#163: X-Ways Forensics,
X-Ways Investigator und WinHex 20.0 veröffentlicht
19. August 2020 |
In dieser Ausgabe des Newsletters informieren wir Sie
über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version
20.0. Erscheinungsdatum war der 18. August 2020. Nicht alle Beschreibungen
sind auf Deutsch verfügbar.
Evaluationsversion von WinHex:
https://www.x-ways.net/winhex.zip
(korrekte Download-Adresse auch für Benutzer mit einer privaten oder
professionellen Lizenz)
Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten
(!!) sowie Details zu Ihrem Zugang zu Updates wie immer unter
https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates
oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw.
Lizenzverlängerungen.
Wenn Sie an Informationen über Service-Releases
zwischendurch interessiert sind, sobald diese veröffentlicht werden, können Sie diese im
Bereich „Announcements“
des
Forums einsehen und sich
bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen
in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie
vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie
bitte zumindest das letzte Service-Release der betreffenden Version
verwenden.
Anstehende Schulungstermine
Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten,
sobald diese feststehen, können Sie
hier Ihre
E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im
Online-Live-Format werden
hier aufgelistet. Davon ist der Termin am 8.-11.
September besonders für Teilnehmer in der mitteleuropäischen Zeitzone
geeignet.
Was ist neu in v20.0?
(Bitte beachten
Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
Dateisystem-/Datenträger-Unterstützung
-
Die Unterstützung für UFS wurde überarbeitet. Erheblich mehr
Varianten von UFS werden jetzt verstanden.
-
APFS: Die neue Catalog-ID-Struktur von Mac OS Catalina
wird jetzt unterstützt.
-
Der technischer Detailbericht/die Asservateigenschaften
zeigen jetzt Details von MacOS X Installationen auf HFS+ oder APFS Volumes:
Exakte OS-X-Version, Zeitzone, der Netzwerk- und Anzeigename des Systems.
-
Unterstützung für erheblich stärker verschachtelte Unterverzeichnisse
auf XFS-Volumes.
-
Unterstützt Ext4-Volumes mit Version 2 des "Sparse
Superblock" Feature.
-
Leicht vervollständigte Ausgabe der Ext*-Dateisystemzeitstempel.
-
Möglichkeit auszuwählen, mit welcher Kopie der FAT12/FAT16/FAT32-Dateizuordnungstabelle
gearbeitet werden soll, in Optionen | Datei-Überblick. Das kann
entweder eine benutzerdefinierte Kopie sein, oder die, die vom Bootsektor als aktiv
gekennzeichnet ist (bei FAT32). Falls weder der Benutzer eine Kopie auswählt, noch
der Bootsektor eine konkrete Kopie als aktiv kennzeichnet, wird die erste Kopie
verwendet, als "FAT 1" gekennzeichnet, wie in früheren Versionen.
Die Kopie, die zum Zeitpunkt der Erzeugung des Datei-Überblicks ausgewählt war,
wird für die gesamte Lebensdauer dieses Datei-Überblicks verwendet, selbst, wenn
die Einstellung geändert wird. Sie wird in der Informationsspalte angezeigt. Der
technische Detailbericht zeigt jetzt an, welche Kopie oder Kopien im Dateisystem
als aktiv erachtet werden.
-
Identifiziert unpartitionierte physische Datenträger oder
Datenträgersicherungen als solches in einigen seltenen Fällen, wo dies bisher
nicht der Fall war.
-
Allgemeine Option, Volumes einschließlich ihres Schlupfbereiches
zu öffnen, der keinen weiteren Cluster mehr ergibt, genau wie beim Öffnen ganzer
Partitionen. Die Daten in diesem Bereich, vom NTFS Bootsektor-Backup abgesehen,
gehören logisch nicht zu diesem Volume, und waren in den Sektoren
bereits gespeichert, bevor das Volume
erzeugt wurde. Der Bereich wird nicht benötigt, um das Dateisystem auszulesen oder das Volume
zu "mounten" (auch wenn manche Tools vielleicht eine Fehlermeldung ausgeben, wenn er
nicht enthalten ist). Diese Daten in einer Volume-Sicherung mit zu erfassen kann
ein Sicherheitsrisiko darstellen, falls nur der regulär zugreifbare Teil des Volumes
vor der Neuverwendung bereinigt wurde.
-
Identifiziert einige neue Bustypen für aktuell angeschlossene
Datenträger.
-
Aktive Sektorüberlagerung wird für Asservate jetzt
gespeichert und beim nächsten Öffnen des Asservats automatisch wieder
aktiviert, und der Nutzer wird darauf hingewiesen.
-
Allgemein verbesserte Behandlung unvollständiger/beschädigter
.01-Evidence-Files, ähnlich der Behandlung von Datenträgern mit unlesbaren
Bereichen (defekte Sektoren). NTFS: Eine eingeschränkte Auflistung der Systemdateien
wird in einem solchen unvollständigen Image nun auf Basis der $MFTMirr erzeugt, wenn
die $MFT nicht enthalten ist, $MFTMirr aber schon.
-
Fähigkeit, die potentiell langwierige Erstellung der
Cluster-Zuordnung für riesige Volumes abzubrechen, und dennoch mit der
Erstellung des eigentlichen Datei-Überblicks fortzufahren, falls gewünscht
(ohne die Möglichkeit, die Verwendung einzelner Cluster angezeigt zu bekommen).
Bildunterstützung
-
Neue Version der internen Bilddarstellungsbibliothek.
-
WEBP-Bilder werden jetzt in Vorschau, Galerie und für den
Befehl Einsehen unterstützt.
-
Fähigkeit, Bilder in einigen Varianten des DICOM-Formats
anzuzeigen.
-
Metadaten-Extraktion von WEBP-Bildern überarbeitet.
Ausgabe von Verarbeitungszuständen ähnlich zu PNG-Dateien. Die Erkennung
bzw. Typprüfung für DICOM und WEBP wurde überarbeitet.
-
Alle JPEG-Dateien werden im Detailmodus jetzt mit einem
Bearbeitungszustand angezeigt. Zwei zusätzliche Zustandswerte wurden eingeführt.
-
Der Bearbeitungszustand hängt jetzt vom erkannten
Generator ab, wobei jeder Generator jetzt einer von drei Generator-Klassen
zugeordnet ist: D (Device), E (Editor), or C (Content Management
System). JPEG-Dateien erzeugt von Generator-Klasse D sind eindeutige Originale.
Der Bearbeitungszustand ist immer "original". JPEG-Dateien erzeugt
von der Generator-Klasse E sind relative Originale. Ihr Bearbeitungszustand ist
"Regulär bearbeitet". Beispiele sind Fotos von Nachrichtenagenturen
wie Reuters.
-
Der ermittelte Bearbeitungszustand der dritten Generator-Klasse
(CMS wie WordPress, Drupal, TYPO3, Joomla etc.) kann verschiedene Werte annehmen.
Sie sind üblicherweise irregulär bearbeitet, d.h. ihr Bearbeitungszustand wird nicht
offiziell gekennzeichnet. Der Zustand kann indirekt abgeleitet werden basierend auf
Dateiname, Generator-Signatur, Pixel-Dimensionen. Der Zustand
"Irregulär bearbeitet" kann auch aus Bildmanipulationen resultieren.
-
Der neue Bearbeitungszustand "scaled" bedeutet,
dass ein Bild mit einem Content Management System wie WordPress,
TYPO3 oder Drupal erzeugt wurde. Es kann mit hoher Wahrscheinlichkeit davon
ausgegangen werden, dass solche Bilder veröffentlicht wurden, was mit einem
reduzierten Aufklärungswert einhergeht. Solche Bilder können praktisch
nicht als dokumentartig angesehen werden.
Sie wurden automatisch und individuell an die jeweilige Ausgabedarstellung angepasst, um
die Ladezeit der Seite zu optimieren.
-
Der Zustand "EXIF stripped" bezieht sich auf
JPEG-Bilder, deren Geräteherkunft erkannt wurde, obwohl keine EXIF-Metadaten
vorhanden sind. Das Gerät kann potentiell anhand der Generator-Signatur, des
Dateinamens oder charakteristischer Pixel-Dimensionen erkannt werden.
-
Der Zustand "Social Media" wird separat angegeben,
da solche Bilder oft einen höheren intelligence value besitzen. Im Unterschied
zu Bildern von Nachrichtenagenturen sind diese eher halb-öffentlicher Natur.
-
Der Zustand "minimized" ist ebenfalls neu und zeigt
an, dass die Qualität eines JPEGs oder die Dateigröße durch optimierte Neukompression
(jpeg-recompress, JPEGMini) reduziert wurde.
-
Der Zustand "undefined" bedeutet, dass der Zustand
nicht bestimmt werden kann. Es ist die Kategorie für alles, was übrig bleibt. Solche
Bilder sind üblicherweise ebenfalls Produkte von Content-Management-Dateien
beispielswSystemen, die
sich nicht identifizieren und deren Format noch nicht identifiziert wurde (was sich
in zukünftigen Versionen ändern kann).
-
Der Bearbeitungszustand und andere Angaben (Größe, Bits per
Pixel, Analyse des Dateinamens) werden jetzt auch für PNG-Dateien ausgegeben. Dieselben
Bearbeitungszustände wie für JPEG werden verwendet, aber "Irregulär bearbeitet" und
"EXIF stripped" sind nicht möglich. Der Wert "Original" wird nur für
Bildschirmfotos verwendet, sofern diese einen spezifischen Test bestehen.
-
Die "Size"-Angabe für JPEG-Bilder im Detail-Modus hat jetzt
immer einen oder zwei Werte. Größen, die keinen standardisierten Namen (wie z.B. "XGA")
haben, werden jetzt beschrieben als "thumbnail", "medium",
"medium large", "large" oder "big" basierend auf der von WordPress
etablierten Terminologie. Sofern ein erzeugendes Gerät erkannt wird, wird das Feld stattdessen
"Sensor size" bzw. im Fall von Scannern als "Paper size" bezeichnet.
-
Reduzierte Falsch-Positive bei der Erkennung von gescannten Dokumenten.
-
Die Identifikation von JPEG-Bildschirmfotos basiert
nun auf der
Erkennung des erzeugenden Geräts.
-
Verbesserte Bildklassifikation basierend auf den Pixel-Dimensionen.
-
X-Ways Forensics erkennt jetzt zusätzliche 5000+
Geräte zur besseren Identifikation der Herkunft von JPEG-Bildern und anderen Dateien.
Die Tabellen für Generator- und Video-Signaturen wurden aktualisiert.
-
Vereinfachte Ausgabe der "Quality" in der Summary-Tabelle
für JPEG-Dateien. Sie kann jetzt einen der Werte High, Medium, Low und Very low annehmen.
Sie basiert auf der in Prozent angegebenen Stärke der verlustbehafteten
Kompression des DQT-Segments.
-
Bei der Prüfung auf Kamera-Originale wird zusätzlich
berücksichtigt, ob die EXIF-Tags sortiert sind oder nicht.
-
Ausgabe der GPS-Koordinaten mit bis zu sechs
Nachkommastellen. Nützlich, da neuere Samsung-Geräte dazu neigen,
weitere Stellen anzugeben und so indirekt die Präzision des Wertes
anzugeben, entgegen der Konvention zu diesem Zweck den GPS-Error-Tag
zu verwenden, wie es Apple- und ältere Samsung-Geräte tun.
-
Falls in einer JPEG-Datei ein angesichts des
vermuteten Ursprungs "unerwartetes" GPS-Format vorgefunden wird,
wird dies dem Nutzer im Detail-Modus mitgeteilt. Das GPS-Format wird als "unknown"
angezeigt, wenn es in Bildern verwendet wird, die keine Kamera-Originale sind (z.B. das
Format der Anwendung Geosetter).
-
Generell verbesserte Prüfung auf GPS-Format-Konsistenz.
-
Einige weitere Zeitstempel für "Erz. des Inhalts" werden jetzt
aus Bildern extrahiert, insbesondere von XMP-Metadaten.
-
Ausgabe des von Photoshop gespeicherten Felds "Preserved file name" in den
Metadaten.
Dateiarchiv-Unterstützung
-
Unterstützung für in Teildateien aufgesplittete Archive
der Typen PKZIP/WinZip und 7-Zip.
-
Erweiterte Zeitstempel aus dem Extrafeld in Zip-Records
werden jetzt extrahiert und in den Zeitstempelspalten angezeigt, basierend
auf der Apple-Spezifikation, was allerdings nicht immer deren tatsächlicher
Bedeutung entspricht. Eine alternative Interpretation für jeden Zip-Record
wird angezeigt, wenn das Archiv im Detail-Modus angezeigt wird. Letztere
Interpretation zeigt diese Zeitstempel mit dem Präfix "UT" und
versucht, die tatsächliche Format-Variante zu erkennen, z.B. die in
GrayKey-Collections verwendete, und extrahiert aus solchen GrayKey-Collections
auch einen zusätzlichen Zeitstempel-Typ (einen Record-Change-Zeitstempel).
-
Die alternative Interpretation der erweiterten Zeitstempel
kann auch im Verzeichnis-Browser verfügbar gemacht werden. Dies ist eine Option
Optionen | Datei-Überblick. Die alternative Verarbeitung benötigt aktuell etwas
mehr Zeit.
-
In neu erweiterten Datei-Überblicken wird die Spalte
Startsektor für Dateien in Zip-Archiven jetzt korrekt belegt, mit dem
Sektor, der den Zip-Record der betreffenden Datei enthält. Anklicken einer
Datei in einem Zip-Archiv springt jetzt automatisch zu seinem Zip-Record, dem
wiederum die (überlicherweise) komprimierten Dateiinhalte folgen. Dies trifft
auf Dateien in verschachtelten Archiven nicht zu.
-
Erkennung und Vermeidung weiterer Varianten von
Zip-Bomben.
-
Die alternative TAR-Extraktionsmethode schätzt die
Größe eines MBOX-E-Mail-Archivs in einer Google Takeout TGZ-Datei, wenn
die Größe fälschlicherweise als 0 gespeichert ist, was offenbar in der Realität
so vorkommt. Nur mit diesem Work-Around kann das MBOX-E-Mail-Archiv aus
einer solchen Takeout-Datei überhaupt extrahiert werden, und nachdem das
erfolgt ist, können daraus natürlich normalerweise wiederum die enthaltenen
E-Mails und Anhänge extrahiert werden.
-
Navigation in einem Dateiarchiv mit Verzeichnissen ist
jetzt möglich, ohne beim Klick auf ein Verzeichnis den Datei-Modus zu verlassen.
-
Archiv-Untertypen einer Gruppe, die nicht für die automatische
Aufnahme in den Datei-Überblick ausgewählt ist, werden jetzt dennoch erkundet,
wenn der Benutzer sie doppelt anklickt.
-
Unterstützung für .ctx Chrome-Extensions als Dateiarchive.
Dieser Dateityp ist in einer neuen Installation jetzt in der "Special
interest" Gruppe der Archive aufgeführt.
-
Verbesserte Fähigkeit, Anhänge in PDF-Dateien zu
extrahieren, insbesondere aus sogenannten PDF-Portfolios (vom Benutzer
zusammengestellte Sammlungen beliebiger Dateien), mit den ursprünglichen
Namen und internen Pfaden der Attachments bzw. eingebetteten Dateien, wobei
die Beschreibungsspalte diese Dateien als Anhänge identifiziert.
Tabellenkalkulation
-
Neue Fähigkeit der logischen parallelen Suche, Zahlen
und Datumsangaben nicht nur als wörtlich gespeicherten Text zu finden, sondern auch
denn,
wenn sie in binärer Form in bestimmten Tabellenkalkulationsdateien
gespeichert sind (z.B. im OLE2-Compound-Dateiformat) oder in einer anderweitig
codierten Form (z.B. als ganze Zahlen in Form von Text innerhalb von XML),
sofern die Option "Text decodieren" aktiv ist. Dies funktioniert recht
gut mit Zahlen in Excel- und LibreOffice-Calc-Tabellen, kann aber hinsichtlich
des Formats eines
Datums gelegentlich schwierig werden, wenn der ursprüngliche Excel-Benutzer
ein selbst gewähltes Datumsformat verwendet statt eines der Standarddatumsformate,
und auch wegen einiger Besonderheiten bei bestimmten Calc-Dateien, wo es nicht
100%ig sicher ist, dass ein Datum im erwarteten Format extrahierbar ist. Diese
Art von Suche funktioniert sehr wahrscheinlich auch gut mit einigen anderen
Dateitypen, z.B. ältere Tabellenformate wie MS Works oder Lotus 123. Sie können
versuchen, die Dateitypen in Optionen | Viewer-Programme bei Bedarf selbst
festzulegen. Um die Extraktion von Zahlen und Daten bei einer bestimmten Datei
schnell zu sehen und zu prüfen, wählen Sie die Datei im Verzeichnis-Browser aus
und wechseln Sie vom regulären zum rohen Vorschau-Modus während Sie die Umschalt-Taste
gedrückt halten. Sie können stattdessen zur Beschleunigung der Textdecodierung
diese neue Dateimaske gerne auch komplett entfernen, wenn Sie gar nicht nach Zahlen
oder Daten in Tabellen suchen möchten.
Einige weitere Details zur Suche nach Zahlen: Stellen Sie sich eine
Zelle in einer MS-Excel-Tabelle vor, die die Zahl 1234567 enthält. Sie können diese Zahl
jetzt mit der parallelen Suche finden, indem Sie einfach "1234567" (ohne
Anführungszeichen) als Suchbegriff eingeben. Selbst, wenn Sie nur einen Teil der
Ziffernfolge kennen und nach "34567" suchen, werden Sie einen Treffer
bekommen (sofern Sie nicht die Option "Ganze Wörter" gewählt haben).
Falls die Zelle als "Zahl" formatiert ist (nicht "Standard"),
mit aktiver Zifferngruppierung, können Sie die Zahl von der Decodierung optional mit Zifferngruppierung
erhalten, wenn die Datei in diesem Datei-Überblick zum ersten Mal durchsucht/indexiert/decodiert
wird, unter Verwendung des Zifferngruppierungssymbols, das in X-Ways Forensics unter
Optionen | Allgemein | Notation eingestellt ist. Dies ist aber allgemein nicht
empfehlenswert, da Sie nach jeder Zahl sicherheitshalber mit und ohne Zifferngruppierung suchen müssten,
wenn Sie nicht wissen, ob die Tabellenzellen ursprünglich als "Zahl" mit
oder ohne Zifferngruppierung oder als "Standard" formatiert waren. Um
Ihnen ein weiteres Beispiel zu geben: Wenn Sie die Zifferngruppierung in Optionen |
Viewer-Programme aktivieren und Sie die in Deutschland üblich Notation mit dem
Punkt als Symbol zur Zifferngruppierung verwenden, würden Sie jetzt nach "1.234.567"
suchen, um diese Zahl in einer als Zahl formatierten Zelle zu finden. Sie könnten auch
einfach nach ".567" suchen, um die Zifferngruppe "567" am Ende oder
in der Mitte einer größeren Zahl mit dieser Notation zu finden.
Falls die Zahl, die Sie suchen, eine Gleitkommazahl ist, gelten dieselben
Regeln, wobei Sie die Zahl optional mit maximal sovielen Nachkommastellen eingeben
können, wie Sie erwarten, in der Zelle in der ursprünglichen Anwendung sehen zu
können, mit demselben Dezimalzeichen (Komma oder Punkt) wie in Ihren Notationseinstellungen
in X-Ways Forensics. Wenn ein Gleitkommawert beispielsweise als 9,876 gespeichert, und
mit zwei sichtbaren Nachkommastellen formatiert angezeigt wird, wird der Wert in der
ursprünglichen Anwendung gerundet angezeigt als 9,88, und genauso auch suchbar in
X-Ways Forensics. Die selben Regeln gelten für Währungsbeträge. Sie können das
Währungssymbol anhängen oder voranstellen, wenn Sie sicher wissen, dass es in der
Originaldarstellung sichtbar war, und wie (davor oder dahinter, mit oder ohne Leerzeichen zwischen
Währungssymbol und Zahl), oder Sie können das Symbol einfach weglassen.
Sie können nach Datumsangaben in reinen Datumszellen mit der Notation suchen, die in X-Ways
Forensics als das sogenannte einfache Format eingestellt ist. Wenn Ihr einfaches
Datumsformat DD.MM.YYYY lautet, würden Sie nach dem 31.12.2019 suchen, um dieses
Datum zu finden. Je nach Datumsformatierung kann auch ein Teilsuche sinnvoll sein:
im obigen Format z.B. wäre eine Suche nach ".07.2019" geeignet,
jedes beliebige Datum im Juli 2019 zu finden. Dasselbe Ergebnis bekäme man in ISO-Notation
"yyyy-MM-dd" mit einer Suche nach "2019-07-".
Reine Zeit-Zellen-Suchen sind jetzt ebenfalls möglich (mit teilweisen oder
ganzen Zeitangaben). Stellen Sie aber sicher, dass Sie das Trennzeichen
verwenden, das in X-Ways Forensics für die Darstellung von Zeiten eingestellt
ist. Suchen nach kombinierten Datums- und Zeitwerten sind möglich, allerdings
ist die Trennung zw. Datum und Uhrzeit nicht wie in den Allgemeinen Optionen in
Notation eingestellt, sondern typischerweise ein einzelnes Leerzeichen, oder ein
vom Benutzer des Spreadsheet-Programms individuell eingestelltes Zeichen.
Falls eine Excel-Tabelle in eine Datei der Typen .docx, .pptx, oder .odt eingebettet
ist, und der Datei-Überblick hinreichend erweitert wurde, wird diese Tabelle genauso
verarbeitet und durchsucht, als handele es sich um eine eigene Datei. Falls sie in
eine .doc-Datei eingebettet ist, erhalten Sie einen Hinweis in Form einer Berichtstabellen-Verknüpfung
"Contains embedded document(s)", welches ohnehin wert ist,
gesondert geprüft zu werden.
Die Fähigkeiten zur Zahlensuche sollten sich als nützlich erweisen, insbesondere
zum Zweck der Wirtschaftsprüfung, Steuerermittlungen, etc. Bitte beachten Sie,
dass die einfache Suchfunktion der Viewer-Komponente (Strg+F) im
normalen ("hübschen") Vorschau-Modus oder auch beim Einsehen Zahlen und
Datumsangaben
in Tabellen nicht finden kann, egal, wie Sie sie eingeben.
-
Vorschau-Modus und der Einsehen-Befehl benutzen jetzt
dieselben Zeichen für Zifferngruppierung, Dezimaltrennung, Datums- und Zeittrennung
und die selbe Datumsformatierung, die in X-Ways Forensics zu anderen Zwecken auch
verwendet werden, um Zahlen und Daten in Tabellenkalkulationen zu formatieren.
E-Mail-Unterstützung
-
Alternative Extraktionsmethoden sind jetzt verfügbar
für PST/OST/MBOX-E-Mail-Archive (derzeit noch in der Testphase). Diese
Methoden werden verwendet, wenn die Hauptextraktionsmethode bei der
E-Mail-Extraktion scheitert, oder wenn der Benutzer das so einstellt. Es
gibt für diese Festlegung ein neues Kontrollkästchen, ohne Beschriftung
aber mit Tool-Tip. Die alternative Methode für PST/OST funktioniert nicht
für passwortgeschützte E-Mail-Archive und kann keine ehemals existierenden
Objekte finden.
-
Beim Anhängen eines Verzeichnisses mit externen
Dateien an ein E-Mail-Archiv (PST, OST oder MBOX) werden die Inhalte
dieses Verzeichnisses behandelt wie das Ergebnis einer
E-Mail-Extraktion, die von der Viewer-Komponente vollzogen wurde. Das
bedeutet beispielsweise, dass redundante leere Verzeichnisse der
obersten Ebene wie "Top of Personal Folders", "Root - Mailbox",
"IPM_SUBTREE" wie in X-Ways Forensics üblich ausgelassen werden, und
dass die MSG-Dateien automatisch zerlegt werden in EML-Dateien mit E-Mail-Kopf und -Rumpf plus ggf. separate
Dateianhänge. Eine solche Extraktion kann durchgeführt werden mit den Kontextmenü-Befehlen
"Extract Selected Files" und "Extract All Files" in der Vorschau
oder beim Einsehen solcher E-Mail-Archive.
-
E-Mails, die aus PST/OST-E-Mail-Archiven extrahiert wurden,
und die wiederum an andere E-Mails angehängt sind, werden jetzt als extrahierte
E-Mails und als E-Mail-Anhang gleichzeitig beschrieben.
-
Unterstützung für weitere Code-Pages bei der E-Mail-Extraktion
aus MSG.
-
Die alternative .eml-Vorschau-Option betrifft jetzt auch die
PDF-Darstellung von E-Mails, die über den Befehl Wiederherstellen/Kopieren erzeugt wird.
Allgemeine Dateiformat-Unterstützung
-
Überarbeitete und gründlichere Metadaten-Extraktion aus HTML-Dateien.
Insbesondere werden jetzt auch "Open Graph" Metadaten extrahiert.
-
Unterstützung für bestimmte kopiergeschützte PDF-Dokumente,
die von X-Ways verwendet werden.
-
Fähigkeit, Hash-Werte aus ProjectVIC-JSON-Dateien
der Version 2 zu importieren.
-
Kann jetzt Suchbegriffe in ISO-2022 Code-Pages
(Japanisch, Koreanisch, Chinesisch) finden, die sich in den ursprünglichen Daten
über eine Escape-Sequenz hinweg erstrecken. Kann jetzt einzelne Zeichen
in koreanischen und chinesischen ISO-2022-Code-Pages finden, die eine
Escape-Sequenz voraussetzen.
-
Verbesserte Umwandlung von Text aus und in ISO-2022-Code-Pages.
-
UTF-16-Text aus der Zwischenablage wird jetzt ohne den
abschließenden Null-Terminator eingefügt.
Benutzerschnittstelle
-
WinHex und X-Ways Forensics respektieren jetzt die
Windows-Einstellungen für Fenstertext und Hintergrundfarben. Wir beziehen
uns auf die Einstellungen, die man unter Windows XP mit ein paar Mausklicks
in der Systemsteuerung erreichen konnte, die man unter Windows 7 immer noch
über Personalisierung | Fensterfarben | Erweiterte Darstellungsoptionen erreichen
kann, und die man in Windows 10 noch als rohe RGB-Werte über den Registry-Editor
in diesem Schlüssel verändern kann: HKEY_CURRENT_USER | Control Panel | Colors (danach einmal aus- und wieder einloggen).
Insbesondere schwarze Hintergründe für fast alle Teile der Benutzeroberfläche (Hauptfenster,
Daten- und Falldatenfenster, ...) werden jetzt in X-Ways Forensics unterstützt,
was nützlich sein kann, wenn man in einer Umgebung mit geringer Umgebungsbeleuchtung
arbeitet, allgemein hilfreich ist für Benutzer, die an einem weniger hellen Bildschirm
länger arbeiten können, und sollte grundsätzlich die Störung der Melatoninproduktion
und des Tag-Nacht-Rhythmus' reduzieren bei
Menschen, die vor Bildschirmen sitzen, die unnatürliches Licht
ausstrahlen. Die
Viewer-Komponente hat diese Einstellungen schon früher für die meisten Dokumenttypen
respektiert (für PDF-Dateien allerdings kann oder tut sie das
beispielsweise nicht).
Für eine vollständige Dark-Screen-Umgebung würden Sie Ihr gesamtes Windows System auf
ein dunkles Theme umstellen. Die einfachste Methode, nicht nur für "Apps",
sondern auch richtige Desktop-Programme, ist die Umstellung auf das schwarze Hoch-Kontrast-Theme.
In Windows 10 gehen Sie zu den Systemeinstellungen | Personalisierung | Einstellungen für hohen
Kontrast | Hohen Kontrast aktivieren | Kontrast Schwarz.
-
Ein "erzwungener" Dunkelmodus nur in WinHex/X-Ways
Forensics ist jetzt auch ohne die obigen Prozeduren und Einstellungen jederzeit
verfügbar, unter Optionen | Allgemein, wo Sie den Dunkelmodus bei Bedarf z.B. nachts
oder auch grundsätzlich einstellen können, aus gesundheitlichen Gründen oder um
bei einem verdeckten Einsatz in
einer dunklen, feindlichen Umgebung weniger Aufmerksamkeit auf sich zu ziehen.
Diese Variante ist nicht 100% vollständig, da sie beispielsweise Elemente der
Benutzeroberfläche wie Fenstertitel, Popup-Menüs, Scrollbalken, Dateiauswahldialoge,
oder Datumsauswahlfenster nicht mit abdeckt. Für diese ist der Dunkelmodus
von
Windows notwendig (s. o.).
-
Diverse Farben in der graphischen Benutzeroberfläche mussten
für X-Ways Forensics' eigenen Dunkelmodus oder bei der Übernahme eines dunklen
Hintergrunds aus den Windows-Einstellungen angepasst werden, beispielsweise die
Färbung der Dateitypen in Abhängigkeit vom Typstatus. Im Kalender wird die
Grauskala für Tage mit viel Aktivität invertiert, wenn die Hintergrundfarbe schwarz ist.
Wenn Sie Text entdecken, der im Dunkelmodus unlesbar ist, melden Sie uns das bitte.
Farbeinstellungen für Blockauswahl, Markierungen, "bereits eingesehen",
veränderte Bytes und zur
Hervorhebung von Positionen/Suchtreffern werden jetzt für Normal- und
Dunkelmodus getrennt gespeichert.
-
Eine neue Option, nützlich in Verbindung mit dem Dunkelmodus,
ist die Fähigkeit Bilder mit der internen Bildbetrachtungsbibliothek, und auch die
Galeriebilder dunkler darstellen zu lassen. Wenn dieses Kontrollkästchen, das unter
Optionen | Allgemein neben dem Kontrollkästchen für den Dunkelmodus gefunden
werden kann, nur halb ausgewählt ist, werden die Pixel etwas weniger abgedunkelt.
-
Einige weitere GUI-Anpassungen für hohe DPI-Einstellungen.
-
Der Windows-Nutzername des aktuellen Benutzers wird jetzt
in jedem Abschnitt der msglog.txt festgehalten, zusätzlich zum exakten
Programm-Release, was auch bisher schon festgehalten wurde.
-
Der Kommandozeilen-Parameter für das automatisierte
(unbeaufsichtigte) Sichern von Datenträgern wird jetzt in X-Ways Imager genauso
unterstützt wie in X-Ways Forensics.
-
Die Filter für Größe und Startsektor haben jetzt eine
Modulo-Option. Mit dieser Option im Größenfilter können Sie beispielsweise
alle Dateien herausfiltern lassen, die nicht ein Vielfaches der Sektorgröße
sind, z.B. bei der Suche nach Roh-Disk-Images oder TrueCrypt/VeraCrypt-Container-Dateien.
Mit dieser Option im Startsektorfilter können Sie beispielsweise konkret auf
Dateien filtern, die an den Clustergrenzen ausgerichtet sind, oder genau nicht.
-
Die Einstellungen für den Größenfilter, den Hash-Wert-Filter,
und den Gerätetyp-Filter werden jetzt in .settings-Dateien und in .xfc-Falldateien
gespeichert, genau wie die Einstellungen anderer spaltenbasierter Filter.
-
Die Flex-Filter besitzen jetzt die Option einer logischen
UND-Kombination aller Filterbegriffe, womit Sie jetzt z.B. auf E-Mails filtern
können, die gleichzeitig als Attachments beschrieben sind.
-
Verbesserte Möglichkeit, aus Sektoren ausgegliederte Dateien
über die Beschreibungsspalte zu filtern.
-
Die Textfilter für Kommentare, Metadaten und Ereignis-Beschreibungen
haben jetzt eine Option zur Berücksichtigung von Groß- und Kleinschreibung.
X-Tension API
-
Neue API-Funktion XWF_ManageSearchTerm().
-
Fähigkeit der X-Tension-API-Funktion XWF_Search(), das/die
Alphabet(e) zu spezifizieren, womit die Wortgrenzen definiert werden.
-
XWF_OpenItem unterstützt jetzt ein neues Flag, um nur den
reinen Text aus Dateien zu öffnen, den X-Ways Forensics aus verschiedenen
Dateitypen extrahieren kann.
-
C++ Funktionsdefinitionen und C++ Beispielprojekte auf der
X-Tension-API-Webseite aktualisiert.
-
Ein Fehler in der Disk I/O X-Tension API wurde korrigiert.
Verschiedenes
-
Effizientere Erzeugung von Miniaturbildern von Nicht-Bildern
in der Galerie.
-
Die Erzeugung von Miniaturbildern von Nicht-Bild-Dateien
für den Bericht ist jetzt in seinen Ergebnissen konsistenter.
-
Die Verwendung interner Keyboard-Hooks für erweiterte
Tastaturkürzel ist jetzt optional, s. Optionen | Sicherheit.
-
Einige Verbesserungen in der Stabilität und im
Fehler-Handling.
-
SR-1: Ein Ausnahmefehler wurde behoben, der bei der Extraktion
eingebetteter Daten aus PDF-Dokumenten auftreten konnte.
-
Benutzer, die von ihren Büros abgeschnitten sind, und/oder
wegen lokaler Lockdowns, Quarantäne-Maßnahmen, Reisebeschränkungen oder
Post-Dienst-Unterbrechungen keinen Zugriff auf ihre Dongles haben, haben
seit Mai 2020 folgende Möglichkeit: Solange zumindest jemand anderes auf den
Dongle zugreifen kann (ein Kollege), kann diese person den Dongle in v20.0 vorübergehend
stilllegen, was Ihnen erlaubt, X-Ways Forensics vorläufig auf andere Art
freizuschalten, gegen eine geringe Bearbeitungsgebühr. Details finden
Sie unter
www.x-ways.net/dongle_schutz2.html.
-
Viele kleinere Verbesserungen.
-
Das Benutzerhandbuch und die Programmhilfe wurden für v20.0 aktualisiert.
Viewer-Komponente
-
In der Zwischenzeit wurden neue Fassungen von Version 8.5.4
der Viewer-Komponent zum Download eingestellt, am 18. April, 23. Mail
und 16. Juli. Sicherheits-Patches von Oracle von April und Juli wurden
damit eingespielt. Die u. g. Problemchen wurden dabei angegangen. Die
einzelnen Punkte sind entweder wörtlich zitiert oder von uns zum
besseren Verständnis neu formuliert worden.
-
April/Mai:
Web-view export crashes when exporting PDF file
Installation of 8.5.4 breaks conversion in .NET application
Fidelity Issues with HTML5 Conversion of PDF
Attachments of message eml files with winmail.dat not extracted
Infinite loop with certain pdf files
Certain MSG files generate out of memory error
PDF file with ZAPFDINGBATS does not display properly
MSG converted to PDF has striked out lines
EMF OUTPUT QUALITY OF PDF FILE WITH EMBEDDED FONTS IS NOT GOOD
PDF to Image produces improper outputs on WCC11G Patches
A separate embedded email does not get extracted
Certain PDF file does not render
Spacing issue after PDF export
Viewing of PDF with embedded Fonts results in garbled text
PDF File rendered with garbage characters
Not all the characters are being displayed
Issue with the attachments and Message Body in the eml samples
PDF text shows as garbled in viewer
No attachments get extracted for 201401_00943057_winmail.dat
Text and Spacing issues
PDF garbled
PDF conversion issue
Extra spaces and new lines are found in content of some pdf file
External Compute Instance Can Not Preview PDF (BIDI)
Rendering issues in 8.5.4 but not in 8.5.3
Multiple degradation after upgrade to 854 from 853
Lines are struck out when viewing certain msg file
Viewer hangs on attached PDF file
Conversion to PDF: Header text is shown on the wrong side
PDF export fails to process certain pptx files
Attachments not extracted from tnef encoded eml files.
Overprint issue with some .DOCX files
SOME CHARACTERS ARE OUT OF THE VIEWING AREA AND SOME ARE OVERWRITTEN
Special characters (ö,ä,ü,ß) are not displayed correctly and missing
OIT should support LATEST HWP Version 5.0.4.x and 5.0.5.x
Unknown error when opening doc in viewer
"Unknown chunker failure" error when viewing the attached docx file
Support additional properties from winmail.dat
Extraction of an attachment does not work in a certain eml file
Redactions shifted in Excel documents
-
Juli:
E-mail with background color set to white color will make the white body
text disappear
Email header is in a dark background
Issue with text extraction from One Note with non-ASCII characters
Issue with text extraction from PDF with broken words with spaces
Issue with text extraction from PDF incorrect Hebrew texts from PDF file
Conversion from MS Word DOC to PDF could produce garbage character
Viewer hangs while rendering a certain PDF file with formulas
Conversion from MS Word DOC to PDF could print certain paragraph numbers
twice
Enhancement for support of HWP files 5.0.4 and above
Outlook Appointment files show as corrupted when viewing/exporting.
Candidate Word file attachments received corrupted from Outside-In
service
Selecting from both body and header of MSG document creates redaction
more than
Viewer failed to display content of a particular MS Excel document
properly
msg file converted with extra question mark like character
OutsideIn garbles Japanese and other multi-byte characters
Drawpage produces half size view for the tiff file
Exporting PDF file results in inverted text
Conversion to PDF skips some text and graphics elements
Crashes when viewing a particular MS Excel document
Änderungen der Service-Releases von v19.9
-
SR-1: Fixed usage of predefined Project Vic
categories.
-
SR-1: PDF conversion failed for certain extracted
files. That was fixed.
-
SR-1: Some timestamps in UTC were displayed in v19.9
as if they were stored in local time. That was fixed.
-
SR-1: Fixed an exception error that could occur in
v19.9 when extracting internal metadata specifically without "Content
created" timestamps.
-
SR-1: Fixed an exception error that could occur when
extracting metadata from certain QuickTime video files.
-
SR-1: Fixed screenshot paths in the activity log of
cases created with v19.9.
-
SR-1: FYI, "converting" individual original PDF
documents to PDF format for report generation or during Recover/Copy can
make sense to security-minded users because it will not transfer
potentially malicious JavaScript code from the original files to the
newly generated PDF files.
-
SR-2: Updated RunCount interpretation in Prefetch
files based on Windows 10 versions 1903 and 1909.
-
SR-2: On request (after prompting the user), accepts
certain malformed Ext* superblocks as valid.
-
SR-2: Recognizes Ext4 volumes with the bigalloc
feature as Ext4.
-
SR-2: More precise type classifications of events
extracted from WebCacheV01.dat files as Cookie timestamps and
modification timestamps.
-
SR-2: Avoided indexing interruption by "Numeric
limits exceeded" error in v19.8 and v19.9.
-
SR-2: New notation option that uses a special
backslash character in paths in order to force path components to be
displayed strictly in left-to-right order even if multiple consecutive
components are in Arabic or Hebrew. Currently this has an effect in the
Path columns of the directory browser, the caption line of the directory
browser, and the path line in the Info Pane.
-
SR-2: Internal graphics viewing library updated for
PNG.
-
SR-2: Avoided certain unnecessary reminders to use
the latest version of the viewer component.
-
SR-2: Fixed occasional change of the "Omit
unchecked/unselected items" setting of textual dialog window
representations.
-
SR-2: Several minor improvements.
-
SR-3: Fixed reset of the amount of memory used for
indexing when the dialog window with the settings was opened.
-
SR-3: Fixed potential rejection of indexes as
invalid.
-
SR-3: Prevented some loss of functionality that could
occur when parsing certain misidentified CDFS data structures.
-
SR-3: APFS: Unnecessary repeats of the message
informing the user about unsupported high Catalog IDs are now avoided.
-
SR-3: The option to omit unselected items in dialog
windows from text representations does not have an effect on checkboxes
and radio buttons any more, only lists.
-
SR-3: That option is now more prominently shown in
the Case Properties dialog window for textual screenshots of the case's
activity log.
-
SR-3: Output of a reserved backward compatibility
GUID variant by Microsoft in the Data Interpreter and in templates.
-
SR-3: Some other minor improvements.
-
SR-3: Supersedes expiring previous service release.
-
SR-4: Fixed problem with exchanging clipboard data
between multiple simultaneous instances.
-
SR-4: Fixed certain unsuccessful index searches for
sequences of Asian language characters.
-
SR-5: Fixed an infinite loop that could occur in
v19.9 when indexing large amounts of data.
SR-5: Fixed exception error in API function XWF_CreateEvObj when applied
to empty cases.
-
SR-5: Some minor fixes and improvements.
-
SR-6: Fixed an infinite loop that could occur when
processing a TAR archive that is stored in a corrupt parent archive.
-
SR-6: Fixed a sector read error that could occur in
v19.9 when re-opening evidence objects that are physical storage
devices.
-
SR-7: Fixed an infinite loop that could occur when
processing nested TAR archives within a corrupt parent archive.
-
SR-7: Prevented a very rare exception error that
could occur when loading the file signature table.
-
SR-7: Fixed a display problem with GIF pictures in
v19.9.
-
SR-7: Ability to create and fill evidence file
containers with WinHex Lab Edition.
-
SR-7: Fixed an exception error that could occur when
extracting metadata from certain PNG files.
-
SR-7: The device type filter now also works for PNG.
-
SR-7: New X-Tension API functions XWF_GetWindow() and
XWF_GetProp().
-
SR-7: New nPropType 50 for the X-Tension API function
XWF_GetEvObjProp().
-
SR-7: Processes zip archives with certain
non-standard headers.
-
SR-7: Several other improvements.
-
SR-8: Password detection using a dictionary did not
work in certain encrypted archives. That was fixed.
-
SR-8: Big-endian interpretation of data as FILETIME
timestamps in the Data Interpreter failed when interpretation as a
big-endian floating point number was active and not successful ("NAN").
That was fixed.
-
SR-8: Fixed processing of Windows.edb and SRUDB.dat
files in v19.9.
-
SR-9: Prevented a rare exception error that could
occur when resolving symlinks.
-
SR-9: Prevented a very rare exception error that
could occur when parsing Zone.Identifier ADS.
-
SR-9: A rare error that could occur when reading XFS
directories has been fixed.
-
SR-9: Ability to process certain MBOX files with
unusual line break characters between e-mails.
-
SR-9: Fixed inability to read from files in some GZ
archives that occurred if these files were opened repeatedly and the
evidence object was not closed in between.
-
SR-9: Fixed RunCount interpretation of certain
Windows 10 Prefetch files.
-
SR-10: Fixed an internal recoding error for search
terms that could occur when the simultaneous search was run as part of
volume snapshot refinement.
-
SR-10: Prevented a crash that could occur when
extracting metadata from certain MP3 files with a corrupt ID3 tag.
-
SR-10: Under certain circumstances, logical searches
with multiple threads unnecessarily processed the same file more than
once. That was fixed.
-
SR-10: The alternative TAR extraction method no
longer omits files with a size of 0 bytes in TAR archives.
-
SR-10: X-Tension API: XWF_GetVSProp() with
XWF_VSPROP_SET_HASHTYPE1* and XWF_SetHashValue() did not work in volume
snapshots with no previous or simultaneous hash value computation. That
was fixed.
Wir hoffen, Sie bald wieder auf
http://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie
diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z.
B. noch mit weiteren E-Mail-Adressen)
u. a.
hier. Vielen
Dank.
Freundliche Grüße
Stefan Fleischmann
--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde |