#171: X-Ways Forensics,
X-Ways Investigator und WinHex 20.8 veröffentlicht
26. April 2023 |
Hallo allerseits, in dieser Ausgabe informieren wir Sie
über ein weiteres Update mit wichtigen Verbesserungen, die Version
20.8. Erscheinungstermin war der 25. April 2023. Nicht alle Beschreibungen
sind auf Deutsch verfügbar.
Kunden erhalten Download-Instruktionen,
aktuelle
Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren
Lizenzen wie immer unter
https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates
oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw.
Lizenzverlängerungen.
Wenn Sie an Benachrichtigungen über Service-Releases
zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder
auch über Preview- und Beta-Releases, können Sie diese im
Bereich „Announcements“
des
Forums einsehen und sich
bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen
in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie
vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie
bitte zumindest das letzte Service-Release der betreffenden Version
verwenden.
Nächste Schulungstermine
Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten,
sobald diese feststehen, können Sie
hier Ihre
E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit werden
hier aufgelistet.
Was ist neu in v20.8?
(Bitte beachten
Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
Bildanalyse
-
v20.8 benötigt ein neues Excire-Paket, das jetzt
herunterladbar und auch mit v20.7 SR-7 und neuer kompatibel ist (auch mit älteren Releases
von v20.7, wenn Sie die Gesichtersuche nicht verwenden). Die vorige Version des Pakets zur Verwendung mit v20.7 SR-6 und älter kann ebenfalls weiterhin
vom Ressourcen-Download-Verzeichnis bezogen werden.
-
Die Gesichtsmarkierung zur Suche nach bekannten Gesichtern wird jetzt auch dann
zur erneuten Verwendung gespeichert, wenn sich der Pfad der Bildersammlung ändert.
-
Die Bildersammlung für die Gesichtersuche kann jetzt auch in einem Pfad mit Leerzeichen
vorgehalten werden.
-
Es gibt nun die Möglichkeit, die Markierung der Gesichter
mitsamt folgender Erweiterung des Datei-Überblicks durch
Drücken der Escape-Taste abzubrechen.
-
Wenn die Ergebnisse der Bildanalyse in Form von Vermerken ausgegeben werden,
erhalten jetzt auch
Videos Vermerke, deren Einzelbilder extrahiert und analysiert wurden.
-
Ein neuer automatischer Vermerk „Metadata added retroactively“ wurde eingeführt. Er wird für Bilder verwendet, deren
Metadaten automatisch oder manuell nachträglich hinzufügt wurden,
nachdem der eigentliche Inhalt bereits vorhanden war, wie beispielsweise
Copyright-Informationen oder Schlüsselwörter.
-
In Bildern identifizierter Inhalt kann jetzt optional auch deren berechnete Relevanz beeinflussen, abhängig davon,
welche Objekte/Begriffe Sie als verdächtig oder irrelevant ausgewählt haben.
-
Die „Summary“-Tabelle für JPEG-Dateien im Details-Modus bewertet die Kompressionsqualität nicht mehr
nur grob als „hoch“, „mittel“, „niedrig“ oder „sehr niedrig“, sondern beziffert sie jetzt auf einer linearen Skala von 0 bis 100.
Dieser Wert ist nicht gleichbedeutend mit der nominellen/offiziellen JPEG-Qualität, welche die tatsächlich erreichte Kompression
nicht berücksichtigt.
-
Die Fähigkeiten zur Erkennung bilderzeugender Geräte
wurden wieder erweitert.
-
Die Option, die Farben von Bildern in der Galerie verfälscht anzuzeigen, um ihre psychisch belastende Wirkung
zu reduzieren, kann jetzt auf als verdächtig erkannte Bilder beschränkt werden.
-
Aus demselben Grund können Vorschaubilder in der Galerie auf Wunsch jetzt alternativ oder zusätzlich künstlich
verschwommen/weichgezeichnet dargestellt werden (alle Bilder oder nur verdächtige). Dieselbe Option halb ausgwewählt bedeutet weniger stark verschwommen.
Dateianalyse
-
Die Funktion zur Suche nach in diversen Dateitypen eingebetteten Daten besitzt jetzt einen ausführlichen Berichtsmodus, der Ihnen
mitteilt, welche Dateien ursprünglich im Verzeichnis für aus Sektoren ausgegliederte Dateien aufgelistet wurden (da sie per Datei-Header-Signatur-Suche gefunden
worden waren), jetzt aber in Unterobjekte anderer Dateien umgewandelt wurden, da sie zu diesen logisch zu gehören scheinen und auch in diesen enthalten sind.
-
Die Option, Dateien in der Beschreibungsspalte als Duplikate kennzeichnen zu lassen, ist jetzt auch für aufgelistete Dateien mit
angezeigten, identischen Start-Offsets verfügbar.
-
Zeitzoneninformationen in der Zusammenfassungstabelle für Quicktime-Videos im Detail-Modus für den Quicktime-Zeitstempel, mit Identifikation
derjenigen Dateien, die von der sog. „incorrect time zero“-Problematik betroffen sind.
-
Für jede Gruppe von Dateiarchiven (General purpose, Office, Special interest, ...) können Sie jetzt festlegen, ob solche
Archive nach der Aufnahme ihrer Inhalte in den Datei-Überblick auch im Verzeichnisbaum angezeigt werden sollen.
-
Die Passwort-Liste bei verschlüsselten Archiven durchzuprobieren ist jetzt etwa 50% schneller als in v20.7 und
älter.
-
Verschlüsselungstest für Dokumente jetzt etwas beschleunigt.
Dateityp-Unterstützung
-
Fähigkeit, Windows-Installationspakete im CAB-Format wie Dateiarchive zu behandeln. Wenn Sie deren Inhalte in den Datei-Überblick aufnehmen lassen
möchten, stellen Sie sicher, dass die Bezeichnung cab in einer der tatsächlich ausgewählten Archiv-Gruppen wie
„General purpose“ oder „Special interest“ aufgeführt
ist. In neuen Installationen wird cab ab jetzt standardmäßig in „Special interest“ aufgeführt, da die meisten cab-Archive nur aus irrelevanten
Microsoft-Installationspaketen bestehen, und nicht von Nutzern erzeugte Archive darstellen. Die Typ-Kennzeichnung
„cab1“ versucht, die meisten
Microsoft-Installationspakete als solches zu erkennen, während „cab“ evtl. interessantere, manuell erzeugte Datei-Archive sein könnten.
-
Fähigkeit, den ersten Frame animierter WEBP-Bilder anzuzeigen, auch in Vorschau oder Galerie.
-
Erzeugt Vorschaubilder von E-Mail-Nachrichten im
Fallbericht in der alternativen .eml-Darstellung, wenn diese aktuell auch für die Anzeige direkt
im Programm eingestellt ist.
-
Überarbeitete Datei-Archiv-Behandlung, um die Stabilität im Umgang mit einigen seltenen, ungewöhnlichen Archiven zu verbessern.
Suche
-
Sofern zuvor dekodierter Text im Datei-Überblick zur erneuten Verwendung gespeichert wurde, kann dieser jetzt verworfen werden, um eine
erneute Dekodierung zu erzwingen, beispielsweise, weil die speziellen Dekodierungsoptionen für Tabellenkalkulationen aktiviert wurden.
-
Option, Suchtreffer in der Suchtrefferliste mitsamt ihrem Kontext in hexadezimaler Darstellung anzuzeigen. Nützlich insbesondere für
technischere Suchen, in denen nicht nach Stichwörtern, sondern nach Datei-Signaturen oder anderen binär gespeicherten Merkmalen gesucht wird. Die Option ist
im Kontextmenü zu finden und wirkt sich auch auf die Ausgabe von Suchtreffern über den Befehl
„Liste exportieren“ aus.
-
Die speziellen Suchbefehle für ganze Zahlen und Gleitkommazahlen sind jetzt auch im Datei-Modus anwendbar, und ihre Ausgabe-Meldungen sind jetzt
Unicode-fähig, und damit auch in der Benutzeroberfläche lesbar, wenn keine westeuropäische Sprache eingestellt
ist.
Benutzerschnittstelle
-
Bei der Auswahl eines Asservats im
Asservat-Überblick, wird dieses jetzt automatisch auch im
Falldaten-Fenster ausgewählt, wobei ggf. der Fallbaum entsprechend
aufgeklappt (falls es sich um eine Partition handelt) und das Fenster
passend vertikal gescrollt wird, um das Auffinden eines bestimmten
Asservats in einem sehr großen Fall zu erleichtern, da man im Asservat-Überblick Asservate nach Namen sortieren
und Filter verwenden kann.
-
Drag & Drop im Falldaten-Fenster ermöglicht nun das
Umsortieren von Asservaten.
-
Der expandierte Zustand von Asservaten mit enthaltenen Partitionen wird jetzt festgehalten und beim erneuten Öffnen
des Falls wieder hergestellt.
-
Notationseinstellung zur Verwendung von Vorwärts- statt Rückwärts-Schrägstrichen in den Pfadspalten, der Titelzeile des
Verzeichnis-Browsers, der Informationsspalte und im Status-Balken, entweder grundsätzlich oder nur in Daten-Fenstern, die ein Volume mit
einem Nicht-Microsoft-Dateisystem darstellen.
-
Spezielle Icons im Asservat-Überblick für Datei-Container, RAIDs und Prozess-Sicherungen.
-
Ein neues Dreifach-Kontrollkästchen in den Verzeichnis-Browser-Optionen legt fest, ob das Anklicken/Auswählen einer Datei oder eines
Verzeichnisses im Verzeichnis-Browser im Disk/Partition/Volume-Modus direkt zu den Inhalten des betreffenden Objektes navigiert, oder zur Struktur im
Dateisystem, die das Objekt definiert. Seien Sie an dieser Stelle daran erinnert, dass letzteres auch durch Anklicken der Dateisystem-Offset-Spalte des
Objekts erreicht werden kann, selbst, wenn ein Klick woanders ersteres bewirkt. Ist das Kästchen gar nicht angekreuzt, findet in der unteren Hälfte des
Datenfensters gar keine Navigation statt, was nützlich sein könnte, wenn Sie direkt mit einem physisch beschädigten Datenträger arbeiten, wo der Zugriff
auf bestimmte Sektoren oder Bereiche zum Hängenbleiben oder Abstürzen im Betriebssystem führen könnte.
-
In neu erzeugten Datei-Überblicken physischer, partitionierter Datenträger zeigt die Dateisystem-Offset-Spalte jetzt den exakten Offset an,
wo in der Partitionstabelle die jeweilige Partition definiert ist, und ermöglicht damit das Aufsuchen dieser Position durch einfaches Anklicken. Das Fehlen
eines solchen Offsets zeigt an, dass die Partition nicht durch Auswertung eines Eintrags einer Partitionstabelle gefunden wurde, sondern lediglich basierend
auf ihren eigenen Daten, in welchen Fällen die Beschreibungsspalte die Partition auch als
„nicht in Partitionstabelle verzeichnet“ kennzeichnet.
-
Befehl Wiederherstellen/Kopieren: Wenn Probleme mit der Länge des Ausgabepfads auftreten, wird der exakte Pfad jetzt im Nachrichtenfenster
angegeben, um die Situation nachvollziehbarer zu machen.
-
Wenn mehrere Bedingungen zur Zelleinfärbung im Verzeichnis-Browser gleichzeitig zutreffen, erzeugen diese jetzt immer eine gemischte Farbe,
damit keine der zutreffenden Eigenschaften übersehen wird. Beim Auswählen von Objekten im Verzeichnis-Browser, für die die bedingte Einfärbung der ganzen Zeile
aktiv ist, wird die Auswahlfarbe verändert, um sowohl den ausgewählten Zustand als auch die speziellen Bedingungen ersichtlich zu machen.
-
Einige Aspekte des Dunkelmodus (z.B. bei der alternativen E-Mail-Darstellung) wurden verbessert, wenn in Windows selbst kein dunkles
Farbschema
eingestellt ist, und die Kompatibilität mit den dunklen Farbschemata in Windows 11 wurde erheblich verbessert.
-
Verbesserte Darstellung der meisten Pfeil-Schalter in Dialogfenstern unter Windows 11.
-
Option, die Größe der Standard-Windows-Schriftart anzupassen, beispielsweise im Verzeichnis-Browser oder dem Falldaten-Fenster. Eine positive
Pixel-Zahl vergrößert, eine negative verkleinert. Es wird empfohlen, nach Veränderung dieser Einstellungen das Programm neu zu starten.
Grundsätzlich ist die Anpassung der DPI-Skalierung in Windows selbst vorzuziehen, da sich dies konsistenter auf alle Elemente der
Oberfläche auswirkt, einschließlich anklickbarer Steuerelemente etc., nicht nur auf die Schriftgröße in bestimmten Bereichen. Es gibt aber ggf. Situationen,
in denen die Beeinflussung dieser Einstellung direkt in X-Ways Forensics von Vorteil sein kann, beispielsweise weil Ihre Sehstärke über- oder unterdurchschnittlich
ist und Sie eine portable Installation von X-Ways Forensics regelmäßig auf Fremdrechnern einsetzen.
-
Einige Elemente der Benutzeroberfläche werden jetzt automatisch proportional angepasst, wenn Sie dieselbe WinHex.cfg-Datei in einer portablen Installation
in Windows-Systemen mit unterschiedlichen DPI-Einstellungen (d.h. üblicherweise auf Systemen mit unterschiedlichen Bildschirmauflösungen) verwenden, beispielsweise
für die Triage vor Ort, um dennoch in etwa die gleiche Größendarstellung zu erhalten wie gewohnt. Unter anderem die folgenden Bereiche werden angepasst: Die
Schrift in Hex- und Text-Anzeige, die Breiten der Verzeichnis-Browser-Spalten, die Breite des Falldaten-Fensters und die Vorschaubilder in der Galerie. Dies
funktioniert mit WinHex.cfg-Dateien, die zuletzt von v20.7 SR-7 oder neuer gespeichert wurden.
-
Beim Laden von .settings-Dateien, die von v20.7 SR-7 oder später gespeichert wurden, werden die Verzeichnis-Browser-Spalten jetzt ebenfalls
basierend auf den aktuellen DPI-Einstellungen angepasst, falls erforderlich .
-
Datei- und Verzeichnis-Auswahl-Dialogfenster sind jetzt größer.
Fall- und Datei-Überblick-Verwaltung
-
Option, automatisch nach Abschluss der Erweiterung eine
Sicherung des Datei-Überblicks erstellen zu lassen, um ggf. schnell zu genau diesem
Zustand zurückkehren zu können, statt einen neuen Datei-Überblick zu erzeugen und ihn erneut erweitern zu lassen. Nützlich beispielsweise falls
Ihnen bei der
manuellen Sichtung von Dateien ein Fehler unterläuft oder falls der Datei-Überblick irgendwie beschädigt werden sollte.
Wenn das Kontrollkästchen (in Specialist | Datei-Überblick
erweitern) voll statt nur halb ausgewählt ist, wird bereits nach den Operationen von Schritt 1 (auf
Asservat-/Partitionsebene) eine zusätzliche Sicherung
erzeugt. Der Menübefehl zur Wiederherstellung eines Datei-Überblicks befindet sich weiterhin im Kontextmenü des Asservats im Falldaten-Fenster.
-
Option, die Unterverzeichnisse für die Fall- und Datei-Überblick-Sicherungen mit dem Attribut
„versteckt“ (H) zu versehen, damit sie die
Auflistung des Fallverzeichnisses im Windows Explorer nicht unnötig unübersichtlich machen oder zumindest mit einem blasseren Icon dargestellt werden.
Diese Option wirkt sich auch auf die o. g. automatischen
Sicherungen bei der Erweiterung des Datei-Überblicks aus.
-
Fähigkeit, das Protokoll (copylog) des Befehls Wiederherstellen/Kopieren in Segmente einer wählbaren Anzahl an Megabyte aufzuteilen,
damit die einzelnen Dateien beim späteren Betrachten oder Importieren in anderen Anwendungen keine Probleme verursachen.
Dateisystem-Unterstützung
-
Btrfs: Jetzt werden mehrere harte Verweise einer einzelnen Datei auch dann im Datei-Überblick aufgenommen, wenn
sie im selben
Verzeichnis liegen.
-
Die Option „Startsektoren bekannter Dateien strenger ignorieren“ bei der Datei-Header-Signatur-Suche
behandelt jetzt auch ehemals existierende
Dateien in FAT32-Dateisystemen als bekannt, obwohl deren Anfangs-Cluster-Nummern
letztlich geraten sind. So werden noch mehr Duplikate verhindert (seit v20.7 SR-8).
-
Verbesserte Verarbeitung von Reparse-Points in NTFS (seit v20.7 SR-2).
-
Erkennung des Tuxera Flash File System (TFFS).
Datenträger und Sicherungen
-
Bei der Erzeugung einer bereinigten Sicherung, wo die virtuelle Datei "Freier Speicher" ausgeblendet ist, während gleichzeitig
der freie Speicher bereinigt wird, erinnert jetzt eine Meldung im Nachrichtenfenster an diesen Umstand, und die Tatsache, dass dies dazu führt,
dass die tatsächlich von der virtuellen Datei abgedeckten Cluster davon abhängen, welche ehemals existierenden Dateien im aktuellen Datei-Überblick
bekannt sind, was wiederum u.U. davon abhängt, wie weit der Überblick bereits erweitert wurde. Wenn Sie den gesamten freien Speicher, wie vom
Dateisystem definiert, tatsächlich aus der bereinigten Sicherung ausschließen möchten, ist die Bereinigungs-Option für Ihre Situation keine gute
Wahl (abwählbar in Optionen | Datei-Überblick), oder alternativ müssten Sie zusätzlich auch alle ehemals existierenden Dateien ausblenden, deren
Inhalt sich im freien
Speicher befindet und nicht in die bereinigte Sicherung aufgenommen werden soll.
-
X-Ways Forensics akzeptiert jetzt auch Laufwerksbuchstaben in Windows als Komponenten für die interne Zusammensetzung von RAIDs.
Das ist grundsätzlich zwar nicht sehr sinnvoll, ermöglicht aber auf diesem Umweg, einen Laufwerksbuchstaben in X-Ways Forensics als physischen
Datenträger uminterpretieren zu lassen, falls erforderlich, indem man diesen als einzige Komponente eines JBOD auswählt. Dies könnte nützlich sein,
falls man ausnahmsweise eine Funktion darauf anwenden möchte, die eigentlich nur für den Einsatz auf physischen Datenträgern
sinnvoll und daher auch auf solche beschränkt ist, wie z.B. die Suche nach verlorenen Partitionen. Ein außerhalb von X-Ways Forensics zusammengesetztes RAID
könnte in Windows zum Beispiel nur als Laufwerksbuchstabe eingebunden sein, obwohl in dessen Sektor 0 kein Volume-Boot-Sector bzw. Dateisystem-Anfang vorhanden
ist, und das Ganze in Windows daher in dieser Form gar nicht nutzbar ist.
-
Ausgeblendete Dateien und Verzeichnisse werden beim Mounten eines Datei-Überblicks oder Verzeichnisses jetzt ebenfalls nicht mehr
angezeigt.
Diverses
-
Verbesserte Unterstützung für die Ausführung in Cloud-Systemen von Microsoft Azure.
-
Verbesserte Unterstützung für die Ausführung in Google-Cloud-Systemen (seit v20.7 SR-3).
-
X-Tensions werden jetzt standardmäßig so geladen,
dass evtl. von der X-Tension zusätzlich benötigte DLLs im selben
Verzeichnis gefunden werden, in der auch die X-Tension liegt. Dieses
neue Verhalten ist optional und kann mittels eines Kontrollkästchens
deaktiviert werden.
-
Die Programmhilfe und das Benutzerhandbuch wurden
aktualisiert.
-
Viele kleinere Verbesserungen.
Änderungen an den weiteren Service-Releases von 20.7
-
SR-1: Fixed an I/O error that could occur after using the
gallery to display files in nested disk images.
-
SR-1: Fixed an infinite loop that could occur in v20.6 and
the original v20.7 release when uncovering Windows resource data
embedded within carved DLLs.
-
SR-1: Fixed a memory corruption error that could occur on some machines in the 32-bit edition when trying analyze photos with artificial intelligence.
-
SR-1: Prevented a message box that had to be clicked away when trying to add inaccessible drive letters to the active case through the command line.
-
SR-1: Potentially prevented instabilities with the internal graphics display library.
-
SR-2: Fixed inability to run a picture content analysis in v20.7 SR-1.
-
SR-2: Improved treatment of NTFS reparse points.
-
SR-2: Fixed an exception error that could occur in v20.6 and v20.7 when imaging storage devices from the command line.
-
SR-3: Fixed a memory leak that could occur during volume
snapshot refinement.
-
SR-3: Fixed caching of compressed TAR archives processed
with the alternative extraction method if they contained additional
nested archives.
-
SR-3: Prevented multi-threading read errors in certain
kinds of nested images.
-
SR-3: X-Ways Forensics parsed directory entries in XFS incompletely when unaligned entries were encountered. That was fixed in v20.7 and will also be fixed in all future service releases of older versions.
-
SR-3: Ability to read uninitialized areas of files before the last defined portion as binary zeroes in Btrfs depending on the corresponding volume snapshot option.
-
SR-3: When reporting a data/parameter/parity inconsistency for newly reconstructed RAIDs, X-Ways Forensics now mentions the offset on the component disks where the problem was first detected. Note that X-Ways Forensics does not check the entire disks, just the first 16 strips (previously 10).
-
SR-3: Some target paths in jumplists were improperly truncated in the event list. That output was fixed.
-
SR-3: Improved support for machines in the Google cloud as a platform.
-
SR-4: Better compatibility with the Aquatic high contrast dark theme of Windows 11.
-
SR-4: *.service_worker is now included in fresh installations in the file mask for the file header signature search portion of "Uncover embedded data in various file types" to target cache files.
-
SR-4: Support for certain streamed MP4 video files in the internal carving algorithm ~27 for the file header signature search.
-
SR-4: Fixed an error in the "Find Text" function in the Registry Viewer in v20.6 and v20.7.
-
SR-4: Fixed failure to decode Base64-encoded e-mail bodies that could occur depending on the characters in the search terms.
-
SR-4: Fixed an error in the "Filename analysis" for pictures sent via WhatsApp.
-
SR-5: Fixed an exception error that could occur in v20.7 SR-3 and SR-4 when trying to access storage devices.
-
SR-5: Fixed an exception error that could occur in v20.7 with the "OS dir list: Compute total amount of data" option.
-
SR-5: Fixed recycle bin file naming error in v20.7.
-
SR-5: Prevented data interpretation of some invalid ANIS SQL timestamps as nonsensical dates.
-
SR-5: Fixed a rare time zone problem with carved partial QuickTime video files.
-
SR-6: Fixed a rare instability that could occur when parsing corrupt inactive data of HFS+ file systems.
-
SR-6: Fixed sector number display in the progress indicator window of simple searches (searches that don't output to the search hit list).
-
SR-6: Avoided an error message that could occur under Windows XP and Vista when opening storage devices.
-
SR-6: Fixed an exception error that could occur with the alternative .eml presentation.
-
SR-7: Fixed a rare instability that could occur when processing MSG files with forwarded other e-mail messages with very long subject lines.
-
SR-7: Better prepared for the transition to v20.8.
-
SR-8: The option "Always ignore start sectors of known files" of the file header signature search now treats previously existing files in FAT32 file systems as known even though their start cluster numbers are just guesswork, so that more duplicates are prevented.
-
SR-8: Fixed display of certain SIDs in the Data Interpreter when shown alongside of GUIDs.
-
SR-8: Highlights more recent FILETIME values in the hex and text display.
-
SR-8: Fixed inability to extract thumbnails in some old JPEG pictures with very small Exif segments.
-
SR-8: Reducing the case's auto-save interval now takes effect immediately instead of next time when the previous interval elapses.
-
SR-9: Labels derived from hash set matches are now always of the special "hash set" type, not the generic "hint" type, no matter whether they are created immediately when matching hash values against the database or retroactively.
-
SR-9: The File Header Signature Search will not skip JPEG signatures within a known JPEG file any more assuming the function to uncover embededed data will pick up the inner file later, if the outer known JPEG file is a previously existing file. That can make a difference if the outer JPEG file is not intact any more and there is no logical connection between the inner and the outer file (thumbnail representation or alternative resolution), in which case the function to uncover embedded data would not find the inner file.
-
SR-9: More compact representation of PhotoDNA matches in Details mode.
-
SR-9: Ability to understand information about additionally found partitions as stored in .xfc case files by v20.8. Ability to gracefully deal with case files in which that kind of information is not understood.
Wir hoffen, Sie bald wieder auf
https://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie
diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z.
B. noch mit weiteren E-Mail-Adressen)
u. a.
hier. Vielen
Dank.
Freundliche Grüße
Stefan Fleischmann
-- X-Ways Software Technology AG Carl-Diem-Str. 32 32257 Bünde |