
Bestellung, Preise:
	• Lizenzkauf online
	• Überweisung
	• Lizenzen upgraden
Produkte
	X-Ways Forensics
	Integrierte Forensik-Software
	X-Ways Investigator
	Ermittler-Version v. X-Ways Forensics
	WinHex
	Lizenztypen
	Upgrade
	Forensische Features
	Alle Features
	X-Ways Imager
	Disk-Imaging
	X-Ways Capture
	EDV-Beweissicherung
	X-Ways Trace
	Benutzer-Aktivität
	Davory
	Datenrettung
	X-Ways Security
	Datenlöschung
Dienstleistungen
	Schulungsangebot

	Kontakt
	Support-Forum
	Die X-Ways AG
	X-Ways in Facebook

English

WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

#133: WinHex, X-Ways Forensics und X-Ways Investigator 17.1 veröffentlicht

14. Mai 2013

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten neue Features, die Version 17.1.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie eine ältere Version weiter nutzen möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.

Was ist neu in v17.1?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Datenträger-Sicherung

Ein weiteres typisches „X-Ways“-Feature, das die Spitzenstellung von X-Ways Forensics als das Tool zementiert, das dem Benutzer die größtmögliche Kontrolle überläßt beim Auswählen, Erfassen und Filtern von Daten auf jeder vorstellbaren Ebene: Die Fähigkeit, von Datenträgern forensische Minimalsicherungen zu erzeugen, die nur solche Sektoren enthalten, die für die gewünschten Zwecke erforderlich sind, unter Beibehaltung der Kompatibilität mit anderen Tools. Diese Sektoren können diejenigen sein, die Partitionstabellen enthalten, Dateisystem-Datenstrukturen, deren benachbarte Sektoren, oder Sektoren mit Datei-Inhalten sowie beliebige Sektoren im unpartitionierten Niemandsland einer Festplatte. Eine Minimalsicherung ist üblicherweise nur spärlich mit Daten besetzt, so daß es sinnvoll ist, die Sparse-Datei-Technologie von NTFS dafür einzusetzen. Unbeschriebene Bereiche in einer Minimalsicherung verhalten sich beim späteren Lesen, als ob sie binäre Nullen enthalten.

Sie beginnen eine Minimalsicherung, indem Sie den Menübefehl Datei | Minimalsicherung erstellen aufrufen. Welche Sektoren fortan in das Image aufgenommen werden, wird nun indirekt bestimmt, indem man X-Ways Forensics solche Sektoren vom Quelldatenträger lesen läßt, die für bestimmte Zwecke erforderlich sind. Wenn die gerade erzeugte, anfangs noch leere Minimalsicherung im Hintergrund geöffnet ist, öffnen Sie normalerweise als nächstes den physischen Datenträger oder die Partition oder öffnen und interpretieren das Image, das Sie teilweise sichern möchten. Es wird dabei automatisch als Datenquelle für die Sicherung eingestellt. Dadurch werden auch bereits Leseoperationen während der wichtigen Phase des Öffnens oder Interpretierens ausgelöst, wenn Partitionstabellen und Bootsektoren ausgewertet werden müssen, so daß die essentiellen Datenstrukturen, die Partitionen definieren und Dateisysteme identifizieren, auf jeden Fall schon mal in die Minimalsicherung aufgenommen werden!

Nach dem Öffnen eines partitionierten physischen Datenträgers haben Sie also eine grundlegende Struktur in Ihrer Sicherungsdatei: Partitionstabellen, die auf Partitions-Bootsektoren oder verschachtelte weitere Partitionstabellen zeigen, deren Aufgabe es ist, all die anderen Daten dazwischen (Dateisystemdaten und Benutzerdaten) zu beherbergen. Wenn es Ihr Ziel ist, daß man auch von der Minimalsicherung aus einen Datei-Überblick von einer bestimmten Partition erzeugen kann, d. h. eine Liste aller Dateien und Verzeichnisse erhält, die von dem Dateisystem in der Partition referenziert werden, dann öffnen Sie die betreffende Partition vom Quelldatenträger aus, so daß ein Datei-Überblick erzeugt wird. Erneut werden alle diejenigen Sektoren, die während dieses Vorgangs vom Quelldatenträger gelesen werden, gleichzeitig in die Sicherungsdatei kopiert, und diese enthalten die Dateisystem-Datenstrukturen, z. B. $MFT in NTFS, alle Verzeichnis-Cluster in FAT und die Katalogdatei in HFS+. Das fügt Ihrer Minimalsicherung also schon deutlich mehr und filigranere Verwaltungs- und auch Metadaten hinzu, aber immer noch keine (oder kaum) Benutzerinhalte. Nicht mit dem Dateisystem zusammenhängende/von ihm genutzte Sektoren werden nämlich nicht gelesen und damit auch nicht kopiert. Das bedeutet auch, daß die Möglichkeiten, in der Minimalsicherung ehemals existierenden Dateien zu finden, eingeschränkt sind.

Wenn Sie ein beliebiges Intervall von Sektoren sichern möchten, brauchen Sie nur einen Weg zu finden, um X-Ways Forensics zum Lesen dieser Sektoren zu bewegen. Z. B., um die Sektoren von Nummer 1.000.000 bis 1.000.999 zu kopieren, definieren Sie diese 1.000 Sektoren als ein Block und hashen diesen Block (im Disk-Modus) mit den Menübefehl Extras | Hash berechnen, oder Sie führen eine physische Suche nur in diesem Block aus. Oder, um eine ungewöhnlich große Partitionslücke zwischen Partition 1 und 2 zu sichern, können Sie die virtuelle Datei, diesen Bereich repräsentiert, hashen. Sie können auch manuell zu jedem potentiell relevanten Sektor navigieren, um ihn in die Sicherung aufzunehmen (z. B. Navigation | Sektor aufsuchen) oder einen der Befehle im Navigationsmenü zum Navigieren im Dateisystem verwenden. All das funktioniert, weil das Lesen von Sektoren deren Aufnahme in die Sicherung anstößt.

Wenn Sie allerdings gezielt bestimmte Dateien sichern möchten, ist das einfacher, und dafür ist es eine gute Idee, die ständige indirekte Sicherung aller für welchen Zweck auf immer gelesenen Sektoren auszuschalten, so daß z. B. Datei A, die Sie in der Vorschau betrachten, allein aufgrund der Vorschau-Operation noch nicht gesichert wird, denn bei der Vorschau stellt sich ja evtl. heraus, daß die Datei irrelevant ist. Dazu ändern Sie den Status der im Hintergrund offenen Sicherungsdatei auf "wartend", über den Status-Befehl im Dateimenü. Im Zustand "wartend" erlaubt nur der Befehl "Hinzufügen zu [Name der Sicherungsdatei]" im Kontextmenü des Verzeichnis-Browsers das Sichern ausgewählter Dateien (durch vorübergehendes Aktivieren des Images und Anstoßen von Leseoperationen).

Wenn Sie einige Betriebssystemdateien in die Sicherung aufnehmen möchten, wie etwa Windows-Registry-Hives, erkunden Sie die betreffende Partition vom Stammverzeichnis aus rekursiv, setzen einen Filter auf solche Dateien und rufen den Befehl „Hinzufügen zu" im Kontextmenü des Verzeichnis-Browsers auf. (Nur verfügbar, wenn nicht zeitgleich auch ein Datei-Container im Hintergrund zum Befüllen geöffnet ist.) Der Ermittler, der nur die resultierende Minimalsicherung hat, wird dann konsequenterweise in der Lage sein, die kopierten Hive-Dateien einzusehen und einen Registry-Bericht über sie anzufertigen, vorausgesetzt, Sie hatten auch bereits die Dateisystem-Datenstrukturen kopieren lassen, weil diese erforderlich sind um herauszufinden, in welchen Sektoren die Inhalte der Dateien gespeichert sind.

Das Dialogfenster zum Ändern des Status der Sicherungsdatei erlaubt es Ihnen auch, diese zu schließen, d. h. das Sichern vorübergehend oder endgültig zu beenden. Dieselbe Sicherungsdatei läßt sich zu einem beliebigen späteren Zeitpunkt weiter vervollständigen, indem man sie mit dem Befehl „Minimalsicherung erstellen" erneut auswählt, aber dann nicht überschreiben läßt, sondern sie aktualisiert.

Wie Sie sehen, haben Sie die volle Kontrolle darüber, welche Daten es in die Sicherung schaffen. Die Herangehensweise setzt nur voraus, daß Sie ein gewisses Verständnis davon mitbringen, was für Daten Sie wollen/brauchen und wo diese zu physisch zu finden sind, sofern diese Daten nicht einfach nur gewöhnliche auswählbare Dateien sind. Die Sektoren können in jeder beliebigen Reihenfolge adressiert werden. Mehrfaches Lesen derselben Sektoren ändert nichts in der Sicherungsdatei und hat keine negative Auswirkung, außer daß es unnötige doppelte Zeilen in der optionalen Protokolldatei zur Folge haben kann, die X-Ways Forensics erzeugen kann. Solche eine .log-Datei wird im selben Verzeichnis wie die Sicherungsdatei erzeugt. Sie listet alle kopierten Sektorintervalle auf, optional jeweils mit einem dazugehörigen Hash-Wert, was es ermöglicht, die Daten in bestimmten Bereichen manuell zu verifizieren, sollten diesbezüglich Zweifel entstehen. Wenn Sie den "Hinzufügen zu"-Befehl zum Sichern von Dateien in eine Minimalsicherung verwenden, wird auch der Name einer solchen Datei in das Protokoll aufgenommen, gefolgt von den Sektorintervallen, die der Datei zugeordnet sind (mehr als eins, wenn die Datei fragmentiert ist oder X-Ways Forensics die Sektoren einfach in mehreren Stücken kopiert).

Es bietet sich u. U. an, die Minimalsicherung vom Roh-Format in ein komprimiertes und/oder verschlüsseltes .e01-Evidence-File zu konvertieren oder sie zu hashen, oder sie mit WinRAR oder 7Zip etc. vor der Weitergabe an andere Benutzer zu komprimieren. Die Kompressionsdate wird ungewöhnlich hoch sein, wenn die Minimalsicherung nur spärlich mit Daten besetzt ist, und die Lesegeschwindigkeit extrem hoch, weil undefinierte/nicht allozierte Bereiche gar nicht von der Platte gelesen werden müssen. Für Ihren eigenen Bedarf können Sie die Sicherungsdatei einfach so lassen wie sie ist, weil sie in ihrem Grundzustand nicht so viel Plattenplatz benötigt wie die nominelle Dateigröße befürchten läßt, dank der Sparse-Speicherung von NTFS. Wenn Sie eine Minimalsicherung im Roh-Format kopieren möchten, kopieren Sie sie auf jeden Fall als Sparse-Datei (kann in X-Ways Forensics mit dem Befehl Extras | Datei-Tools | Sparse kopieren erledigt werden), so daß die Kopie auch eine Sparse-Datei wird und nur so viel Plattenplatz wie die Originaldatei verbraucht. Ein konventioneller Kopierbefehl würde auch die riesigen unbenutzten und nicht allozierten Bereiche innerhalb der Sparse-Datei als binäre Nullen kopieren.

Zum Überprüfen der Unverändertheit der in die Minimalsicherung übertragenen Daten kann für diese als Ganzes ein Hash-Wert berechnet werden, wie bei einem normalen Image. Alternativ und viel schneller ist die Verwendung des Befehls "Minimalsicherung überprüfen", die die laut .log-Datei übertragenen Sektorbereiche erneut hasht (aus dem Image lesend) und mit den Hash-Werten in der .log-Datei vergleicht. Dann überprüft die Funktion, ob die .log-Datei ihrerseits unverändert ist, hasht diese dazu und vergleicht den sich daraus ergebenden, mächtigen, allumfassenden Master-Hash-Wert mit dem in der .log.log-Datei genannten Hash-Wert, sofern diese optionale Datei erzeugt wurde. Es könnte auch wünschenswert sein zu verifizieren, daß alle ungenutzten Bereiche in einer Minimalsicherung weiterhin nicht alloziert oder zumindest mit Nullen gefüllt sind. Dies erledigt die Funktion nicht.

Vorteile von Minimalsicherungen:
- Partielles Image, spart Plattenplatz.
- Schnell zu erzeugen, insbes. im Fall einer über eine langsame Verbindung mit F-Response gesicherte Festplatte eines Rechners im Netz.
- Transportiert/enthüllt nur speziell adressierte Daten, schließt Daten ohne Bezug aus, wie u. U. erfordert von Gesetzen, Datenschutz-Richtlinien, gesundem Menschenverstand, Zeitdruck oder Kundenwunsch.
- Ideal geeignet für technische Datenstrukturen (Partitionstabellen und Dateisysteme) und Dateien im Dateisystem gleichermaßen.
- Möglichkeit, alle entscheidenden Dateisystem-Daten ohne Wissen über Dateisysteme zu sichern und insbes. ohne zu wissen, in welchen Sektoren die Dateisystem-Datenstrukturen gespeichert sind.
- Das Ergebnis läßt sich genau wie ein konventionelles Roh-Image einer Platte einlesen, für alle beabsichtigten Zwecke, sofern adäquat vorbereitet, mit Original-Offsets und beibehaltenen relativen Entfernungen zwischen Datenstrukturen (anders als in einem Datei-Container).
- Das Datei-Format ist universell, und alle forensischen Tools, die Roh-Images unterstützen, haben die Chance, die Daten zu verstehen, es sei denn, sie brauchen mehr als die eingebundenen Daten oder verstehen schon die Partitionierungsmethode oder das Dateisystem auf dem Originaldatenträger nicht.
Vorbehalte:
- Eine auf dem Bildschirm dargestellte Suchtrefferliste mit Kontextvorschau um die Suchtreffer herum verursacht unzählige Leseoperationen, so daß Sie den Status einer im Hintergrund geöffneten Sicherungsdatei in bestimmten Situationen besser auf „wartend“ ändern
- Um zu vermeiden, daß die Startsektoren von Dateien und Verzeichnissen, die Sie im Verzeichnis-Browser im Modus Partition/Volume lediglich anklicken, in die Sicherungsdatei aufgenommen werden (weil ein solcher Klick automatisch zum jeweiligen ersten Sektor springt), navigieren Sie im Verzeichnis-Browser im Modus Legende oder ändern den Status der Sicherungsdatei auf „wartend“.
- Das Lesen von Daten aus den meisten extrahierten Dateien wie E-Mails, Datei-Anhänge von E-Mails, Dateien in Zip-Archiven, Standbilder von Videos, in MS-Excel-Tabellen eingebettete Bilder usw. stößt keine Leseoperationen auf der Datenträger-Ebene an, so daß sie nicht gesicht werden können. Minimalsicherungen eignen sich nur für Dateien auf der Dateisystemebene, nicht auf anderen Ebenen, die man im Datei-Überblick sieht. Verwenden Sie Datei-Container für solche Zwecke.
- Beachten Sie, daß einem arglosen Ermittler eine Minimalsicherung wie ein herkömmliches vollständiges Image erscheinen kann. Solche Ermittler müssen auf die unvollständige, nur dünn mit Daten besetzte Natur der Sicherung aufmerksam gemacht werden. Im Gegensatz zu Datei-Containern werden Dateien, deren Inhalt nicht im Image enthalten ist, im Datei-Überblick einer Minimalsicherung nicht besonders gekennzeichnet. X-Ways Forensics v17.1 und neuer informieren den Benutzer aber über die Natur der Sicherung, wenn sie einem Fall hinzugefügt wird, wenn sie als Minimalsicherung erkannt wird.
Ein Vergleich von Datei-Containern und Minimalsicherungen findet sich online.
Option zum Verhindern der Erzeugens unverschlüsselter Kopien von AES-verschlüsselten .e01-Evidence-Files. Könnte nützlich sein, wenn Sie befürchten, daß die Empfänger eines verschlüsselten Images gedankenlos damit umgehen und das Image aus Bequemlichkeit oder zum Austausch mit Benutzern anderer Software in ein unverschlüsseltes Image konvertieren.
Möglichkeit zum Interpretieren von Roh-Images, deren Segmente aus 4 Ziffern bestehende Dateinamenserweiterungen aufweisen (.0001, .0002, ...), zusätzlich zur konventionellen Benennung mit 3 Ziffern.
Bisher war es nur dann möglich, VMKDs zu öffnen, wenn deren Name im VMDK-Descriptor korrekt hinterlegt war. Für einzelne VMKD-Dateien hatte dies den Effekt, daß sie nach Umbenennung nicht mehr geöffnet werden konnten, wenn nicht auch der interne Descriptor entsprechend angepaßt wurde. Dies ist weiterhin erforderlich für VMDKs, die aus mehreren Teilen bestehen (die Namen der weiteren Teile müssen intern korrekt angegeben sein), aber nun nicht mehr für VMKDs, die nur aus einem einzigen Teil bestehen, und für den ersten Teil von mehrteiligen VMKDs.

Dateiformat-Unterstützung

Extraktion von deutlich mehr schön formatierten Daten als vorher aus der main.db-Datenbank von Skype, darunter Anrufe, versendete Kurznachrichten (SMS) und Chats.
Holt individuellle Cookie-Dateien hervor, die in SQLite-Datenbanken von Firefox und Chrome eingebettet sind, als Unterobjekte im Datei-Überblick, zusätzlich zu der im TSV-Format präsentierten Cookie-Übersicht, die die Metadaten-Extraktion bereitstellen kann. Die Metadaten-Spalte listet Pfad, Host und Ablaufdatum für jede Cookie-Datei einzeln auf.
Gibt Zeitstempel von SQLite-Datenbanken von Internet-Browsern als Ereignisse aus.
Option zum Hinzufügen weiterer Windows-Registry-Ereignisse zur Ereignisliste beim Erzeugen von Registry-Berichten. Diese Ereignisse hängen von den ausgewählten Berichtsdefinitionen ab und sind viel spezifischer als die eher allgemeinen Registry-Hive-Ereignisse (die zumeist vom Typ "Key changed" sind).
X-Ways Forensics holt nun jede Art von Dateien in PDF-Dokumenten hervor, die als eingebettet markiert sind. Das können z. B. Office-Dokumente sein, Videos oder Flash-Dateien. Diese können z. B. in Form von sog. Anhängen (Attachments) eingebettet sein. JPEG-Bilder werden wie zuvor extrahiert. Zusätzlich werden Acrobat Formular-Dateien im XML-Format und JavaScript-Objekte extrahiert. Basierend auf den JavaScript-Dateien fällt es leichter zu einzuschätzen, ob bestimmte PDF-Dokument als Malware einzustufen sind. Wenn JavaScript in einem Dokument gefunden wird, werden Sie darüber mittels eines neuen Metadaten-Felds namens "JavaScript" in Kenntnis gesetzt. Geschützte PDF-Dokumente werden noch nicht verarbeitet. Neu ist auch die Fähigkeit zum Hervorholen von JPEG-2000-Bildern aus PDF-Dokumenten.
PDF-Metadaten-Extraktion überarbeitet.
Die neuen Extraktionsmethoden für MBOX und DBX wurden aktualisiert, so daß sie ebenfalls schlanke .eml-Dateien ohne eingebettete Datei-Anhänge generieren.
Verbesserte Dateityp-Prüfung für verschlüsselte Dokumente von MS Office 2007/2010.
Fehler bei der Konvertierung von Intel Hex nach Binär behoben.

Bedienbarkeit

Beim Wiederherstellen der letzten Fensteranordnung zum Zeitpunkt des Programmstarts zeigt X-Ways Forensics jetzt auch eine zuletzt offen gelassene Suchtrefferliste oder Ereignisliste automatisch erneut an und wählt den zuletzt angeklickten Suchtreffer bzw. das zuletzt angeklickte Ereignis automatisch wieder aus, so daß Sie Ihre Auswertung von Suchtrefferlisten und Ereignislisten genau dort fortsetzen können, wo Sie sie unterbrochen haben, auch im Asservat-Überblick.
Möglichkeit, das Schreiben der copylog-Datei direkt im Dialogfenster des Wiederherstellen/Kopieren-Befehls ein- oder auszuschalten und zu konfigurieren. Daß dieses Protokoll im _log-Unterverzeichnis des Falls geschrieben wird, ist nun optional. Es kann nun auch zusammen mit den kopierten Dateien in demselben Ausgabeordner abgelegt werden. Das ist bequemer, wenn Sie die copylog-Datei an andere mit dem Fall befaßte Personen weitergeben möchten.
Nach dem Erkunden eines Objekts von einer rekursiven Liste aus wird der obligatorische ".."-Eintrag aus Gründen der Bequemlichkeit nun in Form eines "Zurück"-Pfeils angeboten, der die Rückkehr zur vorher sichtbaren rekursiven Liste erlaubt, genau wie der Zurück-Schalter in der Symbolleiste. D. h. das doppelte Anklicken dieses Eintrags navigiert nicht mehr zum übergeordneten Verzeichnis des erkundeten Objekts, denn meist möchte man gar nicht dorthin. Wenn Sie in einigen seltenen Situationen doch dorthin navigieren möchten, können Sie das weiterhin über das Untermenü Navigation des Verzeichnis-Browser-Kontextmenüs erreichen oder durch Drücken der Rücksetz-Taste auf der Tastatur.
Suchtreffer zu GREP-Ausdrücken können nun in Dokumenten im Vorschau-Modus genau wie normale Suchtreffer hervorgehoben werden, sofern die Viewer-Komponente sie finden kann (nicht wenn der Suchtreffer z. B. in den Metadaten des Dokuments enthalten ist, die die Viewer-Komponente im Vorschau-Modus nicht darstellt).
Beim Drucken von Dateien mit Deckblatt ist die von X-Ways Forensics ausgegebene Kopfzeile, die den Namen des Benutzers und das zum Ausdruck verwendete Programm mit Versionsnummer angibt, nun optional. Nützlich, wenn Zeugen oder der Beschuldigte das Deckblatt zu sehen bekommen und den Benutzernamen des Ermittlers/Sachbearbeiters nicht erfahren sollen.

Installation

Aus historischen Gründen haben lizenzierte Benutzer von X-Ways Forensics immer auch die Option gehabt, eine spezielle winhex.exe-Datei statt xwforensics.exe auszuführen. Diese spezielle WinHex-Version ist vom Funktionsumfang her das non plus ultra. Sie vereinigt die volle Palette forensischer Features von X-Ways Forensics mit den Sektoreditiermöglichkeiten und sicheren Datenlöschfunktionen von WinHex, wie z. B. von WinHex mit professioneller oder Specialist-Lizenz her bekannt. X-Ways Forensics selbst als reines forensisches Auswerteprogramm hat das Editieren von Daten in Datenträgersektoren oder interpretierten Images nie erlaubt, genauso wenig wie das sichere Löschen von Dateien, von freiem Laufwerksspeicher usw.

Über 1 Jahr lang haben lizenzierte Benutzer von X-Ways Forensics sogar vier verschiedene .exe-Dateien erhalten, X-Ways Forensics und WinHex, jeweils in einer 32-Bit- und 64-Bit-Fassung. Zur Vermeidung der komplexen, ineffizienten und unnötigen Verwaltung verschiedener .exe-Dateien die zu 99,9% identisch sind, und um Downloads mehr als 25% kleiner zu machen sowie um das Risiko von Kollisionen verschiedener Versionen im selben Verzeichnis zur gleichen Zeit zu reduzieren, werden neuerdings keine WinHex-.exe-Dateien zusätzlich zu X-Ways Forensics verteilt. In v17.1 können Benutzer von X-Ways Forensics nun einfach die ausführbare Programmdatei xwforensics.exe kopieren und die Kopie winhex.exe nennen (bzw. für die 64-Bit-Edition xwforensics64.exe kopieren und die Kopie winhex64.exe nennen), um WinHex zu bekommen. Oder das Setup-Programm verwenden, da dies im Zielverzeichnis harte Verweise mit diesen zusätzlichen Namen anlegt. Oder Sie können selbst solche harten Verweise erzeugen statt die Dateien zu kopieren, z. B. mit dem Befehl Extras | Datei-Tools | Verhardlinken, denn normales Kopieren ist natürlich weniger cool. Wenn das Programm als *winhex*.exe ausgeführt wird, identifiziert es sich überall als WinHex (in der Benutzeroberfläche, im Fallbericht, im Fallprotokoll, in Beschreibungen von Datenträger-Sicherungen und in allen Bildschirmfotos) und verhält sich genau wie die seit vielen Jahren bekannte spezielle WinHex-Version, wohingegen dasselbe Programm ohne "WinHex" im Dateinamen als X-Ways Forensics fungiert, ohne Datenträger-Editiermöglichkeit und ohne sichere Löschfunktionen.
Russische Übersetzung der Benutzeroberfläche verfügbar (zu ändern über Hilfe | Setup)..

Datenträger-Unterstützung

Es werden nun Nicht-Standard- (nicht Adaptec/JetStor-typsische) Parity-Start-Komponenten für RAID Level 6 mit Backward Parity unterstützt, wenn Sie intern RAIDs rekonstruieren, so wie in Synology-Hardware beobachtet wurde.
Unterstütztung von Backward Parity Dynamic für RAID Level 6, mit Standard oder Nicht-Standard-Parity-Start-Komponenten.
Unterstützt jetzt eine bestimmte LVM2-Partitionsauslegung, die vorher nicht als solche erkannt wurde.
Bessere Unterstützung von ungewöhnlich tief verschachtelten Unterverzeichnissen in Ext-Dateisystemen.
Leicht verbesserter Umgang mit Netzlaufwerken und Connector-Volumes von F-Response.

Diverses

Neuer Menübefehl Extras | Datei-Tools | Sparse kopieren. Kann eine ausgewählte Datei kopieren und dabei die spärlich mit Daten besetzte Natur einer NTFS-Sparse-Datei in der Zieldatei beibehalten. Das heißt z. B., wenn Sie eine 1 TB große Minimal-Datenträger-Sicherung, von der nur 100 MB an Daten alloziert sind, kopieren, ist dieser Vorgang praktisch sofort abgeschlossen, weil nur 100 MB von 1 TB Daten kopiert zu werden brauchen. Konventionelle Kopierfunktionen behalten die Sparse-Eigenschaft einer Datei nicht bei, sondern kopieren die Datenmenge, wie sie von der nominellen Größe er Datei angegeben wird, auch wenn intern die meisten Daten nicht alloziert sind und nur virtuell als binäre Nullen gelesen werden.
Möglichkeit, die in WinHex erkannte Sektorgröße von physischen Festplatten zu ändern, über Extras | Disk-Tools | Plattenparameter eingeben. Denken Sie daran, daß Sie gleichzeitig auch die Gesamtzahl der Sektoren anpassen sollten. Wenn Sie z. B. die erkannte Sektorgröße von 512 Bytes auf 4 KB ändern (d. h. mit 8 multiplizieren), dann müssen Sie auch die Sektoranzahl durch 8 dividieren, um die insgesamt erkannte Plattenkapazität beizubehalten (in der Annahme, daß diese korrekt war).
Ausgabe von mehr Informationen über Ausnahmesituationen in der error.log-Datei.
Viele kleinere Verbesserungen und kleinere Reparaturen.
PDF-Nutzerhandbuch und Programmhilfe überarbeitet und aktualisiert für v17.1 auf Deutsch und Englisch.

Änderungen der Service-Releases von v17.0:

SR-1: Extraktion von Bildern aus .xls-Dokumenten unterstützt.
SR-1: Verbesserte E-Mail-Extraktion aus Exchange EDB.
SR-1: Ein seltener Ausnahmefehler wurde behoben, der beim Öffnen von FAT-Dateisystemen mit einem bestimmten Layout auftreten konnte.
SR-1: v17.0 hat die Metadaten aus Windows.edb nicht auf die aus thumbcache* extrahierten Miniaturansichten angewandt. Das wurde korrigiert.
SR-1: Ein Ausnahmefehler wurde behoben, der beim Extrahieren von größeren Mengen von E-Mails und eingebetteter Dateien auftreten konnte.
SR-1: Ein Ausnahmefehler wurde behoben, der beim Extrahieren von Ereignissen aus Hive-Fragmenten der Windows-Registry auftreten konnte.
SR-1: Die Optionen zum Ausschluß von JAR, APK, IPA usw. aus der Erkundung von Archiven funktionierte in v17.0 nicht verläßlich. Das wurde korrigiert.
SR-1: Beim Konvertieren von Datei-Überblicken des alten Formats von v16.9 und älter empfiehlt X-Ways Forensics jetzt eindringlich, vorher ein Backup des Falls mit allen Unterverzeichnissen anzulegen, da offenbar einige Konversionen nicht erfolgreich sind..
SR-2: Alle Operationen mit EDB-Datenbank-Dateien funktionieren nun auch unter Windows 8.
SR-2: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn man erst eingebettete Daten in diversen Dateien hervorholen ließ und anschließend in derselben Sitzung eine Parallele Suche startete.
SR-2: Auswahlfehler für mehr als 5 Typgruppen im Filterdialog der Spalte Typ-Status behoben.
SR-2: Möglichkeit, einen Netzwerk-Dongle in einen "reinen" Netzwerk-Dongle zu verwandeln, der selbst beim lokalen Anschluß nur über die Netzwerk-Schnittstelle verwendet werden kann, was wie im Netzwerk-Dongle-Paket beschrieben erzwungen werden kann.
SR-3: Gründlichere Auswertung von Schattenkopien.
SR-3: "Fehler beim Öffnen von ...\External" beim Verarbeiten von PLists vermieden.
SR-3: v17.0 hat die Inhalte von Archiven nicht immer automatisch in den Datei-Überblick aufgenommen, wenn diese falsch benannt waren. Das wurde korrigiert.
SR-4: Zwingt MPlayer zur Verwendung des Verzeichnisses für temporäre Dateien für den Export von Standbildern aus Videos.
SR-4: Kann denselben Dongle auf demselben Rechner gemeinsam mit Instanzen von v16.5 SR-14, v16.6 SR-11, v16.7 SR-11, v16.8 SR-11, v16.9 SR-6 (aber nicht älteren Releases) und v17.1 nutzen, wenn vom selben Benutzer ausgeführt.
SR-4: Konsistentere Behandlung von Mülldaten, wo Zeitstempel erwartet wurde.
SR-5: Beim Erzeugen von Berichtstabellen-Verknüpfungen für übergeordnete Datei der ausgewählten Datei, wenn das direkt übergeordnete Objekt keine Datei war, aber ein weiter oben in der Hierarchie angeordnetes Objekt, dann wird diese nächsthöhere Datei der Berichtstabelle zugeordnet. Beispiel: XML-Datei in einem Verzeichnis innerhalb eines Office-Dokuments im ZIP-Format.
SR-5: Eine Fehlermeldung wurde vermieden, die auftrat, wenn man keine .xfc-Backup-Dateien erstellen ließ.
SR-5: Eine seltene Fehlermeldung wurde verhindert, die beim Verarbeiten leerer E-Mails in ungewöhnlich benannten Verzeichnissen in PST-E-Mail-Archiven von Outlook auftreten konnte.
SR-5: Ein seltener Fehler wurde behoben, der im Zusammenhang mit defekten FAT32-Boot-Bereichen auftreten konnteareas.
SR-5: XFS-Unterstützung verbessert, so daß bestimmte defekte Dateisystem-Daten, die sonst Probleme bereiten konnten, als solche erkannt und ignoriert werden.
SR-6: Nichtdeterministische Fehlermeldung "The specified resource name is not found in an image file" bei Nutzung der chinesischen oder japanischen Benutzeroberfläche vermieden.
SR-6: Einige der Optionsfelder in den Optionen des Fallberichts verhielten sich nicht so wie beabsichtigt. Das wurde korrigiert.
SR-6: Der Export von Berichtstabellen-Verknüpfungen für mehrere ausgewählte Asservate war u. U. unvollständig, wenn eins der ausgewählten Asservate keine Berichtstabellen-Verknüpfungen aufwies. Dies wurde behoben.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer

Wettbewerb ist normal und gesund. Die Vorstellung, daß einem Unternehmen das alleinige Recht auf abgerundete Rechtecke und bestimmte Fingerbewegungen zusteht, ist absurd. Meiden Sie Produkte der Firma, die mit ihren Anwälten rücksichtslos gegen jeden vorgeht, der nicht bei 3 auf den Bäumen ist, z. B. gegen eine Café-Besitzerin in Bonn und den brasilianischen Schöpfer des Wortes "iphone". Danke.

#132: WinHex, X-Ways Forensics und X-Ways Investigator 17.0 veröffentlicht

27. März 2013

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten neue Features, die Version 17.0.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Schulungen

Köln, 8.-11. Apr. 2013 (X-Ways Forensics, ausgebucht)
Köln, 3.-6. Juni 2013 (Speicherforensik, FAT, exFAT, NTFS, XWFS2, Ext2/3/4, XFS)
Weitere Informationen

Was ist neu in v16.7?

(Beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Netzwerk-Dongle

Fähigkeit, X-Ways Forensics 17.0 und folgende Versionen (auch v16.9 SR-4 und v16.8 SR-10) mit Netzwerk-Dongles zu verwenden. Netzwerk-Dongles sind ab jetzt optional anstellen von normalen Dongles erhältlich. Ein einzelner Netzwerk-Dongle kann x Lizenzen repräsentieren und x normale Dongles ersetzen und es den Benutzern ermöglichen, X-Ways Forensics auf x Rechnern im selben Netzwerk gleichzeitig laufen zu lassen. Der Netzwerk-Dongle wird an einen beliebigen Rechner im Netzwerk angeschlossen und den Client-Systemen durch ein Dongle-Server-Programm oder einen -Service zur Verfügung gestellt. Falls ein Client-System mehrere Netzwerk-Dongles findet, kann der Nutzer einen davon beim Start von X-Ways Forensics auswählen. Falls einer dieser Dongles bereits vollständig verwendet ist hinsichtlich der Anzahl Lizenzen, die er repräsentiert, kann der Nutzer dies sehen und einen anderen Dongle wählen. Praktischerweise kann ein Netzwerk-Dongle auch lokal wie ein gewöhnlicher Dongle oder ein Multi-User-Dongle verwendet werden, wenn nötig!

Sie haben die Wahl, neue Lizenzen mit einem Netzwerk-Dongle statt normaler Dongles zu bestellen, abhängig von der Anzahl Lizenzen entweder umsonst oder gegen einen Aufpreis. Wenn Sie bereits viele Lizenzen besitzen, können wir Ihnen anbieten, viele oder alle Ihrer existierenden normalen Dongles gegen einen einzelnen Netzwerk-Dongle einzutauschen. Viele weitere Informationen zu Dongles im allgemeinen und Netzwerk-Dongles im Besonderen finden Sie auf http://www.x-ways.net/forensics/dongle-d.html#types.

Dateisystem-Unterstützung

In neu erzeugten Datei-Überblicken von HFS+-Volumes mit harten Verweisen können Sie solche Dateien jetzt direkt einsehen und müssen die zugehörige sogenannte indirekte Knoten-Datei nicht mehr manuell aufsuchen (diejenige, deren Name die iNode-Nummer enthält, die in der Kommentar-Spalte angegeben ist).
Neu erzeugte Datei-Überblicke unterstützen jetzt ein neues Konzept: "zugehöriger" Dateien; die miteinander verwandt sind auf andere Weise als Eltern-Kind- und Geschwister-Beziehungen. Die zugehörige Datei für harte Verweise in HFS+ zum Beispiel ist die entsprechende indirekte Knoten-Datei. Die zugehörige Datei für Dateien, die in Schattenkopien in NTFS gefunden wurden, ist die Schattenkopie-Trägerdatei. Die zugehörige Datei für eine Schattenkopie-Trägerdatei ist die zugehörige Snapshot-Properties-Datei (in der Typ-Spalte als "snapprop" bezeichnet). Weitere Arten von n:1-Beziehungen sind in zukünftigen Versionen vorstellbar. Dateien, für die eine zugehörige Datei definiert ist, werden links neben in ihrem Icon mit einem kleinen blauen, nach unten zeigenden Pfeil versehen.
Ein neuer Befehl im Kontextmenü des Verzeichnis-Browsers (im Untermenü Navigation) erlaubt das bequeme Aufsuchen der zugehörigen Datei, falls eine solche für die ausgewählte Datei existiert. Sie können auch Umschalt+Rücksetztaste drücken, um zur verwandten Datei zu navigieren. Dies ist analog zum alleinigen Betätigen der Rücksetztaste, was zur Eltern-Datei bzw. -Verzeichnis navigiert.
Für Dateien, die von v17.0 und später in Schattenkopien gefunden werden, zeigt die Attr.-Spalte jetzt die fortlaufende Nummer des Snapshots an, in dem diese gefunden wurden, wie von der Snapshot-Properties-Datei angezeigt.
Vermeidet weitere bedeutungslose identischen Spuren von Dateien, die in Schattenkopien gefunden werden.
In neu erzeugten Datei-Überblicken von NTFS-Volumes erhalten Dateien mit harten Verweisen jetzt eine Sonderbehandlung. Ein zusätzlicher harter Verweis, der lediglich einen kurzen Dateinamen bereitstellt, um die 8.3-Bedingungen alter Microsoft DOS/Windows-Versionen zu erfüllen, wird nicht mehr als Verweis gezählt. Stattdessen wird für solche Dateien ihre Verweis-Zählung in der Verweise-Spalte des Verzeichnis-Browsers mit einem ° markiert. Auf diese Art repräsentiert die Verweis-Zählung besser die tatsächlich im Datei-Überblick von X-Ways Forensics vorhandenen harten Verweise, und normale Dateien haben immer einen Wert 1, während 2 oder mehr wirklich eine Besonderheit bedeutet.
Ein Filter für die ID-Spalte ist jetzt verfügbar, mit dem bequem andere harte Verweise einer gegebenen Datei ermittelt werden können (außer in HFS+).
Wenn eine Datei mit harten Verweisen in Dateisystemen mit direkter Unterstützung für harte Verweise (nicht HFS+) eingesehen wird, werden die anderen harten Verweise optional jetzt ebenfalls zugleich als bereits eingesehen markiert, wie von früheren Versionen bekannt für Duplikate laut Hash.
Wenn eine Berichtstabellen-Verknüpfung gleichzeitig auch für Duplikate der ausgewählten Dateien erzeugt wird, schließt dies jetzt auch die anderen harten Verweise derselben Datei mit ein (außer in HFS+).
Unterstützung von tiefer verschachtelten Unterverzeichnissen in Ext*-Dateisystemen.

Suchfunktionen

In neu erzeugten Datei-Überblicken von NTFS-Volumes können alle "echten" harten Verweise (d. h. alle außer kurze Dateinamen) bis auf einen bequem von der logischen Suche und der Indexierung ausgeschlossen werden. Heutzutage finden sich in Windows-Installationen oft zwischen 10.000 und 100.000 harte Verweise von Systemdateien, zum Beispiel 27 Verweise auf eine Datei wie "Ph3xIB64MV.dll" in Verzeichnissen wie etwa
\Windows\System32\DriverStore\FileRepository\ph3xibc9.inf_amd64_neutral_ff3a566e4...
\Windows\System32\DriverStore\FileRepository\ph3xibc2.inf_amd64_neutral_7621f5d6...
\Windows\System32\DriverStore\FileRepository\ph3xibc5.inf_amd64_neutral_2270382...
\Windows\winsxs\amd64_ph3xibc9.inf_31bf3856ad364e35_6.1.7600.16385_none_a0a...
\Windows\winsxs\amd64_ph3xibc5.inf_31bf3856ad364e35_6.1.7600.16385_none_9e7...
\Windows\winsxs\amd64_ph3xibc12.inf_31bf3856ad364e35_6.1.7600.16385_none_64...
etc. etc.
Indem man nur einen Verweis einer Datei durchsucht, kann man typischerweise mehrere GB an doppelten Daten ausschließen und verpaßt dennoch nichts, wenn man alle anderen Dateien durchsucht. Die zusätzlichen harten Verweise, die ausgeschlossen werden, werden in der Spalte Verweise mit einem Stern (*) markiert. Suchtreffer im einzigen Verweis, der durchsucht wurde, werden mit dem Hinweis "-> Verweise" in der Spalte Anmerk. versehen, um Sie an die anderen harten Verweise derselben Datei zu erinnern, falls diese Suchtreffer relevant sind.
Unterstützung für eine weitere künstlich definierte Codepage, die es ermöglicht, UTF-16-Text zu suchen und zu lesen, der von MS Outlook in sogenannter komprimierbarer Verschlüsselung kodiert ist.
Es ist jetzt möglich in bis zu sechs Codepages gleichzeitig suchen oder indexieren zu lassen.
Die bereits früher unterstützte künstliche nicht-Unicode-Codepage für MS Outlook komprimierbare Verschlüsselung arbeitet jetzt auf der Basis einer nutzerdefinierten Codepage (standardmäßig identisch mit derjenigen, die in Ihrem Windows-System für Nicht-Unicode-Anwendungen aktiv ist), nicht nur Latin 1. Unter Umständen wichtig für Sprachen, die nicht westeuropäisch sind. Outlook verwendet die Windows-System-Codepage in seiner alten, nicht-Unicode-fähigen Variante von PST.
PST- und OST-Dateien werden von der logischen Suche und der Indexierung jetzt nicht mehr ausgeschlossen, wenn die empfehlenswerte Datenreduktion aktiv ist und E-Mails und andere Outlook-Daten daraus extrahiert wurden, dafür aber MBOX.
Suchtreffer in allen Varianten von UTF-16, die nicht an geradzahligen Offsets ausgerichtet sind, werden in der Anmerk.-Spalte als "unaligned" gekennzeichnet, als kleiner Hinweis und Erklärung, warum Sie den Text nur in der die Ausrichtung beachtenden Kontext-Vorschau der Suchtreffer-Spalte lesen können, aber nicht in der Text-Spalte.
Logische Suchen decken jetzt auch ganz speziell den Übergangsbereich zwischen nicht-initialisierten (aber physisch allokierten) Bereichen von Dateien zu unmittelbar folgendem freien Speicher ab, falls die Option "Übergang Dateischlupf/freier Speicher" aktiv ist.
Fähigkeit, eine logische Suche in ausgewählten Dateien über das Kontextmenü des Verzeichnis-Browsers aus dem Asservat-Überblick zu starten.

Dateiformat-Unterstützung

Die Funktion "Eingebettete Daten aus diversen Dateitypen hervorholen" verwendet einige spezielle Algorithmen für bestimmte Dateitypen (Windows.edb, thumbs.db, PLists) und Datei-Header-Suche auf Byte-Ebene für alle anderen Host-Dateien. Diese Header-Suche war in früheren Versionen auf eingebettete JPEG- und PNG-Dateien beschränkt (+EMF in mehrseitigen .spl Druck-Spooler-Dateien). Jetzt wird nach allen Dateitypen gesucht, deren Definition in der Datei "File Type Signatures Search.txt" einen Tilde-Algorithmus (~) besitzt und mit dem neuen Flag "e" (für "eingebettet") markiert ist. Ein sehr gutes Beispiel dieser neuen Flexibilität sind .lnk-Verknüpfungen, die jetzt in customdestinations-ms Jumplists gesucht werden.
Spezielle Extraktion von Objekten (Bilder und andere), die in OLE2-Verbunddateien wie MS Word .doc und MS PowerPoint .ppt eingebettet sind, in denen zuvor nur JPEG und PNG gefunden wurden, und dies nur durch gewöhnliche Datei-Header-Suche. Eingebettete Bilder werden jetzt oft mit ihrem Originalnamen oder ihrer Benennung im Dokument ausgegeben und werden korrekt extrahiert, selbst wenn sie innerhalb der OLE2-Verbunddatei fragmentiert gespeichert sind.
Das Aufnehmen der Inhalte von 5 üblicherweise eher irrelevanten Zip-Untertypen ist beim Erweitern des Datei-Überblicks jetzt optional, statt wie bisher nur JAR.
Das Erkunden Zip-basierter Office-Dokumente wie die von MS Office 2007/2010, LibreOffice, OpenOffice, iWork ist jetzt ebenfalls optional bei der Erweiterung des Datei-Überblicks. Nützlich, wenn Sie oder die Empfänger von Datei-Containern, die Sie erzeugen, die Dokumente nur als Ganzes sehen wollen, ohne die eingebetteten Bilder oder XML-Dateien separat, und aus diesen XML-Dateien keine Metadaten extrahieren müssen und verschachtelte Dokumente (Dokumente in anderen Dokumenten eingebettet) selbst erkennen können.
Die Unterstützung für binäre PLists wurde um die Behandlung des undokumentierten Datentyps CF$UID ergänzt.
Unterstützung in der Datei-Header-Suche für "Gatherer Transaction Log".
Spezielle Unterstützung für Header-Suche nach Thumbcache-Fragmenten (CMMM-Records) auf der Byte-Ebene.
Die ungefähre Auflösung von Videos wird jetzt in der Pixel-Spalte angezeigt, nachdem zumindest ein Video-Einzelbild extrahiert wurde.
Die Option, Objekte in Registry-Hive-Dateien rekursiv anzuzeigen, wurde entfernt.

Datenträger-Unterstützung, Datenträger-Sicherung

Der Technische Detailbericht prüft jetzt auf bestimmte Lese-Inkonsistenzen, die mit Flash-Datenträgern (zum Beispiel bei bestimmten USB-Stick-Marken/-Modellen, aber nicht bei anderen) in Bereichen auftreten können, die noch nie beschrieben/verwendet wurden, wo die Daten undefiniert sind. Daten, die aus solchen Bereichen gelesen werden, beispielsweise bei der Erstellung einer Datenträger-Sicherung, können von der Menge an Daten abhängen, die mit einem einzelnen Lesebefehl auf einmal gelesen werden. Das Ergebnis wird im Bericht erwähnt. Wenn solche Inkonsistenzen erkannt werden ("Inconsistent read results!" im Bericht), werden Sie ein Meldungsfenster sehen, das anbietet, die Sektoren aus diesem Datenträger in kleineren Einheiten zu lesen, solange er offen ist, was vermutlich die erwarteten Nullen als Byte-Werte produziert, anstelle eines nicht aus Nullen bestehenden Datenmusters, das nach Zufallswerten aussieht, wenn man solche Bereiche liest. Die Nutzung dieser Option ergibt nicht korrektere oder echtere Daten (undefiniert ist undefiniert, was nicht dasselbe ist wie mit Nullen überschrieben), oder Daten, die mehr oder weniger Beweismaterial enthalten, es kann lediglich einen erheblichen Einfluß auf die zu erzielende Kompressionsrate haben und auf die Reproduzierbarkeit von Hash-Werten mit anderen Anwendungen, die möglicherweise in anderen Größeneinheiten lesen und so unterschiedliche Daten und Hash-Werte erzeugen. Bitte beachten Sie, daß Inkonsistenzen auftreten können, die X-Ways Forensics nicht erkennt, da eine vollständige Prüfung sehr langsam wäre. Wie gesagt, diese Inkonsistenzen sind nicht fatal und kein Software-Fehler, und sie können erklärt werden. Bedeutet das, daß Sie vor der Datenträger-Sicherung Specialist | Technischer Detailbericht aufrufen sollten? Nein, der Bericht wird am Anfang einer Sicherung automatisch erzeugt.
Seit v16.3 ist es möglich, ein RAID-System Level 5EE durch Auswahl einer kompatiblen Variante von Level 6 zusammenzusetzen. Jetzt ist es auch möglich, RAID-Systeme 5EE explizit auszuwählen und diese auch dann zu rekonstruieren, wenn eine zugehörige Festplatte fehlt. RAID 5EE wird mit Forward und Backward Parity unterstützt.
Fähigkeit anzugeben, wie viele Extra-Threads bei der Erzeugung von .e01-Evidence-Files verwendet werden sollen, wenn man den winzigen Schalter in der unteren rechten Ecke des Dialogfensters Datenträger-Sicherung anklickt. Standardmäßig verwendet X-Ways Forensics nicht mehr als vier und macht das abhängig von der Anzahl der Rechner-Kerne in Ihrem System, aber Sie können normalerweise problemlos versuchen, dies auf bis zu 8 oder auf sehr leistungsfähigen Systemen mit sehr vielen Kernen auch auf 16 zu erhöhen, um die Geschwindigkeit eventuell noch weiter zu erhöhen.
Erkennung von dynamischen Volumes von Windows größer als 2 TB auf GPT-LDM-partitionierten Datenträgern.

Herangehensweise

Fähigkeit, Dateitypen einen Rang basierend auf deren Bedeutung/Relevanz zuzuweisen und mittels Typ-Status-Filter nach diesem Rang zu filtern. Das Herausfiltern von Dateitypen mit Rang 0 oder 1 wird Schriftart-Dateien, Mauszeiger, Icons, Themes, Skins, Clip-Arts, etc. ausschließen. Dateien mit einem niedrigen Rang sind nur in sehr spezifischen Ermittlungen von Bedeutung, wie etwa Quellcode, an dem Sie beispielsweise auf der Suche nach Office-Dokumenten oder Bildern nicht interessiert wären, aber vielleicht schon, wenn Sie einen Viren-Programmierer suchen. Dateitypen mit höherem Rang sind in mehr Fällen von Bedeutung. Grundsätzlich ist der Rang in einfachen Situationen hilfreich, wo Sie erwarten, was Sie suchen, in gemeinhin bekannten Dateitypen zu finden. Eine andere Idee könnte sein, sich anzugewöhnen, nur Dateien höheren Rangs zu indexieren.
Fähigkeit, Dateitypen einer sogenannten Gruppe zuzuordnen, ein neues Konzept, das nicht identisch mit Dateityp-Kategorien ist. Nützlich zum Beispiel, wenn es Ihre Standard-Vorgehensweise ist, Ermittler A Bilder und Videos auswerten zu lassen, Ermittler B Dokumente, E-Mails und andere Internet-Aktivitäten und Ermittler C verschiedene Formen von Betriebssystem-Dateien, basierend auf deren jeweiligen Spezialisierungen. Sie können diesen Gruppen aussagekräftige Namen geben und nach ihnen filtern, ebenfalls mittels Typ-Status-Filter. Die Gruppen werden im Typ-Filter angezeigt.
Die neuen Festlegungen werden alle in der Datei "File Type Categories.txt" gemacht. Existierende Dateien dieser Art werden auch weiterhin verwendbar bleiben. Vorschläge für Rang sind in der neuen Standard-Datei bereits angelegt. Sowohl Rang (von 0 bis 9, wobei ein fehlender Rang 0 bedeutet) und Gruppen (Buchstaben von A bis Z) können nach einem Tabulatorzeichen am Ende der Zeile optional definiert werden, in beliebiger Reihenfolge, zum Beispiel als "2P" oder "DI3". So sind bis zu 10 Rang-Ebenen (aber es ist nicht erforderlich, die Bandbreite vollständig zu nutzen) und bis zu 26 Gruppen (und Sie müssen nicht alphabetisch anfangen, Groß-/Kleinschreibung wird ignoriert) möglich. Sie können auch Rang und Gruppen für eine ganze Kategorie auf einmal festlegen, nach einem Tabulatorzeichen in einer Kategorie-Zeile. Um einer Gruppe einen aussagekräftigeren Namen zu geben als nur einen Buchstaben, fügen Sie Gruppen-Definitions-Zeilen am Ende der Textdatei ein, die mit einem Gleichheitszeichen beginnen, z.B.
=P=Photos und Videos für Bildauswertung
=D=Dokumente, E-Mails und Internet
=I=Dateitypen für Indexierung

Ereignis-Analyse

Ereignis-Extraktion aus gecarvten Fragmenten von Gatherer Transaction Logs (.gthr2) und existierenden .NTfy.gthr Dateien und mehreren anderen Dateitypen. Dies ist eine Übersicht der Dateiformate, aus denen derzeit Ereignisse extrahiert werden:
.firefox (~55) Fragmente
_CACHE_001_ und _CACHE_002_
.lnk Verknüpfungen
.automaticDestination-ms
.chrome Chromium cache data_1, data_2
.usnjrnl Fragmente
Registry-Hives
.hbin Registry-Hive-Fragmente
.doc (zuletzt gedruckt)
.msg
rp.log XP-Wiederherstellungspunkt
INFO2 XP-Papierkorb
.recycler Vista-Papierkorb
.snapprop Vista Snapshot-Properties
.cookie
.gthr;.gthr2 Gatherer und Gatherer-Fragmente
.pf Prefetch
JPEG GPS
OLE2 letzte Änderung
Mehrere Ereignisse haben jetzt individuelle Beschreibungen, zum Beispiele Ereignisse in der Windows Registry und in index.dat-Dateien des Internet Explorer.
Ein Filter für die Ereignis-Typ-Spalte ist jetzt verfügbar.

Installation/Administration

Benutzerspezifische Konfigurationen werden jetzt im Nutzerprofil von Windows gespeichert, in einem Unterverzeichnis von \AppData\Local\X-Ways. Die Konfiguration wird jetzt automatisch benutzerspezifisch, wenn X-Ways Forensics ohne Administrator-Rechte aus einem Verzeichnis auf dem C:-Laufwerk gestartet wird, in dem der Nutzer keinen Schreibzugriff hat, wie etwa C:\Programme. Sonst läuft X-Ways Forensics weiterhin mit einer nicht-benutzerspezifischen Konfiguration, damit es eine portable Anwendung bleibt und nicht unnötig Änderungen in laufenden Systemen vornimmt, die Sie einsehen möchten (Triage). Weitere Details finden Sie auf http://www.x-ways.net/winhex/setup-d.html. Ob eine benutzerspezifische Konfiguration verwendet wird oder nicht (und falls ja, aus welchem Grund und wo diese gespeichert ist) kann im Fenster Hilfe | Info nachgesehen werden. Der Grund kann sein "necessarily" (notwendigerweise), falls im Installationsverzeichnis kein Schreibzugriff besteht, oder "forced" (erzwungen), falls eine Datei namens winhex.user im Installationsverzeichnis gefunden wird, oder "for this user" (für diesen Nutzer), falls der Nutzer bereits eine individuelle Konfiguration besitzt, aus einem der anderen beiden Gründe. Die inkonsistente Verwendung von Unterverzeichnissen in Virtual Store wird jetzt vermieden.

Bedienbarkeit

Fähigkeit, den Datei-Überblick nur für ausgewählte Dateien zu erweitern, über das Kontextmenü des Verzeichnis-Browsers.
Fähigkeit, die meisten Filter- und alle Sortier-Einstellungen im aktiven Fall zu speichern und automatisch wieder zu laden, wenn ein Fall geöffnet wird. Siehe Optionen | Verzeichnis-Browser.
Fähigkeit, Filter- und Sortier-Einstellungen in einer separaten Datei zu speichern und jederzeit wieder zu laden, durch Anklicken der Öffnen/Speichern-Icons am rechten Ende der Überschriftszeile des Verzeichnis-Browsers. Solche Dateien erhalten die Dateierweiterung ".settings".
Die ausgewählten Dateitypen des Typ-Filters werden jetzt ebenfalls optional im Fall gespeichert, wie andere Filter-Einstellungen. Beachten Sie, daß Kollisionen zwischen Dateityp-Bezeichnungen erkennbar werden, wenn die Auswahl für den Dateityp-Filter geladen wird. Wenn Sie beispielsweise ursprünglich "mmf" = "MailMessage File" (Kategorie E-Mail) ausgewählt hatten, dann werden Sie feststellen, dass "mmf" auch als "Yamaha SMAF" (Kategorie Sound/Music) ausgewählt ist. Dies ist normal und hat keinen Einfluß auf die Filter-Funktion. Im Zweifelsfall listet der Filter auch andere Typen mit derselben Bezeichnung, um auszuschließen, daß etwas übersehen wird.
Falls Sie entscheiden, den Verzeichnis-Browser beim Start zunächst nicht sortieren zu lassen, dann wird ab jetzt auch beim Abschalten aller Filter mit einem einzelnen Mausklick nicht sortiert, um Verzögerungen zu vermeiden, wenn plötzlich alle Dateien wieder rekursiv gelistet werden.
Strg+A funktioniert jetzt in allen Editierfeldern und allen Mehrfach-Auswahl-Listen in Dialogfenstern.
Die Prüfung auf Updates kann jetzt unter Hilfe | Online gefunden werden.
Fähigkeit, in den Filtern für ID und int. ID auf "Ungleichheit" filtern zu lassen. Nützlich falls das Erweitern des Datei-Überblicks abstürzen sollte mit einer Datei, die noch nicht Teil des Datei-Überblicks war, als er bei der Erweiterung zuletzt gespeichert wurde. In diesem Fall können Sie bei einem erneuten Versuch die problematische Datei im Voraus herausfiltern und auslassen anhand der zukuenftig zugewiesenen int. ID.
Neue Attr.-Filter-Option für andere virtuelle Dateien, was beispielsweise menschenlesbare HTML-Darstellungen für Internet-Browser-Datenbanken, Event-Logs, etc. enthält.
Aktivieren des Sync-Modus deaktiviert jetzt automatisch alle Filter, falls Filter den Verzeichnis-Browser daran hindern, die Datei anzuzeigen, die die aktuelle Cursor-Position im Partitions-/Volume-Modus enthält. Wie immer können Sie den Zurück-Schalter benutzen, um zur vorherigen Liste im Verzeichnis-Browser zurückzukehren, aber beachten Sie, daß dies nur funktioniert, wenn der Verzeichnis-Browser den Eingabe-Fokus besitzt, nicht die untere Hälfte des Datenfensters, wo Sie im Partitions-/Volume-Modus navigiert sind, wo mit den Zurück- und Vorwärts-Schaltern Sprünge von einem Offset zum nächsten rückgängig gemacht oder wiederholt werden können.

Verschiedenes

Die Werte der Pixel-Spalte werden nun in Datei-Containern des neuen Typs gespeichert.
Falls die Option, Unterobjekte gewählter Dateien wiederherzustellen/zu kopieren, halb gewählt ist, bedeutet dies, daß die einzigen Unterobjekte, die kopiert werden, E-Mail-Anhänge sind.
Beim Kopieren von Dateien oder Alternativen Datenströmen oder anderen Objekten, denen einige oder alle Zeitstempel fehlen, mit dem Befehl Wiederherstellen/Kopieren repräsentiert X-Ways Forensics den Umstand, dass ein Zeitstempel nicht verfügbar ist indem es den entsprechenden Zeitstempel der ausgegebenen Datei auf ~0 setzt (1. Jan. 1601 in NTFS). Dieses Verhalten existierte bereits in Versionen vor April 2012. Es kann vermieden werden, indem man die Umschalttaste drückt, wenn man im Dialog-Fenster auf OK klickt, beispielsweise falls Sie ein anderes Programm mit dieser Datei verwenden möchten, das Dateien mit solchen Zeitstempeln nicht öffnet (dies wurde für VLC berichtet).
Fähigkeit, Video-Einzelbilder verläßlich mit aktuellen Versionen von MPlayer zu extrahieren. MPlayer 1.1 zur Verwendung mit v17 wird jetzt als Download bereitgehalten.
Verzeichnis-Browser-Option, Datei-Markierung als Häkchen darzustellen.
Die Option "Dateigrößen immer in Bytes anzeigen" befindet sich jetzt in Optionen | Allgemein | Notation. Die Option zur alternativen .eml-Vorschau befindet sich jetzt in Optionen | Viewer-Programme.
Extras | Datei-Tools | Rekursiv Löschen kann jetzt automatisch Dateien löschen, für die Sie aktuell nicht das Recht haben, sie zu löschen (zum Beispiel, weil "Trusted Installer" der Eigentümer ist), aber für die Sie alle Rechte bekommen können (falls Sie WinHex mit Administrator-Rechten betreiben).
Der Mindest-Speicherverbrauch für geladene Datei-Überblicke wurde reduziert. Mehr Daten aus dem Datei-Überblick können jetzt optional für bessere Performanz im Speicher gehalten werden.
Kompaktere interne Organisation bestimmter Dateien im Datei-Überblick (extrahierte E-Mails, Video-Einzelbilder, virtuell angehängte Dateien).
Datei-Überblicke von v16.3 (veröffentlicht Oktober 2011) and später können importiert werden, von v15.8 (Oktober 2010) bis v16.2 ebenfalls, solange keine E-Mails von diesen Versionen extrahiert wurden. Ein inkompatibler Datei-Überblick wird erkannt und nicht konvertiert.
Speicherbedarf für Suchtreffer wurde um 17% reduziert. Ältere Versionen können Suchtrefferlisten nicht öffnen, die von v17.0 und späteren erzeugt werden.
Viele kleinere Verbesserungen.
PDF-Nutzerhandbuch und Programmhilfe überarbeitet und aktualisiert für v17.0 auf Deutsch und Englisch.

Änderungen der Service-Releases von v16.9:

SR-1: Fähigkeit, eine nutzerspezifische WinHex*.cfg Konfigurationsdatei zu erzwingen, indem eine leere Datei namens "winhex.user" im Installationsverzeichnis angelegt wird.
SR-1: Zwei Fehler im Befehl "Liste exportieren" für Ereignislisten wurden behoben.
SR-1: Die Spalten Absender und Empfänger werden jetzt auch für E-Mails befüllt, die aus MBOX- und DBX-E-Mail-Archiven mit der neuen Methode extrahiert werden.
SR-1: Die Unfähigkeit von X-Ways Investigator 16.9, Datenträger-Sicherungen/Container zu öffnen, wurde behoben.
SR-2: Mehr Tabellen werden aus bereits zuvor unterstützten SQLite-Datenbanken extrahiert.
SR-2: Chinesische Übersetzung der Benutzeroberfläche aktualisiert.
SR-2: Ein Ausnahmefehler wurde behoben, der beim Versuch auftreten konnte, gelöschte Verzeichniseinträge zu finden, bei der Erzeugung eines Datei-Überblicks in XFS-Volumes.
SR-2: Eine theoretisch mögliche Situation wurde vermieden, in der zufällige Zeichen an einen (ansonsten korrekten) Dateinamen in XFS angehängt hätten werden können.
SR-2: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn der Suchbegriffe-Filter aktiv war während ein Asservat geöffnet wurde, das Suchtreffer enthielt.
SR-2: Ein Ausnahmefehler wurde behoben, der beim Parsen von PLists unter bestimmten Umständen auftreten konnte.
SR-2: Ein seltener Ausnahmefehler wurde behoben, der beim Parsen von index.dat-Dateien auftreten konnte.
SR-2: Ein Verarbeitungsfehler für thumbcache*.db wurde behoben.
SR-2: Ein seltener Fehler in der SHA-256 Berechnung bei der Datenträger-Sicherung wurde behoben, der, falls er auftrat, bei der späteren Prüfung des Hash-Wertes entdeckt wurde.
SR-3: Die Flags u and U für die Datei-Header-Suche carven jetzt auch aus unpartitionierten Bereichen und Partitionen mit unbekanntem Dateisystem.
SR-3: Die neue Option für getrennte Druckaufträge hat nicht auf allen Systemen funktioniert. Jetzt behoben.
SR-3: Fähigkeit, die Online-Prüfung auf Updates jederzeit auszulösen.
SR-3: Die Darstellung in der Pfad-Spalte war in v16.9 abgeschnitten. Dies wurde behoben.
SR-3: Ein Hängenbleiben bei Verwendung des Befehls "Cluster auflisten" bei bestimmten Verzeichnissen in XFS wurde behoben.
SR-3: Ein Stabilitätsproblem in v16.9 beim Parsen von $UsnJrnl:$J wurde behoben.
SR-4: Fähigkeit, die neuen Netzwerk-Dongles zu verwenden, genau wie in v17.0.
SR-4: Dateisystem-Zeitstempel von Verzeichnissen werden jetzt ebenfalls als Ereignisse ausgegeben.
SR-4: Reguläre Ausdrücke mit \nnn, wobei \nnn eine Dezimalzahl darstellt, wurden in vorhergehenden Versionen nicht korrekt verarbeitet. Dies wurde korrigiert.
SR-5: .lnk-Verknüpfungen, die aus Jumplists extrahiert wurden, wurden intern fälschlich als E-Mail-Anhänge gekennzeichnet. Dies wurde korrigiert.
SR-5: Die Metadaten-Extraktion wurde nach einer neuen Installation nicht durchgeführt, bis die Unteroptionen einmal durch Klicken von OK bestätigt wurden. Dies wurde behoben.
SR-5: Ein Ausnahmefehler wurde vermieden, der beim Auswerten von Schattenkopien auftreten konnte.
SR-5: Verbesserte Kommunikation mit dem Netzwerk-Dongle-Server.

Wettbewerb ist normal und gesund. Die Vorstellung, daß einem Unternehmen das alleinige Recht auf abgerundete Rechtecke und bestimmte Fingerbewegungen zusteht, ist absurd. Meiden Sie Produkte der Firma, die mit ihren Anwälten rücksichtslos gegen jeden vorgeht, den sie als Hindernis ansieht, z. B. eine Café-Besitzerin in Bonn und den brasilianischen Schöpfer des Worts "iphone". Danke.

#131: WinHex, X-Ways Forensics und X-Ways Investigator 16.9 veröffentlicht

6. Januar 2013

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres beachtenswertes Update, die Version 16.9.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Schulungen

Köln, 25.-28. Feb. 2013 (X-Ways Forensics, ausgebucht)
Köln, 8.-11. Apr. 2013 (X-Ways Forensics)
Köln, 3.-6. Juni 2013 (Speicherforensik, FAT, exFAT, NTFS, XWFS2, Ext2/3/4, XFS)
Weitere Informationen

Herangehensweise

Beim Extrahieren von Metadaten (Teil des Erweiterns des Datei-Überblicks), kann X-Ways Forensics eine Liste von Ereignissen zusammenstellen aus Zeitstempeln, die auf Dateisystemebene gefunden werden sowie intern in Dateien und im Hauptspeicher. Denkbare Quellen sind Verläufe von Internet Bowsern, Event-Logs von Windows, Registry-Hives von Windows, E-Mails usw. Eine Ereignisliste funktioniert genau wie eine Suchtrefferliste und wird angezeigt, wenn Sie einen Schalter anklicken, der sich direkt neben dem Schalter für Suchtrefferlisten befindet, an einem Uhrensymbol zu erkennen. Genau wie eine Suchtrefferliste kommt eine Ereignisliste mit weiteren Spalten daher: Zeitstempel des Ereignisses, Ereignistyp, Ereigniskategorie und optional ein Dateioffset.

Wenn eine Ereignisliste chronologisch sortiert ist, nach Zeitstempeln, dann funktioniert sie wie eine Zeitleiste, anhand der Sie leichter eine Folge von Ereignissen ablesen können, die an unterschiedlichen Orten gespeichert sind (z. B. E-Mail empfangen, Anhang abgespeichert, Anwendung gestartet, Dokument gedruckt, Datei gelöscht), die Sie sonst nicht untereinander im Zusammenhang sehen könnten. Wie üblich können Sie im Asservat-Überblick Ereignisse von verschiedenen Asservaten auf einmal sehen, rekursiv oder verzeichnisweise erkunden, nach Ereignistyp sortieren oder nach Ereigniskategorie sowie tagesgenau nach bestimmten Zeitspannen filtern.

Ereignisbasierte Auswertung anstelle von dateibasierter Auswertung ist ein progressiver neuer Ansatz mit völlig anderer Perspektive, der zu Wissen über von Computern aufgezeichnete Aktivitäten führen kann, das auf andere Weise nur schwerlich gewonnen werden könnte. Sie können u. U. Zusammenhänge erkennen (in Verbindung mit Aktivität x stehende andere Aktivität), die ansonsten leicht übersehen wird, und die Logik hinter dem, was passiert ist, besser erklären. Die Quellen von Ereignissen, die von der Metadaten-Extraktion in dieser Version ausgewertet werden, sind noch begrenzt (Dateisystem, index.dat, E-Mails, Prozesse in Hauptspeicher-Dumps). Weitere werden in künftigen Releases hinzukommen.
Option, mit einer angepaßten virtuellen Datei "Freier Speicher" zu arbeiten, die um diejenigen Cluster reduziert wird, die erkannt wurden als zugehörig zu ehemals existierenden Dateien, um den Speicherplatz in Dateisystemen zu minimieren, der für logische Suchen und zum Indexieren doppelt gelesen wird. Nach dem Ändern dieser Option (in Optionen | Dateiüberblick) wird die virtuelle Datei aktualisiert, wenn sie das nächste Mal geöffnet wird, z. B. beim Auswählen der Datei im Datei-Modus oder die Datei bei der logischen Suche an der Reihe ist. Relative Offsets der Suchtreffer in dieser virtuellen Datei werden u. U. falsch, wenn sie sich ändert, so daß sie nicht zum Navigieren zu Suchtreffern im Datei-Modus taugen.
Neues Flag U für Datei-Header-Signatur-Suchen nur im bereinigten freien Speicher. Insbesondere nützlich für interne Einträge von Zip- und RAR-Archiven, Internet Explorer index.dat-Dateien und Firefox URL-Records um zahlreiche Duplikationen zu vermeiden.
Die Flags für die Signatur-Suche b (Suche auf Byte-Ebene) und g (gierige Zuweisung) können jetzt kombiniert werden. Nützlich, wenn Datensätze von Dateien gecarvt werden, für die ein interner Algorithmus verfügbar ist, der mehrere zusammenhängende Datensätze in eine einzige gecarvte Datei zusammenfassen kann. Das Flag g stellt sicher, daß diejenigen Datensätze, die bereits hinzugefügt wurden, nicht noch einmal separat identiziert und gecarvt werden.

Unterstützung für Dateiformate

Extraktion aller Tabellen (mit allen Spalten außer Binärdaten) aus allen anderen SQLite-Datenbanken, neben den bereits unterstützten Internet Browser-Datenbanken, als Teil der Metadaten-Extraktion. Die erste extrahierte Tabelle wird auch als Vorschau der SQLite-Datenbank-Datei selbst verwendet.
Datei-Signatur-Suche und interner Algorithmus für Datensätze von $UsnJrnl:$J. Eine einzige Datei wird gecarvt, die aus mehreren zusammenhängenden Datensätzen außerhalb bekannter $J-ADS besteht und bequem im Vorschau-Modus eingesehen werden kann (noch im Teststadium). Das Einsehen einer solchen Datei ist deutlich effizienter als das einzeln gecarvter Datensätze.
Fähigkeit, bestimmte nicht-standardkonforme GIF-Bilder in der Galerie und im Vorschau-Modus mit Hilfe der internen Graphik-Bibliothek anzuzeigen, die in v16.7 und früher Ausnahmefehler erzeugten und deren Anzeige in v16.8 nicht versucht wurde.
Signaturen und Algorithmen für Dateityp-Überprüfung und Datei-Header-Signatur-Suche erheblich überarbeitet.
Vorschau für .pf Prefetch-Dateien verbessert.
Überarbeitete Verarbeitung von PLists.
Die Metadaten-Extraktion für index.dat-Dateien (HTML-Vorschau-Erzeugung und Event-Extraktion) wird jetzt auch auf gecarvte Fragmente von index.dat-Dateien (Internet Explorer URL-Datensätze) angewandt.
Menüoption, Text in der Textspalte in Big-Endian UCS-2/UTF-16 Unicode anzuzeigen. Nützlich insbesondere, um ostasiatische Zeichen zum Beispiel in HFS*-Dateisystemen und in binären PLists korrekt anzuzeigen.
Gecarvte Dateien besitzen jetzt Schlupfspeicher, falls sie an einer Cluster-Grenze beginnen.

Datenträger-Unterstützung, Datenträger-Sicherung

Überlagerung von Sektoren von als schreibgeschützt geöffneten Datenträgern oder interpretierten Images mit anderen Daten. Das kann nützlich sein, wenn Sie kleinere vorübergehend erforderliche Änderungen an den Daten in den Sektoren innerhalb des Programms vornehmen müssen, um die Daten intern richtig interpretiert zu bekommen, wenn Sie aber die Daten auf dem Datenträger oder im Image selbst nicht ändern möchten oder dürfen (oder nicht können, weil es sich nicht um ein Roh-Image, sondern ein .e01-Evidence-File handelt) und auch nicht eine weitere komplette Arbeitskopie eines Images von z. B. 2 TB Größe erzeugen möchten, wenn nur 1 Byte geändert werden muß. Solche Anpassungen können vonnöten sein z. B. in Fällen, in denen eine Partitionstabelle oder Dateisystem-Metadaten leicht falsche Werte enthalten, in denen lediglich das Fehlen einer bestimmten Signatur WinHex davon abhält, das Dateisystem zu erkennen, oder in denen ein einziges umgekipptes Bit verhindert, daß WinHex $MFT in NTFS findet oder lediglich ein falsches Nibble das Erkennen einer Partition als eine LVM2-Container-Partition vereitelt usw. usf. In solchen Situationen können Sie die korrigierten Daten manuell bereitstellen und über die gelesenen Daten legen und dann hoffentlich ohne weitere Probleme mit dem Datenträger bzw. dem Image arbeiten und alle Partitionen und Dateien aufgelistet bekommen, als ob alles in Ordnung wäre. Diese Funktionalität ist gedacht für fortgeschrittene Benutzer, die nicht so leicht aufgeben, wenn Sie zunächst "nichts" sehen, und ein gewisses Maß an Verständnis für Datenstrukturen auf niedriger Ebene mitbringen und Wissen darüber, wie diese zu reparieren sind.

Sie können die Überlagerung ein- und ausschalten für den Datenträger oder die Partition im aktiven Datenfenster durch Aufruf des Menübefehls Bearbeiten | Sektoren überlagern. Dieser Befehl erlaubt es Ihnen, eine Datei auszuwählen mit dem Roh-Inhalt von Sektoren. Z. B. können Sie eine solche Datei erzeugen, indem Sie ein oder mehrere Sektoren als Block auswählen, den Block in eine neue Datei kopieren, die notwendigen Änderungen darin vornehmen (sogar in X-Ways Forensics möglich, weil normale Dateien anders als Datenträger und interpretierte Images editiert werden können) und die Datei dann speichern. Wenn die Datei dann angewandt wird, wird ihr Inhalt über die gelesenen Originalsektoren geschichtet, beginnend mit dem Sektor, indem sich der Cursor befindet, oder falls die Datei einen Namen der Art "*.n.superimposition" hat, wobei n eine Zahl ist, wird sie auf die Sektoren beginnend bei Sektor n angewandt und alle anderen Dateien im selben Verzeichnis, deren Namen auf die gleiche Maske paßt mit dem gleichen Basisnamen werden ebenfalls auf die entsprechenden Sektoren wie im jeweiligen Dateinamen angegeben angewandt. Sie sehen nun die überlagernden Daten sofort, wenn Sie zu den betroffenen Sektoren navigieren, und können auch weitere Änderungen an der Datei vornehmen, wenn Sie sie in einem separaten Datenfenstern offenhalten. Sobald Sie die Änderungen in dem Fenster gespeichert haben, werden sie auch wirksam in dem Datenfenster, das den Datenträger bzw. die Partition repräsentiert, deren Daten Sie korrigieren möchten, wenn Sie die Ansicht aktualisieren, einen neuen Datei-Überblick erstellen, den Anfang einer Partition definieren, erneut versuchen, eine Datei mit einem defekten FILE-Record zu öffnen usw. usf.

Bitte beachten Sie, daß nur vollständige Sektoren, keine Teildaten davon, überlagert werden können. Die Überlagerung kann nur für einen Datenträger oder eine Partition gleichzeitig aktiv sein. Bei Bedarf können Sie eine vollständige Kopie (Image oder geklonter Datenträger) des virtuell reparierten Datenträgers bzw. Images mit den üblichen Befehlen erzeugen, während die Überlagerung aktiv ist, so daß in der Kopie die künstlich aufgetragenen Daten direkt eingebettet sind.
Unterstützung für PC-kompatible BSD-Disklabel-Partitionierung.
Möglichkeit, einen physischen Datenträger (z.B. lokale Festplatte oder Festplatte oder RAM mittels F-Response geöffnet) automatisch von der Kommandozeile zu sichern. Der erste Parameter sollte mit einem Doppelpunkt beginnen und dann die Nummer des Datenträgers in Windows angeben (z.B. ":1" für Festplatte Nr. 1). Der Datenträger wird beim Programmstart automatisch geöffnet. Der zweite Parameter sollte mit dem Pipe-Symbol beginnen, gefolgt von entweder e01 oder raw, um das gewünschte Sicherungsformat anzugeben, gefolgt von einem weiteren Pipe-Symbol und Pfad und Dateiname für die Sicherungsdatei (z.B. "|e01|G:\Output filename.e01"). Als dritter Parameter kann "auto" angegeben werden, um X-Ways Forensics nach der Sicherung automatisch zu schließen. (Dieses Kommando war in WinHex und X-Ways Forensics schon immer verfügbar, wie es auch schon immer möglich war, Dateien von der Kommandozeile aus öffnen zu lassen oder .whs WinHex-Skripte ausführen zu lassen.)
Ein Powershell-Skript, das die Sicherung des physischen Arbeitsspeichers entfernter Rechner automatisiert, mittels F-Response Enterprise und X-Ways Forensics und unter Verwendung der oben genannten neuen Kommandozeilen-Optionen, wurde vor kurzem hier veröffentlicht.
Simultane Erzeugung von 2 Kopien von .e01 Evidence-Files war nicht erfolgreich, falls diese unterschiedliche Namen hatten. Das wurde behoben.
Berichtet die Gesamtzahl an CRC-Fehlern in den Asservat-Eigenschaften für jede Hash-Berechnung wenn die Chunk-CRC-Werte beim Lesen aus .e01 Evidence-Files überprüft werden (siehe Optionen | Sicherheit).

Suchfunktionen

Leicht zu verwendende Einstellungen für das Alphabet, das Wortgrenzen defininert, wenn nur nach ganzen Wörtern in auf Lateinisch basierenden Sprachen gesucht wird. Die Einstellung für das gründlichste Suchergebnis ist als Standard vorgesehen. Benutzer, die von unsinnigen Suchtreffern für kurze Suchbegriffe in Nicht-Text-Daten wie Base64 oder binären Mülldaten überschwemmt werden, können die beiden anderen Optionen probieren. Diese zwei Optionen können dazu führen, in bestimmten Konstellationen gültige Suchtreffer zu verpassen (hängt vom Dateiformat ab), aber können immer noch zu rechtfertigen sein als große Zeitersparnis für Suchen in Textdokumenten.
Möglichkeit, GREP-Syntax ausdrücklich nur für einige bestimmte Suchbegriffe zu verwenden, während andere Suchbegriffe in natürlichen Sprachen sind. Stellen Sie hierzu sicher, daß die GREP-Syntax-Option nur halb angekreuzt ist, und stellen Sie den GREP-Ausdrücken "grep:" voran.
Analog, wenn GREP-Syntax nicht verwendet wird, können Sie jetzt nur nach einigen bestimmten Suchbegriffen als ganze Wörter suchen lassen, ebenfalls indem Sie die entsprechende Box nur halb ankreuzen und die Suchbegriffe, die Sie nur als ganze Wörter finden wollen, durch Voranstellen eines Tabulatorzeichens einrücken.
X-Tensions API: Neue Flags XWF_SEARCH_WHOLEWORDS2 und XWF_SEARCH_GREP2 für die neuen Suchoptionen. Neue Funktion XT_PrepareSearch unterstützt, die es X-Tensions, die Suchtreffer beobachten, ermöglicht, auch bestimmte Suchoptionen zu beobachten und die Suchbegriffe anzupassen.
Maximale Anzahl enthaltener Suchbegriffe, die in der Suchbegriffe-Spalte im Verzeichnis-Browser angezeigt werden, ist jetzt 25 statt bisher 10.

Bedienbarkeit

Das Mausrad scrollt aus Gründen der Bedienbarkeit im Galerie-Modus jetzt immer exakt um eine Vorschaubilder-Seite. Überall sonst scrollt das Mausrad seit v16.7 um die Anzahl an Zeilen, die in der Windows Systemsteuerung festgelegt sind. In v16.6 und früher war dies eine Option in den Allgemeinen Optionen.
Wenn ein externes Verzeichnis dem Dateiüberblick angehängt wird, erzeugt X-Ways Forensics normalerweise virtuelle Dateien in einem neuen virtuellen Verzeichnis. Jetzt gibt es eine Option, die Dateien im Dateiüberblick in existierenden Verzeichnissen des selben Namens an der selben Position im Verzeichnisbaum unterzubringen. Nützlich, wenn Sie eine gesamte Verzeichnisstruktur aus dem Image kopieren zwecks Konvertierung/Entschlüsselung/Übersetzung/... dieser Dateien außerhalb von X-Ways Forensics, und dann die Ergebnisse in den Dateiüberblick übernehmen und die Dateien neben ihren original Gegenstücken in den selben original Verzeichnissen sehen wollen. Dies kann z.B. helfen, wenn Sie von Adobe Acrobat OCR-Texterkennung auf PDF-Dokumente anwenden lassen wollen, die von X-Ways Forensics als nicht durchsuchbar identifiziert wurden.
Wenn Sie ein externes Verzeichnis dem Dateiüberblick anhängen lassen, werden Sie jetzt gefragt, ob das gewählte Verzeichnis selbst ebenfalls angehängt werden soll (bisheriges Standardverhalten in früheren Versionen) oder lediglich dessen Inhalte.
Es ist jetzt möglich, den Verzeichnis-Browser zu "unsortieren", indem man den Spaltenkopf derjenigen Spalte, die das primäre Sortierkriterium darstellt, anklickt während man die Umschalt-Taste gedrückt hält.
Der Drucken-Befehl im Kontextmenü des Verzeichnis-Browsers hat jetzt eine bequeme Option, ggf. vorhandene Kind-Objekte nach der/n gewählten Datei(en) zu drucken, z.B. E-Mail-Anhänge zusammen mit ihren jeweiligen E-Mails.
Möglichkeit, mehrere ausgewählte Dateien optional in getrennten Druckaufträgen zu drucken, wie in v16.3 und früher.
Es ist jetzt einfacher, Daten in den Zeitstempel-Filter-Dialogen einzugeben. Sie können jetzt per Knopfdruck eine Kalenderfunktion zum Auswählen des Datums per Mausklick aufrufen.
Diverse andere Elemente der Benutzeroberfläche wurden verbessert.
Neues Icon für umbenannte/verschobene Verzeichnisse in FAT- und exFAT-Volumes.
Mehr statistische Informationen in den Asservateigenschaften.
Möglichkeit zum gelegentlichen Prüfen auf Updates online (Optionen | Sicherheit). Dabei wird u. U. die Verfügbarkeit einer neueren Version oder eines neuen Service-Releases der aktuell verwendeten Version (keine Vorab-Versionen) angezeigt, und Sie erhalten die Möglichkeit zum sofortigen Herunterladen. Es werden keinerlei Daten von innerhalb des Programms an das Internet übertragen, z. B. auch keine System-Information, Benutzer-Informationen oder Dongle-ID, weder direkt noch verschlüsselt oder anonymisiert, nicht mal die aktuell verwendete Versionsnummer, sondern gar nichts. Diese Option ist standardmäßig aktiv nur dann, wenn das Programm davon ausgehen kann, daß es auf dem eigenen System des Benutzers ausgeführt wird (wenn von Laufwerk C: aus gestartet oder wenn es mit dem Setup-Programm installiert wurde). Die Prüfung findet nicht schon beim ersten Programmstart statt, so daß Sie auf jeden Fall die Gelegenheit haben, diese Option auszuschalten, bevor etwas passiert. Angesichts der Tatsache, daß die meisten Systeme, auf denen X-Ways Investigator und X-Ways Forensics verwendet werden, keine Internet-Verbindung haben, hat diese Option nur eine begrenzte Wirkung.
Ob neue Berichtstabellen-Verknüpfungen für ausgewählte Dateien nur für die gewählten Dateien oder auch für deren Kind-Objekte, Duplikate, usw. erzeugt werden, ist jetzt eine Einstellung spezifisch für jede Berichtstabelle.
Der Menü-Befehl Ansicht | Anzeige aktualisieren befüllt jetzt auch den Verzeichnis-Browser neu, falls dieser den Eingabefokus hat. Nützlich z.B. wenn ein Filter für markierte Objekte aktiv ist und Sie die Markierung einiger der gelisteten Dateien entfernen, wenn Sie die Liste im Verzeichnis-Browser auf den aktuellen Stand bringen und die nicht mehr markierten Dateien aus der Anzeige entfernen möchten.
Knöpfe, die es ermöglichen, alle Kategorien im Typ-Filter auf- bzw. einzuklappen. Aufklappen aller Kategorien kann nützlich sein, wenn Sie einen bestimmten Typ schnell finden möchten, indem Sie seine Buchstaben eintippen, während die Baumdarstellung den Eingabefokus hat.
Neue Option für Meldungen: Wenn in Optionen | Sicherheit gar nicht angekreuzt, werden nur Ausnahmefehler mit potentiell schwerwiegenden Folgen (etwa unvollständige Untersuchungsergebnisse) im Nachrichtenfenster angezeigt. Vollständig angekreuzt werden alle angezeigt, wie bisher, selbst solche, die typischerweise nur mit beschädigten Dateien auftreten und keine negativen Auswirkungen auf andere Untersuchungsergebnisse haben. Die neue Standard-Option ist eine vernünftige Kompromißlösung.

Diverses

Fähigkeit, bis zu ~4 GB an Daten in die interne Zwischenablage der 64-Bit-Edition zu kopieren (~2 GB bisher, und auch weiterhin in der 32-Bit-Edition).
Neuer Hash-Typ verfügbar: Adler32
Die Werte der Bits in den Volume-Attributen von HFS+-Dateisystemen werden jetzt im Technischen Detailbericht angezeigt.
Option, nur markierte Dateien für Anzeige im Bericht herauszukopieren, statt alle oder keine. Nützlich, falls Sie alle relevanten Dateien mit ihren Metadaten im Bericht aufführen wollen, aber nur eine Unterauswahl davon zeigen wollen.
Sortierung nach Pfad beschleunigt.
Viele kleinere Verbesserungen.
Einige kleinere Korrekturen.
Programmhilfe und Nutzerhandbuch überarbeitet und aktualisiert für v16.9.

Änderungen der Service-Releases von v16.8:

SR-1: Suchtreffer in dekodierten Dateiversionen wurden fälschlicherweise an deren künstlichen Offsets im Datei-Modus hervorgehoben. Dies wurde vermieden.
SR-1: Ein Fehler wurde behoben in der Art, wie die 64-Bit-Edition exFAT-Dateisysteme liest.
SR-1: Ein Fehler wurde behoben, der auftreten konnte, wenn Datei-Container kopiert wurden.
SR-1: Die Warnung über in Verwendung befindliche Asservate wurde vermieden in einigen Situationen, in denen sie nicht notwendig ist.
SR-1: Inkorrekte Ankreuz-Zustände im Typ-Filter-Dialog wurden behoben, die nach Doppelklicken in Windows-Versionen neuer als XP auftreten konnten.
SR-1: X-Ways Imager-Download aktualisiert mit v16.8. Besitzt jetzt eine 64-Bit-Edition, was als mächtiges Programm zur Datenträger-Sicherung und zum Klonen für die 64-Bit-Edition von Windows PE oder FE nützlich ist.
SR-2: Eine 64-Bit-Edition der normalen (nicht Dongle-basierten) Version von WinHex ist jetzt für Nutzer mit professioneller oder Specialist-Lizenz verfügbar. Der Speicherbedarf von WinHex ist sehr gering, so daß der erweiterte logische Adreßraum der 64-Bit-Edition keinen relevanten Vorteil bietet. Allerdings kann die 64-Bit-Edition, im Gegensatz zur 32-Bit-Edition, aus einem 64-Bit Windows PE ausgeführt werden, wie Sie es von einer 64-Bit Windows 7 oder Windows 8 Installations-CD oder im Fall von Problemen von einer Festplatte mit Windows 8 Installation booten können. Dies ist z. B. nützlich, wenn Sie Sektoren derjenigen Partition, die Ihre Windows-Installation entält, bearbeiten/reparieren oder sicher löschen möchten, die sonst in Windows Vista und später schreibgeschützt sind. Weitere Informationen zu Windows PE. Lizensierte Nutzer können den Download-Link der zusätzlichen 64-Bit-Dateien von der üblichen Webseite abrufen. Das Setup-Programm ist weiterhin eine 32-Bit-Anwendung. Als portable Anwendung braucht WinHex nicht und sollte auch nicht mittels Setup-Programm installiert werden.
SR-2: Eine Endlosschleife wurde vermieden, die in v16.8 bei der Datei-Header-Signatur-Suche nach index.dat-Datensätzen im freien Speicher auftreten konnte.
SR-2: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn alte Varianten des alten Datei-Container-Formats geladen wurden.
SR-2: Ein seltener Ausnahmefehler wurde verhindert, der beim Dateiüberblick-Erzeugen bei Ext-Dateisystemen auftreten konnte.
SR-3: Ein Ausnahmefehler in der 32-Bit-Edition von X-Ways Forensics 16.8 wurde behoben, der nach der Erzeugung eines Dateiüberblicks von FAT-Volumes auftreten konnte.
SR-3: Die Erzeugung von mehreren Tausenden von Berichtstabellen-Verknüpfungen auf einmal oder deren Import aus einem Datei-Container konnte in v16.8 sehr lange dauern. Das wurde korrigiert.
SR-3: Aussagekräftige Benennung für Prefetch-Dateien in der Datei-Header-Signatur-Suche.
SR-4: Einige Probleme in X-Ways Imager wurden behoben.
SR-4: Die Besitzer-ID von Dateien, die NTFS-Volumes entstammen, wurde von Datei-Containern der 1. Generation nicht an Datei-Container der 2. Generation weitergereicht. Dies wurde behoben.
SR-4: Sortierung nach Asservat sortiert nicht mehr alphabetisch, sondern nach der Reihenfolge der Asservate im Fall-Baum. Dies ist erheblich schneller und möglicherweise sogar von vielen Nutzern so erwartet oder erwünscht.
SR-4: Der Befehl "Liste nicht sortieren" befüllt jetzt automatisch den Verzeichnis-Browser mit den selben Objekten in der Reihenfolge, in der sie im Dateiüberblick verzeichnet sind. Nützlich insbesondere für Nutzer von X-Ways Investigator, die es gewohnt sind, mit einer unsortierten Liste zu arbeiten, versehentlich einen Spaltenkopf anklicken und nicht wissen, wie sie den Verzeichnis-Browser neu befüllen können.
SR-4: Erkennt bestimmte nicht-standardgemäße GIF-Bilder, die Ausnahmefehler erzeugen können, und versucht nicht mehr, diese zu verarbeiten, um Probleme zu vermeiden.
SR-4: Möglichkeit, eine eigene Bitmap (16x16 Pixel) bereitzustellen, die Dateien im Verzeichnis-Browser als bereits eingesehen kennzeichnet, falls Sie die standardmäßige hellgrüne Farbe nicht mögen. Stellen Sie die Datei mit dem Namen 9.bmp ins selbe Verzeichnis, in der die .exe-Datei liegt.
SR-5: Verbesserte Fähigkeit, Absender- und Empfänger-Felder aus PST-E-Mail-Archiven zu extrahieren, die von SysTools bei der Konvertierung von NFS zu PST künstlich erzeugt wurden.
SR-5: Geringfügige Verbesserungen bei der Extraktion aus Exchange EDB.
SR-5: Registry-Berichte für Windows 8 Registry-Hives so vollständig wie für frühere Windows-Versionen.
SR-5: X-Tensions, die via Extras | X-Tensions ausführen gestartet werden, werden jetzt standardmäßig auf das aktive Datenfenster angewandt, falls ein Datenfenster offen ist, genau wie Specialist | Dateiüberblick erweitern.
SR-5: Bestimmte Situationen wurden vermieden, wo das Markieren großer Zahlen von Dateien in einem großen Dateiüberblick extrem langsam war. (Bitte teilen Sie uns mit, wenn Sie weiterhin derartige Probleme haben.)
SR-6: Ein Fehler wurde behoben, der bei der E-Mail-Extraktion aus Exchange EDB auftreten konnte.
SR-6: Seit v16.4 haben die Typ- und Kategorie-Filter nicht alle numerischen Dateitypen, wie z.B. .123, .000, .001., verläßlich behandelt. Das wurde behoben.
SR-6: Ein Ausnahmefehler wurde behoben, der unter bestimmten Umständen bei der Erzeugung einer Vorschau für index.dat-Dateien auftreten konnte.
SR-6: Ein seltener Ausnahmefehler wurde behoben, der beim Extrahieren von E-Mails aus MBox-E-Mail-Archiven auftreten konnte.
SR-6: Ein Einfrieren des Programms wurde verhindert, das bei der Verarbeitung bestimmter Dateien namens cache.db auftreten konnte.
SR-6: Verbesserte Kompatibilität der Datei-Container des neuen Formats mit Mount Image Pro beim Kopieren von Verzeichnissen mit Windows Explorer.
SR-7: Signaturen für die Dateityp-Prüfung leicht aktualisiert.
SR-7: Ein Fehler wurde behoben, der bei der Verarbeitung von SQLite-Datenbanken auftreten konnte.
SR-7: Einige Fehler wurden behoben, die bei der Verarbeitung bestimmter beschädigter Dateien auftreten konnten.
SR-7: Eine Situation wurde vermieden, in der die 64-Bit-Edition stehenbleiben konnte, wenn bei der Datenträger-Sicherung die Option "Daten in freien Clustern überspringen" verwendet wurde.
SR-7: Ein Fehler in v16.8 wurde behoben, der in bestimmten Situationen (häufiger auf Maschinen mit vielen Prozessorkernen) eine kleine Menge an unsichtbaren, überschüssigen Daten am Ende von komprimierten .e01 Evidence-Files erzeugt hat, was in anderen Tools zu einem falschen Hash-Wert und Lese- oder CRC-Fehlermeldungen führen konnte, obwohl die angezeigten und zugreifbaren Daten in den selben Tools 100% korrekt waren.
SR-7: Fehler wurden behoben, die auftreten konnten, wenn das Limit von ~176 Millionen Suchtreffern erreicht wurde.
SR-8: Ein Datenfehler wurde behoben, der beim Sichern von Datenträgern mit mehr als 4.294.967.295 Sektoren auftreten konnte.
SR-8: Ein Ausnahmefehler mit bestimmten nicht-standardgemäßen Volume-Labels in FAT-Dateisystemen wurde vermieden.
SR-8: Ein Ausnahmefehler wurde behoben, der in der 64-Bit-Edition bei der Verarbeitung von .evtx Event-Log-Dateien auftreten konnte.
SR-8: Ein Ausnahmefehler wurde behoben, der bei der Verarbeitung bestimmter MSG-Dateien auftreten konnte.
SR-9: E-Mail-Extraktion aus MSG-Dateien wurde verbessert.
SR-9: Verzerrte Text-Proportionen wurden vermieden, die auf Deckblättern auftreten konnten, wenn mehrere Dateien auf einmal mit der Viewer-Komponente gedruckt wurden.
SR-9: Ein Fehler in der Suchfunktion des Registry Viewers wurde behoben.
SR-9: Ein Absturz der Funktion Wiederherstellen/Kopieren mit überlangen Pfaden wurde in der nicht Dongle-basierten Version von WinHex behoben.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <