X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 
Bestellung, Preise:
NeulizenzenUpgrades
 
Produkte
 
X-Ways Forensics X-Ways Forensics
Integrierte Forensik-Software
 
X-Ways Investigator X-Ways Investigator
Ermittler-Version von X-Ways Forensics
 
Näheres zu WinHex WinHex
  Lizenztypen
  Upgrade
  Forensische Features
  Alle Features
 
Näheres zu X-Ways Imager X-Ways Imager
Disk-Imaging
 
Dienstleistungen
 
Schulungsangebot
 
Zertifizierung
 
Benutzerforum
 

 
Kontakt zu X-Ways Kontakt
Die X-Ways AG Die X-Ways AG


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#154: WinHex, X-Ways Forensics und X-Ways Investigator 19.2 veröffentlicht

29. Mrz. 2017

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.2. Erscheinungsdatum war der 27. März 2017.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihre Update-Berechtigung oder Lizenz abgelaufen ist, erhalten von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Ja, wirklich.

Schulungstermine

Köln, 20.-23. Juni
Termine im Ausland

Wenn wir Sie über weitere Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein.

X-Tensions

  • KPF von Jedson Technologies. Automatische Bild- und Video-Kategorisierung wie vorher im angelsächsischen Raum als "C4All" bekannt. Die X-Ways KPF-Version ist die ursprüngliche C4All-X-Tension und macht all das, was früher das C4All-EnScript gemacht hat, aber besser und mit größerem Funktionsumfang und sechs Mal schneller, und sie ist kostenlos. Weitere Versionen stehen bereit zur Ausgabe in JSON/ProjectVic, XML und anderen Formaten. 

  • NEU XT_RAW von Kuiper Forensics. Erkennt und konvertiert die RAW-Formate vieler Digitalkameras innerhalb von X-Ways Forensics.

  • Beyond Compare X-Tension von Chad Gough. Select any two files in X-Ways and quickly send them to Beyond Compare for review.

  • VirusTotal X-Tension von Chad Gough. Check the status of a file via the VirusTotal API directly through X-Ways Forensics and get the status in the Messages window.

  • Binary Large Objects von Christopher Lees. Extracts Binary Large Object (BLOB) data from Sqlite databases.

  • Multiple File Finder von Werner Rumpeltesz. Search for filenames and/or path names and add the matching files to a specific report table.

  • Luhn Credit Card Check von X-Ways Software Technology AG. 32-bit, 64-bit. For use during GREP searches for credit card numbers. Discards false hits based on the Luhn algorithm.

Weitere Informationen über die uns bekannten öffentlich verfügbaren X-Tensions finden Sie hier. Wenn Sie selbst X-Tensions beitragen möchten, nehmen Sie bitte mit uns Kontakt auf. Vielen Dank.

X-Tensions API

  • Disk I/O X-Tensions können nun nicht nur sektorweise E/A auf Datenträgerebene abfangen, (z. B. um verschlüsselte Festplatten oder Partition proaktiv zu entschlüsseln, so daß X-Ways Forensics direkt die entschlüsselten Daten sieht), sondern auch E/A auf Dateiebene (z. B. um verschlüsselte Dateien zu entschlüsseln). Die neue Funktion, die man zu diesem Zweck exportieren muß, heißt XT_FileIO. Details unter http://www.x-ways.net/forensics/x-tensions/XWF_functions.html#A.

  • Eine neue Funktion der X-Tension API namens XWF_FindItem1 erlaubt es, bequem die interne ID einer Datei mit gegebenem Namen in einem bestimmten Verzeichnis zu finden.

Was ist neu in v19.2?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateityp-Unterstützung

  • Dateien, die in Archiven vom Typ Zip, RAR oder 7z verschlüsselt sind, können nun dekomprimiert und verarbeitet werden, sofern das Paßwort bekannt ist oder erraten werden kann. X-Ways Forensics probiert alle Paßwörter aus, die in der Paßwortsammlung des aktuellen Falls aufgelistet sind oder in der allgemeinen Paßwortsammlung. Sie können die Liste direkt vom Dialogfenster mit den Einstellungen der Archivverarbeitung aus bearbeiten. Die fallspezifische Paßwortsammlung kann auch von den Falleigenschaften aus eingesehen und bearbeitet werden. Es handelt sich um eine Datei namens "Passwords.txt" im Fallverzeichnis, codiert in UTF-16. Die allgemeine Paßwortsammlung ist in einer Datei gleichen Namens im Installationsverzeichnis oder Ihrem Benutzerprofil gespeichert. Praktisch alle Unicode-Zeichen werden unterstützt, incl. Leerzeichen, chinesische Zeichen usw. Bei Paßwörtern macht Groß- und Kleinschreibung i. d. R. einen Unterschied.

    Wenn die Sammlung das richtige Paßwort für eine bestimmte Datei enthält, merkt sich X-Ways Forensics dieses Paßwort in den extrahierten Metadaten der Datei und entnimmt es künftig bei Bedarf direkt von dort statt aus einer Paßwortsammlung, um Dateien in dem Archiv zu lesen. Alternativ können Sie das Paßwort für eine bestimmte Datei auch manuell hinterlegen, indem Sie die extrahierten Metadaten der Datei bearbeiten. Sie müssen dazu lediglich wissen, daß vor das Paßwort das Wort "Password: " gestellt werden muß (mit Doppelpunkt und Leerzeichen). Dateien in verschlüsselten Datei-Archiven werden nicht als verschlüsselt dargestellt ("e"-Attribut) und gehandhabt, wenn das richtige Paßwort zu dem Zeitpunkt, wenn die Dateien dem Datei-Überblick hinzugefügt werden, verfügbar ist. Die Archive selbst werden immer noch mit dem "e!"-Attribut gekennzeichnet. RAR- und 7Zip-Archive, in denen nicht nur die Datei-Inhalte, sondern auch die Dateinamen verschlüsselt sind, werden derzeit nicht unterstützt..

  • Unterstützung für die Datenbank "sms.db" von iOS. Sämtliche aufgezeichnete Kommunikation per SMS wird in Form von individuellen Chat-Dateien extrahiert. Alle Nachrichten werden zudem der Ereignisliste hinzugefügt, wo sie basierend auf Telefonnummer oder E-Mail-Adresse gefiltert werden können.

  • Metadaten-Extraktion aus Quicktime-Video-Dateien überarbeitet. Insbes werden Geo-Daten von aktuellen iPhone-.mov-Dateien extrahiert.

  • Verbesserte Unterstützung regionaler ostasiatischer Codepages mit variabel langer Zeichencodierung bei Verwendung in komplexen GREP-Ausdrücken wie etwa negierten Zeichenmengen.

  • Extraktion von Metadaten aus JPEG-Dateien verbessert. Im Details-Modus werden mehr Metadaten präsentiert.

  • An JPEG-Dateien angehängte Daten werden nun als separate Unterobjekte bereitgestellt.

  • Besondere Unterstützung von JPEG-Metadaten von Samsung Galaxy S6 und S7, die u. a. mit einem weiteren Zeitstempel in einer Auflösung von 1 Millisekunde zu beglücken wissen.

  • Generatorsignaturen weiter überarbeitet.

  • Dateityp-Prüfung weiter verbessert.

  • Bezeichnungen von Dateityp-Gruppen werden nun zusammen mit der Typbeschreibung in der Spalte "Typbeschreibung" angezeigt.

  • Einige wenige Dateityp-Bezeichnungen waren zuvor mehreren Kategorien zugeordnet. Das wurde bereinigt.

  • Aktualisierte Dateimaske zum Suchen von eingebetteten Daten in diversen Dateien.

  • Als Teil der Verarbeitung von E-Mail-Archiven können nun Dateien aus MIM-Archiven extrahiert werden. (MIM-Archive dienen der Verwaltung von binären E-Mail-Attachments.)

  • Unterstützung des Imports von PhotoDNA-Hash-Werten in Hex-ASCII-Notation in JSON-Dateien von ProjectVic.

Datenträger-Unterstützung

  • Linux-Software-RAIDs: Fähigkeit, MD-RAID-Container-Partitionen als solche zu erkennen. Diese Partitionen werden als zwei separate Objekte dargestellt: Als statischer Vorspann, der Metadaten über das RAID enthält (normalerweise beim relativen Offset 4096) und als erkundbare Partition, die als RAID-Komponente fungiert. Im Fall von RAID-Level 1 enthält diese erkundbare Partition ein in sich vollständiges Volume, dessen Dateisystem normal eingelesen werden kann, sofern unterstützt, ohne die besondere Anstrengung einer RAID-Rekonstruktion unternehmen zu müssen. Bei anderen RAID-Leveln muß die Zusammensetzung wie üblich über den Befehl "RAID-System zusammensetzen" im Specialist-Menü erfolgen, und einige Hinweise die richtigen Rekonstruktionsparameter betreffend werden als Kommentare angezeigt, die an den jeweiligen statischen Vorspann angeheftet sind. Diese sind ausreichend, um die Zusammensetzung in X-Ways Forensics vornehmen zu können. Bitte beachten Sie, daß Sie alle relevanten Partitionen zuerst öffnen müssen, damit Sie Ihnen zur Auswahl als RAID-Komponenten angeboten werden. Das Ergebnis der RAID-Zusammensetzung ist ein einziges Volume, das von einem virtuellen physischen Datenträger umfaßt wird. Die RAID-Komponenten müssen aus internen Gründen im Fall als Asservate verbleiben, um das spätere erneute Öffnen des zusammengesetzten RAIDs mit einem einzigen Mausklick zu ermöglichen.

  • Die Auswirkung der Überlagerung von Sektoren war bisher beschränkt auf genau das Datenfenster und dessen Datenträger/Partition/Volume, auf das sie angewandt wurde. Ab jetzt wirkt sich die Überlagerung auch auf Partitionen aus, die von einem physischen Datenträger mit aktiver Sektor-Überlagerung aus geöffnet werden.

  • Fähigkeit zum Erkennen von Container-Partitionen von Windows Storage-Pools als solche.

  • Fähigkeit, Partitionen zu öffnen, deren Dateisystem auf einem Vielfachen derjenigen Sektorgröße basiert, die der zugrundeliegende physische Datenträger aufweist. Das ist wichtig z. B. bei Windows Storage-Space-Partitionen in Windows Storage-Space-Pool-Datenträgern. Diese virtuellen Partitionen und Datenträger haben eine simulierte Sektorgröße von 4 KB auch dann, wenn sie auf physischen Datenträgern mit einer Sektorgröße von 512 Bytes gespeichert sind.

  • Die Suche nach verlorenen Partitionen findet nun mit NTFS formatierte virtuelle Storage-Space-Partitionen innerhalb von Storage-Space-Container-Partitionen trotz der Sektorgrößen-Diskrepanz. Die Suche nach verlorenen Partitionen ist ein nützliche provisorische Lösung, um die tatsächlichen vom Benutzer verwendeten Partitionen in einfachen Windows Storage-Spaces, die nur aus einem einzigen Datenträger bestehen, zu finden und auszuwerten. Komplexere Storage-Spaces bestehend aus mehreren Datenträgern (mit Daten-Segmentierung und -Striping) muß man derzeit von Windows rekonstruieren lassen.

  • Partitionsnamen gemäß GUID-Partitionstabelle werden nun in der Namensspalte als alternative Namen in eckigen Klammern angezeigt. Dies sollte sich als hilfreich erweisen beim Auswerten von Android-Smartphone-Images, die eine Vielzahl von Partitionen enthalten, da die Namen Hinweise auf die jeweiligen Funktionen geben.

  • Der technische Detailbericht ist nun etwas vollständiger, indem er die Partitionsnamen gemäß GPT anzeigt.

  • Der Aufbau des Zugriffsschaltermenüs für partitionierte Datenträger wurde verbessert. (Zugriffsschalter ist der offizielle Name des Schalters mit dem weißen Pfeil, unterhalb des Sync-Schalters.)

Bedienbarkeit

  • Das Anklicken des Links zu einem Datei-Anhang innerhalb der alternativen E-Mail-Vorschau setzt nun genau dieselbe Aktion in Gang wie beim Einsehen der betreffenden Datei vom Verzeichnis-Browser aus. Das bedeutet zum einen, daß die Datei dadurch als bereits eingesehen gekennzeichnet wird. Zweitens wird die Datei, wenn sie ein Bild ist, abhängig von Ihren Präferenzen entweder von der Viewer-Komponente oder der internen Grafikanzeigebibliothek dargestellt. Drittens wird eine Datei in Abhängigkeit von Ihren sonstigen Viewer-Programm-Einstellungen u. U. direkt in einem externen Programm  geöffnet, z. B. wenn es ein Video ist, das Sie abspielen möchten.

  • Im Ersetzen-Modus für Berichtstabellen-Verknüpfungen werden die aktuell bereits verknüpften Berichtstabellen nun automatisch vorausgewählt, so daß es weniger Arbeit und weniger fehleranfällig ist, Verknüpfungen mit einzelnen Berichtstabellen gezielt zu entfernen  oder hinzuzufügen, während die anderen bestehen bleiben.

  • Das Fallverzeichnis ist das Verzeichnis, das denselben Namen hat wie eine .xfc-Falldatei, nur ohne Erweiterung. Es ist ein Unterverzeichnis des Fälleverzeichnisses. Es wurde nun eine besondere Unterstützung eingebaut für das Fallverzeichnis als Speicherort von Datenträgersicherungen. Wenn Datenträgersicherungen zuerst in das Fallverzeichnis verschoben und dann von dort aus dem Fall hinzugefügt werden oder wenn der Pfad eines bestehenden Images im Fall mit dem Befehl "Durch neues Image ersetzen" auf das Fallverzeichnis geändert wird, dann werden diese Images intern fortan völlig ohne Pfad referenziert und immer sofort gefunden, auch wenn der Fall in ein anderes Verzeichnis verschoben wurde oder sich der Laufwerksbuchstabe geändert hat. Ein Fall, der alle seine Images in seinem eigenen Verzeichnis hat, ist in sich vollständig und autark gespeichert. Bezüge auf Images im Fallverzeichnis ohne Pfad werden verstanden von v19.0 SR-14, v19.1 SR-7 und eben v19.2.

  • Das Ändern der Anzeige-Zeitzone eines Asservats, das ein physischer, partitionierter Datenträger ist, ändert nun automatisch auch die Anzeige-Zeitzone all seiner Partitionen (abhängigen Asservate).

Filter

  • Ein neues Filterkonzept namens FlexFilter wurde eingeführt. Zwei solche FlexFilter sind in WinHex Lab Edition, X-Ways Investigator und X-Ways Forensics verfügbar. Sie können sich auf jede gewünschte Spalte im normalen Verzeichnis-Browser beziehen (d. h. nicht auf die besonderen Spalten von Suchtrefferlisten und Ereignislisten), mit einer beliebigen Anzahl von Teilwörtern, und sie können mit einem logischen ODER oder einem logischen UND miteinander verknüpft werden. Das macht sie zu den einzigen Filtern, die miteinander mit einem logischen ODER verknüpft werden können.

    Z. B. sind diese neuen Filter nützlich, wenn Sie sich auf Dateien konzentrieren möchten, die nicht innerhalb eines bestimmten zusammenhängenden Zeitraums erzeugt oder verändert wurden, sondern allgemein an bestimmten Wochentagen oder Wochenenden, d. h. in deren Zeitstempelspalten mit Notation im Langformat sich Wörter wie "Samstag" oder "Sonntag" finden. Auch dann nützlich, wenn die jeweiligen spaltenspezifischen Filter Ihnen nicht so viele Möglichkeiten geben, wie Sie brauchen. Z. B. für Autor, Absender und Empfänger können Sie derzeit nur einen einzigen Namen oder eine Adresse oder ein Teilwort angeben, und mit dem Beschreibungsfilter können Sie derzeit nicht auf jene zusätzlichen Hardlinks abzielen, die von bestimmten Operationen ausgenommen werden.

    Die Farbe, die anzeigt, daß ein FlexFilter aktiv ist, ist violett statt blau, so daß ein FlexFilter leichter von einem normalen spaltenbasierten Filter unterschieden werden kann. Beide FlexFilter haben eine NICHT-Option, und sie können sogar beide auf dieselbe Spalte abzielen, so daß Sie Ergebnisse erreichen können wie "zeige mir alle E-Mails mit dem Namen Matthias im Absenderfeld, in denen das Absenderfeld nicht den Domain-Namen firma.de enthält" (z. B. bei der Suche nach privaten E-Mails dieser Person bei unbekannte E-Mail-Adresse).

  • Ein Rechtsklick auf einen Spaltenkopf im Verzeichnis-Browser aktiviert oder deaktiviert nun den Filter dieser Spalte schnellstmöglich, ohne erst das Dialogfenster mit den Filtereinstellungen anzuzeigen, genau wie  bisher schon ein Linksklick auf das Trichtersymbol bei gedrücktgehaltener Umschalt-Taste.

  • Es gibt nun die Möglichkeit, eine textuelle Übersicht über alle aktiven Filter mitsamt ihren Einstellungen zu erhalten, indem Sie das Trichtersymbol am linken oder rechten Rand der Überschriftszeile des Verzeichnis-Browsers mit der rechten Maustaste anklicken.

Erweiterung des Datei-Überblicks

  • Indexierung ist nun eine erlaubte Unteroperation der Datei-Überblick-Erweiterung  bei Durchläufen mit mehreren Threads. Die Indexierung wird dadurch allerdings nicht weitergehender als bisher selbst parallelisiert.

  • Frühere Übereinstimmungen aller Dateien in einem Datei-Überblick mit Hash-Sets werden nicht mehr vollständig verworfen, wenn man nur einzelne ausgewählte oder markierte Dateien nochmal mit einer Hash-Datenbank abgleicht. Dann werden nun nur noch genau die Treffer der betroffenen Dateien entfernt.

  • Eine neue Option beschränkt das Laden von Bildern auf einen einzigen Worker-Thread zur selben Zeit, mit einem Kontrollkästchen neben "Bildanalyse und -verarbeitung", entweder sehr streng (wenn ganz gewählt) oder weniger streng (wenn halb gewählt). Diese Option könnte u. U. nützlich sein, wenn Sie Ausnahmefehler oder Abstürze haben, wenn mehrere Bilder gleichzeitig verarbeitet werden.

  • Eine Datei namens ResIL.log wird bei bestimmten Problemen mit der Bildverarbeitung zu Zwecken der Fehlerverfolgung erzeugt.

Viewer-Komponente

  • Am 17. Januar 2017 hat Oracle einen Sicherheits-Patch  vom 12. Dezember 2016 für die Version 8.5.3 der Viewer-Komponente veröffentlicht. Die aktualisierte Version ist seit dem 18. Januar bei uns herunterladbar für benutzer mit aktivem Zugriff auf Updates. Sie ist aus Sicherheitsgründen empfehlenswert. Eine Liste der korrigierten Fehler wurde nicht bereitgestellt. Zwei DLLs haben sich geändert: dewp.dll und vspdf.dll. Diese sind wahrscheinlich verantwortlich für Textverarbeitungsdokumente und PDF-Dateien.

Diverses

  • Beim Erzeugen eines Datei-Überblicks ohne Zugriff auf Sektorebene, z. B. von einem entfernten Netzlaufwerk oder einem Verzeichnis oder einem lokalen Laufwerksbuchstaben ohne Administratorrechte, werden nun überlange Pfade mit bis zu ca. 1.000 Zeichen unterstützt..

  • Die meisten entscheidenden Funktionen in X-Ways Forensics können nun Dateien mit Pfaden bis zu ca. 1.000 Zeichen öffnen: Datei-Modus, Vorschau-Modus, Erweiterung des Datei-Überblicks, logische Suche.

  • Leicht verbesserte Unterstützung von segmentierten Roh-Images mit Dateinamenserweiterungen, die aus 4 Ziffern bestehen und die Aufzählung mit 0 statt 1 beginnen (also .0000).

  • Miniaturansichten können nun auch dann für den Fallbericht erzeugt und darin angezeigt werden, wenn die Originaldateien selbst nicht kopiert und verlinkt werden.

  • Es erfolgt nun eine akustische Benachrichtigung, wenn man eine einfache lineare Suche nach einem einzigen Treffer laufen läßt und dann tatsächlich ein Treffer gefunden wird, während sich das Programmfenster im Hintergrund befindet, um den Benutzer darauf aufmerksam zu machen.

  • Unzählige kleinere Verbesserungen.

  • Die Programmhilfe und das Benutzerhandbuch wurden auf den Stand von v19.2 gebracht.

Änderungen der Service-Releases von v19.1

  • SR-1: Some commands in the directory browser context menu in v19.1 did not always appear as they should have appeared. That was fixed.

  • SR-1: An exception error that could occur in v19.1 when hashing files should no longer occur now.

  • SR-1: The JPEG quality detection now also works for rotated JPEGs.

  • SR-2: Computing hash values and matching them against hash databases was not done repeatedly in the original v19.1 release. Now it is done repeatedly again, and that operation is now officially documented as one of the operations that will be applied repeatedly to the same files in a volume snapshot, the only other exception being indexing.

  • SR-2: Many descriptions for registry events were not output to the event list. That was changed. This improvement will also be applied to v19.0 SR-13.

  • SR-3: Prevented a rare infinite loop with certain previously existing EVTX files that are incompletely defined in volume shadow copies.

  • SR-3: Prevented a rare infinite loop when carving OLE2 compound files.

  • SR-3: Australia Adelaide time zone definition updated.

  • SR-3: Prevented a rare error with corruption of decoded textual data when running a logical search with multiple worker threads.

  • SR-3: The representation of search hits in the search hit list is now based on the code page of the search hit in certain situations where previously it was not. Improved code page based context preview specifically for search hits in ISO-2022 code pages, where the search hits and their surroundings may or may not be prepended directly with a suitable escape sequence and may or may not be just ordinary ASCII text.

  • SR-4: Support for one previously unsupported component of the PIDL data structure in OpenSavePidlMRU items in the Windows Registry.

  • SR-4: Fixed a stability problem in the Registry Viewer.

  • SR-4: Index searches for two words that are delimited by a space were unsuccessful in certain files. That was fixed.

  • SR-4: Some sent e-mails extracted from PST archives were presented with erroneously inserted header lines. That error in the extraction process was fixed.

  • SR-4: Fixed an exception error that could occur in v19.1 when selecting files, events or search hits in the Case Root window.

  • SR-5: Fixed potential hanging during XViD metadata extraction.

  • SR-5: Prevented an exception error that could occur at the end of indexing when not even a single word was found to index.

  • SR-5: Fixed inability to read files representing uncovered data embedded in HFS+-compressed files.

  • SR-5: Fixed an error in the Registry Viewer search.

  • SR-6: Certain currently unsupported file system level compression styles in HFS+ volumes are now recognized as such, and the affected files will be shown with their correct file size and "only metadata available" in the description.

  • SR-6: Fixed an exception error that occurred with template variables within loops if their names were longer than 30 characters.

  • SR-6: Since v17.3, files with child objects and an unknown hard-link count were potentially included in evidence file containers multiple times. That was fixed.

  • SR-6: Page count of some special PDF documents now reported correctly.

  • SR-7: Fixed an exception error that occurred in the X-Tension API function XWF_CreateEvObj if the case was still empty.

  • SR-7: Gallery scroll position is reset when the directory browser is re-filled.

  • SR-7: Uninitialized areas of NTFS-compressed files no longer have an undefined status, but are now presented with the data as stored on the disk, just as with ordinary (not compressed) files.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

  
#153: WinHex, X-Ways Forensics und X-Ways Investigator 19.1 veröffentlicht

19. Jan. 2017

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.1.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihre Update-Berechtigung oder Lizenz abgelaufen ist, erhalten von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Schulungstermine

Köln, 13.-16. Februar (ausgebucht)
Köln, 20.-23. Juni
Termine im Ausland

Wenn wir Sie über weitere Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein.

Was ist neu in v19.1?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateityp-Unterstützung

  • Unterstützung für Googles Chrome-Sync-Datenbank, in der die Informationen gefunden werden können, die zwischen verschiedenen Geräten synchronisiert werden, wie z. B. Lesezeichen, manuell eingegebene URLs, synchronisierte Geräte und vieles mehr. Eine Vorschau-HTML-Datei wird erzeugt und Ereignisse in die Ereignisliste übernommen.

  • Fähigkeit, kopfstehende Bitmap-Bilder mit der internen Bildbetrachtungsbibliothek und in der Galerie einzusehen. (Um sie vertikal gespiegelt anzusehen, müssen Sie diese aktuell allerdings mit der Viewer-Komponente betrachten.)

  • Die Behandlung von TAR-Archiven wurde überarbeitet.

  • Korrigierte Unterstützung für BZ2-Archive.

  • Zuverlässigere Erkennung von Bildern als Bildschirmfotos (Ausgabe als Berichtstabellen "Screenshot" und "Screenshot?").

  • Neue Berichtstabelle "Scan" für PDF- und JPEG-Dateien, die einen Scan enthalten. Die Erkennung basiert auf den Generator-Signaturen "PDF/Scan" und "JPEG/Scan".

  • Die meisten JPEG-Bilder, die von Facebook umgewandelt und von Facebook heruntergeladen wurden, werden in der Metadaten-Spalte jetzt als solches anhand ihrer Generator-Signatur identifiziert.

  • PDF-Metadaten-Extraktion speziell für PDF-Dateien von Acrobat 10 verbessert.

  • Probeweise Extraktion von Exif-Metadatenfeldern, die auf bestimmte Art beschädigt sind.

  • Überarbeitete Metadaten-Extraktion für JPEG. ICC-Profile werden ausgewertet, einschließlich Zeitstempeln.

  • Neue Datei-Signatur für .0tx Tobit-E-Mail definiert.

  • Generator-Signaturen-Tabelle weiter überarbeitet.

  • Der Typ-Status "anders erkannt" hat jetzt Auswirkungen auf die angenommene Relevanz einer Datei.

  • Die Relevanz einer Datei berücksichtigt jetzt zuverlässiger, ob ein Bild ein Bildschirmfoto ist oder nicht.

  • Verbesserte Stabilität bei der Verarbeitung von EDB-Datenbanken. Benutzer der Versionen v18.8, v18.9 und v19.0 können ihre Kopie der Datei EDBex.dat mit der Version ersetzen, die vorläufig probeweise nur mit v19.1 mitgeliefert wird.

  • Absender und Empfänger werden jetzt auch für MSG-Dateien angezeigt, auf die E-Mail-Verarbeitung angewandt wurde, nicht nur für die daraus extrahierten .eml-Dateien.

Dateisystem-Unterstützung

  • Erweiterte Attribute in HFS+ werden jetzt optional in den Datei-Überblick als Unterobjekte derjenigen Dateien oder Verzeichnisse mit aufgenommen, zu denen sie gehören (nur in X-Ways Forensics), abhängig von einem neuen dreistufigen Kontrollkästchens unter Optionen | Datei-Überblick. Voll angekreuzt werden erweiterte Attribute selbst dann als Unterobjekte angezeigt, wenn diese bereits gesondert von X-Ways Forensics intern verarbeitet wurden. Halb angekreuzt (die Standardeinstellung in X-Ways Forensics), werden sie nur dann als Unterobjekte aufgeführt, wenn sie von X-Ways Forensics noch nicht gesondert behandelt wurden, in der Annahme, daß der Benutzer diese ggf. manuell einsehen möchte.

  • Fähigkeit, resident/inline gespeicherte Dateien in HFS+ zu öffnen.

  • Fähigkeit, in HFS+ komprimiert gespeicherte Dateien zu erkennen und zu öffnen.

  • HTML-Vorschauen werden jetzt während der Metadaten-Extraktion für solche GZ-Archive erzeugt, die Apple FSEvent-Logs enthalten.

  • Ereignisse aus Apple FSEvent-Logs werden übernommen.

  • Erkennung eines neuen Dateisystem-Kompressionsstils in NTFS unter Windows 10.

  • In neu erzeugten Datei-Überblicken zeigen alternative Datenströme die Zahl der harten Verweise jetzt genauso wie ihre Eltern, um die alternativen Datenströme zusätzlicher harter Verweise optional ebenso bei Suchen etc. auslassen zu können.

Datenträger-Sicherung

  • Die beschreibende Text-Datei, die während der Sicherung erzeugt wird, gibt jetzt für alle Segmente von Roh-Images deren exakte Größe in Bytes und für alle Segmente von .e01-Evidence-Dateien deren genaue Block-Anzahl an. Sollte, aus welchen Gründen auch immer, eines oder mehrere Segmente verloren gehen oder beschädigt werden, ermöglicht dies die Erzeugung künstlicher Ersatz-Segmente in der passenden Kapazität, um die Lücken zu füllen, womit die Daten in folgenden Segmenten die korrekte logische Distanz zu den Daten in vorangegangen Segmenten haben, um die Gültigkeit interner Verweise in den Daten zu erhalten (die Startsektoren von Partitionen in der Partitionstabelle, Cluster-Nummern in den Dateisystem-Strukturen) sofern diejenigen Original-Image-Segmente vorhanden sind, die Quelle und Ziel des Verweises enthalten.

  • Fähigkeit, bequem Ersatz/Platzhalter-Segmente für .e01-Evidence-Dateien zu erzeugen, die fehlende/verlorene/defekte Original-Segmente ersetzen können, mit dem Befehl Datei | Neu. Der Benutzer spezifiziert die benötigte Block-Größe und die Anzahl der Blöcke und den Dateinamen für das gewünschte Segment (die Dateierweiterung muß korrekt sein, also die benötigte Segment-Nummer identifizieren, nicht Nummer 1). Die in die Blöcke geschriebenen Daten sind ein wiederkehrendes Text-Muster ("FEHLENDES IMAGE-SEGMENT" wenn man X-Ways Forensics mit der deutschsprachigen Benutzeroberfläche betreibt), damit Sie wissen, wenn Sie auf eine Lücke zwischen den verfügbaren Daten schauen, wenn Sie später auf das interpretierte, kombinierte Image schauen. Die Idee hinter solch einem künstlichen Platzhalter-Segment ist natürlich, daß bei korrekter Größe die Daten in den folgenden Segmenten den korrekten logischen Abstand von den Daten in vorangegangenen Segmenten haben. Der Hash der gesamten Sicherung kann natürlich nicht mehr erfolgreich verifiziert werden, wenn die Original-Daten fehlen, und natürlich sollte diese Funktionalität nur als letzter Ausweg verwendet werden, falls es kein Backup des fehlenden Segmentes gibt oder die Wiederherstellung der Daten fehlschlägt, etc. Die Erzeugung und Verwendung eines solchen Platzhalter-Segments sollte ordentlich dokumentiert werden. (nur mit forensischer Lizenz)

  • Bei der Interpretation einer .e01-Evidence-Datei, die Platzhalter-Segmente beinhaltet, werden Sie darüber informiert, und die Gesamtzahl der Platzhalter-Blöcke wird in den Eigenschaften des Asservates beim Hinzufügen zum Fall festgehalten.

  • Falls Sie einen Platzhalter für ein einzelnes fehlendes Segment benötigen, dessen Blockgröße und Blockanzahl Sie nicht kennen, weil die Sicherung ohne diese neuen Informationen in der beschreibenden Text-Datei erzeugt wurde, können Sie diese folgendermaßen ermitteln: Ändern Sie die Dateierweiterung des vorletzten Segmentes zu der des fehlenden Segments, um die Lücke zu schließen. Benennen Sie das letzte Segment in das jetzt fehlende vorletzte um. (Sollte es sich bei dem fehlenden Segment um das vorletzte gehandelt haben, brauchen Sie nur den letzten Schritt; sollte das letzte Segment das fehlende sein, muß gar nichts umbenannt werden.) Fügen Sie dann das Image (das erste Segment) ganz normal zu einem Fall in X-Ways Forensics hinzu. X-Ways Forensics wird Sie auf das falsch benannte Segment im Nachrichtenfenster hinweisen, was ignoriert werden kann. Schauen Sie in den Eigenschaften des Asservates nach der Blockgröße und die erwartete und die tatsächlich referenzierte Block-Anzahl. Subtrahieren Sie die tatsächlich referenzierte von der erwarteten Block-Anzahl. Das Resultat ist die Zahl der fehlenden Blöcke. Benennen Sie die Segmente wieder korrekt um und erzeugen Sie dann das fehlende Platzhalter-Segment mit der korrekten Block-Größe und -Anzahl und der korrekten Erweiterung.

    Mit einer Abweichung funktioniert dieser Ansatz auch, wenn mehrere zusammenhängende Segmente fehlen, indem Sie weitere verfügbare Segmente so umbenennen, daß die Lücke im ersten Schritt geschlossen wird, und Sie erzeugen soviele Platzhalter-Segmente, wie benötigt werden, um die Lücke zu schließen. Welches Platzhalter-Segment genau wieviele Blöcke enthält, ist nicht entscheidend, hauptsache, die Gesamtzahl der Ersatzblöcke entspricht genau der Gesamtzahl der fehlenden Blöcke. Falls mehrere nicht zusammen- hängende Segmente fehlen, können entsprechende Platzhalter-Segmente nur mit den neuen Informationen aus der beschreibenden Text-Datei erzeugt werden.

Erweiterung des Datei-Überblicks

  • Multi-Threading: Option, die Zahl der Arbeiter-Threads auf 1 zu setzen, was bedeutet, daß ein zusätzlicher Thread für die Verarbeitung gestartet wird, getrennt vom Haupt-Thread, was Interaktion mit der Benutzeroberfläche ohne Zeitverzögerung ermöglicht. Nützlich beispielsweise auf einem Terminalserver mit vielen gleichzeitigen Benutzern, wo Sie nicht zu viele Threads starten würden, die anderen Benutzern zuviel Prozessorzeit wegnehmen, aber zumindest die GUI weiterhin flüssig verwenden können möchten. Wenn die Zahl der zusätzlichen Threads auf 0 gesetzt ist, wird die Verarbeitung vom Haupt-Thread selbst gemacht, wie in v19.0 mit einem Thread oder generell in v18.9 und vorher, womit GUI-Interaktionen langsam sein können.

  • Fähigkeit, Operationen mit mehreren Worker-Threads mit der Pause-Taste anzuhalten.

  • Es ist jetzt möglich, nicht nur bekannte irrelevante Dateien, sondern auch bekannte relevante Dateien von weiteren Operationen der Datei-Überblick-Erweiterung auszulassen. Nützlich, wenn Sie in einem großen Fall viele solcher Dateien haben oder erwarten und Ihnen der Beweis ihrer Existenz genügt und Sie für diese Dateien die internen Metadaten dann nicht noch extrahiert brauchen, deren Hautfarbanteil oder PhotoDNA-Hashwert nicht mehr wissen müssen und sie auch nicht auf eingebettete Daten prüfen müssen usw. usf.

  • Wenn Treffer gleichzeitig sowohl aus normalen als auch aus PhotoDNA-Hash-Datenbanken mit widersprüchlichen Kategorisierungen gemeldet werden, setzt sich die "strengere" Kategorie durch: unbekannt < bekannt irrelevant < bekannt, aber unkategorisiert < bekannt relevant

  • Die Option, eine Datei als bereits eingesehen zu kennzeichnen, wenn sie als irrelevant kategorisiert wird, wird jetzt auf das kombinierte Ergebnis aus den Abgleichen mit normaler Hash-Datenbank und PhotoDNA-Hash-Datenbank angewandt.

  • Interne Metadaten werden jetzt nur für Dateien in ausgewählten Kategorien in die Metadatenspalte übernommen.

  • Optionen | Sicherheit | "Infos für Absturzbericht sammeln" ist jetzt ein dreistufiges Kontrollkästchen. Voll angekreuzt wird das Programm im Fall, daß die Erweiterung eines Datei-Überblicks das Programm zum Absturz bringt, beim Neustart auch angeben, welche Unteroperation genau auf das/die problematische(n) Datei(en) angewandt wurde, als das Programm abgestürzt ist. Es wurde bisher nicht getestet, ob diese erhöhte Genauigkeit beim Protokollieren eine erkennbare Verlangsamung nach sich ziehen könnte. Es kann mehrere Kandidaten für die problematische Datei geben, die die Instabilität verursacht hat, wenn zum Absturzzeitpunkt mehrere Threads aktiv waren. Im Unterschied zu v19.0 werden jetzt alle davon festgehalten, und sie werden jetzt beim Neustart mit Hilfe des Int. ID Filters angezeigt.

Berichtstabellen

  • Bei der Prüfung auf Duplikate mittels Hash-Wert können identische Dateien jetzt optional in spezielle Berichtstabellen gruppiert werden, damit Sie mit Hilfe des Berichtstabellen-Filters bequem jede einzelne Gruppe an Duplikaten im Verzeichnis-Browser auflisten lassen können, um beispielsweise herauszufinden, welche Kopie der Datei zuerst erzeugt wurde, welche zuletzt zugegriffen wurde, welche die meiste Bedeutung aufgrund von Metadaten wie Pfad, etc besitzt. Im Unterschied zur Kennzeichnung von Duplikaten als sog. zugehörige Objekte funktioniert die Gruppierung mittels Berichtstabelle auch über Asservatgrenzen hinweg, womit Sie nicht auf den Vergleich von Duplikaten innerhalb einzelner Asservate beschränkt sind.

  • Berichtstabellen, die Gruppen identischer Dateien repräsentieren, werden in türkis dargestellt. Insgesamt gibt es damit jetzt fünf verschiedene Arten von Berichtstabellen: 1) bebenutzerdefinierte Berichtstabellen, z. B. zu Berichtszwecken, 2) von X-Ways Forensics erzeugte Berichtstabellen, um den Benutzer auf bestimmte Eigenschaften von Dateien hinzuweisen, 3) Berichtstabellen, die in einer Datei enthaltene Suchbegriffe repräsentieren, 4) Berichtstabellen, die Hash-Sets repräsentieren, in denen eine Datei gefunden wurde, 5) Berichtstabellen, die Gruppen identischer Dateien repräsentieren.

  • Die maximale Anzahl an Berichtstabellen in einem Fall wurde von 256 auf 1.000 erhöht.

  • Um eine aufgeblähte Liste an Berichtstabellen zur Auswahl während der Berichtserzeugung zu vermeiden, werden in diesem Dialogfenster Berichtstabellen nur noch angeboten, wenn diese tatsächlich zu Berichtszwecken gedacht sind. Dies wird standardmäßig von allen benutzerdefinierten Berichtstabellen angenommen. Sie können den Berichtszweck-Status jeder Berichtstabelle im Dialogfenster für die Berichtstabellen-Verknüpfung ändern, indem Sie das "Stern"-Symbol zuweisen oder entfernen.

  • Beim Erzeugen eines neuen Datei-Überblicks werden alle Berichtstabellen-Verknüpfungen auf diesem Asservat verworfen. Falls dies eine Berichtstabelle, die nicht für Berichtszwecke gekennzeichnet ist, komplett leert, wird diese Berichtstabelle bei dieser Gelegenheit jetzt automatisch aus dem Fall gelöscht.

Bedienbarkeit & Benutzeroberfläche

  • Miniaturansichten von True-Color-Bildern können in der Galerie optional in Graustufen dargestellt werden. Diese Option unter Optionen | Viewer-Programme ist für Benutzer in Strafverfolgungsbehörden gedacht, die massenweise Kinderpornografie sichten müssen, um die psychische Belastung und den Streßfaktor zu reduzieren.

  • Ein neues dreistufiges Kontrollkästchen unter Optionen | Allgemein erlaubt es, das Starten von Windows-Bildschirmschonern zu verhindern. Damit entfällt auch das Risiko, daß sich die Notwendigkeit ergibt, das Paßwort des aktuell angemeldeten Benutzers erneut einzugeben. Dies wirkt sich entweder nur dann aus, wenn gerade länger andauernde Operationen laufen, die vom Fortschrittsanzeigefenster begleitet werden (wenn nur halb angekreuzt), oder aber während der gesamten Laufzeit des Programms (wenn ganz gewählt). Diese Option hat einen Effekt, egal ob das Hauptfenster sichtbar ist oder nicht und egal ob das Programm im Hintergrund oder Vordergrund läuft. Nützlich zum Beispiel beim Sichern eines laufenden Systems vor Ort, wenn Sie ungern die Kontrolle über das System verlieren würden, während die Sicherung läuft, oder einfach nur, wenn Sie die Fortschrittsanzeige einer laufenden Vorgangs auf Ihrem eigenen Rechner von einer anderen Ecke Ihres Büro aus im Auge behalten möchten.

  • Benutzerfreundlicheres Verhalten beim Versuch, in Datenfenstern den Editiermodus zu ändern, wo das nicht erlaubt ist, weil Sie X-Ways Forensics nicht als WinHex laufen lassen oder wegen des strengen Laufwerksschutzes.

  • Bequeme Option, die Ausgabeverzeichnisse von Wiederherstellen/Kopieren nach Beendigung automatisch zu öffnen.

  • In Bearbeiten | Block festlegen ist es jetzt optional möglich, die Größe des Blocks statt seines End-Offsets anzugeben. Außerdem ist es jetzt möglich, Anfang und Ende eines Blocks auf Basis von Sektornummern statt echten Offsets einzugeben.

  • Die Option, die Viewer-Komponente auch für Bilder zu verwenden, wird jetzt als bequem zu erreichender Schalter "VK" im Vorschau-Modus angeboten, um es deutlich schneller zu machen, zwischen der internen Grafikanzeigebibliothek und der separaten Viewer-Komponente umzuschalten. Früher mußten Benutzer dafür zum Dialogfenster Optionen | Viewer-Programme gehen, zum Beispiel um im Fall beschädigter Dateien eine zweite Meinung über den Inhalt des Bildes zu bekommen. Einige Benutzer hatten diese Option vermutlich außerdem immer aktiv, einfach, weil sie angenommen hatten, Bilder mit der Viewer-Komponente anzuzeigen sei zwingend, einfach nur um überhaupt Bilder angezeigt zu bekommen, da sie gar nicht wußten, daß Bilder in X-Ways Forensics standardmäßig von der internen Grafikanzeigebbibliothek dargestellt werden.

  • Verzeichnis-Icons für Asservate, die Verzeichnisse sind, im Falldatenfenster, um diese von Volumes unterscheiden zu können.

  • Unter Windows Vista und später werden Attachments jetzt bequem von der alternativen E-Mail-Repräsentation im Vorschau-Modus verlinkt.

  • Falldaten-Kontextmenüs wurden aufgeräumt.

  • Die französische Übersetzung der Benutzeroberfläche wurde aktualisiert.

  • Kontrollkästchen, die in romanischen Sprachen lange Textbeschreibungen haben, die aufgrund des beschränkten Platzes abgeschnitten werden, kommen jetzt automatisch mit Tool-Tips daher, die den vollständigen Text anzeigen, wenn man mit dem Mauszeiger darüber verharrt.

  • Die "Aufsuchen"-Befehle im Menü Navigation sind jetzt auch im Dateimodus verfügbar.

  • "SHA-1 & TTH192 in Base32 anzeigen" ist jetzt eine Notationsoption.

  • Einige Dialogfenster sind jetzt etwas klarer strukturiert.

X-Tensions API

  • Die Funktion XWF_CreateFile unterstützt jetzt ein neues Flag, das die Erzeugung von Dateien im Datei-Überblick mit Daten aus einem bereitgestellten Puffer erlaubt.

  • Dokumentation aktualisiert.

Diverses

  • Die Vollpfad-Spalte hat jetzt einen Filter.

  • Neue Optionen beim Importieren oder Erzeugen von Hash-Sets in normalen und Block-Hash-Datenbanken. Doppelte Hash-Werte, die in der Datenbank bereits enthalten sind, können jetzt entweder aus dem neuen Hash-Set entfernt werden, oder aus allen bereits vorhandenen, um die Hash-Datenbank kompakter/weniger redundant zu halten.

  • Ein neuer Befehl im Kontextmenü des Falldatenfensters ermöglicht es, ein Asservat mit einer Glühbirne zu markieren, als visuelle Hilfe, um es leichter zu finden, falls es wichtig ist.

  • Ein weiterer neuer Befehl im Kontextmenü des Falldatenfensters erlaubt es, bequem ein Backup des Datei-Überblicks des gewählten Asservats anzufertigen. Backups können mittels desselben Befehls später jederzeit wiederhergestellt oder auch gelöscht werden (klicken Sie einen Eintrag in der Liste der Backups rechts an, um den Lösch-Befehl zu erhalten). Ein solches Backup ist wie ein Snapshot eines Datei-Überblicks. Nützlich, wenn Sie der Meinung sind, daß Sie später zu einer bestimmten Verarbeitungsstufe zurückkehren (d. h. alle folgenden Änderungen des Datei-Überblicks rückgängig machen) möchten, beispielsweise weil Sie aufwendig Tausende Dateien markiert haben, die Sie nicht verlieren wollen, bevor Sie mit experimentellen Einstellungen eine Datei-Signatur-Suche laufen lassen, die ggf. viele Schrott-Dateien erzeugt; bevor Sie externe Dateien mit Optionen, die Sie noch nie ausprobiert haben, anhängen lassen; bevor Sie eine X-Tension laufen lassen, die aus einer fremden Quelle stammt; bevor Sie ausgeblendete Dateien völlig aus dem Datei-Überblick entfernen lassen.

    Berichtstabellen-Verknüpfungen, Ereignisse und Suchtreffer sind im Backup ebenfalls enthalten. Suchtreffer können aus dem Backup nur wiederhergestellt werden, wenn sich die Suchbegriffsliste des Falles in der Zwischenzeit nicht geändert hat. Indexe sind im Backup nicht enthalten, können aber natürlich manuell gesichert werden.

  • Derselbe Befehl, angewandt auf den gesamten Fall (klicken Sie zu diesem Zweck den fett dargestellten Fallnamen rechts an), erlaubt die Erzeugung eines Backups für den gesamten Fall, einschließlich aller Datei-Überblicke aller Asservate, alle Berichtstabellen, Ereignisse, Suchbegriffe, Suchtreffer, Indexe, Image-Datei-Pfade, usw. usf. Solche Backups können über dasselbe Dialogfenster wiederhergestellt werden. Solche Backups können auch mit dem "Fall öffnen"-Befehl direkt geöffnet werden, falls notwendig, da es sich um vollständige Kopien des Falles handelt. (Die Backup-.xfc-Dateien werden aber mit dem Attribut "versteckt" versehen, da sie eigentlich nur innerhalb von X-Ways Forensics direkt verwendet werden sollen.)

  • Duplikate können jetzt auch anhand des sekundären Hashes erkannt werden.

  • Duplikate können jetzt auch anhand identischer Startsektoren (innerhalb desselben Asservats) erkannt werden.

  • Es ist jetzt möglich, zusätzliche harte Verweise auch bei der Prüfung auf Duplikate zu ignorieren.

  • Option, ausgewählte Felder auf dem Deckblatt fett und in einer anderen Farbe drucken zu lassen, um die Aufmerksamkeit des Lesers auf bestimmte Punkte zu lenken.

  • Neue Umwandlungsfunktion für Groß-/Kleinschreibung für Text-Daten in UTF-16 (Menü Bearbeiten).

  • Getrennte Notationsoptionen für den Fallbericht, genau wie für exportierte Listen.

  • Zu Ihrer Information, zwei unserer Benutzer haben unabhängig voneinander bestätigt, daß die Anti-Viren-Software Webroot SecureAnywhere zufällige Programmabstürze (Programmbeendigung) in X-Ways Forensics auslöst. Aus diesem Grund ist es nicht empfehlenswert, die beiden Programme auf dem gleichen Rechner zur gleichen Zeit auszuführen.

  • Unzählige kleinere Verbesserungen.

  • Einige kleinere Korrekturen.

  • Die Programmhilfe und das Benutzerhandbuch wurden auf den Stand von v19.1 gebracht.

Änderungen der Service-Releases von v19.0

  • SR-1: Fixed support of v19.0 to recognize a few file types (those with the "x" flag), including SQLite 3.

  • SR-1: Fixed an instability problem in the registry viewer.

  • SR-1: Fixed crashes that could occur since v18.9 when extracting metadata from certain Linux PNG thumbnails.

  • SR-1b: Fixed an error in File mode in X-Ways Investigator.

  • SR-2: Fixed support of v19.0 to read a few sectors on very large hard disks.

  • SR-2: Fixed error in file type verification and uncovering embedded data when run with multiple threads.

  • SR-2: Fixed an error where attachments were not extracted from certain .eml files.

  • SR-2: Fixed new option to link attachments from HTML previews of e-mails in the case report.

  • SR-2: Fixed potentially wrong time zone translation of timestamps in transcoded Nikon photos.

  • SR-3: Fixed a volume snapshot data corruption problem in multi-threaded picture analysis and processing.

  • SR-3: More complete extraction of Chrome web history in some cases.

  • SR-4: Fixed an exception error that could occur when providing the alternative e-mail representation for certain e-mail messages.

  • SR-4: Fixed a potential exception error that could occur when running a file header signature search on physical, partitioned media.

  • SR-4: Fixed support of X-Ways Forensics 19.0 to view contained files in separate windows from within representations of the viewer component.

  • SR-5: Fixed an I/O error that could occur when the case auto-save interval elapsed while refining the volume snapshot with multiple threads.

  • SR-5: Report table descriptions were not handled correctly when deleting a report table. That was fixed.

  • SR-5: Fixed a crash that could occur with certain SQLite databases.

  • SR-5: Fixed a rare exception error that could occur during multi-threaded relevance computation.

  • SR-5: Fixed an exception error that could occur when exporting search hits with context in TSV format.

  • SR-5: Extraction of certain embedded pictures in .eml files.

  • SR-6: The hash filter did not correctly target the 2nd and 4th hash value if the hash type was 2 or 4 bytes in size (e.g. CRC32). That was fixed.

  • SR-6: Fixed an I/O error that could occur in v18.9 and v19.0 when applying File Recovery by Type to an uninterpreted image file.

  • SR-6: The internal graphics viewing library now represents Windows Bitmaps with 32 bits per pixel in correct colors. Fixed skin tone computation for certain Bitmaps with 8 bits per pixel.

  • SR-6: Fixed a potential infinite loop that could occur during a file header signature search for Zip archives when data of JNX files was found.

  • SR-6: Upward searches did not run correctly in v19.0. That was fixed.

  • SR-7: Support for previously unsupported SQLite database files.

  • SR-7: Multi-threaded operations generally more reliable now.

  • SR-7: When matching the files in a volume snapshot against hash databases more than once, previous matches according to the "Hash set" column are now automatically discarded. The hash category remains. This is for performance reasons. Keeping previous and new matches consistent and free of duplications potentially took a lot of time and was not optimized. Users of v18.7 through v18.9 have the option to discard hash set matches and categorizations for selected files with Ctrl+Shift+Del first to accelerate re-matching.

  • SR-7: Fixed problems when loading certain GIF files that contain extension blocks.

  • SR-7b: Fixed error in hash database matching with multiple threads.

  • SR-8: Fixed a crash that could occur when exploring certain keys in registry hives.

  • SR-8: Fixed an exception error that could occur when uncovering embedded data in certain executable files.

  • SR-8: Fixed a rare exception error that could occur when verifying the type of zip archives.

  • SR-8: Sorting by filename extension is now case-insensitive.

  • SR-8: Fixed a crash that could occur in v19.0 when extracting e-mails/attachments from MBOX e-mail archives and original .eml files.

  • SR-8: Prevented unnecessary inclusion of traces of existing files from volume shadow copies in the volume snapshot in certain situations.

  • SR-8: Fixed a cause for multi-threading instability.

  • SR-8: Improved stability with special GIF and TIFF pictures.

  • SR-9: For some few JPEG/TIFF files the extracted "Content created" date was wrong or incorrectly marked as local time. That was fixed.

  • SR-9: There was a problem with the multi-threading option on VMDK images and in Ext* file systems. That was fixed.

  • SR-9: Prevented potential instability with carved .lnk shortcut files.

  • SR-9: Warns the user of GUID conflicts among Windows dynamic disks if open at the same time, to prevent wrong volume-disk connections.

  • SR-10: Fixed support of v19.0 SR-8 and SR-9 to make certain changes to PhotoDNA databases.

  • SR-10: The category of PhotoDNA hash database matches no longer supersedes that of regular hash database matches during the same snapshot refinement run.

  • SR-10: Fixed a potential crash that could occur when extracting metadata from $UsnJrnl:$J.

  • SR-10: Fixed an exception error that could occur when uncovering embedded data from PE executable files.

  • SR-11: Newly identified 3GP files were erroneously assigned to the category "Other/unknown type" by the file type verification in v19.0 SR-1 and later. That does no longer happen now.

  • SR-11: X-Tension API: Two new kinds of evidence object IDs can now be retrieved with the XWF_GetEvObjProp function (nPropType 3 and 4).

  • SR-11: Fixed support of v19.0 to copy certain files along with the case report under certain circumstances if the type status was "newly identified".

  • SR-12: Fixed an I/O error that could occur when extracting e-mails from e-mail archives while multiple threads were active.

  • SR-12: Full filename matches in the Type filter did not count if the type status was "newly identified" or "confirmed". That was fixed. In v18.8 and later, full filename matches should have been ignored only if the type status was "mismatch detected".

  • SR-12: Fixed an exception error or crash that could occur under certain circumstances when opening partitions in X-Ways Investigator without opening the parent disk first.

  • SR-12: LVM2 container partitions are now interpreted properly even if the designated partition type in the MBR or GPT is wrong.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <

X-Ways Software Technology AG  •  Jetzt bestellen  •  Treueprogramm  •   X-Ways bei Twitter!   X-Ways in Facebook!