabei direkt proportional zur Gesamtkapazität des Datenträgers. Es ist nicht garantiert, dass alle Partitionen sichtbar sind, denn ganz kleine Partitionen auf sehr großen Datenträgern könnten durch diese Berechnungsmethode gerade mal ein paar Pixels breit werden oder sogar zu einer Breite von 0 Pixeln abgerundet werden, weil die Repräsentation echt proportional und unverfälscht erfolgt. Wenn ein Beschuldigter für ungesetzliche oder fragwürdige Inhalte extra eine separate Partition angelegt hat, wird die dafür gewählte Kapazität in der bildlichen Darstellung im Vergleich zu anderen Partitionen weder aufgeblasen, bloß um eine leichtere Anklickbarkeit der Partition zu gewährleisten, noch heruntergespielt.

    Partitionen/Volumes, die nicht von einer aktiven Partitionstabelle referenziert werden (i. d. R. gelöschte Partitionen) werden in einer helleren Farbe dargestellt. Manuell vom Benutzer (von WinHex/X-Ways Forensics) definierte Partitionen werden in einer anderen Farbe angezeigt, um sie von anderen Partitionen abzugrenzen. Bereiche, die nicht von einer Partition belegt werden, sind als hohle Körper zu sehen, die von gepunkteten Linien umfasst werden.

    Dank einfacher 3D-Wiedergabe und des scheinbaren Sichtwinkels, können Sie die volle Breite (d. h. wahre Größe) von Partitionen auch dann erkennen, wenn sie sich teilweise mit anderen Partitionen überschneiden, weil diese voneinander versetzt positioniert sind. Das Überlappen von Partitionen ist problematisch weil sich die Frage ergibt, welche Daten im betreffenden Datenträgerbereich zu welche Partition gehören. Die Darstellung soll Benutzer auf dieses Problem aufmerksam machen. Auf LDM-Datenträgern von Windows, wird für dynamische Volumes, die aus mehreren unzusammenhängenden Speichersegmenten bestehen (auf potentiell more als einem physischen Datenträger), nur die Startpositionen angedeutet, dort wo ihre Namen erscheinen, begleitet von dem Wort "spanned" (übergreifend). Die weiteren Fragmente solcher Volumes werden nicht graphisch dargestellt.

    Die Darstellung der Partitionsanordnung reagiert auf einen darüber schwebenden Mauszeiger, linke Mausklicks, rechte Mausklicks und Doppelklicks. Große Rechtecke sind leichter mit der Maus zu treffen als enge Zeilen im Verzeichnis-Browser. Daher werden Sie vielleicht natürlicherweise dazu übergehen, Partitionen hierüber per Doppelklick zu erkunden.

  • Möglichkeit zum Entschlüsseln von BitLocker-Partitionen ohne Mithilfe des Windows-Betriebssystems, in WinHex Lab Edition, X-Ways Imager, X-Ways Investigator und X-Ways Forensics. Dies erfordert, dass Sie das richtige Passwort oder einen Recovery-Key haben und eingeben (z. B. per Copy & Paste), falls nicht Clearkey-Encryption ohne echten Schutz vorliegt. Die Möglichkeit zur Eingabe von Passwort oder Recovery-Key besteht nicht in X-Ways Investigator. Allerdings kann X-Ways Investigator ein Passwort oder einen Recovery-Key verwenden, der für ein bestimmtes Asservat in einem Fall bereits von einem Benutzer von X-Ways Forensics eingegeben wurde, so dass Benutzer von X-Ways Investigator mit einem Fall, der BitLocker-Partitionen enthält, arbeiten können, sofern dieser von einem Kollegen geeignet aufgesetzt wurde.

  • Unterstützung für weitere Varianten von dynamischen Datenträgern mit GPT-LDM-Partitionierung.

  • Es wird nun eine Warnung angezeigt, wenn Sie den physischen Datenträger mit der laufenden Windows-Installation zum Sichern auswählen, weil typische Benutzer nur andere Datenträger als ihre eigenen sichern würden und weil atypische Benutzer, die wirklich für Backup-Zwecke ihr eigenes System sichern möchten bedenken müssen, dass die Daten in der Partition mit ihrem eigenen Windows-System ständigen Änderungen unterworfen ist während genau dieses Windows-System läuft. Es kann so nicht verlässlich ein 100%ig konsistenter Zustand abgebildet werden, denn während sich der Sicherungsvorgang dem Ende der Partition nähert werden sich bereits gesicherte Sektoren weiter vorne u. U. schon wieder geändert haben.

  • Manuell definierte Partitionen werden nun in der Beschreibungsspalte als benutzerdefiniert beschrieben.

  • NTFS: Zone.Identifier-URLs mit nicht-residenter Speicherung werden nun automatisch in die Metadaten-Spalte aufgenommen. Zusätzlich werden sie als Unterobjekt ausgegeben, damit die Cluster-Zuordnung gewährleistet ist.

  • Mehrere weitere Formen von komprimierter Datenspeicherung in APFS werden nun in neu erzeugten Datei-Überblicken unterstützt. Betroffene Dateien, die bisher die Meldung "unsupported compression" auslösten, können nun erfolgreich geöffnet werden.

  • Dateien, die in APFS als komprimiert gekennzeichnet sind, aber tatsächlich doch nicht komprimiert gespeichert sind, sondern „inline“ (residente Speicherung), werden nun verlässlich als solche erkannt und können in neu erzeugten Datei-Überblicken normal geöffnet werden. Dateien, die laut APFS mit „plain compression“ (d. h. keiner echten Kompression) gespeichert sind, werden nicht mehr mit dem C-Attribut dargestellt. Diese Dateien hatten zuvor auch die Meldung „unsupported compression“ ausgelöst.

  • Das Erzeugen eines Datei-Überblicks von großen APFS-Partitionen ist jetzt schneller.

  • Ein seltener Fehler wurde verhindert, bei dem die virtuelle Datei „BtrFS System Chunks“ zu Unrecht gegen Ende als nicht lesbar gemeldet wurde.

X-Tension API, 3rd Party Tool Support

  • X-Ways Forensics lässt sich das Ausführen/Laden von X-Tensions nun sicherheitshalber erstmal vom Benutzer bestätigen, gerade auch bei der Ausführung über die Befehlszeile, sofern Sie diese Rückfrage nicht unter Optionen | Sicherheit ausschalten.

  • Benutzer können nun entscheiden, ob sie die Original-ID ihres Dongles bzw. Ihre BYOD-Lizenz-ID direkt für Software von Drittparteien (z. B. X-Tensions) sichtbar machen möchten, und zwar in dem Dialogfenster, in dem die sog. nLicID angezeigt wird.

  • X-Tensions können nun die Original-Dongle-ID bzw. die BYOD-Lizenz-ID sehen, wenn der Benutzer eingewilligt hat, diese Information zu teilen. Sie erhalten sie ggf. beim Aufruf ihrer XT_Init()-Funktion.

  • Software von Drittparteien, die X-Ways Forensics von außerhalb über Befehlszeilenparameter steuert, kann den Befehlszeilen-Parameter "GetLicID:" verwenden, um die sog. nLicID herauszufinden, einen Hash-Wert, der einen Dongle oder eine BYOD-Lizenz eindeutig identifiziert. Nothing else will be done in a session started with that parameter, and X-Ways Forensics exits automatically. You could license your tool based on that ID and only allow use of your tool if the ID matches your expectations (if the ID is in your unlock list, if the user has a key file for that ID etc.). The first 4 bytes of the nLicID are returned as an exit code. Additionally, the full 16 bytes of the nLicID plus an 8-byte FILETIME value with the current timestamp in UTC can be written to a file whose path you designate optionally after the colon of "GetLicID:". By providing a unique, randomly generated filename, you can make extra sure that you get a freshly generated output file with an up-to-date nLicID and not a static, potentially outdated or manipulated value. And/or you can compare the first four bytes stored in the file with the exit code to make sure they match and/or check that the timestamp is not older than a second or so. If the first four bytes are all 0x00, that means that the X-Ways Forensics installation is not unlocked or that (re)writing the output file (if requested) has failed. This feature is also present in v21.4 SR-6 and later.

  • Diverse XWF_*()-Funktionen der X-Tension-API reagieren nun freundlicher auf falsch übermittelte nItemID-Werte und zeigen einen Fehler über den Rückgabewert an statt einen Ausnahmefehler auszuwerfen. Weitere Rückgabewerte sind nun insbes. für XWF_GetItemSize() definiert.

  • XWF_GetItemInformation() und XWF_SetItemInformation() können nun den Relevanz-Wert einer Datei oder eines Verzeichnisses ermitteln und auch selbst setzen.

  • Das hVolume-Handle, das an die Funktionen XT_Prepare() und XT_Finalize() übermittelt wird, ist nun Null, wenn die X-Tension auf das Asservat-Überblicks-Fenster angewandt wird, so dass Sie diese besondere Situation leichter erkennen können und bei Bedarf die Anwendung Ihrer X-Tension verweigert können, wenn sie nicht dafür konzipiert wurde. Diese Änderung ist auch in v21.4 SR-5 und neuer enthalten.

  • Drei selten verwendete Hash-IDs wurden in der X-Tension API geändert. Sechs weitere wurden als „deprecated“ markiert (nicht mehr für die Verwendung empfohlen). SHA-512 wurde hinzugefügt. Eine aktualisierte Liste finden Sie in der Dokumentation der XWF_GetVSProp()-Funktion.

Kryptographie

  • Unterstützung des Hash-Typs SHA-512.

  • Einfache Prüfsummen mit einem aus mehreren Bytes bestehenden Akkumulator, die aber auf Addition von 8-Bit-Integer-Zahlen setzen, werden nun als separate Hash-Typen namens „Checksum (8 on 16 bit)“, „Checksum (8 on 32 bit)“ und „Checksum (8 on 64 bit)“ geführt. Dadurch wurde die Sicherheitsoption „Byteweise Prüfsummen-Berechnung“ überflüssig. Diese ist somit entfallen.

  • Überarbeitete Hash-Berechnung und überarbeitete Verschlüsselungsalgorithmen, jetzt mit Optimierungen für verschiendene Prozessoren.

  • Die 256-Bit-AES-Verschlüsselung/Entschlüsselung ist jetzt etwa 30% schneller (auch auf alten Prozessoren).

Text-Extraktion, OCR

  • OCR kann nun optional auf Bilddateien beschränkt werden, die von einem bestimmten oder für einen bestimmten Gerätetyp erzeugt wurden, z. B. von einem Scanner, als Bildschirmfoto oder generell für Ausdrucke, weil solche Bilder mit höherer Wahrscheinlichkeit relevanten Text enthalten und weil das Auslassen aller anderen Bilder sehr viel Zeit sparen kann.

  • Bilddateien, bei denen die Gerätetyp-Erkennung nicht erfolgreich war („unbekannt“) oder auf die sie nicht angewandt wurde, weil die Metadaten-Extraktion noch nicht ausgeführt wurde oder weil die Gerätetyp-Erkennung den betreffenden Dateityp nicht unterstützt, können optional auch mit OCR verarbeitet werden.

  • OCR kann optional auch angewandt werden, wenn die regulären Bedingungen (Dateityp, Auflösung, Gerättyp) nicht erfüllt sind, aber die Bildinhaltsanalyse die Präsenz von Text oder Papiertextur anzeigt. Wenn dies ganz am Ende der Datei-Überblicks-Erweiterung während des separaten Vorgangs der Bildinhaltsanalyse geschieht, wird der daraus resultierende Text auch noch indexiert, sofern Indexierung aktiv ist.

  • Text, der aus Dokumenten oder Bildern im Vorschau-Modus extrahiert wird, kann auch im Datei-Überblick gespeichert werden. Die Wahl dieser Option merkt sich X-Ways Forensics separat speziell für den Vorschau-Modus. Sie ist in der Voreinstellung nicht aktiv, so dass Sie mit verschiedenen OCR-Einstellungen und unterschiedlichen PDF-Decodierungseinstellungen experimentieren können und bei jedem Versuch frische Ergebnisse sehen statt immer den gleichen Text, der nach dem allerersten Versuch im Datei-Überblick gespeichert wurde. Um zu den Einstellungen zum Decodieren und für OCR speziell im Vorschau-Modus zu gelangen, können Sie den Schalter für den Text/OCR-Untermodus mit der rechten Maustaste anklicken.

  • Die Kommentarspalte zeigt nun eine Vorschau des extrahierten Textes an, wie er im Datei-Überblick gespeichert ist, wenn Sie dies wünschen (hängt ab von einer neuen Notationseinstellung). Solcher extrahierter Text wird dort in grauer Farbe angezeigt, um ihn von echten Benutzerkommentaren leicht unterscheiden zu können. Wenn Sie an der Stelle mehr Text sehen möchten, können Sie wie immer den Mauszeiger über der betreffende Zelle parken. Der Kommentarfilter arbeitet weiterhin nur mit echten Kommentaren.

  • Um Dateien selektiv in den Zustand „noch zu verarbeiten“ zurückzuversetzen, können Sie sie bekanntlich auswählen und Strg+Entf drücken. Dies entsorgt nun auch extrahierten Text, der im Datei-Überblick gespeichert ist, so dass erneute Text-Decodierungs- und OCR-Operationen über das Erweitern des Datei-Überblicks (ggf. nach Anpassung der Datei "PDF Requiring OCR.txt", s. u.) einen weiteren Versuch unternehmen.

Datei-Typ-Unterstützung

  • Die interne Grafikanzeigebibliothek wurde aktualisiert. (Auch in v21.4 SR-5 und neuer enthalten.)

  • Die Anzahl der Bilddateien, denen X-Ways Forensics eine Geräteklasse oder Softwareklasse zuordnen kann, wurde weiter erhöht.

  • Das Stichwort „Dissemination“ neben der Generatorsignatur identifiziert Bilddateien, die als Kopie für einmalige Verwendung übermittelt wurden, z. B. zur Anzeige in einem Web-Browser. Das Stichwort „Edited“ neben der JPEG-Generator-Signatur identifiziert eine Kopie, die zur dauerhaften Speicherung gedacht ist.

  • Das gleichzeitige Durchblättern der Seiten mehrerer PDF-Dokumente auf einmal für OCR-Zwecke ist jetzt optional und standardmäßig ausgeschaltet. Dies kann in bestimmten Dokumenten, deren Darstellung in der Viewer-Komponente langsam ist, vollständigere Ergebnisse liefern, kostet aber mehr Zeit.

  • Text in PDF-Dokumenten aus bestimmten Quellen kann u. U. nicht leicht decodiert werden. Das äußert sich z. B. darin, dass die Textausgabe unvollständig ist oder verunstaltet oder dass nur lauter Müllzeichen ausgegeben werden. Wenn Sie in einem Echtfall auf eine Reihe gleichartiger PDF-Dokumente mit diesem Problem stoßen (die über denselben Mechanismus für denselben Zweck erzeugt wurden, z. B. Kontoauszüge, Rechnungen, Produktspezifikationen, ...), so dass der daraus decodierte Text nicht lesbar oder nicht durchsuchbar/indexierbar ist, können Sie den Namen der erzeugenden oder produzierenden Software oder die Generator-Signatur einer Liste hinzufügen, die X-Ways Forensics vor der Decodierung von PDF-Dateien prüft. Wenn es eine Übereinstimmung mit einer dieser drei Eigenschaften gibt, wendet X-Ways Forensics OCR auf die betreffenden Dateien an statt (mutmaßlich vergebliche) Anstrengungen zu unternehmen, die reguläre Text-Decodierung anzuwenden. Sie finden diese spezielle Option in dem Dialogfenster mit den Decodierungseinstellungen. Dies ist einer eher technische Einstellung und als solche nicht in X-Ways Investigator verfügbar. Ohne diese Option ist die einzige Situation, in der ein PDF-Dokument mit OCR behandelt wird, die, in der überhaupt kein Text per Decodierung ausgegeben wird, genau wie in früheren Versionen.
    Die besagte Liste wird in einer Textdatei namens „PDF Requiring OCR.txt“ verwaltet und kann so leicht mit anderen Benutzern geteilt werden. Das Format wird in der Textdatei selbst erklärt, wenn sie erstmalig erzeugt wird. Sie wird in demselben Verzeichnis erwartet, wo auch Ihre WinHex.cfg-Datei und diverse andere benutzerdefinierte Textdateien liegen. Generator-Signaturen sowie die Namen von PDF-erzeugender und -produzierender Software können im Details-Modus gefunden und bei Bedarf von dort kopiert werden. Für die Generator-Signatur werden nur die 8 Hexadezimal-Ziffern benötigt.

  • In SQLite-Datenbanken gefundene eingebettete Daten werden nun mit hilfreicheren Dateinamen ausgegeben.

  • Akzeptiert bestimmte leicht fehlcodierte zlib-komprimierte Daten als gültig.

  • Gründliche Evaluierung der DQT (Quantisierungstabellen) in JPEG-Dateien.

  • Der Gerätetyp-Filter erlaubt es nun auch, Dateien aufzulisten, bei denen die Gerätetyp-Erkennung nicht versucht wurde, z. B. weil die Metadaten-Extraktion noch nicht lief oder weil die Erkennung bei dem Dateityp nicht unterstützt wird. Bei solchen Dateien ist die Gerätetyp-Zelle leer, was „nicht bestimmt“ bedeutet.

Fallverwaltung

  • Es gibt nun einen Befehl im Kontextmenü des Verzeichnis-Browsers, mit dem Sie eine ausgewählte Datei oder ein Verzeichnis mit einem Lesezeichen versehen und eine individuelle Beschreibung dazu eingeben können. Lesezeichen sind hilfreich, um schnell zurück zu einem zuvor entdeckten interessanten Objekt zurück zu gelangen. Um eine Liste aller Lesezeichen im Fall zu sehen, rufen Sie das Bearbeitenmenü des Falldatenfensters auf. Alle Lesezeichen können dort aufgelistet und von dort aufgesucht werden, selbst wenn das Asservat, auf das sie sich beziehen, gerade nicht geöffnet ist. Wenn Sie ein Lesezeichen anlegen, erzeugt das gleichzeitig auch einen Vermerk, was nützlich ist zum Filtern und auch deshalb, weil das Sichern des Datei-Überblicks und das Wiederherstellen einer Sicherung zumindest diesen Vermerk ebenfalls mit sichert und wiederherstellt (allerdings nicht das Lesezeichen).

  • Das Bearbeiten-Menü des Falldatenfensters ist nun statisch (immer dasselbe) und identisch zum Kontextmenü des Falls. In früheren Versionen, wenn ein Asservat im Fallbaum ausgewählt war, war das Bearbeiten-Menü identisch zum Kontextmenü dieses Asservats.

  • Beim Öffnen von Falldateien mit unbekannten Daten von künftigen Versionen ist X-Ways Forensics nun präziser beim Melden und im Umgang mit dieser Situation, auf Fall- und auch auf Asservatebene.

  • Falldatei-Backups (.bak-Dateien) werden nun nicht mehr so leicht „geopfert“ (ersetzt/überschrieben), wenn die letzten Änderungen an einem Fall geringfügig ausgefallen sind, so dass ältere Backups, die signifikant anders sind, i. d. R. länger vorgehalten werden.

  • Die Funktionen, um alle Ausblendungen rückgängig zu machen und um ausgeblendete Objekte ganz aus dem Datei-Überblick zu entfernen, wurden vom Dialogfenster mit den Verzeichnis-Browser-Optionen in das Kontextmenü des Verzeichnis-Browsers verfrachtet (dort ins Untermenü „Ausblenden“).

  • Gründlichere Konsistenzprüfung für Datei-Überblicke, die bestimmte Probleme im Cache und in der Speicherung von extrahierten Daten erkennt. (Erreichbar über den Schalter mit dem Häkchen im Dialogfenster zum Erweitern des Datei-Überblicks.)

Diverses

  • Die Relevanz-Spalte hat jetzt einen Filter.

  • .dlg-Dateien merken sich nun die Position von Trackbar-Steuerungselementen, die verwendet werden zur Einstellung der PhotoDNA-Sensitivität und der Strenge des Ähnlichkeitsprüfung von Excire. Zuvor wurden diese Einstellungsmöglichkeiten nicht in .dlg-Dateien gespeichert.

  • Das Dialogfenster für die Vergrößern-Funktion, die es erlaubt, den Startoffset von aus Sektoren ausgegliederten Dateien sowie von Suchtreffern nachträglich passend vor- und zurückzuversetzen sowie ihre Größe maßzuschneidern, wurde überarbeitet und merkt sich jetzt mehr Einstellungen separat für Dateien und Suchtreffer als zuvor. Das Fenster hat jetzt außerdem eine neue Option, um die beabsichtigten Offset- und Größenänderungen in Bytes für Suchtreffer in UTF-16 bequem zu verdoppeln, so dass Suchtreffer mit 1 Byte pro Zeichen und Suchtreffer mit 2 Bytes pro Zeichen bequem gleichzeitig sinnvoll angepasst werden können.

  • Der Arbeitsspeicher-Editor identifiziert laufende Prozesse nun als entweder 32-Bit oder 64-Bit.

  • Die Beschränkung auf ganze Wörter bei der logischen Suche funktionierte bisher nicht, wenn man einzelne lateinische Buchstaben als ASCII/Lateinisch 1 suchte in extrahiertem Text, der intern als Unicode gespeichert war. Das wurde korrigiert.

  • Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

  • Viele kleinere Verbesserungen.


Änderungen der Service-Releases von 21.4:

  • SR-1: Fixed a sector read error that could occur in NTFS partitions in interpreted nested images since v21.1.

  • SR-1: .msg files whose metadata have been extracted now respond to the Sender and Recipient filters.

  • SR-1: Fixed an exception error that could occur when extracting metadata from certain PDF documents.

  • SR-1: Prevented a misleading message about unknown chunks that could be seen under certain circumstances when opening cases.

  • SR-2: The viewer component now remembers more display settings between sessions.

  • SR-2: The default scaling mode for PDF documents is now "Fit to window" instead of "Fit to window width".

  • SR-2: No longer tries to decode document files whose types cannot even be confirmed, just based on filename extension, which could yield lots of garbage characters as extracted "text".

  • SR-2: More complete OCR results for certain multi-page PDF documents.

  • SR-3: Slightly improved OCR quality for PDF files.

  • SR-3: Fixed a very rare exception error that could occur when reading the Content created timestamp of a file from the volume snapshot under certain circumstances.

  • SR-3: Fixed incomplete or missing search hit context preview for search hits in extracted text in v21.4.

  • SR-3: Fixed an error that depending on the cover page settings could make X-Ways Forensics print the same file multiple times when multiple files were selected, since v21.3.

  • SR-4: Fixed an error with SQLite processing that could (rarely) abort data storage in the volume snapshot.

  • SR-4: When multiple threads are active dealing with SQLite databases at the same time, the creation of temporary files could fail with a misleading error description ("used by another process") provided by Windows. To address this issue, multiple re-attempts are made until the creation succeeds.

  • SR-4: Fixed incorrect reporting of duplicate hash values when importing them from JSON files (Project VIC/CAID) and a potentially incomplete import from such files.

  • SR-4: Fixed a rare error that could occur when converting Intel Hex data with Linux style line breaks to binary.

  • SR-4: Ability to identify Windows Server 2025 as a platform.

  • SR-5: Prevented unnecessary scrolling of the search term list back to the start of the list after selecting search terms and hitting the Enter key/clicking the Enter button/double-clicking.

  • SR-5: Avoids that picture content analysis reports the fallback colors black and gray for incomplete JPEG pictures.

  • SR-5: Prevented a rare error writing to temporary files in conjunction with certain archives, which were reported with just a question mark as the filename.

  • SR-5: An automatic restart of X-Ways Forensics after a crash no longer decrements the number of remaining executions granted by an insured dongle.

  • SR-5: Binary PList files with a minimal size are now processed.

  • SR-5: More stable with certain rare SQLite database files.

  • SR-5: Sometimes better readable floating point numbers in the output for SQLite databases.

  • SR-6: Fixed misidentification of some rare .docx files as archive bombs with zip record overlaps.


Werden Sie zertifizierter Benutzer von X-Ways Forensics
Werden Sie X-PERTe.
(X-Ways Professional in Evidence Recovery Techniques)

Beweisen Sie Ihre Fähigkeiten in der Computerforensik im Allgemeinen und mit X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm. Nach dem Bestehen der herausfordernden Prüfung werden Sie Teil einer exklusiven Gruppe und genießen neben der entsprechenden Anerkennung auch weitere einhergehende Vorteile, wie Schulungsrabatte oder Zugang zum aktualisierten Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden Sie hier.


Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

  
#177: X-Ways Forensics, X-Ways Investigator und WinHex 21.4 veröffentlicht

19. Februar 2025

In dieser Ausgabe informieren wir Sie über ein am 17. Februar erschienenes Update mit wichtigen Verbesserungen, die Version 21.4.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Service-Releases oder auch Preview- und Beta-Releases interessiert sind, können Sie Informationen dazu jederzeit aktuell im Bereich "Announcements" des Forums finden. Bitte legen Sie sich ein Konto an (dazu werden die Log-In-Daten benötigt), um die Ankündigungen in diesem Bereich immer sofort per E-Mail zu erhalten. Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Danke.


Nächste deutschsprachige Schulungstermine:

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie online werden hier aufgelistet.


Was ist neu in v21.4?
(Die meisten Änderungen beziehen sich nur auf X-Ways Forensics.)

Erweiterung des Datei-Überblicks

  • Text-Decodierung und OCR sind jetzt eigenständige und unabhängige Unteroperationen beim Erweitern des Datei-Überblicks und nicht mehr nur in Verbindung mit der Indexierung verfügbar. Dies ermöglicht Ihnen, vorab Zeit in diese Operationen zu investieren, um die späteren logischen Suchen zu beschleunigen. Die Zahl der extrahieren Zeichen kann in der Beschreibungsspalte abgelesen werden, sofern die Notationsoption zur Anzeige von "Andere" für diese Spalte gewählt ist.

  • Es ist jetzt leichter festzulegen, ob OCR nur auf Dokumente (insbesondere bestimmte PDF-Dateien) und/oder auf Bilder angewendet werden soll. Beim Datei-Überblick Erweitern ist Bild-OCR jetzt Teil der Bildanalyse und -verarbeitung, und Sie können Zeit sparen, indem Bilder mit niedriger Auflösung, die mit hoher Wahrscheinlichkeit keine Dokumente sind, nicht OCR-behandelt werden.

  • Sie brauchen OCR oder die Text-Decodierung während der logischen Suche nicht mehr auswählen, wenn diese Operationen bereits während der Erweiterung des Datei-Überblicks durchgeführt wurden, und der extrahierte Text im Datei-Überblick gespeichert wurde. Dieser wird dann zusammen mit den normalen Dateiinhalten automatisch durchsucht. Sie können die Text-Decodierung oder OCR während der logischen Suche aber dennoch aktivieren, falls gewünscht, um Decodierung bzw. OCR auf Dateien anwenden zu lassen, die bislang noch nicht entsprechend verarbeitet waren.

  • Sie brauchen OCR oder die Text-Decodierung während der Indexierung nicht mehr auswählen, wenn diese Operationen bereits während einer vorherigen Erweiterung des Datei-Überblicks durchgeführt wurden, und der extrahierte Text im Datei-Überblick gespeichert wurde. Dieser wird dann zusammen mit den normalen Dateiinhalten automatisch indexiert. It will be indexed along with the regular file contents automatically. Sie können die Text-Decodierung oder OCR während der Indexierung aber dennoch aktivieren, falls gewünscht, um Decodierung bzw. OCR auf Dateien anwenden zu lassen, die bislang noch nicht entsprechend verarbeitet waren.

  • Die Einstellungen für die Text-Decodierung in Dateien sind jetzt in einem einzigen Dialogfenster zusammengefasst, damit insbesondere die spezielle Unterstützungsoption für Tabellenkalkulationen nicht mehr so leicht übersehen wird. Diese war bislang unter Optionen | Datei-Betrachtung aktivier- und konfigurierbar, da es technisch mit der Viewer-Komponente in Verbindung steht.

  • Die neue Methode zum Verwerfen von bereits vorhandenem, decodierten bzw. per OCR erkannten Text aus dem Datei-Überblick, und um die Text-Decodierung/OCR von Grund auf neu machen zu lassen (z.B. unter Verwendung der zuvor nicht aktiven Option für Tabellenkalkulationen), ist im Fenster für Datei-Überblick Erweitern den Haken aus dem für diese Operationen gemeinsam zuständigen Kontrollkästchen "Bereits erledigt" zu entfernen.

  • Die sog. alternative (tatsächlich standardmäßig aktive) Text-Extraktionsmethode für Tabellenkalkulationen ist jetzt stabiler und verlangt nicht mehr, dass Sie X-Ways Forensics im Vordergrund halten.

  • Vollständigere Text-Decodierung von Excel-Tabellen, die Diagramme enthalten.

  • Interne Reorganisation und Optimierung des Datei-Überblick Erweiterns, insbesondere mit mehreren Arbeiter-Threads.

  • Die Bildinhaltsanalyse hat jetzt einen noch stärkeren Einfluss auf die berechnete, generische Relevanz. Zum Beispiel kann die Relevanz erhöht werden in Abhängigkeit davon, wie ungewöhnlich der erkannte Inhalt ist, und mit welcher Gewissheit dieser Inhalt erkannt wurde.

  • Die Bildinhaltsanalyse wird jetzt auf einige exotische Dateiformatvarianten angewendet, bei denen das zuvor nicht möglich war.

  • Einige mögliche Programmabstürze bei der Verarbeitung von SQLite-Datenbanken wurden verhindert.

  • Verbesserte Behandlung spezieller Gleitkommawerte (negative Werte einschließlich negativer Nullen, NaNs, und Unendlichkeitswerte) bei der Verarbeitung von SQLite-Datenbanken.

  • Unter Optionen | Sicherheit können Sie jetzt nicht mehr nur gezielt einen Programmabsturz simulieren lassen, zum Beispiel, um die automatische Wiederaufnahme der Erweiterung des Datei-Überblicks zu testen, oder, um zu testen, wie sich ein von Ihnen für den Einsatz von der Kommandozeile aufgesetztes System im Absturzfall verhält, sondern können jetzt auch Ausnahmefehler, die von der Anwendung gefangen werden, und keinen Absturz verursachen, simulieren lassen, um z.B. zu testen, in welchem Verzeichnis der Eintrag in der error.log erzeugt wird, und welche Informationen diese dann enthält. Diese Funktion ist weiterhin nur in Preview- und Beta-Versionen verfügbar.

  • Das DÜE-Dialogfenster wurde leicht umorganisiert.

  • Zwei weitere Methoden um eine hängende vorherige Instanz (die ein Fortschrittsfenster anzeigt) aus einer zweiten Instanz heraus eventuell wieder zu beleben. Wenn Sie beide ablehnen, wird die übliche Liste der Threads angezeigt.

Dateiarchiv-Unterstützung

  • Fähigkeit, Dateien aus .xz-Archiven und einigen Nullsoft-.cab-Archiven zu dekomprimieren.

  • Fähigkeit, ausführbare Dateien für Windows (EXE, DLL, ...) und Unix/Linux (ELF) wie Dateiarchive zu dekonstruieren. Falls Sie daran interessiert sind, können Sie Dateityp-Kennungen wie ,exe,dll,elf zu einer der aktiven Dateityp-Listen unter Specialist | Datei-Überblick erweitern | Inhalt von Datei-Archiven aufnehmen | ... hinzufügen. Diese sind ab jetzt standardmäßig unter "Special interest" mit aufgeführt, welche nicht aktiv genutzt ist, und Ihnen in erster Linie Ideen liefern soll, welche weiteren Dateitypen Sie verarbeiten lassen könnten, wenn Sie möchten.

  • Die Einstellungen für die Aufnahme von Dateien in Archiven in den Datei-Überblick können jetzt nicht mehr nur von Datei-Überblick erweitern aus erreicht werden, sondern auch aus den allgemeinen Optionen des Datei-Überblicks, weil sie auch für das Hinzufügen von Archiven zum Fall als eigenständige Asservate von Bedeutung sind.

  • Vermeidet einen seltenen Fehler, durch den ein falsches Passwort für ein verschlüsseltes Archiv als das richtige vermerkt wird, wenn die Einträge in der vorliegenden Passwort-Sammlung durchprobiert werden.

  • Die parallelisierte Behandlung von Datei-Archiven mit mehreren Threads wurde gezielt beschleunigt, insbesondere für Asservate, die sehr große Datei-Archive sind, wie beispielsweise Smartphone-Sicherungen.

  • In v21.3 und früher, wenn ein DÜE-Thread eine Datei in einem Archiv verarbeitet hat, mussten andere Threads warten, wenn sie andere Dateien aus dem gleichen Archiv lesen wollten, sofern diese nicht bereits im Cache waren. In v21.4 warten andere Threads jetzt nicht mehr, sondern fahren stattdessen mit anderen Dateien im Datei-Überblick fort, die nicht in diesem Archiv gespeichert sind. Und derjenige Thread, der aktuell mit diesem Archiv beschäftigt ist, wird explizit beauftragt, auch die restlichen Dateien dieses Archivs abzuarbeiten. Falls das gesamte Asservat ein einziges Datei-Archiv ist, können alle Threads gleichzeitig Dateien aus diesem Archiv lesen.

  • Beschleunigte Extraktion bestimmter großer GZ-Datei-Archive.

Bilddatei-Unterstützung

  • Verbesserte teilweise Darstellung unvollständiger JPEG-Dateien mit der internen Bildanzeigebibliothek.

  • Stabilere Darstellung beschädigter/unvollständiger WEBP-Bilder mit der internen Bildanzeigebibliothek.

  • Aktualisierte Unterstützung für PNG und TIFF in der internen Bildanzeigebibliothek.

  • Überarbeitete Erkennung des Gerätetyps Scanner und der Software-Klasse Twitter/X.

  • Gerätetyp-Erkennung allgemein weiter verbessert.

Fall-Verwaltung

  • Fähigkeit, ganze Asservate als verdächtig, irrelevant oder nicht kategorisiert zu kennzeichnen, über das Kontextmenü, und sie im Fallbaum mit einem entsprechenden Icon anzuzeigen.

  • Fähigkeit, gezielt auszuwählen, welche Asservate aus einem anderen Fall importiert werden sollen. Früher wurden entweder alle oder alle als wichtig gekennzeichneten Asservate importiert. Die Import-Funktion kann auch dazu verwendet werden, einen kleinen Blick in einen anderen Fall (auf dessen Asservat-Liste und deren jeweilige Kennzeichnungen) zu werfen, ohne diesen Fall ganz zu laden, was den aktuell geöffneten Fall ersetzen würde, und ohne eine zweite Instanz zu starten, und ohne tatsächlich etwas zu importieren. Dieser Vorgang ist für den anderen Fall komplett schreibgeschützt und auch dann möglich, wenn dieser aktuell anderweitig zur Bearbeitung geöffnet ist.

  • Verbesserte Darstellung abhängiger Asservate in entsprechenden Auswahl-Dialogfenstern.

  • Der Kompressionsalgorithmus, der in neu hinzugefügten .e01-Evidence-Files verwendet wird, wird jetzt in den Eigenschaften des Asservats angezeigt.

  • Die Option, das Passwort für verschlüsselte .e01-Evidence-Files im Fall zu speichern, wird nicht mehr nur sofort beim Hinzufügen der Sicherung zum Fall angeboten.

Benutzerschnittstelle

  • Die französischen und rumänischen Abkürzungen für die Einheiten KB, MB, GB und TB, d.h. Ko, Mo, Go und To, können jetzt auch in anderen Sprachversionen der Benutzeroberfläche verwendet werden, dank einer neuen Option in den Notationsoptionen, und da diese jetzt Teil der Notationseinstellungen sind, können diese ggf. auch nur für Export- bzw. Datenaustauschzwecke aktiviert oder deaktiviert werden, falls gewünscht.

  • Die französische Übersetzung der Benutzeroberfläche wurde überarbeitet und aktualisiert.

  • ISO/IEC 80000-13 ist jetzt eine weitere Notationsoption (KiB, MiB, GiB, TiB) zusätzlich zum traditionellen und kompakteren Windows/JEDEC 100B.01-Standard (KB, MB, GB, TB).

  • Zeigt das Wort "Admin" neben der Versionsnummer in der oberen, rechten Ecke in einer als Administrator gestarteten Sitzung, um darauf leichter aufmerksam zu werden.

  • Nach der Deduplizierung einer Auflistung im Verzeichnis-Browser stellt X-Ways Forensics jetzt die ursprüngliche Sortierung der Objekte vor dieser Operation wieder her (weil die Reihenfolge sich intern zur Identifikation von Duplikaten ändert). Und falls die zuletzt ausgewählte Datei nicht als Duplikat ausgeblendet wurde, wird diese Datei automatisch hinterher wieder ausgewählt.

  • Mehr zeitgleich zutreffende Zelleinfärbungskonstellationen resultieren jetzt in einer Farbmischung.

  • Eine zweite Farbverlaufvariante ist jetzt für die Zelleinfärbung bedingungsspezifisch wählbar (ein diagonaler Verlauf).

  • Sie können jetzt auch allgemein stärkere Farbverläufe wählen, wenn Sie möchten.

  • Leicht überarbeitete Darstellung nicht verwendeter Einträge in der exFAT-Dateizuordnungstabelle, um Missverständnisse zu vermeiden.

  • Dynamische E-Mail-Spalten reagieren jetzt auf verarbeitete .msg-Dateien im sichtbaren Bereich des Verzeichnis-Browsers.

  • Tooltips in Zellen des Verzeichnis-Browsers sind im Dunkelmodus jetzt dunkler. Insbesondere werden die Kommentar-Tooltips nicht mehr mit einem hellgelben Hintergrund dargestellt.

  • Im Vorschau-Modus können Sie jetzt einfach per rechtem Mausklick auf den Text/OCR-Schalter die Einstellungen für Text-Decodierung bzw. für OCR aufsuchen.

Daten-Dolmetscher

  • Der Daten-Dolmetscher übersetzt jetzt optional auch HFS/HFS+- und FILETIME-Zeitstempel, die als Dezimalwerte in ASCII-Text dargestellt sind.

  • Der Daten-Dolmetscher kann jetzt auch von Ihnen eingegebene Daten und Uhrzeit in ASCII-Text-Dezimalwerte umwandeln (für diejenigen Zeitstempelformate, für die ASCII-Text-Dezimalwerte unterstützt werden), sofern diese ASCII-Text-Dezimalwert-Darstellung aktiv ist. Sie müssen eine korrekte Terminierung des resultierenden Text-Strings sicherstellen (z.B. mit Leerzeichen, Zeilenumbruch, Nullbyte oder Dateiende). Nur möglich in nicht schreibgeschützten Datenfenstern.

  • Der Daten-Dolmetscher kann jetzt Base64 in ASCII übersetzen (nicht umgekehrt).

  • Wenn Sie ein zu übersetzendes Datum eingeben, in Binär oder Dezimal-ASCII, und Sie aber keine Uhrzeit eingeben, nimmt dies jetzt eine Zeit von 00:00:00 an, statt Ihnen mit einer Fehlermeldung auf die Nerven zu gehen.

  • Die Interpretation der Daten an der aktuellen Cursor-Position im Statusbalken unterstützt jetzt jedes der aus dem Daten-Dolmetscher bekannten Formate, nicht nur Integer-Werte. Wie bisher können Sie durch einen linken Mausklick auf die betreffende Zelle des Statusbalkens das gewünschte Format auswählen. (Die Anzeige der Uhrzeit zusätzlich zum Datum folgt in SR-1.)

X-Tension API

  • Die Funktion XWF_GetVSProp() der X-Tension API unterstützt jetzt einen weiteren Operationstyp: XWF_VSPROP_RESET: Dies erzeugt einen neuen Datei-Überblick und setzt den für das betreffende Asservat zuständigen Teil des Fallbaums zurück.

  • Um es dem Nutzer zu überlassen, ob von Ihrer X-Tension als irrelevant identifizierte Dateien dennoch von der Erweiterung des Datei-Überblicks weiter verarbeitet werden sollen, könnten Sie das Flag "ignorable" via XWF_SetItemInformation() in einem frühen Aufruf der Funktion XT_ProcessItem() setzen.

  • X-Tensions API: Für die Funktion XWF_AddToReportTable() sind jetzt einige zusätzliche Flags definiert.

Verschiedenes

  • Fähigkeit, auf bestimmten LDM-Datenträgern mit GPT-Partionierung, die zuvor nicht unterstützt waren, die dynamischen Volumes zu identifizieren.

  • Der Befehl Wiederherstellen/Kopieren und der Befehl, ausgewählte Dateien in einen Datei-Container zu kopieren, haben jetzt beide die neue Option, die Unterobjekte ausgewählter Dateien nur dann als eigenständige Dateien zu kopieren, wenn diese Unterobjekte keine E-Mail-Anhänge sind. Dies könnte eine nützliche Einstellung sein, wenn Sie diese Anhänge bereits in die Eltern-.eml-Datei einbetten lassen und dieselben Daten nicht zweimal ausgeben lassen wollen.

  • Option, beim Kopieren von E-Mails in einen Datei-Container die E-Mail-Anhänge in die Eltern-.eml-Datei einbetten zu lassen.

  • Die Dialogfenster für Pfad- und Vollpfad-Filter erlauben jetzt bis zu 4 Millionen Zeichen.

  • Es ist jetzt möglich, logische Suchen ausschließlich auf per OCR gewonnenen Text anzuwenden.

  • Index-Suchtreffer unterscheiden jetzt zwischen Suchtreffern in decodiertem Text und in per OCR gewonnenem Text.

  • Verbesserte Unterstützung für Proxy-Server in BYOD+.

  • Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

  • Viele kleinere Verbesserungen.


Änderungen in den Service-Releases von v21.3

  • SR-1: Verschiedene Schattierungen von Standardfarben mit spezifischen Namen (z.B. deep sky blue, fuchsia, aquamarine, yellow green, khaki, dark salmon, ...) können bei der Bildanalyse jetzt optional erkannt werden, wenn die Option zur Farberkennung voll ausgewählt ist. Spezielle Farben werden immer auf Englisch ausgegeben und nicht ins Deutsche, Französische, Spanische oder Italienische übersetzt. Wenn die Option nur halb ausgewählt ist, werden nur Standardfarben ausgegeben.

  • SR-1: Alle Farbnamen, ob Standard oder Sonderschattierung, können jetzt optional das Wort "Farbe: " (sprachabhängig) vorangestellt bekommen, damit alle Farb-Vermerke als zusammenhängende Gruppe anzeigt werden, wenn die Vermerke alphabetisch sortiert werden.

  • SR-1: Einige weniger dominante Farben, die in Bildern erkannt werden, werden jetzt ebenfalls ausgegeben.

  • SR-2: Die Prüfung und Bestätigung bereits definierter Rahmen für die Suche nach bekannten Gesichtern ist jetzt optional. Dieser Schritt wird jetzt übersprungen, wenn für alle Bilder im Vorlagenverzeichnis bereits markierte Gesichter in Labels.xml definiert sind, sofern nicht erzwungen.

  • SR-2: Die Verarbeitung von Dongle-Aktivierungs-Codes in v21.3 wurde korrigiert.

  • SR-3: Der Umgang mit MD RAID ist jetzt einfacher und bequemer. Die MD RAID-Container-Partitionen werden jetzt beim Hinzufügen des physischen Datenträgers bzw. der Sicherung ebenfalls in den Fall mit aufgenommen. Dies ermöglicht es X-Ways Forensics, sich die Komponenten des rekonstruierten MD RAIDs zu merken, wenn Sie auch dieses RAID zu Ihrem Fall hinzufügen, für ein zukünftiges erneutes Öffnen. Diese Container-Partitionen sind standardmäßig für die rekursive Auflistung oder zum Datei-Überblick Erweitern nicht mit ausgewählt, da ihr Speicherplatz (hoffentlich) bereits anderweitig abgedeckt ist, und deutlich sinnvoller, über das rekonstruierte RAID.

  • SR-3: Ein Ausnahmefehler wurde verhindert, der auftreten konnte beim Kopieren von Dateien aus Asservaten, die Datei-Archive sind, in einen Datei-Container, mit der Option, im Ziel-Container den Teilpfad zu reproduzieren.

  • SR-3: X-Tension API: XWF_VSPROP_SET_HASHTYPE1 und XWF_VSPROP_SET_HASHTYPE2 der Funktion XWF_GetVSProp() waren nicht in der Lage, einen neuen Hash-Typ festzulegen, wenn noch kein Hash-Typ definiert war. Dies wurde behoben.

  • SR-4: Die Unfähigkeit der einfachen Suchfunktionen, in bestimmten Situationen beim rückwärts Suchen die Daten zu finden, wurde behoben.

  • SR-5: Die extreme Langsamkeit der rekursiven Auswahlstatistik in v21.3 in bereits rekursiv erkundeten Auflistungen in bestimmten Situationen wurde behoben.

  • SR-5: Eine sehr seltene Endlosschleife beim Laden bestimmer JPEG-Dateien wurde behoben.

  • SR-5: Weniger häufige Erkennung der Farbe Grau.

  • SR-5: Unterstützung für mehr Dongle-Konfigurationen.

  • SR-6: Die Datei-Überblick-Backups werden jetzt ordentlich gelöscht, wenn ein Asservat aus dem Fall entfernt wird.

  • SR-6: Fähigkeit, die Asservate mit ihren Datei-Überblicken aus älteren Fällen zu importieren, die mit v20.9 und älter erzeugt wurden und andere interne Verzeichnisnamenskonventionen verwenden.

  • SR-6: Ein Ausnahmefehler wurde verhindert, der in v21.3 beim Bewegen des Mauszeigers über Icons in einem nicht mehr rekursiv erkundeten Asservat-Überblicksfenster auftreten konnte.

  • SR-6: Eine mögliche Unfähigkeit, bestimmte Unteroperationen der Bildanalyse und -verarbeitung in v21.3 zu aktivieren oder deaktivieren, wurde behoben.

  • SR-6: Setzt in bestimmten Situationen jetzt spezielle Exit-Codes.

  • SR-7: Merkt sich die Auswahl der zum Abgleich in einer Hash-Datenbank ausgewählten Hash-Sets in der Datenbank selbst. Aus diesem Grund, und als grundsätzliche Überlegung, um konsistente Ergebnisse bei einer automatisierten Ausführung von der Kommandozeile sicherzustellen, empfehlen wir, keine Hash-Datenbank einzusetzen, die auch von anderen Personen eingesetzt wird, die eine andere Auswahl festlegen könnten.

  • SR-7: Verbesserte JPEG-Größenerkennung bei vorhandenen, leeren COM-Markern, was zur Darstellung des Bildes erforderlich sein kann.

  • SR-8: Verhindert, dass das Installationsverzeichnis selbst direkt als das Verzeichnis für temporäre Dateien eingestellt wird.

  • SR-8: Fähigkeit, RAR- und 7z-Archive mit voller Dateinamenverschlüsselung als verschlüsselt zu erkennen, wenn kein passendes Passwort angegeben wird.

  • SR-8: Die optionale, alternative Interpretation erweiterter Zeitstempel in Zip-Archiven hatte seit v20.6 keinen Effekt. Dies wurde behoben.

  • SR-8: "Duplikate in Liste finden" hat nicht immer alle Duplikate identifiziert, wenn zusätzliche Kriterien ausgewählt waren, oder der Name das primäre Vergleichskriterium war.

  • SR-8: Ein Problem beim Extrahieren von Dateianhängen aus bestimmten Original-.eml-Dateien oder MBOX-E-Mail-Archiven in v21.1 und später wurde behoben.

  • SR-9: Verbesserte Kompatibilität mit Proxy Servern in BYOD+.

  • SR-9: Ein nicht erfolgreicher automatischer Neustart von DÜE in einer speziellen Situation wurde korrigiert.


Werden Sie zertifiziert in der Benutzung von X-Ways Forensics
Werden Sie X-PERTe.
(X-Ways Professional in Evidence Recovery Techniques)

Beweisen Sie Ihre Fähigkeiten in der Computerforensik im Allgemeinen und mit X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm. Nach dem Bestehen der herausfordernden Prüfung werden Sie Teil einer exklusiven Gruppe und genießen neben der entsprechenden Anerkennung auch weitere einhergehende Vorteile, wie Schulungsrabatte oder Zugang zum aktualisierten Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden Sie hier.


Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

> Archiv des Jahres 2024 <

> Archiv des Jahres 2023 <

> Archiv des Jahres 2022 <

> Archiv des Jahres 2021 <

> Archiv des Jahres 2020 <

> Archiv des Jahres 2019 <

> Archiv des Jahres 2018 <

> Archiv des Jahres 2017 <

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archiv des Jahres 2000 <