X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#125: WinHex, X-Ways Forensics und X-Ways Investigator 16.3 veröffentlicht

16. Dez. 2011

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 16.3.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter https://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.


Schulungen

Köln: 16.-20. Jan. 2012: X-Ways Forensics + Dateisysteme
Weitere Informationen


Wir möchten daran erinnern, daß Dongles für X-Ways Forensics bei Verlust oder Diebstahl nur dann ersetzt werden können, wenn sie versichert waren (was kostenlos ist).


Neues Produkt: X-Ways Imager
höchste Geschwindigkeit, intelligenteste Kompression

Die reduzierte Version von X-Ways Forensics nur für Datenträger-Sicherungen ist jetzt ein separates Produkt, heißt X-Ways Imager und kann von jedermann käuflich erworben werden! Ursprünglich 2009 eingeführt nach einer Anfrage durch eine US-Behörde, die in Geschwindigkeitstests festgestellt hatte, daß X-Ways Forensics im Vergleich zu anderen Imaging-Tools mit Abstand am schnellsten war, vor allem zusammen mit Hardware-Schreibblockern. Ein weiterer Test von einer vergleichbaren Behörde in Australien ergab später ebenfalls signifikante Geschwindigkeitsvorteile gegenüber konkurrierenden Produkten. Neuestes Ergebnis, 28. November 2011: X-Ways Forensics/X-Ways Imager war etwa doppelt so schnell wie die Konkurrenz (die üblichen Verdächtigen) in einem Test des Entwicklungsteams von F-Response! (Blog-Post)

Die Intelligenz der Kompressionoptionen ujnd Optionen wie der Ausschluß von freiem Laufwerksspeicher und Rückwärtskopieren machen X-Ways Forensics zur vielleicht besten Imaging-Software auf dem Markt. Die verwendeten Algorithmen versprechen einen exzellenten ausgewogenen und von den jeweiligen Daten abhängigen dynamischen Kompromiß zwischen Geschwindigkeit und Kompressionsrate und reduzieren dadurch den Performanz-Nachteil durch die Dekompression beim späteren Arbeiten mit dem Image, der von anderen Disk-Imaging-Tools sträflich vernachlässigt wird, die Images z. T. unter blindem Einsatz aller Rechenkapazität förmlich „zu Tode komprimieren. Außerdem können von X-Ways Imager praktisch alle Arten von plattenbasierten RAID-Systemen (JBOD, RAID 0, RAID 5, RAID 6), die nicht mehr funktionieren, virtuell zusammengesetzt werden, wenn Sie die richtigen Parameter kennen, und können dann auf eine andere Festplatte geklont oder als Image gesichert werden.

F-Response ist ein ideales Add-On-Produkt, das es X-Ways Forensics ermöglicht, Datenträger und RAM von Computer im Netz zu analysiere. Und auch umgekehrt ist X-Ways Imager ein ideales Add-On für F-Response für Sicherungszwecke (Festplatten und RAM!).


Neues Produkt: X-Ways Investigator CTR

X-Ways Investigator CTR ist eine neue, noch weiter im Funktionsumfang reduzierte Version von X-Ways Investigator, die ausschließlich Datei-Containers von X-Ways Forensics und X-Ways Investigator öffnen kann, keine sonstigen Images und keine Datenträger. X-Ways Investigator CTR ist exklusiv als Zusatzprodukt für X-Ways Forensics gedacht, zum Aufteilen der Auswertungsarbeit auf mehrere Ermittler/Sachbearbeiter oder wenn Dateien in Containern an andere mit einem Fall befaßte Personen weitergegeben werden sollen, die nur ausgewählte Dateien zu sehen brauchen, sehen sollen oder sehen dürfen. X-Ways Investigator CTR entspricht praktisch einem extrem mächtigen Viewer-Programm für Container, mit vielen nützlichen Features wie Filter, Stichwortsuchen, Berichterzeugung, Möglichkeit zu Versehen von Dateien mit Kommentaren usw.

Als Benutzer von X-Ways Forensics 16.3 können Sie exakt sehen, welche Funktionen in X-Ways Investigator und X-Ways Investigator CTR verfügbar sind, indem Sie die Benutzeroberfläche künstlich auf die von X-Ways Investigator zurückschalten.


Was ist neu in v16.3?

Datei-Container

  • Ein neues Datei-Container-Format wurde eingeführt. Das neue Format kann von diversen Computerforensik-Tools verstanden werden, die nicht von X-Ways stammen. Ältere Versionen von WinHex (mit Specialist-Lizenz oder höher), X-Ways Forensics und X-Ways Investigator können es ebenfalls verstehen. All diese Tools können die Datei-Inhalte und die grundlegensten Metadaten lesen (z. B. Dateiname, Pfad, diverse Attribute, Dateigröße, die meisten Zeitstempel, existierend oder gelöscht). Um die größtmögliche Menge von Metadaten aus einem Container zu importieren, verwenden Sie WinHex/X-Ways Forensics/X-Ways Investigator 16.3 oder neuer. Aus Kompatibilitäts- und Nostalgiegründen können Sie in v16.3 immer noch Container im alten Format erzeugen.

  • Das neue Format verhindert, daß Sie dieselben Dateien versehentlich zweimal in den gleichen Container kopieren.

  • Das Schreiben und Lesen besonders großer Container sollte mit dem neuen Format nun schneller sein (noch genauer zu testen).

  • Das neue Format speichert Kommentare und Datei-Klassifizierungen (Berichtstabellenverknüpfungen) nunmehr intern, nicht mehr in separaten Dateien in einem Metadaten-Unterverzeichnis. Sowohl Kommentare als auch Berichtstabellenverknüpfungen können nun auch in Tools anderer Hersteller eingesehen werden, die das neue Format verstehen.

  • Künstliche Verzeichnisse können optional in Containern des neuen Formats angelegt werden, um Unterobjekte von Dateien aufzunehmen, zur besseren Kompatibilität mit Tools, die Dateien nicht als Unterobjekte von anderen Dateien akzeptieren (Tools anderer Hersteller sowieso WinHex/XWF/XWI 15.9 und älter). WinHex/XWF/XWI 16.0 und neuer (jeweils neuestes Service-Release) brauchen keine solchen künstlichen Verzeichnisse.

  • Container (sowohl im alten als auch im neuen Format) speichern neuerdings die gültige Datenlänge (englische Microsoft-Terminologie: valid data length) von Dateien, die aus Dateisystemen stammen, die dieses Feld unterstützen, auch wenn die gültige Datenlänge nicht kleiner als die logische Dateigröße ist.

  • Dateien, die in NTFS oder in Zip-/RAR-Archiven verschlüsselt sind, werden beim Kopieren in Datei-Container nicht mehr komplett ausgelassen. Sie werden jetzt mit ihren Metadaten aufgenommen, so daß der Empfänger/Bearbeiter des Containers leicht sehen kann, daß an der betreffenden Stelle ursprünglich verschlüsselte Dateien lagen. Die verschlüsselten Daten zu solchen Dateien werden weiterhin nicht mit kopiert (und ergeben ohne ihren Kontext ohnehin keinen Sinn). Zip-/RAR-Archive, die Verschlüsselung für einige oder alle Dateien, die sie enthalten, verwenden, werden natürlich vollständig mitsamt ihren Daten kopiert, und wurden schon immer so kopiert.

  • Anfängliche Nullbytes werden beim expliziten Kopieren nur des Schlupfes einer Datei in einen Container nun gezielt ausgelassen. Konsequenterweise wird das entstehende Objekt im Container dann auch in der Attributspalte als bloßen Ausschnitt des Originals gekennzeichnet.

  • Dateien in Containern, die im Original-Asservat Unterobjekte aufwiesen, werden im Container nicht mehr als Dateien mit Unterobjekten gekennzeichnet, wenn nicht mind. eines dieser Unterobjekte auch tatsächlich mit in den Container aufgenommen wurde.

Datei-Header-Signatur-Suche

  • Die individuellen Standard-Dateigrößen der Datei-Header-Signatur-Suche werden nun in Bytes statt KB angegeben, um präziseres Ausgliedern von Daten zu ermöglichen. Das ist nützlich insbes. dann, wenn man keine ganzen Dateien sucht, sondern bloß Datensätze, Einträge, Mikroformate, Netzwerkverkehr-Artefakte im Hauptspeicher u. ä.

  • Möglichkeit, gleichzeitig Dateien bestimmter Typen an Sektorgrenzen und Dateien anderer Typen auf Byte-Ebene zu suchen. Zu diesem Zweck kann das Flag "b" (für "Byte-Ebene") in einer neu hinzugekommenen Spalte in den Datei-Header-Signatur-Definitionen eingetragen werden. Erlaubt es, ganze Dateien und einzelne Datensätze o. ä. im selben Durchgang zu suchen.

  • Datei-Header-Signatur-Suchen auf Byte-Ebene können nun auch auf Asservate angewandt werden, die physische Datenträger sind (in denen partitionierte Bereiche übersprungen werden, weil die Partitionen als zusätzliche Asservate separat behandelt werden).

  • Ein weiteres Flag "f" kann in der neuen letzten Spalte zum Ausdruck bringen, daß die betreffende Footer-Signatur gedacht ist zum Finden von Daten, die nicht mehr Teil der Datei sind und aus der auszugebenden Datei exkludiert werden sollen. Das ist anders als bei gewöhnlichen Footern, die Bestandteil von aus Sektoren ausgegliederten Dateien sind/werden.
    Dieses neue Flag "f" ist nützlich für Dateiformate, die eigentlich keinen wohldefinierten Footer aufweisen, wobei das Ende der Datei dann u. U. anhand des Auftretens von Daten erkannt werden kann, die nicht mehr zu der Datei gehören können. Das könnte z. B. dieselbe Signatur wie die des Headers sein (wenn Dateien des jeweiligen Typs typischerweise in Gruppen auftreten, direkt hintereinander) oder einfach \x00 (für Dateiformate wie ASCII-Textdateien, die keine Nullbytes enthalten, bei denen \x00 jedoch mit hoher Wahrscheinlichkeit im RAM-Schlupf erwartet werden kann). Solche Footer-Signaturen sollten als exklusiv gekennzeichnet werden, weil die Daten, die mit ihnen gefunden werden, nicht selbst Teil der Datei sind.

  • Ein weiteres neues, analog zu verstehendes Flag "h" kann anzeigen, daß die angegebene Header-Signatur als exklusiv zu verstehen ist, so daß sie Daten findet, die nicht Teil der Datei sind und die aus den Sektoren ausgegliederte Datei erst direkt dahinter anfängt. Gewöhnliche Header hingegen sind Teil der Dateien.

  • Die Option zum Suchen von Datei-Header-Signaturen nur an Cluster-Grenzen wurde aufgegeben.

Datei-Format-Unterstützung

  • Der Registry-Viewer unterstützt nun Registry-Hives von Windows 8.

  • Die Pfad-Wiedergabe des "gesprächigen" Modus der Registry-Berichts für Ausdrucke wurde überarbeitet.

  • Unterstützung von Datei-Archiven überarbeitet. Fähigkeit zum Auffinden und Lesen von Dateien in bestimmten defekten Zip-Archiven, die WinZip, WinRAR und 7-Zip nicht finden können.

  • Unterstützung von Bildern mit extrem hoher Auflösung (größer als ca. 25 MP).

  • Fähigkeit zum Filtern nach Bildern mit einem Hautfarbenanteil von x % oder weniger. Ein sehr niedriger Anteil oder 0% kann nützlich sein, um eingescante Dokumente zu finden, die mit voller Farbtiefe gescant wurden statt mit Graustufen und daher minimale Abweichungen von einer reinen Grauskala enthalten und folglich nicht als Schwarz-Weiß/Graustufen-Bilder von X-Ways Forensics klassifiziert werden.

  • Zusätzlicher Überblick über Log-In- und Log-Off-Vorgängen am Ende der Interpretation von .evtx Event-Logs.

  • Für mit einem roten X markierte Dateien wird keine Extraktion interner Metadaten mehr versucht.

  • Bei der Metadaten-Extraktion wird nun eine Berichtstabellenverknüpfung für solche TIFF-Dateien erzeugt, die aus mehreren Seiten bestehen.

  • Performanz der Konsistenzprüfung von JPEG-Dateien verbessert.

  • Mehr Exif-Metadata aus JPEG-Dateien extrahierbar: focal length, lens model, F number, serial number, firmware, image unique ID

  • Ein etwaiges vorhandenes Signierdatum kann nun aus ausführbaren Dateien (.exe, .dll, ...) extrahiert werden.

  • Interne Erzeugungszeitstempel können nun aus Zertifikatsdateien extrahiert werden (.cat, .cer, .ctl).

  • Fähigkeit zum Auffinden von Dateien vom Typ .itc2 iTunes Artwork Cache per Datei-Header-Signatur-Suche und Fähigkeit zum Auffinden von in ihnen eingebetteten PNG-Dateien.

  • Beschleunigung der E-Mail-Extraktion aus Exchange EDB. Speicherbedarf für Extraktion aus Exchange EDB reduziert.

  • Überarbeitete Standard-Dateityp-Maske für E-Mail-Extraktion schließt nun MS Office 2011 für Mac mit ein (*.olk14MsgSource), um die Extraktion von Datei-Anhängen zu ermöglichen.

Bedienbarkeit

  • Es ist jetzt möglich, durch Drücken der Esc-Taste eine Suchtrefferliste in Richtung normalem Verzeichnis-Browser zu verlassen und dort sofort automatisch zu der Datei zu navigieren, in der ein ggf. zuletzt ausgewählte Suchtreffer enthalten war.

  • Durch Drücken der Multiplikationstaste auf dem Nummernblock der Tastatur sowie durch Drücken der Sterntaste kann ein Verzeichnis oder eine Datei mit Unterobjekten im Verzeichnis-Browser neuerdings erkundet werden. Nützlich, wenn Sie Doppelklicke und die Eingabe-Taste bereits zum Einsehen von Dateien mit Unterobjekten verwenden.

  • Es ist jetzt möglich, die Sterntaste genau wie die Multiplikationstaste (Windows-Standard) zum vollständigen rekursiven Aufklappen des Verzeichnisbaumes vom ausgewählten Verzeichnis aus abwärts zu drücken. Nützlich z. B. auf Laptop-Computern ohne Nummernblock (und damit ohne Multiplikationstaste).

  • Die Tastenkombination Strg + Pfeiltaste Links bzw. Rechts kann nun zum Zurück- und Vorwärtsnavigieren verwendet werden, genau wie die Menübefehle und Werkzeugleistensymbole für Vor und Zurück.

  • Die Befehle Vor und Zurück berücksichtigen nun das Wechseln vom normalen Verzeichnis-Browser zur Suchtrefferliste und andersherum und können solche Wechsel rückgängig machen.

  • Es ist jetzt möglich, Verzeichnisse oder Dateien mit Unterobjekten, die Suchtreffer enthalten, innerhalb der Suchtrefferliste zu erkunden. Beachten Sie allerdings, daß Sie etwaige Unterobjekte nur dann sehen würden, wenn diese ebenfalls Suchtreffer enthalten. Falls sie keine Suchtreffer enthalten, sehen Sie statt dessen eine Erinnerung daran, daß Ihnen die Zurück-Funktionalität offensteht sowie das Drücken der Esc-Taste zu Rückkehr in den normalen Verzeichnis-Browser, wo Sie die Unterobjekte dann definitiv sehen könnten, zumindest wenn alle Filter ausgeschaltet sind.

  • Die Anzahl der herausgefilterten Suchtreffer in der Suchtrefferliste bei aktivem Filter ist nun eine intuitiv verständlichere Zählweise.

  • Separater Menübefehl zum Hinzufügen von Hauptspeicher-Abbildern zu einem Fall.

  • Der Modus Disk/Partition/Container in X-Ways Investigator versteckt nun die Hex- und Textspalte und zeigt statt dessen einige nützliche Informationen über den Datenträger/Container und über den Datei-Überblick.

  • Neue Einstellungsmöglichkeiten in investigator.ini:
    -40 verhindert Suchen mit GREP-Syntax
    -41 verhindert Hautfarbenerkennung
    -42 verhindert Ausgabe des Fallprotokolls im Fallbericht
    -43 verhindert Ausgabe des Hauptteils des Fallberichts
    -44 verhindert das Exportieren von Berichtstabellenverknüpfungen
    -45 verhindert Datei-Export zur Analyse
    -46 verhindert Exportieren von Teilbäumen
    -47 verhindert Verwendung des Menübefehls "Liste exportieren"
    -48 verhindert Metadaten-Extraktion

  • Einzelne Original-E-Mail-Dateien, die auf einem Datenträger vorgefunden werden (wie .eml, .emlx oder .olk14MsgSource) werden nun in der Attr.-Spalte als verarbeitete Original-eml gekennzeichnet, wenn sie verarbeitet wurden (E-Mail-Extraktion beim Erweitern des Datei-Überblicks) und kann danach nach diesem Merkmal gefiltert werden. Nützlich um alle einzelnen Original-E-Mails unter alle künstlich produzierten .eml-Dateien (die extrahierte E-Mails repräsentieren) mit dem Attr.-Filter zu erfassen.

Physische Datenquellen

  • Fähigkeit zum Rekonstruieren von RAID-Systemen des Typs Level 6, genauer gesagt folgender Varianten: Backward Parity (Adaptec), Forward Parity und Forward Delayed Parity mit beliebiger Parity-Start-Komponente.

  • Fähigkeit zum Rekonstruieren von RAID-Systemen des Typs Level 5 Forward Delayed Parity und Forward Dynamic Delayed Parity (WiebeTech/CRU-Dataport).

  • Schablone für GPT-Partitionstabellen nun im Lieferumfang enthalten und aufrufbar über das Verzeichnis-Browser-Kontextmenü (beim Rechtsklick auf die virtuelle Datei, die den Anfang einer GPT-partitionierten Platte repräsentiert) und über das Aufklappmenü des Schalters mit dem weißen Pfeil.

  • Fähigkeit zum Schreiben von Sektoren unter Windows Vista und 7 verbessert.

  • Es ist nun möglich, den Befehl Datei | Datenträger-Sicherung auf lokalen physischen RAM anzuwenden, der von X-Ways Forensics selbst unter Windows XP or 2000 geöffnet wurde.

Diverses

  • Die Option der Absturzsicherheit bei der Text-Decodierung wird nun, wenn ganz gewählt, auch auf .eml-Dateien angewandt, was in früheren Versionen aus Performanzgründen nicht geschah.

  • Suchtreffer und ihr Kontext können nun auch korrekt angezeigt werden, wenn sie in UTF-8 gespeichert sind.

  • Sicherheitsoption zum Überprüfen der CRCs von Chunks beim Lesen von .e01-Evidence-Files.

  • Seltenen Fehler "Internal error 2010" behoben, den in früheren Versionen bei logischen Suchen auftreten konnte.

  • Interpretation von Zeitstempeln in Ext*-Dateisystemen nun unabhängig von Einstellungen im Daten-Dolmetscher für UNIX/C-Datumsangaben, wie es sein sollte.

  • Einige Ausnahmefehler behoben, die bei der Metadaten-Extraktion auftreten konnten.

  • Versehentliche Ausgabe von Dummy-Einträgen im Registry-Bericht korrigiert.

  • Fähigkeit zum Sortieren nach der Suchbegriffsspalte.

  • Fehler bei E-Mail-Extraktion aus Exchange EDB behoben.

  • Relativer Pfad zur Viewer-Komponent (wie z. B. .\viewer) jetzt ganz unterstützt. Nützlich bei portabler Anwendung von X-Ways Forensics auf Live-Systemen und Start auf einem mitgebrachten USB-Stick o. ä.

  • Viele kleinere Verbesserungen.


Änderungen der Service-Releases von v16.2:

  • SR-1: Recover/Copy: Fixed inability to preserve timestamps when copying extracted e-mail messages.

  • SR-1: Fixed inability of the original v16.2 release to run a file header signature search when at the same time verifying file types.

  • SR-2: Fixed an exception error that could occur when running a file header signature search for Gzip archives in v16.1 SR-6 and later.

  • SR-2: Under certain circumstances, files with child objects were often copied twice to evidence file containers by v16.2. That was fixed.

  • SR-2: Child objects of zip-styled Office documents were not correctly copied to evidence file containers using volume snapshots refined by v16.2. The volume snapshot refinement was fixed.

  • SR-2: Fixed an exception error that could occur when extracting metadata from certain ASF/WMV files.

  • SR-3: The file header signature search did not work for some file types in v16.2 SR-2. That was fixed.

  • SR-3: Chinese translation of the user interface updated.

  • SR-3: Slightly more complete e-mail header field extraction.

  • SR-3: Avoided exception error when processing certain corrupt registry hives.

  • SR-3: The registry report could be slightly incomplete for certain hives. That was fixed.

  • SR-3: Fixed problem with very long strings in registry viewer.

  • SR-4: Fixed a rare exception error that could occur when opening exFAT volumes.

  • SR-4: Filenames (not paths) limited to 255 characters in Recover/Copy.

  • SR-4: Event log output revised.

  • SR-4: Thumbnails extracted from thumbcache*.db are no longer named after the original picture. However, the original filename and path can still be seen in the comments if available from Windows.edb.

  • SR-5: Fixed an exception error that occurred in v16.2 SR-3 and SR-4 when exploring file archives.

  • SR-6: Fixed a crash that could occur when loading large registry hives.

  • SR-6: Fixed a crash that occurred when viewing or decoding files with the viewer component that have names longer than 255 characters.

  • SR-6: Fixed naming problem of SR-4 and SR-5 that could occur when copying files.

  • SR-6: Fixed "off by one" error in listed search hit count in search term list when using logical AND combinations (existed since v15.9).

  • SR-6: Fixed exception error that could occur when extracting metadata from zip archives.

  • SR-7: Fixed inability to type Unicode characters other than Latin 1 into the Index Search window. That error existed since v16.1.

  • SR-7: Sending dongle transaction codes to the server directly did not work, only when using copy & paste on the web site. That was fixed.

  • SR-8: Fixed an error in hiberfil.sys decompression.

  • SR-8: Self-similar archives such as OpenOffice documents that contain old versions when explored by v16.2 through SR-7 were not copied correctly to evidence file containers and caused exception errors when reading the container. The exception errors are now prevented and the actual cause (the erroneous exploration of certain archives) has been fixed.

  • SR-9: Recover/Copy scope error fixed.

  • SR-10: Some small fixes.

  • SR-11: Fixed an exception error that could occur with index searches in certain situations.

  • SR-11: Fixed an instability error that could occur when taking a snapshot of ReiserFS volumes.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird. Vielen Dank.

Ein frohes Fest und erholsame Feiertage
wünscht

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer

 

  
#124: WinHex, X-Ways Forensics und X-Ways Investigator 16.2 veröffentlicht

14. Okt. 2011

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 16.2.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter https://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.


Schulungen

Köln: 16.-20. Jan. 2012: X-Ways Forensics + Dateisysteme
Weitere Informationen


Wir möchten daran erinnern, daß Dongles für X-Ways Forensics bei Verlust oder Diebstahl nicht ersetzt werden, es sei denn, sie waren versichert (kostenlos).


Es sei auch noch einmal erwähnt, daß X-Ways Investigator und X-Ways Forensics eine Schnittstelle zur Software DoublePics besitzen. Damit und mit einer geeigneten Datenbank von Bildern aus früheren Fällen ist es möglich, bequem und automatisch Bilder in neuen Fällen zu kategorisieren, die bereits bekannt sind, als "Kipo", "normale Pornographie", "Grenzbereich", "irrelevant" o. ä. Solche Bilder können auch dann wiedererkannt werden, wenn sie in einem anderen Dateiformat gespeichert sind, vergrößert oder verkleinert wurden, wenn die Farben oder die Bildqualität sich geändert haben, wenn sie bearbeitet worden sind usw., dank Fuzzy Logic und justierbarer Empfindlichkeit und Toleranz. Daher ist diese Methode für die Wiedererkennung von Bildern der Verwendung von Hash-Sets weit überlegen.


Was ist neu in v16.2?

Suche, Codepage-Unterstützung

  • Möglichkeit zum Suchen und Indexieren in bis zu 5 Codepages gleichzeitig (einschließlich Little-Endian UTF-16 Unicode), also 2 mehr als zuvor. Nützlich für Sprachen, in denen mehrere Codepages aktiv in Gebrauch sind, z. B. Chinesisch und Japanisch.

  • Codepages werden jetzt immer aufsteigend nach ihrer numerischen ID sortiert, was es erleichtert, die gewünschte Codepage zu finden, wenn man ihre ID kennt.

  • Es sind nun von Codepages völlig unabhängige GREP-Suchen nach exakten Byte-Werten möglich durch Auswahl einer Pseudo-Codepage namens "Direct byte-wise translation for GREP", die Byte-Werte ohne jegliche Anpassung an bestimmte Codepages oder Groß- und Kleinschreibungsvarianten 1:1 übersetzt.

  • Unterstützung für Outlook Compressible Encryption als Codepage für die Textspalte und parallele Suchen.

  • Möglichkeit zum Suchen in Big-Endian UTF-16 Unicode. (Suchtreffer in dieser Codepage sind allerdings lesbar nur in westeuropäischen Sprachen.)

  • Für jeden Suchtreffer wird nun gespeichert, in welcher Codepage er gefunden wurde, und das ist in der Spalte mit den Anmerkungen zu Suchtreffern zu sehen.

  • Der Suchalgorithmus weist Suchtreffer nun mehr als einem GREP-Ausdruck zu, wenn mehrere Ausdrücke äquivalent sind.

  • Einige weitere Verbesserungen im GREP-Suchalgorithmus.

  • Möglichkeit, verschiedene Codepages mit 1 Byte pro Zeichen visuell nebeneinander angeordnet zu vergleichen, dank mehrerer gleichzeitig anzeigbarer Codepage-Tabellen (Ansicht | Tabellen | Hexadezimal / Codepage).

Datei-Überblick, Verzeichnis-Browser

  • X-Ways Forensics behält nun Pfade/Verzeichnisse innerhalb von Datei-Archiven (Zip, RAR, ...) bei und zeigt sie an.

  • Die Optionen des Datei-Überblicks sind nun direkt im Optionen-Menü zu finden.

  • Eine neue Option in den Verzeichnis-Browser-Optionen erlaubt das nicht-rekursive Markieren oder Unterdrücken von Objekten im Verzeichnis-Browser. Nicht-rekursiv bedeutet, daß das Markieren/Entmarkieren/Unterdrücken/Aufheben von Unterdrückungen einer Datei oder eines Verzeichnisses keine Auswirkung auf den Status von Eltern- und Unterobjekten oder übergeordneten oder Unterverzeichnissen hat. Nützlich z. B. wenn Sie eine Operation beim Erweitern des Datei-Überblicks auf alle Unterobjekte einer Datei anwenden möchten oder alle Unterobjekte einer Datei durchsuchen möchten, die Elterndatei selbst jedoch nicht. Bei rekursivem Vorgehen ist es nicht möglich, ein nicht markiertes Elternobjekt zu haben, desse Unterobjekte alle markiert sind. Im mittleren Zustand der Option erben Unterobjekte weiterhin die Markierung von ihrem Elter in dem Moment, in dem sie dem Datei-Überblick hinzugefügt werden, z. B. wenn Sie E-Mails und Datei-Anhänge aus markierten E-Mail-Archiven extrahieren.

  • Ob Markieren und Unterdrücken rekursiv funktioniert oder nicht, das können Sie nun auch durch Drücken der Umschalttaste steuern.

  • Möglichkeit, im Verzeichnnis-Browsers nach bis zu 3 Spalten zu sortieren (statt zuvor nach 2).

  • Sortieren nach Name und Pfad ignoriert nun Groß- und Kleinschreibung.

  • Bis jetzt waren Berichtstabellen kein gutes Mittel um mehr als ca. 10.000 oder 100.000 Dateien in Datei-Überblicken mit vielen Millionen Dateien zu klassifizieren. Das Filtern und Sortieren nach Berichtstabelle war bei solch großen Zahlen langsam. Dies hat sich geändert. Filtern und Sortieren nach Berichtstabellen mit mehreren hundertausend Verknüpfungen in riesigen Datei-Überblicken ist nun schön schnell.

  • Dynamische Anpassung des Intervalls für die Einzelbild-Extraktion aus Videos bei Verwendung von MPlayer. Je länger das Video, um so größer kann das Intervall sein.

  • Ältere Versionen von X-Ways Forensics können Datei-Überblicke, die von v16.2 und neuer gespeichert wurden, nicht lesen.

Wiederherstellen/Kopieren

  • Möglichkeit zum Kopieren von Dateien mit Teilfpad aus dem Asservat-Überblick heraus. In dem Fall wird nur der Asservatname als Pfad verwendet, nicht der Pfad innerhalb des Asservats.

  • Möglichkeit zum Kopieren nur von direkten Unterobjekten, nicht rekursiv aller weiterer noch tiefer gelegener Unterobjekte, im halb markierten Zustand des Kontrollkästchens. Das ist nützlich z. B. dann, wenn Sie extrahierte E-Mails aus einem Image herauskopieren und deren Datei-Anhänge indirekt mit auswählen und in die .eml-Dateien einbetten möchten, aber Sie weitere Unterobjekte dieser Anhänge, die X-Ways Forensics aus ihnen extrahiert hat (z. B. Miniaturansichten in JPEG), nicht separat mitkopieren möchten.

  • Die Länge des Namens von künstlichen Unterverzeichnissen, die im Ausgabeordner zur Aufnahme von Unterobjekten von Dateien erzeugt werden, kann nun nach einer benutzerdefinierten Anzahl von Zeichen abgeschnitten werden, standardmäßig nach 32. Dies ist nützlich z. B. für E-Mails, die ja nach dem Betreff benannt sind und die natürlich Datei-Anhänge als Unterobjekte enthalten können, um überlange Pfade zu vermeiden.

  • Das Suffix zur Benennung der besagten künstlichen Unterverzeichnisse im Ausgabeordner ist nun ganz benutzerdefinierbar.

  • Fähigkeit zum Erzeugen von Verzeichnissen im Ausgabeordner, deren Original-Name mit mehr als einem Leerzeichen endet.

Hauptspeicheranalyse

  • Wenn Hauptspeicher als physischer Datenträger repräsentiert wird, z. B. weil der RAM eines entfernten Computers im Netz in X-Ways Forensics über F-Response geöffnet wurde oder weil ein Roh-Speicher-Dump oder ein .e01-Evidence-File eines Speicher-Dumps als   physischer Datenträger interpretiert wird, ist jetzt möglich, aus diesem "physischen Datenträger" ein "Volume" zu öffnen, in dem X-Ways Forensics seine Hauptspeicheranalyse durchführen kann.

  • Neu erzeugte .e01-Evidence-Files von Speicher-Dumps werden intern sofort als Images von Volumes statt physischer Datenträger gekennzeichnet, so daß auch ältere Versionen sie als Speicher-Dumps erkennen können.

  • Wenn ein Speicher-Dump fälschlicherweise als physischer Datenträger-Image mit Sektorgröße 512 Bytes interpretiert wird, dann wird daraus daraus neuerdings zu öffnende "Volume" intern erfolgreich reinterpretiert mit der korrekten Sektorgröße (oder genauer gesagt Seitengröße in diesem Fall) von 4 KB.

Datenträger-Sicherung

  • Unterstützt das Überspringen von freien Clustern in Partitionen, die mit einem unterstützten Dateisystem formatiert sind, nun auch beim Sichern von MBR- und GPT-partitionierten physischen Datenträgern, nicht mehr nur beim Sichern von puren Volumes.

  • Die Geschwindigkeit beim Sichern großer zusammenhängender freier Bereiche hat sich grob gesagt vervierfacht (!) bei Verwendung der Option zum Überspringen von freien Clustern. Hängt vom Komprimierungsgrad ab.

  • Möglichkeit, den optional ausgelassenen freien Speicher im Image mit einem Wasserzeichen zu versehen, in Form eines Unicode-Text-Strings am Anfang jedes Sektors, so daß Sie bei der Arbeit mit dem Image immer an das Fehlen der Daten in diesen Bereichen erinnert werden, wenn Sie sie betrachten.

  • Das Sicherungsprotokoll enthält nun Computername und Benutzername.

  • Beschleunigtes Befüllen von Datei-Containern in bestimmten Situationen.

Berichte

  • Korrekte Codierung spitzer Klammern aus Registry-Werten für die Ausgabe im Registry-HTML-Bericht nach Hinweis durch TronicGuard / Martin Wundram.

  • Möglichkeit, Dateien in den Bericht entweder gruppiert nach Asservat auszugeben (wie zuvor) und sortiert nach interner ID (nicht mehr in der Reihenfolge, in der sie der Berichtstabelle hinzugefügt wurden), oder (und das ist neu) in der Reihenfolge, wie sie zum Zeitpunkt der Berichterzeugung im Asservatüberblick aufgelistet sind, wo Sie die Reihenfolge dank der neuerdings bis zu 3 Sortierkriterien frei festlegen können. Beachten Sie, daß wenn Sie von dieser neuen Möglichkeit Gebrauch machen, solche Dateien, die nicht im Asservat-Überblick aufgelistet werden, nicht ausgegeben werden, auch wenn sie Teil einer Berichtstabelle sind. Das bedeutet, daß sich die aktuellen Filtereinstellungen auch auf die Berichterzeugung auswirken können. Wenn Dateien ausgelassen werden, weil sie zum Zeitpunkt der Berichterzeugung nicht im Asservat-Überblicksfenster aufgelistet sind, werden Sie darüber im Bericht und von einem Meldungsfenster informiert.

  • Möglichkeit, nur die bloße Anzahl von Dateien in Berichtstabellen in den Bericht aufzunehmen, nicht die Dateien selbst.

Dateisystem-Unterstützung

  • Verbesserte Unterstützung von Dateisystemen mit mehr als 231 und bis zu 232 Clustern, insbes. für NTFS.

Dateiformat-Unterstützung

  • Fähigkeit zur Anzeige bestimmter TIFF-Bilder mit JPEG-Kompression im alten Stil.

  • Fähigkeit zur Prüfung der Konsistenz des Formats von Dateien bekannten typs und Ausgabe von "OK" oder "beschädigt" in der Typ-Status-Spalte, mit Filtermöglichkeit für diese Eigenschaften. In späteren Releases wird die Konsistenz abhängig vom Dateityp geprüft werden während der Datei-Header-Signatur-Suche, Datei-Typ-Prüfung und/oder Metadaten-Extraktion. In diesem Release wird nur die Konsistenz von JPEG- und RAR-Dateien überprüft, und auch nur bei der Datei-Header-Signatur-Suche.

  • Wenn Sie das hier lesen, vielen Dank für Ihr Interesse und dafür, daß Sie alles nicht nur überfliegen.

  • Ausnahmesituationen bei der Metadaten-Extraktion behoben.

  • Interpretation von .lnk-Verknüpfungsdateien überarbeitet.

  • Verbesserter Umgang mit bestimmten beschädigten Registry-Hives.
    .

Sonstiges

  • Programmhilfe und Benutzerhandbuch auf den neuesten Stand gebracht.

  • Viele kleinere Verbesserungen.


Änderungen von v16.1 SR-5

  • Ausnahmesituation behoben, die beim Decodieren von E-Mails für logische Suchen in SR-2 bis SR-4 auftreten konnte.

  • Fehler behoben, der es verhindern konnte, daß man in v16.0 and v16.1 Suchtreffer am physischen Ende von Dateien bekam.

  • Inaktivität von Multipliern am Ende von GREP-Ausdrücken behoben.

  • Verbesserte Extraktion bestimmte E-Mail-Header-Felder, wenn sie auf ungewöhnliche Weise formatiert waren.

  • Die Präsentation von Jump-List-Metadaten im Details-Modus war seit v16.0 unvollständig. Dies wurde behoben.

  • Das Sortieren von Schlüsseln im Registry Viewer wurde korrigiert.

  • Registry-Bericht: Ausgabe von Dummy-Einträgen korrigiert.

  • Verarbeitung von SECURITY-Hives leicht weiter verbessert.

  • Interpretation der V-Benutzerkonten-Struktur in SAM-Hives jetzt fast perfekt.

  • Ausnahmefehler behoben, der auftrat, wenn man mit der Index-Suche nach nicht indexierten Zeichen suchen wollte.

  • v16.1 hat bis einschließlich SR-4 LFN-Verzeichniseinträge in FAT nicht korrekt mit SFN-Einträgen assoziiert, wenn letztere codepageabhängige Zeichen enthielten. Dies wurde behoben.

v16.1 SR-6

  • Vermögen unter Windows 7 verbessert, Text in der Textspalte anzuzeigen, der in Codepages mit mehreren Bytes pro Zeichen codiert ist.

  • Auftauchen von Meldungsfenstern beim Erweitern des Datei-Überblicks vermieden.

  • Hinweis auf ungültige oder nicht unterstützte Owner-IDs vermieden auf der Asservatebene von NTFS-Volumes von Windows 7 in Datei-Containern.

  • Speicherleck geschlossen, das in v16.1 beim Erkunden von Gzip-Archiven auftrat.

  • Automatische Dateigrößen-Erkennung für Gzip-Archive bei der Datei-Header-Signatur-Suche.

v16.1 SR-7

  • Beträchtlich verbesserte Verarbeitung von Exchange EDB-Datenbanken.

  • Hängen beim Antreffen von Endlosschleifen in der Dateizuordnungstabelle in FAT vermieden.

v16.1 SR-8

  • Ein Ausnahmefehler wurde vermieden, der nach fehlgeschlagenen Speicherallokationen auftreten konnte.

  • Verbesserte Kompatibilität mit der neue Version 8.3.7 der Viewer-Komponente.

  • Möglichkeit, lesbare .eml-Dateien auch dann zu erzeugen, wenn der Header auf bestimmte Weise deformiert war. Solche Header wurden bei MS Outlook beobachtet. In früheren Versionen von X-Ways Forensics wurden solche E-Mails von der Viewer-Komponente als leer angezeigt (außer in Roh-Modus).

v16.2 SR-1

  • Wiederherstellen/Kopieren: Unvermögen, die Zeitstempel von herauskopierten E-Mails beizubehalten, wurde korrigiert.

  • Unvermögen der für wenige Stunden verfügbaren ursprünglichen Version v16.2 korrigiert, eine Datei-Header-Signatur-Suche durchzuführen, wenn gleichzeitig die Datei-Typ-Prüfung gewählt war.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird. Vielen Dank.

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer

 

  
#123: X-Ways Forensics und X-Ways Investigator 16.1 SR-3 veröffentlicht

15. Aug. 2011

In dieser Ausgabe dieses Newsletters informieren wir Sie über einige Neuerungen seit Erscheinen von v16.1.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter https://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich „Announcements“ per E-Mail anfordern: http://www.winhex.net


Schulungen

Köln: 5.-9. Sept. 2011: X-Ways Forensics + Dateisysteme
Weitere Informationen


Neue Version 8.3.7 der Viewer-Komponente

Verfügbar als Download für lizenzierte Benutzer von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung. Die relevanten Änderungen sind:

  • Improved rendering of PDF images with JBIG2, JPEG2000 compressions and with explicit masks.

  • Support for attachments in PDF files.

  • Other improvements for PDF.

  • Support for the file formats AutoCAD 2010, Microsoft Project 2010, and Ichitaro 2010.

  • Support for CMYK color spaces in JPEG files.

  • Numerous improvements for Microsoft Office, Microsoft Outlook, and more file formats.

  • Support for charts in Microsoft Office 2007 binary Excel files.

Diese Version kann nun wieder Suchtreffer in PDF-Dokumenten hervorheben. Das Installieren dieses Updates wird empfohlen! Bitte erinnern Sie sich daran, daß Sie Dateien verschiedener Versionen der Viewer-Komponente nicht im selben Verzeichnis vermischen dürfen. Das wird relativ oft falsch gemacht.


Was ist neu in v16.1 SR-1?

  • Dongle-Versicherung

    Nach den bisherigen Regeln hat X-Ways verlorengegangene oder gestohlene Dongles für X-Ways Forensics nicht ersetzt. Wenn Sie befürchten, daß Ihnen eine Dongle irgendwann abhandenkommen oder gestohlen werden könnte, z. B. wenn Sie auf Dienstreise sind oder vor Ort arbeiten (und nicht nur im eigenen Büro) oder wenn Sie den Dongle zeitweilig Subunternehmern überlassen oder Beratern, Anwälten, Wirtschaftsprüfern, Datenschutzbeauftragten, Außendienst-Mitarbeitern, Zeitarbeitskräften oder Studenten, dann freuen Sie sich vielleicht, daß es jetzt möglich ist, Ihren Dongle gegen Verlust zu versichern! Nur wenn Ihr Dongle versichert ist, können Sie im Verlustfall einen Ersatzdongle käuflich erwerben. Die X-Ways Software Technology AG ist damit nun auch eine Art Versicherungsunternehmen. Lustreisen sind allerdings nicht geplant. Die Versicherung ist bis auf weiteres kostenlos! Nähere Informationen.

  • Verarbeitung von Exchange-EDB-Datenbanken beschleunigt.

  • Verwendung intelligenter und interaktiver Datei-Schreiboperationen, die Sie das Schreiben erneut versuchen lassen, wenn der Speicherplatz erschöpft ist, und Ihnen die Gelegenheit geben, auf der Festplatte erst mehr Platz zu schaffen, ohne Datenverlust. Für Datei-Überblicke und Suchtreffer.

  • Unterstützung von ShellBags und verwandten Datenstrukturen im Registry-Viewer und -Bericht noch weiter verbessert.

  • Bereits im ursprünglichen Release von v16.1: Instabilität behoben, die beim Lesen von (echten) ISO-Images in v15.6 bis v16.0 auftreten konnte.

  • Einige kleinere Fehlerkorrekturen und diverse kleinere Verbesserungen.

SR-2:

  • Tastenkürzel für Berichtstabellenverknüpfungen wurden in neueren Versionen nicht mehr korrekt gespeichert. Das wurde korrigiert.

  • .eml-Dateien werden nun für logische Suchen auch dann decodiert, wenn Sie nur nach 7-Bit ASCII-Zeichen suchen, wenn mind. eins der Zeichen in "Quoted Printable" auf spezielle Art codiert sein könnte.

  • Das Verhalten des Befehls "Externes Verzeichnis anhängen" im Verzeichnis-Browser-Kontextmenü hat sich leicht geändert.

  • Verbesserte Kompatibilität mit der neue Version 8.3.7 der Viewer-Komponente.

  • Ein Fehler bei der Benennung von internen Verzeichnissen, der beim Hinzufügen von dynamischen Volumes zu von 16.1 neu erzeugten Fällen auftrat, wurde behoben.

SR-3:

  • SR-2 konnte leider Archive nicht erkunden und hat dies auch gemeldet. Beim Versuch war u. U. eine Fehlermeldung von Windows bezüglich einer defekten ausführbaren Datei zu sehen. Das wurde behoben.

  • Fähigkeit zum Extrahieren von Datei-Anhängen aus bestimmten .eml-Dateien, die in früheren Versionen nicht extrahiert werden konnten.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird.

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer

#122: WinHex, X-Ways Forensics und X-Ways Investigator 16.1 veröffentlicht

19. Jul. 2011

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 16.1.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter https://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich „Announcements“ per E-Mail anfordern: http://www.winhex.net


Schulungen

Köln: 5.-7. Sept. 2011: X-Ways Forensics + Dateisysteme
Weitere Informationen
Veranstaltungen werden auch auf unserer Facebook-Seite angekündigt.


F-Response Consultant + Covert im Bundle mit X-Ways Forensics

Verfügbar nur für kurze Zeit, die perfekte Kombination für Sicherung und Analyse übers Netzwerk zu einem reduzierten Preis, mit 3 Jahren Update-Berechtigung, für insges. EUR 5.259 zzgl. Mwst. Bestellbar hier. Consultant + Covert ist die traditionelle nicht-verdeckte (GUI) Consultant-Version von F-Response + eine zweite „Covert"-Console, die direkte, verdeckte, ferngesteuerte Ausführung auf einem einzelnen Ziel erlaubt, ähnlich wie bei F-Response Enterprise! Die Lizenz für F-Response gilt für 3 Jahre.


Was ist neu in v16.1?

  • X-Ways Forensics kann jetzt Exchange-EDB-Datenbanken verarbeiten und die Mailboxen der Benutzer mit ihren E-Mails, Datei-Anhängen, Kontakten, Terminen und Aufgaben extrahieren. Erfordert, daß X-Ways Forensics unter Windows Vista oder neuer ausgeführt wird. Noch in der Testphase, und bei riesigen Datenbanken u. U. sehr langsam.

Editieren von Dateien; Datei-Tools

  • Möglichkeit zum Editieren von Dateien, ohne Datei-Schreibbefehle des Betriebssystems zu verwenden, direkt auf einem Datenträger/in einem Roh-Image, in jedem von WinHex unterstützten Dateisystem, auch wenn Windows nicht bekannt, auch wenn Windows die Dateien nicht sehen kann (z. B. weil gelöscht), ohne die Zeitstempel oder Attribute zu ändern, im In-Place-Modus. Für diese neue Editierfähigkeit muß die Datei aus dem bereits geöffneten Dateisystem heraus geöffnet werden, das es enthält, über den Öffnen befehl im Kontextmenü des Verzeichnis-Browsers oder im Datei-Modus (nur mit forensischer Lizenz). Komprimierte Dateien und generell Dateien innerhalb anderer Dateien (z. B. E-Mails und Datei-Anhänge in E-Mail-Archiven) können nicht editiert werden, außer innerhalb eines Datei-Containers, wenn sie selbst dediziert vom Original-Datenträger oder Image dort hineinkopiert wurden.

    Zuvor war es nur möglich, Dateien zu editieren, wenn sie über Datei | Öffnen geöffnet wurden, unter Verwendung von Datei-Schreibbefehlen des Betriebssystems, oder indirekt durch das Editieren von Datenträger-Sektoren. Im Datei-Modus (nur mit forensischer Lizenz) und beim Öffnen von Dateien aus bereits geöffneten Dateisystemen heraus war der einzig verfügbare Modus der Schreibschutz-Modus. All das hat sich nun geändert. Beachten Sie, daß Dateien auf die neue Weise nicht gekürzt oder verlängert werden können und daß nur allozierte Bereiche einer Datei geändert werden können. Das Editieren von Dateien, die wie oben beschrieben direkt aus Datenträgern/Images heraus geöffnet werden, ist nur in WinHex möglich, nicht in X-Ways Forensics oder X-Ways Investigator, wo Schreibzugriff auf Sektor-Ebene (in das alle Datei-Schreibzugriffe der neuen Art intern übersetzt werden) ausgeschlossen sind und wo der einzige verfügbare Modus für Datenträger und interpretierte Images und für darin geöffnete Dateien nach wie vor der Schreibschutz ist. Für Besitzer einer Lizenz für X-Ways Forensics betrifft diese Änderung daher nur die spezielle-WinHex-Version, die sie zusätzlich erhalten können, nicht X-Ways Forensics selbst.

    In der Computerforensik und IT-Sicherheit kann die neue Editiermöglichkeit hilfreich sein beim manuellen Redigieren (z. B. Überschreiben mit xxx) von spezifischen Daten, die nicht untersucht/weitergegeben/eingesehen werden sollen oder um bestimmte Bereiche in einer Datei sicher zu überschreiben (z. B. als Block definieren und diesen dann füllen). Beachten Sie, daß Datei-Container Roh-Images sind, wenn sie nicht ins .e01-Evidence-File-Format konvertiert worden sind, und daher nachträgliches Editieren von Dateien erlauben, was aber natürlich begleitende Hash-Werte ungültig macht. Es ist sogar möglich, Verzeichnisse zu editieren, also die Cluster mit Verzeichnisdaten, wie z. B. INDX-Puffer in NTFS, z. B. wenn Sie darin vorkommende Namen bestimmter Dateien unlesbar machen müssen.

  • Neue Funktionalität zum sicheren Löschen von Dateien und Verzeichnissen, die im Verzeichnis-Browser ausgewählt sind, verfügbar über einen Befehl im Kontextmenü. Die Daten im logischen Teil einer Datei (d. h. nicht die Daten im Dateischlupf) und die meisten Daten eines Verzeichnisses (etwa INDX-Puffer in NTFS und Verzeichnieinträge in FAT) werden gelöscht/überschrieben mit einem vom Benutzer gewählten Hex-Wert-Muster. Der Existenzstatus einer Datei im Dateisystem ändert sich dadurch nicht. Keine Dateisystem-Metadaten werden aktualisiert, weil keine Datei-Schreibbefehle auf Betriebssystemebene dabei zum Einsatz kommen. Keine Dateisystem-Datenstrukturen ändern sich, keine Dateinamen werden gelöscht, nur Inhalte von Dateien werden überschrieben. Komprimierte Dateien und generell Dateien innerhalb von anderen Dateien (z. B. E-Mails und Datei-Anhänge in E-Mail-Archiven) können nicht gelöscht werden. Ehemals existierende Dateien, deren Cluster bekanntermaßen für andere Dateien wiederverwendet wurden, werden nicht gelöscht. Beachten Sie, daß durch das Überschreiben von gelöschten Dateien u. U. Daten in Clustern gelöscht werden, die bereits zu anderen Dateien gehören. Daher wählen Sie besser nur existierende Dateien aus, wenn Sie das vermeiden möchten (konsistente Dateisysteme vorausgesetzt). Beachten Sie auch, daß Sie beim Löschen von aus Sektoren per Signatursuche ausgegliederte Dateien u. U. zuviel oder nicht genug Daten überschreiben, je nach erkannter/geschätzter Dateigröße und anhängig davon, ob die Dateien ursprünglich fragmentiert waren oder nicht Diese Funktionalität ist nur in WinHex verfügbar, nicht in X-Ways Forensics oder X-Ways Investigator.

    Nützlich z. B., wenn Sie Kopien von Images in Ermittler oder andere mit dem Fall befaßte Personen weitergeben, die die Inhalte bestimmter Dateien nicht sehen dürfen. Auch nützlich, wenn Sie Datenträger, auf denen Kipo gefunden wurde, an den Besitzer zurückgeben müssen, nachdem die betreffenden Dateien gelöscht wurden. Außerdem nützlich, wenn Sie Images für Schulungszwecke präparieren, die Sie veröffentlichen möchten und in denen Sie urheberrechtlich geschützte Dateien (z. B. Betriebssystem-Dateien oder Anwendungsprogramme) nachträglich überschreiben wollen..

    Sowohl erfolgreich gelöschte Dateien als auch Dateien, die nicht erfolgreich gelöscht wurden, werden beim Arbeiten mit einem Fall (nur mit forensischer Lizenz) zu separaten Berichtstabellen hinzugefügt, nach denen Sie filtern können, um das Ergebnis zu überprüfen.

  • Coole neue Funktion zum Erzeugen von harten Verweisen auf Dateien in NTFS-Dateisystemen. Nützlich z. B., wenn Sie spielerisch mit harten Verweisen während unserer Dateisystem-Schulung experimentieren oder wenn Sie dasselbe Image ein zweites Mal zum selben Fall hinzufügen möchten, was nur unter einen anderen Namen möglich ist. Die harten Verweise werden im gleichen Verzeichnis erzeugt und können von Ihnen selbstverständlich umbenannt und verschoben werden, nachdem sie erzeugt wurden. Extras | Disk-Tools | Verhardlinken.

Fallbearbeitung

  • Mächtigere und bequeme massenhafte Datenverarbeitung dank einer neuen Option, die automatisch logische Suchen nach dem Erweitern des Datei-Überblicks anstoßen kann (bisher nur Indexierung), und dank einer Option, die das sofortige Erweitern des Datei-Überblicks (und dadurch auch logische Suchen) direkt nach dem Hinzufügen von Images zum Fall erlaubt. Das bedeutet, daß Sie sich anfangs durch alle Dialogfenster durchklicken und dann alle ausgewählten Operationen ohne weitere Benutzerinteraktion laufen lassen können. Dies geschieht in folgender Reihenfolge: Erst werden alle Images dem Fall hinzugefügt. Dann werden die Datei-Überblicke erstellt und, sofern gewünscht, auch erweitert. Anschließend wird, falls gewählt, in ausgewählten Asservaten (bereits bestehenden oder neu hinzugefügten) eine logische Suche durchgeführt. Schließlich kann auch noch ein Index für alle gewählten Asservate erstellt werden..

  • Möglichkeit, die Menübefehle zum Erweitern des Datei-Überblicks und Starten einer logischen Suche in ausgewählten Asservaten auch dann aufzurufen, wenn gerade keine Datenfenster offen sind. Wie immer öffnen diese Operationen die Datenfenster eigenständig, wenn sie gebraucht werden, und schließen sie wieder, wenn dies nicht mehr der Fall ist, um unnötige Speicherbelastung durch geladene Datei-Überblicke zu vermeiden.

  • Ein neuer Befehl im Kontextmenü des Fallbaums erlaubt es, eine pseudographische Darstellung des gewählten Teilbaums als Unicode-Textdatei auszugeben, die am besten mit einer Schriftart mit fixer Zeichenbreite einzusehen ist. Der exportierte Baum repräsentiert Unterverzeichnisse in ihrem aktuellen Zustand (aus- oder eingeklappt). Der Menübefehl ist für Asservate verfügbar und auch für Verzeichnisse, sofern Sie die Strg-Taste beim Anklicken eines Verzeichnisses im Fallbaum mit der rechten Maustaste gedrückt halten. Denken Sie daran, wenn Sie einen Teilbaum komplett rekursiv ausklappen möchten, können Sie dazu die Wurzel dieses Teilbaums anklicken und die Multiplikationstaste auf dem Nummernblock der Tastatur drücken, wie überall in Windows üblich.

  • Möglichkeit zum Ändern der Reihenfolge von Asservaten im Fallbaum, im Eigenschaft-Dialogfenster, außer für „abhängige“ Asservate (Partitionen, die zu einem physischen Datenträger gehören).

  • Kürzere und sprachunabhängige Namen von Fallunterverzeichnissen in allen Fällen, die von v16.1 und neuer erstellt werden.

  • Bequemere Bedienung des Programms, wenn sich Pfad oder Laufwerksbuchstabe von Images in einem Fall geändert haben, besonders wenn das Image zum Fall in v16.1 oder später hinzugefügt wurde und Sie das Standardverzeichnis für Images in den allgemeinen Optionen bereits entsprechend aktualisiert haben.

  • Benachrichtigung schon beim Öffnen eines Falls, wenn er nur schreibgeschützt geöffnet werden kann, weil ein Schreibschutz-Attribut auf der .xfc-Datei oder unzureichende Berechtigungen ein Ändern der Datei verhindern,

Images

  • Möglichkeit zum Interpretieren von VMware Virtual Machine Disk Images (VMDK) zusätzlich zu .e01-Evidence.Files, Roh-Images, ISO-Images und VHD.

  • Möglichkeit, das System automatisch in den Ruhezustand zu versetzen, nach Abschluß von Datenträgersicherung, Image-Wiederherstellung und Klonen von Datenträgern. (Bisher einzige Option war komplettes Herunterfahren.) Wenn Windows signalisiert, daß das Versetzen in den Ruhezustand nicht gelingt, versucht X-Ways Forensics ein komplettes Herunterfahren.

  • Datenträgersicherungen als komprimierte .e01-Evidence-Dateien beschleunigt für Datenträger, die große Bereiche reiner Nullbytes enthalten, z. B. weil sie vom Benutzer oder vom Hersteller mal mit Nullen überschrieben und danach nie komplett mit anderen Daten gefüllt wurden.

  • Neue Kompressionsoption „sparse“ für .e01-Evidence-Dateien, die nur große Bereiche von Nullbytes auf sehr effiziente Weise komprimiert.

  • Zusätzliche Informationen in der Log-Datei für Datenträgersicherungen.

Registry-Viewer

  • Es wurde ein zusätzliches Fenster im Registry-Viewer eingebaut, das Ihnen die logische Größe des ausgewählten Werts verrät und die Größe seines Schlupfes. Es interpretiert auch Registry-Werte folgenden Typs, wie vom Registry-Bericht her bekannt: MRUListEx, BagMRU, ItemPos, ItemOrder, Order (menu), ViewView2, SlowInfoCache, IconStreams (Tray notifications), UserAssist, Zeitstempel (FILETIME, EPOCHE, Epoche8), MountedDevices, OpenSavePidlMRU, LastVisitedPidlMRU u. a. Das neue Fenster zeigt auch die Zugriffsberechtigungen des gewählten Schlüssels an, wenn (Default) ausgewählt ist.

  • Neue Spezialtabelle „External Memory Devices“ im Registry-Bericht, die aus dem Software-Hive von Windows Vista und neuer gewonnen werden kann und externe Datenträger auflistet mit Zeitstempeln, Hardware-Seriennummer, Volume-Label, Volume-Seriennummer und Größe (letzteres oft nur unter Vista). Wählen Sie die Definitionsdatei „Reg Report Devices.txt", um die Tabelle auszugeben.

  • Weitere neue Spezialtabelle namens „Browser Helper Objects", zusammengestellt aus Daten von den Hives NTUSER.DAT und Software, über Browser-Nutzung.

  • Neuer Befehl „Liste exportieren“ im Registry-Viewer, der die Ausgabe aller Werte im ausgewählten Hive in einer tabulatorseparierte Textdatei erlaubt.

  • Diverse kleinere Verbesserungen im Registry-Viewer und -Bericht.

Diverses

  • Neue Version der intern benutzten Bibliothek zur Anzeige von Bildern.

  • Neue Version der intern benutzten Bibliothek zur Dekompression von Datei-Archiven.

  • Viele zusätzliche Datei-Signatur-Definitionen, überwiegend nur für Datei-Typ-Prüfungen.

  • Die intensive Dateisystem-Datenstruktur-Suche prüft nun INDX-Puffer auf Index-Records, die existierende Dateien referenzieren, die nicht aus der $MFT ersichtlich sind, weil die $MFT z. B. defekt oder unvollständig ist, z. B. weil das Image unvollständig ist.

  • Die Metadaten-Extraktion ist vom Kontextmenü des Verzeichnis-Browsers in die Erweiterung des Datei-Überblicks gewandert. Daher kann sie nun nicht mehr auf ausgewählte Dateien angewandt werden, sondern entweder auf alle Dateien, markierte Dateien oder alle nicht unterdrückten Dateien.

  • Sie können bequem Viewer-Fenster (deren Inhalt von der Viewer-Komponente bereitgestellt wird) durch Drücken der Esc-Taste auf der Tastatur schließen.

  • Es ist jetzt möglich, Filter-Dialogfenster durch Klick auf den „x“-Schalter in der oberen rechten Ecke oder Drücken von Alt+F4 bei aktivem Filter so zu schließen, daß der Filter nicht deaktiviert wird und auch die aktuelle Auswahl und die aktuelle Rollposition im Verzeichnis-Browser verloren gehen.

  • Wenn die Funktion „Wiederherstellen/Kopieren“ verwendet wird und der Ausgabe-Dateiname gekürzt werden muß, um das vom Benutzer vorgegebene Pfadlängen-Limit einzuhalten, wird der Dateiname nun auf schönere Weise gekürzt, so daß die Dateinamenserweiterung wann immer möglich beibehalten wird. (nur mit forensischer Lizenz)

  • Indexierung leicht beschleunigt.

  • Viele kleinere Verbesserungen.


Änderungen von v16.0 SR-1 bis SR-11:

SR-1

  • Im ursprünglichen Release war es nicht möglich, die Codepage für die Textspalte zu ändern. Das wurde behoben.

SR-2

  • Problem bei der Darstellung von Zahlen behoben, das bei der ersten Ausführung einer frischen Installation auftrat.

SR-3

  • Dateinamen werden nun wenn immer möglich beibehalten beim Kopieren von Dateien von Asservaten zur Aufnahme in den Fallbericht.

  • Größere Systemschriftarten von Windows wirken sich nun auch im Verzeichnis-Browser voll aus.

  • WinHex und X-Ways Forensics haben das in Windows eingestellte Datumsformat nicht richtig erkannt, wenn Tage oder Monate mit u. U. nur 1 Ziffer dargestellt werden sollten (z. B. d.m.yyyy oder m/d/yy). Das wurde behoben.

  • Der Script-Befehl „Find“ kann nun auch dann eine Suche ohne Beachtung von Groß- und Kleinschreibung durchführen, wenn der Suchbegriff eine Variable ist.

SR-4

  • Beim Zusammensetzen von RAIDs konnte der Stil „level 5 forward parity dynamic“ seit v15.8 nicht gewählt werden. Das wurde behoben.

  • Ausnahmefehler bei der Metadaten-Extraktion vermieden.

  • In bisherigen Releases von v16.0 hat X-Ways Forensics Benutzernamen beim Hinzufügen von Asservaten mit Windows-Installationen zum Fall nicht richtig aufgelöst. Das wurde korrigiert..

SR-5

  • Datei-Header-Signatur-Suchen in bisherigen Releases von v16.0 haben Dateitypen nicht gefunden, deren Signaturen an relativen Offsets größer als 0 definiert waren. Das wurde behoben.

  • Die Unicode-Unterstützung in Registry-Hives wurde weiter vervollständigt. Dies betrifft Benutzernamen und die Besitzer-Spalte im Verzeichnis-Browser.

  • Unterstützung des Ordners Windows Image Acquisition MRU im Registry-Bericht.

  • Die Option, einen bereits existierenden Index bei einer erneuten Indexierung nicht zu überschreiben, funktionierte nicht. Das wurde behoben.

SR-6

  • Speicherleck in der Datei-Header-Signatur-Suche von v16.0 gestopft.

  • Einige kleinere Verbesserungen bei der Verarbeitung von Registry-Hives.

SR-7

  • Registry-Bericht weiter verbessert. Ein Ausnahmefehler behoben.

  • Kleines Speicherleck in der Datei-Header-Signatur-Suche gestopft.

SR-8

  • Speicherleck in intensiver Dateisystem-Datenstruktur-Suche für ReiserFS-Dateisysteme gestopft.

  • Einige speicherintensive Funktionen waren in SR-7 sehr langsam. Das wurde korrigiert.

  • Kleine Fehlerbehebung bei der Arbeit mit NTFS-Partitionen, die größer als 2 TB sind.

SR-9

  • Unterstützung für höhere Sektorzahlen in Extras | Disk-Tools | Plattenparameter eingeben.

  • Die besondere Registry-Bericht-Tabelle „Attached devices by serial number“ war in v16.0 SR-8 unvollständig. Das wurde behoben.

  • Fähigkeit zum Umgang mit bestimmten mißgebildeten Multi-Part-E-Mails.

SR-10

  • Problem mit unzulässigen Dateinamen behoben im Zusammenhang mit in den Bericht aufzunehmenden Dateien.

  • Definitionsdateien für den Registry-Bericht aktualisiert.

  • Fähigkeit zur Extraktion von Zeitstempeln aus E-Mails mit einem Microsoft FILETIME-Datum.

SR-11

  • Ein Fehler wurde in der Datei-Header-Signatur-Suche von v16.0 behoben, der bei bestimmten Signaturen bei Suche auf Byte-Ebene auftrat.

  • Ein seltener Fehler wurde vermieden, der offenbar auftreten konnte beim Interpretieren von Datei-Containern, die Dateien ohne Namen enthalten.

  • Ein Ausnahmefehler wurde vermieden, der beim Erzeugen des Datei-Überblicks von großen Ext4-Partitionen mit vielen Inodes und kleinen Blöcken auftreten konnte.

  • Das Klonen von Datenträgern meldete bei mehr als 2 TB die vollständige Anzahl der kopierten Sektoren nicht korrekt. Das wurde korrigiert.

  • Fähigkeit zum Öffnen von Fällen, die mit v16.1 erzeugt wurden.

  • Diverse kleinere Verbesserungen und Korrekturen.


Danke, daß Sie wieder bis zum Schluß durchgehalten haben. Irgendwann muß es mal ein kostenloses Upgrade o. ä. geben für den ersten, der den Newsletter komplett und sorgfältig durchliest und eine mittendrin versteckte Stelle findet. Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird.

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook

 

#121: WinHex, X-Ways Forensics und X-Ways Investigator 16.0 veröffentlicht

28. Apr. 2011

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 16.0.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter https://www.x-ways.net/winhex/license-d.html. Beachten Sie, daß lizenzierte Benutzer von X-Ways Forensics mit aktiver Update-Berechtigung nun auch alle älteren Versionen bequem zum Download angeboten werden.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich „Announcements“ per E-Mail anfordern: http://www.winhex.net


Schulungen

Köln: 2.-6. Mai 2011: X-Ways Forensics + Dateisysteme
Köln: 28. Juni-1. Juli 2011:   X-Ways Forensics + Speicherforensik (!)
Weitere Informationen
Veranstaltungen werden auch auf unserer Facebook-Seite angekündigt.


F-Response jetzt besonders günstig!

Dank des im Vergleich zum Euro derzeit noch schwächeren US-Dollar konnten wir die Preise für F-Response senken. Günstiger und besser als mit X-Ways Forensics und F-Response zusammen können Sie andere über Netzwerk erreichbare Computer unseres Erachtens nach nicht sichern oder direkt untersuchen! Details hier.


Was ist neu in v16.0?

  • Die gierige Auswahl vieler oder gleich aller Dateitypen für die Datei-Header-Signatur-Suche verlangsamt diese nun nicht mehr. Datei-Header-Signatur-Suchen wurden beträchtlich beschleunigt und werden in ihrer Geschwindigkeit praktisch nur noch von dem Datenträger begrenzt, von dem die Daten gelesen werden.

  • Extras | Disk-Tools | Datenträger klonen erlaubt nun (mit Specialist- oder forensischer Lizenz), das Kopieren von Datenträger-Sektoren auch in umgekehrter Reihenfolge, also von hinten (vom Ende des Datenträgers beginnend) rückwärts. Das ist nützlich, wenn die Quellfestplatte schwerwiegende physische Defekte aufweist, die z. B. ein Sicherungsprogramm oder gleich den ganzen Computer zum Einfrieren oder Absturz bringen, wenn ein bestimmter Sektor erreicht wird. In einem solchen Fall können Sie zusätzlich ein Image in umgekehrter Reihenfolge erzeugen, wobei die Sektoren von der Platte rückwärts gelesen werden, und es ist sogar möglich, ein bereits auf konventionelle Weise (vorwärts) erzeugtes, aber (aufgrund eines Absturzes) unvollständiges Image zusätzlich noch von hinten zu befüllen, das daraufhin so vollständig wie möglich wird und nur irgendwo in der Mitte einen kleinen mit binären Nullen gefüllten blinden Fleck aufweist, der den nicht lesbaren beschädigten Bereich des Quelldatenträgers repräsentiert. X-Ways Forensics ist ein ausgeklügeltes Disk-Imaging-Tool, nicht nur aufgrund seiner Geschwindigkeit, und wir dürfen nochmal daran erinnern, daß zusätzliche Dongles extra für Datenträger-Sicherungen viel günstiger als vollständige Lizenzen verfügbar sind (s. hier).

  • Mit den zusätzlichen Dongles für X-Ways Forensics nur für Datenträger-Sicherungen (Details) können Sie nun auch die Funktionalität Extras | Disk-Tools | Datenträger klonen verwenden.

  • Möglichkeit zum Interpretieren von Daten in der Textspalte als Text in einer beliebigen wählbaren Codepage. Dies ist sehr nützlich für ostasiatische und osteuropäische Codepages sowie für UTF-8, wenn in diesen Codepages codierter Text außerhalb von Dateien gefunden wird, die mit der Viewer-Komponente schön eingesehen werden können, z. B. im freien Laufwerksspeicher. Der Zeichensatz/die Codepage für die Textspalte kann nun über Ansicht | Zeichensatz festgelegt werden. Bitte beachten, daß Sie in den Allgemeinen Optionen u. U. erst noch eine Schriftart auswählen müssen, die alle Zeichen, die Sie lesen können möchten, auch enthält, und daß für die Anzeige von ostasiatischen Zeichen muß Unterstützung von derlei Sprachen in Windows installiert sein muß. Die Möglichkeit, den Zeichensatz/die Codepage für die Modi Disk/Partition/Datei wählen zu können, ist zunächst testweise nun auch in X-Ways Investigator verfügbar.

  • Möglichkeit zum Einsehen von Event-Logs von Windows Vista und Windows 7 (.evtx-Dateien), basierend auf Arbeit von Andreas Schuster.

  • Vollständig überarbeitete und robustere Behandlung von Windows-Registry-Hives. Fähigkeit zum Finden gelöschter Schlüssel und Werte in Hives, die unbenutzten Speicher enthalten, sowie zum Finden verwaister Schlüssel/Werte in beschädigten/unvollständigen Hives. Im Registry-Bericht werden gelöschte Wert rot hervorgehoben. Wenn kein vollständiger Pfad für Schlüssel bekannt ist, werden diese nun als Unterschlüssel eines neu eingeführen virtuellen Schlüssels namens "Pfad unbekannt" in den Baum eingeordnet. Mit all den Verbesserungen zur Registry-Analyse in dieser Version sollte X-Ways Forensics endgültig das am gründlichsten arbeitende Tool in diesem Bereich sein.

  • Analyse des freien Speichers in Registry-Hives mit der neuen Berichtsdefinitionsdatei "Reg Report Free Space.txt". Der freie Speicher kann mehrere MB groß sein, besonders als Konsequenz des Einsatzes von Viren-Scannern und Registry-Säuberungsprogrammen.

  • Schlupfspeicher in Registry-Werten kann NTUSER.DAT-Hives relevante Größen erreichen. Diese Tatsache wird mit den zwei folgenden Maßnahmen ausgenutzt:

    1) Wenn der Schlupf Text-Strings enthält, wird er in Registry-Bericht ausgegeben (in Grün). Dieses neue Feature kann optional im Kontextmenü des Registry-Viewers ausgeschaltet werden.

    2) Für Werte, die sog. Item-Lists enthalten, also binär sind, können Sie die Definitionen in "Reg Report Free Space.txt" verwenden, um im Registry-Bericht Listen von Dateinamen mit Zeitstempeln in Grün auszugeben. Der erste Zeitstempelist ein Zugriffsdatum, der zweite ein Erzeugungsdatum. Wenn keine Zeitstempel ausgegeben werden, handelt es sich um Artefakte von "RecentDocs".

  • Der Registry-Viewer erlaubt es nun, alle Schlüssel und Werte eines Hives rekursiv zu erkunden und in chronologischer Reihenfolge zu sortieren.

  • Die Suchfunktion im Registry-Viewer ist jetzt gründlicher und robuster.

  • Bessere Unicode-Unterstützung im Registry-Bericht für Registry-Hives von Computern in Asien.

  • Tray-Notification-Artefakte von Registry-Hives aus Windows 7 werden jetzt unterstützt und decodiert. Die Zeitstempel machen diese Artefakte für Computerforensik nützlich. Weiter verbesserte Unterstützung von Shell-Bags.

  • Im Registry-Bericht deckt ein neuer Datentyp %I (ITEM-List) nicht nur Shell-Bags ab (wie in früheren Versionen), sondern z. B. auch Arbeitsplatz-Verknüpfungen. Das Format würde für Windows Vista und 7 angepaßt.

  • Möglichkeit, die Schreibweise von Datum, Zeit und Zahlen anzupassen (s. neuer Schalter in den Allgemeinen Optionen). Nützlich z. B., um unabhängig zu sein von den Einstellungen in einem Live-System, das man voreinsehen möchte. Möglichkeit, Jahreszahlen mit nur 2 Ziffern anzuzeigen.

  • Die Option zur Anzeige von Bruchteilen von Sekunden in Zeitstempeln mit hoher Auflösung wurde von den Verzeichnis-Browser-Optionen in die neuen Notationsoptionen verschoben. Das gleiche gilt für die Option, den Abstand zur UTC-Zeitzone anzeigen zu lassen.

  • Es ist jetzt möglich, ein Asservat auch dann zu öffnen, wenn der zugehörige Datenträger/das Image gerade nicht verfügbar ist, über einen speziellen Befehl im Kontextmenü des Asservats, um zumindest den Datei-Überblick einsehen zu können. Das bedeutet, Sie können alle Datei-Metadaten sehen, die im Datei-Überblick gespeichert sind (Dateiname, Pfad, Dateigröße, Zeitstempel, Attribute usw.), können die meisten Filter verwenden usw., aber können keine Daten in Sektoren sehen und keine Dateien öffnen/einsehen.

  • Verbesserte Thumbnails-Extraktion aus den thumbcache_*.db-Dateien von Windows Vista und Windows 7. Fähigkeit, bestimmten Thumbnails Originaldateiname, Pfad und Änderungszeitstempel zuzuordnen, bei denen zuvor zur Benennung nur eine aus 16 Ziffern bestehende Hex-Zahl verwendet wurde.

  • Wenn Sie vom Datei-Modus in den Modus Partition/Volume wechseln, bringt Sie X-Ways Forensics neuerdings automatisch an den Offset aus der Sicht der Partition/des Volumes, der dem Offset in der Datei entspricht, an dem der Cursor zuletzt positioniert war, auch wenn die Datei fragmentiert ist, wenn es einen entsprechenden Offset gibt (was nicht der Fall ist, wenn die Datei eine komprimierte oder virtuell angehängte Datei ist oder eine extrahierte E-Mail oder ein exportiertes Video-Einzelbild o. ä.).

  • Möglichkeit, das Verzeichnis anzugeben, in dem ein Fall erzeugt werden soll, bei der Erzeugung eines neuen Falls, mit Gültigkeit nur für den speziellen Fall.

  • Verzeichnisse mit Suchtreffern, die aus einer Suchtrefferliste heraus kopiert werden, erhalten nun einen besonderen namen, wenn Sie als Dateien im Ausgebordner wiederhergestellt werden.

  • Das Sortieren nach den Suchbegriffsanzahl-Spalte wurde beschleunigt.

  • Ein Ausnahmefehler wurde behoben, der beim Extrahieren von MP4- und ASF-Dateien auftreten konnte.

  • Die Hash-Datenbank-Funktionen wurden intern überarbeitet. Beim Importieren der NSRL-RDS-Hash-Datenbank prüft X-Ways Forensics auf Datensätze mit den Flags "s" (special) und "m" (malicious), so daß diese Hash-Werte nicht fälschlicherweise in das gleiche interne Hash-Set aufgenommen werden, das als irrelevant klassifiziert werden sollte.

  • Es ist jetzt möglich, länger andauernde Sortieroperationen abzubrechen. Der Verzeichnis-Browser ist nun nach dem Programmstart standardmäßig zunächst unsortieren. Dieses neue Verhalten kann in den Verzeichnis-Browser-Optionen abgeschaltet werden.

  • Die Gruppieroptionen haben nun auch dann eine Wirkung, wenn im Verzeichnis-Browser nicht sortiert wird.

  • Der Berichtstabellenfilter hat eine neue Option, die zusätzlich die "Geschwister" von Dateien in einer Berichtstabelle mit ausgeben kann, d. h. Dateien im selben Verzeichnis. Das ist nützlich, insbes. wenn man rekursiv erkundet und nach Pfad sortiert, um zu prüfen, ob weitere relevante Dateien in der Nachbarschaft zu finden sind.

  • Möglichkeit, beim Verknüpfen einer Datei mit einer Berichtstabelle, etwaige bekannte Duplikate der Datei im selben Asservat (die anhand von Hash-Werten als Duplikate erkannt wurden und in der Attributspalte entsprechend gekennzeichnet sind) ebenfalls der Berichtstabelle zuzuordnen.

  • Eine neue investigator.ini-Option +38 erlaubt es, das Importieren von Berichtstabellen-Verknüpfungen zu verhindern.

  • Möglichkeit zum Identifizieren von animierten GIF-Grafiken. Animierte GIFs werden während der Dateityp-Prüfung einer besonderen Berichtstabelle hinzugefügt.

  • Unterstützung für zwei neue Zip-Untertypen: APK Android Smartphone-Packages und KEY Apple iWork Keynote Präsentationen..

  • Viele kleinere Verbesserungen.


Änderungen von v15.9 SR-1 bis SR-8:

SR-1:

  • Allgemeine Unterstützung von Sektorgrößen bis 8 KB (bisheriges Maximum: 4 KB).

  • Unterstützung von GPT-partitionierten Datenträgern mit 4 KB und 8 KB großen Sektoren.

  • Kompatibilität mit HFS+/HFSX-Dateisystemen auf Datenträgern mit Sektorgrößen von mehr als 2 KB, wie in iPhones und iPads anzutreffen.

  • Fähigkeit zum automatischen Erkennen der Sektorgröße in Roh-Images von GPT-partitionierten Datenträgern mit Sektorgrößen von 4 KB und 8 KB.

  • Fähigkeit zum automatischen Erkennen der Sektorgröße in den meisten Roh-Images von MBR-partitionierten Datenträgern mit einer Sektorgröße von 4 KB.

  • Nach so vielen Meldungen zu Verbesserungen bezüglich Sektorgrößen hier mal nur ein Eintrag zum Spaß, um zu testen, ob überhaupt jemand alles genau durchliest.

  • Der teilweise Fortschritt der Erweiterung des Datei-Überblicks wird nun mit gespeichert, wenn das Zeitintervall zum automatischen Speichern des Falls abgelaufen list.

SR-2:

  • Die Option "Nur 1 Treffer pro Datei auflisten" funktionierte in v15.9 zunächst nicht richtig. Dies wurde korrigiert.

  • Funktion zum Löschen von doppelten Suchtreffern verbessert. Im Zweifelsfall behält X-Ways Forensics jetzt den längeren Suchbegriff bei (da ein Treffer für "Meierhoff" z. B. spezifischer ist als für "Meier") und bevorzugt Suchtreffer in existierenden Dateien.

  • Das Auflisten von Millionen Suchtreffern wurde beschleunigt.

  • Das Dialogfenster zum Öffnen von Datenträgern ohne Verwendung eines Falls war falsch. Dies wurde behoben.

SR-3:

  • Der Hash-Set-Filter funktionierte in v15.9 anfänglich nicht. Das wurde korrigiert.

  • Ein Ausnahmefehler wurde vermieden, der unter bestimmten Umständen beim Durchführen einer Datei-Header-Signatursuche auf Byte-Ebene auftreten konnte.

  • Wenn die Kontextvorschau von Suchtreffern in Dateien in großen Archiven zu langsam ist, dann können Sie sie nun mit abschalten durch Abwahl der Option "Galerie: Bilder in Archiven anzeigen".

SR-4:

  • Ein Ausnahmefehler wurde vermieden, der auftreten konnte, wenn das Fenster mit dem Asservat-Überblick bei Programmstart automatisch geöffnet wurde.

  • Harmlose, aber evtl. störende Nachrichten vermieden, die von Windows u. U. angezeigt wirden, wenn man mit Images auf schreibgeschützten Laufwerken arbeitete.

  • Ein Fehler wurde behoben, der beim Laden von Datei-Überblicken mit mehr als 6 Millionen Objekte auftreten konnte.

  • Laufwerksbuchstaben fehlten in der besonderen Tabelle im Registry-Bericht in früheren Releases von v15.9. Dies wurde korrigiert.

SR-5:

  • Mit dem neuen Suchalgorithmus wurden GREP-Ausdrücke variabler Länge in v15.9 mit dem kürzesten passenden Treffer gefunden statt mit dem längsten. Das wurde geändert.

SR-6:

  • Das Auftreten eines Ausnahmefehler in v15.9 SR-5 beim Erweitern eines Datei-Überblicks ohne Fall wurde vermieden.

  • Das Verschwinden von Partitionen im Fallbaum beim Entfernen von unterdrückten Objekten aus dem Datei-Überblick von physischen Datenträgern wurde korrigiert.

  • Ein Ausnahmefehler wurde vermieden, der bei Verwendung der Wiederherstellen/Kopieren-Funktion auftreten konnte.

  • Ein Fehler beim Umgang mit .e01-Evidence-Files, die aus mehr als 775 Segmenten bestehen, wurde behoben.

  • Japanische Übersetzung aktualisiert.

SR-7:

  • HFS+-Partitionsgrößenerkennung auf Datenträgern mit herkömmlicher Apple-Partitionierung korrigiert..

  • Fähigkeit zum Umgang mit Volumes, deren Cluster aus mehr als 128 Sektoren bestehen, was in exFAT-Dateisystemen nicht unüblich zu sein scheint..

  • Ausnahmefehler behoben, der im bestimmten Situationen im neuen Suchalgorithmus von v15.9 auftreten kmonnte.

  • In WinHex 15.7 bis 15.9 mit Specialist-Lizenz konnte die parallele Suche nicht ohne Unterscheidung von Groß- und Kleinschreibung suchen. Das wurde korrigiert.

  • Verbesserte Handhabung der internen Dateien des Datei-Überblicks, wenn das Lesen oder Schreiben dieser Dateien aufgrund von unzureichend freiem Speicher oder anderen Systemressourcen oder Dateisystem-Fehlern oder anderen Gründen fehlschlägt.

  • Vollständigere Zuordnung von Laufwerksbuchstaben in der besonderen Tabelle "Attached Devices" im Registry-Bericht.

SR-8:

  • Interne technische Informationen über .e01-Evidence-Files wurden in den Asservateigenschaften u. U. mehrfach aufgenommen. Dies wurde behoben.

  • Mit Windows 7 kompatible Übernahme von regionalen Einstellungen (Datumsformat).


Vielen Dank für Ihre Aufmerksamkeit! Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird.

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook

 

#120 WinHex, X-Ways Forensics und X-Ways Investigator 15.9 veröffentlicht

25. Jan. 2011

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 15.9.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter https://www.x-ways.net/winhex/license-d.html.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich „Announcements“ per E-Mail anfordern: http://www.winhex.net


Was ist neu in v15.9?

  • Vier entscheidende Verbesserungen wurden bereits in Ausgabe #119c des Newsletters über v15.9 Beta vorgestellt:
    1) der neue Suchalgorithmus, der eine dramatische Beschleunigung konventioneller (Nicht-Index-) Suchen mit mehreren Suchbegriffen und Suchvarianten bewirkt,
    2) die neuen Spalten für Suchbegriffe und Suchbegriffsanzahl,
    3) der nochmals stark verbesserte Registry-Bericht
    4) Mehrbenutzerfähigkeit für größere Verfahren, unter Einsatz von Containern oder ohne.

Seit Erscheinen des o. g. Newsletters gab es noch folgende Verbesserungen:

  • Die Standarddefinitionsdatei für Registry-Berichte wurde in 8 Teile zerlegt, so daß Sie beim Erstellen eines Berichts immer wählen können, welche Teile Sie benötigen. Wie zuvor können Sie die Definitionen nach eigenem Bedarf anpassen oder Ihre eigenen Definitionsdateien für spezielle Zwecke/verschiedene Arten von Fällen erstellen.

  • Besser vorbereitet auf bestimmte PST-Dateien.

  • E-Mails aus Outlook 2011 für Mac werden nun besonders unterstützt bei der Datei-Header-Signatursuche, Typprüfung, Extrahieren von Datei-Anhängen und in der Vorschau.

  • Für die neue Suchtrefferspalte gibt es nun einen Filter.

  • Es wird nun die Anzahl der Treffer angezeigt zu Suchbegriffen, die nicht ausgewählt sind, die basierend auf den aktuellen Einstellungen aufgelistet würden, wenn die Begriffe ausgewählt werden.

  • Diverse kleinere Verbesserungen.

Änderungen von v15.8 SR-6 und SR-7:

  • Unvermögen von v15.8 korrigiert, Datei-Überblicke bestimmter früherer Versionen korrekt zu konvertieren.

  • Verbesserte Verarbeitung von .mht-Dateien.

  • Speicherleck bei der E-Mail-Extraktion behoben.

  • Die externe Virenprüfung funktionierte in v15.6 bis v15.8 nicht korrekt (und informierte den Benutzer darüber). Dies wurde korrigiert.


Vielen Dank für Ihre Aufmerksamkeit! Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird.

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <