WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

In dieser Ausgabe informieren wir Sie über ein am 19. Oktober erschienenes Update mit wichtigen Verbesserungen, die Version 21.6.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Service-Releases oder auch Preview- und Beta-Releases interessiert sind, können Sie Informationen dazu jederzeit aktuell im Bereich "Announcements" des Forums finden. Bitte legen Sie sich ein Konto an (dazu werden die Log-In-Daten benötigt), um die Ankündigungen in diesem Bereich immer sofort per E-Mail zu erhalten. Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Danke. Wir bitten darum, dass sich mit dem gelegentlich verwendeten generischen Maskulinum in unseren Texten alle Benutzer(innen) unserer Software gleichermaßen angesprochen fühlen.

Nächste deutschsprachige Schulungstermine:

• 19. bis 22. Januar 2026: Online-Schulung „X-Ways Forensics 1“

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie online werden hier aufgelistet.

Was ist neu in Exponent™:

• Die 2. Generation von Exponent, einer umfangreichen Sammlung von X-Tensions für X-Ways Forensics, ist erschienen. Insbesondere wurde die X-Tension Exponent Faces™ grundlegend überarbeitet. Die Genauigkeit und Verlässlichkeit der Gesichtserkennung hat sich nochmal deutlich erhöht, mit minimalen falschen Treffern oder komplett ohne.

• Neues, zusätzlich enthaltenes Modul: SQLite Explorer™ ist eine mächtige Schnittstelle zur Begutachtung von elektronischem Beweismaterial in SQLite-Datenbanken. Benutzer können dynamische Abfragen erstellen, indem sie Tabellenspalten selektieren oder individuell angepasste SQL-Syntax einsetzen, wobei Zeitstempel-Felder umgehend in lesbare Formate umgewandelt werden, um zeitliche Abfolgen leichter untersuchen zu können. Ein visueller Designer hilft dabei, komplexe Abfragen und Joins zu erstellen, ohne dass man fortgeschrittene SQL-Expertise benötigt. Zur tiefergehenden Validierung zeigt der Reiter „Forensics“ Datenbankstrukturen auf Byte-Ebene im Roh-Format, mit vordefinierten Offsets für bekannte Werte. Alle Ergebnisse sowie ganze Tabellen können für weitere Analysen als CSV exportiert werden. Dieses Tool verwandelte komplexe SQLite-Dateien in komplett einsichtige, belastbare Asservate.

• Neues, zusätzlich enthaltenes Modul: CSV to SQLite™ erlaubt es dem Ermittler, CSV-Dateien sowie mit Tabulator, Semikolon oder Pipe separierte Textdateien in neue oder existierende SQLite-Datenbanken zu importieren. Das erleichtert es, Beweismaterial aus verschiedenen Quellen zu konsolidieren, auch wenn sich Dateinamen überschneiden (wie z. B. Download-Verläufe von Chrome aus verschiedenen Verzeichnissen). Tabellennamen können vor dem Import geändert werden, und sobald die Daten in SQLite überführt wurden, können sie weiterverarbeitet oder mit der X-Tension „SQLite Explorer“ untersucht werden. Diese Kombination ermöglicht einen robusten Arbeitsfluss, der diverse Datenmengen unter einem einzigen Dach verschmilzt und abfragen kann. Indem sie rohe CSV-Exporte in einer strukturierte Datenbank-Umgebung überführen, gewinnen Ermittler Geschwindigkeit und Flexibilität sowie Klarheit bei der chronologischen Rekonstruktion.

• Eine komplette Produktübersicht gibt es hier. X-Ways verkauft die komplette Exponent-Sammlung einschließlich aller bisherigen Module hier.

Was ist neu in v21.6?
(Die meisten Änderungen beziehen sich nur auf X-Ways Forensics.)

Verschlüsselung und Entschlüsselung

• X-Ways Forensics kann nun BitLocker-Partitionen entschlüsseln, die mit einem Startup-Key geschützt sind, wenn der richtige Startup-Key vorliegt. Startup-Keys werden von Windows in .BEK-Dateien gespeichert, die wiederum auf USB-Wechseldatenträgern abgelegt werden. Immer, wenn X-Ways Forensics eine  .BEK-Datei antrifft, egal in welcher Art von Asservat, während es den Datei-Überblick erstellt, kopiert es diese Datei in das Fallverzeichnis und hält sie dort für etwaige künftige Verwendung vor. (Das Fallverzeichnis, nicht das Verzeichnis für Fälle!) In dem Verzeichnis werden .BEK-Dateien automatisch gesucht, wann immer eine BitLocker-Partition mit Startup-Key-Schutz geöffnet wird, um festzustellen, ob eine dieser Dateien darauf passt. Sie können von Ihnen anderweitig gefundene .BEK-Dateien auch selbst in Fallverzeichnis kopieren, um X-Ways Forensics dazu zu bringen, diese auszuprobieren.

• Unterstützt andere Dateisysteme als NTFS in BitLocker-Partitionen in normalen Stil (d. h. nicht im "to go"-Stil) für die interne Entschlüsselung.

• Versuch einer Unterstützung von nur teilweise verschlüsselten BitLocker-Partitionen.

• Es gibt nun die Möglichkeit, den Benutzer beim Öffnen einer BitLocker-Partition immer erst zu fragen, ob das Entschlüsseln zu dem Zeitpunkt gewünscht ist. Wenn dies vom Benutzer verneint wird, werden alle Daten in allen Sektoren genau so präsentiert, wie sie auf dem Datenträger gespeichert sind, d. h. normalerweise (aber nicht notwendigerweise) verschlüsselt.

• Benutzer werden nun informiert, dass und warum das Wechseln in einen anderen Modus als den Schreibschutz-Modus für entschlüsselte BitLocker-Partitionen auf Original-Datenträgern nicht möglich ist.

• Möglichkeit, die Passwort-Sammlung des aktiven Falls (d. h. Passwords.txt) auszuprobieren, wenn man nach dem Passwort einer BitLocker-Partition gefragt wird.

• Bevor die Passwort-Sammlung auf eine BitLocker-Partition angewandt wird, versucht X-Ways Forensics nun erst eine Entschlüsselung mit etwaigen bekannten Passwörtern anderer BitLocker-Partition im selben Fall. Aus diesem Grund ist es vorteilhaft, BitLocker-Partitionen mit einem bekannten Passwort zu entsperren statt mit einem bekannten Recovery-Key, wenn Sie die Wahl haben (also beides vorliegt), denn ein Passwort kann im Gegensatz zu einem Recovery-key wiederverwendet werden.

• Ein erfolgreich zur Entschlüsselung einer BitLocker-Partition eingesetztes Passwort bzw. ein passender Recovery-Key wird nun in der Beschreibung in den Asservateigenschaften eingetragen, damit Sie diese Information dort bei Bedarf jederzeit einsehen können.

• Interne Passwörter/Schlüssel, wie solche für verschlüsselte .e01-Images und für passwortgeschützte Fälle, unterstützen jetzt optional Unicode, was Sie über ein neu hinzugekommenes Kontrollkästchen namens "Encode internal keys as UTF-8" unter Optionen | Sicherheit einstellen können. Stellen Sie sicher, dass dieses Kästchen nicht mit einem Häkchen versehen ist, wenn Sie in früheren Versionen Passwörter verwendet haben, die Nicht-ASCII-Zeichen enthalten (z. B. deutsche Umlaute), um Kompatibiltität zu gewährleisten.

• Unicode-Unterstützung für Passwort-Abfragen der Viewer-Komponente.

• Passwörter mit Zeichen außerhalb der Codepage Lateinisch 1 werden nun unterstützt, wenn Sie Passwörter für verschlüsselte Datei-Archive eingeben.

Dateiarchiv-Unterstützung

• Wenn Sie Container für ausgewählte Dateien erstellen, die Sie sichern, zusammen speichern und/oder mit anderen Benutzern teilen möchten, können Sie sich nun für ein Zip-Archiv entscheiden anstelle eines normalen Datei-Containers (mit einem Dateisystem). Bereits erzeugte Zip-Archiv-Container können zum weiteren Befüllen erneut geöffnet werden (nur nicht verschlüsselte). Viele der besonderen Eigenheiten von normalen Datei-Containern sind dabei nicht verfügbar, aber die Verwendung von Zip-Archiven hat die folgenden Vorteile:
  + Die Datei-Inhalte können sofort verschlüsselt gespeichert werden, was nicht nur nützlich ist, um sie vor dem Einsehen durch Unbefugte zu bewahren, sondern auch um Viren-Scanner davon abzuhalten, Malware zu erkennen, die Sie bewusst zu Aufbewahrung oder Quarantänezwecken in einem dedizierten Datei-Archiv verpacken und schützen möchten, z. B. mit einem Password wie „infiziert“. Diese Funktion wird auch als „sicherer Export“ bezeichnet.
  + Normale Tools, die Dateisysteme nicht auf computerforensischer Ebene verstehen, wie es für das Einlesen der normalen Datei-Container erforderlich ist, können evtl. mit Zip-Archiven umgehen und die enthaltenen Dateien einsehen. Das schließt den Windows File Explorer mit ein (der jedoch nur Zip-Archive mit der alten Zip-Verschlüsselung beherrscht, nicht solche mit AES-Verschlüsselung).
  
  Nur normale Datei-Container haben weiterhin diese Vorteile:
  + Fähigkeit zur Unterscheidung zwischen existierenden und ehem. existierenden Dateien
  + Fähigkeit, eine Unmenge von sonstigen Metadaten zu speichern
  + Schutz vor Doppelungen (wenn der Benutzer dieselbe Kopie derselben Datei mehrfach hinzufügt)
  + Fähigkeit, Datei-Schlupfspeicher mit abzuspeichern oder nur den Schlupf oder nur einen ausgewählten Block oder nur Metadaten zu speichern
  + Dateien als Unterobjekte anderer Dateien
  + Original-Dateisystem-Datenstrukturen von Verzeichnissen
  + Weitergabe von Vermerken, Kommentaren und Hash-Werten
  + Datei-Anhänge in .eml-E-Mails einbetten

• Wenn Sie segmentierte Datei-Archive mit Dateinamenserweiterungen im WinZip-Stil (.z01, .z02, ..., .zip) einen Fall hinzufügen, brauchen Sie nicht mehr darauf zu achten, dass Sie das erste Segment (.z01) dafür auswählen. Wenn Sie statt dessen das letzte Segment (.zip) hinzufügen, was intuitiv ist, weil dies die allseits bekannte Endung ist, funktioniert das ab jetzt auch, d. h. alle Segmente werden intern gefunden und wie benötigt konkateniert. Das funktioniert auch dann, wenn die Endung des letzten Dateisegments .ufdr ist, d. h. im Fall eines segmentiert gespeicherten Cellebrite UFDR-Berichts.

• Leicht verbesserter Umgang mit .fctar-Dateien als Asservate.

Dateisystem-Unterstützung

• Redundante Zeitstempel aus 0x30-Attributen in NTFS-FILE-Records werden nun in neu erzeugte Datei-Überblicke aufgenommen und nicht mehr schon zum Zeitpunkt des Einlesens des Dateisystems verworfen. Ab jetzt können Sie in den Notationseinstellungen festlegen, ob solche redundanten Zeitstempel angezeigt/ausgegeben werden sollen oder nicht. Standardmäßig werden sie versteckt, so wie in früheren Versionen, damit sie den Bildschirm nicht unnötig vollkleistern, denn das Ziel ist es, Aufmerksamkeit und Blicke des Benutzers nur auf solche Zeitstempel zu lenken, die wirklich zusätzliche Information enthalten und nicht einfach nur identische Kopien anderer Zeitstempel-Felder sind. Wenn Sie allerdings vorübergehend alle Zeitstempel sehen möchten oder wenn der Empfänger von Listen, die Sie exportieren, alle Zeitstempel erwartet („Kann X-Ways Forensics keine 0x30-Zeitstempel ausgeben??“), können Sie selektiv die redundante Anzeige einschalten, wo sie benötigt wird, also z. B. in den allgemeinen Notationseinstellungen oder speziell in den Einstellungen für Exporte. Der mittlere Zustand zeigt redundante Zeitstempel in gedimmter hellgrauer Farbe im Verzeichnis-Browser an, so wie aus früheren Versionen bekannt für niemals aktualisierte Zeitstempel des letzten Zugriffs. (Der mittlere Zustand ist nicht verfügbar in den Notationseinstellungen für Fallberichte, den Befehl „Liste exportieren“ oder Wiederherstellen/Kopieren.) Filter und Sortierfunktionen haben redundante Zeitstempel in früheren Versionen als nicht existent behandelt, weil sie einfach nicht im Datei-Überblick enthalten waren. Jetzt werden sie wie alle anderen Zeitstempel behandelt, egal ob sie gerade sichtbar sind oder nicht. Wenn ein Zeitstempel-Filter gezielt auf eine Spalte mit redundanten Zeitstempeln angewandt wird, werden diese Zeitstempel angezeigt und farblich hervorgehoben, auch wenn sie normalerweise unsichtbar wären.

• Wenn Sie Zeitstempel im Datei-Überblick zu einem NTFS-Dateisystem mit mehr als 4 Nachkommastellen (Bruchteilen von Sekunden) sehen möchten, brauchen Sie nun nicht mehr den Daten-Dolmetscher auf die Zeitstempel im 0x10-Attribut des betreffenden FILE-Records zu lenken, sondern können die fragliche Datei einfach öffnen (damit ist der Öffnen-Befehl im Kontextmenü gemeint) oder in den Datei-Modus wechseln, während die Datei ausgewählt ist, und in die Informationsspalte schauen. Dort wird ein Maximum von 7 solcher Ziffern unterstützt. Wie viele Nachkommastellen tatsächlich angezeigt werden, hängt von den Notationseinstellungen ab. Diese volle Genauigkeit ist jetzt auch verfügbar in der Informationsspalte zu Dateien in einem Asservat, das ein Verzeichnis in einem NTFS-Dateisystem ist, sowie für Dateien, die Sie direkt über den Befehl Datei | Öffnen öffnen.

• Der Schwellwert, ab dem Sie bei der Anzeige eines Zeitstempels in einer Zeitstempel-Spalte im Verzeichnis-Browser auf Rückdatierung aufmerksam gemacht werden (mit einem Icon, das aus einer Uhr mit einem rückwärts gerichteten Pfeil besteht, und mit einer kurz gefassten Darstellung der zeitlichen Diskrepanz), kann nun in den Optionen des Verzeichnis-Browsers  eingestellt werden. Auf denselben Schwellwert greift auch der Rückdatierungsfilter zurück.

• Die Erkennung von Rückdatierungen in NTFS-Zeitstempeln kann nun beschränkt werden auf Vorkommnisse, bei denen die Sekundenbruchteile eines Zeitstempels komplett nur aus Nullen bestehen, in der Annahme, dass manuelle Rückdatierungen sowie Rückdatierungen durch eine spezielle sog. Timestomping-Software sicht nicht darum kümmern, zufällige Ziffern für die Nachkommastellen zu generieren und diese Teile der Zeitstempel einfach auf Null setzen. (Malware, die versucht ihre Spuren zu verwischen und die Dateien automatisiert und algorithmisch rückdatiert, geht evtl. professioneller vor.)

• Ausgabe von Zeitstempeln mit einer angemessenen Anzahl von Nachkommastellen im Verzeichnis-Browser und in der Informationsspalte zu Dateien, die vom Betriebssystem aufgelistet wurden (in X-Ways Forensics als „BS-Verz.liste“ bezeichnet), wenn das zugrundeliegende Dateisystem nicht NTFS ist, sondern ein FAT-Dateisystem.

• APFS: Mehr sog. Extended Attributes (EA) werden gefunden und in der Metadata-Zelle der zugehörigen Datei ausgegeben, wenn die Datei-Überblicks-Option „Output simple EAs as metadata“ aktiv ist. Das bedeutet weniger Unterobjekte und mehr EAs als lesbarer Text in der Metadaten-Zelle der Datei, zu der das ES tatsächlich gehört. Dabei werden einige zusätzliche Daten ausgewertet und in lesbarer Form ausgegeben für com.apple.assetsd.UUID, com.apple.assetsd.timeZoneOffset und der Zeitstempel in com.apple.quarantine. Wenn „Output simple EAs as metadata“ ausgeschaltet wird, wird ein EA-Unterobjekt angelegt mit denselben Informationen in seiner Metadaten-Zelle. Zur Ausgabe von com.apple.quarantine muss das Kontrollkästchen „HFS+/APFS: vollständige Ausgabe von EA" zumindest halb aktiviert sein. Einige Zeitstempel, die in Quarantäne-EAs gespeichert sind, werden in neu erzeugten Datei-Überblicken als Ereignisse des neu eingeführten Typs „Operating system: Quarantine“ ausgegeben und mit der Datei, zu der das EA gehört, assoziiert. Wenn der Quarantäne-Eintrag den Namen eines Anwendungsprogramms enthält, und evtl. sogar eine GUID, wird dies alles in der Beschreibung des Ereignisses untergebracht.

Datenträger-Unterstützung

• Dass der Benutzername des angemeldeten Benutzers, der eine Datenträger-Sicherung erstellt, in der beschreibenden Textdatei festgehalten wird, ist nun optional. Wenn ganz deaktiviert, wird auch der in X-Ways Forensics bekannte Ermittlername nicht mit ausgegeben.

• Unterstützung für eine größere Anzahl gleichzeitig geöffneter LVM-Volume-Gruppen.

• Toleranter beim Auslesen von leicht defekten GPT-Partitionstabellen.

• Verbesserte Erkennung von GPT-Partitionierungen, die paradoxerweise innerhalb einer Partition vorliegen können, beim Öffnen einer solchen Partition. Dies kann vorkommen z. B. mit Level 1 MD-RAIDs. Ein automatisch vergebener Kommentar weist Sie darauf hin, wie Sie diese Daten korrekt eingelesen bekommen: Sie können die virtuelle Datei, die die gesamte Partition abdeckt, als separates Dateifenster öffnen und, weil sie sich wie ein Roh-Image eines partitionierten Datenträgers verhält, anschließend als Datenträger interpretieren (Befehl im Specialist-Menü) und dem Fall als weiteres Asservat hinzufügen, per Rechtsklick auf den Reiter.

Bilddatei-Unterstützung

• Die Liste erkannter bilderzeugender Geräte wurde aktualisiert.

• Der sog. Propensity Score wird nun nur für Bilder ausgegeben, die nicht bekanntermaßen von einem sensorbasierten Gerät erzeugt wurden.

• Der Status „disseminated“ ist jetzt auch für WEBP- und PNG-Dateien definiert. Der Status „bearbeitet“ kann nun in manchen WEBP-Dateien erkannt werden. (Solche Dateien können in Photoshop und GIMP geändert werden.)

• Extraktion des Erzeugers/Autorennamens aus bestimmten JPEG-Dateien wie in älteren Versionen von X-Ways Forensics.

• Keine Extraktion von leeren Belichtungswerten mehr („light values“). Ob ein Belichtungswert in der Metadatenspalte präsentiert wird, hängt nun davon ab, ob die Ausgabe von innen/draußen in der Bildinhaltsanalyse gewünscht wird oder nicht.

• Metadaten-Extraktion aus AVIF-Bilddateien.

• Generatorsignaturen sind nun für AVIF-Dateien definiert. Gerätetypen werden zugeordnet. Eine neue erzeugende Software-Klasse ist nun speziell für AVID definiert: Airbnb.

• Verbesserte Erkennung von originalen (unverändeten) und bearbeiteten JPEG-Dateien, die von Xiaomi-, OPPO- und OnePlus-Geräten erzeugt wurden.

• JPEG-, PNG und WEBP-Bilder werden nun, wo zutreffend, mit dem Vermerk „Pictogram“ versehen. Solche Bilder werden mit einer niedrigeren generischen Relevanz bewertet.

• Erweiterte Erkennung bestimmter mit KI erzeugter Bilder.

• Bestimmte Piktogramne, KI-erzeugte Bilder und reine Grafikelemente werden nun einem neu eingeführten Gerätetyp namens „no device" (kein Gerät) zugeordnet, um zu signalisieren, dass sie nicht von einem bestimmten bilderfassenden Gerät erzeugt wurden.

• Verbesserte Informationen über Farbprofile (ICC).

• Leicht verbesserte Ausgabe von PNG-Metadaten.

Erweiterung des Datei-Überblicks

• Aktualisierte Erkennung von  eCryptfs-verschlüsselten Dateien in Linux-Dateisystemen als Teil des dateiformatspezifischen und statistischen Verschlüsselungstests.

• Leicht überarbeiteter Indexierungsalgorithmus.

• X-Ways Forensics schaltet nicht mehr auf einen einzigen Thread zurück, wenn es sich nach einem Absturz selbst neu startet, um eine etwaige einzelne problematische Datei zu identifizieren, sie von einem erneuten Versuch auszuschließen und als Grund für einen Absturz zu brandmarken. Dies verbessert die Performanz.

• Ob Erkennungen der Bildinhaltsanalyse zur Kategorisierung der Dateien eingesetzt werden basierend auf Regeln, die der Benutzer festlegt, kann nun separat eingestellt werden für verdächtige und unverdächtige Inhalte.

• Wenn die Metadaten-Extraktion ermittelt, dass Multimedia-Dateien im MP4-Container-Format nur Audiodaten enthalten, kein Video, bestätigt sie den Dateityp nun als M4A (ein reiner Audio-Dateityp), so dass Benutzer, die sich nur für die Kategorie „Video“ interessieren,  keine Zeit verschwenden zu brauchen, um diese Dateien zu begutachten.

Benutzerschnittstelle

• Reguläre Filter (die intern mit UND oder ODER miteinander verknüpft werden) können nun mit den FlexFiltern (die miteinander ebenso mit UND oder ODER kombiniert werden) mit einem logischen ODER verknüpft werden.

• Das Dialogfenster des Beschreibungsfilters hat nun eine Option, um sich auf nichttriviale harte Verweise zu fokussieren.

• Eine weitere Notationseinstellung wurde eingeführt für die Existenzspalte. Benutzer können nun „existent“ und „nicht existent“ in ihren eigenen Worten umschreiben. Das kann z. B. nützlich sein für den Befehl „Liste exportieren“, um den Erwartungen einer dritten Partei bezüglich der Formulierung zu entsprechen, und für den Befehl „Wiederherstellen/Kopieren“, wenn man Dateien anhand ihres Existenz-/Löschzustands gruppieren lassen möchte, so dass die Verzeichnisse dafür gefällig benannt werden. Weitere mögliche Umschreibungen sind z. B. „logisch vorhanden“ (für aus Dateisystemsicht existente Dateien) und „wiederhergestellt“ (für ehemals existierende Dateien).

• Es gibt nun extra ein Symbol (der kleingeschriebene Buchstabe i in einem Kreis) in der Überschriftszeile des Verzeichnis-Browsers, das Sie anklicken können, um eine textuelle Zusammenfassung aller aktiven Filtert mitsamt ihren Einstellungen zu erhalten.

• Das Icon mit den Schlüsseln direkt neben einer BitLocker-Partition im Fallbaum sowie im Verzeichnis-Browser wird nun ausgegraut dargestellt, wenn das richtige Passwort oder der richtige Schlüssel für die Entschlüsselung bereits im Fall hinterlegt ist, um zu bestätigen, dass die Verschlüsselung kein Hindernis mehr darstellt. Aus ähnlichen Günden werden nun BitLocker-Partitionen mit Clear-Key-Verschlüsselung mit demselben Icon präsentiert.

• Der Override-Befehlszeilen-Parameter für die unüberwachte automatisierte Verarbeitung kann nun die Passwortabfrage für BitLocker umgehen, sowohl mit dem Wert 1 als auch dem Wert 2. Er kann nun X-Ways Forensics auch die interne Passwortsammlung (in Passwords.txt) ausprobieren lassen, wenn der Wert von 4 mit der üblichen 1 kombiniert wird was Override:5 ergibt. [Beachten Sie bitte, dass Override:5 nicht kompatibel ist mit früheren Versionen von X-Ways Forensics.]

• Die Optionen, um die Farbverläufe für Markierungen und für den Zustand „bereits eingesehen“ einzustellen, sind nun intuitiver erkennbar.

Diverses

• Das Exportieren und Importieren ausgewählter Vermerknamen als UTF-16-Textdateien speichert nun nicht nur den Namen eines Vermerks und die optionale Beschreibung, sondern auch den Typ des Vermerks (z. B. „benutzerdefiniert“) und dessen Konfiguration (die Häkchen auf der rechten Seite des Dialogfensters, in dem Vermerke verwaltet werden).

• Schablonen unterstützten nun einen neuen Modifikator namens „hidden“, der eine Variable kennzeichnet, deren Wert während des Einlesens der Daten gesetzt werden soll und der u. U. in nachfolgenden Berechnungen benötigt wird, den Sie aber aus z. B. aus Gründen der Übersichtlichkeit oder Einfachheit nicht dem Benutzer zeigen möchten. Er ist auch nützlich für Konstanten, die Sie intern definieren und in Berechnungen verwenden, mit denen der Benutzer nicht behelligt werden soll.

• Ein Fehler wurde behoben, bei dem OCR unfreiwillig und grundlos nach der Bildinhaltsanalyse auf ausgewählte Dateien angewandt wurde.

• Eine aktualisierte Version von v8.5.7 der Viewer-Komponent ist jetzt herunterladbar. Korrekturen von Oracle bis Juli 2025 wurden darin übernommen.

• Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

• Viele kleinere Verbesserungen.

Änderungen der Service-Releases von 21.5:

• SR-0+: The "Do not display again" check box was unusable in message boxes with only one button in the original v21.5 release. That was fixed.

• SR-1: More forms of compressed data storage in APFS are now supported.

• SR-1: OCR can now also be triggered by the detection of paper texture in a picture.

• SR-1: More consistent in which button in a message box (e.g. OK or Cancel) is compatible with the "Do not display this message again" option.

• SR-1: Fixed an instability that could occur when decrypting partially encrypted Windows 11 BitLocker volumes.

• SR-2: v21.5 SR-1 became unstable when the user interface was set to British English spelling. That was fixed.

• SR-2: Improved keyboard navigation. Even with no data window, you can now press the Tab key to give the case tree the focus. You can now navigate up and down in that tree with the cursor keys without inadvertently opening the Case Root window. You can press the context menu key to open the context menu of an evidence object is one is selected in the case tree, or the context menu of a directory within an evidence object, e.g. to explore recursively.

• SR-3: Italian translation of the user interface updated.

• SR-3: Prevented an error message about the inability to find the Cache file of a volume snapshot that could occur in certain situations in v21.5.

• SR-3: Prevented an infinite recursion when deconstructing certain Windows executable files (DLLs) in v21.4 and later.

• SR-3: Prevented a floating point exception error when processing certain SQLite database files.

• SR-4: Prevented a possible infinite recursion when parsing UFS file systems.

• SR-4: An error in LVM2 handling prevented the volumes within an LVM2 Container partition, if it was not the first in a group of LVM2 Containers, to be listed correctly, unless the first LVM2 Container in the sequence was opened first. This was fixed.

• SR-4: Fixed inability to explore certain large nested archives with caching enabled when not using additional threads.

• SR-4: Prevents the identification of certain audio-only MPEG-4 file as MP4 video.

• SR-4: Prevents an exception error that could occur in v21.4 in certain situations when using older WinHex.cfg files.

• SR-4: v21.4 and later did not fully explore RAR archive files that in turn contained ZIP archives. That was fixed now in v21.5 SR-4 with an updated zip.dll file that can be recognized by its modification date (later than all the other files).

• SR-5: X-Tension API: The XWF_GetEvObjProp() function can now replace an evidence object with a new image using an nPropType of 100.

• SR-5: Fixed a hanging error that occurred rarely with certain cells in the directory browser when presented with a very wide column width.

• SR-5: Fixed an error that occurred when decrypting data in sectors at the end of very large BitLocker partitions (> 1 TB).

• SR-5: Presenting certain HEIC files in Details mode updated the "Content created" cell with a timestamp in a wrong time zone. That was fixed.

• SR-6: When opening files in NTFS file systems from within the directory browser in a separate data window, the Info Pane optionally showed up to 7 digits after the decimal point for the creation timestamp as a sub-second value although the available precision in the volume snapshot only justified the display of 4 such digits. That was fixed.

• SR-6: Presenting certain JPEG files in Details mode updated the "Content created" cell with a timestamp in a wrong time zone. That was fixed.

• SR-6: v21.5 SR-3, SR-4 and SR-5 did not properly rotate certain JPEG photos for viewing and OCR. That was fixed.

• SR-6: Fixed processing of the command line parameter "GetLicID:".

• SR-7: The internal graphics display library now supports TIFF pictures with CCITT compression.

• SR-7: Slightly revised support for PNG pictures in the internal graphics display library.

• SR-7: Prevented an exception error that could occur when extracting e-mails from certain rare PST e-mail archives.

• SR-7: Fixed usage "structure type" as a criterion to identify duplicates and fixed "+ Modified" as an additional criterion.

• SR-7: Fixed certain "Do not display this message again" behavior.

• SR-7: Prevented a rare division by zero error with certain RIFF files.

• SR-8: If the Windows operation system lost control over a storage device that was in the process of being imaged, signaling a certain error condition, v21.2 and later reported the error description from Windows correctly and reported the total number of unreadable sectors correctly, but only listed the first affected internal range of sectors individually although it (pointlessly) continued the operation. In v21.5 SR-8 and also all future releases of v21.2 and later the same error condition will stop the imaging procedure.

• SR-8: One more error condition is now recognized as permanent loss of connection to a storage device.

• SR-8: Fixed an exception error that could occur in v21.5 if text or paper texture detection was selected as a reason to run OCR on a picture.

• SR-8: The selected hash types in the Refine Volume Snapshot dialog window were not stored in .dlg selection files. That was fixed.

• SR-8: The number of extra threads set in the Refine Volume Snapshot dialog window can now be optionally stored in .dlg selection files (although it is machine-specific) if you hold the Shift key while creating the .dlg file.

• SR-8: Prevented an error that could occur with overlong paths within the case directory when a volume snapshot backup was created with labels.

• SR-8: Prevented occasional misidentifications of the device type "Screen?".

• SR-8: The registry viewer now always presents the decoded form of the TrayNotify IconStreams texts instead alternatingly the original and the decoded form.

• SR-9: Automatically resuming crashed sessions did not work if temporary files were stored in a case-specific temp path. That was fixed.

• SR-9: Prevented an exception error that could occur when opening certain rare BitLocker volumes.

Werden Sie zertifizierter Benutzer von X-Ways Forensics
Werden Sie X-PERTe. (X-Ways Professional in Evidence Recovery Techniques)

Beweisen Sie Ihre Fähigkeiten in der Computerforensik im Allgemeinen und mit X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm. Nach dem Bestehen der herausfordernden Prüfung werden Sie Teil einer exklusiven Gruppe und genießen neben der entsprechenden Anerkennung auch weitere einhergehende Vorteile, wie Schulungsrabatte oder Zugang zum aktualisierten Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden Sie hier.

Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

In dieser Ausgabe informieren wir Sie über ein am 8. Juni erschienenes Update mit wichtigen Verbesserungen, die Version 21.5.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Service-Releases oder auch Preview- und Beta-Releases interessiert sind, können Sie Informationen dazu jederzeit aktuell im Bereich "Announcements" des Forums finden. Bitte legen Sie sich ein Konto an (dazu werden die Log-In-Daten benötigt), um die Ankündigungen in diesem Bereich immer sofort per E-Mail zu erhalten. Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Danke.

Nächste deutschsprachige Schulungstermine:

• 30. Juni bis 3. Juli 2025: Online-Schulung "X-Ways Forensics 1"

• 8.-11. Sept. 2025: Online-Schulung "X-Ways Forensics 1"

• 13.-16. Okt. 2025: Online-Schulung "X-Ways Forensics 2"

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie online werden hier aufgelistet.

Was ist neu in v21.5?
(Die meisten Änderungen beziehen sich nur auf X-Ways Forensics.)

Datenträger- und Dateisystem-Unterstützung

• Ein Bild sagt mehr als tausend Worte: Die Anordnung von Partitionen auf physischen Datenträgern wird nun unterhalb der Liste von Partitionen im Verzeichnis-Browser graphisch dargestellt. Die horizontalen Positionen und Breiten aller Partitionen sind dabei direkt proportional zur Gesamtkapazität des Datenträgers. Es ist nicht garantiert, dass alle Partitionen sichtbar sind, denn ganz kleine Partitionen auf sehr großen Datenträgern könnten durch diese Berechnungsmethode gerade mal ein paar Pixels breit werden oder sogar zu einer Breite von 0 Pixeln abgerundet werden, weil die Repräsentation echt proportional und unverfälscht erfolgt. Wenn ein Beschuldigter für ungesetzliche oder fragwürdige Inhalte extra eine separate Partition angelegt hat, wird die dafür gewählte Kapazität in der bildlichen Darstellung im Vergleich zu anderen Partitionen weder aufgeblasen, bloß um eine leichtere Anklickbarkeit der Partition zu gewährleisten, noch heruntergespielt.
  
  Partitionen/Volumes, die nicht von einer aktiven Partitionstabelle referenziert werden (i. d. R. gelöschte Partitionen) werden in einer helleren Farbe dargestellt. Manuell vom Benutzer (von WinHex/X-Ways Forensics) definierte Partitionen werden in einer anderen Farbe angezeigt, um sie von anderen Partitionen abzugrenzen. Bereiche, die nicht von einer Partition belegt werden, sind als hohle Körper zu sehen, die von gepunkteten Linien umfasst werden.
  
  Dank einfacher 3D-Wiedergabe und des scheinbaren Sichtwinkels, können Sie die volle Breite (d. h. wahre Größe) von Partitionen auch dann erkennen, wenn sie sich teilweise mit anderen Partitionen überschneiden, weil diese voneinander versetzt positioniert sind. Das Überlappen von Partitionen ist problematisch weil sich die Frage ergibt, welche Daten im betreffenden Datenträgerbereich zu welche Partition gehören. Die Darstellung soll Benutzer auf dieses Problem aufmerksam machen. Auf LDM-Datenträgern von Windows, wird für dynamische Volumes, die aus mehreren unzusammenhängenden Speichersegmenten bestehen (auf potentiell more als einem physischen Datenträger), nur die Startpositionen angedeutet, dort wo ihre Namen erscheinen, begleitet von dem Wort "spanned" (übergreifend). Die weiteren Fragmente solcher Volumes werden nicht graphisch dargestellt.
  
  Die Darstellung der Partitionsanordnung reagiert auf einen darüber schwebenden Mauszeiger, linke Mausklicks, rechte Mausklicks und Doppelklicks. Große Rechtecke sind leichter mit der Maus zu treffen als enge Zeilen im Verzeichnis-Browser. Daher werden Sie vielleicht natürlicherweise dazu übergehen, Partitionen hierüber per Doppelklick zu erkunden.

• Möglichkeit zum Entschlüsseln von BitLocker-Partitionen ohne Mithilfe des Windows-Betriebssystems, in WinHex Lab Edition, X-Ways Imager, X-Ways Investigator und X-Ways Forensics. Dies erfordert, dass Sie das richtige Passwort oder einen Recovery-Key haben und eingeben (z. B. per Copy & Paste), falls nicht Clearkey-Encryption ohne echten Schutz vorliegt. Die Möglichkeit zur Eingabe von Passwort oder Recovery-Key besteht nicht in X-Ways Investigator. Allerdings kann X-Ways Investigator ein Passwort oder einen Recovery-Key verwenden, der für ein bestimmtes Asservat in einem Fall bereits von einem Benutzer von X-Ways Forensics eingegeben wurde, so dass Benutzer von X-Ways Investigator mit einem Fall, der BitLocker-Partitionen enthält, arbeiten können, sofern dieser von einem Kollegen geeignet aufgesetzt wurde.

• Unterstützung für weitere Varianten von dynamischen Datenträgern mit GPT-LDM-Partitionierung.

• Es wird nun eine Warnung angezeigt, wenn Sie den physischen Datenträger mit der laufenden Windows-Installation zum Sichern auswählen, weil typische Benutzer nur andere Datenträger als ihre eigenen sichern würden und weil atypische Benutzer, die wirklich für Backup-Zwecke ihr eigenes System sichern möchten bedenken müssen, dass die Daten in der Partition mit ihrem eigenen Windows-System ständigen Änderungen unterworfen ist während genau dieses Windows-System läuft. Es kann so nicht verlässlich ein 100%ig konsistenter Zustand abgebildet werden, denn während sich der Sicherungsvorgang dem Ende der Partition nähert werden sich bereits gesicherte Sektoren weiter vorne u. U. schon wieder geändert haben.

• Manuell definierte Partitionen werden nun in der Beschreibungsspalte als benutzerdefiniert beschrieben.

• NTFS: Zone.Identifier-URLs mit nicht-residenter Speicherung werden nun automatisch in die Metadaten-Spalte aufgenommen. Zusätzlich werden sie als Unterobjekt ausgegeben, damit die Cluster-Zuordnung gewährleistet ist.

• Mehrere weitere Formen von komprimierter Datenspeicherung in APFS werden nun in neu erzeugten Datei-Überblicken unterstützt. Betroffene Dateien, die bisher die Meldung "unsupported compression" auslösten, können nun erfolgreich geöffnet werden.

• Dateien, die in APFS als komprimiert gekennzeichnet sind, aber tatsächlich doch nicht komprimiert gespeichert sind, sondern „inline“ (residente Speicherung), werden nun verlässlich als solche erkannt und können in neu erzeugten Datei-Überblicken normal geöffnet werden. Dateien, die laut APFS mit „plain compression“ (d. h. keiner echten Kompression) gespeichert sind, werden nicht mehr mit dem C-Attribut dargestellt. Diese Dateien hatten zuvor auch die Meldung „unsupported compression“ ausgelöst.

• Das Erzeugen eines Datei-Überblicks von großen APFS-Partitionen ist jetzt schneller.

• Ein seltener Fehler wurde verhindert, bei dem die virtuelle Datei „BtrFS System Chunks“ zu Unrecht gegen Ende als nicht lesbar gemeldet wurde.

X-Tension API, 3rd Party Tool Support

• X-Ways Forensics lässt sich das Ausführen/Laden von X-Tensions nun sicherheitshalber erstmal vom Benutzer bestätigen, gerade auch bei der Ausführung über die Befehlszeile, sofern Sie diese Rückfrage nicht unter Optionen | Sicherheit ausschalten.

• Benutzer können nun entscheiden, ob sie die Original-ID ihres Dongles bzw. Ihre BYOD-Lizenz-ID direkt für Software von Drittparteien (z. B. X-Tensions) sichtbar machen möchten, und zwar in dem Dialogfenster, in dem die sog. nLicID angezeigt wird.

• X-Tensions können nun die Original-Dongle-ID bzw. die BYOD-Lizenz-ID sehen, wenn der Benutzer eingewilligt hat, diese Information zu teilen. Sie erhalten sie ggf. beim Aufruf ihrer XT_Init()-Funktion.

• Software von Drittparteien, die X-Ways Forensics von außerhalb über Befehlszeilenparameter steuert, kann den Befehlszeilen-Parameter "GetLicID:" verwenden, um die sog. nLicID herauszufinden, einen Hash-Wert, der einen Dongle oder eine BYOD-Lizenz eindeutig identifiziert. Nothing else will be done in a session started with that parameter, and X-Ways Forensics exits automatically. You could license your tool based on that ID and only allow use of your tool if the ID matches your expectations (if the ID is in your unlock list, if the user has a key file for that ID etc.). The first 4 bytes of the nLicID are returned as an exit code. Additionally, the full 16 bytes of the nLicID plus an 8-byte FILETIME value with the current timestamp in UTC can be written to a file whose path you designate optionally after the colon of "GetLicID:". By providing a unique, randomly generated filename, you can make extra sure that you get a freshly generated output file with an up-to-date nLicID and not a static, potentially outdated or manipulated value. And/or you can compare the first four bytes stored in the file with the exit code to make sure they match and/or check that the timestamp is not older than a second or so. If the first four bytes are all 0x00, that means that the X-Ways Forensics installation is not unlocked or that (re)writing the output file (if requested) has failed. This feature is also present in v21.4 SR-6 and later.

• Diverse XWF_*()-Funktionen der X-Tension-API reagieren nun freundlicher auf falsch übermittelte nItemID-Werte und zeigen einen Fehler über den Rückgabewert an statt einen Ausnahmefehler auszuwerfen. Weitere Rückgabewerte sind nun insbes. für XWF_GetItemSize() definiert.

• XWF_GetItemInformation() und XWF_SetItemInformation() können nun den Relevanz-Wert einer Datei oder eines Verzeichnisses ermitteln und auch selbst setzen.

• Das hVolume-Handle, das an die Funktionen XT_Prepare() und XT_Finalize() übermittelt wird, ist nun Null, wenn die X-Tension auf das Asservat-Überblicks-Fenster angewandt wird, so dass Sie diese besondere Situation leichter erkennen können und bei Bedarf die Anwendung Ihrer X-Tension verweigert können, wenn sie nicht dafür konzipiert wurde. Diese Änderung ist auch in v21.4 SR-5 und neuer enthalten.

• Drei selten verwendete Hash-IDs wurden in der X-Tension API geändert. Sechs weitere wurden als „deprecated“ markiert (nicht mehr für die Verwendung empfohlen). SHA-512 wurde hinzugefügt. Eine aktualisierte Liste finden Sie in der Dokumentation der XWF_GetVSProp()-Funktion.

Kryptographie

• Unterstützung des Hash-Typs SHA-512.

• Einfache Prüfsummen mit einem aus mehreren Bytes bestehenden Akkumulator, die aber auf Addition von 8-Bit-Integer-Zahlen setzen, werden nun als separate Hash-Typen namens „Checksum (8 on 16 bit)“, „Checksum (8 on 32 bit)“ und „Checksum (8 on 64 bit)“ geführt. Dadurch wurde die Sicherheitsoption „Byteweise Prüfsummen-Berechnung“ überflüssig. Diese ist somit entfallen.

• Überarbeitete Hash-Berechnung und überarbeitete Verschlüsselungsalgorithmen, jetzt mit Optimierungen für verschiendene Prozessoren.

• Die 256-Bit-AES-Verschlüsselung/Entschlüsselung ist jetzt etwa 30% schneller (auch auf alten Prozessoren).

Text-Extraktion, OCR

• OCR kann nun optional auf Bilddateien beschränkt werden, die von einem bestimmten oder für einen bestimmten Gerätetyp erzeugt wurden, z. B. von einem Scanner, als Bildschirmfoto oder generell für Ausdrucke, weil solche Bilder mit höherer Wahrscheinlichkeit relevanten Text enthalten und weil das Auslassen aller anderen Bilder sehr viel Zeit sparen kann.

• Bilddateien, bei denen die Gerätetyp-Erkennung nicht erfolgreich war („unbekannt“) oder auf die sie nicht angewandt wurde, weil die Metadaten-Extraktion noch nicht ausgeführt wurde oder weil die Gerätetyp-Erkennung den betreffenden Dateityp nicht unterstützt, können optional auch mit OCR verarbeitet werden.

• OCR kann optional auch angewandt werden, wenn die regulären Bedingungen (Dateityp, Auflösung, Gerättyp) nicht erfüllt sind, aber die Bildinhaltsanalyse die Präsenz von Text oder Papiertextur anzeigt. Wenn dies ganz am Ende der Datei-Überblicks-Erweiterung während des separaten Vorgangs der Bildinhaltsanalyse geschieht, wird der daraus resultierende Text auch noch indexiert, sofern Indexierung aktiv ist.

• Text, der aus Dokumenten oder Bildern im Vorschau-Modus extrahiert wird, kann auch im Datei-Überblick gespeichert werden. Die Wahl dieser Option merkt sich X-Ways Forensics separat speziell für den Vorschau-Modus. Sie ist in der Voreinstellung nicht aktiv, so dass Sie mit verschiedenen OCR-Einstellungen und unterschiedlichen PDF-Decodierungseinstellungen experimentieren können und bei jedem Versuch frische Ergebnisse sehen statt immer den gleichen Text, der nach dem allerersten Versuch im Datei-Überblick gespeichert wurde. Um zu den Einstellungen zum Decodieren und für OCR speziell im Vorschau-Modus zu gelangen, können Sie den Schalter für den Text/OCR-Untermodus mit der rechten Maustaste anklicken.

• Die Kommentarspalte zeigt nun eine Vorschau des extrahierten Textes an, wie er im Datei-Überblick gespeichert ist, wenn Sie dies wünschen (hängt ab von einer neuen Notationseinstellung). Solcher extrahierter Text wird dort in grauer Farbe angezeigt, um ihn von echten Benutzerkommentaren leicht unterscheiden zu können. Wenn Sie an der Stelle mehr Text sehen möchten, können Sie wie immer den Mauszeiger über der betreffende Zelle parken. Der Kommentarfilter arbeitet weiterhin nur mit echten Kommentaren.

• Um Dateien selektiv in den Zustand „noch zu verarbeiten“ zurückzuversetzen, können Sie sie bekanntlich auswählen und Strg+Entf drücken. Dies entsorgt nun auch extrahierten Text, der im Datei-Überblick gespeichert ist, so dass erneute Text-Decodierungs- und OCR-Operationen über das Erweitern des Datei-Überblicks (ggf. nach Anpassung der Datei "PDF Requiring OCR.txt", s. u.) einen weiteren Versuch unternehmen.

Datei-Typ-Unterstützung

• Die interne Grafikanzeigebibliothek wurde aktualisiert. (Auch in v21.4 SR-5 und neuer enthalten.)

• Die Anzahl der Bilddateien, denen X-Ways Forensics eine Geräteklasse oder Softwareklasse zuordnen kann, wurde weiter erhöht.

• Das Stichwort „Dissemination“ neben der Generatorsignatur identifiziert Bilddateien, die als Kopie für einmalige Verwendung übermittelt wurden, z. B. zur Anzeige in einem Web-Browser. Das Stichwort „Edited“ neben der JPEG-Generator-Signatur identifiziert eine Kopie, die zur dauerhaften Speicherung gedacht ist.

• Das gleichzeitige Durchblättern der Seiten mehrerer PDF-Dokumente auf einmal für OCR-Zwecke ist jetzt optional und standardmäßig ausgeschaltet. Dies kann in bestimmten Dokumenten, deren Darstellung in der Viewer-Komponente langsam ist, vollständigere Ergebnisse liefern, kostet aber mehr Zeit.

• Text in PDF-Dokumenten aus bestimmten Quellen kann u. U. nicht leicht decodiert werden. Das äußert sich z. B. darin, dass die Textausgabe unvollständig ist oder verunstaltet oder dass nur lauter Müllzeichen ausgegeben werden. Wenn Sie in einem Echtfall auf eine Reihe gleichartiger PDF-Dokumente mit diesem Problem stoßen (die über denselben Mechanismus für denselben Zweck erzeugt wurden, z. B. Kontoauszüge, Rechnungen, Produktspezifikationen, ...), so dass der daraus decodierte Text nicht lesbar oder nicht durchsuchbar/indexierbar ist, können Sie den Namen der erzeugenden oder produzierenden Software oder die Generator-Signatur einer Liste hinzufügen, die X-Ways Forensics vor der Decodierung von PDF-Dateien prüft. Wenn es eine Übereinstimmung mit einer dieser drei Eigenschaften gibt, wendet X-Ways Forensics OCR auf die betreffenden Dateien an statt (mutmaßlich vergebliche) Anstrengungen zu unternehmen, die reguläre Text-Decodierung anzuwenden. Sie finden diese spezielle Option in dem Dialogfenster mit den Decodierungseinstellungen. Dies ist einer eher technische Einstellung und als solche nicht in X-Ways Investigator verfügbar. Ohne diese Option ist die einzige Situation, in der ein PDF-Dokument mit OCR behandelt wird, die, in der überhaupt kein Text per Decodierung ausgegeben wird, genau wie in früheren Versionen.
  Die besagte Liste wird in einer Textdatei namens „PDF Requiring OCR.txt“ verwaltet und kann so leicht mit anderen Benutzern geteilt werden. Das Format wird in der Textdatei selbst erklärt, wenn sie erstmalig erzeugt wird. Sie wird in demselben Verzeichnis erwartet, wo auch Ihre WinHex.cfg-Datei und diverse andere benutzerdefinierte Textdateien liegen. Generator-Signaturen sowie die Namen von PDF-erzeugender und -produzierender Software können im Details-Modus gefunden und bei Bedarf von dort kopiert werden. Für die Generator-Signatur werden nur die 8 Hexadezimal-Ziffern benötigt.

• In SQLite-Datenbanken gefundene eingebettete Daten werden nun mit hilfreicheren Dateinamen ausgegeben.

• Akzeptiert bestimmte leicht fehlcodierte zlib-komprimierte Daten als gültig.

• Gründliche Evaluierung der DQT (Quantisierungstabellen) in JPEG-Dateien.

• Der Gerätetyp-Filter erlaubt es nun auch, Dateien aufzulisten, bei denen die Gerätetyp-Erkennung nicht versucht wurde, z. B. weil die Metadaten-Extraktion noch nicht lief oder weil die Erkennung bei dem Dateityp nicht unterstützt wird. Bei solchen Dateien ist die Gerätetyp-Zelle leer, was „nicht bestimmt“ bedeutet.

Fallverwaltung

• Es gibt nun einen Befehl im Kontextmenü des Verzeichnis-Browsers, mit dem Sie eine ausgewählte Datei oder ein Verzeichnis mit einem Lesezeichen versehen und eine individuelle Beschreibung dazu eingeben können. Lesezeichen sind hilfreich, um schnell zurück zu einem zuvor entdeckten interessanten Objekt zurück zu gelangen. Um eine Liste aller Lesezeichen im Fall zu sehen, rufen Sie das Bearbeitenmenü des Falldatenfensters auf. Alle Lesezeichen können dort aufgelistet und von dort aufgesucht werden, selbst wenn das Asservat, auf das sie sich beziehen, gerade nicht geöffnet ist. Wenn Sie ein Lesezeichen anlegen, erzeugt das gleichzeitig auch einen Vermerk, was nützlich ist zum Filtern und auch deshalb, weil das Sichern des Datei-Überblicks und das Wiederherstellen einer Sicherung zumindest diesen Vermerk ebenfalls mit sichert und wiederherstellt (allerdings nicht das Lesezeichen).

• Das Bearbeiten-Menü des Falldatenfensters ist nun statisch (immer dasselbe) und identisch zum Kontextmenü des Falls. In früheren Versionen, wenn ein Asservat im Fallbaum ausgewählt war, war das Bearbeiten-Menü identisch zum Kontextmenü dieses Asservats.

• Beim Öffnen von Falldateien mit unbekannten Daten von künftigen Versionen ist X-Ways Forensics nun präziser beim Melden und im Umgang mit dieser Situation, auf Fall- und auch auf Asservatebene.

• Falldatei-Backups (.bak-Dateien) werden nun nicht mehr so leicht „geopfert“ (ersetzt/überschrieben), wenn die letzten Änderungen an einem Fall geringfügig ausgefallen sind, so dass ältere Backups, die signifikant anders sind, i. d. R. länger vorgehalten werden.

• Die Funktionen, um alle Ausblendungen rückgängig zu machen und um ausgeblendete Objekte ganz aus dem Datei-Überblick zu entfernen, wurden vom Dialogfenster mit den Verzeichnis-Browser-Optionen in das Kontextmenü des Verzeichnis-Browsers verfrachtet (dort ins Untermenü „Ausblenden“).

• Gründlichere Konsistenzprüfung für Datei-Überblicke, die bestimmte Probleme im Cache und in der Speicherung von extrahierten Daten erkennt. (Erreichbar über den Schalter mit dem Häkchen im Dialogfenster zum Erweitern des Datei-Überblicks.)

Diverses

• Die Relevanz-Spalte hat jetzt einen Filter.

• .dlg-Dateien merken sich nun die Position von Trackbar-Steuerungselementen, die verwendet werden zur Einstellung der PhotoDNA-Sensitivität und der Strenge des Ähnlichkeitsprüfung von Excire. Zuvor wurden diese Einstellungsmöglichkeiten nicht in .dlg-Dateien gespeichert.

• Das Dialogfenster für die Vergrößern-Funktion, die es erlaubt, den Startoffset von aus Sektoren ausgegliederten Dateien sowie von Suchtreffern nachträglich passend vor- und zurückzuversetzen sowie ihre Größe maßzuschneidern, wurde überarbeitet und merkt sich jetzt mehr Einstellungen separat für Dateien und Suchtreffer als zuvor. Das Fenster hat jetzt außerdem eine neue Option, um die beabsichtigten Offset- und Größenänderungen in Bytes für Suchtreffer in UTF-16 bequem zu verdoppeln, so dass Suchtreffer mit 1 Byte pro Zeichen und Suchtreffer mit 2 Bytes pro Zeichen bequem gleichzeitig sinnvoll angepasst werden können.

• Der Arbeitsspeicher-Editor identifiziert laufende Prozesse nun als entweder 32-Bit oder 64-Bit.

• Die Beschränkung auf ganze Wörter bei der logischen Suche funktionierte bisher nicht, wenn man einzelne lateinische Buchstaben als ASCII/Lateinisch 1 suchte in extrahiertem Text, der intern als Unicode gespeichert war. Das wurde korrigiert.

• Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

• Viele kleinere Verbesserungen.

Änderungen der Service-Releases von 21.4:

• SR-1: Fixed a sector read error that could occur in NTFS partitions in interpreted nested images since v21.1.

• SR-1: .msg files whose metadata have been extracted now respond to the Sender and Recipient filters.

• SR-1: Fixed an exception error that could occur when extracting metadata from certain PDF documents.

• SR-1: Prevented a misleading message about unknown chunks that could be seen under certain circumstances when opening cases.

• SR-2: The viewer component now remembers more display settings between sessions.

• SR-2: The default scaling mode for PDF documents is now "Fit to window" instead of "Fit to window width".

• SR-2: No longer tries to decode document files whose types cannot even be confirmed, just based on filename extension, which could yield lots of garbage characters as extracted "text".

• SR-2: More complete OCR results for certain multi-page PDF documents.

• SR-3: Slightly improved OCR quality for PDF files.

• SR-3: Fixed a very rare exception error that could occur when reading the Content created timestamp of a file from the volume snapshot under certain circumstances.

• SR-3: Fixed incomplete or missing search hit context preview for search hits in extracted text in v21.4.

• SR-3: Fixed an error that depending on the cover page settings could make X-Ways Forensics print the same file multiple times when multiple files were selected, since v21.3.

• SR-4: Fixed an error with SQLite processing that could (rarely) abort data storage in the volume snapshot.

• SR-4: When multiple threads are active dealing with SQLite databases at the same time, the creation of temporary files could fail with a misleading error description ("used by another process") provided by Windows. To address this issue, multiple re-attempts are made until the creation succeeds.

• SR-4: Fixed incorrect reporting of duplicate hash values when importing them from JSON files (Project VIC/CAID) and a potentially incomplete import from such files.

• SR-4: Fixed a rare error that could occur when converting Intel Hex data with Linux style line breaks to binary.

• SR-4: Ability to identify Windows Server 2025 as a platform.

• SR-5: Prevented unnecessary scrolling of the search term list back to the start of the list after selecting search terms and hitting the Enter key/clicking the Enter button/double-clicking.

• SR-5: Avoids that picture content analysis reports the fallback colors black and gray for incomplete JPEG pictures.

• SR-5: Prevented a rare error writing to temporary files in conjunction with certain archives, which were reported with just a question mark as the filename.

• SR-5: An automatic restart of X-Ways Forensics after a crash no longer decrements the number of remaining executions granted by an insured dongle.

• SR-5: Binary PList files with a minimal size are now processed.

• SR-5: More stable with certain rare SQLite database files.

• SR-5: Sometimes better readable floating point numbers in the output for SQLite databases.

• SR-6: Fixed misidentification of some rare .docx files as archive bombs with zip record overlaps.

Werden Sie zertifizierter Benutzer von X-Ways Forensics
Werden Sie X-PERTe. (X-Ways Professional in Evidence Recovery Techniques)

Beweisen Sie Ihre Fähigkeiten in der Computerforensik im Allgemeinen und mit X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm. Nach dem Bestehen der herausfordernden Prüfung werden Sie Teil einer exklusiven Gruppe und genießen neben der entsprechenden Anerkennung auch weitere einhergehende Vorteile, wie Schulungsrabatte oder Zugang zum aktualisierten Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden Sie hier.

Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

In dieser Ausgabe informieren wir Sie über ein am 17. Februar erschienenes Update mit wichtigen Verbesserungen, die Version 21.4.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Service-Releases oder auch Preview- und Beta-Releases interessiert sind, können Sie Informationen dazu jederzeit aktuell im Bereich "Announcements" des Forums finden. Bitte legen Sie sich ein Konto an (dazu werden die Log-In-Daten benötigt), um die Ankündigungen in diesem Bereich immer sofort per E-Mail zu erhalten. Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Danke.

Nächste deutschsprachige Schulungstermine:

• 11.-14. März 2025: Online-Schulung "X-Ways Forensics I"

• 6.-9. Mai 2025: Online-Schulung "X-Ways Forensics II"

• 30. Juni-3. Juli 2025: Online-Schulung "X-Ways Forensics I"

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie online werden hier aufgelistet.

Was ist neu in v21.4?
(Die meisten Änderungen beziehen sich nur auf X-Ways Forensics.)

Erweiterung des Datei-Überblicks

• Text-Decodierung und OCR sind jetzt eigenständige und unabhängige Unteroperationen beim Erweitern des Datei-Überblicks und nicht mehr nur in Verbindung mit der Indexierung verfügbar. Dies ermöglicht Ihnen, vorab Zeit in diese Operationen zu investieren, um die späteren logischen Suchen zu beschleunigen. Die Zahl der extrahieren Zeichen kann in der Beschreibungsspalte abgelesen werden, sofern die Notationsoption zur Anzeige von "Andere" für diese Spalte gewählt ist.

• Es ist jetzt leichter festzulegen, ob OCR nur auf Dokumente (insbesondere bestimmte PDF-Dateien) und/oder auf Bilder angewendet werden soll. Beim Datei-Überblick Erweitern ist Bild-OCR jetzt Teil der Bildanalyse und -verarbeitung, und Sie können Zeit sparen, indem Bilder mit niedriger Auflösung, die mit hoher Wahrscheinlichkeit keine Dokumente sind, nicht OCR-behandelt werden.

• Sie brauchen OCR oder die Text-Decodierung während der logischen Suche nicht mehr auswählen, wenn diese Operationen bereits während der Erweiterung des Datei-Überblicks durchgeführt wurden, und der extrahierte Text im Datei-Überblick gespeichert wurde. Dieser wird dann zusammen mit den normalen Dateiinhalten automatisch durchsucht. Sie können die Text-Decodierung oder OCR während der logischen Suche aber dennoch aktivieren, falls gewünscht, um Decodierung bzw. OCR auf Dateien anwenden zu lassen, die bislang noch nicht entsprechend verarbeitet waren.

• Sie brauchen OCR oder die Text-Decodierung während der Indexierung nicht mehr auswählen, wenn diese Operationen bereits während einer vorherigen Erweiterung des Datei-Überblicks durchgeführt wurden, und der extrahierte Text im Datei-Überblick gespeichert wurde. Dieser wird dann zusammen mit den normalen Dateiinhalten automatisch indexiert. It will be indexed along with the regular file contents automatically. Sie können die Text-Decodierung oder OCR während der Indexierung aber dennoch aktivieren, falls gewünscht, um Decodierung bzw. OCR auf Dateien anwenden zu lassen, die bislang noch nicht entsprechend verarbeitet waren.

• Die Einstellungen für die Text-Decodierung in Dateien sind jetzt in einem einzigen Dialogfenster zusammengefasst, damit insbesondere die spezielle Unterstützungsoption für Tabellenkalkulationen nicht mehr so leicht übersehen wird. Diese war bislang unter Optionen | Datei-Betrachtung aktivier- und konfigurierbar, da es technisch mit der Viewer-Komponente in Verbindung steht.

• Die neue Methode zum Verwerfen von bereits vorhandenem, decodierten bzw. per OCR erkannten Text aus dem Datei-Überblick, und um die Text-Decodierung/OCR von Grund auf neu machen zu lassen (z.B. unter Verwendung der zuvor nicht aktiven Option für Tabellenkalkulationen), ist im Fenster für Datei-Überblick Erweitern den Haken aus dem für diese Operationen gemeinsam zuständigen Kontrollkästchen "Bereits erledigt" zu entfernen.

• Die sog. alternative (tatsächlich standardmäßig aktive) Text-Extraktionsmethode für Tabellenkalkulationen ist jetzt stabiler und verlangt nicht mehr, dass Sie X-Ways Forensics im Vordergrund halten.

• Vollständigere Text-Decodierung von Excel-Tabellen, die Diagramme enthalten.

• Interne Reorganisation und Optimierung des Datei-Überblick Erweiterns, insbesondere mit mehreren Arbeiter-Threads.

• Die Bildinhaltsanalyse hat jetzt einen noch stärkeren Einfluss auf die berechnete, generische Relevanz. Zum Beispiel kann die Relevanz erhöht werden in Abhängigkeit davon, wie ungewöhnlich der erkannte Inhalt ist, und mit welcher Gewissheit dieser Inhalt erkannt wurde.

• Die Bildinhaltsanalyse wird jetzt auf einige exotische Dateiformatvarianten angewendet, bei denen das zuvor nicht möglich war.

• Einige mögliche Programmabstürze bei der Verarbeitung von SQLite-Datenbanken wurden verhindert.

• Verbesserte Behandlung spezieller Gleitkommawerte (negative Werte einschließlich negativer Nullen, NaNs, und Unendlichkeitswerte) bei der Verarbeitung von SQLite-Datenbanken.

• Unter Optionen | Sicherheit können Sie jetzt nicht mehr nur gezielt einen Programmabsturz simulieren lassen, zum Beispiel, um die automatische Wiederaufnahme der Erweiterung des Datei-Überblicks zu testen, oder, um zu testen, wie sich ein von Ihnen für den Einsatz von der Kommandozeile aufgesetztes System im Absturzfall verhält, sondern können jetzt auch Ausnahmefehler, die von der Anwendung gefangen werden, und keinen Absturz verursachen, simulieren lassen, um z.B. zu testen, in welchem Verzeichnis der Eintrag in der error.log erzeugt wird, und welche Informationen diese dann enthält. Diese Funktion ist weiterhin nur in Preview- und Beta-Versionen verfügbar.

• Das DÜE-Dialogfenster wurde leicht umorganisiert.

• Zwei weitere Methoden um eine hängende vorherige Instanz (die ein Fortschrittsfenster anzeigt) aus einer zweiten Instanz heraus eventuell wieder zu beleben. Wenn Sie beide ablehnen, wird die übliche Liste der Threads angezeigt.

Dateiarchiv-Unterstützung

• Fähigkeit, Dateien aus .xz-Archiven und einigen Nullsoft-.cab-Archiven zu dekomprimieren.

• Fähigkeit, ausführbare Dateien für Windows (EXE, DLL, ...) und Unix/Linux (ELF) wie Dateiarchive zu dekonstruieren. Falls Sie daran interessiert sind, können Sie Dateityp-Kennungen wie ,exe,dll,elf zu einer der aktiven Dateityp-Listen unter Specialist | Datei-Überblick erweitern | Inhalt von Datei-Archiven aufnehmen | ... hinzufügen. Diese sind ab jetzt standardmäßig unter "Special interest" mit aufgeführt, welche nicht aktiv genutzt ist, und Ihnen in erster Linie Ideen liefern soll, welche weiteren Dateitypen Sie verarbeiten lassen könnten, wenn Sie möchten.

• Die Einstellungen für die Aufnahme von Dateien in Archiven in den Datei-Überblick können jetzt nicht mehr nur von Datei-Überblick erweitern aus erreicht werden, sondern auch aus den allgemeinen Optionen des Datei-Überblicks, weil sie auch für das Hinzufügen von Archiven zum Fall als eigenständige Asservate von Bedeutung sind.

• Vermeidet einen seltenen Fehler, durch den ein falsches Passwort für ein verschlüsseltes Archiv als das richtige vermerkt wird, wenn die Einträge in der vorliegenden Passwort-Sammlung durchprobiert werden.

• Die parallelisierte Behandlung von Datei-Archiven mit mehreren Threads wurde gezielt beschleunigt, insbesondere für Asservate, die sehr große Datei-Archive sind, wie beispielsweise Smartphone-Sicherungen.

• In v21.3 und früher, wenn ein DÜE-Thread eine Datei in einem Archiv verarbeitet hat, mussten andere Threads warten, wenn sie andere Dateien aus dem gleichen Archiv lesen wollten, sofern diese nicht bereits im Cache waren. In v21.4 warten andere Threads jetzt nicht mehr, sondern fahren stattdessen mit anderen Dateien im Datei-Überblick fort, die nicht in diesem Archiv gespeichert sind. Und derjenige Thread, der aktuell mit diesem Archiv beschäftigt ist, wird explizit beauftragt, auch die restlichen Dateien dieses Archivs abzuarbeiten. Falls das gesamte Asservat ein einziges Datei-Archiv ist, können alle Threads gleichzeitig Dateien aus diesem Archiv lesen.

• Beschleunigte Extraktion bestimmter großer GZ-Datei-Archive.

Bilddatei-Unterstützung

• Verbesserte teilweise Darstellung unvollständiger JPEG-Dateien mit der internen Bildanzeigebibliothek.

• Stabilere Darstellung beschädigter/unvollständiger WEBP-Bilder mit der internen Bildanzeigebibliothek.

• Aktualisierte Unterstützung für PNG und TIFF in der internen Bildanzeigebibliothek.

• Überarbeitete Erkennung des Gerätetyps Scanner und der Software-Klasse Twitter/X.

• Gerätetyp-Erkennung allgemein weiter verbessert.

Fall-Verwaltung

• Fähigkeit, ganze Asservate als verdächtig, irrelevant oder nicht kategorisiert zu kennzeichnen, über das Kontextmenü, und sie im Fallbaum mit einem entsprechenden Icon anzuzeigen.

• Fähigkeit, gezielt auszuwählen, welche Asservate aus einem anderen Fall importiert werden sollen. Früher wurden entweder alle oder alle als wichtig gekennzeichneten Asservate importiert. Die Import-Funktion kann auch dazu verwendet werden, einen kleinen Blick in einen anderen Fall (auf dessen Asservat-Liste und deren jeweilige Kennzeichnungen) zu werfen, ohne diesen Fall ganz zu laden, was den aktuell geöffneten Fall ersetzen würde, und ohne eine zweite Instanz zu starten, und ohne tatsächlich etwas zu importieren. Dieser Vorgang ist für den anderen Fall komplett schreibgeschützt und auch dann möglich, wenn dieser aktuell anderweitig zur Bearbeitung geöffnet ist.

• Verbesserte Darstellung abhängiger Asservate in entsprechenden Auswahl-Dialogfenstern.

• Der Kompressionsalgorithmus, der in neu hinzugefügten .e01-Evidence-Files verwendet wird, wird jetzt in den Eigenschaften des Asservats angezeigt.

• Die Option, das Passwort für verschlüsselte .e01-Evidence-Files im Fall zu speichern, wird nicht mehr nur sofort beim Hinzufügen der Sicherung zum Fall angeboten.

Benutzerschnittstelle

• Die französischen und rumänischen Abkürzungen für die Einheiten KB, MB, GB und TB, d.h. Ko, Mo, Go und To, können jetzt auch in anderen Sprachversionen der Benutzeroberfläche verwendet werden, dank einer neuen Option in den Notationsoptionen, und da diese jetzt Teil der Notationseinstellungen sind, können diese ggf. auch nur für Export- bzw. Datenaustauschzwecke aktiviert oder deaktiviert werden, falls gewünscht.

• Die französische Übersetzung der Benutzeroberfläche wurde überarbeitet und aktualisiert.

• ISO/IEC 80000-13 ist jetzt eine weitere Notationsoption (KiB, MiB, GiB, TiB) zusätzlich zum traditionellen und kompakteren Windows/JEDEC 100B.01-Standard (KB, MB, GB, TB).

• Zeigt das Wort "Admin" neben der Versionsnummer in der oberen, rechten Ecke in einer als Administrator gestarteten Sitzung, um darauf leichter aufmerksam zu werden.

• Nach der Deduplizierung einer Auflistung im Verzeichnis-Browser stellt X-Ways Forensics jetzt die ursprüngliche Sortierung der Objekte vor dieser Operation wieder her (weil die Reihenfolge sich intern zur Identifikation von Duplikaten ändert). Und falls die zuletzt ausgewählte Datei nicht als Duplikat ausgeblendet wurde, wird diese Datei automatisch hinterher wieder ausgewählt.

• Mehr zeitgleich zutreffende Zelleinfärbungskonstellationen resultieren jetzt in einer Farbmischung.

• Eine zweite Farbverlaufvariante ist jetzt für die Zelleinfärbung bedingungsspezifisch wählbar (ein diagonaler Verlauf).

• Sie können jetzt auch allgemein stärkere Farbverläufe wählen, wenn Sie möchten.

• Leicht überarbeitete Darstellung nicht verwendeter Einträge in der exFAT-Dateizuordnungstabelle, um Missverständnisse zu vermeiden.

• Dynamische E-Mail-Spalten reagieren jetzt auf verarbeitete .msg-Dateien im sichtbaren Bereich des Verzeichnis-Browsers.

• Tooltips in Zellen des Verzeichnis-Browsers sind im Dunkelmodus jetzt dunkler. Insbesondere werden die Kommentar-Tooltips nicht mehr mit einem hellgelben Hintergrund dargestellt.

• Im Vorschau-Modus können Sie jetzt einfach per rechtem Mausklick auf den Text/OCR-Schalter die Einstellungen für Text-Decodierung bzw. für OCR aufsuchen.

Daten-Dolmetscher

• Der Daten-Dolmetscher übersetzt jetzt optional auch HFS/HFS+- und FILETIME-Zeitstempel, die als Dezimalwerte in ASCII-Text dargestellt sind.

• Der Daten-Dolmetscher kann jetzt auch von Ihnen eingegebene Daten und Uhrzeit in ASCII-Text-Dezimalwerte umwandeln (für diejenigen Zeitstempelformate, für die ASCII-Text-Dezimalwerte unterstützt werden), sofern diese ASCII-Text-Dezimalwert-Darstellung aktiv ist. Sie müssen eine korrekte Terminierung des resultierenden Text-Strings sicherstellen (z.B. mit Leerzeichen, Zeilenumbruch, Nullbyte oder Dateiende). Nur möglich in nicht schreibgeschützten Datenfenstern.

• Der Daten-Dolmetscher kann jetzt Base64 in ASCII übersetzen (nicht umgekehrt).

• Wenn Sie ein zu übersetzendes Datum eingeben, in Binär oder Dezimal-ASCII, und Sie aber keine Uhrzeit eingeben, nimmt dies jetzt eine Zeit von 00:00:00 an, statt Ihnen mit einer Fehlermeldung auf die Nerven zu gehen.

• Die Interpretation der Daten an der aktuellen Cursor-Position im Statusbalken unterstützt jetzt jedes der aus dem Daten-Dolmetscher bekannten Formate, nicht nur Integer-Werte. Wie bisher können Sie durch einen linken Mausklick auf die betreffende Zelle des Statusbalkens das gewünschte Format auswählen. (Die Anzeige der Uhrzeit zusätzlich zum Datum folgt in SR-1.)

X-Tension API

• Die Funktion XWF_GetVSProp() der X-Tension API unterstützt jetzt einen weiteren Operationstyp: XWF_VSPROP_RESET: Dies erzeugt einen neuen Datei-Überblick und setzt den für das betreffende Asservat zuständigen Teil des Fallbaums zurück.

• Um es dem Nutzer zu überlassen, ob von Ihrer X-Tension als irrelevant identifizierte Dateien dennoch von der Erweiterung des Datei-Überblicks weiter verarbeitet werden sollen, könnten Sie das Flag "ignorable" via XWF_SetItemInformation() in einem frühen Aufruf der Funktion XT_ProcessItem() setzen.

• X-Tensions API: Für die Funktion XWF_AddToReportTable() sind jetzt einige zusätzliche Flags definiert.

Verschiedenes

• Fähigkeit, auf bestimmten LDM-Datenträgern mit GPT-Partionierung, die zuvor nicht unterstützt waren, die dynamischen Volumes zu identifizieren.

• Der Befehl Wiederherstellen/Kopieren und der Befehl, ausgewählte Dateien in einen Datei-Container zu kopieren, haben jetzt beide die neue Option, die Unterobjekte ausgewählter Dateien nur dann als eigenständige Dateien zu kopieren, wenn diese Unterobjekte keine E-Mail-Anhänge sind. Dies könnte eine nützliche Einstellung sein, wenn Sie diese Anhänge bereits in die Eltern-.eml-Datei einbetten lassen und dieselben Daten nicht zweimal ausgeben lassen wollen.

• Option, beim Kopieren von E-Mails in einen Datei-Container die E-Mail-Anhänge in die Eltern-.eml-Datei einbetten zu lassen.

• Die Dialogfenster für Pfad- und Vollpfad-Filter erlauben jetzt bis zu 4 Millionen Zeichen.

• Es ist jetzt möglich, logische Suchen ausschließlich auf per OCR gewonnenen Text anzuwenden.

• Index-Suchtreffer unterscheiden jetzt zwischen Suchtreffern in decodiertem Text und in per OCR gewonnenem Text.

• Verbesserte Unterstützung für Proxy-Server in BYOD+.

• Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

• Viele kleinere Verbesserungen.

Änderungen in den Service-Releases von v21.3

• SR-1: Verschiedene Schattierungen von Standardfarben mit spezifischen Namen (z.B. deep sky blue, fuchsia, aquamarine, yellow green, khaki, dark salmon, ...) können bei der Bildanalyse jetzt optional erkannt werden, wenn die Option zur Farberkennung voll ausgewählt ist. Spezielle Farben werden immer auf Englisch ausgegeben und nicht ins Deutsche, Französische, Spanische oder Italienische übersetzt. Wenn die Option nur halb ausgewählt ist, werden nur Standardfarben ausgegeben.

• SR-1: Alle Farbnamen, ob Standard oder Sonderschattierung, können jetzt optional das Wort "Farbe: " (sprachabhängig) vorangestellt bekommen, damit alle Farb-Vermerke als zusammenhängende Gruppe anzeigt werden, wenn die Vermerke alphabetisch sortiert werden.

• SR-1: Einige weniger dominante Farben, die in Bildern erkannt werden, werden jetzt ebenfalls ausgegeben.

• SR-2: Die Prüfung und Bestätigung bereits definierter Rahmen für die Suche nach bekannten Gesichtern ist jetzt optional. Dieser Schritt wird jetzt übersprungen, wenn für alle Bilder im Vorlagenverzeichnis bereits markierte Gesichter in Labels.xml definiert sind, sofern nicht erzwungen.

• SR-2: Die Verarbeitung von Dongle-Aktivierungs-Codes in v21.3 wurde korrigiert.

• SR-3: Der Umgang mit MD RAID ist jetzt einfacher und bequemer. Die MD RAID-Container-Partitionen werden jetzt beim Hinzufügen des physischen Datenträgers bzw. der Sicherung ebenfalls in den Fall mit aufgenommen. Dies ermöglicht es X-Ways Forensics, sich die Komponenten des rekonstruierten MD RAIDs zu merken, wenn Sie auch dieses RAID zu Ihrem Fall hinzufügen, für ein zukünftiges erneutes Öffnen. Diese Container-Partitionen sind standardmäßig für die rekursive Auflistung oder zum Datei-Überblick Erweitern nicht mit ausgewählt, da ihr Speicherplatz (hoffentlich) bereits anderweitig abgedeckt ist, und deutlich sinnvoller, über das rekonstruierte RAID.

• SR-3: Ein Ausnahmefehler wurde verhindert, der auftreten konnte beim Kopieren von Dateien aus Asservaten, die Datei-Archive sind, in einen Datei-Container, mit der Option, im Ziel-Container den Teilpfad zu reproduzieren.

• SR-3: X-Tension API: XWF_VSPROP_SET_HASHTYPE1 und XWF_VSPROP_SET_HASHTYPE2 der Funktion XWF_GetVSProp() waren nicht in der Lage, einen neuen Hash-Typ festzulegen, wenn noch kein Hash-Typ definiert war. Dies wurde behoben.

• SR-4: Die Unfähigkeit der einfachen Suchfunktionen, in bestimmten Situationen beim rückwärts Suchen die Daten zu finden, wurde behoben.

• SR-5: Die extreme Langsamkeit der rekursiven Auswahlstatistik in v21.3 in bereits rekursiv erkundeten Auflistungen in bestimmten Situationen wurde behoben.

• SR-5: Eine sehr seltene Endlosschleife beim Laden bestimmer JPEG-Dateien wurde behoben.

• SR-5: Weniger häufige Erkennung der Farbe Grau.

• SR-5: Unterstützung für mehr Dongle-Konfigurationen.

• SR-6: Die Datei-Überblick-Backups werden jetzt ordentlich gelöscht, wenn ein Asservat aus dem Fall entfernt wird.

• SR-6: Fähigkeit, die Asservate mit ihren Datei-Überblicken aus älteren Fällen zu importieren, die mit v20.9 und älter erzeugt wurden und andere interne Verzeichnisnamenskonventionen verwenden.

• SR-6: Ein Ausnahmefehler wurde verhindert, der in v21.3 beim Bewegen des Mauszeigers über Icons in einem nicht mehr rekursiv erkundeten Asservat-Überblicksfenster auftreten konnte.

• SR-6: Eine mögliche Unfähigkeit, bestimmte Unteroperationen der Bildanalyse und -verarbeitung in v21.3 zu aktivieren oder deaktivieren, wurde behoben.

• SR-6: Setzt in bestimmten Situationen jetzt spezielle Exit-Codes.

• SR-7: Merkt sich die Auswahl der zum Abgleich in einer Hash-Datenbank ausgewählten Hash-Sets in der Datenbank selbst. Aus diesem Grund, und als grundsätzliche Überlegung, um konsistente Ergebnisse bei einer automatisierten Ausführung von der Kommandozeile sicherzustellen, empfehlen wir, keine Hash-Datenbank einzusetzen, die auch von anderen Personen eingesetzt wird, die eine andere Auswahl festlegen könnten.

• SR-7: Verbesserte JPEG-Größenerkennung bei vorhandenen, leeren COM-Markern, was zur Darstellung des Bildes erforderlich sein kann.

• SR-8: Verhindert, dass das Installationsverzeichnis selbst direkt als das Verzeichnis für temporäre Dateien eingestellt wird.

• SR-8: Fähigkeit, RAR- und 7z-Archive mit voller Dateinamenverschlüsselung als verschlüsselt zu erkennen, wenn kein passendes Passwort angegeben wird.

• SR-8: Die optionale, alternative Interpretation erweiterter Zeitstempel in Zip-Archiven hatte seit v20.6 keinen Effekt. Dies wurde behoben.

• SR-8: "Duplikate in Liste finden" hat nicht immer alle Duplikate identifiziert, wenn zusätzliche Kriterien ausgewählt waren, oder der Name das primäre Vergleichskriterium war.

• SR-8: Ein Problem beim Extrahieren von Dateianhängen aus bestimmten Original-.eml-Dateien oder MBOX-E-Mail-Archiven in v21.1 und später wurde behoben.

• SR-9: Verbesserte Kompatibilität mit Proxy Servern in BYOD+.

• SR-9: Ein nicht erfolgreicher automatischer Neustart von DÜE in einer speziellen Situation wurde korrigiert.

Werden Sie zertifiziert in der Benutzung von X-Ways Forensics
Werden Sie X-PERTe. (X-Ways Professional in Evidence Recovery Techniques)

Beweisen Sie Ihre Fähigkeiten in der Computerforensik im Allgemeinen und mit X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm. Nach dem Bestehen der herausfordernden Prüfung werden Sie Teil einer exklusiven Gruppe und genießen neben der entsprechenden Anerkennung auch weitere einhergehende Vorteile, wie Schulungsrabatte oder Zugang zum aktualisierten Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden Sie hier.

Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde