WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

#173: X-Ways Forensics, X-Ways Investigator und WinHex 21.0 veröffentlicht

30. Dezember 2023

Hallo allerseits,

in dieser Ausgabe informieren wir Sie über ein weiteres Update mit wichtigen Verbesserungen, die Version 21.0. Erscheinungstermin war der 13. Dezember 2023. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich "Announcements" des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Nächste Schulungstermine

20.-23. Feb. 2024: Online-Schulung "X-Ways Forensics I"
16.-18. Apr. 2024: Online-Schulung "X-Ways Forensics II"

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie online werden hier aufgelistet.

Was ist neu in v21.0?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Benutzerschnittstelle

Im Fallbaum wird nun der Knoten, der dem Mauszeiger am nächsten ist, farblich hervorgehoben, egal wie weit rechts (egal wo genau in der Zeile) der Mauszeiger steht, ähnlich wie im Verzeichnis-Browser.
Der Fallbaum reagiert nun auf Klicks in der gesamten Zeile, d. h. man kann auch links oder rechts von einem Knoten klicken, um die gewünschte Wirkung zu erzielen, so dass man nicht mehr so genau zu zielen braucht. Die möglichen Aktionen dabei sind ein Linksklick zum Auswählen und Erkunden, ein Mittelklick zum Markieren und Entmarkieren, ein Rechtsklick zum rekursiven Erkunden bzw. zum Anzeigen des Kontextmenüs und ein Doppelklick zum Auf- oder Einklappen von Unterverzeichnissen und Partitionen.
Verbesserte Verständlichkeit der Bedienoberfläche in mehreren Bereichen.
Zugriff auf die Funktionalität der Spaltenköpfe rein per Tastatur, ohne Benutzung der Maus, durch Drücken von Strg+H (H für Header), um einen Filter zu aktivieren oder zu deaktivieren und um eine Spalte als Sortierkriterium festzulegen.
Wenn Sie Verzeichnis-Browser-Einstellungen in Fällen speichern und aus Fällen wieder laden lassen, werden die aktuellen DPI-Einstellungen in Windows zusammen mit den Spaltenbreiten gespeichert, so dass diese Spaltenbreiten automatisch proportional angepasst werden können, wenn man dieselben Fälle in anderen Windows-Systemen mit anderen DPI-Einstellungen öffnet. Dies gilt nur in neu erzeugten Fällen von v21.0. (Releases von v20.6 und neuer ab dem 27. Oktober 2023 können die Verzeichnis-Browser-Einstellungen von solchen Falldateien immer noch laden, aber beachten die DPI-Einstellungen nicht.)
Verbesserte Fähigkeit, die Vorschau oder das Einsehen großer Dateien mit der Viewer-Komponente abzubrechen, indem man den Mauszeiger in die untere rechte Ecke des Viewer-Fensters bewegt, wenn dort eine Notiz erscheint, die Sie auf diese Möglichkeit aufmerksam macht.
Die Auto-Update-Funktion wurde verbessert. (Gemeint ist die Fähigkeit, das von der internen Grafikanzeigebibliothek aktuell in einem separaten Fenster dargestellte Bild mit einem einzigen Klick auf eine andere Datei zu aktualisieren).
Wenn mehrere Instanzen (Sessions, Prozesse) von WinHex/X-Ways Forensics zur selben Zeit auf demselben Computer laufen, werden diese Instanzen nun beginnend mit 1 statt 0 durchnummeriert. Die Instanznummer kann nun nicht nur der sog. About-Box entnommen werden (das Fenster, das aufgeht, wenn Sie die Versionsnummer in der oberen rechte Ecke des Hauptfensters anklicken), sondern für zusätzliche Instanzen auch direkt in der Überschriftsleiste des Hauptfensters angezeigt werden, so dass es leichter fällt, die Instanzen in der Windows Task-Bar und im Windows Task-Umschalter voneinander zu unterscheiden. Dieses Verhalten hängt ab von einem neuen Kontrollkästchen im Dialogfenster mit den allgemeinen Optionen, oben links. Beachten Sie bitte noch: Wenn Sie ältere Instanzen beenden und neue starten, dann nehmen die neuen Instanzen wieder dieselben früheren Instanznummern beginnend mit 1 in Beschlag.
Wenn das neue Kontrollkästchen zur Unterscheidung von Instanzen voll gewählt ist, haben die unterschiedlichen Instanzen zur besseren Unterscheidung ihre eigenen (frei wählbaren) Hintergrundfarben. Dies ist derzeit nicht kompatibel mit dem Dunkelmodus.
Einige Funktions-/Befehlssymbole (Icons) wurden überarbeitet. Weitere Symbole wurden in diversen Bereichen der grafischen Bedienoberfläche hinzugefügt.
Der Verzeichnis-Browser kann nun Datei-Archive mit einem speziellen Archivsymbol anzeigen, oder mit dem regulären blauen Dateisymbol mit einem darübergestülpten großen "A", abhängig von den Verzeichnis-Browser-Optionen.
Die Option, Bilder in der Galerie als bereits eingesehen zu kennzeichnen, bezieht sich nun auch auf solche Bilddateitypen, die von der Viewer-Komponente dargestellt werden, nicht nur solche, die die interne Grafikanzeigebibliothek übernimmt. Das betrifft z. B. Dateien vom Typ JPEG 2000, DXF, WMF und EMF.
Die Kennzeichnung von Kontrollkästchen mit benutzerdefinierten Tooltips wurde überarbeitet.
Ein optionales, vereinfachtes Dialogfenster für die Erweiterung des Datei-Überblicks und die Parallele Suche ist nun in der Triage-Benutzerschnittstelle von X-Ways Investigator verfügbar (Option +104 in investigator.ini).
Die Option, ehemals existierende Dateien beim Hinzufügen von Dateien zu einem Hash-Set auszulassen, war ein Überbleibsel von vor sehr langer Zeit und wurde nun entfernt.
Ein grafisches Problem in bestimmten Listenfenstern bei hohen DPI-Einstellungen wurde behoben.

Zeitstempel-Analyse

Der Zeitstempel-Filter kann nun optional die Bedingungen für die diversen Zeitstempel-Typen (Erzeugung, Änderung, ...) mit einem logischen UND verknüpfen statt dem standardmäßigen ODER.
Es gibt dabei zwei verschiedene Arten von UND-Verknüpfungen für Zeitstempel-Filter. Eine strenge UND-Kombination (wenn voll gewählt) erfordert, dass alle gewählten Zeitstempel-Typen tatsächlich vorhanden/verfügbar sind und sie alle die Bedingungen erfüllen. Eine weiche UND-Kombination (halb gewählt) erfordert nur, dass die jeweils verfügbaren Zeitstempel die Filterbedingung erfüllen (und dass es wenigstens einen solchen Zeitstempel gibt). Hintergrund ist, dass nicht von allen Dateien alle Arten von Zeitstempeln bekannt sind.
Der Ereignis-Zeitstempel-Filter und der allgemeine Zeitstempel-Filter sind nun völlig unabhängig voneinander, so dass es z. B. möglich ist, nach Ereignissen nach Juli 2022 zu filtern in Dateien, die vor März 2017 erzeugt wurden.
Der Zeitstempel-Filter erlaubt es nun, sich auf NTFS-0x10-Zeitstempel zu konzentrieren, die eklatant rückdatiert aussehen im Vergleich zu ihren 0x30-Gegenstücken, und außerdem auf Erzeugungszeitstempel aus dem Dateisystem, die zeitlich vor der Erzeugung des Inhalts laut internen Datei-Metadaten liegen.

Sie können einen Schwellwert in Millisekunden, Sekunden, Minuten, Stunden, Tagen, Wochen, Monaten oder Jahren angeben, der solche Zeitstempel-Diskrepanzen für Sie relevant macht, d. h. Sie können zur Bedingung machen, dass der Haupt-Erzeugungszeitstempel soviel älter ist als der entsprechende 0x30-Zeitstempel oder als der Zeitstempel der Erzeugung des Inhalts, wie Sie es einstellen. Wenn Sie einen UTC-basierenden Erzeugungszeitstempel aus dem Dateisystem vergleichen mit der Erzeugung des Inhalts laut internen Metadaten, die in einer unbekannten Ortszeit gespeichert ist (z. B. in PNG-Dateien), können Sie dabei berücksichtigen, wieviel Stunden Zeitdifferenz allein schon aufgrund dieses Basiseffekts zu erwarten sind. Um Sie zu unterstützen, werden UTC-basierende Erzeugungszeitstempel mit Ortszeiten vergleichbar gemacht, indem sie in die aktuelle Anzeige-Zeitzone umgerechnet werden.

Bitte beachten Sie, dass Rückdatierungen meist automatisch erfolgen, aus diversen Gründen (z. B. beim Entpacken von Dateiarchiven zur Wiederherstellung ursprünglicher Zeitstempel oder beim Installieren von Anwendungen durch Setup-Programme), und nicht notwendigerweise das Ergebnis eines Eingriffs durch einen Beschuldigten oder von Malware mit bösartigen Absichten sind. Wenn Sie an potentiellen manuellen Eingriffen interessiert sind, könnte es nützlich sein, zugleich einen Dateitypfilter einzusetzen, und genau die Dateitypen auf Rückdatierungen zu prüfen, bei denen es in Ihrem Fall wirklich einen Unterschied machen würde, z. B. Dokumente.
Alle 0x10-Zeitstempel von NTFS werden in ihren Zellen nun mit einem Rückdatierungssymbol (Icon) versehen, wenn sie älter sind als ihre entsprechenden 0x30-Gegenstücke (die Spalten mit der hochgestellten 2 im Kopf), und zwar soviel älter, dass der im Zeitstempel-Filterdialog eingestellte Schwellwert überschritten wird. Zellen mit Erzeugungszeitstempeln haben solch ein Symbol auch dann, wenn sie älter sind als der Zeitstempel der Erzeugung des Inhalts, wenn ein solcher in den internen Metadaten der Datei vorhanden war und extrahiert wurde. Die Differenz zwischen den beiden verglichenen Zeitstempeln wird rechts von dem Symbol angezeigt, gerundet auf Millisekunden, Sekunden, Minuten, Stunden, Tage, Wochen, Monat oder Jahre.
Der allgemeine Zeitstempel-Filter hat nun die Möglichkeit zur Einstellung "Alle". Damit können Sie Dateien finden, die überhaupt einen Zeitstempel des ausgewählten Typs haben, oder können dies mit den Rückdatierungsbedingungen kombinieren.

Fälle und Asservate

Wenn Sie ein einzelnes Datei-Archiv zum Fall als Asservat hinzufügen (unter Verwendung des Menübefehls "Datei hinzufügen" oder per Drag & Drop), dann wird dieses Archiv nun sofort erkundet, und sein Inhalt wird im Verzeichnis-Browser dargestellt, ohne die Archivdatei selbst, genau wie es auch beim Hinzufügen einer Datenträger-Sicherung oder eines Datei-Containers funktioniert. Das geschieht so bei allen unterstützten Archiv-Untertypen, deren Inhalt Sie X-Ways Forensics beim Erweitern des Datei-Überblicks in den Datei-Überblick aufnehmen lassen.

Dateiübergreifend gespeicherte (segmentierte) Zip- und 7z-Archives im Stil von 7-Zip und WinZip werden auch unterstützt. Stellen Sie bitte lediglich sicher, dass Sie immer das erste Segment dem Fall hinzufügen. Bei Erzeugung mit 7-Zip heißt dieses .001 und bei Erzeugung mit WinZip .z01. Bei passwortgeschützten (verschlüsselten) Zip-, 7z- und Rar-Archiven werden Sie nach dem Passwort gefragt. Das Passwort kann im Fall gespeichert werden, so dass Sie es beim nächsten Öffnen eines solchen Asservats nicht erneut einzugeben brauchen.
Möglichkeit, Asservate, die einzelne normale Dateien und Datei-Archive sind, zu hashen und Hash-Werte anschließend zu überprüfen, über den Befehl "Asservate hashen/überprüfen".
In neu erzeugten Fällen haben die beiden Unterverzeichnisse für Asservate, die Verzeichnisse oder einzelne Dateien sind, nun kürzere Namen, die nicht mehr den Originalpfad dieser Verzeichnisse und Dateien enthalten. Die Eindeutigkeit der Unterverzeichnisnamen wird nun auf dieselbe Weise wie bei Datenträger-Sicherungen sichergestellt (sollten mehrere Verzeichnisse oder einzelne Dateien gleichen Namens zum selben Fall als Asservate hinzugefügt werden). Die neuen Namenskonventionen werden auch von v20.8 ab SR-6 und v20.9 ab SR-5 verstanden.
Wenn ein Benutzer versucht, ein Asservat zu öffnen, das eine einzelne Datei oder ein Verzeichnis ist, und wenn diese Datei bzw. dieses Verzeichnis im bislang bekannten Pfad nicht mehr existiert, bietet X-Ways Forensics nun komfortabel an, den neuen Pfad anzugeben oder das Asservat einfach ohne die zugrundeliegende Datenquelle zu öffnen (wobei nur der Datei-Überblick geladen und zur Befüllung des Verzeichnis-Browsers herangezogen wird).
Benutzer werden nicht mehr wiederholt dazu aufgefordert, Asservate zur Verarbeitung auszuwählen (für Erweiterungen des Datei-Überblicks, für logische Suchen, Index-Suchen, für die Erzeugung von Fallberichten, ...) oder die Auswahl erneut zu bestätigen, solange derselbe Fall offen ist und keine neuen Asservate hinzugefügt werden, zur Erhöhung des Bedienkomforts.

Erweiterung des Datei-Überblicks

Die Funktionalität der Bildinhaltsanalyse ist jetzt auch dann verfügbar, wenn die Erweiterung des Datei-Überblicks auf ausgewählte Dateien angewandt wird.
Das Verwerfen von Ergebnissen der Bildinhaltsanalyse (durch Entfernen des Häkchens im "Bereits erledigt?"-Kästchen) entfernt nun Vermerke über identifizierte Bildinhalte.
Die Maximalzahl von Threads in X-Ways Forensics (nicht X-Ways Investigator) wurde von 16 auf 24 erhöht, je nach Verfügbarkeit von Prozessorkernen.
Eine ehemals existierende Datei, deren erster Cluster laut Dateisystem neu verwendet wurde (dargestellt als "1. Cluster nicht verfügbar") kann nun im Rahmen der Erweiterung des Datei-Überblicks verarbeitet werden, wenn Sie das Häkchen bei einem neu eingeführten Kontrollkästchen entfernen, das standardmäßig dafür sorgt, dass solche Dateien ausgelassen werden. Das bedeutet insbesondere, dass nicht mit der Datei in Verbindung stehende zufällig an selber Stelle vorgefundene Daten gehasht werden können und das Ergebnis als Hash-Wert dieser Datei ausgegeben wird, obwohl er mit größter Sicherheit nicht der Hash-Wert dieser Datei war. In früheren Versionen hätte X-Ways Forensics dem Verlangen des Benutzers nach einer Hash-Berechnung nur dann stattgegeben, wenn eine solche Datei gezielt durch Markierung oder Auswahl angegangen worden wäre. Wenn X-Ways Forensics gezwungen wird, Hash-Werte von unsinnigen Daten zu berechnen, werden diese im Verzeichnis-Browser in grauer Farbe dargestellt, um Benutzer daran zu erinnern, dass diese Hash-Werte nicht überinterpretiert werden sollten und dass man nicht erwarten kann, diese Hash-Werte auf anderen Datenträgern wiederzufinden.
Das Erweitern des Datei-Überblicks eines Asservats, das ohne Datenquelle geöffnet wurde (ohne Datenträger, Datenträger-Sicherung, Verzeichnis, ...), wird nun verhindert, weil es keinen Sinn hat.
Möglichkeit, MD5-Hash-Werte "halber Länge" zu berechnen und zu speichern. Die halbe Länge ergibt sich durch "Falten", d. h. die erste Hälfte wird mit der zweiten Hälfte ver-xor-t, was ein 64 Bit breites Ergebnis liefert. Dies ist als sparsamer Kompromiss gedacht zwischen CRC32 (32 Bit) und einem regulären MD5-Hash (128 Bit), um die relativ große Lücke zwischen den beiden zu schließen und Speicher sowie Datenträgerkapazität zu sparen, z. B. für Deduplikationszwecke.
Möglichkeit zur Berechnung von EDRM MIH-Hash-Werten für extrahierte E-Mails und Original-.eml- und -.emlx-Dateien (wenn sie vollständige Kopfzeilen enthalten), um nach E-Mails mit bekanntem MIH-Wert zu suchen, für Datenbank-Abgleiche oder für Zwecke der Deduplizierung. Wenn ein MIH einer .eml-Datei im Datei-Überblick zugeordnet wird und die .eml-Datei aus einer .msg-Datei extrahiert wurde, wird derselbe MIH automatisch auch der Eltern-.msg-Datei zugewiesen. Zwei Kopien derselben E-Mail können zwei unterschiediche reguläre Hash-Werte haben, aber denselben MIH, z. B. wenn das Dateiformat unterschiedlich ist (eine rohe .eml-Datei ggü einer OLE2-.msg-Datei) oder wenn das Format des Rumpfes sich unterscheidet (z. B. einmal HTML, einmal reiner Text) und/oder wenn der Inhalt anders gespeichert wurde. Wenn EDRM MIH als Hash-Typ ausgewählt ist, aber kein MIH berechnet werden kann, weil die adressierte Datei keine E-Mail eines unterstützten Typs ist, bleibt die Hash-Wert-Zelle leer. Als Kompromiss können Sie "MD5/MIH" als Hash-Typ wählen: Dann wird ein MIH berechnet wird, sofern dies möglich ist, und andernfalls ein MD5-Hash-Wert. Es erhalten auf diese Weise also alle hashbaren Dateien einen Hash-Wert gleicher Länge, für Deduplikationszwecke oder zum Abgleich. MIH ist ein eDiscovery-Standard, der von einem führenden Anbieter als "wegweisende Lösung" beschrieben wurde.

Suchfunktionalität

Reguläre Ausdrücke unterstützen jetzt \u-Unicode-Werte in eckigen Klammern, also innerhalb von Zeichenmengen.
Die Suchbegriffsliste hat nun eine Option in ihrem Kontextmenü, mit der man potentiell sehr lange Listen von Suchbegriffen ausdünnen kann, durch Ausschließen von Suchbegriffen, die nie einen Treffer erzielt haben. Das Funktionieren dieser Option ist nicht garantiert bei Suchbegriffen in Falldateien, die von früheren Versionen gespeichert wurden.
Ein Rechtsklick in der Suchbegriffsliste führt nicht mehr zum Verlust der Auswahl mehrerer Suchbegriffe.

Dateityp-Unterstützung

Die interne Grafikanzeigebibliothek wurde aktualisiert.
Die Erkennung erzeugender Geräte wurde wie immer aktualisiert. Neben anderen Verbesserungen wurde die Erkennung des iPhone 15 als bilderzeugendes Gerät eingebaut.
Die erzeugende "Software class", die im Details-Modus berichet wird, wurde überarbeitet. Es gibt zwei weitere Klassen: Scanner und Web-Site-Builder. Beispiele für letzteres sind WIX, JIMDO, Site123, Squarespace, und Shopify.
Eine weitere Änderung in der Summary-Tabelle im Details-Modus ist der neue Eintrag "Propensity score". Dieser kann Werte von 1 bis 99 annehmen. Die berechnete Relevanz basiert hauptsächlich auf diesem Wert. Der Wert gibt eine objektive statistische Wahrscheinlichkeit dafür an, dass ein Bild zusätzliche, entfernbare relevante Metadaten hat. Er könnte auch als Dokumentalität bezeichnet werden, also die Eigenschaft, als Dokument dienen zu können. Man kann diese zusätzliche Information auf ihre Konsistenz prüfen. Der "Propensity score" existiert generell für Rasterbilder (die in Pixeln abgemessen werden), insbes. auch für die Formate PNG und WEBP.
Ein neuer interner Vermerk wurde eingeführt für Avatar/Identicon-JPEG-Bilder. Solche Identicons sind oft kleinere Versionen von Avataren und existieren auf Tiktok, Twitter, Facebook, Instagram, Youtube, Quora, Gravatar, Pinterest und anderswo.
Unterstützung für eine neuere Version von Jump-Lists (Dateien mit Namenserweiterung .automaticdestinations-ms).
Der Details-Modus weist nun auf das Vorhandensein von JUMBF-Metadaten-Blöcken in JPEG-Dateien hin. Das ist eine freiwillige Markierung von computer-/AI-generierten Bildern.

System-Werkzeuge

Ein neuer Befehl im Untermenü Extras | Datei-Tools erlaubt es, die Kontrolle über alle Dateien in einem von Ihnen angegebenen Verzeichnis (im aktuell verwendeten Windows-System) zu übernehmen. Er gewährt allen Benutzern volle Zugriffsrechte, und benötigt Administrator-Privilegien.
Die Funktion für einen betriebssystemweiten Schreibschutz wurde etwas überarbeitet. Wenn sie auf ein Volume auf einem MBR-partitionierten Datenträger angewandt wird, wird dem Benutzer nun angeboten, die Funktion statt dessen auf alle Volumes dieses Datenträgers anzuwenden, weil der Schutz in dem Fall nicht für bloß ein einziges Volume eingeschaltet werden kann.

Schablonen und Scripte

Möglichkeit, Variablennamen mit Leerzeichen zu verwenden, in Formeln in Schablonen, wenn sie von runden Klammern umschlossen werden.
Möglichkeit, Konstanten in Schablonen zu definieren, die einen Namen haben, einen beliebigen Integer-Typ und einen Wert Ihrer Wahl. Konstanten können in Berechnungen eingesetzt werden. Wenn ein Konstantenname ein Leerzeichen enthält, muss er in Anführungszeichen geschrieben werden. Der Wert kann selbst eine Formel sein und von anderen Konstanten oder Variablen abhängen, die zum Zeitpunkt der Definition der Konstante bereits bekannt sind. Konstanten werden in einem Schablonenfenster zusammen mit Variablen aufgelistet. Beispiel:

const int16 100 "Meine Konstante"
const int16 ("Meine Konstante"*10) "Meine andere Konstante"
goto ("Meine andere Konstante"*5)

Diese Anweisung ändert die aktuelle Position der Schablonen-Interpretation auf Offset 5000.
Möglichkeit, intern vordefinierte Konstanten namens Bytes_per_sector und Bytes_per_cluster in Formeln einzusetzen, in Schablonen, die auf Datenträger oder interpretierte Images oder Partitionen/Volumes angewandt werden.
Eine weitere neue vordefinierte Konstante ist Bytes_per_record. Ihr Wert hängt ab von der Datensatzgröße, die unter Ansicht | Datensatz-Darstellung eingestellt ist, sofern aktiv. Wenn diese Anzeigeoption nicht aktiv ist, hat die Konstante in Partitionen/Volumes mit einem Dateisystem vom Typ Ext2/Ext3/Ext4, XFS oder UFS die jeweilige Inode-Größe als Wert bzw. in NTFS-Dateisystemen die FILE-Record-Größe.
Eine weitere neue vordefinierte Konstante ist Base_offset. Das ist der Offset im aktiven Datenfenster, auf den die Schablone vom Benutzer angewandt wurde und der sich ändern kann, wenn der Benutzer zu benachbarten Datensätzen wechselt.
Das Schlüsselwort multiple in einer Schablonendefinition darf nun auch im Rumpf verwendet werden. Wenn es dort eingesetzt wird, muss ein Parameter folgen, der die von der Schablone abgedeckte Datenmenge in Bytes angibt. Der Parameter darf eine Formel sein und dabei (anders als bei der Verwendung im Kopf) Konstanten und Variablen verwenden. Dies erlaubt es dem Benutzer, zu benachbarten Datensätzen links und rechts zu navigieren. Wenn die Datenmenge nicht explizit im Rumpf definiert ist, d. h. wenn das Schlüsselwort multiple nur im Kopf ohne Parameter angegeben wird, dann wird die Datenmenge indirekt festgestellt durch die Differenz zwischen finaler und anfänglicher Leseposition der Schablonen-Interpretation, so wie in früheren Versionen, und kann als variabel eingestuft werden, wenn die Länge von Variablen in der Schablonen variabel ist, in welchem Fall kein Wechsel nach links (zum vorherigen Datensatz) möglich ist.
Der Befehl UseLogFile in alten WinHex-Scripten wurde überarbeitet. Er wirkt sich nun auf mehr ausgegebene Nachrichten aus, und die erzeugte Log-Datei ist nun unicodefähig (UTF-8).

Diverses

Dateien, die mit dem Befehl Datei | Neu erzeugt werden, können nun von WinHex optional bevorzugt im Speicher gehalten werden statt in einer temporären Datei auf einem Datenträger, aus Gründen der Performanz oder wegen nicht ausreichend zur Verfügung stehender Speicherkontingente oder aus Sicherheitsgründen. Wenn das Kontrollkästchen dafür ganz gewählt ist, signalisiert das, dass der Benutzer auf der Datenhaltung im Speicher besteht und dass die Erzeugung fehlschlagen soll, wenn nicht genügend Arbeitsspeicher verfügbar ist (oder kein ausreichend großer zusammenhängender Adressbereich im Fall der 32-Bit-Version). Dieselbe Einstellung wirkt sich auch aus auf das Einfügen von Daten aus der Zwischenablage in eine neue Datei über Bearbeiten | Zwischenablage | In neue Datei einfügen. Für eine neu angelegte im Speicher gehaltene Datei zeigt die Informationsspalte die Pufferadresse im logischen Speicheradressraum des Prozesses statt eines Pfades an. Bitte beachten Sie: Die Daten, mit denen Sie auf diese Weise hantieren, könnten immer noch von Windows auf einen Datenträger geschrieben werden, z. B. als Teil von pagefile.sys. Wenn es Ihr Ziel ist, Datenträger-Schreibvorgänge und die Verwendung von temporären Dateien zu vermeiden, möchten Sie vermutlich außerdem Datei-Sicherungen für die Rückgängig-Funktion abschalten unter Optionen | Rückgängig.
Wenn Sie ausgewählte Dateien mitsamt direkten Unterobjekten ausdrucken, werden ausgeblendete und herausgefilterte Dateien nun ausgelassen.
Die NSRL-RDS-Hash-Sets, die in einem für den Import in X-Ways Forensics geeigneten Format aus dem Ressourcen-Verzeichnis herunterladbar sind, wurden aktualisiert auf das Release 2023.12.1, wie immer als MD5 und SHA-1.
Das separat herunterladbare Tesseract-Paket wurde im Oktober aktualisiert auf die neueste Version. Es enthält überarbeitete WebP-Unterstützung mit einem Fix für einen potentiellen Heap-Puffer-Überlauf.
Die beiden im August in der Software WinRAR identifizierten Sicherheitslücken betreffen X-Ways Forensics übrigens nicht, auch wenn X-Ways Forensics RAR-Archive entpacken kann.
Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.
Viele kleinere Verbesserungen.

Änderungen an den weiteren Service-Releases von 20.9

SR-1: Fixed a read error that could occur with extracted files since v20.8.
SR-1: Fixed handling of line breaks in comments in the hash comment database.
SR-1: Certain ZSTD-compressed files in Btrfs could not be decompressed. That was fixed.
SR-2: Auxiliary directories in evidence file containers whose purpose is to accommodate child objects of files for the benefit of external tools that would not accept files contained in other files are no longer included in volume snapshots by X-Ways Forensics itself, so that regardless of your use of the option to create such artificial directories child objects are associated directly with the parent files to which they actually belong. This facilitates navigation and enables users for example to conveniently access e-mail attachments right from within e-mail previews like in the volume snapshot of the original evidence object, without any navigation in the directory browser.
SR-2: The U flag in "File header signature search.txt" can no longer override the user's disabled net free space setting. It will instead be treated like a lower case u if no net free space computation is meant to be run.
SR-2: Adding file hashes and comment to the hash comment database now automatically adopts that database's hash type in the volume snapshot as its first hash type if the first hash type was undefined until that moment.
SR-2: Btrfs: Fixed opening compressed files in the 64-bit version.
SR-2: Under some special circumstances conditional cell coloring could render the text in some non-targeted cells invisible. That was fixed.
SR-2: Fixed an exception error that could occur when copying files with a lot of extracted metadata to an evidence file container.
SR-2: Got away with a performance bottleneck that became apparent after storing extracted metadata for more than 8.4 million files in a volume snapshot.
SR-3: SR-2 erroneously behaved like a pre-release version and will expire (stop working) around Aug 28, sorry. SR-3 no longer has that problem.
SR-3: The option "Copy and link each file only once" of the case report could treat original files and their respective auxiliary child object representations the same. This was changed/fixed so that both can be listed, linked and copied in the same report if desired.
SR-4: Certain files that X-Ways Forensics decided should not be touched again, like archive bombs and files that caused crashes, were previously shown with a hash value of all zeroes. That was fixed/improved.SR-4: A rare exception error in APFS free space parsing has been prevented.
SR-4: Removing labels from a file with the Remove button did not work if at least one label was selected that the file did not have. That was improved.
SR-4: Discarding results of picture analysis and processing (by unchecking the "already done" box) now allows to have the same pictures processed by the picture content analysis again.
SR-4: Fixed a potential integer underflow error that could occur when processing specially prepared 7-Zip archives.
SR-4: Fixed an error that could occur when capture memory of running processes with an optional process name mask.
SR-5: Updated WebP support in the internal graphics display library including a fix for a potential heap buffer overflow.
SR-5: Avoided an exception error with certain .evtx event log files.
SR-6: Fixed a harmless memory error message and an instability problem that could occur when running an index search.
SR-6: The Notation button in Recover/Copy linked to the general notation settings, not the one used by the Recover/Copy command, since v20.7. That was fixed.
SR-6: Fixed a potential instability at the end of an import of ordinary hash values from a ProjectVic JSON file, and a potential infinite loop when importing PhotoDNA hash values.
SR-7: User-supplied passwords were not applied to certain zip archives for automatic decryption. That was fixed.
SR-7: The light bulb icon was not visible in event lists with low DPI settings in SR-6. That was fixed.
SR-7: Prevented a potential volume snapshot corruption in v20.9 that affected some extracted files (led to read errors and refinement performance issues), given a certain combination of settings.

Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Wir wünschen allseits ein frohes neues Jahr!

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

#172: X-Ways Forensics, X-Ways Investigator und WinHex 20.9 veröffentlicht

6. August 2023

Hallo allerseits,

in dieser Ausgabe informieren wir Sie über ein weiteres Update mit wichtigen Verbesserungen, die Version 20.9. Erscheinungstermin war der 26. Juli 2023. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Nächste Schulungstermine

25.-28. Sep. 2023: Schulung "X-Ways Forensics I" in Offenbach am Main (fast ausgebucht)
14.-17. Nov. 2023: Online-Schulung "X-Ways Forensics I"
28.-30. Nov. 2023: Online-Schulung "X-Ways Forensics II"
Eine weitere deutschsprachige Online-Schulung "X-Ways Forensics I" kommt für Anfang Dezember bald noch zu unserer Liste hinzu.

Was ist neu in v20.9?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Hash-Datenbanken

Was ist besser als fünf Hash-Datenbanken? Genau, sechs Hash-Datenbanken. Zusätzlich zu den zwei regulären Hash-Datenbanken, einer Block-Hash-Datenbank, einer FuzZyDoc-Datenbank und (sofern berechtigt) einer PhotoDNA-Hash-Datenbank, können Sie jetzt zusätzlich eine Datenbank anlegen für wiederkehrende Dateien, für die Sie eine Beschreibung hinterlegt haben. Dies kann beispielsweise nützlich sein, wenn Sie in Ihren Fallberichten für das Gericht Beschreibungen der illegalen Bildinhalte beifügen müssen. Wenn dieselben Bilder in mehreren Fällen wiederkehren, kann Ihnen diese neue Datenbank Aufwand ersparen, da Sie die Bilder nicht erneut sichten und kommentieren müssen. Was Sie als Kommentar eingeben, kann zusammen mit dem Hash-Wert der Datei in der Datenbank gespeichert werden. Um dies zu veranlassen, wählen Sie die betreffenden Dateien aus und rufen im Kontextmenü des Verzeichnis-Browsers "In Hash-Datenbank aufnehmen" auf. Ob für die gewählten Dateien bereits Hash-Werte berechnet waren, ist nicht entscheidend. Diese werden ggf. automatisch berechnet, falls nicht. Sie können dieselben Kommentare in einem anderen Fall automatisch wieder vergeben lassen, wenn Sie in dem anderen Fall beim Datei-Überblick Erweitern den Hash-Wert-Abgleich mit dieser Hash-Datenbank durchführen lassen.
Die Datenbank ist in der Datei "Hash Comments.txt" gespeichert. Sie können die Datenbank durch bloßes Weiterreichen dieser Datei mit anderen teilen. Die Datei ist von den übrigen Hash-Datenbanken unabhängig, was bedeutet, es spielt keine Rolle, wer welche regulären Hash-Datenbanken mit Hash-Sets aus welchen Quellen auch immer verwendet. Sie brauchen genau genommen überhaupt keine reguläre Hash-Datenbank, um eine Datei "Hash Comments.txt" zu erzeugen, oder um die Hash-Werte in Ihrem Fall mit der Datei "Hash Comments.txt" von jemand anderem abzugleichen. So ist die "Hash Comments.txt" universell einsetzbar und auch unter verschiedenen Organisationen austauschbar.
Sie können die Textdateien aus verschiedenen Quellen in der Benutzeroberfläche verschmelzen lassen: Öffnen Sie Extras | Hash-Datenbank und klicken Sie auf den Schalter "Importieren". Sollte X-Ways Forensics Einträge mit demselben Hash-Wert feststellen, wird abhängig von der gewählten Option im Import-Dialog entweder der bisherige Kommentar beibehalten oder der neue übernommen. Bitte behalten Sie das im Hinterkopf, wenn Sie Kommentare von anderen übernehmen. Die Regel betrifft auch Mehrfacheinträge in derselben Textdatei, wenn diese beispielsweise manuell zusammenkopiert worden sind.
Da es sich bei der Datei um eine schlichte Textdatei handelt, können Sie die "Hash Comments.txt" aus verschiedenen Quellen leicht in einem einfachen Text-Editor manuell zusammenfügen, oder die Beschreibungen nach Bedarf bearbeiten, automatisch übersetzen lassen, etc. Stellen Sie nur sicher, dass das vorgegebene Format von einem Hash-Wert + Beschreibung pro Zeile erhalten bleibt. Die erste Zeile (Titelzeile) in der Datei "Hash Comments.txt" muss aus der Bezeichnung des Hash-Typs ASCII (z. B. "MD5" oder "SHA-1") gefolgt von den ASCII-Buchstaben "Cmt" bestehen, wobei Groß-/Kleinschreibung von Bedeutung ist. Alle folgenden Zeilen beginnen mit einem Hash-Wert in Hex-ASCII (wobei sowohl Groß- als auch Kleinbuchstaben erlaubt sind), gefolgt von einem Tabulator-Zeichen und der Beschreibung in UTF-8. Sowohl Windows- als auch Unix-/Linux-Zeilenumbrüche sind erlaubt.
Es gibt ein unbeschriftetes, aber mit Tooltip ausgestattetes Kontrollkästchen, das erlaubt, vorhandene Kommentare für Dateien automatisch zu ersetzen, wenn Treffer für Hash-Werte in den Hash Comments gefunden werden. Das bedeutet natürlich, dass vorhandene Kommentare verloren gehen, wenn es für dieselbe Datei in der "Hash Comments"-Datenbank bereits einen Kommentar gibt.
Eine weitere Option erlaubt das automatische Voranstellen der Initialen "[HC] " vor Kommentare, die automatisch aus der "Hash Comments.txt" vergeben wurden, um sie von Kommentaren unterscheiden zu können, die manuell eingegeben wurden.

Dateityp-Unterstützung

Es gibt inzwischen 40.000 Definitionen für bilderzeugende Geräte.
In Optionen | Datei-Betrachtung kann für die Darstellung von reinem Text jetzt über den neuen "..." Schalter eine Standard-Codepage zur Verwendung in der Viewer-Komponente ausgewählt werden. Die Liste der dort wählbaren Codepages ist umfangreicher als die, die über den Optionen-Dialog der Viewer-Komponente (zugreifbar durch Rechtsklick in jedem beliebigen Fenster mit einer von der Viewer-Komponente erzeugten Darstellung) direkt verfügbar ist.
Beim Abspielen in MPlayer von Videos, die mit einem Smartphone aufgenommen wurden, oder bei der Extraktion von Einzelbildern aus denselben, werden diese Videos jetzt automatisch nach Bedarf rotiert. (Funktioniert nicht, wenn die Metadaten-Extraktion in diesem Datei-Überblick von einer früheren Version von X-Ways Forensics durchgeführt wurde.)
Mehrere neue Kompressions- und Dekompressionsoptionen sind jetzt in X-Ways Forensics und WinHex Lab Edition über Bearbeiten | Konvertieren verfügbar, die auf die gesamten Daten in einem aktiven Datenfenster angewendete werden können, sofern dieses sich nicht im Nur-Lesen-Modus befindet. Diese ermöglichen die manuelle Dekompression von Daten, die von diversen Dateisystemen komprimiert gespeichert gefunden werden können, falls X-Ways Forensics die entsprechenden Dateien nicht im Datei-Überblick hat bzw. diese nicht automatisch dekomprimieren kann.
Die Relevanz-Berechnung für Bilder basierend auf ihren Pixel-Dimensionen wurde verbessert.
PNG-Unterstützung in der internen Grafik-Bibliothek wurde aktualisiert.
Korrekte Seitenverhältnisse für Berichts-Miniaturbilder von JPEGs, die basierend auf Exif-Metadaten rotiert werden müssen.
Fähigkeit, bestimmte SRUDB.dat-Dateien zu verarbeiten, für die das bisher nicht erfolgreich war, oder die vorher nicht als SRUDB.dat-Dateien erkannt wurden.
Ein Ausnahmefehler wurde behoben, der bei der Extraktion von Metadaten aus bestimmten PDF- und Adobe Illustrator-Dateien auftreten konnte.
Eine Restriktion wurde entfernt, die das automatische Carven von Base64-Code verhindern konnte.
Dateien mit reinem Base64-Code (z. B. gecarvt aus HTML-Dateien, in denen sie eingebettet waren), die ihre dekodierten Daten als Unterobjekt besitzen, können jetzt direkt mit ihren dekodierten Daten in der Vorschau oder Galeriedarstellung angezeigt werden.

Dateisystem-Unterstützung

Zusätzliche harte Verweise für dieselbe Datei in NTFS können jetzt optional schon bei der Erzeugung des Datei-Überblicks ausgelassen werden, d. h. sie werden gar nicht erst aufgenommen und auch nicht als zusätzliche Dateien im Verzeichnis-Browser angezeigt. Dies kann beispielsweise hilfreich sein, wenn man die Speicherplatzverwendung verstehen möchte, wobei das 10- oder 100-fache Zählen derselben Dateien keinen Sinn ergibt. Die Spalte "Verweise" zeigt weiterhin die korrekte Anzahl an harten Verweisen (wobei diese wie bisher die reinen 8.3-Dateinamen ignoriert, und der Wert nach wie vor deutlich von dem nicht verlässlich gepflegten Zähler für harte Verweise im FILE-Record abweichen kann).
Fähigkeit, ungewöhnliche oder verdächtige kurze Dateinamen (SFNs, 8+3-Dateinamen) in NTFS als solche zu erkennen. Solche kurzen Dateinamen können optional im Datei-Überblick entweder als alternative Namen oder als vollwertige harte Verweise (d. h. wie zusätzliche Kopien derselben Dateien) mit ausgegeben werden. Sie können auch mit dem Vermerk "Sonderbare SFN" gekennzeichnet werden, um Sie darauf hinzuweisen. Unerwartete SFN, die angesichts ihres Langnamens (LFN) nicht plausibel erscheinen, könnten ggf. interessant sein, wenn sie sich auf frühere Namen von inzwischen umbenannten Dateien beziehen, oder wenn der SFN gezielt so erzeugt wurde, um eine spezielle Datei mit feststehendem Namen (beispielsweise eine Systembibliothek oder eine Konfigurationsdatei) zu ersetzen, während ihr LFN völlig anders und unverdächtig aussieht. Die Einstellungen zur Behandlung von SFN befinden sich in Optionen | Datei-Überblick. Sollten Sie feststellen, dass zuviele reguläre Dateien auf diese Art gekennzeichnet werden, melden Sie uns diese Beobachtung gerne, und außerdem können Sie versuchen, die Zusatzoption für den "strengeren Abgleich" abzustellen, damit weniger eklatante Diskrepanzen ignoriert werden.
Verbesserte Interpretation bestimmter unvollständiger bzw. beschädigter NTFS-Dateisystem-Strukturen.
Unterstützung für weitere Kompressionsvarianten in APFS, inkl. für inline gespeicherte Dateien.
Unterstützung für ZSTD-Kompression in Btrfs.
Inline-Kompression in BtrFS wird jetzt unterstützt.
Verbesserte Ausgabe für die Cluster- bzw. Block-Auflistung für komprimierte Daten in BtrFS.
Das neue XFS-Zeitstempelformat ("Big time") wird jetzt unterstützt, und die Zeitstempel werden korrekt interpretiert. Frühere Versionen von XWF geben eine Warnung aus, dass ein unbekanntes Inkompatibilitäts-Feature im betreffenden Volume in Verwendung sei.
Sollte ein XFS-Volume intern als reparaturbedürftig gekennzeichnet sein, gibt XWF jetzt eine entsprechende Meldung aus, und warnt vor potentiellen Problemen, die von beschädigten Dateisystem-Strukturen verursacht werden können. Frühere Versionen von XWF geben eine Warnung aus, dass ein unbekanntes Inkompatibilitäts-Feature im betreffenden Volume in Verwendung sei, ohne das Problem genau eingrenzen zu können.
Datei-Überblicke für lokale Datenträger, die auf vom aktiven Betriebssystem erzeugten Verzeichnis-Auflistungen basieren ("OS dir list"), beinhalten jetzt auch "Record-Änderung" Zeitstempel und die Anzahl harter Verweise.
Wenn für Datei-Überblicke basierend auf Verzeichnis-Auflistungen des aktiven Betriebssystems ("OS dir list") die Option zur schrittweisen Vervollständigung aktiv ist, werden Verzeichnisse, deren Inhalte noch nicht erfasst wurden, jetzt mit einem Sternchen (*) in der Attr.-Spalte gekennzeichnet.
In Datei-Überblicken basierend auf Verzeichnis-Auflistungen des aktiven Betriebssystems ("OS dir list"), werden Dateien, die von anderen Prozessen geöffnet und deswegen schreibblockiert sind, jetzt optional in der Attr.-Spalte mit einem großen "L" (für "locked") gekennzeichnet. Dateien, die lediglich geöffnet sind, können darüber hinaus mit einem kleinen "o" (für "open") gekennzeichnet werden, wenn das Kästchen für diese Option voll angekreuzt ist. Dies könnte nützlich sein, wenn ein laufendes System betrachtet oder gesichert wird, um festzustellen, welche Dateien von laufenden Prozessen oder Hintergrund-Services geöffnet sind/waren, oder welche Programmdateien scheinbar geladen sind. Bitte beachten Sie, dass diese Prüfung für viele Dateien viel Zeit in Anspruch nehmen kann. Daher ist dies evtl. nur für Verzeichnisse von erhöhtem Interesse praktikabel. Diese Option hat bei gemounteten Netzlaufwerken keinen Effekt. Es ist über den Attr.-Filter möglich, schnell offene oder schreibblockierte Dateien zu identifizieren, und sie erscheinen weiter oben bei der Sortierung in der Attr.-Spalte.

Datenträger-Unterstützung

Verbesserte Behandlung von HPAs/DCOs.
Behandelt eine offenbar überholte GPT-Partitionierung, die inzwischen durch eine herkömmliche MBR-Partitionierung ersetzt wurde, als solche, indem die Partitionen, die in der GUID-Partitionstabelle definiert sind, als ehemals existierend angezeigt werden, statt als existierend, und indem MBR als der (aktive) Partitionierungstyp angezeigt wird.
Wenn ein Dateisystem in einer Partition eine Sektorgröße von 4 KB annimmt, obwohl der physische Datenträger bzw. die Sicherung, worin sich die Partition befindet, eine Sektorgröße von 512 Byte besitzt, und falls die Anzahl der 512-Byte-Sektoren in der Partition nicht durch 8 teilbar ist, wird jetzt ein unvollständiger, zusätzlicher 4 KB Sektor am Ende der Partition definiert, um diese zusätzlichen 512-Byte-Sektoren abzudecken, selbst wenn das die Kapazität der Partition, des Datenträgers oder der Sicherung überschreitet, damit auch dieser zusätzliche Speicherplatz in der virtuellen Dateisystemschlupf-Datei enthalten und somit für Suchen etc. zugreifbar ist. Diese noch gründlichere Abdeckung bringt ein gewisses Risiko von Lesefehlern ganz am Ende mit sich.
Fähigkeit, bei der RAID-Rekonstruktion für einzelne Komponenten eine Footer-Größe in Sektoren anzugeben, um Sektoren am Ende des Datenträgers von der Rekonstruktion auszunehmen. Dies könnte insbesondere bei der Rekonstruktion von JBODs nützlich sein, wenn diese ungenutzten Bereiche sonst zwischen den korrekten Bestandteilen eingeschoben würden und so die eigentliche Anordnung der Daten unterbrechen würden.

Datenträger-Sicherung

Unterstützung für einen moderneren Kompressionsalgorithmus in .e01-Evidence-Files, der im Vergleich zum althergebrachten Algorithmus eine deutlich verbesserte Balance aus Kompressionsrate und -geschwindigkeit, auch bei der Dekomprimierung, bietet. Zur groben Orientierung, mit einer fast gleich starken Kompressionsrate (nur wenige Prozentpunkte niedriger) als bei der Einstellung "normal" beim kompatiblen Algorithmus, benötigt die moderne Option "normal" nur etwa ein Viertel der Zeit bei der Komprimierung, ein Drittel der Zeit bei der Dekomprimierung. (Diese Werte beziehen sich auf die reine Rechenzeit eines einzelnen Threads, ohne Berücksichtigung der Zeit, die für I/O-Operationen benötigt werden.) Mit der Einstellung "stärker+" erzielt der moderne Algorithmus eine vergleichbare Kompressionsrate wie der bisherige "normale" (oder sogar leicht besser), benötigt aber immer noch nur die Hälfte der Zeit für die Komprimierung und 40% der Zeit für die Dekomprimierung (oder weniger). "Stärker++" benötigt spürbar mehr Zeit und ist daher nicht standardmäßig zu empfehlen, da die zusätzlich zu erzielende Kompressionsrate meist überschaubar ist, wäre aber vermutlich immer noch schneller als der herkömmliche Kompressionsalgorithmus, insbesondere bei der Dekomprimierung (die standardmäßig natürlich mehr als einmal stattfindet, z. B. bei der Prüfung der Sicherung unmittelbar nach ihrer Erzeugung, bei der Prüfung der Sicherung zu einem späteren Zeitpunkt, bei der Datei-Header-Signatur-Suche, einer oder mehrerer Begriffssuchen, der Analyse oder dem Herauskopieren von Dateien, etc.).
Bitte beachten Sie, dass eine Sicherung, die eine der modernen Kompressionsmethoden verwendet, nur in X-Ways Forensics und X-Ways Investigator v20.9 und später verwendbar ist. Die Option "sparse" der modernen Kompression, die bei der Sicherung von wenig verwendeten Datenträgern bereits äußerst effizient ist, und elfmal (!) effizienter bei der Sicherung genullter Speicherbereiche als die gleichnamige Option der kompatiblen Kompression, wird auch schon von v18.9 und später richtig verstanden.
Die beschreibende Textdatei, die zusammen mit einer Sicherung erzeugt wird, hat jetzt eine zusätzliche Zeile am Ende, die angibt, ob die Sicherung allgemein kompatibel ist, oder nur mit X-Ways Produkten, oder nur mit X-Ways Produkten bestimmter Version, abhängig von Kompressions- und Verschlüsselungseinstellungen.
Bitte beachten Sie, die zusätzliche Platzersparnis der stärkeren Kompressionseinstellungen ist oft minimal. Wenn Ihnen die Kompressionsrate wichtiger ist als die Geschwindigkeit, mit der beliebige Daten in der Sicherung zugegriffen werden können, könnten Sie stattdessen (oder zusätzlich) eine größere Blockgröße wählen.
Schnellere Dekomprimierung von .e01-Evidence-Files mit der herkömmlichen/kompatiblen Kompressionsmethode in x86.
Das Fenster, das die Kompressionsstatistik von .e01-Evidence-Files anzeigt, kann jetzt per Mausklick in eine Anzeige der Datendichte verwandelt werden, was lediglich die Umkehrung ist. Der neue Standard ist Datendichte. Höhere blaue Balken haben früher wie jetzt höhere Kompressionsraten bedeutet = niedrigere Datendichte = keine Verschlüsselung = weniger Speicherbedarf für die Sicherung = weniger Daten zu analysieren = weniger Arbeit. Höhere rote Balken (neu) repräsentieren höhere Datendichte = mehr Speicherbedarf = mehr Daten zu analysieren = (wenn die Balken bis ganz nach oben reichen) möglicherweise Verschlüsselung. Bitte beachten Sie, dass die letztliche Balkenlänge von der gewählten Kompressionsmethode und -stärke abhängen kann.
Verhindert versehentliches Überschreiben einer Sicherung, die selbst wieder in ein neues Image gesichert werden soll, wenn der Dateiname gleich bleibt.

Datei-Container

Alternative Dateinamen werden jetzt auch in Datei-Containern festgehalten (sofern sie zusammen mit den jeweiligen Haupt-Dateinamen nicht zu lang werden).
Wenn Dateien in einen Datei-Container aus dem Stammverzeichnis eines Asservats oder dem Asservat-Überblick kopiert werden, bedeutet jetzt die halb ausgewählte Option "Originalpfad reproduzieren", dass die Unterobjekte von ausgewählten Dateien auch im Container als Unterobjekte dieser Dateien geführt werden, statt sie auf derselben Ebene wie die Eltern anzuzeigen. In allen anderen Fällen behält die halb angekreuzte Option ihre bisherige Bedeutung, d. h. nur der Teilpfad unterhalb des aktuell erkundeten Verzeichnisses wird reproduziert, und der Effekt wird von der dynamischen Beschriftung dieser Option jetzt klarer angezeigt.

Benutzerschnittstelle

Bei aktivem Zeitstempel-Filter werden zutreffende Zeitstempel jetzt in unterschiedlichen Farben dargestellt, je nachdem, ob sie lediglich in den gewünschten Zeitrahmen fallen, oder tatsächlich in einer der aktuell filterrelevanten Spalten stehen. Analog dazu werden die Trichtersymbole in den Spaltenköpfen der aktuell nicht berücksichtigen Zeitstempel-Spalten anders gefärbt, um deren "weniger aktiven" Zustand zu symbolisieren.
Vermerkt die zuletzt verwendeten Nutzer-Initialen für den nächsten Fall und die Option "Zwischen verschiedenen Benutzern unterscheiden".
Eine neue Notationseinstellung erlaubt die rekursive Beschreibung von Unterobjekten von Dateien.
Mehr Metadaten in der Liste wiederherstellbarer Sicherungen von Datei-Überblicken.
Strg+0 entfernt keine Vermerke mehr, die von X-Ways Forensics automatisch erzeugt wurden und als Hinweise dienen oder erkannte Bildinhalte repräsentieren.
Die Option, einen Vermerk bei der Berichtserzeugung für die Ausgabe als Berichtstabelle zur Verfügung zu stellen, ist jetzt leichter zu finden.

Diverses

Wenn der Befehl Extras | Datei-Tools | Rekursiv löschen wegen mangelnder Rechte das Verzeichnis auf regulärem Weg nicht erfolgreich löschen kann, kann er jetzt einen zweiten Versuch auf anderem Weg unternehmen, sofern mit das Admin-Rechten gestartet, und so mit großer Wahrscheinlichkeit die Löschung doch noch erfolgreich vollziehen. Dies benötigt Ihre Zustimmung, vor der eigentlichen Löschung mit Admin-Rechten die Eigentümerschaft über das Verzeichnis zu übernehmen.
Besserer Schutz gegen bestimmte beschädigte Datei-Überblicke. (Nur in Preview- und Beta-Versionen aktiv.)
Leicht verbesserte interne Koordination zwischen mehreren gleichzeitigen Sitzungen.
X-Tension API: XWF_SelectVolumeSnapshot hat jetzt einen Rückgabewert, der zwischen Erfolg und Fehler unterscheiden lässt.
Eine Absturzursache, die beim Exportierten von Suchtreffern mit Kontext auftreten konnte, wurde behoben. Wenn jetzt beim Exportieren eines Suchtreffers mit Kontext immer noch ein Absturz auftritt, sollte der exakte Suchtreffer, der dafür verantwortlich ist, beim nächsten Neustart gemeldet werden.
Ein seltenes, spezielles Problem, wenn Asservate zur Datei-Überblick-Erweiterung oder Durchsuchung automatisch geöffnet werden, sollte jetzt nicht mehr auftreten können.
Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.
Viele kleinere Verbesserungen.

Änderungen an den weiteren Service-Releases von 20.8

SR-1: Accepts XFS volumes with just 2 or 3 allocation groups as valid.
SR-1: Fixed an exception error that could occur when running a file header signature search in Btrfs, QNX or XFS volumes.
SR-1: A very rare exception has been fixed that could theoretically occur when opening a file in APFS if the very first data block was sparse.
SR-1: X-Ways Imager can now interpret images again after their creation so that they can be verified immediately and automatically.
SR-1: Fixed read errors in logical process memory.
SR-1: Ukrainian translation of the user interface available.
SR-1: The Russian translation of the user interface was updated.
SR-2: A very rare exception error was fixed that could occur when parsing NTFS file systems.
SR-2: Fixed an exception error that occurred when removing all extracted metadata.
SR-2: Fixed a rare exception error that could occur when updating the edit box history.
SR-2: Fixed a rare erroneous message about a hash mismatch after verifying evidence objects.
SR-3: An internal limitation of 4 TB of extracted data in a volume snapshot was overcome.
SR-3: Fixed an exception error that occurred when previewing PLists before they were processed by "Uncover embedded data from various files".
SR-3: Fixed a potentially crash that could occur on some systems when starting X-Ways Forensics 20.8 for the first time.
SR-4: X-Ways Forensics is now more careful when adopting files that were previously carved at the partition/volume level as child objects of other files in which they seem to be contained when uncovering embedded data because that could lead to unwanted data truncation. This improvement will be applied to all affected versions (v20.6 and later).
SR-4: Fixed processing of overlong command line parameters.
SR-4: The Description filter filtered out all files if certain invisible dependent boxes were checked. That was fixed.
SR-4: Fixed inability to open certain newly extracted files in very specific circumstances when refining the volume snapshot.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

#171: X-Ways Forensics, X-Ways Investigator und WinHex 20.8 veröffentlicht

26. April 2023

Hallo allerseits,

in dieser Ausgabe informieren wir Sie über ein weiteres Update mit wichtigen Verbesserungen, die Version 20.8. Erscheinungstermin war der 25. April 2023. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Nächste Schulungstermine

13.-15. Juni 2023: Online-Schulung "X-Ways Forensics II"
4.-7. Juli 2023: Online-Schulung "X-Ways Forensics I"
25.-28. Sep. 2023: Schulung "X-Ways Forensics I" in Frankfurt

Was ist neu in v20.8?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Bildanalyse

v20.8 benötigt ein neues Excire-Paket, das jetzt herunterladbar und auch mit v20.7 SR-7 und neuer kompatibel ist (auch mit älteren Releases von v20.7, wenn Sie die Gesichtersuche nicht verwenden). Die vorige Version des Pakets zur Verwendung mit v20.7 SR-6 und älter kann ebenfalls weiterhin vom Ressourcen-Download-Verzeichnis bezogen werden.
Die Gesichtsmarkierung zur Suche nach bekannten Gesichtern wird jetzt auch dann zur erneuten Verwendung gespeichert, wenn sich der Pfad der Bildersammlung ändert.
Die Bildersammlung für die Gesichtersuche kann jetzt auch in einem Pfad mit Leerzeichen vorgehalten werden.
Es gibt nun die Möglichkeit, die Markierung der Gesichter mitsamt folgender Erweiterung des Datei-Überblicks durch Drücken der Escape-Taste abzubrechen.
Wenn die Ergebnisse der Bildanalyse in Form von Vermerken ausgegeben werden, erhalten jetzt auch Videos Vermerke, deren Einzelbilder extrahiert und analysiert wurden.
Ein neuer automatischer Vermerk „Metadata added retroactively“ wurde eingeführt. Er wird für Bilder verwendet, deren Metadaten automatisch oder manuell nachträglich hinzufügt wurden, nachdem der eigentliche Inhalt bereits vorhanden war, wie beispielsweise Copyright-Informationen oder Schlüsselwörter.
In Bildern identifizierter Inhalt kann jetzt optional auch deren berechnete Relevanz beeinflussen, abhängig davon, welche Objekte/Begriffe Sie als verdächtig oder irrelevant ausgewählt haben.
Die „Summary“-Tabelle für JPEG-Dateien im Details-Modus bewertet die Kompressionsqualität nicht mehr nur grob als „hoch“, „mittel“, „niedrig“ oder „sehr niedrig“, sondern beziffert sie jetzt auf einer linearen Skala von 0 bis 100. Dieser Wert ist nicht gleichbedeutend mit der nominellen/offiziellen JPEG-Qualität, welche die tatsächlich erreichte Kompression nicht berücksichtigt.
Die Fähigkeiten zur Erkennung bilderzeugender Geräte wurden wieder erweitert.
Die Option, die Farben von Bildern in der Galerie verfälscht anzuzeigen, um ihre psychisch belastende Wirkung zu reduzieren, kann jetzt auf als verdächtig erkannte Bilder beschränkt werden.
Aus demselben Grund können Vorschaubilder in der Galerie auf Wunsch jetzt alternativ oder zusätzlich künstlich verschwommen/weichgezeichnet dargestellt werden (alle Bilder oder nur verdächtige). Dieselbe Option halb ausgwewählt bedeutet weniger stark verschwommen.

Dateianalyse

Die Funktion zur Suche nach in diversen Dateitypen eingebetteten Daten besitzt jetzt einen ausführlichen Berichtsmodus, der Ihnen mitteilt, welche Dateien ursprünglich im Verzeichnis für aus Sektoren ausgegliederte Dateien aufgelistet wurden (da sie per Datei-Header-Signatur-Suche gefunden worden waren), jetzt aber in Unterobjekte anderer Dateien umgewandelt wurden, da sie zu diesen logisch zu gehören scheinen und auch in diesen enthalten sind.
Die Option, Dateien in der Beschreibungsspalte als Duplikate kennzeichnen zu lassen, ist jetzt auch für aufgelistete Dateien mit angezeigten, identischen Start-Offsets verfügbar.
Zeitzoneninformationen in der Zusammenfassungstabelle für Quicktime-Videos im Detail-Modus für den Quicktime-Zeitstempel, mit Identifikation derjenigen Dateien, die von der sog. „incorrect time zero“-Problematik betroffen sind.
Für jede Gruppe von Dateiarchiven (General purpose, Office, Special interest, ...) können Sie jetzt festlegen, ob solche Archive nach der Aufnahme ihrer Inhalte in den Datei-Überblick auch im Verzeichnisbaum angezeigt werden sollen.
Die Passwort-Liste bei verschlüsselten Archiven durchzuprobieren ist jetzt etwa 50% schneller als in v20.7 und älter.
Verschlüsselungstest für Dokumente jetzt etwas beschleunigt.

Dateityp-Unterstützung

Fähigkeit, Windows-Installationspakete im CAB-Format wie Dateiarchive zu behandeln. Wenn Sie deren Inhalte in den Datei-Überblick aufnehmen lassen möchten, stellen Sie sicher, dass die Bezeichnung cab in einer der tatsächlich ausgewählten Archiv-Gruppen wie „General purpose“ oder „Special interest“ aufgeführt ist. In neuen Installationen wird cab ab jetzt standardmäßig in „Special interest“ aufgeführt, da die meisten cab-Archive nur aus irrelevanten Microsoft-Installationspaketen bestehen, und nicht von Nutzern erzeugte Archive darstellen. Die Typ-Kennzeichnung „cab1“ versucht, die meisten Microsoft-Installationspakete als solches zu erkennen, während „cab“ evtl. interessantere, manuell erzeugte Datei-Archive sein könnten.
Fähigkeit, den ersten Frame animierter WEBP-Bilder anzuzeigen, auch in Vorschau oder Galerie.
Erzeugt Vorschaubilder von E-Mail-Nachrichten im Fallbericht in der alternativen .eml-Darstellung, wenn diese aktuell auch für die Anzeige direkt im Programm eingestellt ist.
Überarbeitete Datei-Archiv-Behandlung, um die Stabilität im Umgang mit einigen seltenen, ungewöhnlichen Archiven zu verbessern.

Suche

Sofern zuvor dekodierter Text im Datei-Überblick zur erneuten Verwendung gespeichert wurde, kann dieser jetzt verworfen werden, um eine erneute Dekodierung zu erzwingen, beispielsweise, weil die speziellen Dekodierungsoptionen für Tabellenkalkulationen aktiviert wurden.
Option, Suchtreffer in der Suchtrefferliste mitsamt ihrem Kontext in hexadezimaler Darstellung anzuzeigen. Nützlich insbesondere für technischere Suchen, in denen nicht nach Stichwörtern, sondern nach Datei-Signaturen oder anderen binär gespeicherten Merkmalen gesucht wird. Die Option ist im Kontextmenü zu finden und wirkt sich auch auf die Ausgabe von Suchtreffern über den Befehl „Liste exportieren“ aus.
Die speziellen Suchbefehle für ganze Zahlen und Gleitkommazahlen sind jetzt auch im Datei-Modus anwendbar, und ihre Ausgabe-Meldungen sind jetzt Unicode-fähig, und damit auch in der Benutzeroberfläche lesbar, wenn keine westeuropäische Sprache eingestellt ist.

Benutzerschnittstelle

Bei der Auswahl eines Asservats im Asservat-Überblick, wird dieses jetzt automatisch auch im Falldaten-Fenster ausgewählt, wobei ggf. der Fallbaum entsprechend aufgeklappt (falls es sich um eine Partition handelt) und das Fenster passend vertikal gescrollt wird, um das Auffinden eines bestimmten Asservats in einem sehr großen Fall zu erleichtern, da man im Asservat-Überblick Asservate nach Namen sortieren und Filter verwenden kann.
Drag & Drop im Falldaten-Fenster ermöglicht nun das Umsortieren von Asservaten.
Der expandierte Zustand von Asservaten mit enthaltenen Partitionen wird jetzt festgehalten und beim erneuten Öffnen des Falls wieder hergestellt.
Notationseinstellung zur Verwendung von Vorwärts- statt Rückwärts-Schrägstrichen in den Pfadspalten, der Titelzeile des Verzeichnis-Browsers, der Informationsspalte und im Status-Balken, entweder grundsätzlich oder nur in Daten-Fenstern, die ein Volume mit einem Nicht-Microsoft-Dateisystem darstellen.
Spezielle Icons im Asservat-Überblick für Datei-Container, RAIDs und Prozess-Sicherungen.
Ein neues Dreifach-Kontrollkästchen in den Verzeichnis-Browser-Optionen legt fest, ob das Anklicken/Auswählen einer Datei oder eines Verzeichnisses im Verzeichnis-Browser im Disk/Partition/Volume-Modus direkt zu den Inhalten des betreffenden Objektes navigiert, oder zur Struktur im Dateisystem, die das Objekt definiert. Seien Sie an dieser Stelle daran erinnert, dass letzteres auch durch Anklicken der Dateisystem-Offset-Spalte des Objekts erreicht werden kann, selbst, wenn ein Klick woanders ersteres bewirkt. Ist das Kästchen gar nicht angekreuzt, findet in der unteren Hälfte des Datenfensters gar keine Navigation statt, was nützlich sein könnte, wenn Sie direkt mit einem physisch beschädigten Datenträger arbeiten, wo der Zugriff auf bestimmte Sektoren oder Bereiche zum Hängenbleiben oder Abstürzen im Betriebssystem führen könnte.
In neu erzeugten Datei-Überblicken physischer, partitionierter Datenträger zeigt die Dateisystem-Offset-Spalte jetzt den exakten Offset an, wo in der Partitionstabelle die jeweilige Partition definiert ist, und ermöglicht damit das Aufsuchen dieser Position durch einfaches Anklicken. Das Fehlen eines solchen Offsets zeigt an, dass die Partition nicht durch Auswertung eines Eintrags einer Partitionstabelle gefunden wurde, sondern lediglich basierend auf ihren eigenen Daten, in welchen Fällen die Beschreibungsspalte die Partition auch als „nicht in Partitionstabelle verzeichnet“ kennzeichnet.
Befehl Wiederherstellen/Kopieren: Wenn Probleme mit der Länge des Ausgabepfads auftreten, wird der exakte Pfad jetzt im Nachrichtenfenster angegeben, um die Situation nachvollziehbarer zu machen.
Wenn mehrere Bedingungen zur Zelleinfärbung im Verzeichnis-Browser gleichzeitig zutreffen, erzeugen diese jetzt immer eine gemischte Farbe, damit keine der zutreffenden Eigenschaften übersehen wird. Beim Auswählen von Objekten im Verzeichnis-Browser, für die die bedingte Einfärbung der ganzen Zeile aktiv ist, wird die Auswahlfarbe verändert, um sowohl den ausgewählten Zustand als auch die speziellen Bedingungen ersichtlich zu machen.
Einige Aspekte des Dunkelmodus (z.B. bei der alternativen E-Mail-Darstellung) wurden verbessert, wenn in Windows selbst kein dunkles Farbschema eingestellt ist, und die Kompatibilität mit den dunklen Farbschemata in Windows 11 wurde erheblich verbessert.
Verbesserte Darstellung der meisten Pfeil-Schalter in Dialogfenstern unter Windows 11.
Option, die Größe der Standard-Windows-Schriftart anzupassen, beispielsweise im Verzeichnis-Browser oder dem Falldaten-Fenster. Eine positive Pixel-Zahl vergrößert, eine negative verkleinert. Es wird empfohlen, nach Veränderung dieser Einstellungen das Programm neu zu starten.

Grundsätzlich ist die Anpassung der DPI-Skalierung in Windows selbst vorzuziehen, da sich dies konsistenter auf alle Elemente der Oberfläche auswirkt, einschließlich anklickbarer Steuerelemente etc., nicht nur auf die Schriftgröße in bestimmten Bereichen. Es gibt aber ggf. Situationen, in denen die Beeinflussung dieser Einstellung direkt in X-Ways Forensics von Vorteil sein kann, beispielsweise weil Ihre Sehstärke über- oder unterdurchschnittlich ist und Sie eine portable Installation von X-Ways Forensics regelmäßig auf Fremdrechnern einsetzen.
Einige Elemente der Benutzeroberfläche werden jetzt automatisch proportional angepasst, wenn Sie dieselbe WinHex.cfg-Datei in einer portablen Installation in Windows-Systemen mit unterschiedlichen DPI-Einstellungen (d.h. üblicherweise auf Systemen mit unterschiedlichen Bildschirmauflösungen) verwenden, beispielsweise für die Triage vor Ort, um dennoch in etwa die gleiche Größendarstellung zu erhalten wie gewohnt. Unter anderem die folgenden Bereiche werden angepasst: Die Schrift in Hex- und Text-Anzeige, die Breiten der Verzeichnis-Browser-Spalten, die Breite des Falldaten-Fensters und die Vorschaubilder in der Galerie. Dies funktioniert mit WinHex.cfg-Dateien, die zuletzt von v20.7 SR-7 oder neuer gespeichert wurden.
Beim Laden von .settings-Dateien, die von v20.7 SR-7 oder später gespeichert wurden, werden die Verzeichnis-Browser-Spalten jetzt ebenfalls basierend auf den aktuellen DPI-Einstellungen angepasst, falls erforderlich .
Datei- und Verzeichnis-Auswahl-Dialogfenster sind jetzt größer.

Fall- und Datei-Überblick-Verwaltung

Option, automatisch nach Abschluss der Erweiterung eine Sicherung des Datei-Überblicks erstellen zu lassen, um ggf. schnell zu genau diesem Zustand zurückkehren zu können, statt einen neuen Datei-Überblick zu erzeugen und ihn erneut erweitern zu lassen. Nützlich beispielsweise falls Ihnen bei der manuellen Sichtung von Dateien ein Fehler unterläuft oder falls der Datei-Überblick irgendwie beschädigt werden sollte. Wenn das Kontrollkästchen (in Specialist | Datei-Überblick erweitern) voll statt nur halb ausgewählt ist, wird bereits nach den Operationen von Schritt 1 (auf Asservat-/Partitionsebene) eine zusätzliche Sicherung erzeugt. Der Menübefehl zur Wiederherstellung eines Datei-Überblicks befindet sich weiterhin im Kontextmenü des Asservats im Falldaten-Fenster.
Option, die Unterverzeichnisse für die Fall- und Datei-Überblick-Sicherungen mit dem Attribut „versteckt“ (H) zu versehen, damit sie die Auflistung des Fallverzeichnisses im Windows Explorer nicht unnötig unübersichtlich machen oder zumindest mit einem blasseren Icon dargestellt werden. Diese Option wirkt sich auch auf die o. g. automatischen Sicherungen bei der Erweiterung des Datei-Überblicks aus.
Fähigkeit, das Protokoll (copylog) des Befehls Wiederherstellen/Kopieren in Segmente einer wählbaren Anzahl an Megabyte aufzuteilen, damit die einzelnen Dateien beim späteren Betrachten oder Importieren in anderen Anwendungen keine Probleme verursachen.

Dateisystem-Unterstützung

Btrfs: Jetzt werden mehrere harte Verweise einer einzelnen Datei auch dann im Datei-Überblick aufgenommen, wenn sie im selben Verzeichnis liegen.
Die Option „Startsektoren bekannter Dateien strenger ignorieren“ bei der Datei-Header-Signatur-Suche behandelt jetzt auch ehemals existierende Dateien in FAT32-Dateisystemen als bekannt, obwohl deren Anfangs-Cluster-Nummern letztlich geraten sind. So werden noch mehr Duplikate verhindert (seit v20.7 SR-8).
Verbesserte Verarbeitung von Reparse-Points in NTFS (seit v20.7 SR-2).
Erkennung des Tuxera Flash File System (TFFS).

Datenträger und Sicherungen

Bei der Erzeugung einer bereinigten Sicherung, wo die virtuelle Datei "Freier Speicher" ausgeblendet ist, während gleichzeitig der freie Speicher bereinigt wird, erinnert jetzt eine Meldung im Nachrichtenfenster an diesen Umstand, und die Tatsache, dass dies dazu führt, dass die tatsächlich von der virtuellen Datei abgedeckten Cluster davon abhängen, welche ehemals existierenden Dateien im aktuellen Datei-Überblick bekannt sind, was wiederum u.U. davon abhängt, wie weit der Überblick bereits erweitert wurde. Wenn Sie den gesamten freien Speicher, wie vom Dateisystem definiert, tatsächlich aus der bereinigten Sicherung ausschließen möchten, ist die Bereinigungs-Option für Ihre Situation keine gute Wahl (abwählbar in Optionen | Datei-Überblick), oder alternativ müssten Sie zusätzlich auch alle ehemals existierenden Dateien ausblenden, deren Inhalt sich im freien Speicher befindet und nicht in die bereinigte Sicherung aufgenommen werden soll.
X-Ways Forensics akzeptiert jetzt auch Laufwerksbuchstaben in Windows als Komponenten für die interne Zusammensetzung von RAIDs. Das ist grundsätzlich zwar nicht sehr sinnvoll, ermöglicht aber auf diesem Umweg, einen Laufwerksbuchstaben in X-Ways Forensics als physischen Datenträger uminterpretieren zu lassen, falls erforderlich, indem man diesen als einzige Komponente eines JBOD auswählt. Dies könnte nützlich sein, falls man ausnahmsweise eine Funktion darauf anwenden möchte, die eigentlich nur für den Einsatz auf physischen Datenträgern sinnvoll und daher auch auf solche beschränkt ist, wie z.B. die Suche nach verlorenen Partitionen. Ein außerhalb von X-Ways Forensics zusammengesetztes RAID könnte in Windows zum Beispiel nur als Laufwerksbuchstabe eingebunden sein, obwohl in dessen Sektor 0 kein Volume-Boot-Sector bzw. Dateisystem-Anfang vorhanden ist, und das Ganze in Windows daher in dieser Form gar nicht nutzbar ist.
Ausgeblendete Dateien und Verzeichnisse werden beim Mounten eines Datei-Überblicks oder Verzeichnisses jetzt ebenfalls nicht mehr angezeigt.

Diverses

Verbesserte Unterstützung für die Ausführung in Cloud-Systemen von Microsoft Azure.
Verbesserte Unterstützung für die Ausführung in Google-Cloud-Systemen (seit v20.7 SR-3).
X-Tensions werden jetzt standardmäßig so geladen, dass evtl. von der X-Tension zusätzlich benötigte DLLs im selben Verzeichnis gefunden werden, in der auch die X-Tension liegt. Dieses neue Verhalten ist optional und kann mittels eines Kontrollkästchens deaktiviert werden.
Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.
Viele kleinere Verbesserungen.

Änderungen an den weiteren Service-Releases von 20.7

SR-1: Fixed an I/O error that could occur after using the gallery to display files in nested disk images.
SR-1: Fixed an infinite loop that could occur in v20.6 and the original v20.7 release when uncovering Windows resource data embedded within carved DLLs.
SR-1: Fixed a memory corruption error that could occur on some machines in the 32-bit edition when trying analyze photos with artificial intelligence.
SR-1: Prevented a message box that had to be clicked away when trying to add inaccessible drive letters to the active case through the command line.
SR-1: Potentially prevented instabilities with the internal graphics display library.
SR-2: Fixed inability to run a picture content analysis in v20.7 SR-1.
SR-2: Improved treatment of NTFS reparse points.
SR-2: Fixed an exception error that could occur in v20.6 and v20.7 when imaging storage devices from the command line.
SR-3: Fixed a memory leak that could occur during volume snapshot refinement.
SR-3: Fixed caching of compressed TAR archives processed with the alternative extraction method if they contained additional nested archives.
SR-3: Prevented multi-threading read errors in certain kinds of nested images.
SR-3: X-Ways Forensics parsed directory entries in XFS incompletely when unaligned entries were encountered. That was fixed in v20.7 and will also be fixed in all future service releases of older versions.
SR-3: Ability to read uninitialized areas of files before the last defined portion as binary zeroes in Btrfs depending on the corresponding volume snapshot option.
SR-3: When reporting a data/parameter/parity inconsistency for newly reconstructed RAIDs, X-Ways Forensics now mentions the offset on the component disks where the problem was first detected. Note that X-Ways Forensics does not check the entire disks, just the first 16 strips (previously 10).
SR-3: Some target paths in jumplists were improperly truncated in the event list. That output was fixed.
SR-3: Improved support for machines in the Google cloud as a platform.
SR-4: Better compatibility with the Aquatic high contrast dark theme of Windows 11.
SR-4: *.service_worker is now included in fresh installations in the file mask for the file header signature search portion of "Uncover embedded data in various file types" to target cache files.
SR-4: Support for certain streamed MP4 video files in the internal carving algorithm ~27 for the file header signature search.
SR-4: Fixed an error in the "Find Text" function in the Registry Viewer in v20.6 and v20.7.
SR-4: Fixed failure to decode Base64-encoded e-mail bodies that could occur depending on the characters in the search terms.
SR-4: Fixed an error in the "Filename analysis" for pictures sent via WhatsApp.
SR-5: Fixed an exception error that could occur in v20.7 SR-3 and SR-4 when trying to access storage devices.
SR-5: Fixed an exception error that could occur in v20.7 with the "OS dir list: Compute total amount of data" option.
SR-5: Fixed recycle bin file naming error in v20.7.
SR-5: Prevented data interpretation of some invalid ANIS SQL timestamps as nonsensical dates.
SR-5: Fixed a rare time zone problem with carved partial QuickTime video files.
SR-6: Fixed a rare instability that could occur when parsing corrupt inactive data of HFS+ file systems.
SR-6: Fixed sector number display in the progress indicator window of simple searches (searches that don't output to the search hit list).
SR-6: Avoided an error message that could occur under Windows XP and Vista when opening storage devices.
SR-6: Fixed an exception error that could occur with the alternative .eml presentation.
SR-7: Fixed a rare instability that could occur when processing MSG files with forwarded other e-mail messages with very long subject lines.
SR-7: Better prepared for the transition to v20.8.
SR-8: The option "Always ignore start sectors of known files" of the file header signature search now treats previously existing files in FAT32 file systems as known even though their start cluster numbers are just guesswork, so that more duplicates are prevented.
SR-8: Fixed display of certain SIDs in the Data Interpreter when shown alongside of GUIDs.
SR-8: Highlights more recent FILETIME values in the hex and text display.
SR-8: Fixed inability to extract thumbnails in some old JPEG pictures with very small Exif segments.
SR-8: Reducing the case's auto-save interval now takes effect immediately instead of next time when the previous interval elapses.
SR-9: Labels derived from hash set matches are now always of the special "hash set" type, not the generic "hint" type, no matter whether they are created immediately when matching hash values against the database or retroactively.
SR-9: The File Header Signature Search will not skip JPEG signatures within a known JPEG file any more assuming the function to uncover embededed data will pick up the inner file later, if the outer known JPEG file is a previously existing file. That can make a difference if the outer JPEG file is not intact any more and there is no logical connection between the inner and the outer file (thumbnail representation or alternative resolution), in which case the function to uncover embedded data would not find the inner file.
SR-9: More compact representation of PhotoDNA matches in Details mode.
SR-9: Ability to understand information about additionally found partitions as stored in .xfc case files by v20.8. Ability to gracefully deal with case files in which that kind of information is not understood.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

#170: X-Ways Forensics, X-Ways Investigator und WinHex 20.7 veröffentlicht

9. Januar 2023

Ein frohes neues Jahr allerseits.

In dieser Ausgabe informieren wir Sie über ein weiteres Update mit wichtigen Verbesserungen, die Version 20.7. Erscheinungstermin war der 15. November 2022. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Nächste Schulungstermine

6.-9. März 2023: Online-Schulung "X-Ways Forensics"
13.-16. März 2023: Schulung "X-Ways Forensics" in München
13.-15. Juni 2023: Online-Schulung "X-Ways Forensics II"

Was ist neu in v20.7?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Bildanalyse

Die Funktionalität von Excire Forensics ist jetzt in X-Ways Forensics enthalten! Das bedeutet, eine künstliche Intelligenz kann die Bilder in Ihren Fällen prüfen (beim Erweitern des Datei-Überblicks über das Hauptmenü) und Sie über Verweise oder Kommentare auf erkannte Inhalte aufmerksam machen, anhand derer Sie filtern können. Die vollständige Hierarchie von identifizierbaren Inhalten finden Sie hier. Beschreibungen von Bildinhalten sind verfügbar auf Deutsch, Englisch, Französisch, Spanisch und Italienisch. Benutzer von X-Ways Investigator mögen bitte ein Upgrade auf X-Ways Forensics in Erwägung ziehen, wenn sie an der Excire-Funktionaltität interessiert sind.
Excire braucht ein 64-bittiges Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 oder Windows Server 2022. Download-Instruktionen für das separate Paket erhalten Sie wie üblich durch eine Lizenzstatus-Abfrage hier. Es handelt sich einfach um ein weiteres Zip-Archiv im Verzeichnis mit den zusätzlichen Ressourcen. Standardmäßig werden die weiteren Dateien im Unterverzeichnis \Excire des Installationsverzeichnisses erwartet, aber den Pfad können Sie unter Optionen | Datei-Betrachtung ändern, so dass mehrere Installationen von X-Ways Forensics dasselbe installierte Paket gemeinsam benutzen können.
Bilder können automatisch als irrelevant oder beachtenswert kategorisiert werden. In der umfangreichen Hierarchie identifizierbarer Objekte können Sie individuelle Schlagwörter oder ganze Teilbäume auswählen, die ein Bild für Sie mit hoher Gewissheit irrelevant erscheinen lassen, z. B. diverse Tierarten, Pflanzen, Sportarten, Musikinstrumente usw. Sie können auch festlegen, was ein Bild aus Ihrer Sicht beachtenswert macht, z. B. unbekleidete Menschen, Pornographie, Schusswaffen, pulverförmige Substanzen, Pillen, Kinder, Fahrzeuge, Text, Papiertextur (d. h. Papierdokumente) usw. Im Zweifelsfall erhält die Kategorisierung als "beachtenswert" immer Vorrang vor "irrelevant", z. B. wenn Sie in einem bestimmten Fall mal Hunde für beachtenswert halten, aber Tiere ansonsten immer noch als irrelevant markiert sind. Logische UND-Kombinationen werden unterstützt bei der Einstufung als beachtenswert. Einige solche UND-Kombinationen sind vordefiniert, die bei der Ermittlung in Sachen Kinderpornographie unterstützen sollen.
Excire ermöglicht auch das Auffinden von aus Sicht der künstlichen Intelligenz ähnlichen Bildern zu einer von Ihnen bereitgestellten Sammlung von typischen relevanten Bildern aus früheren Fällen oder sonstigen Vorlagenbildern (in den Formaten JPEG, PNG, Bitmap oder TIFF).
Gesichter bestimmter Personen können in Fotos in neuen Fällen wiedergefunden werden. Sie werden dazu von der Anwendung aufgefordert, die relevanten Gesichter in von Ihnen bereitgestellten JPEG-, PNG-, Bitmap- oder TIFF-Bildern zu markieren.

Dateityp-Unterstützung

Der Viewer-Komponente wurde ein Patch hinzugefügt, der die Darstellung bestimmter PDF-Dokumente verbessert.
Die interne Grafikanzeigebibliothek wurde überarbeitet, insbes. für die Formate PNG, WEBP und PCX.
5% mehr Definitionen von fotoerzeugenden Geräten.
Die Erkennung von Frontkamera-Fotos wurde verbessert, insbes. für Samsung-Geräte, und auch für Smartphones von Xiaomi und Apple.
Der durchschnittlichen Anzahl von Bits pro Pixel in einem bestimmten JPEG-Bild im Details-Modus wird der bekannte Medianwert von Bits pro Pixel der betreffenden Generatorsignatur gegenübergestellt, um die Zahl besser einschätzen zu können.
Die Summary-Tabelle für JPEG-Dateien hat nun einen neuen Eintrag namens "Software Class", der Informationen, die über diverse Metadaten-Details verstreut sind, zu einer einzigen Klassifikation zusammenfasst. Die folgenden Werte sind möglich: Adobe, Facebook/Instagram, Whatsapp, Twitter, Google/Picasa, Windows, Android, Firmware, Apple, Social media, Editor, General, Beautifier.
Ein neuer möglicher Bearbeitungszustand in der Summary-Tabelle ist nun „cropped“. Cropped bedeutet, dass die Abmessungen eines Bilds in Pixeln keiner der bekannten Standardabmessungen des erzeugenden Geräts entsprechen. Das heißt auch, dass so ein Bild nicht als relatives Original angesehen werden kann und seine Relevanz niedriger angesetzt wird als bei Bildern, die als relatives Original gelten können. Die Abmessungen werden im Fall von „cropped“ in blauer Schrift angezeigt.
Verbesserter Gruppierungseffekt bei kleinen Bildern ohne Metadaten beim Sortieren nach Relevanz.
Die Relevanzberechnung wurde überarbeitet. Die Anzahl der Bits pro Pixel von JPEG-Dateien wirkt sich nun darauf aus, so dass eher monotone sowie unscharfe Bilder einen niedrigeren Wert bekommen.
Einige Zielpfade in Jump-Lists wurden in der Ereignisliste unsauber gekürzt angezeigt. Das ist nun korrigiert.

Dateisystem-Unterstützung

Verbesserte Verarbeitung von Reparse-Points in NTFS.
Fähigkeit, nicht initialisierte Bereiche von Dateien, die vor dem letzten definierten Bereich liegen, je nach Einstellung in den Datei-Überblick-Optionen als binäre Nullen zu lesen.
Ein Fehler in der Verarbeitung von XFS wurde behoben, der das Auslesen bestimmter Verzeichnisstrukturen verhinderte, wenn das Verzeichnis einen EA-Fork benutzt.
Frühere Versionen von X-Ways Forensics haben Verzeichniseinträge in XFS unvollständig eingelesen, wenn nicht ausgerichtete Einträge angetroffen wurden. Das wurde nun korrigiert und wird auch in allen zukünftigen Service-Releases älterer Versionen korrigiert.
Eine Ausnahmesituation wurde verhindert, die auftrat beim Versuch, extrahierte E-Mails in der Vorschau im Untermodus für extrahierten Text einzusehen.

Benutzerschnittstelle

Berichtstabellenverknüpfungen werden nun aus Gründen der Einfachheit einfach „Vermerke“ genannt, auch weil die Version 20.7 noch mehr als frühere Versionen viele Verknüpfungen automatisch erzeugt, die nicht Grundlage des Fallberichts werden. Wenn die Dateien mit einem bestimmten Vermerk allerdings im Fallbericht tabellenartig ausgegeben werden, wird diese Ausgabe immer noch Berichtstabelle genannt.
Es gibt eine Option, die amerikanische Schreibweise der englischsprachigen Benutzeroberfläche größtenteils auf Britisch umzustellen. Die britische Rechtschreibung ist nun auch die Voreinstellung in neuen Installationen in Windows-Systemen mit Installationssprache UK English, Australian English oder New Zealand English.
Die chinesische Übersetzung der Benutzeroberfläche wurde aktualisiert.
Die Option, Offsets entweder hexadezimal oder dezimal anzuzeigen, wurde in die Notationseinstellungen verlegt. Dadurch wird es möglich, dass Sie z. B. hexadezimale Offsets in der GUI bei Nutzung der Anwendung sehen, aber dezimale Offsets exportieren für den Gebrauch außerhalb von X-Ways Forensics.
Hexadezimal-Zahlen und -Codes können nun optional mit Kleinbuchstaben (a bis f) statt Großbuchstaben (A bis F) dargestellt werden. Das betrifft hexadezimale Offsets, die Hex-Spalte, die Anzeige von Hash-Werten und mehr, und das ist nun eine weitere Option in den Notationseinstellungen.
Beim Versuch, über die Befehlszeile Laufwerksbuchstaben dem aktiven Fall hinzuzufügen, die nicht zugreifbar sind, wurde bisher ein Meldungsfenster angezeigt, das man wegklicken musste. Das wird nun verhindert.

Diverses

Das Filtern nach einer bestimmten Windows-Event-ID in der Spalte für die Ereignisbeschreibung ohne ungewollte Treffer derselben Nummer sonstwo in der Beschreibung wird jetzt dadurch ermöglicht, dass den Ereignis-IDs die Buchstaben "ID " mit einem Leerzeichen vorangestellt werden. (Nur in neu erweiterten Datei-Überblicken.)
Wenn für neu zusammengesetzte RAIDs eine Inkonsistenz in den Daten/in den Parametern/in der Parity gemeldet wird, nennt X-Ways Forensics nun auch den Offset der Komponenten-Datenträger, den dem das Problem als erstes festgestellt wurde. Bitte beachten Sie, dass X-Ways Forensics nicht die gesamten Datenträger prüft, sondern nur die ersten 16 Blöcke (vormals 10).
Die alte Funktion zur sog. Bates-Nummerierung unterstützt nun Unicode-Dateinamen.
Die neueste NSRL-Hash-Databank-Version 2.79 ist nun im XWF-Format aus dem Ressourcen-Verzeichnis herunterladbar.
Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.
Viele kleinere Verbesserungen.

Diverse Fehlerkorrekturen bis v20.7 SR-3

Ein E/A-Fehler wurde behoben, der auftreten konnte, nachdem man die Galerie zur Anzeige von Dateien in verschachtelten Datenträger-Sicherungen benutzte.
Eine Endlosschleife wurde korrigiert, die in v20.6 und dem ursprünglichen v20.7-Release auftreten konnte bei der Suche nach eingebetteten Windows-Ressourcen-Daten in DLLs, die aus Sektoren ausgegliedert wurden.
Ein Speicherleck wurde behoben, das beim Erweitern des Datei-Überblicks auftreten konnte.
Das Halten von komprimierten TAR-Archiven im Cache musste korrigiert werden für den Fall, dass diese Archive mit der alternativen Extraktionsmethode verarbeitet wurden und weitere verschachtelte Archive enthielten.
Lesefehler beim Einsatz mehrerer Threads mit einer bestimmten Art von verschachtelten Datenträger-Sicherungen werden nun verhindert.

Änderungen an den weiteren Service-Releases von 20.6

SR-1: The option to keep archive contents in the cache, if half-checked, caused errors (exceptions or unreadable files) when dealing with file archives in the GB range in the original v20.6 release. That was fixed.
SR-1: Compatible with the new version of the Excire PhotoAI package from today.
SR-2: Fixed an exception error that could occur in v20.6 when converting extracted e-mail bodies in RTF format to plain text.
SR-2: Fixed an exception error that occurred in v20.6 when applying the thorough file system data structure search to an Ext volume.
SR-2: Fixed an error that could occur in report table management in v20.5 and later.
SR-2: Fixed an exception error that could occur when clicking OK in the evidence object properties window in v20.5 and later.
SR-2: Fixed inability to automatically add newly created images to the case and refine their volume snapshots.
SR-2: Fixed a potential archive cache problem.
SR-3: Fixed inability to pick a column to name copied files in the case report.
SR-3: In some situations, files copied along with the report, if named after a particular property of theirs in the directory browser, were not given a filename extension. That was fixed.
SR-3: Fixed an exception error that could occur when parsing Windows event log files with certain metadata extraction settings.
SR-3: Avoided an exception error with minimal impact related to floating point numbers in SQLite databases.
SR-4: Fixed the definition of a generator signatures for a few devices by Huawei and Apple (retroactively also in v20.1 SR-14 and v20.2 SR-10). This is relevant for device class identification and processing state.
SR-4: Fixed a potential loss of entries in the user-defined file "Regular Expressions.txt" in the 64-bit edition of X-Ways Forensics and X-Ways Investigator.
SR-4: Fixed inability to refine volume snapshots or run a physical search if no information for crash reports was collected.
SR-4: Avoided read error messages when carving certain files in certain other files.
SR-5: Some fixes in Event Log Events.txt.
SR-5: Very large data associated with in Windows event logs events previously were not output at all and caused malformed lines in the TSV representation. That was improved. Up to 8 KB of that data are now included.
SR-5: The X-Tension API function XWF_GetWindow() was improved and can now also target the active data window.
SR-5: Fixed a rare memory corruption error that could occur when extracting metadata from JPEG files.
SR-5: Fixed an exception error that occurred when importing NSRL RDS hash sets in the 64-bit edition with certain settings.
SR-5: Fixed inability to define a keyboard shortcut for associations with certain report tables if the total number of report tables is very high.
SR-5: Fixed intermittent failure to highlight FILE records in situations where the number of lines in the hex editor display was not a multiple of 4, if the box for this highlighting option was only half checked.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

> Archiv des Jahres 2022 <

> Archiv des Jahres 2021 <

> Archiv des Jahres 2020 <

> Archiv des Jahres 2019 <

> Archiv des Jahres 2018 <

> Archiv des Jahres 2017 <

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <


Preise einsehen, Angebote einholen, bestellen (Neulizenzen)
Upgrades und Verlängerungen bestehender Lizenzen
Produkte
	X-Ways Forensics
	Integrierte Forensik-Software
	X-Ways Investigator
	Ermittler-Version von X-Ways Forensics
	X-Tensions
	Zusätzliche Module
	Excire Forensics
	Foto-Analyse mit KI
	WinHex
	Lizenztypen
	Upgrade
	Forensische Features
	Alle Features
	X-Ways Imager
	Disk-Imaging
Dienstleistungen
	Schulungsangebot
	Zertifizierung
	Benutzerforum

	Kontakt
	Die X-Ways AG
	Datenschutzerklärung
	Stellenangebote