#160: X-Ways Forensics,
X-Ways Investigator und WinHex 19.8 veröffentlicht
21. Februar 2019 |
In dieser Ausgabe des Newsletters informieren wir Sie
über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version
19.8. Erscheinungsdatum war der 21. Februar 2019. Nicht alle Beschreibungen
sind auf Deutsch verfügbar.
Evaluationsversion von WinHex:
https://www.x-ways.net/winhex.zip
(korrekte Download-Adresse auch für Benutzer mit einer privaten,
professionellen oder Specialist-Lizenz)
Kunden erhalten Download-Instruktionen, Log-In-Daten
(!!
mit aktuellem Passwort
!!) sowie Details zu Ihrem Zugang zu Updates wie immer unter
https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates
oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw.
Lizenzverlängerungen.
Wenn Sie an Informationen über Service-Releases
interessiert sind, wenn diese veröffentlicht werden, können Sie diese im
Bereich „Announcements“
des
Forums einsehen und sich
bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen
in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie
vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie
bitte zumindest das letzte Service-Release der betreffenden Version
verwenden.
Anstehende Schulungstermine
Wenn Sie über weitere Termine informiert werden möchten,
können Sie hier Ihre
E-Mail-Adresse hinterlassen.
Was ist neu in v19.8?
(Bitte beachten
Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
File System Support
-
Umfassenderes Verständnis von
APFS-Dateisystem-Datenstrukturen.
-
Unterstützung einer neuen Variante des Ext4-Dateisystems. Das Parsen
dieser Variante (um einen Datei-Überblick zu erzeugen) ist ohne Verständnis der speziellen
Eigenschaften zum Scheitern verurteilt. Frühere Versionen von X-Ways Forensics melden dem
Nutzer die Anwesenheit eines nicht-unterstützten Dateisystem-Features.
-
Die Option, das Ext3/Ext4-Journal zu parsen, hat sich als etwas
problematisch herausgestellt und wurde aus den Optionen des Datei-Überblicks entfernt.
-
Es gibt nun für die besonders intensive
Dateisystem-Datenstruktur-Suche eine optionale Funktion, die bestimmten
ehem. existierende Dateien, die sonst nur mit Metadaten des Dateisystems
dargestellt würden und ohne Inhalt, doch Daten zuordnen kann, mit Hilfe
des Ext3/Ext4-Journals.
-
Im Vergleich zu früheren Versionen deutlich erweiterte
Vorschau/Darstellung des Ext3/Ext4-Journals.
-
Die fälschliche Anzeige als bereits eingesehen für bestimmte
in HFS+ komprimiert gespeicherte Dateien wurde behoben.
Dateiformat-Unterstützung
-
Zwei zusätzliche interne Metadaten-Zeitstempel werden jetzt aus
MS Word OLE2-Compound-Dokumenten extrahiert, die zum Abgleich nützlich sein können. Das
Feld "nRevision" wird jetzt ebenfalls extrahiert, was laut seiner Dokumentation
angibt, wie oft das Dokument gespeichert wurde.
-
Probeweise Unterstützung für das RAR-Archivformat Version 5.
-
Sprunglisten-Hash-Werte werden jetzt in Anwendungsnamen übersetzt bei
der Metadaten-Darstellung von customDestionations-ms und automaticDestinations-ms Sprunglisten,
basierend auf der neuen, Nutzer-editierbaren Textdatei namens JumpListNames.txt. Die
Übersetzungstabelle besteht aktuell aus etwa 500 Einträgen. Falls Sie Einträge hinzufügen,
achten Sie bitte darauf, dass Sie diese an der richtigen Stelle einfügen, damit die Einträge
weiterhin aufsteigend nach CRC sortiert bleiben. Führende Nullen im CRC müssen natürlich
erhalten bleiben. Zwischen CRC und Anwendungsname ist ein Tabulatorzeichen.
-
Darstellung weiterer Kamera-Raw-Formate in Galerie und Vorschaumodus
nach erfolgter Suche nach eingebetteten Bildern: NEF, ARW, ORF
-
Der Zeichensatz bzw. die Code Page von Textdateien wird nicht mehr in
der Typ-Spalte angezeigt, sondern in der Metadaten-Spalte.
-
Viele Detail-Verbesserungen bei der Metadaten-Extraktion.
-
Generator-Signaturen für die QuickTime-Video-Format-Familie
(MOV, MP4, 3GP, ...) definiert, in der Datei "Video Signatures.txt".
Videos dieser Format-Familie und auch AVIs bekommen einen Gerätetyp zugewiesen. Der
ermittelte Gerätetyp von Videos wird auch deren generische Relevanz beeinflussen,
basierend auf der Gewichtung, die Sie für JPEG-Dateien in der Datei "Generator Signatures.txt"
anpassen können, am Ende der *** Zeilen. Die Struktur der "Video Signatures.txt" ist mit der
der "Generator Signatures.txt" identisch. Aktuell besteht sie aus zwei Unterkategorien: Original und
Generic. Sie können neue Signaturen (wie im Detailmodus angezeigt) zum Abschnitt Original hinzufügen,
wenn Sie sich sicher sind, dass das Video nicht bearbeitet wurde, sonst im Abschnitt Generic.
-
Zusätzliche Metadaten werden aus QuickTime Videodateien extrahiert.
Beispielsweise die Werte für pixel dimensions und handler sind neu. Die Anwesenheit von
angehängten Daten (trailing data) wird ebenso erwähnt wie ein unvollständiger Zustand
einer QuickTime Videodatei.
-
Der Bearbeitungszustand "Original" wird für QuickTime Videos im Detailmodus
angezeigt, falls zutreffend. Diese Aussage ist allerdings nicht so stark wie für JPEG-Bilder.
Die Inhalte könnten auf ungewöhnliche Art verändert sein, ohne, dass dies erkennbar wäre (z.B. der
Austausch einzelner Frames). Die Aussage bezieht sich auf die Formatstruktur. Gewöhnliche
Bearbeitungsprogramme ändern diese Struktur praktisch immer, weswegen "gewöhnliche" Bearbeitung
erkannt wird.
-
Exif-Daten aus HEIC-Bildern werden extrahiert.
JPEG-Metadaten-Unterstützung
-
Der DHT-Marker in JPEG-Dateien wird bei der Metadaten-Extraktion jetzt ausgewertet.
Falls der Marker vom JPEG-Standard definierte Werte enthält, wird er als "Standard"
gekennzeichnet, andernfalls wird die Anzahl der Tabelleneinträge ausgegeben. Praktisch alle
Digitalkameras verwenden Standardtabellen, aber von Sozialen Netzwerken erzeugte JPEGs nicht. Diese
verwenden optimierte Tabellen und erreichen so eine Größenreduktion um etwa 5%.
-
Es werden jetzt über 20.000 Geräte anhand von
"Generator Signatures.txt" und über 6.000 Smartphone-Modelle mittels
"Phone Alias Table.txt" erkannt. Letztere muss jetzt alphabetisch sortiert sein, da dies
Performanz verbessert. Beachten Sie, dass es sich hier um eine Unterstützungstabelle handelt.
Entsprechende Einträge in Generator Signatures.txt sind entscheidend für die Erkennung und
Kategorisierung in Geräteklassen. Dank zunehmend regionalspezifischer Smartphone-Modellvarianten können
immer mehr Bilder bestimmten Regionen der Welt zugeordnet werden.
-
Zwei neue Gerätetypen wurden definiert: Action cams and Monitor cameras
(=Game cameras, Trail cams, auch zu Überwachungszwecken genutzt).
-
Fähigkeit, die Regionsinformation aus Huawei Firmware-Kennungen zu dekodieren.
-
Verbesserte Erkennung von Bildern, die mit Frontkameras aufgenommen wurden.
-
Extraktion der Epoch-Zeitstempel aus Facebook-Dateinamen.
-
Aus Dateinamen entnommene Zeitstempel werden jetzt ausdrücklich in der Zusammenfassungstabelle
von JPEG-Metadaten ausgegeben (früher nur für die Spalte Erz. des Inhalts verwendet). Nützlich für Bilder, die auf
Sozialen Netzwerken geteilt wurden, wo wenige Metadaten verfügbar sind und wo diese den Zeitpunkt, zu dem das Bild
geteilt wurde, angeben könnten.
-
Die Generator-Signaturen wurden leicht überarbeitet, um Bilder aus Sozialen Netzwerken
besser als solches zu erkennen. Insbesondere Bilder von Facebook und Twitter werden jetzt besser erkannt als
früher. Außerdem wurde ein Typ "Adobe embedded" hinzugefügt und die allgemeine Gerätetyp-Erkennung
leicht verbessert.
-
Die Zusammenfassungstabelle
von JPEG-Metadaten identifiziert jetzt einen "processing state", der einer der folgenden sein kann:
original (=wie ursprünglich von einem Digitalgerät erzeugt), edited normally (die Bearbeitung wurde vom verwendeten
Programm als solches gekennzeichnet), social media (wie von verschiedenen Sozialen Medien, Blogs, Foto-Sharing-Diensten
oder auch eBay veröffentlicht), irregular editing detected (bedeutet, die Natur der Änderung ist etwas unklar, könnte
auch Bearbeitung von Sozialen Medien bedeuten, wenn diese nicht als solches erkannt wird), und EXIF stripped (EXIF-Header
künstlich entfernt).
-
Die Berechnung der generischen Relevanz für Bilder wurde leicht angepasst, um Bildern
den Vorzug zu geben auf Basis von Kameraoriginal, exakt definiertem Erzeugungszeitpunkt und -ort, Gerätetyp,
verfügbaren Metadaten, etc. Die mittlere Relevanz von JPEG-Bildern ist jetzt etwa 4,0. Die Gewichtung des
Bearbeitungszustandes "Social media" zum Zweck der Relevanzberechnung kann in der Datei
Generator Signatures.txt angepasst werden (suchen Sie nach der Zeile "JPEG/Social Media").
Der Standard ist mittlere Gewichtung.
-
Ein neuer Zustand für JPEG-Dateien wurde eingeführt: "embedded". Dieser Zustand
identifiziert Bilder, die nicht als Einzeldateien erzeugt wurden, sondern in größere Dateien eingebettet, als
Vorschaubilder oder Alternativdarstellung mit geringerer Auflösung. Dieser Zustand kann
irreführenderweise auftreten, wenn
ein Tool nachträglich JPEG-Metadaten entfernt.
-
Eine Generator-Signatur für WeChat wurde definiert. Der Verarbeitungszustand "Social Media"
enthält jetzt WeChat.
-
Dekodierung und Ausgabe zusätzlicher Firmware-Zeitstempel.
-
Korrektur ehemals falscher JPEG-Metadaten-Ausgaben.
-
JPEG-Metadaten-Darstellung leicht verbessert.
E-Mail
-
E-Mail-Anhänge zeigen jetzt die gleichen Zeitstempel in den Spalten Erzeugung und Änderung
wie die E-Mail-Nachrichten, zu denen sie gehören, damit Sie direkt sehen können, wann diese versandt
(Spalte "Erzeugung") und zugestellt (Spalte "Änderung") wurden.
Nutzeroberfläche
-
Die maximale Anzahl zusätzlicher Arbeits-Threads bei Datei-Überblick erweitern und logischer
Suche, sofern hinreichend Prozessorkerne vorhanden, wurde auf 16 in X-Ways Forensics und 3 in X-Ways Investigator
erhöht.
-
Fähigkeit, Verzeichnis-Unterbäume im Vorschaumodus mit Verzeichnisgrößen anstelle von
oder zusätzlich zur Datei-Anzahl anzuzeigen (siehe neue Einstellungen in Optionen | Viewer-Programme).
-
Der Berichtstabellen-Filter besitzt jetzt die Option, Unterobjekte von Dateien mit auszugeben,
zusätzlich zu Geschwistern.
-
Dass neu entdeckte Namen (z.B. E-Mail-Betreff von Original-.eml-Dateien
oder die ursprünglichen Namen von Dateien in iPhone-Backups) der neue Hauptname in einem
Datei-Überblick werden (und damit auch potentiell Teil eines Pfads, falls sie Unterobjekte haben) ist
jetzt optional. Falls nicht aktiv, werden sie stattdessen zum alternativen Namen, der in hellerer Farbe in
eckigen Klammern als Zusatzinformation angezeigt wird.
-
Option, die Pfadspalte rechts auszurichten, falls Sie vorzugsweise eher das Ende des
Pfads sehen und dennoch die Breite der Pfadspalte kompakt halten möchten. Einfach ein Schalter in den
Verzeichnis-Browser-Optionen mit einem Pfeil, der in die Richtung zeigt, wo die Pfade ausgerichtet
werden.
-
Einige GUI-Anpassungen für hohe DPI-Einstellungen in Windows. Nutzer können jetzt
zwischen den höher aufgelösten Icons für Werkzeugleiste, Kontextmenü und Modus-Schalter wählen mittels
eines nicht beschrifteten neuen Kontrollkästchens in Optionen | Allgemein. Standardmäßig werden die
größeren Icons jetzt auf Systemen mit mehr als 150% DPI-Einstellungen verwendet.
-
Nur in X-Ways Forensics: Fähigkeit, eine Liste ausgewählter Dateien
im Project Vic JSON-Format auszugeben.
-
Es war bereits in früheren Versionen möglich, die
untere Hälfte des Datenfensters abzukoppeln und wie ein loses separates
Fenster zu behandeln, das man z. B. auf einen anderen Monitor schieben
kann. Ein erster Klick auf dieselben
drei Punkte macht nun die untere Hälfte des Datenfensters zunächst zu
dessen rechter Hälfte. Das kann bei den heutzutage üblichen
Breitbild-Monitoren von Nutzen sein, auf denen vertikaler Platz knapp
ist, so dass Sie eine lange vertikale Liste von Dateien sichtbar haben
können und gleichzeitig die volle Bildschirmhöhe auch für Vorschauen von
seitenbasierten Dokumenten zur Verfügung haben, die zum Betrachten im
Hochformat gedacht sind. Nützlich auch für die Galerie, und sehr
effizient für Bilder im Hochformat, den Detailmodus sowie
Hex-Editor-Anzeigen in den Modi Disk/Partition/Volume/Datei, die
traditionellerweise in nur 16 Bytes pro Zeile unterteilt sind.
-
"Nachrichten in msglog.txt erfassen" ist jetzt ein
dreistufiges Kontrollkästchen. Das voreingestellte Verhalten hat sich
nicht geändert, aber es ist jetzt der mittlere Zustand des Kästchens.
Voll angekreuzt bedeutet nun, daß auch Nachrichten im
Fortschrittsanzeigefenster (Beschreibungen von Vorgängen und die Namen
von verarbeiteten Dateien) in die Log-Datei geschrieben werden. Das ist
normalerweise etwas übertrieben.
-
Ein unbeschriftetes, aber mit Tool-Tip versehenes, neues
Kontrollkästchen in der Mitte des Dialogfensters für die Allgemeinen Optionen
erlaubt die programmweite Verwendung eines alternativen Dateiauswahl-Dialogfensters
für den Fall, dass auf Ihrem System die Dialogfenster im Originalstil zu Problemen
führen.
-
Mathematische Formeln in Schablonen können jetzt Variablen vom
Typ uint_flex verwenden.
-
X-Ways Forensics fragt jetzt nach, bevor bestehende Markierungen durch
pauschales (De-)Markieren ganzer Verzeichnisse oder Dateiauflistungen mit einem einzigen
Mausklick verloren gehen.
-
Die graphischen oder textbasierten Bildschirmfotos der Einstellungen für
Datei-Überblick erweitern für das Fallprotokoll beinhalten jetzt auch dann Bildschirmfotos der
Unterfenster mit weiteren Einstellungen, wenn der Nutzer diese nicht geöffnet und mit OK
wieder geschlossen hat.
Suche/Indexierung
-
Neue Version der Indexierung und der Index-Suche.
-
Die Funktionalität mehrerer Kontrollkästchen mit bisher drei Zuständen bei der
Parallelen Suche wurde in jeweils zwei normale Kontrollkästchen aufgeteilt. Benutzer einer deutschen
Tooltips.txt sollten bitte eine neue Version dieser Datei herunterladen.
-
Bei der Parallelen Suche ist "Nur ganze Wörter" nun
eine dreistufige Option mit folgender Wirkung: Der mittlere Zustand
sucht nach Wortanfängen, d. h. erfordert eine Wortgrenze am Anfang eines
Suchtreffers. Das bedeutet, mit "echt" finden Sie auch "echte" und
"echten", aber nicht "recht" oder "rechts". Das ist ansonsten nur mit
GREP-Syntax zu erreichen, und falls Sie manche Suchbegriffe als ganze
Wörter und andere als Wortanfänge suchen möchten, setzen Sie bitte dafür
weiterhin GREP-Syntax ein.
-
Die Option "Nur ganze Wörter" bei der Parallelen Suche unterstützt
jetzt Zeichen außerhalb von Latin I in vielen Sprachen
(osteuropäischen Sprachen, Russisch, Arabisch, Hebräisch, Griechisch, ..., abhängig davon, welche Zeichen Sie
eingeben) auch für Suchen in UTF-8.
Unterstützung für Datenträger(-sicherungen)
-
Es gibt nun eine Option in den Falleigenschaften, den
Hash einer Datenträgersicherung sofort automatisch nach dem Hinzufügen
zum Fall zu überprüfen, sofern ein solcher Hash-Wert vorhanden ist, oder
(wenn das Kontrollkästchen ganz angekreuzt ist) einen solchen Hash-Wert
bei der Gelegenheit von Grund auf neu zu berechnen, wenn kein Wert
vorgefunden wird. Neu erzeugte Fälle erben diese Einstellung vom letzten
geöffneten Fall, dessen Eigenschaften Sie mit OK bestätigen. Das
bedeutet auch, daß Sie Images per Befehlszeile überprüfen lassen können,
mit dem AddImage-Befehl. Das Ergebnis wird ausgegeben 1) im
Nachrichtenfenster, 2) in der Datei msglog.txt, wenn gewünscht, und 3)
in den Eigenschaften des Asservats, d. h. der Repräsentation des Images
im Fall.
-
Fähigkeit, virtuelle Festplatten im VHDX-Format zu interpretieren
und wie andere unterstützte Image-Formate zu einem Fall hinzuzufügen. Sie können auch
direkt aus anderen in X-Ways Forensics geöffneten Asservaten heraus geöffnet und als
Datenträgersicherung interpretiert werden.
-
Das Füllen neu erzeugter Ersatz-.e01-Segmente mit einem speziellen Wasserzeichen
("FEHLENDES IMAGE-SEGMENT") ist jetzt aus Performanzgründen optional. Ausgenullte Blöcke sind
schneller zu erzeugen.
-
Verbesserte Darstellung von MD RAIDs und LVM2. Zum Beispiel werden die Container-Header-Bereiche jetzt
als Dateien angezeigt, statt als Partitionen, und reine Container-Partitionen werden nicht mehr automatisch dem Fall hinzugefügt.
Unterstützung von LVM2-Containern in Level 1 MD RAID Containern. Fälle, die Asservate mit MD RAID oder LVM2-Partitionierung
beinhalten, die in früheren Versionen erzeugt wurden, sollten in v19.8 nicht weiter verarbeitet werden.
-
Einige Partitionsattribute aus GUID-Partitionstabellen werden jetzt in der Attr.-Spalte angezeigt: system
(=vom Betriebssystem benötigt), hidden (=nicht als Laufwerksbuchstabe gemountet), read-only, shadow copy.
-
Unterstütztung für Partitionsnamen in GUID-Partitionstabellen in ASCII.
-
Partitionen, die als Unterobjekt-Asservate nachträglich zu einem Fallbaum hinzugefügt werden, wenn ihr
Eltern-Asservat nicht am Ende des Baumes steht, bekommen jetzt eine Asservat-Nummer, die ihrer Position und Reihenfolge im
Baum entspricht, was beim Sortieren des Verzeichnis-Browsers nach der Asservatspalte einen Unterschied macht.
Hashen/PhotoDNA
-
Identifikation doppelter Bilder mittels PhotoDNA erlaubt jetzt, die Duplikate in Berichtstabellen zu
gruppieren.
-
Die Notationsoptionen beinhalten jetzt eine Einstellung, Berichtstabellen zu zeigen, die Gruppen identischer
Dateien kennzeichnen.
-
Beim Abgleich von Hash-Werten mit der Hash-Datenbank (normale Hash-Werte wie MD5, SHA-1, SHA-256, ...)
gibt es jetzt eine Option, eine lokale Kopie der Datenbank zu erzeugen und mit dieser Kopie zu arbeiten. Dies kann nützlich
sein, wenn man die Datenbank mit Kollegen gemeinsam nutzt und Ihre Kollegen die Datenbank aktualisieren wollen (z.B. durch
Hinzufügen neuer Hash-Sets) während sie zum Abgleich im Einsatz ist, was sonst für die gesamte Dauer der Erweiterung des
Datei-Überblicks nicht möglich wäre. Dies könnte auch die Performanz verbessern, wenn die Datenbank so groß ist, dass sie
nicht im Ganzen im Speicher gehalten werden kann und auf einem Netzlaufwerk gespeichert ist. Die lokale Kopie wird im
Verzeichnis für temporäre Dateien angelegt, falls noch nicht vorhanden, und wird nur aktualisiert, wenn sich die Originalkopie
der Datenbank geändert hat (alle Nutzer sollten v19.8 oder später verwenden, um unnötiges Kopieren einer unveränderten Datenbank
zu vermeiden).
-
Unterstützt jetzt bis zu ~58.8 Mio. PhotoDNA-Hash-Werte in der Hash-Datenbank statt bisher ~29.4 Mio.
(nur in der 64-bit-Edition). Bitte beachten Sie, dass es nicht empfehlenswert ist, so viele Hash-Werte in der PhotoDNA-Datenbank
zu haben, da der Abgleich sehr lange dauern wird, selbst, wenn alle verfügbaren CPU-Kerne gleichzeitig eingesetzt werden.
Diverses
-
Wenn man den logischen Speichers eines laufenden Prozesses öffnet, wird der Erzeugungszeitpunkt des
Prozesses in der Informationsspalte angezeigt.
-
Einige Stabilitätsverbesserungen.
-
Unzählige kleinere Verbesserungen.
-
Benutzerhandbuch und Programmhilfe für v19.8
aktualisiert.
-
Zu Ihrer Information: Einige sehr wenige Nutzer
von Windows 10 haben Probleme in X-Ways Forensics gemeldet, seit sie
auf Version 1809 von Windows 10 aktualisiert haben.
Änderungen der Service-Releases von v19.7
-
SR-1: Fähigkeit, bestimmte fragmentiert gespeicherte
Dateien in APFS zu öffnen, bei denen das vorher nicht ging (sie wurden
ohne Inhalt angezeigt oder es gab weitere Fehler).
-
SR-1: Einige erweiterte Attributein APFS werden jetzt
als Information in der Metadatenspalte angezeigt, falls geeignet, andere
gar nicht, in Abhängigkeit von denselben Datei-Überblick-Einstellungen, die
bisher nur für HFS+ galten.
-
SR-1: Unnötige Meldungen wurden verhindert und die neue
Option "Convert RTF e-mail bodies to plain UTF-8" wurde weiter verbessert.
-
SR-1: Ein Ausnahmefehler wurde behoben, der beim Ändern
der automatisch ermittelten Sektorgröße von Roh-Images auftreten konnte.
-
SR-1: Die Unfähigkeit, mehrere angehängte E-Mail-Nachrichten
mit Dateianhängen beim Wiederherstellen/Kopieren oder der Berichtserzeugung korrekt
in ihre eine Eltern-E-Mail-Nachricht einzubetten wurde behoben.
-
SR-1: Die unvollständige HTML-Darstellung von
$UsnJrnl:$J wurde korrigiert.
-
SR-2: Metadaten werden jetzt aus Schattenkopie-Dateien
auch dann extrahiert, wenn die Datei-Überblick-Option, nicht initialisierte
Bereiche als binäre Nullen zu lesen, aktiv ist.
-
SR-2: Die Unfähigkeit in v19.7, Image-basierte Asservate ohne
vorhandenes Image zu öffnen, wurde behoben.
-
SR-2: Die Vorschau für Verzeichnisse kann jetzt über ein
unbeschriftetes, aber mit Tool-Tip versehenes, neues Kontrollkästchen in Optionen |
Viewer-Programme aktiviert oder deaktiviert werden; deaktiviert zum Beispiel zur
Beschleunigung der Verzeichnis-Browser-Navigation.
-
SR-2: Logische Suchen betrachten zusätzlich auch die Rohdaten
in bestimmten Clustern von NTFS-Kompressionseinheiten, jetzt mehr Cluster als
vorher.
-
SR-3: Abstürze mit bestimmten SNSS-Dateien verhindert.
-
SR-3: Das Lesen aus einer Partition einer physischen Platte
löst jetzt wieder Minimalsicherung aus, wenn die physische Platte das Ziel der
Sicherung ist, wie in früheren Versionen.
-
SR-3: Spontane Berechnung von edk2-Hash-Werten beim
Hinzufügen von Dateien in Datei-Container wird nicht unterstützt, aber wenn
solche Hash-Werte bereits im Datei-Überblick gespeichert sind, werden diese
jetzt korrekt in den Container übernommen, falls gewünscht.
-
SR-3: Ein Ausnahmefehler wurde behoben, der in
v19.7 beim Carven bestimmter JPEG-Dateien auftreten konnte.
-
SR-3: Registry Viewer: Die Wert-Datentypen
REG_DWORD_BIG_ENDIAN und REG_QWORD wurden bisher behandelt wie
REG_BINARY und werden jetzt korrekter interpretiert.
-
SR-3: Registry Viewer: Ein Ausnahmefehler wurde behoben,
der beim Erkunden von mehr als 80 ineinander verschachtelten Schlüsseln
aufgetreten ist.
-
SR-3: Registry Viewer: Schlüssel mit überlangen Namne
(mehr als 260 Zeichen) wurden nicht korrekt verarbeitet und konnten zu
Programmabstürzen führen. Dies wurde behoben.
-
SR-3: Registry Viewer: ASCII-Zeichen im Bereich von 0x01
bis 0x1F wurden nicht konsistent behandelt. Dies wurde verbessert.
-
SR-3: Multi-Threading in der Galerie hat in Verbindung mit
dem Filter auf Video-Einzelbilder und der Option "zugehör. Video direkt davor
anzeigen" zu Problemen geführt, weswegen dies mit diesen Einstellungen jetzt
unterbunden wird.
-
SR-3: Ein möglicher Absturz mit einen seltenen Finder Bookmark-Dateien
(flnk) wurde behoben.
-
SR-4: Ein Ausnahmefehler wurde behoben, der möglicherweise beim
Extrahieren von Metadaten auftreten konnte.
-
SR-4: Ein Ausnahmefehler wurde behoben, der beim Parsen von
Registry Hives in v19.6 und später auftreten konnte.
-
SR-4: Die Option "Etw. lfd. Sicherungen in anderen Instanzen
abwarten" hat in X-Ways Imager nicht funktioniert. Dies wurde behoben.
-
SR-4: Bei der Erzeugung des Fallberichts funktioniert die Option
"In ausgewählten Asservaten" jetzt auch in Verbindung mit "Wie derzeit
im Asservat-Überblick aufgelistet".
-
SR-4: Ein Fehler wurde behoben, der beim Indexieren von mehr als
8.190 Zeichen aufgetreten ist (Japanisch war die einzige betroffene vordefinierte
Sprache mit knapp 15.000 Zeichen). Koreanisches Alphabet neu definiert. Die interne
Übersetzung bestimmter Index-Zeichensätze wurde korrigiert.
-
SR-4: Ein seltener Ausnahmefehler wurde verhindert, der bei der
Verarbeitung gecarvter Registry-Hive-Fragmente auftreten konnte.
-
SR-4: Ein seltenes Stabilitätsproblem wurde behoben, das bei
der Metadaten-Extraktion mit zusätzlichen Threads auftreten konnte und zu einer
nicht mehr reagierenden Nutzeroberfläche führen konnte.
-
SR-5: Die falsche Anzeige von freiem Speicher in einigen FAT12-Volumes
wurde korrigiert.
-
SR-5: Korrigiert: Fälschliche Einfügung eines Punktes in den
Datei- oder Verzeichnisnamen für bestimmte Verzeichnisse mit kurzen Namen in FAT
in v19.4 SR-4.
-
SR-5: "nur jeweils 1 harten Verweis" hat keine
Auswirkung mehr, wenn der Datei-Überblick nur für ausgewählte Dateien erweitert
wird, wie in früheren Versionen.
-
SR-5: Ein Fehler wurde behoben beim Öffnen von Unterobjekten
(entdeckte eingebettete Daten) in Dateien mit Hardlinks in HFS+.
-
SR-6: Die Verwendung der fallspezifischen Passwortsammlung wurde
in v19.7 korrigiert.
-
SR-6: Ein Sektorzuordnungsfehler in v19.7 beim Befüllen einer
physischen Minimalsicherung mit Daten aus enthaltenen Partitionen wurde korrigiert.
Wir hoffen, Sie bald wieder auf
http://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie
diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z.
B. noch mit weiteren E-Mail-Adressen)
hier. Vielen
Dank.
Freundliche Grüße
Stefan Fleischmann
--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde |