#173: X-Ways Forensics,
X-Ways Investigator und WinHex 21.0 veröffentlicht
30. Dezember 2023 |
Hallo allerseits, in dieser Ausgabe informieren wir Sie
über ein weiteres Update mit wichtigen Verbesserungen, die Version
21.0. Erscheinungstermin war der 13. Dezember 2023. Nicht alle Beschreibungen
sind auf Deutsch verfügbar.
Kunden erhalten Download-Instruktionen,
aktuelle
Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren
Lizenzen wie immer unter
https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates
oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw.
Lizenzverlängerungen.
Wenn Sie an Benachrichtigungen über Service-Releases
zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder
auch über Preview- und Beta-Releases, können Sie diese im
Bereich "Announcements"
des
Forums einsehen und sich
bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen
in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie
vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie
bitte zumindest das letzte Service-Release der betreffenden Version
verwenden.
Nächste Schulungstermine
Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten,
sobald diese feststehen, können Sie
hier Ihre
E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie
online werden
hier aufgelistet.
Was ist neu in v21.0?
(Bitte beachten
Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
Benutzerschnittstelle
-
Im Fallbaum wird nun der Knoten, der dem Mauszeiger
am nächsten ist, farblich hervorgehoben, egal wie weit rechts (egal wo
genau in der Zeile) der Mauszeiger steht, ähnlich wie im
Verzeichnis-Browser.
-
Der Fallbaum reagiert nun auf Klicks in der gesamten
Zeile, d. h. man kann auch links oder rechts von einem Knoten klicken,
um die gewünschte Wirkung zu erzielen, so dass man nicht mehr so genau
zu zielen braucht.
Die möglichen Aktionen dabei sind ein Linksklick zum Auswählen und
Erkunden, ein Mittelklick zum Markieren und Entmarkieren, ein
Rechtsklick zum rekursiven Erkunden bzw. zum Anzeigen des Kontextmenüs und ein Doppelklick zum Auf- oder
Einklappen von Unterverzeichnissen und Partitionen.
-
Verbesserte Verständlichkeit der Bedienoberfläche in
mehreren Bereichen.
-
Zugriff auf die Funktionalität der Spaltenköpfe rein
per Tastatur, ohne Benutzung der Maus, durch Drücken von Strg+H (H
für Header), um einen Filter zu aktivieren oder zu deaktivieren und um
eine Spalte als Sortierkriterium festzulegen.
-
Wenn Sie Verzeichnis-Browser-Einstellungen in Fällen
speichern und aus Fällen wieder laden lassen, werden die aktuellen
DPI-Einstellungen in Windows zusammen mit den Spaltenbreiten
gespeichert, so dass diese Spaltenbreiten automatisch proportional
angepasst werden können, wenn man dieselben Fälle in anderen
Windows-Systemen mit anderen DPI-Einstellungen öffnet. Dies gilt nur in neu
erzeugten Fällen von v21.0. (Releases von v20.6 und neuer ab dem 27.
Oktober 2023 können die Verzeichnis-Browser-Einstellungen von solchen
Falldateien immer noch laden, aber beachten die DPI-Einstellungen
nicht.)
-
Verbesserte Fähigkeit, die Vorschau oder das Einsehen
großer Dateien mit der Viewer-Komponente abzubrechen, indem man den
Mauszeiger in die untere rechte Ecke des Viewer-Fensters bewegt, wenn
dort eine Notiz erscheint, die Sie auf diese Möglichkeit aufmerksam
macht.
-
Die Auto-Update-Funktion wurde verbessert. (Gemeint
ist die
Fähigkeit, das von der internen Grafikanzeigebibliothek aktuell in einem
separaten Fenster dargestellte Bild mit einem einzigen Klick auf eine
andere Datei zu aktualisieren).
-
Wenn mehrere Instanzen (Sessions, Prozesse)
von WinHex/X-Ways Forensics zur selben Zeit auf demselben Computer
laufen, werden diese Instanzen nun beginnend mit 1 statt 0
durchnummeriert. Die Instanznummer kann nun nicht nur der sog.
About-Box entnommen werden (das Fenster, das aufgeht, wenn Sie die
Versionsnummer in der oberen rechte Ecke des Hauptfensters anklicken),
sondern für zusätzliche Instanzen auch direkt in der Überschriftsleiste
des Hauptfensters angezeigt werden, so dass es leichter fällt, die
Instanzen in der Windows Task-Bar und im Windows
Task-Umschalter voneinander zu unterscheiden. Dieses Verhalten hängt ab von einem
neuen Kontrollkästchen im Dialogfenster mit den allgemeinen Optionen,
oben links.
Beachten Sie bitte noch: Wenn Sie ältere Instanzen beenden und neue
starten, dann nehmen die neuen Instanzen wieder dieselben früheren
Instanznummern beginnend mit 1 in Beschlag.
-
Wenn das neue Kontrollkästchen zur Unterscheidung von
Instanzen voll gewählt ist, haben die unterschiedlichen
Instanzen zur besseren Unterscheidung ihre eigenen (frei wählbaren) Hintergrundfarben. Dies ist
derzeit nicht kompatibel mit dem Dunkelmodus.
-
Einige Funktions-/Befehlssymbole (Icons) wurden überarbeitet.
Weitere Symbole wurden in diversen Bereichen der grafischen
Bedienoberfläche hinzugefügt.
-
Der Verzeichnis-Browser kann nun Datei-Archive mit
einem speziellen Archivsymbol anzeigen, oder mit dem regulären blauen
Dateisymbol mit einem darübergestülpten großen "A", abhängig von den
Verzeichnis-Browser-Optionen.
-
Die Option, Bilder in der Galerie als bereits
eingesehen zu kennzeichnen, bezieht sich nun auch auf solche
Bilddateitypen, die von der Viewer-Komponente dargestellt werden, nicht
nur solche, die die interne Grafikanzeigebibliothek übernimmt. Das
betrifft z. B. Dateien vom Typ JPEG 2000, DXF, WMF und EMF.
-
Die Kennzeichnung von Kontrollkästchen mit
benutzerdefinierten Tooltips wurde überarbeitet.
-
Ein optionales, vereinfachtes Dialogfenster für die
Erweiterung des Datei-Überblicks und die Parallele Suche ist nun in der Triage-Benutzerschnittstelle von X-Ways Investigator
verfügbar (Option +104 in
investigator.ini).
-
Die Option, ehemals existierende Dateien beim
Hinzufügen von Dateien zu einem Hash-Set auszulassen, war ein
Überbleibsel von vor sehr langer Zeit und wurde nun entfernt.
-
Ein grafisches Problem in bestimmten Listenfenstern
bei hohen DPI-Einstellungen wurde behoben.
Zeitstempel-Analyse
-
Der Zeitstempel-Filter kann nun optional die
Bedingungen für die diversen Zeitstempel-Typen (Erzeugung, Änderung,
...) mit einem logischen UND verknüpfen statt dem standardmäßigen ODER.
-
Es gibt dabei zwei verschiedene Arten von UND-Verknüpfungen
für Zeitstempel-Filter. Eine strenge UND-Kombination (wenn voll
gewählt) erfordert, dass alle gewählten Zeitstempel-Typen tatsächlich
vorhanden/verfügbar sind und sie alle die Bedingungen erfüllen. Eine weiche UND-Kombination (halb
gewählt) erfordert nur, dass die jeweils verfügbaren Zeitstempel die
Filterbedingung erfüllen (und dass es wenigstens einen solchen
Zeitstempel gibt). Hintergrund ist, dass nicht von allen Dateien alle
Arten von Zeitstempeln bekannt sind.
-
Der Ereignis-Zeitstempel-Filter und der allgemeine
Zeitstempel-Filter sind nun völlig unabhängig voneinander, so dass es z.
B. möglich ist, nach Ereignissen nach Juli 2022 zu filtern in Dateien,
die vor März 2017 erzeugt wurden.
-
Der Zeitstempel-Filter erlaubt es nun, sich auf
NTFS-0x10-Zeitstempel zu konzentrieren, die eklatant rückdatiert
aussehen im Vergleich zu ihren 0x30-Gegenstücken, und außerdem auf
Erzeugungszeitstempel aus dem Dateisystem, die zeitlich vor der
Erzeugung des Inhalts laut internen Datei-Metadaten liegen.
Sie können einen Schwellwert in Millisekunden, Sekunden, Minuten,
Stunden, Tagen, Wochen, Monaten oder Jahren angeben, der solche
Zeitstempel-Diskrepanzen für Sie relevant macht, d. h. Sie können zur
Bedingung machen, dass der Haupt-Erzeugungszeitstempel soviel älter ist
als der entsprechende 0x30-Zeitstempel oder als der Zeitstempel der
Erzeugung des Inhalts, wie Sie es einstellen. Wenn Sie einen
UTC-basierenden Erzeugungszeitstempel aus dem Dateisystem vergleichen
mit der Erzeugung des Inhalts laut internen Metadaten, die in einer
unbekannten Ortszeit gespeichert ist (z. B. in PNG-Dateien), können Sie
dabei berücksichtigen, wieviel Stunden Zeitdifferenz allein schon aufgrund
dieses Basiseffekts zu erwarten sind. Um Sie zu unterstützen, werden UTC-basierende
Erzeugungszeitstempel mit Ortszeiten vergleichbar gemacht, indem sie in
die aktuelle Anzeige-Zeitzone umgerechnet werden.
Bitte beachten Sie, dass Rückdatierungen meist automatisch erfolgen, aus
diversen Gründen (z. B. beim Entpacken von Dateiarchiven zur
Wiederherstellung ursprünglicher Zeitstempel oder beim Installieren von
Anwendungen durch Setup-Programme),
und nicht notwendigerweise das Ergebnis eines Eingriffs durch einen
Beschuldigten oder von Malware mit bösartigen Absichten sind. Wenn Sie
an potentiellen manuellen Eingriffen interessiert sind, könnte es
nützlich sein, zugleich einen Dateitypfilter einzusetzen, und genau die
Dateitypen auf Rückdatierungen zu prüfen, bei denen es in Ihrem Fall
wirklich einen Unterschied machen würde, z. B. Dokumente.
-
Alle 0x10-Zeitstempel von NTFS werden in ihren Zellen
nun mit einem Rückdatierungssymbol (Icon) versehen, wenn sie älter sind als
ihre entsprechenden 0x30-Gegenstücke (die Spalten mit der hochgestellten
2 im Kopf), und zwar soviel älter, dass der im Zeitstempel-Filterdialog
eingestellte Schwellwert überschritten wird. Zellen mit Erzeugungszeitstempeln haben solch
ein Symbol auch dann, wenn sie älter sind als der Zeitstempel der
Erzeugung des Inhalts,
wenn ein solcher in den internen Metadaten der Datei vorhanden war und
extrahiert wurde. Die Differenz zwischen den beiden verglichenen
Zeitstempeln wird rechts von dem Symbol angezeigt, gerundet auf
Millisekunden, Sekunden, Minuten, Stunden, Tage, Wochen, Monat oder
Jahre.
-
Der allgemeine Zeitstempel-Filter hat nun die
Möglichkeit zur Einstellung "Alle". Damit können Sie Dateien finden, die
überhaupt einen Zeitstempel des ausgewählten Typs haben, oder können
dies mit den Rückdatierungsbedingungen kombinieren.
Fälle und Asservate
-
Wenn Sie ein einzelnes Datei-Archiv zum Fall als
Asservat hinzufügen (unter Verwendung des Menübefehls "Datei hinzufügen"
oder per Drag & Drop),
dann wird dieses Archiv nun sofort erkundet, und sein Inhalt wird im
Verzeichnis-Browser dargestellt, ohne die Archivdatei selbst, genau wie
es auch beim Hinzufügen einer Datenträger-Sicherung oder eines
Datei-Containers funktioniert.
Das geschieht so bei allen unterstützten Archiv-Untertypen, deren Inhalt
Sie X-Ways Forensics beim Erweitern des Datei-Überblicks in den
Datei-Überblick aufnehmen lassen.
Dateiübergreifend gespeicherte (segmentierte) Zip- und 7z-Archives im
Stil von 7-Zip und WinZip werden auch unterstützt. Stellen Sie bitte
lediglich sicher, dass Sie immer das erste Segment dem Fall
hinzufügen. Bei Erzeugung mit 7-Zip heißt dieses .001 und bei
Erzeugung mit WinZip .z01. Bei passwortgeschützten (verschlüsselten) Zip-, 7z-
und Rar-Archiven werden Sie nach dem Passwort gefragt. Das Passwort kann
im Fall gespeichert werden, so dass Sie es beim nächsten Öffnen eines
solchen Asservats nicht erneut einzugeben brauchen.
-
Möglichkeit, Asservate, die einzelne normale Dateien
und Datei-Archive sind, zu hashen und Hash-Werte anschließend zu
überprüfen, über den Befehl "Asservate hashen/überprüfen".
-
In neu erzeugten Fällen haben die beiden
Unterverzeichnisse für Asservate, die Verzeichnisse oder einzelne
Dateien sind, nun kürzere Namen, die nicht mehr den Originalpfad dieser
Verzeichnisse und Dateien enthalten. Die Eindeutigkeit der
Unterverzeichnisnamen wird nun auf dieselbe Weise wie bei
Datenträger-Sicherungen sichergestellt (sollten mehrere Verzeichnisse
oder einzelne Dateien gleichen Namens zum selben Fall als Asservate
hinzugefügt werden). Die neuen Namenskonventionen werden auch von v20.8
ab SR-6
und v20.9 ab SR-5 verstanden.
-
Wenn ein Benutzer versucht, ein Asservat zu öffnen,
das eine einzelne Datei oder ein Verzeichnis ist, und wenn diese Datei
bzw. dieses Verzeichnis im bislang bekannten Pfad nicht mehr existiert, bietet
X-Ways Forensics nun komfortabel an, den neuen Pfad anzugeben oder das
Asservat einfach ohne die zugrundeliegende Datenquelle zu öffnen (wobei
nur der Datei-Überblick geladen und zur Befüllung des
Verzeichnis-Browsers herangezogen wird).
-
Benutzer werden nicht mehr wiederholt dazu
aufgefordert, Asservate zur Verarbeitung auszuwählen (für Erweiterungen
des Datei-Überblicks, für logische Suchen, Index-Suchen, für die
Erzeugung von Fallberichten, ...) oder die Auswahl erneut zu bestätigen,
solange derselbe Fall offen ist und keine neuen Asservate hinzugefügt
werden, zur Erhöhung des Bedienkomforts.
Erweiterung des Datei-Überblicks
-
Die Funktionalität der Bildinhaltsanalyse ist jetzt
auch dann verfügbar, wenn die Erweiterung des Datei-Überblicks auf
ausgewählte Dateien angewandt wird.
-
Das Verwerfen von Ergebnissen der Bildinhaltsanalyse
(durch Entfernen des Häkchens im "Bereits erledigt?"-Kästchen) entfernt
nun Vermerke über identifizierte Bildinhalte.
-
Die Maximalzahl von Threads in X-Ways
Forensics (nicht X-Ways Investigator) wurde von 16 auf 24 erhöht, je
nach Verfügbarkeit von Prozessorkernen.
-
Eine ehemals existierende Datei, deren erster Cluster
laut Dateisystem neu verwendet wurde (dargestellt als "1. Cluster nicht
verfügbar") kann nun im Rahmen der Erweiterung des Datei-Überblicks
verarbeitet werden, wenn Sie das Häkchen bei einem neu eingeführten
Kontrollkästchen entfernen, das standardmäßig dafür sorgt, dass solche
Dateien ausgelassen werden. Das bedeutet insbesondere, dass nicht mit der
Datei in Verbindung stehende zufällig an selber Stelle vorgefundene Daten gehasht
werden können und das Ergebnis als Hash-Wert dieser Datei ausgegeben
wird, obwohl er mit größter Sicherheit nicht der Hash-Wert dieser
Datei war. In früheren Versionen hätte X-Ways
Forensics dem Verlangen des Benutzers nach einer Hash-Berechnung nur
dann stattgegeben, wenn eine solche Datei gezielt durch Markierung oder
Auswahl angegangen worden wäre. Wenn X-Ways Forensics
gezwungen wird, Hash-Werte von unsinnigen Daten zu berechnen, werden
diese im Verzeichnis-Browser in grauer Farbe dargestellt, um Benutzer
daran zu erinnern, dass diese Hash-Werte nicht überinterpretiert werden
sollten und dass man nicht erwarten kann, diese Hash-Werte auf anderen
Datenträgern wiederzufinden.
-
Das Erweitern des Datei-Überblicks eines Asservats,
das ohne Datenquelle geöffnet wurde (ohne Datenträger,
Datenträger-Sicherung, Verzeichnis, ...), wird nun verhindert, weil es
keinen Sinn hat.
-
Möglichkeit, MD5-Hash-Werte "halber Länge" zu
berechnen und zu speichern. Die halbe Länge ergibt sich durch "Falten", d. h. die erste Hälfte
wird mit der zweiten Hälfte ver-xor-t, was ein 64 Bit breites Ergebnis
liefert. Dies ist als sparsamer Kompromiss gedacht zwischen CRC32 (32
Bit) und einem regulären MD5-Hash (128 Bit), um die relativ große Lücke
zwischen den beiden zu schließen und Speicher sowie Datenträgerkapazität
zu sparen, z. B. für Deduplikationszwecke.
-
Möglichkeit zur Berechnung von
EDRM MIH-Hash-Werten
für extrahierte E-Mails und Original-.eml- und -.emlx-Dateien (wenn sie
vollständige Kopfzeilen enthalten), um nach E-Mails mit bekanntem MIH-Wert
zu suchen, für Datenbank-Abgleiche oder für Zwecke der Deduplizierung.
Wenn ein MIH einer .eml-Datei im Datei-Überblick zugeordnet wird und die .eml-Datei
aus einer .msg-Datei extrahiert wurde, wird derselbe MIH automatisch
auch der Eltern-.msg-Datei zugewiesen. Zwei Kopien derselben E-Mail
können zwei unterschiediche reguläre Hash-Werte haben, aber denselben MIH,
z. B. wenn das Dateiformat unterschiedlich ist (eine rohe .eml-Datei ggü
einer OLE2-.msg-Datei) oder wenn das Format des Rumpfes sich
unterscheidet (z. B. einmal HTML, einmal reiner Text) und/oder wenn der Inhalt anders gespeichert wurde. Wenn EDRM MIH
als Hash-Typ ausgewählt ist, aber kein MIH berechnet werden kann, weil
die adressierte Datei keine E-Mail eines unterstützten Typs ist, bleibt
die Hash-Wert-Zelle leer. Als Kompromiss können Sie "MD5/MIH" als Hash-Typ
wählen: Dann wird ein MIH berechnet wird, sofern dies möglich ist, und
andernfalls ein MD5-Hash-Wert. Es erhalten auf diese Weise also alle hashbaren Dateien einen
Hash-Wert gleicher Länge, für Deduplikationszwecke oder zum Abgleich.
MIH ist ein eDiscovery-Standard, der von einem führenden Anbieter als "wegweisende
Lösung" beschrieben wurde.
Suchfunktionalität
-
Reguläre Ausdrücke unterstützen jetzt \u-Unicode-Werte
in eckigen Klammern, also innerhalb von Zeichenmengen.
-
Die Suchbegriffsliste hat nun eine Option in ihrem
Kontextmenü, mit der man potentiell sehr lange Listen von Suchbegriffen
ausdünnen kann, durch Ausschließen von Suchbegriffen, die nie einen
Treffer erzielt haben. Das Funktionieren dieser Option ist nicht garantiert bei
Suchbegriffen in Falldateien, die von früheren Versionen gespeichert
wurden.
-
Ein Rechtsklick in der Suchbegriffsliste führt nicht
mehr zum Verlust der Auswahl mehrerer Suchbegriffe.
Dateityp-Unterstützung
-
Die interne Grafikanzeigebibliothek wurde
aktualisiert.
-
Die Erkennung erzeugender Geräte wurde wie immer
aktualisiert. Neben anderen Verbesserungen wurde die Erkennung des iPhone 15
als bilderzeugendes Gerät eingebaut.
-
Die erzeugende "Software class", die im
Details-Modus berichet wird, wurde überarbeitet. Es gibt zwei weitere
Klassen: Scanner und Web-Site-Builder. Beispiele für letzteres sind WIX, JIMDO, Site123,
Squarespace, und Shopify.
-
Eine weitere Änderung in der Summary-Tabelle im Details-Modus
ist der neue Eintrag "Propensity score". Dieser kann Werte von 1
bis 99 annehmen.
Die berechnete Relevanz basiert hauptsächlich auf diesem Wert. Der Wert
gibt eine objektive statistische Wahrscheinlichkeit dafür an, dass ein
Bild zusätzliche, entfernbare relevante Metadaten hat. Er könnte auch
als Dokumentalität bezeichnet werden, also die Eigenschaft, als Dokument
dienen zu können. Man kann diese zusätzliche Information auf ihre
Konsistenz prüfen. Der "Propensity
score" existiert generell für Rasterbilder (die in Pixeln abgemessen
werden),
insbes. auch für die Formate PNG und WEBP.
-
Ein neuer interner Vermerk wurde eingeführt für Avatar/Identicon-JPEG-Bilder.
Solche Identicons sind oft kleinere Versionen von Avataren und
existieren auf Tiktok, Twitter, Facebook, Instagram,
Youtube, Quora, Gravatar, Pinterest und anderswo.
-
Unterstützung für eine neuere Version von Jump-Lists
(Dateien mit Namenserweiterung .automaticdestinations-ms).
-
Der Details-Modus weist nun auf das Vorhandensein von JUMBF-Metadaten-Blöcken
in JPEG-Dateien hin. Das ist eine freiwillige Markierung von
computer-/AI-generierten Bildern.
System-Werkzeuge
-
Ein neuer Befehl im Untermenü Extras | Datei-Tools
erlaubt es, die Kontrolle über alle Dateien in einem von Ihnen
angegebenen Verzeichnis (im aktuell verwendeten Windows-System) zu
übernehmen. Er gewährt allen Benutzern volle Zugriffsrechte, und benötigt
Administrator-Privilegien.
-
Die Funktion für einen betriebssystemweiten
Schreibschutz wurde etwas überarbeitet. Wenn sie auf ein Volume auf
einem MBR-partitionierten Datenträger angewandt wird, wird dem Benutzer
nun angeboten, die Funktion statt dessen auf alle Volumes dieses Datenträgers
anzuwenden, weil der Schutz in dem Fall nicht für bloß ein einziges
Volume eingeschaltet werden kann.
Schablonen und Scripte
-
Möglichkeit, Variablennamen mit Leerzeichen zu
verwenden, in Formeln in Schablonen, wenn sie von runden Klammern
umschlossen werden.
-
Möglichkeit, Konstanten in Schablonen zu definieren,
die einen Namen haben, einen beliebigen Integer-Typ und einen Wert Ihrer
Wahl. Konstanten können in Berechnungen eingesetzt werden. Wenn ein
Konstantenname
ein Leerzeichen enthält, muss er in Anführungszeichen geschrieben
werden. Der Wert kann selbst eine Formel sein und von anderen Konstanten
oder Variablen abhängen, die zum Zeitpunkt der Definition der Konstante
bereits bekannt sind. Konstanten werden in einem Schablonenfenster
zusammen mit Variablen aufgelistet. Beispiel:
const int16 100 "Meine Konstante"
const int16 ("Meine Konstante"*10) "Meine andere Konstante"
goto ("Meine andere Konstante"*5)
Diese Anweisung ändert die aktuelle Position der
Schablonen-Interpretation auf Offset 5000.
-
Möglichkeit, intern vordefinierte Konstanten namens
Bytes_per_sector und Bytes_per_cluster in Formeln
einzusetzen, in Schablonen, die auf Datenträger oder interpretierte
Images oder Partitionen/Volumes angewandt werden.
-
Eine weitere neue vordefinierte Konstante ist Bytes_per_record.
Ihr Wert hängt ab von der Datensatzgröße, die unter Ansicht |
Datensatz-Darstellung eingestellt ist, sofern aktiv. Wenn diese
Anzeigeoption nicht aktiv ist, hat die Konstante in Partitionen/Volumes mit einem
Dateisystem vom Typ Ext2/Ext3/Ext4, XFS oder UFS die jeweilige Inode-Größe
als Wert bzw. in NTFS-Dateisystemen die FILE-Record-Größe.
-
Eine weitere neue vordefinierte Konstante ist Base_offset.
Das ist der Offset im aktiven Datenfenster, auf den die Schablone vom
Benutzer angewandt wurde und der sich ändern kann, wenn der Benutzer zu
benachbarten Datensätzen wechselt.
-
Das Schlüsselwort multiple in einer
Schablonendefinition darf nun auch im Rumpf verwendet werden. Wenn es
dort eingesetzt wird, muss ein Parameter folgen, der die von der
Schablone abgedeckte Datenmenge in Bytes angibt. Der Parameter darf eine
Formel sein und dabei (anders als bei der Verwendung im Kopf) Konstanten
und Variablen verwenden. Dies erlaubt es dem Benutzer, zu benachbarten
Datensätzen links und rechts zu navigieren. Wenn die Datenmenge nicht
explizit im Rumpf definiert ist, d. h. wenn das Schlüsselwort multiple
nur im Kopf ohne Parameter angegeben wird, dann wird die Datenmenge
indirekt festgestellt durch die Differenz zwischen finaler und
anfänglicher Leseposition der Schablonen-Interpretation, so wie in
früheren Versionen, und kann als variabel eingestuft werden, wenn die
Länge von Variablen in der Schablonen variabel ist, in welchem Fall
kein Wechsel nach links (zum vorherigen Datensatz) möglich ist.
-
Der Befehl UseLogFile in alten WinHex-Scripten
wurde überarbeitet. Er wirkt sich nun auf mehr ausgegebene Nachrichten
aus, und die erzeugte Log-Datei ist nun unicodefähig (UTF-8).
Diverses
-
Dateien, die mit dem Befehl Datei | Neu erzeugt
werden, können nun von WinHex optional bevorzugt im Speicher gehalten
werden statt in einer temporären Datei auf einem Datenträger, aus
Gründen der Performanz oder wegen nicht ausreichend zur Verfügung
stehender Speicherkontingente oder aus Sicherheitsgründen. Wenn das
Kontrollkästchen dafür ganz gewählt ist, signalisiert das, dass der
Benutzer auf der Datenhaltung im Speicher besteht und dass die Erzeugung
fehlschlagen soll, wenn nicht genügend Arbeitsspeicher verfügbar ist (oder
kein ausreichend großer zusammenhängender Adressbereich im Fall der 32-Bit-Version).
Dieselbe Einstellung wirkt sich auch aus auf das Einfügen von Daten aus
der Zwischenablage in eine neue Datei über Bearbeiten | Zwischenablage |
In neue Datei einfügen. Für eine neu angelegte im Speicher gehaltene
Datei zeigt die Informationsspalte die Pufferadresse im logischen
Speicheradressraum des Prozesses statt eines Pfades an. Bitte beachten
Sie: Die Daten, mit denen Sie auf diese Weise hantieren, könnten immer
noch von Windows auf einen Datenträger geschrieben werden, z. B. als
Teil von pagefile.sys.
Wenn es Ihr Ziel ist, Datenträger-Schreibvorgänge und die Verwendung von
temporären Dateien zu vermeiden, möchten Sie vermutlich außerdem
Datei-Sicherungen für die Rückgängig-Funktion abschalten unter Optionen |
Rückgängig.
-
Wenn Sie ausgewählte Dateien mitsamt direkten
Unterobjekten ausdrucken, werden ausgeblendete und herausgefilterte
Dateien nun ausgelassen.
-
Die NSRL-RDS-Hash-Sets, die in einem für den Import
in X-Ways Forensics geeigneten Format aus dem Ressourcen-Verzeichnis
herunterladbar sind, wurden aktualisiert auf das Release 2023.12.1, wie
immer als MD5 und SHA-1.
-
Das separat herunterladbare Tesseract-Paket wurde im
Oktober aktualisiert auf die neueste Version. Es enthält überarbeitete WebP-Unterstützung
mit einem Fix für einen potentiellen Heap-Puffer-Überlauf.
-
Die beiden im August in der Software WinRAR
identifizierten Sicherheitslücken betreffen X-Ways Forensics übrigens
nicht, auch wenn X-Ways Forensics RAR-Archive entpacken kann.
-
Die Programmhilfe und das Benutzerhandbuch wurden
aktualisiert.
-
Viele kleinere Verbesserungen.
Änderungen an den weiteren Service-Releases von 20.9
-
SR-1: Fixed a read error that could occur with
extracted files since v20.8.
-
SR-1: Fixed handling of line breaks in comments in
the hash comment database.
-
SR-1: Certain ZSTD-compressed files in Btrfs could
not be decompressed. That was fixed.
-
SR-2: Auxiliary directories in evidence file
containers whose purpose is to accommodate child objects of files for
the benefit of external tools that would not accept files contained in
other files are no longer included in volume snapshots by X-Ways
Forensics itself, so that regardless of your use of the option to create
such artificial directories child objects are associated directly with
the parent files to which they actually belong. This facilitates
navigation and enables users for example to conveniently access e-mail
attachments right from within e-mail previews like in the volume
snapshot of the original evidence object, without any navigation in the
directory browser.
-
SR-2: The U flag in "File header signature
search.txt" can no longer override the user's disabled net free space
setting. It will instead be treated like a lower case u if no net free
space computation is meant to be run.
-
SR-2: Adding file hashes and comment to the hash
comment database now automatically adopts that database's hash type in
the volume snapshot as its first hash type if the first hash type was
undefined until that moment.
-
SR-2: Btrfs: Fixed opening compressed files in the
64-bit version.
-
SR-2: Under some special circumstances conditional
cell coloring could render the text in some non-targeted cells
invisible. That was fixed.
-
SR-2: Fixed an exception error that could occur when
copying files with a lot of extracted metadata to an evidence file
container.
-
SR-2: Got away with a performance bottleneck that
became apparent after storing extracted metadata for more than 8.4
million files in a volume snapshot.
-
SR-3: SR-2 erroneously behaved like a pre-release
version and will expire (stop working) around Aug 28, sorry. SR-3 no
longer has that problem.
-
SR-3: The option "Copy and link each file only once"
of the case report could treat original files and their respective
auxiliary child object representations the same. This was changed/fixed
so that both can be listed, linked and copied in the same report if
desired.
-
SR-4: Certain files that X-Ways Forensics decided
should not be touched again, like archive bombs and files that caused
crashes, were previously shown with a hash value of all zeroes. That was
fixed/improved.SR-4: A rare exception error in APFS free space parsing
has been prevented.
-
SR-4: Removing labels from a file with the Remove
button did not work if at least one label was selected that the file did
not have. That was improved.
-
SR-4: Discarding results of picture analysis and
processing (by unchecking the "already done" box) now allows to have the
same pictures processed by the picture content analysis again.
-
SR-4: Fixed a potential integer underflow error that
could occur when processing specially prepared 7-Zip archives.
-
SR-4: Fixed an error that could occur when capture
memory of running processes with an optional process name mask.
-
SR-5: Updated WebP support in the internal graphics
display library including a fix for a potential heap buffer overflow.
-
SR-5: Avoided an exception error with certain .evtx
event log files.
-
SR-6: Fixed a harmless memory error message and an
instability problem that could occur when running an index search.
-
SR-6: The Notation button in Recover/Copy linked to
the general notation settings, not the one used by the Recover/Copy
command, since v20.7. That was fixed.
-
SR-6: Fixed a potential instability at the end of an
import of ordinary hash values from a ProjectVic JSON file, and a
potential infinite loop when importing PhotoDNA hash values.
-
SR-7: User-supplied passwords were not applied to
certain zip archives for automatic decryption. That was fixed.
-
SR-7: The light bulb icon was not visible in event
lists with low DPI settings in SR-6. That was fixed.
-
SR-7: Prevented a potential volume snapshot
corruption in v20.9 that affected some extracted files (led to read
errors and refinement performance issues), given a certain combination
of settings.
Wir hoffen, Sie bald wieder auf
https://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie
diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z.
B. noch mit weiteren E-Mail-Adressen)
u. a.
hier. Vielen
Dank.
Wir wünschen allseits ein frohes neues Jahr!
Freundliche Grüße
Stefan Fleischmann
-- X-Ways Software Technology AG Carl-Diem-Str. 32 32257 Bünde |