WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

17. Apr. 2008

* Auch nach dem Erkunden eines Verzeichnisses durch Anklicken im Verzeichnisbaum finden Sie nun einen ".."-Eintrag ganz oben im Verzeichnis-Browser, den Sie doppelt anklicken können, um aufwärts zum jeweiligen Elternverzeichnis zu navigieren, genau wie mit der Rücklöschtasten.

* Paßwortgeschützte Outlook PST E-Mail-Archive werde nun mit "e!" in der Attributspalte gekennzeichnet, wenn entweder der Verschlüsselungstest auf sie angewandt wird oder Sie versuchen, E-Mails aus ihnen zu extrahieren.

* Die E-Mail-Extraktion prüft nun Dateien mit der Endung .pst auf ihre Signatur und prüft ursprüngliche Dateien mit der Endung .eml auf das Vorhandensein eingebetteter Dateien, bevor mit der eigentlichen Extraktion begonnen wird. Dies reduziert die Anzahl der Dateien, für die unnötigerweise "Keine E-Mails gefunden in..." ausgegeben wird.

* Dateien, die aus ursprünglichen .eml-Dateien extrahiert werden, werden darüber hinaus nun direkt als Unterobjekte ausgegeben, und die E-Mail selbst wird nicht mehr unnötigerweise ein weiteres Mal aufgelistet.

* Einige weitere kleine Verbesserungen/Fehlerbehebungen für die Verarbeitung von E-Mail, betreffend E-Mails mit ungewöhnlichen Zeilenumbruchformaten sowieso Pegasus Mail und PocoMail.

* Besser strukturierte und optisch ansprechendere Präsentation der internen Datei-Metadaten im Details-Modus für verschiedene Dateitypen. (nur mit forensischer Lizenz)

* Die Darstellung von .lnk Shortcut-Dateien im Vorschau-Modus und im Einsehen-Befehl ist nun optisch ansprechender. (nur mit forensischer Lizenz)

* Metadaten-Extraktion aus MS Office 2007 XML, OpenOffice XML, StarOffice XML, .dmp Speicher-Dumps und Dateien vom Typ PNF (Precompiled Setup Information). Metadaten-Extraktion aus hiberfil.sys-Dateien, .wim Vista Image-Dateien und GZ-Archiven im Details-Modus. (nur mit forensischer Lizenz)

* Möglichkeit, sowohl aktive als auch inaktive ganze Windows XP 32-bit hiberfil.sys-Dateien zu dekomprimieren, nachdem man sie aus dem Image herauskopiert hat, um ein Abbild des physischen Arbeitsspeichers von einem früheren Zeitpunkt zu erhalten, als der Computer in den Ruhezustand überging. Außerdem können einzelne xpress-Blöcke aus dem "Schlupf" von hiberfil.sys-Dateien dekomprimiert werden, die von einem noch früheren Zeitpunkt stammen. Diese Funktion finden Sie unter Bearbeiten | Konvertieren. (nur mit forensischer Lizenz)

* Unterstützung für echte Unicode-Dateinamen bei der Untersuchung von Zip, RAR und 7zip-Archiven (nur mit forensischer Lizenz). Beachten Sie, daß Sie zum korrekten Verarbeiten von Dateien in Zip-Archiven mit echten Unicode-Dateinamen in den Falleigenschaften erst die richtige Codepage angeben müssen. Wenn das z. B. Zip-Archive sind, die unter Linux erstellt wurden, ist das wahrscheinlich UTF-8. Für Zip-Archive, die unter Windows in Asien erstellt wurden, ist das wahrscheinliche eine regionale Codepage.

* Bessere Unterstützung für sehr große Archive über 2 GB. Einige weitere kleinere Verbesserungen in Bezug auf die Verarbeitung von Archiven.

* Erzeugungs- und Zugriffszeitstempel von Dateien in Zip-Archiven werden nun in den Datei-Überblick aufgenommen, sofern verfügbar.

* Die Option, freien Laufwerksspeicher in ansonsten vollständige sektorgenaue Images von Partitionen/Volumes _nicht_mit aufzunehmen, ist nun auch in X-Ways Forensics verfügbar, nicht nur in WinHex mit Specialist oder forensischer Lizenz. Sie ist nun verfügbar, weil im Prinzip selektive Sicherungen vollständigen Sicherungen je nach den rechtlichen Verhältnissen u. U. sowieso vorzuziehen sind oder sogar explizit gefordert werden, und weil manche Staatsanwaltschaften bestimmte Ermittlungen ohnehin auf existierende Dateien beschränken möchten. Besondere Vorkehrungen helfen, das unbeabsichtigte Einschalten dieser Option zu verhindern.

* Möglichkeit, nur solche ehemals existierenden Dateien herauszufiltern, deren erster Cluster bekanntermaßen nicht mehr verfügbar ist, mittels des neuen dritten Zustands des Kontrollkästchens mit der Beschriftung "Ehem. exist. Objekte anzeigen". (nur mit forensischer Lizenz)

* Möglichkeit, sich mit dem Attributfilter auf Dateien zu konzentrieren, die Unterobjekte haben. (nur mit forensischer Lizenz)

* Immer wenn einer oder mehrere Filter aktiv sind, die auch tatsächlich Dateien in der aktuellen Anzeige des Verzeichnis-Browsers herausfiltern, sind die beiden blauem Filtersymbole in der Überschriftszeile des Verzeichnis-Browser nun anklickbar und ermöglichen es, *alle* Filter mit einem einzigen Mausklick auf einmal auszuschalten, um sicherzustellen, daß Sie keine Datei versehentlich übersehen. Dies war ein oft vorgetragener Wunsch der Benutzer. Die Filtersymbole bewirken auch ein vollständiges Anzeigen der Suchtrefferliste, indem bei mehreren ausgewählten Suchbegriffen die Einstellung "Min. x" oder "Alle x" auf "Min. 1" zurückgesetzt wird. Ebenso wird die Option "Nur 1 Treffer pro Datei auflisten" ggf. ausgeschaltet. (nur mit forensischer Lizenz)

* Möglichkeit, .e01 Evidence-Files mit einer Segmentgröße von über 2 GB zu schreiben und zu lesen. Tatsächlich ist es nun überhaupt nicht mehr erforderlich, sie in Segmente zu zerlegen (außer natürlich wenn das Zieldateisystem FAT32 ist oder Sie das Image auf CDs oder DVDs brennen möchten). Um Kompatibilität mit früheren Version von X-Ways Forensics zu erhalten, mit EnCase-Versions vor v6 und mit anderen Produkten, lassen Sie sie wie früher bei 2047 MB oder weniger splitten. (nur mit forensischer Lizenz)

* Berichtstabellen, die von X-Ways Forensics selbst erzeugt wurden (durch v14.9 Preview 3 und neuer) können in Dialogfenstern von benutzerdefinierten Berichtstabellen nun optisch unterschieden werden.

* Die Größenbeschränkung, die festlegt, wann ein Bild als irrelevant für die Hautfarbenerkennung eingestuft wird, ist
nun etwas strenger: Breite oder Höhe nicht mehr als 8 Pixel, oder Breite und Höhe beide nicht mehr als 16 Pixel. (nur mit forensischer Lizenz)

* Möglichkeit, virtuell angehängte Dateien in einem Datei- Überblick über das Verzeichnis-Browser-Kontextmenü umzubenennen. (nur mit forensischer Lizenz)

* Indexierung: Unnötige Unterbrechung durch eine vom Programm geforderte Bestätigung durch den Benutzer in bestimmte Situationen verhindert. (nur mit forensischer Lizenz)

* Bilder, die in anderen Dateien eingebettet sind, können nun auch dann in den Datei-Überblick aufgenommen werden, wenn die jeweilige Trägerdatei komprimiert ist. (nur mit forensischer Lizenz)

* Aus Videos extrahierte Einzelbilder werden nun auch bei Verwendung von MPlayer nach der jeweiligen Videodatei benannt (voll Unicode-fähig), nicht nur nach dem Zeitindex. Bei Verwendung von Forensic Framer werden etwaige echte Unicode- Zeichen im Dateinamen nun beibehalten. (nur mit forensischer Lizenz)

* Wenn Video-Dateien extern angeschaut werden, stellt X-Ways Forensics nun sicher, daß die Namen der Temporärdateien nur triviale Unicode-Zeichen enthalten (Latin 1), aus Gründen der Kompatibilität mit Programmen wie MPlayer, die nicht mit echten Unicode-Zeichen im Dateinamen umgehen können. (seit v14.8 SR-4)

* Das automatische Benennen per Signatur gefundener JPEG-Dateien nach Kameramodell und Aufnahmezeitpunkt, sofern möglich, ist nun optional. (betrifft Specialist- und forensische Lizenzen)

* Es ist nun möglich, nur halb markierte Dateien im Verzeichnis-Browser auszugeben oder diese herauszufiltern (s. Verzeichnis-Browser-Optionen, nur mit forensischer Lizenz).

* Option zum Export von Listen als Textdateien in Unicode. (nur mit forensischer Lizenz)

* Ein Fehler wurde behoben, der unter bestimmten Umständen die Signatursuche eine Datei erneut finden ließ, obwohl sie bereits im Datei-Überblick enthalten war und eine Verdoppelung vermieden werden sollte.

* Nun fast vollständige interne Verwendung von Unicode für die Benutzeroberfläche, so daß die chinesische und die japanische Übersetzung auch dann korrekt angezeigt werden können, wenn die in Windows aktive Codepage nicht 936 bzw. 932 ist. Verbesserte Unicode-Unterstützung auch für Fallberichte im HTML-Format in Chinesisch und Japanisch.

* Für bestimmte Dateitypen erkennt die Dateitypprüfung den korrekten Dateityp nun, ohne den Typstatus grundsätzlich auf "neu erkannt" zu setzen, selbst wenn der Typ nicht mit der Dateinamenserweiterung übereinstimmt. Dies geschieht für Windows Registry-Dateien (weil es normal ist, wenn diese Dateien überhaupt keine Endung haben) und für HTML/XML-Dateien (weil es eine Vielzahl von Endungen geben kann, die alle normal und plausibel sind). Dies hilft, die Anzahl der Dateien mit dem Typstatus "neu erkannt" niedrig zu halten, und erlaubt es, sich besser auf solche Dateien konzentrieren können, die u. U. tatsächlich falsch benannt wurden. (nur mit forensischer Lizenz)

* Findet gelöschte Partitionen nun auch dann automatisch, wenn sie 64 Sektoren von zuvor gefundenen Partitionen entfernt liegen (nicht nur 63 oder 2048 Sektoren wie zuvor).

* Seit der Einführung von 256-Bit-AES in WinHex/X-Ways Forensics wurde der Verschlüsselungsalgorithmus PC1 aus Gründen der Kompatibilität mit älteren Versionen noch weiter unterstützt. Diese Unterstützung wurde nun eingestellt.

* Dateien vom Typ XML und HTML werden nicht mehr der Berichtstabelle "Ohne erkennbaren textuellen Inhalt" hinzugefügt, wenn die Viewer-Komponente für die logische Suche/die Indexierung keinen Text mehr aus ihnen extrahieren kann. (nur mit forensischer Lizenz)

* Ein Fehler wurde behoben, der verhinderte, daß Dateien, deren Inhalte auf NTFS-Partitionen über 2 TB hinter der 2-TB-Grenze lagen, richtig gelesen wurden.

* Der erste Schritt der besonders intensiven Dateisystem-Datenstruktur-Suche auf NTFS-Partitionen funktioniert nun auch hinter der 2-TB-Grenze. (seit v14.8 SR-5)

* Ein Fehler wurde behoben beim Zusammensetzen von RAIDs über 2 TB. (seit v14.8 SR-1)

* X-Ways Forensics und X-Ways Investigator geben Ihnen nun automatisch bis zu drei Mal Bescheid, wenn Sie sich dem Ende Ihrer Update-Berechtigung nähern.

* Die Viewer-Komponent wird nun erst dann geladen, wenn sie tatsächlich benötigt wird, nicht schon zwingend beim Start der Software. (nur mit forensischer Lizenz)

* Der mit "Text" bezeichnete Schalter, der die Vorschau der Viewer-Komponente in eine Roh-Text-Ansicht umschaltet (was z. B. sehr hilfreich ist, wenn Sie alle Kopfzeilen einer E-Mail sehen möchten), heißt nun "Roh", um das Bewußtsein dafür etwas zu schärfen, daß dieser Modus normalerweise _nicht_ wünschenswert zum Betrachten von Dateien ist, basierend auf der Erfahrung, daß viele Anwender es vergessen, von der Roh-Ansicht zur normalen Ansicht zurückzuschalten, und sich dann wundern, daß z. B. Office-Dokumente nicht mehr schön angezeigt werden. (nur mit forensischer Lizenz)

* Beim Exportieren von Suchtreffern in eine tabulatorseparierte Textdatei (nicht HTML), einschließlich Kontext, wurde der eigentliche Suchbegriff zuvor durch "x"-Zeichen ersetzt. Dies wurde behoben. (seit v14.8 SR-4)

* Beim Exportieren von Metadaten in eine tabulatorseparierte Textdatei werden ursprüngliche Zeilenumbrüche und Tabulatoren nun durch Leerzeichen ersetzt. (seit v14.8 SR-4)

* Ein Fehler wurde behoben, der beim Versuch auftrat, Verzeichnisdaten (Verzeichniseinträge, INDX-Puffer usw.) mit der indirekten Füllmethode in einen Container zu kopieren. (seit v14.8 SR-3)

* Das Verwenden von Tastenkürzeln zum Erstellen von Berichtstabellenverknüpfungen ersetzt nun entweder bereits bestehende Verknüpfungen oder oder nicht, in Abhängigkeit von der Einstellung im Dialogfenster für Berichtstabellenverknüpfungen. (seit v14.8 SR-3)

* Ein Fehler in der Version v14.8 SR-1 wurde mit SR-2 behoben, der das automatische Interpretieren von Images mit mehreren Segmenten sofort nach der Erstellung betraf, zum Zwecke der Hash-Überprüfung oder des Ersetzens des Asservats. Die Images selbst waren in Ordnung.

* Ein Fehler beim Wiederherstellen von alternative Datenströmen als alternative Datenströme wurde behoben. (seit v14.8 SR-2)

* Eine mögliche Quelle von Instabiltität im Detailsmodus wurde behoben. (seit v14.8 SR-1)

* Eine neue Option in investigator.ini wurde eingeführt, die es verhindert, daß in X-Ways Investigator externe Dateien an einen Datei-Überblick angehängt werden können. (seit v14.8 SR-1)

* Unter bestimmten Umständen konnte die Fortschrittsanzeige für logische Suchen in ausgewählten Asservaten falsch sein. Dies wurde behoben. (seit v14.8 SR-1)

* Schnellere Anzeige von Metadaten-Zellen im Verzeichnis-Browser, wenn große Datenmengen extrahiert worden waren. (seit v14.8 SR-1)

* Diverse weitere kleinere Verbesserungen.

* Die Kurzanleitungen, die von der X-Ways Forensics Produktseite herunterladbar sind, wurden für v14.8/v14.9 auf den neuesten Stand gebracht, wo sich Änderungen ergeben hatten. Das Benutzerhandbuch wurde auch auf v14.9 angepaßt.

* Die Version 8.2 der Viewer-Komponente wurde am 14. und 20. März weiter aktualisiert. Sie friert beim Betrachten/Verarbeiten bestimmter HTML-Dateien nicht mehr, die in der Version 8.1.9 normal funktioniert hatten. MS-Word-Dokumente, die aus einer einzigen Tabelle bestanden, werden nun wieder richtig angezeigt.

-------------------------------------------------------------

Wenn Sie zwischen zwei Ausgaben des Newsletter über Service-Releases informiert werden möchten, können Sie in unserem Forum einfach einen Account erstellen ( http://www.x-ways.net/winhex/forum/create-account.html )
und E-Mail-Benachrichtigungen für den Bereich "Announcements" aktivieren.

27. Feb. 2008

* Das Dialogfenster Optionen | Viewer-Programme erlaubt es nun, ein zusätzliches externes Programm speziell zum Betrachten von Videodateien festzulegen (nur mit forensischer Lizenz). Wenn definiert, sendet ein Doppelklick Videodateien direkt an dieses externe Programm. Wenn MPlayer von X-Ways Forensics erkannt wird (oder Forensic Framer, der MPlayer enthält), wird der MPlayer voreingestellt.

* Wenn Bilder aus Videodateien oder Dokumenten oder thumbs.db-Dateien extrahiert werden, oder wenn E-Mails und Dateianhänge aus E-Mail-Archiven extrahiert werden, erzeugt X-Ways Forensics nun standardmäßig kein virtuelles Verzeichnis mehr, dessen Namen sich an den Originaldateinamen anlehnt und das die extrahierten Dateien aufnimmt. Statt dessen sind die extrahierten Dateien nun einfach über einen Doppelklick auf die Originaldatei zugänglich. Sie werden außerdem immer noch beim rekursiven Erkunden aufgelistet. Das Icon der Elterndatei wird mit "..." gekennzeichnet, um anzuzeigen, daß die Inhalte der Datei extrahiert wurden und "hinter" der Datei noch etwas zu finden ist. Der Hauptvorteil ist, daß es nun schneller gelingt, die jeweilige Elterndatei zu identifizieren. Wenn Sie z. B. eine extrahierte Datei markieren, wird die Elterndatei automatisch halb markiert, was es beispielsweise vereinfacht, solche Dateien später alle auf einmal einer Berichtstabelle hinzuzufügen. Und wenn Sie zurück vom extrahierten Inhalt durch Klick auf das ".."-Objekt aufwärts zur Elterndatei navigieren, wird die Elterndatei selbst statt des virtuellen Verzeichnisses automatisch ausgewählt. Außerdem ist der Pfad des extrahierten Inhalts authentischer, weil kein Suffix wie " Mail" oder " Pics" mehr künstlich in den Pfad eingefügt wird.

Beachten Sie noch Folgendes, wenn Sie viel mit Containern arbeiten: Wenn Sie Dateien, deren Elternobjekte andere Dateien (und keine Verzeichnisse) sind, in Container kopieren, werden ältere Version von X-Ways Forensics und X-Ways Investigator das Eltern-Kind-Verhältnis nicht verstehen und die Unterobjekte daher in "Pfad unbekannt" anzeigen. Aus Kompatibilitätsgründen ist es daher optional möglich, X-Ways Forensics wie bisher virtuelle Verzeichnisse statt Dateien mit Unterobjekten verwenden zu lassen (Optionen | Verzeichnis-Browser).

Aus Gründen der Konsistenz und Einfachheit wurde die optionale besondere Behandlung von Archiven wie Verzeichnisse entfernt. Statt dessen werden Archive nun genau wie andere Dateien mit Unterobjekten gehandhabt.

* Möglichkeit, $EFS Logged Utility Streams (LUS) und Windows Task Scheduler .job-Dateien zu betrachten (Vorschau und Einsehen, nur mit forensischer Lizenz).

* Möglichkeit, $I*-Papierkorb-Dateien von Vista zu betrachten (seit v14.7 SR-1, nur mit forensischer Lizenz).

* Die Option, $EFS Logged Utility Streams herauszufiltern, ist aus den Verzeichnis-Browser-Optionen entfernt worden. Statt dessen gibt es nun eine Option, die verhindert, daß NTFS-LUS überhaupt in neu erstellte Datei-Überblicke aufgenommen werden, oder zumindest solche LUS, die keine $EFS-LUS sind. Nützlich für NTFS-Partitionen, die von Windows Vista erzeugt wurden, wenn Sie sich nicht für die zahlreichen LUS interessieren.

* Die binären Inhalte von INFO2-Dateien des Papierkorbs, .lnk Shortcut-Dateien, $EFS-LUS und .job-Dateien werden nun nicht mehr direkt als Teil des Fallberichts ausgegeben, sondern es wird eine textuelle Repräsentation ihres Inhalts wie vom Vorschau-Modus bekannt verwendet.

* Attributfilter für NTFS $EFS-LUS, andere LUS, NTFS-Offline-Dateien, Dateien mit Object-ID, Unix/Linux-Symlinks und andere Spezialdateien aus der Unix/Linux-Welt. (nur mit forensischer Lizenz)

* Ein weiterer neuer Attributfilter ermöglicht es Ihnen nun, sich nur solche Dateien auflisten zu lassen, für die bloß Dateisystem-Metadaten verfügbar und deren Inhalte gänzlich unbekannt sind (weder der Inhalt noch der ursprüngliche Speicherort des Inhalts). Solche Dateien werden üblicherweise bei der intensiven Dateisystem-Datenstruktur-Suche auf NTFS-Partitionen Teil des Datei-Überblicks. (nur mit forensischer Lizenz)

* Es gibt weitere neue Attributefilter für Bilder, die aus Videos extrahiert wurden, und für virtuelle Dateien, die manuell vom Benutzer an den Datei-Überblick angehängt wurden. (nur mit forensischer Lizenz)

* Metadaten-Extraktion aus MP3-Dateien. Hinweise auf etwaige über ID3 eingebettete Dateien, die nicht als vom Typ JPEG oder PNG gekennzeichnet sind (da diese automatisch extrahiert werden können), erhalten Sie in Form einer Berichtstabellenverknüpfung der MP3-Datei. (nur mit forensischer Lizenz)

* Die Dateitypprüfung kann nun zwischen .wma/.wmv Audio/Video-Dateien unterscheiden. Es werden nun auch deutlich mehr Metadaten extrahiert aus .asf, .wmv, und .wma-Dateien. Aus MS-Excel-Dokumenten (vor Version 2007) wird nun der Name des Benutzers extrahiert, der die Datei zuletzt geöffnet hatte.

* Intelligente Dateigrößenerkennung für .rar-Archive bei der Datei-Header-Signatursuche und bei Dateien retten nach Typ, was es ermöglicht, Dateien in solchen Archiven, wenn intakt, nicht nur aufzulisten, sondern auch zu extrahieren.

* Datei-Header-Signatursuche und Dateitypprüfung mit Signaturen verbessert für HTML, XML, XSD und DTD.

* File Type Signatures.txt, File Type Categories.txt und allgemein das Auffinden von Dateien über Signaturen weiter ausgebaut und verbessert.

* Unterstützung für Anker in der GREP-Syntax: \b repräsentiert eine Wortgrenze, ^ steht für den Anfang einer Datei, $ für das Ende einer Datei.

* Die Optionen zum Herausfiltern von existierenden, ehemals existierenden und versteckten Objekten wurden ersetzt durch Optionen, die positiv statt negativ definiert sind und daher konsistent sind mit anderen Filtern: Existierende Dateien anzeigen, ehem. exist. Dateien anzeigen, markierte Objekte anzeigen, nicht markierte Objekte anzeigen, unterdrückte Objekte anzeigen, nicht unterdrückte anzeigen. Diese Änderung macht es auch sehr einfach, sich nur solche Dateien auflisten zu lassen, die markiert oder versteckt sind. (nur mit forensischer Lizenz)

Die Option, markierte und nicht markierte Objekte zu gruppieren, wurde im Gegenzug entfernt, da sie wegen der neuen Filtermöglichkeit nicht mehr erforderlich war, um die Komplexität zu reduzieren. (nur mit forensischer Lizenz)

* Die Option zum Herausfiltern von ehemals existierenden Dateien ist nun in X-Ways Investigator verfügbar, wenn nicht durch die neue Option "+28" in der Datei investigator.ini verhindert. Nützlich, wenn Sie sich auf die Analyse existierender Dateien beschränken möchten oder müssen.

* Eine weitere zusätzliche Option in investigator.ini verhindert, daß Benutzer Berichtstabellen löschen können.

* Ein Pfadfilter wurde eingeführt. Dieser erlaubt es Ihnen, gezielt solche Dateien aufzulisten, deren Pfad ein bestimmtes Teilwort enthält, wie z. B. "pic" oder "Temporary Int". (nur mit forensischer Lizenz)

* Dateien, die anhand von Hash-Werten als Duplikate erkannt wurden, werden nun nicht mehr optional mit Kommentaren kenntlich gemacht, sondern mit einem Hinweis "Duplikate gefunden" in der Attributsspalte, was effizienter zu speichern und filterbar ist. Die Information bleibt auch in Containern erhalten, so daß der Empfänger sehen kann, daß er bei Bedarf noch Duplikate der Datei bekommen kann, wenn sie nicht bereits im Container enthalten sind. (nur mit forensischer Lizenz)

* Bereits im Datei-Überblick vorhandene Hash-Werte von Dateien werden beim Erzeugen von Hash-Sets nun wiederverwendet und nicht mehr neu berechnet.

* Beim Erweitern des Datei-Überblicks wurde das Prüfen der Dateitypen anhand von Signaturen in früheren Versionen, wenn vom Benutzer eingeschaltet, auch auf Dateien angewandt, die schon vorher dieser Prüfung unterzogen wurden. Wenn Sie eine erneute Prüfung erzwingen möchten, z. B. weil Sie die Datei-Header-Signatur-Datenbank editiert haben, müssen Sie nun [x] "Erneut" ankreuzen. Sonst werden dieselben Dateien nicht nochmal bearbeitet, da dies etwas Zeit spart. Das heißt, neuerdings werden standardmäßig nur solche Dateien geprüft, bei denen das zuvor noch nicht gemacht wurde.

* Sollte X-Ways Forensics beim Erweitern des Datei-Überblicks oder bei der logischen Suche oder beim Indexieren abstürzen oder hängenbleiben, wenn es eine Datei im Datei-Überblick verarbeitet, werden Sie nach einem Neustart des Programms automatisch und umgehend auf die verursachende Datei hingewiesen, so daß Sie sich leicht unterdrücken und bei einem erneuten Durchlauf auslassen können. Diese Funktion hängt ab von einer neuen Option in den Sicherheitsoptionen. Die aus der Version 14.7 für solche Zwecke verwandte VS.log-Datei wird nicht mehr erzeugt.

* WinHex kann nun den exakten Typ von optischen Medien im technischen Detailbericht identifizieren (also CD-ROM, CD-R, CD-RW, DVD-ROM, DVD-RW, DVD+RW, usw.).

* Etwas schnellerer Lesezugriff auf DVDs.

* Verbesserter Umgang mit CD-ROM XA. Die meisten Sektoren lassen sich aber nach wie vor nicht lesen. Wie so oft gibt X-Ways Forensics Ihnen im Gegensatz zu Konkurrenzprodukten aber bei Problemen wenigstens Bescheid und zeigt in diesem Fall nicht einfach kommentarlos wissentlich falsche Daten (Nullen) an. Zumindest ist es nun möglich, Dateien von solchen CDs (z. B. Video-CDs) über das Betriebssystem zu öffnen, siehe Sicherheitsoptionen. (seit v14.7 SR-1, weiter verbessert mit v14.8)

* Vordefinierter Zeichenvorrat zum Indexieren japanischer Texte.

* Möglichkeit, ausgewählten Text aus Fenstern der Viewer-Komponente in die Zwischenablage im Unicode- und RTF-Format zu kopieren. (nur mit forensischer Lizenz)

* Der Details-Modus sieht nun optisch ansprechender aus und ist leichter verständlich aufgeteilt. Wird in künftigen Versionen noch weiter verbessert.

* Option, alternative Datenströme beim Verwenden des Befehls Wiederherstellen/Kopieren als solche beizubehalten, wenn das Zieldateisystem NTFS ist. (nur mit forensischer Lizenz) Wenn ausgeschaltet oder wenn in ein anderes Dateisystem zu kopieren, werden ADS wie bisher in Form normaler Dateien ausgegeben.

* Wenn der Befehl Wiederherstellen/Kopieren zum Kopieren von Dateien mit Originalpfad verwendet wird, wird der Name des Asservats nun auch im Ausgabeort als Verzeichnis erstellt, sofern "Asservatordner als Standardausgabe" in den Falleigenschaften ausgeschaltet ist, also nicht nur beim Kopieren aus einem rekursiv erkundeten Asservatüberblicksfenster. (nur mit forensischer Lizenz)

* Optionen zum expliziten Ein- oder Ausschließen von Unterobjekten von Verzeichnissen oder Dateien beim Verwenden des Befehls Wiederherstellen/Kopieren sowie beim Befüllen von Containern. Wie zuvor jedoch können Unterobjekte beim Kopieren aus einer bereits rekursiven Ansicht nicht indirekt mit kopiert werden. (nur mit forensischer Lizenz)

* Es ist jetzt möglich, Verzeichnisdaten (d. h. je nach Dateisystem Verzeichniseinträge, INDX-Puffer, ...) in Datei-Container zu übertragen. (nur mit forensischer Lizenz) Nützlich, wenn der Benutzer des Containers sich für Zeitstempel oder andere Metadaten in solchen Datenstrukturen interessieren könnte. Falls Sie sich entscheiden, Verzeichnisdaten in einen Container aufzunehmen, wenn Sie ihn erzeugen, hat das direkte Auswirkungen nur auf Verzeichnisse, die selbst ausgewählt sind. Es hat einen Effekt auf Elternobjekte von gewählten Objekten nur dann, wenn Sie eine weitere Option jeweils beim Kopiervorgang einschalten. Diese weitere Stufe ist erforderlich, weil die Verzeichnisdaten sonst unbeabsichtigt Namen und sonstige Metadaten von Dateien enthüllen könnten, die z. B. aus Datenschutzgründen bewußt nicht in den Container aufgenommen wurden. Frühere Versionen von X-Ways Forensics und X-Ways Investigator verstehen es, wenn Daten von Verzeichnissen verfügbar sind. (nur mit forensischer Lizenz)

* Option zum automatischen Komprimieren, Verschlüsseln und/oder Segmentieren von Datei-Containern nach deren Erstellung, die beim Schließen eines im Hintergrund geöffneten Containers angeboten wird. (nur mit forensischer Lizenz, nicht in X-Ways Investigator) Hilfreich z. B., um große Container auf CDs oder DVDs zu übermitteln.

* Das Setup-Programm verwendet nun eine Fortschrittsanzeige, wenn die Viewer-Komponent kopiert wird (falls sie im Unterverzeichnis \viewer vorgefunden wird). Das Setup-Programm kopiert auch MPlayer automatisch (wenn im Unterverzeichnis \MPlayer vorgefunden). Beachten Sie, daß wenn diese externen Komponenten in den erwarteten Unterverzeichnissen vorgefunden werden, sie auch automatisch in Optionen | Viewer-Programme aktiviert werden, was komfortabel, aber im Fall der Untersuchung eines Live-Systems auch weniger empfehlenswert sein kann.

* Wenn Sie in den Fallberichtsoptionen für Bilder eine maximale Größe von 0×0 Pixel einstellen, werden die Bilder jetzt nur noch verlinkt, genau wie andere Dateien, und nicht direkt im Bericht angezeigt.

* Extras | Disk-Tools | "Verlorene Partitionen suchen" erkennt nun Ext2/Ext3/Ext4-Partitionen an ihrem ersten Superblock.

* Das Entfernen von Objekten aus riesigen Datei-Überblicken ist nun gewöhnlich viel schneller. Allerdings können Sie nach dieser Operation nicht mehr von den internen IDs auf die Reihenfolge schließen, in der die Objekte in den Datei-Überblick aufgenommen wurden, weil die verbleibenden internen IDs beim Entfernen von Objekten durcheinandergewürfelt werden.

* Wenn in früheren Versionen unterdrückte Objekte ganz aus einem Datei-Überblick entfernt wurden, für den vorher Hash-Werte berechnet worden waren, hatte dies inkonsistente Hash-Werte für einige der verbleibenden Objekte zur Folge. Auch Berichtstabellen-Verknüpfungen, Kommentare und extrahierte Metadaten wurden nicht richtig beibehalten. Dies wurde korrigiert.

* Immer wenn der Fall automatisch gespeichert wird, weil das Autosave-Intervall abgelaufen ist, wird nun auch die Konfiguration gespeichert (diverse Optionen und Einstellungen).

* Der Befehl zum Anhängen externer Dateien im Verzeichnis-Browser- Kontextmenü ist nun auch in X-Ways Investigator verfügbar (seit v14.7 SR-1)

* Der Befehl zum Anhängen externer Dateien kann nun auch benutzt werden, um mehrere Dateien auf einmal anzuhängen. Das ist nützlich, wenn Sie z. B. manuell mehrere Datensätze/E-Mails/Bilder/Dateien aus einer Datei extrahiert haben. Wenn Sie die extern gespeicherten Dateien anhängen, werden sie direkte Unterobjekte (s. o.) der Originaldatei, oder ein virtuelles Verzeichnis, benannt nach der Originaldatei, wird erstellt, und die Dateien werden gesammelt in diesem Verzeichnis eingebunden. Wenn nur eine einzige Datei angehängt wird (z. B. die konvertierte/entschlüsselte/übersetzte Version eines Dokuments), wird kein virtuelles Verzeichnis benötigt. (seit v14.7 SR-2, geändert in v14.8)

* Möglichkeit, virtuelle Verzeichnisse umzubenennen, mit einem neuen Befehl im Verzeichnis-Browser-Kontextmenü.

* Ein Ausnahmefehler wurden behoben, der unter bestimmtem Umständen beim Wechsel in den Suchtreffermodus auftrat. (seit v14.7 SR-3)

* Seit v14.6 wurde jedes Hash-Set, das für den Hash-Set-Filter ausgewählt war, auch für den Abgleich mit Hash-Sets verwendet, selbst wenn es dafür vom Benutzer nicht ausgewählt wurde. Dies wurde behoben in v14.7 SR-5.

* Seit v14.6 hat die Option "Datei-Anhänge in E-Mails auch einbetten" die Attachments _nur_ in die .eml Dateien eingebettet und nicht extrahiert. Dies wurde behoben in v14.7 SR-5.

* Der Registry-Viewer erlaubt es nun, nach echten Unicode-Zeichen in den Werten/Daten zu suchen. Ein Fehler wurde behoben, der das Finden von Text in den Werten/Daten in früheren Versionen von v14.7 verhinderte. Die Anzahl der maximal zugleich ladbaren Hives wurde von 16 auf 32 erhöht. (seit v14.7 SR-6)

* Die Ausnahmeliste für den Indexierungsalgorithmus, wenn vom Benutzer aktiviert, wurde seit v14.3 nicht mehr richtig verwendet. Dies wurde behoben mit v14.7 SR-7.

* Ein Ausnahmefehler wurde mit v14.7 SR-7 behoben, der beim Öffnen von besonders großen FAT16-Partitionen auftreten konnte.

* Ein Anzeigeaktualisierungsproblem in der Galerie bei Dateien ohne bekannten Inhalt (für die nur Dateisystem-Metadaten verfügbar waren) wurde mit v14.7 SR-8 behoben.

* Unter bestimmten Umständen fehlende Möglichkeit zum Öffnen von dynamischen Volumes korrigiert.

* Viele weitere kleinere Verbesserungen, einige kleinere Fehlerkorrekturen.

* Die Viewer-Komponente wurde am 12. und 26. Februar aktualisiert. Einige Ausnahmefehler und Instabilitäten wurden behoben, und zwei Fehler korrigiert, die das Programm bei bestimmten defekten GZ-Archiven und bestimmten SWF-Dateien zum Hängen brachte.

17. Jan. 2008