WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

#136: WinHex, X-Ways Forensics und X-Ways Investigator 17.4 veröffentlicht

14. Nov. 2013

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten neuen Features, die Version 17.4.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten (aktuelles Paßwort!!) sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.

Werden Sie zertifizierter Anwender von X-Ways Forensics
Werden Sie X-PERT (X-Ways Professional in Evidence Recovery Techniques)

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem brandneuen Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.

Buch: X-Ways Forensics Practitioner's Guide

Bestseller im Bereich Forensic Science bei Amazon (war auf Rang #2). Geschrieben von Brett Shavers und Eric Zimmerman. Unterstützt von Jimmy Weg. Vorwort von Craig Ball. Blog der Autoren.

Konferenz in Australien

Canberra, 10.-11. März 2014. Mit Craig Ball und Eric Zimmerman als Hauptredner und einer Reihe 45-minütiger Präsentationen zu fortgeschrittener Funktionalität von X-Ways Forensics. Alle Teilnehmer erhalten das Buch “X-Ways Forensics Practitioner's Guide” von Brett Shavers und Eric Zimmerman.

Wer interessiert ist, teilzunehmen oder einen Vortrag zu halten, wird gebeten, sich mit dem Veranstalter CBIT Forensics in Verbindung zu setzen. Weitere Informationen.

Was ist neu in v17.4?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Searching

Fähigkeit, bequem eine Nicht-GREP-Suche im Index nach Suchbegriffen, die Leerzeichen enthalten, durchzuführen, genau wie in herkömmlichen Suchen. Dies ist insbesondere wichtig für Namen (z. B. "Max Mustermann" oder "XYZ Technology GmbH") oder englische Komposita mit Leerzeichen (z. B. "bank account" oder "credit card limit") oder mit dem sog. Deppenleerzeichen falsch getrennte Komposita im Deutschen. Nur mit dem neuen Index.

Dies funktioniert selbst dann, wenn die individuellen Komponenten der Wortgruppe bereits die maximale Wortlänge überschreiten, die indexiert wurde (standardmäßig 7 Zeichen), so daß Sie keine Probleme haben werden, "Nikolaus Mustermann" (8+10 Zeichen) oder "skyscraper architecture" (10+12 Zeichen) zu finden. Wie sonst auch werden die Komponenten nur bis zu ihrer jeweiligen indexierten Länge verglichen, was kein großes Problem darstellt, da nicht viele Wörter außer "Nikolaus" und "skyscraper" mit "Nikolau" bzw. "skyscra" anfangen.

Die Leerzeichen in den Suchbegriffen werden auch mit anderen nicht indexierten Wort-Trennzeichen gleichgesetzt, beispielsweise mit Bindestrichen, womit auch "Spider-Man" und "Max-Mustermann" gefunden werden, wenn man nach "spider man" oder "Max Mustermann" sucht, oder Unterstriche wie in "bank_account" (denken Sie an Dateinamen wie "bank_account.html") oder Plus-Zeichen wie in "credit+card" (z.B. gängig in Google-Such-URLs, wenn nach mehr als einem Wort gesucht wird). In dieser Hinsicht sind Index-Suchen jetzt sogar mächtiger als konventionelle Suchen.

Leerzeichen sollten in den Indexierungseinstellungen jetzt definitiv nicht mehr als Teil von Worten definiert werden.
NEAR-Kombinationen von Suchtreffern werden jetzt für mehr als zwei Suchbegriffe unterstützt. Der Effekt ist, daß Suchtreffer nur angezeigt werden, wenn irgendeiner der anderen ausgewählten Suchbegriffe in der Nähe vorkommt.

Datei-Analyse

Blockweise hashen kann es ermöglichen, vollständige oder unvollständige Überreste bekannter relevanter Dateien zu identifizieren, die sich noch im freien Speicher befinden, sogar dann, wenn diese fragmentiert sind und der Speicherort der Fragmente unbekannt ist, um mit einer gewissen oder sehr hohen Sicherheit sagen zu können, daß diese auf dem Datenträger einmal existiert haben.

Am besten geeignet für ausgewählte relevante Dateien, die größer als nur ein paar Sektoren sind, die idealerweise komprimiert sind oder zumindest nicht nur stellenweise aus Nicht-Null-Daten bestehen und die nicht lediglich triviale Kombinationen von Byte-Werten enthalten, die häufig vorkommen. Gute Beispiele sind Office-Dokumente in ZIP-Formaten, Bilder und Video-Dateien. Sehr triviale Blöcke innerhalb einer Datei, die mehrheitlich nur einen Byte-Wert haben, werden ignoriert und nicht gehasht (so auch schon bei der Erzeugung des Hash-Sets). Zum schnelleren Abgleich sollten Sie idealerweise mit einer kleinen Hash-Datenbank arbeiten und keinen Hash-Typ wählen, der stärker ist als MD5.

Hash-Sets von Block-Hash-Werten können auf die gleiche Art erzeugt oder importiert werden wie gewöhnliche Hash-Sets, werden aber von einer separaten Hash-Datenbank verwaltet, die intern in einem Unterverzeichnis des Haupt-Hash-Datenbank-Verzeichnisses gespeichert ist. Sie können Hash-Sets erzeugen, die aus den Block-Hash-Werten einer einzelnen Datei bestehen, oder kombinierte Hash-Sets mehrerer ausgewählter Dateien. Die Blockgröße ist derzeit immer 512 Bytes, könnte in einer zukünftigen Version aber eventuell benutzerdefinierbar werden.

Übereinstimmungen für Block-Hash-Werte können als Teil der Datei-Überblick-Erweiterung gefunden werden. Die Hash-Werte werden beim sektorweisen Lesen des Asservates berechnet, was zeitgleich mit einer Datei-Header-Signatur-Suche stattfinden kann, falls gewählt, um ein unnötiges erneutes Lesen derselben Sektoren zu vermeiden. Treffer werden als spezielle Suchtreffer angezeigt. Mehrere Übereinstimmungen in aufeinanderfolgenden Sektoren sind bedeutungsvoller als vereinzelte Treffer, da diese mit geringerer Wahrscheinlichkeit das Resultat eines Zufalls sind, und diese werden normalerweise als ein einziger Treffer angezeigt. Die Länge aller solcher Treffer wird beim Auflisten der Suchtreffer mit angezeigt. Je länger der Treffer, umso höher ist seine Aussagekraft. Bitte beachten Sie, daß X-Ways Forensics nicht überprüft, ob die Reihenfolge der zusammenhängenden Treffer dieselbe ist, wie in der (den) Originaldatei(en), aber dies kann manuell überprüft werden und ist im Fall sehr eindeutiger, wie z. B. komprimierter, Daten höchstwahrscheinlich der Fall.
Fähigkeit, jede Art von Datei frei aus beliebigen anderen Dateien zu carven, nicht nur diejenigen, die mit dem Flag "e" gekennzeichnet sind, mit einer zweiten Unteroperation von "Eingebettete Daten in diversen Dateitypen suchen". Setzen Sie diese Funktion mit Vorsicht ein, um Verzögerungen und große Mengen an nutzlosen Daten (zufällige, falsche Treffer) und Duplikate zu vermeiden.

Signaturen, die mit dem Flag "E" (Großbuchstabe) gekennzeichnet sind, werden nie aus anderen Dateien gecarvt, um die schlimmsten Effekte zu vermeiden, beispielsweise das Carven von MPEG-Frames aus MPEG-Videos, ZIP-Records aus ZIP-Archiven, .eml-, .html- und .mbox-Dateien aus E-Mail-Archiven, .hbin-Registry-Fragmente aus Registry-Hives. Wenn Sie wissen, was Sie tun (wenn Sie z. B. ein X-PERT sind), können Sie das Flag E natürlich entfernen.

Bitte wenden Sie diese neue Funktion mit großer Vorsicht und nur mit gutem Grund auf spezielle Zieldateien an, wie z. B. Swap-Dateien oder Dateien, in denen eine Backup-Anwendung andere Dateien umkomprimiert konkateniert. Wenden Sie diese Funktion nicht blind auf alle Dateien oder zufällig gewählte Dateien an. Bedenken Sie, große Macht bringt große Verantwortung.

Es gibt eine Option, die Carving-Prozedur rekursiv anzuwenden, d. h. auf diejenigen Dateien, die selbst aus anderen Dateien gecarvt wurden, ebenfalls anzuwenden. Dies kann zu vielen Duplikaten führen, wenn die äußere Datei auf Level 1 zu groß gecarvt wurde, so daß Dateien aus ihr gecarvt werden können, die auch auf Level 0 (der Original-Datei) gecarvt wurden.

In Situationen, in denen Sie eingebettete Dateien carven möchten, die in der Originaldatei nicht an 512-Byte-Grenzen ausgerichtet sind, können Sie die vollständige Suche auf Byte-Ebene einsetzen. In so einem Fall wäre es einer der größten Fehler, auf der Byte-Ebene in $MFT zu carven, die typischerweise sehr viele kleine Dateien enthält, die resident/inline gespeichert sind, aber die natürlich bereits vollständig bei der Erzeugung des Datei-Überblicks behandelt wurden. Daher die Option, zumindest $MFT immer auszuschließen.
Das Auffinden eingebetteter Daten in diversen Dateitypen basierend auf Byte-Level-Carven mit dem Flag "e" ist nicht mehr auf Dateitypen mit einer Tilde-Funktion ("~") beschränkt.
Verhindert einen Absturz, der in der 64-Bit-Version unter Windows 8 beim Verschlüsselungstest auftreten konnte.

Galerie

Für große JPEG-, PNG-, GIF- und TIFF-Dateien, zeitgleich mit der Farbanalyse der Bilder während der Erweiterung des Datei-Überblicks, kann X-Ways Forensics jetzt optional auch Miniaturbilder im voraus erzeugen, um die Darstellung im Galerie-Modus später erheblich zu beschleunigen. Interne Miniaturbilder werden nur erzeugt, wenn wenn keine Original-Miniaturbilder in den Dateien eingebettet sind und zur gleichen Zeit extrahiert werden, und sie werden für die Galerie nur dann genutzt, wenn die Option für behelfsmäßige Miniaturbilder aktiviert ist (siehe Optionen | Allgemein).

(Um alle internen Miniaturbilder zu verwerfen, aber die berechneten Hautfarbanteile zu behalten, können Sie die Datei "Secondary 1" im "_"-Unterverzeichnis eines Asservats hinter dem Rücken von X-Ways Forensics löschen, d. h. wenn das Asservat gerade nicht offen ist.)
Verbesserte Repräsentation von Videos mit extrahierten Einzelbildern in der Galerie, die alle Einzelbilder in einer Schleife anzeigt, um einen vollständigeren Eindruck der Inhalte eines Videos zu geben, ohne weitere Benutzerinteraktion (ohne sie erkunden zu müssen).

Ein alternativer, effizienter Ansatz, um eine große Anzahl an Videos zu prüfen, scheint nun dieser zu sein: Rekursiv erkunden, auf Videos filtern, in absteigender Reihenfolge nach der Anzahl der Kindobjekte sortieren (damit Videos mit ähnlichen Zahlen von Einzelbildern zusammen gezeigt werden) und Galerie-Modus aktivieren. Beobachten Sie die diversen Video-Einzelbilder für jedes Video. Gehen Sie zur nächsten Galerie-Seite weiter, wenn Sie sich überzeugt haben, dass keine beweisrelevanten Videos auf der aktuellen Seite angezeigt werden, was der Fall ist, wenn Sie sehen, dass die Galerie für alle Videos zum ersten Einzelbild zurückgekehrt ist.

"Behelfsmäßige Miniaturen" ist jetzt ein Kontrollkästchen mit drei Auswahlstufen. Um nur die neue Videodarstellung, wie oben beschrieben, zu deaktivieren, können Sie die Box halb ankreuzen.
Wenn ein Anzeigefenster ein Bild darstellt (und wenn nur ein Bild gleichzeitig erlaubt ist), wird dieses Fenster mit dem nächsten Bild aktualisiert, wenn Sie in der Galerie die Pfeiltasten benutzen. Insbesondere auf einem mehrere Monitore überspannenden Desktop nützlich, wenn das Anzeigefenster auf dem zweiten Monitor zentriert ist und die Galerie sich auf dem ersten Monitor befindet. Vermeidet, die Enter-Taste betätigen zu müssen, um das Bild einzusehen und dann eine weitere Taste, um das Einsehen-Fenster zu schließen und den Eingabefokus zurück auf die Galerie zu setzen.
X-Ways Forensics extrahiert jetzt standardmäßig eingebettete JPEG-Miniaturen aus .cr2-RAW-Dateien. Die erste extrahierte Miniaturansicht wird die Vorschau- und Galerie-Darstellung für die .cr2-RAW-Datei.

Dateiformat-Unterstützung

Unterstützung für Windows.edb von Windows 8.1.
Verbesserte Unterstützung für thumbcaches von Windows 8 und Windows 8.1.
Deutlich verbesserte Fähigkeit, inkonsistente EDB-Datenbanken zu reparieren. Mehrere Änderungen und Reparaturen, die die Zuverlässigkeit bei der Verarbeitung von EDB-Datenbanken im Allgemeinen verbessern.
.evtx-Event-Log-Vorschau zeigt den Nutzernamen, die alte und neue Zeit für Systemzeit-Änderungen.
Kleinere Reparaturen und Verbesserungen für die Extraktion von EDB- und SQLite-Datenbanken.
Reduzierter Speicherverbrauch des Registry-Viewers.
Separate Dateityp-Kategorie für Tabellenkalkulationen.
Neue Dateityp-Kategorie "Page Layout".
Neue Dateitypen in den ZIP- und XML-Familien definiert.
Mehrere neue und überarbeitete Datei-Signatur-Definitionen.

Zeitstempel & Ereignisse

Ein Filter für Ereignis-Beschreibungen ist jetzt verfügbar.
Verbesserte Tool-Tips im Kalender-Modus.
Im Kalender-Modus ohne Ereignis-Anzeige können Sie jetzt die Spalten auswählen, deren Zeitstempel im Kalender enthalten sein sollen. Spalten, die versteckt sind (die eine Breite von 0 Pixel haben) sind ausgeschlossen, alle anderen Spalten sind enthalten. Der Statusbalken erinnert Sie daran, welche Spalten enthalten sind, selbst wenn diese aufgrund horizontalen Scrollens nicht sichtbar sind.
Mehr Zeitstempel aus Prefetch-Dateien werden extrahiert.
X-Ways Forensics gibt jetzt alle Einträge aus .evtx-Event-Log-Dateien als Ereignisse aus. Die meisten dieser Ereignisse kommen mit einer Beschreibung, die die Event-Quelle, die Event-ID und die Nummer des Log-Eintrags enthält. Die Log-Eintrags-Nummer erlaubt Ihnen, schnell den entsprechenden Log-Eintrag in der HTML-Vorschau zu finden, falls Sie weitere Details zu diesem speziellen Ereignis benötigen.
Extraktion von MS Windows Betriebssystem-Update-Ereignissen aus DataStore.edb.
Die Verzeichnis-Browser-Spalte "Int. Erzeugung" heißt jetzt "Erz. des Inhalts".

Bedienbarkeit & Benutzeroberfläche

Fähigkeit, nach Dateiduplikaten in X-Ways Investigator zu filtern, indem man eine Datei mit vorhandenem Hash-Wert im Verzeichnis-Browser rechts anklickt. Filtert tatsächlich nach dem Hash-Wert. Wie in früheren Versionen zeigt X-Ways Investigator den tatsächlichen Hash-Wert nicht an. Derselbe Befehl wird auch in X-Ways Forensics verwendet und ersetzt den Befehl "Nach [Hash-Wert] filtern", der einen Rechts-Klick auf die Zelle mit dem Hash-Wert vorausgesetzt hat.
Neue investigator.ini-Option +51 verhindert das Anzeigen ausgeblendeter Dateien (das Gegenteil von +31). Nützlich, um die Benutzer von X-Ways Investigator explizit daran zu hindern, bestimmte Dateien zu sehen.
Deutlich beschleunigtes Laden großer Registry-Hives in den Registry-Viewer.
Die Block-Auswahl geht beim Wechsel von Partitions- zum Datei-Modus und zurück nicht mehr verloren.
Chinesische und italienische Übersetzungen der Benutzeroberfläche aktualisiert.
Akustische Signale vor dem Herunterfahren (z. B. nach einer Datenträger-Sicherung oder einer Datei-Überblick-Erweiterung), um Benutzern eine bessere Chance zum Abbruch zu geben, falls sie ihre Meinung geändert haben.

Dateisystem-Unterstützung

Beim Erzeugen eines Datei-Überblicks werden symbolische Verweise jetzt mit ihren Zielen im Datei-Überblick als sogenannte zugehörige Objekte verknüpft, so daß Sie bequem zum Ziel navigieren können, indem Sie Umschalt+Backspace drücken. Außerdem wird einer (von potentiell mehreren) symbolischen Verweisen, die auf ein bestimmtes Ziel zeigen, zum zugehörigen Objekt der Zieldatei, so daß Sie bequem zu diesem symbolischen Verweis navigieren oder schnell sehen können, daß es überhaupt einen oder mehrere symbolische Verweise gibt, die auf ein bestimmtes Ziel zeigen, da jede Datei, die eine "zugehörige" Datei im Datei-Überblick besitzt, mit einem kleinen blauen Pfeil neben ihrem Icon markiert ist. Derselbe Pfeil wird Ihnen auch mitteilen, ob das Ziel des symbolischen Verweises im Dateisystem tatsächlich gefunden werden kann. Wenn ein symbolischer Verweis auf andere symbolische Verweise zeigt, werden diese nicht rekursiv verknüpft. Wenn die Auflösung der symbolischen Verweise zu lange dauert, weil es sehr viele solche symbolischen Verweise in einer Partition gibt, können Sie diesen Schritt jederzeit gefahrlos abbrechen.
Beim Erzeugen eines Datei-Überblicks von Volumes mit Windows-Installationen werden bestimmte Reparse-Points (auch Junction-Points) jetzt mit ihren Zielen im Datei-Überblick verknüpft, genau wie symbolische Verweise in Unix-basierten Dateisystemen, so daß Sie bequem zum Ziel navigieren können, indem Sie Umschalt+Backspace drücken. Außerdem gibt es einen Rück-Verweis auf einen Reparse-Point, damit Sie bequem zu diesem Reparse-Point navigieren oder schnell sehen können, daß es überhaupt einen oder mehrere Reparse-Points gibt, die zu einem bestimmten Verzeichnis zeigen, da jedes Verzeichnis, das ein "zugehöriges" Verzeichnis im Datei-Überblick besitzt, mit einem kleinen blauen Pfeil markiert ist. Nur mit forensischer Lizenz. Reparse-Points, die nicht mit ihren Zielverzeichnissen verknüpft werden, werden weiterhin mit einem Kommentar versehen, der Sie über den Zielpfad informiert, wie in früheren Versionen von X-Ways Forensics.
Für Reparse-Points in NTFS zeigt der Datei-Modus jetzt die Reparse-Point-Zielinformationen an, statt dem leeren Index-Root des Verzeichnisses.
Ein zweiter Tool-Tip erscheint jetzt für Dateien mit einer "zugehörigen" Datei, wenn man mit dem Maus-Cursor auf das Icon fährt, der Ihnen Pfad und Name der zugehörigen Datei anzeigt, beispielsweise das Ziel eines symbolischen Verweises.
Verbesserte Unterstützung für Eigenschaften-Dateien von Schattenkopien aus Windows 8.1.
Verbesserte Fähigkeit, bestimmte Sektoren auf Laufwerksbuchstaben zu schreiben.

Unterstützung für Datenträger-Sicherungen

Unterstützung für .e01-Evidence-Dateien mit einer exotischen internen Chunk-Größe von mehr als 0,5 MB, wie sie anscheinend standardmäßig von Wiebetech Ditto-Geräten verwendet wird. (Beachten Sie, die Standardgröße ist 32 KB).
Es ist jetzt möglich, Hash-Werte von Dateien in Datei-Containern zu speichern, auch wenn nur die Metadaten der Dateien übernommen werden, vorausgesetzt, die Hash-Werte der Dateien wurden bereits berechnet und im Datei-Überblick gespeichert.
Die nicht-forensische Version von WinHex hat den Hash-Wert von erzeugten Roh-Sicherungen nicht in die Textdatei geschrieben. Das wurde mit v17.4 behoben.

Diverses

Neue X-Tensions-API-Funktion XWF_GetVSProp eingeführt.
Unterstützung für Unicode-Zeichen in Dateinamen von Schablonen.
Neue Venezuela-Zeitzone definiert.
Benutzerhandbuch und Programm-Hilfe wurden aktualisiert.
Diverse kleinere Verbesserungen und kleinere Reparaturen.

Änderungen der Service-Releases von v17.3:

SR-1: Unterstützung für mehr Ereignis-Typen in .evtx-Event-Logs.
SR-1: Ein Ausnahmefehler wurde behoben, der beim Einbetten von Datei-Anhängen in .eml-Dateien als Base64-Code auftreten konnte.
SR-1: Ein Fehler in der Funktion Bearbeiten | Konvertieren | Base64 -> Binary wurde behoben.
SR-1: Unnötige Fehlermeldungen, die beim Erzeugen von Ereignissen auf der Basis von 0x30-Zeitstempeln auftreten konnten, wurden vermieden.
SR-2: Einige Kollisionen von Berichtstabellen-Tastenkürzeln wurden behoben.
SR-2: Verbesserte Erkennung von .emlx-Dateien.
SR-2: Ein seltener Ausnahmefehler, der beim Verlassen des Kalender-Modus auftreten konnte, wurde vermieden.
SR-3: Ein Ausnahmefehler wurde behoben, der bei der Ereignis-Extraktion von 0x30-Zeitstempeln aus bestimmten ehemals existierenden Dateien auftreten konnte.
SR-3: Ein Ausnahmefehler wurde behoben, der bei der Verarbeitung bestimmter Dateiarchive auftreten konnte.
SR-4: Extras | Disk-Tools | MFT-Records initialisieren hat nicht funktioniert, wenn man WinHex in nicht-westeuropäischen Sprachen verwendet hat. Dies wurde behoben.
SR-4: Unterstützung für das Einsehen von oder die Metadaten-Extraktion aus Prefetch-Dateien war in SR-3 inaktiv. Dies wurde behoben.
SR-4: Einige besondere Codepages wurden in SR-3 nicht in allen Funktionen, die mit Codepages zu tun haben, zur Auswahl angeboten. Dies wurde behoben.
SR-4: Einige Bilder wurden in v17.3 nicht auf ihren Hautfarbanteil überprüft, was zu einem "?" in der HFA-Spalte geführt hat. Dies wurde behoben.
SR-5: Ein Ausnahmefehler wurde behoben, der in v17.3 unter Windows PE/FE beim Starten von Operationen mit einem Fortschrittsbalken aufgetreten ist.
SR-5: Einige seltene Ausnahmefehler wurden behoben.
SR-5: Die Verarbeitung von Schattenkopien wurde verbessert.
SR-6: Die alternative E-Mail-Darstellung im Bericht funktioniert jetzt auch, wenn sie nicht für den Vorschau-Modus ausgewählt ist, wie sie sollte.
SR-6: Text-Dekodierungs-Option in der neuen Indexierung repariert.
SR-6: Unähigkeit von v17.2 und v17.3, Objekte, die intern als alternative Datenströme markiert sind, in Datei-Containern zu öffnen, wurde behoben.
SR-7: v17.2 und v17.3 haben Kommentare in einem Datei-Überblick nicht gespeichert, wenn das Asservat geschlossen wurde, wenn sich sonst im Datei-Überblick nichts geändert hat. Dies wurde behoben.
SR-7: Ein Stabilitätsproblem wurde behoben, das bei der Verarbeitung bestimmter .evtx-Dateien auftreten konnte.
SR-7: Zwei Fehler wurden behoben, die bei der Verarbeitung von EDB-Datenbank-Dateien auftreten konnten.
SR-7: Ein Fehler in der Option "Bilder in HTML inline einbetten" in der 64-bit-Version von X-Ways Forensics wurde behoben.
SR-8: Ein Fehler wurde behoben, der beim Öffnen von Dateien in bestimmten GZ-Archiven auftreten konnte.
SR-8: Ein Zeitstempel-Filter-Problem wurde behoben, das für Zeitzonen mit Sommerzeit manchmal fälschlicherweise ein bestimmtes Ende-Datum und -Uhrzeit als ungültig abgelehnt hat.
SR-8: Es wird keine potentiell irreführende Trefferzahl für nicht ausgewählte Suchbegriffe mehr angezeigt, wenn man die Option "Nur 1 Treffer pro Datei auflisten" verwendet.
SR-8: Die Prüfung nach der Datenträger-Sicherung wurde in v17.3 mit einer Dauer von 0:00 Minutes berichtet. Dies wurde behoben.
SR-9: Eine Endlosschleife wurde behoben, die in SR-8 beim Lesen aus bestimmten Dateiarchiven auftreten konnte.
SR-9: Verbesserte Stabilität bei der Verarbeitung von SQLite-Datenbanken.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

#135: WinHex, X-Ways Forensics und X-Ways Investigator 17.3 veröffentlicht

12. Sept. 2013

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten neuen Features, die Version 17.3.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie eine ältere Version weiter nutzen möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.

Schulungen

Köln, 24.-27. September 2013
Weitere Informationen

Was ist neu in v17.3?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Ereignisse & Zeitstempel

Der Kalender-Modus stellt jetzt alle Zeitstempel aus allen sechs Zeitstempel-Spalten (statt nur drei) für alle gelisteten Dateien (statt nur der ausgewählten Dateien) dar. Je dunkler der Grauton im Kalender für einen Tag, desto mehr Zeitstempel für diesen Tag. Wenn sich der Mauszeiger über einem bestimmten Tag im Kalender befindet, wird die Zahl der Zeitstempel, die auf diesen Tag fallen, angezeigt. Ein Linksklick auf einen Tag setzt diesen Tag als die linke Grenze für den kombinierten Zeitstempel-Filter. Ein Rechtsklick auf einen Tag setzt diesen Tag als die rechte Grenze. Ein Klick mit der mittleren Maustaste konzentriert den Filter auf genau diesen Tag. Wenn dieselbe Datei mehr als einmal aufgelistet wird (was in der Suchtreffer-Anzeige passieren kann, wenn die Datei mehr als einen Treffer enthält), dann werden deren Zeitstempel auch im Kalender mehrfach repräsentiert.
Für Ereignislisten zeigt der Kalender-Modus jetzt die Zahl der Ereignisse (alle Ereignisse, die aktuell aufgelistet sind) für jeden Tag mit unterschiedlichen Grautönen an (je dunkler, desto mehr Ereignisse an diesem Tag). Das erlaubt Ihnen, schnell zu erkennen, wann viel und wann gar keine Aktivität stattgefunden hat. Wenn sich der Mauszeiger über einem bestimmten Tag im Kalender befindet, wird die Zahl der Ereignisse, die auf diesen Tag fallen, angezeigt. Ein Links-Klick auf einen Tag setzt diesen Tag als die linke Grenze für den Ereignis-Zeitstempel-Filter. Ein Rechts-Klick auf einen Tag setzt diesen Tag als die rechte Grenze. Ein Mittel-Klick konzentriert den Filter auf genau diesen Tag.
Jahre im Kalender, die gar keinen Zeitstempel haben, sind jetzt ausgegraut. Die Jahreszahl wird jetzt in einem dunkleren Grauton angezeigt, je mehr Zeitstempel für das Jahr angezeigt werden. Alle Grautöne zielen darauf ab, dem Ermittler einen besseren und schnelleren Eindruck von Aktivitätsspitzen oder -pausen zu vermitteln.
Falls der entsprechende Zeitstempel-Filter aktiv ist, werden Jahre im Kalender-Modus in blau dargestellt, um Sie an den Filter zu erinnern. Um den Filter abzustellen, klicken Sie wie immer auf das blaue Filter-Symbol in der Überschriftszeile des Verzeichnis-Browsers.
Ereignis-Zeitstempel aus FAT-Dateisystemen werden jetzt entsprechend angezeigt. Sie werden nicht in lokale Zeit umgerechnet und zeigen nicht mehr Präzision als sie tatsächlich besitzen.
Zeitstempel im normalen Verzeichnis-Browser, die die Bedingungen des Zeitstempel-Filters erfüllen, werden jetzt hervorgehoben. Zeitstempel in der Ereignisliste, die mit dem Ereignis-Zeitstempel identisch sind, werden jetzt ebenfalls hervorgehoben.
Zeitstempel aus den 0x30-Attributen in NTFS-Dateisystemen werden jetzt als Ereignisse ausgegeben, falls sie von ihren 0x10-Gegenstücken tatsächlich abweichen und nicht mit dem 0x30-Erzeugungs-Zeitstempel identisch sind. Sie werden in der Ereignis-Typ-Spalte als "0x30" gekennzeichnet. Schadprogramme könnten sich nach erfolgter Infektion harmlos wirkende Zeitstempel zuweisen, um scheinbar nicht mit dem Zeitpunkt des Eindringens/der Infektion in Verbindung zu stehen. Die Zeitstempel im 0x30-Attribut bleiben allerdings unverändert (sofern die Datei nicht später umbenannt oder verschoben wird), und aus diesem Grund sind manche Ermittler an diesen interessiert. Wenn der Zeitrahmen des Eindringens/der Infektion bekannt ist, könnten damit in Verbindung stehende Dateien in der Ereignisliste mit v17.3 und später gefunden werden dank der ursprünglichen Zeitstempel im 0x30-Attribut.

0x30-Zeitstempel werden in der Ereignisliste mit einem Sternchen markiert, wenn diese später als die entsprechenden 0x10-Zeitstempel sind, was unnatürlich erscheint und in seltenen Fällen das Resultat von Rückdatierung durch die rechtmäßigen Nutzer des Computers selbst sein könnte. Unter bestimmten Umständen wird das Rückdatieren von Dokumenten als Betrugsversuch und illegal bewertet. 0x10-Zeitstempel, die vor den 0x30-Zeitstempeln liegen, sind allerdings deutlich häufiger das Machwerk von Installationsprogrammen oder entstehen beim Kopieren oder Verschieben von Dateien von einer Partition zu einer anderen oder sind der Extraktion einer Datei aus einem Zip-Archiv zu verdanken, wobei Windows oder andere Programme der Zieldatei künstlich das Original-Erzeugungsdatum der Quelldatei zuweisen, nachdem der Kopiervorgang erfolgreich stattgefunden hat (interne programmatische Rückdatierung).

Falls die Option "Zeitstempel auf Dateisystem-Ebene als Ereignisse bereitstellen" nur halb angekreuzt ist, werden Zeitstempel in 0x30-Attributen bei der Erzeugung der Ereignisse ignoriert, was schneller ist.
Fähigkeit, nur nach Uhrzeiten zu filtern, wobei jedes beliebige Datum erlaubt ist. Wenn Sie beispielsweise an ungewöhnlichen Aktivitäten interessiert sind, die mitten in der Nacht stattfinden, wenn der legitime Computer-Nutzer nicht im Büro ist, könnten Sie zum Beispiel nach Zeiten zwischen 22:00:00 und 05:59:59 filtern. Die Auswahl der richtigen lokalen Zeitzone für den Zeitstempel-Filter ist für diesen Ansatz natürlich von zentraler Bedeutung.
Änderungs- und Record-Änderungs-Zeitstempel werden als Ereignisse ausgelassen, falls diese mit dem zugehörigen Erzeugungs-Zeitstempel identisch sind, genau wie für Zugriffs-Zeitstempel bereits in früheren Versionen.
Mehr Ereignisse werden jetzt aus internen Datei-Inhalten erzeugt: Internes Erzeugungsdatum in diversen Dateiformaten, letzte Speicherung in Office-Dokumenten und RTF, Systemstart aus ETL-Dateien (Event Trace Log), Anhang-Zeitstempel aus EDB, Signaturdatum aus EXE/DLL/SYS/..., Exif-Zeitstempel in Fotos.
.evt-Event-Logs als Ereignis-Quellen unterstützt.
Unterstützung für weitere Ereignistypen in .evtx-Event-Logs.
Anklickbare Offsets in der HTML-Darstellung von Windows-.evtx-Event-Logs.

Bedienbarkeit

Bessere Unterstützung für hohe DPI-Einstellungen in neueren Windows-Versionen (höher als 125, mit Nicht-XP-Skalierung), Anzeige nicht mehr verschwommen. Einstellungen in Bereich 100-125 werden jedoch weiterhin empfohlen.
Fähigkeit, die Benutzeroberfläche von X-Ways Forensics auf die von X-Ways Imager umzustellen, zu Testzwecken oder wenn auf einem bestimmten System nur Datenträger-Sicherungs-Funktionalität benötigt wird.
Galerie-Anzeige beschleunigt und das Flackern in bestimmten Situationen vermieden.
Galerie-Vorschaubilder bleiben sichtbar, wenn zur nächsten Seite übergegangen wird, bis sie durch neue Vorschaubilder der nächsten Seite ersetzt werden, und können normalerweise auch noch doppelt angeklickt werden. Nützlich, wenn Sie gerade noch ein möglicherweise relevantes Bild sehen, aber bereits den Bild abwärts-Knopf gedrückt oder das Mausrad gedreht haben.
Der Fortschritt einer Operation wird in Windows 7 und später jetzt auch in der Task-Leiste angezeigt.
Beim Indexieren großer Dateien (mit der neuen Indexierung) und in einigen anderen Situationen wird der relative Forschritt angezeigt.
Die virtuelle Datei "Freier Speicher" wird jetzt in grau angezeigt, wenn die Option "Bereinigung des freien Speichers" aktiv ist, als Erinnerung an die Tatsache, daß sie nicht den gesamten freien Speicher repräsentiert, wenn man sie öffnet.
Das Vorhandensein einer Datei namens winhex.nouser im Installationsverzeichnis erzwingt eine generische (nicht benutzerspezifische) Konfiguration. Nützlich beispielsweise für tragbare Verwendung auf einer externen USB-Festplatte, um die unbeabsichtigte Verwendung einer auf dem selben System vorhandenen nutzerspezifischen Konfiguration bei der Ausführung von X-Ways Forensics zu vermeiden. Für weitere Informationen zum Speichern von Konfigurationen besuchen Sie https://www.x-ways.net/winhex/setup-d.html.
Der Name des aktuell offenen Falls wird jetzt auch im Titel des Hauptfensters angezeigt.
Die Erzeugung von Video-Einzelbildern ist jetzt völlig stumm.
X-Ways Forensics speichert die Sortierkriterien und die Option "Verz. und Dateien gruppieren" separat
1) für den normalen Verzeichnis-Browser eines Volumes,
2) für den normalen Verzeichnis-Browser eines partitionierten Datenträgers,
3) für Suchtreffer-Listen und
4) für Ereignis-Listen.

Unterstützung für Datenträger & -sicherungen

Fähigkeit, physische Datenträger, Partitionen und Volumes wie Daten zu öffnen, via Datei | Öffnen oder beim Auswählen einer Quelldatei zum Klonen, indem man den neuen Knopf "Gerät..." im Dateiauswahl-Dialog anklickt. Sie können einen Gerätepfad eingeben wie z.B.
\\.\PhysicalDrive1 (für die erste Festplatte)
\\?\Volume{12345678-9abc-11a1-abcd-0123456789ab} (für ein Volume mit dieser GUID)
\\.\C: (für das Volume, dem der Laufwerksbuchstabe C: zugewiesen ist)

Diese neue Funktionalität erlaubt es, Volumes zu öffnen, denen keine Laufwerksbuchstaben zugewiesen sind. Um eine Übersicht über alle Volumes, die Windows bekannt sind, zu erhalten, geben Sie den Befehl "mountvol" in einem Kommandozeilen-Fenster ein.

Sie können auch versuchen, von Windows unterstützte exotische Geräte auf diese Weise zu öffnen, wie zum Beispiel Bandlaufwerke oder Medienwechsler (nicht getestet).

So können Sie auch alternative Datenströme öffnen, deren Pfad und Namen Sie kennen, wie durch den gewöhnlichen Datei | Öffnen Dialog nicht geöffnet werden können, ohne das Volume zu öffnen, auf dem sie sich befinden.

Eine Festplatte als Datei zu öffnen kann beispielsweise nützlich sein, wenn Sie diese Festplatte klonen möchten und die Quell- und Zieldatenträger unterschiedliche Sektorgrößen haben (ob es überhaupt Sinn hat, eine Festplatte trotz unterschiedlicher Sektorgrößen zu klonen, hängt von den Daten ab). Bei der Betrachtung als Datei gibt es keine definierten Sektorgrößen und demzufolge auch keine nicht übereinstimmenden Sektorgrößen.

Gerätedateien können wie Datenträger-Sicherungen auch als Datenträger interpretiert werden.
Schattenkopie-Trägerdateien, die vom Nutzer (Ermittler) ausgeblendet wurden, werden bei der besonders intensiven Dateisystem-Datenstruktur-Suche jetzt ignoriert.
Der Laufwerksbuchstabe, der auf echten physischen Datenträgern (nicht auf Datenträger-Sicherungen, die als Datenträger interpretiert werden) einer Partition zugewiesen ist, wird im Verzeichnis-Browser jetzt neben der Partitionsnummer angezeigt. Außerdem sehen Sie ab jetzt die Partitionsgröße für einen Laufwerksbuchstaben im Disk öffnen Dialog.
Speichert harte Verweise für dieselbe Datei in Containern des neuen Formats auch dann, wenn die Verweise denselben Namen haben.
Beim Kopieren ausgewählter Dateien in einen Datei-Container berichtet X-Ways Forensics jetzt, wieviele Dateien ausgewählt waren zusätzlich zur Zahl der Dateien, die tatsächlich kopiert wurden, aus Gründen der Bedienbarkeit. Wenn alle Dateien kopiert wurden, wird dies durch das Wort "alle" deutlich gemacht. Bislang war die Zahl der ausgewählten Dateien nur aus der Auswahl-Statistik unter dem Verzeichnis-Browser ersichtlich.
Fähigkeit, neu erzeugte Datenträger-Sicherungen automatisch dem Fall hinzuzufügen und ihren Dateiüberblick ohne weitere Nutzer-Interaktion zu erweitern, vorausgesetzt, daß der Quelldatenträger dem Fall noch nicht hinzugefügt war und dass zu dem Zeitpunkt ein Fall offen ist.
Die Gesamtgröße einer komprimierten .e01-Sicherung wird während der Erzeugung geschätzt und die Schätzung durchgehend aktualisiert.
Benutzer, die das .001-Segment eines segmentierten Roh-Images zu interpretieren versuchen, obwohl ein Segment mit Namensendung .000 existiert, werden gewarnt. Nutzer müssen wissen, daß sie das erste Segment auswählen müssen, wenn sie ein segmentiertes Image interpretieren lassen oder zu einem Fall hinzufügen.

Dateiformat-Unterstützung

Die interne Graphik-Bibliothek für JPG, PNG, TIFF wurde überarbeitet.
Ein Stabilitätsproblem bei der Verarbeitung bestimmter GIF-Bilder wurde behoben.
Unterstützung für .pf-Prefetch-Dateien von Windows 8.
Dateityp-Erkennung von und Metadaten-Extraktion aus JIDX (Java applet cache).
Dateityp-Prüfung generell überarbeitet.
Verbesserte Erkennung von Original-Namen von Dateien, die in .mht-Dateien eingebettet sind.
Die Extraktion aus .mht-Dateien hat in jüngeren Service Releases von v17.2 nicht funktioniert. Dies wurde behoben.
Fähigkeit, den Typ ausgewählter Dateien selbst festzulegen, mittels eines neuen Befehls im Kontextmenü des Verzeichnis-Browsers. Nützlich, falls Sie bestimmte Typen oder Untertypen auf eine X-Ways Forensics nicht bekannte Weise identifizieren wollen, beispielsweise um nach diesen Typen später zu filtern. Wie wäre es beispielsweise, TIFF-Bilder, die digital gespeicherte Fax-Dokumente enthalten, als Typ "fax" zu klassifizieren? Bedenken Sie, Sie können Ihre eigenen Dateitypen in der Datei File Type Categories.txt festlegen.
Ein Ausnahmefehler wurde behoben, der beim Einbetten von Dateianhängen als Base64-Code in .eml-Dateien auftreten konnte.
Ein Fehler in der Funktion Bearbeiten | Konvertieren | Base64 -> Binary wurde behoben.

Diverses

Das erste extrahierte Video-Einzelbild wird im Bericht als Vorschaubild für das Video selbst angezeigt.
Fähigkeit, Berichtstabellen-Verknüpfungen für Dateien zu erzeugen basierend auf den Suchbegriffen, die sie enthalten. Nützlich, wenn Sie die Information, welche Dateien welche Suchbegriffe enthalten, behalten möchten, selbst nachdem Sie die Suchtreffer gelöscht haben, oder um diese Information auch in Datei-Containern zu erhalten. Berichtstabellen, die enthaltene Suchbegriffe repräsentieren, sind die dritte Art von Berichtstabellen, wobei die ersten beiden Arten Berichtstabellen, die von X-Ways Forensics erzeugt werden, um den Nutzer auf bestimmte Datei-Eigenheiten hinzuweisen, und die vom Nutyer erzeugten Allzweck-Berichtstabellen sind. Berichtstabellen, die Suchbegriffe repräsentieren, werden in Datei-Containern von v17.3 und später erkannt.
Fähigkeit, Geschwister-Dateien ausgewählter Dateien automatisch mit Berichtstabellen zu verknüpfen. Nützlich beispielsweise bei der Durchsicht von Suchtreffern, wenn Sie einen relevanten Suchtreffer in einem E-Mail-Anhang finden, und sicherstellen wollen, daß die anderen Anhänge derselben E-Mail für die weitere Bearbeitung vorgemerkt werden, selbst wenn diese keine Suchtreffer enthalten.
Ein neues Flag "W" (Großbuchstabe) wird in File Type Header Signatures Check Only.txt" unterstützt, welches Dateisignaturen identifiziert, die zu schwach (weak) sind, um einen Dateityp neu zu identifizieren, und lediglich zur Bestätigung eines Typs, der von der Namenserweiterung ohnehin suggeriert wird, herangezogen werden.
Die Suche nach ganzen Wörtern funktioniert jetzt für Wörter aus westeuropäischen Sprachen in UTF-16 BE.
Viele kleinere Verbesserungen und kleinere Reparaturen.
PDF-Benutzerhandbuch und Programmhilfe für v17.3 überarbeitet.

Andere Neuigkeiten

Sicherungen mit X-Ways Forensics (und damit auch X-Ways Imager) zweimal so schnell wie mit FTK Imager. Dreimal so schnell wie mit EnCase. Image 8% größer. Testergebnisse (auf Englisch) hier.
Eine vereinfachte vergleichende grafische Darstellung von Minimalsicherungen, bereinigten Sicherungen und Datei-Containern gibt es jetzt hier (englische Seite).
Oracle hat ein kritisches Update für v8.3.7 und v8.4.1 der Viewer-Komponente bereitgestellt. Die aktualisierten Versionen können jetzt heruntergeladen werden. Diese werden aus Sicherheitsgründen empfohlen.

Mit diesem Update werden HTML-Tabellen in v8.4.1 jetzt sehr viel besser dargestellt, aber sie nutzen weiterhin nicht die volle verfügbare Fensterbreite, wie dies in v8.3.7 der Fall war. Bitte beachten Sie, daß aus diesem Grund die Verweise zu Datei-Offsets (z.B. in der HTML-Darstellung von index.dat- und .evtx-Dateien) oft in zwei Zeilen umgebrochen werden und Ihnen daher nicht ermöglichen, zum korrekten Offset zu springen.

Änderungen der Service-Releases von v17.2:

SR-1: Ein Ausnahmefehler, der mit thumbcache_256.db-Dateien aufgetreten ist, wurde behoben.
SR-1: Ein Ausnahmefehler wurde behoben, der bei der Extraktion von E-Mails aus Outlook Express DBX-Archiven auftreten konnte.
SR-1: Die Identifikation von Verweisen auf identische Ziele auf FAT-Volumes ist jetzt schneller.
SR-2: Die PST/OST-E-Mail-Extraktion in v17.2 war abhängig von der Anwesenheit von MSVCR100.dll, die nicht zwingend auf allen Windows-Systemen vorhanden ist. Dies wurde vermieden.
SR-2: Ein Fehler wurde behoben, der bei der Datenextraktion aus Skype-Datenbanken zum Einfrieren des Programms führen konnte.
SR-2: Ein Ausnahmefehler wurde behoben, der während der Metadaten-Extraktion auftreten konnte.
SR-2: Eine seltene Endlosschleife wurde verhindert, die bei der Verarbeitung bestimmter Hive-Fragment-Dateien auftreten konnte.
SR-2: Spezialbehandlung von # in Dateinamen bei der Berichtserzeugung.
SR-3: Mehrere kleinere Verbesserungen und Fehlerkorrekturen für die Behandlung bestimmter Dateitypen, einschließlich Windows Registry-Dateien.
SR-3: Das Pipe-Symbol ist im Namensfilter jetzt erlaubt (kann für GREP-Ausdrücke nützlich sein).
SR-3: Ein Fehler wurde behoben, der zur Anzeige einer falschen Dateigröße im Verzeichnis-Browser führen konnte, für bestimmte Dateien, die in Schattenkopien gefunden wurden und Alternative Datenströme besitzen.
SR-3: Die Unfähigkeit, bestimmte TAR-Archive automatisch zu erkunden, wurde behoben.
SR-4: Beim rekursiven Erkunden vom Asservat-Überblick in v17.2 konnten leere Dateiüberblicke für Partitionen ohne bisherigen Datei-Überblick entstehen. Dies wurde behoben.
SR-4: Einige Korrekturen in der Behandlung bestimmter Dateitypen.
SR-6: Bessere Behandlung defekter Archive.
SR-6: Ein Speicherleck in der neuen Indexierung wurde behoben.
SR-6: Verbesserungen in der Exchange EDB-Extraktion.
SR-7: Die Unfähigkeit von X-Ways Investigator 17.2 wurde behoben, das Ende von .e01-Evidence-Files zu lesen.
SR-7: Ein Fehler in der Metadaten-Extraktion bestimmter ausführbarer Dateien wurde behoben.
SR-8: Ereignis-Erzeugung aus .evtx-Windows-Event-Log-Dateien wurde in v17.2 eingeführt, aber wurde bislang nicht angekündigt.
SR-8: Eine endlose Rekursion wurde behoben, die bei der Extraktion alter Versionen aus bestimmten PDF-Dokumenten auftreten konnte.
SR-8: Verhindert einige Probleme bei der Verarbeitung von Videos mit der neuen MPlayer-Version.
SR-8: Ein Ausnahmefehler wurde behoben, der bei der Interpretation differenzierenden VMDK-Disk-Images auftreten konnte.
SR-8: Ein Ausnahmefehler wurde behoben, der in v17.2 bei der Extraktion von Meeting-Informationen oder Kontakten aus Outlook PST-E-Mail-Archiven auftreten konnte.
SR-9: Ein Fehler in der Option "Quellsektoren voller Nullen auslassen" von Minimalsicherungen wurde behoben.
SR-9: Ein Ausnahmefehler wurde behoben, der beim Exportieren von Video-Einzelbildern auftreten konnte.
SR-9: Ein Fehler, der bei der Verarbeitung PList-Dateien auftreten konnte, wurde behoben.
SR-9: Das Exportieren von Suchtreffern wurde verbessert.
SR-9: Die Extraktion des Browser-Verlaufs von Internet Explorer 10 ist in einigen Service Releases von v17.2 mit einer Fehlermeldung gescheitert. Dies wurde behoben.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer

#134: WinHex, X-Ways Forensics und X-Ways Investigator 17.2 veröffentlicht

5. Juli 2013

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten neue Features, die Version 17.2.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten (geändert für X-Ways Forensics!) sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Was ist neu in v17.2?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Suchen

Komplett überarbeitete neue Indexierung mit vielen Vorteilen: Wird zeitgleich mit der Erweiterung des Datei-Überblicks erzeugt (Synergie spart Zeit!), in sich schon schneller zu erzeugen als bisher, kein zusätzlicher Optimierungsschritt, nur 1 Index für mehrere Codepages/Zeichensätze, nur 1 Wortliste für mehrere für mehrere Codepages/Zeichensätze (d. h. weniger Duplikate), GREP-Suchen im Index möglich, verschiedene Indexe mit verschiedenen Namen können für unterschiedliche Zwecke simultan für dasselbe Asservat koexistieren, Indexierung mit regulären Ausdrücken möglich (Details hierzu werden später veröffentlicht), bequemere Auswertung der Suchtreffer (genau wie bei normalen Suchtreffern werden Suchtreffer sofort permanent gespeichert, was sofortige logische AND- und NEAR-Verknüpfungen ermöglicht) und mehr.

Zur Zeit koexistieren die alte und die neue Indexierung innerhalb des Programms. Um die alte Indexierung zu verwenden, benutzen Sie die Menübefehle Suchen | Indexierung (um einen Index zu erzeugen) und Suchen | Suche im Index (um im Index zu suchen). Um einen Index mit der neuen Indexierung zu erzeugen, benutzen Sie den Menübefehl Specialist | Datei-Überblick erweitern. Um eine Suche im Index des neuen Formats durchzuführen, rufen Sie Suchen | Parallele Suche auf und wählen „Suche im Index“ in der aufklappbaren Liste am unteren Rand des Dialogfensters aus.
Die absturzsichere Text-Decodierung für logische Suchen und Indexierung ist jetzt viel schneller, beinahe so schnell wie die normale Decodierungsoption.

Datenträger-Sicherungen

Noch eine weitere Variante von Datenträger-Sicherungen für Benutzer, die bestimmte Daten aus forensischen Sicherungen ausschließen wollen oder müssen. Sie können jetzt gewöhnliche Datenträger-Sicherungen im Roh-Format oder als .e01 Evidence-File erzeugen - mit allen bekannten Optionen wie Hash-Berechnung, Kompression, Verschlüsselung, Segment-Aufteilung - und die Daten in Clustern ausschließen, die zu Dateien gehören, die Sie ausblenden bevor Sie die Datenträger-Sicherung starten. Die resultierende Sicherung ist eine sogenannte bereinigte Sicherung. Die betroffenen Sektoren werden in der Sicherung mit Nullen oder optional mit einem leicht erkennbaren „Wasserzeichen“ Ihrer Wahl gefüllt. Alle anderen Daten werden normal in die Sicherung kopiert.

Nützlich für jeden, der bestimmte Dateien aus dem Dateisystem ausschließen muß, aber sonst eine normale, forensisch saubere sektorweise Datenträger-Sicherung erzeugen möchte, die mit anderen Programmen kompatibel ist. Diese Art von Images ist vermutlich die beste Lösung zum Schutz des Kernbereichs privater Lebensgestaltung und zur Wahrung von Zeugnisverweigerungsrechten von Berufsgeheimnisträgern wie Ärzten und Rechtsanwälten. Einen Vergleich von Datei-Containern, Minimal- und bereinigten Sicherungen, die alle ähnliche Zwecke erfüllen, finden Sie unter https://www.x-ways.net/investigator/Container_vs_Minimalsicherungen.html .

Bevor Sie den Sicherungsprozeß für einen partitionierten Datenträger starten, öffnen Sie die Partition, in der sich die Dateien befinden, die sie aus der Sicherung ausschließen möchten. Warten Sie, bis der Datei-Überblick erzeugt wurde, falls nicht schon geschehen. Blenden Sie dann diese Dateien aus. Sie brauchen Partitionen, deren Inhalt Sie komplett sichern wollen, nicht zu öffnen oder für sie einen Datei-Überblick erzeugen lassen.

Beachten Sie, daß Sie vollständige Datenträger-Sicherungen im Roh-Format auch nachträglich in WinHex bereinigen können, indem Sie ausgewählte Dateien über das Kontextmenü des Verzeichnis-Browsers sicher löschen. Diese Operation ist nicht auf ganze Cluster beschränkt. Dies bedeutet beispielsweise, daß Dateien in NTFS, deren Inhalte resident (in FILE-Records) gespeichert sind, auf diese Weise auch gelöscht werden können, und Schlupfspeicher wird nicht mit gelöscht.
Wahlfreier Zugriff auf große .e01 Evidence-File-Segmente beschleunigt.

Dateiformat-Unterstützung

Überarbeitete E-Mail-Extraktion aus Datenbanken von MS Exchange und PST/OST-E-Mail-Archiven von Outlook.
Ereignisse, die von Skype aufgezeichnet werden, werden jetzt in die Ereignisliste übernommen (Chats, Anrufe, Dateiübertragungen, Erzeugung von Nutzerkonten, ...). Wenn Sie diese Ereignisse nach Zeitstempel sortieren lassen, können Sie alle Chat-Nachrichten in chronologischer Reihenfolge lesen.
Metadaten-Aufbereitung aus ausführbaren Dateien im PE-Format mit Versionsressourcen.
Möglichkeit, den Originalzustand aus veränderten PDF-Dokumenten zu extrahieren und als Unterobjekt bequem zugänglich zu machen (siehe Metadaten-Aufbereitung). Die Unterobjekte werden als Ausschnitt gekennzeichnet. Alte Fassungen können im Datei-Modus auch leicht manuell gecarvt werden.
Extraktion von Miniaturansichten aus thumbcache*.db-Dateien von Windows 8 unterstützt.
Neue Bearbeiten | Konvertieren Funktionen: Percentage URL Encode, Percentage URL Decode, Quoted Printable Decode.
Metadaten aus den XML-Dateien in Zip-artigen Office-Dokumenten können nun auch dann extrahiert werden, wenn die XML-Dateien gar nicht in den Datei-Überblick aufgenommen werden.
Traditionelle chinesische Schriftzeichen jetzt für die Indexierung vordefiniert.
Bessere Unterstützung von NNTP-codierten E-Mails.
Separate Dateityp-Kategorie „Chats, Messaging“ in File Type Categories.txt definiert. Vorschläge, welche weiteren Dateitypen dort eingetragen werden sollten, werden gern angenommen. Danke.
Stabiler beim Dekomprimieren defekter Zip-Archive.

Verzeichnis-Browser

Neue Verzeichnis-Browser-Spalte „Eindeutige ID“. Ähnlich der internen ID, aber eindeutig für den gesamten Fall, nicht nur innerhalb eines Asservats. Filter verfügbar.
Wahlmöglichkeit, komplett numerische eindeutige IDs für einen Fall zu verwenden statt eindeutige IDs mit einem Trennzeichen, wenn der Fall angelegt wird.
Fähigkeit, nach Dateien zu filtern, deren interne oder eindeutige IDs in einer Liste von IDs enthalten (mathematisch „Element von“) sind, oder diese auszuschließen (mathematisch „nicht Element von“). Nützlich, wenn Sie erst eine Liste von Dateien inklusive IDs für jemanden erzeugen und dann eine Liste von IDs zurückerhalten von Dateien, die Sie kopieren sollen. Bedenken Sie, interne IDs gehören zu einem bestimmten Asservat und Datei-Überblick (und jede Partition eines partitionierten Datenträgers hat ihren eigenen Datei-Überblick und zählt als eigenständiges Asservat), eindeutige IDs hingegen sind fallweit eindeutig.
Nutzer-IDs (inklusive letzter SID-Komponente) größer als 65.535 im Besitzer-Filter unterstützt.
Die Optionen „Verz. und Dateien gruppieren“, „Rekursiv auch Verz. mit ausgeben“ und „Filter auch auf Verzeichnisse anwd.“ werden jetzt für den normalen Verzeichnis-Browser, Suchtreffer-Anzeige und Ereignisliste getrennt gespeichert.
Unterdrücken von Dateien heißt nun „ausblenden“ (aber sonst ändert sich nix).

Herangehensweise

Die Hash-Spalte enthält jetzt so lange Pseudo-Hash-Werte in hellgrau, bis echte Hash-Werte berechnet wurden. Pseudo-Hash-Werte basieren auf den Metadaten, nicht den Inhalten der Datei. Sie sind sofort verfügbar, auch für sehr große Dateien. Sie ermöglichen es Ihnen, Dateien in einer zufälligen Reihenfolge auflisten zu lassen, genau wie die Sortierung nach echten Hash-Werten, aber ohne den Zeitaufwand, richtige Hash-Werte erst berechnen zu lassen. Nützlich beispielsweise für Triage-Zwecke, wenn Sie begrenzt Zeit haben und nur schnell eine Zufallsauswahl an Dateien einem großen Asservant einsehen wollen (z. B. Bilder in der Galerie), um die vermutliche Relevanz des Asservats zu beurteilen.

Dateien in einer zufälligen Reihenfolge einzusehen, könnte Ihnen einen vollständigeren und korrekteren Eindruck vermitteln, was auf dem Asservat gespeichert ist, weil die ersten x% der gelisteten Dateien abwechslungsreicher und eine repräsentativere Stichprobe sind, wenn sie in wirklich zufälliger Reihenfolge vorliegen. Sortieren Sie hingegen nach Name oder Pfad oder Dateigröße oder Zeitstempeln, werden viele der Dateien, die Sie sehen, in gewisser Weise ähnlich sein (erzeugt von der selben Anwendung oder vom Betriebssystem, vom selben Nutzer, für einen ähnlichen Zweck, erzeugt, kopiert oder erhalten um denselben Zeitpunkt herum, selbes Dateiformat, ...), so daß Sie mit ein bißchen Pech evtl. nur irrelevante Dateien sehen, obwohl eine ähnlich große Gruppe relevanter Dateien existiert. Beachten Sie, daß die Untermenge der zuerst aufgelisteten Dateien auch dann etwas „verzogen“ ist, wenn Sie den Verzeichnis-Browser nicht sortieren lassen, weil Sie die Dateien dann in der Reihenfolge sehen, in der sie im Datei-Überblick referenziert sind, was mehr oder weniger der Reihenfolge entspricht, in der sie im Dateisystem verzeichnet sind, also nicht auch nicht zufällig und repräsentativ.

Die Sortierung nach Hash-Werten kann mit beliebigen Filtern kombiniert werden, zum Beispiel um nur Bilder größer als 1 MB in einer zufälligen Reihenfolge zu sehen, oder nur Dateien eines bestimmten Nutzers. Pseudo-Hash-Werte sind nicht garantiert eindeutig, und nicht mal garantiert unveränderlich, wenn Sie das Asservat schließen und wieder öffnen.
Für einen ähnlichen Zweck gibt es jetzt eine Modulo-Option für den internen ID-Filter. Für Asservate, die eine sehr große Anzahl Dateien enthalten, erlaubt sie Ihnen, sich auf eine Unterauswahl an Dateien zu konzentrieren, die mehr oder weniger repräsentativ für alle Dateien ist (aber deutlich weniger zufällig als Dateien nach Hash-Wert auszuwählen). Die Modulo-Operation auf die interne ID anzuwenden wird Dateien aus beliebigen Verzeichnissen, mit beliebigen Namen, Erzeugungsdatum etc. auswählen. Um nur 1.000 aus 100.000 Dateien zu sehen, also jede 100. Datei, nehmen Sie die Operation „int. ID mod 100 = 0“. Auch nützlich für Testzwecke: Wenn Sie die Leistung von verschiedenen Festplatten, RAID-Systemen, Prozessoren, Konfigurationen für Datei-Überblick-Erweiterungen vergleichen wollen, brauchen Sie nicht alle Dateien in einem Asservat zu verarbeiten. Sie können schnellere, aber vermutlich repräsentative Ergebnisse z. B. in einem Zehntel der Zeit erhalten, indem Sie nur jede 10. Datei verarbeiten lassen, pseudo-zufällig anhand interner IDs ausgewählt.

Selbst im normalen Arbeitsablauf wird von Ermittlern unter Umständen keine 100% vollständige Untersuchung erwartet (oder ist ggf. nicht zumutbar), z. B. wenn nach der Verarbeitung einer geeignet großen Stichprobe auf die Gesamtheit hochgerechnet werden kann, daß ungefähr 10% von zehntausenden von Fotos illegales Material enthalten.

X-Tensions API (Details)

Eine Portierung der X-Tensions API nach C# gibt es bei https://github.com/chadgough/x-tensions (auch http://www.4discovery.com/our-tools/#8), um die Entwicklung von X-Tensions in .Net zu erleichtern, dank Chad Gough.
Möglichkeit, das Ergebnis der Hautfarb-/Graustufenerkennung von Bildern programmatisch abzufragen, via XWF_GetItemInformation.
Neue Funktion XWF_GetCaseProp verfügbar, die Eigenschaften des aktuellen Falls abfragt.

Anzeige

Besser lesbare Schriftart in Dialogfenstern in der chinesischen, japanischen und russischen Benutzeroberfläche.
Option, die Standard-GUI-Schriftart von Windows in WinHex/X-Ways Forensics zu benutzen (s. zusätzliches Kontrollkästchen in den Allgemeinen Optionen).
Bessere Unterstützung von großen Systemschriftarten bei hohen Bildschirmauflösungen (bis 120 DPI).
Option, den zusätzlichen Abstand zwischen Zeilen in der Hex-Editor-Anzeige in Pixeln selbst festzulegen, der zusätzlich zur offiziellen Höhe der gewählten Schriftart die Entfernung zwischen den Zeilen bestimmt. Standardwert hierfür war immer 3, kann aber nun verringert werden, um mehr Zeilen auf einmal anzuzeigen und mehr Daten auf einmal sehen zu können. Z. B. sieht die Anzeige mit der Schriftart Courier immer noch ordentlich aus bei einem zusätzlichen Abstand von nur 1, und Sie sehen dann 15% mehr Daten (basierend auf einer Schriftgröße von 10). Sogar negative Werte sind möglich. Mit -1 sehen Sie 35% mehr Daten als vorher. Siehe Allgemeine Optionen.

Diverses

Es ist nun möglich, die Wiederbelebung einer nicht mehr reagierenden Vorinstanz zu versuchen, indem man eine weitere Instanz startet (durch erneuten Aufruf derselben .exe-Datei), wenn die Option „Mehrfach zugleich ausführbar“ halb angekreuzt ist. Sollte X-Ways Forensics zum Beispiel bei der Verarbeitung einer bestimmten Datei bei der Erweiterung des Datei-Überblicks in eine Endlosschleife geraten, kann die Wiederbelebung möglicherweise der bereits laufenden Instanz helfen, aus der Schleife auszubrechen und mit der nächsten Datei fortzufahren. Die zweite Instanz zeigt zu Debug-/Analysezwecken außerdem einige technische Informationen darüber, was die bereits laufende Instanz aktuell tut, was auch ohne einen Wiederbelebungsversuch angeboten wird.
Fähigkeit, die Hardware-Seriennummern bei USB-Datenträgern abzufragen.
Die Auflösung harter Verweise in HFS+-Dateisystemen wurde beschleunigt. Sie können diesen Schritt jederzeit abbrechen, wenn er Ihnen zu lange dauert.
Ein Fehler wurde behoben, der beim Schreiben auf symbolische Verweise in Ext*- und XFS-Dateisystemen auftreten konnte.
Einige Optimierungen bei der Erweiterung des Datei-Überblicks.
Möglichkeit in X-Ways Investigator, bis zu 64 KB an Daten in einem definierten Block in die Zwischenablage zu kopieren (Änderungen hieran vorbehalten).
Ausnahmefehler behoben, der beim Parsen von Schattenkopien auftreten konnte.
Möglichkeit, Roh-Images zu interpretieren, deren Segmente aus 4 Ziffern bestehende Dateinamenserweiterung haben (.0001, .0002, ...), zusätzlich zu den konventionellen Erweiterungen mit 3 Ziffern.
PDF-Benutzerhandbuch und Programmhilfe überarbeitet und für v17.2 aktualisiert in Deutsch und Englisch.
Viele kleinere Verbesserungen und kleinere Reparaturen.

Änderungen der Service-Releases von v17.1:

SR-1: Korrektur von Fehlern bei der PDF-Metadaten-Aufbereitung.
SR-1: Die Unfähigkeit wurde behoben, Daten aus dem Schlupfspeicher von Dateien im Datei-Modus manuell zu carven.
SR-1: E-Mail-Extraktion aus DBX und MBOX leicht verbessert.
SR-1: Kann denselben lokalen Dongle wieder mit Instanzen älterer Versionen teilen.
SR-2: Bestimmte Ausnahmefehler von v17.1 wurden behoben, die bei der Erweiterung des Datei-Überblicks auftreten konnten, insbesondere, wenn Metadaten aus ausführbaren Dateien aufbereitet wurden.
SR-2: Möglicherweise falsche Attribute von E-Mails extrahiert aus MBOX und DBX E-Mail-Archiven wurden behoben.
SR-3: Fehlgeschlagenes Lesen in v17.1 beim Öffnen eines Datei-Überblicks gespeichert in v17.0 wurde behoben.
SR-3: Ein Ausnahmefehler wurde verhindert, der in v17.1 mit E-Mails eines bestimmten Formats auftreten konnte.
SR-3: Die Unfähigkeit von v17.0 und neuer wurde behoben, Dateien mit Unterobjekten in Datei-Containern des alten Formats zu öffnen. (Ein neuer Datei-Überblick muß erzeugt werden.)
SR-3: Zeitstempel in bestimmten Registry-Ereignissen waren unter Umständen um einige Stunden falsch. Dies wurde behoben. (Ereignisse müssen neu bereitgestellt werden.)
SR-4: Die Auflösung harter Verweise in HFS+ Dateisystemen wurde beschleunigt.
SR-4: Wenn Hash-Werte mit der Hash-Datenbank abgeglichen werden, falls derselbe Hash-Wert in Hash-Sets unterschiedlicher Kategorien gefunden wird, wird nicht nur eine Warnung im Nachrichtenfenster ausgegeben, sondern auch ein solcher Hash-Wert als Referenz.
SR-4: Ein Stabilitätsproblem wurde behoben, das bei der Verarbeitung von thumbcache*.db Dateien auftreten konnte.
SR-4: Die Unfähigkeit von X-Ways Investigator v17.1 SR-3 wurde behoben, in bestimmten Situationen Bilder aus Datei-Containern des alten Formats zu lesen.
SR-4: Bei einigen seltenen Base64-Formatvarianten hat die neue Extraktionsmethode für MBOX E-Mail-Archive unter Umständen einige Dateianhänge übersehen. Dies wurde behoben.
SR-4: Ein paar Fixes im XML-Export.
SR-4: Ein paar Fehler in der PDF-Extraction wurden behoben.
SR-5: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn ausgewählte Dateien in Minimalsicherungen kopiert wurden (nur in der 64-Bit-Edition).
SR-6: Einige Ausnahmefehler wurden verhindert, die bei der Verarbeitung bestimmter E-Mails im MSG- und EML-Format auftreten konnten.
SR-6: Einige andere Ausnahmefehler wurden behoben.
SR-7: Einige Fehler, die bei der Aufbereitung von Metadaten auftreten konnten, wurden behoben.
SR-7: In v17.0 und v17.1 wurden thumbs.db Dateien nicht als Dateien mit Unterobjekten gekennzeichnet, nachdem die enthaltenen Vorschaubilder identifiziert wurden. Dies wurde behoben.

#133: WinHex, X-Ways Forensics und X-Ways Investigator 17.1 veröffentlicht

14. Mai 2013

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten neue Features, die Version 17.1.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Was ist neu in v17.1?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Datenträger-Sicherung

Ein weiteres typisches „X-Ways“-Feature, das die Spitzenstellung von X-Ways Forensics als das Tool zementiert, das dem Benutzer die größtmögliche Kontrolle überläßt beim Auswählen, Erfassen und Filtern von Daten auf jeder vorstellbaren Ebene: Die Fähigkeit, von Datenträgern forensische Minimalsicherungen zu erzeugen, die nur solche Sektoren enthalten, die für die gewünschten Zwecke erforderlich sind, unter Beibehaltung der Kompatibilität mit anderen Tools. Diese Sektoren können diejenigen sein, die Partitionstabellen enthalten, Dateisystem-Datenstrukturen, deren benachbarte Sektoren, oder Sektoren mit Datei-Inhalten sowie beliebige Sektoren im unpartitionierten Niemandsland einer Festplatte. Eine Minimalsicherung ist üblicherweise nur spärlich mit Daten besetzt, so daß es sinnvoll ist, die Sparse-Datei-Technologie von NTFS dafür einzusetzen. Unbeschriebene Bereiche in einer Minimalsicherung verhalten sich beim späteren Lesen, als ob sie binäre Nullen enthalten.

Sie beginnen eine Minimalsicherung, indem Sie den Menübefehl Datei | Minimalsicherung erstellen aufrufen. Welche Sektoren fortan in das Image aufgenommen werden, wird nun indirekt bestimmt, indem man X-Ways Forensics solche Sektoren vom Quelldatenträger lesen läßt, die für bestimmte Zwecke erforderlich sind. Wenn die gerade erzeugte, anfangs noch leere Minimalsicherung im Hintergrund geöffnet ist, öffnen Sie normalerweise als nächstes den physischen Datenträger oder die Partition oder öffnen und interpretieren das Image, das Sie teilweise sichern möchten. Es wird dabei automatisch als Datenquelle für die Sicherung eingestellt. Dadurch werden auch bereits Leseoperationen während der wichtigen Phase des Öffnens oder Interpretierens ausgelöst, wenn Partitionstabellen und Bootsektoren ausgewertet werden müssen, so daß die essentiellen Datenstrukturen, die Partitionen definieren und Dateisysteme identifizieren, auf jeden Fall schon mal in die Minimalsicherung aufgenommen werden!

Nach dem Öffnen eines partitionierten physischen Datenträgers haben Sie also eine grundlegende Struktur in Ihrer Sicherungsdatei: Partitionstabellen, die auf Partitions-Bootsektoren oder verschachtelte weitere Partitionstabellen zeigen, deren Aufgabe es ist, all die anderen Daten dazwischen (Dateisystemdaten und Benutzerdaten) zu beherbergen. Wenn es Ihr Ziel ist, daß man auch von der Minimalsicherung aus einen Datei-Überblick von einer bestimmten Partition erzeugen kann, d. h. eine Liste aller Dateien und Verzeichnisse erhält, die von dem Dateisystem in der Partition referenziert werden, dann öffnen Sie die betreffende Partition vom Quelldatenträger aus, so daß ein Datei-Überblick erzeugt wird. Erneut werden alle diejenigen Sektoren, die während dieses Vorgangs vom Quelldatenträger gelesen werden, gleichzeitig in die Sicherungsdatei kopiert, und diese enthalten die Dateisystem-Datenstrukturen, z. B. $MFT in NTFS, alle Verzeichnis-Cluster in FAT und die Katalogdatei in HFS+. Das fügt Ihrer Minimalsicherung also schon deutlich mehr und filigranere Verwaltungs- und auch Metadaten hinzu, aber immer noch keine (oder kaum) Benutzerinhalte. Nicht mit dem Dateisystem zusammenhängende/von ihm genutzte Sektoren werden nämlich nicht gelesen und damit auch nicht kopiert. Das bedeutet auch, daß die Möglichkeiten, in der Minimalsicherung ehemals existierenden Dateien zu finden, eingeschränkt sind.

Wenn Sie ein beliebiges Intervall von Sektoren sichern möchten, brauchen Sie nur einen Weg zu finden, um X-Ways Forensics zum Lesen dieser Sektoren zu bewegen. Z. B., um die Sektoren von Nummer 1.000.000 bis 1.000.999 zu kopieren, definieren Sie diese 1.000 Sektoren als ein Block und hashen diesen Block (im Disk-Modus) mit den Menübefehl Extras | Hash berechnen, oder Sie führen eine physische Suche nur in diesem Block aus. Oder, um eine ungewöhnlich große Partitionslücke zwischen Partition 1 und 2 zu sichern, können Sie die virtuelle Datei, diesen Bereich repräsentiert, hashen. Sie können auch manuell zu jedem potentiell relevanten Sektor navigieren, um ihn in die Sicherung aufzunehmen (z. B. Navigation | Sektor aufsuchen) oder einen der Befehle im Navigationsmenü zum Navigieren im Dateisystem verwenden. All das funktioniert, weil das Lesen von Sektoren deren Aufnahme in die Sicherung anstößt.

Wenn Sie allerdings gezielt bestimmte Dateien sichern möchten, ist das einfacher, und dafür ist es eine gute Idee, die ständige indirekte Sicherung aller für welchen Zweck auf immer gelesenen Sektoren auszuschalten, so daß z. B. Datei A, die Sie in der Vorschau betrachten, allein aufgrund der Vorschau-Operation noch nicht gesichert wird, denn bei der Vorschau stellt sich ja evtl. heraus, daß die Datei irrelevant ist. Dazu ändern Sie den Status der im Hintergrund offenen Sicherungsdatei auf "wartend", über den Status-Befehl im Dateimenü. Im Zustand "wartend" erlaubt nur der Befehl "Hinzufügen zu [Name der Sicherungsdatei]" im Kontextmenü des Verzeichnis-Browsers das Sichern ausgewählter Dateien (durch vorübergehendes Aktivieren des Images und Anstoßen von Leseoperationen).

Wenn Sie einige Betriebssystemdateien in die Sicherung aufnehmen möchten, wie etwa Windows-Registry-Hives, erkunden Sie die betreffende Partition vom Stammverzeichnis aus rekursiv, setzen einen Filter auf solche Dateien und rufen den Befehl „Hinzufügen zu" im Kontextmenü des Verzeichnis-Browsers auf. (Nur verfügbar, wenn nicht zeitgleich auch ein Datei-Container im Hintergrund zum Befüllen geöffnet ist.) Der Ermittler, der nur die resultierende Minimalsicherung hat, wird dann konsequenterweise in der Lage sein, die kopierten Hive-Dateien einzusehen und einen Registry-Bericht über sie anzufertigen, vorausgesetzt, Sie hatten auch bereits die Dateisystem-Datenstrukturen kopieren lassen, weil diese erforderlich sind um herauszufinden, in welchen Sektoren die Inhalte der Dateien gespeichert sind.

Das Dialogfenster zum Ändern des Status der Sicherungsdatei erlaubt es Ihnen auch, diese zu schließen, d. h. das Sichern vorübergehend oder endgültig zu beenden. Dieselbe Sicherungsdatei läßt sich zu einem beliebigen späteren Zeitpunkt weiter vervollständigen, indem man sie mit dem Befehl „Minimalsicherung erstellen" erneut auswählt, aber dann nicht überschreiben läßt, sondern sie aktualisiert.

Wie Sie sehen, haben Sie die volle Kontrolle darüber, welche Daten es in die Sicherung schaffen. Die Herangehensweise setzt nur voraus, daß Sie ein gewisses Verständnis davon mitbringen, was für Daten Sie wollen/brauchen und wo diese zu physisch zu finden sind, sofern diese Daten nicht einfach nur gewöhnliche auswählbare Dateien sind. Die Sektoren können in jeder beliebigen Reihenfolge adressiert werden. Mehrfaches Lesen derselben Sektoren ändert nichts in der Sicherungsdatei und hat keine negative Auswirkung, außer daß es unnötige doppelte Zeilen in der optionalen Protokolldatei zur Folge haben kann, die X-Ways Forensics erzeugen kann. Solche eine .log-Datei wird im selben Verzeichnis wie die Sicherungsdatei erzeugt. Sie listet alle kopierten Sektorintervalle auf, optional jeweils mit einem dazugehörigen Hash-Wert, was es ermöglicht, die Daten in bestimmten Bereichen manuell zu verifizieren, sollten diesbezüglich Zweifel entstehen. Wenn Sie den "Hinzufügen zu"-Befehl zum Sichern von Dateien in eine Minimalsicherung verwenden, wird auch der Name einer solchen Datei in das Protokoll aufgenommen, gefolgt von den Sektorintervallen, die der Datei zugeordnet sind (mehr als eins, wenn die Datei fragmentiert ist oder X-Ways Forensics die Sektoren einfach in mehreren Stücken kopiert).

Es bietet sich u. U. an, die Minimalsicherung vom Roh-Format in ein komprimiertes und/oder verschlüsseltes .e01-Evidence-File zu konvertieren oder sie zu hashen, oder sie mit WinRAR oder 7Zip etc. vor der Weitergabe an andere Benutzer zu komprimieren. Die Kompressionsdate wird ungewöhnlich hoch sein, wenn die Minimalsicherung nur spärlich mit Daten besetzt ist, und die Lesegeschwindigkeit extrem hoch, weil undefinierte/nicht allozierte Bereiche gar nicht von der Platte gelesen werden müssen. Für Ihren eigenen Bedarf können Sie die Sicherungsdatei einfach so lassen wie sie ist, weil sie in ihrem Grundzustand nicht so viel Plattenplatz benötigt wie die nominelle Dateigröße befürchten läßt, dank der Sparse-Speicherung von NTFS. Wenn Sie eine Minimalsicherung im Roh-Format kopieren möchten, kopieren Sie sie auf jeden Fall als Sparse-Datei (kann in X-Ways Forensics mit dem Befehl Extras | Datei-Tools | Sparse kopieren erledigt werden), so daß die Kopie auch eine Sparse-Datei wird und nur so viel Plattenplatz wie die Originaldatei verbraucht. Ein konventioneller Kopierbefehl würde auch die riesigen unbenutzten und nicht allozierten Bereiche innerhalb der Sparse-Datei als binäre Nullen kopieren.

Zum Überprüfen der Unverändertheit der in die Minimalsicherung übertragenen Daten kann für diese als Ganzes ein Hash-Wert berechnet werden, wie bei einem normalen Image. Alternativ und viel schneller ist die Verwendung des Befehls "Minimalsicherung überprüfen", die die laut .log-Datei übertragenen Sektorbereiche erneut hasht (aus dem Image lesend) und mit den Hash-Werten in der .log-Datei vergleicht. Dann überprüft die Funktion, ob die .log-Datei ihrerseits unverändert ist, hasht diese dazu und vergleicht den sich daraus ergebenden, mächtigen, allumfassenden Master-Hash-Wert mit dem in der .log.log-Datei genannten Hash-Wert, sofern diese optionale Datei erzeugt wurde. Es könnte auch wünschenswert sein zu verifizieren, daß alle ungenutzten Bereiche in einer Minimalsicherung weiterhin nicht alloziert oder zumindest mit Nullen gefüllt sind. Dies erledigt die Funktion nicht.

Vorteile von Minimalsicherungen:
- Partielles Image, spart Plattenplatz.
- Schnell zu erzeugen, insbes. im Fall einer über eine langsame Verbindung mit F-Response gesicherte Festplatte eines Rechners im Netz.
- Transportiert/enthüllt nur speziell adressierte Daten, schließt Daten ohne Bezug aus, wie u. U. erfordert von Gesetzen, Datenschutz-Richtlinien, gesundem Menschenverstand, Zeitdruck oder Kundenwunsch.
- Ideal geeignet für technische Datenstrukturen (Partitionstabellen und Dateisysteme) und Dateien im Dateisystem gleichermaßen.
- Möglichkeit, alle entscheidenden Dateisystem-Daten ohne Wissen über Dateisysteme zu sichern und insbes. ohne zu wissen, in welchen Sektoren die Dateisystem-Datenstrukturen gespeichert sind.
- Das Ergebnis läßt sich genau wie ein konventionelles Roh-Image einer Platte einlesen, für alle beabsichtigten Zwecke, sofern adäquat vorbereitet, mit Original-Offsets und beibehaltenen relativen Entfernungen zwischen Datenstrukturen (anders als in einem Datei-Container).
- Das Datei-Format ist universell, und alle forensischen Tools, die Roh-Images unterstützen, haben die Chance, die Daten zu verstehen, es sei denn, sie brauchen mehr als die eingebundenen Daten oder verstehen schon die Partitionierungsmethode oder das Dateisystem auf dem Originaldatenträger nicht.
Vorbehalte:
- Eine auf dem Bildschirm dargestellte Suchtrefferliste mit Kontextvorschau um die Suchtreffer herum verursacht unzählige Leseoperationen, so daß Sie den Status einer im Hintergrund geöffneten Sicherungsdatei in bestimmten Situationen besser auf „wartend“ ändern
- Um zu vermeiden, daß die Startsektoren von Dateien und Verzeichnissen, die Sie im Verzeichnis-Browser im Modus Partition/Volume lediglich anklicken, in die Sicherungsdatei aufgenommen werden (weil ein solcher Klick automatisch zum jeweiligen ersten Sektor springt), navigieren Sie im Verzeichnis-Browser im Modus Legende oder ändern den Status der Sicherungsdatei auf „wartend“.
- Das Lesen von Daten aus den meisten extrahierten Dateien wie E-Mails, Datei-Anhänge von E-Mails, Dateien in Zip-Archiven, Standbilder von Videos, in MS-Excel-Tabellen eingebettete Bilder usw. stößt keine Leseoperationen auf der Datenträger-Ebene an, so daß sie nicht gesicht werden können. Minimalsicherungen eignen sich nur für Dateien auf der Dateisystemebene, nicht auf anderen Ebenen, die man im Datei-Überblick sieht. Verwenden Sie Datei-Container für solche Zwecke.
- Beachten Sie, daß einem arglosen Ermittler eine Minimalsicherung wie ein herkömmliches vollständiges Image erscheinen kann. Solche Ermittler müssen auf die unvollständige, nur dünn mit Daten besetzte Natur der Sicherung aufmerksam gemacht werden. Im Gegensatz zu Datei-Containern werden Dateien, deren Inhalt nicht im Image enthalten ist, im Datei-Überblick einer Minimalsicherung nicht besonders gekennzeichnet. X-Ways Forensics v17.1 und neuer informieren den Benutzer aber über die Natur der Sicherung, wenn sie einem Fall hinzugefügt wird, wenn sie als Minimalsicherung erkannt wird.
Ein Vergleich von Datei-Containern und Minimalsicherungen findet sich online.
Option zum Verhindern der Erzeugens unverschlüsselter Kopien von AES-verschlüsselten .e01-Evidence-Files. Könnte nützlich sein, wenn Sie befürchten, daß die Empfänger eines verschlüsselten Images gedankenlos damit umgehen und das Image aus Bequemlichkeit oder zum Austausch mit Benutzern anderer Software in ein unverschlüsseltes Image konvertieren.
Möglichkeit zum Interpretieren von Roh-Images, deren Segmente aus 4 Ziffern bestehende Dateinamenserweiterungen aufweisen (.0001, .0002, ...), zusätzlich zur konventionellen Benennung mit 3 Ziffern.
Bisher war es nur dann möglich, VMKDs zu öffnen, wenn deren Name im VMDK-Descriptor korrekt hinterlegt war. Für einzelne VMKD-Dateien hatte dies den Effekt, daß sie nach Umbenennung nicht mehr geöffnet werden konnten, wenn nicht auch der interne Descriptor entsprechend angepaßt wurde. Dies ist weiterhin erforderlich für VMDKs, die aus mehreren Teilen bestehen (die Namen der weiteren Teile müssen intern korrekt angegeben sein), aber nun nicht mehr für VMKDs, die nur aus einem einzigen Teil bestehen, und für den ersten Teil von mehrteiligen VMKDs.

Dateiformat-Unterstützung

Extraktion von deutlich mehr schön formatierten Daten als vorher aus der main.db-Datenbank von Skype, darunter Anrufe, versendete Kurznachrichten (SMS) und Chats.
Holt individuellle Cookie-Dateien hervor, die in SQLite-Datenbanken von Firefox und Chrome eingebettet sind, als Unterobjekte im Datei-Überblick, zusätzlich zu der im TSV-Format präsentierten Cookie-Übersicht, die die Metadaten-Extraktion bereitstellen kann. Die Metadaten-Spalte listet Pfad, Host und Ablaufdatum für jede Cookie-Datei einzeln auf.
Gibt Zeitstempel von SQLite-Datenbanken von Internet-Browsern als Ereignisse aus.
Option zum Hinzufügen weiterer Windows-Registry-Ereignisse zur Ereignisliste beim Erzeugen von Registry-Berichten. Diese Ereignisse hängen von den ausgewählten Berichtsdefinitionen ab und sind viel spezifischer als die eher allgemeinen Registry-Hive-Ereignisse (die zumeist vom Typ "Key changed" sind).
X-Ways Forensics holt nun jede Art von Dateien in PDF-Dokumenten hervor, die als eingebettet markiert sind. Das können z. B. Office-Dokumente sein, Videos oder Flash-Dateien. Diese können z. B. in Form von sog. Anhängen (Attachments) eingebettet sein. JPEG-Bilder werden wie zuvor extrahiert. Zusätzlich werden Acrobat Formular-Dateien im XML-Format und JavaScript-Objekte extrahiert. Basierend auf den JavaScript-Dateien fällt es leichter zu einzuschätzen, ob bestimmte PDF-Dokument als Malware einzustufen sind. Wenn JavaScript in einem Dokument gefunden wird, werden Sie darüber mittels eines neuen Metadaten-Felds namens "JavaScript" in Kenntnis gesetzt. Geschützte PDF-Dokumente werden noch nicht verarbeitet. Neu ist auch die Fähigkeit zum Hervorholen von JPEG-2000-Bildern aus PDF-Dokumenten.
PDF-Metadaten-Extraktion überarbeitet.
Die neuen Extraktionsmethoden für MBOX und DBX wurden aktualisiert, so daß sie ebenfalls schlanke .eml-Dateien ohne eingebettete Datei-Anhänge generieren.
Verbesserte Dateityp-Prüfung für verschlüsselte Dokumente von MS Office 2007/2010.
Fehler bei der Konvertierung von Intel Hex nach Binär behoben.

Bedienbarkeit

Beim Wiederherstellen der letzten Fensteranordnung zum Zeitpunkt des Programmstarts zeigt X-Ways Forensics jetzt auch eine zuletzt offen gelassene Suchtrefferliste oder Ereignisliste automatisch erneut an und wählt den zuletzt angeklickten Suchtreffer bzw. das zuletzt angeklickte Ereignis automatisch wieder aus, so daß Sie Ihre Auswertung von Suchtrefferlisten und Ereignislisten genau dort fortsetzen können, wo Sie sie unterbrochen haben, auch im Asservat-Überblick.
Möglichkeit, das Schreiben der copylog-Datei direkt im Dialogfenster des Wiederherstellen/Kopieren-Befehls ein- oder auszuschalten und zu konfigurieren. Daß dieses Protokoll im _log-Unterverzeichnis des Falls geschrieben wird, ist nun optional. Es kann nun auch zusammen mit den kopierten Dateien in demselben Ausgabeordner abgelegt werden. Das ist bequemer, wenn Sie die copylog-Datei an andere mit dem Fall befaßte Personen weitergeben möchten.
Nach dem Erkunden eines Objekts von einer rekursiven Liste aus wird der obligatorische ".."-Eintrag aus Gründen der Bequemlichkeit nun in Form eines "Zurück"-Pfeils angeboten, der die Rückkehr zur vorher sichtbaren rekursiven Liste erlaubt, genau wie der Zurück-Schalter in der Symbolleiste. D. h. das doppelte Anklicken dieses Eintrags navigiert nicht mehr zum übergeordneten Verzeichnis des erkundeten Objekts, denn meist möchte man gar nicht dorthin. Wenn Sie in einigen seltenen Situationen doch dorthin navigieren möchten, können Sie das weiterhin über das Untermenü Navigation des Verzeichnis-Browser-Kontextmenüs erreichen oder durch Drücken der Rücksetz-Taste auf der Tastatur.
Suchtreffer zu GREP-Ausdrücken können nun in Dokumenten im Vorschau-Modus genau wie normale Suchtreffer hervorgehoben werden, sofern die Viewer-Komponente sie finden kann (nicht wenn der Suchtreffer z. B. in den Metadaten des Dokuments enthalten ist, die die Viewer-Komponente im Vorschau-Modus nicht darstellt).
Beim Drucken von Dateien mit Deckblatt ist die von X-Ways Forensics ausgegebene Kopfzeile, die den Namen des Benutzers und das zum Ausdruck verwendete Programm mit Versionsnummer angibt, nun optional. Nützlich, wenn Zeugen oder der Beschuldigte das Deckblatt zu sehen bekommen und den Benutzernamen des Ermittlers/Sachbearbeiters nicht erfahren sollen.

Installation

Aus historischen Gründen haben lizenzierte Benutzer von X-Ways Forensics immer auch die Option gehabt, eine spezielle winhex.exe-Datei statt xwforensics.exe auszuführen. Diese spezielle WinHex-Version ist vom Funktionsumfang her das non plus ultra. Sie vereinigt die volle Palette forensischer Features von X-Ways Forensics mit den Sektoreditiermöglichkeiten und sicheren Datenlöschfunktionen von WinHex, wie z. B. von WinHex mit professioneller oder Specialist-Lizenz her bekannt. X-Ways Forensics selbst als reines forensisches Auswerteprogramm hat das Editieren von Daten in Datenträgersektoren oder interpretierten Images nie erlaubt, genauso wenig wie das sichere Löschen von Dateien, von freiem Laufwerksspeicher usw.

Über 1 Jahr lang haben lizenzierte Benutzer von X-Ways Forensics sogar vier verschiedene .exe-Dateien erhalten, X-Ways Forensics und WinHex, jeweils in einer 32-Bit- und 64-Bit-Fassung. Zur Vermeidung der komplexen, ineffizienten und unnötigen Verwaltung verschiedener .exe-Dateien die zu 99,9% identisch sind, und um Downloads mehr als 25% kleiner zu machen sowie um das Risiko von Kollisionen verschiedener Versionen im selben Verzeichnis zur gleichen Zeit zu reduzieren, werden neuerdings keine WinHex-.exe-Dateien zusätzlich zu X-Ways Forensics verteilt. In v17.1 können Benutzer von X-Ways Forensics nun einfach die ausführbare Programmdatei xwforensics.exe kopieren und die Kopie winhex.exe nennen (bzw. für die 64-Bit-Edition xwforensics64.exe kopieren und die Kopie winhex64.exe nennen), um WinHex zu bekommen. Oder das Setup-Programm verwenden, da dies im Zielverzeichnis harte Verweise mit diesen zusätzlichen Namen anlegt. Oder Sie können selbst solche harten Verweise erzeugen statt die Dateien zu kopieren, z. B. mit dem Befehl Extras | Datei-Tools | Verhardlinken, denn normales Kopieren ist natürlich weniger cool. Wenn das Programm als *winhex*.exe ausgeführt wird, identifiziert es sich überall als WinHex (in der Benutzeroberfläche, im Fallbericht, im Fallprotokoll, in Beschreibungen von Datenträger-Sicherungen und in allen Bildschirmfotos) und verhält sich genau wie die seit vielen Jahren bekannte spezielle WinHex-Version, wohingegen dasselbe Programm ohne "WinHex" im Dateinamen als X-Ways Forensics fungiert, ohne Datenträger-Editiermöglichkeit und ohne sichere Löschfunktionen.
Russische Übersetzung der Benutzeroberfläche verfügbar (zu ändern über Hilfe | Setup)..

Datenträger-Unterstützung

Es werden nun Nicht-Standard- (nicht Adaptec/JetStor-typsische) Parity-Start-Komponenten für RAID Level 6 mit Backward Parity unterstützt, wenn Sie intern RAIDs rekonstruieren, so wie in Synology-Hardware beobachtet wurde.
Unterstütztung von Backward Parity Dynamic für RAID Level 6, mit Standard oder Nicht-Standard-Parity-Start-Komponenten.
Unterstützt jetzt eine bestimmte LVM2-Partitionsauslegung, die vorher nicht als solche erkannt wurde.
Bessere Unterstützung von ungewöhnlich tief verschachtelten Unterverzeichnissen in Ext-Dateisystemen.
Leicht verbesserter Umgang mit Netzlaufwerken und Connector-Volumes von F-Response.

Diverses

Neuer Menübefehl Extras | Datei-Tools | Sparse kopieren. Kann eine ausgewählte Datei kopieren und dabei die spärlich mit Daten besetzte Natur einer NTFS-Sparse-Datei in der Zieldatei beibehalten. Das heißt z. B., wenn Sie eine 1 TB große Minimal-Datenträger-Sicherung, von der nur 100 MB an Daten alloziert sind, kopieren, ist dieser Vorgang praktisch sofort abgeschlossen, weil nur 100 MB von 1 TB Daten kopiert zu werden brauchen. Konventionelle Kopierfunktionen behalten die Sparse-Eigenschaft einer Datei nicht bei, sondern kopieren die Datenmenge, wie sie von der nominellen Größe er Datei angegeben wird, auch wenn intern die meisten Daten nicht alloziert sind und nur virtuell als binäre Nullen gelesen werden.
Möglichkeit, die in WinHex erkannte Sektorgröße von physischen Festplatten zu ändern, über Extras | Disk-Tools | Plattenparameter eingeben. Denken Sie daran, daß Sie gleichzeitig auch die Gesamtzahl der Sektoren anpassen sollten. Wenn Sie z. B. die erkannte Sektorgröße von 512 Bytes auf 4 KB ändern (d. h. mit 8 multiplizieren), dann müssen Sie auch die Sektoranzahl durch 8 dividieren, um die insgesamt erkannte Plattenkapazität beizubehalten (in der Annahme, daß diese korrekt war).
Ausgabe von mehr Informationen über Ausnahmesituationen in der error.log-Datei.
Viele kleinere Verbesserungen und kleinere Reparaturen.
PDF-Nutzerhandbuch und Programmhilfe überarbeitet und aktualisiert für v17.1 auf Deutsch und Englisch.

Änderungen der Service-Releases von v17.0:

SR-1: Extraktion von Bildern aus .xls-Dokumenten unterstützt.
SR-1: Verbesserte E-Mail-Extraktion aus Exchange EDB.
SR-1: Ein seltener Ausnahmefehler wurde behoben, der beim Öffnen von FAT-Dateisystemen mit einem bestimmten Layout auftreten konnte.
SR-1: v17.0 hat die Metadaten aus Windows.edb nicht auf die aus thumbcache* extrahierten Miniaturansichten angewandt. Das wurde korrigiert.
SR-1: Ein Ausnahmefehler wurde behoben, der beim Extrahieren von größeren Mengen von E-Mails und eingebetteter Dateien auftreten konnte.
SR-1: Ein Ausnahmefehler wurde behoben, der beim Extrahieren von Ereignissen aus Hive-Fragmenten der Windows-Registry auftreten konnte.
SR-1: Die Optionen zum Ausschluß von JAR, APK, IPA usw. aus der Erkundung von Archiven funktionierte in v17.0 nicht verläßlich. Das wurde korrigiert.
SR-1: Beim Konvertieren von Datei-Überblicken des alten Formats von v16.9 und älter empfiehlt X-Ways Forensics jetzt eindringlich, vorher ein Backup des Falls mit allen Unterverzeichnissen anzulegen, da offenbar einige Konversionen nicht erfolgreich sind..
SR-2: Alle Operationen mit EDB-Datenbank-Dateien funktionieren nun auch unter Windows 8.
SR-2: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn man erst eingebettete Daten in diversen Dateien hervorholen ließ und anschließend in derselben Sitzung eine Parallele Suche startete.
SR-2: Auswahlfehler für mehr als 5 Typgruppen im Filterdialog der Spalte Typ-Status behoben.
SR-2: Möglichkeit, einen Netzwerk-Dongle in einen "reinen" Netzwerk-Dongle zu verwandeln, der selbst beim lokalen Anschluß nur über die Netzwerk-Schnittstelle verwendet werden kann, was wie im Netzwerk-Dongle-Paket beschrieben erzwungen werden kann.
SR-3: Gründlichere Auswertung von Schattenkopien.
SR-3: "Fehler beim Öffnen von ...\External" beim Verarbeiten von PLists vermieden.
SR-3: v17.0 hat die Inhalte von Archiven nicht immer automatisch in den Datei-Überblick aufgenommen, wenn diese falsch benannt waren. Das wurde korrigiert.
SR-4: Zwingt MPlayer zur Verwendung des Verzeichnisses für temporäre Dateien für den Export von Standbildern aus Videos.
SR-4: Kann denselben Dongle auf demselben Rechner gemeinsam mit Instanzen von v16.5 SR-14, v16.6 SR-11, v16.7 SR-11, v16.8 SR-11, v16.9 SR-6 (aber nicht älteren Releases) und v17.1 nutzen, wenn vom selben Benutzer ausgeführt.
SR-4: Konsistentere Behandlung von Mülldaten, wo Zeitstempel erwartet wurde.
SR-5: Beim Erzeugen von Berichtstabellen-Verknüpfungen für übergeordnete Datei der ausgewählten Datei, wenn das direkt übergeordnete Objekt keine Datei war, aber ein weiter oben in der Hierarchie angeordnetes Objekt, dann wird diese nächsthöhere Datei der Berichtstabelle zugeordnet. Beispiel: XML-Datei in einem Verzeichnis innerhalb eines Office-Dokuments im ZIP-Format.
SR-5: Eine Fehlermeldung wurde vermieden, die auftrat, wenn man keine .xfc-Backup-Dateien erstellen ließ.
SR-5: Eine seltene Fehlermeldung wurde verhindert, die beim Verarbeiten leerer E-Mails in ungewöhnlich benannten Verzeichnissen in PST-E-Mail-Archiven von Outlook auftreten konnte.
SR-5: Ein seltener Fehler wurde behoben, der im Zusammenhang mit defekten FAT32-Boot-Bereichen auftreten konnteareas.
SR-5: XFS-Unterstützung verbessert, so daß bestimmte defekte Dateisystem-Daten, die sonst Probleme bereiten konnten, als solche erkannt und ignoriert werden.
SR-6: Nichtdeterministische Fehlermeldung "The specified resource name is not found in an image file" bei Nutzung der chinesischen oder japanischen Benutzeroberfläche vermieden.
SR-6: Einige der Optionsfelder in den Optionen des Fallberichts verhielten sich nicht so wie beabsichtigt. Das wurde korrigiert.
SR-6: Der Export von Berichtstabellen-Verknüpfungen für mehrere ausgewählte Asservate war u. U. unvollständig, wenn eins der ausgewählten Asservate keine Berichtstabellen-Verknüpfungen aufwies. Dies wurde behoben.

Wettbewerb ist normal und gesund. Die Vorstellung, daß einem Unternehmen das alleinige Recht auf abgerundete Rechtecke und bestimmte Fingerbewegungen zusteht, ist absurd. Meiden Sie Produkte der Firma, die mit ihren Anwälten rücksichtslos gegen jeden vorgeht, der nicht bei 3 auf den Bäumen ist, z. B. gegen eine Caf?Besitzerin in Bonn und den brasilianischen Schöpfer des Wortes "iphone". Danke.

#132: WinHex, X-Ways Forensics und X-Ways Investigator 17.0 veröffentlicht

27. März 2013

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten neue Features, die Version 17.0.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Schulungen

Köln, 8.-11. Apr. 2013 (X-Ways Forensics, ausgebucht)
Köln, 3.-6. Juni 2013 (Speicherforensik, FAT, exFAT, NTFS, XWFS2, Ext2/3/4, XFS)
Weitere Informationen

Was ist neu in v17.0?

(Beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Netzwerk-Dongle

Fähigkeit, X-Ways Forensics 17.0 und folgende Versionen (auch v16.9 SR-4 und v16.8 SR-10) mit Netzwerk-Dongles zu verwenden. Netzwerk-Dongles sind ab jetzt optional anstellen von normalen Dongles erhältlich. Ein einzelner Netzwerk-Dongle kann x Lizenzen repräsentieren und x normale Dongles ersetzen und es den Benutzern ermöglichen, X-Ways Forensics auf x Rechnern im selben Netzwerk gleichzeitig laufen zu lassen. Der Netzwerk-Dongle wird an einen beliebigen Rechner im Netzwerk angeschlossen und den Client-Systemen durch ein Dongle-Server-Programm oder einen -Service zur Verfügung gestellt. Falls ein Client-System mehrere Netzwerk-Dongles findet, kann der Nutzer einen davon beim Start von X-Ways Forensics auswählen. Falls einer dieser Dongles bereits vollständig verwendet ist hinsichtlich der Anzahl Lizenzen, die er repräsentiert, kann der Nutzer dies sehen und einen anderen Dongle wählen. Praktischerweise kann ein Netzwerk-Dongle auch lokal wie ein gewöhnlicher Dongle oder ein Multi-User-Dongle verwendet werden, wenn nötig!

Sie haben die Wahl, neue Lizenzen mit einem Netzwerk-Dongle statt normaler Dongles zu bestellen, abhängig von der Anzahl Lizenzen entweder umsonst oder gegen einen Aufpreis. Wenn Sie bereits viele Lizenzen besitzen, können wir Ihnen anbieten, viele oder alle Ihrer existierenden normalen Dongles gegen einen einzelnen Netzwerk-Dongle einzutauschen. Viele weitere Informationen zu Dongles im allgemeinen und Netzwerk-Dongles im Besonderen finden Sie auf https://www.x-ways.net/forensics/dongle-d.html#types.

Dateisystem-Unterstützung

In neu erzeugten Datei-Überblicken von HFS+-Volumes mit harten Verweisen können Sie solche Dateien jetzt direkt einsehen und müssen die zugehörige sogenannte indirekte Knoten-Datei nicht mehr manuell aufsuchen (diejenige, deren Name die iNode-Nummer enthält, die in der Kommentar-Spalte angegeben ist).
Neu erzeugte Datei-Überblicke unterstützen jetzt ein neues Konzept: "zugehöriger" Dateien; die miteinander verwandt sind auf andere Weise als Eltern-Kind- und Geschwister-Beziehungen. Die zugehörige Datei für harte Verweise in HFS+ zum Beispiel ist die entsprechende indirekte Knoten-Datei. Die zugehörige Datei für Dateien, die in Schattenkopien in NTFS gefunden wurden, ist die Schattenkopie-Trägerdatei. Die zugehörige Datei für eine Schattenkopie-Trägerdatei ist die zugehörige Snapshot-Properties-Datei (in der Typ-Spalte als "snapprop" bezeichnet). Weitere Arten von n:1-Beziehungen sind in zukünftigen Versionen vorstellbar. Dateien, für die eine zugehörige Datei definiert ist, werden links neben in ihrem Icon mit einem kleinen blauen, nach unten zeigenden Pfeil versehen.
Ein neuer Befehl im Kontextmenü des Verzeichnis-Browsers (im Untermenü Navigation) erlaubt das bequeme Aufsuchen der zugehörigen Datei, falls eine solche für die ausgewählte Datei existiert. Sie können auch Umschalt+Rücksetztaste drücken, um zur verwandten Datei zu navigieren. Dies ist analog zum alleinigen Betätigen der Rücksetztaste, was zur Eltern-Datei bzw. -Verzeichnis navigiert.
Für Dateien, die von v17.0 und später in Schattenkopien gefunden werden, zeigt die Attr.-Spalte jetzt die fortlaufende Nummer des Snapshots an, in dem diese gefunden wurden, wie von der Snapshot-Properties-Datei angezeigt.
Vermeidet weitere bedeutungslose identischen Spuren von Dateien, die in Schattenkopien gefunden werden.
In neu erzeugten Datei-Überblicken von NTFS-Volumes erhalten Dateien mit harten Verweisen jetzt eine Sonderbehandlung. Ein zusätzlicher harter Verweis, der lediglich einen kurzen Dateinamen bereitstellt, um die 8.3-Bedingungen alter Microsoft DOS/Windows-Versionen zu erfüllen, wird nicht mehr als Verweis gezählt. Stattdessen wird für solche Dateien ihre Verweis-Zählung in der Verweise-Spalte des Verzeichnis-Browsers mit einem ? markiert. Auf diese Art repräsentiert die Verweis-Zählung besser die tatsächlich im Datei-Überblick von X-Ways Forensics vorhandenen harten Verweise, und normale Dateien haben immer einen Wert 1, während 2 oder mehr wirklich eine Besonderheit bedeutet.
Ein Filter für die ID-Spalte ist jetzt verfügbar, mit dem bequem andere harte Verweise einer gegebenen Datei ermittelt werden können (außer in HFS+).
Wenn eine Datei mit harten Verweisen in Dateisystemen mit direkter Unterstützung für harte Verweise (nicht HFS+) eingesehen wird, werden die anderen harten Verweise optional jetzt ebenfalls zugleich als bereits eingesehen markiert, wie von früheren Versionen bekannt für Duplikate laut Hash.
Wenn eine Berichtstabellen-Verknüpfung gleichzeitig auch für Duplikate der ausgewählten Dateien erzeugt wird, schließt dies jetzt auch die anderen harten Verweise derselben Datei mit ein (außer in HFS+).
Unterstützung von tiefer verschachtelten Unterverzeichnissen in Ext*-Dateisystemen.

Suchfunktionen

In neu erzeugten Datei-Überblicken von NTFS-Volumes können alle "echten" harten Verweise (d. h. alle außer kurze Dateinamen) bis auf einen bequem von der logischen Suche und der Indexierung ausgeschlossen werden. Heutzutage finden sich in Windows-Installationen oft zwischen 10.000 und 100.000 harte Verweise von Systemdateien, zum Beispiel 27 Verweise auf eine Datei wie "Ph3xIB64MV.dll" in Verzeichnissen wie etwa
\Windows\System32\DriverStore\FileRepository\ph3xibc9.inf_amd64_neutral_ff3a566e4...
\Windows\System32\DriverStore\FileRepository\ph3xibc2.inf_amd64_neutral_7621f5d6...
\Windows\System32\DriverStore\FileRepository\ph3xibc5.inf_amd64_neutral_2270382...
\Windows\winsxs\amd64_ph3xibc9.inf_31bf3856ad364e35_6.1.7600.16385_none_a0a...
\Windows\winsxs\amd64_ph3xibc5.inf_31bf3856ad364e35_6.1.7600.16385_none_9e7...
\Windows\winsxs\amd64_ph3xibc12.inf_31bf3856ad364e35_6.1.7600.16385_none_64...
etc. etc.
Indem man nur einen Verweis einer Datei durchsucht, kann man typischerweise mehrere GB an doppelten Daten ausschließen und verpaßt dennoch nichts, wenn man alle anderen Dateien durchsucht. Die zusätzlichen harten Verweise, die ausgeschlossen werden, werden in der Spalte Verweise mit einem Stern (*) markiert. Suchtreffer im einzigen Verweis, der durchsucht wurde, werden mit dem Hinweis "-> Verweise" in der Spalte Anmerk. versehen, um Sie an die anderen harten Verweise derselben Datei zu erinnern, falls diese Suchtreffer relevant sind.
Unterstützung für eine weitere künstlich definierte Codepage, die es ermöglicht, UTF-16-Text zu suchen und zu lesen, der von MS Outlook in sogenannter komprimierbarer Verschlüsselung kodiert ist.
Es ist jetzt möglich in bis zu sechs Codepages gleichzeitig suchen oder indexieren zu lassen.
Die bereits früher unterstützte künstliche nicht-Unicode-Codepage für MS Outlook komprimierbare Verschlüsselung arbeitet jetzt auf der Basis einer nutzerdefinierten Codepage (standardmäßig identisch mit derjenigen, die in Ihrem Windows-System für Nicht-Unicode-Anwendungen aktiv ist), nicht nur Latin 1. Unter Umständen wichtig für Sprachen, die nicht westeuropäisch sind. Outlook verwendet die Windows-System-Codepage in seiner alten, nicht-Unicode-fähigen Variante von PST.
PST- und OST-Dateien werden von der logischen Suche und der Indexierung jetzt nicht mehr ausgeschlossen, wenn die empfehlenswerte Datenreduktion aktiv ist und E-Mails und andere Outlook-Daten daraus extrahiert wurden, dafür aber MBOX.
Suchtreffer in allen Varianten von UTF-16, die nicht an geradzahligen Offsets ausgerichtet sind, werden in der Anmerk.-Spalte als "unaligned" gekennzeichnet, als kleiner Hinweis und Erklärung, warum Sie den Text nur in der die Ausrichtung beachtenden Kontext-Vorschau der Suchtreffer-Spalte lesen können, aber nicht in der Text-Spalte.
Logische Suchen decken jetzt auch ganz speziell den Übergangsbereich zwischen nicht-initialisierten (aber physisch allokierten) Bereichen von Dateien zu unmittelbar folgendem freien Speicher ab, falls die Option "Übergang Dateischlupf/freier Speicher" aktiv ist.
Fähigkeit, eine logische Suche in ausgewählten Dateien über das Kontextmenü des Verzeichnis-Browsers aus dem Asservat-Überblick zu starten.

Dateiformat-Unterstützung

Die Funktion "Eingebettete Daten aus diversen Dateitypen hervorholen" verwendet einige spezielle Algorithmen für bestimmte Dateitypen (Windows.edb, thumbs.db, PLists) und Datei-Header-Suche auf Byte-Ebene für alle anderen Host-Dateien. Diese Header-Suche war in früheren Versionen auf eingebettete JPEG- und PNG-Dateien beschränkt (+EMF in mehrseitigen .spl Druck-Spooler-Dateien). Jetzt wird nach allen Dateitypen gesucht, deren Definition in der Datei "File Type Signatures Search.txt" einen Tilde-Algorithmus (~) besitzt und mit dem neuen Flag "e" (für "eingebettet") markiert ist. Ein sehr gutes Beispiel dieser neuen Flexibilität sind .lnk-Verknüpfungen, die jetzt in customdestinations-ms Jumplists gesucht werden.
Spezielle Extraktion von Objekten (Bilder und andere), die in OLE2-Verbunddateien wie MS Word .doc und MS PowerPoint .ppt eingebettet sind, in denen zuvor nur JPEG und PNG gefunden wurden, und dies nur durch gewöhnliche Datei-Header-Suche. Eingebettete Bilder werden jetzt oft mit ihrem Originalnamen oder ihrer Benennung im Dokument ausgegeben und werden korrekt extrahiert, selbst wenn sie innerhalb der OLE2-Verbunddatei fragmentiert gespeichert sind.
Das Aufnehmen der Inhalte von 5 üblicherweise eher irrelevanten Zip-Untertypen ist beim Erweitern des Datei-Überblicks jetzt optional, statt wie bisher nur JAR.
Das Erkunden Zip-basierter Office-Dokumente wie die von MS Office 2007/2010, LibreOffice, OpenOffice, iWork ist jetzt ebenfalls optional bei der Erweiterung des Datei-Überblicks. Nützlich, wenn Sie oder die Empfänger von Datei-Containern, die Sie erzeugen, die Dokumente nur als Ganzes sehen wollen, ohne die eingebetteten Bilder oder XML-Dateien separat, und aus diesen XML-Dateien keine Metadaten extrahieren müssen und verschachtelte Dokumente (Dokumente in anderen Dokumenten eingebettet) selbst erkennen können.
Die Unterstützung für binäre PLists wurde um die Behandlung des undokumentierten Datentyps CF$UID ergänzt.
Unterstützung in der Datei-Header-Suche für "Gatherer Transaction Log".
Spezielle Unterstützung für Header-Suche nach Thumbcache-Fragmenten (CMMM-Records) auf der Byte-Ebene.
Die ungefähre Auflösung von Videos wird jetzt in der Pixel-Spalte angezeigt, nachdem zumindest ein Video-Einzelbild extrahiert wurde.
Die Option, Objekte in Registry-Hive-Dateien rekursiv anzuzeigen, wurde entfernt.

Datenträger-Unterstützung, Datenträger-Sicherung

Der Technische Detailbericht prüft jetzt auf bestimmte Lese-Inkonsistenzen, die mit Flash-Datenträgern (zum Beispiel bei bestimmten USB-Stick-Marken/-Modellen, aber nicht bei anderen) in Bereichen auftreten können, die noch nie beschrieben/verwendet wurden, wo die Daten undefiniert sind. Daten, die aus solchen Bereichen gelesen werden, beispielsweise bei der Erstellung einer Datenträger-Sicherung, können von der Menge an Daten abhängen, die mit einem einzelnen Lesebefehl auf einmal gelesen werden. Das Ergebnis wird im Bericht erwähnt. Wenn solche Inkonsistenzen erkannt werden ("Inconsistent read results!" im Bericht), werden Sie ein Meldungsfenster sehen, das anbietet, die Sektoren aus diesem Datenträger in kleineren Einheiten zu lesen, solange er offen ist, was vermutlich die erwarteten Nullen als Byte-Werte produziert, anstelle eines nicht aus Nullen bestehenden Datenmusters, das nach Zufallswerten aussieht, wenn man solche Bereiche liest. Die Nutzung dieser Option ergibt nicht korrektere oder echtere Daten (undefiniert ist undefiniert, was nicht dasselbe ist wie mit Nullen überschrieben), oder Daten, die mehr oder weniger Beweismaterial enthalten, es kann lediglich einen erheblichen Einfluß auf die zu erzielende Kompressionsrate haben und auf die Reproduzierbarkeit von Hash-Werten mit anderen Anwendungen, die möglicherweise in anderen Größeneinheiten lesen und so unterschiedliche Daten und Hash-Werte erzeugen. Bitte beachten Sie, daß Inkonsistenzen auftreten können, die X-Ways Forensics nicht erkennt, da eine vollständige Prüfung sehr langsam wäre. Wie gesagt, diese Inkonsistenzen sind nicht fatal und kein Software-Fehler, und sie können erklärt werden. Bedeutet das, daß Sie vor der Datenträger-Sicherung Specialist | Technischer Detailbericht aufrufen sollten? Nein, der Bericht wird am Anfang einer Sicherung automatisch erzeugt.
Seit v16.3 ist es möglich, ein RAID-System Level 5EE durch Auswahl einer kompatiblen Variante von Level 6 zusammenzusetzen. Jetzt ist es auch möglich, RAID-Systeme 5EE explizit auszuwählen und diese auch dann zu rekonstruieren, wenn eine zugehörige Festplatte fehlt. RAID 5EE wird mit Forward und Backward Parity unterstützt.
Fähigkeit anzugeben, wie viele Extra-Threads bei der Erzeugung von .e01-Evidence-Files verwendet werden sollen, wenn man den winzigen Schalter in der unteren rechten Ecke des Dialogfensters Datenträger-Sicherung anklickt. Standardmäßig verwendet X-Ways Forensics nicht mehr als vier und macht das abhängig von der Anzahl der Rechner-Kerne in Ihrem System, aber Sie können normalerweise problemlos versuchen, dies auf bis zu 8 oder auf sehr leistungsfähigen Systemen mit sehr vielen Kernen auch auf 16 zu erhöhen, um die Geschwindigkeit eventuell noch weiter zu erhöhen.
Erkennung von dynamischen Volumes von Windows größer als 2 TB auf GPT-LDM-partitionierten Datenträgern.

Herangehensweise

Fähigkeit, Dateitypen einen Rang basierend auf deren Bedeutung/Relevanz zuzuweisen und mittels Typ-Status-Filter nach diesem Rang zu filtern. Das Herausfiltern von Dateitypen mit Rang 0 oder 1 wird Schriftart-Dateien, Mauszeiger, Icons, Themes, Skins, Clip-Arts, etc. ausschließen. Dateien mit einem niedrigen Rang sind nur in sehr spezifischen Ermittlungen von Bedeutung, wie etwa Quellcode, an dem Sie beispielsweise auf der Suche nach Office-Dokumenten oder Bildern nicht interessiert wären, aber vielleicht schon, wenn Sie einen Viren-Programmierer suchen. Dateitypen mit höherem Rang sind in mehr Fällen von Bedeutung. Grundsätzlich ist der Rang in einfachen Situationen hilfreich, wo Sie erwarten, was Sie suchen, in gemeinhin bekannten Dateitypen zu finden. Eine andere Idee könnte sein, sich anzugewöhnen, nur Dateien höheren Rangs zu indexieren.
Fähigkeit, Dateitypen einer sogenannten Gruppe zuzuordnen, ein neues Konzept, das nicht identisch mit Dateityp-Kategorien ist. Nützlich zum Beispiel, wenn es Ihre Standard-Vorgehensweise ist, Ermittler A Bilder und Videos auswerten zu lassen, Ermittler B Dokumente, E-Mails und andere Internet-Aktivitäten und Ermittler C verschiedene Formen von Betriebssystem-Dateien, basierend auf deren jeweiligen Spezialisierungen. Sie können diesen Gruppen aussagekräftige Namen geben und nach ihnen filtern, ebenfalls mittels Typ-Status-Filter. Die Gruppen werden im Typ-Filter angezeigt.
Die neuen Festlegungen werden alle in der Datei "File Type Categories.txt" gemacht. Existierende Dateien dieser Art werden auch weiterhin verwendbar bleiben. Vorschläge für Rang sind in der neuen Standard-Datei bereits angelegt. Sowohl Rang (von 0 bis 9, wobei ein fehlender Rang 0 bedeutet) und Gruppen (Buchstaben von A bis Z) können nach einem Tabulatorzeichen am Ende der Zeile optional definiert werden, in beliebiger Reihenfolge, zum Beispiel als "2P" oder "DI3". So sind bis zu 10 Rang-Ebenen (aber es ist nicht erforderlich, die Bandbreite vollständig zu nutzen) und bis zu 26 Gruppen (und Sie müssen nicht alphabetisch anfangen, Groß-/Kleinschreibung wird ignoriert) möglich. Sie können auch Rang und Gruppen für eine ganze Kategorie auf einmal festlegen, nach einem Tabulatorzeichen in einer Kategorie-Zeile. Um einer Gruppe einen aussagekräftigeren Namen zu geben als nur einen Buchstaben, fügen Sie Gruppen-Definitions-Zeilen am Ende der Textdatei ein, die mit einem Gleichheitszeichen beginnen, z.B.
=P=Photos und Videos für Bildauswertung
=D=Dokumente, E-Mails und Internet
=I=Dateitypen für Indexierung

Ereignis-Analyse

Ereignis-Extraktion aus gecarvten Fragmenten von Gatherer Transaction Logs (.gthr2) und existierenden .NTfy.gthr Dateien und mehreren anderen Dateitypen. Dies ist eine Übersicht der Dateiformate, aus denen derzeit Ereignisse extrahiert werden:
.firefox (~55) Fragmente
_CACHE_001_ und _CACHE_002_
.lnk Verknüpfungen
.automaticDestination-ms
.chrome Chromium cache data_1, data_2
.usnjrnl Fragmente
Registry-Hives
.hbin Registry-Hive-Fragmente
.doc (zuletzt gedruckt)
.msg
rp.log XP-Wiederherstellungspunkt
INFO2 XP-Papierkorb
.recycler Vista-Papierkorb
.snapprop Vista Snapshot-Properties
.cookie
.gthr;.gthr2 Gatherer und Gatherer-Fragmente
.pf Prefetch
JPEG GPS
OLE2 letzte Änderung
Mehrere Ereignisse haben jetzt individuelle Beschreibungen, zum Beispiele Ereignisse in der Windows Registry und in index.dat-Dateien des Internet Explorer.
Ein Filter für die Ereignis-Typ-Spalte ist jetzt verfügbar.

Installation/Administration

Benutzerspezifische Konfigurationen werden jetzt im Nutzerprofil von Windows gespeichert, in einem Unterverzeichnis von \AppData\Local\X-Ways. Die Konfiguration wird jetzt automatisch benutzerspezifisch, wenn X-Ways Forensics ohne Administrator-Rechte aus einem Verzeichnis auf dem C:-Laufwerk gestartet wird, in dem der Nutzer keinen Schreibzugriff hat, wie etwa C:\Programme. Sonst läuft X-Ways Forensics weiterhin mit einer nicht-benutzerspezifischen Konfiguration, damit es eine portable Anwendung bleibt und nicht unnötig Änderungen in laufenden Systemen vornimmt, die Sie einsehen möchten (Triage). Weitere Details finden Sie auf https://www.x-ways.net/winhex/setup-d.html. Ob eine benutzerspezifische Konfiguration verwendet wird oder nicht (und falls ja, aus welchem Grund und wo diese gespeichert ist) kann im Fenster Hilfe | Info nachgesehen werden. Der Grund kann sein "necessarily" (notwendigerweise), falls im Installationsverzeichnis kein Schreibzugriff besteht, oder "forced" (erzwungen), falls eine Datei namens winhex.user im Installationsverzeichnis gefunden wird, oder "for this user" (für diesen Nutzer), falls der Nutzer bereits eine individuelle Konfiguration besitzt, aus einem der anderen beiden Gründe. Die inkonsistente Verwendung von Unterverzeichnissen in Virtual Store wird jetzt vermieden.

Bedienbarkeit

Fähigkeit, den Datei-Überblick nur für ausgewählte Dateien zu erweitern, über das Kontextmenü des Verzeichnis-Browsers.
Fähigkeit, die meisten Filter- und alle Sortier-Einstellungen im aktiven Fall zu speichern und automatisch wieder zu laden, wenn ein Fall geöffnet wird. Siehe Optionen | Verzeichnis-Browser.
Fähigkeit, Filter- und Sortier-Einstellungen in einer separaten Datei zu speichern und jederzeit wieder zu laden, durch Anklicken der Öffnen/Speichern-Icons am rechten Ende der Überschriftszeile des Verzeichnis-Browsers. Solche Dateien erhalten die Dateierweiterung ".settings".
Die ausgewählten Dateitypen des Typ-Filters werden jetzt ebenfalls optional im Fall gespeichert, wie andere Filter-Einstellungen. Beachten Sie, daß Kollisionen zwischen Dateityp-Bezeichnungen erkennbar werden, wenn die Auswahl für den Dateityp-Filter geladen wird. Wenn Sie beispielsweise ursprünglich "mmf" = "MailMessage File" (Kategorie E-Mail) ausgewählt hatten, dann werden Sie feststellen, dass "mmf" auch als "Yamaha SMAF" (Kategorie Sound/Music) ausgewählt ist. Dies ist normal und hat keinen Einfluß auf die Filter-Funktion. Im Zweifelsfall listet der Filter auch andere Typen mit derselben Bezeichnung, um auszuschließen, daß etwas übersehen wird.
Falls Sie entscheiden, den Verzeichnis-Browser beim Start zunächst nicht sortieren zu lassen, dann wird ab jetzt auch beim Abschalten aller Filter mit einem einzelnen Mausklick nicht sortiert, um Verzögerungen zu vermeiden, wenn plötzlich alle Dateien wieder rekursiv gelistet werden.
Strg+A funktioniert jetzt in allen Editierfeldern und allen Mehrfach-Auswahl-Listen in Dialogfenstern.
Die Prüfung auf Updates kann jetzt unter Hilfe | Online gefunden werden.
Fähigkeit, in den Filtern für ID und int. ID auf "Ungleichheit" filtern zu lassen. Nützlich falls das Erweitern des Datei-Überblicks abstürzen sollte mit einer Datei, die noch nicht Teil des Datei-Überblicks war, als er bei der Erweiterung zuletzt gespeichert wurde. In diesem Fall können Sie bei einem erneuten Versuch die problematische Datei im Voraus herausfiltern und auslassen anhand der zukuenftig zugewiesenen int. ID.
Neue Attr.-Filter-Option für andere virtuelle Dateien, was beispielsweise menschenlesbare HTML-Darstellungen für Internet-Browser-Datenbanken, Event-Logs, etc. enthält.
Aktivieren des Sync-Modus deaktiviert jetzt automatisch alle Filter, falls Filter den Verzeichnis-Browser daran hindern, die Datei anzuzeigen, die die aktuelle Cursor-Position im Partitions-/Volume-Modus enthält. Wie immer können Sie den Zurück-Schalter benutzen, um zur vorherigen Liste im Verzeichnis-Browser zurückzukehren, aber beachten Sie, daß dies nur funktioniert, wenn der Verzeichnis-Browser den Eingabe-Fokus besitzt, nicht die untere Hälfte des Datenfensters, wo Sie im Partitions-/Volume-Modus navigiert sind, wo mit den Zurück- und Vorwärts-Schaltern Sprünge von einem Offset zum nächsten rückgängig gemacht oder wiederholt werden können.

Verschiedenes

Die Werte der Pixel-Spalte werden nun in Datei-Containern des neuen Typs gespeichert.
Falls die Option, Unterobjekte gewählter Dateien wiederherzustellen/zu kopieren, halb gewählt ist, bedeutet dies, daß die einzigen Unterobjekte, die kopiert werden, E-Mail-Anhänge sind.
Beim Kopieren von Dateien oder Alternativen Datenströmen oder anderen Objekten, denen einige oder alle Zeitstempel fehlen, mit dem Befehl Wiederherstellen/Kopieren repräsentiert X-Ways Forensics den Umstand, dass ein Zeitstempel nicht verfügbar ist indem es den entsprechenden Zeitstempel der ausgegebenen Datei auf ~0 setzt (1. Jan. 1601 in NTFS). Dieses Verhalten existierte bereits in Versionen vor April 2012. Es kann vermieden werden, indem man die Umschalttaste drückt, wenn man im Dialog-Fenster auf OK klickt, beispielsweise falls Sie ein anderes Programm mit dieser Datei verwenden möchten, das Dateien mit solchen Zeitstempeln nicht öffnet (dies wurde für VLC berichtet).
Fähigkeit, Video-Einzelbilder verläßlich mit aktuellen Versionen von MPlayer zu extrahieren. MPlayer 1.1 zur Verwendung mit v17 wird jetzt als Download bereitgehalten.
Verzeichnis-Browser-Option, Datei-Markierung als Häkchen darzustellen.
Die Option "Dateigrößen immer in Bytes anzeigen" befindet sich jetzt in Optionen | Allgemein | Notation. Die Option zur alternativen .eml-Vorschau befindet sich jetzt in Optionen | Viewer-Programme.
Extras | Datei-Tools | Rekursiv Löschen kann jetzt automatisch Dateien löschen, für die Sie aktuell nicht das Recht haben, sie zu löschen (zum Beispiel, weil "Trusted Installer" der Eigentümer ist), aber für die Sie alle Rechte bekommen können (falls Sie WinHex mit Administrator-Rechten betreiben).
Der Mindest-Speicherverbrauch für geladene Datei-Überblicke wurde reduziert. Mehr Daten aus dem Datei-Überblick können jetzt optional für bessere Performanz im Speicher gehalten werden.
Kompaktere interne Organisation bestimmter Dateien im Datei-Überblick (extrahierte E-Mails, Video-Einzelbilder, virtuell angehängte Dateien).
Datei-Überblicke von v16.3 (veröffentlicht Oktober 2011) and später können importiert werden, von v15.8 (Oktober 2010) bis v16.2 ebenfalls, solange keine E-Mails von diesen Versionen extrahiert wurden. Ein inkompatibler Datei-Überblick wird erkannt und nicht konvertiert.
Speicherbedarf für Suchtreffer wurde um 17% reduziert. Ältere Versionen können Suchtrefferlisten nicht öffnen, die von v17.0 und späteren erzeugt werden.
Viele kleinere Verbesserungen.
PDF-Nutzerhandbuch und Programmhilfe überarbeitet und aktualisiert für v17.0 auf Deutsch und Englisch.

Änderungen der Service-Releases von v16.9:

SR-1: Fähigkeit, eine nutzerspezifische WinHex*.cfg Konfigurationsdatei zu erzwingen, indem eine leere Datei namens "winhex.user" im Installationsverzeichnis angelegt wird.
SR-1: Zwei Fehler im Befehl "Liste exportieren" für Ereignislisten wurden behoben.
SR-1: Die Spalten Absender und Empfänger werden jetzt auch für E-Mails befüllt, die aus MBOX- und DBX-E-Mail-Archiven mit der neuen Methode extrahiert werden.
SR-1: Die Unfähigkeit von X-Ways Investigator 16.9, Datenträger-Sicherungen/Container zu öffnen, wurde behoben.
SR-2: Mehr Tabellen werden aus bereits zuvor unterstützten SQLite-Datenbanken extrahiert.
SR-2: Chinesische Übersetzung der Benutzeroberfläche aktualisiert.
SR-2: Ein Ausnahmefehler wurde behoben, der beim Versuch auftreten konnte, gelöschte Verzeichniseinträge zu finden, bei der Erzeugung eines Datei-Überblicks in XFS-Volumes.
SR-2: Eine theoretisch mögliche Situation wurde vermieden, in der zufällige Zeichen an einen (ansonsten korrekten) Dateinamen in XFS angehängt hätten werden können.
SR-2: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn der Suchbegriffe-Filter aktiv war während ein Asservat geöffnet wurde, das Suchtreffer enthielt.
SR-2: Ein Ausnahmefehler wurde behoben, der beim Parsen von PLists unter bestimmten Umständen auftreten konnte.
SR-2: Ein seltener Ausnahmefehler wurde behoben, der beim Parsen von index.dat-Dateien auftreten konnte.
SR-2: Ein Verarbeitungsfehler für thumbcache*.db wurde behoben.
SR-2: Ein seltener Fehler in der SHA-256 Berechnung bei der Datenträger-Sicherung wurde behoben, der, falls er auftrat, bei der späteren Prüfung des Hash-Wertes entdeckt wurde.
SR-3: Die Flags u and U für die Datei-Header-Suche carven jetzt auch aus unpartitionierten Bereichen und Partitionen mit unbekanntem Dateisystem.
SR-3: Die neue Option für getrennte Druckaufträge hat nicht auf allen Systemen funktioniert. Jetzt behoben.
SR-3: Fähigkeit, die Online-Prüfung auf Updates jederzeit auszulösen.
SR-3: Die Darstellung in der Pfad-Spalte war in v16.9 abgeschnitten. Dies wurde behoben.
SR-3: Ein Hängenbleiben bei Verwendung des Befehls "Cluster auflisten" bei bestimmten Verzeichnissen in XFS wurde behoben.
SR-3: Ein Stabilitätsproblem in v16.9 beim Parsen von $UsnJrnl:$J wurde behoben.
SR-4: Fähigkeit, die neuen Netzwerk-Dongles zu verwenden, genau wie in v17.0.
SR-4: Dateisystem-Zeitstempel von Verzeichnissen werden jetzt ebenfalls als Ereignisse ausgegeben.
SR-4: Reguläre Ausdrücke mit \nnn, wobei \nnn eine Dezimalzahl darstellt, wurden in vorhergehenden Versionen nicht korrekt verarbeitet. Dies wurde korrigiert.
SR-5: .lnk-Verknüpfungen, die aus Jumplists extrahiert wurden, wurden intern fälschlich als E-Mail-Anhänge gekennzeichnet. Dies wurde korrigiert.
SR-5: Die Metadaten-Extraktion wurde nach einer neuen Installation nicht durchgeführt, bis die Unteroptionen einmal durch Klicken von OK bestätigt wurden. Dies wurde behoben.
SR-5: Ein Ausnahmefehler wurde vermieden, der beim Auswerten von Schattenkopien auftreten konnte.
SR-5: Verbesserte Kommunikation mit dem Netzwerk-Dongle-Server.

Wettbewerb ist normal und gesund. Die Vorstellung, daß einem Unternehmen das alleinige Recht auf abgerundete Rechtecke und bestimmte Fingerbewegungen zusteht, ist absurd. Meiden Sie Produkte der Firma, die mit ihren Anwälten rücksichtslos gegen jeden vorgeht, den sie als Hindernis ansieht, z. B. eine Caf?Besitzerin in Bonn und den brasilianischen Schöpfer des Worts "iphone". Danke.

#131: WinHex, X-Ways Forensics und X-Ways Investigator 16.9 veröffentlicht

6. Januar 2013

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres beachtenswertes Update, die Version 16.9.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Schulungen

Köln, 25.-28. Feb. 2013 (X-Ways Forensics, ausgebucht)
Köln, 8.-11. Apr. 2013 (X-Ways Forensics)
Köln, 3.-6. Juni 2013 (Speicherforensik, FAT, exFAT, NTFS, XWFS2, Ext2/3/4, XFS)
Weitere Informationen

Herangehensweise

Beim Extrahieren von Metadaten (Teil des Erweiterns des Datei-Überblicks), kann X-Ways Forensics eine Liste von Ereignissen zusammenstellen aus Zeitstempeln, die auf Dateisystemebene gefunden werden sowie intern in Dateien und im Hauptspeicher. Denkbare Quellen sind Verläufe von Internet Bowsern, Event-Logs von Windows, Registry-Hives von Windows, E-Mails usw. Eine Ereignisliste funktioniert genau wie eine Suchtrefferliste und wird angezeigt, wenn Sie einen Schalter anklicken, der sich direkt neben dem Schalter für Suchtrefferlisten befindet, an einem Uhrensymbol zu erkennen. Genau wie eine Suchtrefferliste kommt eine Ereignisliste mit weiteren Spalten daher: Zeitstempel des Ereignisses, Ereignistyp, Ereigniskategorie und optional ein Dateioffset.

Wenn eine Ereignisliste chronologisch sortiert ist, nach Zeitstempeln, dann funktioniert sie wie eine Zeitleiste, anhand der Sie leichter eine Folge von Ereignissen ablesen können, die an unterschiedlichen Orten gespeichert sind (z. B. E-Mail empfangen, Anhang abgespeichert, Anwendung gestartet, Dokument gedruckt, Datei gelöscht), die Sie sonst nicht untereinander im Zusammenhang sehen könnten. Wie üblich können Sie im Asservat-Überblick Ereignisse von verschiedenen Asservaten auf einmal sehen, rekursiv oder verzeichnisweise erkunden, nach Ereignistyp sortieren oder nach Ereigniskategorie sowie tagesgenau nach bestimmten Zeitspannen filtern.

Ereignisbasierte Auswertung anstelle von dateibasierter Auswertung ist ein progressiver neuer Ansatz mit völlig anderer Perspektive, der zu Wissen über von Computern aufgezeichnete Aktivitäten führen kann, das auf andere Weise nur schwerlich gewonnen werden könnte. Sie können u. U. Zusammenhänge erkennen (in Verbindung mit Aktivität x stehende andere Aktivität), die ansonsten leicht übersehen wird, und die Logik hinter dem, was passiert ist, besser erklären. Die Quellen von Ereignissen, die von der Metadaten-Extraktion in dieser Version ausgewertet werden, sind noch begrenzt (Dateisystem, index.dat, E-Mails, Prozesse in Hauptspeicher-Dumps). Weitere werden in künftigen Releases hinzukommen.
Option, mit einer angepaßten virtuellen Datei "Freier Speicher" zu arbeiten, die um diejenigen Cluster reduziert wird, die erkannt wurden als zugehörig zu ehemals existierenden Dateien, um den Speicherplatz in Dateisystemen zu minimieren, der für logische Suchen und zum Indexieren doppelt gelesen wird. Nach dem Ändern dieser Option (in Optionen | Dateiüberblick) wird die virtuelle Datei aktualisiert, wenn sie das nächste Mal geöffnet wird, z. B. beim Auswählen der Datei im Datei-Modus oder die Datei bei der logischen Suche an der Reihe ist. Relative Offsets der Suchtreffer in dieser virtuellen Datei werden u. U. falsch, wenn sie sich ändert, so daß sie nicht zum Navigieren zu Suchtreffern im Datei-Modus taugen.
Neues Flag U für Datei-Header-Signatur-Suchen nur im bereinigten freien Speicher. Insbesondere nützlich für interne Einträge von Zip- und RAR-Archiven, Internet Explorer index.dat-Dateien und Firefox URL-Records um zahlreiche Duplikationen zu vermeiden.
Die Flags für die Signatur-Suche b (Suche auf Byte-Ebene) und g (gierige Zuweisung) können jetzt kombiniert werden. Nützlich, wenn Datensätze von Dateien gecarvt werden, für die ein interner Algorithmus verfügbar ist, der mehrere zusammenhängende Datensätze in eine einzige gecarvte Datei zusammenfassen kann. Das Flag g stellt sicher, daß diejenigen Datensätze, die bereits hinzugefügt wurden, nicht noch einmal separat identiziert und gecarvt werden.

Unterstützung für Dateiformate

Extraktion aller Tabellen (mit allen Spalten außer Binärdaten) aus allen anderen SQLite-Datenbanken, neben den bereits unterstützten Internet Browser-Datenbanken, als Teil der Metadaten-Extraktion. Die erste extrahierte Tabelle wird auch als Vorschau der SQLite-Datenbank-Datei selbst verwendet.
Datei-Signatur-Suche und interner Algorithmus für Datensätze von $UsnJrnl:$J. Eine einzige Datei wird gecarvt, die aus mehreren zusammenhängenden Datensätzen außerhalb bekannter $J-ADS besteht und bequem im Vorschau-Modus eingesehen werden kann (noch im Teststadium). Das Einsehen einer solchen Datei ist deutlich effizienter als das einzeln gecarvter Datensätze.
Fähigkeit, bestimmte nicht-standardkonforme GIF-Bilder in der Galerie und im Vorschau-Modus mit Hilfe der internen Graphik-Bibliothek anzuzeigen, die in v16.7 und früher Ausnahmefehler erzeugten und deren Anzeige in v16.8 nicht versucht wurde.
Signaturen und Algorithmen für Dateityp-Überprüfung und Datei-Header-Signatur-Suche erheblich überarbeitet.
Vorschau für .pf Prefetch-Dateien verbessert.
Überarbeitete Verarbeitung von PLists.
Die Metadaten-Extraktion für index.dat-Dateien (HTML-Vorschau-Erzeugung und Event-Extraktion) wird jetzt auch auf gecarvte Fragmente von index.dat-Dateien (Internet Explorer URL-Datensätze) angewandt.
Menüoption, Text in der Textspalte in Big-Endian UCS-2/UTF-16 Unicode anzuzeigen. Nützlich insbesondere, um ostasiatische Zeichen zum Beispiel in HFS*-Dateisystemen und in binären PLists korrekt anzuzeigen.
Gecarvte Dateien besitzen jetzt Schlupfspeicher, falls sie an einer Cluster-Grenze beginnen.

Datenträger-Unterstützung, Datenträger-Sicherung

Überlagerung von Sektoren von als schreibgeschützt geöffneten Datenträgern oder interpretierten Images mit anderen Daten. Das kann nützlich sein, wenn Sie kleinere vorübergehend erforderliche Änderungen an den Daten in den Sektoren innerhalb des Programms vornehmen müssen, um die Daten intern richtig interpretiert zu bekommen, wenn Sie aber die Daten auf dem Datenträger oder im Image selbst nicht ändern möchten oder dürfen (oder nicht können, weil es sich nicht um ein Roh-Image, sondern ein .e01-Evidence-File handelt) und auch nicht eine weitere komplette Arbeitskopie eines Images von z. B. 2 TB Größe erzeugen möchten, wenn nur 1 Byte geändert werden muß. Solche Anpassungen können vonnöten sein z. B. in Fällen, in denen eine Partitionstabelle oder Dateisystem-Metadaten leicht falsche Werte enthalten, in denen lediglich das Fehlen einer bestimmten Signatur WinHex davon abhält, das Dateisystem zu erkennen, oder in denen ein einziges umgekipptes Bit verhindert, daß WinHex $MFT in NTFS findet oder lediglich ein falsches Nibble das Erkennen einer Partition als eine LVM2-Container-Partition vereitelt usw. usf. In solchen Situationen können Sie die korrigierten Daten manuell bereitstellen und über die gelesenen Daten legen und dann hoffentlich ohne weitere Probleme mit dem Datenträger bzw. dem Image arbeiten und alle Partitionen und Dateien aufgelistet bekommen, als ob alles in Ordnung wäre. Diese Funktionalität ist gedacht für fortgeschrittene Benutzer, die nicht so leicht aufgeben, wenn Sie zunächst "nichts" sehen, und ein gewisses Maß an Verständnis für Datenstrukturen auf niedriger Ebene mitbringen und Wissen darüber, wie diese zu reparieren sind.

Sie können die Überlagerung ein- und ausschalten für den Datenträger oder die Partition im aktiven Datenfenster durch Aufruf des Menübefehls Bearbeiten | Sektoren überlagern. Dieser Befehl erlaubt es Ihnen, eine Datei auszuwählen mit dem Roh-Inhalt von Sektoren. Z. B. können Sie eine solche Datei erzeugen, indem Sie ein oder mehrere Sektoren als Block auswählen, den Block in eine neue Datei kopieren, die notwendigen Änderungen darin vornehmen (sogar in X-Ways Forensics möglich, weil normale Dateien anders als Datenträger und interpretierte Images editiert werden können) und die Datei dann speichern. Wenn die Datei dann angewandt wird, wird ihr Inhalt über die gelesenen Originalsektoren geschichtet, beginnend mit dem Sektor, indem sich der Cursor befindet, oder falls die Datei einen Namen der Art "*.n.superimposition" hat, wobei n eine Zahl ist, wird sie auf die Sektoren beginnend bei Sektor n angewandt und alle anderen Dateien im selben Verzeichnis, deren Namen auf die gleiche Maske paßt mit dem gleichen Basisnamen werden ebenfalls auf die entsprechenden Sektoren wie im jeweiligen Dateinamen angegeben angewandt. Sie sehen nun die überlagernden Daten sofort, wenn Sie zu den betroffenen Sektoren navigieren, und können auch weitere Änderungen an der Datei vornehmen, wenn Sie sie in einem separaten Datenfenstern offenhalten. Sobald Sie die Änderungen in dem Fenster gespeichert haben, werden sie auch wirksam in dem Datenfenster, das den Datenträger bzw. die Partition repräsentiert, deren Daten Sie korrigieren möchten, wenn Sie die Ansicht aktualisieren, einen neuen Datei-Überblick erstellen, den Anfang einer Partition definieren, erneut versuchen, eine Datei mit einem defekten FILE-Record zu öffnen usw. usf.

Bitte beachten Sie, daß nur vollständige Sektoren, keine Teildaten davon, überlagert werden können. Die Überlagerung kann nur für einen Datenträger oder eine Partition gleichzeitig aktiv sein. Bei Bedarf können Sie eine vollständige Kopie (Image oder geklonter Datenträger) des virtuell reparierten Datenträgers bzw. Images mit den üblichen Befehlen erzeugen, während die Überlagerung aktiv ist, so daß in der Kopie die künstlich aufgetragenen Daten direkt eingebettet sind.
Unterstützung für PC-kompatible BSD-Disklabel-Partitionierung.
Möglichkeit, einen physischen Datenträger (z.B. lokale Festplatte oder Festplatte oder RAM mittels F-Response geöffnet) automatisch von der Kommandozeile zu sichern. Der erste Parameter sollte mit einem Doppelpunkt beginnen und dann die Nummer des Datenträgers in Windows angeben (z.B. ":1" für Festplatte Nr. 1). Der Datenträger wird beim Programmstart automatisch geöffnet. Der zweite Parameter sollte mit dem Pipe-Symbol beginnen, gefolgt von entweder e01 oder raw, um das gewünschte Sicherungsformat anzugeben, gefolgt von einem weiteren Pipe-Symbol und Pfad und Dateiname für die Sicherungsdatei (z.B. "|e01|G:\Output filename.e01"). Als dritter Parameter kann "auto" angegeben werden, um X-Ways Forensics nach der Sicherung automatisch zu schließen. (Dieses Kommando war in WinHex und X-Ways Forensics schon immer verfügbar, wie es auch schon immer möglich war, Dateien von der Kommandozeile aus öffnen zu lassen oder .whs WinHex-Skripte ausführen zu lassen.)
Ein Powershell-Skript, das die Sicherung des physischen Arbeitsspeichers entfernter Rechner automatisiert, mittels F-Response Enterprise und X-Ways Forensics und unter Verwendung der oben genannten neuen Kommandozeilen-Optionen, wurde vor kurzem hier veröffentlicht.
Simultane Erzeugung von 2 Kopien von .e01 Evidence-Files war nicht erfolgreich, falls diese unterschiedliche Namen hatten. Das wurde behoben.
Berichtet die Gesamtzahl an CRC-Fehlern in den Asservat-Eigenschaften für jede Hash-Berechnung wenn die Chunk-CRC-Werte beim Lesen aus .e01 Evidence-Files überprüft werden (siehe Optionen | Sicherheit).

Suchfunktionen

Leicht zu verwendende Einstellungen für das Alphabet, das Wortgrenzen defininert, wenn nur nach ganzen Wörtern in auf Lateinisch basierenden Sprachen gesucht wird. Die Einstellung für das gründlichste Suchergebnis ist als Standard vorgesehen. Benutzer, die von unsinnigen Suchtreffern für kurze Suchbegriffe in Nicht-Text-Daten wie Base64 oder binären Mülldaten überschwemmt werden, können die beiden anderen Optionen probieren. Diese zwei Optionen können dazu führen, in bestimmten Konstellationen gültige Suchtreffer zu verpassen (hängt vom Dateiformat ab), aber können immer noch zu rechtfertigen sein als große Zeitersparnis für Suchen in Textdokumenten.
Möglichkeit, GREP-Syntax ausdrücklich nur für einige bestimmte Suchbegriffe zu verwenden, während andere Suchbegriffe in natürlichen Sprachen sind. Stellen Sie hierzu sicher, daß die GREP-Syntax-Option nur halb angekreuzt ist, und stellen Sie den GREP-Ausdrücken "grep:" voran.
Analog, wenn GREP-Syntax nicht verwendet wird, können Sie jetzt nur nach einigen bestimmten Suchbegriffen als ganze Wörter suchen lassen, ebenfalls indem Sie die entsprechende Box nur halb ankreuzen und die Suchbegriffe, die Sie nur als ganze Wörter finden wollen, durch Voranstellen eines Tabulatorzeichens einrücken.
X-Tensions API: Neue Flags XWF_SEARCH_WHOLEWORDS2 und XWF_SEARCH_GREP2 für die neuen Suchoptionen. Neue Funktion XT_PrepareSearch unterstützt, die es X-Tensions, die Suchtreffer beobachten, ermöglicht, auch bestimmte Suchoptionen zu beobachten und die Suchbegriffe anzupassen.
Maximale Anzahl enthaltener Suchbegriffe, die in der Suchbegriffe-Spalte im Verzeichnis-Browser angezeigt werden, ist jetzt 25 statt bisher 10.

Bedienbarkeit

Das Mausrad scrollt aus Gründen der Bedienbarkeit im Galerie-Modus jetzt immer exakt um eine Vorschaubilder-Seite. Überall sonst scrollt das Mausrad seit v16.7 um die Anzahl an Zeilen, die in der Windows Systemsteuerung festgelegt sind. In v16.6 und früher war dies eine Option in den Allgemeinen Optionen.
Wenn ein externes Verzeichnis dem Dateiüberblick angehängt wird, erzeugt X-Ways Forensics normalerweise virtuelle Dateien in einem neuen virtuellen Verzeichnis. Jetzt gibt es eine Option, die Dateien im Dateiüberblick in existierenden Verzeichnissen des selben Namens an der selben Position im Verzeichnisbaum unterzubringen. Nützlich, wenn Sie eine gesamte Verzeichnisstruktur aus dem Image kopieren zwecks Konvertierung/Entschlüsselung/Übersetzung/... dieser Dateien außerhalb von X-Ways Forensics, und dann die Ergebnisse in den Dateiüberblick übernehmen und die Dateien neben ihren original Gegenstücken in den selben original Verzeichnissen sehen wollen. Dies kann z.B. helfen, wenn Sie von Adobe Acrobat OCR-Texterkennung auf PDF-Dokumente anwenden lassen wollen, die von X-Ways Forensics als nicht durchsuchbar identifiziert wurden.
Wenn Sie ein externes Verzeichnis dem Dateiüberblick anhängen lassen, werden Sie jetzt gefragt, ob das gewählte Verzeichnis selbst ebenfalls angehängt werden soll (bisheriges Standardverhalten in früheren Versionen) oder lediglich dessen Inhalte.
Es ist jetzt möglich, den Verzeichnis-Browser zu "unsortieren", indem man den Spaltenkopf derjenigen Spalte, die das primäre Sortierkriterium darstellt, anklickt während man die Umschalt-Taste gedrückt hält.
Der Drucken-Befehl im Kontextmenü des Verzeichnis-Browsers hat jetzt eine bequeme Option, ggf. vorhandene Kind-Objekte nach der/n gewählten Datei(en) zu drucken, z.B. E-Mail-Anhänge zusammen mit ihren jeweiligen E-Mails.
Möglichkeit, mehrere ausgewählte Dateien optional in getrennten Druckaufträgen zu drucken, wie in v16.3 und früher.
Es ist jetzt einfacher, Daten in den Zeitstempel-Filter-Dialogen einzugeben. Sie können jetzt per Knopfdruck eine Kalenderfunktion zum Auswählen des Datums per Mausklick aufrufen.
Diverse andere Elemente der Benutzeroberfläche wurden verbessert.
Neues Icon für umbenannte/verschobene Verzeichnisse in FAT- und exFAT-Volumes.
Mehr statistische Informationen in den Asservateigenschaften.
Möglichkeit zum gelegentlichen Prüfen auf Updates online (Optionen | Sicherheit). Dabei wird u. U. die Verfügbarkeit einer neueren Version oder eines neuen Service-Releases der aktuell verwendeten Version (keine Vorab-Versionen) angezeigt, und Sie erhalten die Möglichkeit zum sofortigen Herunterladen. Es werden keinerlei Daten von innerhalb des Programms an das Internet übertragen, z. B. auch keine System-Information, Benutzer-Informationen oder Dongle-ID, weder direkt noch verschlüsselt oder anonymisiert, nicht mal die aktuell verwendete Versionsnummer, sondern gar nichts. Diese Option ist standardmäßig aktiv nur dann, wenn das Programm davon ausgehen kann, daß es auf dem eigenen System des Benutzers ausgeführt wird (wenn von Laufwerk C: aus gestartet oder wenn es mit dem Setup-Programm installiert wurde). Die Prüfung findet nicht schon beim ersten Programmstart statt, so daß Sie auf jeden Fall die Gelegenheit haben, diese Option auszuschalten, bevor etwas passiert. Angesichts der Tatsache, daß die meisten Systeme, auf denen X-Ways Investigator und X-Ways Forensics verwendet werden, keine Internet-Verbindung haben, hat diese Option nur eine begrenzte Wirkung.
Ob neue Berichtstabellen-Verknüpfungen für ausgewählte Dateien nur für die gewählten Dateien oder auch für deren Kind-Objekte, Duplikate, usw. erzeugt werden, ist jetzt eine Einstellung spezifisch für jede Berichtstabelle.
Der Menü-Befehl Ansicht | Anzeige aktualisieren befüllt jetzt auch den Verzeichnis-Browser neu, falls dieser den Eingabefokus hat. Nützlich z.B. wenn ein Filter für markierte Objekte aktiv ist und Sie die Markierung einiger der gelisteten Dateien entfernen, wenn Sie die Liste im Verzeichnis-Browser auf den aktuellen Stand bringen und die nicht mehr markierten Dateien aus der Anzeige entfernen möchten.
Knöpfe, die es ermöglichen, alle Kategorien im Typ-Filter auf- bzw. einzuklappen. Aufklappen aller Kategorien kann nützlich sein, wenn Sie einen bestimmten Typ schnell finden möchten, indem Sie seine Buchstaben eintippen, während die Baumdarstellung den Eingabefokus hat.
Neue Option für Meldungen: Wenn in Optionen | Sicherheit gar nicht angekreuzt, werden nur Ausnahmefehler mit potentiell schwerwiegenden Folgen (etwa unvollständige Untersuchungsergebnisse) im Nachrichtenfenster angezeigt. Vollständig angekreuzt werden alle angezeigt, wie bisher, selbst solche, die typischerweise nur mit beschädigten Dateien auftreten und keine negativen Auswirkungen auf andere Untersuchungsergebnisse haben. Die neue Standard-Option ist eine vernünftige Kompromißlösung.

Diverses

Fähigkeit, bis zu ~4 GB an Daten in die interne Zwischenablage der 64-Bit-Edition zu kopieren (~2 GB bisher, und auch weiterhin in der 32-Bit-Edition).
Neuer Hash-Typ verfügbar: Adler32
Die Werte der Bits in den Volume-Attributen von HFS+-Dateisystemen werden jetzt im Technischen Detailbericht angezeigt.
Option, nur markierte Dateien für Anzeige im Bericht herauszukopieren, statt alle oder keine. Nützlich, falls Sie alle relevanten Dateien mit ihren Metadaten im Bericht aufführen wollen, aber nur eine Unterauswahl davon zeigen wollen.
Sortierung nach Pfad beschleunigt.
Viele kleinere Verbesserungen.
Einige kleinere Korrekturen.
Programmhilfe und Nutzerhandbuch überarbeitet und aktualisiert für v16.9.

Änderungen der Service-Releases von v16.8:

SR-1: Suchtreffer in dekodierten Dateiversionen wurden fälschlicherweise an deren künstlichen Offsets im Datei-Modus hervorgehoben. Dies wurde vermieden.
SR-1: Ein Fehler wurde behoben in der Art, wie die 64-Bit-Edition exFAT-Dateisysteme liest.
SR-1: Ein Fehler wurde behoben, der auftreten konnte, wenn Datei-Container kopiert wurden.
SR-1: Die Warnung über in Verwendung befindliche Asservate wurde vermieden in einigen Situationen, in denen sie nicht notwendig ist.
SR-1: Inkorrekte Ankreuz-Zustände im Typ-Filter-Dialog wurden behoben, die nach Doppelklicken in Windows-Versionen neuer als XP auftreten konnten.
SR-1: X-Ways Imager-Download aktualisiert mit v16.8. Besitzt jetzt eine 64-Bit-Edition, was als mächtiges Programm zur Datenträger-Sicherung und zum Klonen für die 64-Bit-Edition von Windows PE oder FE nützlich ist.
SR-2: Eine 64-Bit-Edition der normalen (nicht Dongle-basierten) Version von WinHex ist jetzt für Nutzer mit professioneller oder Specialist-Lizenz verfügbar. Der Speicherbedarf von WinHex ist sehr gering, so daß der erweiterte logische Adreßraum der 64-Bit-Edition keinen relevanten Vorteil bietet. Allerdings kann die 64-Bit-Edition, im Gegensatz zur 32-Bit-Edition, aus einem 64-Bit Windows PE ausgeführt werden, wie Sie es von einer 64-Bit Windows 7 oder Windows 8 Installations-CD oder im Fall von Problemen von einer Festplatte mit Windows 8 Installation booten können. Dies ist z. B. nützlich, wenn Sie Sektoren derjenigen Partition, die Ihre Windows-Installation entält, bearbeiten/reparieren oder sicher löschen möchten, die sonst in Windows Vista und später schreibgeschützt sind. Weitere Informationen zu Windows PE. Lizensierte Nutzer können den Download-Link der zusätzlichen 64-Bit-Dateien von der üblichen Webseite abrufen. Das Setup-Programm ist weiterhin eine 32-Bit-Anwendung. Als portable Anwendung braucht WinHex nicht und sollte auch nicht mittels Setup-Programm installiert werden.
SR-2: Eine Endlosschleife wurde vermieden, die in v16.8 bei der Datei-Header-Signatur-Suche nach index.dat-Datensätzen im freien Speicher auftreten konnte.
SR-2: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn alte Varianten des alten Datei-Container-Formats geladen wurden.
SR-2: Ein seltener Ausnahmefehler wurde verhindert, der beim Dateiüberblick-Erzeugen bei Ext-Dateisystemen auftreten konnte.
SR-3: Ein Ausnahmefehler in der 32-Bit-Edition von X-Ways Forensics 16.8 wurde behoben, der nach der Erzeugung eines Dateiüberblicks von FAT-Volumes auftreten konnte.
SR-3: Die Erzeugung von mehreren Tausenden von Berichtstabellen-Verknüpfungen auf einmal oder deren Import aus einem Datei-Container konnte in v16.8 sehr lange dauern. Das wurde korrigiert.
SR-3: Aussagekräftige Benennung für Prefetch-Dateien in der Datei-Header-Signatur-Suche.
SR-4: Einige Probleme in X-Ways Imager wurden behoben.
SR-4: Die Besitzer-ID von Dateien, die NTFS-Volumes entstammen, wurde von Datei-Containern der 1. Generation nicht an Datei-Container der 2. Generation weitergereicht. Dies wurde behoben.
SR-4: Sortierung nach Asservat sortiert nicht mehr alphabetisch, sondern nach der Reihenfolge der Asservate im Fall-Baum. Dies ist erheblich schneller und möglicherweise sogar von vielen Nutzern so erwartet oder erwünscht.
SR-4: Der Befehl "Liste nicht sortieren" befüllt jetzt automatisch den Verzeichnis-Browser mit den selben Objekten in der Reihenfolge, in der sie im Dateiüberblick verzeichnet sind. Nützlich insbesondere für Nutzer von X-Ways Investigator, die es gewohnt sind, mit einer unsortierten Liste zu arbeiten, versehentlich einen Spaltenkopf anklicken und nicht wissen, wie sie den Verzeichnis-Browser neu befüllen können.
SR-4: Erkennt bestimmte nicht-standardgemäße GIF-Bilder, die Ausnahmefehler erzeugen können, und versucht nicht mehr, diese zu verarbeiten, um Probleme zu vermeiden.
SR-4: Möglichkeit, eine eigene Bitmap (16x16 Pixel) bereitzustellen, die Dateien im Verzeichnis-Browser als bereits eingesehen kennzeichnet, falls Sie die standardmäßige hellgrüne Farbe nicht mögen. Stellen Sie die Datei mit dem Namen 9.bmp ins selbe Verzeichnis, in der die .exe-Datei liegt.
SR-5: Verbesserte Fähigkeit, Absender- und Empfänger-Felder aus PST-E-Mail-Archiven zu extrahieren, die von SysTools bei der Konvertierung von NFS zu PST künstlich erzeugt wurden.
SR-5: Geringfügige Verbesserungen bei der Extraktion aus Exchange EDB.
SR-5: Registry-Berichte für Windows 8 Registry-Hives so vollständig wie für frühere Windows-Versionen.
SR-5: X-Tensions, die via Extras | X-Tensions ausführen gestartet werden, werden jetzt standardmäßig auf das aktive Datenfenster angewandt, falls ein Datenfenster offen ist, genau wie Specialist | Dateiüberblick erweitern.
SR-5: Bestimmte Situationen wurden vermieden, wo das Markieren großer Zahlen von Dateien in einem großen Dateiüberblick extrem langsam war. (Bitte teilen Sie uns mit, wenn Sie weiterhin derartige Probleme haben.)
SR-6: Ein Fehler wurde behoben, der bei der E-Mail-Extraktion aus Exchange EDB auftreten konnte.
SR-6: Seit v16.4 haben die Typ- und Kategorie-Filter nicht alle numerischen Dateitypen, wie z.B. .123, .000, .001., verläßlich behandelt. Das wurde behoben.
SR-6: Ein Ausnahmefehler wurde behoben, der unter bestimmten Umständen bei der Erzeugung einer Vorschau für index.dat-Dateien auftreten konnte.
SR-6: Ein seltener Ausnahmefehler wurde behoben, der beim Extrahieren von E-Mails aus MBox-E-Mail-Archiven auftreten konnte.
SR-6: Ein Einfrieren des Programms wurde verhindert, das bei der Verarbeitung bestimmter Dateien namens cache.db auftreten konnte.
SR-6: Verbesserte Kompatibilität der Datei-Container des neuen Formats mit Mount Image Pro beim Kopieren von Verzeichnissen mit Windows Explorer.
SR-7: Signaturen für die Dateityp-Prüfung leicht aktualisiert.
SR-7: Ein Fehler wurde behoben, der bei der Verarbeitung von SQLite-Datenbanken auftreten konnte.
SR-7: Einige Fehler wurden behoben, die bei der Verarbeitung bestimmter beschädigter Dateien auftreten konnten.
SR-7: Eine Situation wurde vermieden, in der die 64-Bit-Edition stehenbleiben konnte, wenn bei der Datenträger-Sicherung die Option "Daten in freien Clustern überspringen" verwendet wurde.
SR-7: Ein Fehler in v16.8 wurde behoben, der in bestimmten Situationen (häufiger auf Maschinen mit vielen Prozessorkernen) eine kleine Menge an unsichtbaren, überschüssigen Daten am Ende von komprimierten .e01 Evidence-Files erzeugt hat, was in anderen Tools zu einem falschen Hash-Wert und Lese- oder CRC-Fehlermeldungen führen konnte, obwohl die angezeigten und zugreifbaren Daten in den selben Tools 100% korrekt waren.
SR-7: Fehler wurden behoben, die auftreten konnten, wenn das Limit von ~176 Millionen Suchtreffern erreicht wurde.
SR-8: Ein Datenfehler wurde behoben, der beim Sichern von Datenträgern mit mehr als 4.294.967.295 Sektoren auftreten konnte.
SR-8: Ein Ausnahmefehler mit bestimmten nicht-standardgemäßen Volume-Labels in FAT-Dateisystemen wurde vermieden.
SR-8: Ein Ausnahmefehler wurde behoben, der in der 64-Bit-Edition bei der Verarbeitung von .evtx Event-Log-Dateien auftreten konnte.
SR-8: Ein Ausnahmefehler wurde behoben, der bei der Verarbeitung bestimmter MSG-Dateien auftreten konnte.
SR-9: E-Mail-Extraktion aus MSG-Dateien wurde verbessert.
SR-9: Verzerrte Text-Proportionen wurden vermieden, die auf Deckblättern auftreten konnten, wenn mehrere Dateien auf einmal mit der Viewer-Komponente gedruckt wurden.
SR-9: Ein Fehler in der Suchfunktion des Registry Viewers wurde behoben.
SR-9: Ein Absturz der Funktion Wiederherstellen/Kopieren mit überlangen Pfaden wurde in der nicht Dongle-basierten Version von WinHex behoben.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <


Preise einsehen, Angebote einholen, bestellen (Neulizenzen)
Upgrades und Verlängerungen bestehender Lizenzen
Produkte
	X-Ways Forensics
	Integrierte Forensik-Software
	X-Ways Investigator
	Ermittler-Version von X-Ways Forensics
	X-Tensions
	Zusätzliche Module
	Excire Forensics
	Foto-Analyse mit KI
	WinHex
	Lizenztypen
	Upgrade
	Forensische Features
	Alle Features
	X-Ways Imager
	Disk-Imaging
Dienstleistungen
	Schulungsangebot
	Zertifizierung
	Benutzerforum

	Kontakt
	Die X-Ways AG
	Datenschutzerklärung
	Stellenangebote