X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#150: WinHex, X-Ways Forensics und X-Ways Investigator 18.8 veröffentlicht

25. Apr. 2016

In dieser Ausgabe des Newsletters informieren wir Sie über ein wichtiges Update mit vielen nützlichen Verbesserungen, die Version 18.8. Erscheinungstermin war der 23. April.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Schulungstermine

Köln, Ende Aug/Anfang Sep 2016
Termine im Ausland

Wenn wir Sie über weitere Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein.


Videos

Quick Start Guides  •  Settings & Setup


Was ist neu in v18.8?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Datei-Format-Unterstützung

  • Der Typstatus „neu erkannt“ wurde aufgeteilt in „neu erkannt“ (mit einer schwächeren Bedeutung, z. B. in dem Sinn, daß X-Ways Forensics vor der Typprüfung keine Vorstellung vom Typ der Datei hatte, weil der Dateiname keine Erweiterung enthält) und „anders erkannt“ (was auf eine irreführende Dateinamenserweiterung hindeutet und verdächtiger ist). Der Typstatus „neu erkannt“ aus Datei-Überblicken, die mit früheren Versionen erweitert wurden, wird als „neu erkannt“ übernommen.

  • Dateityp-Signatur-Definitionen können nun die ersten 1024 Bytes einer Datei ausnutzen, nicht mehr nur die ersten 512 Bytes. Dies erlaubt in einigen Fällen eines genauere Bestimmung des Typs oder Untertyps.

  • Erkennung des Zip-Untertyps appx, der in neu initialisierten Installationen nun der „Special Interest“-Gruppe von Archiven angehört, in der sich auch jar, apk und ipa befinden. Er wird daher optional verarbeitet.

  • Die Dateityp-Prüfung wurde allgemein weiter verbessert.

  • Die Extraktion von Caches von Google Chrome wurde überarbeitet und vor allem für größere Exemplare verbessert. Unterstützung für eine relativ neue Erweiterung des Dateiformats. Unterstützung für multiple Datenströme desselben Cache-Eintrags: Die HTTP-Antwort (genannt .chrome1) wird nun auch ausgegeben, sofern vorhanden, ebenso wie kompilierte JavaScript-Einträge (genannt .js1). Wenn eine „no-cache“ Anweisung vom Web-Server gesendet wurde, so wird zumindest die HTTP-Antwort dennoch im Cache gespeichert. Im Vorschau-Modus können Sie eine besondere Darstellung diese HTTP-Antworten sehen.

  • Chrome-Caches können nun auch dann verarbeitet werden, wenn ihr Index nicht verfügbar ist, z. B. wenn Cache-Fragmente per Datei-Header-Signatur-Suche gefunden und aus den Sektoren ausgegliedert  wurden oder wenn der Cache teilweise gelöscht oder beschädigt wurde. In Einzelfällen erhält man nun ohne Verarbeitung des Index' möglicherweise sogar ein besseres Extraktionsergebnis als als mit. Um das bei vorhandenem Index auszuprobieren, können Sie, sofern der Index nicht bereits zuvor verarbeitet wurde, die Funktion zum Suchen von eingebetteten Daten auf „data_4“-Dateien anwenden und den Index bei der Erweiterung des Datei-Überblicks auslassen. data_4 ist nun Teil der optionalen „Special Interest“-Gruppe.

  • Unterstützung des neuen Dateityps „service_worker“, der Teil des neuen Chrome-Offline-Caches ist. Dateien dieses Typs können nun bei der Typprüfung erkannt werden, per Datei-Header-Signatur-Suche gefunden werden, und Metadaten sowie eingebettete Daten können extrahiert werden.

  • Firefox-Cache-Extraktion überarbeitet.

  • Algorithmische Erkennung von URL-codierten ESC-Dateien aus Browser-Caches und deren menschlesbare Darstellung im Vorschau-Modus. Diese Dateien enthalten Metadaten von Video-Streaming-Diensten.

  • Verarbeitung von iPhone-Backups neuerer iOS-Versionen, als Teil der Metadaten-Extraktion.

  • Der Dateityp "locky" wurde definiert, da er dank der Verbreitung der Erpressungssoftware „Locky“ nun recht verbreitet ist. Solche Dateien werden automatisch als verschlüsselt markiert, zur leichteren Erkennung.

  • Extraktion von Rängen aus einzelnen Jump-List-Einträgen sowie aus Jump-Lists als ganzem. Diese Ränge sind Gleitkommazahlen, die ungefähr proportional zur Zugriffshäufigkeit sind und daher potentiell relevante Informationen darstellen. Die Ränge werden von Windows berechnet.

  • Gezielte Unterstützung von Jump-Lists von Windows 10, einschließlich einer erst kürzlich eingeführten neuen Version.

  • Unterstützung des neuen thumbcache_idx.db-Formats von Windows 10.

  • Unterstützung von $I-Dateien von Windows 10.

  • Eine unendliche Rekursion in bestimmten Registry-Hives bei einer seltenen Art der Beschädigung wurde verhindert.

  • Fähigkeit zum Auffinden von eingebetteten Dateien in .p7m S/MIME-Dateien.

  • Informationen über die Soundqualität in Videos (Abtastfrequenz und Anzahl der Kanäle) werden bei der Erzeugung von vereinzelten Standbildern nun gleich mit extrahiert. „No audio“ wird ausgegeben, wenn ein Video keinen Sound hat. Dies erlaubt es, nach Videos mit oder ohne Sound zu filtern.

  • Eintrag in der Kategorie Video für den Dateityp „dash“ aus Browser-Caches. Es handelt sich um einen MP4-Untertyp für gestreamte Video-Daten. Um mit herkömmlichen Video-Abspielprogrammen dargestellt zu werden, müssen Dateien dieses Typs erst konvertiert werden.

  • Datei-Archive weiterer Typen werden nun im Verzeichnisbaum links dargestellt, sobald ihr Inhalt in den Datei-Überblick aufgenommen wurde.

  • Überarbeitete Unterstützung von TAR-Archiven. Fähigkeit zum Extrahieren von bestimmten TAR-Archiven, die vorher nicht verarbeitet werden konnten. Exaktere Darstellung von Dateien in TAR-Archiven. Schnellere Verarbeitung und Caching von TAR-Archiven innerhalb von GZ-Archiven.

  • Fähigkeit zur Bestätigung des Typs von GZ-Archives mit dem sog. Extra-Flag, und deren Verarbeitung.

  • Intern überarbeitete Behandlung von Datei-Archiven, und Behebung einiger seltener Fehler. Verbesserte Verarbeitung bestimmter defekter Datei-Archive.

  • Stark verbesserte Datei-Header-Signatur-Suche nach XML-Dateien, für fast alle Untertypen. XML-Definitionen in FTSS.txt and FTSCO.txt.

  • Erhöhte Kontextsensitivität führen zu einer Verbesserung der Ergebnisse der Datei-Header-Signatur-Suche nach XML-, CSV- und Base64-Dateien.

  • Rudimentäre Datei-Header-Signatur-Suche nach CSV-Dateien möglich.

  • Unterstützung von Microsoft ONE-Dateien bei der Datei-Header-Signatur-Suche.

  • Wenn Sie wirklich jeden einzelnen Punkt hier lesen, Hut ab, Sie sind wirklich interessiert.

  • Definitionen für die Datei-Header-Signatur-Suche nach OECustomProperty-Objekten, die E-Mail-Metadaten von MS Outlook enthalten können und oft in Form von alternativen Datenströmen gespeichert werden.

  • Per Datei-Header-Signatur-Suche können nun Fragmente von Windows.edb-Dateien gefunden werden, die Internet-Browsing-Ereignisse enthalten (s. „Special Interest“-Gruppe).

Bilder-Unterstützung

  • Fähigkeit, unvollständige JPEG-Bilder mit progressiver Kompression soweit wie möglich mit der internen Grafikanzeige-Bibliothek darzustellen.

  • Eine Ausnahmesituation wurde verhindert, die bei bestimmten defekten oder sehr großen GIF-Bildern auftreten konnte.

  • Die Darstellung der JPEG-Generator-Signatur wurde überarbeitet. Eine menschenlesbare textuelle Beschreibung ist nun für fast alle Signaturen zusätzlich zur Hexadezimal-Darstellung verfügbar.

    Die Generator-Signatur ist ein experimentelles Konzept, das dabei helfen kann, den Ursprung von Dateien bestimmter Typen zu identifizieren. Es wird in X-Ways Forensics für JPEG-Dateien verwendet. Die Signatur basiert auf der JPEG-Quantisierungstabelle und einigen anderen invarianten Eigenschaften. Wenn die erzeugende Software-Bibliothek identifiziert wird, wird zusätzlich zur Hexadezimal-Signatur auch eine textuelle Beschreibung ausgegeben. Der am weitesten verbreitete JPEG-Generator ist die IJG-Bibliothek, aber es gibt noch mehr als 10.000 weitere. „Photoshop“ und „Photoshop Web“ beispielsweise sind ebenfalls gängig. „Photoshop Web“ identifiziert eine JPEG-Datei als von Photoshop erzeugt mit Optimierung für den Gebrauch im Web. Andere Generatoren, die X-Ways Forensics erkennt, sind iPhone, Apple 75, Apple 90, Kodak, Adobe Fireworks, Nikon, Sony, Blackberry, Canon EOS, Canon EOS fine, Canon norm, Canon fine, Canon superfine, Canon PowerShot, HP Scanjet, HP PhotoSmart, HTC, CASIO, Quicktime Med, ImageGear 84 und LEAD Technologies. Die Qualtitätseinstellung, die zum Erzeugen einer JPEG-Datei verwandt wurde, wird ebenfalls ausgegeben („Q=...“). Es handelt sich um eine Zahl im Bereich von 1 bis 100 (im Fall des regulären Photoshop-Generators nur zwischen 1 und 12). Je höher dieser Wert, umso stärker die Kompression und umso geringer die Bildqualtität.

    Generator-Signaturen werden bei der Datei-Header-Signatur-Suche in X-Ways Forensics zur Benennung von aus Sektoren ausgegliederten JPEG-Dateien eingesetzt, wenn keine „besseren“ Metadaten vorhanden sind (z. B. Kameramodell und Zeitstempel aus den Exif-Daten). Wenn die Metadaten-Extraktion keine „besseren“ Metadaten findet, kann immer noch die Generator-Signatur ausgegeben warden, und diese erlaubt es Ihnen zumindest, Gruppen zusammengehöriger Dateien zu identifizieren, die wahrscheinlich dieselbe Herkunft haben. Wenn Exif-Metadaten vorhanden sind, können Sie überprüfen, ob Generator-Signatur und Exif-Metadaten miteinander konsistent sind, und das kann zeigen, ob ein Bild bearbeitet und erneut gespeichert wurde.

    Insbesondere erlaubt die Generator-Signatur es, Dateien zu erkennen, die von Scannern erzeugt wurde, da nur eine handvoll Generatoren in Scannern üblich ist. D. h. damit kann man eingescannte Bilder als solche auch dann erkennen, wenn sie nicht schwarz-weiß sind und nicht zu 100% nur Graustufen-Farben enthalten.

E-Mails

  • Option zum gezielten Filtern basierend darauf, ob bestimmte Empfänger auf Kopie oder Blindkopie gesetzt wurden oder Hauptadressat sind, in E-Mails und Datei-Anhängen, die von v18.8 extrahiert wurden. Nützlich zum Beispiel dann, wenn in der bei Ihnen gültigen Rechtssprechung an einen Rechtsanwalt geschickte E-Mails weniger geschützt sind, wenn der Rechtsanwalt nur auf Kopie gesetzt wurde und nicht der Hauptadressat ist.

  • Die Metadaten-Extraktion von E-Mails ist nun etwas präziser.

  • Extrahiert E-Mails und Datei-Anhänge aus .olk14message-Dateien von MS Outlook 2011 für Apple Mac OS X.

  • Quoted Printable im Rumpf einer E-Mails wird nun in der alternativen .eml-Vorschau/Darstellung decodiert.

  • Ein Ausnahmefehler wurde behoben, der auftreten konnte beim Extrahieren von Metadaten aus bestimmten .eml-Dateien mit defekter Quoted-Printable-Codierung.

Fallbericht

  • Neue CSS-Definitionen: RTpicthumb und RTdocthumb, für Miniaturansichten von Bildern bzw. Nichtbildern.

  • Option zum Beschränken der Metadaten-Ausgabe von Video-Einzelbildern im Fallbericht auf Name und Kommentare.

  • "Bilder zum Einbindungen in Bericht herauskopieren" kopiert nun auch ein Einzelbild pro Video, sofern verfügbar, und zeigt es direkt im Bericht an, um das Video zu repräsentieren. Die Videodatei selbst wird bei dieser Einstellung nicht kopiert, um Speicherplatz zu sparen. Die Video-Datei wird nur dann kopiert, wenn "Dateien zum Einbindungen in Bericht herauskopieren" ganz angekreuzt ist.

  • Manuelle Protokolleinträge unterstützen jetzt Unicode. Und es gibt eine Option, nur manuelle Einträge im Protokoll auszugeben.

Bedienbarkeit

  • Das Dialogfenster zum Wiederherstellen/Kopieren wurde neu und klarer strukturiert. Die Option zum Einbetten von Datei-Anhängen von E-Mails hängt nun nicht mehr von der Option ab, daß auch Unterobjekte von Dateien kopiert werden sollen, oder davon daß die Anhänge explizit selbst mit ausgewählt sind, was das Einbetten intuitiver und leichter benutzbar macht.

  • Eine neue Option beim Wiederherstellen/Kopieren erlaubt das Erzeugen einer zweiten Kopie aller ausgewählten Dateien in einem separaten Verzeichnis. Das ist nützlich, wenn Sie zwei Parteien dieselben relevanten Dateien zur Verfügung stellen müssen und Zeit sparen möchten. Die Protokollfunktion bezieht sich allerdings nur auf die erste Kopie.

  • Beim Erkennen von Duplikaten können identische Dateien nun paarweise miteinander als sog. zugehörige Objekte verknüpft werden, so daß das Navigieren von einer Datei zu zumindest einem Duplikat sehr viel leichter fällt. Das Ausblenden von allen Duplikaten in einer Gruppe bis auf eins ist nun optional, ebenso wie das Kennzeichnen von Dateien als Duplikate in der Beschreibungsspalte.

  • Das Identifizieren von doppelten Bildern anhand von gespeicherten PhotoDNA-Hash-Werten ist jetzt sehr viel schneller als vorher, in Abhängigkeit von verfügbarem Arbeitsspeicher und der Anzahl der Prozessorkerne.

  • Datenträger-Sicherung: Sie können nun bereits im Vorfeld ein Überlaufverzeichnis angeben, in dem weitere Segmente der Sicherung gespeichert werden sollen, wenn der Platz auf dem primären Ausgabedatenträger zur Neige geht. Dies verhindert im Fall der Fälle einen unnötigen Zeitverlust, bis Sie reagieren können und die Sicherung fortgesetzt wird. Wenn Sie das Feld leer lassen oder wenn sogar der Speicherplatz im Überlaufverzeichnis erschöpft ist, werden Sie wie in früheren Versionen bei Bedarf nach einem neuen Pfad gefragt. Wenn Sie ein Überlaufverzeichnis im voraus angeben und gleichzeitig eine zweite Sicherungskopie erzeugen lassen, beachten Sie bitte, daß das Überlaufverzeichnis nur für die erste Sicherungskopie verwendet wird, die den ihr zur Verfügung stehenden Speicherplatz ganz ausfüllt, falls dies passiert. Für die jeweils andere Sicherungskopie werden Sie bei knappem Speicherplatz gefragt.

  • Hash-Werte von Roh-Images, die von X-Ways Forensics erzeugt wurden, werden nun automatisch aus der begleitenden beschreibenden Textdatei entnommen, sofern verfügbar, und in den Eigenschaften des Asservats angezeigt.

  • Der Beschreibungsfilter für Video-Einzelbilder hat nun eine zusätzliche Option, mit deren Hilfe Sie auch das zugehörige Video anzeigen lassen können, und zwar direkt vor dessen Einzelbildern. Auf diese Weise ist es in der Galerie einfach zu sehen, welche Einzelbilder aus welchem Video stammen, und Sie können Kommentare zu dem Video eingeben oder das Video mit einer Berichtstabelle verknüpfen, ohne hin- und her zu navigieren und ohne auf die weniger intuitive Bedienungsweise zurückgreifen zu müssen, Berichtstabellenverknüpfungen für Objekte zu erstellen, die Sie gar nicht sehen können (mit der Option „für übergeordnete Datei“). Die Kacheln, die die Videos repräsentieren, können zudem in der Galerie als visuelle Trennelemente dienen, wenn Sie „ersatzweise Miniaturansichten“ in den Galerie-Optionen ausschalten. Dann fällt es sehr leicht zu sehen, wo die Bilder des nächsten Videos anfangen.

  • Der Beschreibungsfilter kann nun Dateien erfassen, die in X-Ways Forensics indexiert wurden.

  • Wenn sich mehrere Benutzer eine Installation von X-Ways Forensics oder X-Ways Investigator teilen, mit individuellen, in den Benutzerprofilen gespeicherten Konfigurationen, werden error.log-Dateien nun nicht mehr im Installationsverzeichnis erzeugt, wenn dieses beschreibbar ist, sondern ebenfalls im Benutzerprofil. Das ist nützlich, wenn die anderen Benutzer die Asservat-Metadaten, die sich in der error.log-Dateie wiederfinden können, nicht sehen sollen. Ähnlich wird nun auch die msglog.txt-Datei im Benutzerprofil erzeugt, wenn Nachrichten ausgegeben werden während kein Fall aktiv ist. (Aber diese Datei wird nach wie vor im Log-Unterverzeichnis des Falls erzeugt, wenn ein Fall aktiv ist.)

  • Nicht-Option für den Namensfilter.

  • Die Modulo-Einstellung für den Int.-ID-Filter ist nun flexibler.

  • Das Anklicken der Überschriftszeile der Textspalte (wo die aktuell aktive Codepage in hellgrauer Farbe angezeigt wird), erlaubt nun ein komfortables, schnelles Umschalten der in dieser Spalte aktiven Codepage.

  • Wenn die Textspalte Text in einer Codepage anzeigt, die nicht die aktive Codepage in Ihrem Windows-System ist, und wenn Sie Daten aus der Hex-Editor-Anzeige in die Zwischenablage kopieren, fragt WinHex Sie nun, ob Sie den Text dabei konvertieren möchten, von der in der Textspalte aktiven Codepage nach UTF-16, zum korrekten Einfügen in externen Programmen.

  • Die Vollpfad-Sortier-Option ist jetzt eine Anzeigeoption des Verzeichnis-Browsers. Sie kann weiterhin dazu verwendet werden, eine Sortierreihenfolge herzustellen, in der Unterobjekte direkt ihren jeweiligen Elternobjekten folgen, aber sie hat nun auch eine Auswirkung auf die Anzeige in dem Sinn, daß der Pfad nun optional den Namen des Objekts selbst enthalten kann, z. B. damit sie ihn aus der Pfadspalte in einem einzigen Schritt in die Zwischenablage kopieren können.

  • Eine neue Option in den Falleigenschaften erlaubt es, die Suchbegriffsliste bei der nächsten Erzeugung auf dem Bildschirm als einspaltige Liste darzustellen. Darin läßt sich vertikal statt horizontal rollen, so wie es in älteren Versionen von X-Ways Forensics Standard war. Das kann z. B. dann vorteilhaft sein, wenn Ihre Suchbegriff recht lange Wörter sind.

Diverses

  • In Datei-Containern wird nun gezielt der DÜE-Status der enthaltenen Dateien vermerkt, d. h. ob bereits bereits vereinzelte Standbilder zu Videos erzeugt wurden oder ob bereits eingebettete Daten gesucht wurden usw. usf. Wenn Sie sich dafür entscheiden, diesem Status zu trauen und ihn zu übernehmen, was Sie ab sofort in den Optionen des Datei-Überblicks einstellen können, werden diese Dateien nicht erneut verarbeitet, wenn Sie sich dazu entschließen, den Datei-Überblick des Containers selbst zu erweitern. U. U. könnten Sie es bevorzugen, den DÜE-Status von Dateien in Containern nicht zu übernehmen, damit Sie nichts übersehen, wenn Sie vermuten, daß der ursprüngliche Bearbeiter keine so gründlichen Einstellungen für die Erweiterung verwendet hat wie Sie es vorhaben, oder wenn zuvor eine ältere, weniger mächtige Version von X-Ways Forensics zur Verarbeitung der Dateien eingesetzt wurde. Das Übernehmen des DÜE-Status ist eine Voraussetzung dafür, um in einem Container enthaltene Videos mit rotierend durchlaufenden repräsentativen Einzelbildern dargestellt zu bekommen.

  • Wenn Sie externe Dateien an einen Datei-Überblick anhängen, kann X-Ways Forensics nun optional auch die Zeitstempel dieser Dateien übernehmen (Erzeugung, Änderung und/oder Zugriff). Das ist empfehlenswert, wenn Sie sich sicher sind, daß diese Zeitstempel original sind und nicht etwa das Resultat Ihrer eigenen Kopier- oder Konvertierungsaktivitäten mit diesen Dateien.

  • Der Daten-Dolmetscher beachtet nun die Big-Endian-Einstellung auch beim Übersetzen von FILETIME-Strukturen. Das ist nützlich, weil FILETIME-Zeitstempel in Windows Storage Spaces in Big-Endian-Speicherung zu finden sind.

  • Der unterstützte Bereich von Zeitstempeln im Verzeichnis-Browser ist 5. Mai 1829 bis 14. May 2514. Über- und Unterschreitungen werden nun in Form des Vermerks „außerhalb der Grenzen“ angezeigt und können voneinander unterschieden und korrekt sortiert und gefiltert werden.

  • Das Anzeigen der Datei-Größe in weißen Kacheln in der Galerie ist nun optional, so daß Sie ggf. eine Überfrachtung des Bildschirms mit nicht benötigten Informationen reduzieren können.

  • Bei aktiver Überlagerung von Sektoren wird das Dateisystem von Volumes wird nun versucht zu zu erkennen, wenn Sie den Datei-Überblick neu einlesen.

  • Das Auswerten von Ext-Journals wurde optimiert. Das Ergebnis sieht nun besser aus, wenn die Option nur halb gewählt ist, und das ist die neue Voreinstellung. Seltene Probleme mit voller Wahl dieser Option sollten nicht mehr auftreten.

  • X-Ways Forensics kann nun den schnellen Suchalgorithm für die parallele Suche auch dann anwenden, wenn Sie sich nah an der Grenze der maximalen Anzahl von Suchbegriffen pro Suchvorgang bewegen , d. h. etwa 8190. (Bitte beachten Sie, daß die Zahl der insgesamt in einem Fall angesammelten Suchbegriffe auch auf ca. 8190 begrenzt ist.)

  • Die Funktion XWF_GetHashValue der X-Tension API kann nun auch dazu verwendet werden, zuvor berechnete und permanent im Datei-Überblick gespeicherte PhotoDNA-Hash-Werte von Bildern zu in einen übergebenen Puffer zu kopieren.

  • Die Funktion XWF_GetItemType der X-Tension API erlaubt es nun alternativ, die Kategorie, zu der eine Datei gehört, zu ermitteln.

  • Die italienische Übersetzung der Benutzeroberfläche wurde aktualisiert.

  • Viele kleinere Verbesserungen.

  • Einige kleinere Korrekturen.

  • Die Programmhilfe und das Benutzerhandbuch wurden auf den Stand von v18.8 gebracht.


Änderungen der Service-Releases von v18.7

  • SR-1: If multiple images were added to a case simultaneously, they had to be closed and re-opened in v18.7 to get the volume snapshot taken. That was fixed.

  • SR-1: File type recognition of certain lose Hotmail e-mails improved.

  • SR-2: Fixed blank Owner column in v18.7 for NTFS file systems.

  • SR-2: Fixed inability of 18.7 to maximize the detached lower half of a data window in most modes.

  • SR-2: Edit box histories now accessible additionally by scrolling with the mouse wheel and by pressing the Down cursor key.

  • SR-2: Fixed bad quality carving of NTFS-compressed files in recent versions.

  • SR-2: Improved interaction with MPlayer.

  • SR-3: Fixed inability of v18.7 to extract files from large GZ archives completely.

  • SR-3: Avoided a condition in which no still images were captured from videos.

  • SR-3: Fixed an exception error that could occur when extracting metadata from certain huge AVI video files.

  • SR-4: The Unique ID filter now allows to enter a list of unique IDs consisting of up to 2,000,000 characters instead of 30,000 characters before. (Characters = digits, dashes, and line breaks).

  • SR-4: Thumbnails in thumbs.db were extracted without original filename if the names were very long. That was fixed.

  • SR-4: The Sender and Recipients filters are now applied to e-mail attachments again as well.

  • SR-4: Fixed an exception error that occurred in v18.6 and v18.7 when ending the program if unlocked with a network dongle.

  • SR-4: Fixed jump to wrong offset when clicking certain embedded files in Partition mode. Fixed incorrectly displayed 1st sector values for the same files.

  • SR-5: Fixed an exception error that could occur in v18.7 when adding entries to the history of edit boxes.

  • SR-5: The scope of the file header signature search on a physical, partitioned evidence object now includes very small auxiliary partitions that do not contain any known file system and that have not been added to the case as evidence objects.

  • SR-5: Fixed an error that could occur when opening evidence objects without accessible disk or image.

  • SR-5: When exploring archives with subdirectories without computing hash values at the same time, the primary hash value was set as all zeroes. That was fixed.

  • SR-6: Fixed an exception error that could occur under certain circumstances when copying data from a data window with no directory browser.

  • SR-6: Fixed an error that occurred in v18.7 when reading from reconstructed RAID5 systems with a missing component.

  • SR-6: Fixed a potential exception error with CAB files that are smaller than 256 bytes.

  • SR-6: Fixed a potential infinite loop when carving JNX files.

  • SR-6: Fixed a rare volume snapshot anomaly where the files of a certain directory became part of "Path unknown" although the path should have been known to X-Ways Forensics.

  • SR-6: Fixed a rare exception error that could occur in the Export List command in the registry viewer.

  • SR-7: Fixed inability to import PhotoDNA hash values from certain current ProjectVic ODATA JSON files.

  • SR-7: Some other aspects of PhotoDNA hash value imports improved.

  • SR-7: Fixed a miscategorization issue when importing conventional hash values from certain current ProjectVic ODATA JSON files.

  • SR-7: Ability to import hash values from JSON files belonging to previously unexpected, newly defined category numbers 4 and 5.

  • SR-7: Avoided certain unnecessary messages about corrupt directory entries in exFAT.

  • SR-7: More convenient option to have a user-specific configuration only for selected users of a shared installation, by creating an empty file named winhex.user.[username] in the installation directory for every user that shall be allowed to maintain his or her individual configuration, while using a shared configuration for everyone else, e.g. using a write-protected general WinHex.cfg file with predefined settings as deemed appropriate for your organization.

  • SR-8: Ability to import hash values from current Project Vic/Hubstream ODATA JSON files.

  • SR-8: Accepts category numbers up to 9 in ODATA JSON files.

  • SR-8: Search hits in the case report could be empty or garbled depending on the Export List options for search hits. That was fixed.

  • SR-8: Fixed an exception error that occurred when running a logical search immediately after removing items from the volume snapshot.

  • SR-8: Prevents annoying, lengthy and unnecessary font cache initialization in MPlayer versions from 2015.

  • SR-8: Alternative e-mail preview: Fixed encoding error in the header representation at the bottom.

  • SR-9: Fixed an exception error that could occur in v18.7 when extracting metadata from XML files.

  • SR-9: Fixed a rare floating point exception error that could occur when dealing with timestamps in certain formats.

  • SR-9: Less false positives and fast processing of full file encryption test.

  • SR-9: BLOBs (binary data chunks) are now also optionally provided as child objects for SQLite database of an unknown purpose/subtype.

  • SR-10: Now preserves the original filename extension when naming original single .eml files after their subject lines.

  • SR-10: Support for .evtx event log files larger than 2 GB.

  • SR-10: Fixed problems with PhotoDNA hash databases that contain no hash values.

  • SR-10: Fixed output of Boolean values in BPLists.

  • SR-10: More stable when processing corrupt BPList files.

  • SR-10: Prevents occurrence of zeroed out primary hashes in volume snapshots in certain situations.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

  

 

  
#149: WinHex, X-Ways Forensics und X-Ways Investigator 18.7 veröffentlicht

27. Jan. 2016

In dieser Ausgabe des Newsletters informieren wir Sie über ein größeres Update mit vielen nützlichen Verbesserungen, die Version 18.7.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Schulungstermine

Köln, 7.-10. März 2016
Termine im Ausland

Wenn wir Sie über weitere Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein.


Was ist neu in v18.7?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateiformat-Unterstützung

  • Die Genauigkeit der Dateityp-Prüfung wurde weiter verbessert. Weniger Dateitypen mit generischen Dateierweiterungen werden jetzt unnötig als „neu erkannt“ gekennzeichnet, sondern bestätigt, falls der volle Dateiname für den Dateityp angemessen ist.

  • Überprüfung vieler weiterer Dateitypen unterstützt. Insgesamt erkennt die Datetyp-Prüfung jetzt über 3.000 Dateitypen.

  • Überarbeitete hiberfil.sys Unterstützung für 64-Bit-Windows.

  • hiberfil.sys-Schlupf (komprimierte Daten aus früheren Verwendungen der Datei hiberfil.sys, wie sie gegen deren Ende gefunden werden, wenn die letzte Verwendung stärkere Komprimierung erreicht hat als frühere Verwendungen) wird im Zuge der Funktion „Eingebettete Daten in diversen Dateitypen suchen“ jetzt automatisch extrahiert und dekomprimiert und in dekomprimierter Form als Unterobjekt zur Verfügung gestellt.

  • Datei-Carving-Methoden für .cwm (Bildschirmvideos) und .accountpicture-ms-Dateien aus Windows 8 wurden implementiert. .accountpicture-ms-Dateien werden jetzt standardmäßig bei der Suche nach eingebetteten Dateien mit geprüft.

  • Typ-Prüfung für .thumbdata3-Dateien (Android-Dateien, die beispielsweise auf SD-Karten gefunden werden).

  • E-Mail-Extraktion so angepaßt, daß bestimmte Base64-kodierte E-Mails von externen Programmen nach Wiederherstellen/Kopieren korrekt angezeigt werden.

  • Unterstützung für bestimmte alte Outlook PST E-Mail-Archive mit bislang nicht unterstützter Text-Kodierung. Benötigt die Auswahl der korrekten regionalen ANSI-Codepage in den Eigenschaften des Falls und Ankreuzen des unbeschrifteten Kästchens daneben, das einen Tooltip „Diese Codepage in Outlook PST erwarten“ zeigt.

  • Falls E-Mail-Nachrichten eine „Sender:“-Zeile zusätzlich zu einer „From:“-Zeile haben, wird der Absender laut „Sender:“-Zeile jetzt zusätzlich in der Absender-Spalte im Verzeichnis-Browser angezeigt, nach dem „From:“-Absender, falls diese tatsächlich unterschiedlich sind. Sie werden von Leerzeichen und einem Vertikalstrich ( | ) getrennt. Ein deutschsprachiges MS Outlook beispielsweise zeigt solche E-Mails als gesendet „im Auftrag von“ jemand anderem (vom „Sender:“-Absender im Auftrag des „From:“-Absenders). Sie können nach solchen E-Mails filtern, indem Sie den Vertikalstrich als Teilwort für die Absender-Spalte eingeben. Unterschiedliche Arten von Empfängern ( To:, Cc: und Bcc: ) werden jetzt analog mit Vertikalstrichen in der Empfänger-Spalte voneinander getrennt.

  • Ein möglicher Ausnahmefehler wurde behoben, der bei der Verarbeitung beschädigter OLE2-Verbund-Dateien auftreten konnte.

  • Abstürze im Umgang mit bestimmten EDB-Datenbanken verhindert.

Unterstützung für Bilder

  • Die Bildschirmfläche wird für die Galerie jetzt viel besser genutzt, da die Miniaturansichten nicht mehr zwangsweise quadratisch sind. Sie können jetzt Breite und Höhe Ihrer bevorzugten Kachelgröße getrennt eingeben, im Dialog Optionen | Viewer-Programme. Die angegebenen Maße werden automatisch angepaßt (vergrößert), um den verfügbaren Bildschirmplatz optimal auszunutzen, ohne Miniaturansichten teilweise anzuzeigen. Da die meisten Fotos und fast alle Videos im Querformat gemacht werden, möchten Sie Breite und Höhe evtl. entsprechend auswählen (die Breite größer als die Höhe), wenn Sie Bilder einsehen. Die Miniaturansichten für Dokumente können oft frei auf jede beliebige Rechteckform angepaßt werden, beispielsweise solche, die Textverarbeitungsdokumente oder Tabellenkalkulationen darstellen, aber nicht Präsentationen. Für die meisten Dokumente außer Präsentationen erscheint Hochformat als natürlichere Darstellungsform. Das Verhältnis der von Ihnen festgelegten Höhe und Breite wird im Optionen-Dialog angezeigt, um Ihnen schnell eine grobe Vorstellunge davon zu geben, wie verträglich diese Maße mit normalen Fotos, Videos oder Dokumenten sind.

  • Die Vorschau und Anzeige von Bildern (nicht mit der Viewer-Komponente) zeigt jetzt zusätzlich die Namen verknüpfter Berichtstabellen in der oberen linken Ecke und die Namen zutreffender PhotoDNA-Kategorien in der unteren rechten Ecke an.

  • Als Teil der Datei-Überblick-Erweiterung kann X-Ways Forensics Miniaturansichten von hochauflösenden Digitalbildern erzeugen, um die Galerie zu beschleunigen. Es ist jetzt möglich, die Auflösung (maximale Breite oder Höhe in Bildern) und Qualität (JPEG-Kompressionsfaktor) in der Benutzeroberfläche einzustellen. Der maximale Speicherplatz, den ein Miniaturbild im Datei-Überblick belegen darf, ist allerdings auf 64 KB beschränkt. Wenn ein erzeugtes Miniaturbild größer als das wird, wird X-Ways Forensics die benutzerdefinierte Auflösung automatisch entsprechend reduzieren.

  • Neue interne Berichtstabelle für animierte PNG-Bilder.

  • Extraktion eingebetteter Daten aus PNG-Dateien (z. B. GIF-Bilder) unterstützt.

  • Neue interne Berichtstabelle für PNG-Bilder, die wahrscheinlich Bildschirmfotos von Mobilgeräten sind. Diese Annahme basiert lediglich auf für Smartphones typische Auflösungen. Nützlich, wenn solche Bildschirmfotos nicht ihre typischen Dateinamen haben (wenn sie gecarvt, per App erhalten, auf andere Medien kopiert und vom Nutzer umbenannt oder von bestimmten Apps erzeugt und im Cache dieser App gespeichert wurden).

  • Die leichte und seltene Ungenauigkeit in der Darstellung von GeoTagging-Koordinaten in JPEG-Dateien wurde korrigiert.

Video-Verarbeitung

  • Ein neuer Befehl im Kontextmenü ermöglicht das gezielte Extrahieren aller Einzelbilder aus einem festgelegten Abschnitt eines ausgewählten Videos. Nützlich wenn ein bestimmter Abschnitt eines Videos von hohem Interesse ist und Sie die visuellen Details bestimmter Einzelbilder genauer anschauen oder diese im Bericht einfügen müssen. Sie können festlegen, wie viele aufeinanderfolgende Einzelbilder extrahiert werden sollen und ab welcher Sekunde. Die Anzahl der Einzelbilder, die Sie benötigen, um einen bestimmten Zeitraum abzudecken, können Sie aus der Bildrate, die in der Metadaten-Spalte angezeigt wird, ableiten (fps = frames per second). Bitte beachten Sie, daß die Startsekunde unter Umständen nur sehr grob interpretiert wird, je nach Häufigkeit der „Keyframes“ (genannt I-Frames in MPEG) im Video. MPlayer kann in einer Video-Datei nur Keyframes anspringen. Falls ein Video beispielsweise alle 4 Sekunden einen Keyframe besitzt, dann kann die Startsekunde der Extraktion um bis zu 4 Sekunden verschoben sein. Bitte bedenken Sie das, wenn Sie die Zahl der zu extrahierenden Einzelbilder, die Sie benötigen, oder die Startsekunde eingeben. Um auf der sicheren Seite zu sein, extrahieren Sie mehr Einzelbilder, als Sie brauchen, und vielleicht ab einer früheren Startsekunde.

    Die Einzelbilder werden als JPEG-Dateien in einem Verzeichnis Ihrer Wahl gespeichert, wo Sie diese außerhalb von X-Ways Forensics durchsehen können. Wenn Sie möchten, können Sie die wichtigsten Einzelbilder der Original-Video-Datei natürlich als Unterobjekte im Datei-Überblick zuweisen. Die Einzelbilder werden standardmäßig nicht im Datei-Überblick gespeichert, um die Größe des Datei-Überblicks nicht unnötig mit möglicherweise überwiegend irrelevanten und redundanten Bilder aufzublähen. Falls das Ausgabeverzeichnis bereits extrahierte Einzelbilder enthält, werden Dateien mit identischen relativen Bildernummern überschrieben. Die relativen Bildnummern beginnen bei jeder Extraktion immer mit 00000001 und werden mit jedem Bild inkrementiert. Sie können die JPEG-Kompression für stärkere Komprimierung oder bessere Qualität anpassen, wenn nötig. (Sie können in den meisten Fällen natürlich keine sehr gute Qualität erwarten, da Videos zumeist bereits stark komprimiert sind.) Die Datei-Überblick-Erweiterungsoperation zur Erzeugung repräsentativer Einzelbilder aus Videos (vereinzelt, in bestimmten größeren Intervallen) wurde umbenannt, um den Unterschied zum neuen Kontextmenü-Befehl zur Erzeugung fortlaufender Einzelbilder anzuzeigen.

  • Aus Videos werden jetzt mehr Metadaten extrahiert (nur beim Exportieren von Einzelbildern), üblicherweise Kodierungs-/Kompressionsformat (coding), Auflösung, Bit pro Pixel (bpp), Bildrate (fps), Datenrate pro Sekunde für Videodaten.

  • Eine neue 64-Bit-Version des MPlayer von 2015 steht auf dem Web-Server zum Herunterladen bereit, zusätzlich zur 32-Bit-Version von 2014. MPlayer ist jetzt das einzige unterstützte Video-Extraktionsprogramm. Bitte beachten Sie, daß Sie die 64-Bit-Version von MPlayer durchaus auch von der 32-Bit-Fassung von X-Ways Forensics aus aufrufen lassen können und umgekehrt.

Dateisystemunterstützung

  • Verbesserte Einstellungen im Attr.-Filter für Unix-übliche Dateizugriffsrechte. Sie können jetzt auf jedes der 9+3 Bits ausdrücklich filtern und diese mit ODER, UND oder GLEICH verbinden. GLEICH verlangt, daß der Zustand aller 12 Bits exakt so ist, wie ausgewählt (egal, ob gesetzt oder nicht). UND bedeutet, daß alle ausgewählten Bits gesetzt sein müssen, der Rest aber egal ist. ODER bedeutet, es genügt bereits, wenn irgendeines der ausgewählten Bits gesetzt ist. SUID- und SGID-Bits können jetzt ebenfalls logisch mit ODER oder UND verknüpft sein (bisher waren sie immer mit ODER verknüpft). Bitte beachten Sie, wenn Sie sich für Verzeichnisse mit dem Sticky-Bit interessieren, müssen Sie Verzeichnisse beim rekursiven Erkunden mit ausgeben und Filter auch auf Verzeichnisse anwenden lassen (nicht die Standardeinstellung). Bitte beachten Sie, der logische Operator für die Zugriffsrechte sollte nicht normalerweise auf GLEICH gesetzt sein, da dies zu aktiver Filterung auf Zugriffsrechte auch dann führt, wenn gar keine Bits im Dialogfenster ausgewählt sind, im Unterschied zu den ODER- oder UND-Operatoren. GLEICH mit keinen ausgewählten Bits für Zugriffsrechte bedeutet, es wird auf Dateien gefiltert, die keine Bits für Zugriffsrechte gesetzt haben oder deren Zugriffsrechte unbekannt sind.

  • iNode*-Dateien (auf Deutsch: indirekte Knoten-Dateien) in HFS+ zeigen jetzt auf einen ihrer harten Verweis-Gegenstücke als „zugehöriges Objekt“ im Datei-Überblick, womit es sehr bequem wird, zumindest einen dieser harten Verweise zu identifizieren und die tatsächliche Verwendung und Ort der Datei zu sehen. Um andere harte Verweise für dieselbe iNode*-Datei zu finden, können Sie beispielsweise nach der Spalte „1. Sektor“ sortieren.

  • Ressourcenzweige in HFS und HFS+ werden jetzt als Unterobjekte dargestellt, analog zu alternativen Datenströmen und erweiterten Attributen in NTFS.

  • Attribut-Filter für Ressourcenzweige hinzugefügt.

  • Einzelne $MFT-Dateien können jetzt direkt und bequem interpretiert werden, als seien sie NTFS-Volumes, um zumindest die volle Auflistung aller Dateien und Verzeichnisse, mit Pfaden, Zeitstempeln und Attributen zu sehen. Es ist möglich, residente Dateien zu öffnen (Dateien, deren Inhalte klein genug sind, um in die FILE-Records zu passen), aber natürlich keine anderen Dateien. Nützlich in speziellen Situationen, wenn Sie nur die $MFT haben, nicht das gesamte Volume, z. B. extrahiert aus einer Schattenkopie.

  • Option, zusätzliche harte Verweise beim Erweitern des Datei-Überblicks in NTFS/HFS+ auszulassen, wie schon bisher bei logischen Suchen, um Zeit zu sparen und die Zahl redundanter identischer Unterobjekte zu reduzieren, etc. Dies kann auf Partitionen mit Windows-Installationen, die viele harte Verweise enthalten, und auf HFS+-Partitionen mit Mac OS X Time Machine einen großen Unterschied machen. Welche harten Verweise intern als die „zusätzlichen“ verstanden werden, kann wie bisher aus der Spalte „Verweise“ (graue Zahl bedeutet optional ausgelassen) und jetzt auch aus der Beschreibungsspalte abgelesen werden, die alle harten Verweise (d.h. Dateien mit zwei oder mehr harten Verweisen) und speziell die zusätzlichen textuell kennzeichnet. Derjenige harte Verweis, der in der Beschreibungsspalte nicht als „optional ausgelassen“ gekennzeichnet ist, wird intern als der „Haupt“-Verweis betrachtet.

  • Umbenennungsereignisse aus $J und Fragmenten davon werden jetzt in der Ereignisliste ausgegeben.

  • Dateien mit nur teilweise initialisierten Inhalten (gültige Datenlänge < logische Dateigröße) werden jetzt in der Attr.-Spalte mit dem Rautezeichen (#) gekennzeichnet, und eine Erklärung des #-Zeichens steht in der Legende.

  • In neu erzeugten Datei-Überblicken zeigt die Spalte „1. Sektor“ jetzt an, daß bestimmte Zahlen ungefähr sind, beispielsweise bei eingebetteten Dateien, mittels grauer Farbe und Tilde.

  • Beim Anklicken einer Datei im Partitions-/Volume-Modus ist der Sprung zum Anfang der Daten bestimmter Dateien jetzt präziser, beispielsweise bei residenten Dateien in NTFS führt dies direkt zum Body des Attributs 0x80 und bei bestimmten eingebetteten Dateien direkt zum Anfang der Daten. Das Sortieren nach der Spalte „1. Sektor“ gibt die physische Startposition von Dateien im Fall bestimmter nicht-Sektor-ausgerichteter Dateien präziser wieder.

  • Findet mehr Sessions von Multi-Session CDs/DVDs mit CDFS sofort, ohne die gründliche Dateisystem-Datenstruktur-Suche laufen lassen zu müssen.

  • Vermeidet die Session-Verdopplung bei CDs/DVDs mit CDFS, wo zusätzliche Sessions nur mittels der gründlichen Dateisystem-Datenstruktur-Suche gefunden werden.

Unterstützung für Datenträger & Images

  • Probeweise Unterstützung für ältere virtuelle Festplatten-Images vom Typ VirtualBox VDI von Sun Microsystems.

  • Ein Fehler wurde vermieden, der bei der gleichzeitigen Berechnung von zwei Hash-Werten bei der Datenträger-Sicherung auftreten konnte, wenn die Sicherung in einer sehr speziellen Konfiguration, einer Kombination aus einem spezifischen Hardware-Schreibblocker-Modell und einer spezifischen Windows-Version, erfolgte. Die Daten in der Sicherung waren dennoch in Ordnung.

  • Berichtet die Gesamtzahl nicht lesbarer Sektoren im Sicherungslog zusätzlich zu den betroffenen Sektorbereichen.

  • Die Sicherung bricht nach einem Datenträger-Trennungs-Fehler jetzt ab.

Fall- & Berichtseinstellungen

  • Kleinere Versionen von Bildern können jetzt optional speziell für den Bericht erzeugt werden, um den Speicherverbrauch des Browsers oder der Textverarbeitungsanwendung beim Laden des HTML-Berichts erheblich zu reduzieren und das Laden zu beschleunigen. Dies kann bei Berichten mit vielen hochauflösenden Fotos einen großen Unterschied machen. Der JPEG-Kompressionsfaktor ist vom Benutzer definierbar. Die Auflösung hängt von der angegebenen „max. Bildgröße im Bericht“ ab.

    Das Kontrollkästchen, das diese Option repräsentiert, ist 3-stufig. Halb angekreuzt werden die kleineren Versionen der Bilder nur für die Darstellung direkt im HTML-Bericht verwendet. Voll angekreuzt sehen Sie auch nach dem Anklicken des Bildes im Bericht nur die kleinere Version und die größere Original-Datei ist im Bericht gar nicht enthalten. Dies kann nützlich sein, wenn Ihnen der Platzverbrauch Ihres Berichts mitsamt verlinkter Dateien wichtiger ist als die Ausgabequalität der Bilder.

  • Der Bericht kann jetzt optional auch Miniaturansichten von Nicht-Bild-Dateien anzeigen, z. B. Office-Dokumente, E-Mails, Webseiten, Software-Quellcode, usw. usf., ähnlich wie die Galerie. Sie können die Vorschaudarstellung leicht, oder erheblich, oder auch gar nicht schrumpfen lassen, um entweder in der Lage zu sein, einen Teil des Textes direkt im Bericht lesen zu können, ohne das Dokument zu öffnen, oder um einen besseren Eindruck der Gesamtdarstellung des Textes zu bekommen und nur Logos o.ä. zu sehen.

  • Wenn Sie gezielt eine Berichtstabelle im Fallbericht ausgeben lassen, wird jetzt automatisch ein Berichtsname basierend auf dem Namen der Berichtstabelle vorgeschlagen.

  • In den Eigenschaften eines Falls können Sie jetzt festlegen, ob X-Ways Forensics das fallspezifische Verzeichnis für temporäre Dateien (das Unterverzeichnis _temp dieses Falls) statt des allgemeinen verwenden soll, während dieser Fall aktiv ist.

  • Rein physische eigene Suchtreffer (im Disk-/Partitions-Modus festgelegt, nicht im Datei-Modus) können jetzt auch im Bericht ausgegeben werden, im Abschnitt über das Asservat, zu denen sie gehören. Datei-bezogene Suchtreffer werden weiterhin im Eintrag der Datei in der Berichtstabelle angezeigt, zusammen mit den ausgewählten Metadaten. Falls die Datei, zu der ein Suchtreffer gehört, der für die Ausgabe im Bericht ausgewählt wurde, nicht mit einer Berichtstabelle ausgegeben wird, kann der Suchtreffer jetzt im Abschnitt über das Asservat gesehen werden.

  • Option, fortlaufende Nummern im Fallbericht auszugeben, für jeden Eintrag in einer Berichtstabelle, um eine Datei in diesem Bericht eindeutig zu identifizieren.

Benutzeroberfläche

  • Alle Textfelder im gesamten Programm (mit Ausnahme von solchen für Paßwörter und Spaltenbreiten) merken sich jetzt eine Historie von bis zu 10 zuletzt verwendeten Einträgen. Die Historie kann gesehen werden, indem man den winzigen Knopf anklickt, der in einem Textfeld erscheint, für das eine Historie verfügbar ist. Alternativ können Sie die F4-Taste drücken, wie in normalen Drop-Down-Auswahlfeldern. Wenn Sie einen der früheren Einträge aus dem Pop-Up-Menü auswählen, wird dieser automatisch in das Textfeld eingetragen. Benutzer, die diese Historien löschen oder an andere weitergeben wollen, seien darauf hingewiesen, daß diese in der Datei History.dat gespeichert werden, wenn das Programm geschlossen wird. Wenn Sie keine Historien zwischen Programmläufen speichern möchten, z. B. als Schutz vor neugierigen Kollegen, können Sie einfach selbst eine leere Datei namens History.dat erzeugen und diese schreibschützen.

  • Eine neue Tastenkombination, Umsch+Strg+Entf, erlaubt Abgleich-Treffer mit gewöhnlichen Hash-Sets, FuzZyDoc-Hash-Sets und PhotoDNA-Kategorien für ausgewählte Dateien im Datei-Überblick zu entfernen, die sonst nicht verworfen werden, selbst, wenn die Hash-Sets aus der Datenbank gelöscht werden.

  • Das Drücken von Strg+C im Verzeichnis-Browser kopiert jetzt die Text-Daten der ausgewählten Objekte in die Zwischenablage, mit derselben Notation wie im Verzeichnis-Browser selbst, ansonsten dem Befehl Liste exportieren sehr ähnlich.

  • Die Farben für die Markierung (sofern nicht in Form von Häkchen dargestellt) sind jetzt etwas anders, und sie können jetzt in Optionen | Verzeichnis-Browser geändert werden. Nützlich beispielsweise, wenn Sie stärkere Farben bevorzugen oder die Standardfarben Bildern zu sehr ähneln, die Sie in der Galerie anschauen (z. B. viele Außenaufnahmen mit blauem Himmel). Falls Ihnen die etwas weniger auffälligen Farben früherer Versionen gefallen haben, können Sie diese manuell wieder einstellen: Farbe 1 = RGB 225, 225, 255 (für die obere linke Ecke) und Farbe 2 = RGB 163, 163, 255 (für die untere rechte Ecke).

  • Die Farben, die Dateien als bereits eingesehen kennzeichnen, sind jetzt ebenfalls nutzerdefinierbar, über Optionen | Viewer-Programme | Eingesehene Dateien merken | .... Falls Ihnen die Farben früherer Versionen gefallen haben, können Sie diese manuell wieder einstellen: Farbe 1 = RGB 233, 225, 223 (für die obere linke Ecke) und Farbe 2 = RGB 145, 250, 103 (für die untere rechte Ecke). In v18.7 wurden diese lediglich vertauscht.

Suchfunktionen

  • Die Option „1 Treffer pro Datei genügt“ der logischen parallelen Suche überspringt jetzt den Schlupfspeicher einer Datei nicht mehr, nachdem ein Treffer im logischen Teil gefunden wurde, wenn die Option „Schlupf öffnen und durchsuchen“ voll angekreuzt ist. Es durchsucht auch den Schlupf nach höchstens einem zusätzlichen Treffer.

  • Rein physische eigene Suchtreffer werden nun im Asservat-Überblick angezeigt, auch wenn Sie in diesem Fenster nicht zu den Sektorinhalten navigieren können, wenn Sie den Suchtreffer anklicken.

  • Es gibt jetzt eine Option, die Suche nach verlorenen Partitionen auf physischen Datenträgern auf die Sektoren zu beschränken, die der aktuellen Cursor-Position folgen.

  • Die Fehlinterpretation eines wörtlich spezifizierten # Zeichens in eckigen Klammern in GREP-Ausdrücken wurde behoben.

  • Verhindert sich überlappende Treffer in Zellen des Verzeichnis-Browsers bei Suche mit einem GREP-Ausdruck variabler Ziellänge.

Verschiedenes

  • Beim Ausblenden von Duplikaten basierend auf Hash-Wert oder Name zieht X-Ways Forensics jetzt im Zweifelsfall diejenige Kopie vor, deren Eigentümer bekannt ist.

  • Wiederherstellen/Kopieren und Bericht erzeugen benennen jetzt auch eingebettete .eml-Dateien nach ihrer eindeutigen ID, wenn die entsprechende Option ausgewählt ist.

  • Die interne Beschränkung der Datenmenge, die aus Dateien eines einzelnen Datei-Überblicks extrahiert werden kann (bislang 1 TB) wurde aufgehoben. Datei-Überblicke, die von v18.7 erzeugt wurden, können von v18.6 und früheren nicht mehr geöffnet werden.

  • Größere Dateien können jetzt an den Datei-Überblick angehängt werden.

  • Für die Datensatz-Darstellung im Hex-Editor werden die Datensätze jetzt standardmäßig beginnend mit 0 durchnumeriert, nicht mehr mit 1. 1-basierte Record-Nummern sind optional weiterhin möglich. Die Datensatz-Größe wird jetzt hexadezimal angegeben, wenn die Benutzeroberfläche aktuell hexadezimale Offsets benutzt.

  • Neue X-Tension API Funktion GetEvObj().

  • Fähigkeit, zugewiesene Hash-Sets in Berichtstabellen-Verknüpfungen umzuwandeln, im Dialog-Fenster für Berichtstabellen-Verknüpfungen, wo Sie auch enthaltene Suchtreffer in Berichtstabellen-Verknüpfungen umwandeln können. Dies kann beispielsweise nützlich sein, wenn Sie Ihre Hash-Datenbank neu anlegen oder löschen möchten, und nicht nur die Hash-Kategorie bekannter Dateien im Datei-Überblick erhalten möchten, sondern auch die exakten Namen der betreffenden Hash-Sets. Auch nützlich, wenn Sie Dateien zu einem Datei-Container hinzufügen möchten und dem Empfänger die ursprünglichen Hash-Set-Übereinstimmungen mitteilen möchten, nicht nur die Hash-Kategorie. Diese unterstützenden Berichtstabellen werden in einer anderen Farbe angezeigt, um sie zu unterscheiden von 1) gewöhnlichen benutzerdefinierten Berichtstabellen, 2) intern erzeugten Berichtstabellen, die den Benutzer auf bestimmte Besonderheiten hinweisen, und 3) Suchtreffer-basierten Berichtstabellen. Verknüpfungen mit Hash-Set-basierten Berichtstabellen können auch spontan beim Kopieren von Dateien in Datei-Container erzeugt werden.

  • Das Beifügen von Kommentaren und/oder Berichtstabellen-Verknüpfungen in einen Datei-Container ist jetzt optional für jede einzelne Kopier-Operation wählbar und muß nicht mehr ein für alle mal bei der Erzeugung des Containers festgelegt werden.

  • Die hauptsächlichen ausführbaren Dateien des Programms sind jetzt digital signiert.

  • Windows 10 ist jetzt eine offiziell unterstützte Plattform.

  • Viele kleinere Verbesserungen.

  • Einige kleine Fixes.

  • Die Programmhilfe und das Benutzerhandbuch wurden für v18.7 aktualisiert.


Änderungen der Service-Releases von v18.6:

  • SR-1: Verbesserte FuzZyDoc-Abgleich-Ergebnisse für PDF-Dokumente.

  • SR-1: Zeitzonen-Bewußtsein für Zeitstempel in exFAT jetzt für jede Datei einzeln definiert.

  • SR-1: Fähigkeit, „Virtual Allocation Table“ virtueller UDF-Partitionen in bestimmten nicht-standardmäßigen (unvollständigen) Datenträger-Sicherungen zu finden, wie sie von anderer Software erzeugt werden.

  • SR-1: Ein Ausnahmefehler wurde behoben, der in v18.6 beim Carven von Dateien in einem Datenfenster aufgetreten ist, das eine einzelne Datei ohne Datei-Überblick und ohne Verzeichnis-Browser darstellt.

  • SR-1: Der Effekt der nicht ausgewählten Option „Dateisystem-Dateien ausgeben“ für Dateien in Archiven wurde behoben.

  • SR-1: Die erfolglose Dekodierung bestimmten Base64-Codes wurde behoben.

  • SR-1: Ein extrem seltener Ausnahmefehler wurde verhindert, der beim Abgleich von Hash-Werten gegen die Hash-Datenbank auftreten konnte.

  • SR-2: Die Unfähigkeit von X-Ways Imager 18.6, Festplatten zu sichern, wurde behoben.

  • SR-3: Die gelegentlich unvollständige Extraktion eingebetteter JPEGs in PDF-Dokumenten wurde behoben.

  • SR-3: Ein möglicher Zeitzonen-Informationsfehler in den Eigenschaften eines Asservats mit einer Windows-Installation wurde behoben.

  • SR-3: Ein Ausnahmefehler wurde behoben, der mit bestimmten beschädigten Zoom Browser-Dateien (Canon) auftreten konnte.

  • SR-4: Die Zeitzonen-Umrechnung in der zweiten Spalte der Vorschau bestimmter index.dat-Dateien wurde korrigiert.

  • SR-4: Das gelegentlich unvollständige Ausblenden von Duplikaten auf Hash-Basis wurde behoben.

  • SR-4: Deduplizierung mehrerer sehr ähnlicher PhotoDNA-Hash-Werte jetzt auch beim Import in eine leere (neu erzeugte) PhotoDNA-Hash-Datenbank.

  • SR-4: Wenn ein neuer PhotoDNA-Hash-Wert nah genug an einem bestehenden ist, um als Treffer zu gelten, aber unterschiedlich genug, um einen getrennten Eintrag in der PhotoDNA-Hash-Datenbank zu begründen, wird seit v18.6 der bestehende Eintrag aktualisiert und ein neuer hinzugefügt. Dieser Doppeleintrag hat bislang nicht stattgefunden, wenn beide ähnlichen Hash-Werte in der gleichen Import-Operation hinzugefügt wurden, jetzt aber schon.

  • SR-5: Die Größenerkennung von Ext*-Partitionen größer als 2^32 Blöcke in Situationen, in denen sie nicht von einer Partitionstabelle referenziert werden, wurde korrigiert.

  • SR-5: Ein Speicherleck in der Dateisystem-Unterstützung von HFS wurde behoben.

  • SR-5: Die Unfähigkeit in SR-4, alle Filter mit einem Mausklick zu deaktivieren, wurde behoben.

  • SR-6: Ein Ausnahme- und Instabilitätsfehler, der beim Extrahieren von Metadaten aus bestimmten Dokumenten im OLE2-Format auftreten konnte, wurde behoben.

  • SR-6: In Ext4-Dateisystemen wurden einige sehr seltene Dateien mit nicht-initialisierten Bereichen bislang teilweise mit falschen Daten gelesen. Dies wurde behoben.

  • SR-6: Das Parsen von FAT32-Dateisystemen mit Cluster-Größen von 128 KB oder mehr in X-Ways Forensics wurde korrigiert.

  • SR-6: Fähigkeit, die ungefähre Pixelanzahl für Bilder anzuzeigen, die Treffer in der PhotoDNA-Datenbank haben.

  • SR-6: Die Optionen in investigator.ini bezüglich des neuen Beschreibungsfilters haben in v18.6 nicht funktioniert. Dies wurde behoben.

  • SR-7: Ein seltener Ausnahmefehler wurde behoben, der bei der Erzeugung einer HTML-Vorschau für Dateien bestimmter Typen auftreten konnte.

  • SR-7: Die mögliche Unfähigkeit wurde behoben, Miniaturansichten in der Galerie auszuwählen, während Bilder mit der Viewer-Komponente angezeigt werden.

  • SR-7: Verbesserte Stabilität bei der Verarbeitung von SQLite-Datenbanken.

  • SR-7: Verbessertes Sicherungsverhalten nach einem Datenträger-Trennungs-Fehler.

  • SR-7: Die Möglichkeit, in v18.6 die Option +51 der investigator.ini zu umgehen, wurde verhindert.

  • SR-8: Eine möglicherweise unvollständige Auflistung der Partitionen im Verzeichnis-Browser wurde behoben, wenn mehr als eine Partition halb-automatisch erkannt wurde, beginnend mit dem vom Nutzer angezeigten Sektor.

  • SR-8: Ein Fehler wurde behoben, der beim Lesen von Partitionen auftreten konnte, deren Dateisystem eine andere Sektorgröße verwendet als die Sektorgröße des physischen Datenträgers.

  • SR-8: Eine falsch angezeigte Dateigröße für riesige Dateien in UDF-Dateisystemen wurde korrigiert.

  • SR-8: Ein seltener Fehler beim Auflösen symbolischer Verweise wurde korrigiert.


Viewer-Komponente

Oracle hat ein "Critical Patch Update" für die Version 8.5.2 der Viewer-Komponente herausgegeben. Die aktualisierte Version ist von unserem Web-Server herunterladbar. Sie ist wahrscheinlich aus Sicherheitsgründen empfehlenswert.

Oracles Beschreibung des Updates beginnt wie üblich mit der Ankündigung, daß eine Beschreibung dessen, was gefixt wurde, folgt, hält dies aber nicht ein:

What this Update Fixes:
January 2016 Critical Patch Update for Outside In
This patch is cumulative with all previous Outside In 8.5.2 Critical Patch Updates

Auf einer Web-Seite von Dritten wurde folgende Beschreibung des Fixes des Sicherheitsproblems gefunden: "Ein lokaler Benutzer kann eine Schwachstelle in der Oracle Outside In Technology Outside In Filter-Komponente component ausnutzen, um teilweise Denial-of-Service-Bedingungen zu verursachen." Die einzige Datei, die sich tatsächlich geändert hat, ist sccfnt.dll. Diese Datei ist für Schriftarten zuständig.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

  

 

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <