#172: X-Ways Forensics,
X-Ways Investigator und WinHex 20.9 veröffentlicht
6. August 2023 |
Hallo allerseits, in dieser Ausgabe informieren wir Sie
über ein weiteres Update mit wichtigen Verbesserungen, die Version
20.9. Erscheinungstermin war der 26. Juli 2023. Nicht alle Beschreibungen
sind auf Deutsch verfügbar.
Kunden erhalten Download-Instruktionen,
aktuelle
Log-In-Daten (mit dem neuesten Passwort!) sowie Details zu Ihren
Lizenzen wie immer unter
https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates
oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw.
Lizenzverlängerungen.
Wenn Sie an Benachrichtigungen über Service-Releases
zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder
auch über Preview- und Beta-Releases, können Sie diese im
Bereich "Announcements"
des
Forums einsehen und sich
bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen
in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie
vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie
bitte zumindest das letzte Service-Release der betreffenden Version
verwenden.
Nächste Schulungstermine
Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten,
sobald diese feststehen, können Sie
hier Ihre
E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit werden
hier aufgelistet.
Was ist neu in v20.9?
(Bitte beachten
Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
Hash-Datenbanken
Was ist besser als fünf Hash-Datenbanken? Genau, sechs
Hash-Datenbanken. Zusätzlich zu den zwei regulären Hash-Datenbanken, einer
Block-Hash-Datenbank, einer FuzZyDoc-Datenbank und (sofern berechtigt) einer
PhotoDNA-Hash-Datenbank, können Sie jetzt zusätzlich eine Datenbank
anlegen für wiederkehrende Dateien, für die Sie eine Beschreibung hinterlegt haben.
Dies kann beispielsweise nützlich sein, wenn Sie in Ihren Fallberichten für
das Gericht Beschreibungen der illegalen Bildinhalte beifügen müssen. Wenn
dieselben Bilder in mehreren Fällen wiederkehren, kann Ihnen diese neue Datenbank Aufwand
ersparen, da Sie die Bilder nicht erneut sichten und kommentieren müssen. Was Sie
als Kommentar eingeben, kann zusammen mit dem Hash-Wert der Datei in der
Datenbank gespeichert werden. Um dies zu veranlassen, wählen Sie die
betreffenden Dateien aus und rufen im Kontextmenü des Verzeichnis-Browsers
"In Hash-Datenbank aufnehmen" auf. Ob für die gewählten Dateien
bereits Hash-Werte berechnet waren, ist nicht entscheidend. Diese werden ggf.
automatisch berechnet, falls nicht. Sie können dieselben Kommentare in einem
anderen Fall automatisch wieder vergeben lassen, wenn Sie in dem anderen Fall
beim Datei-Überblick Erweitern den Hash-Wert-Abgleich mit dieser Hash-Datenbank
durchführen lassen.
-
Die Datenbank ist in der Datei "Hash Comments.txt"
gespeichert. Sie können die Datenbank durch bloßes Weiterreichen dieser Datei mit
anderen teilen. Die Datei ist von den übrigen Hash-Datenbanken unabhängig, was
bedeutet, es spielt keine Rolle, wer welche regulären Hash-Datenbanken mit
Hash-Sets aus welchen Quellen auch immer verwendet. Sie brauchen genau genommen
überhaupt keine reguläre Hash-Datenbank, um eine Datei "Hash Comments.txt"
zu erzeugen, oder um die Hash-Werte in Ihrem Fall mit der Datei "Hash Comments.txt"
von jemand anderem abzugleichen. So ist die "Hash Comments.txt" universell
einsetzbar und auch unter verschiedenen Organisationen austauschbar.
-
Sie können die Textdateien aus verschiedenen Quellen in
der Benutzeroberfläche verschmelzen lassen: Öffnen Sie Extras | Hash-Datenbank
und klicken Sie auf den Schalter "Importieren". Sollte X-Ways Forensics
Einträge mit demselben Hash-Wert feststellen, wird abhängig von der gewählten Option
im Import-Dialog entweder der bisherige Kommentar beibehalten oder der neue übernommen.
Bitte behalten Sie das im Hinterkopf, wenn Sie Kommentare von anderen übernehmen. Die
Regel betrifft auch Mehrfacheinträge in derselben Textdatei, wenn diese beispielsweise
manuell zusammenkopiert worden sind.
-
Da es sich bei der Datei um eine schlichte Textdatei handelt,
können Sie die "Hash Comments.txt" aus verschiedenen Quellen leicht in
einem einfachen Text-Editor manuell zusammenfügen, oder die Beschreibungen nach
Bedarf bearbeiten, automatisch übersetzen lassen, etc. Stellen Sie nur sicher,
dass das vorgegebene Format von einem Hash-Wert + Beschreibung pro Zeile erhalten
bleibt. Die erste Zeile (Titelzeile) in der Datei "Hash Comments.txt" muss aus der
Bezeichnung des Hash-Typs ASCII (z. B. "MD5" oder "SHA-1") gefolgt
von den ASCII-Buchstaben "Cmt" bestehen, wobei Groß-/Kleinschreibung von
Bedeutung ist. Alle folgenden Zeilen beginnen mit einem Hash-Wert in Hex-ASCII (wobei
sowohl Groß- als auch Kleinbuchstaben erlaubt sind), gefolgt von einem Tabulator-Zeichen
und der Beschreibung in UTF-8. Sowohl Windows- als auch Unix-/Linux-Zeilenumbrüche sind
erlaubt.
-
Es gibt ein unbeschriftetes, aber mit Tooltip ausgestattetes
Kontrollkästchen, das erlaubt, vorhandene Kommentare für Dateien automatisch zu
ersetzen, wenn Treffer für Hash-Werte in den Hash Comments gefunden werden.
Das bedeutet natürlich, dass vorhandene Kommentare verloren gehen, wenn es für
dieselbe Datei in der "Hash Comments"-Datenbank bereits einen Kommentar gibt.
-
Eine weitere Option erlaubt das automatische Voranstellen der
Initialen "[HC] " vor Kommentare, die automatisch aus der "Hash
Comments.txt" vergeben wurden, um sie von Kommentaren unterscheiden zu können,
die manuell eingegeben wurden.
Dateityp-Unterstützung
-
Es gibt inzwischen 40.000 Definitionen für bilderzeugende Geräte.
-
In Optionen | Datei-Betrachtung kann für die Darstellung
von reinem Text jetzt über den neuen "..." Schalter eine
Standard-Codepage zur Verwendung in der Viewer-Komponente
ausgewählt werden. Die Liste der dort wählbaren Codepages ist
umfangreicher als
die, die über den Optionen-Dialog der Viewer-Komponente (zugreifbar durch
Rechtsklick in jedem beliebigen Fenster mit einer von der Viewer-Komponente
erzeugten Darstellung) direkt verfügbar ist.
-
Beim Abspielen in MPlayer von Videos, die mit einem Smartphone
aufgenommen wurden, oder bei der Extraktion von Einzelbildern aus denselben, werden
diese Videos jetzt automatisch nach Bedarf rotiert. (Funktioniert nicht, wenn die
Metadaten-Extraktion in diesem Datei-Überblick von einer früheren Version von
X-Ways Forensics durchgeführt wurde.)
-
Mehrere neue Kompressions- und Dekompressionsoptionen sind jetzt
in X-Ways Forensics und WinHex Lab Edition über Bearbeiten | Konvertieren verfügbar,
die auf die gesamten Daten in einem aktiven Datenfenster angewendete werden können,
sofern dieses sich nicht im Nur-Lesen-Modus befindet. Diese ermöglichen die manuelle Dekompression von
Daten, die von diversen Dateisystemen komprimiert gespeichert gefunden werden können,
falls X-Ways Forensics die entsprechenden Dateien nicht im Datei-Überblick hat bzw.
diese nicht automatisch dekomprimieren kann.
-
Die Relevanz-Berechnung für Bilder basierend auf ihren Pixel-Dimensionen
wurde verbessert.
-
PNG-Unterstützung in der internen Grafik-Bibliothek wurde
aktualisiert.
-
Korrekte Seitenverhältnisse für Berichts-Miniaturbilder von JPEGs,
die basierend auf Exif-Metadaten rotiert werden müssen.
-
Fähigkeit, bestimmte SRUDB.dat-Dateien zu verarbeiten, für die das
bisher nicht erfolgreich war, oder die vorher nicht als SRUDB.dat-Dateien erkannt wurden.
-
Ein Ausnahmefehler wurde behoben, der bei der Extraktion von
Metadaten aus bestimmten PDF- und Adobe Illustrator-Dateien auftreten konnte.
-
Eine Restriktion wurde entfernt, die das automatische Carven von
Base64-Code verhindern konnte.
-
Dateien mit reinem Base64-Code (z. B. gecarvt aus HTML-Dateien, in
denen sie eingebettet waren), die ihre dekodierten Daten als Unterobjekt besitzen, können
jetzt direkt mit ihren dekodierten Daten in der Vorschau oder Galeriedarstellung angezeigt
werden.
Dateisystem-Unterstützung
-
Zusätzliche harte Verweise für dieselbe Datei in NTFS
können jetzt optional schon bei der Erzeugung des Datei-Überblicks ausgelassen
werden, d. h. sie werden gar nicht erst aufgenommen und auch nicht als zusätzliche
Dateien im Verzeichnis-Browser angezeigt. Dies kann beispielsweise
hilfreich sein, wenn man die Speicherplatzverwendung verstehen möchte, wobei das 10- oder 100-fache
Zählen derselben Dateien keinen Sinn ergibt. Die Spalte "Verweise" zeigt
weiterhin die korrekte Anzahl an harten Verweisen (wobei diese wie bisher die reinen
8.3-Dateinamen ignoriert, und der Wert nach wie vor deutlich von dem nicht
verlässlich gepflegten Zähler für harte Verweise im FILE-Record abweichen kann).
-
Fähigkeit, ungewöhnliche oder verdächtige kurze Dateinamen
(SFNs, 8+3-Dateinamen) in NTFS als solche zu erkennen. Solche kurzen Dateinamen
können optional im Datei-Überblick entweder als alternative Namen oder als
vollwertige harte Verweise (d. h. wie zusätzliche Kopien derselben Dateien) mit
ausgegeben werden. Sie können auch mit dem Vermerk "Sonderbare SFN"
gekennzeichnet werden, um Sie darauf hinzuweisen. Unerwartete SFN, die
angesichts ihres
Langnamens (LFN) nicht plausibel erscheinen, könnten ggf. interessant sein, wenn
sie sich auf frühere Namen von inzwischen umbenannten Dateien beziehen, oder
wenn der SFN gezielt so erzeugt wurde, um eine spezielle Datei mit feststehendem
Namen (beispielsweise eine Systembibliothek oder eine Konfigurationsdatei) zu
ersetzen, während ihr LFN völlig anders und unverdächtig aussieht. Die Einstellungen
zur Behandlung von SFN befinden sich in Optionen | Datei-Überblick. Sollten Sie
feststellen, dass zuviele reguläre Dateien auf diese Art gekennzeichnet werden,
melden Sie uns diese Beobachtung gerne, und außerdem können Sie versuchen, die
Zusatzoption für den "strengeren Abgleich" abzustellen,
damit weniger eklatante Diskrepanzen ignoriert werden.
-
Verbesserte Interpretation bestimmter unvollständiger bzw.
beschädigter NTFS-Dateisystem-Strukturen.
-
Unterstützung für weitere Kompressionsvarianten in APFS, inkl.
für inline gespeicherte Dateien.
-
Unterstützung für ZSTD-Kompression in Btrfs.
-
Inline-Kompression in BtrFS wird jetzt unterstützt.
-
Verbesserte Ausgabe für die Cluster- bzw. Block-Auflistung
für komprimierte Daten in BtrFS.
-
Das neue XFS-Zeitstempelformat ("Big time") wird
jetzt unterstützt, und die Zeitstempel werden korrekt interpretiert. Frühere Versionen
von XWF geben eine Warnung aus, dass ein unbekanntes Inkompatibilitäts-Feature
im betreffenden Volume in Verwendung sei.
-
Sollte ein XFS-Volume intern als reparaturbedürftig gekennzeichnet
sein, gibt XWF jetzt eine entsprechende Meldung aus, und warnt vor potentiellen
Problemen, die von beschädigten Dateisystem-Strukturen verursacht werden können.
Frühere Versionen von XWF geben eine Warnung aus, dass ein unbekanntes
Inkompatibilitäts-Feature im betreffenden Volume in Verwendung sei, ohne das
Problem genau eingrenzen zu können.
-
Datei-Überblicke für lokale Datenträger, die auf vom
aktiven Betriebssystem erzeugten Verzeichnis-Auflistungen basieren
("OS dir list"), beinhalten jetzt auch "Record-Änderung"
Zeitstempel und die Anzahl harter Verweise.
-
Wenn für Datei-Überblicke basierend auf
Verzeichnis-Auflistungen des aktiven Betriebssystems ("OS dir list")
die Option zur schrittweisen Vervollständigung aktiv ist, werden Verzeichnisse,
deren Inhalte noch nicht erfasst wurden, jetzt mit einem Sternchen (*) in der
Attr.-Spalte gekennzeichnet.
-
In Datei-Überblicken basierend auf
Verzeichnis-Auflistungen des aktiven Betriebssystems ("OS dir list"),
werden Dateien, die von anderen Prozessen geöffnet und deswegen schreibblockiert
sind, jetzt optional in der Attr.-Spalte mit einem großen "L" (für
"locked") gekennzeichnet. Dateien, die lediglich geöffnet sind, können
darüber hinaus mit einem kleinen "o" (für "open") gekennzeichnet
werden, wenn das Kästchen für diese Option voll angekreuzt ist. Dies könnte
nützlich sein, wenn ein laufendes System betrachtet oder gesichert wird, um
festzustellen, welche Dateien von laufenden Prozessen oder Hintergrund-Services
geöffnet sind/waren, oder welche Programmdateien scheinbar geladen sind. Bitte
beachten Sie, dass diese Prüfung für viele Dateien viel Zeit in Anspruch nehmen
kann. Daher ist dies evtl. nur für Verzeichnisse von erhöhtem Interesse praktikabel.
Diese Option hat bei gemounteten Netzlaufwerken keinen Effekt. Es ist über den
Attr.-Filter möglich, schnell offene oder schreibblockierte Dateien zu identifizieren,
und sie erscheinen weiter oben bei der Sortierung in der Attr.-Spalte.
Datenträger-Unterstützung
-
Verbesserte Behandlung von HPAs/DCOs.
-
Behandelt eine offenbar überholte GPT-Partitionierung, die
inzwischen durch eine herkömmliche MBR-Partitionierung ersetzt wurde, als
solche, indem die Partitionen, die in der GUID-Partitionstabelle definiert
sind, als ehemals existierend angezeigt werden, statt als existierend, und
indem MBR als der (aktive) Partitionierungstyp angezeigt wird.
-
Wenn ein Dateisystem in einer Partition eine Sektorgröße
von 4 KB annimmt, obwohl der physische Datenträger bzw. die Sicherung, worin
sich die Partition befindet, eine Sektorgröße von 512 Byte besitzt, und falls
die Anzahl der 512-Byte-Sektoren in der Partition nicht durch 8 teilbar ist,
wird jetzt ein unvollständiger, zusätzlicher 4 KB Sektor am Ende der Partition
definiert, um diese zusätzlichen 512-Byte-Sektoren abzudecken, selbst wenn
das die Kapazität der Partition, des Datenträgers oder der Sicherung überschreitet,
damit auch dieser zusätzliche Speicherplatz in der virtuellen Dateisystemschlupf-Datei
enthalten und somit für Suchen etc. zugreifbar ist. Diese noch gründlichere
Abdeckung bringt ein gewisses Risiko von Lesefehlern ganz am Ende mit sich.
-
Fähigkeit, bei der RAID-Rekonstruktion für einzelne Komponenten
eine Footer-Größe in Sektoren anzugeben, um Sektoren am Ende des Datenträgers von
der Rekonstruktion auszunehmen. Dies könnte insbesondere bei der Rekonstruktion von
JBODs nützlich sein, wenn diese ungenutzten Bereiche sonst zwischen den korrekten
Bestandteilen eingeschoben würden und so die eigentliche Anordnung der Daten unterbrechen
würden.
Datenträger-Sicherung
-
Unterstützung für einen moderneren Kompressionsalgorithmus
in .e01-Evidence-Files, der im Vergleich zum althergebrachten Algorithmus eine deutlich
verbesserte Balance aus Kompressionsrate und -geschwindigkeit, auch bei der Dekomprimierung,
bietet. Zur groben Orientierung, mit einer fast gleich starken Kompressionsrate (nur
wenige Prozentpunkte niedriger) als bei der Einstellung "normal" beim kompatiblen
Algorithmus, benötigt die moderne Option "normal" nur etwa ein Viertel der Zeit
bei der Komprimierung, ein Drittel der Zeit bei der Dekomprimierung. (Diese Werte beziehen
sich auf die reine Rechenzeit eines einzelnen Threads, ohne Berücksichtigung der Zeit, die
für I/O-Operationen benötigt werden.) Mit der Einstellung "stärker+" erzielt der
moderne Algorithmus eine vergleichbare Kompressionsrate wie der bisherige "normale"
(oder sogar leicht besser), benötigt aber immer noch nur die Hälfte der Zeit für die
Komprimierung und 40% der Zeit für die Dekomprimierung (oder weniger). "Stärker++"
benötigt spürbar mehr Zeit und ist daher nicht standardmäßig zu empfehlen, da die zusätzlich zu
erzielende Kompressionsrate meist überschaubar ist, wäre aber vermutlich immer noch schneller
als der herkömmliche Kompressionsalgorithmus, insbesondere bei der Dekomprimierung (die
standardmäßig natürlich mehr als einmal stattfindet, z. B. bei der Prüfung der Sicherung
unmittelbar nach ihrer Erzeugung, bei der Prüfung der Sicherung zu einem späteren Zeitpunkt,
bei der Datei-Header-Signatur-Suche, einer oder mehrerer Begriffssuchen, der Analyse oder
dem Herauskopieren von Dateien, etc.).
-
Bitte beachten Sie, dass eine Sicherung, die eine der modernen
Kompressionsmethoden verwendet, nur in X-Ways Forensics und X-Ways Investigator v20.9
und später verwendbar ist. Die Option "sparse" der modernen Kompression, die
bei der Sicherung von wenig verwendeten Datenträgern bereits äußerst effizient ist,
und elfmal (!) effizienter bei der Sicherung genullter Speicherbereiche als die
gleichnamige Option der kompatiblen Kompression, wird auch schon von v18.9 und später
richtig verstanden.
-
Die beschreibende Textdatei, die zusammen mit einer Sicherung
erzeugt wird, hat jetzt eine zusätzliche Zeile am Ende, die angibt, ob die Sicherung
allgemein kompatibel ist, oder nur mit X-Ways Produkten, oder nur mit X-Ways Produkten
bestimmter Version, abhängig von Kompressions- und Verschlüsselungseinstellungen.
-
Bitte beachten Sie, die zusätzliche Platzersparnis der
stärkeren Kompressionseinstellungen ist oft minimal. Wenn Ihnen die
Kompressionsrate wichtiger ist als die Geschwindigkeit, mit der beliebige
Daten in der Sicherung zugegriffen werden können, könnten Sie stattdessen
(oder zusätzlich) eine größere Blockgröße wählen.
-
Schnellere Dekomprimierung von .e01-Evidence-Files mit der
herkömmlichen/kompatiblen Kompressionsmethode in x86.
-
Das Fenster, das die Kompressionsstatistik von
.e01-Evidence-Files anzeigt, kann jetzt per Mausklick in eine Anzeige der
Datendichte verwandelt werden, was lediglich die Umkehrung ist. Der neue
Standard ist Datendichte. Höhere blaue Balken haben früher wie jetzt höhere
Kompressionsraten bedeutet = niedrigere Datendichte = keine Verschlüsselung
= weniger Speicherbedarf für die Sicherung = weniger Daten zu analysieren =
weniger Arbeit. Höhere rote Balken (neu) repräsentieren höhere Datendichte =
mehr Speicherbedarf = mehr Daten zu analysieren = (wenn die Balken bis ganz
nach oben reichen) möglicherweise Verschlüsselung. Bitte beachten Sie, dass
die letztliche Balkenlänge von der gewählten Kompressionsmethode und -stärke
abhängen kann.
-
Verhindert versehentliches Überschreiben einer Sicherung,
die selbst wieder in ein neues Image gesichert werden soll, wenn der Dateiname gleich bleibt.
Datei-Container
-
Alternative Dateinamen werden jetzt auch in Datei-Containern
festgehalten (sofern sie zusammen mit den jeweiligen Haupt-Dateinamen nicht zu
lang werden).
-
Wenn Dateien in einen Datei-Container aus
dem Stammverzeichnis eines Asservats oder dem Asservat-Überblick kopiert werden,
bedeutet jetzt die halb ausgewählte Option "Originalpfad reproduzieren",
dass die Unterobjekte von ausgewählten Dateien auch im Container als Unterobjekte
dieser Dateien geführt werden, statt sie auf derselben Ebene wie die Eltern
anzuzeigen. In allen anderen Fällen behält die halb angekreuzte Option ihre
bisherige Bedeutung, d. h. nur der Teilpfad unterhalb des aktuell erkundeten
Verzeichnisses wird reproduziert, und der Effekt wird von der dynamischen
Beschriftung dieser Option jetzt klarer angezeigt.
Benutzerschnittstelle
-
Bei aktivem Zeitstempel-Filter werden zutreffende Zeitstempel
jetzt in unterschiedlichen Farben dargestellt, je nachdem, ob sie lediglich in
den gewünschten Zeitrahmen fallen, oder tatsächlich in einer der aktuell filterrelevanten
Spalten stehen. Analog dazu werden die Trichtersymbole in den Spaltenköpfen der
aktuell nicht berücksichtigen Zeitstempel-Spalten anders gefärbt, um deren
"weniger aktiven" Zustand zu symbolisieren.
-
Vermerkt die zuletzt verwendeten Nutzer-Initialen für
den nächsten Fall und die Option "Zwischen verschiedenen Benutzern unterscheiden".
-
Eine neue Notationseinstellung erlaubt die rekursive Beschreibung von
Unterobjekten von Dateien.
-
Mehr Metadaten in der Liste wiederherstellbarer
Sicherungen von Datei-Überblicken.
-
Strg+0 entfernt keine Vermerke mehr, die von X-Ways Forensics
automatisch erzeugt wurden und als Hinweise dienen oder erkannte Bildinhalte
repräsentieren.
-
Die Option, einen Vermerk bei der Berichtserzeugung für die
Ausgabe als Berichtstabelle zur Verfügung zu stellen, ist jetzt leichter zu finden.
Diverses
-
Wenn der Befehl Extras | Datei-Tools | Rekursiv löschen
wegen mangelnder Rechte das Verzeichnis auf regulärem Weg nicht erfolgreich
löschen kann, kann er jetzt einen zweiten Versuch auf anderem Weg unternehmen,
sofern mit das Admin-Rechten gestartet, und so mit großer Wahrscheinlichkeit
die Löschung doch noch erfolgreich vollziehen. Dies benötigt Ihre Zustimmung,
vor der eigentlichen Löschung mit Admin-Rechten die Eigentümerschaft über das
Verzeichnis zu übernehmen.
-
Besserer Schutz gegen bestimmte beschädigte Datei-Überblicke.
(Nur in Preview- und Beta-Versionen aktiv.)
-
Leicht verbesserte interne Koordination zwischen
mehreren gleichzeitigen Sitzungen.
-
X-Tension API: XWF_SelectVolumeSnapshot hat jetzt einen Rückgabewert,
der zwischen Erfolg und Fehler unterscheiden lässt.
-
Eine Absturzursache, die beim Exportierten von Suchtreffern mit
Kontext auftreten konnte, wurde behoben. Wenn jetzt beim Exportieren eines Suchtreffers
mit Kontext immer noch ein Absturz auftritt, sollte der exakte Suchtreffer, der dafür
verantwortlich ist, beim nächsten Neustart gemeldet werden.
-
Ein seltenes, spezielles Problem, wenn Asservate
zur Datei-Überblick-Erweiterung oder Durchsuchung automatisch geöffnet
werden, sollte jetzt nicht mehr auftreten können.
-
Die Programmhilfe und das Benutzerhandbuch wurden
aktualisiert.
-
Viele kleinere Verbesserungen.
Änderungen an den weiteren Service-Releases von 20.8
-
SR-1: Accepts XFS volumes with just 2 or 3 allocation
groups as valid.
-
SR-1: Fixed an exception error that could occur when
running a file header signature search in Btrfs, QNX or XFS volumes.
-
SR-1: A very rare exception has been fixed that could
theoretically occur when opening a file in APFS if the very first data
block was sparse.
-
SR-1: X-Ways Imager can now interpret images again
after their creation so that they can be verified immediately and
automatically.
-
SR-1: Fixed read errors in logical process memory.
-
SR-1: Ukrainian translation of the user interface
available.
-
SR-1: The Russian translation of the user interface
was updated.
-
SR-2: A very rare exception error was fixed that
could occur when parsing NTFS file systems.
-
SR-2: Fixed an exception error that occurred when
removing all extracted metadata.
-
SR-2: Fixed a rare exception error that could occur
when updating the edit box history.
-
SR-2: Fixed a rare erroneous message about a hash
mismatch after verifying evidence objects.
-
SR-3: An internal limitation of 4 TB of extracted
data in a volume snapshot was overcome.
-
SR-3: Fixed an exception error that occurred when
previewing PLists before they were processed by "Uncover embedded data
from various files".
-
SR-3: Fixed a potentially crash that could occur on
some systems when starting X-Ways Forensics 20.8 for the first time.
-
SR-4: X-Ways Forensics is now more careful when
adopting files that were previously carved at the partition/volume level
as child objects of other files in which they seem to be contained when
uncovering embedded data because that could lead to unwanted data
truncation. This improvement will be applied to all affected versions
(v20.6 and later).
-
SR-4: Fixed processing of overlong command line
parameters.
-
SR-4: The Description filter filtered out all files
if certain invisible dependent boxes were checked. That was fixed.
-
SR-4: Fixed inability to open certain newly extracted
files in very specific circumstances when refining the volume snapshot.
Wir hoffen, Sie bald wieder auf
https://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie
diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z.
B. noch mit weiteren E-Mail-Adressen)
u. a.
hier. Vielen
Dank.
Freundliche Grüße
Stefan Fleischmann
-- X-Ways Software Technology AG Carl-Diem-Str. 32 32257 Bünde |