#159: WinHex, X-Ways
Forensics und X-Ways Investigator 19.7 veröffentlicht
27. August 2018 |
In dieser Ausgabe des Newsletters informieren wir Sie
über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version
19.7. Erscheinungsdatum war der 19. August 2018. Nicht alle Beschreibungen
sind auf Deutsch verfügbar.
Evaluationsversion von WinHex:
http://www.x-ways.net/winhex.zip
(korrekte Download-Adresse auch für Benutzer mit einer privaten,
professionellen oder Specialist-Lizenz)
Kunden erhalten Download-Instruktionen, Log-In-Daten
sowie Details zu Ihrem Zugang zu Updates wie immer unter
http://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates
oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw.
Lizenzverlängerungen.
Wenn Sie an Informationen über Service-Releases
interessiert sind, wenn diese veröffentlicht werden, können Sie diese im
Bereich „Announcements“
des
Forums einsehen und sich
bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen
in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie
vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie
bitte zumindest das letzte Service-Release der betreffenden Version
verwenden.
Anstehende Schulungstermine
Wenn Sie über weitere Termine informiert werden möchten,
können Sie hier Ihre
E-Mail-Adresse hinterlassen. Aber besser wäre, sich schnell für die o. g.
Termine anzumelden.
Was ist neu in v19.7?
(Bitte beachten
Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
Dateisystemunterstützung
-
Fähigkeit, die Datenstrukturen vieler APFS-Volumes zu
parsen, um einen Dateiüberblick anzubieten.
-
Geklonte Dateien in APFS, von denen lediglich die
Unterschiede zu ihren Originalen in eigenen Clustern gespeichert werden,
werden mit einem griechischen Delta als Großbuchstabe in der Spalte Attr.
gekennzeichnet.
-
Unterstützung für APFS-Zeitstempel im Daten-Dolmetscher
und in den Schablonen ("APFSDateTime").
-
Es gibt jetzt auch für exFAT-Volumes eine gründliche
Dateisystem-Datenstruktur-Suche.
-
Schutz gegen eine seltene Form von Datenkorruption in NTFS,
bei der FILE-Records in der $MFT fehlplaziert werden.
-
Die Option, jeweils nur einen harten Verweis zu verarbeiten,
hat jetzt auch dann Wirkung, wenn nur ausgewählte oder markierte Dateien
verarbeitet werden.
Dateiformatunterstützung
-
Verschlüsselte Dokumente mit bekanntem Passwort können jetzt auch
mit der FuzZyDoc-Hash-Datenbank abgeglichen werden.
-
Die Berichtstabelle "Scan" wird nicht mehr länger
zur Identifikation von PDF-Dokumenten mit gescanntem Inhalt verwendet. Stattdessen wird
für PDF-Dokumente, die als von einem Scanner erzeugt identifiziert werden, ab jetzt
"Scanner" in der Gerätetyp-Spalte angezeigt.
-
Extraktion des Feldes
mdtacom.apple.quicktime.location.ISO6709 aus iPhone-MOV-Dateien in die
Metadaten-Spalte.
-
Identifikation von und Datei-Header-Signatur-Suche nach
MP4s-Dateien, einem proprietären Überwachungsvideoformat.
-
Der Verlauf für Google Chrome zeigt jetzt für jede besuchte
Webseite den Seitenübergang, was die Beurteilung erleichtert, ob der Besuch vom
Benutzer veranlasst wurde oder von einer anderen Aktion wie z.B. einer
Seitenumleitung. Die Dauer jedes Besuchs wird ebenfalls aufgeführt.
Internet-Suchen, die aus der Chrome-Adresszeile gestartet wurden, werden
in einer separaten Tabelle ausgegeben und ebenfalls zur Ereignisliste
hinzugefügt.
-
Fähigkeit, SNSS Session-Dateien von Google Chrome (aktuelle/letzte
Sitzung und aktuelle/letzte Tabs) bei der Metadaten-Extraktion auszuwerten.
Die resultierende Sitzungsübersicht zeigt alle offenen Tabs mit ihrem jeweiligen
Verlauf.
-
Die bisherige Ausgabe im Detail-Modus für Dateien vom
Typ .automaticdestinations-ms wird ab jetzt im Vorschau-Modus angezeigt und
auch für den Anzeigen-Befehl und beim Kopieren solcher Jump-List-Dateien
für die Übernahme in den Bericht.
-
Die Erzeugung von Vorschaubildern für den Bericht wird
jetzt unter anderem auch für Dateien dieser Typen unterstützt: lnk,
flnk, TCP/UDP packets, NK2, DBX, Skype chat, WAB,
change.log.1, info2, job, IconCache.db, Prefetch, shd, usnjrnl, eiurl,
$I*, travellog, chrome1, automaticdestinations-ms.
-
Ein seltener Prüfsummenfehler bei der Ausgabe der
Umwandlung zu Intel Hex wurde behoben.
-
Fähigkeit (z.B. für Suchbegriffe) von UTF-16 in
diverse Indische Code-Pages umzuwandeln: ISCII Devanagari, Bengali, Tamil, Telugu,
Assamese, Oriya, Kannada, Malayalam, Gujarati, Punjabi (Gurmukhi).
JPEG-Metadatenunterstützung
-
Irreguläre EXIF-Metadaten-Kodierungen, die der
EXIF-Spezifikation zuwider laufen, werden jetzt mit einem Sternchen
am Ende gekennzeichnet (manchmal zusätzlich mit Fettschrift).
-
"EXIF compliance" ist ein weiterer neuer
aggregierter Einzelwert; ein Punktwert, der die Beurteilung erleichtert,
ob ein qualitativ schlechtes Bildbearbeitungsprogramm zur Bearbeitung
eingesetzt wurde. Ein guter Wert, den von Nikon- oder
Canon-Kameras erzeugte JPEG-Bilder überlicherweise haben, wird nur von
hochwertigen Bildbearbeitungsprogrammen weiterhin erhalten. Ein schlechter
Wert für solche Bilder deutet auf Bearbeitung mit qualitativ minderwertiger
Software hin. Irregulär kodierte Felder in den EXIF-Daten werden mit einem
Stern gekennzeichnet. Irregulär könnte bedeuten, dass der falsche Datentyp
verwendet wurde, oder die erlaubten Wertgrenzen überschritten wurden, oder
Tags doppelt vorhanden sind, oder eine Zeichenkette nicht nullterminiert ist
oder Schlupf beinhaltet. Einige Tags dürfen nicht gleichzeitig auftreten,
andere müssen in einem festgelegten Verzeichnis gespeichert sein.
-
Ganz allgemein ist die EXIF-Darstellung nicht einfach
eine unstrukturierte Ausgabe aller EXIF-Werte, sondern sie versucht,
Hintergrundinformationen mitzuliefern und bestimmte Parameter in ihrem Kontext
hervorzuheben, um Ermittler auf Ungereimtheiten hinzuweisen. Bereits in ihren
Originaldateien erzeugen Digitalkameras charakteristische EXIF-Metadaten-Fehler.
Durch die Bearbeitung werden evtl. weitere Fehler erzeugt oder andere
behoben.
-
XMP-Metadaten-Extraktion überarbeitet. Neue und
relevante Informationen werden zur Metadaten-Spalte hinzugefügt,
redundante Informationen híngegen nicht. XMP enthält oft Informationen
über die Zeitzone, die in den EXIF-Metadaten nicht enthalten ist.
-
Die Menge an Schlupfspeicher (Nullbytes) am Ende des
EXIF-Segments wird im Detail-Modus angezeigt, falls derartiger Schlupf
vorhanden ist. Ein solcher Bereich variabler Größe wird bespielsweise
von iPhone 4 und iPhone 5 üblicherweise erzeugt, von iPhone 7 nicht.
Falls der Schlupf auch nach einer Bildrotation erhalten bleibt, war die
Rotation minimalinvasiv, ohne die Daten erneut zu komprimieren (d.h. ohne
Qualitätsverlust). Wenn ein Bildbearbeitungsprogramm die JPEG-Daten
hingegen neu schreibt, verschwindet dieser Schlupfbereich.
-
Die Zusammenfassung der internen Metadaten im
Detail-Modus für JPEG-Dateien hat jetzt ein neues Feld namens "Light value".
Dieser Wert wird von der in der Fotografie bekannten Formel
Ev=log2(N**2/t)+log2(100/ISO) abgeleitet. Der Wertebereich endet bei
ungefähr 16, was vollem Sonnenlicht entspricht. Dieser Aggregatwert könnte
für einige Ermittler interessant sein, da er die Unterscheidung nach Innen-
und Außenaufnahmen ermöglicht und weil man mit diesem Wert die Plausibilität
der Lokalzeit eines Fotos prüfen kann.
-
Ein neuer Wert "Rotated" ist nun für das
JPEG-Metadaten-Feld Condition möglich.
-
Ein neuer Gerätetyp "Printer" wird jetzt
für JPEG-Dateien angezeigt, die zu Druckzwecken erzeugt wurden.
-
Firmware-Daten werden für iPhones und
andere Apple-Geräte jetzt ebenfalls ausgegeben.
-
Die IMEI einiger (high-end) Samsung Galaxy Smartphones
wird in den SEFT "trailing data" von JPEG-Dateien gespeichert, abhängig
von den Einstellungen des Geräts, und wird jetzt, falls vorhanden, im
Detail-Modus der SEFT-Datei angezeigt. Die SEFT-Datei wird von "Eingebettete Daten
in diversen Dateitypen suchen" erzeugt.
-
Generator-Signaturen und Geräte-Alias-Tabelle
wurden überarbeitet.
E-Mail
-
Extrahiert mehr interne Zeitstempel aus E-Mails in
PST/OST-E-Mail-Archiven.
-
In dem (sehr seltenen) Fall, dass die Namen von
E-Mail-Empfängern den vertikalen Strich ("pipe") enthalten,
wurden solche Empfänger bei der Erweiterung des Datei-Überblicks bislang
nicht korrekt als To:, Cc: oder Bcc: eingeordnet. Dies wurde behoben.
-
Neue Option für den Datei-Überblick, (bei der Extraktion
von E-Mails) bestimmte RTF-formatierte E-Mail-Bodies aus Outlook-E-Mail-Archiven
in normales UTF-8 umzuwandeln, um die erzeugten .eml-Dateien besser
in externen E-Mail-Programmen darzustellen und um die alternative .eml-Vorschau
zu ermöglichen.
Benutzeroberfläche
-
Beim Sortieren nach Zeitstempeln in einer der vielen
Zeitstempel-Spalten kann es passieren, dass UTC-basierte Zeitstempel mit
solchen verglichen werden müssen, die in einer undefinierten lokalen
Zeitzone gespeichert sind, oder als in einer vom (X-Ways-)Nutzer festgelegten
Zeitzone gespeichert interpretiert werden, um zu entscheiden, welcher früher
und welcher später ist. Dies kann zum Beispiel im für Dateisystem-Zeitstempel
im Asservat-Überblick passieren, wenn ein Asservat ein NTFS- und ein anderes
ein FAT-Dateisystem enthält. Dies kann auch innerhalb desselben Asservats
auftreten, beispielsweise beim Sortieren nach aus den Dateiinhalten
extrahierten internen Erzeugungszeitstempeln, wie zum Beispiel bei gewöhnlichen
EXIF-Zeitstempeln in JPEGs (die lokal sind) und GPS-Zeitstempeln in JPEGs (die
in UTC gespeichert werden). Das Sortieren solcher Zeitstempel berücksichtigt
jetzt, wie diese Zeitstempel dargestellt werden (in ursprünglicher lokaler
Zeit oder in einer vom Nutzer definierten Anzeigezeitzone), womit die Reihenfolge
mit den dargestellten Werten übereinstimmt, und nicht damit, wie die Zeitstempel
intern gespeichert sind. Dies bedeutet beispielsweise, dass der lokale
EXIF-Zeitstempel 2017-01-01 14:01 OZ *hinter* einem UTC-GPS-Zeitstempel
2017-01-01 14:00 +2 eingereiht wird, was korrekt ist, sofern die undefinierte
lokale Zeitzone mit der Anzeigezeitzone (in diesem Beispiel UTC +2) identisch ist.
Diese Reihenfolge kann natürlich auch falsch sein, da die unbekannte Zeitzone
des lokal gespeicherten Erzeugungsdatum des Inhalts irgendwo östlich von UTC +2
sein könnte. Die Reihenfolge kann auch dann falsch sein, wenn die vom Nutzer
festgelegte Referenzzeitzone für FAT-Dateisysteme falsch ist.
-
Die Zeitstempel-Spalte der Ereignisliste respektiert jetzt die
vom Nutzer festgelegte Referenzzeitzone für Zeitstempel in Dateisystemen, die
ihre Zeitstempel in lokaler Zeit speichern, und übersetzt diese Zeitstempel zur
aktuellen Anzeigezeitzone entsprechend.
-
Fähigkeit, im IM-Detail-Modus zw. Ein- und
Doppel-Spalten-Anzeige umzuschalten. Bei hinreichender Bildschirmauflösung
und Fensterbreite kann man ohne Scrollen die gesamten internen Metadaten
betrachten, da die Zusammenfassung rechts daneben angezeigt wird.
-
Option, den Daten-Dolmetscher mit einem gewissen Grad an
Transparenz anzuzeigen. Der praktische Nutzen dieser Option ist noch zu
entdecken. Sieht nur cooler aus.
-
Bei der Erweiterung eines bislang unbehandelten
Datei-Überblicks wird ab jetzt auch die Option, direkt im Anschluss eine
parallele Suche durchzuführen, mit gespeichert. Dies ist insbesondere in
Verbindung mit der Ausführung von der Kommandozeile nützlich.
-
Ein neuer Kommandozeilenbefehl erlaubt das Laden einer
Liste von Suchbegriffen: "LST" (=load search terms). Wenn gefolgt von
einem Doppelpunkt und dem Namen oder vollständigen Pfad einer Textdatei mit
einem Suchbegriff pro Zeile und wenn dies einem DÜE-Lauf mit implizit
gestarteter paralleler Suche vorausgeht, werden diese Begriffe für diese
Suche verwendet.
-
Beim Einsehen von Bildern mit der internen
Bildbetrachtungsbibliothek ist das Anzeigefenster nicht länger maximiert,
wenn das Bild zur Anzeige auf dem Schirm verkleinert werden muss, und Sie
können jetzt entscheiden, diese Bilder, wie in bisherigen Versionen, auf dem
Bildschirm zu zentrieren oder stattdessen deren obere linke Position oder die
Position ihrer Mitte zu speichern, nachdem Sie sie auf dem Bildschirm verschoben
haben. Um dies festzulegen, öffnen Sie das Systemmenü des Anzeigefensters
(d.h. klicken Sie auf das Fenster-Icon oben links). Sie können außerdem
festlegen, ob solche Anzeigefenster grundsätzlich im Vordergrund sein sollen,
also auch vor den Fenstern anderer Anwendungen. Und zu guter Letzt können
Sie auch die ungefähre Fenstergröße speichern lassen. Insbesondere nützlich
in Verbindung mit den Optionen, die obere linke Position des Anzeigefensters
speichern zu lassen, nur ein Anzeigefenster gleichzeitig zuzulassen, und das
Anzeigefenster automatisch mit nur einem Klick auf eine Datei zu aktualisieren,
womit Sie an einer von Ihnen definierten Stelle Ihres Bildschirms effektiv ein
Vorschaufenster für Bilder haben, während die untere Hälfte des Datenfensters
eine andere Darstellung als den Vorschau-Modus haben kann, z.B. den Detail-Modus.
-
Schablonen können jetzt UTF-16-Unicode-Zeichenketten mit
nicht-lateinischen Zeichen darstellen und editieren.
-
Fähigkeit, über das Systemmenü des Schablonenfensters den
Inhalt von Schablonen als Tabulator-getrennten Text in die Zwischenablage zu
kopieren.
-
Fähigkeit, die Variablen einer Schablone als Einträge
im Positions-Manager (entweder dem allgemeinen oder, falls das Datenfenster
ein Asservat repräsentiert, dem Positions-Manager des Asservats) anzuzeigen.
Dies bedeutet auch, dass die entsprechenden Werte direkt in der Hex-Darstellung
optisch hervorgehoben und mit erläuternden Tool-Tips ausgestattet werden. Der
Befehl hierfür kann ebenfalls im Systemmenü des Schablonenfensters gefunden
werden.
-
Das normale Schablonenfenster kann optional komplett
übersprungen und die Einträge im Positions-Manager direkt erzeugt werden,
wenn Sie beim Anwenden der Schablone die Umschalttaste gedrückt halten.
-
Fähigkeit, Text auch dann als UTF-16 Unicode in die
Zwischenablage zu kopieren, wenn die Textspalte kein UTF-16 Unicode anzeigt,
über das Hauptmenü. Fähigkeit, Daten in die Zwischenablage als ANSI-Zeichen
zu kopieren, selbst wenn die Textspalte UTF-16 Unicode anzeigt.
-
Strg+Umschalt+Entf entfernt jetzt die "Duplikate gefunden"
Kennzeichnung von den ausgewählten Dateien, zusätzlich zur Entfernung aller Arten von
Hash-Set-Treffern.
-
Die Suchtreffer-Kontextvorschau in Suchtrefferlisten kann über das
Kontextmenü jetzt aktiviert bzw. deaktiviert werden.
Unterstützung für Datenträger(-sicherungen)
-
Kann jetzt bis zu 128 physische Datenträger in Windows
ansprechen, statt wie bisher 64 (diejenigen mit Nummern 0 bis 127).
-
Wenn die erste Leseoperation bei der Erzeugung einer
Minimalsicherung von einem Datenfenster ausgelöst wird, das eine Partition
repräsentiert, die über die übergeordnete physische Platte geöffnet wurde,
wird die Minimalsicherung ein Partitions-/Volume-Image statt einem kompletten
Disk-Image, im Unterschied zu früheren Versionen. Leseoperationen in anderen
Datenfenstern (die den umgebenden physischen Datenträger oder dessen andere
Partitionen repräsentieren) haben auf die Minimalsicherung keinen Einfluss.
-
Unterstützung für ein neues Format des Erstelldatums in
bestimmten von Drittprogrammen erzeugten .e01-Evidence-Files.
X-Tensions API
-
Die Funktion XWF_GetCaseProp kann jetzt dazu verwendet
werden, Erzeugungszeitstempel und interne ID des aktuellen Falles abzufragen.
XWF_GetVSProp kann jetzt zur Festlegung der Hash-Typen eines Datei-Überblicks
verwendet werden.
-
Die X-Tension-Funktion XWF_GetHashValue hat jetzt die
Fähigkeit, gleichzeitig den primären und den sekundären Hash-Wert abzufragen,
und sie hat jetzt die Fähigkeit, die gewünschten Hash-Werte berechnen zu
lassen, falls diese noch nicht im Datei-Überblick gespeichert sind.
-
Fragt den Nutzer, ob sture C# X-Tension-DLLs, die nicht
einfach entladen werden können, nach ihrer Ausführung zum Schließen
gezwungen werden sollen. Programierer, die ihre eigenen X-Tensions debuggen
wollen, ziehen dies evtl. vor, aber offenbar kann dies die nochmalige
Verwendung derselben DLL in derselben Sitzung von X-Ways Forensics verhindern,
weshalb normale Nutzer vermutlich besser Nein wählen sollten.
Diverses
-
Die Passwort-Sammlung für neu erzeugte Fälle wird
jetzt mit der allgemeinen Passwort-Sammlung initialisiert. Die
allgemeine Passwort-Sammlung kann zur Bearbeitung jetzt von Optionen |
Sicherheit geöffnet werden. Die Passwort-Sammlung eines Falles wird
für verschlüsselte Archive und verschlüsselte Dokumente verwendet,
wann immer der Fall geladen ist.
-
Beim Importieren von Hash-Werten aus Project Vic
wird der Nutzer jetzt gefragt, ob die US-amerikanischen oder die
kanadischen Standardkategorien voreingestellt sein sollten.
-
Ein Import-Problem mit bestimmten an unerwarteten
Stellen auftretenden Leerzeichen in Project Vic JSON-Dateien wurde gelöst.
-
Beim Füllen von Blöcken/Dateien/Datenträgern mit
konstanten Hex-Werten werden jetzt bis zu 16 zweistellige Hex-Werte
akzeptiert.
-
Einige Stabilitätsverbesserungen.
-
Unzählige kleinere Verbesserungen.
-
Benutzerhandbuch und Programmhilfe für v19.7
aktualisiert.
-
Oracle hat einige Korrekturen für die Viewer-Komponente
zur Verfügung gestellt, insbesondere zur Darstellung von PDF-Dateien und
um einige Sicherheitsprobleme zu adressieren (keine genaueren Angaben
verfügbar).
Änderungen der Service-Releases von v19.6
-
SR-1: Inkompatible Teile von .settings-Dateien von
v19.5 werden nicht mehr geladen.
-
SR-1: Verwendet eingebettete Vorschaubilder mit Typ-Status
"nicht bestätigt" nicht mehr als Miniaturansichten in der Galerie.
-
SR-2: Ändert den Wert der Option "Store .e01 metadata
for fast re-open" automatisch von voll auf halb ausgewählt, wenn
festgestellt wird, dass der Datenträger bzw. das Volume, das das Image
enthält, schreibgeschützt ist.
-
SR-2: Ein Problem bei der Ermittlung der Größe von
Asservaten, die Dateien oder Verzeichnisse sind, wurde behoben.
-
SR-2: Fähigkeit, mehrere einzelne Dateien, die im selben
Verzeichnis gespeichert sind, zum selbgen Fall als Asservate hinzuzufügen.
Frühere Versionen können Fälle mit Einzeldatei-Asservaten, die in v19.6 SR-2
gespeichert wurden, nicht öffnen.
-
SR-2: Fähigkeit, bestimmte Windows-Thumbcaches mit einer
ungewöhnlichen Signatur-Variante zu verarbeiten.
-
SR-2: Beim Einsehen von Bildern mit der internen
Bildbetrachtungsbibliothek sind die erzeugten Fenster jetzt garantiert im
Vordergrund, selbst wenn die Galerie-Ansicht vom Datenfenster abgekoppelt
wurde.
-
SR-2: Das sichere Überschreiben von ausgewählten Dateien
auf logischen Laufwerksbuchstaben ist mit einer Fehlermeldung gescheitert.
Dies wurde behoben. (Bei Anwendung auf die entsprechende Partition des
physischen Datenträgers hat es normal funktioniert.)
-
SR-2: Korrekte Identifikation des SQLite-Datenbank-Subtyps
in einigen raren Fällen, in denen dies nicht bereits passiert ist.
-
SR-2: Ein Ausnahmefehler wurde behoben, der beim Speichern
des Falles mit einem neuen Namen auftreten konnte, wenn der Asservat-Überblick
offen war.
-
SR-2: Fähigkeit, verschlüsselte Dateien in bestimmten
Dateiarchiven zu entschlüsseln, bei denen das bisher nicht möglich war.
-
SR-3: Eine potentielle Quelle für Stabilitätsprobleme bei
der Befüllung der Galerie mit mehreren Threads in der x64-Ausführung wurde behoben.
-
SR-3: Die Unfähigkeit, Dateien in bestimmten GZ-Archiven
mehr als einmal zu öffnen, während das Asservat geöffnet war, wurde behoben.
-
SR-3: Ein seltener Ausnahmefehler wurde behoben, der am
Anfang der DÜE-Phase "Untersuche Dateien" in Ext*-Dateisystemen
auftreten konnte.
-
SR-3: Ein Fehler wurde behoben, der das Speichern von
performanzverbessernden Image-Metadaten in einigen seltenen Konfigurationen
verhindern konnte.
-
SR-3: Ein Fehler beim Carven von TIFF-Dateien wurde behoben.
-
SR-3: Ein Problem mit weißem Text auf weißem Hintergrund
im Verzeichnis-Browser wurde behoben, das bei der Verwendung der bedingten
Zelleinfärbung auftreten konnte.
-
SR-3: Für manche Spalten haben die FlexFilter nie ein
Ergebnis geliefert. Dies wurde behoben.
-
SR-3: Bei der Benennung von wiederhergestellten/kopierten
Dateien nach einer ausgewählten Spalte wird die Dateierweiterung des aktuellen
Dateinamens im Datei-Überblick nicht länger an den alternativen Namen angehängt.
-
SR-4: Der RunCount für Windows 8 Prefetch-Dateien
wurde im Detail-Modus korrekt angezeigt, aber nicht in der Metadaten-Spalte.
Dies wurde behoben.
-
SR-4: Der Inhalt der Metadaten-Spalte wird jetzt immer
im Detail-Modus angezeigt, falls er Einträge enthält, die als nutzerdefiniert
gekennzeichnet oder von X-Tensions erzeugt sind. Es wird empfohlen, dass
Nutzer ihre manuellen Zusätze mit ihren Initialen in eckigen Klammern
kennzeichnen und dass X-Tensions ihre Zusätze mit [XT] kenntlich machen,
damit diese als solches erkennbar sind. Beliebige ein bis vier Zeichen in
eckigen Klammern haben den beschriebenen Effekt.
-
SR-4: Ein Ausnahmefehler ist in v19.6 beim Öffnen von
Laufwerksbuchstaben ohne Sektor-Level-Zugriff aufgetreten. Dies wurde
behoben.
-
SR-4: Die Deckblatt-Vorschau beim Drucken mehrerer
ausgewählter Dateien gleichzeitig wurde nicht aktualisiert. Dies wurde behoben.
-
SR-4: Extraktion RTF-formatierter E-Mail-Bodies aus
PST/OST-E-Mail-Archiven in Fällen, in denen kein alternativer HTML- oder
Plain-Text-E-Mail-Body verfügbar ist.
-
SR-4: Ein Ausnahmefehler wurde verhindert, der bei der
Extraktion von Metadaten aus der Samsung-Variante von JPEG Trailing Data
auftreten konnte.
-
SR-4: Eine neue Option in Optionen | Datei-Überblick
erlaubt es den Empfängern von Datei-Containern zu bestätigen, dass sie
die exakt gleiche PhotoDNA-Hash-Datenbank verwenden wie der Erzeuger des
Containers, damit alle den Dateien ggf. zugewiesenen PhotoDNA-Kategorien
(die im Container lediglich als Kategorie-Nummern gespeichert sind) mit
dem entsprechenden Kategorie-Namen in der aktuellen PhotoDNA-Hash-Datenbank
des Nutzers angezeigt werden. Wenn diese Option nicht gewählt ist, werden
dem Empfänger nur die Original-Kategorie-Nummern aus der Datenbank des
Container-Erzeugers angezeigt, keine Kategorie-Bezeichnungen.
-
SR-5: Ein möglicher Ausnahmefehler wurde behoben, der
mit gecarvten oder defekten Dateien aus Outlook 2011 für Mac auftreten
konnte.
-
SR-5: Verbesserte Stabilität bei der Extraktion von
Thunderbird Index-Datenbanken.
-
SR-5: Zeigt vorausgegangene Besuche bei einer Webseite
aus dem Chrome-Verlauf zusätzlich zum letzten, auch als Ereignisse, und
die Dauer jedes Besuchs.
-
SR-5: Verhindert die Einfügung eines störenden
Zeilenumbruchs beim Exportieren von Dateilisten mit Generator-Signaturen.
-
SR-5: Eine mögliche Endlosschleife mit JPEG-Dateien,
die von Galaxy S3 Mini VE Smartphones erzeugt wurden, wurde behoben.
-
SR-6: Die Extraktion von E-Mails aus MBOX-E-Mail-Archiven
in v19.6 ohne .eml-Dateierweiterung im Namen wurde behoben.
-
SR-6: Ein seltener Fehler wurde behoben, bei dem bestimmte
Namen von Dateianhängen in Original-.eml-Dateien und ein paar anderen Formaten
abgeschnitten sein konnten, wenn diese in Quoted Printable kodiert waren.
-
SR-6: Falls eine logische Suche in verschlüsselten/geschützten
PDF-Dokumenten unter Verwendung der Option zur absturzsicheren Dekodierung gestartet
wurde, ohne vorher auf Verschlüsselung geprüft zu haben, war die Suche ergebnislos,
selbst wenn das korrekte Passwort angegeben war. Dies wurde behoben.
-
SR-7: X-Tension API: Die Funktion XWF_CreateEvObj
gab beim Aufruf für Asservate der Typen 0, 3 und 4 Handles zu den
falschen Asservaten zurück. Dies wurde behoben.
-
SR-7: Fallbericht: Unter bestimmten Umständen
wurden Miniaturansichten von Bildern erzeugt, als seien diese
Nicht-Bilder (z.B. Dokumente). Dies wurde behoben.
-
SR-7: Ein möglicher Absturz beim Extrahieren von
Metadaten aus MP3-Dateien, die einen ID3-Tag mit inkompatiblem GEOB-Eintrag
enthalten, wurde verhindert.
-
SR-7: Extraktion von Änderungszeitstempeln aus TAR-Archiven
mit bestimmten nicht-standardmäßiger Kodierung mit der alternativen
Extraktionsmethode.
Wir hoffen, Sie bald wieder auf
http://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie
diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z.
B. noch mit weiteren E-Mail-Adressen)
hier. Vielen
Dank.
Freundliche Grüße
Stefan Fleischmann
--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde |