#148: WinHex, X-Ways
Forensics und X-Ways Investigator 18.6 veröffentlicht
12. Nov. 2015 |
In dieser Ausgabe des Newsletters informieren wir Sie
über ein größeres Update mit vielen nützlichen Verbesserungen, die Version
18.6. Sie wurde veröffentlicht am 11. November.
Evaluationsversion von WinHex:
https://www.x-ways.net/winhex.zip
(korrekte Download-Adresse auch für Benutzer mit einer privaten,
professionellen oder Specialist-Lizenz)
Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager
finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter
https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren
Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote.
Wenn Sie an Informationen über Service-Releases interessiert sind, wenn
diese veröffentlicht werden, können Sie diese im Bereich Announcements des
Forums einsehen und sich bei noch aktiver
Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie:
Wenn Sie vorerst bei einer älteren Version
bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte
Service-Release der betreffenden Version verwenden.
Schulungstermine
Köln,
7.-10. März 2016
Termine im Ausland
Wenn wir Sie über weitere Termine informieren dürfen,
geben Sie bitte hier
Ihre E-Mail-Adresse ein.
Individuell lange Update-Berechtigung
Neue dauerhafte Lizenzen für X-Ways
Forensics können nun direkt online mit flexibel wählbar langer
Update-Berechtigung bestellt
werden. Sie können z. B. dasselbe Ablaufdatum der Update-Berechtigung
wählen wie das Ihrer schon bestehenden Lizenzen. Dann können wir alte und
neue Lizenzen desselben Typs in unserer Datenbank in einen einzigen Eintrag
zusammenführen und zusammen verwalten. Künftige Upgrades machen dann weniger
Arbeit, und Sie erhalten künftig den kombinierten Mengenrabatt basierend auf
der Gesamtzahl der identischen Lizenzen. Wenn Sie das Ablaufdatum der
Update-Berechtigung frei wählen können, können Sie es auch passend zu Ihrem
internen Geschäftsjahr einstellen, oder Sie können das Ihnen derzeit zur
Verfügung stehende Budget maximal ausnutzen, indem Sie so viel
Update-Berechtigung im voraus bestellen, wie das Budget zuläßt.
Wenn
Sie existierende Lizenzen für X-Ways Forensics mit neuer Update-Berechtigung
upgraden möchten, können Sie dazu nun ebenfalls ein neues Ablaufdatum Ihrer
Wahl angeben, aus denselben möglichen Gründen wie o. g., auf der Seite für
die Lizenzstatusabfrage mit
weiteren Optionen.
Was ist neu in v18.6?
(Bitte beachten
Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
Einbinden als Laufwerksbuchstabe
-
X-Ways Forensics hat nun eine Funktion zum Einbinden
der vom aktiven Datenfenster repräsentierten Partition im eigenen
Windows-System als Laufwerksbuchstabe. Das Einbinden ist entweder
vollständig (beim Aufruf über das Specialist-Menü oder über das
Falldatenfenster-Kontextmenü für ein ganzes Volume) oder ausschnitthaft
(wenn über das Kontextmenü des Verzeichnis-Browsers oder das
Falldatenfenster-Kontextmenü auf ein Verzeichnis oder eine Datei mit
Unterobjekten angewandt). So erhalten Sie bei Bedarf mit externen
Programmen bequem und schnell Zugriff auf alle Dateien, ohne diese erst
mit dem Befehl Wiederherstellen/Kopieren herauskopieren zu müssen. Sehr
effizient insbes., wenn Sie eine ganze Partition oder ein Verzeichnis
mit einem Virenscanner überprüfen möchten. Das Einbinden funktioniert
für alle unterstützten Dateisysteme, für alle unterstützten
Partitionierungsmethoden und alle unterstützten Image-Typen (in X-Ways
Forensics: Roh-Images, .e01, VDI, VMDK, VHD, und selbstverständlich
Datei-Container), sogar für Images innerhalb von anderen, auch für
Partitionen von physisch angeschlossenen Datenträgern, die mit einem
Dateisystem formatiert sind, das Windows unbekannt ist. Der Zugriff auf
alle Dateien ist ein vollständig schreibgeschützter Zugriff. Das Mounten
von Images oder Datenträger-Partitionen ändert nichts in dem Image bzw.
auf dem Datenträger. Um das Einbinden als Laufwerksbuchstabe zu beenden,
rufen Sie den Menübefehl einfach erneut auf und klicken dann auf den
Abbrechen-Schalter.
Sie können wahlweise alle existierenden und/oder alle bekannten ehemals
existierenden Dateien des Volumes im eingebundenen Laufwerk sehen, genau
dieselben Dateien wie im außerordentlich gründlichen Datei-Überblick von
X-Ways Forensics selbst. Dessen Vollständigkeit hängt bekanntlich davon
ab, ob er bereits erweitert worden ist oder nicht. Optional können
herausgefilterte Dateien auch in den Verzeichnissen des eingebundenen
Laufwerks von der Auflistung ausgenommen werden. D. h. in anderen
Worten, die internen Filter von X-Ways Forensics können auch extern
wirken. Unterobjekte von Dateien (Dateien in Dateien) werden ebenfalls
optional nach außen dargestellt, als Dateien in einem künstlichen
Unterverzeichnis, das denselben Namen hat wie die Elterndatei, lediglich
um ein einziges Zeichen ergänzt, damit der Name eindeutig wird, wie Sie
es evtl. vom Wiederherstellen/Kopieren-Befehl kennen. Standardmäßig ist
dieses Zeichenanhängsel unsichtbar, d. h. ein Unicode-Zeichen ohne
eigenen Breite, damit der Pfad des Unterobjekts so original wie möglich
aussieht. Sie können das Zeichen allerdings durch ein anderes ersetzen,
z. B. einen Unterstrich, wenn Sie etwas mit einem alten externen
Programm auf die Dateien zugreifen, das nicht unicodefähig ist. Dazu
müssen Sie das unsichtbare Zeichen zunächst aus dem Editierfeld
entfernen, z. B. durch Anklicken und Drücken der Rücksetz-Taste. Das
funktioniert auch dann, wenn es scheinbar keinen sichtbaren Effekt hat.
Danach können Sie ein beliebiges anderes Zeichen einfügen.
Ehemals existierende Dateien werden optional aufgelistet, und wenn dies
der Fall ist, werden Sie extern mit dem Attribut "versteckt"
dargestellt, so daß sie auch im Windows Explorer optisch von
existierenden Dateien unterscheidbar sind. Virtuelle Verzeichnisse
werden auf dieselbe Art präsentiert. (Natürlich werden versteckte
Dateien in Windows nur dann angezeigt, wenn Sie angeben, daß Sie sie
sehen möchten, s. Extras | Ordner-Optionen | Ansicht). Virtuelle Dateien
in einem Datei-Überblick sowie interne Dateien von Dateisystemen (wie
$MFT in NTFS und Catalog in HFS+) werden ebenfalls nur optional
eingebunden. Dasselbe gilt für die Originalnamen und -Orte von
belanntermaßen umbenannten/verschobenen Dateien. Besondere Objekte wie
alternative Datenströme, extrahierte E-Mails, Video-Standbilder,
eingebettete Miniaturansichten, Ausschnitte usw. usf. werden im
eingebundenen Laufwerk wie normale Dateien dargestellt. Dateischlupf
wird nicht nach außen zugänglich gemacht. Dateien mit identischem Namen
im selbem Verzeichnis (z. B. eine existierende Datei und eine ehem.
existierende Dateien, bis zu 16) sind kein Problem für das Einbinden als
Laufwerksbuchstabe. Solche Dateien können extern über den
Laufwerksbuchstaben so geöffnet werden, als hätten sie eindeutige Namen.
Diese Funktion erfordert Windows 7 oder neuer sowie die Installation
einen Treibers. Letztere wird automatisch in Angriff genommen, wenn Sie
einen beliebigen der Menübefehle zum Einbinden zum ersten mal aufrufen.
Zuvor muß jedoch das Microsoft Visual C++ 2013 Redistributable Package
installiert werden, in sowohl der 32-Bit- als auch der
64-Bit-Variante. Dieses ist in Windows standardmäßig nicht enthalten ist und
daher muß daher i. d. R.
separat heruntergeladen werden. Das bedeutet, daß diese spezielle
Funktionalität von X-Ways Forensics nicht portabel ist, aber das Einbinden als
Laufwerksbuchstabe ist ohnehin keine typische Funktion für die
Vorab-Einsichtnahme von laufenden Systemen vor Ort.
Interaktivität: Das Löschen einer Datei in einem von X-Ways
Forensics bereitgestellten Laufwerksbuchstaben in Windows löscht
natürlich nicht die Datei im Image oder auf dem Datenträger, aber kann
eine der folgenden Aktionen im Datei-Überblick auslösen:
1) Datei im Datei-Überblick ausblenden
2) Datei als bereits eingesehen kennzeichnen
oder
3) Datei mit einer frei wählbaren Berichtstabelle verknüpfen.
Die dritte Optione ist besonders dann nützlich, wenn Sie die Partition
zum Überprüfen auf Malware mit einem Virenscanner als lokales Laufwerk
einbinden. Sollte der Virenscanner eine Datei löschen oder in Quarantäne
verschieben, wird X-Ways Forensics das bemerken und diese Datei der
Berichtstabelle hinzufügen. Beachten Sie, daß wenn Sie eine Datei aus
dem Laufwerk heraus verschieben dieselbe Aktion ausgelöst wird, denn ein
solches Verschieben ist identisch mit Kopieren gefolgt von Löschen. Das
Verschieben einer Datei innerhalb des von X-Ways Forensics
bereitgestellten Laufwerksbuchstabens ist nicht erlaubt.
Wenn Sie eine Datei in einem eingebundenen Laufwerk in Windows
umbenennen, so wird auch die Datei im Datei-Überblick von X-Ways
Forensics umbenannt. (Der Originalname wird ebenfalls aufbewahrt und im
Verzeichnis-Browser zusätzlich angezeigt.)
-
Seit v18.5 SR-3 erlaubt WinHex das Interpretieren von
Datei-Containern mit nicht mehr als 1.000 Objekten als Datenträger mit
jedem beliebigen Lizenztyp und auch in der Evaluationsversion, kostenlos
und nicht nur für Evaluationszwecke. Und in v18.6 kann WinHex nun mit
jedem beliebigen Lizenztyp und auch in der Evaluationsversion solche Containers
als Laufwerksbuchstaben einbinden. (Änderungen vorbehalten.) Wenn Sie
Dateien logisch in einem Container sichern und den Container an andere
Parteien weitergeben, die keine Lizenz für X-Ways Investigator oder Forensics
haben, können die Empfänger nun Geld sparen, indem Sie den Container
kostenlos mounten oder in WinHex Lab Edition (s. u.).
Neue Produktvariante: WinHex Lab Edition
-
Die neue Funktion zum Mounten (Einbinden als
Laufwerk) ist jetzt auch in einer neuen Produktvariante von WinHex
verfügbar, genannt WinHex Lab Edition. In WinHex Lab
Edition ist die gesamte Funktionalität von WinHex mit einer Specialist-Lizenz
enthalten. Zusätzlich kann man
X-Tensions
ausführen
(außer Viewer-X-Tensions), und es werden dieselben Dateisysteme
unterstützt wie in X-Ways Forensics (also auch HFS, HFS+/HFSJ/HFSX, ReiserFS, Reiser4, UFS
und
XFS). Und man kann
Datei-Container selbst erzeugen. Und Container und Datenträger und
unterstützte Image-Typen als Laufwerksbuchstaben einbinden. WinHex Lab Edition
füllt also die große funktionelle Lücke zwischen WinHex mit
Specialist-Lizenz auf der einen Seite und X-Ways Forensics auf der
anderen Seite. Funktionell und preislich liegt WinHex Lab Edition aber
dennoch deutlich näher an WinHex mit Specialist-Lizenz.
Den
Produkt- und Lizenztypenvergleich finden Sie
hier
(aktualisiert, aber angesichts Hunderter oder Tausender Funktionen und
Optionen in X-Ways Forensics unvermeidlicherweise unvollständig).
Lizenzen für WinHex Lab Edition können
online bestellt werden.
Beschreibungsspalte
-
Die Beschreibungsspalte verdient nun deutlich mehr
Aufmerksamkeit als bisher. Sie hat zahlreiche Verantwortlichkeiten für
die Anzeige von Informationen von der Attr.-Spalte übernommen, die
nichts mit Dateisystemen zu tun haben und sich in der Attr.-Spalte im
Laufe der Jahre zu eher Unrecht angesammelt hatten. Ebenso sind nun die
Hälfte der Filter der Attr.-Spalte zur Beschreibungsspalte gewandert.
Darüber hinaus hat die Beschreibungsspalte die ehemals
spaltenunabhängigen Filter aus den Verzeichnis-Browser-Optionen geerbt.
Diese Lösung ist für Neulingen intuitiver und logischer, und sie ist
einheitlicher, weil nun alle Filtermöglichkeiten zu einer bestimmten
Spalte gehören. Außerdem wurde dadurch etwas Platz in dem notorisch
überfüllten Dialogfenster mit den Verzeichnis-Browser-Optionen frei.
(Dieser wurde zum großen Teil auch gleich wieder von etwas Neuem in
Beschlag genommen.) Die bisher behelfsmäßig in der Spalte "1. Sektor"
untergebrachte Filtermöglichkeit für gecarvte Dateien gehört nun auch
zur Beschreibungsspalte.
-
Eine neue Filtereinstellung in der
Beschreibungsspalte erlaubt nun das Herausfiltern von virtuellen
Objekten genau wie von existierenden und ehemals existierenden Objekten.
-
Der Beschreibungsfilter ist so nun auf Anhieb zu
einem der wichtigsten Filter geworden. Der schnellste Weg, um zu den
Filtereinstellungen zu gelangen, ist ein Rechtsklick auf die
Überschriftszeile des Verzeichnis-Browsers. Diese Abkürzung steht auch
dann zur Verfügung, wenn die Beschreibungsspalte nicht auf dem
Bildschirm zu sehen ist, auch auch dann, wenn die Spalte überhaupt nicht
angezeigt wird. Ein Linksklick in derselben Zeile öffnet weiterhin
schnell das Dialogfenster mit den Verzeichnis-Browser-Optionen.
-
Das Trichtersymbol, das den Filter der
Beschreibungsspalte repräsentiert, hat nun vier mögliche Farben:
1) Grau wenn inaktiv, wie auch bei anderen Filtern
üblich. 2) Grau mit einer ganz, ganz leichten Tendenz zu blau, fast
nicht von grau unterscheidbar, wenn der Filter zwar theoretisch aktiv
ist, aber nur ausgeblendete Dateien herausfiltern würde, wovon es aber
im erkundeten Pfad nicht mal welche gibt. 3) Blaugrau wenn nur
ausgeblendete Dateien vom Filter ausgesondert werden und das auch
tatsächlich passiert. 4) Normal blau, um Ihre Aufmerksamkeit darauf zu
lenken, daß der Beschreibungsfilter aktiv ist und nicht nur
ausgeblendete Dateien heraussiebt, sondern auf andere Eigenschaften
achtet. Das zurückhaltende Farbschema wurde eingeführt, weil viele
Benutzer es für den Normalzustand halten, wenn ausgeblendete Dateien
tatsächlich herausgefiltert werden, weil sie sie genau zu dem Zweck
ausblenden, um sie nicht mehr zu sehen. Dann ist die Erinnerung daran
durch ein ins Auge springendes Blau unnötig ablenkend.
-
Die Beschreibungsspalte ist nun etwas präziser darin,
die jeweilige Objektart zu benennen (z. B. gecarvte Datei, Unterobjekt
von Datei, alternativer Datenstrom, Video-Einzelbild, ...), den Lösch-
oder Existenzzustand und andere Eigenschaften. Darüber hinaus ist die
Spalte nun konfigurierbar. Sie können in den Notationsoptionen (s.
Allg. Optionen) festlegen, welche Informationen in der Spalte angezeigt
werden sollen. Daß die Einstellungen in den Notationsoptionen getroffen
werden, bedeutet, daß man zwei verschiedene Einstellungen zugleich
speichern kann, eine allgemein für den Verzeichnis-Browser und eine
andere speziell für den Befehl Liste exportieren. Das ist nützlich,
denn in einer exportierten Liste werden tendenziell mehr textuelle Informationen
dieser Art benötigt, weil es dort im Gegensatz zum Verzeichnis-Browser keine Icons
gibt, die Ihnen dabei helfen, verschiedene Objektarten und Löschzustände
voneinander zu unterscheiden.
-
v18.6 (nur diese Version) lädt die Breite der (nun
wichtigeren) Beschreibungsspalte nicht aus Fällen. Auf diese verliert
niemand die in v18.6 voreingestellte Breite dieser Spalte beim Laden
eines Falls, der von v18.5 oder älter mit eingebetteten
Verzeichnis-Browser-Einstellungen gespeichert wurde, auch wenn die
Spalte er in früheren auf eine Breite von 0 eingestellt hatte.
Dateiformat-Unterstützung
-
Überarbeitete Erkennung von und Schutz vor ZIP-Bomben.
Neu eingeführte Erkennung von und Schutz vor rekursiven ZIP- und GZ- und
evtl. auch anderen Archiv-Typen. Der Schutz bedeutet, daß die Verarbeitung
auf einer bestimmten Ebene beendet wird, wenn die böswillige Natur des
Archivs erkannt wird. Derart identifizierte Archive werden als bereits
verarbeitet gekennzeichnet und einer speziellen internen Berichtstabelle
zugeordnet. Bitte beachten Sie, falls Sie später manuell weiter in das
Archiv hinein navigieren wollen, als die Ebene, auf der die rekursive
automatische Erkundung aufhört, können Sie dies tun, indem Sie das derzeit
innerste Archiv als noch zu verarbeiten kennzeichnen (durch Drücken von
Strg+Entf) und dann per Kontextmenü manuell den Erkunden-Befehl darauf
anwenden.
-
Noch mehr Formatvarianten für MP4, MOV, etc. werden
beim Datei-Carven und der Konsistenzprüfung unterstützt.
-
Unterstützung für die Registry Hives von Windows 10
und ihre neuen Datentypen. (Ein in früheren Versionen von X-Ways Forensics
erzeugter Registry-Bericht wäre für eine Windows 10 Registry unvollständig.)
Einige neue Registry-Berichtsdefinitionen für Windows 10.
-
Unterstützung für das neue Prefetch-Dateiformat von
Windows 10 im Vorschau-Modus, auf Windows 8.1 und Windows 10 Plattformen.
Neuer Carving-Algorithmus für diese Prefetch-Dateien.
-
Unterstützung für die neuen $I-Papierkorb-Dateien in
Windows 10.
-
Extraktion des Feldes AppVersion aus neuen
Office-Dokumenttypen. Extraktion des absoluten Pfads aus Office 2013
.xlsx-Dateien.
-
Unix- und DOS-Attribute von Dateien in ZIP-Archiven
werden jetzt im Detail-Modus in dekodierter Form ausgegeben.
-
Zeigt Gruppen und Gruppenmitglieder im Registry Viewer
und in Registry-Berichten an.
-
Photoshop-Metadaten in JPEG-Bildern werden jetzt in
HTML-Tabellen hübsch formatiert angezeigt. Das relativ neue
Drucker-Metadaten-Feld wurde hinzugefügt. Bessere Unterstützung für
UTF-8-codierte Metadaten. Die häufigsten IPTC-Felder haben jetzt einen
lesbaren Feldnamen.
-
AppCompatCache-Registry-Einträge von Windows 8.1 und
Windows 10 werden jetzt unterstützt. Diese Einträge sind bei der Untersuchung
von Programmausführungen relevant.
-
Ausgabe des Flags "Executed" aus dem Shim Cache
(AppCompatCache) im Registry Viewer. Unter Umständen für Untersuchungen von
Schadsoftware relevant.
-
Ausgabe von drei Zeitstempeln aus Google Analytics
Cookies im Detail-Modus (erster Besuch, voriger Besuch, letzter Besuch).
Analytics Cookies haben die Dateierweiterung .eiurl. Sie sind als URL
kodiert, die auf ein GIF-Bild mit einer Größe von 1x1 Pixel verweist und
optional gecarvt werden kann (s. Kategorie "Special interest").
-
Der Google Analytics Zeitstempel für den letzten Besuch
(URLs mit "ie"-Zeitstempeln) wird jetzt auch als Ereignis angeboten,
wenn eingebettete Dateien aus Google Chrome Cache-Dateien extrahiert werden.
Nützlich insbesondere für Nutzer, die normalerweise nicht auf dem gesamten
Datenträger oder der Partition auf Byte-Ebene nach URLs mit
"ei"-Zeitstempeln carven lassen, was nur als Carving-Definition
der Kategorie "special interest" klassififiziert ist.
-
Zeitzonenwechsel von Windows-Systemen und die Zeitstempel,
wenn Anwendungen vom Windows MSI Installer installiert, deinstalliert oder
aktualisiert werden, werden jetzt als Ereignisse in der Ereignisliste
ausgegeben.
-
Unterstützung für eine alte Dateiformatvariante von SKP (Google
SketchUp).
-
Genauer bei der Anzeige des ersten Sektors bestimmter
eingebetteter Dateien.
-
Der Betreff von E-Mails in originalen, einzelnen E-Mail-Dateien
(.eml, .emlx, .olk14msgsource) wird jetzt als Teil von
Specialist | Datei-Überblick erweitern | Diverse interne Metadaten u. Ereignisse
aufbereiten | [x] "Absender, Empfänger und Betreff aus Original-.eml-Dateien
extrahieren" extrahiert und in der Namensspalte angezeigt, falls vom Dateinamen
abweichend, und sofern die Datei nicht gecarvt ist (d.h. der Dateiname nicht
ohnehin künstlich erzeugt ist), wird der Originalname erhalten und als alternativer
Dateiname in derselben Spalte angezeigt.
Datei-Überblick
-
Es gibt jetzt die Möglichkeit, die Gesamtzahl der erzeugten
Video-Einzelbilder pro Video benutzerdefiniert zu limitieren (1-255),
unabhängig von der Spiellänge des Videos. Nützlich, um die Ergebnisse
im Vergleich zu festgelegten Intervallen für längere Videos erheblich
zu reduzieren. (Festgelegte Intervalle führen zu Einzelbildern, deren
Anzahl proportional mit der Spiellänge wächst.) Dies kann den Aufwand
bei der Auswertung der Einzelbilder in der Galerie und auch die Zeit, die
für die Verarbeitung langer Videos benötigt wird, erheblich reduzieren,
aber natürlich mit dem Preis, weniger gründlich zu sein und das Risiko zu
erhöhen, etwas zu übersehen, sollte ein Verdächtiger relevante Inhalte
irgendwo inmitten harmlos aussehender Videos verstecken. X-Ways Forensics
versucht, die festgelegte Zahl an Einzelbildern in gleichmäßigen Abständen
aus dem gesamten Video zu extrahieren, um eine möglichst repräsentative
Darstellung zu erreichen.
-
Fähigkeit, bestimmte Zeilen aus den extrahierten
Metadaten entfernen zu lassen, um diese nicht in der Metadaten-Spalte
zu sehen, z. B. um den Fallbericht oder die Ausgabe des Befehls Liste
exportieren zum Drucken oder Einsehen auf dem Bildschirm kompakter zu
halten, oder einfach, weil bestimmte Metadaten-Felder für Sie nicht
von Bedeutung sind. Sie können unerwünschte Metadaten-Felder durch
ein Teilwort identifizieren lassen. Das Teilwort kann entweder den
Feldnamen (z. B. "Focal Length") oder einen bestimmten erwarteten
Feldwert (z. B. den Autorennamen "Josef Huber" in einem Dokument)
identifizieren. Pro Zeile wird ein Teilwort eingegeben. Sie können Ihre
Definitionen teilen, indem Sie die Datei "Unwanted Metadata.txt"
austauschen.
-
Unterstützung für Dateien mit Unterobjekten im
Datei-Überblick eines physischen Datenträgers, was in früheren Versionen
nicht möglich war. Und physische Datenträger erhalten bei der Ausführung
der Datei-Header-Signatur-Suche jetzt auch ein virtuelles Verzeichnis
speziell für gecarvte Dateien. Daher haben physische Datenträger mit
Unterobjekten oder virtuellen Verzeichnissen jetzt auch einen Schalter
zur rekursiven Erkundung, aber bitte beachten Sie, daß eine rekursive
Erkundung keine Partitionen einschließt, die diese ihre eigenen
Datei-Überblicke haben. Beachten Sie bitte außerdem, daß Verzeichnisse
und Dateien mit Unterobjekten im Baum des Falldaten-Fensters auch
weiterhin nur für Volumes, nicht für physische Datenträger angezeigt
werden.
-
Die Initialen des Nutzers, der im
Disk-/Partitions-/Volume-Modus manuell eine Datei gecarvt hat, werden
jetzt optional hinter dem Dateinamen in eckigen Klammern angezeigt,
genau wie für andere selbst definierte Dateien (angehängte Dateien
oder manuelle Ausschnitte).
-
Beim Anhängen externer Dateien per Kontextmenü des
Falls an ihre jeweils entsprechenden Originale, wie von der eindeutigen ID
identifiziert (z. B. nach deren Entschlüsselung, Konvertierung, Übersetzung, ...),
erhalten Sie jetzt vier Möglichkeiten: 1) die angehängte Datei kann das
Unterobjekt der Original-Datei werden (wie bisher) oder 2) die
angehängte Datei kann ein Geschwister der Original-Datei werden (nebeneinander
im selben Verzeichnis angezeigt) oder 3) die angehängte Datei kann die
Original-Datei ersetzen (die Original-Datei nicht mehr vorhanden) oder 4)
die angehängte Datei kann das Original ersetzen und die Original-Datei kann
ein Unterobjekt der neuen Datei werden, falls weiterhin benötigt. Sie
können die Anhängemethode für normale Dateien und E-Mail-Anhänge separat
festlegen. Die drei neuen Methoden sind insbesondere für E-Mail-Anhänge
nützlich, da nur die direkten Unterobjekte von .eml-Dateien beim
Wiederherstellen/Kopieren in ihre Eltern-.eml-Dateien eingebettet werden.
Wenn Sie also die entschlüsselte/konvertierte/übersetzte Version eines
Anhangs in die .eml-Datei eingebettet haben möchten, sollte diese Version
nicht wie in früheren Versionen das Unter-Unterobjekt werden. Wenn Sie sowohl
das Original als auch die neue Version eingebettet haben möchten, machen Sie
diese Geschwister. Sofern Sie das Original gar nicht eingebettet haben
möchten, ersetzen Sie es entweder komplett oder erhalten Sie es lediglich
als Unterobjekt der neuen Version (d.h. als Unter-Unterobjekt der .eml-Datei).
-
Es gibt jetzt eine Datei-Überblick-Option zur schrittweisen
Vervollständigung des Datei-Überblicks, wenn eine Verzeichnisauflistung des
Betriebssystems als Asservat verwendet wird (wenn Sie ein Verzeichnis zu Ihrem
Fall hinzufügen). Wenn ausgewählt, enthält der Datei-Überblick zunächst nur
die Inhalte des obersten Verzeichnisses und wird nur bei Bedarf schrittweise
weiter vervollständigt, wenn Sie manuell in Unterverzeichnisse navigieren.
Dies ist genau, wie der Windows Explorer/Datei Explorer in Windows funktioniert,
und nützlich, wenn man mit langsamen und großen Netzlaufwerken arbeitet, deren
vollständiger Scan vorab sehr lange dauern würde. Dies ist allerdings ganz
anders als der normale Ansatz in X-Ways Forensics und wird natürlich verhindern,
daß Sie beim rekursiven Erkunden eine vollständige Auflistung aller Dateien
erhalten, einfach, weil es keine Garantie gibt, daß bereits alle Dateien in
den Datei-Überblick übernommen wurden, bis Sie alle Unterverzeichnisse
erkundet haben. Sollten Sie zu irgendeiner Zeit entscheiden, die Inhalte eines
bestimmten Verzeichnisses rekursiv in den Datei-Überblick übernehmen zu wollen,
können Sie den Befehl "Alles aufklappen" im Kontextmenü des Falldaten-Fensters
(per Rechtsklick auf das Verzeichnis) verwenden, oder die Option, den
Datei-Überblick bei Bedarf zu vervollständigen, deselektieren und dann das
Verzeichnis erkunden. Bitte erinnern Sie sich daran, daß der bequemste Weg,
einen gesamten Unterbaum aufzuklappen, durch Klick auf seine Wurzel und
Drücken der Multiplikationstaste auf dem numerischen Teil der Tastatur zu
erreichen ist (Standard-Feature in Windows).
-
Ein neues Flag "y" für die Signatur-Suche, das
Dateitypen kennzeichnet, von denen bekannt ist, daß sie intern Verschlüsselung
verwenden, was ermöglicht, gecarvte Dateien dieser Typen in der Attr.-Spalte
mit "e!" zu kennzeichnen.
PhotoDNA
-
Beim Importieren von PhotoDNA-Hash-Sets oder wenn Sie
selbst PhotoDNA-Hash-Sets erzeugen, werden die neuen Einträge mit bereits
vorhandenen mit exakt derselben (Un-)Genauigkeit verglichen, die auch bei
der Auswertung verwendet wird. Dies kann bei möglichen Umkategorisierungen
bestehender Einträge wichtig sein. Der Vorteil des ungenauen Abgleiches ist,
daß Sie die Kategorie bestimmter Einträge, deren ursprüngliche
Kategorisierung von fremden Quellen (z. B. Project Vic) stammt, anpassen
können, was unter Umständen wegen unterschiedlicher Gesetzgebung oder
Rechtslage in Ihrem Land oder schlicht wegen ursprünglicher Kategorisierungsfehler
oder unterschiedlicher Interpretation notwendig sein kann, sofern Sie
Varianten derselben Bilder in Ihrer Sammlung haben (nicht notwendigerweise
die exakt selben Dateien). Allerdings, ob die neuen Einträge ebenfalls
zur Datenbank hinzugefügt werden, zusätzlich zu den ähnlichen, bestehenden
Einträgen, hängt weiterhin vom bisherigen, relativ strengen Grenzwert ab
(strenger als die Bedingung für die Rekategorisierung existierender
Einträge).
-
Sie können jetzt im Verzeichnis-Browser sehen, ob es
Treffer für mehr als eine PhotoDNA-Kategorie für ein bestimmtes Bild gibt.
Dies wurde dank der vorgenannten Verbesserung weniger wahrscheinlich, aber
in denjenigen raren Fällen, in denen es vorkommt, kann dieser Hinweis sehr
wichtig nachzuverfolgen sein. Sofern Treffer mit verschiedenen Kategorien
vorhanden sind, wird der Name der Kategorie mit der genauesten Übereinstimmung
angezeigt (wie bisher), jetzt gefolgt von einem Komma und einem
Auslassungszeichen. Außerdem können Sie jetzt nach Bildern, die in mehr als
einer Kategorie gefunden wurden, filtern lassen.
Solche Bilder verdienen ggf. soviel Aufmerksamkeit wie Duplikate in
herkömmlichen Hash-Datenbanken, die gleichzeitig als "irrelevant"
und "verdächtig" klassifiziert sind, und sind üblicherweise das
Ergebnis einer inkonsistent befüllten Datenbank, z. B. versehentliche
Fehlkategorisierung oder korrekte Kategorisierung durch Nutzer mit
unterschiedlichen Gesetzeslagen, etc. Falls die für das Bild ausgegebene
beste zutreffende Kategorie in Ihren Augen falsch ist, können Sie dies
dadurch beheben, daß Sie erneut ein Hash-Set für dieses Bild zur
PhotoDNA-Datenbank hinzufügen, unter Angabe der korrekten Kategorie.
-
Für Bilder, für die mindestens ein PhotoDNA-Hash-Wert
im Datei-Überblick gespeichert ist, wird ein stilisiertes P in der
Analyse-Spalte angezeigt.
-
Der PhotoDNA-Hash-Wert eines Bildes, falls im
Datei-Überblick gespeichert, kann jetzt im Detail-Modus eingesehen
werden.
Suchfunktionen
-
Fähigkeit, Suchtreffer mit dem grünen Gitter-Icon zur
Ausgabe im Bericht zu kennzeichnen, mittels eines neuen Befehls im
Kontextmenü der Suchtrefferliste. Wenn eine Datei mit einer Berichtstabelle
verknüpft ist und die Berichtstabelle in einem Bericht ausgegeben wird und
die Datei Suchtreffer enthält, die vom Benutzer zur Ausgabe im Bericht
vorgesehen worden sind, dann wird der Kontext dieser Suchtreffer unter der Auflistung dieser
Datei angezeigt. Aufnahme in den Bericht und die Kennzeichnung als wichtig
sind zwei verschiedene Eigenschaften eines Suchtreffers. Sie können nach
beiden Eigenschaften über den Filter der Suchtreffer-Spalte filtern lassen.
Sog. Eigene Suchtreffer (vom Benutzer manuell definierte
Suctreffer) können natürlich genauso im Bericht
ausgegeben werden. Das bedeutet, Sie können jeden Teil einer Datei im
Datei-Modus auswählen, als Eigenen Suchtreffer hinzufügen und
dann diesen Teil automatisch im Fallbericht zitiert bekommen.
-
Maximale Länge der einfachen Suchen- und Ersetzen-Funktionen erweitert von 50 auf 100 Bytes.
Bedienbarkeit und Benutzeroberfläche
-
Rollen im Kalender-Modus aktualisiert die Ansicht
jetzt sofort. Das Mausrad kann nun im Kalendermodus zum horizontalen Rollen zu
verwenden. Der Kalender zeigt jetzt keine Jahre mehr an, die mehr als
ein Jahr in der Zukunft liegen, selbst, wenn weit entfernt liegende
Müll-Zeitstempel im Verzeichnis-Browser oder der Ereignisliste angezeigt
werden. Dies dient dazu, die angezeigte Zeitspanne kompakter zu halten.
-
Die Auflistung des Stammverzeichnisses eines Volumes
im Verzeichnis-Browser im Stammerverzeichnis selbst ist etwas unlogisch,
kann aber sehr hilfreich sein, um die Zeitstempel (sofern vorhanden, je
nach Dateisystem) dieses Verzeichnisses zu sehen, oder um schnell zu den
Clustern des Verzeichnisses zu navigieren (sofern vorhanden, ebenfalls dateisystemabhängig), oder als weiterer Ort,
an dem man schnell
alle Objekte des Volumes markieren oder entmarkieren kann. Ob das
Stammverzeichnis angezeigt wird, hängt jetzt nicht mehr vom Dateisystem
ab, sondern kann in den Verzeichnis-Browser-Optionen vom Benutzer festgelegt
werden.
-
Eine weitere neue Verzeichnis-Browser-Einstellung macht
die Anzeige der internen Dateien des Dateisystems im normalen Verzeichnis-Browser
optional. Dies betrifft z. B. die diversen $*-Dateien in NTFS. Insbesondere in
X-Ways Investigator werden diese Dateien nicht mehr angezeigt, da diese für
nicht-technische Ermittler (die Zielgruppe von X-Ways Investigator) ohne
Bedeutung sind und Verwirrung stiften könnten, weil Benutzer normaler Computer-Programme mit diesen Dateien nicht vertraut sind.
-
Es gibt jetzt eine zweite Gruppierungsoption für den
Befehl Wiederherstellen/Kopieren. Das bedeutet, Sie können jetzt nach zwei
beliebigen der bereits bekannten Aspekte gleichzeitig gruppieren lassen,
z. B. zunächst nach Löschzustand und dann nach Typ, oder zuerst nach
Berichtstabelle und dann nach Dateityp-Kategorie.
-
Die Dateinamenserweiterung eines Original-Images (ein Image
des Beschuldigten, das in einem Asservat gefunden und dem Fall hinzugefügt
wurde, z. B. VMDK, VHD, VDI, ISO) wird aus dem Titel des Asservats nicht mehr
entfernt, so daß Sie es überall in der Benutzeroberfläche sehen können und den
Kontext besser verstehen, wenn in einem solchen Image relevante Dateien
gefunden werden.
-
Ausschnitte werden jetzt mit einer Schere im Icon gekennzeichnet.
-
Dateien, für die nur Metadaten vorhanden sind (Datei-Inhalt
unbekannt) haben jetzt ein Icon mit weißem Inneren.
-
Fähigkeit, alle Dateitypen für die Datei-Header-Signatur-Suche
mit einem einzelnen Mausklick aus- bzw. abzuwählen.
Verschiedenes
-
Das Setup-Programm wurde überarbeitet.
-
Viele kleinere Verbesserungen.
-
Einige kleine Fixes.
-
Die Programmhilfe und das Benutzerhandbuch wurden für v18.6
aktualisiert.
Änderungen der Service-Releases von v18.5:
-
SR-1: Das Öffnen des gesamten Speichers eines
laufenden Prozesses hat in der 32-bit-Edition seit v18.4 nicht mehr
funktioniert. Dies wurde korrigiert.
-
SR-1: Die sich wiederholende Fehlermeldung "Ungültige Datei", die
einige Nutzer während der Erweiterung des Datei-Überblicks erhalten
hatten, gehört jetzt der Vergangenheit an. (Für diejenigen, die dachten, daß der einzige Weg,
sie loszuwerden, wäre, X-Ways Forensics über den Windows Task Manager zu schließen, seien Sie bitte daran erinnert, daß Sie
länger andauernde Operationen wie das Erweitern
des Datei-Überblicks durch Klick auf das "x" in der oberen rechten
Ecke des Fortschrittsanzeigefensters beenden können.)
-
SR-1: Eine möglicherweise unvollständige Ausgabe
des Befehls Liste exportieren mit der Zwischenablagen-Option in
Abhängigkeit von der (unsichtbaren) Option "Max. lines per file"
wurde behoben.
-
SR-2: Ein Ausnahmefehler wurde behoben, der beim Abgleich
von Dateien mit der FuzZyDoc-Hash-Datenbank auftreten konnte.
-
SR-2: Eine Endlosschleife wurde verhindert, die beim
Carven bestimmter, seltener, defekter ZIP-Archive auftreten konnte.
-
SR-2: Unnötige Zeilenumbrüche in der Metadaten-Spalte
verhindert.
-
SR-2: Einige unerwünschte Sonderzeichen in Registry-Berichten
für Windows 10 System Hives, die mit der 64-bit-Edition erzeugt wurden, wurden
verhindert.
-
SR-3: Bei der Suche in Dateien, die durch das Betriebssystem
geöffnet wurden (durch Ihren eigenen Laufwerksbuchstaben), wenn auch deren
Verzeichnis-Browser-Zellen durchsucht wurden, mit GREP syntax, ohne überlappende
Treffer zuzulassen, wenn es in einer Verzeichnis-Browser-Zelle einen Treffer
gab, wurden zusätzliche Treffer in den Inhalten der Datei ignoriert. Dieser
Fehler wurde behoben.
-
SR-3: Die rohe Base64 zu binär Konvertierungsfunktion ignoriert
jetzt auch Leerzeichen und Tabulatoren, zusätzlich zu Zeilenumbrüchen.
-
SR-3: Ein seltener Ausnahmefehler wurde behoben, der beim Einsehen
einer Ext* .journal-Datei auftreten konnte.
-
SR-3: Russische und chinesische Übersetzung der
Nutzeroberfläche aktualisiert.
-
SR-3: Ein Formatierungsfehler in der Metadaten-Extraktion des
vorigen Release wurde behoben.
-
SR-4: Richtige Typ-Anzeige und Dateityp-Behandlung für Dateien,
die aus dem unpartitionierten Bereich physischer Datenträger gecarvt wurden.
-
SR-4: Andere Sektorgrößen als 512 Bytes unterstützt für
Ext-Dateisysteme.
-
SR-4: Die Auslassung von Dateisystem-Zeitstempeln für
bestimmte Dateien ohne Dateiinhalte in der Ereignisliste wurde korrigiert.
-
SR-5: v18.5 hat bestimmte Verzeichnisse in exFAT-Volumes
unvollständig geparst. Dies wurde korrigiert.
-
SR-6: Ein Fehler wurde behoben, der bei der Interpretation
von Images auftreten konnte, die in anderen Images oder Datenträgern gespeichert
waren, ohne sie vorher aus dem Image oder Datenträger heraus zu kopieren.
-
SR-6: Ein seltener Fehler wurde behoben, der bei der
Extraktion von E-Mails aus Outlook Express DBX-Dateien auftreten konnte.
-
SR-6: Die Unfähigkeit, die Zelltexte von Ereignissen
anzuzeigen, die zu gar keiner Datei gehören, wurde korrigiert.
-
SR-6: Bestimmte Vorkommnisse der Fehlermeldung
"The viewer component does not accept your path for temporary files" in
v18.5 wurden verhindert.
-
SR-7: Unterstützt jetzt eine Pfadlänge von 255 Zeichen
für das Temp-Verzeichnis der Viewer-Komponente sofern der Pfad aus reinen
ANSI-Codepage-Zeichen besteht. Sofern zumindest ein echtes Unicode-Zeichen
im Pfad vorhanden ist, beträgt das Limit 127 Zeichen. In v18.4 und früher
war das Limit 255 ANSI-Codepage-Zeichen und echte Unicode-Zeichen waren
nicht erlaubt. In v18.5 vor SR-7 war das Limit 127 Zeichen und Unicode-Zeichen
waren erlaubt.
-
SR-7: Die Verarbeitung von MSG-Dateien wurde leicht überarbeitet.
-
SR-7: Für JPEG-Bilder, die als zu beschädigt
gelten, z. B. derart abgeschnitten, daß mehr als 50% fehlen, werden
keine Hautfarbanteile oder PhotoDNA-Hash-Werte mehr berechnet.
-
SR-7: PhotoDNA-Hash-Werte werden im Datei-Überblick
zu erneuten Abgleichs- oder Duplikaterkennungszwecken jetzt auch für
triviale einfarbige Bilder gespeichert.
-
SR-8: PDF-Datei-Carving-Probleme in v18.5 behoben.
-
SR-8: Ein seltener Ausnahmefehler wurde behoben, der
in aktuelleren Versionen beim Öffnen des virtuellen Speichers anderer
Prozesse auftreten konnte.
-
SR-8: v18.5 hat manuell gecarvte Dateien nicht tatsächlich
den ausgewählten Berichtstabellen hinzugefügt, falls gewünscht. Dies wurde
korrigiert.
-
SR-8: Die Umbenennung von Suchbegriffen hat nicht immer
korrekt funktioniert, in Abhängigkeit von der angezeigten Reihenfolge der
Suchbegriffe. Dies wurde korrigiert.
-
SR-9: Erheblich reduzierter freier Speicherbedarf für die
Interpretation verschachtelter Images.
-
SR-9: Die Tabelle "Partitions by
disk signature" war im Registry-Bericht der 64-Bit-Edition
gelegentlich beschädigt. Das wurde korrigiert.
-
SR-9: Ein Ausnahmefehler wurde behoben, der beim Sortieren der
Block-Hash-Treffer nach der Suchtreffer-Spalte auftreten konnte.
-
SR-9: Die Formatvariante "Xtra Atom" wurde bereits
für das Carven von F4V-Videos unterstützt, jetzt auch für MP4.
-
SR-9: Eine mögliche Instabilität bei defekten SketchUp-Dateien
wurde korrigiert.
Viewer-Komponente
Oracle hat ein "Critical Patch Update" für die
Versionen 8.5.2,
8.5.1 und v8.5.0 oder Viewer-Komponente herausgegeben. Die aktualisierten
Versionen sind seit dem 25.10.2015 von unserem Web-Server herunterladbar.
Sie sind wahrscheinlich aus Sicherheitsgründen empfehlenswert. Dieses Mal
ist es aber schwer zu sagen, was genau tatsächlich gefixt wurde, weil
mehrere DLLs für allgemeine Zwecke betroffen sind. Andere geänderte DLLs
stellen Unterstützung für Dateien der Typen PDF, TGA, PDX und WK4
bereit.
Oracles Beschreibung des Updates beginnt wie üblich mit einer
sehr vielversprechenden Überschrift, aber ist ansonsten nicht sehr
erhellend:
What this Update Fixes: October 2015 Critical Patch Update for Outside In This patch is the initial Outside In 8.5.2 Critical Patch Update
Wir hoffen, Sie bald wieder auf
http://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie diesen Newsletter
an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit
weiteren E-Mail-Adressen)
hier. Vielen Dank.
Freundliche Grüße
Stefan Fleischmann
--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde |