| #155: WinHex, X-Ways
Forensics und X-Ways Investigator 19.3 veröffentlicht
16. Juni 2017 |
In dieser Ausgabe des Newsletters informieren wir Sie
über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version
19.3. Erscheinungsdatum war der 14. Juni 2017. (Die Übersetzung ist ganz
schön zeitaufwendig.)
Evaluationsversion von WinHex:
http://www.x-ways.net/winhex.zip
(korrekte Download-Adresse auch für Benutzer mit einer privaten,
professionellen oder Specialist-Lizenz)
Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter
http://www.x-ways.net/winhex/license-d.html. Wenn Ihre
Update-Berechtigung oder Lizenz abgelaufen ist, erhalten von dort Angebote
zu Upgrades bzw. Lizenzverlängerungen.
Wenn Sie an Informationen über Service-Releases interessiert sind, wenn
diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des
Forums einsehen und sich bei noch aktiver
Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie:
Wenn Sie vorerst bei einer älteren Version
bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte
Service-Release der betreffenden Version verwenden. Ja, wirklich.
Schulungstermine
Köln,
20.-23. Juni
Köln,
9.-12. Oktober
Termine im Ausland
Wenn wir Sie über weitere Termine informieren dürfen,
geben Sie bitte hier
Ihre E-Mail-Adresse ein.
Was ist neu in v19.3?
(Bitte beachten
Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
Dateisystem-Unterstützung
-
Wenn die Datei-Header-Signatur-Suche in Volumes mit
einem unterstützten Dateisystem außer Ext2/Ext3 den Anfang einer Datei
im freien Speicher findet, an einer Cluster-Grenze, wird nun
standardmäßig angenommen, daß die zugehörigen Daten um potentiell folgende im
Dateisystem als belegt markierte (allozierte) Cluster umfließen. Diese
Vorgehensweise rekonstruiert Dateien korrekt, die zeitlich nach anderen
Dateien und um diese herum gespeichert wurden, und dann gelöscht wurden,
sofern die dabei freigegebenen Cluster anschließend nicht nochmal
wiederverwendet und überschrieben wurde. Um dieses neue Verhalten zu
verhindern, also dasselbe Verhalten wie in früheren Versionen zu
erzielen, können Sie die neue Option „Dateien in freien Clustern
allokationsavers ausgliedern“ abwählen. Diese Option greift
nur in dem Moment, in dem Dateien dem Datei-Überblick hinzugefügt
werden, nicht rückwirkend für bereits zuvor hinzugefügt Dateien.
Dateien, die auf diese Weise rein aus freiem Speicher ausgegliedert wurden, behalten
ihren beim Hinzufügen zum Datei-Überblick vermuteten Speicherort bei,
auch wenn der Status dieser Option nachträglich (beim nächsten
Durchlauf) geändert wird. Allerdings verstehen ältere Versionen von X-Ways Forensics
die neue Annahme über den Speicherort nicht und würden solche Dateien
normal als zusammenhängend gespeicherte Dateien behandeln, wenn sie
denselben Datei-Überblick laden.
-
Extras | Disk-Tools | Dateien retten nach Typ bietet
dieselbe neue Cluster-Zuweisungslogik an.
-
Wenn die Dateisignaturdefinition mit dem stark
gierigen Flag (großes "G") versehen wurde, wird nur das erste
Teilstück/Fragment einer allokationsavers ausgegliederten Datei im
Fortgang der Datei-Header-Signatur-Suche übersprungen. Das "h"-Flag
für den Ausschluß des Headers aus einer ausgegliederten Datei verhindert
die Anwendung der neuen Logik für den jeweiligen Dateityp.
-
Dieselbe Cluster-Zuweisungslogik, die belegte Cluster
umschifft, wird nun standardmäßig auch angewandt auf gelöschte Dateien
in Datei-Überblicken der Dateisysteme FAT12,
FAT16, FAT32 und exFAT, sofern nicht unter Optionen |
Datei-Überblick ausgeschaltet. Das bedeutet, daß die Daten von
gelöschten Dateien in FAT nicht mehr immer als physisch zusammenhängend
angenommen werden, sondern es wird angenommen, daß so viele freie
Cluster vom Anfangscluster an zugehörig sind wie nötig, um die bekannte
Dateigröße zu unterfüttern, wobei die im Dateisystem als von anderen
Dateien belegt markierte Cluster übersprungen werden. Wenn dabei das
Ende des Volumes erreicht wird, wird der nächste freie Cluster vom
Anfang des Volumes an gesehen als nächstes zugeordnet. Dies ahmt die in
typischen FAT32-Dateisystemtreibern eingebaute Logik nach, die bei der
Suche nach belegbaren Clustern durch ein Volume rotieren und sich dazu
sogar über längere Zeiträume hinweg den zuletzt belegten Cluster merken.
Diese Option des Datei-Überblicks ändert auch rückwirkend die Annahme
über den Speicherort von bereits im Datei-Überblick enthaltenen
gelöschten Dateien, so daß eine Änderung des Status dieser Option auch
eine Änderung des Hash-Werte betroffener Dateien mit sich bringt, sofern
diese neu berechnet werden.
-
Deutlich verbesserte Fähigkeit, gelöschte Dateien und
Unterverzeichnisse in FAT32-Volumes korrekt wiederherzustellen (den
Anfangscluster betreffend, nur in neu eingelesenen Datei-Überblicken).
-
Der Datei-Modus bietet nun einen "rohen"
Untermodus für NTFS-komprimierte Dateien an. In diesem Roh-Modus können
Sie die tatsächlichen komprimierten Daten incl. Sparse-Cluster sehen,
genau wie laut Dateisystem gespeichert, nicht den dekomprimierten
Zustand der Datei. Das kann nützlich sein für Forschungs- und
Lernzwecke und weil theoretisch kleine Mengen von Daten manuell
in den in ihrer Größe nicht explizit definierten, aber implizit existierenden
Schlupfbereichen jeder einzelnen Kompressionseinheit versteckt worden
sein könnten, im Anschluß an die jeweiligen komprimierten Nutzdaten.
-
Die Anzahl der Fehlerkennungen bei der Suche nach
gelöschten Ext3-/Ext4-Partitionen wurde deutlich gesenkt.
-
Die interne Funktionsweise des Befehls "Cluster
auflisten" im Verzeichnis-Browser-Kontextmenü würde grundlegend
überarbeitet. Der Befehl kann nun auch auf einige "exotischere"
Objekte angewandt werden, die bisher nicht dafür geeignet waren,
darunter bestimmte eingebettete Dateien, bestimmte Dateisystembereiche
und aus Sektoren ausgegliederte Dateien, um deren vom Programm
angenommenen Speicherort besser nachvollziehen zu können, gerade auch im
Hinblick auf die Wirkung der zuvor erwähnten neuen Optionen für die
Cluster-Zuweisung. Der Befehl gibt automatisch Sektor- statt
Cluster-Nummern aus für Objekte, die nicht an Cluster-Grenzen
ausgerichtet sind. Er gibt die Gesamtzahl von Clustern und Sektoren nun
auch dann aus, wenn zusammenhängende Cluster-Abschnitte in der
optionalen kompakten Darstellungsweise ausgegeben werden. Wenn sie in
eine Textdatei exportiert werden, wird die Textdatei nun im Anschluß
automatisch in bevorzugten Texteditor geöffnet.
-
Die Datei-Überblicks-Optionen sind nun klarer
strukturiert und aufgeteilt in dateisystemspezifische Einstellungen und
dateisystemunabhängige Einstellungen.
-
Es gibt eine neue Datei-Überblicks-Option, die dafür
sorgt, daß X-Ways Forensics etwaige nicht initialisierte Bereiche am
Ende von Dateien (wenn die sog. gültige Datenlänge kleiner ist als die
logische Dateigröße) in Form von binären Nullen liest anstelle der Daten,
die in den tatsächlich belegten Clustern gespeichert sind. Das ahmt das
Verhalten von Windows nach, wenn gewöhnliche Wald-und-Wiesen-Programme
(d. h. nicht auf Sektorebene operierende Computerforensik-Programme)
Dateien über das Betriebssystem öffnen und lesen statt direkt aus den
Sektoren des Datenträgers. Nützlich z. B., um
Hash-Kompatibilität mit solchen anderen Programmen zu erreichen. Diese
neue Option hat wohlgemerkt ausdrücklich keine Auswirkung auf die Leseoperationen
für die logische Suche, so daß die logische Suche weiterhin mit
forensischer Gründlichkeit arbeitet, d. h. belegte, aber nicht
initialisierte Cluster weiterhin durchsucht und nicht etwa ausläßt. Diese Optionen hat
eine sofortige Wirkung auch auf bereits geöffnete Dateien, ab der
nächsten Leseoperation.
Dateiformat-Unterstützung
-
Der Detailsmodus für JPEG-Dateien zeigt nun eine
zusätzliche Tabelle ganz unten an. Diese Tabelle enthält die
Generatorsignatur sowie wie die Verfassung ("condition") der
Datei. Diese kann entweder "incomplete" sein (wenn die Datei
abgeschnitten wurde) oder "trailing data" (wenn überschüssige
Daten hinter dem Ende der JPEG-Daten zu finden sind) oder in einigen
Fällen "original" (wenn eine Datei mit großer Sicherheit in
einem unberührten Zustand vorliegt). "Original" basiert auf
der Anwesenheit von Thumbnails, der Abwesenheit von
Farbkorrekturzertifikaten, dem Nichtvorhandensein von
nicht-ursprünglichen Metadaten wie XMP, Zeitstempeln, der Abwesenheit
von Hinterlassenschaften (Artefakten) bekannter
Bildbearbeitungsprogramme und der Abwesenheit der Erkennung einer
Bildgrößenänderung.
-
Verbesserte Erkennung von eingescannten Bildern als
solche. Die Liste von Modellbezeichnungen bekannter Scanner kann manuell
erweitert werden im Abschnitt "KnownScanner" der Datei "Generator Signatures.txt".
Die Einbeziehung des Modellnamens kann eine Erkennung von Bildern
verbessern, wenn diese Exif-Daten enthalten oder bearbeitet wurden.
Generell basiert die Erkennung auf 1. Generatorsignatur, 2. allgemeinen
Eigenschaften der Exif-Daten (FileSource, Density, ...) und 3. der KnownScanner-Liste.
-
Verbesserte Erkennung von Bildschirmfotos im JPEG-Format.
-
Erkennung von JPEG-Dateien, die von Twitter erzeugt
wurden, basierend auf ihrer Generatorsignatur.
-
Das Testen von Paßwörtern in der Paßwortsammlung für
die Erkundung verschlüsselter Datei-Archive ist jetzt gründlicher, so
daß einige seltene bisher zu Unrecht für korrekt erachtete Paßwörter
jetzt nicht mehr zu vermeintlichen Treffern führen.
-
Ein seltener Ausnahmefehler wurde behoben, der im
Zusammenhang mit verschlüsselten RAR-Archiven auftreten konnte. Ein
weiterer seltener Ausnahmefehler bei der Behandlung von Datei-Archiven
wurde behoben.
-
RAR-Hybrid-Dateien erhalten nun automatisch ein
Unterobjekt namens "Trailing data", so daß keine Anstrengung
auf Seiten des Benutzers erforderlich ist, um auf die versteckten Daten
zuzugreifen.
-
Es werden nun eingebettete Daten in einigen weiteren .vcf-Dateien
gefunden.
-
Ein neuer Carving-Algorithmus mit der Nummer ~109
wurde für die Wiederherstellung von Blu-ray-Videos eingebaut.
-
Die Signatur von Google Analytics wurde von der
Rubrik "Special
Interest" verschoben nach "Internet", da sie sich als
recht nützlich erwiesen haben zum Sammeln von Web-Browsing-Ereignissen.
-
Die Beschreibungspalte von Ereignissen der Art UserAssist-Programmausführung
enthält nun den Klartext nach ROT13-Decodierung.
-
Fähigkeit, Image-Dateien innerhalb von TAR-Archiven
als Datenträger zu interpretieren, ohne diese zuerst
herauskopieren/extrahieren zu müssen. Das ist hilfreich für VMDK-Images
(Festplatten in virtuellen Maschinen) in OVA-Dateien (Open Virtualization
Archives im
TAR-Format).
-
Fähigkeit, Metadaten aus einigen neuen
PDF-Formatvarianten zu extrahieren. Die PDF-Metadaten-Extraktion wurde
generell überarbeitet.
-
Das Präfix "Reporting::" wurde in den Generatorsignatur-Definitionen
eingefügt, so daß man leichter filtern kann nach PDF-Dateien, die
erkennbar Berichts- oder Abrechnungszwecken dienen (Kontoauszüge,
Kreditkartenabrechnungen u. ä.).
-
Erkennung von eingescannten PDF-Dokumenten als solche
weiter verbessert.
-
Unterschiedliche Empfängerarten von E-Mails (To:, Cc:
und
Bcc:, sofern vorhanden) werden nun klarer voneinander getrennt
dargestellt, in der Empfängerspalte und in der alternativen
.eml-Vorschau.
-
Empfänger der Arten Cc: und Bcc: werden nun auch für
MSG-E-Mail-Dateien von To:-Empfängern unterschieden.
Zeitstempel
-
In den Eigenschaften von Asservaten mit einem FAT-Dateisystem
können Sie nun auf Wunsch definieren, welche Zeitzone den in Ortszeit
gespeicherten Zeitstempeln in dem jeweiligen Dateisystem zugrundeliegt, sofern
Sie davon eine konkrete Vorstellung haben. Die Zeitzone hängt ab von den
Einstellungen in dem Computer oder Gerät, der/das in das Dateisystem
geschrieben hat. (Bedenken Sie, daß solche Einstellungen sich im Laufe
der Zeit ändern können und eine einzige Zeitzone u. U. nicht ausreicht,
um alle Zeitstempel korrekt darzustellen.) Wenn Sie den Zeitzonenbezug
definieren, werden Zeitstempel aus der Dateisystemebene gemäß der
gewählten Anzeigezeitzone dargestellt und nicht mehr basierend auf ihrer
ursprünglichen Zeitzone. Sie werden intern von Ortzeit nach UTC
umgerechnet (gemäß dem von Ihnen angegebenen Zeitzonenbezug) und dann
von UTC in die Anzeigezeitzone. Dies geschieht dynamisch in dem Augenblick, in dem
die Zeitstempel angezeigt werden. Die Wirkung ist nicht dauerhaft; die
Einstellungen zum Zeitzonenbezug können jederzeit wieder geändert
werden. Die Definition eines Zeitzonenbezugs geht verloren, wenn ein
Fall in Versionen vor v19.3 geöffnet werden.
-
Beim Kopieren von Dateien aus FAT-Dateisystemen in
einen Datei-Container werden die direkt aus dem Dateisystem stammenden
Zeitstempel gekennzeichnet als auf einer unbekannten lokalen Zeitzone
basierend, so daß sie nicht umgerechnet werden in eine bestimmte
Anzeigezeitzone, wenn den Container jemand in der Zukunft begutachtet.
Wenn Sie hingegen sicher sind, welches die ursprüngliche Zeitzone war
und dies als Zeitzonenbezug im Quellasservat definieren, werden die
Zeitstempel darauf basierend für die Ablage im Container nach UTC
umgerechnet und im Container permanent als UTC-Zeitstempel gekennzeichnet. In
diesem Zustand werden die Zeitstempel später je nach gewählter
Anzeigezeitzone bei der Darstellung auf dem Bildschirm umgerechnet, auch
wenn Sie später Ihrer Meinung revidieren sollten und im Quellasservat
den Zeitzonenbezug wieder ändern. Denn der Datei-Container ist in sich
abgeschlossen und hat keine aktive Verbindung mehr zum Quellasservat,
sobald die Dateien kopiert wurden.
-
Der rechts neben Zeitstempeln im Verzeichnis-Browser
angezeigte Hinweis zur Umrechnung von UTC in die Anzeige-Zeitzone (die
Anzahl der zu UTC addierten oder von UTC subtrahierten Stunden) ist nun
im Tooltip dieser Zellen enthalten.
-
Die Konsistenz der Zeitstempeldarstellung und die
Unicode-Fähigkeit der Notation wurde an einigen wenigen Stellen in der
Benutzeroberfläche und im Fallbericht und Fallprotokoll verbessert.
-
Da die Anzahl der vom Kalender darstellbaren Jahre
begrenzt ist, könnten kaputte Zeitstempel, die in der fernen
Vergangenheit liegen, Sie der Möglichkeit berauben, die späteren Jahre,
die Sie wirklich interessieren, zu sehen. wenn Sie keinen Filter setzen
und Ereignisse mit Nonsens-Zeitstempeln nicht kurzerhand löschen. Es läßt
sich aber nun auch ein Mindestjahr einstellen, ab dem Zeitstempel vom
Kalender dargestellt werden. Alle früheren Zeitstempel werden dann vom
Kalender ignoriert, selbst wenn kein Filter aktiv ist. Standardmäßig ist
das Mindestjahr das Jahr 2000. Um das zu ändern, klicken Sie die
Jahreszahl des ersten angezeigten Jahres links im Kalendermodus an.
-
Der Daten-Dolmetscher und Schablonen können nun
FILETIME-Zeitstempel mit einer Genauigkeit von Millisekunden anzeigen und
auch ändern, in Abhängigkeit der Einstellung in Optionen | Notation.
-
Zeitstempel von Dateien aus Verzeichnis-Auflistungen
des Betriebssystems (im Programm kurz als Pseudodateisystem „OS dir
list“ benannt), incl. solche zu entfernten Netzlaufwerken, werden nun
auch mit höherer Genauigkeit angezeigt.
-
Anzeige von internen Erzeugungszeitstempeln im
Verzeichnis-Browser mit Millisekunden-Genauigkeit, sofern verfügbar.
Suche
-
Die Option „Nur ganze Wörter” der Parallelen Suche
funktioniert mit einem benutzerdefinierten Alphabet von Zeichen, aus
denen Wörter in der Sprache des Benutzers zusammengesetzt sind, um zu
erkennen, was ein Wort ist und wo dessen Grenzen liegen. In früheren
Versionen wurde nur ein Alphabet mit Zeichen aus der Codepage Lateinisch
I unterstützt (für alle westeuropäischen Sprachen). Jetzt kann ein
weiteres Alphabet definiert werden für Buchstaben bestimmter anderer
Sprachen. Wenn aktiviert, wird dieses Alphabet angewandt auf Suchen in
UTF-16 und Suchen in regionalen ANSI/OEM/IBM/ISO/Mac-Codepages mit 1
Byte pro Zeichen wie Kyrillisch, Griechisch, Türkisch, Arabisch,
Hebräisch, Vietnamesich und diverse mittel-, ost- und südosteuropäischen
Sprachen. Das kyrillische Alphabet ist dabei vordefiniert und umfaßt
gleichzeitig sowohl die in Rußland als auch die in der Ukraine gängigen
Buchstaben.
-
Möglichkeit, Wörter zu indexieren, die Zeichen mit
besonderer GREP-Bedeutung enthalten, wie #.?()[]{}\*, ohne sie zu
maskieren, sowohl mit dem "range:"-Präfix als auch ohne.
-
Manuelle Verlagerungen und Größenänderungen von
Suchtreffern (manchmal benötigt für technische Suchen nach
Datensatzsignaturen o. ä., eher nicht für Suchtreffer zu
natürlichsprachlichen Stichwörtern) über das Kontextmenü dürfen jetzt 32.767 Bytes
überschreiten (bis zu 2.147.483.647 in beide Richtungen unterstützt).
Was einen damit verwandten Befehl im Verzeichnis-Browser-Kontextmenü
betrifft, die Größe von aus Sektoren ausgegliederten Dateien kann nun
manuell als absolute Zahl angegeben werden statt zuvor nur als relative
Änderung der bisherigen Größe. Die maximale Größe dabei beträgt 4.294.967.295
Bytes.
-
Möglichkeit, die einfachen Suchfunktionen „Text
suchen“ und „Hex-Werte suchen“ mit der Option „Treffer auflisten“ im
Datei-Modus auch in Asservaten zu verwenden. Die Suchtreffer werden
dabei im allgemeinen Positionsmanager gesammelt.
-
Suchtreffer im allgemeinen Positionmanager werden nun
optional und standardmäßig gelöscht, sobald der Positionsmanager
geschlossen wird, um Verwirrung vorzubeugen, da Positionen im
allgemeinen Positionsmanager keinen Bezug zu einer bestimmten Datei oder
einem bestimmten Datenträger haben, sondern bewußt jeglicher Datenquelle
übergestülpt werden, auf die der Benutzer sie anwendet. Diese neue Option kann
im Kontextmenü des Positionsmanagers gefunden werden.
X-Tensions API
-
The XWF_GetItemType function now allows to find out
the detected file format consistency for a file.
-
The XWF_ShouldStop function now does not only check
whether the user wishes to abort lengthy operations, it also helps to
keep the GUI responsive when the X-Tension is not executed in a separate
worker thread. Calling this function regularly will process mouse and
keyboard input, allow the windows to redraw etc. The user realizes that
the application is not hanging, and potential attempts of the user to
close the progress indicator window will be noticed. Even if you ignore
the result of this function call during lengthy operations conducted by
your X-Tension, you are doing something good already by making the calls
in the first place.
-
The X-Tension function XWF_CreateEvObj can now add
multiple image files to the case with a single function call.
-
New X-Tensions API function XWF_GetHashSetAssocs.
Retrieves the name(s) of the hash set(s) that the specified file is
associated with.
Tastenkürzel
-
Es ist jetzt möglich, bis zu 20 benutzerdefinierte
Tastenkombinationen festzulegen für Befehle im Kontextmenü des
Verzeichnis-Browser und viele sonstige Befehle, in einem Dialogfenster,
das über Optionen | Verzeichnis-Browser zugänglich ist. Derzeit nur in X-Ways Forensics
verfügbar.
Die Tastenkürzel sollen Ihre Produktivität bei immer wiederkehrenden
Standardaktivitäten erhöhen. Nur Tastenkombinationen mit den Tasten Strg, Alt Gr,
Umschalt und Leertaste sind hierbei möglich. Bitte beachten Sie: Wenn
Sie die Leertaste für irgendeine Tastenkombination als Basis festgelegt
haben, kann sie nicht mehr zum Markieren oder Entmarkieren von Objekten
im Verzeichnis-Browser verwendet werden. Die jeweils zweite Taste kann
relativ frei gewählt werden, indem Sie sie einfach dann drücken, wenn das
ausgegraute Editierfeld den Eingabefokus hat. Falls für die Taste Ihrer
Wahl keine menschenlesbare Beschreibung angezeigt wird und Sie später
vergessen, welche Taste Sie sich überhaupt ausgesucht hatten, können Sie den
hexadezimalen Tastaturcode für die Taste immer noch hier nachschlagen:
https://msdn.microsoft.com/en-us/library/windows/desktop/dd375731(v=vs.85).aspx
Die folgenden rd. 80 Codes für Befehle im Kontextmenü des
Verzeichnis-Browsers kommen theoretisch in Frage (nicht alle wurden
getestet) und können als Zahl eingegeben werden:
9800: Mit externem Viewer-Programm Nr. 1 einsehen
9801: Mit externem Viewer-Programm Nr. 2 einsehen
9802: Mit externem Viewer-Programm Nr. 3 einsehen
...
9831: Mit externem Viewer-Programm Nr. 32 einsehen
9919: Dateityp definieren
9920: Zugehörige Datei aufsuchen
9921: Datei-Überblick für ausgewählte Dateien erweitern
9927: X-Tension auf ausgewählte Dateien anwenden
9928: Externe Datei anhängen
9931: Metadaten editieren
9932: Datei von ihrem Elternverzeichnis aus erkundet sehen
9933: Datei vom Stammverzeichnis aus erkundet sehen
9934: Elternobjekt aufsuchen
9935: Logische Suche in ausgewählten Dateien
9937: Externes Verzeichnis anhängen
9938: Sicher löschen
9939: Suchtrefferliste in Richtung eines bestimmten Verzeichnisses
verlassen
9940: Doppelte Treffer in der Liste löschen
9941: Ausgeblendete Objekte auswählen
9942: Kommentar bearbeiten
9944: Einblenden
9945: Markierte Objekte auswählen
9946: Alle außer markierte Objekte ausblenden
9947: Markierte Objekte ausblenden
9948: Zum Container bzw. zur Minimalsicherung hinzufügen
9949: Suchtreffer vergrößern
9950: Suchtreffer verwandeln in aus Sektoren ausgegliederte Datei
9951: Ausgliederte und virtuelle Dateien vergrößern
9952: Suchtreffer einem anderen Suchbegriff zuordnen
9953: Fortlaufende Video-Einzelbildern extrahieren
9954: Suchtreffer in Bericht aufnehmen
9955: Als Laufwerksbuchstabe einbinden (ergibt nur einen Sinn, wenn
genau ein Verzeichnis ausgewählt ist)
9956: Mit bevorzugtem Video-Abspielprogramm ansehen
9957: Mit bevorzugtem HTML-Einsehprogramm einsehen
9958: Mit bevorzugtem Texteditor einsehen
9959: Mit dem in Windows verknüpften Programm öffnen
9960: Eingesehene Objekte auswählen
9961: Mit einem noch zu bestimmenden externen Programm einsehen
9962: Anhand von Hash-Werten erkannte Duplikate entfernen
9963: Objekt anhand von interner ID aufsuchen
9964: Nach Relevanz sortieren
9965: Drucken
9966: Listeneintrag anhand von Positionsnummer aufsuchen
9967: Nicht sortieren
9968: Alles auswählen
9969: Nach dem Hash-Wert der ausgewählten Datei filtern (um Duplikate zu
finden)
9971: Erkunden
9972: Suchtreffer als wichtig kennzeichnen
9973: Öffnen
9974: Zur definierenden Datenstruktur navigieren
9975: Liste exportieren
9976: Cluster auflisten
9977: Wiederherstellen/Kopieren
9978: Erkunden/Einsehen
9979: Auswahl umkehren
9980: In Hash-Datenbank aufnehmen
Es fallen Ihnen vielleicht einige verdächtige Lücken unter den
fortlaufenden Nummern auf. Die fehlenden Nummern sind entweder
undefiniert, der Aufruf des Befehls ist nicht empfehlenswert, oder die
Nummern sind einfach nicht sinnvoll für benutzerdefinierte Tastenkürzel.
Als Beispiel für letzteres mag der Befehl mit dem Code 9929 dienen.
Dieser löscht einfach ausgewählte Suchtreffer oder Ereignisse, was
natürlich bereits viel naheliegender durch Drücken der Entf-Taste
erreicht werden kann. Diese Information soll ein ggf. bestehendes
Bedürfnis auf Benutzerseite reduzieren, wahllos irgendwelche hier nicht
genannten Nummern einfach blind auszuprobieren. Sollte dabei aber jemand
auf die sagenumwobene Funktion „Alle Beweise finden“ stoßen, möge er
oder sie sich aber bitte melden.
Bitte beachten Sie noch, daß Sie auch ohne das Festlegen solcher
Tastenkombinationen das Kontextmenü des Verzeichnis-Browsers rein mit
der Tastatur erreichen können, indem Sie die Kontextmenü-Taste drücken.
(Kann normalerweise zwischen der rechten Windows-Taste und der rechten
Strg-Taste gefunden werden.) Und einige Menübefehle haben bereits von
Haus aus eine zugehörige Tastenkombination. Z. B. ist das Drücken der
Eingabetaste gleichbedeutend mit einem Doppelklick (entweder Einsehen
oder Erkunden je nach Ihren Einstellungen). Die Multipliziertaste auf
dem Zifferblock der Tastatur löst den Erkunden-Befehl aus. Entf bedeutet
Ausblenden. Strg+Entf setzt Dateien auf den Zustand „noch von den
Operationen der Datei-Überblicks-Erweiterung zu verarbeiten“ zurück und
macht einige Erweiterungsoperationen rückgängig. Strg+Umsch+Entf
entfernt Hash-Set-Treffer, Hash-Kategorie und PhotoDNA-Kategorisierung.
Strg+Feststelltaste+Entf entfernt die Kennzeichnung als „Datei-Inhalt
unbekannt“ einer Datei. (Das ist nützlich z. B. wenn wegen
vorübergehender E/A-Probleme X-Ways Forensics einige Dateien so
gekennzeichnet hat, obwohl die Dateien normalerweise einwandfrei gelesen werden
können.) Strg+C kopiert die im Verzeichnis-Browser zu sehenden Angaben
zu ausgewählten Objekte in die Zwischenablage unter Verwendung
bestimmter Einstellungen des Dialogfensters zu „Liste exportieren“.
Hauptmenü
Benutzerdefinierte Tastenkürzel sollten außerdem in der Lage sein,
praktisch alle Befehle des Hauptmenüs aufzurufen, und auch dann, wenn
andere Teile der Benutzeroberfläche als der Verzeichnis-Browser den
Eingabefokus haben. Wenn sich der Code eines Menübefehls in einer
künftigen Version ändern sollte, stellt X-Ways Forensics sicher, daß
Tastenkürzeldefinitionen, die diesen Code verwenden automatisch inaktiv
werden, damit nicht versehentlich ggf. eine andere Funktion ausgelöst
wird. Um die Befehlscodes des Hauptmenüs herauszufinden (oder anders
ausgedrückt die IDs der Menüeinträge), können Sie die ausführbare Datei
des Programms in einem sog. Ressourcen-Editor öffnen und die
Menüressource in der von Ihnen verwendeten Sprache ansehen. Ein
besonders empfehlenswertes leichtgewichtiges Tool für diesen Zweck ist
"Pelles C for Windows", das gleichzeitig auch ein ordentlicher
C-Compiler und eine komplette Entwicklungsumgebung ist, die sich zum
Erstellen von X-Tensions eignet. Benutzerdefinierte Tastenkürzel für Befehle im Hauptmenü
sollten weniger wichtig sein als solche für das Kontextmenü des
Verzeichnis-Browsers, weil im Hauptmenü bereits sehr viele Tastenkürzel
voreingestellt sind. Selbst wenn nicht für den von Ihnen favorisierten
Befehl, können Sie ihn immer noch erreichen, ohne die Hände von der
Tastatur zu nehmen, beginnend mit der Alt-Taste. Als Ideen für mögliche
sinnvolle Anwendungen sei gesagt, daß Sie zwischen rekursiver und
nichtrekursiver Erkundung mit dem Befehlscode 122 hin- und herwechseln
können, und der Befehlscode zum Erzeugen eines neuen Datei-Überblicks
ist 109.
Befehlscodes für Filter
(Die Reihenfolge ist historisch bedingt, so wurden die Filter nach und
nach eingeführt.)
9700: Name
9701: Typ
9702: Typstatus
9703: Kategorie
9704: Größe
9705: Pfad
9706: Absender
9707: Empfänger
9708: Zeitstempel
9709: Attr
9710: Hash 1
9711: Hash-Set
9712: Hash-Kategorie
9713: Berichtstabelle
9714: Kommentar
9715: Metadaten
9716: Analyse
9717: Pixel
9718: Int. ID
9719: Eindeutige ID
9720: Suchbegriffe
9721: Besitzer
9722: Elternname
9723: Unterobjekte
9724: ID
9725: Autor
9726: Suchtreffer-Beschreibung
9727: Ereignnis-Zeitstempel
9728: Ereignistyp
9729: Ereignis-Beschreibung
9730: Suchtreffer
9731: Startsektor
9732: Beschreibung
9733: Hash 2
9734: Vollpfad
9735: Flex-Filter 1
9736: Flex-Filter 2
Befehlscodes für Modus-Schalter und verwandte Schalter
122: Rekursive Erkunden
138: Aufklappmenü des Zugriffsschalters
172: Verzeichnis-Browser sichtbar machen bzw. verstecken
186: Positionsmanager sichtbar machen bzw. verstecken
223: Suchtrefferliste sichtbar machen bzw. verstecken
224: Ereignisliste sichtbar machen bzw. verstecken
225: Modus Disk/Partition/Volume/Container
226: Datei-Modus
227: Vorschau-Modus
228: Details-Modus
229: Galerie-Modus
230: Kalender-Modus
231: Legende
232: Sync-Modus
249: Roh-Vorschau-Modus
250: Viewer X-Tension Vorschau-Modus
Automatisierung
-
Ein neuer Befehlszeilen-Parameter namens "Cfg:"
wurde eingeführt, über den man den Namen der Konfigurationsdatei angeben
kann, von der X-Ways Forensics bei Programmstart liest und in die es bei
Programmende schreibt. Nützlich in Situationen, in denen eine andere
Konfiguration als normalerweise zum Einsatz kommen soll (nicht die in
der Datei WinHex.cfg). Insbes. wenn sie für eine automatisierte
Ausführung andere Einstellungen brauchen, wahrscheinlich gezielt dafür
voher definierte, mit bestimmten ausgewählten DÜE-Operationen, oder wenn
Sie die Rückfrage, ob eine zweite Instanz gestartet werden soll,zwar
normalerweise schätzen, aber nicht während einer automatisierten
Ausführung, bietet sich dieser Parameter an. Ein solcher Parameter sieht
beispielhaft so aus: "Cfg:Meine andere Einstellung.cfg". Die
Anführungszeichen sind nur dann erforderlich, wenn der Dateiname
Leerzeichen enthält. Die Maximallänge beträgt 31 Zeichen. Derzeit werden
nun ANSI/ASCII-Zeichen unterstützt.
-
Die Textausgabe in Meldungsfenstern, die man manuell
wegklicken muß, wird während der Abarbeitung der Befehlszeilen-Parameter
"AddImage:" und "RVS:" nun umgeleitet in das Nachrichtenfenster, um den
Vorgang nicht zu blockieren. Etwaige Dialogfenster hingegen werden
normal angezeigt.
-
Der Befehlszeilen-Parameter AddImage: kann nun
mehrere Image-Dateien auf einmal zum Fall hinzufügen, mit einem
Sternchen im Dateinamen, etwa so: "AddImage:Z:\Meine Images\*.e01".
-
AddImage: unterstützt nun zwei optionale
Unterparameter, um die Interpretation eines Images als entweder
physischen, partitionierten Datenträger zu erzwingen (P) oder als
logisches Volume (V) und um die Interpretation mit einer bestimmten
Sektorgröße zu erzwingen, wobei die Sektorgröße optional ist, z. B. so:
AddImage:#P#Z:\Images\*.dd
AddImage:#P,4096#Z:\Images\*.dd
Die Unterparameter werden von Rautezeichen umschlossen. Wenn Sie den
Ausdruck mit den Rautezeichen ganz weglassen, so wie der
AddImage-Parameter bisher funktionierte, könnte ein Dialogfenster
erscheinen, das dem Benutzer eine manuelle Reaktion abnötigt, aber nur
in ganz seltenen Fällen. Nur dann wenn es 1. für X-Ways Forensics nicht
offensichtlich ist aus den Anfangssektoren, um was für eine Art von
Image es sich handelt, wenn 2. das Image nicht von X-Ways Forensics oder X-Ways Imager
erzeugt wurde und 3. das Image im Roh-Format vorliegt. Nur wenn alle
drei Bedingungen zugleich erfüllt sind und Sie keine Unterparameter
angeben, erscheint das Dialogfenster und unterbricht die Abarbeitung.
Benutzeroberfläche
-
Datei-Container haben im Falldatenfenster nun ein
spezielles Icon zur besseren Erkennung.
-
Eine größere Schriftart in der Textspalte für UTF-16
sorgt für bessere Lesbarkeit insbes. von chinesischen Zeichen.
-
Einige seltene graphische Artefakte wurden vermieden
in der Textspalte bei der Anzeige von Codepages mit einer variablen
Anzahl von Bytes pro Zeichen.
-
Textdarstellungen von Dialogfenstern lassen nun
standardmäßig nicht gewählte Einträge in Listenfenstern und nicht
angekreuzte Kontrollkästchen und Radiobuttons einfach aus. Diese neue Option
finden Sie in dem speziellen Menü beim Klick auf den unbeschrifteten
Schalter in der oberen linken Ecke von Dialogfenstern. Sie beeinflußt
auch die textuelle Übersicht über aktive Filter.
-
Das Infofenster wird jetzt Ausgabefenster genannt,
weil das den Zweck des Fensters präziser beschreibt. Das Fenster hat
jetzt seine eigene Bildschirmkoordinaten, braucht sie sich also nicht
mehr mit dem Nachrichtenfenster teilen, wodurch es offenbar bisher manchmal
übersehen wurde. Anfänglich ist es zentriert.
-
Ein neuer Menübefehl im Falldatenfenster ist
verfügbar beim Rechtsklick auf den Falltitel. Er ermöglicht ein bequemes
und komplette Einklappen des Fallbaum.
-
Aus Sektoren ausgegliederte Dateien sind als solche
nun nicht mehr nur durch die Beschreibungsspalte eindeutig erkennbar,
sondern auch durch ihre Icons, entweder mit einem stilisierten C (unter Windows 7,
für englisch "carving") oder mit einem Hammer (unter Windows 10, da
"carving" u. a. auch herausmeißeln bedeutet, leider nicht verfügbar
unter Windows
7). Das tatsächlich verwendete Zeichen kann unter Optionen | Notation
eingestellt werden. Dank der Identifizierung über das Icon erübrigt sich
für einige Benutzer sicherlich das Benennen von ausgegliederten Dateien
mit einem Präfix wie "Carved_".
-
Die Information, daß eine Datei ursprünglich eine aus
Sektoren ausgegliederte Datei war, wird in Datei-Containern nun
verewigt und in der Beschreibungsspalte sowie neuerdings wie gesagt im Icon auch
beim Betrachten des Containers angezeigt.
-
Das optionale spezielle Datei-Icon für Bilder wird
nun standardmäßig nicht mehr von weiteren Symbolen wie Fragezeichen,
Scheren, Hämmern und was X-Ways Forensics sonst noch so alles einfällt
überdeckt, so daß es klarer aussieht, weniger verwirrend. Sie können den
exakten Löschzustand einer ehem. existierenden Bilddatei immer noch der
Beschreibungsspalte entnehmen und den groben Zustand (existent oder
nicht) noch am Kontrast des Icons. Wenn allerdings das
Kontrollkästchen für die Spezialicons für Bilder nur halb angekreuzt
ist, wird das Icon wie in früheren Versionen mit allen Details
angezeigt.
-
Der Befehl zum Einsehen einer ausgewählten Datei mit
einem noch zu bestimmenden externen Programm ruft nun den
Standard-Windows-Dialog zur Auswahl eines solchen Programms auf.
-
Ob die Viewer-Komponente oder die interne
Grafikanzeigebibliothek für Bilder zum Einsatz kommen soll, merkt sich
X-Ways Forensics nun separat für den Vorschau-Modus und den
Einsehen-Befehl. Für den Einsehen-Befehl hängt es ab von einer
Einstellung
unter Optionen | Viewer-Programme.
-
Wenn Sie es nicht erlauben, mehrere Bilder mit dem
Einsehen-Befehl auf einmal einzusehen und wenn dabei die interne
Grafikbibliothek zum Einsatz kommt, ist nun ein neues Kontrollkästchen namens "Auto-Update"
unter Optionen | Viewer-Programme verfügbar. Wenn aktiv, wird das
Bildanzeigefenster sofort aktualisiert, wenn ein neues Bild im
Verzeichnis-Browser ausgewählt wird, auf welche Weise auch immer, z. B. mit einem einfachen
Mausklick oder durch automatisches Fortschreiten zum nächsten Objekt in
der Liste nach Erzeugen einer Berichtstabellenverknüpfung. Dieses
Verhalten war zuvor beschränkt auf die Pfeiltaste in der Galerie. Es
sollte hauptsächlich für die Arbeit mit mehreren Bildschirmen nützlich
sein.
-
Die italienische Übersetzung wurde aktualisiert.
Diverses
-
FlexFilter unterscheiden nun optional zwischen Groß-
und Kleinschreibung. Wenn diese Unterscheidung gemacht wird, sind Such-
und Vergleichsoperationen immer etwas schneller. Daher sollte die Schreibweise
immer unterschieden werden, es sei denn, man muß wirklich beide
Varianten finden können.
-
Die Statistiken im Aufklappmenü der Kategoriespalte
bleiben nun auch beim Aktivieren des Kategoriefilters verfügbar.
-
Die blauen Trichtersymbole auf beiden Seiten der
Überschriftszeile des Verzeichnis-Browsers sind nun immer gegenwärtig,
wenn Filter aktiv sind, auch wenn gerade keine Objekte tatsächlich
herausgefiltert werden.
-
Eine streng byteweise Berechnung von Prüfsummen auf mehreren
Byte großen Akkumulatoren war der Standard in v18.9 und davor. Dieses
Verhalten ist nun wieder optional verfügbar unter Optionen | Sicherheit.
Die neue Variante besteht darin, solche Prüfsummen durch Addieren von
Einheiten zu berechnen, die genauso groß sind wie der Akkumulator
selbst, also z. B. 4 Bytes bei 32-Bit-Prüfsummen. Beide
Berechnungsmöglichkeiten kommen in realen Anwendungen tatsächlich vor.
-
Wiederherstellen/Kopieren: Der Name der
Protokolldatei kann nun frei gewählt werden, wenn diese Datei im
Ausgabeverzeichnis erzeugt wird (und nicht im _log-Unterverzeichnis des
Falls). Das könnten Sie nützlich finden, wenn Sie mehrere
Kopierdurchläufe für unterschiedliche Zwecke oder unterschiedliche Empfänger
hintereinander starten, um dafür jeweils eine separate
Protokolldatei mit allen nötigen Details zu erhalten, die Sie
weitergeben können.
-
Liste exportieren: Die Einheit für die Größe des
Suchtrefferkontextes ist nun korrekt mit Zeichen statt Bytes bezeichnet.
-
Möglichkeit, plattenübergreifende LVM2-Volumes zu
öffnen auch dann, wenn die andere Platte fehlt. Dann sind die
verfügbaren Daten natürlich unvollständig, aber trotzdem evtl. sehr
hilfreich und natürlich besser als gar nichts.
-
Fähigkeit, ein Asservat, das ein Verzeichnis ist,
auch dann zu öffnen, wenn das Verzeichnis gar nicht mehr existiert, um
zumindest nochmal den Datei-Überblick in Augenschein nehmen zu können,
mittels des Befehls "Öffnen
(ohne Datenträger/Image)".
-
Wahnsinn, daß jemand tatsächlich alle Punkte in
dieser langen Liste hier liest.
-
Es gibt nun eine Option, die Hash-Datenbank in dem
Moment aus dem Speicher zu entladen, wenn alle Datenfenster
geschlossen werden (genauer gesagt wenn das letzte noch offene
Datenfenster geschlossen wird), um Arbeitsspeicher zu sparen oder
gezielt deshalb, um gleichzeitigen anderen Benutzern derselben Kopie der
Hash-Datenbank oder anderen Instanzen das Ändern/Pflegen dieser Hash-Datenbank zu ermöglichen.
-
Möglichkeit, den alternativen Namen einer Datei
direkt zu ändern oder überhaupt erst zu setzen, indem man die
Umschalttaste beim Umbenennen gedrückt hält (in dem Moment, wenn man den
OK-Schalter anklickt).
-
Der technische Detailbericht wartet nun mit einer
Option auf, die die Zeichen in einer vom Betriebssystem an X-Ways
Forensics gemeldeten Festplattenseriennummer zusätzlich paarweise
vertauscht ausgibt, wenn es möglich erscheint, daß die erhaltene
Seriennummer von einem Hardware-Schreib-Blocker bereits auf diese Weise
verdreht wurde, um sie also wieder zu korrigieren.
-
Vollständigere Darstellung des logischen
Speicheradreßraums von 64-Bit-Prozessen.
-
Dateninkonsistenzen in einem bestimmten internen
Metadaten-Speicher sind jetzt weniger fatal.
-
Unzählige kleinere Verbesserungen.
-
Benutzerhandbuch und Programmhilfe aktualisiert für v19.3.
Änderungen der Service-Releases von v19.2
-
SR-1: Fixed inability of v19.2 to remember the
default volume snapshot refinement operations when run from the command
line.
-
SR-1: Fixed inability of v19.2 to uncover embedded
data from selected files.
-
SR-1: Fixed inability of v19.2 to take volume
snapshots of drive letters without sector level access.
-
SR-1: Metadata extraction from certain irregular DOCX
files supported.
-
SR-1: Improved internal handling of FlexFilters.
-
SR-2: Now able again to cope with .e01 evidence files
that are incorrectly marked as images or physical disks by 3rd party
software although they are just volume images.
-
SR-2: Fixed incorrect extraction of attachments
encoded by Gmail found in MBOX archives and lose EML files.
-
SR-2: Fixed a cause of instability when the "Search
in directory browser cells (metadata)" option was used for the
Simultaneous Search.
-
SR-2: Fixed a rare exception error that could occur
when extracting metadata from certain corrupt Zip-styled Office document
files.
-
SR-2: The option to show non-picture files in the
gallery is now represented by a three-state check box. If half checked,
only those non-picture files will be represented as thumbnails in the
gallery whose type can be confirmed or newly identified by X-Ways
Forensics. That means that files of unknown types and garbage files will
not be represented in the gallery any more. This will speed up the
gallery, reduce the number of thumbnails with just ASCII character
gibberish in them, and perhaps most importantly prevent an error in the
viewer component from occurring, which exhausts the pool of available
GDI objects (handles in the graphics device interface of Windows) in the
process and leads to graphical screen artifacts, loss of functionality
or even crashes. So far only files with garbage data are known to
trigger this error. The error is probably very rarely encountered when
specifically viewing or previewing individual files only, but when
reviewing large amounts of non-picture files in the gallery it becomes
more likely to occur. The error is known to Oracle as bug #25430258. No
fix has been made available yet.
-
SR-2: Images stored in nested subdirectories of the
case directory instead of directly in the case directory are now also
found immediately even if drive letter or absolute path of the case have
changed.
-
SR-2: Chinese translation of the user interface
updated.
-
SR-3: The time out for the generation of thumbnails
of non-picture files in the gallery is now the same user-defined value
as previously used only for pictures that are loaded by the internal
graphics viewing library. It can be adjusted in Options | Viewer
Programs. A smaller value may result in a faster display of the gallery,
but at the cost of interrupting the loading process of the viewer
component for some files, in which case the gallery tile shows "Error -
operation cancelled".
-
SR-3: v19.2 SR-2 did not properly execute external
viewer programs. That was fixed.
-
SR-3: Videos are now again represented in the case
report by their first extracted still as a thumbnail.
-
SR-3: If the output of the Compare function was a
text file and the comparison start offsets in the two data windows were
different, the second offset reported for a found difference was off.
That was fixed.
-
SR-3: Fixed a problem in LVM2 support.
-
SR-3: Fixed a rare exception error that could occur
when producing a registry report based on Reg Report Free Space.txt.
-
SR-3: Prevented rejection of certain ProjectVic JSON
files for PhotoDNA import.
-
SR-4: Ability to show gallery tiles with rotating
still images for processed videos in situations in which that did not
work previously.
-
SR-4: Prevented a situation where the category
statistics in the Category column's pop-up menu filter could be that of
another data window.
-
SR-4: Fixed inability of v19.2 to take a volume
snapshot of a directory with a network path (UNC path).
-
SR-4: The Exif metadata field formerly officially
called "Daten taken" is now called "Content modified" in X-Ways
Forensics.
-
SR-4: A relative path for the PhotoDNA hash database
is now supported and preserved in Options | General.
-
SR-4: Fixed slightly corrupted presentation of e-mail
attachments in some specific situations (e.g. Facebook e-mail received
via Hotmail).
-
SR-4: Run counts from Windows 10 Prefetch files while
shown correctly in Preview mode were not extracted correctly into the
Metadata column. That was fixed.
-
SR-5: If original pictures were not included in the
case report, but thumbnails of pictures were supposed to be output,
those thumbnails were not generated for very small pictures. That was
fixed.
-
SR-5: Under certain circumstances the detection of
scanned images/PDF documents failed. That was fixed.
-
SR-5: The whole words only option of the Simultaneous
Search is no longer applied to search hits that are not words according
to the user's selected alphabet definition (checking only the first and
the last character in the hit). However, the GREP word boundary
indicator \b is still applied in such a case, for example to be able to
search for certain data in between words, data that is not considered a
word itself.
-
SR-6: The volume snapshot refinement option of v19.1
and later to omit files deemed irrelevant by the hash database also
omitted known uncategorized files if they were identified as such only
by a previous refinement run, with no re-matching. That was fixed.
-
SR-6: Fixed incorrect size of some few carved files
and avoided output of some irrelevant/damaged OLE2 objects.
Wir hoffen, Sie bald wieder auf
http://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie diesen Newsletter
an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit
weiteren E-Mail-Adressen)
hier. Vielen Dank.
Freundliche Grüße
Stefan Fleischmann
--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde |
