WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

Hallo allerseits,

in dieser Ausgabe informieren wir Sie über ein weiteres Update mit wichtigen Verbesserungen, die Version 20.9. Erscheinungstermin war der 26. Juli 2023. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich "Announcements" des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Nächste Schulungstermine

• 25.-28. Sep. 2023: Schulung "X-Ways Forensics I" in Offenbach am Main (fast ausgebucht)

• 14.-17. Nov. 2023: Online-Schulung "X-Ways Forensics I"

• 28.-30. Nov. 2023: Online-Schulung "X-Ways Forensics II"

• Eine weitere deutschsprachige Online-Schulung "X-Ways Forensics I" kommt für Anfang Dezember bald noch zu unserer Liste hinzu.

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit werden hier aufgelistet.

Was ist neu in v20.9?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Hash-Datenbanken

Was ist besser als fünf Hash-Datenbanken? Genau, sechs Hash-Datenbanken. Zusätzlich zu den zwei regulären Hash-Datenbanken, einer Block-Hash-Datenbank, einer FuzZyDoc-Datenbank und (sofern berechtigt) einer PhotoDNA-Hash-Datenbank, können Sie jetzt zusätzlich eine Datenbank anlegen für wiederkehrende Dateien, für die Sie eine Beschreibung hinterlegt haben. Dies kann beispielsweise nützlich sein, wenn Sie in Ihren Fallberichten für das Gericht Beschreibungen der illegalen Bildinhalte beifügen müssen. Wenn dieselben Bilder in mehreren Fällen wiederkehren, kann Ihnen diese neue Datenbank Aufwand ersparen, da Sie die Bilder nicht erneut sichten und kommentieren müssen. Was Sie als Kommentar eingeben, kann zusammen mit dem Hash-Wert der Datei in der Datenbank gespeichert werden. Um dies zu veranlassen, wählen Sie die betreffenden Dateien aus und rufen im Kontextmenü des Verzeichnis-Browsers "In Hash-Datenbank aufnehmen" auf. Ob für die gewählten Dateien bereits Hash-Werte berechnet waren, ist nicht entscheidend. Diese werden ggf. automatisch berechnet, falls nicht. Sie können dieselben Kommentare in einem anderen Fall automatisch wieder vergeben lassen, wenn Sie in dem anderen Fall beim Datei-Überblick Erweitern den Hash-Wert-Abgleich mit dieser Hash-Datenbank durchführen lassen.

• Die Datenbank ist in der Datei "Hash Comments.txt" gespeichert. Sie können die Datenbank durch bloßes Weiterreichen dieser Datei mit anderen teilen. Die Datei ist von den übrigen Hash-Datenbanken unabhängig, was bedeutet, es spielt keine Rolle, wer welche regulären Hash-Datenbanken mit Hash-Sets aus welchen Quellen auch immer verwendet. Sie brauchen genau genommen überhaupt keine reguläre Hash-Datenbank, um eine Datei "Hash Comments.txt" zu erzeugen, oder um die Hash-Werte in Ihrem Fall mit der Datei "Hash Comments.txt" von jemand anderem abzugleichen. So ist die "Hash Comments.txt" universell einsetzbar und auch unter verschiedenen Organisationen austauschbar.

• Sie können die Textdateien aus verschiedenen Quellen in der Benutzeroberfläche verschmelzen lassen: Öffnen Sie Extras | Hash-Datenbank und klicken Sie auf den Schalter "Importieren". Sollte X-Ways Forensics Einträge mit demselben Hash-Wert feststellen, wird abhängig von der gewählten Option im Import-Dialog entweder der bisherige Kommentar beibehalten oder der neue übernommen. Bitte behalten Sie das im Hinterkopf, wenn Sie Kommentare von anderen übernehmen. Die Regel betrifft auch Mehrfacheinträge in derselben Textdatei, wenn diese beispielsweise manuell zusammenkopiert worden sind.

• Da es sich bei der Datei um eine schlichte Textdatei handelt, können Sie die "Hash Comments.txt" aus verschiedenen Quellen leicht in einem einfachen Text-Editor manuell zusammenfügen, oder die Beschreibungen nach Bedarf bearbeiten, automatisch übersetzen lassen, etc. Stellen Sie nur sicher, dass das vorgegebene Format von einem Hash-Wert + Beschreibung pro Zeile erhalten bleibt. Die erste Zeile (Titelzeile) in der Datei "Hash Comments.txt" muss aus der Bezeichnung des Hash-Typs ASCII (z. B. "MD5" oder "SHA-1") gefolgt von den ASCII-Buchstaben "Cmt" bestehen, wobei Groß-/Kleinschreibung von Bedeutung ist. Alle folgenden Zeilen beginnen mit einem Hash-Wert in Hex-ASCII (wobei sowohl Groß- als auch Kleinbuchstaben erlaubt sind), gefolgt von einem Tabulator-Zeichen und der Beschreibung in UTF-8. Sowohl Windows- als auch Unix-/Linux-Zeilenumbrüche sind erlaubt.

• Es gibt ein unbeschriftetes, aber mit Tooltip ausgestattetes Kontrollkästchen, das erlaubt, vorhandene Kommentare für Dateien automatisch zu ersetzen, wenn Treffer für Hash-Werte in den Hash Comments gefunden werden. Das bedeutet natürlich, dass vorhandene Kommentare verloren gehen, wenn es für dieselbe Datei in der "Hash Comments"-Datenbank bereits einen Kommentar gibt.

• Eine weitere Option erlaubt das automatische Voranstellen der Initialen "[HC] " vor Kommentare, die automatisch aus der "Hash Comments.txt" vergeben wurden, um sie von Kommentaren unterscheiden zu können, die manuell eingegeben wurden.

Dateityp-Unterstützung

• Es gibt inzwischen 40.000 Definitionen für bilderzeugende Geräte.

• In Optionen | Datei-Betrachtung kann für die Darstellung von reinem Text jetzt über den neuen "..." Schalter eine Standard-Codepage zur Verwendung in der Viewer-Komponente ausgewählt werden. Die Liste der dort wählbaren Codepages ist umfangreicher als die, die über den Optionen-Dialog der Viewer-Komponente (zugreifbar durch Rechtsklick in jedem beliebigen Fenster mit einer von der Viewer-Komponente erzeugten Darstellung) direkt verfügbar ist.

• Beim Abspielen in MPlayer von Videos, die mit einem Smartphone aufgenommen wurden, oder bei der Extraktion von Einzelbildern aus denselben, werden diese Videos jetzt automatisch nach Bedarf rotiert. (Funktioniert nicht, wenn die Metadaten-Extraktion in diesem Datei-Überblick von einer früheren Version von X-Ways Forensics durchgeführt wurde.)

• Mehrere neue Kompressions- und Dekompressionsoptionen sind jetzt in X-Ways Forensics und WinHex Lab Edition über Bearbeiten | Konvertieren verfügbar, die auf die gesamten Daten in einem aktiven Datenfenster angewendete werden können, sofern dieses sich nicht im Nur-Lesen-Modus befindet. Diese ermöglichen die manuelle Dekompression von Daten, die von diversen Dateisystemen komprimiert gespeichert gefunden werden können, falls X-Ways Forensics die entsprechenden Dateien nicht im Datei-Überblick hat bzw. diese nicht automatisch dekomprimieren kann.

• Die Relevanz-Berechnung für Bilder basierend auf ihren Pixel-Dimensionen wurde verbessert.

• PNG-Unterstützung in der internen Grafik-Bibliothek wurde aktualisiert.

• Korrekte Seitenverhältnisse für Berichts-Miniaturbilder von JPEGs, die basierend auf Exif-Metadaten rotiert werden müssen.

• Fähigkeit, bestimmte SRUDB.dat-Dateien zu verarbeiten, für die das bisher nicht erfolgreich war, oder die vorher nicht als SRUDB.dat-Dateien erkannt wurden.

• Ein Ausnahmefehler wurde behoben, der bei der Extraktion von Metadaten aus bestimmten PDF- und Adobe Illustrator-Dateien auftreten konnte.

• Eine Restriktion wurde entfernt, die das automatische Carven von Base64-Code verhindern konnte.

• Dateien mit reinem Base64-Code (z. B. gecarvt aus HTML-Dateien, in denen sie eingebettet waren), die ihre dekodierten Daten als Unterobjekt besitzen, können jetzt direkt mit ihren dekodierten Daten in der Vorschau oder Galeriedarstellung angezeigt werden.

Dateisystem-Unterstützung

• Zusätzliche harte Verweise für dieselbe Datei in NTFS können jetzt optional schon bei der Erzeugung des Datei-Überblicks ausgelassen werden, d. h. sie werden gar nicht erst aufgenommen und auch nicht als zusätzliche Dateien im Verzeichnis-Browser angezeigt. Dies kann beispielsweise hilfreich sein, wenn man die Speicherplatzverwendung verstehen möchte, wobei das 10- oder 100-fache Zählen derselben Dateien keinen Sinn ergibt. Die Spalte "Verweise" zeigt weiterhin die korrekte Anzahl an harten Verweisen (wobei diese wie bisher die reinen 8.3-Dateinamen ignoriert, und der Wert nach wie vor deutlich von dem nicht verlässlich gepflegten Zähler für harte Verweise im FILE-Record abweichen kann).

• Fähigkeit, ungewöhnliche oder verdächtige kurze Dateinamen (SFNs, 8+3-Dateinamen) in NTFS als solche zu erkennen. Solche kurzen Dateinamen können optional im Datei-Überblick entweder als alternative Namen oder als vollwertige harte Verweise (d. h. wie zusätzliche Kopien derselben Dateien) mit ausgegeben werden. Sie können auch mit dem Vermerk "Sonderbare SFN" gekennzeichnet werden, um Sie darauf hinzuweisen. Unerwartete SFN, die angesichts ihres Langnamens (LFN) nicht plausibel erscheinen, könnten ggf. interessant sein, wenn sie sich auf frühere Namen von inzwischen umbenannten Dateien beziehen, oder wenn der SFN gezielt so erzeugt wurde, um eine spezielle Datei mit feststehendem Namen (beispielsweise eine Systembibliothek oder eine Konfigurationsdatei) zu ersetzen, während ihr LFN völlig anders und unverdächtig aussieht. Die Einstellungen zur Behandlung von SFN befinden sich in Optionen | Datei-Überblick. Sollten Sie feststellen, dass zuviele reguläre Dateien auf diese Art gekennzeichnet werden, melden Sie uns diese Beobachtung gerne, und außerdem können Sie versuchen, die Zusatzoption für den "strengeren Abgleich" abzustellen, damit weniger eklatante Diskrepanzen ignoriert werden.

• Verbesserte Interpretation bestimmter unvollständiger bzw. beschädigter NTFS-Dateisystem-Strukturen.

• Unterstützung für weitere Kompressionsvarianten in APFS, inkl. für inline gespeicherte Dateien.

• Unterstützung für ZSTD-Kompression in Btrfs.

• Inline-Kompression in BtrFS wird jetzt unterstützt.

• Verbesserte Ausgabe für die Cluster- bzw. Block-Auflistung für komprimierte Daten in BtrFS.

• Das neue XFS-Zeitstempelformat ("Big time") wird jetzt unterstützt, und die Zeitstempel werden korrekt interpretiert. Frühere Versionen von XWF geben eine Warnung aus, dass ein unbekanntes Inkompatibilitäts-Feature im betreffenden Volume in Verwendung sei.

• Sollte ein XFS-Volume intern als reparaturbedürftig gekennzeichnet sein, gibt XWF jetzt eine entsprechende Meldung aus, und warnt vor potentiellen Problemen, die von beschädigten Dateisystem-Strukturen verursacht werden können. Frühere Versionen von XWF geben eine Warnung aus, dass ein unbekanntes Inkompatibilitäts-Feature im betreffenden Volume in Verwendung sei, ohne das Problem genau eingrenzen zu können.

• Datei-Überblicke für lokale Datenträger, die auf vom aktiven Betriebssystem erzeugten Verzeichnis-Auflistungen basieren ("OS dir list"), beinhalten jetzt auch "Record-Änderung" Zeitstempel und die Anzahl harter Verweise.

• Wenn für Datei-Überblicke basierend auf Verzeichnis-Auflistungen des aktiven Betriebssystems ("OS dir list") die Option zur schrittweisen Vervollständigung aktiv ist, werden Verzeichnisse, deren Inhalte noch nicht erfasst wurden, jetzt mit einem Sternchen (*) in der Attr.-Spalte gekennzeichnet.

• In Datei-Überblicken basierend auf Verzeichnis-Auflistungen des aktiven Betriebssystems ("OS dir list"), werden Dateien, die von anderen Prozessen geöffnet und deswegen schreibblockiert sind, jetzt optional in der Attr.-Spalte mit einem großen "L" (für "locked") gekennzeichnet. Dateien, die lediglich geöffnet sind, können darüber hinaus mit einem kleinen "o" (für "open") gekennzeichnet werden, wenn das Kästchen für diese Option voll angekreuzt ist. Dies könnte nützlich sein, wenn ein laufendes System betrachtet oder gesichert wird, um festzustellen, welche Dateien von laufenden Prozessen oder Hintergrund-Services geöffnet sind/waren, oder welche Programmdateien scheinbar geladen sind. Bitte beachten Sie, dass diese Prüfung für viele Dateien viel Zeit in Anspruch nehmen kann. Daher ist dies evtl. nur für Verzeichnisse von erhöhtem Interesse praktikabel. Diese Option hat bei gemounteten Netzlaufwerken keinen Effekt. Es ist über den Attr.-Filter möglich, schnell offene oder schreibblockierte Dateien zu identifizieren, und sie erscheinen weiter oben bei der Sortierung in der Attr.-Spalte.

Datenträger-Unterstützung

• Verbesserte Behandlung von HPAs/DCOs.

• Behandelt eine offenbar überholte GPT-Partitionierung, die inzwischen durch eine herkömmliche MBR-Partitionierung ersetzt wurde, als solche, indem die Partitionen, die in der GUID-Partitionstabelle definiert sind, als ehemals existierend angezeigt werden, statt als existierend, und indem MBR als der (aktive) Partitionierungstyp angezeigt wird.

• Wenn ein Dateisystem in einer Partition eine Sektorgröße von 4 KB annimmt, obwohl der physische Datenträger bzw. die Sicherung, worin sich die Partition befindet, eine Sektorgröße von 512 Byte besitzt, und falls die Anzahl der 512-Byte-Sektoren in der Partition nicht durch 8 teilbar ist, wird jetzt ein unvollständiger, zusätzlicher 4 KB Sektor am Ende der Partition definiert, um diese zusätzlichen 512-Byte-Sektoren abzudecken, selbst wenn das die Kapazität der Partition, des Datenträgers oder der Sicherung überschreitet, damit auch dieser zusätzliche Speicherplatz in der virtuellen Dateisystemschlupf-Datei enthalten und somit für Suchen etc. zugreifbar ist. Diese noch gründlichere Abdeckung bringt ein gewisses Risiko von Lesefehlern ganz am Ende mit sich.

• Fähigkeit, bei der RAID-Rekonstruktion für einzelne Komponenten eine Footer-Größe in Sektoren anzugeben, um Sektoren am Ende des Datenträgers von der Rekonstruktion auszunehmen. Dies könnte insbesondere bei der Rekonstruktion von JBODs nützlich sein, wenn diese ungenutzten Bereiche sonst zwischen den korrekten Bestandteilen eingeschoben würden und so die eigentliche Anordnung der Daten unterbrechen würden.

Datenträger-Sicherung

• Unterstützung für einen moderneren Kompressionsalgorithmus in .e01-Evidence-Files, der im Vergleich zum althergebrachten Algorithmus eine deutlich verbesserte Balance aus Kompressionsrate und -geschwindigkeit, auch bei der Dekomprimierung, bietet. Zur groben Orientierung, mit einer fast gleich starken Kompressionsrate (nur wenige Prozentpunkte niedriger) als bei der Einstellung "normal" beim kompatiblen Algorithmus, benötigt die moderne Option "normal" nur etwa ein Viertel der Zeit bei der Komprimierung, ein Drittel der Zeit bei der Dekomprimierung. (Diese Werte beziehen sich auf die reine Rechenzeit eines einzelnen Threads, ohne Berücksichtigung der Zeit, die für I/O-Operationen benötigt werden.) Mit der Einstellung "stärker+" erzielt der moderne Algorithmus eine vergleichbare Kompressionsrate wie der bisherige "normale" (oder sogar leicht besser), benötigt aber immer noch nur die Hälfte der Zeit für die Komprimierung und 40% der Zeit für die Dekomprimierung (oder weniger). "Stärker++" benötigt spürbar mehr Zeit und ist daher nicht standardmäßig zu empfehlen, da die zusätzlich zu erzielende Kompressionsrate meist überschaubar ist, wäre aber vermutlich immer noch schneller als der herkömmliche Kompressionsalgorithmus, insbesondere bei der Dekomprimierung (die standardmäßig natürlich mehr als einmal stattfindet, z. B. bei der Prüfung der Sicherung unmittelbar nach ihrer Erzeugung, bei der Prüfung der Sicherung zu einem späteren Zeitpunkt, bei der Datei-Header-Signatur-Suche, einer oder mehrerer Begriffssuchen, der Analyse oder dem Herauskopieren von Dateien, etc.).

• Bitte beachten Sie, dass eine Sicherung, die eine der modernen Kompressionsmethoden verwendet, nur in X-Ways Forensics und X-Ways Investigator v20.9 und später verwendbar ist. Die Option "sparse" der modernen Kompression, die bei der Sicherung von wenig verwendeten Datenträgern bereits äußerst effizient ist, und elfmal (!) effizienter bei der Sicherung genullter Speicherbereiche als die gleichnamige Option der kompatiblen Kompression, wird auch schon von v18.9 und später richtig verstanden.

• Die beschreibende Textdatei, die zusammen mit einer Sicherung erzeugt wird, hat jetzt eine zusätzliche Zeile am Ende, die angibt, ob die Sicherung allgemein kompatibel ist, oder nur mit X-Ways Produkten, oder nur mit X-Ways Produkten bestimmter Version, abhängig von Kompressions- und Verschlüsselungseinstellungen.

• Bitte beachten Sie, die zusätzliche Platzersparnis der stärkeren Kompressionseinstellungen ist oft minimal. Wenn Ihnen die Kompressionsrate wichtiger ist als die Geschwindigkeit, mit der beliebige Daten in der Sicherung zugegriffen werden können, könnten Sie stattdessen (oder zusätzlich) eine größere Blockgröße wählen.

• Schnellere Dekomprimierung von .e01-Evidence-Files mit der herkömmlichen/kompatiblen Kompressionsmethode in x86.

• Das Fenster, das die Kompressionsstatistik von .e01-Evidence-Files anzeigt, kann jetzt per Mausklick in eine Anzeige der Datendichte verwandelt werden, was lediglich die Umkehrung ist. Der neue Standard ist Datendichte. Höhere blaue Balken haben früher wie jetzt höhere Kompressionsraten bedeutet = niedrigere Datendichte = keine Verschlüsselung = weniger Speicherbedarf für die Sicherung = weniger Daten zu analysieren = weniger Arbeit. Höhere rote Balken (neu) repräsentieren höhere Datendichte = mehr Speicherbedarf = mehr Daten zu analysieren = (wenn die Balken bis ganz nach oben reichen) möglicherweise Verschlüsselung. Bitte beachten Sie, dass die letztliche Balkenlänge von der gewählten Kompressionsmethode und -stärke abhängen kann.

• Verhindert versehentliches Überschreiben einer Sicherung, die selbst wieder in ein neues Image gesichert werden soll, wenn der Dateiname gleich bleibt.

Datei-Container

• Alternative Dateinamen werden jetzt auch in Datei-Containern festgehalten (sofern sie zusammen mit den jeweiligen Haupt-Dateinamen nicht zu lang werden).

• Wenn Dateien in einen Datei-Container aus dem Stammverzeichnis eines Asservats oder dem Asservat-Überblick kopiert werden, bedeutet jetzt die halb ausgewählte Option "Originalpfad reproduzieren", dass die Unterobjekte von ausgewählten Dateien auch im Container als Unterobjekte dieser Dateien geführt werden, statt sie auf derselben Ebene wie die Eltern anzuzeigen. In allen anderen Fällen behält die halb angekreuzte Option ihre bisherige Bedeutung, d. h. nur der Teilpfad unterhalb des aktuell erkundeten Verzeichnisses wird reproduziert, und der Effekt wird von der dynamischen Beschriftung dieser Option jetzt klarer angezeigt.

Benutzerschnittstelle

• Bei aktivem Zeitstempel-Filter werden zutreffende Zeitstempel jetzt in unterschiedlichen Farben dargestellt, je nachdem, ob sie lediglich in den gewünschten Zeitrahmen fallen, oder tatsächlich in einer der aktuell filterrelevanten Spalten stehen. Analog dazu werden die Trichtersymbole in den Spaltenköpfen der aktuell nicht berücksichtigen Zeitstempel-Spalten anders gefärbt, um deren "weniger aktiven" Zustand zu symbolisieren.

• Vermerkt die zuletzt verwendeten Nutzer-Initialen für den nächsten Fall und die Option "Zwischen verschiedenen Benutzern unterscheiden".

• Eine neue Notationseinstellung erlaubt die rekursive Beschreibung von Unterobjekten von Dateien.

• Mehr Metadaten in der Liste wiederherstellbarer Sicherungen von Datei-Überblicken.

• Strg+0 entfernt keine Vermerke mehr, die von X-Ways Forensics automatisch erzeugt wurden und als Hinweise dienen oder erkannte Bildinhalte repräsentieren.

• Die Option, einen Vermerk bei der Berichtserzeugung für die Ausgabe als Berichtstabelle zur Verfügung zu stellen, ist jetzt leichter zu finden.

Diverses

• Wenn der Befehl Extras | Datei-Tools | Rekursiv löschen wegen mangelnder Rechte das Verzeichnis auf regulärem Weg nicht erfolgreich löschen kann, kann er jetzt einen zweiten Versuch auf anderem Weg unternehmen, sofern mit das Admin-Rechten gestartet, und so mit großer Wahrscheinlichkeit die Löschung doch noch erfolgreich vollziehen. Dies benötigt Ihre Zustimmung, vor der eigentlichen Löschung mit Admin-Rechten die Eigentümerschaft über das Verzeichnis zu übernehmen.

• Besserer Schutz gegen bestimmte beschädigte Datei-Überblicke. (Nur in Preview- und Beta-Versionen aktiv.)

• Leicht verbesserte interne Koordination zwischen mehreren gleichzeitigen Sitzungen.

• X-Tension API: XWF_SelectVolumeSnapshot hat jetzt einen Rückgabewert, der zwischen Erfolg und Fehler unterscheiden lässt.

• Eine Absturzursache, die beim Exportierten von Suchtreffern mit Kontext auftreten konnte, wurde behoben. Wenn jetzt beim Exportieren eines Suchtreffers mit Kontext immer noch ein Absturz auftritt, sollte der exakte Suchtreffer, der dafür verantwortlich ist, beim nächsten Neustart gemeldet werden.

• Ein seltenes, spezielles Problem, wenn Asservate zur Datei-Überblick-Erweiterung oder Durchsuchung automatisch geöffnet werden, sollte jetzt nicht mehr auftreten können.

• Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

• Viele kleinere Verbesserungen.

Änderungen an den weiteren Service-Releases von 20.8

• SR-1: Accepts XFS volumes with just 2 or 3 allocation groups as valid.

• SR-1: Fixed an exception error that could occur when running a file header signature search in Btrfs, QNX or XFS volumes.

• SR-1: A very rare exception has been fixed that could theoretically occur when opening a file in APFS if the very first data block was sparse.

• SR-1: X-Ways Imager can now interpret images again after their creation so that they can be verified immediately and automatically.

• SR-1: Fixed read errors in logical process memory.

• SR-1: Ukrainian translation of the user interface available.

• SR-1: The Russian translation of the user interface was updated.

• SR-2: A very rare exception error was fixed that could occur when parsing NTFS file systems.

• SR-2: Fixed an exception error that occurred when removing all extracted metadata.

• SR-2: Fixed a rare exception error that could occur when updating the edit box history.

• SR-2: Fixed a rare erroneous message about a hash mismatch after verifying evidence objects.

• SR-3: An internal limitation of 4 TB of extracted data in a volume snapshot was overcome.

• SR-3: Fixed an exception error that occurred when previewing PLists before they were processed by "Uncover embedded data from various files".

• SR-3: Fixed a potentially crash that could occur on some systems when starting X-Ways Forensics 20.8 for the first time.

• SR-4: X-Ways Forensics is now more careful when adopting files that were previously carved at the partition/volume level as child objects of other files in which they seem to be contained when uncovering embedded data because that could lead to unwanted data truncation. This improvement will be applied to all affected versions (v20.6 and later).

• SR-4: Fixed processing of overlong command line parameters.

• SR-4: The Description filter filtered out all files if certain invisible dependent boxes were checked. That was fixed.

• SR-4: Fixed inability to open certain newly extracted files in very specific circumstances when refining the volume snapshot.

Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

Hallo allerseits,

in dieser Ausgabe informieren wir Sie über ein weiteres Update mit wichtigen Verbesserungen, die Version 20.8. Erscheinungstermin war der 25. April 2023. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Nächste Schulungstermine

• 13.-15. Juni 2023: Online-Schulung "X-Ways Forensics II"

• 4.-7. Juli 2023: Online-Schulung "X-Ways Forensics I"

• 25.-28. Sep. 2023: Schulung "X-Ways Forensics I" in Frankfurt

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit werden hier aufgelistet.

Was ist neu in v20.8?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Bildanalyse

• v20.8 benötigt ein neues Excire-Paket, das jetzt herunterladbar und auch mit v20.7 SR-7 und neuer kompatibel ist (auch mit älteren Releases von v20.7, wenn Sie die Gesichtersuche nicht verwenden). Die vorige Version des Pakets zur Verwendung mit v20.7 SR-6 und älter kann ebenfalls weiterhin vom Ressourcen-Download-Verzeichnis bezogen werden.

• Die Gesichtsmarkierung zur Suche nach bekannten Gesichtern wird jetzt auch dann zur erneuten Verwendung gespeichert, wenn sich der Pfad der Bildersammlung ändert.

• Die Bildersammlung für die Gesichtersuche kann jetzt auch in einem Pfad mit Leerzeichen vorgehalten werden.

• Es gibt nun die Möglichkeit, die Markierung der Gesichter mitsamt folgender Erweiterung des Datei-Überblicks durch Drücken der Escape-Taste abzubrechen.

• Wenn die Ergebnisse der Bildanalyse in Form von Vermerken ausgegeben werden, erhalten jetzt auch Videos Vermerke, deren Einzelbilder extrahiert und analysiert wurden.

• Ein neuer automatischer Vermerk „Metadata added retroactively“ wurde eingeführt. Er wird für Bilder verwendet, deren Metadaten automatisch oder manuell nachträglich hinzufügt wurden, nachdem der eigentliche Inhalt bereits vorhanden war, wie beispielsweise Copyright-Informationen oder Schlüsselwörter.

• In Bildern identifizierter Inhalt kann jetzt optional auch deren berechnete Relevanz beeinflussen, abhängig davon, welche Objekte/Begriffe Sie als verdächtig oder irrelevant ausgewählt haben.

• Die „Summary“-Tabelle für JPEG-Dateien im Details-Modus bewertet die Kompressionsqualität nicht mehr nur grob als „hoch“, „mittel“, „niedrig“ oder „sehr niedrig“, sondern beziffert sie jetzt auf einer linearen Skala von 0 bis 100. Dieser Wert ist nicht gleichbedeutend mit der nominellen/offiziellen JPEG-Qualität, welche die tatsächlich erreichte Kompression nicht berücksichtigt.

• Die Fähigkeiten zur Erkennung bilderzeugender Geräte wurden wieder erweitert.

• Die Option, die Farben von Bildern in der Galerie verfälscht anzuzeigen, um ihre psychisch belastende Wirkung zu reduzieren, kann jetzt auf als verdächtig erkannte Bilder beschränkt werden.

• Aus demselben Grund können Vorschaubilder in der Galerie auf Wunsch jetzt alternativ oder zusätzlich künstlich verschwommen/weichgezeichnet dargestellt werden (alle Bilder oder nur verdächtige). Dieselbe Option halb ausgwewählt bedeutet weniger stark verschwommen.

Dateianalyse

• Die Funktion zur Suche nach in diversen Dateitypen eingebetteten Daten besitzt jetzt einen ausführlichen Berichtsmodus, der Ihnen mitteilt, welche Dateien ursprünglich im Verzeichnis für aus Sektoren ausgegliederte Dateien aufgelistet wurden (da sie per Datei-Header-Signatur-Suche gefunden worden waren), jetzt aber in Unterobjekte anderer Dateien umgewandelt wurden, da sie zu diesen logisch zu gehören scheinen und auch in diesen enthalten sind.

• Die Option, Dateien in der Beschreibungsspalte als Duplikate kennzeichnen zu lassen, ist jetzt auch für aufgelistete Dateien mit angezeigten, identischen Start-Offsets verfügbar.

• Zeitzoneninformationen in der Zusammenfassungstabelle für Quicktime-Videos im Detail-Modus für den Quicktime-Zeitstempel, mit Identifikation derjenigen Dateien, die von der sog. „incorrect time zero“-Problematik betroffen sind.

• Für jede Gruppe von Dateiarchiven (General purpose, Office, Special interest, ...) können Sie jetzt festlegen, ob solche Archive nach der Aufnahme ihrer Inhalte in den Datei-Überblick auch im Verzeichnisbaum angezeigt werden sollen.

• Die Passwort-Liste bei verschlüsselten Archiven durchzuprobieren ist jetzt etwa 50% schneller als in v20.7 und älter.

• Verschlüsselungstest für Dokumente jetzt etwas beschleunigt.

Dateityp-Unterstützung

• Fähigkeit, Windows-Installationspakete im CAB-Format wie Dateiarchive zu behandeln. Wenn Sie deren Inhalte in den Datei-Überblick aufnehmen lassen möchten, stellen Sie sicher, dass die Bezeichnung cab in einer der tatsächlich ausgewählten Archiv-Gruppen wie „General purpose“ oder „Special interest“ aufgeführt ist. In neuen Installationen wird cab ab jetzt standardmäßig in „Special interest“ aufgeführt, da die meisten cab-Archive nur aus irrelevanten Microsoft-Installationspaketen bestehen, und nicht von Nutzern erzeugte Archive darstellen. Die Typ-Kennzeichnung „cab1“ versucht, die meisten Microsoft-Installationspakete als solches zu erkennen, während „cab“ evtl. interessantere, manuell erzeugte Datei-Archive sein könnten.

• Fähigkeit, den ersten Frame animierter WEBP-Bilder anzuzeigen, auch in Vorschau oder Galerie.

• Erzeugt Vorschaubilder von E-Mail-Nachrichten im Fallbericht in der alternativen .eml-Darstellung, wenn diese aktuell auch für die Anzeige direkt im Programm eingestellt ist.

• Überarbeitete Datei-Archiv-Behandlung, um die Stabilität im Umgang mit einigen seltenen, ungewöhnlichen Archiven zu verbessern.

Suche

• Sofern zuvor dekodierter Text im Datei-Überblick zur erneuten Verwendung gespeichert wurde, kann dieser jetzt verworfen werden, um eine erneute Dekodierung zu erzwingen, beispielsweise, weil die speziellen Dekodierungsoptionen für Tabellenkalkulationen aktiviert wurden.

• Option, Suchtreffer in der Suchtrefferliste mitsamt ihrem Kontext in hexadezimaler Darstellung anzuzeigen. Nützlich insbesondere für technischere Suchen, in denen nicht nach Stichwörtern, sondern nach Datei-Signaturen oder anderen binär gespeicherten Merkmalen gesucht wird. Die Option ist im Kontextmenü zu finden und wirkt sich auch auf die Ausgabe von Suchtreffern über den Befehl „Liste exportieren“ aus.

• Die speziellen Suchbefehle für ganze Zahlen und Gleitkommazahlen sind jetzt auch im Datei-Modus anwendbar, und ihre Ausgabe-Meldungen sind jetzt Unicode-fähig, und damit auch in der Benutzeroberfläche lesbar, wenn keine westeuropäische Sprache eingestellt ist.

Benutzerschnittstelle

• Bei der Auswahl eines Asservats im Asservat-Überblick, wird dieses jetzt automatisch auch im Falldaten-Fenster ausgewählt, wobei ggf. der Fallbaum entsprechend aufgeklappt (falls es sich um eine Partition handelt) und das Fenster passend vertikal gescrollt wird, um das Auffinden eines bestimmten Asservats in einem sehr großen Fall zu erleichtern, da man im Asservat-Überblick Asservate nach Namen sortieren und Filter verwenden kann.

• Drag & Drop im Falldaten-Fenster ermöglicht nun das Umsortieren von Asservaten.

• Der expandierte Zustand von Asservaten mit enthaltenen Partitionen wird jetzt festgehalten und beim erneuten Öffnen des Falls wieder hergestellt.

• Notationseinstellung zur Verwendung von Vorwärts- statt Rückwärts-Schrägstrichen in den Pfadspalten, der Titelzeile des Verzeichnis-Browsers, der Informationsspalte und im Status-Balken, entweder grundsätzlich oder nur in Daten-Fenstern, die ein Volume mit einem Nicht-Microsoft-Dateisystem darstellen.

• Spezielle Icons im Asservat-Überblick für Datei-Container, RAIDs und Prozess-Sicherungen.

• Ein neues Dreifach-Kontrollkästchen in den Verzeichnis-Browser-Optionen legt fest, ob das Anklicken/Auswählen einer Datei oder eines Verzeichnisses im Verzeichnis-Browser im Disk/Partition/Volume-Modus direkt zu den Inhalten des betreffenden Objektes navigiert, oder zur Struktur im Dateisystem, die das Objekt definiert. Seien Sie an dieser Stelle daran erinnert, dass letzteres auch durch Anklicken der Dateisystem-Offset-Spalte des Objekts erreicht werden kann, selbst, wenn ein Klick woanders ersteres bewirkt. Ist das Kästchen gar nicht angekreuzt, findet in der unteren Hälfte des Datenfensters gar keine Navigation statt, was nützlich sein könnte, wenn Sie direkt mit einem physisch beschädigten Datenträger arbeiten, wo der Zugriff auf bestimmte Sektoren oder Bereiche zum Hängenbleiben oder Abstürzen im Betriebssystem führen könnte.

• In neu erzeugten Datei-Überblicken physischer, partitionierter Datenträger zeigt die Dateisystem-Offset-Spalte jetzt den exakten Offset an, wo in der Partitionstabelle die jeweilige Partition definiert ist, und ermöglicht damit das Aufsuchen dieser Position durch einfaches Anklicken. Das Fehlen eines solchen Offsets zeigt an, dass die Partition nicht durch Auswertung eines Eintrags einer Partitionstabelle gefunden wurde, sondern lediglich basierend auf ihren eigenen Daten, in welchen Fällen die Beschreibungsspalte die Partition auch als „nicht in Partitionstabelle verzeichnet“ kennzeichnet.

• Befehl Wiederherstellen/Kopieren: Wenn Probleme mit der Länge des Ausgabepfads auftreten, wird der exakte Pfad jetzt im Nachrichtenfenster angegeben, um die Situation nachvollziehbarer zu machen.

• Wenn mehrere Bedingungen zur Zelleinfärbung im Verzeichnis-Browser gleichzeitig zutreffen, erzeugen diese jetzt immer eine gemischte Farbe, damit keine der zutreffenden Eigenschaften übersehen wird. Beim Auswählen von Objekten im Verzeichnis-Browser, für die die bedingte Einfärbung der ganzen Zeile aktiv ist, wird die Auswahlfarbe verändert, um sowohl den ausgewählten Zustand als auch die speziellen Bedingungen ersichtlich zu machen.

• Einige Aspekte des Dunkelmodus (z.B. bei der alternativen E-Mail-Darstellung) wurden verbessert, wenn in Windows selbst kein dunkles Farbschema eingestellt ist, und die Kompatibilität mit den dunklen Farbschemata in Windows 11 wurde erheblich verbessert.

• Verbesserte Darstellung der meisten Pfeil-Schalter in Dialogfenstern unter Windows 11.

• Option, die Größe der Standard-Windows-Schriftart anzupassen, beispielsweise im Verzeichnis-Browser oder dem Falldaten-Fenster. Eine positive Pixel-Zahl vergrößert, eine negative verkleinert. Es wird empfohlen, nach Veränderung dieser Einstellungen das Programm neu zu starten.

  Grundsätzlich ist die Anpassung der DPI-Skalierung in Windows selbst vorzuziehen, da sich dies konsistenter auf alle Elemente der Oberfläche auswirkt, einschließlich anklickbarer Steuerelemente etc., nicht nur auf die Schriftgröße in bestimmten Bereichen. Es gibt aber ggf. Situationen, in denen die Beeinflussung dieser Einstellung direkt in X-Ways Forensics von Vorteil sein kann, beispielsweise weil Ihre Sehstärke über- oder unterdurchschnittlich ist und Sie eine portable Installation von X-Ways Forensics regelmäßig auf Fremdrechnern einsetzen.

• Einige Elemente der Benutzeroberfläche werden jetzt automatisch proportional angepasst, wenn Sie dieselbe WinHex.cfg-Datei in einer portablen Installation in Windows-Systemen mit unterschiedlichen DPI-Einstellungen (d.h. üblicherweise auf Systemen mit unterschiedlichen Bildschirmauflösungen) verwenden, beispielsweise für die Triage vor Ort, um dennoch in etwa die gleiche Größendarstellung zu erhalten wie gewohnt. Unter anderem die folgenden Bereiche werden angepasst: Die Schrift in Hex- und Text-Anzeige, die Breiten der Verzeichnis-Browser-Spalten, die Breite des Falldaten-Fensters und die Vorschaubilder in der Galerie. Dies funktioniert mit WinHex.cfg-Dateien, die zuletzt von v20.7 SR-7 oder neuer gespeichert wurden.

• Beim Laden von .settings-Dateien, die von v20.7 SR-7 oder später gespeichert wurden, werden die Verzeichnis-Browser-Spalten jetzt ebenfalls basierend auf den aktuellen DPI-Einstellungen angepasst, falls erforderlich .

• Datei- und Verzeichnis-Auswahl-Dialogfenster sind jetzt größer.

Fall- und Datei-Überblick-Verwaltung

• Option, automatisch nach Abschluss der Erweiterung eine Sicherung des Datei-Überblicks erstellen zu lassen, um ggf. schnell zu genau diesem Zustand zurückkehren zu können, statt einen neuen Datei-Überblick zu erzeugen und ihn erneut erweitern zu lassen. Nützlich beispielsweise falls Ihnen bei der manuellen Sichtung von Dateien ein Fehler unterläuft oder falls der Datei-Überblick irgendwie beschädigt werden sollte. Wenn das Kontrollkästchen (in Specialist | Datei-Überblick erweitern) voll statt nur halb ausgewählt ist, wird bereits nach den Operationen von Schritt 1 (auf Asservat-/Partitionsebene) eine zusätzliche Sicherung erzeugt. Der Menübefehl zur Wiederherstellung eines Datei-Überblicks befindet sich weiterhin im Kontextmenü des Asservats im Falldaten-Fenster.

• Option, die Unterverzeichnisse für die Fall- und Datei-Überblick-Sicherungen mit dem Attribut „versteckt“ (H) zu versehen, damit sie die Auflistung des Fallverzeichnisses im Windows Explorer nicht unnötig unübersichtlich machen oder zumindest mit einem blasseren Icon dargestellt werden. Diese Option wirkt sich auch auf die o. g. automatischen Sicherungen bei der Erweiterung des Datei-Überblicks aus.

• Fähigkeit, das Protokoll (copylog) des Befehls Wiederherstellen/Kopieren in Segmente einer wählbaren Anzahl an Megabyte aufzuteilen, damit die einzelnen Dateien beim späteren Betrachten oder Importieren in anderen Anwendungen keine Probleme verursachen.

Dateisystem-Unterstützung

• Btrfs: Jetzt werden mehrere harte Verweise einer einzelnen Datei auch dann im Datei-Überblick aufgenommen, wenn sie im selben Verzeichnis liegen.

• Die Option „Startsektoren bekannter Dateien strenger ignorieren“ bei der Datei-Header-Signatur-Suche behandelt jetzt auch ehemals existierende Dateien in FAT32-Dateisystemen als bekannt, obwohl deren Anfangs-Cluster-Nummern letztlich geraten sind. So werden noch mehr Duplikate verhindert (seit v20.7 SR-8).

• Verbesserte Verarbeitung von Reparse-Points in NTFS (seit v20.7 SR-2).

• Erkennung des Tuxera Flash File System (TFFS).

Datenträger und Sicherungen

• Bei der Erzeugung einer bereinigten Sicherung, wo die virtuelle Datei "Freier Speicher" ausgeblendet ist, während gleichzeitig der freie Speicher bereinigt wird, erinnert jetzt eine Meldung im Nachrichtenfenster an diesen Umstand, und die Tatsache, dass dies dazu führt, dass die tatsächlich von der virtuellen Datei abgedeckten Cluster davon abhängen, welche ehemals existierenden Dateien im aktuellen Datei-Überblick bekannt sind, was wiederum u.U. davon abhängt, wie weit der Überblick bereits erweitert wurde. Wenn Sie den gesamten freien Speicher, wie vom Dateisystem definiert, tatsächlich aus der bereinigten Sicherung ausschließen möchten, ist die Bereinigungs-Option für Ihre Situation keine gute Wahl (abwählbar in Optionen | Datei-Überblick), oder alternativ müssten Sie zusätzlich auch alle ehemals existierenden Dateien ausblenden, deren Inhalt sich im freien Speicher befindet und nicht in die bereinigte Sicherung aufgenommen werden soll.

• X-Ways Forensics akzeptiert jetzt auch Laufwerksbuchstaben in Windows als Komponenten für die interne Zusammensetzung von RAIDs. Das ist grundsätzlich zwar nicht sehr sinnvoll, ermöglicht aber auf diesem Umweg, einen Laufwerksbuchstaben in X-Ways Forensics als physischen Datenträger uminterpretieren zu lassen, falls erforderlich, indem man diesen als einzige Komponente eines JBOD auswählt. Dies könnte nützlich sein, falls man ausnahmsweise eine Funktion darauf anwenden möchte, die eigentlich nur für den Einsatz auf physischen Datenträgern sinnvoll und daher auch auf solche beschränkt ist, wie z.B. die Suche nach verlorenen Partitionen. Ein außerhalb von X-Ways Forensics zusammengesetztes RAID könnte in Windows zum Beispiel nur als Laufwerksbuchstabe eingebunden sein, obwohl in dessen Sektor 0 kein Volume-Boot-Sector bzw. Dateisystem-Anfang vorhanden ist, und das Ganze in Windows daher in dieser Form gar nicht nutzbar ist.

• Ausgeblendete Dateien und Verzeichnisse werden beim Mounten eines Datei-Überblicks oder Verzeichnisses jetzt ebenfalls nicht mehr angezeigt.

Diverses

• Verbesserte Unterstützung für die Ausführung in Cloud-Systemen von Microsoft Azure.

• Verbesserte Unterstützung für die Ausführung in Google-Cloud-Systemen (seit v20.7 SR-3).

• X-Tensions werden jetzt standardmäßig so geladen, dass evtl. von der X-Tension zusätzlich benötigte DLLs im selben Verzeichnis gefunden werden, in der auch die X-Tension liegt. Dieses neue Verhalten ist optional und kann mittels eines Kontrollkästchens deaktiviert werden.

• Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

• Viele kleinere Verbesserungen.

Änderungen an den weiteren Service-Releases von 20.7

• SR-1: Fixed an I/O error that could occur after using the gallery to display files in nested disk images.

• SR-1: Fixed an infinite loop that could occur in v20.6 and the original v20.7 release when uncovering Windows resource data embedded within carved DLLs.

• SR-1: Fixed a memory corruption error that could occur on some machines in the 32-bit edition when trying analyze photos with artificial intelligence.

• SR-1: Prevented a message box that had to be clicked away when trying to add inaccessible drive letters to the active case through the command line.

• SR-1: Potentially prevented instabilities with the internal graphics display library.

• SR-2: Fixed inability to run a picture content analysis in v20.7 SR-1.

• SR-2: Improved treatment of NTFS reparse points.

• SR-2: Fixed an exception error that could occur in v20.6 and v20.7 when imaging storage devices from the command line.

• SR-3: Fixed a memory leak that could occur during volume snapshot refinement.

• SR-3: Fixed caching of compressed TAR archives processed with the alternative extraction method if they contained additional nested archives.

• SR-3: Prevented multi-threading read errors in certain kinds of nested images.

• SR-3: X-Ways Forensics parsed directory entries in XFS incompletely when unaligned entries were encountered. That was fixed in v20.7 and will also be fixed in all future service releases of older versions.

• SR-3: Ability to read uninitialized areas of files before the last defined portion as binary zeroes in Btrfs depending on the corresponding volume snapshot option.

• SR-3: When reporting a data/parameter/parity inconsistency for newly reconstructed RAIDs, X-Ways Forensics now mentions the offset on the component disks where the problem was first detected. Note that X-Ways Forensics does not check the entire disks, just the first 16 strips (previously 10).

• SR-3: Some target paths in jumplists were improperly truncated in the event list. That output was fixed.

• SR-3: Improved support for machines in the Google cloud as a platform.

• SR-4: Better compatibility with the Aquatic high contrast dark theme of Windows 11.

• SR-4: *.service_worker is now included in fresh installations in the file mask for the file header signature search portion of "Uncover embedded data in various file types" to target cache files.

• SR-4: Support for certain streamed MP4 video files in the internal carving algorithm ~27 for the file header signature search.

• SR-4: Fixed an error in the "Find Text" function in the Registry Viewer in v20.6 and v20.7.

• SR-4: Fixed failure to decode Base64-encoded e-mail bodies that could occur depending on the characters in the search terms.

• SR-4: Fixed an error in the "Filename analysis" for pictures sent via WhatsApp.

• SR-5: Fixed an exception error that could occur in v20.7 SR-3 and SR-4 when trying to access storage devices.

• SR-5: Fixed an exception error that could occur in v20.7 with the "OS dir list: Compute total amount of data" option.

• SR-5: Fixed recycle bin file naming error in v20.7.

• SR-5: Prevented data interpretation of some invalid ANIS SQL timestamps as nonsensical dates.

• SR-5: Fixed a rare time zone problem with carved partial QuickTime video files.

• SR-6: Fixed a rare instability that could occur when parsing corrupt inactive data of HFS+ file systems.

• SR-6: Fixed sector number display in the progress indicator window of simple searches (searches that don't output to the search hit list).

• SR-6: Avoided an error message that could occur under Windows XP and Vista when opening storage devices.

• SR-6: Fixed an exception error that could occur with the alternative .eml presentation.

• SR-7: Fixed a rare instability that could occur when processing MSG files with forwarded other e-mail messages with very long subject lines.

• SR-7: Better prepared for the transition to v20.8.

• SR-8: The option "Always ignore start sectors of known files" of the file header signature search now treats previously existing files in FAT32 file systems as known even though their start cluster numbers are just guesswork, so that more duplicates are prevented.

• SR-8: Fixed display of certain SIDs in the Data Interpreter when shown alongside of GUIDs.

• SR-8: Highlights more recent FILETIME values in the hex and text display.

• SR-8: Fixed inability to extract thumbnails in some old JPEG pictures with very small Exif segments.

• SR-8: Reducing the case's auto-save interval now takes effect immediately instead of next time when the previous interval elapses.

• SR-9: Labels derived from hash set matches are now always of the special "hash set" type, not the generic "hint" type, no matter whether they are created immediately when matching hash values against the database or retroactively.

• SR-9: The File Header Signature Search will not skip JPEG signatures within a known JPEG file any more assuming the function to uncover embededed data will pick up the inner file later, if the outer known JPEG file is a previously existing file. That can make a difference if the outer JPEG file is not intact any more and there is no logical connection between the inner and the outer file (thumbnail representation or alternative resolution), in which case the function to uncover embedded data would not find the inner file.

• SR-9: More compact representation of PhotoDNA matches in Details mode.

• SR-9: Ability to understand information about additionally found partitions as stored in .xfc case files by v20.8. Ability to gracefully deal with case files in which that kind of information is not understood.

Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

Ein frohes neues Jahr allerseits.

In dieser Ausgabe informieren wir Sie über ein weiteres Update mit wichtigen Verbesserungen, die Version 20.7. Erscheinungstermin war der 15. November 2022. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Nächste Schulungstermine

• 6.-9. März 2023: Online-Schulung "X-Ways Forensics"

• 13.-16. März 2023: Schulung "X-Ways Forensics" in München

• 13.-15. Juni 2023: Online-Schulung "X-Ways Forensics II"

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit werden hier aufgelistet.

Was ist neu in v20.7?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Bildanalyse

• Die Funktionalität von Excire Forensics ist jetzt in X-Ways Forensics enthalten! Das bedeutet, eine künstliche Intelligenz kann die Bilder in Ihren Fällen prüfen (beim Erweitern des Datei-Überblicks über das Hauptmenü) und Sie über Verweise oder Kommentare auf erkannte Inhalte aufmerksam machen, anhand derer Sie filtern können. Die vollständige Hierarchie von identifizierbaren Inhalten finden Sie hier. Beschreibungen von Bildinhalten sind verfügbar auf Deutsch, Englisch, Französisch, Spanisch und Italienisch. Benutzer von X-Ways Investigator mögen bitte ein Upgrade auf X-Ways Forensics in Erwägung ziehen, wenn sie an der Excire-Funktionaltität interessiert sind.

• Excire braucht ein 64-bittiges Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 oder Windows Server 2022. Download-Instruktionen für das separate Paket erhalten Sie wie üblich durch eine Lizenzstatus-Abfrage hier. Es handelt sich einfach um ein weiteres Zip-Archiv im Verzeichnis mit den zusätzlichen Ressourcen. Standardmäßig werden die weiteren Dateien im Unterverzeichnis \Excire des Installationsverzeichnisses erwartet, aber den Pfad können Sie unter Optionen | Datei-Betrachtung ändern, so dass mehrere Installationen von X-Ways Forensics dasselbe installierte Paket gemeinsam benutzen können.

• Bilder können automatisch als irrelevant oder beachtenswert kategorisiert werden. In der umfangreichen Hierarchie identifizierbarer Objekte können Sie individuelle Schlagwörter oder ganze Teilbäume auswählen, die ein Bild für Sie mit hoher Gewissheit irrelevant erscheinen lassen, z. B. diverse Tierarten, Pflanzen, Sportarten, Musikinstrumente usw. Sie können auch festlegen, was ein Bild aus Ihrer Sicht beachtenswert macht, z. B. unbekleidete Menschen, Pornographie, Schusswaffen, pulverförmige Substanzen, Pillen, Kinder, Fahrzeuge, Text, Papiertextur (d. h. Papierdokumente) usw. Im Zweifelsfall erhält die Kategorisierung als "beachtenswert" immer Vorrang vor "irrelevant", z. B. wenn Sie in einem bestimmten Fall mal Hunde für beachtenswert halten, aber Tiere ansonsten immer noch als irrelevant markiert sind. Logische UND-Kombinationen werden unterstützt bei der Einstufung als beachtenswert. Einige solche UND-Kombinationen sind vordefiniert, die bei der Ermittlung in Sachen Kinderpornographie unterstützen sollen.

• Excire ermöglicht auch das Auffinden von aus Sicht der künstlichen Intelligenz ähnlichen Bildern zu einer von Ihnen bereitgestellten Sammlung von typischen relevanten Bildern aus früheren Fällen oder sonstigen Vorlagenbildern (in den Formaten JPEG, PNG, Bitmap oder TIFF).

• Gesichter bestimmter Personen können in Fotos in neuen Fällen wiedergefunden werden. Sie werden dazu von der Anwendung aufgefordert, die relevanten Gesichter in von Ihnen bereitgestellten JPEG-, PNG-, Bitmap- oder TIFF-Bildern zu markieren.

Dateityp-Unterstützung

• Der Viewer-Komponente wurde ein Patch hinzugefügt, der die Darstellung bestimmter PDF-Dokumente verbessert.

• Die interne Grafikanzeigebibliothek wurde überarbeitet, insbes. für die Formate PNG, WEBP und PCX.

• 5% mehr Definitionen von fotoerzeugenden Geräten.

• Die Erkennung von Frontkamera-Fotos wurde verbessert, insbes. für Samsung-Geräte, und auch für Smartphones von Xiaomi und Apple.

• Der durchschnittlichen Anzahl von Bits pro Pixel in einem bestimmten JPEG-Bild im Details-Modus wird der bekannte Medianwert von Bits pro Pixel der betreffenden Generatorsignatur gegenübergestellt, um die Zahl besser einschätzen zu können.

• Die Summary-Tabelle für JPEG-Dateien hat nun einen neuen Eintrag namens "Software Class", der Informationen, die über diverse Metadaten-Details verstreut sind, zu einer einzigen Klassifikation zusammenfasst. Die folgenden Werte sind möglich: Adobe, Facebook/Instagram, Whatsapp, Twitter, Google/Picasa, Windows, Android, Firmware, Apple, Social media, Editor, General, Beautifier.

• Ein neuer möglicher Bearbeitungszustand in der Summary-Tabelle ist nun „cropped“. Cropped bedeutet, dass die Abmessungen eines Bilds in Pixeln keiner der bekannten Standardabmessungen des erzeugenden Geräts entsprechen. Das heißt auch, dass so ein Bild nicht als relatives Original angesehen werden kann und seine Relevanz niedriger angesetzt wird als bei Bildern, die als relatives Original gelten können. Die Abmessungen werden im Fall von „cropped“ in blauer Schrift angezeigt.

• Verbesserter Gruppierungseffekt bei kleinen Bildern ohne Metadaten beim Sortieren nach Relevanz.

• Die Relevanzberechnung wurde überarbeitet. Die Anzahl der Bits pro Pixel von JPEG-Dateien wirkt sich nun darauf aus, so dass eher monotone sowie unscharfe Bilder einen niedrigeren Wert bekommen.

• Einige Zielpfade in Jump-Lists wurden in der Ereignisliste unsauber gekürzt angezeigt. Das ist nun korrigiert.

Dateisystem-Unterstützung

• Verbesserte Verarbeitung von Reparse-Points in NTFS.

• Fähigkeit, nicht initialisierte Bereiche von Dateien, die vor dem letzten definierten Bereich liegen, je nach Einstellung in den Datei-Überblick-Optionen als binäre Nullen zu lesen.

• Ein Fehler in der Verarbeitung von XFS wurde behoben, der das Auslesen bestimmter Verzeichnisstrukturen verhinderte, wenn das Verzeichnis einen EA-Fork benutzt.

• Frühere Versionen von X-Ways Forensics haben Verzeichniseinträge in XFS unvollständig eingelesen, wenn nicht ausgerichtete Einträge angetroffen wurden. Das wurde nun korrigiert und wird auch in allen zukünftigen Service-Releases älterer Versionen korrigiert.

• Eine Ausnahmesituation wurde verhindert, die auftrat beim Versuch, extrahierte E-Mails in der Vorschau im Untermodus für extrahierten Text einzusehen.

Benutzerschnittstelle

• Berichtstabellenverknüpfungen werden nun aus Gründen der Einfachheit einfach „Vermerke“ genannt, auch weil die Version 20.7 noch mehr als frühere Versionen viele Verknüpfungen automatisch erzeugt, die nicht Grundlage des Fallberichts werden. Wenn die Dateien mit einem bestimmten Vermerk allerdings im Fallbericht tabellenartig ausgegeben werden, wird diese Ausgabe immer noch Berichtstabelle genannt.

• Es gibt eine Option, die amerikanische Schreibweise der englischsprachigen Benutzeroberfläche größtenteils auf Britisch umzustellen. Die britische Rechtschreibung ist nun auch die Voreinstellung in neuen Installationen in Windows-Systemen mit Installationssprache UK English, Australian English oder New Zealand English.

• Die chinesische Übersetzung der Benutzeroberfläche wurde aktualisiert.

• Die Option, Offsets entweder hexadezimal oder dezimal anzuzeigen, wurde in die Notationseinstellungen verlegt. Dadurch wird es möglich, dass Sie z. B. hexadezimale Offsets in der GUI bei Nutzung der Anwendung sehen, aber dezimale Offsets exportieren für den Gebrauch außerhalb von X-Ways Forensics.

• Hexadezimal-Zahlen und -Codes können nun optional mit Kleinbuchstaben (a bis f) statt Großbuchstaben (A bis F) dargestellt werden. Das betrifft hexadezimale Offsets, die Hex-Spalte, die Anzeige von Hash-Werten und mehr, und das ist nun eine weitere Option in den Notationseinstellungen.

• Beim Versuch, über die Befehlszeile Laufwerksbuchstaben dem aktiven Fall hinzuzufügen, die nicht zugreifbar sind, wurde bisher ein Meldungsfenster angezeigt, das man wegklicken musste. Das wird nun verhindert.

Diverses

• Das Filtern nach einer bestimmten Windows-Event-ID in der Spalte für die Ereignisbeschreibung ohne ungewollte Treffer derselben Nummer sonstwo in der Beschreibung wird jetzt dadurch ermöglicht, dass den Ereignis-IDs die Buchstaben "ID " mit einem Leerzeichen vorangestellt werden. (Nur in neu erweiterten Datei-Überblicken.)

• Wenn für neu zusammengesetzte RAIDs eine Inkonsistenz in den Daten/in den Parametern/in der Parity gemeldet wird, nennt X-Ways Forensics nun auch den Offset der Komponenten-Datenträger, den dem das Problem als erstes festgestellt wurde. Bitte beachten Sie, dass X-Ways Forensics nicht die gesamten Datenträger prüft, sondern nur die ersten 16 Blöcke (vormals 10).

• Die alte Funktion zur sog. Bates-Nummerierung unterstützt nun Unicode-Dateinamen.

• Die neueste NSRL-Hash-Databank-Version 2.79 ist nun im XWF-Format aus dem Ressourcen-Verzeichnis herunterladbar.

• Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

• Viele kleinere Verbesserungen.

Diverse Fehlerkorrekturen bis v20.7 SR-3

• Ein E/A-Fehler wurde behoben, der auftreten konnte, nachdem man die Galerie zur Anzeige von Dateien in verschachtelten Datenträger-Sicherungen benutzte.

• Eine Endlosschleife wurde korrigiert, die in v20.6 und dem ursprünglichen v20.7-Release auftreten konnte bei der Suche nach eingebetteten Windows-Ressourcen-Daten in  DLLs, die aus Sektoren ausgegliedert wurden.

• Ein Speicherleck wurde behoben, das beim Erweitern des Datei-Überblicks auftreten konnte.

• Das Halten von komprimierten TAR-Archiven im Cache musste korrigiert werden für den Fall, dass diese Archive mit der alternativen Extraktionsmethode verarbeitet wurden und weitere verschachtelte Archive enthielten.

• Lesefehler beim Einsatz mehrerer Threads mit einer bestimmten Art von verschachtelten Datenträger-Sicherungen werden nun verhindert.

Änderungen an den weiteren Service-Releases von 20.6

• SR-1: The option to keep archive contents in the cache, if half-checked, caused errors (exceptions or unreadable files) when dealing with file archives in the GB range in the original v20.6 release. That was fixed.

• SR-1: Compatible with the new version of the Excire PhotoAI package from today.

• SR-2: Fixed an exception error that could occur in v20.6 when converting extracted e-mail bodies in RTF format to plain text.

• SR-2: Fixed an exception error that occurred in v20.6 when applying the thorough file system data structure search to an Ext volume.

• SR-2: Fixed an error that could occur in report table management in v20.5 and later.

• SR-2: Fixed an exception error that could occur when clicking OK in the evidence object properties window in v20.5 and later.

• SR-2: Fixed inability to automatically add newly created images to the case and refine their volume snapshots.

• SR-2: Fixed a potential archive cache problem.

• SR-3: Fixed inability to pick a column to name copied files in the case report.

• SR-3: In some situations, files copied along with the report, if named after a particular property of theirs in the directory browser, were not given a filename extension. That was fixed.

• SR-3: Fixed an exception error that could occur when parsing Windows event log files with certain metadata extraction settings.

• SR-3: Avoided an exception error with minimal impact related to floating point numbers in SQLite databases.

• SR-4: Fixed the definition of a generator signatures for a few devices by Huawei and Apple (retroactively also in v20.1 SR-14 and v20.2 SR-10). This is relevant for device class identification and processing state.

• SR-4: Fixed a potential loss of entries in the user-defined file "Regular Expressions.txt" in the 64-bit edition of X-Ways Forensics and X-Ways Investigator.

• SR-4: Fixed inability to refine volume snapshots or run a physical search if no information for crash reports was collected.

• SR-4: Avoided read error messages when carving certain files in certain other files.

• SR-5: Some fixes in Event Log Events.txt.

• SR-5: Very large data associated with in Windows event logs events previously were not output at all and caused malformed lines in the TSV representation. That was improved. Up to 8 KB of that data are now included.

• SR-5: The X-Tension API function XWF_GetWindow() was improved and can now also target the active data window.

• SR-5: Fixed a rare memory corruption error that could occur when extracting metadata from JPEG files.

• SR-5: Fixed an exception error that occurred when importing NSRL RDS hash sets in the 64-bit edition with certain settings.

• SR-5: Fixed inability to define a keyboard shortcut for associations with certain report tables if the total number of report tables is very high.

• SR-5: Fixed intermittent failure to highlight FILE records in situations where the number of lines in the hex editor display was not a multiple of 4, if the box for this highlighting option was only half checked.

Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde