WinHex &
X-Ways Forensics Newsletter-Archiv (deutsch)
(Sie können den Newsletter hier abonnieren.)
#116: WinHex, X-Ways
Forensics und X-Ways Investigator 15.5 veröffentlicht 18. Dez. 2010 |
In dieser Ausgabe dieses Newsletters informieren wir Sie über ein größeres
Update, die Version 15.5. Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer private, professionellen oder Specialist-Lizenz) Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter https://www.x-ways.net/winhex/license-d.html . Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich "Announcements" per E-Mail anfordern: http://www.winhex.net Wir wünschen allen Benutzern und Lesern frohe Weihnachten und einen guten Rutsch ins neue Jahr! ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics" 1.-3. März (Plätze frei) "Dateisysteme" 4.+5. März (Plätze frei) Details unter https://www.x-ways.net/training/index-d.html. ------------------------------------------------------------- Was ist neu? * Neue E-Mail-Extraktionsfunktion für E-Mail-Archive im Format Outlook PST und OST. Chance, gelöschte E-Mails in PST und OST zu finden. Es werden nun auch mehr Informationen aus Kontakteinträgen, Kalendereinträgen und Aufgaben extrahiert, die in PST-Archiven gespeichert sind. Die neue Funktion hat auch die Fähigkeit, paßwortgeschützte PST-Archive ohne das Paßwort zu verarbeiten. Schnellere Verarbeitung als vorher. Eine Installation von Outlook/MAPI wird für die neue Funktionalität nicht benötigt. Bei dieser neuen Methode werden einige reine Text-E-Mails als eml-Dateien (d. h. Kopf und Rumpf in eins kombiniert) dargestellt, andere als Text-Dateien, HTML-E-Mails als HTML-Dateien. Sie werden alle in der Attributsspalte als extrahierte E-Mails gekennzeichnet. Um extrahierte E-Mails zu sehen, filtern Sie nach der Attr.spalte, nicht nach Typ. Außer für die .eml-Dateien werden die E-Mail-Header als Unterobjekte angezeigt. Die bisherige Verarbeitung von PST-Dateien über die MAPI-Schnittstelle ist noch verfügbar, wenn das Kontrollkästchen "MAPI" angekreuzt ist, aber die neue Methode kommt auch dann zusätzlich zum Zug, um gelöschte Inhalte zu finden. Das Kapitel in der Programmhilfe und im Benutzerhandbuch über die E-Mail-Extraktion wurde entsprechend überarbeitet. * Aufgrund einer Anfrage von einem Großkunden kann X-Ways Forensics nun mit einem speziellen Lizenztyp auch als reines Tool zur Datenträgersicherung verwendet werden (d. h. nur mit der Fähigkeit zum Disk-Imaging). Die Anfrage basierte auf Geschwindigkeitstests, in denen X-Ways Forensics im Vergleich zu anderen Imaging-Tools am besten abschnitt, vor allem zusammen mit Hardware-Schreibblockern. Diese Lizenzen nur für Datenträgersicherungen sind zu einem besonderen Preis erhältlich. Details erfahren Sie unter https://www.x-ways.net/forensics/dongle-d.html#imaging. * Neue "schnelle, adaptive" Kompressionsoption für Datenträgersicherungen, die einen noch besseren Kompromiß zwischen höherer Geschwindigkeit und Kopmressionsrate verspricht. Sie ist die neue Voreinstellung. Die bisherige schnelle, adaptive Kompressionsoption ist noch immer vorhanden und heißt jetzt "normal, adaptiv". * Der HTML-Registry-Bericht wird nun vollständig in Tabellenform ausgegeben mit dem Ziel besserer Lesbarkeit und Übersichtlichkeit, kompaktere Darstellung, und Importierbarkeit in anderen Programme wie MS Excel (zum Sortieren oder Filtern). Kommentare über dieses neue Format sind willkommen. Der Name und der Schlüssel eines jeden Werts werden nun standardmäßig nicht mehr explizit ausgegeben, sondern können in Form eines Tooltips eingesehen werden, wenn man den Mauszeiger über ein kleines weißes Quadrat in der betreffenden Zeile bewegt. Sollten Sie Name und Key für alle im Bericht enthaltenen Werte auf einmal sehen wollen, können Sie sie über eine Option im Kontextmenü des Registry-Viewers als Text mit ausgeben lassen. * Der zweite Teil des Registry-Berichts gibt Ihnen nun einen Überblick über installierte Treiber, Dateisysteme und Dienste, zusätzlich zu den bisherigen (auch noch relativ neuen) sehr hilfreichen Tabellen "Attached devices by serial number" und "Partitions by disk signature". * Die Index-Optimierung nutzt nun die Vorteile, die sich durch den größeren Speicheradreßraum in 64-Bit-Windows-Umgebungen ergeben. * X-Ways Forensics läuft unter Windows 7 genauso gut wie unter Windows Vista, d. h. es gelten dieselben Einschränkungen, und keine weitere Einschränkungen. * Verbesserte Unterstützung von dynamischen Platten, die von Windows Vista verwaltet wurden. * Fähigkeit, bei der Datei-Header-Signatur-Suche zwiwschen DOCX, XLSC, PPTX und anderen Dateitypen zu unterscheiden. * Informationen über den erkannten wahren Typ einer Datei (bestätigt oder neu erkannt) bleiben nun in Datei-Containern erhalten. Sie können von v15.5 und späteren Versionen importiert werden. Konsequenterweise wird die Option "Beim Kopieren mit Endung versehen" für das Befüllen von Datei-Containern nicht mehr benötigt, und hat von jetzt an nur noch Auswirkungen auf den Befehl "Wiederherstellen/Kopieren". * In neu erzeugten Datei-Überblick für NTFS-Dateisysteme werden alternative Datenströme u. ä. nun als Unterobjekte derjenigen Dateien dargestellt, zu denen sie gehören. Dies ist eine getreuere Abbildung der tatsächlichen Organisation im Dateisystem, in dem ADS nicht in Verzeichnissen aufgelistet werden, sondern an ihre jeweilige Trägerdatei gebunden sind. Ein weiterer Vorteil ist, daß es jetzt leichter ist, von einem relevanten alternativen Datenstrom zu seiner Trägerdatei zu navigieren (z. B. einfach die Rücksetz-Taste drücken, wie immer, um zum jeweiligen Elternobjekt zu gelangen). Auch wird die Auflistung des Inhalts eines Verzeichnisses, das viele Dateien mit ADS enthält, auf diese Weise übersichtlicher. Kommentare über dieses neue Feature sind auch besonders willkommen. * Möglichkeit, bestimmte Befehle des Positionsuntermenüs auch im Asservatüberblicksfenster zu nutzen: Übergeordnetes Objekt aufsuchen, FILE-Record/Index-Record/Inode/Verzeichniseintrag usw. aufsuchen, Eintrag-Nr. aufsuchen. * Wenn Sie eine gelöschte Datei in einem Ext*-Dateisystem anklicken, für die nur ein Verzeichniseintrag bekannt ist und keine Inode, im Modus Partition bzw. Volume, springt X-Ways Forensics nun automatisch zu dem Verzeichniseintrag. * Möglichkeit, innerhalb einer Suchtrefferliste im Asservatüberblicksfenster zum Elternobjekt zu springen, ohne die Suchtrefferlistenansicht zu verlieren. * Wenn Betrachten von Bildern mit der Grafikbibliothek (nicht mit der Viewer-Komponente) in einem separaten Fenster können Sie "Bild auf/ab" auf Ihrer Tastatur drücken, um zum nächsten Bild in der Liste zu wechseln und es sofort in einem neuen Fenster einzusehen. Drucken Sie zusätzlich die StrgTaste, um denselben Effekt im Fall eines Fensters der Viewer-Komponente zu haben. * Das Icon, das im Punkt-Punkt-Eintrag ("..") im VerzeichnisBrowser zu sehen ist, repräsentiert nun das Elternobjekt korrekter, d. h. läßt nun unterscheiden zwischen existierendem, ehem. existierendem oder virtuellem Verzeichnis, oder einer existierenden, ehem. existierenden oder virtuellen Datei. Dieses Feature ist erstmal nur testweise aktiv. * Möglichkeit, unterdrückte Objekte in X-Ways Investigator herauszufiltern. (In X-Ways Investigator können Dateien beim Identifizieren von Duplikaten im Verzeichnis-Browser basierend auf Hash-Werten unterdrückt werden.) * Das Anwenden der Sonderregel für das Unterdrücken von doppelten E-Mails und Dateianhängen von E-Mails im Verzeichnis-Browser basierend auf Hash-Werten ist nun optional. * Ein Fehler bei der Darstellung des Dateisystemschlupfs in Ext*-Dateisystemen wurde behoben. * Nicht-deterministisches Auflisten von nicht partitionierbarem Speicher auf physischen Datenträgern korrigiert. * Deinstallationsroutine überarbeitet. Im Fall von X-Ways Forensics wird für die Deinstallation der Dongle nicht mehr benötigt. * Möglichkeit, per Datei-Header-Signatur-Suche gefundene Dateien manuelle umzubenennen. Nützlich, um die Hive-Namen von gecarveten Registry-Dateien für das korrekte Funktionieren der Registry-Berichterzeugung nachzukorrigierenm, sofern nicht gleich automatisch richtig benannt. * Die interpretierte Version eines Roh-Images eines physischen Datenträgers kann nun als Ziel beim Klonen angegeben werden. Dies ist nützlich z. B. dann, wenn Sie eine Reihe von Sektoren von einem Image in ein anderes kopieren möchten. Unterstützt nur in WinHex, nicht in X-Ways Forensics. * Möglichkeit, den Computer nach Abschluß des Platten-Klonens und Wiederherstellens eines Images auf einen Datenträger automatisch herunterzufahren. * Verbesserte Unterstützung des Zerlegens von MHT-Dateien. * Ein Fehler wurde behoben, der beim Darstellen von GUIDs in Schablonen auftrat. * In der ursprünglichen Version 15.4 war der Hautfarbenanteil von Bildern mit 0% initialisiert, und die Spaltenbreiten konnten im Dialog mit den Verzeichnis-Browser-Optionen nicht leicht geändert werden. Dies wurde alles mit v15.4 SR-1 behoben. * Verbesserte Fähigkeit, Dummy-Partitionen als solche zu erkennen, die in MBRs auf im Apple-Stil GPT-partitionierten Platten auftreten. (seit v15.4 SR-2) * Es ist jetzt optional möglich, jede Art von Filter auch auf Verzeichnisse anzuwenden. Zuvor galt dies nur für den Namensfilter. Nützlich u. U. für Zeitstempel-Filter und den Attributsfilter. S. Verzeichnis-Browser-Optionen. (seit v15.4 SR-2) * Der Dateinamensfilter erlaubt nun optional auch eine Suche in Dateinamen mit GREP-Syntax. Die herkömmliche Notation, um Dateien zu finden, deren Namen z. B. das Wort "Rechnung" enthält, ist *Rechnung*. Mit der GREP-Option suchen Sie einfach nach "Rechnung". (seit v15.4 SR-2) * Neue Option +29 in der Datei investigator.ini, die verhindert, daß der Menübefehl "Durch neues Image ersetzen" in X-Ways Investigator angeboten wird. (seit v15.4 SR-2) * Die Schalter "Zurück" und "Vorwärts" sind nun in der Symbolleiste in X-Ways Investigator verfügbar. (seit v15.4 SR-2) * Möglichkeit, die Historie der letzten 10 Abspeicherungen (Benutzer und Dateipfad) von MS-Word-Dokumenten in einigen seltenen Fällen auszugeben, bei denen dies bisher fehlschlug. (seit v15.4 SR-2) * Unterstützung von Sektornummern, die größer als 2^32 sind, in Extras | Disk-Tools | Datenträger klonen. (seit v15.4 SR-2) * Der Hautfarbenanteilsfilter funktioniert nicht in v15.4 bis SR-1. Dies wurde mit v15.4 SR-2 behoben. * Das Editierfeld für Suchbegriffe in der Parallelen Suche erlaubt nun standardmäßig die Eingabe von Suchbegriffen mit bis zu 100.000 Zeichen insgesamt statt zuvor rd. 30.000. Wenn Suchbegriffe hingegen aus einer Textdatei geladen werden, gibt es gar keine feste Beschränkung mehr. (seit v15.4 SR-2) * Gelegentliche Nichtverfügbarkeit des Menübefehls "Treffer permanent speichern" (für Index-Suchtreffer) korrigiert. (seit v15.4 SR-2) * Ausnahmefehler vermieden, der in v15.4 bis SR-1 auftreten konnte, beim Anhängen externer Dateien an einen Datei-Überblick. (seit v15.4 SR-2) * Neu eingeführte Trefferzahl für im Asservatüberblick aufgelistete Suchtreffer korrigiert. (seit v15.4 SR-2) * Ein Fehler wurde behoben, der einen Index unvollständig machen konnte, wenn Teilworte indexiert wurden, Wörter in der Ausnahmeliste länger als die maximal indexierte Wortlänge waren und der Index optimiert wurde. Der Fehler trat nicht mit Standardeinstellungen auf. (seit v15.4 SR-3) * Ein Ausnahmefehler wurde behoben, der unter bestimmten Umständen auftreten konnte, wenn eine Index-Suche lief. (seit v15.4 SR-3) * Einige Details der Navigation im Verzeichnis-Browser und der Handhabung der Galerie wurden verbessert. (seit v15.4 SR-3) * Die Beschränkung der Länge von Suchbegriffen auf 50 Bytes in der Parallelen Suche wurde für einige weitere Einstellungen aufgehoben. (seit v15.4 SR-3) * Der Befehl Wiederherstellen/Kopieren hat die Originalzeitstempel von Dateien in Archiven in v15.4 bis SR-3 nicht wiederhergestellt. Dies wurde mit SR-4 behoben. * Wenn Sie beim Befüllen eines Datei-Containers in mehreren Schritten den Container öffnen und interpretieren oder ihn einem Fall hinufügen, um zu sehen, welche Dateien Sie bereits in den Container kopiert haben, können Sie dieses Fenster nun geöffnet lassen und einfach einen neuen Datei-Überblick erzeugen, wann immer Sie die aktuellen Inhalte sehen möchten, nachdem Sie weitere Dateien hinzugefügt haben. (seit v15.4 SR-4) * Beim Exportieren des Inhalts der Metadaten-Spalte als tabulatorseparierte ASCII- oder Unicode-Textdatei werden Zeilenumbrüche nun durch Semikola ersetzt statt durch Leerzeichen, so daß die Daten besser von anderen Programmen geparst werden können. (seit v15.4 SR-4) * Ein Fehler in der Metadaten-Extraktion von QuickTime-Dateien wurde behoben. (seit v15.4 SR-4) * Ein vermeidbarer Sektorlesefehler wurde verhindert, der auftreten konnte, wenn echte Sektorlesefehler beim Klonen von Datenträgern auftraten. (seit v15.4 SR-4) * Unterstützt nun gleichzeitig Lösch- und internes Erzeugungsdatum für Dateien in Datei-Containern. (seit v15.4 SR-4) * Ein neuer Befehl wurde zum Fallmenü hinzugefügt, der es erlaubt, zuvor gespeicherte Fallberichts bequem wieder zu öffnen und in dem verknüpften oder angegebenen Programm anzuzeigen. (seit v15.4 SR-5) * Beim Identifizieren von Duplikaten (doppelten Dateien) basierend auf Hash-Werten, wenn eine der Dateien als bereits eingesehen gekennzeichnet ist, können die Duplikate nun optional ebenfalls als bereits eingesehen gekennzeichnet werden. Oder andersherum: Wenn Dateien als Duplikate aufweisend gekennzeichnet sind und ihre Hash-Werte verfügbar sind, und eine von diesen Dateien eingesehen wird, werden sofort auch all deren Duplikate als bereits eingesehen gekennzeichnet (dies allerdings nur innerhalb desselben Datei-Überblicks). (seit v15.4 SR-5) * Der absturzsichere Text-Decodierungsmechanismus, der mit v15.3 eingeführt wurde, ist nun optional (siehe Optionen | Viewer-Programme), weil er langsamer ist als die frühere Methode. Beachten Sie aber, daß es sobald die Resultate im Datei-Überblick zwischengespeichert sind (nach der ersten Suche) keinen Geschwindigkeitsunterschied mehr gibt. (seit v15.4 SR-5) * .eml-Dateien werden nicht mehr für die logische Suche und das Indexieren decodiert, wenn Sie nur nach 7-Bit-ASCII suchen bzw. diese Indexieren, weil in diesem Fall das Durchsuchen/Indexieren der .eml-Dateien in ihrem natürlichen Zustand gut genug ist. Dies spart Zeit, besonders bei aktiver absturzsicherer Text-Decodierung, und reduzierte die Anzahl doppelter Suchtreffer. (seit v15.4 SR-5) * Wenn der Hash-Wert einer Datei zusammen mit der Datei in einen Datei-Container kopiert wird, wird er dabei nicht mehr erzwungenermaßen neu berechnet, wenn er bereits im Datei-Überblick enthalten ist. (seit v15.4 SR-5) * Wenn Sie in einem Dialogfenster für einen spaltenbasierten Filter einen deaktivierten Filter nicht aktivieren, wird der Verzeichnis-Browser jetzt nicht mehr unnötigerweise beim Schließen des Dialogs von Grund auf neu befüllt, so daß Sie nicht auf erneutes Sortieren warten müssen und nicht Ihre Auswahl und Rollposition verlieren. (seit v15.4 SR-5) * Suchtreffer, die gefunden werden, wenn man nicht mit einem Fall arbeitet, werden im Positions-Manager gespeichert. Sie werden nun nicht mehr automatisch dort permanent abgelegt, wenn Sie WinHex beenden, sondern dann gelöscht, außer solche, die über das Kontextmenü bearbeitet wurden. (seit v15.4 SR-5) * Die Möglichkeit zum Verwenden der Grafikbibliothek der Version 13.6 wurde schließlich entfernt. (seit v15.4 SR-5) * Wenn eine Parallele Suche mit den Suchbegriffen A und B durchgeführt wird, wobei B und Teilwort von A ist, dann kann ein Suchtreffer sowohl als Treffer für A als auch für B gewertet werden, und ab jetzt wird er dann als Treffer für beides gewertet. In früheren Versionen wurde er nur einmal gespeichert, für den Suchbegriff, der als erster angegeben wurde. (seit v15.4 SR-6) Beispiel: In "Peter Peterson" erhalten Sie nun 2 Treffer für "Peter" und 1 für "Peterson". In früheren Versionen hätten Sie entweder 1 Treffer für "Peter" und 1 für "Peterson" bekommen, oder 2 Treffer für "Peter", je nach Ihrer Vorgabe. Wenn Sie nicht mögen, daß Sie sowohl einen Treffer für "Peter" und "Peterson" im Text "Peterson" erhalten, können Sie immer noch das Kontextmenü der Suchtrefferliste nutzen, um doppelte Treffer zu eliminieren. Dieser Befehl ordnet längeren Suchbegriffen eine höhere Priorität zu, würde als den Treffer für "Peterson" behalten und den für "Peter" löschen. * An der Funktion, die Index-Suchtreffer permanent speichert, wurde ein Fehler behoben. (seit v15.4 SR-6) * Das Suchen in Indexen von mehreren Asservaten auf einmal von Asservatüberblick aus funktionierte nicht richtig in einigen der vorherigen Service-Releases. Dies wurde behoben mit v15.4 SR-6. * Wenn Duplikate im Verzeichnis-Browser laut Hash unterdrückt werden, werden bevorzugt solche Dateien unterdrückt, die per Datei-Header-Signatur-Suche gefunden wurden, und Dateien mit Dateisystem-Metadaten beibehalten, weil diese wertvoller sind. (seit v15.4 SR-6) * Es ist jetzt möglich, die Erweiterung des Datei-Überblicks für ausgewählte Asservate vom Asservat-Überblick aus zu starten. (seit v15.4 SR-6) * Verbesserte Datei-Header-Signatur-Suche nach Roh-Bilddateien der Typen Nikon NEF und Canon CR2 als Teil der TIFF-Dateityp-Signaturdefinition. Fähigkeit, automatisch zwischen den Untertypen zu unterscheiden und die Dateigrößen richtig zu erkennen. (seit v15.4 SR-7) * TIFF-Metadaten-Extraktion überarbeitet. (seit v15.4 SR-7) * Metadaten-Extraktion aus Dateien vom Typ MS Office 2007, MS Office 2010 und OpenOffice 3 überarbeitet. Die typischen Felder wie Company, Author und Title haben nun dieselben Bezeichnungen wie in früheren Office-Versionen, was es leichter macht, nach ihnen zu filtern. (seit v15.4 SR-7) * Suchtreffer von physischen Suchen auf physischen Datenträgern oder Images von physischen Datenträgern, sofern mit einem Fall als Asservat verknüpft, werden nun auch in Suchtrefferlisten angezeigt und nicht im allgemeinen Positions-Manager. (seit v15.4 SR-7) * Ein Fehler, der unter bestimten Umständen während einer Suche auftrat und in einer Fehlermeldung wie "Unable to record a search hit" oder in früheren Versionen "Internal search term list inconsistent" mündete, wurde behoben. (seit v15.4 SR-7) * Der deutsche Buchstabe "ß" wird von Suchen, die die Suchbegriffsliste und die Suchtrefferliste füllen, nicht mehr genauso wie "ss" behandelt. (seit v15.4 SR-7) * Ein Fehler wirde in SR-7 behoben, der in v15.4 SR-6 beim Unterdrücken von Duplikaten im Asservat-Überblick auftreten konnte. * Ein Fehler wurde mit SR-8 behoben, der in v15.4 SR-7 das Aufnehmen von Hash-Werten einiger Dateien in den Datei-Überblick verhinderte. * Es ist jetzt möglich, Volumes zu öffnen, die als Laufwerksbuchstabe geladen sind, aber nicht mit einem gültigen Dateisystem formatiert sind. (seit v15.4 SR-8) * Die Rücksetz-Taste auf der Tastatur als schneller Weg zum Navigieren zum Elternobjekt einer Datei funktioniert nun auch in der Galerie. Das ist nützlich zum Beispiel, wenn Sie Video-Standbilder in der Galerie betrachten und das Video, aus dem ein bestimmtes Bild exportiert wurde, ansehen möchten. Erinnern Sie sich auch daran, daß Sie nach Abschluß mit dem Zurück-Schalter in der Symbolleiste bequem zur vorherigen Liste der Standbildern zurückkehren können. (seit v15.4 SR-8) * Fähigkeit, mehrere Sessions in Images von CDs in einigen Fällen zu finden, in denen zuvor nur die ersten Session gefunden wurde. (seit v15.4 SR-8) * Ein Ausnahmefehler wurde mit SR-8 behoben, der in v15.4 SR-7 beim Extrahieren von Metadaten ohne Extrahieren des internen Erzeugungsdatum zur selben Zeit auftrat. * Akzeptiert nun hexadezimale Kleinbuchstaben in Datensatz-Längenfeld in Intel-Hex-Dateien beim Konvertieren nach Binär. (seit v15.4 SR-9) * Fähigkeit, JPEG- und PNG-Dateien aus Firefox-Container-Dateien namens _CACHE_ zu extrahieren. (seit v15.4 SR-9) * Es wurden Pfadfehler behoben, die beim Öffnen einer Falldatei über einen Befehlszeilenparameter ohne Pfadangabe entstanden. (seit v15.4 SR-9) * Es wurde ein Fehler behoben, der in bestimmten Situationen bewirkte, daß X-Ways Forensics keine E-Mails aus gültigen E-Mail-Archiven extrahieren konnte. Dieser Fall wurde begleitet von der Nachricht "Keine E-Mails gefunden". (seit v15.4 SR-9) * Stabiler beim Verarbeiten von defekten (z. B. per Datei-Header-Signatur-Suche gefundenen) AOL PFC E-Mail-Archiven. (seit v15.4 SR-9) * Verhindert eine Fehlermeldung beim Verwenden des Asservat-Überblicks in mehr als einer Session zur gleichen Zeit. (seit v15.4 SR-10) * Zeigt die Berechtigungen von Dateien in NTFS-Dateisystemen nun auch im Asservat-Überblick an (Details-Modus). (seit v15.4 SR-10) * Ein Ausnahmefehler wurde mit SR-10 behoben, der in SR-9 beim Verarbeiten bestimmter E-Mail-Archive auftreten konnte. * Der Fehler "...is not a valid integer value", der beim Extrahieren von E-Mails in SR-9 auftreten konnte, wurde behoben. * Ein Fehler in der GREP-Suche wurde mit v15.4 SR-10 behoben. * Ein Ausnahmefehler, der beim Hinzufügen des Inhalts verschlüsselter Archive in den Datei-Überblick auftreten konnte, wurde behoben. (seit v15.4 SR-10) * Individuelle "File Type Categories.txt"-Dateien für jeden Benutzer einer gemeinsam genutzten Installation von X-Ways Forensics/X-Ways Investigator, so daß die Software sich individuelle Datei-Typ-Filter-Einstellungen für jeden Benutzer merkt. Hängt davon ab, ob auch eine benutzerspezifische .cfg-Dateien verwendet wird oder eine generische WinHex.cfg-Datei für alle. (seit v15.4 SR-11) * Wenn Sie sich E-Mails anzeigen lassen z. B. mit dem Attr.-Filter, und wenn Sie mehrere E-Mails für den Befehl Wiederherstellen/Kopieren auswählen, die Datei-Anhänge als Unterobjekte im Datei-Überblick haben, wurden diese Datei-Anhänge nicht mitkopiert, selbst wenn das Häkchen bei "Unterobjekte gewählter Dateien kopieren" gesetzt war, weil der Filter für E-Mails keine andere Art von Dateien (z. B. Datei-Anhänge von E-Mails) durchließ. Dies ist wahrscheinlich in den meisten Situationen nicht wünschenswert. Daher wurde das Verhalten so geändert, daß Filter keine Auswirkung mehr auf den Befehl "Wiederherstellen/Kopieren" haben, und auch keinen Effekt mehr auf den Befehl zum Befüllen eines DateiContainers. Wenn Sie nichts mitkopieren möchte, was Sie nicht sehen und nicht ausgewählt haben, dann stellen Sie einfach über das Kontrollkästchen sicher, daß Unterobjekte gewählter Dateien explizit nicht mitkopiert werden. (seit v15.4 SR-11) * Das Problem, daß X-Ways Forensics beim Verwenden der neuen Version 8.3.2 der Viewer-Komponente im Vorschaumodus in Suchtrefferlisten u. U. einfrieren konnte, wurde behoben. (seit v15.4 SR-11) * Vermeidet Fehlermeldungen darüber, daß die ursprünglichen Zeitstempel von per Signatursuche in FAT-Partitionen gefunden Dateien beim Wiederherstellen/Kopieren nicht auf die Kopien übertragen werden konnten. (seit v15.4 SR-11) * Es wurde ein Pfad-Erzeugungsfehler behoben, der im Befehl Wiederherstellen/Kopieren in der nicht-forensischen Edition von WinHex unter bestimmten Umständen auftreten konnte. (seit v15.4 SR-11) * Es wurde ein Fehler behoben, der Unicode-Suchtreffer im Positions-Manager mit einer Beschreibung gespeichert hatte, die um 1 Zeichen verrutscht war. (seit v15.4 SR-11) * Ein Fehler wurde mit SR-11 behoben, der in bestimmten Situationen innerhalb besonders großer Dateien dazu führen konnte, daß ein Suchtreffer einmal für jeden Suchbegriff aufgelistet wurde statt nur für den/die jeweils passenden. Der Fehler war enthalten in SR-6 bis SR-10. * Ein Lesefehler in SR-11 wurde behoben, der beim Prüfen von E-Mail-Attachments auf eingebettete Bilder auftrat. (seit v15.4 SR-12) * Ein Ausnahmefehler wurde behoben, der beim Verarbeiten bestimmter MP3-Dateien auftreten konnte. (seit v15.4 SR-12) * Ein Fehler wurde behoben, der ein neu angegebenes Ausgabelaufwerk nicht akzeptierte, wenn der Plattenplatz beim Indexieren knapp wurde. (seit v15.4 SR-12) * Besserer Umgang mit zirkulären Links in gelöschten Verzeichniseinträgen in Ext*-Dateisystemen. (seit v15.4 SR-12) * Viele kleine Verbesserungen. |
#115: WinHex, X-Ways
Forensics und X-Ways Investigator 15.4 veröffentlicht 31. Juli 2009 |
In dieser Ausgabe dieses Newsletters informieren wir Sie über ein größeres Update, die Version 15.4. Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter https://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Was ist neu? * Stark reduzierter Hauptspeicherbedarf für größere Datei-Überblicke, d. h. Datei-Überblicke von Partitionen mit besonders vielen Dateien, was das Öffnen und Analysieren von Partitionen erlaubt mit vielen mehr Millionen Dateien (rd. 100% mehr) bei gleich viel verfügbarem RAM als früher. Beachten Sie, daß das Format der Datei-Überblicke sich geändert hat, so daß frühere Versionen Datei-Überblicke von v15.4 und später nicht öffnen können! * Mit den Befehlen "Vor" und "Zurück" im Positionsmenü und den Vor- und Zurück-Schaltern in der Symbolleiste können Sie bequem zurückkehren zu bestimmten Einstellungen des Verzeichnis-Browsers. Dies berücksichtigt erkundeten Pfad, rekursiv oder nicht rekursiv, Sortierkriterien, Ein-/Aus-Zustand aller Filter, Einstellungen einiger Filter sowie einige Verzeichnis-Browser-Optionen. Die Befehle Vor und Zurück erlauben auch das erneute Aktivieren eines zuvor aktiven Datenfensterns, wenn Sie zwischen einzelnen Fenstern hin- und herwechseln. (nur mit forensischer Lizenz) * Bestimmte Filter verhalten sich jetzt etwas "intelligenter", wenn man von einem übergeordneten Objet zu einem Unterobjekt navigiert oder umgekehrt, so daß er sich selbständig abschaltet, wenn das sinnvoll ist. Nur mit forensischer Lizenz. Beispiele: - Wenn Sie einen Filter verwenden, um rekursiv nur extrahierte E-Mails aufzulisten, und dann eine einzelne E-Mail doppelt anklicken, um im Verzeichnis-Browser einen Blick auf ihre Datei-Anhänge zu werfen, wird der Filter automatisch deaktiviert, so daß Sie diese Datei-Anhänge tatsächlich sehen können. Ein einfacher Klick auf den Zurück-Schalter bringt sie dann wieder zur vorherigen Liste aller E-Mails zurück, aktiviert den Filter wieder und wählt die doppelt angeklickte E-Mail aus, so daß Sie die Begutachtung aller E-Mails komfortabel mit der nächsten E-Mail in der Liste fortsetzen können! - Wenn Sie einen Filter verwenden, um sich auf Videos oder Dokumente zu konzentrieren, und dann ein Video oder ein Dokument doppelt anklicken, um die exportierten Einzelbilder des Videos zu sehen bzw. die im Dokument eingebetteten Bilder, dann wird der Filter ebenfalls automatisch abgeschaltet. - Wenn Sie sich Video-Einzelbilder in der Gallerie als kleine Miniaturansichten ansehen und die Rücksetz-Taste drücken oder den Menübefehl "Übergeordnetes Objekt aufsuchen" aufrufen, um zu dem Video zu navigieren, aus dem das Einzelbild exportiert wurde, z. B. um dieses Video anzuschauen, dann wird der Attributfilter für Video-Einzelbilder deaktiviert, so daß das Video tatsächlich im Verzeichnis-Browser aufgelistet wird. Ein einfacher Klick auf den Zurück-Schalter kehrt zur vorherigen Übersicht der Einzelbilder zurück, aktiviert den Filter wieder und wählt das betreffende Einzelbild erneut aus! - Dies funktioniert analog mit Datei-Anhängen von E-Mails, wenn Sie gelegentlich für relevante Datei-Anhänge einen Blick auf die enthaltene E-Mail werfen (und diese ausdrucken oder in einen Bericht aufnehmen) möchten. Diese zwei neuen Features zusammen, intelligente Filter auf der einen Seiten und Vor-/Zurück-Navigation im Verzeichnis-Browser auf der anderen Seite, sollten die Bedienbarkeit der Software weiter stark verbessern. * Es ist jetzt möglich, Verzeichnisse und Dateien mit Unterobjekten, die im Asservatüberblick aufgelistet sind, von dort aus zu erkunden, indem man sie doppelt anklickt. Dann rückt automatisch das Datenfenster in den Vordergrund, das das Asservat repräsentiert, das jenes Verzeichnis bzw. jene Datei enthält. Mit dem Zurück-Befehl (zweimal anwenden) kann man bequem zurück zum Asservat-Überblick gelangen, oder man aktiviert das Fenster, das den Asservat-Überblick enthält, einfach selbst wieder, z. B. durch Klick auf die Registerkarte. * Es ist jetzt möglich, die Anzahl von Suchtreffern zu ausgewählten Suchbegriffen in der Suchbegriffsliste abzulesen und auch zu kopieren. Diese Zahlen basieren auf den aktuellen Einstellungen für die auf dem Bildschirm aufgelisteten Suchtreffer und hängen ab von Filtern, dem erkundeten Pfad, etwaigen UND-Verknüpfungen von Suchbegriffen usw. (nur mit forensischer Lizenz) * Man kann nun auch im Index nach mehr als 1 Suchbegriff auf einmal suchen. Es ist außerdem jetzt möglich, die beiden Optionen für die Index-Suche bei einer Index-Suche vom Asservat-Überblick aus zu steuern. (betrifft nur forensische Lizenzen) * Typischweise können in NTFS-Dateisystemen nun noch mehr gelöschte Dateien bei der intensiven Dateisystem-Datenstruktur-Suche gefunden und im erweiterten Datei-Überblick untergebracht werden als zuvor. Diese gelöschten Dateien können mit Dateiname, Pfad, Zeitstempeln usw. aufgelistet werden. (nur mit forensischer Lizenz) * X-Ways Forensics kann nun oft den echten Löschzeitpunkt von ehemals existierenden Dateien in NTFS-Dateisystemen bei der intensiven Dateisystem-Datenstruktur-Suche ermitteln und in der entsprechenden Spalte im Verzeichnis-Browser eintragen. Noch mehr Löschzeitpunkte können gefunden und eingetragen werden, wenn die Datei $UsnJrnl:$J eingesehen oder im Vorschaumodus betrachtet wird. Dies ist ein einzigartes Feature. Nur mit forensischer Lizenz. Nicht zu verwechseln mit dem sog. Löschdatum, das Ihnen andere forensische Tools in NTFS-Dateisystemen u. U. anzeigen, für Dateien, die in dem Dateisystem nicht mal gelöscht wurden. * Option zum Ausschließen ehemals existierender Dateien aus dem Datei-Überblick bei desse Erzeugung. Nützlich, wenn Sie sich für gelöschte Dateien nicht interessieren oder Sie diese gar nicht ansehen dürfen. S. Option des Datei-Überblicks. * Option zum Ausschließen der je nach Partitionsgröße lang dauernden Suche nach FILE-Records außerhalb der $MFT aus der intensiven Dateisystem-Datenstruktursuche bei NTFS-Dateisystemen. * Verbesserte StreamMRU-Decodierung für den Registry-Bericht, um Kenntnis von Ordnern auf Wechseldatenträgern zu erlangen. * Verbesserte Erkennung von Sektorgröße und alternativen Layouts von Apple-Partitionstabellen in Roh-Images von CDs und DVDs. * Unterstützung von HFS+-Dateisystemen auf optischen Medien oder in Images mit einer Sektorgröße von 2048 Bytes. Betrifft nur forensische Lizenzen. * Möglichkeit, die Attribute "Temporärdatei" und "nicht zu indexieren" einer Datei auf Ihrem eigenen Datenträger in Datei | Eigenschaften zu setzen oder zu entfernen, über die Buchstaben T bzw. X. * Weitere der .dir-Dateien, in denen Datei-Überblicke gespeichert sind, .xfi-Index-Dateien sowie Image-Dateien werden nicht mehr von Windows indexiert, wenn die Indexierung eingeschaltet ist, um Zeit und Plattenplatz zu sparen. Gilt für von v15.4 erzeugte Dateien. * Das Wechseln zwischen dezimalen und hexadezimalen Offsets durch Klicken in der Offset-Spalte funktionierte in bestimmten Situation in v15.2 und v15.3 nicht mehr. Das wurde behoben. * Eine Endlosschleife tritt nun nicht mehr auf, die beim Erzeugen eines Index zum Einfrieren führen konnte, wenn das Schreiben von Index-Dateien auf ein entferntes Netzlaufwerk fehlschlug. * Wenn während des Speicherns eines Falls unter einem anderen Namen/an einem anderen Ort das Auto-Save-Intervall ablief, bracht dies die "Speichern unter"-Operation mit Fehlermeldungen ab. Dies wurde verhindert. * Diverse kleinere Verbesserungen. * Wenn dieselbe Datei zum selben Datei-Conainer erneut hinzugefügt wird und wenn von der ersten Version der Datei im Container nur Metadaten übertragen wurden (also kein Datei-Inhalt), weil sie nur indirekt mit kopiert wurde, um den Pfad von einem ihrer Unterobjekte im Container korrekt zu replizieren, und wenn dieselbe Datei dann beim zweiten Mal explizit mit Inhalt kopiert wird, dann ersetzt die neue Version mit Inhalt nun seit v15.3 SR-1 die alte Version ohne Inhalt. Zurvor wäre die Datei nicht erneut kopiert worden. * Wenn mehrere Suchbegriffe in der ursprünglichen Version 15.3 in der Parallelen Suche bei eingeschalteter GREP-Syntax verwendet wurden, wurde tatsächlich nur der erste Begriff gesucht. Dies wurde mit v15.3 SR-1 behoben. * Als Teil des Registry-Berichts werden nun weitere Informationen über Benutzerkonten aus dem SAM-Registry-Hive extrahiert. (seit v15.3 SR-1) * Der Script-Befehl "Convert" unterstützt nun die Parameter "hiberfil Binary" zur automatisierten Dekompression von hiberfil.sys. (seit v15.3 SR-1) * Verläßlichere Erkennung von Dateisystemen in Partitionen, die von konventionellen Apple-Partitionstabellen definiert sind. (seit v15.3 SR-1) * Mehr Informationen im Nachrichtenfenster beim Erweitern des Datei-Überblicks in mehreren Asservaten auf einmal darüber, welches Asservat gerade bearbeitet wird. (seit v15.3 SR-2) * Eine alltägliche Situation beim Erweitern des Datei-Überblicks ist, daß Dateien in per Header-Signatur-Suche gefundenen Zip-Archiven nicht geöffnet werden können, weil die Zip-Archive unvollständig oder beschädigt sind. In diesem Fall wird die Anzahl der Fehlermeldungen, die im Nachrichtenfenster ausgegeben werden, mittlerweile beträchtlich reduziert, die betroffenen Dateien werden in der Attributspalte mit "Dateiinhalt unbekannt" gekennzeichnet und es werden keine weiteren Versuche unternommen, solche Dateien zu öffnen. Dies sollte das Erweitern des Datei-Überblicks beschleunigen und die allgemeine Stabilität verbessern. (seit v15.3 SR-2) * Das NTFS-Attribut für "nicht zu indexieren" wird nun in der Attributspalte als "X" ausgegeben. (seit v15.3 SR-2) * Mehr Informationen über $UsnJrnl:$J im Vorschau-Modus. (seit v15.3 SR-2) * Der Registry-Bericht extrahiert nun Festplatten-Signaturen und Partitionsstartsektoren aus "MountedDevices"-Einträgen. (seit v15.3 SR-2) * Ein scheinbarer Verlust von Suchtreffern konnte in bestimmten Situationen auftreten. Dies hatte mit der neuen Speicherart für Suchtreffer in v15.3 zu tun und wird seit SR-3 verhindert. Suchtreffer, die aufgrund dieses Fehlers scheinbar verlorengingen, werden von v15.3 SR-3 und später automatisch wiederhergestellt, sofern keine neuen Suchläufe im selben Asservat angestoßen wurden * Suchtreffer in der decodierten Version von PDF/HTML/...-Dateien konnten u. U. in v15.3 vor SR-3 mit falschem Inhalt dargestellt werden, abhängig vom Sortierkriterium. Dies wurde mit v15-3 SR-3 behoben. * Das Öffnen von großen NTFS-Partitionen (nicht das Erstellen des Datei-Überblicks, sondern das bloße Öffnen und jedes Öffnen) ist nun deutlich schneller. (seit v15.3 SR-3) * Die Bezeichnungen der Registerkarten von Fenstern, die interpretierte Images oder Partitionen in Images repräsentieren, sind nun kürzer, so daß mehr Registerkarten auf den Bildschirm passen. Die Partitionsnummern werden zudem in den Registerkarten nicht herausgekürzt, auch wenn der Name des Images lang ist. (seit v15.3 SR-3) * Die Anzeige der RAID-Komponente und der relativen Sektornummer in intern rekonstruierten RAIDs in der Informationsspalte wurde korrigiert für RAID Level 0. Sie funktionierte bisher nur für RAID Level 5. (seit v15.3 SR-3) * Der Fall wird nun wieder sofort nach dem Abschluß oder dem Abbruch einer Suche gespeichert, so daß Suchtreffer nicht verlorengehen, sollte das Programm vor dem nächsten regulären Speichern des Falls abstürzen. (seit v15.3 SR-4) * Möglichkeit, Dateien mit Wiederherstellen/Kopieren incl. Pfad zu kopieren, wenn Teil des Pfades ein Verzeichnis ist, dessen Name lediglich aus einem Punkt besteht. Nützlich für Dateien, die assoziiert sind mit Spuren von alten NTFS-Stammverzeichnissen. Allein nur der Punkt ist für Windows ein unzulässiger Name; daher wird "." beim Herauskopieren umbenannt in "_". (seit v15.3 SR-4) * Verhindert, daß unser Firmenname als Ersatz für eine fehlende ursprüngliche "X-Mailer"-Zeile in E-Mails eingefügt wird, die aus Outlook-Ordnern "Gesendete Objekte" extrahiert werden. (seit v15.3 SR-4) * Daß der Fallbericht nach seiner Erzeugung nicht geöffnet werden konnte, wenn der vom Benutzer angegebene Dateiname keine .html-Endung hatte, wurde behoben. (seit v15.3 SR-4) |
#114: WinHex, X-Ways
Forensics und X-Ways Investigator 15.3 veröffentlicht 11. Mai 2009 |
In dieser Ausgabe dieses Newsletters informieren wir Sie über ein
beachtenswertes Update, die Version 15.3. Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter https://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics" 2.-4. Juni (Plätze frei) "Speicherforensik" 5. Juni (Plätze frei) Details unter https://www.x-ways.net/training/index-d.html. ------------------------------------------------------------- Eine neue Version der Viewer-Komponente ist nun verfügbar für lizenzierte Benutzer von X-Ways Forensics mit Update- Berechtigung. Die Änderungen sind u. a.: * Verbesserungen bei Open Office 2.x / Star Office 8.0 Calc * Unterstützung für die meisten Diagramm-Typen in MS Office 2007 * Unterstützung für AutoCAD 2007 * Verbesserung der Unterstützung für AutoCAD 2005 & 2006 * JPEG2000-Unterstützung ausgebaut * andere Verbesserungen und vermutlich Fehlerkorrekturen ------------------------------------------------------------- Was ist neu? * Die Index-Optimierung wurde grundlegend überarbeitet. Sie kann nun eine benutzerdefinierte Anzahl von Prozessor-Kernen verwenden und eine benutzerdefinierte Menge an Hauptspeicher pro Prozeß. Sie optimiert schneller und gründlicher und nutzt den Speicher besser aus. * Verbesserte Speicherverwaltung für Suchtreffer. Es wird kein zusätzlicher Speicher für Suchtreffer mehr benötigt, wenn der Fall geladen oder gespeichert wird. Speicher für Suchtreffer wird nun nur noch dann benötigt, wenn das betreffende Asservat offen ist, genau wie es schon immer für den Speicher der Fall war, der vom Datei-Überblick benötigt wird. Die Begrenzung der Anzahl von Suchtreffern pro Asservat durch den Hauptspeicher wurde leicht erhöht; es sind nun mehrere 10 Millionen Suchtreffer möglich. Suchtreffer, die von v15.3 in einem Fall gespeichert werden, können von älteren Versionen nicht mehr geladen werden. * Die Menüeinträge für die parallele Suche und die Index-Suche wurde nach ganz oben ins Suchmenü verschoben (für Lizenztypen, in denen diese Funktionen verfügbar sind), da sie im Suchmenü am wichtigsten sind. * Das Decodieren von Text in PDF-, HTML- und diversen anderen Dokumenten für die logische Suche und die Indexierung kann nun nicht mehr zum Absturz oder Einfrieren von X-Ways Forensics führen, wenn die Viewer-Komponente ein Problem mit einer Datei hat, weil sie z. B. beschädigt st. * Beim Versuch, eine Datei mit der Viewer-Komponente einzusehen (Vorschau oder Befehl "Einsehen"), von der bekannt ist, daß sie die Viewer-Komponente zum Absturz bringt, werden Sie gefragt, ob Sie sich sicher sind, daß Sie die Datei einsehen möchten. * Die Roh-Variante des Vorschau-Modus' wird nun automatisch wieder ausgeschaltet, wenn man eine Datei eines anderen Typs ansieht. Das ist vorteilhaft, weil zu viele Benutzer vergessen, daß der Roh-Modus noch aktiv ist, nachdem sie z. B. E-Mails oder HTML- oder XML-Dateien betrachtet haben (für die er von Vorteil sein kann) und ihn danach noch für andere Dateitypen verwenden und ihnen dadurch eine originalgetreue Darstellung wichtiger Dokumenttypen entgeht. * Prüft die Hash-Datenbank vor einer Änderung darauf, ob sie in Gebrauch ist, um Konflikte zumeiden. * Der Integritätstest der Hash-Datenbank kann nun abgebrochen werden. * Wenn Sie einen Ausschnitt aus einer Datei dem Datei-Überblick als virtuelle Datei hinzufügen (Block im Datei-Modus auswählen und entsprechenden Befehl im Bearbeiten-Menü aufrufen), wird die daraus resultierende Datei nun in der Attributspalte als "Ausschnitt" gekennzeichnet und ist darüber filterbar. * Im Arbeitsspeicher (lokaler RAM eines laufenden Systems oder ein Speicher-Dump) werden nun Kernel-Datenstrukturen und benannte Objekte von Windows bequem in einem Baum im Datei-Überblick dargestellt. Andere Objekte werden für jeden Prozeß in der Handle-Tabelle aufgelistet. * Auch werden nun geladene Module aufgelistet, in einem virtuellen Verzeichnis namens "Modules". Das versetzt X-Ways Forensics auch in die Lage dazu, deren Speicherseiten im RAM den Modulen zuzuordnen, und Hash-Werte für sie zu berechnen, so daß sie über spezielle Hash-Sets identifiziert werden können, wobei idealerweise nur der invariante Header-Teil gehasht werden sollte, was optional ist. * Diverse andere Verbesserungen in der Hauptspeicheranalyse, bessere Unterstützung des Arbeitsspeichers von 64-Bit Windows-Versionen, und die Funktionalität ist nun generell robuster. * Die Datei "File Type Signatures Memory Search.txt" erweitert die Datei-Header-Signatursuche und ist nun herunterladbar von https://www.x-ways.net/winhex/templates/File%20Type%20Signatures%20Memory%20Search.txt . Diese Datei enthält Signaturdefinitionen für Pakete vom Typ TCP, ADR, UDP, ICMP und IGMP, und sie sind nur anwendbar auf Speicher-Dumps und müssen an Byte-Grenzen gesucht werden. * 4 zusätzliche Datentypen wurden dem Daten-Dolmetscher hinzugefügt: SID (Security-Identifier), IP-Adressen, gepackte 7-Bit-ASCII-Strings und vorzeichenlose 48-Bit-Integer. IP-Adresses und vorzeichenlose 48-Bit-Integers sind auch in Schablonen verfügbar, und der Variablen-Typ für erstere ist "IP". Beide Typen sind hilfreich für die manuelle Analyse von 64-Bit-Hauptspeicher. * 4 weitere Hash-Types wurden hinzugefügt: RipeMD-128, RipeMD-160, MD4 und (nur für Specialist-Lizenzen und höher) ed2k. ed2k basiert auf MD4 und wird in File-Sharing-Programmen verwendet. * Der Fallbericht kann nun optional automatisch in mehrere HTML-Dateien aufgeteilt werden, wenn zu viele Bilder einzubinden sind (Hunderte oder Tausende) und diese dem Internet-Browser oder einem anderen zur Anzeige oder zum Drucken verwendeten Programm beim Laden Kopfzerbrechen bereiten. * Es ist nun möglich, den Fallbericht nur für ausgewählte Asservate statt einfach für den gesamten Fall auszugeben, über ein zusätzliches Kontrollkästchen im Dialogfenster mit den Berichtsoptionen. (nur forensische Lizenz) * Anklickbare Links zu Dateianhängen in E-Mails im Vorschau-Modus funktionieren nun in einigen seltenen Fällen, in denen das bisher nicht der Fall war. * Ein neuer Filter wurde eingeführt, der es erlaubt, sich auf Dateien zu konzentrieren, die entweder vom Ermittler (Anwender von X-Ways Forensics) bereits eingesehen worden sind oder noch nicht eingesehen worden sind. S. Verzeichnis-Browser-Optionen. (forensische Lizenz only) * Einige Sicherheitsoptionen und Verzeichnis-Browser-Optionen, die die Erstellung des Datei-Überblicks betreffen, sind nun über einen Schalter im Dialogfenster mit den Verzeichnis-Browser-Optionen zu erreichen. * Eine neue Option des Datei-Überblicks bewirkt, daß gelöschte Partitionen ihren Löschzustand auf alle in ihnen enthaltenen Objekte (Dateien, Verzeichnisse, ...) übertragen, und daß gelöschte E-Mail-Archive ihren Löschzustand ebenfalls auf alle in ihnen enthaltenen Objekte (E-Mails, Datei-Anhänge, Verzeichnisse, ...) übertragen. In der Voreinstellung unterscheidet X-Ways Forensics weiterhin zwischen existierenden und gelöschten Dateien und E-Mails usw., selbst in gelöschten Partitionen/E-Mail-Archiven, wie in früheren Versionen, so daß mehr Informationen erhalten bleiben, nämlich der Löschzustand aus Sicht des Dateisystems bzw. des E-Mail-Archivs selbst. * Über zwei weitere neue Option des Datei-Überblicks können Sie nun angeben, ob Sie an früheren Namen und Orten von umbenannten bzw. verschobenen Dateien in NTFS interessiert sind, und ob Sie Dateien aufgelistet bekommen möchten, von denen nur Name, Größe, Zeitstempel und Attribute, aber keine Dateiinhalte bekannt sind. Standardmäßig werden all solche Dateien beim Erweitern des Datei-Überblick aufgenommen, wie in früheren Versionen. (nur Specialist- und forensische Lizenz) * zip.exe wurde durch eine Version ersetzt, die größere Zip-Dateien unterstützt. Dieses Programm wird zum Archivieren von Fällen aufgerufen. * Diverse kleine Verbesserungen. * Ein Ausnahmefehler wurde behoben, der beim Erstellen eines Datei-Überblicks auftreten konnte. (seit v15.2 SR-1) * Metadaten werden nun extrahiert aus gecarveten Paketen vom Typ TCP, UDP und ICMP. (seit v15.2 SR-2) * Ein Absturz wurde verhindert, der auftrat, wenn X-Ways Forensics Zip-Archive mit einer bestimmten Art von Beschädigung verarbeitete. (seit v15.2 SR-2) * Eine Endlosschleife wurde verhindert, die in bestimmten Situationen beim Extrahieren von E-Mail auftreten konnte. (seit v15.2 SR-2) * Es wurden Fehler behoben, der bis zur Version 15.2 SR-2 eine Beschädigung der Hash-Datenbank bewirken konnten. In einigen Situationen beim Importieren eines Ordners mit Hash-Sets wurden diese Hash-Sets unbeabsichtigterweise verschmolzen. Das wurde mit v15.2 SR-4 behoben. * Ein neuer Schablonen-Befehl "gotoex n" wurde eingeführt, der es erlaubt, zu einem bestimmten absoluten Offset auf einem Datenträger oder in einer Datei oder im Arbeitsspeicher zu springen. Zum Vergleich: Der bisherige "goto"-Befehl basiert auf dem Anfang der Struktur, bei der die Schablonen-Interpretation begann. (seit v15.2 SR-4) * Eine neuer Schablonen-Befehl namens "exit" bricht die Interpretation eine Schablone ab. (seit v15.2 SR-4) * Eine Ausnahmefehler wurde behoben, der in v15.2 bei der Rückkehr von einer Suchtrefferliste zum normalen Verzeichnis-Browser auftreten konnte, je nach Sortierkriterien in der Suchtrefferliste. (seit v15.2 SR-4) * Der Windows-CD-Key wird nun decodiert und im Klartext ausgegeben, wenn man die Windows DigitalProductId im Registry-Bericht extrahieren läßt. (seit v15.2 SR-4) * Ein Formatfehler im Registry-Bericht behoben. (seit v15.2 SR-5) * Der Pfad eines geladenen Registry-Hives wird nun zumindest teilweise in der Statusleiste des Registry-Viewers angezeigt. Das ist nützlich z. B., wenn man mehrere ntuser.dat-Dateien aus verschiedenen Images und Benutzerprofilen zur gleichen Zeit geladen hat. (seit v15.2 SR-7) * Ein Sternchen am Ende eines Registry-Pfades in der Registry-Bericht-Definition hat bisher nicht alle Unterschlüssel und Werte abgedeckt. Dies wurde behoben. (seit v15.2 SR-9) * Wenn Fehler auftreten beim Befüllen eines Datei-Containers wird in bestimmten Situationen nun nicht mehr abgebrochen, wo das früher der Fall war, und in anderen Situation wird ein spezifischer Fehlercode zurückgemeldet. (seit v15.2 SR-5) * Ein Fehler wurde behoben, der beim Kopieren von Dateien in einen Container aus einer nicht-rekursiven Liste auftreten konnte. (seit v15.2 SR-7) * Neu erstellte Container merken sich nun den Besitzer von Dateien aus NTFS-Dateisystem in Form des letzten Teils der SID, und nicht mehr den Security-Identifier-Index. (seit v15.2 SR-7) * Ein neuer Ausnahmefehler, der beim Betrachten von extern geöffneten Dateien auftrat, wurde behoben. (seit v15.2 SR-6) * Der Verzeichnis-Browser und der Details-Modus zeigen nun beide den übersetzten Benutzernamen (sofern verfügbar) und die SID als Besitzer von Dateien in NTFS-Dateisystemen, nicht mehr nur eins von beiden. (seit v15.2 SR-7) * Ein Ausnahmefehler wurde behoben, der beim Anklicken von Verzeichnissen im Verzeichnisbaum auftreten konnte. (seit v15.2 SR-7) * Das Unvermögen, Roh-Sektoren von Audio-CDs zu lesen, wurde korrigiert. (seit v15.2 SR-9) * Ein Fehler wurde vermieden, der beim Starten einer parallelen Suche mit bestimmten Einstellungen auftrat. (seit nce v15.2 SR-10) * Die Anzeige wurde u. U. nicht richtig aktualisiert, wenn man im Dateimodus von einem Suchtreffer zum nächsten navigierte. Dies wurde korrigiert. (seit v15.2 SR-10) * Konflikte vermieden beim gleichzeitigen Ausführen mehrerer Instanzen von MPlayer aus mehreren Instanzen von X-Ways Forensics heraus. (seit v15.2 SR-10) * Die maximale Länge der Dateimaske für die Extraktion von eingebetteten JPEG-/PNG-Bildern wurde erhöht. (seit v15.2 SR-10) * Eine Fehlinterpretation der besonderen GREP-Zeichen $ und ^ bei Suchläufen ohne eingeschaltete GREP-Syntax wurde korrigiert. (seit v15.2 SR-11) * Dateien, die virtuell vom Benutzer an das Stammverzeichnis eines Volumes angehängt worden waren, wurden in einigen Operationen ignoriert, auch wenn sie ausgewählt waren. Dies wurde behoben. (seit v15.2 SR-11) * Besserer Umgang mit überlangen Pfaden und einer extrem hohen Anzahl von Dateien beim Erstellen eines Datei-Überblicks auf Laufwerken ohne Zugriff auf Sektorebene (z. B. entfernte Netzlaufwerke ohne Verwendung von F-Response). (seit v15.2 SR-12) * Kein Einfrieren mehr beim Einlesen von bestimmten sehr großen DVDs. (seit v15.2 SR-12) * Verbesserte Kompatibilität mit .e01-Evidence-Files, wie sie von EnCase 6.13 erstellt werden. (seit v15.2 SR-12) * Die Fehlermeldung "... ist ein ungültiges Zeichen" wird in Situationen, in denen sie unangemessen war, nun vermieden. (seit v15.2 SR-12) * Ein Fehler wurde behoben, der in einigen Situationen beim Verarbeiten bestimmter thumbs.db-Dateien auftrat. (seit v15.2 SR-12) |
#113: WinHex, X-Ways
Forensics und X-Ways Investigator 15.2 veröffentlicht 19. Jan. 2009 |
In dieser Ausgabe dieses Newsletters informieren wir Sie über ein größeres
Update, die Version 15.2, veröffentlicht am 15. Januar. Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung sowie Upgrade-Angebote unter https://www.x-ways.net/winhex/license-d.html . ------------------------------------------------------------- Nächste allgemein zugängliche Schulungstermine in Köln: "X-Ways Forensics" 2.-4. Mrz. (Warteliste) "Dateisysteme" 5.+6. Mrz. (Plätze frei) "X-Ways Forensics" 6.-8. Apr. (Plätze frei) Details unter https://www.x-ways.net/training/index-d.html. ------------------------------------------------------------- Was ist neu? * Hauptspeicheranalyse. Erfordert eine forensische Lizenz. Die Analyse ist verfügbar für lokalen RAM (geöffnet über Extras | RAM öffnen) und für Memory-Dumps. Unterstützt die 32-Bit-Versionen von Windows 2000, Windows XP, Windows 2003 Server, Windows Vista und Windows 2008 Server. Prozesse werden im Verzeichnis-Browser aufgelistet, mit ihren Zeitstempeln und Prozeß-IDs, und ihr jeweiliger Speicheradreßraum kann individuell im Modus "Process" eingesehen werden, wobei die Seiten in korrekter logischer Reihenfolge hintereinander dargestellt werden, wie sie aus Sicht jedes Prozesses angeordnet sind. Die "intensiven Dateisystem-Datenstruktur-Suche" ist signaturbasiert, dauert ein bißchen länger als das Erstellen des standardmäßigen Datei-Überblicks und kann Spuren von weiteren beendeten Prozessen sowie Rootkits aufdecken. Der technische Detailbericht gibt wichtige systemweite Parameter aus sowie die aktuellen Adressen wichtiger Kernel-Datenstrukturen. Im Details-Modus finden sich zu jedem Prozeß die Adressen von prozeßbezogenen Datenstrukturen und jeweils die ID des übergeordneten Prozesses. Im RAM-Modus wird zu jeder Speicherseite in der Informationsspalte ggf. ein zugehöriger Prozess und der Verwaltungszustand angezeigt. Mit dem entsprechenden Hintergrundwissen kann die neue Funktionalität benutzt werden, um mehr zu erfahren über den aktuellen Zustand der Maschine und der Prozesse, Sockets, geöffnete Dateien, geladene Treiber und angeschlossene Datenträger, um Schadsoftware zu identifizieren, um die entschlüsselte Version von verschlüsselten Daten zu finden, um etwa in der Vorfallsanalyse Netzwerk-Spuren zu analysieren, und um weitere Erkenntnisse im Bereich der Speicherforensik zu gewinnen. * Arbeitsspeicher kann mit X-Ways Forensics auch über ein Netzwerk hinweg gesichert werden, mit Hilfe von F-Response 2.x, seit v15.1 SR-5 (Extras | Datenträger öffnen). * Der Befehl "Speichern unter" steht nun auch für Datenträger bzw. über F-Response geöffnetes RAM zur Verfügung (noch eine weitere Möglichkeit, ein Image zu erzeugen). * Wenn mehr als 1 GB Hauptspeicher verfügbar ist, nutzt die Index-Optimierung den Speicher nun besser aus, was zu einer beträchtlichen Beschleunigung dieses Schritts für große Indexe führen kann. * Es gibt nun zwei verschiedene Kontrollkästchen im Fenster "Suche im Index". Das Ankreuzen des ersteren hilft, Wörter innerhalb von Verbünden zu finden (z. B. "Konto" in "Bankkonto" und "Unterkonto"). Wie schon in früheren Versionen, ist das Ergebnis ist allerdings unvollständig und langsam, wenn der Index nicht schon speziell für Teilwortsuchen präpariert wurde. Das Ankreuzen des zweiten Kontrollkästchens erlaubt Wortverlängerungen (findet z. B. "Drogen" bei der Suche nach "Droge" und "Bankkonto" bei der Suche nach "Bank"). Das Finden von Wortverlängerungen war in früheren Versionen die Standardeinstellung. Jetzt ist es optional. Wenn beide Kontrollkästchen *nicht* angekreuzt sind, werden nur ganze Wörter gefunden. * Hash-Sets können nun nach Wichtigkeit eingestuft werden. Das ist nützlich, weil beim Abgleich von Hash-Werten mit der Hash-Datenbank immer nur maximal 1 Treffer zurückgegeben wird, auch wenn derselbe Hash-Wert in mehreren Hash-Sets enthalten ist. Jetzt können Sie sicherstellen, daß Sie in einem solchen Fall das für Sie relevanteste Hash-Set gemeldet bekommen, z. B. ein Hash-Set, das Kipo-Bilder ohne Zweifel identiziert und nicht ein anderes Hash-Set aus einer anderen Quelle, in dem auch die Hash-Werte von weniger eindeutig dem Bereich Kipo zuzuordnenden Bilddateien enthalten sind. Ebenfalls neu ist, daß im Fall von mehreren Treffern in der Hash-Set-Spalte hinter dem Namen des jeweils zurückgemeldeten Hash-Sets nun ein "+"-Zeichen angezeigt wird. * Sie können nun Unicode-Zeichen bei der Benennung von Hash-Sets verwenden. * Zur Erhöhung der Bequemlichkeit erinnern sich WinHex und X-Ways Forensics nun an das zuletzt ausgewählte Objekt und weitere Einstellungen des Verzeichnis-Browsers und stellen sie wieder her, wenn Sie Datenfenster und Asservate erneut öffnen. Das erleichtert es, die eigene Arbeit (die Begutachtung von Dateien) nach einer Pause oder Unterbrechung an gleicher Stelle fortzusetzen. * Datei-Container, die mit der neuen Version erstellt wurden, speichern nun auch die Hash-Kategorie von Dateien und den Hautfarbenanteil von Bildern. * X-Ways Forensics kann nun Hash-Werte vom Typ SHA-1 von .e01 Evidence-Files importieren, wie sie neuerdings optional von EnCase 6.12 bereitgestellt werden. (Beachten Sie, daß Sie in X-Ways Forensics niemals auf MD5 beschränkt waren.) * Es ist nun möglich, ein Asservat durch einem neuen Datenträger zu ersetzen (Laufwerksbuchstabe oder physischer Datenträger). Nützlich, wenn Sie mit Originalplatten und nicht mit Images arbeiten, und der Laufwerksbuchstabe oder die Plattennummer sich in Windows geändert hat. * Die Grafikbibliothek wurde aktualisiert. Einige Probleme mit der Anzeige von Bildern wurden damit behoben. * Möglichkeit zum Interpretieren von ISO-CD-Images im Mode 1 mit 2.352 Bytes pro Sektor, sofern diese Images nicht segmentiert sind. * Es ist jetzt möglich, existierende und gelöschte Dateien in separaten Ausgabeverzeichnissen zu gruppieren, wenn Sie den Befehl Wiederherstellen/Kopieren verwenden. Erfordert, daß Sie X-Ways Forensics auch den Originalpfad wiederherstellen lassen. * Möglichkeit, Dateien wiederherzustellen, deren Originalpfad Verzeichnisnamen mit Leerzeichen am Ende enthält, obwohl Windows dies nicht erlaubt, indem diese Leerzeichen entfernt werden. * Für intern rekonstruierte RAIDs wird nun in der Informationsspalte die Nummer der Komponentenplatte angezeigt, von der der aktuelle Sektor (der Sektor mit dem blinkenden Cursor) gelesen wurde, zusammen mit der relativen Nummer, die der Sektor auf dieser Komponentenplatte hat. * Es ist jetzt möglich, auch in einer Suchtrefferliste Dateien zu unterdrücken. Solche Dateien werden tatsächlich herausgefiltert, wenn Sie unterdrückte Objekte nicht auflisten lassen, sobald Sie den Enter-Schalter im Suchbegriffsfenster anklicken, um die Suchtrefferliste neu zu füllen. * Beim Identifizieren und Unterdrücken von doppelten Dateien war es bisher möglich, daß Verbünde von E-Mails und Attachments aufgespalten wurden, weil das übergeordnete Objekt (die E-Mail) von einem Verbund und das Unterobjekt (der Dateianhang) eines anderen anderen Verbunds unterdrückt wurde. Der Algorithmus wurde verbessert, um die Qualität der Untersuchung zu verbessern, indem diese nicht wünschenswerte Situation nun vermieden wird. Identische E-Mails mit unterschiedlichen Dateianhängen (Unterobjekten) werden als Duplikate gekennzeichnet, aber nicht mehr unterdrückt. Identische Anhänge (Unterobjekte) werden als Duplikate gekennzeichnet, aber nur dann indirekt unterdrückt, wenn sie Teil von identischen E-Mails sind und diese auch unterdrückt werden. * Nach der Verarbeitung von E-Mail zeigt X-Ways Forensics nun Datei-Anhänge als Unterobjekte von E-Mails statt in einem virtuellen Verzeichnis namens "Attach" an, in einigen wenigen Fällen, in denen dies bisher noch nicht so geschah. * Ein Benennungsproblem wurde behoben, für E-Mails, die aus msg-Dateien extrahiert wurden, welche dem Datei-Überblick als virtuelle Dateien von extern angehängt worden waren. * Es ist jetzt möglich, alle Dateien eines ganzen Verzeichnisses auf einmal an einen Daten-Überblick anzuhängen, nicht nur einzelne Dateien, wenn Sie die Strg-Taste beim Aufruf des Befehls im Kontextmenü des Verzeichnis-Browsers gedrückt halten. Nützlich z. B., nachdem Sie Tausende von .msg-Dateien aus einem .pst- oder .ost-E-Mail-Archiv mit der Viewer-Komponente extrahiert haben, um sie zurück in X-Ways Forensics zur weiteren Verarbeitung zu importieren. * Ein Fehler in der Funktion "Unterdrücktes ganz entfernen", der seit v14.8 existierte, wurde behoben. * Icons von unterdrückten Dateien werden nun in Grau statt blau angezeigt. Icons von verdächtigen Dateien werden nun in Rot statt blau angezeigt. * Beim Hinzufügen einer Datei zu einer Berichtstabelle ist es nun möglich, gleichzeitig auch rekursiv all deren Unterobjekte zu derselben Tabelle hinzuzufügen, nicht nur direkte Unterobjekte. * Möglichkeit, wtmp- und utmp-Log-In-Datensätze von Unix/Linux einzusehen. * Erkennt das Dateisystem TFAT als solches. * Wenn Sie die empfehlenswerte Datenreduktion für logische Suchen einschalten, werden Dateien, die als verschoben/umbenannt gekennzeichnet sind, nicht mehr durchsucht, da dieselben Daten bereits durchsucht werden, wenn die betreffende Datei in ihrem neuen Verzeichnis/unter ihrem neuen Namen an die Reihe kommt. * Diverse kleinere Verbesserungen. * Ein Ausnahmefehler vom Typ 216 bei Offset 00550348 beim Erstellen eines Datei-Überblicks in der ursprünglichen Version 15.2 wurde mit SR-1 behoben. * Ein Ausnahmefehler, der in seltenen Fällen beim Optimieren eines Indexes auftreten konnte, wurde ebenfalls mit v15.2 SR-1 behoben. * Es gibt nun zwei Interpretationen von $LogFile im Vorschau-Modus und für den Einsehen-Befehl. Die neue Interpretation gibt Ihnen einen leicht verständlichen Überblick über gelöschte Dateien mit Löschzeitpunkt (bis dato nicht verfügbar und ein weiteres Alleinstellungsmerkmal von X-Ways Forensics). In Fällen, in denen der Löschzeitpunkt fehlt, kann zumindest manuelle ein Zeitrahmen, in dem die Löschung erfolgt sein muß, abgeleitet werden. Die alte Interpretion, eine weitaus vollständigere und detailliertere Ansicht von $LogFile, ist noch immer verfügbar, wenn Sie den Roh-Modus aktivieren. (seit v15.1 SR-1) * Eine Ausnahmesituation, die während einer Suche im Index auftreten konnte, wurde behoben. (seit v15.1 SR-1) * Das Markieren von Dateien in einer rekursiven Ansicht hatte nicht immer den richtigen Effekt auf Verzeichnisse. Dies wurde korrigiert. (seit v15.1 SR-1) * Ein Ressourcen-Leck wurde behoben, das zutage trat, wenn man versuchte, aus Tausenden von Dateien E-Mails zu extrahieren. (seit v15.1 SR-1) * Verschobene oder umbenannte Dateien in NTFS-Partitionen, von denen nur Index-Records verfügbar sind und deren Dateigröße unbekannt ist, werden nun auch in der Galerie, nicht nur im Vorschau-Modus angezeigt. (Allerdings beides nur, wenn der neue Zustand der Datei, wie er in einem FILE-Record definiert ist, das Öffnen der Datei erlaubt.) (seit v15.1 SR-2) * Wenn E-Mail aus paßwortgeschützten Outlook-PST-Archiven extrahiert werden soll und der Benutzer nicht innerhalb von 30 Sekunden reagiert und zustimmt, ein Paßwort einzugeben, fährt X-Ways Forensics mit der nächsten Datei fort. (seit v15.1 SR-2) * Datei-Container können nun nach dem Befüllen beim Schließen nicht nur in einer .e01-Datei verpackt, sondern optional in ihrem aktuellen Zustand auch "eingefroren" werden, so daß sie nicht noch weiter befüllt werden können (selbst nach Rückkonvertierung in ein Roh-Image). Solche Container werden im technischen Detailbericht als schreibgeschützt beschrieben. (seit v15.1 SR-2) * Möglichkeit, Hybride von RAR mit JPEG oder Bitmap-Dateien zu erkennen, bei der Extraktion von Metadaten sowie im Details-Modus. (seit v15.1 SR-2) * Mehr Informationen über RAR-Dateien im Details-Modus. (seit v15.1 SR-2) * Instabilität des Registry-Viewers unter Windows Vista beseitigt. (seit v15.1 SR-2) * Eine Instabilität wurde korrigiert, die beim Dekomprimieren bestimmter hiberfil.sys-Dateien auftreten konnte. (seit v15.1 SR-2) * Ein Problem beim Verarbeiten von signierten E-Mails (x-pkcs7-Signatur) von Eudora wurde behoben. (seit v15.1 SR-2) * Erhöhte Genauigkeit bei der Konvertierung bestimmter E-Mails von Office Outlook. (since v15.1 SR-2) * Einige weitere kleinere Verbesserungen und Fehlerkorrekturen bei der E-Mail-Verarbeitung. (seit v15.1 SR-2) * Ein Fehler, der die Anzeige von GIF-Bildern für den Rest einer Sitzung nach Anzeige des bestimmten GIF-Bildes verhinderte, ist behoben worden. (seit v15.1 SR-3) * Die von Windows auf Festplatten hinterlassene Signatur wird nun im technischen Detailbericht mit ausgegeben. (seit v15.1 SR-4) * Zip-Dateien, die OpenOffice-Dokumente sind, werden nun bei der Signatursuche normalerweise wieder mit der korrekten Dateigröße dargestellt. (seit v15.1 SR-4) * Nach dem Abgleich von Hash-Werten mit der Hash-Datenbank, wenn eine andere Hash-Datenbank geladen wird und die Hash-Werte nicht wieder mit der neuen Datenbank abgeglichen werden, werden Bezüge auf Hash-Sets in der alten Datenbank nicht mehr als gültig anerkannt, was verhindert, daß ein falsches Hash-Sets in der Hash-Set-Spalte angezeigt wird. Die Hash-Kategorie hingegen war immer unabhängig von der Hash-Datenbank gespeichert worden. (seit v15.1 SR-4) * Die Fortschrittsanzeige für den Wiederherstellen/Kopieren-Befehl wurde korrigiert. (seit v15.1 SR-4) * Die Anzeige zweier Meldungsfenster wurde vermieden, die in sehr speziellen Situationen beim Erweitern des Datei-Überblicks Benutzerinteraktion erzwangen. (seit v15.1 SR-4) * Das Abwählen der Option "Unterobjekte gewählter Dateien kopieren" hatte nicht immer den gewünschten Effekt. Das wurde behoben. (seit v15.1 SR-5) * Der GREP-Anker "$" funktionierte nicht richtig für größere Dateien. Das wurde korrigiert. (seit v15.1 SR-5) * Das Unvermögen der Funktion Bearbeiten | Daten modifizieren, größere Dateien zu verarbeiten, wurde behoben. (seit v15.1 SR-6) * Einige Ausnahmefehler wurden verhindert. (seit v15.1 SR-6) * Ein Fehler im Wiederherstellen/Kopieren-Befehl wurde behoben, der Anzeigefehler im Fortschrittsanzeigefenster zur Folge hatte und dazu führen konnte, daß bestimmte Dateien nicht wiederhergestellt wurden (gefolgt von einer Fehlermeldung, die besagte, daß die ursprünglichen Zeitstempel oder Attribute nicht auf die Datei übertragen werden konnten, weil die Datei nicht gefunden wurde). (seit v15.1 SR-7) * Ein Zeitzonen-Umrechnungsfehler für Zeitstempel in der neuen $LogFile-Interpretation (nicht im Roh-Modus) wurde behoben. (seit v15.1 SR-7) * Möglichkeit, den Menübefehl Bearbeiten | Alles auswählen (aber nicht das Tastenkürzel dazu) auf Fenster der Viewer-Komponente anzuwenden. (seit v15.1 SR-7) * Der Befehl "Speichern unter" für Fälle kann nun auch mit überlangen Pfaden in Unterverzeichnissen des Falls umgehen (bis zu 510 Zeichen). (seit v15.1 SR-8) * Ein Fehler wurde behoben, der unter bestimmten Umstände eine falsches Muster zum internen Zusammensetzen von RAID-5-Systemen mit Forward Parity zur Folge hatte. (seit v15.1 SR-8) |