X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

  
#165: X-Ways Forensics, X-Ways Investigator und WinHex 20.2 veröffentlicht

11. April 2021

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit einigen beachtlichen Verbesserungen, die Version 20.2. Erscheinungsdatum war der 22. März 2020. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten oder professionellen Lizenz)

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases wie jetzt gerade von der Version 20.3, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Nächster Schulungstermin

8.-11. Juni, Online

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im Online-Live-Format werden hier aufgelistet. Davon ist der Termin am 15.-18. Juni besonders für Teilnehmer in der mitteleuropäischen Zeitzone geeignet.


Was ist neu in v20.2?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateisystem-Unterstützung

  • Fähigkeit, im HEIC-Format vorliegende Bilder einzusehen und in der Vorschau zu sichten. Die Galerie lädt Miniaturansichten in HEIC-Dateien und zeigt diese an. Die Bildanalyse und -verarbeitung unterstützt jetzt auch HEIC-Dateien.

  • .thumbdata4-Archive von Android und HEIC-Dateien sind nun standardmäßig in der Liste von Dateien, die auf eingebettete Daten geprüft werden. (Miniaturansichten in HEIC-Dateien werden dabei im JPEG-Format ausgegeben.)

  • X-Ways Forensics kann nun spezifische Daten aus den Ereignissen in.evtx-Event-Logs extrahieren und diese direkt in der Ereignisliste darstellen. Das macht das Arbeiten mit Event-Logs deutlich mächtiger, weil man so schnell nach Benutzernamen, IP-Adressen von Anmelde- oder RDP-Ereignissen, Task- oder Service-Namen, PowerShell-Befehlen usw. Filtern kann. Es gibt dazu eine tabulatorseparierte Definitionsdatei namens „Event Log Events.txt“ im Installationsverzeichnis, die eine Liste von Ereignis-IDs enthält, (optional) die Namen der betreffenden Komponenten in Windows, die die Log-Einträge erzeugen, und eine Liste von individuellen Datenfeldern, die extrahiert werden sollen. Die Definitionsdatei kann nach Ihren eigenen Bedürfnissen angepasst werden. .

  • Windows .evtx-Event-Logs werden nun in Form einer einzigen tabulatorseparierten Tabelle (TSV-Datei) ausgegeben. Dies ersetzt die zuvor erfolgende Ausgabe in mehrere HTML-Dateien. Diese Tabelle enthält die kompletten Daten von jedem Ereignis. Sie kann idealerweise in MS Excel oder einer ähnlichen Anwendung eingesehen werden.

  • Ereignisse werden in der Ereignisliste nun mit weniger Stördaten ausgegeben.

  • Fähigkeit zum Extrahieren von E-Mail-Dateianhängen aus TNEF-Dateien, wenn sie von der Typprüfung als solche identifiziert werden. (Solche Dateien tragen normalerweise den Namen "winmail.dat".)

  • Es gibt nun eine Option, MSG-Dateien im Datei-Überblick nach der E-Mail-Betreffzeile zu benennen, wenn E-Mails und Datei-Anhänge aus ihnen extrahiert werden. Das kann nützlich sein, wenn Sie große Mengen an generisch benannten MSG-Dateien antreffen.

Bedienoberfläche

  • Die Galerie kann jetzt in einem alternativen Modus operieren, der mit dem Schalter links vom Sync-Schalter aktiviert wird. In dem Modus stellt die Galerie nicht die aktuell im Verzeichnis-Browser aufgelisteten Dateien dar, sondern statt dessen die Unterobjekte eines einzigen gewählten Objekts, wenn es solche Unterobjekte gibt. Dies sind entweder nur direkte Unterobjekte oder (im ²-Modus) Unterobjekte rekursiv. Dies ist ein einzigartige Möglichkeit, um mit einem einzigen Mausklick einen schnellen Überblick über ganze Verzeichnisse oder Datei-Archive zu erhalten. Außerdem nützlich für Videos, von denen Sie zuvor Standbilder haben extrahieren lassen. Sie können jedes aufgelistete Unterobjekt mit der rechten Maustaste anklicken und diverse Operationen darauf anwenden. Die meisten aus dem Kontextmenü des Verzeichnis-Browsers bekannten Befehle sind verfügbar. Insbes. können Sie ein Unterobjekt auf diese Weise mit Berichtstabellen verknüpfen, ausblenden, markieren oder zu ihm im Verzeichnis-Browser navigieren, um die Metadaten in allen Spalten zu sehen (zurück zur vorherigen Ansicht geht es dann bekanntlich durch Klick auf den Zurück-Schalter). Die Unterobjekte werden in der Galerie in aufsteigender Reihenfolge ihrer internen ID aufgelistet.

  • Die Auswahl der in Galerie spiegelt normalerweise exakt die Auswahl im Verzeichnis-Browser wieder. Bei der Darstellung der Unterobjekte einer gewählten Datei allerdings erlaubt die Galerie in sich selbst eine abweichende, separate Auswahl unter den Unterobjekten.

  • True-Color-Bilder können in der Galerie nun optional nicht nur in Graustufen dargestellt werden, sondern auch in völlig unnatürlichen Farben, um den psychologischen Eindruck bestimmter Fotos abzuschwächen. Diese neue Option ist als mittlerer Zustand des Kontrollkästchens verfügbar. Die Graustufen-Umwandlung (wenn das Kontrollkästchen voll mit einem Haken versehen ist) wurde leicht optimiert.

  • Es gibt nun die Möglichkeit, die Darstellungen der Modi Vorschau und Details für dieselbe Datei gleichzeitig zu sehen, nebeneinander, indem Sie das "+"-Zeichen am Details-Schalter anklicken während Sie sich im Vorschau-Modus befinden. Ein anschließender Klick auf einen der beiden Schalter macht den betreffenden Modus zum alleinig aktiven Modus.

  • Die ungefähre Rollposition im Details-Modus wird nun bei Wahl einer anderen Datei im Verzeichnis-Browser wiederhergestellt, und auch beim Schließen und erneuten Öffnen des Datenfensters oder der Anwendung, so dass Sie danach möglichst die gleiche Art von Metadaten sehen wie vorher.

  • Man kann den Inhalt des Details-Modus nun in einer HTML-Datei abspeichern, durch Klick auf das neue Disketten-Icon in der Statusleiste.

  • Tastenkürzel wurden definiert und werden nun im Verzeichnis-Browser-Kontextmenü angezeigt, mit denen man die ausgewählte(n) Datei(en) in X-Ways Forensics oder im verknüpften Programm einsehen kann.

  • Über die Befehlszeile lassen sich nun Dialogfenster-Auswahlen automatisiert laden. Dies überspielt i. d. R. bestimmte Teile der Konfiguration, die anfänglich aus einer WinHex.cfg-Datei geladen wird, in dem Moment, in dem dieser Befehlszeilen-Parameter abgearbeitet wird (nicht wenn diese Teile der Konfiguration ggf. beeinflussen, was die Anwendung genau macht). Der Befehl dazu lautet "Dlg:", direkt gefolgt vom Pfad der gewünschten .dlg-Datei. Nachdem Sie eine Dialogfenster-Auswahl gespeichert haben, stellen Sie bitte sicher, dass sie auch wirklich von der Anwendung akzeptiert wird, indem Sie auf OK klicken. Nur von v20.2 erzeugte .dlg-Dateien können hierfür verwendet werden. Ältere Versionen von X-Ways Forensics können auch .dlg-Dateien von v20.2 lesen (natürlich nicht über die Befehlszeile, das ging ja bisher nicht, nur manuell im jeweiligen Dialogfenster).

  • Die Notationsoptionen in Wiederherstellen/Kopieren sind nun auch dann zugänglich, wenn die "Gruppieren nach"-Optionen aktiv sind, weil sie dafür relevant sind.

  • Wenn Sie weitere Berichtstabellen-Verknüpfungen zur selben Datei hinzufügen, werden diese nun durchgängig in der Reihenfolgen angezeigt, in der die Berichtstabellen definiert sind.

  • Es wird nun verhindert, dass die Viewer-Komponente versucht, NTFS-Systemdateien wie $UpCase im Vorschau-Modus darzustellen, weil das problematisch war.

Suche, Indexierung

  • Die alternative Verarbeitung der Textdecodierung von Tabellenkalkulationen wurde überarbeitet. U. a. werden die Grenzen und ordinalen Nummern von  Arbeitsblättern nun mit Trennlinien markiert.

  • Es gibt nun eine Option, um Leerzeichen um geläufige chinesische Zeichen in decodiertem Text herauszufiltern (s. Optionen | Viewer-Programme). Solche Leerzeichen können unerwarteterweise z. B. bei der Verarbeitung bestimmter PDF-Dokumente erscheinen und Stichwort-Suchen in Chinesisch vereiteln.

  • Die Roh-Vorschau mit decodiertem Text (d. h. mit Umschalt + Klick auf "Roh") in Chinesisch wurde bisher  nicht richtig angezeigt weil die Viewer-Komponente die Daten nicht immer als UTF-16 identifizierte. Das wurde verbessert.

Diverses

  • WinHex Lab Edition und höher: Fähigkeit, Dateien zu öffnen und zu lesen, die auf NTFS-Volumes in Windows Server mit aktiver Deduplikation gespeichert wurden, sofern sie dabei nicht komprimiert wurden.

  • Wenn es mehrere Treffer für eine Datei in der PhotoDNA-Hash-Datenbank gibt, was mit Auslassungszeichen (...) nach dem ersten Treffer angedeutet wird, und wenn die PhotoDNA-Hash-Werte im Datei-Überblick gespeichert sind, lädt der Details-Modus nun die Hash-Datenbank und gibt explizit alle Treffer an.

  • Es werden noch mehr JPEG-erzeugende Gerät erkannt, jetzt über 30.000.

  • Es wurde eine seltene Endlosschleife korrigiert, die auftreten konnte, wenn man Dateien in APFS öffnete.

  • Ein sehr seltener Ausnahmefehler wurde entschärft,  der offenbar bei der besonders intensiven Dateisystem-Datenstruktursuche in exFAT auftreten konnte.

  • Es wurde ein seltener Ausnahmefehler behoben, der unter bestimmten Umständen auftreten konnte beim erneuten Öffnen einer rekursiv erkundeten Partition auf einem physischen Datenträger im Fall, wenn man nach Rückfrage entschied, einen neuen Datei-Überblick zu erzeugen.

  • Viele weitere kleine Verbesserungen.

  • Benutzerhandbuch und Programmhilfe für v20.2 aktualisiert.


Änderungen der Service-Releases von v20.1

  • SR-2: Finds certain Ext* partitions with an unusual configuration when searching for lost partitions.

  • SR-2: Identifies extended partitions as such even when wrongly described as a different partition type in the MBR, as seen in Kindle storage.

  • SR-2: Fixed I/O error that occurred in v20.1 when splitting up the case report into segments.

  • SR-3: Ability to define the alphabet to detect word boundaries for the commands Find Text and Replace Text, with any kind of license.

  • SR-3: Fixed an infinite loop that could occur when processing GZ archives with very long filenames.

  • SR-3: The X-Tension API function XWF_Read() returned 0 after reading between 2 and 4 GB of data instead of the actually amount of data that was read. That was fixed.

  • SR-3: Fixed an exception error that apparently could occur in certain cases when right-clicking multiple selected files in the case root window.

  • SR-3: Fixed an error that occurred when interpreting .e01 evidence files with a user-defined sector size.

  • SR-3: Fixed an exception error that could occur when parsing unexpected LVM2 container data.

  • SR-3: msglog.txt is now slightly more complete, showing which button was clicked in message boxes and showing when a case was closed if messages were output while the case was open.

  • SR-4: Corrupt files found by the file header signature search are now included optionally (and are now included by default when searching for embedded files).

  • SR-4: Fixed trailing spaces at the end of the names of some rare files in FAT in recent releases.

  • SR-4: Fixed a rare exception error that could occur with the gallery in freshly refined volume snapshots.

  • SR-6: The gallery option "Use auxiliary thumbnails" did not work correctly in v20.1 SR-4 and SR-5 and showed the wrong thumbnails for some pictures. That was fixed.

  • SR-6: Fixed an exception error that could occur in v20.1 when right-clicking multiple selected items from different evidence objects.

  • SR-6: Some minor improvements and fixes.

  • SR-7: If the creation of an .e01 evidence file is interrupted, a notice about that is now also left in the image itself, when it is provisionally finalized.

  • SR-7: When copying files with child objects to evidence file containers and including those child objects in the container and including the path, then the parent files would have been copied with their contents even if "Copy only metadata" was selected. That was fixed.

  • SR-7: Fixed an instability problem that could occur when extracting e-mails and attachments from MSG files.

  • SR-10: thumbcache*.db thumbnail stores were previously not processed in certain rare situations, namely if they were targeted only indirectly and the main thumbcache_idx.db file was a newer version than expected or could not be parsed as expected. In many such cases they are now checked for embedded thumbnails directly, independent of thumbcache_idx.db.

  • SR-10: Detects the XFS file system based on less strict rules again, like previous versions.

  • SR-10: File mode did not show slack correctly in NTFS in the previous service release. That was fixed.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer.

 

> Archiv des Jahres 2020 <

> Archiv des Jahres 2019 <

> Archiv des Jahres 2018 <

> Archiv des Jahres 2017 <

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <