WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

*** Stellenangebot bei X-Ways Software Technology AG ***

Was ist neu?

* Beim Verarbeiten von großen E-Mail-Archiven ist X-Ways Forensics nicht mehr vorübergehend blockiert, und das Extrahieren von E-Mails aus einem größeren Archiv kann bei Bedarf abgebrochen werden.

* Für generische Mailbox-Dateien wurde nun eine Signatur in die Datenbank aufgenommen, so daß solche Dateien nach einer Signaturprüfung mit "mbox" in der Typ-Spalte gekennzeichnet werden, selbst wenn sie gar keine Dateinamenserweiterung aufweisen. Ein Fehler wurde behoben, der zuvor das Verarbeiten von generischen Mailbox-Dateien verhinderte.

* Mehr und mehr Hinweise/Warnungen beim Verarbeiten von Dateien werden nun in Form von Berichtstabellenverknüpfungen hinterlegt, nicht mehr als Kommentare.

* Oft kann nun eine aussagekräftige Fehlermeldung ausgegeben werden, wenn ein E-Mail-Archiv nicht zu verarbeiten ist (weil es z. B. beschädigt ist, ein nicht unterstütztes Format hat).

* Es besteht nun die Möglichkeit festzulegen, wie kooperativ sich X-Ways Forensics bei länger andauernden Operationen verhalten soll, z. B. beim Hashen oder Suchen, wenn es mit anderen Prozessen um CPU-Zeit konkurriert. Drücken Sie dazu Umschalt+Strg+F5. 0 ist dort die Voreinstellung (nicht außergewöhnlich kooperativ). Sie können Werte wie 10, 25, 50 oder 100 ausprobieren. 100 bedeutet maximale Bereitschaft, CPU-Zeit abzugeben. Dies ist nützlich, wenn X-Ways Forensics mehrfach zugleich von verschiedenen Benutzern auf demselben Server ausgeführt wird, damit die CPU-Zeit etwas gerechter verteilt wird.

* Dateien, die aus einem Image oder Datenträger als Teil eines Berichts herauskopiert werden, werden nun mit dem Schreibschutz-Attribut versehen, damit sie nicht versehentlich verändert werden können, wenn man sie in Anwendungen wie MS Word öffnet.

* Es wurde ein Fehler behoben, der korrekte relative Pfade zu verknüpften Dateien beim Speichern des HTML-Berichts verhinderte, wenn das gewählte Ausgabeverzeichnis nicht das vorgeschlagene war.

* Ein zeitweilig bestehendes Problem mit Pfadverdoppelungen in Containern wurde behoben.

* Ein Fehler im Script-Befehl GetUserInput wurde aus der Welt geschafft.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip

Download-Instruktionen für registrierte Benutzer sowie Details zur Update-Berechtigung und Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html .

Was ist neu?

* X-Ways Forensics erlaubt es nun, E-Mails und Datei-Anhänge separat aufzulisten und einzusehen sowie die darin enthaltenen Texte zu durchsuchen. Dazu muß der Datei-Überblick erweitert werden. E-Mails werden nahtlos in den bestehenden Verzeichnisbaum eingeordnet, unterhalb der Mail-Archive, in denen sie enthalten sind. Sie lassen sich auch rekursiv auflisten (alle E-Mails und Anhänge aus allen Verzeichnissen auf einmal) und wie Dateien nach verschiedenen Kriterien filtern und sortieren.

Auch tiefer verschachtelte Dateien können vollautomatisch aufgelistet und erkannt werden. Beispiel: JPEG-Bilder, die in MS-Word-Dokumente eingebettet sind, die zur Tarnung mit falscher Endung versehen und in einem Zip-Archiv komprimiert wurden, das seinerseits in ein weiteres Zip-Archiv verschoben wurde (beliebige Verschachtelungstiefe) und so per E-Mail verschickt wurde.

Die folgenden Dateiformate werden unterstützt: Outlook Personal Storage (PST), Outlook Express (DBX, Versionen 4, 5 und 6), Mozilla (incl. Netscape und Thunderbird), Generic Mailbox (mbox, Berkeley, BSD, Unix), Eudora (.toc und .mbx), PocoMail und Barca (.idx und .mbx), Opera (.mbs), Forte Agent (.idx), The Bat! (.msb and .tbb), Pegasus (.pmi, .pmm und .cnm), Calypso und Courier, PMMail (.msg), FoxMail (.box), Maildir-Ordner (lokale Kopien), MHT Web-Archive (.mht) u. a.

Die E-Mail-Funktionalität befindet sich noch in einer Testphase.

* Im Vorschau-Modus gibt es nun einen Schalter, der es erlaubt, von der dateiformatspezifischen Vorschau in eine generische Textvorschau zu wechseln, was z. B. für E-Mails nützlich ist, wenn man ihren gesamten Quellcode mitsamt Header sehen möchte.

* Neue Icons wurden eingeführt für E-Mails, E-Mails mit Datei-Anhang und Archive-Dateien, die wie Verzeichnisse behandelt werden.

* Rekursiv erkundete Verzeichnisse werden im Verzeichnisbaum zur besseren Kenntlichmachung nun türkis angezeigt.

* Ein Fall kann nun gezielt schreibgeschützt geöffnet werden, selbst wenn er nicht paßwortschützt ist. Dies ist nützlich, wenn man denselben Fall zweimal zugleich öffnen möchte, um z. B. zu verhindern, daß man Ergebnisse einer noch andauernden Suche in einer Instanz von X-Ways Forensics verliert wenn man zur gleichen Zeit im selben Fall mit einer anderen Instanz diverse Dateien einsieht. Um den Schreibschutzmodus zu aktivieren, klicken Sie auf den Schalter oben im Fall-öffnen-Dialog.

* Paßwortgeschützte Falldateien, die mit der Ermittlerversion von X-Ways Forensics gespeichert wurden, können mit einem Super-User-Paßwort entsperrt werden, das von Administratoren speziell für diesen Zweck hinterlegt werden kann. Dies ist nützlich, wenn nicht auf EDV spezialisierte Ermittler ihr Paßwort vergessen.

* Das Befüllen von besonders großen Containern (mit vielen hundert Dateien) ist nun schneller.

* Ein selten auftretender Fehler wurde behoben, der dazu führte, daß Dateien innerhalb eines Containers unterhalb eines falschen Asservats eingeordnet wurden.

* OpenOffice-Dokumente werden nun standardmäßig von der Text-Decodierungsoption der logischen Suche erfaßt.

* Befehl zum Umkehren (Invertieren) der Auswahl im Verzeichnis-Browser-Kontextmenü.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip

Download-Instruktionen für registrierte Benutzer sowie Details zur Update-Berechtigung und Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html .

Allgemein zugänglicher Schulungstermin in Köln:

"X-Ways Forensics", 12.-14. März 2007

"Dateisysteme FAT, NTFS und Ext2/Ext3", 15.+16. März 2007

Weitere Informationen unter http://www.x-ways.net/signup-d.html und http://www.x-ways.net/training-d.html. Teilnehmerzahl begrenzt.

Was ist neu?

* Wenn Sie sich bei der Suche nach Schlüsselwörtern nicht für jeden einzelnen Suchtreffer interessieren, sondern lediglich dafür, welche Dateien zumindest einen dieser Suchbegriffe ent- halten, kann eine logische Suche nun stark beschleunigt werden, indem Sie X-Ways Forensics anweisen, nur maximal einen Treffer pro Datei aufzuzeichnen und dann gleich mit der nächsten Datei fortzufahren. Die sich daraus ergebende Suchtrefferliste wird so zwar unvollständig, aber es ist gewährleistet, daß sie alle Dateien enthält, für die es mind. einen Treffer gab, und zwar jede Datei nur einmal. Eine solche Liste ist ausreichend (und effizient!), um die betroffenen Dateien manuell einzusehen, sie mit Kommentaren zu versehen, sie aus einem Image herauszu- kopieren, sie an andere Ermittler in Form eines Containers weiterzugeben usw.

* Die Geschwindigkeit der logische Suche bei Hunderten von Suchbegriffen gleichzeitig wurde gesteigert.

* Nach dem Abschluß des Indexierens wird nun ein neuer Schritt automatisch angestoßen: die Optimierung des Index. Diesen optionalen Schritt können Sie jederzeit gefahrlos abbrechen, wenn Sie im Programm weiterarbeiten (z. B. eine Index-Suche starten) möchten. Im Zuge der Optimierung werden die index* .xfi-Datei-Bestandteile verschmolzen zu uindex*.xfi-Dateien, die schlicht wegen ihrer geringeren Anzahl eine höhere Performanz bei der Suche ermöglichen. Der Optimierungsschritt stellt auch sicher, daß die Funktion "Wortliste exportieren" keine Wörter mehrfach exportiert. Er kann auch von Hand zu einem späteren Zeitpunkt gestartet werden.

* Das Hinzufügen von Dateien zu einem Datei-Container mit ihrem vollständigen Pfad ist nun optional. D. h., wenn Sie das Ver- zeichnis "Urlaub 2006" zum Hinzufügen zu einem Container ohne Pfad auswählen, dann wird der Zielpfad im Container "\Urlaub 2006" sein, egal ob er ursprünglich \Urlaub 2006 war oder \Bilder\Urlaub 2006 oder \Meine Dateien\Bilder\Urlaub 2006.

Wenn Sie Dateien direkt mit dieser neuen Möglichkeit (also ohne Pfad) auswählen, landen sie direkt in der Stammverzeichnis- Ebene im Container. Die neue Option ist nützlich, wenn Sie vor- verarbeitete Dateien (z. B. relevante Auszüge aus dem freien Speicher) von Ihrer eigenen Festplatte aus in einem Container übertragen, wobei der vollständige Pfad irrelevant ist.

* Bequeme Möglichkeit, aus einer Combobox auszuwählen, ob der Schlupf von gewählten Dateien in einen Container übertragen werden soll oder nicht.

* Der neue Dialog, der es erlaubt, Dateien einem Container hinzuzufügen, bestätigt es Ihnen nun zur Sicherheit nochmal, wenn die sichere Umweg-Methode zum Befüllen aktiv ist.

* Neu erstellte Datei-Container erhalten nun die Endung .ctr, so daß man sie leichter von konventionellen Image-Dateien unterscheiden kann.

* Das Parity-Delay beim Zusammenfügen von HP/Compaq-RAID-5-Systemen ist nun variabel gehalten.

* Kompatibilität mit bestimmten exotischen NTFS-Volumes verbessert (noch im Test).

* Beim Sichern von Datenträgern wird nun ein Protokoll über den Vorgang als Textdatei erstellt und automatisch nach Abschluß geöffnet, so daß es eingesehen und bei Bedarf gedruckt werden kann. Warnungen über defekte Sektoren sind auch enthalten. (nur mit forensischer Lizenz, seit v13.4 SR-1/2)

* Die Galerie hat bisher für Datei-Container in rekursiver Ansicht vom Asservat-Überblick aus nicht funktioniert. Das wurde korrigiert. (seit v13.4 SR-1)

* Es wurde ein Fehler behoben, der in den Versionen 13.2 bis 13.4 unter bestimmten Umständen dazu führen konnte, daß die logische Suche überhaupt keine Treffer erzielt hat. (seit v13.4 SR-2)

* Es wurde ein Fehler behoben, der dazu führen konnte, daß X-Ways Forensics beim Löschen von Berichtstabellen auch Verknüpfungen von Dateien mit anderen Berichtstabellen verlor. (seit v13.4 SR-2)

* Einige textuelle Daten in Windows-Registry-Dateien wurden im Registry-Viewer zu Unrecht an Nullbytes abgeschnitten. Dies wurde verbessert. (seit v13.4 SR-5)

* Viele andere kleinere Verbesserungen und Korrekturen.

* X-Ways Forensics ist nun in den tragbaren Forensik-PCs vom Typ TreCorder© der Fa. mh SERVICE GmbH als Demo-Version vorinstalliert, die allerhöchste Geschwindigkeit beim Kopieren/Sichern von Festplatten versprechen (3 gleichzeitig):

http://www.mh-service.de/Forensic-PORTABLE/Download/TreCorder.pdf

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip

Download-Instruktionen für registrierte Benutzer sowie Details zur Update-Berechtigung und Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html .

Was ist neu?

* Möglichkeit, eine oder mehrere Dateien mehreren Berichtstabellen in einem einzigen Schritt zuzuordnen. Möglichkeit, im selben Dialogfenster Berichtstabellen neu zu erstellen und existierende umzubenennen und zu löschen.

* Möglichkeit, alle Dateien herauszufiltern, die bereits zu einer Berichtstabelle gehören ("NOT"-Operator), um sich auf diejenigen zu konzentrieren, die evtl. noch mit einer solchen Tabelle verknüpft werden sollten.

* Berichtstabellen können im Fallbericht nun deutlich kompakter ausgegeben werden, indem mehrere Dateien sich dieselbe Zeile teilen. Z. B. können Sie Bilder in Miniaturgröße ausgeben lassen und viel Papier oder Bildschirmplatz sparen, indem Sie 5 Bilder pro Zeile im Bericht in einer Art Galerieansicht gruppieren.

* Der Dateiname des Fallberichts ist nun frei wählbar. Wenn Dateien in Berichtstabellen mit dem Bericht ausgegeben werden sollen, werden sie nun erst zum Zeitpunkt der Berichtserstellung extrahiert und dazu in einem dedizierten Unterverzeichnis abgelegt. Auf diese Weise fällt es leichter, zwischen unterschiedlichen Berichten, die unterschiedliche Berichtstabellen enthalten, und ihren zugehörigen Dateien zu unterscheiden, z. B. weil verschiedene Berichte für verschiedene Empfänger generiert werden und weil jedem Empfänger nur die Dateien zur Verfügung gestellt werden sollen, die er zu sehen braucht.

* Möglichkeit, alle Objekte im Verzeichnis-Browser in genau demselben Format und mit denselben Spalten zu exportieren, wie im Programm angezeigt. Im Gegensatz zu früher werden auch die Namen von zugeordneten Hash-Sets und Berichtstabellen sowie Freitextkommentare mit ausgegeben. Die Spalten sind frei wählbar. Die Ausgabetextdatei kann entweder im Unicode- oder ASCII-Zeichensatz codiert sein.

Weil die beschreibenden Icons in der exportierten Liste nicht sichtbar sind, wurde eine weitere optionale Spalte eingeführt, die als Ersatz eine textuelle Beschreibung anbietet (und dadurch verdeutlicht, ob ein Objekt eine existierende Datei oder ein umbenanntes Verzeichnis ist usw.). Dieselbe Spalte ist auch optional im Verzeichnis- Browser verfügbar, auch wenn sie dort wegen der vorhandenen Icons nicht wirklich erforderlich ist.

* Die Liste der Dateityp-Kategorie-Definitionen wurde merklich erweitert. Z. B. gibt es jetzt Dateisignaturen und Typdefinitionen für MS Office 2007 und OpenOffice 2.

* Der Dateitypfilter ist nun schneller.

* Die Anzahl der unterstützten RAID-Komponenten wurde von 5 auf 10 Festplatten bzw. Festplatten-Images erhöht.

* Wenn mehrere Ermittler mit derselben Image-Datei arbeiten, jedoch in jeweils eigenen Falldateien, weil sie unterschiedliche Aspekte desselben Falls untersuchen, oder generell wenn man nicht auf EDV spezialisierte Ermittler mit Containern und vorbereiteten Index-Dateien versorgt, oder wenn von der Möglichkeit des verteilten Indexierens Gebrauch gemacht wird, gibt es die Option, ein gemeinsames Metadaten-Unter- verzeichnis für den Suchindex zu verwenden, was Plattenplatz spart, den Zugriff auf den Index wegen synergetischer Puf- ferung durch Windows beschleunigt und das Verwalten der Index-Dateien erleichtert.

Ein solches gemeinsam genutztes Metadaten-Verzeichnis für Suchindex-Dateien (.xfi-Dateien) wird sowohl für die Erzeugung des Index' als auch für die Suche im Index herangezogen, allerdings nur, wenn es vom Benutzer gezielt erstellt wurde, also schon existiert, wenn es gebraucht wird. Erwartet wird es als Unterverzeichnis des Verzeichnisses, in dem die Image-Datei liegt, mit demselben Basisnamen wie die Image-Datei, ohne Dateinamenserweiterung, und dem Suffix " Metadata". Wenn Sie es aus Performanzgründen vorziehen, den Index auf einem anderen Laufwerk unterzubringen als die Image-Dateien, können Sie das leicht erreichen, indem Sie das Metadaten-Unterverzeichnis als einen sog. Reparse Point in NTFS erzeugen, der auf das andere Laufwerk umleitet. Aber dies und die Entscheidung, ob von dem Feature überhaupt Gebrauch gemacht werden soll, bleibt dem Benutzer überlassen.

* Dasselbe generische Metadaten-Unterverzeichnis kann nun optional verwendet werden, wenn der Vorbereiter eines Containers seine eigenen Kommentare über in den Container kopierte Dateien mit weitergeben möchte. Der Empfänger des Containers sieht diese Kommentare, wenn er nicht nur den Container erhält, sondern auch das Metadaten-Unterverzeichnis des Containers, nach dem Hinzufügen des Containers zum Fall. Dies ist nützlich, wenn nicht nur eine Sammlung von Dateien an andere Ermittler weitergegeben werden soll, sondern auch weitere fallspezifische Informationen und bereits gewonnene Erkenntnisse. Z. B. könnten Computer- Spezialisten den Realnamen des Besitzers einer Datei hinzufügen, so daß der nicht auf EDV spezialisierte Fachermittler diesen leicht sehen kann, oder den Grund angeben, aus dem eine Datei zur Weitergabe im Container überhaupt ausgewählt wurde.

* Eine neue Version der Viewer-Komponente liegt für lizenzierte Benutzer von X-Ways Forensics zum Download bereit. Diese funktioniert auch mit früheren Versionen von X-Ways Forensics. Details finden Sie ganz unten auf der folgenden Seite: http://www.x-ways.net/forensics/viewer-d.html

* Möglichkeit, WinHex/X-Ways Forensics in einem Pfad auszuführen, der echte Unicode-Zeichen enthält. Diverse Verzeichnisse wie die Ordner für Image-Dateien und temporäre Dateien dürfen nun auch echte Unicode-Zeichen im Pfad enthalten (noch weiter zu testen). Die Viewer-Komponente allerdings akzeptiert solche Pfade für ihre eigenen temporären Dateien nicht.

* Möglichkeit, Festplatten mit solchen Pseudozufallszahlen sicher zu überschreiben, die wie hochverschlüsselte Daten aussehen (relativ schnell). Möglichkeit zum Überschreiben mit kryptographisch sicheren Pseudozufallszahlen (sehr langsam). Die Datentransferrate wird nun im Fortschritts- anzeigefenster angezeigt.

* Der Script-Befehl StrToInt unterstützt nun Integer-Zahlen, die größer als 4,3 Milliarden (32-Bit vorzeichenlos) sind.

* WinHex/X-Ways Forensics kommt nun mit in der Windows-Systemsteuerung eingestellten Datumsformaten zurecht, die nicht mit Tag, Monat oder Jahr enden, sondern mit einem speziellen Zeichen, wie etwa einem weiteren Punkt (.). Dieses Zeichen wird zwar in der Anzeige ausgelassen, aber die Reihenfolge von Tag, Monat und Jahr wird richtig übernommen.

* Wegen seiner geringen Bedeutung wurde der Befehl zum Hinzufügen einzelner Dateien in den Fall standardmäßig aus dem Kontextmenü des Verzeichnis-Browsers herausgenommen. Er ist nur noch vorhanden, wenn beim Rechtsklick die Umschalttaste gedrückt gehalten wird.

* Ein Schriftart-Fehler wurde behoben, der unter bestimmten Umständen im Kalendermodus auftreten konnte. (seit v13.3 SR-3)

* Die Anzahl der Bildschirmfotos im Fallprotokoll wurde seit v13.2 falsch angezeigt. Dies wurde mit v13.3 SR-3 behoben.

* Ein Fehler im Befehl "Duplikate im Verz.-Browser laut Hash unterdrücken" wurde mit v13.3 SR-3 behoben.

Ein beachtenswertes Update ist erschienen, v13.3.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip

Download-Instruktionen sowie Details zur Update-Berechtigung und Upgrade-Angebote für registrierte Benutzer unter http://www.x-ways.net/winhex/license-d.html .

Was ist neu?

* Wir möchten gerne noch einmal darauf hinweisen, daß Sie die reduzierte Benutzeroberfläche für Nicht-IT-Ermittler (z. B. Fachermittler in den Bereichen Buchprüfung, Geldwäsche, Korruption, Kinderpornographie, ...) ausprobieren können, indem Sie das entsprechende Ankreuzfeld unter Optionen | Allgemein zweimal anklicken. Lizenzen für nur diese vereinfachte Version von X-Ways Forensics sind zum halben Preis erhältlich. Mit dieser Benutzeroberfläche können Ermittler beispielsweise Datei-Container durchsuchen, die von DV-Spezialisten vorbereitet wurden, Dokumente einsehen, diese kommentieren, drucken, nach Stichwörtern durchsuchen und Berichte darüber erzeugen lassen. Sie werden von den technischen Feinheiten der Vollversion entlastet.

* Unterstützung für GUID-Partitionstabellen (GPT) wie sie von Intel-Macs und (falls explizit so ausgewählt) von Windows Vista erzeugt werden. Benötigt eine Specialist- oder forensische Lizenz. Die Fähigkeit, automatisch und auch manuell gelöschte Partitionen zu finden ist identisch mit der für konventionelle Partitionstabellen (MBR-/EMBR-Konzept).

* Partitionierte Datenträger wie z. B. Festplatten haben jetzt einen Verzeichnis-Browser, der die Partitionen auflistet. (Intern wird hierfür eine Art Datei-Überblick verwendet.) Ersetzt das Zugriffsschaltermenü (das Popup-Menü, das erscheint, wenn man den Schalter mit dem großen schwarzen Pfeil anklickt), welches für physische Datenträger in künftigen Versionen bald entfällt. Ermöglicht einfachen Zugriff auf die Startsektoren von Partitionen, optional mit Schablonen, und alle unpartitionierten Bereiche. Ermöglicht auch, alle unpartitionierten Bereiche in die globale logische Suche einzubinden, die aus dem Asservat-Überblick gestartet wird. Außerdem werden der Partitionierungsstil (MBR, GPT, dynamisch, Apple, Floppy/Superfloppy) und die Dateisysteme der Partitionen angezeigt. Ermöglicht, die Partitionsliste nach physischer Lage, Dateisystem oder Partitionsgröße zu sortieren.

* Möglichkeit, alle Asservate mit Datei-Überblick in einem Fall in einem einzelnen Schritt zu indexieren.

* Möglichkeit, aus dem Asservat-Überblick die Indexe aller Asservate eines Falls gleichzeitig zu durchsuchen, falls diese geöffnet sind und indexiert wurden.

* Unterstützung für verteilte Indexierung, um die Erzeugung des Index in zeitkritischen Fällen zu beschleunigen. Wenn n Computer an der Indexierung teilnehmen, kann jeder Computer ca. 1/n der gesamten Datenmenge indexieren (kann schwanken, abhängig von der Größe sehr großer Dateien im Datei-Überblick). Wenn alle entstehenden Index-Dateien (.xfi-Dateien) im gleichen Metadaten-Verzeichnis erzeugt oder gesammelt werden, werden diese genau wie ein Index behandelt, der nur von einem Computer erzeugt wurde. Um sicherzustellen, daß kein Teil des Datei-Überblicks zweimal indexiert oder versehentlich ausgelassen wird, müssen sich alle Beteiligten auf die gleichen Einstellungen einigen und sich eindeutige Nummern zuweisen lassen. Wenn beispielsweise 9 Computer beteiligt sind, muß jede der Nummern 1...9 genau einmal bei der Indexierung angegeben werden.

* Specialist | Text extrahieren ist jetzt erheblich schneller. Unicode-Text wird zu ASCII-Text konvertiert.

* Mit identischen Einstellungen ist die Indexierung jetzt etwas schneller als früher.

* Datei-Masken für die Decodierung von Text in logischen Suchen werden jetzt zusätzlich zu den Dateinamen auch auf die wahren Dateitypen angewandt, sofern die Signaturen bei der Erweiterung des Datei-Überblicks überprüft wurden. Es wird empfohlen, diese Dekodierungsoption auch auf RTF- und HTML-Dokumente anzuwenden, abhängig von den Zeichen, die in Ihren Suchbegriffen vorkommen, da in diesen Arten von Dokumenten Nicht-7-Bit-Zeichen wie z. B. die deutschen Umlaute häufig kodiert gespeichert werden. (seit v13.2 SR-3)

* Analog zur logischen Suche kann jetzt auch die *Indexierung* codierten, komprimierten oder anderweitig unkenntlichen Text in PDF-, WordPerfect-, HTML- und anderen Dokumenten abdecken.

* Ein Fehler in der Indexierung wurde behoben, der die "Ausnahme"-Option in Versionen vor v13.2 nicht verläßlich hat arbeiten lassen. (seit v13.2 SR-3)

* Die Suchtreffer-Vorschau wurde für sehr lange GREP-Suchtreffer verbessert.

* Wenn ein Fall archiviert wird, können Index-Dateien jetzt optional ausgeschlossen werden.

* Verbesserte Kompatibilität der .e01-Dateien, die von X-Ways Forensics erzeugt werden. (seit v13.2 SR-7)

* Möglichkeit, Informationen über Hardware-Geräte aus Windows 2000/XP-Registry-Dateien (Datei "SYSTEM") zu extrahieren, wenn der Registry-Bericht erzeugt wird.

* Die Registry-Report Definitionsdatei "Reg Report Keys.txt" erlaubt jetzt mehrere Jokerzeichen in den Registry-Pfaden.

* "Reg Report Keys.txt" unterstützt jetzt die Angabe von Registry-Zweigen, die von der Windows-Version unabhängig sind. So müssen z. B. die Einstellungen für Anwendungsprogramme nicht mehr doppelt angegeben werden, sondern nur noch einmal mit "??" als Angabe für das Betriebssystem anstelle von "NT" und "9x".

* Sich überschneidende GREP-Suchtreffer für denselben GREP-Ausdruck werden jetzt auch für physische Suchen verhindert.

* Die Konfigurationsdatei ist jetzt standardmäßig nutzerabhängig, d. h. für mehrere Benutzer, die dasselbe Installationsverzeichnis verwenden (z. B. auf einem Server), gibt es jetzt individuelle winhex*.cfg-Dateien. (seit v13.2 SR-5) Weitere Details finden Sie unter http://www.x-ways.net/winhex/setup-d.html.

* Fehler in Form eines unvollständigen Verzeichnisbaums nach Hash-Berechnung behoben. (seit v13.2 SR-5)

* Wenn Suchtreffer im Vorschau-Modus betrachtet werden, können Sie jetzt mit F3 weitere Suchtreffer in derselben Datei im Vorschau-Bereich suchen. (seit v13.2 SR-5)

* Wichtige Suchtreffer werden jetzt mit einer Fahne statt einer Büroklammer gekennzeichnet, um Verwirrungen zu vermeiden, da dieses Symbol bereits für den Schalter verwendet wird, der den Positions-Manager und die Lesezeichen aufruft. (seit v13.2 SR-5)

* Graphische Anomalien unter Windows 2000 behoben. (seit v13.2 SR-8)

* FAT-Zeitstempel werden in der Kalender-Ansicht nicht mehr in Ortszeit umgerechnet. (seit v13.2 SR-9)

Ein größeres Update ist erschienen, v13.2.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip

Download-Instruktionen für registrierte Benutzer, Details zur Update-Berechtigung sowie Upgrade-Angebote unter http://www.x-ways.net/winhex/license-d.html.

Was ist neu?

* Im Support-Forum unter http://www.winhex.net/ gibt es jetzt einen eigenen Bereich für deutschsprachige Postings mit Themenbezug Computerforensik. Aber auch in allen anderen Forumsbereichen dürfen und durften immer Nachrichten auf Deutsch verfaßt werden werden. Wenn Sie über Postings per E-Mail benachrichtigt werden möchten (z. B. in diesem Bereich oder bei den Announcements), abonnieren Sie bitte den gewünschten Bereich des Forums nach dem Einloggen bzw. nach dem Anlegen Ihres Forum-Accounts.

* In den Spaltenköpfen des Verzeichnis-Browsers gibt es neue (optionale) Schnell-Filter-Schalter, die ein bequemeres und direkteres Aktivieren und Verändern der dynamischen Filter ermöglichen.

* Der Indexierungsalgorithmus wurde komplett überarbeitet. Der Index ist nun deutlich schlanker, und die Indexierung kommt bei besonders ungünstigen Daten nun nicht mehr vorübergehend zum Stillstand. Das Format der Index-Dateien wurde verändert, so daß mit früheren Versionen erstellte Indexe nicht weiterverwendet werden können.

* Berichtstabellen haben sich weiterentwickelt von Textdateien, die immer nur einem Asservat angehörten, zu nur noch gedanklich existierenden, fallweiten gültigen Kategorien, nach denen nun auch dynamisch gefiltert und sortiert werden kann. Dies gilt auch im Asservatüberblick, ähnlich wie bei Kommentaren. Während Kommentare sich am besten für freie Texte eignen, können Berichtstabellen nun komfortabel als benutzerdefinierte Kategorien dienen wie etwa "Verbindung zu Firma X", "belastende Bilder" oder "Vorsteuerabzug prüfen", je nach Untersuchungszweck.

Berichtstabellen anstelle von freien Textkommentare auf diese Weise zum Filtern zu verwenden hat den Vortei, daß die Zuordnung nicht anfällig für Tippfehler ist. Jedes Objekt kann einer oder mehreren Berichtstabellen zugeordnet werden. Eine zusätzliche, optionale Spalte im Vereichnis-Browser zeigt an, welchen Berichtstabellen ein Objekt zugeordnet ist. Jede Zuordnung wird durch ein grünes Dreieck symbolisiert, analog zum roten Dreieck für Kommentare.

Die Felder für die Ausgabe von Berichtstabellen in den Fallbericht sind nun dieselben wie im Verzeichnis-Browser. Berichtstabellen, die ab Version 12.9 erstellt wurden, können in Version 13.2 weiterverwendet werden. Die Bezeichnungen von Berichtstabellen werden nun in Unicode statt ASCII abgelegt. Gleiches gilt für Dateinamen in Berichtstabellen.

* Kommentare werden von nun an in der gesamten Benutzeroberfläche und in Berichten in Unicode codiert anstelle von ASCII.

* Fallbezeichnungen, Dateinamen, Beschreibungen, Ermittlernamen, Namen von Image-Dateien, Bezeichnungen für Asservate, Kommentare, Parameter in der Befehlszeile und das Fallprotokoll benutzen ab sofort Unicode.

* Es ist nun möglich, die Asservate für eine rekursive Ansicht im Asservatüberblick auszuwählen.

* Fälle, die mit Version 13.2 und später gespeichert werden, lassen sich nicht mehr mit älteren Versionen von X-Ways Forensics öffnen. Des weiteren kann v13.2 gewisse Objekte aus älteren Versionen nicht importieren. Dazu gehören: Suchtrefferlisten von v12.9 und vorher; freier Speicher, Schlupfspeicher und Text wenn in einer separaten Datei gespeichert und einem Fall zugeordnet.

* Die Liste der Lesezeichen, die einem Asservat zugeordnet sind, kann nun nicht mehr über ein Icon im Fallbaum aufgerufen werden, sondern über das Büroklammer-Symbol in der Mitte eines Datenfensters.

* Der Name eines Asservats, dem eine im Verzeichnis-Browser aufgelistet Datei zugehörig ist, wird nun in einer eigenen Spalte dargestellt. Dies ist z. B. sinnvoll für einen rekursiv erkundeten Asservatüberlick und für Berichte, die die neuen asservatübergreifenden Berichtstabellen beinhalten, da es die Ermittlung der Herkunft von Dateien vereinfacht.

* Wenn man einem Fall eine Festplatte und ihre Partitionen als Asservat hinzufügt, listet der Fallbaum die Partitionen nun als Kindknoten der Festplatte auf. Volumes/Partitionen werden im Fallbaum von einem neuen Icon repräsentiert, um sie besser unterscheiden zu können von physischen Datenträgern. Es gibt keine separaten Icons mehr für den Zugriff auf Stammverzeichnisse, sondern die Volumes/Partitionen gewähren selbst direkten Zugriff darauf. All dies vereinfacht die Handhabung von sehr großen Fällen mit vielen Festplatten und Partitionen und braucht weniger Platz auf dem Bildschirm.

* X-Ways Forensics merkt sich nun verlorene Partitionen, die durch eine intensive Suche gefunden wurden, wenn die Festplatte bzw. das Festplatte-Image einem Fall als Asservat zugeordnet ist.

* Die besonders intensive Dateisystem-Struktur-Suche auf NTFS-Volumes wurde durch einen zweiten Durchgang ergänzt. Dieser findet in der Regel viele zusätzliche ehemals existierende Dateien, nämlich Dateien, die gelöscht, umbenannt oder verschoben wurden. Bei verschobenen/umbenannten Dateien werden die ursprünglichen Namen/Orte mit neuen Pfeil-Icons gekennzeichnet. Für viele der so zusätzlich gefundenen Dateien sind allerdings lediglich die Metadaten verfügbar (Dateiname, Zeitstempel, ID, usw.), nicht die Dateiinhalte.

* Neu eingelesene Datei-Überblicke von FAT-Volumes erkennen nun Verzeichnis-Einträge, die signalisieren, daß Dateien umbenannt oder verschoben wurden. Diese werden ebenfalls mit einem Pfeil-Icon dargestellt. Erfordert eine Specialist- oder forensische Lizenz.

* Unterstützung von mehreren Sessions für optische Datenträger mit dem UDF-Dateisystem. Die erste und die letzte Session werden automatisch aufgelistet. Zusätzliche Sessions in der Mitte können über die besonders intensive Dateisystem-Struktur-Suche ermittelt werden.

* Der strenge Laufwerksbuchstabenschutz ist in X-Ways Forensics nun optional, aber weiterhin standardmäßig aktiviert. Siehe Optionen | Sicherheit.

* Automatisches Speichern von Fällen in wählbaren Zeitintervallen.

* In den Verzeichnis-Browser-Optionen kann man Spalten nun links fixieren, d. h. unterbinden, daß sie horizontal rollen.

* Effizientere Speicherverwaltung bei Partitionen, die besonders viele (etwa mehrere Millionen) Dateien enthalten.

* Möglichkeit, im Kontextmenü des Verzeichnis-Browsers jedwede Sortierung auszuschalten. Spart Zeit bei besonders langen Dateilisten.

* Alle Ausgaben im Nachrichtenfenster können nun in einer Datei namens messages.txt mitprotokolliert werden. Siehe Optionen | Sicherheit. Die Datei liegt in dem Fall-Unterordner "log", wenn ein Fall aktiv ist, sonsten im Installationsverzeichnis.

* Neu erzeugte Datei-Container können für bessere Performanz optimiert werden, falls eine besonders große Anzahl von Dateien hinzugefügt werden soll. Alle Optionen, die Datei-Container betreffen, werden nun beim Erstellen eines neuen Containers abgefragt und nicht mehr unter Optionen | Sicherheit.

* Der Befehl "Wiederherstellen/Kopieren" wurde dahingehend erweitert, daß Dateien bequem einschließlich ihrem Schlupfspeicher herauskopiert werden können oder der Schlupfspeicher separat. (nur forensische Lizenz)

* Dateien der Windows-Ereignisanzeige (Event Logs, .evt-Dateien) können betrachtet werden. (nur forensische Lizenz)

* File Type Signatures.txt: Es werden mehr legitime Datei-Endungen pro Dateityp unterstützt.

* Bei der Erzeugung von Image-Dateien zeigt X-Ways Forensics nun die durchschnittliche Datentransferrate in MB pro Minute und die durchschnittliche Kompressionsrate im Fall von komprimierten .e01-Evidence-Files an. Auch für .e01-Dateien legt X-Ways Forensics nun eine gleichnamige Textdatei mit dem Hash-Wert an, wenn ein solcher berechnet wurde, auch wenn der Hash-Wert in die .e01-Datei integriert wird.

* Berichte sind nun flexibler. Alle Komponenten (Hauptteil, Berichtstabellen, Protokoll) sind optional. Es ist also z. B. möglich, ausschließlich ein oder zwei ausgewählte Berichtstabellen auszugeben. Des weiteren können Sie Uhrzeiten im Protokoll optional nicht mit ausgeben lassen, wenn Sie z. B. das Protokoll weitergeben, aber keine Rückschlüsse auf Ihre Arbeitsgeschwindigkeit zulassen möchten.

* Das Programm zur Anzeige von HTML-Ausgaben (Fallberichte, Registry-Berichte, Ereignisanzeigen) istnun unter Optionen | Viewer-Programme wählbar. Dabei kann sich ein Textverarbeitungsprogramm wie Microsoft Word als sinnvoller erweisen als ein Internet-Browser, weil es das Weiterverarbeiten von Berichten erlaubt und ggf. eingebettete TIFF-Bilder anzeigen kann. Wenn kein Programm angegeben wird, werden HTML-Dateien mit dem Standardprogramm für diese Endung geöffnet, i. d. R. mit Ihrem Standard-Internet-Browser.

* Bei der Erstberechnung oder Überprüfung des Hash-Wertes eines Asservats wird das Ergebnis der technischen Beschreibung des Asservats hinzugefügt.

* Die standardmäßige Dateinamenserweiterung von Schablonen wurde von .txt in .tpl geändert, um sie besser von anderen Textdateien im Installationsverzeichnis unterscheiden zu können.

* Beim Exportieren der Wortliste aus einem existierenden Index (z. B. für eine Wörterbuchattacke zum Knacken eines Paßworts) können Sie nun optional auch die Häufigkeit, mit der jedes Wort auftritt, in einer separaten Spalte mit ausgeben lassen.

WinHex-Download: http://www.x-ways.net/winhex.zip

Weitere Informationen für registrierte Benutzer, insbes. Instruktionen zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/license-d.html . Dort erhalten Sie Details zum Status Ihrer Lizenz und Ihrer Update-Berechtigung, zu Upgrade-Angeboten usw.

COMPUTERFORENSIK-SCHULUNG IN KÖLN

"X-Ways Forensics", 11.-13. September 2006
"Dateisysteme FAT, NTFS und Ext2/Ext3", 14.+15. September 2006

Weitere Informationen unter http://www.x-ways.net/signup-d.html und http://www.x-ways.net/training-d.html. Teilnehmerzahl begrenzt.

Was ist neu?

* WinHex und X-Ways Forensics sind wieder unter Windows 98/Me lauffähig. Allerdings kann volle Funktionalität unter Windows 98/Me nicht garantiert werden, und bei Problemen, die spezifisch für diese Windows-Versionen sind, können wir nicht weiterhelfen.

* Indexierung: Mit einer forensischen Lizenz ist es jetzt möglich, einen Index aller Wörter zu erstellen, die in allen oder bestimmten Dateien im Datei-Überblick (oder auch im freien Speicher) enthalten sind, auf Partitionen, die einem Fall als Asservat hinzugefügt wurden. S. Suchen-Menü. Das Indexieren ist ein zeitaufwendiger Vorgang und benötigt große Mengen an Festplattenplatz. Wenn er jedoch abgeschlossen ist, erlaubt Ihnen der Index, spontan und sehr schnell nach Stichwörtern zu suchen.

Als besonderes Features erlaubt unsere Methode der Indexierung, optional auch Teilwörter in den Index aufzunehmen, so daß man bspw. "Rechnung" findet in "Verrechnung", "Abrechnung" und "Berechnung", "Gesellschaft" in "Handelsgesellschaft" und "Tür" in "Haustür".

Bitte beachten Sie, daß der Indexierungsalgorithmus sich noch in einer Testphase befindet.

* Ein völlig neues Konzept zum Sichten von Suchtreffern wurde eingeführt. Erfordert das Arbeiten mit einem Fall. Es löst die beiden bisherigen von der logischen Suche bekannten Ausgabetypen ab und hat zahlreiche Vorteile:

Vom früheren "Suchtreffer auflisten" übernommen wurde die Anzeige der Offsets der Suchtreffer und der Kontextvorschau, die Möglichkeit, mehr von der Umgebung des Suchtreffers im Sektorenmodus zu sehen durch einfaches Klicken auf den Suchtreffer, und das Markieren von Suchtreffern als wichtig.

Analog zur früheren Ausgabemethode "Tabelle von Dateien mit Treffern" kann man alle Eigenschaften der Dateien sehen, die die Treffer enthalten (d. h. alle (!) vom Verzeichnis-Browser her bekannten Spalten) und den Filter in Verbindung mit den Suchtreffern einsetzen, um z. B. nur die Suchtreffer in allen .doc- und .xls-Dateien mit bestimmten Zeitstempeln aufzulisten. Ebenso lassen sich direkt in einer Suchtrefferliste Dateien kopieren, einsehen, markieren oder mit einem Kommentar versehen.

* Das neue Konzept zum Sichten von Suchtreffern erlaubt es, Treffer basierend auf einer beliebigen Position und Hierarchie-Ebene im Verzeichnisbaum einzusehen, also z. B. alle Suchtreffer in Dateien unterhalb von \Dokumente und Einstellungen\Müller, oder sogar alle Suchtreffer von allen Asservaten des gesamten Falls auf einmal, mit Hilfe des Asservatüberblicks.

* Ebenso ist es möglich, nach Abschluß einer Suche spontan einen Suchbegriff oder mehrere Suchbegriffe für die Suchtreffer-Auflistung auszuwählen, in der Suchbegriffsliste im Falldatenfenster. Damit ist es auch ein Leichtes herauszufinden, wie viele Treffer es für einen einzelnen gegebenen Suchbegriff insgesamt gab, für jede beliebige Ebene im Fallbaum, auch wenn mehrere Suchbegriffe auf einmal gesucht wurden.

* Die neuen Suchtrefferlisten sind nicht statisch, sondern werden dynamisch zusammengestellt, abhängig von gewählten Suchbegriffen, aktuellen Filtereinstellungen usw. Ein weiteres damit zusammenhängendes Merkmal ist, daß sie mit einem Befehl im Kontextmenü des Verzeichnis-Browsers nicht-destruktiv "ausgedünnt" werden können, so daß jede Datei mit zumindest einem Suchtreffer nur noch genau einmal aufgelistet wird. Dadurch können auch aus Suchtrefferlisten Dateien ohne Duplikate bequem auf die eigene Festplatte oder in Datei-Container kopiert werden.

* Suchtreffer können mit dem Kontextmenü des Verzeichnis-Browsers oder durch Drücken der Leertaste markiert werden. Mit der Leertaste kann man eine Markierung auch wieder entfernen. Die Suchbegriffsliste erlaubt es Ihnen, einen schnellen Überblick über alle markierten Treffer zu erstellen.

* Möglichkeit, Unicode-basierte Suchbegriffe (z. B. in Chinesisch, Russisch, ...) direkt für eine physische oder logische parallele Suche einzugeben.

* Echte Unicode-Kontextvorschau für Suchtrefferlisten.

* Kontextvorschau jetzt auch für Treffer im freien Speicher.

* Anzeige von solche Fehlermeldungen in Meldungsfenstern und im Nachrichtenfenster verbessert, die Unicode-Dateinamen enthalten.

* Es gibt einen neuen Anzeigemodus "Datei", ein Hybrid aus dem Sektorenmodus und dem Öffnen-Befehl im Verzeichnis-Browser-Kontextmenü. Er betrifft die untere Hälfte des Bildschirms wie alle anderen Modi und sieht dem Sektorenmodus ähnlich, aber deckt nur die Cluster/Inhalte der aktuell ausgewählten Datei ab, nicht alle Sektoren eines Datenträgers. Genau wie die Ausgabe des Öffnen-Befehls im Verzeichnis-Browser-Kontextmenü hat der Dateimodus eine Offset-Spalte, die relativ zum Anfang der Datei ist. Der Datei-Modus berücksichtigt Dateifragmentierung und zeigt die dekomprimierte Fassung von NTFS-komprimierten Dateien. Er ist generell bequemer als der Öffnen-Befehl, z. B. um zum Schlupf einer Datei zu navigieren, weil es weniger Klicks erfordert, um dorthin zu gelangen und eine Datei wieder zu verlassen.

* Das Anklicken von solchen Suchtreffern, die nur relative Offsets haben (z. B. als Ergebnis einer logischen Suche bei NTFS-komprimierten Dateien und generell für Ergebnisse der Suche im Index), aktiviert automatisch den neuen Dateimodus, da solche Treffer im Sektorenmodus generell nicht angezeigt werden können. Auch solche eher seltenen Treffer in einer Datei, die über nicht-benachbarte Cluster hinweg fragmentiert sind, kann nur der Dateimodus die Treffer korrekt farblich hervorheben und mit dem gesamten Kontext darstellen. Im Sektorenmodus ist das nicht möglich.

* Fragmentierte Dateien in UDF-Dateisystemen (i. d. R. auf DVDs) werden nun unterstützt.

* Benutzerdefinierte Kommentare zu einer Datei können nun auch dann eingesehen werden, wenn die Kommentarspalte nicht sichtbar ist, indem man den Mauszeiger über das Icon einer Datei im Verzeichnis-Browser bewegt.

* Möglichkeit, ausgewählten Text aus dem Nachrichtenfenster in die Zwischenablage zu kopieren. Der Text ist von dort verfügbar sowohl in Unicode als auch in ASCII.

* Erkennung von BitLocker-Partitionen von Windows Vista Beta als solche.

* Möglichkeit, Dateien im rekursiv erkundeten Asservat-Überblick zu markieren.

* Mehrfache Sessions auf einer mit CDFS/ISO9660/Joliet beschriebenen CD werden nun alle zugleich angezeigt. Optional (siehe Verzeichnis-Browser-Optionen) kann X-Ways Forensics nun den ISO9660-Verzeichnisbaum auch dann anzeigen, wenn es außerdem noch einen Joliet-Verzeichnisbaum gibt, was nützlich sein kann z. B., wenn der Joliet-Teil aufgrund von defekten Sektoren unvollständig ist.

* Möglichkeit, eine Liste aller im zuvor erwähnten Suchindex enthaltenen Wörter zu exportieren, um etwa einen individuell angepaßten Wörterbuch-Angriff auf Paßwörter damit starten zu können. Suche | Wortliste exportieren.

* Evidence-Files, die Abbilder von besonders großen Datenträgern sind, können nund deutlich schneller geöffnet werden.

* Möglichkeit, markierte und nicht markierte Object zu gruppieren. Dadurch können Sie bequem alle markierten Objekte auf einen Blick sehen.

* X-Ways Forensics zeigt nun den Verzeichnis-Browser auch für Partitionen mit einem nicht unterstützten, unbekannten oder nicht erkennbaren (da z. B. beschädigten) Dateisystem an. In einem solchen Fall wird nur die fiktive Datei "brachliegender Speicher" aufgelistet, die den gesamten Speicherplatz abdeckt. Der Befehl "Datei-Überblick erweitern" kann dann jedoch eingesetzt werden, um Dateien anhand von Header-Signaturen zu finden, die mit generischen Namen in Verzeichnis "Pfad unbekannt" aufgelistet werden. Auch die Vorschaumodus und der Galeriemodus stehen zur Verfügung. (nur mit forensischer Lizenz)

* Möglichkeit, in JPEG-Bildern eingebettete Miniaturansichten bequem aufzulisten, mit der Suche nach eingebetteten Bildern der Funktion "Datei-Überblick erweitern". Solche Miniaturansichten werden als fiktive JPEG-Dateien aufgelistet, unter dem Originalnamen und einem angehängten " Thumbnail".

* Beim Kopieren von Dateien aus dem Asservatüberblick mit Pfad werden die Namen der Datenträger/Images, auf denen sie liegen, nun im Ausgabeort als Verzeichnisse mit wiederhergestellt, so daß später keine Zweifel darüber entstehen kann, welche Dateien von welchem Asservat stammen.

* X-Ways Forensics gibt beim Einlesen von FAT-Dateisystemen nun Warnungen aus, wenn in existierenden Verzeichnissen aktive Verzeichniseinträge aus bestimmten Gründen defekt erscheinen.

* Auf bootbaren CDs, die such nach den El-Torito-Spezifikationen richten, kann X-Ways Forensics nun normalerweise den Boot-Teil finden und auflisten, wenn er ein erkanntes Dateisystem enthält.

* Die Feinabstimmung des Entropie-Tests für Verschlüsselung wurde verbessert. Das bedeutet weniger zu Unrecht ausgewiesene "e?"-Vermerke.

* Ein Fehler wurde in der Suchoption "Aufwärts" behoben. 

* Beim Decodieren von Text in PDF-Dokumenten für die logische Suche kann es vorkommen, daß kein Text gefunden wird, weil z. B. das PDF-Dokument nur graphische Daten enthält, die zwar lesbaren Text darstellen können aber selbst kein erkennbarer Text sind. Das Vermögen, eine solche Situation zu erkennen und den Benutzer darauf hinzuweisen (damit er das Dokument ggf. selbst noch einmal ansieht), wurde verbessert. (seit v12.9 SR-1)

* Die meisten PDF-Documente können nun "nach Typ" mit ihrer korrekten Originalgröße wiederhergestellt werden. (seit v12.9 SR-2)

* Ein Problem mit besonders stark fragmentierten $MFTs in NTFS-Dateisystemen mit bestimmten Eigenarten wurde behoben. Dieses kann u. U. unvollständige Datei-Auflistungen zur Folge gehabt haben. (seit v12.9 SR-12)

WinHex-Download: http://www.x-ways.net/winhex.zip

Weitere Informationen für registrierte Benutzer, insbes. Instruktionen zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html . Dort erhalten Sie Details zum Status Ihrer Lizenz und Ihrer Update-Berechtigung, zu Upgrade-Angeboten usw.

Was ist neu?

* Der Verzeichnis-Browser basiert ab jetzt direkt auf dem Dateiüberblick. Da somit eine Abstraktionsebene wegfällt, wurde der Speicherverbrauch pro Objekt um mehr als 50% reduziert, was beispielsweise bei einer rekursiven Auflistung von mehreren 100.000 Objekten meßbar wird. Das bedeutet auch, Objekte in Berichtstabellen werden zwingend mit dem Dateiüberblick abgeglichen, und Objekte, die nicht Teil des Dateiüberblicks sind, können im Verzeichnis-Browser nicht gelistet werden.

* Es gibt jetzt eine fiktive Datei "brachliegender Speicher" in jedem neu erzeugten Dateiüberblick. Diese Datei deckt alle Cluster ab, die als belegt markiert sind, deren tatsächliche Verwendung von X-Ways Forensics allerdings nicht ermittelt werden konnte, z. B. weil diese nur vormals belegt waren und dann vom Dateisystem nicht richtig freigegeben wurden.

* Zusätzliche fiktive Dateien für Ext2/Ext3, ReiserFS, NTFS, FAT und HFS+ für neu erzeugte Dateiüberlicke. Es gibt eine kurze Beschreibung der meisten fiktiven Dateien in der Programmhilfe zum Verzeichnis-Browser. Das Stammverzeichnis wird nun für die meisten Dateisysteme als spezielles, durchsuchbares Verzeichnis aufgelistet. Die Auswahl des Stammverzeichnisses für eine Suche betrifft dessen Verzeichniseinträge, nicht die enthaltenen Unterverzeichnisse. Hierfür müßten nach wie vor alle Einträge im Verzeichnisbrowser ausgewählt werden (Strg+A). Ob Strg+A auch die nicht wiederherstellbaren Dateien beinhaltet, kann jetzt übrigens über die Verzeichnis-Browser-Optionen festgelegt werden.

* Die Inhalte von Archiven, die im Verzeichnis-Browser manuell erkundet werden (z. B. durch Doppelklick), werden jetzt direkt Teil des Dateiüberblicks, wie von "Dateiüberblick erweitern" bekannt. (nur mit forensischer Lizenz)

* Neue optionale Spalten im Verzeichnis-Browser zeigen den Eigentümer und die Zahl der harten Verweise von Dateien und Verzeichnissen auf NTFS/Ext2/Ext3/ReiserFS/Reiser4/HFS+/UFS-Partitionen an. Harte Verweise auf NTFS-Partitionen werden nun angezeigt.

* Unterstützung für fortgeschrittene UDF-Funktionen wie residente Dateien und Verzeichnisse, variabel positionierte File-Set-Deskriptoren und Sparing Tables auf "Sparable"-Partitionen. Dies bedeutet, eine breitere Auswahl von DVD-Medien kann untersucht werden.

* Verbesserungen in der Unterstützung für UFS.

* Ein dynamischer Dateigrößen-Filter und ein Filter für einige besondere Werte in der Attribut-Spalte wurden eingeführt.

* Das Protokollieren der Nutzeraktivitäten getrennt nach Asservaten wird optional und in einer neuen Installation sogar standardmäßig deaktiviert. Sofern deaktiviert, erzeugt X-Ways Forensics ein großes chronologisches Protokoll für den gesamten Fall, der alle Asservate umfaßt. Beachten Sie, daß die Protokolle beider Arten nachträglich nicht in die jeweils andere Form konvertiert werden können.

* "File Type Categories.txt" unterstützt jetzt ganze Dateinamen zusätzlich zu Dateinamenserweiterungen. Nützlich für bestimmte Dateien mit klar definiertem Namen, deren Erweiterung nicht spezifisch genug ist:
-;index.dat; Internet Explorer history/cache
-;history.dat; Mozilla/Firefox browser history

* Die "File Type Signature.txt"-Datenbank wurde aktualisiert.

* Die Text-Spalte unterstützt jetzt 16-Bit-Unicode-Zeichen (Little-Endian UTF-16), z. B. Chinesisch, Kyrillisch. Siehe Optionen | Zeichensatz. Die Unicode-Zeichen werden an geraden Offsets erwartet. Tastatureingaben in Unicode in der Text-Spalte werden nicht unterstützt.

* Es gibt jetzt einen größeren internen Puffer für Archive (.zip, .rar, ...), der den Zugriff auf komprimierte Dateien beschleunigen kann. Außerdem gibt es nun keine technische Beschränkung mehr für die Zahl der ineinander verschachtelten Archive in Archiven. Die spezielle Option, den Inhalt von Archiven in logischen Suchen zu berücksichtigen, wurde entfernt. Wenn die Inhalte von Archiven in den Dateiüberlick aufgenommen wurden und sie im Verzeichnis-Browser ausgewählt sind oder falls das enthaltende Archiv ausgewählt und wie ein Verzeichnis behandelt wird, werden diese ebenfalls durchsucht. Zuerst den Dateiüberblick zu erweitern ist ohnehin die vorteilhaftere Variante, da zur gleichen Zeit auch falsch benannte Archive mittels der Signaturprüfung identifiziert werden können. Auch ist die logische Suche auf diesem Weg nicht mehr auf zwei ineinander verschachtelte Archivebenen beschränkt.

* Die Funktion zur Hautfarberkennung dient jetzt auch einem zweiten Zweck: Sie identifiziert Bilder in Schwarz-Weiß bzw. Graustufen. Dies ist nützlich, um gescannte Dokumente oder digital übertragene Faxe (z.B. TIFF) zu finden. Solche Bilder werden als "s/w" in der HFA-Spalte gekennzeichnet.

* Da TIFF-Dateien mehrere Seiten enthalten können, werden sie nun standardmäßig von der separaten Viewer-Komponente anstatt vom internen Bildbetrachter angezeigt, auch wenn die Viewer-Komponente ansonsten für Bilder nicht aktiviert ist. Beachten Sie, daß zusätzliche Seiten in TIFF-Dateien nicht in der Galerie aufgelistet werden.

* Als eine alternative und einfacher durch neue Nutzer zu entdeckende Möglichkeit, eine rekursive Ansicht eines Verzeichnisses zu erzeugen, gibt es jetzt einen zusätzlichen Schalter neben "Sync". (nur für Specialist- und forensische Lizenzen)

* Datei | Datenträger-Sicherung ist jetzt, abhängig vom System und diversen äußeren Umständen, potentiell schneller.

* Eine schnellere Implementierung der Hash-Algorithmen MD5, SHA-1 und SHA-256 ist jetzt für Besitzer einer professionellen Lizenz oder höher verfügbar. Der Download von X-Ways Forensics enthält eine spezielle DLL; Besitzer von professionellen und Specialist-Lizenzen können sich die DLL getrennt herunterladen von http://www.x-ways.net/winhex/setup-d.html . Das Hilfe | Info-Fenster bestätigt, wenn die "Quick hashing" Funktion aktiviert ist.

* Kompressions-/Dekompressions-Algorithmus für Evidence-Dateien aktualisiert von zlib 1.2.1 auf 1.2.3.

* Dateien auf den logischen Laufwerken A: bis Z: können jetzt optional mit der Hilfe des Dateisystems anstelle der eingebauten Logik auf der Sektorebene geöffnet werden. Bitte beachten Sie, daß dies forensisch einwandfrei nur auf schreibgeschützten Datenträgern ist. Auf beschreibbaren Medien aktualisiert (ändert, verfälscht) Microsoft Windows dabei zumindest den Zeitstempel des letzten Zugriffs bei Dateien, die Sie öffnen. Der Vorteil dagegen ist, daß der Zugriff auf die Dateien auf diese Weise in vielen Situationen merklich schneller ist, besonders auf langsamen Laufwerken wie CD/DVD, z. B. wenn Sie Hash-Werte oder Hautfarbenanteile für Dateien im Datei-Überblick berechnen lassen. Das liegt daran, daß Windows Daten im voraus liest und eine Datei-Caching-System unterhält. Siehe Optionen | Sicherheit.

* Das Verzeichnis für temporäre Dateien, das die separate Viewer-Komponente verwendet, wird jetzt von WinHex/X-Ways Forensics gesteuert, d. h. wird automatisch auf dasjenige gesetzt, das der Nutzer in den allgemeinen Optionen festgelegt hat. X-Ways Forensics akzeptiert mehr oder weniger schweigend ungeeignete Pfade auf schreibgeschützten Medien, was praktisch ist, um X-Ways Forensics von einer CD zu starten und ein Live-System einzusehen. Die Viewer-Komponente akzeptiert einen solchen Pfad allerdings nicht, weswegen es ggf. empfehlenswert ist, X-Ways Forensics von einem USB-Stick zu starten. Bitte beachten Sie, daß die Viewer-Komponente, wenn sie tatsächlich benutzt wird, Einträge in der Registry des Systems hinterläßt.

* In Berichtstabellen, die von v12.9 erzeugt werden, können keine Verdopplungen mehr auftreten, d. h. die selbe Datei kann nicht mehr (z. B. versehentlich) zweimal derselben Berichtstabelle hinzugefügt werden.

* Die Unterstützung für verschmolzene Inhalts-/Berichtstabellen und für die Kategorie-Ansicht von Tabellen wurde entfernt. Die Umleitung der Ausgabe der Datenrettung nach Typ in eine Liste ist in v12.9 nicht mehr verfügbar.

* Der Dialog zum Auswählen eines Datenträgers zeigt bereits an, auf welchen physischen Datenträgern sich die Partitionen befinden, die mit den Laufwerksbuchstaben C: bis Z: eingebunden sind.

* Der Sync(hronisier)-Mechanismus wurde überarbeitet.

* Die Galerieansicht ist besser mit dem Verzeichnis-Browser synchronisiert.

* Sonderbehandlung für $BadClus:$Bad in NTFS, um diesen speziellen System-Datenstrom effizient einsehen und durchsuchen zu können. Er wird jetzt mit einer Größe von 0 Bytes angezeigt, wenn keine Cluster als defekt markiert sind, und einer Größe > 0 Bytes, wenn es solche Cluster gibt.

* Wenn Sie eine Partition, die als Laufwerksbuchstabe eingebunden ist, durch Klonen oder Zurückspielen eines Images überschreiben, versucht X-Ways Forensics jetzt, die internen Puffer von Windows zu deaktivieren, so daß die neuen Inhalte der Zielpartition überall im System direkt nach dem Kopiervorgang sichtbar werden.

* Möglichkeit, die Signaturprüfung für alle Objekte in einem Dateiüberblick zurückzusetzen, indem der Haken "bereits erledigt" entfernt wird. Dies initialisiert die Status-Spalte und ist nützlich, wenn eine wichtige Aktualisierung an der Signatur-Datenbank vorgenommen wurde.

* Die Möglichkeit, das Fall-Protokoll zu löschen, wurde aus X-Ways Forensics entfernt (nicht jedoch aus WinHex).

* Kalender-Ansicht: Die Farbmarkierungen waren in v12.85 vertauscht. Dies wurde mit v12.85 SR-9 behoben.

* Ein Fehler wurde behoben, der in v12.85 verhindert hat, daß Dateien aus "Pfad unbekannt" in Datei-Container kopiert werden konnten. (behoben seit v12.85 SR-7)

* Ein Fehler wurde behoben, der zur Folge hatte, daß physischer Arbeitsspeicher jenseits von 256 MB von falschen Adressen gelesen wurde. (seit v12.85 SR-7)

WinHex-Download: http://www.x-ways.net/winhex.zip

Weitere Informationen für registrierte Benutzer, insbes. Instruktionen zum Download von X-Ways Forensics, unter http://www.x-ways.net/winhex/upgrade-d.html. Dort erhalten Sie Details zum Status Ihrer Lizenz, Upgrade-Angebote usw.

Wenn Sie WinHex oder X-Ways Forensics vor weniger als 12 Monaten erworben haben, erfahren Sie von dort auch, bis wann genau Sie von kostenlosen Updates profitieren.

SCHULUNG FÜR GEMISCHTE TEILNEHMERGRUPPE

5.+6. April 2006 in Köln: http://www.x-ways.net/signup-d.html

Was ist neu?

* Unterstützung für Unicode-Zeichen in Datei- und Verzeichnisnamen in einem Großteil der Nutzeroberfläche, insbesondere in Verzeichnis-Browser und Verzeichnisbaum.

* Neu erzeugte Datei-Container können jetzt optional Unicode-Dateinamen statt ASCII-Dateinamen enthalten. Um mit älteren Versionen von X-Ways Forensics kompatible Container zu erzeugen, sollten Sie bei ASCII bleiben.

* Die Unterstützung für die Betriebssysteme Windows 95/98/Me wurde eingestellt. v12.8 bleibt die letzte Version, die auf diesen Systemen lauffähig ist.

* Wenn Sie die Dateitypen auf Basis der Signaturen überprüfen, werden jetzt keine fiktiven Objekte mit der vermuteten korrekten Dateierweiterung mehr angezeigt. Statt dessen kann der ermittelte Typ jetzt aus der neuen optionalen Spalte "Typ" ersehen werden. Nur anfänglich zeigt die Typ-Spalte das gleiche wie die Dateierweiterung-Spalte an. Die Spalte "Kategorie" basiert nicht mehr auf der Erweiterung, sondern auf der Typ-Spalte. Wenn eine Unstimmigkeit zwischen Dateiname und -typ ermittelt wird, entweder durch Verfeinerung des Datei-Überblicks, durch die Vorschau oder die Galerieansicht, werden sowohl die Typ- als auch die Kategorie-Spalte aktualisiert und blau dargestellt.

* Es gibt einen neuen Filter, der es Ihnen ermöglicht, bequem Dateien bestimmter Typen aufzulisten, zusätzlich zum Kategorie-Filter. (nur mit forensischer Lizenz)

* Eine weitere optionale Spalte gibt den Status der Dateityp- Spalte an. Zunächst "nicht geprüft". Nach der Überprüfung auf Name-Typ-Unstimmigkeiten: Ist die Datei sehr klein, ist der Status "unerheblich". Ist der Signatur-Datenbank weder die Erweiterung noch die Signatur bekannt, ist der Status "nicht verzeichnet". Stimmen laut Datenbank Signatur und Dateiname überein, ist der Status "bestätigt". Ist die Erweiterung in der Datenbank enthalten, die Signatur jedoch unbekannt, ist der Status "nicht bestätigt". Falls die Signatur mit einem bestimm- ten Dateityp der Datenbank übereinstimmt und die Erweiterung zu einem anderen oder keinem verzeichneten Dateityp paßt, ist der Status "neu erkannt". Auch auf diese Spalte kann ein Filter angewandt werden. (nur mit forensischer Lizenz)

* Die separate Viewer-Komponente wurde am 3. März 2006 aktualisiert. Details unter http://www.x-ways.net/forensics/viewer-d.html.

* Möglichkeit, Zeitstempel im Verzeichnis-Browser mit Zehntelsekunden anzuzeigen. Nützlich für die Dateisysteme NTFS und FAT, die für einige oder alle Zeitstempel eine solche Genauigkeit unterstützen und sogar übertreffen.

* Das Format des Datei-Überblicks wurde geändert. Zuvor erzeugte Dateiüberblicke können automatisch für die Verwendung mit v12.85 und später konvertiert werden, außer für die Dateisysteme ReiserFS/Reiser4. Sollte es beim Importieren alter Datei-Überblicke Probleme geben, können Sie entweder einen neuen Datei-Überblick erzeugen lassen (wobei Sie Kommentare, Markierungen, bereits entdeckte verwaiste Dateien, usw. verlieren) oder Sie verwenden für diesen Fall/dieses Image weiterhin v12.8. Backup-Kopien der ursprünglichen Datei-Überblicks-Dateien werden in den Metadata-Unterverzeichnissen aufbewahrt.

* Die Unterstützung für die Erzeugung von Laufwerks- bzw. Verzeichnis-Inhaltstabellen wurde schließlich eingestellt.

* Die Priorisierung für die Sortierung der Attribut-Spalte wurde neu festgelegt.

* Die Möglichkeit, selbst angepaßte Bereiche der Dateityp-Signatur-Datenbank getrennt von der Hauptdatei in einer beliebigen Anzahl von Dateien mit dem Namensschema "File Type Signatures *.txt" zu speichern. Diese Dateien werden zusätzlich zur Hauptdatei geladen. Ihr internes Format muß identisch sein. Die Benutzung solcher nutzerspezifischen Dateien verhindert, daß Ihre eigenen Definitionen bei der Installation eines Updates überschrieben werden.

* NetBSD-UFS wird jetzt unterstützt.

* Die Struktur gelöschter verschachtelter Verzeichnisse in Ext2-Partitionen wird jetzt oft besser dargestellt.

* Datei-Überblicke für ReiserFS-Partitionen werden jetzt schneller erfaßt.

* Möglichkeit, die Inhalte von Archiven in einer logischen Suche auch bei rekursiver Ansicht mit einzubeziehen

* Schlupfspeicher-Bereiche, die zu Datei-Containern hinzugefügt werden, werden jetzt als Schlupfspeicher in der Attribut-Spalte gekennzeichnet und können entsprechend sortiert werden. Sie können wie bisher die Umschalt-Taste verwenden, um eine Datei mitsamt ihrem Schlupfspeicher hinzuzufügen, und jetzt alternativ die Strg-Taste, um _nur_ den Schlupfspeicher hinzuzufügen.

* Möglichkeit, eine unbegrenzte Anzahl von Objekte in der rekursiven Ansicht gleichzeitig zu markieren bzw. die Markierung aufzuheben

* Möglichkeit, Fallberichte optional mit einer nutzerdefinierten Kopfzeile, einem Logo und einem Prolog zu erzeugen (siehe Falleigenschaften, Berichtsoptionen)

* Möglichkeit, Archive genau wie Verzeichnisse zu behandeln und darzustellen, nachdem deren Inhalte in den Datei-Überblick aufgenommen wurden. Dies ist reversibel und kann auch nachträglich angewandt werden. Ein Vorteil ist, daß Archive nicht mehr wie gewöhnliche Dateien unter die Filterregeln fallen, womit es einfacher wird, zu den Inhalten der Archive zu navigieren, wenn ein Filter aktiv ist, der normalerweise die Archive ausblenden würde. Ein weiterer Vorteil ist, daß sich Archive dann auch in bezug auf Markierungen wie Verzeichnisse verhalten.

* Möglichkeit, gepacktes 7-Bit-ASCII per Skript-Befehl in lesbares 8-Bit-ASCII umzuwandeln

* Ein Rechtsklick auf eine Datei im Verzeichnis-Browser aktualisiert jetzt den Vorschaubereich. (seit v12.8 SR-6)

* .tif-Bilder werden jetzt direkt im HTML-Fallbericht angezeigt und nicht mehr als Link eingefügt, da sie von Firefox unterstützt werden. (seit v12.8 SR-6)

* Wenn Dateien auf dem indirekten Weg zu Containern hinzugefügt werden, wird der Name der extern ausgegebenen Datei jetzt besser auf Übereinstimmung mit den Einschränkungen für Dateinamen in Windows geprüft. (seit v12.8 SR-6)

* Ein Fehler wurde behoben, der auf bestimmten Partitionen das Lesen der fiktiven Datei "Freier Speicher" verhindert hat. (seit v12.8 SR-8)

* Ein Fehler wurde behoben, der in bestimmten Situationen die Eingabeaufforderung für den Ausgabe-Dateinamen verhindert hat, wenn eine Datei aus einem rekursiv angezeigten Asservat-Überblick exportiert wurde. (seit v12.8 SR-9)