|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||
|
|||||||
| #117: WinHex, X-Ways
Forensics und X-Ways Investigator 15.6 veröffentlicht 1. März 2010 |
In dieser Ausgabe dieses Newsletters informieren wir Sie über ein wichtiges Update, die Version 15.6. Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer private, professionellen oder Specialist-Lizenz) Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter http://www.x-ways.net/winhex/license-d.html . Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich "Announcements" per E-Mail anfordern: http://www.winhex.net ------------------------------------------------------------- Im englischsprachigen Computer-Forensics-Bereich des Forums wurden von einem Benutzer kürzlich einige Vergleiche der Geschwindigkeit von Datenträgersicherungen mitgeteilt. In diesen Vergleichen schlug X-Ways Forensics alle getesteten Konkurrenzprodukte. Preisreduzierte Lizenzen für X-Ways Forensics rein für Datenträgersicherungen können erworben werden unter http://www.x-ways.net/forensics/dongle-d.html#imaging. ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: Köln, 1.-5. März 2010: http://www.x-ways.net/training/koeln1.html Köln, 31. Mai-2. Juni: http://www.x-ways.net/training/koeln2.html Details unter http://www.x-ways.net/training/index-d.html. ------------------------------------------------------------- Was ist neu? * Es können nun mehrere beim Hash-Abgleich erzielte Treffer (in verschiedenen Hash-Sets) pro Datei im Datei-Überblick aufgenommen werden, nicht mehr nur wie bisher ein Treffer (ggf. mit dem Pluszeichen versehen). (nur mit forensischer Lizenz) * Beim Importieren eines Hash-Sets filtert X-Ways Forensics nun automatisch doppelte Hash-Werte innerhalb dieses Hash- Sets heraus. Dies hat einen beachtlichen Effekt vor allem bei der US NIST NSRL-RDS-Datenbank. Deren Größe reduziert sich dadurch enorm. Wenn Ihre Hash-Datenbank bereits Hash-Sets mit Duplikaten enthält, werden diese von v15.6 ebenfalls eliminiert, wenn Sie das nächste Mal irgendein weiteres Hash- Set importieren. Hash-Datenbanken, die von v15.6 oder später benutzt wurden, können anschließend nicht mehr von v15.1 oder früher geöffnet werden. (nur mit forensischer Lizenz) * X-Ways Forensics kann nun normalerweise die tatsächliche Gesamtzahl an Sektoren gemäß ATA auf ATA/SATA-Fesplatten auch in solchen Konstellationen ermitteln, wo dies in früheren Versionen fehlschlug (nur ein Fragezeichen zurücklieferte). Nützlich, um Versuche aufzudecken, die adressierbare Kapazität einer Platte mit einer HPA (Host-Protected Area) der DCO (Device Configuration Overlay) künstlich zu begrenzen. (nur mit forensischer Lizenz) * Immer wenn X-Ways Forensics auf eine HPA/DCO prüft (also beim Sichern einer Festplatte, beim Hinzufügen zum Fall oder beim Erstellen des technischen Detailberichts) und auch tat- sächlich eine findet, bietet es nun an, diese entweder vorübergehend oder permanent zu deaktivieren und die volle offizielle Plattenkapazität zugreifbar zu machen, so daß Sie die Platte z. B. in ihrer vollen Größe sichern können, bevor Sie in ihren früheren Zustand zurückfällt, wenn sie das nächste Mal heruntergefahren wird. (nur mit forensischer Lizenz) * Der technische Detailbericht kann nun den intern von der Festplatte aufgezeichneten Fehlerzähler ermitteln, sofern über die SMART-Schnittstelle verfügbar. (nur mit forensischer Lizenz) * Einfacher und schneller Plausibilitätstest für intern zusammengesetzte RAID-5-Systeme, der Sie sofort nach dem Zusammensetzen warnt, sollte die Parity nicht zu den übrigen Daten passen. (nur mit Specialist- oder forensischer Lizenz) * Bequeme Anzeige und Zerlegung von Object-ID(s) von Dateien, die in NTFS-Dateisystem gespeichert sind, im Detailsmodus. (nur mit forensischer Lizenz) * Bessere Plausibilitätsprüfung für gelöschte Dateien in Ext*-Dateisystemen. (nur mit Specialist- oder forensischer Lizenz) * Repräsentation von Dateisystembereichen in bestimmten Ext4-Partitionen korrigiert. (nur mit Specialist- oder forensischer Lizenz) * Die "Link-Referenz" (Inode-Nummer) einer Hartverweis- Datei in HFS+ wird nun in der Kommentarspalte angezeigt. Sie können den Kommentarfilter verwenden, um nach einer bestimmten Inode-Nummer zu fahnden. (nur mit forensischer Lizenz) * Repräsentation der Systemdateien "Attributes" und "Startup" im Stammverzeichnis von HFS+-Dateisystemen, falls definiert. (nur mit forensischer Lizenz) * Ver- und Entschlüsselung mit AES wird nun auf Computern mit mehreren Prozessorkernen durch Parallelisierung beschleunigt. * Indexierung und Index-Optimierung wurden überarbeitet. Beide Schritte sind nun etwas schneller, und effizienter in ihrer Speichernutzung. (nur mit forensischer Lizenz) * Eine neue Verzeichnis-Browser-Option steuert nun, ob Dateien mit Unterobjekte normalerweise eingesehen oder erkundet werden, wenn Sie sie doppelt anklicken. Wenn das Kontrollkästchen halb angekreuzt ist, werden Sie beim Doppelklick auf eine solche Datei immer gefragt, welche Aktion Sie bevorzugen. In früheren Versionen wurde grund- sätzlich erkundet, auch wenn es u. U. intuitiver war, eine solche Datei einzusehen (denken Sie an ein von MS Office 2007 oder OpenOffice erzeugtes Dokument mit XML- Dateien als Unterobjekte). * Erhöhte Sortiergeschwindigkeit für Spalten, für die das Sortieren in v15.4 langsamer wurde (Datumsspalten, Hautfarbenanteil, Pixel, Besitzer, Verweise, ...). * Daß .eml-Dateien in .txt beim Herauskopieren zum Einfügen im Bericht umbenannt wurden, so daß der Internet Explorer sie öffnen kann, ist nun optional. Ohne das Umbenennen kann Firefox solche Dateien beim Anklicken ggf. an Outlook Express schicken. (nur mit forensischer Lizenz) * Bildern können nun optional direkt in den HTML-Fall- bericht als Inline-Base64-Code eingebettet werden, so daß keine weiteren separaten Dateien im Unterverzeichnis des Berichts erforderlich werden. Natürlich vergrößert das die HTML-Datei immens, und nur Firefox unterstützt diese Art der Codierung für größere Bilder. (nur mit forensischer Lizenz) * Der Ordner für Scripte wird nun auch als Ordner für Schablonen verwendet. * Daß der allgemeine Ordner für Sicherungen voreingestellt ist beim Hinzufügen von Image zu einem Fall, ist nun optional. (betrifft nur Inhaber einer forensischer Lizenz) * Die Spalten Absender und Empfänger werden nun auch für Datei-Anhänge gefüllt, so daß Sie auch beim Durchsehen von Datei-Anhängen sofort sagen können, wer welche Datei an wen geschickt hat, ohne zum jeweiligen Elternobjekt (E-Mail) navigieren zu müssen (was z. B. durch Drücken der Rücksetz-Taste möglich wäre). Sie können Datei-Anhänge auch anhand Absender und Empfänger filtern. (nur mit forensischer Lizenz) * Die Felder Absender und Empfänger werden nun auch für solche E-Mails in Datei-Container aufgenommen, die ohne MAPI-Methode aus PST-Archiven sowie aus anderen Archiv- typen extrahiert wurden. (nur mit forensischer Lizenz) * Das Sortieren vieler E-Mails nach Absender oder Empfänger war potentiell sehr langsam in früheren Versionen, außer in v15.5 für E-Mails, die mit der neuen Methode aus PST/OST- Archiven extrahiert wurden. Das Sortieren ist nun generell schnell für E-Mails, die mit v15.6 extrahiert wurden. (nur mit forensischer Lizenz) * Die Felder Absender und Empfänger sowie internes Erzeugungsdatum werden nun aus ursprünglichen .eml-Dateien (also .eml-Dateien, die nicht von X-Ways Forensics beim Extrahieren von E-Mails aus E-Mail-Archiven selbst erzeugt wurden) beim Extrahieren von Metadaten gefüllt. (nur mit forensischer Lizenz) * Es wurde ein Fehler behoben, der Instabilitäten beim Verwenden der Filter Absender und Empfänger zur Folge haben konnte. (nur mit forensischer Lizenz) * Metadaten-Extraktion aus HTML-Dokumenten. (nur mit forensischer Lizenz) * Möglichkeit, Datei-Container nach dem Befüllen auch in X-Ways Investigator zu fixieren, zu konvertieren und zu verschlüsseln, genau wie in X-Ways Forensics. Nützlich z. B. wenn kriminalpolizeiliche Sachbearbeiter das von ihnen gefundene inkriminierende Material (z. B. Kipo) an andere Abteilungen/Behörden im verschlüsselten Zustand weitergeben sollen. Um Benutzer von X-Ways Investigator, die diese Funktion nicht benötigen, nicht unnötig zu verwirren, können Sie ihnen diese Funktion mit dem neu eingeführten Schalter +32 in der Datei investigator.ini gezielt vorenthalten. * Option, WinHex/X-Ways Forensics unter Windows Vista/7 gezielt immer als Administrator auszuführen (s. Allgemeine Optionen). * Option zum automatischen Neustart des Programms, wenn dies nach Änderung bestimmter Einstellung nötig ist. * Option, dem Schlüssel für bereits hinzugefügte AES- verschlüsselte .e01-Evidence-Files in der Falldatei zu speichern, so daß Sie ihn nicht immer wieder beim Öffnen eingeben müssen. Das ist bequem, aber 100% sicher nur dann, wenn Sie Ihre Falldateien adäquat schützen. (nur mit forensischer Lizenz) * Der Attributsfilter für "e?" funktionierte nicht richtig für Dateien, die als Datei-Anhänge gekennzeichnet waren. Dies wurde behoben. * Es wurden ein Fehler behoben, der die geladenen Datei- typ-Kategorie-Definitionen beschädigte und zu einer leeren Datei "File Type Categories.txt" führen konnte. * Ein Fehler wurde behoben, der beim Öffnen von Dateien mit sehr langen Namen in HFS+-Dateisystemen auftreten konnte. (seit v15.5 SR-1) * Die Erzeugung von Roh-Image-Dateien im "sparse"-Stil lief in der ursprünglichen Version 15.5 nicht korrekt. Das wurde mit v15.5 SR-1 korrigiert. * Die Definitionen in "File Type Categories.txt" wurden aktualisiert und erweitert. (nur mit forensischer Lizenz) * Fehlzuordnungen mit v15.5 SR-2 behoben, die beim Im- portieren von Berichtstabellenverknüpfungen und Kommen- taren aus Datei-Containern in den Datei-Überblick in v15.5 und v15.5 SR-1 auftreten konnten. * Ausnahmefehler mit v15.5 SR-2 behoben, der in seltenen Situationen beim Überprüfen des Typs von bestimmten Text- dateien auftreten konnte. * Der Dateinamensfilter hat bei anderen Buchstaben als A-Z entgegen der Dokumentation zwischen Groß- und Klein- schreibung unterschieden. Dies wurde mit v15.5 SR-3 korri- giert. * Entfernt Punkte am Ende von Verzeichnisnamen beim Kopieren/Wiederherstellen mit Pfad, so daß Windows das Erzeugen dieser Verzeichnisse erlaubt. (seit v15.5 SR-3) * Ein Ausnahmefehler wurde verhindert, der beim Auswählen eines Datenträgers auftreten konnte. (seit v15.5 SR-3) * Unterstützung von .e01-Evidence-Files mit mehr als 2^32 Sektoren. (seit v15.5 SR-3) (nur mit forensischer Lizenz) * Ein Fehler wurde behoben, der in einigen Versionen neueren Datums eine Fehlinterpretation der Sektorgröße in Roh-Images von bestimmten Apple-Festplatten zur Folge hatte. (seit v15.5 SR-3) * Fähigkeit, die Historie der 10 letzten Abspeicherungen in MS-Word-Dokumenten in einigen seltenen Fällen anzu- zeigen, in denen dies vorher nicht gelang. (nur mit forensischer Lizenz) * Informationen im Details-Modus über neuere hiberfil.sys- Dateien in Windows Vista und Windows 7 korrigiert. (seit v15.5 SR-4, nur mit forensischer Lizenz) * Zwei seltene Ausnahmefehler in der Typprüfung behoben. (seit v15.5 SR-4) * Das Initialisieren des freien Speichers ließ in v15.5 den zuvor freien Speicher als allokierte Datei zurück. Dies wurde in v15.5 SR-4 behoben. * Ein Ausnahmefehler wurde behoben, der in v15.5 beim Exportieren der Spalten Absender und Empfänger auftreten konnte. (seit v15.5 SR-4) * Ein Fehler wurde behoben, der beim Schreiben von Datenträgersektoren jenseits der 2-TB-Grenze auftreten konnte. (seit v15.5 SR-4) * Ein Ausnahmefehler wurde behoben, der beim Editieren von Sektoren auf Datenträgern mit einer Sektorgröße von 4 KB auftrat. (seit v15.5 SR-4) * Die Auflistung einer virtuelle Datei namens "Nicht partitionierbarer Speicher" wird nun in Fällen, in denen sie keinen Sinn hat, vermieden. (seit v15.5 SR-4) * Viele andere kleinere Verbesserungen, einige weitere kleine Fehlerbehebungen. |