WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

In dieser Ausgabe informieren wir Sie über ein weiteres Update mit einigen beachtlichen Verbesserungen, die Version 20.4. Erscheinungsdatum war der 23. November 2021. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten oder professionellen Lizenz)

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Neue Videos (englischsprachig) sind auf YouTube verfügbar, die die Einrichtung von X-Ways Forensics darstellen und diverse Einstellungen diskutieren.

Nächster Schulungstermin

7.-10. Dezember, Online

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im Online-Live-Format werden hier aufgelistet. Darunter sind mehrere Termine für Teilnehmer in der mitteleuropäischen Zeitzone geeignet, auch für den Kurs X-Ways Forensics II.

Was ist neu in v20.4?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateisystem-Unterstützung

• Das QNX-Dateisystem wird nun von X-Ways Forensics verstanden. Es ist zu finden in Unterhaltungssystemen aktueller Automodelle. In einer Sicherung eines solchen Systems kann X-Ways Forensics nun die Dateisystem-Strukturen einlesen, incl. Zeitstempel und UNIX-Berechtigungen, wie von anderen Dateisystemen bekannt. Virtuelle Dateien, die die entscheidenden Dateisystem-Strukturen repräsentieren, werden ebenfalls einzeln angezeigt, und unter Specialist | Technicher Detailbericht werden wie üblich die fundamentalen Kennzahlen des Dateisystems ausgegeben.

• Bis zu 127 Untervolumes (incl. Snapshots) pro Volume werden nun in Btrfs unterstützt, statt zuvor 31 Untervolumes.

• Btrfs-Volumes, die Snapshots verwenden, werden nun auch unterstützt. Anders als Untervolumes, die alle auf der ersten Ebene des Hauptvolumes angezeigt werden, werden Snapshots in dem Unterverzeichnis von “.snapshots” eingeordnet,  das mit dem Erzeugungszeitstempel des Snapshots übereinstimmt.

• Für alle Untervolumes von Btrfs incl. Snapshots identifiziert der technische Detailbericht wie gehabt deren jeweilige offizielle Eltern-(Unter-)Volumes.

• Wenn Sie einen Datei-Überblick erzeugen von Verzeichnissen (oder von ganzen Laufwerksbuchstaben ohne sektorweisen Zugriff), wobei nicht X-Ways Forensics selbst das Dateisystem ausliest, sondern Windows (was in X-Ways Forensics als Dateisystem “OS dir list” bezeichnet wird = operating system supported directory listing), dann können alternative Datenströme neuerdings optional auch mit aufgenommen werden. Das können Sie abstellen, wenn ADS nicht von Interesse sind und/oder Sie Zeit sparen möchten, und ist zu finden unter Optionen | Datei-Überblick. In frischen Installationen von X-Ways Forensics ist diese Option nun standardmäßig aktiv, in solchen von X-Ways Investigator nicht.

• Das Berechnen  der Gesamtdatenmenge von Dateien bei “OS dir list” als Datenquelle ist nun optional (s. Optionen | Datei-Überblick). Wenn Diskrepanzen  erkannt werden zwischen der ursprünglichen Datenmenge und der aktuellen Datenmenge in dem betreffenden Verzeichnis/auf dem betreffenden Laufwerksbuchstaben, wird der Benutzer darüber informiert, und es wird angeboten, einen neuen Datei-Überblick zu erzeugen.

• Die x86-Version unterliegt nicht mehr der von Windows intern vorgesehenen Pfadumleitung, wenn sie Verzeichnisse  auf dem C:-Laufwerk ohne sektorweisen Zugriff ausliest (es geht also wieder um “OS dir list”...). Das betrifft einige Verzeichnisse wie C:\Windows\System32\config. Bei der x64-Version war dies auch zuvor nie der Fall.

• Das Auslesen von Symlinks beim Erzeugen eines Datei-Überblicks (je nach Dateisystem) ist nun optional, s. Optionen | Datei-Überblick.

• Partitionen, die mit dem F2FS-Dateisystem formatiert sind, können nun als solche erkannt werden.

Dateiformat-Unterstützung

• Unterstützung für segmentierte (dateiübergreifend gespeicherte) 7z-Archive.

• Fähigkeit, einen weiteren Typ einer Archivbombe zu erkennen und sich dagegen zu schützen.

• Die maximale Zahl von Zip-Datensätzen im Details-Modus von Zip-Archiven wurde von 10.000 auf 20.000 erhöht.

• Es werden mehr bilderzeugende Geräte erkannt, darunter das iPhone 13.

• Verbesserte Auswertung von Bildern.

• Für den Fallbericht können zu HEIC-Bildern nun Miniaturansichten im JPEG-Format erzeugt werden.

• Wenn die Erzeugung von menschlesbaren Darstellungen bestimmter Dateitypen (lnk, flnk, info2, wab, job, ...) für den Fallbericht fehlschlägt, werden solche Dateien nun im Originalzustand kopiert.  (Diese Verbesserung wird auch in v20.3 SR-9 vorgenommen werden.)

Datenzugriff

• Die Datei-Header-Signatur-Suche akzeptiert nun mehr nur teilweise verfügbare Daten als NTFS-komprimiert.

• Der Roh-Untermodus im Datei-Modus ist nun für Wof-komprimierte Dateien verfügbar, so dass man die kompletten komprimierten Daten incl. Schlupf sehen kann. Der Befehl "Cluster auflisten" listet nun alle Cluster solcher Dateien auf, incl. Schlupf. Der Schlupfbereich von Wof-komprimierten Dateien wird auch im Modus Partition/Volume farblich hervorgehoben.

• Es gibt nun ein gesondertes Kontrollkästchen, mit dem Sie bestimmen können, ob Schlupfbereiche von NTFS-Kompression gezielt durchsucht werden sollen. Das Kästchen ist nicht beschriftet, aber hat einen Tooltip. Wenn es ganz gewählt ist, wird der undefinierte Schlupfbereich am Ende einer jeden Kompressionseinheit von NTFS-komprimierten Dateien im Rohzustand durchsucht (so wie die Daten gespeichert sind, ohne Dekompression). Wenn das Kästchen zumindest halb gewählt ist, wird der wohldefinierte Schlupf von Wof-komprimierten Dateien ins Visier genommen (ebenfalls im Rohzustand durchsucht, ohne Dekompression), und diese Fähigkeit ist neu in v20.4.

• Wenn Text in Dateien für die Parallele Suche oder die Indexierung decodiert und im Datei-Überblick für etwaige erneute spätere Verwendung gespeichert wird, und die besondere Option für Zahlen und Datumsangaben in Tabellenkalkulations-Dokumenten zu der Zeit nicht aktiv war, und Sie später wieder eine Suche laufen lassen, aber dann mit der besonderen Option für Tabellenkalkulation, dann profitieren Sie davon nicht, wenn der ursprünglich decodierte und zwischengespeicherte Text durchsucht wird. Daher wird nun in einer solchen Situation entweder gewarnt, wenn der alte decodierte Text bereits geladen ist, oder er wird beim Laden komplett verworfen.

• Die Option, Dateien mit Schlupf zu öffnen, wurde verschoben von Optionen | Verzeichnis-Browser nach Optionen | Datei-Überblick.

• Text, der über OCR-Texterkennung aus Bilddateien gewonnen wurde, hat nun intern Windows-Zeilenumbrüche statt Unix-artige Zeilenumbrüche.

Filter im Verzeichnis-Browser

• Wenn mehrere Filter aktiv sind, wurden diese bislang immer verUNDet. Das bedeutet, dass jede Datei den ersten aktiven Filter passieren muss und auch jeden anderen aktiven Filter, um im Verzeichnis-Browser aufgelistet zu werden. Sie können Dateien jetzt aber auch mit einem logischen ODER filtern. Das bedeutet, dass jede Datei nur den ersten aktiven Filter oder auch einen von den anderen aktiven Filtern zu passieren braucht, um aufgelistet zu werden. Wenn aktive Filter mit einem logischen ODER verknüpft werden, wird das in der Überschriftszeile des Verzeichnis-Browsers neben der Zahl der aktiven Filter vermerkt. Ein Klick auf die Anzahl der Filter oder auf das Word ODER wechselt zwischen UND- und ODER-Verknüpfung.

• Wenn mehrere Filter mit ODER kombiniert werden, kann das Beschreibungsfilter aber optional immer noch mit dem Ergebnis verUNDet werden, und das geschieht auch standardmäßig so. Sie erkennen das anhand eines mit dem Wort UND beschrifteten Kontrollkästchens, das in solchen Situationen im Dialogfenster des Beschreibungsfilters sichtbar ist, und das Beschreibungsfilter wird dann separat gezählt und behandelt.

• X-Ways Forensics hat nun die Fähigkeit, mehrere .settings-Dateien auf einmal zu laden. Diese können alle verschiedene Dateien adressieren, unter Verwendung verschiedener Filter (intern kombiniert mit UND oder ODER), und alle darauf passenden Dateien werden dann mit einer einzigen Berichtstabelle verknüpft. (Ein Filter auf diese Berichtstabelle wird automatisch aktiviert.) Damit sind komplexe verschachtelte Filtereinstellungen möglich, so etwas wie: Dateien vom Typ A, nur wenn sie im Pfad X gespeichert sind, plus Dateien vom Typ B, die nicht gelöscht sind und deren Namen die Wörter Y und Z enthalten und die das System-Attribut haben, usw. usf. Sie können sich so z. B. blitzschnell umzusetzende Standardregeln für Triage definieren.

• Es gibt nun eine weitere Möglichkeit, mehrere Dateityp-Kategorien zum Filtern auszuwählen statt nur ein einzige, nämlich in einem Dialogfenster, das das Aufklappmenü ersetzt.

• Eine einfacher zu bedienende, reduzierte Variante des Dialogfensters zum Erzeugen von Berichtstabellen-Verknüpfungen ist nun verfügbar, mit weniger Einstellungen, die neue Benutzer verwirren könnten. Diese Variante des Dialogfensters ist die neue Voreinstellungen in X-Ways Investigator, und optional available auch in X-Ways Forensics verfügbar. Z. B. werden in der vereinfachten Variante Berichtstabellen nicht angezeigt, die von der Anwendung erzeugt werden, um den Benutzer auf bestimmte Dateien aufmerksam zu machen, und es ist möglich, Berichtstabellen-Verknüpfungen von ausgewählten Dateien explizit zu entfernen, ohne auf Tastenkombinationen zuückgreifen zu müssen.

Kontextmenü im Verzeichnis-Browser

• Es gibt eine neue Einstellung im Wiederherstellen/Kopieren-Befehl: Die Dateisystem-Zeitstempel einer kopierten Originaldatei (Erstellung, Änderung, letzter Zugriff, sofern verfügbar) werden auf die erzeugte Kopie übertragen, wenn das Kontrollkästchen dafür zumindest halb gewählt ist. Außerdem fungiert nun der interne Zeitstempel "Erzeugung des Inhalts", sofern verfügbar, bei Bedarf als Ersatz für einen fehlenden Erstellungszeitstempel aus dem Dateisystem.
  
  Wenn das Kästchen ganz gewählt ist, unternimmt X-Ways Forensics besondere Anstrengungen, um Erstellung, Änderung und letzten Zugriff auf einige Original-Zeitstempel zu setzen, um zu vermeiden, dass diese drei Standard-Zeitstempel auf den Zeitpunkt verweisen, an dem der Wiederherstellen/Kopieren-Befehl angewandt wurde. Z. B. haben extrahierte E-Mails oder Datei-Anhänge oder Dateien in Archiven oder aus Sektoren ausgegliederte Dateien u. U. nicht alle diese Zeitstempel oder gar keine davon. X-Ways Forensics kann dann behelfsweise Zeitstempel von Datensatz-Änderungen, alternative Erzeugungszeitstempel, Erzeugung des Inhalts und Änderungszeitstempel als Ersatz für Erzeugung, Änderung und letzten Zugriff heranziehen.

• Eine neues Kontrollkästchen  lässt wiederhergestellte/kopierte Dateien notfalls Zeitstempel  von Elterndateien oder übergeordneten Verzeichnissen erben. Das Kästchen hat ebenfalls drei Zustände. Wenn es halb gewählt wird, werden nur Zeitstempel von Elterndateien geerbt (offensichtlich sinnvoll z. B. bei E-Mails, die mit Datei-Anhängen daherkommen, oder Bilddateien, die Miniaturansichten enthalten). Wenn es ganz gewählt ist, werden Zeitstempel auch von übergeordneten Verzeichnissen geerbt, sowie deren Oberverzeichnisse usw. usf.
  
  Ein extremes Beispiel ist eine aus Sektoren ausgegliederte Dateien ohne jegliche Zeitstempel. Die übergeordneten Verzeichnisse dieser Dateien sind virtuelle Verzeichnisse und haben daher auch keine Original-Zeitstempel. In dem Fall würde der Erzeugungszeitstempel des Stammverzeichnisses geerbt, sofern verfügbar (nicht bei FAT-Dateisystemen). Der Erzeugungszeitstempel eines übergeordneten Verzeichnisses könnte als hilfreich erachtet werden, weil er ein unteres chronologisches Limit für den unbekannten Erzeugungszeitpunkt der Datei darstellt. Der Erzeugungszeitstempel einer Elterndatei kann als oberes Limit für den den unbekannten Erzeugungszeitpunkt einer enthaltenen Datei angesehen werden, wenn die Elterndatei ein Datei-Archiv oder eine E-Mail ist. Wenn die enthaltene Datei eine Miniaturansicht in einem JPEG- oder HEIC-Bild ist, sollte der Erzeugungszeitstempel der Elterndatei genau richtig für das Unterobjekt sein.

• Ein neuer Befehl im Kontextmenü des Verzeichnis-Browsers namens "Kopieren: Extrahierter Text" erlaubt das Kopieren des Textes, der durch Decodierung oder OCR-Texterkennung gewonnen wurde, von ausgewählten Dateien an andere Orte. Der Anwendungsbereich kann beschränkt werden auf Dateien, die tatsächlich unbedingt OCR benötigen (also vor allem Bilder und bestimmte PDF-Dateien), falls Sie nur an solchen Dateien interessiert sind. Der extrahierte Text kann intern im Datei-Überblick gespeichert werden für zukünftige logische Suchen oder zum Indexieren und für die Kontextvorschau von Suchtreffern. Er kann in die Kommentarfelder der Dateien übernommen werden, was sich besonders für geringe Mengen an Text eignet, wie etwa per Texterkennung in Bildern (nicht Scans) zu erwarten, z. B. um diese Texte in den Fallbericht oder in exportierte Listen aufzunehmen, optional mit einem erklärenden Präfix wie [OCR] oder [Extrahierter Text]. Der extrahierte Text kann auch in Form von Unterobjekten als Textdateien ausgegeben werden. Oder er kann in einer einzigen Textdatei auf Ihrem eigenen Datenträger gesammelt werden, oder gesammelt in die Zwischenablage kopiert werden. Es ist jede denkbare Kombination der o. g. Kopierziele möglich.

Befehlszeile

• Ein neuer Kommandozeilen-Befehl namens "AddDir" ist nun verwendbar. Er wird von einem Doppelpunkt gefolgt, und dahinter geben Sie an, welches Verzeichnis Sie zum Fall hinzufügen möchten, z. B. AddDir:X:\. Wenn das Zeichen nach dem Doppelpunkt ein Sternchen ist, werden die Stammverzeichnisse aller verfügbaren Laufwerksbuchstaben zum Fall hinzugefügt: AddDir:*. Allerdings möchten Sie dabei Netzlaufwerke evtl. auslassen, da diese extrem groß und langsam zu erkunden sein können. Das Hinzufügen von Netzlaufwerken hängt von einer neuen Option unter Optionen | Datei-Überblick ab. Wenn Sie X-Ways Forensics von einem Volume aus starten, das einen Laufwerksbuchstaben hat, wird dieser Laufwerksbuchstabe von dem Befehl übersprungen, in der Annahme, dass Sie gerade halbautomatisch ein Live-System triagieren oder logisch sichern und X-Ways Forensics dabei von Ihrem eigenen mitgebrachten externen Datenträgern gestartet haben. Der AddDir-Befehl erlaubt auch das Hinzufügen einzelner Dateien zum Fall.

• Ein weiterer neuer Kommandozeilen-Befehl namens "AddDrive" ist nun verfügbar. Auch an den Namen dieses Befehls schließt sich ein Doppelpunkt an, und dahinter geben Sie an, welcher Laufwerksbuchstabe zum Fall hinzugefügt werden soll, als Großbuchstabe. z. B.. AddDrive:C. Anders als ein Verzeichnis, das über das Betriebssystem erkundet wird, brauchen Laufwerksbuchstaben sektorweisen Zugriff (und daher Administrator-Rechte), und jegliches vorgefundenes Dateisystem wird von X-Ways Forensics selbst eingelesenm, sofern es unterstützt wird. Wenn das Zeichen nach dem Doppelpunkt ein Sternchen ist, werden alle verfügbaren Laufwerksbuchstaben im System dem Fall hinzugefügt: AddDrive:*. Auch hierbei sind Netzlaufwerke optional, und der Laufwerksbuchstabe mit X-Ways Forensics wird übersprungen. Wenn Sie AddDrive:* aufrufen, obwohl die Software ohne Administratorrechte ausgeführt wird, dann wird intern statt dessen automatisch AddDir:* ausgeführt. Wenn Netzlaufwerke bei Abarbeitung von AddDrive:* angetroffen werden, werden diese intern mit dem AddDir-Befehl hinzugefügt, da sie vom Betriebssystem ohne sektorweisen Zugriff erkundet werden müssen.

• Dcommand line command "NewCase" followed by a semicolon instead of a colon generates a unique filename if the specified .xfc file already exists. With a colon, the existing case is deleted and overwritten (without prompt or mercy), like in previous versions.

• Der Befehl "NewCase" unterstützt nun relative Fallpfade und Verweise auf Umgebungsvariablen.

• Der Befehl "Dlg" unterstützt nun auch relative Pfade sowie Dateimasken, so dass Sie mehrere .dlg-Dateien aus dem gleichen Verzeichnis auf einmal laden können.

Bedienbarkeit

• Die Datei investigator.ini ermöglicht nun weitere Arten der Anpassung von X-Ways Investigator und X-Ways Forensics, wenn es als X-Ways Investigator läuft:
  -18 prevent ability to show/hide toolbar
  -20 prevent most commands in directory browser context menu
  -54 prevent more options for report table associations
  -55 prevent creation and deletion and properties of report tables
  -56 predefine report table in new cases: "Include in report" (if you use the ~ character in this string, it will be replaced with the examiner name)
  -57 prevent display of case report options
  -58 prevent report filename selection (automatically generate a unique report filename)
  -59 prevent opening of newly created case report in browser
  -60 prevent report file visibility (set H attribute)
  -69 prevent usage of most keyboard shortcuts, esp. the main menu related ones
  -70 prevent File menu
  -71 prevent Edit menu
  -72 prevent Search menu
  -74 prevent View menu
  -75 prevent Tools menu
  -76 prevent Specialist menu
  -77 prevent Options menu
  -78 prevent Window menu
  -79 prevent Help menu
  -80 prevent Version menu
  -81 disable Disk/Partition/Volume button (mode still available)
  -82 disable File button
  -83 disable Preview button
  -84 disable Details button
  -85 disable Gallery button
  -86 disable Calendar button
  -87 disable Legend button

• Ein neuer Operationsmodus in X-Ways Investigator kann Benutzer durch einen einfachen Triage-Prozess leiten, in dem alle Laufwerksbuchstaben rekursiv erkundet werden und in dem ein Kategoriefilter und eine einfache logische Suche vorgeschlagen werden, bevor der Benutzer die aufgelisteten Dateien begutachtet, z. B. zusammen mit dem Befehl AddDir:* in der Kommandozeile. Dazu aktivieren Sie folgende Zeile in investigator.ini:
  +100 special guided process, with this main window title: "X-Ways Triage"

• Wenn Sie die Hash-Werte von Dateien in Ihrem Fallbericht ausgeben möchten, aber zuvor keine Hash-Werte berechnet wurden (bei der Erweiterung des Datei-Überblicks), dann können die Hash-Werte auch bei Erzeugung des Berichts berechnet werden.Wenn Sie die Hash-Werte von Dateien in Ihrem Fallbericht ausgeben möchten, aber zuvor keine Hash-Werte berechnet wurden (bei der Erweiterung des Datei-Überblicks), dann können die Hash-Werte neuerdings auch noch bei Erzeugung des Berichts berechnet werden.

• "Hinter GDI-Schriftarten-Lecks aufräumen" hat nun hauptsächlich die Funktion, Massenoperationen der Viewer-Komponente zu erlauben, die permanent GDI-Handles verbrauchen. Um einen Absturz zu vermeiden bspw. bei der Erzeugung von Miniaturansichten von Tausenden PDF-Dateien für den Fallbericht, sollte diese Option aktiv sein. Sie ist nun auch in der 32-Bit-Version von X-Ways Forensics verfügbar. Standardmäßig ist das Kontrollkästchen dafür halb gewählt. Im voll gewählten Zustand werden die nötigen Prüfungen auf Handle-Lecks öfter durchgeführt.

• Präzisere Durchsetzung der Maximalzahl gleichzeitiger Benutzer eines Netzwerk-Dongles im multi-modalen Betrieb und eines Multi-User-Dongles.

• Es gibt nun ein Fortschrittsanzeige beim Erzeugen des Fallberichts, wenn Dateien kopiert und/oder Miniaturansichten erzeugt werden.

• Die Kommandozeilen-Parameter werden nun im Aktivitätsprotokoll eines Falls erfasst, wenn diese Parameter einen Fall erzeugen oder öffnen.

• Wenn Sie den OCR-Untermodus im Vorschau-Modus auf eine bestimmten Datei anwenden und Tesseract dabei nicht erfolgreich ausgeführt werden kann, werden die zugehörigen Fehlermeldungen von Tesseract nun von X-Ways Forensics im Nachrichtenfenster ausgegeben.

Diverses

• Vollständigere Auflistung der RAID-Zusammensetzungseinstellungen im technischen Detailbericht (und damit in den Asservateigenschaften), so dass Sie auch später noch nachsehen können, wie genau Sie ein bestimmtes RAID erfolgreich hatten rekonstruieren können.

• Unterstützung für überlange Pfade im Fallverzeichnis.

• Die herunterladbaren englisch- und deutschsprachigen Tooltips.txt-Dateien wurden aktualisiert.

• Im Ressourcen-Download-Verzeichnis finden Sie nun eine einsatzbereite XWF-Hash-Datenbank mit den Hash-Werten von NIST NSRL RDS 2.74 als MD5 und SHA-1.

• Welche Hash-Datenbanken zum Abgleich verwendet werden soll, wird nun nicht mehr über einen "Überspringen"-Schalter entschieden, sondern über Kontrollkästchen direkt im Dialogfenster zur Erweiterung des Datei-Überblicks, so dass dieses Verhalten bei Ausführung über die Kommandozeile leichter gesteuert werden kann (nämlich mit einer .dlg-Datei).

• X-Tension API: Fähigkeit, auch dann Hash-Werte im Datei-Überblick zu speichern, wenn zuvor keine Hash-Werte für das betreffende Asservat über die graphische Benutzerschnittstelle berechnet wurden. (Diese Verbesserungen wird auch in v20.3 SR-9 verfügbar sein.)

• Die bereits etablierte Metadaten-Aufbereitungsfunktion, die die generische Relevant von Dateien einschätzt, wurde überarbeitet und verbessert, speziell für Bilder: Eine neue Tabelle für den sog. "Propensity Score" (die tatsächliche Tabelle ist für registrierte Kunden im "additional resources" Bereich der Downloads einsehbar: PropensityScore.html) gibt die Wahrscheinlichkeit an, ob ein bestimmtes Bild eingebettete Metadaten besitzt, basierend auf der größeren der beiden Pixel-Dimensionen des jeweiligen Bildes.
  
  Dies basiert auf empirischen Auswertungen und der Tatsache, dass bestimmte Bilddimensionen für sich genommen bereits ein Hinweis auf z.B. Bildschirmfotos von Smartphones (Dimensionen identisch mit der Bildschirmauflösung des jeweiligen Gerätes) sind, und daher besonderes Interesse auslösen könnten. In einigen Fällen ist die generische Bewertung für eine bestimmte Pixel-Dimension ersetzt durch ein spezielleres Urteil für bestimmte Bildverhältnisse (z.B. 1:1 oder 4:3) oder exakte Dimensionen (z.B. 5488x4096), die als die exakten Auflösungen von Kameras und dergleichen bekannt sind. Einige spezifische Auflösungen oder Bildverhältnisse sind in der Tabelle gesondert gekennzeichnet, wenn sie mit einem konkreten Ursprung assoziiert werden, z.B. Smartphone, Scanner, etc.
  
  Der Propensity Score berücksichtigt desweiteren die eingebetteten Metadaten; zunächst die Frage, ob sie überhaupt vorhanden sind, aber darüber hinaus auch deren Vollständigkeit, ursprünglichen oder veränderten Zustand, und die tatsächliche Bedeutung der Metadaten, wie z.B. EXIF-Informationen, die die Front- bzw. "Selfie"-Kamera eines Smartphones als den Erzeuger eines Bildes identifizieren..

• Viele kleinere Verbesserungen.

• Benutzerhandbuch und Programmhilfe aktualisiert für v20.4.

Änderungen an den weiteren Service-Releases von 20.3

• SR-1: Option to immediately output new hash set matches also as report table associations, either all of them, or (if half selected) only for notable hash sets.

• SR-1: Improved fidelity when producing .eml representations of certain single-part plain-text e-mails in MSG format.

• SR-1: If OCR was unsuccessful for the last page of a PDF document, text from preceding pages was previously discarded. That was fixed.

• SR-1: Shows pictures in WEBP format in the case report just like various other picture file types that are typically supported by web browsers.

• SR-1: Dialog window selections, which are saved in and loaded from .dlg files, in the case of the directory browser options dialog now include the order of the columns in the directory browser.

• SR-1: The service release number is now reflected in the modification timestamps of the installation files in the zip archive, as the number of seconds, so that you can automatically parse it if needed.

• SR-2: The file format specific encryption test did not work as intended in v20.3. That was fixed.

• SR-2: Prevented an unnecessary read operation from a physical storage device when opening a partition from the case tree (potentially relevant when creating skeleton images).

• SR-2: The Recover/Copy command was unable to create directories with very long paths in certain constellations. That was fixed.

• SR-2: The "Hash computed" filter option of Hash 2 was erroneously applied to the Hash 1 column. That was fixed already in the original release of v20.3.

• SR-3: Avoids a conflict between processing of command line parameters and recovery from a crash upon restarting.

• SR-3: Addresses a potential cause of inavailability of the "Refine volume snapshot" command.

• SR-3: The X-Tension API function XWF_GetItemCount() now has additional capabilities.

• SR-4: Fixed a rare exception error that could occur when creating text representations of dialog windows.

• SR-4: Applied the latest security fixes of the FFmpeg library.

• SR-5: The X-Tension API function XWF_GetCellText() did not work for all columns. That was fixed.

• SR-5: The FlexFilter did not always target the right columns in v20.3 if the column order was redefined by the user. That was fixed.

• SR-5: Fixed an error in the alternative processing method of TAR archives that appended garbage characters to certain very long paths/filenames.

• SR-5: Double-clicks on already selected items in the directory browser did not always work in v20.3. That was fixed.

• SR-5: Fixed an occasional OCR problem with multiple threads.

• SR-5: Case report: No thumbnail placeholders are output any more for directories in report tables.

• SR-5: Fixed an exception error that could occur when viewing unprocessed PList files.

• SR-6: No more (futile) attempts to back up cases that are opened as read-only.

• SR-6: When opening files that were carved and that contain NTFS-compressed data, the resulting decompressed file contents no longer contain a few surplus bytes.

• SR-6: Avoids possible duplication when carving NTFS-compressed files.

• SR-6: Some necessary initializations are now performed when triggering a logical search from the command line indirectly via RVS.

• SR-6: Since v20.1, with the internal algorithm ~29 not all RAR archives were carved. That was fixed.

• SR-7: Since v20.1, multipliers in regular expressions when applied to characters other than letters in Western languages did not work in UTF-16. That was fixed.

• SR-7: Fixed inability to cleanly remove an evidence object from a case that is a reconstructed RAID once it had been opened in that session.

• SR-7: Fixed a re-use error that could occur when viewing files externally from different evidence objects in the same session that had the same filenames and the same internal IDs in their respective volume snapshots.

• SR-8: Fixed an exception error that could occur since v20.2 when processing certain .evtx event log files.

• SR-8: An error in the alternative spreadsheet text decoding method was fixed. This fix will also be available in v20.1 SR-13 and v20.2 SR-8. Please keep the application's main window in the foreground if you run a search with that option.

• SR-8: The gallery now reflects the directory browser's scrollbar position when switching to gallery mode, like in v20.1 and earlier.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit einigen beachtlichen Verbesserungen, die Version 20.3. Erscheinungsdatum war der 20. Juli 2021. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten oder professionellen Lizenz)

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Nächster Schulungstermin

17.-20. August, Online

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im Online-Live-Format werden hier aufgelistet. Darunter sind mehrere Termine für Teilnehmer in der mitteleuropäischen Zeitzone geeignet, auch für den Kurs X-Ways Forensics II.

Was ist neu in v20.3?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Text-Extraktion

• Die Texterkennungsfähigkeiten (OCR) des Tesseract-Softwarepakets können jetzt aus X-Ways Forensics und X-Ways Investigator heraus direkt eingesetzt werden. Das Paket ist von unserem Web-Server herunterladbar. Die aktuellen Download-Instruktionen sind vom selben Ort wie immer abrufbar. Sofern Tesseract von v20.3 im Unterverzeichnis \Tesseract des Installationsverzeichnisses gefunden wird, wenn v20.3 zum ersten Mal gestartet wird, wird Tesseract automatisch aktiviert. Andernfalls gehen Sie bitte zu Optionen | Viewer-Programme, um den Pfad entsprechend anzugeben.

• OCR kann als Teil logischer Suchen oder bei der Indexierung auf geeignete Dateien angewandt werde, wie beispielsweise gescannte Dokumente oder digital gespeicherte Faxe im TIFF-Format oder auf PDF-Dateien, die lediglich grafische Inhalte haben. Die Standard-Maske enthält sogar *.jpg, wobei Sie für sich entscheiden sollten, ob die OCR-Anwendung auf sämtliche JPEG-Dateien eines Falles in Ihren Augen doch etwas weit geht oder im Gegenteil nötig erscheint. Außerdem haben Sie natürlich wie gewohnt die volle Kontrolle über den tatsächlichen Zuständigkeitsbereich der Suche mittels der ohnehin vorhandenen Optionen. Bitte beachten Sie, dass hochauflösende Fotos viel Zeit zur Prüfung auf Text benötigen. Digitalfotos in JPEG- oder HEIC-Format werden entsprechend der Informationen in den EXIF-Metadaten rotiert, um so die korrekte Orientierung zu erzielen und die OCR-Erkennung von hoffentlich halbwegs horizontal fotografiertem Text zu ermöglichen. Falls die reguläre Textdecodierung für eine bestimmte Datei, deren Typ in beiden Dateimasken vorhanden ist (*.pdf), bereits erfolgreich war, wird OCR nicht noch zusätzlich angewandt. Die Option "Decodierten Text u.a. für Kontextvorschau speichern" hält auch durch OCR gewonnenen Text im Datei-Überblick fest.

• Suchtreffer in der logischen Suche, die in durch OCR gewonnenem Text gefunden werden, werden in der Anmerk.-Spalte als solches gekennzeichnet und in anderer Farbe hervorgehoben. Der Filter der Anmerk.-Spalte erlaubt, nur OCR-Treffer oder keine solchen anzeigen zu lassen. Ältere Versionen von X-Ways Forensics können OCR-Suchtreffer aus v20.3 beim Öffnen desselben Falles sehen, aber werden nicht wissen, dass es sich um OCR-Treffer handelt.

• Sie können bis zu zwei Sprachen für die Texterkennung gleichzeitig auswählen, wenn Sie den entsprechenden Schalter ... in Optionen Options | Viewer-Programme anklicken. Es gibt allerdings Wechselwirkungen, wenn Sie Chinesisch/Japanisch und eine europäische Sprache gleichzeitig auswählen. Dies wird die Erkennung der asiatischen Zeichen verschlechtern. In so einem Fall wären Sie ggf. besser beraten, nur Chinesisch/Japanisch auszuwählen, um für diese Sprache eine deutlich bessere Erkennung zu ermöglichen. Zeichen des lateinischen Alphabets werden in diesem Fall immer noch erkannt, in reduzierter Qualität, auch wenn Englisch nicht ausdrücklich ausgewählt ist. Die gleichzeitige Auswahl von Chinesisch/Japanisch und einer europäischen Sprache ist daher nur empfehlenswert, wenn die korrekte Erkennung in der europäischen Sprache für Sie wichtiger ist.

• Der Vorschau-Modus hat jetzt, zusätzlich zum Roh-Untermodus, einen weiteren namens Text-Modus, in dem aus Nicht-Bilddateien der reine Text extrahiert wird, wie für die logische Suche mit der Decodier-Option. Dieser Untermodus kann auch nützlich sein, um besser zu verstehen, wie Text aus diversen Dokumenttypen extrahiert wird, insbesondere aus Tabellenkalkulationen, für die verschiedene Extraktionsoptionen existieren, deren Ausgabe sich, auch hinsichtlich Formatierung, unterscheiden kann.

• Falls die normale Text-Extrahierung bzw. -Decodierung im Text-Untermodus kein Ergebnis liefert, oder falls die angezeigte Datei ein Bild ist, und sofern Tesseract vorhanden und aktiv ist, wird OCR angewandt. Dies ermöglicht Ihnen, besser zu verstehen, wie gut OCR in Suchen mit den Arten von Dateien zurechtkommen wird, mit denen Sie es zu tun haben. Sie können auch mit der Auswahl verschiedener Sprachen experimentieren und die Qualität der Ergebnisse vergleichen. Der Untermodus-Schalter wird standardmäßig als "Text" bzeichnet, aber ändert seine Beschriftung in diesem Fall zu "OCR" um Sie auf die Verwendung von OCR zur Texterkennung hinzuweisen. OCR kann für mehrseitige TIFF-Dateien und PDF-Dokumente zeitaufwendig sein, aber kann nutzerseitig bei Bedarf abgebrochen werden. Falls die logische Suche oder Indexierung auf eine Datei zuvor bereits OCR angewandt hat, und das Ergebnis im Datei-Überblick festgehalten wurde, ist die OCR-basierte Vorschau sofort verfügbar und OCR wird nicht von Neuem aufgerufen.

• Beide Untermodi Roh und Text im Vorschau-Modus bleiben aktiv, bis Sie den Vorschau-Modus verlassen oder eine Datei eines anderen Typs auswählen. Sollten Sie einen dieser Untermodi etwas permanenter auswählen wollen, dass er auch bei der Vorschau verschiedener Dateitypen aktiv bleibt, können Sie die Umschalttaste gedrückt halten, wenn Sie den entsprechenden Untermodus-Schalter betätigen.

• Das Tesseract-Paket, das von unserem Web-Server heruntergeladen werden kann, kommt mit den folgenden Sprachen bereits vorinstalliert, in alphabetischer Reihenfolge:
  ara: Arabisch
  chi_sim: Chinesisch, vereinfacht (nur horizontale Schrift)
  chi_tra: Chinesisch, traditionell (nur horizontale Schrift)
  deu: Deutsch
  eng: Englisch
  fra: Französisch
  heb: Hebräisch
  ita: Italienisch
  jpn: Japanisch (nur horizontale Schrift)
  kor: Koreanisch (nur horizontale Schrift)
  nld: Niederländisch
  pol: Polnisch
  rus: Russisch
  spa: Spanisch
  swe: Schwedisch
  tur: Türkisch
  Andere Sprachen können hinzugefügt werden, wenn Sie für diese passende .traineddata-Dateien unter https://github.com/tesseract-ocr/tessdata_fast finden können. Solche Dateien müssen lediglich in das Unterverzeichnis \tessdata des eigentlichen Tesseract-Verzeichnisses gelegt werden. Oder Sie können zu https://github.com/tesseract-ocr/tessdata_best gehen, wo es für die unterstützten Sprachen OCR-Daten mit höherer Qualität gibt, deren Verwendung allerdings auch sehr viel mehr Zeit in Anspruch nimmt.

• Die unterstützten Dateitypen sind grundsätzlich die folgenden: PDF, PostScript (PS), TIFF, JPEG, HEIC, PNG, GIF, BMP, WEBP, AutoCAD DXF, Photoshop PSP und vielleicht weitere.

Weitere Such-Optionen

• Fähigkeit, den Anmerk.-Filter zur Fokussierung auf Suchtreffer in versetzt gespeichertem (an ungeraden Offsets ausgerichtetem) UTF-16-Text zu verwenden.

• Fähigkeit, Suchtreffer in der alternativen E-Mail-Darstellung anzuzeigen.

• Fähigkeit, Suchtreffer aus Textdateien mit Unix/Linux-Zeilenumbrüchen zu laden.

Dateisystem-Unterstützung

• Komprimiert gespeicherte Daten-Chunks aus NTFS-deduplizierten Dateien werden jetzt dekomprimiert, d. h. solche Dateien können jetzt geöffnet werden. Benötigt Windows 8 oder später.

• In Ext-Dateisystemen erlaubt eine neue Option für den Datei-Überblick, bei der ursprünglichen Erzeugung des Datei-Überblicks eine tiefergehende Auswertung gelöschter Verzeichniseinträge, selbst, wenn diese relativ zu den aktuellen Verzeichniseinträgen falsch ausgerichtet sind. Dies könnte ggf. weitere ehemals existierende Dateien in Ext finden, wobei ein vermutlich überschaubares Risiko entsteht, auf diese Weise auch einige Müll-Einträge zu erhalten. Die Option hierfür ist beschriftet mit "Ext: Try misaligned deleted dir entries".

• Fähigkeit, die von Apple Time Machine erzeugten Backup-Bundles als Datenträger interpretieren zu lassen, indem man die Datei namens "com.apple.TimeMachine.MachineID.plist" öffnet und dann als Datenträger interpretieren lässt. Benötigt WinHex Lab Edition oder höher. Nach der Interpretation können Sie den simulierten Datenträger als eigenes Asservat zum Fall hinzufügen lassen, sofern Sie dies wünschen, wie gewöhnlich z. B. durch Rechtsklick auf den Reiter und Aufruf des entsprechenden Befehls.

• Die Host-Dateien von Schattenkopien werden jetzt so behandelt, als wären ihre Inhalte initialisiert bzw. gültig, obwohl das NTFS-Dateisystem dies anders darstellt, um unnötige Komplikationen für diejenigen Nutzer zu vermeiden, die X-Ways Forensics mit der Standardeinstellung verwenden, "Nicht initialisierte Dateien als Nullen lesen".

• Erkennt das Dateisystem QNX in einer Partition als solches.

Dateityp-Unterstützung

• Mehr Kameras bzw. bildgenerierende Geräte werden erkannt, inkl. der 8. iPad-Generation.

• Verbesserte Erkennung der generierenden Geräteklasse und des Verarbeitungszustandes eines Bildes anhand seiner Dimensionen.

• Roh-Darstellung neuerer $LogFile-Dateien von Windows 10 verfügbar.

Fall-Verwaltung

• Es gibt jetzt eine Option, interne Informationen wie den Namen des Ermittlers und die Pfade von Fall und Datenträger-Sicherungen im Fall-Bericht nicht anzuzeigen, falls der Bericht für Personen außerhalb Ihrer Organisation erzeugt werden soll.

• Es gibt jetzt eine Option, die technischen Beschreibungsdetails eines Asservates nicht anzuzeigen. Dies könnte nützlich sein, um unnötige Diskussionen mit Computer-Laien vor Gericht oder anderswo zu vermeiden, z. B. um Fragen wie was genau denn eine "Sektorgröße" sei.

• Der Befehl "Asservate importieren" importiert standardmäßig jetzt alle Asservate eines Falles, und nur die als wichtig gekennzeichneten Asservate, wenn Sie die Umschalttaste in dem Moment gedrückt halten, wenn der Import beginnt.

• Beim Importieren von Asservaten aus einem anderen Fall werden Berichtstabellen des importierten Falles, für die es in den importierten Asservaten keine Verknüpfungen gibt, nicht mehr mit importiert. Berichtstabellen des importierten Falles, deren Namen identisch sind mit Berichtstabellen des aktuellen Falles, werden jetzt mit diesen verschmolzen.

• Wenn ein Kommandozeilen-Parameter der Pfad oder Name einer .xfc-Datei ist, und zu dem Zeitpunkt, wo dieser Paramter verarbeitet wird, bereits ein Fall geöffnet ist, werden die Asservate dieser .xfc-Datei automatisch in den bereits aktiven Fall importiert. (In früheren Versionen hätte dies den aktiven Fall geschlossen un deinen anderen Fall geöffnet.)

• Fallberichte, die von X-Ways Investigator erzeugt werden, können jetzt ebenfalls die Hash-Werte von Dateien anzeigen.

• Fähigkeit, Berichtstabellen im Dialogfenster für die Berichtstabellen-Verknüpfung miteinander zu verschmelzen.

Nutzeroberfläche

• Fähigkeit, die Flex-Filter auf die zusätzlichen Spalten der Ereignisliste anzuwenden, wie z. B. die Ereignis-Zeitstempel und -Beschreibung.

• Die Menübefehle Datei | Sicherung wiederherstellen und Specialist | Technischer Detailbericht sind jetzt auch in X-Ways Imager verfügbar.

• Die Reihenfolge der Tabulator-Tasten-Wechsel, die im Hauptfenster festgelegt ist, gilt auch für den Suchtreffer-Modus.

• Die Datei "GREP Expressions.txt", in der X-Ways Forensics die beschreibenden, menschenlesbaren Namen Ihrer bevorzugten regulären Ausdrücke festhält, heißt jetzt "Regular Expressions.txt". Bitte benennen Sie Ihre bisherige Datei, falls vorhanden, entsprechend um.

• Die Anzahl der Suchtreffer für das blockweise Hashen wird jetzt im Nachrichtenfenster angegeben, um deren Vorhandensein zur Kenntnis zu geben und wo und wie diese aufzufinden sind.

X-Tension API

• Das Plug-In, das für die Nutzung der X-Tension API mit Python benötigt wird, wurde aktualisiert und kann von https://www.x-ways.net/forensics/x-tensions/api.html heruntergeladen werden.

• Neue X-Tension API-Funktionen XWF_PrepareTextAccess() und XWF_GetText().

• Die neuen X-Tension API-Funktionen XWF_GetColumnTitle und XWF_GetCellText ermöglichen, die Inhalte aller Verzeichnis-Browser-Spalten als Text auszulesen.

• X-Tension API: Die Funktion XWF_ManageSearchTerm() can jetzt Suchbegriffe umbenennen, um diese beispielsweise mit einem nutzerfreundlicheren Namen anzuzeigen.

• Ein Instabilitätsproblem wurde behoben, das X-Tensions betreffen konnte, die im Zusammenhang mit mehreren Threads und als Reation auf XT_ProcessItem() bestimmte Datei-Lese-Operationen durchgeführt haben.

• Es gibt jetzt ein eigenes Forum zum Thema X-Tension Programmierung. Bei Interesse können Sie sich über neue Beiträge in diesem Teil des Forums durch Abonnieren der Benachrichtigungen in Ihrem Nutzerprofil (https://www.x-ways.net/cgi-bin/discus/board-profile.cgi) benachrichtigen lassen. Nutzer, die die entsprechenden Benachrichtigungen für den Forums-Bereich Computerforensik abonniert haben, erhalten nicht automatisch auch die Benachrichtigungen für den neuen Bereich X-Tension Programmierung.

Verschiedenes

• Beschleunigtes Arbeiten im Umgang mit undefinierten/spärlich allozierten Bereichen in Backup-Bundles, virtuellen Platten der Typen VDI, VHD, VHDX und VMDK, einschließlich differenzierender, d. h. solcher virtuellen Platten, die selbst wiederum von übergeordneten virtuellen Platten (Snapshots) abhängen.

• Neue Option, per Signatur gefundene Dateien nach der Zahl ihres jeweiligen Startsektors zu benennen, wahlweise mit oder ohne führende Nullen.

• Der Befehl Wiederherstellen/Kopieren, bei der Anwendung im Fenster für den Asservat-Überblick und mit nur halb angekreuzter Option für die Reproduktion des Originalpfads, gruppiert die Unterobjekte von Dateien jetzt in Unterverzeichnisse, genau, wie bei der Anwendung auf ein einzelnes Asservat.

• Die Ausgabe der Spaltentitel beim Exportieren oder Herauskopieren einer Liste in TSV- oder HTML-Format ist jetzt optional.

• Es gibt für Kunden im Bereich "Zusätzliche Downloads" (s. Lizenzstatus-E-Mail) eine aktualisierte herunterladbare deutschsprachige und eine neue englischsprachige Tooltips.txt-Datei.

• Viele kleinere Verbesserungen.

• Benutzerhandbuch und Programmhilfe aktualisiert für v20.3.

Änderungen an den weiteren Service-Releases von 20.2

• SR-1: Supports one more variant of HEIC files.

• SR-1: In certain situations Preview mode remained blank in v20.2 until a different file was selected in the directory browser. That was fixed.

• SR-1: Prevented one situation in which the error message "The file does not contain offset ..." could pop up when opening a case with evidence objects in search hit list mode.

• SR-1: Slightly reduced strain on the dongle.

• SR-1: If the connection to the dongle gets lost, the open case will be saved immediately in addition to the interval-based automatic save.

• SR-1: Reduced impact of a certain floating point exception error in SQLite processing.

• SR-1: Fixed slow text extraction from spreadsheets that could occur previously when searching logically with more than 8 threads.

• SR-2: Supports one more variant of HEIC files.

• SR-2: HEIC picture data parsing is now optional (see Options | Viewer Programs).

• SR-2: Potentially fixed a rare exception error that could occur when parsing Ext4 volumes with meta blockgroups.

• SR-2: Ability to read deduplicated files in a previously not covered scenario.

• SR-2: Around the time when SR-2 was released, the documentation of the XT_ProcessSearchHit() API function was updated and corrected.

• SR-3: The GREP syntax option is now called "regular expressions".

• SR-3: Easier to understand description of exactness of PhotoDNA matches in Details mode, in percent.

• SR-3: Text decoding did not always preserve certain symbols in the 2xxx Unicode range, such as a French apostrophe. That was improved.

• SR-3: Ability to save dialog window selections instead of filter settings from within the directory browser options dialog window, just like with other dialog windows.

• SR-3: Prevented a possible exception error that could occur when extracting metadata.

• SR-3: Addressed a rare infinite loop problem that could occur when extracting metadata.

• SR-3: The option to discard duplicates of imported hash values in existing hash sets previously discarded even hash values that were rejected for import due to category mismatch. That was fixed.

• SR-4: Timeout avoided with certain incomplete PNG files.

• SR-4: Fixed a crash that could occur when text representations of dialog windows with extremely long lists were created for the activity log of the case.

• SR-4: Representations of nested dialog windows of the volume snapshot refinement settings are now included in the case's activity log only if the corresponding operation is actually selected, and no longer potentially twice.

• SR-4: The descriptions of events from .evtx event logs in the event list of v20.2 lacked the first character of extracted values like Address, UserID, SessionID. That was fixed in the metadata extraction function.

• SR-4: Carves newer subversions of EDB databases than algorithmically supported, with the defined default file size.

• SR-5: Graphics display library updated.

Eine überarbeitete Fassung für v8.5.4 der Viewer-Komponente ist seit dem 3. June 2021 zum Download verfügbar. Die untenstehenden Punkte werden davon behoben, was X-Ways Forensics unter Umständen betrifft. Wörtlich zitiert:

Some extra spaces are rendered after PDF file conversion-IX
Search Export generates XRunExport() failed: file is corrupt (0x0009)
PDF conversion doesn't provide correct conversion result
PDFs w/blanks sections are exporting bad format w/Search & Image Export
E-mail with background color performs differently from 8.5.3
Info->PageCount on attached excel files hang the drawpage.exe app(32 bit)
XLS file crashes drawpage.exe on 32-bit and 64-bit
Viewer hangs the system when the attached xlsx file is opened
PDF results in a core dump when running through exsimple via PX
Observed Text Overlapping and Data loss on PX Export for Given PDF file
Highlighting issue in Word documents with footnotes
UNADDRESSABLE ACCESS beyond heap bounds while exporting in tiff format
Email Header Redaction
Small msg file is rendered to a PDF file with over 65,000 pages
Customer searches for a name not found due to added space by SX
Watermark is obscuring document in OIT
Compressed Searchable PDF Files Generated by CVISION are not Previewable in OCE
Some extra spaces are rendered after PDF file conversion.
Document in RTF not correct shown or printed in OIT, 8.5.1 to 8.5.4
HTML charset not respected when enclosed in single quotes
OIT Viewer crash when opening XLSX document
Part of Text not showing in viewer: VW 8.5.4
Incorrect UTF8 output encoding for email content with iso-2022-kr character set
OIT 8.5.4 Viewer Crashes on attached xlsx file
word doc in WVX is missing a lot of data and only has two pages.
SCCOPT_TIMEZONE NOT WORKING FOR .EML FILES - IMAGE EXPORT
PFDA conversion of PDF is missing text.
Microsoft Outlook OST File count mismatch - 8.5.3 CA
OVERLAPPING TEXT IN .DOCX FILES

Attached DOCX file errors out while viewing on OIVT
Numbering in word documents are rendered incorrectly by PX and IX
Spacing Issue Observed on Given PDF file across SDKs
CA 8.5.5 producing blank output on some html files, customer crash
Text selection with Body and Footnote for redaction, it add extra lines and texts
French Character not extracted correctly
EXRunExport() failed: unknown chunker failure (0x0241) on Loading Input Doc File
eml files being reported as 7-bit files rather than emails in 8.5.4 and 8.5.5
Image covering header after conversion in latest 8.5.4/5
Some images in the PX and IX of DOC files are out of place
XLSX is not shown with drawpage.exe in OIVT8.5.4.20(BP10) but works in BP8
CEC: Fidelity Issues with PX Conversion of PDF - HME_DR_SimGrid_SNUBH_2016_FT
MS Excel file converted to PDF had Partial text hidden
CEC: Fidelity Issues with HTML5 Conversion of PDF - HME_DR_SimGrid_SNUBH_2016_FT
Exported pdf displays unmappable characters
Docx - Inline Image in the table in Header is not positioned or aligned properly
Oracle Outside-In adds redundant space in the word
Font rendering issues in 8.5.4, not present in 8.5.3
Extracted text of PDF document contains spaces between letter of a single word
WCC: certain excel hangs when exporting to pdf
with OIT 8.5.4 BP5, Redaction on last page of document is appearing on front
The umlauts in eml files are not rendered correctly
image export of eml file chops off portion of document
web view of Specific .xlsm file shows file corrupt message.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit einigen beachtlichen Verbesserungen, die Version 20.2. Erscheinungsdatum war der 22. März 2020. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten oder professionellen Lizenz)

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases wie jetzt gerade von der Version 20.3, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Nächster Schulungstermin

8.-11. Juni, Online

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im Online-Live-Format werden hier aufgelistet. Davon ist der Termin am 15.-18. Juni besonders für Teilnehmer in der mitteleuropäischen Zeitzone geeignet.

Was ist neu in v20.2?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateisystem-Unterstützung

• Fähigkeit, im HEIC-Format vorliegende Bilder einzusehen und in der Vorschau zu sichten. Die Galerie lädt Miniaturansichten in HEIC-Dateien und zeigt diese an. Die Bildanalyse und -verarbeitung unterstützt jetzt auch HEIC-Dateien.

• .thumbdata4-Archive von Android und HEIC-Dateien sind nun standardmäßig in der Liste von Dateien, die auf eingebettete Daten geprüft werden. (Miniaturansichten in HEIC-Dateien werden dabei im JPEG-Format ausgegeben.)

• X-Ways Forensics kann nun spezifische Daten aus den Ereignissen in.evtx-Event-Logs extrahieren und diese direkt in der Ereignisliste darstellen. Das macht das Arbeiten mit Event-Logs deutlich mächtiger, weil man so schnell nach Benutzernamen, IP-Adressen von Anmelde- oder RDP-Ereignissen, Task- oder Service-Namen, PowerShell-Befehlen usw. Filtern kann. Es gibt dazu eine tabulatorseparierte Definitionsdatei namens „Event Log Events.txt“ im Installationsverzeichnis, die eine Liste von Ereignis-IDs enthält, (optional) die Namen der betreffenden Komponenten in Windows, die die Log-Einträge erzeugen, und eine Liste von individuellen Datenfeldern, die extrahiert werden sollen. Die Definitionsdatei kann nach Ihren eigenen Bedürfnissen angepasst werden. .

• Windows .evtx-Event-Logs werden nun in Form einer einzigen tabulatorseparierten Tabelle (TSV-Datei) ausgegeben. Dies ersetzt die zuvor erfolgende Ausgabe in mehrere HTML-Dateien. Diese Tabelle enthält die kompletten Daten von jedem Ereignis. Sie kann idealerweise in MS Excel oder einer ähnlichen Anwendung eingesehen werden.

• Ereignisse werden in der Ereignisliste nun mit weniger Stördaten ausgegeben.

• Fähigkeit zum Extrahieren von E-Mail-Dateianhängen aus TNEF-Dateien, wenn sie von der Typprüfung als solche identifiziert werden. (Solche Dateien tragen normalerweise den Namen "winmail.dat".)

• Es gibt nun eine Option, MSG-Dateien im Datei-Überblick nach der E-Mail-Betreffzeile zu benennen, wenn E-Mails und Datei-Anhänge aus ihnen extrahiert werden. Das kann nützlich sein, wenn Sie große Mengen an generisch benannten MSG-Dateien antreffen.

Bedienoberfläche

• Die Galerie kann jetzt in einem alternativen Modus operieren, der mit dem Schalter links vom Sync-Schalter aktiviert wird. In dem Modus stellt die Galerie nicht die aktuell im Verzeichnis-Browser aufgelisteten Dateien dar, sondern statt dessen die Unterobjekte eines einzigen gewählten Objekts, wenn es solche Unterobjekte gibt. Dies sind entweder nur direkte Unterobjekte oder (im ²-Modus) Unterobjekte rekursiv. Dies ist ein einzigartige Möglichkeit, um mit einem einzigen Mausklick einen schnellen Überblick über ganze Verzeichnisse oder Datei-Archive zu erhalten. Außerdem nützlich für Videos, von denen Sie zuvor Standbilder haben extrahieren lassen. Sie können jedes aufgelistete Unterobjekt mit der rechten Maustaste anklicken und diverse Operationen darauf anwenden. Die meisten aus dem Kontextmenü des Verzeichnis-Browsers bekannten Befehle sind verfügbar. Insbes. können Sie ein Unterobjekt auf diese Weise mit Berichtstabellen verknüpfen, ausblenden, markieren oder zu ihm im Verzeichnis-Browser navigieren, um die Metadaten in allen Spalten zu sehen (zurück zur vorherigen Ansicht geht es dann bekanntlich durch Klick auf den Zurück-Schalter). Die Unterobjekte werden in der Galerie in aufsteigender Reihenfolge ihrer internen ID aufgelistet.

• Die Auswahl der in Galerie spiegelt normalerweise exakt die Auswahl im Verzeichnis-Browser wieder. Bei der Darstellung der Unterobjekte einer gewählten Datei allerdings erlaubt die Galerie in sich selbst eine abweichende, separate Auswahl unter den Unterobjekten.

• True-Color-Bilder können in der Galerie nun optional nicht nur in Graustufen dargestellt werden, sondern auch in völlig unnatürlichen Farben, um den psychologischen Eindruck bestimmter Fotos abzuschwächen. Diese neue Option ist als mittlerer Zustand des Kontrollkästchens verfügbar. Die Graustufen-Umwandlung (wenn das Kontrollkästchen voll mit einem Haken versehen ist) wurde leicht optimiert.

• Es gibt nun die Möglichkeit, die Darstellungen der Modi Vorschau und Details für dieselbe Datei gleichzeitig zu sehen, nebeneinander, indem Sie das "+"-Zeichen am Details-Schalter anklicken während Sie sich im Vorschau-Modus befinden. Ein anschließender Klick auf einen der beiden Schalter macht den betreffenden Modus zum alleinig aktiven Modus.

• Die ungefähre Rollposition im Details-Modus wird nun bei Wahl einer anderen Datei im Verzeichnis-Browser wiederhergestellt, und auch beim Schließen und erneuten Öffnen des Datenfensters oder der Anwendung, so dass Sie danach möglichst die gleiche Art von Metadaten sehen wie vorher.

• Man kann den Inhalt des Details-Modus nun in einer HTML-Datei abspeichern, durch Klick auf das neue Disketten-Icon in der Statusleiste.

• Tastenkürzel wurden definiert und werden nun im Verzeichnis-Browser-Kontextmenü angezeigt, mit denen man die ausgewählte(n) Datei(en) in X-Ways Forensics oder im verknüpften Programm einsehen kann.

• Über die Befehlszeile lassen sich nun Dialogfenster-Auswahlen automatisiert laden. Dies überspielt i. d. R. bestimmte Teile der Konfiguration, die anfänglich aus einer WinHex.cfg-Datei geladen wird, in dem Moment, in dem dieser Befehlszeilen-Parameter abgearbeitet wird (nicht wenn diese Teile der Konfiguration ggf. beeinflussen, was die Anwendung genau macht). Der Befehl dazu lautet "Dlg:", direkt gefolgt vom Pfad der gewünschten .dlg-Datei. Nachdem Sie eine Dialogfenster-Auswahl gespeichert haben, stellen Sie bitte sicher, dass sie auch wirklich von der Anwendung akzeptiert wird, indem Sie auf OK klicken. Nur von v20.2 erzeugte .dlg-Dateien können hierfür verwendet werden. Ältere Versionen von X-Ways Forensics können auch .dlg-Dateien von v20.2 lesen (natürlich nicht über die Befehlszeile, das ging ja bisher nicht, nur manuell im jeweiligen Dialogfenster).

• Die Notationsoptionen in Wiederherstellen/Kopieren sind nun auch dann zugänglich, wenn die "Gruppieren nach"-Optionen aktiv sind, weil sie dafür relevant sind.

• Wenn Sie weitere Berichtstabellen-Verknüpfungen zur selben Datei hinzufügen, werden diese nun durchgängig in der Reihenfolgen angezeigt, in der die Berichtstabellen definiert sind.

• Es wird nun verhindert, dass die Viewer-Komponente versucht, NTFS-Systemdateien wie $UpCase im Vorschau-Modus darzustellen, weil das problematisch war.

Suche, Indexierung

• Die alternative Verarbeitung der Textdecodierung von Tabellenkalkulationen wurde überarbeitet. U. a. werden die Grenzen und ordinalen Nummern von  Arbeitsblättern nun mit Trennlinien markiert.

• Es gibt nun eine Option, um Leerzeichen um geläufige chinesische Zeichen in decodiertem Text herauszufiltern (s. Optionen | Viewer-Programme). Solche Leerzeichen können unerwarteterweise z. B. bei der Verarbeitung bestimmter PDF-Dokumente erscheinen und Stichwort-Suchen in Chinesisch vereiteln.

• Die Roh-Vorschau mit decodiertem Text (d. h. mit Umschalt + Klick auf "Roh") in Chinesisch wurde bisher  nicht richtig angezeigt weil die Viewer-Komponente die Daten nicht immer als UTF-16 identifizierte. Das wurde verbessert.

Diverses

• WinHex Lab Edition und höher: Fähigkeit, Dateien zu öffnen und zu lesen, die auf NTFS-Volumes in Windows Server mit aktiver Deduplikation gespeichert wurden, sofern sie dabei nicht komprimiert wurden.

• Wenn es mehrere Treffer für eine Datei in der PhotoDNA-Hash-Datenbank gibt, was mit Auslassungszeichen (...) nach dem ersten Treffer angedeutet wird, und wenn die PhotoDNA-Hash-Werte im Datei-Überblick gespeichert sind, lädt der Details-Modus nun die Hash-Datenbank und gibt explizit alle Treffer an.

• Es werden noch mehr JPEG-erzeugende Gerät erkannt, jetzt über 30.000.

• Es wurde eine seltene Endlosschleife korrigiert, die auftreten konnte, wenn man Dateien in APFS öffnete.

• Ein sehr seltener Ausnahmefehler wurde entschärft,  der offenbar bei der besonders intensiven Dateisystem-Datenstruktursuche in exFAT auftreten konnte.

• Es wurde ein seltener Ausnahmefehler behoben, der unter bestimmten Umständen auftreten konnte beim erneuten Öffnen einer rekursiv erkundeten Partition auf einem physischen Datenträger im Fall, wenn man nach Rückfrage entschied, einen neuen Datei-Überblick zu erzeugen.

• Viele weitere kleine Verbesserungen.

• Benutzerhandbuch und Programmhilfe für v20.2 aktualisiert.

Änderungen der Service-Releases von v20.1

• SR-2: Finds certain Ext* partitions with an unusual configuration when searching for lost partitions.

• SR-2: Identifies extended partitions as such even when wrongly described as a different partition type in the MBR, as seen in Kindle storage.

• SR-2: Fixed I/O error that occurred in v20.1 when splitting up the case report into segments.

• SR-3: Ability to define the alphabet to detect word boundaries for the commands Find Text and Replace Text, with any kind of license.

• SR-3: Fixed an infinite loop that could occur when processing GZ archives with very long filenames.

• SR-3: The X-Tension API function XWF_Read() returned 0 after reading between 2 and 4 GB of data instead of the actually amount of data that was read. That was fixed.

• SR-3: Fixed an exception error that apparently could occur in certain cases when right-clicking multiple selected files in the case root window.

• SR-3: Fixed an error that occurred when interpreting .e01 evidence files with a user-defined sector size.

• SR-3: Fixed an exception error that could occur when parsing unexpected LVM2 container data.

• SR-3: msglog.txt is now slightly more complete, showing which button was clicked in message boxes and showing when a case was closed if messages were output while the case was open.

• SR-4: Corrupt files found by the file header signature search are now included optionally (and are now included by default when searching for embedded files).

• SR-4: Fixed trailing spaces at the end of the names of some rare files in FAT in recent releases.

• SR-4: Fixed a rare exception error that could occur with the gallery in freshly refined volume snapshots.

• SR-6: The gallery option "Use auxiliary thumbnails" did not work correctly in v20.1 SR-4 and SR-5 and showed the wrong thumbnails for some pictures. That was fixed.

• SR-6: Fixed an exception error that could occur in v20.1 when right-clicking multiple selected items from different evidence objects.

• SR-6: Some minor improvements and fixes.

• SR-7: If the creation of an .e01 evidence file is interrupted, a notice about that is now also left in the image itself, when it is provisionally finalized.

• SR-7: When copying files with child objects to evidence file containers and including those child objects in the container and including the path, then the parent files would have been copied with their contents even if "Copy only metadata" was selected. That was fixed.

• SR-7: Fixed an instability problem that could occur when extracting e-mails and attachments from MSG files.

• SR-10: thumbcache*.db thumbnail stores were previously not processed in certain rare situations, namely if they were targeted only indirectly and the main thumbcache_idx.db file was a newer version than expected or could not be parsed as expected. In many such cases they are now checked for embedded thumbnails directly, independent of thumbcache_idx.db.

• SR-10: Detects the XFS file system based on less strict rules again, like previous versions.

• SR-10: File mode did not show slack correctly in NTFS in the previous service release. That was fixed.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer.