X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#153: WinHex, X-Ways Forensics und X-Ways Investigator 19.1 veröffentlicht

19. Jan. 2017

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.1.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihre Update-Berechtigung oder Lizenz abgelaufen ist, erhalten von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Schulungstermine

Köln, 13.-16. Februar (ausgebucht)
Köln, 20.-23. Juni
Termine im Ausland

Wenn wir Sie über weitere Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein.


Was ist neu in v19.1?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateityp-Unterstützung

  • Unterstützung für Googles Chrome-Sync-Datenbank, in der die Informationen gefunden werden können, die zwischen verschiedenen Geräten synchronisiert werden, wie z. B. Lesezeichen, manuell eingegebene URLs, synchronisierte Geräte und vieles mehr. Eine Vorschau-HTML-Datei wird erzeugt und Ereignisse in die Ereignisliste übernommen.

  • Fähigkeit, kopfstehende Bitmap-Bilder mit der internen Bildbetrachtungsbibliothek und in der Galerie einzusehen. (Um sie vertikal gespiegelt anzusehen, müssen Sie diese aktuell allerdings mit der Viewer-Komponente betrachten.)

  • Die Behandlung von TAR-Archiven wurde überarbeitet.

  • Korrigierte Unterstützung für BZ2-Archive.

  • Zuverlässigere Erkennung von Bildern als Bildschirmfotos (Ausgabe als Berichtstabellen "Screenshot" und "Screenshot?").

  • Neue Berichtstabelle "Scan" für PDF- und JPEG-Dateien, die einen Scan enthalten. Die Erkennung basiert auf den Generator-Signaturen "PDF/Scan" und "JPEG/Scan".

  • Die meisten JPEG-Bilder, die von Facebook umgewandelt und von Facebook heruntergeladen wurden, werden in der Metadaten-Spalte jetzt als solches anhand ihrer Generator-Signatur identifiziert.

  • PDF-Metadaten-Extraktion speziell für PDF-Dateien von Acrobat 10 verbessert.

  • Probeweise Extraktion von Exif-Metadatenfeldern, die auf bestimmte Art beschädigt sind.

  • Überarbeitete Metadaten-Extraktion für JPEG. ICC-Profile werden ausgewertet, einschließlich Zeitstempeln.

  • Neue Datei-Signatur für .0tx Tobit-E-Mail definiert.

  • Generator-Signaturen-Tabelle weiter überarbeitet.

  • Der Typ-Status "anders erkannt" hat jetzt Auswirkungen auf die angenommene Relevanz einer Datei.

  • Die Relevanz einer Datei berücksichtigt jetzt zuverlässiger, ob ein Bild ein Bildschirmfoto ist oder nicht.

  • Verbesserte Stabilität bei der Verarbeitung von EDB-Datenbanken. Benutzer der Versionen v18.8, v18.9 und v19.0 können ihre Kopie der Datei EDBex.dat mit der Version ersetzen, die vorläufig probeweise nur mit v19.1 mitgeliefert wird.

  • Absender und Empfänger werden jetzt auch für MSG-Dateien angezeigt, auf die E-Mail-Verarbeitung angewandt wurde, nicht nur für die daraus extrahierten .eml-Dateien.

Dateisystem-Unterstützung

  • Erweiterte Attribute in HFS+ werden jetzt optional in den Datei-Überblick als Unterobjekte derjenigen Dateien oder Verzeichnisse mit aufgenommen, zu denen sie gehören (nur in X-Ways Forensics), abhängig von einem neuen dreistufigen Kontrollkästchens unter Optionen | Datei-Überblick. Voll angekreuzt werden erweiterte Attribute selbst dann als Unterobjekte angezeigt, wenn diese bereits gesondert von X-Ways Forensics intern verarbeitet wurden. Halb angekreuzt (die Standardeinstellung in X-Ways Forensics), werden sie nur dann als Unterobjekte aufgeführt, wenn sie von X-Ways Forensics noch nicht gesondert behandelt wurden, in der Annahme, daß der Benutzer diese ggf. manuell einsehen möchte.

  • Fähigkeit, resident/inline gespeicherte Dateien in HFS+ zu öffnen.

  • Fähigkeit, in HFS+ komprimiert gespeicherte Dateien zu erkennen und zu öffnen.

  • HTML-Vorschauen werden jetzt während der Metadaten-Extraktion für solche GZ-Archive erzeugt, die Apple FSEvent-Logs enthalten.

  • Ereignisse aus Apple FSEvent-Logs werden übernommen.

  • Erkennung eines neuen Dateisystem-Kompressionsstils in NTFS unter Windows 10.

  • In neu erzeugten Datei-Überblicken zeigen alternative Datenströme die Zahl der harten Verweise jetzt genauso wie ihre Eltern, um die alternativen Datenströme zusätzlicher harter Verweise optional ebenso bei Suchen etc. auslassen zu können.

Datenträger-Sicherung

  • Die beschreibende Text-Datei, die während der Sicherung erzeugt wird, gibt jetzt für alle Segmente von Roh-Images deren exakte Größe in Bytes und für alle Segmente von .e01-Evidence-Dateien deren genaue Block-Anzahl an. Sollte, aus welchen Gründen auch immer, eines oder mehrere Segmente verloren gehen oder beschädigt werden, ermöglicht dies die Erzeugung künstlicher Ersatz-Segmente in der passenden Kapazität, um die Lücken zu füllen, womit die Daten in folgenden Segmenten die korrekte logische Distanz zu den Daten in vorangegangen Segmenten haben, um die Gültigkeit interner Verweise in den Daten zu erhalten (die Startsektoren von Partitionen in der Partitionstabelle, Cluster-Nummern in den Dateisystem-Strukturen) sofern diejenigen Original-Image-Segmente vorhanden sind, die Quelle und Ziel des Verweises enthalten.

  • Fähigkeit, bequem Ersatz/Platzhalter-Segmente für .e01-Evidence-Dateien zu erzeugen, die fehlende/verlorene/defekte Original-Segmente ersetzen können, mit dem Befehl Datei | Neu. Der Benutzer spezifiziert die benötigte Block-Größe und die Anzahl der Blöcke und den Dateinamen für das gewünschte Segment (die Dateierweiterung muß korrekt sein, also die benötigte Segment-Nummer identifizieren, nicht Nummer 1). Die in die Blöcke geschriebenen Daten sind ein wiederkehrendes Text-Muster ("FEHLENDES IMAGE-SEGMENT" wenn man X-Ways Forensics mit der deutschsprachigen Benutzeroberfläche betreibt), damit Sie wissen, wenn Sie auf eine Lücke zwischen den verfügbaren Daten schauen, wenn Sie später auf das interpretierte, kombinierte Image schauen. Die Idee hinter solch einem künstlichen Platzhalter-Segment ist natürlich, daß bei korrekter Größe die Daten in den folgenden Segmenten den korrekten logischen Abstand von den Daten in vorangegangenen Segmenten haben. Der Hash der gesamten Sicherung kann natürlich nicht mehr erfolgreich verifiziert werden, wenn die Original-Daten fehlen, und natürlich sollte diese Funktionalität nur als letzter Ausweg verwendet werden, falls es kein Backup des fehlenden Segmentes gibt oder die Wiederherstellung der Daten fehlschlägt, etc. Die Erzeugung und Verwendung eines solchen Platzhalter-Segments sollte ordentlich dokumentiert werden. (nur mit forensischer Lizenz)

  • Bei der Interpretation einer .e01-Evidence-Datei, die Platzhalter-Segmente beinhaltet, werden Sie darüber informiert, und die Gesamtzahl der Platzhalter-Blöcke wird in den Eigenschaften des Asservates beim Hinzufügen zum Fall festgehalten.

  • Falls Sie einen Platzhalter für ein einzelnes fehlendes Segment benötigen, dessen Blockgröße und Blockanzahl Sie nicht kennen, weil die Sicherung ohne diese neuen Informationen in der beschreibenden Text-Datei erzeugt wurde, können Sie diese folgendermaßen ermitteln: Ändern Sie die Dateierweiterung des vorletzten Segmentes zu der des fehlenden Segments, um die Lücke zu schließen. Benennen Sie das letzte Segment in das jetzt fehlende vorletzte um. (Sollte es sich bei dem fehlenden Segment um das vorletzte gehandelt haben, brauchen Sie nur den letzten Schritt; sollte das letzte Segment das fehlende sein, muß gar nichts umbenannt werden.) Fügen Sie dann das Image (das erste Segment) ganz normal zu einem Fall in X-Ways Forensics hinzu. X-Ways Forensics wird Sie auf das falsch benannte Segment im Nachrichtenfenster hinweisen, was ignoriert werden kann. Schauen Sie in den Eigenschaften des Asservates nach der Blockgröße und die erwartete und die tatsächlich referenzierte Block-Anzahl. Subtrahieren Sie die tatsächlich referenzierte von der erwarteten Block-Anzahl. Das Resultat ist die Zahl der fehlenden Blöcke. Benennen Sie die Segmente wieder korrekt um und erzeugen Sie dann das fehlende Platzhalter-Segment mit der korrekten Block-Größe und -Anzahl und der korrekten Erweiterung.

    Mit einer Abweichung funktioniert dieser Ansatz auch, wenn mehrere zusammenhängende Segmente fehlen, indem Sie weitere verfügbare Segmente so umbenennen, daß die Lücke im ersten Schritt geschlossen wird, und Sie erzeugen soviele Platzhalter-Segmente, wie benötigt werden, um die Lücke zu schließen. Welches Platzhalter-Segment genau wieviele Blöcke enthält, ist nicht entscheidend, hauptsache, die Gesamtzahl der Ersatzblöcke entspricht genau der Gesamtzahl der fehlenden Blöcke. Falls mehrere nicht zusammen- hängende Segmente fehlen, können entsprechende Platzhalter-Segmente nur mit den neuen Informationen aus der beschreibenden Text-Datei erzeugt werden.

Erweiterung des Datei-Überblicks

  • Multi-Threading: Option, die Zahl der Arbeiter-Threads auf 1 zu setzen, was bedeutet, daß ein zusätzlicher Thread für die Verarbeitung gestartet wird, getrennt vom Haupt-Thread, was Interaktion mit der Benutzeroberfläche ohne Zeitverzögerung ermöglicht. Nützlich beispielsweise auf einem Terminalserver mit vielen gleichzeitigen Benutzern, wo Sie nicht zu viele Threads starten würden, die anderen Benutzern zuviel Prozessorzeit wegnehmen, aber zumindest die GUI weiterhin flüssig verwenden können möchten. Wenn die Zahl der zusätzlichen Threads auf 0 gesetzt ist, wird die Verarbeitung vom Haupt-Thread selbst gemacht, wie in v19.0 mit einem Thread oder generell in v18.9 und vorher, womit GUI-Interaktionen langsam sein können.

  • Fähigkeit, Operationen mit mehreren Worker-Threads mit der Pause-Taste anzuhalten.

  • Es ist jetzt möglich, nicht nur bekannte irrelevante Dateien, sondern auch bekannte relevante Dateien von weiteren Operationen der Datei-Überblick-Erweiterung auszulassen. Nützlich, wenn Sie in einem großen Fall viele solcher Dateien haben oder erwarten und Ihnen der Beweis ihrer Existenz genügt und Sie für diese Dateien die internen Metadaten dann nicht noch extrahiert brauchen, deren Hautfarbanteil oder PhotoDNA-Hashwert nicht mehr wissen müssen und sie auch nicht auf eingebettete Daten prüfen müssen usw. usf.

  • Wenn Treffer gleichzeitig sowohl aus normalen als auch aus PhotoDNA-Hash-Datenbanken mit widersprüchlichen Kategorisierungen gemeldet werden, setzt sich die "strengere" Kategorie durch: unbekannt < bekannt irrelevant < bekannt, aber unkategorisiert < bekannt relevant

  • Die Option, eine Datei als bereits eingesehen zu kennzeichnen, wenn sie als irrelevant kategorisiert wird, wird jetzt auf das kombinierte Ergebnis aus den Abgleichen mit normaler Hash-Datenbank und PhotoDNA-Hash-Datenbank angewandt.

  • Interne Metadaten werden jetzt nur für Dateien in ausgewählten Kategorien in die Metadatenspalte übernommen.

  • Optionen | Sicherheit | "Infos für Absturzbericht sammeln" ist jetzt ein dreistufiges Kontrollkästchen. Voll angekreuzt wird das Programm im Fall, daß die Erweiterung eines Datei-Überblicks das Programm zum Absturz bringt, beim Neustart auch angeben, welche Unteroperation genau auf das/die problematische(n) Datei(en) angewandt wurde, als das Programm abgestürzt ist. Es wurde bisher nicht getestet, ob diese erhöhte Genauigkeit beim Protokollieren eine erkennbare Verlangsamung nach sich ziehen könnte. Es kann mehrere Kandidaten für die problematische Datei geben, die die Instabilität verursacht hat, wenn zum Absturzzeitpunkt mehrere Threads aktiv waren. Im Unterschied zu v19.0 werden jetzt alle davon festgehalten, und sie werden jetzt beim Neustart mit Hilfe des Int. ID Filters angezeigt.

Berichtstabellen

  • Bei der Prüfung auf Duplikate mittels Hash-Wert können identische Dateien jetzt optional in spezielle Berichtstabellen gruppiert werden, damit Sie mit Hilfe des Berichtstabellen-Filters bequem jede einzelne Gruppe an Duplikaten im Verzeichnis-Browser auflisten lassen können, um beispielsweise herauszufinden, welche Kopie der Datei zuerst erzeugt wurde, welche zuletzt zugegriffen wurde, welche die meiste Bedeutung aufgrund von Metadaten wie Pfad, etc besitzt. Im Unterschied zur Kennzeichnung von Duplikaten als sog. zugehörige Objekte funktioniert die Gruppierung mittels Berichtstabelle auch über Asservatgrenzen hinweg, womit Sie nicht auf den Vergleich von Duplikaten innerhalb einzelner Asservate beschränkt sind.

  • Berichtstabellen, die Gruppen identischer Dateien repräsentieren, werden in türkis dargestellt. Insgesamt gibt es damit jetzt fünf verschiedene Arten von Berichtstabellen: 1) bebenutzerdefinierte Berichtstabellen, z. B. zu Berichtszwecken, 2) von X-Ways Forensics erzeugte Berichtstabellen, um den Benutzer auf bestimmte Eigenschaften von Dateien hinzuweisen, 3) Berichtstabellen, die in einer Datei enthaltene Suchbegriffe repräsentieren, 4) Berichtstabellen, die Hash-Sets repräsentieren, in denen eine Datei gefunden wurde, 5) Berichtstabellen, die Gruppen identischer Dateien repräsentieren.

  • Die maximale Anzahl an Berichtstabellen in einem Fall wurde von 256 auf 1.000 erhöht.

  • Um eine aufgeblähte Liste an Berichtstabellen zur Auswahl während der Berichtserzeugung zu vermeiden, werden in diesem Dialogfenster Berichtstabellen nur noch angeboten, wenn diese tatsächlich zu Berichtszwecken gedacht sind. Dies wird standardmäßig von allen benutzerdefinierten Berichtstabellen angenommen. Sie können den Berichtszweck-Status jeder Berichtstabelle im Dialogfenster für die Berichtstabellen-Verknüpfung ändern, indem Sie das "Stern"-Symbol zuweisen oder entfernen.

  • Beim Erzeugen eines neuen Datei-Überblicks werden alle Berichtstabellen-Verknüpfungen auf diesem Asservat verworfen. Falls dies eine Berichtstabelle, die nicht für Berichtszwecke gekennzeichnet ist, komplett leert, wird diese Berichtstabelle bei dieser Gelegenheit jetzt automatisch aus dem Fall gelöscht.

Bedienbarkeit & Benutzeroberfläche

  • Miniaturansichten von True-Color-Bildern können in der Galerie optional in Graustufen dargestellt werden. Diese Option unter Optionen | Viewer-Programme ist für Benutzer in Strafverfolgungsbehörden gedacht, die massenweise Kinderpornografie sichten müssen, um die psychische Belastung und den Streßfaktor zu reduzieren.

  • Ein neues dreistufiges Kontrollkästchen unter Optionen | Allgemein erlaubt es, das Starten von Windows-Bildschirmschonern zu verhindern. Damit entfällt auch das Risiko, daß sich die Notwendigkeit ergibt, das Paßwort des aktuell angemeldeten Benutzers erneut einzugeben. Dies wirkt sich entweder nur dann aus, wenn gerade länger andauernde Operationen laufen, die vom Fortschrittsanzeigefenster begleitet werden (wenn nur halb angekreuzt), oder aber während der gesamten Laufzeit des Programms (wenn ganz gewählt). Diese Option hat einen Effekt, egal ob das Hauptfenster sichtbar ist oder nicht und egal ob das Programm im Hintergrund oder Vordergrund läuft. Nützlich zum Beispiel beim Sichern eines laufenden Systems vor Ort, wenn Sie ungern die Kontrolle über das System verlieren würden, während die Sicherung läuft, oder einfach nur, wenn Sie die Fortschrittsanzeige einer laufenden Vorgangs auf Ihrem eigenen Rechner von einer anderen Ecke Ihres Büro aus im Auge behalten möchten.

  • Benutzerfreundlicheres Verhalten beim Versuch, in Datenfenstern den Editiermodus zu ändern, wo das nicht erlaubt ist, weil Sie X-Ways Forensics nicht als WinHex laufen lassen oder wegen des strengen Laufwerksschutzes.

  • Bequeme Option, die Ausgabeverzeichnisse von Wiederherstellen/Kopieren nach Beendigung automatisch zu öffnen.

  • In Bearbeiten | Block festlegen ist es jetzt optional möglich, die Größe des Blocks statt seines End-Offsets anzugeben. Außerdem ist es jetzt möglich, Anfang und Ende eines Blocks auf Basis von Sektornummern statt echten Offsets einzugeben.

  • Die Option, die Viewer-Komponente auch für Bilder zu verwenden, wird jetzt als bequem zu erreichender Schalter "VK" im Vorschau-Modus angeboten, um es deutlich schneller zu machen, zwischen der internen Grafikanzeigebibliothek und der separaten Viewer-Komponente umzuschalten. Früher mußten Benutzer dafür zum Dialogfenster Optionen | Viewer-Programme gehen, zum Beispiel um im Fall beschädigter Dateien eine zweite Meinung über den Inhalt des Bildes zu bekommen. Einige Benutzer hatten diese Option vermutlich außerdem immer aktiv, einfach, weil sie angenommen hatten, Bilder mit der Viewer-Komponente anzuzeigen sei zwingend, einfach nur um überhaupt Bilder angezeigt zu bekommen, da sie gar nicht wußten, daß Bilder in X-Ways Forensics standardmäßig von der internen Grafikanzeigebbibliothek dargestellt werden.

  • Verzeichnis-Icons für Asservate, die Verzeichnisse sind, im Falldatenfenster, um diese von Volumes unterscheiden zu können.

  • Unter Windows Vista und später werden Attachments jetzt bequem von der alternativen E-Mail-Repräsentation im Vorschau-Modus verlinkt.

  • Falldaten-Kontextmenüs wurden aufgeräumt.

  • Die französische Übersetzung der Benutzeroberfläche wurde aktualisiert.

  • Kontrollkästchen, die in romanischen Sprachen lange Textbeschreibungen haben, die aufgrund des beschränkten Platzes abgeschnitten werden, kommen jetzt automatisch mit Tool-Tips daher, die den vollständigen Text anzeigen, wenn man mit dem Mauszeiger darüber verharrt.

  • Die "Aufsuchen"-Befehle im Menü Navigation sind jetzt auch im Dateimodus verfügbar.

  • "SHA-1 & TTH192 in Base32 anzeigen" ist jetzt eine Notationsoption.

  • Einige Dialogfenster sind jetzt etwas klarer strukturiert.

X-Tensions API

  • Die Funktion XWF_CreateFile unterstützt jetzt ein neues Flag, das die Erzeugung von Dateien im Datei-Überblick mit Daten aus einem bereitgestellten Puffer erlaubt.
  • Dokumentation aktualisiert.

Diverses

  • Die Vollpfad-Spalte hat jetzt einen Filter.

  • Neue Optionen beim Importieren oder Erzeugen von Hash-Sets in normalen und Block-Hash-Datenbanken. Doppelte Hash-Werte, die in der Datenbank bereits enthalten sind, können jetzt entweder aus dem neuen Hash-Set entfernt werden, oder aus allen bereits vorhandenen, um die Hash-Datenbank kompakter/weniger redundant zu halten.

  • Ein neuer Befehl im Kontextmenü des Falldatenfensters ermöglicht es, ein Asservat mit einer Glühbirne zu markieren, als visuelle Hilfe, um es leichter zu finden, falls es wichtig ist.

  • Ein weiterer neuer Befehl im Kontextmenü des Falldatenfensters erlaubt es, bequem ein Backup des Datei-Überblicks des gewählten Asservats anzufertigen. Backups können mittels desselben Befehls später jederzeit wiederhergestellt oder auch gelöscht werden (klicken Sie einen Eintrag in der Liste der Backups rechts an, um den Lösch-Befehl zu erhalten). Ein solches Backup ist wie ein Snapshot eines Datei-Überblicks. Nützlich, wenn Sie der Meinung sind, daß Sie später zu einer bestimmten Verarbeitungsstufe zurückkehren (d. h. alle folgenden Änderungen des Datei-Überblicks rückgängig machen) möchten, beispielsweise weil Sie aufwendig Tausende Dateien markiert haben, die Sie nicht verlieren wollen, bevor Sie mit experimentellen Einstellungen eine Datei-Signatur-Suche laufen lassen, die ggf. viele Schrott-Dateien erzeugt; bevor Sie externe Dateien mit Optionen, die Sie noch nie ausprobiert haben, anhängen lassen; bevor Sie eine X-Tension laufen lassen, die aus einer fremden Quelle stammt; bevor Sie ausgeblendete Dateien völlig aus dem Datei-Überblick entfernen lassen.

    Berichtstabellen-Verknüpfungen, Ereignisse und Suchtreffer sind im Backup ebenfalls enthalten. Suchtreffer können aus dem Backup nur wiederhergestellt werden, wenn sich die Suchbegriffsliste des Falles in der Zwischenzeit nicht geändert hat. Indexe sind im Backup nicht enthalten, können aber natürlich manuell gesichert werden.

  • Derselbe Befehl, angewandt auf den gesamten Fall (klicken Sie zu diesem Zweck den fett dargestellten Fallnamen rechts an), erlaubt die Erzeugung eines Backups für den gesamten Fall, einschließlich aller Datei-Überblicke aller Asservate, alle Berichtstabellen, Ereignisse, Suchbegriffe, Suchtreffer, Indexe, Image-Datei-Pfade, usw. usf. Solche Backups können über dasselbe Dialogfenster wiederhergestellt werden. Solche Backups können auch mit dem "Fall öffnen"-Befehl direkt geöffnet werden, falls notwendig, da es sich um vollständige Kopien des Falles handelt. (Die Backup-.xfc-Dateien werden aber mit dem Attribut "versteckt" versehen, da sie eigentlich nur innerhalb von X-Ways Forensics direkt verwendet werden sollen.)

  • Duplikate können jetzt auch anhand des sekundären Hashes erkannt werden.

  • Duplikate können jetzt auch anhand identischer Startsektoren (innerhalb desselben Asservats) erkannt werden.

  • Es ist jetzt möglich, zusätzliche harte Verweise auch bei der Prüfung auf Duplikate zu ignorieren.

  • Option, ausgewählte Felder auf dem Deckblatt fett und in einer anderen Farbe drucken zu lassen, um die Aufmerksamkeit des Lesers auf bestimmte Punkte zu lenken.

  • Neue Umwandlungsfunktion für Groß-/Kleinschreibung für Text-Daten in UTF-16 (Menü Bearbeiten).

  • Getrennte Notationsoptionen für den Fallbericht, genau wie für exportierte Listen.

  • Zu Ihrer Information, zwei unserer Benutzer haben unabhängig voneinander bestätigt, daß die Anti-Viren-Software Webroot SecureAnywhere zufällige Programmabstürze (Programmbeendigung) in X-Ways Forensics auslöst. Aus diesem Grund ist es nicht empfehlenswert, die beiden Programme auf dem gleichen Rechner zur gleichen Zeit auszuführen.

  • Unzählige kleinere Verbesserungen.

  • Einige kleinere Korrekturen.

  • Die Programmhilfe und das Benutzerhandbuch wurden auf den Stand von v19.1 gebracht.


Änderungen der Service-Releases von v19.0

  • SR-1: Fixed support of v19.0 to recognize a few file types (those with the "x" flag), including SQLite 3.

  • SR-1: Fixed an instability problem in the registry viewer.

  • SR-1: Fixed crashes that could occur since v18.9 when extracting metadata from certain Linux PNG thumbnails.

  • SR-1b: Fixed an error in File mode in X-Ways Investigator.

  • SR-2: Fixed support of v19.0 to read a few sectors on very large hard disks.

  • SR-2: Fixed error in file type verification and uncovering embedded data when run with multiple threads.

  • SR-2: Fixed an error where attachments were not extracted from certain .eml files.

  • SR-2: Fixed new option to link attachments from HTML previews of e-mails in the case report.

  • SR-2: Fixed potentially wrong time zone translation of timestamps in transcoded Nikon photos.

  • SR-3: Fixed a volume snapshot data corruption problem in multi-threaded picture analysis and processing.

  • SR-3: More complete extraction of Chrome web history in some cases.

  • SR-4: Fixed an exception error that could occur when providing the alternative e-mail representation for certain e-mail messages.

  • SR-4: Fixed a potential exception error that could occur when running a file header signature search on physical, partitioned media.

  • SR-4: Fixed support of X-Ways Forensics 19.0 to view contained files in separate windows from within representations of the viewer component.

  • SR-5: Fixed an I/O error that could occur when the case auto-save interval elapsed while refining the volume snapshot with multiple threads.

  • SR-5: Report table descriptions were not handled correctly when deleting a report table. That was fixed.

  • SR-5: Fixed a crash that could occur with certain SQLite databases.

  • SR-5: Fixed a rare exception error that could occur during multi-threaded relevance computation.

  • SR-5: Fixed an exception error that could occur when exporting search hits with context in TSV format.

  • SR-5: Extraction of certain embedded pictures in .eml files.

  • SR-6: The hash filter did not correctly target the 2nd and 4th hash value if the hash type was 2 or 4 bytes in size (e.g. CRC32). That was fixed.

  • SR-6: Fixed an I/O error that could occur in v18.9 and v19.0 when applying File Recovery by Type to an uninterpreted image file.

  • SR-6: The internal graphics viewing library now represents Windows Bitmaps with 32 bits per pixel in correct colors. Fixed skin tone computation for certain Bitmaps with 8 bits per pixel.

  • SR-6: Fixed a potential infinite loop that could occur during a file header signature search for Zip archives when data of JNX files was found.

  • SR-6: Upward searches did not run correctly in v19.0. That was fixed.

  • SR-7: Support for previously unsupported SQLite database files.

  • SR-7: Multi-threaded operations generally more reliable now.

  • SR-7: When matching the files in a volume snapshot against hash databases more than once, previous matches according to the "Hash set" column are now automatically discarded. The hash category remains. This is for performance reasons. Keeping previous and new matches consistent and free of duplications potentially took a lot of time and was not optimized. Users of v18.7 through v18.9 have the option to discard hash set matches and categorizations for selected files with Ctrl+Shift+Del first to accelerate re-matching.

  • SR-7: Fixed problems when loading certain GIF files that contain extension blocks.

  • SR-7b: Fixed error in hash database matching with multiple threads.

  • SR-8: Fixed a crash that could occur when exploring certain keys in registry hives.

  • SR-8: Fixed an exception error that could occur when uncovering embedded data in certain executable files.

  • SR-8: Fixed a rare exception error that could occur when verifying the type of zip archives.

  • SR-8: Sorting by filename extension is now case-insensitive.

  • SR-8: Fixed a crash that could occur in v19.0 when extracting e-mails/attachments from MBOX e-mail archives and original .eml files.

  • SR-8: Prevented unnecessary inclusion of traces of existing files from volume shadow copies in the volume snapshot in certain situations.

  • SR-8: Fixed a cause for multi-threading instability.

  • SR-8: Improved stability with special GIF and TIFF pictures.

  • SR-9: For some few JPEG/TIFF files the extracted "Content created" date was wrong or incorrectly marked as local time. That was fixed.

  • SR-9: There was a problem with the multi-threading option on VMDK images and in Ext* file systems. That was fixed.

  • SR-9: Prevented potential instability with carved .lnk shortcut files.

  • SR-9: Warns the user of GUID conflicts among Windows dynamic disks if open at the same time, to prevent wrong volume-disk connections.

  • SR-10: Fixed support of v19.0 SR-8 and SR-9 to make certain changes to PhotoDNA databases.

  • SR-10: The category of PhotoDNA hash database matches no longer supersedes that of regular hash database matches during the same snapshot refinement run.

  • SR-10: Fixed a potential crash that could occur when extracting metadata from $UsnJrnl:$J.

  • SR-10: Fixed an exception error that could occur when uncovering embedded data from PE executable files.

  • SR-11: Newly identified 3GP files were erroneously assigned to the category "Other/unknown type" by the file type verification in v19.0 SR-1 and later. That does no longer happen now.

  • SR-11: X-Tension API: Two new kinds of evidence object IDs can now be retrieved with the XWF_GetEvObjProp function (nPropType 3 and 4).

  • SR-11: Fixed support of v19.0 to copy certain files along with the case report under certain circumstances if the type status was "newly identified".

  • SR-12: Fixed an I/O error that could occur when extracting e-mails from e-mail archives while multiple threads were active.

  • SR-12: Full filename matches in the Type filter did not count if the type status was "newly identified" or "confirmed". That was fixed. In v18.8 and later, full filename matches should have been ignored only if the type status was "mismatch detected".

  • SR-12: Fixed an exception error or crash that could occur under certain circumstances when opening partitions in X-Ways Investigator without opening the parent disk first.

  • SR-12: LVM2 container partitions are now interpreted properly even if the designated partition type in the MBR or GPT is wrong.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <