X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

  
#171: X-Ways Forensics, X-Ways Investigator und WinHex 20.8 veröffentlicht

26. April 2023

Hallo allerseits,

in dieser Ausgabe informieren wir Sie über ein weiteres Update mit wichtigen Verbesserungen, die Version 20.8. Erscheinungstermin war der 25. April 2023. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Nächste Schulungstermine

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit werden hier aufgelistet.


Was ist neu in v20.8?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Bildanalyse

  • v20.8 benötigt ein neues Excire-Paket, das jetzt herunterladbar und auch mit v20.7 SR-7 und neuer kompatibel ist (auch mit älteren Releases von v20.7, wenn Sie die Gesichtersuche nicht verwenden). Die vorige Version des Pakets zur Verwendung mit v20.7 SR-6 und älter kann ebenfalls weiterhin vom Ressourcen-Download-Verzeichnis bezogen werden.

  • Die Gesichtsmarkierung zur Suche nach bekannten Gesichtern wird jetzt auch dann zur erneuten Verwendung gespeichert, wenn sich der Pfad der Bildersammlung ändert.

  • Die Bildersammlung für die Gesichtersuche kann jetzt auch in einem Pfad mit Leerzeichen vorgehalten werden.

  • Es gibt nun die Möglichkeit, die Markierung der Gesichter mitsamt folgender Erweiterung des Datei-Überblicks durch Drücken der Escape-Taste abzubrechen.

  • Wenn die Ergebnisse der Bildanalyse in Form von Vermerken ausgegeben werden, erhalten jetzt auch Videos Vermerke, deren Einzelbilder extrahiert und analysiert wurden.

  • Ein neuer automatischer Vermerk „Metadata added retroactively“ wurde eingeführt. Er wird für Bilder verwendet, deren Metadaten automatisch oder manuell nachträglich hinzufügt wurden, nachdem der eigentliche Inhalt bereits vorhanden war, wie beispielsweise Copyright-Informationen oder Schlüsselwörter.

  • In Bildern identifizierter Inhalt kann jetzt optional auch deren berechnete Relevanz beeinflussen, abhängig davon, welche Objekte/Begriffe Sie als verdächtig oder irrelevant ausgewählt haben.

  • Die „Summary“-Tabelle für JPEG-Dateien im Details-Modus bewertet die Kompressionsqualität nicht mehr nur grob als „hoch“, „mittel“, „niedrig“ oder „sehr niedrig“, sondern beziffert sie jetzt auf einer linearen Skala von 0 bis 100. Dieser Wert ist nicht gleichbedeutend mit der nominellen/offiziellen JPEG-Qualität, welche die tatsächlich erreichte Kompression nicht berücksichtigt.

  • Die Fähigkeiten zur Erkennung bilderzeugender Geräte wurden wieder erweitert.

  • Die Option, die Farben von Bildern in der Galerie verfälscht anzuzeigen, um ihre psychisch belastende Wirkung zu reduzieren, kann jetzt auf als verdächtig erkannte Bilder beschränkt werden.

  • Aus demselben Grund können Vorschaubilder in der Galerie auf Wunsch jetzt alternativ oder zusätzlich künstlich verschwommen/weichgezeichnet dargestellt werden (alle Bilder oder nur verdächtige). Dieselbe Option halb ausgwewählt bedeutet weniger stark verschwommen.

Dateianalyse

  • Die Funktion zur Suche nach in diversen Dateitypen eingebetteten Daten besitzt jetzt einen ausführlichen Berichtsmodus, der Ihnen mitteilt, welche Dateien ursprünglich im Verzeichnis für aus Sektoren ausgegliederte Dateien aufgelistet wurden (da sie per Datei-Header-Signatur-Suche gefunden worden waren), jetzt aber in Unterobjekte anderer Dateien umgewandelt wurden, da sie zu diesen logisch zu gehören scheinen und auch in diesen enthalten sind.

  • Die Option, Dateien in der Beschreibungsspalte als Duplikate kennzeichnen zu lassen, ist jetzt auch für aufgelistete Dateien mit angezeigten, identischen Start-Offsets verfügbar.

  • Zeitzoneninformationen in der Zusammenfassungstabelle für Quicktime-Videos im Detail-Modus für den Quicktime-Zeitstempel, mit Identifikation derjenigen Dateien, die von der sog. „incorrect time zero“-Problematik betroffen sind.

  • Für jede Gruppe von Dateiarchiven (General purpose, Office, Special interest, ...) können Sie jetzt festlegen, ob solche Archive nach der Aufnahme ihrer Inhalte in den Datei-Überblick auch im Verzeichnisbaum angezeigt werden sollen.

  • Die Passwort-Liste bei verschlüsselten Archiven durchzuprobieren ist jetzt etwa 50% schneller als in v20.7 und älter.

  • Verschlüsselungstest für Dokumente jetzt etwas beschleunigt.

Dateityp-Unterstützung

  • Fähigkeit, Windows-Installationspakete im CAB-Format wie Dateiarchive zu behandeln. Wenn Sie deren Inhalte in den Datei-Überblick aufnehmen lassen möchten, stellen Sie sicher, dass die Bezeichnung cab in einer der tatsächlich ausgewählten Archiv-Gruppen wie „General purpose“ oder „Special interest“ aufgeführt ist. In neuen Installationen wird cab ab jetzt standardmäßig in „Special interest“ aufgeführt, da die meisten cab-Archive nur aus irrelevanten Microsoft-Installationspaketen bestehen, und nicht von Nutzern erzeugte Archive darstellen. Die Typ-Kennzeichnung „cab1“ versucht, die meisten Microsoft-Installationspakete als solches zu erkennen, während „cab“ evtl. interessantere, manuell erzeugte Datei-Archive sein könnten.

  • Fähigkeit, den ersten Frame animierter WEBP-Bilder anzuzeigen, auch in Vorschau oder Galerie.

  • Erzeugt Vorschaubilder von E-Mail-Nachrichten im Fallbericht in der alternativen .eml-Darstellung, wenn diese aktuell auch für die Anzeige direkt im Programm eingestellt ist.

  • Überarbeitete Datei-Archiv-Behandlung, um die Stabilität im Umgang mit einigen seltenen, ungewöhnlichen Archiven zu verbessern.

Suche

  • Sofern zuvor dekodierter Text im Datei-Überblick zur erneuten Verwendung gespeichert wurde, kann dieser jetzt verworfen werden, um eine erneute Dekodierung zu erzwingen, beispielsweise, weil die speziellen Dekodierungsoptionen für Tabellenkalkulationen aktiviert wurden.

  • Option, Suchtreffer in der Suchtrefferliste mitsamt ihrem Kontext in hexadezimaler Darstellung anzuzeigen. Nützlich insbesondere für technischere Suchen, in denen nicht nach Stichwörtern, sondern nach Datei-Signaturen oder anderen binär gespeicherten Merkmalen gesucht wird. Die Option ist im Kontextmenü zu finden und wirkt sich auch auf die Ausgabe von Suchtreffern über den Befehl „Liste exportieren“ aus.

  • Die speziellen Suchbefehle für ganze Zahlen und Gleitkommazahlen sind jetzt auch im Datei-Modus anwendbar, und ihre Ausgabe-Meldungen sind jetzt Unicode-fähig, und damit auch in der Benutzeroberfläche lesbar, wenn keine westeuropäische Sprache eingestellt ist.

Benutzerschnittstelle

  • Bei der Auswahl eines Asservats im Asservat-Überblick, wird dieses jetzt automatisch auch im Falldaten-Fenster ausgewählt, wobei ggf. der Fallbaum entsprechend aufgeklappt (falls es sich um eine Partition handelt) und das Fenster passend vertikal gescrollt wird, um das Auffinden eines bestimmten Asservats in einem sehr großen Fall zu erleichtern, da man im Asservat-Überblick Asservate nach Namen sortieren und Filter verwenden kann.

  • Drag & Drop im Falldaten-Fenster ermöglicht nun das Umsortieren von Asservaten.

  • Der expandierte Zustand von Asservaten mit enthaltenen Partitionen wird jetzt festgehalten und beim erneuten Öffnen des Falls wieder hergestellt.

  • Notationseinstellung zur Verwendung von Vorwärts- statt Rückwärts-Schrägstrichen in den Pfadspalten, der Titelzeile des Verzeichnis-Browsers, der Informationsspalte und im Status-Balken, entweder grundsätzlich oder nur in Daten-Fenstern, die ein Volume mit einem Nicht-Microsoft-Dateisystem darstellen.

  • Spezielle Icons im Asservat-Überblick für Datei-Container, RAIDs und Prozess-Sicherungen.

  • Ein neues Dreifach-Kontrollkästchen in den Verzeichnis-Browser-Optionen legt fest, ob das Anklicken/Auswählen einer Datei oder eines Verzeichnisses im Verzeichnis-Browser im Disk/Partition/Volume-Modus direkt zu den Inhalten des betreffenden Objektes navigiert, oder zur Struktur im Dateisystem, die das Objekt definiert. Seien Sie an dieser Stelle daran erinnert, dass letzteres auch durch Anklicken der Dateisystem-Offset-Spalte des Objekts erreicht werden kann, selbst, wenn ein Klick woanders ersteres bewirkt. Ist das Kästchen gar nicht angekreuzt, findet in der unteren Hälfte des Datenfensters gar keine Navigation statt, was nützlich sein könnte, wenn Sie direkt mit einem physisch beschädigten Datenträger arbeiten, wo der Zugriff auf bestimmte Sektoren oder Bereiche zum Hängenbleiben oder Abstürzen im Betriebssystem führen könnte.

  • In neu erzeugten Datei-Überblicken physischer, partitionierter Datenträger zeigt die Dateisystem-Offset-Spalte jetzt den exakten Offset an, wo in der Partitionstabelle die jeweilige Partition definiert ist, und ermöglicht damit das Aufsuchen dieser Position durch einfaches Anklicken. Das Fehlen eines solchen Offsets zeigt an, dass die Partition nicht durch Auswertung eines Eintrags einer Partitionstabelle gefunden wurde, sondern lediglich basierend auf ihren eigenen Daten, in welchen Fällen die Beschreibungsspalte die Partition auch als „nicht in Partitionstabelle verzeichnet“ kennzeichnet.

  • Befehl Wiederherstellen/Kopieren: Wenn Probleme mit der Länge des Ausgabepfads auftreten, wird der exakte Pfad jetzt im Nachrichtenfenster angegeben, um die Situation nachvollziehbarer zu machen.

  • Wenn mehrere Bedingungen zur Zelleinfärbung im Verzeichnis-Browser gleichzeitig zutreffen, erzeugen diese jetzt immer eine gemischte Farbe, damit keine der zutreffenden Eigenschaften übersehen wird. Beim Auswählen von Objekten im Verzeichnis-Browser, für die die bedingte Einfärbung der ganzen Zeile aktiv ist, wird die Auswahlfarbe verändert, um sowohl den ausgewählten Zustand als auch die speziellen Bedingungen ersichtlich zu machen.

  • Einige Aspekte des Dunkelmodus (z.B. bei der alternativen E-Mail-Darstellung) wurden verbessert, wenn in Windows selbst kein dunkles Farbschema eingestellt ist, und die Kompatibilität mit den dunklen Farbschemata in Windows 11 wurde erheblich verbessert.

  • Verbesserte Darstellung der meisten Pfeil-Schalter in Dialogfenstern unter Windows 11.

  • Option, die Größe der Standard-Windows-Schriftart anzupassen, beispielsweise im Verzeichnis-Browser oder dem Falldaten-Fenster. Eine positive Pixel-Zahl vergrößert, eine negative verkleinert. Es wird empfohlen, nach Veränderung dieser Einstellungen das Programm neu zu starten.

    Grundsätzlich ist die Anpassung der DPI-Skalierung in Windows selbst vorzuziehen, da sich dies konsistenter auf alle Elemente der Oberfläche auswirkt, einschließlich anklickbarer Steuerelemente etc., nicht nur auf die Schriftgröße in bestimmten Bereichen. Es gibt aber ggf. Situationen, in denen die Beeinflussung dieser Einstellung direkt in X-Ways Forensics von Vorteil sein kann, beispielsweise weil Ihre Sehstärke über- oder unterdurchschnittlich ist und Sie eine portable Installation von X-Ways Forensics regelmäßig auf Fremdrechnern einsetzen.

  • Einige Elemente der Benutzeroberfläche werden jetzt automatisch proportional angepasst, wenn Sie dieselbe WinHex.cfg-Datei in einer portablen Installation in Windows-Systemen mit unterschiedlichen DPI-Einstellungen (d.h. üblicherweise auf Systemen mit unterschiedlichen Bildschirmauflösungen) verwenden, beispielsweise für die Triage vor Ort, um dennoch in etwa die gleiche Größendarstellung zu erhalten wie gewohnt. Unter anderem die folgenden Bereiche werden angepasst: Die Schrift in Hex- und Text-Anzeige, die Breiten der Verzeichnis-Browser-Spalten, die Breite des Falldaten-Fensters und die Vorschaubilder in der Galerie. Dies funktioniert mit WinHex.cfg-Dateien, die zuletzt von v20.7 SR-7 oder neuer gespeichert wurden.

  • Beim Laden von .settings-Dateien, die von v20.7 SR-7 oder später gespeichert wurden, werden die Verzeichnis-Browser-Spalten jetzt ebenfalls basierend auf den aktuellen DPI-Einstellungen angepasst, falls erforderlich .

  • Datei- und Verzeichnis-Auswahl-Dialogfenster sind jetzt größer.

Fall- und Datei-Überblick-Verwaltung

  • Option, automatisch nach Abschluss der Erweiterung eine Sicherung des Datei-Überblicks erstellen zu lassen, um ggf. schnell zu genau diesem Zustand zurückkehren zu können, statt einen neuen Datei-Überblick zu erzeugen und ihn erneut erweitern zu lassen. Nützlich beispielsweise falls Ihnen bei der manuellen Sichtung von Dateien ein Fehler unterläuft oder falls der Datei-Überblick irgendwie beschädigt werden sollte. Wenn das Kontrollkästchen (in Specialist | Datei-Überblick erweitern) voll statt nur halb ausgewählt ist, wird bereits nach den Operationen von Schritt 1 (auf Asservat-/Partitionsebene) eine zusätzliche Sicherung erzeugt. Der Menübefehl zur Wiederherstellung eines Datei-Überblicks befindet sich weiterhin im Kontextmenü des Asservats im Falldaten-Fenster.

  • Option, die Unterverzeichnisse für die Fall- und Datei-Überblick-Sicherungen mit dem Attribut „versteckt“ (H) zu versehen, damit sie die Auflistung des Fallverzeichnisses im Windows Explorer nicht unnötig unübersichtlich machen oder zumindest mit einem blasseren Icon dargestellt werden. Diese Option wirkt sich auch auf die o. g. automatischen Sicherungen bei der Erweiterung des Datei-Überblicks aus.

  • Fähigkeit, das Protokoll (copylog) des Befehls Wiederherstellen/Kopieren in Segmente einer wählbaren Anzahl an Megabyte aufzuteilen, damit die einzelnen Dateien beim späteren Betrachten oder Importieren in anderen Anwendungen keine Probleme verursachen.

Dateisystem-Unterstützung

  • Btrfs: Jetzt werden mehrere harte Verweise einer einzelnen Datei auch dann im Datei-Überblick aufgenommen, wenn sie im selben Verzeichnis liegen.

  • Die Option „Startsektoren bekannter Dateien strenger ignorieren“ bei der Datei-Header-Signatur-Suche behandelt jetzt auch ehemals existierende Dateien in FAT32-Dateisystemen als bekannt, obwohl deren Anfangs-Cluster-Nummern letztlich geraten sind. So werden noch mehr Duplikate verhindert (seit v20.7 SR-8).

  • Verbesserte Verarbeitung von Reparse-Points in NTFS (seit v20.7 SR-2).

  • Erkennung des Tuxera Flash File System (TFFS).

Datenträger und Sicherungen

  • Bei der Erzeugung einer bereinigten Sicherung, wo die virtuelle Datei "Freier Speicher" ausgeblendet ist, während gleichzeitig der freie Speicher bereinigt wird, erinnert jetzt eine Meldung im Nachrichtenfenster an diesen Umstand, und die Tatsache, dass dies dazu führt, dass die tatsächlich von der virtuellen Datei abgedeckten Cluster davon abhängen, welche ehemals existierenden Dateien im aktuellen Datei-Überblick bekannt sind, was wiederum u.U. davon abhängt, wie weit der Überblick bereits erweitert wurde. Wenn Sie den gesamten freien Speicher, wie vom Dateisystem definiert, tatsächlich aus der bereinigten Sicherung ausschließen möchten, ist die Bereinigungs-Option für Ihre Situation keine gute Wahl (abwählbar in Optionen | Datei-Überblick), oder alternativ müssten Sie zusätzlich auch alle ehemals existierenden Dateien ausblenden, deren Inhalt sich im freien Speicher befindet und nicht in die bereinigte Sicherung aufgenommen werden soll.

  • X-Ways Forensics akzeptiert jetzt auch Laufwerksbuchstaben in Windows als Komponenten für die interne Zusammensetzung von RAIDs. Das ist grundsätzlich zwar nicht sehr sinnvoll, ermöglicht aber auf diesem Umweg, einen Laufwerksbuchstaben in X-Ways Forensics als physischen Datenträger uminterpretieren zu lassen, falls erforderlich, indem man diesen als einzige Komponente eines JBOD auswählt. Dies könnte nützlich sein, falls man ausnahmsweise eine Funktion darauf anwenden möchte, die eigentlich nur für den Einsatz auf physischen Datenträgern sinnvoll und daher auch auf solche beschränkt ist, wie z.B. die Suche nach verlorenen Partitionen. Ein außerhalb von X-Ways Forensics zusammengesetztes RAID könnte in Windows zum Beispiel nur als Laufwerksbuchstabe eingebunden sein, obwohl in dessen Sektor 0 kein Volume-Boot-Sector bzw. Dateisystem-Anfang vorhanden ist, und das Ganze in Windows daher in dieser Form gar nicht nutzbar ist.

  • Ausgeblendete Dateien und Verzeichnisse werden beim Mounten eines Datei-Überblicks oder Verzeichnisses jetzt ebenfalls nicht mehr angezeigt.

Diverses

  • Verbesserte Unterstützung für die Ausführung in Cloud-Systemen von Microsoft Azure.

  • Verbesserte Unterstützung für die Ausführung in Google-Cloud-Systemen (seit v20.7 SR-3).

  • X-Tensions werden jetzt standardmäßig so geladen, dass evtl. von der X-Tension zusätzlich benötigte DLLs im selben Verzeichnis gefunden werden, in der auch die X-Tension liegt. Dieses neue Verhalten ist optional und kann mittels eines Kontrollkästchens deaktiviert werden.

  • Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

  • Viele kleinere Verbesserungen.


Änderungen an den weiteren Service-Releases von 20.7

  • SR-1: Fixed an I/O error that could occur after using the gallery to display files in nested disk images.

  • SR-1: Fixed an infinite loop that could occur in v20.6 and the original v20.7 release when uncovering Windows resource data embedded within carved DLLs.

  • SR-1: Fixed a memory corruption error that could occur on some machines in the 32-bit edition when trying analyze photos with artificial intelligence.

  • SR-1: Prevented a message box that had to be clicked away when trying to add inaccessible drive letters to the active case through the command line.

  • SR-1: Potentially prevented instabilities with the internal graphics display library.

  • SR-2: Fixed inability to run a picture content analysis in v20.7 SR-1.

  • SR-2: Improved treatment of NTFS reparse points.

  • SR-2: Fixed an exception error that could occur in v20.6 and v20.7 when imaging storage devices from the command line.

  • SR-3: Fixed a memory leak that could occur during volume snapshot refinement.

  • SR-3: Fixed caching of compressed TAR archives processed with the alternative extraction method if they contained additional nested archives.

  • SR-3: Prevented multi-threading read errors in certain kinds of nested images.

  • SR-3: X-Ways Forensics parsed directory entries in XFS incompletely when unaligned entries were encountered. That was fixed in v20.7 and will also be fixed in all future service releases of older versions.

  • SR-3: Ability to read uninitialized areas of files before the last defined portion as binary zeroes in Btrfs depending on the corresponding volume snapshot option.

  • SR-3: When reporting a data/parameter/parity inconsistency for newly reconstructed RAIDs, X-Ways Forensics now mentions the offset on the component disks where the problem was first detected. Note that X-Ways Forensics does not check the entire disks, just the first 16 strips (previously 10).

  • SR-3: Some target paths in jumplists were improperly truncated in the event list. That output was fixed.

  • SR-3: Improved support for machines in the Google cloud as a platform.

  • SR-4: Better compatibility with the Aquatic high contrast dark theme of Windows 11.

  • SR-4: *.service_worker is now included in fresh installations in the file mask for the file header signature search portion of "Uncover embedded data in various file types" to target cache files.

  • SR-4: Support for certain streamed MP4 video files in the internal carving algorithm ~27 for the file header signature search.

  • SR-4: Fixed an error in the "Find Text" function in the Registry Viewer in v20.6 and v20.7.

  • SR-4: Fixed failure to decode Base64-encoded e-mail bodies that could occur depending on the characters in the search terms.

  • SR-4: Fixed an error in the "Filename analysis" for pictures sent via WhatsApp.

  • SR-5: Fixed an exception error that could occur in v20.7 SR-3 and SR-4 when trying to access storage devices.

  • SR-5: Fixed an exception error that could occur in v20.7 with the "OS dir list: Compute total amount of data" option.

  • SR-5: Fixed recycle bin file naming error in v20.7.

  • SR-5: Prevented data interpretation of some invalid ANIS SQL timestamps as nonsensical dates.

  • SR-5: Fixed a rare time zone problem with carved partial QuickTime video files.

  • SR-6: Fixed a rare instability that could occur when parsing corrupt inactive data of HFS+ file systems.

  • SR-6: Fixed sector number display in the progress indicator window of simple searches (searches that don't output to the search hit list).

  • SR-6: Avoided an error message that could occur under Windows XP and Vista when opening storage devices.

  • SR-6: Fixed an exception error that could occur with the alternative .eml presentation.

  • SR-7: Fixed a rare instability that could occur when processing MSG files with forwarded other e-mail messages with very long subject lines.

  • SR-7: Better prepared for the transition to v20.8.

  • SR-8: The option "Always ignore start sectors of known files" of the file header signature search now treats previously existing files in FAT32 file systems as known even though their start cluster numbers are just guesswork, so that more duplicates are prevented.

  • SR-8: Fixed display of certain SIDs in the Data Interpreter when shown alongside of GUIDs.

  • SR-8: Highlights more recent FILETIME values in the hex and text display.

  • SR-8: Fixed inability to extract thumbnails in some old JPEG pictures with very small Exif segments.

  • SR-8: Reducing the case's auto-save interval now takes effect immediately instead of next time when the previous interval elapses.

  • SR-9: Labels derived from hash set matches are now always of the special "hash set" type, not the generic "hint" type, no matter whether they are created immediately when matching hash values against the database or retroactively.

  • SR-9: The File Header Signature Search will not skip JPEG signatures within a known JPEG file any more assuming the function to uncover embededed data will pick up the inner file later, if the outer known JPEG file is a previously existing file. That can make a difference if the outer JPEG file is not intact any more and there is no logical connection between the inner and the outer file (thumbnail representation or alternative resolution), in which case the function to uncover embedded data would not find the inner file.

  • SR-9: More compact representation of PhotoDNA matches in Details mode.

  • SR-9: Ability to understand information about additionally found partitions as stored in .xfc case files by v20.8. Ability to gracefully deal with case files in which that kind of information is not understood.


Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

  
#170: X-Ways Forensics, X-Ways Investigator und WinHex 20.7 veröffentlicht

9. Januar 2023

Ein frohes neues Jahr allerseits.

In dieser Ausgabe informieren wir Sie über ein weiteres Update mit wichtigen Verbesserungen, die Version 20.7. Erscheinungstermin war der 15. November 2022. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Nächste Schulungstermine

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit werden hier aufgelistet.


Was ist neu in v20.7?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Bildanalyse

  • Die Funktionalität von Excire Forensics ist jetzt in X-Ways Forensics enthalten! Das bedeutet, eine künstliche Intelligenz kann die Bilder in Ihren Fällen prüfen (beim Erweitern des Datei-Überblicks über das Hauptmenü) und Sie über Verweise oder Kommentare auf erkannte Inhalte aufmerksam machen, anhand derer Sie filtern können. Die vollständige Hierarchie von identifizierbaren Inhalten finden Sie hier. Beschreibungen von Bildinhalten sind verfügbar auf Deutsch, Englisch, Französisch, Spanisch und Italienisch. Benutzer von X-Ways Investigator mögen bitte ein Upgrade auf X-Ways Forensics in Erwägung ziehen, wenn sie an der Excire-Funktionaltität interessiert sind.

  • Excire braucht ein 64-bittiges Windows 10, Windows 11, Windows Server 2016, Windows Server 2019 oder Windows Server 2022. Download-Instruktionen für das separate Paket erhalten Sie wie üblich durch eine Lizenzstatus-Abfrage hier. Es handelt sich einfach um ein weiteres Zip-Archiv im Verzeichnis mit den zusätzlichen Ressourcen. Standardmäßig werden die weiteren Dateien im Unterverzeichnis \Excire des Installationsverzeichnisses erwartet, aber den Pfad können Sie unter Optionen | Datei-Betrachtung ändern, so dass mehrere Installationen von X-Ways Forensics dasselbe installierte Paket gemeinsam benutzen können.

  • Bilder können automatisch als irrelevant oder beachtenswert kategorisiert werden. In der umfangreichen Hierarchie identifizierbarer Objekte können Sie individuelle Schlagwörter oder ganze Teilbäume auswählen, die ein Bild für Sie mit hoher Gewissheit irrelevant erscheinen lassen, z. B. diverse Tierarten, Pflanzen, Sportarten, Musikinstrumente usw. Sie können auch festlegen, was ein Bild aus Ihrer Sicht beachtenswert macht, z. B. unbekleidete Menschen, Pornographie, Schusswaffen, pulverförmige Substanzen, Pillen, Kinder, Fahrzeuge, Text, Papiertextur (d. h. Papierdokumente) usw. Im Zweifelsfall erhält die Kategorisierung als "beachtenswert" immer Vorrang vor "irrelevant", z. B. wenn Sie in einem bestimmten Fall mal Hunde für beachtenswert halten, aber Tiere ansonsten immer noch als irrelevant markiert sind. Logische UND-Kombinationen werden unterstützt bei der Einstufung als beachtenswert. Einige solche UND-Kombinationen sind vordefiniert, die bei der Ermittlung in Sachen Kinderpornographie unterstützen sollen.

  • Excire ermöglicht auch das Auffinden von aus Sicht der künstlichen Intelligenz ähnlichen Bildern zu einer von Ihnen bereitgestellten Sammlung von typischen relevanten Bildern aus früheren Fällen oder sonstigen Vorlagenbildern (in den Formaten JPEG, PNG, Bitmap oder TIFF).

  • Gesichter bestimmter Personen können in Fotos in neuen Fällen wiedergefunden werden. Sie werden dazu von der Anwendung aufgefordert, die relevanten Gesichter in von Ihnen bereitgestellten JPEG-, PNG-, Bitmap- oder TIFF-Bildern zu markieren.

Dateityp-Unterstützung

  • Der Viewer-Komponente wurde ein Patch hinzugefügt, der die Darstellung bestimmter PDF-Dokumente verbessert.

  • Die interne Grafikanzeigebibliothek wurde überarbeitet, insbes. für die Formate PNG, WEBP und PCX.

  • 5% mehr Definitionen von fotoerzeugenden Geräten.

  • Die Erkennung von Frontkamera-Fotos wurde verbessert, insbes. für Samsung-Geräte, und auch für Smartphones von Xiaomi und Apple.

  • Der durchschnittlichen Anzahl von Bits pro Pixel in einem bestimmten JPEG-Bild im Details-Modus wird der bekannte Medianwert von Bits pro Pixel der betreffenden Generatorsignatur gegenübergestellt, um die Zahl besser einschätzen zu können.

  • Die Summary-Tabelle für JPEG-Dateien hat nun einen neuen Eintrag namens "Software Class", der Informationen, die über diverse Metadaten-Details verstreut sind, zu einer einzigen Klassifikation zusammenfasst. Die folgenden Werte sind möglich: Adobe, Facebook/Instagram, Whatsapp, Twitter, Google/Picasa, Windows, Android, Firmware, Apple, Social media, Editor, General, Beautifier.

  • Ein neuer möglicher Bearbeitungszustand in der Summary-Tabelle ist nun „cropped“. Cropped bedeutet, dass die Abmessungen eines Bilds in Pixeln keiner der bekannten Standardabmessungen des erzeugenden Geräts entsprechen. Das heißt auch, dass so ein Bild nicht als relatives Original angesehen werden kann und seine Relevanz niedriger angesetzt wird als bei Bildern, die als relatives Original gelten können. Die Abmessungen werden im Fall von „cropped“ in blauer Schrift angezeigt.

  • Verbesserter Gruppierungseffekt bei kleinen Bildern ohne Metadaten beim Sortieren nach Relevanz.

  • Die Relevanzberechnung wurde überarbeitet. Die Anzahl der Bits pro Pixel von JPEG-Dateien wirkt sich nun darauf aus, so dass eher monotone sowie unscharfe Bilder einen niedrigeren Wert bekommen.

  • Einige Zielpfade in Jump-Lists wurden in der Ereignisliste unsauber gekürzt angezeigt. Das ist nun korrigiert.

Dateisystem-Unterstützung

  • Verbesserte Verarbeitung von Reparse-Points in NTFS.

  • Fähigkeit, nicht initialisierte Bereiche von Dateien, die vor dem letzten definierten Bereich liegen, je nach Einstellung in den Datei-Überblick-Optionen als binäre Nullen zu lesen.

  • Ein Fehler in der Verarbeitung von XFS wurde behoben, der das Auslesen bestimmter Verzeichnisstrukturen verhinderte, wenn das Verzeichnis einen EA-Fork benutzt.

  • Frühere Versionen von X-Ways Forensics haben Verzeichniseinträge in XFS unvollständig eingelesen, wenn nicht ausgerichtete Einträge angetroffen wurden. Das wurde nun korrigiert und wird auch in allen zukünftigen Service-Releases älterer Versionen korrigiert.

  • Eine Ausnahmesituation wurde verhindert, die auftrat beim Versuch, extrahierte E-Mails in der Vorschau im Untermodus für extrahierten Text einzusehen.

Benutzerschnittstelle

  • Berichtstabellenverknüpfungen werden nun aus Gründen der Einfachheit einfach „Vermerke“ genannt, auch weil die Version 20.7 noch mehr als frühere Versionen viele Verknüpfungen automatisch erzeugt, die nicht Grundlage des Fallberichts werden. Wenn die Dateien mit einem bestimmten Vermerk allerdings im Fallbericht tabellenartig ausgegeben werden, wird diese Ausgabe immer noch Berichtstabelle genannt.

  • Es gibt eine Option, die amerikanische Schreibweise der englischsprachigen Benutzeroberfläche größtenteils auf Britisch umzustellen. Die britische Rechtschreibung ist nun auch die Voreinstellung in neuen Installationen in Windows-Systemen mit Installationssprache UK English, Australian English oder New Zealand English.

  • Die chinesische Übersetzung der Benutzeroberfläche wurde aktualisiert.

  • Die Option, Offsets entweder hexadezimal oder dezimal anzuzeigen, wurde in die Notationseinstellungen verlegt. Dadurch wird es möglich, dass Sie z. B. hexadezimale Offsets in der GUI bei Nutzung der Anwendung sehen, aber dezimale Offsets exportieren für den Gebrauch außerhalb von X-Ways Forensics.

  • Hexadezimal-Zahlen und -Codes können nun optional mit Kleinbuchstaben (a bis f) statt Großbuchstaben (A bis F) dargestellt werden. Das betrifft hexadezimale Offsets, die Hex-Spalte, die Anzeige von Hash-Werten und mehr, und das ist nun eine weitere Option in den Notationseinstellungen.

  • Beim Versuch, über die Befehlszeile Laufwerksbuchstaben dem aktiven Fall hinzuzufügen, die nicht zugreifbar sind, wurde bisher ein Meldungsfenster angezeigt, das man wegklicken musste. Das wird nun verhindert.

Diverses

  • Das Filtern nach einer bestimmten Windows-Event-ID in der Spalte für die Ereignisbeschreibung ohne ungewollte Treffer derselben Nummer sonstwo in der Beschreibung wird jetzt dadurch ermöglicht, dass den Ereignis-IDs die Buchstaben "ID " mit einem Leerzeichen vorangestellt werden. (Nur in neu erweiterten Datei-Überblicken.)

  • Wenn für neu zusammengesetzte RAIDs eine Inkonsistenz in den Daten/in den Parametern/in der Parity gemeldet wird, nennt X-Ways Forensics nun auch den Offset der Komponenten-Datenträger, den dem das Problem als erstes festgestellt wurde. Bitte beachten Sie, dass X-Ways Forensics nicht die gesamten Datenträger prüft, sondern nur die ersten 16 Blöcke (vormals 10).

  • Die alte Funktion zur sog. Bates-Nummerierung unterstützt nun Unicode-Dateinamen.

  • Die neueste NSRL-Hash-Databank-Version 2.79 ist nun im XWF-Format aus dem Ressourcen-Verzeichnis herunterladbar.

  • Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

  • Viele kleinere Verbesserungen.

Diverse Fehlerkorrekturen bis v20.7 SR-3

  • Ein E/A-Fehler wurde behoben, der auftreten konnte, nachdem man die Galerie zur Anzeige von Dateien in verschachtelten Datenträger-Sicherungen benutzte.

  • Eine Endlosschleife wurde korrigiert, die in v20.6 und dem ursprünglichen v20.7-Release auftreten konnte bei der Suche nach eingebetteten Windows-Ressourcen-Daten in  DLLs, die aus Sektoren ausgegliedert wurden.

  • Ein Speicherleck wurde behoben, das beim Erweitern des Datei-Überblicks auftreten konnte.

  • Das Halten von komprimierten TAR-Archiven im Cache musste korrigiert werden für den Fall, dass diese Archive mit der alternativen Extraktionsmethode verarbeitet wurden und weitere verschachtelte Archive enthielten.

  • Lesefehler beim Einsatz mehrerer Threads mit einer bestimmten Art von verschachtelten Datenträger-Sicherungen werden nun verhindert.


Änderungen an den weiteren Service-Releases von 20.6

  • SR-1: The option to keep archive contents in the cache, if half-checked, caused errors (exceptions or unreadable files) when dealing with file archives in the GB range in the original v20.6 release. That was fixed.

  • SR-1: Compatible with the new version of the Excire PhotoAI package from today.

  • SR-2: Fixed an exception error that could occur in v20.6 when converting extracted e-mail bodies in RTF format to plain text.

  • SR-2: Fixed an exception error that occurred in v20.6 when applying the thorough file system data structure search to an Ext volume.

  • SR-2: Fixed an error that could occur in report table management in v20.5 and later.

  • SR-2: Fixed an exception error that could occur when clicking OK in the evidence object properties window in v20.5 and later.

  • SR-2: Fixed inability to automatically add newly created images to the case and refine their volume snapshots.

  • SR-2: Fixed a potential archive cache problem.

  • SR-3: Fixed inability to pick a column to name copied files in the case report.

  • SR-3: In some situations, files copied along with the report, if named after a particular property of theirs in the directory browser, were not given a filename extension. That was fixed.

  • SR-3: Fixed an exception error that could occur when parsing Windows event log files with certain metadata extraction settings.

  • SR-3: Avoided an exception error with minimal impact related to floating point numbers in SQLite databases.

  • SR-4: Fixed the definition of a generator signatures for a few devices by Huawei and Apple (retroactively also in v20.1 SR-14 and v20.2 SR-10). This is relevant for device class identification and processing state.

  • SR-4: Fixed a potential loss of entries in the user-defined file "Regular Expressions.txt" in the 64-bit edition of X-Ways Forensics and X-Ways Investigator.

  • SR-4: Fixed inability to refine volume snapshots or run a physical search if no information for crash reports was collected.

  • SR-4: Avoided read error messages when carving certain files in certain other files.

  • SR-5: Some fixes in Event Log Events.txt.

  • SR-5: Very large data associated with in Windows event logs events previously were not output at all and caused malformed lines in the TSV representation. That was improved. Up to 8 KB of that data are now included.

  • SR-5: The X-Tension API function XWF_GetWindow() was improved and can now also target the active data window.

  • SR-5: Fixed a rare memory corruption error that could occur when extracting metadata from JPEG files.

  • SR-5: Fixed an exception error that occurred when importing NSRL RDS hash sets in the 64-bit edition with certain settings.

  • SR-5: Fixed inability to define a keyboard shortcut for associations with certain report tables if the total number of report tables is very high.

  • SR-5: Fixed intermittent failure to highlight FILE records in situations where the number of lines in the hex editor display was not a multiple of 4, if the box for this highlighting option was only half checked.


Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

> Archiv des Jahres 2022 <

> Archiv des Jahres 2021 <

> Archiv des Jahres 2020 <

> Archiv des Jahres 2019 <

> Archiv des Jahres 2018 <

> Archiv des Jahres 2017 <

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <