Bestellung, Preise:
NeulizenzenUpgrades
 
Produkte
 
X-Ways Forensics X-Ways Forensics
Integrierte Forensik-Software
 
X-Ways Investigator X-Ways Investigator
Ermittler-Version v. X-Ways Forensics
 
Näheres zu WinHex WinHex
  Lizenztypen
  Upgrade
  Forensische Features
  Alle Features
 
Näheres zu X-Ways Imager X-Ways Imager
Disk-Imaging
 
Näheres zu X-Ways Capture X-Ways Capture
EDV-Beweissicherung
 
Näheres zu X-Ways Trace X-Ways Trace
Benutzer-Aktivität
 
Näheres zu Davory Davory
Datenrettung
 
Näheres zu X-Ways Security X-Ways Security
Datenlöschung
 
Dienstleistungen
 
Schulungsangebot
 

 
Kontakt zu X-Ways Kontakt
Benutzer-Forum
 
Die X-Ways AG Die X-Ways AG
X-Ways in Facebook X-Ways in Facebook
  X-Ways Software Technology AG
English
 
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#144: WinHex, X-Ways Forensics und X-Ways Investigator 18.2 veröffentlicht

29. Mrz. 2015

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit nützlichen Verbesserungen, die Version 18.2. Das offizielle Datum der Veröffentlichung war der 26. März.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Die Log-In-Daten für X-Ways Forensics wurden geändert, bitte dort erneut abfragen (nicht uns fragen). Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung werden auch ältere Versionen automatisch zum Download angeboten, lizenzierten Benutzern anderer Produkte i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Schulungen

Frankfurt, 13.-17. April 2015: X-Ways Forensics und Speicherforensik
Hamburg, 9.-12. Juni 2015: X-Ways Forensics (neu angesetzt)
Hamburg, 15.-19. Juni 2015: FAT*, exFAT; NTFS, XWFS2; Ext*, XFS; X-Ways Forensics II (erstmalig in Deutschland!)
Weitere InformationenEnglischsprachige Schulungen


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Was ist neu in v18.2?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateisystem-Unterstützung

  • Auch für die Dateisysteme Ext2/Ext3/Ext4 gibt es nun eine „besonders gründliche Dateisystem-Datenstruktur-Suche“. Diese prüft die gesamte Partition auf Strukturen ehemals existierender Verzeichnisse, deren Inhalte nicht von zugehörigen Inodes her bekannt sind (solche wären schon bei der Erstellung des anfänglichen Datei-Überblicks untersucht worden). Die dabei gefundenen Verzeichnisse werden mit einem generischen Namen aufgelistet („Verzeichnis mit ID ...“), zumeist in „Pfad unbekannt“, aber u. U. auch im Stammverzeichnis, wenn das Verzeichnis im Stammverzeichnis angeordnet war. (Das Stammverzeichnis hat in dieser Situation eine Sonderrolle, weil es eine unveränderliche ID hat.)

  • Möglichkeit zum Einsehen des Ext3-/Ext4-Journals. Unsere Dateisysteme-Kurs über Ext* erklärt nun ebenfalls das Journal in Ext-Dateisystemen.

  • Die Verarbeitung von Schattenkopien wurde überarbeitet. Sie bringt nun bessere Ergebnisse.

  • Verbesserter Umgang mit unvollständigen Ext*-Partitionen, insbes. Teil-Partitionen von Linux-Software-RAIDs, wenn das RAID nicht vom Benutzer zusammengesetzt wurde, sondern die Teil-Partitionen einfach arglos so wie sie angetroffen verarbeitet werden.

Dateityp-Unterstützung

  • Versuchsweise Unterstützung von EDB-Datenbanken von Exchange 2010. Rückmeldungen hierzu werden gern entgegengenommen. Die Extraktion von E-Mails aus Exchange-EDB-Datenbanken wurde generell überarbeitet.

  • Möglichkeit, sehr detailliert festzulegen, welche Typen von Dateiarchiven und welche Zip-Untertypen bei der Erweiterung des Datei-Überblicks erkundet werden sollen, um ihren Inhalt in den Datei-Überblick aufzunehmen. Zu den Zip-Untertypen, deren Inhalte in den meisten Fällen irrelevant sind, gehören .jar, .apk und .ipa, aber z. B. spezialisierte Malware-Ermittler könnten das auch ganz anders sehen. Die Entscheidung liegt bei Ihnen.

  • Sowohl die bei der Datei-Header-Signatur-Suche angenommene Normalgröße als auch die Maximalgröße von Dateien werden nun individuell in der Datei „File Type Signatures Search.txt“ auf Dateityp-Basis festgelegt, nicht mehr generisch in der Benutzeroberfläche. Das erlaubt eine bessere Ausgabequalität, weil unterschiedliche Dateitypen unterschiedlich große Varianzen von typischen Dateigrößen aufweisen (größere oder kleinere Abweichungen von ihrer jeweiligen Durchschnittsgröße).

  • Extraktion von Browser-Verlaufsinformationen aus Safaris Icon-Datenbank. Diese alternative Datenquelle ist sehr interessant, weil in ihr auch dann der Browser-Verlauf aufgezeichnet ist, wenn Safari im privaten Browser-Modus betrieben wurde.

  • Fähigkeit zum detaillierteren Einsehen von .DS_Store-Dateien im Vorschau-Modus.

  • Überarbeitete Dateityp-Prüfung.

  • Effizientere Verarbeitung von 7zip-Archiven mit dateigrenzenübergreifender Kompression.

  • Schnellere Verarbeitung von riesigen Mengen von Original-.eml- und -.msg-Dateien in sehr großen Datei-Überblicken. Datei-Überblicke von älteren Versionen müssen von v18.2 und neuer in ein anderen Format konvertiert werden.

Bedienbarkeit

  • Unterstützung für bis zu 32 externe Betrachtungsprogramme statt zuvor 9. Deren Pfade werden nun in einer separaten Datei namens „Programs.txt“ gespeichert, so daß es einfach ist, eine Sammlung solcher externer Programme mit anderen Benutzern auszutauschen, oder auch die eigene Programmliste zu behalten, wenn man alle sonstigen Einstellungen von jemand anderem übernehmen möchte.

  • Unterstützung von relativen Pfaden für externe Programme ausgeweitet.

  • Teilwort-Filter für die Spalte „Autor“.

  • Möglichkeit, den Pfad des ausgewählten Schlüssels im Registry-Viewer über einen neuen Kontextmenübefehl zu kopieren.

  • Bis zu 8 zuletzt im Registry-Viewer verwendete Suchbegriffe werden gespeichert und sind bequem erneut verwendbar.

  • Ein neuer Schalter namens „XT“ ist nun zu sehen, wenn Viewer-X-Tensions verfügbar (geladen) sind, neben dem „Raw“-Schalter. Dieser Schalter erlaubt es, die Vorschau bequem umzuschalten um die Darstellung, die von dere ersten Viewer-X-Tension bereitgestellt wird, die sich für den Typ der ausgewählten Datei verantwortlich fühlt. Oder auch zurück zur regulären Vorschau, wenn die Darstellung der X-Tension nicht hilfreich ist, in beide Richtungen mit einem einzigen Mausklick. Sie können auch die Untermodi Roh und XT der Vorschau kombinieren, z. B. zu Debug-Zwecken, wenn Sie selbst eine Viewer-X-Tension entwickeln und sie HTML-Code zurückliefern lassen, den Sie in X-Ways Forensics direkt prüfen möchten.

  • Ein neuer Befehl im Kontextmenü des Verzeichnis-Browsers läßt Sie nun Dateien basierend auf identischen Dateinamen ausblenden statt basierend auf identischen Hash-Werten. Dies ist ein Vergleich ohne Beachtung von Groß- und Kleinschreibung, und er sollte natürlich nur durchgeführt werden, wenn Sie genau wissen, was Sie tun, da hierbei keine Datei-Inhalte verglichen werden. Der Befehl kann z. B. nützlich sein, wenn Sie weitere Kopien derselben Datei aus dem Blick haben möchten, die in Backups gefunden wurde, wenn Sie keine verschiedenen Versionen dieser Dateien benötigen. Wenn Sie vor der Identifierung von namensgleichen Dateien z. B. nach dem Zeitpunkt der letzten Änderung in absteigender Reihenfolge sortieren, ist sichergestellt, daß die neueste Version eine Datei  behalten wird und die älteren Versionen ausgeblendet werden. Dateien mit identischen Namen werden nicht als Duplikate in der Attr.-Spalte markiert. Das ist wie in früheren Versionen solchen Dateien vorbehalten, die anhand von Hash-Werten als identisch erkannt werden.

  • Es wurde ein Kontextmenü für Verzeichnisse im Falldaten-Fenster eingeführt. Dieses ist verfügbar, wenn das Kontrollkästchen namens „Weitere Kontextmenüs“ in den Allgemeinen Optionen ganz angekreuzt ist oder Sie beim Rechtsklick auf ein Verzeichnis die Umschalt-Taste gedrückt halten. Die Befehle in diesem Menü erlauben das rekursive Erkunden des rechts angeklickten Verzeichnisses (genauso wie ein Rechtsklick, wenn gar kein Kontextmenü angezeigt wird), das rekursive Markieren eines Verzeichnisses (als ob man die Leertaste drückt), das rekursive Aufklappen des Verzeichnisses (als ob man die Multiplikationstaste im Ziffernblock der Tastatur drückt), das rekursive Einklappen, das Exportieren eines Teilbaums als ASCII-Textdatei sowie das Kopieren  des gesamten Pfades des Verzeichnisses in die Zwischenablage.

  • Zuordnungen von Dateien im Datei-Überblick zu gelöschte Hash-Sets  werden im Datei-Überblick nicht entsorgt, wenn die Hash-Sets in der Hash-Datenbank als gelöscht markiert werden. (Logischerweise nicht, es sind zu einem solchen Zeitpunkt ja auch gar nicht alle potentiell betroffenen Datei-Überblicke geladen, geschweige denn alle Fälle, in denen Abgleiche mit der Hash-Datenbank vorgenommen wurden.) Solche Zuordnungen werden in der Spalte „Hash-Set“ des Verzeichnis-Browsers nun mit dem Wort „gelöscht“ gekennzeichnet, um Verwirrungen zu vermeiden und Verwechslungen mit existierenden Hash-Sets desselben Namens. Einige Benutzer, die Hash-Sets aus der Hash-Datenbank löschen, neue Hash-Sets hinzufügen, aber dann keinen erneuten Abgleich durchführen, waren bisher u. U. irritiert, wenn sie die Dateien mit offensichtlichen Hash-Set-Zuordnungen nicht über den Filter der Hash-Set-Spalte erfassen konnten, was daran liegt, daß der Filterdialog nur existierende Hash-Sets anbietet. (Neuerung von v18.2 SR-1)

  • X-Ways Forensics setzt den Zustand „bereits eingesehen“ bei Anzeige in der Galerie nun wieder nun noch bei Bildern, auch wenn Nicht-Bilder in der Galerie ebenfalls durch eine Miniaturansicht repräsentiert werden, wie mit v18.0 eingeführt. (Neuerung von v18.2 SR-1)

Berichterstellung

  • Die Berichtsoption „Hauptteil erzeugen“ kommt jetzt in Form einer der beliebten 3-stufigen  Kontrollkästchen daher. Wenn nur halb gewählt, werden technische Details über die Asservate nicht in den Fallbericht aufgenommen, sondern die Asservate werden lediglich namentlich genannt. Wenn die technischen Details der Asservate aufgenommen werden, erscheinen sie im Bericht nun vor den Berichtstabellen.

  • Links zu den Anfängen von Berichtstabellen funktionieren nun auch dann, wenn der Gesamtbericht über mehrere HTML-Dateien verteilt wird und die betreffende Berichtstabelle nicht im ersten SEgment eeginnt, und es gibt nun einen Link von jeder Berichtstabelle zurück zur Übersicht aller Berichtstabellen. Der Bericht wird nun ggf. aufgeteilt in Abhängigkeit von der Gesamtzahl der referenzierten Objekte, nicht mehr in Abhängigkeit von der Zahl der im Bericht angezeigten Bilder. Wenn der Bericht aufgeteilt wird, wird das jeweils nächste Segment vom unteren Ende des vorherigen Segments verlinkt.

  • Wenn das Fallprotokoll zusammen mit dem Fallbericht ausgegeben wird, dann nun als separate HTML-Datei. Wenn der Bericht und damit das Protokoll nicht im Fallverzeichnis gespeichert werden und Bildschirmfotos des Protokolls eingebunden werden sollen, kopiert X-Ways Forensics diese Bildschirmfotos nun eigenständig in ein passendes Unterverzeichnis im selben Pfad.

  • Möglichkeit, besonders große HTML- und TSV-Exporte aus dem Verzeichnis-Browser in mehrere Dateien aufzuteilen.

Verschiedenes

  • Speichert die PhotoDNA-Kategorie von Bildern, sofern identifiziert, verläßlich in Datei-Containern, und kann sie in Installationen, die eine PhotoDNA-Datenbank mit einer Katgorie desselben Namens haben, direkt anzeigen.

  • Möglichkeit zum Feinjustieren von CPU- und Speicherauslastung beim Indexieren. Außerdem werden nun konservativere Werte voreingestellt.

  • Die virtuelle Datei "Free space" wird nun auch dann eingefroren, wenn sie indexiert worden ist, um zu vermeiden, daß Offsets im Index später ungültig werden.

  • Icons in der Symbolleiste auf Systemen mit High-Color-Farbtiefe (16 Bit) sehen nun nicht mehr kaputt aus. Und Icons, die aktuell nicht verfügbare Befehle repräsentieren, werden auf solchen Systemen nun einfach gar nicht mehr angezeigt statt sanft von links oben nach rechts unten ausgegraut. Das ist aber kein Verlust an Funktionalität, wie mal ein Benutzer in Hamburg meinte, denn man hätte sie ja sowieso nicht anklicken können.

  • Verbesserte Unterstützung von logischen Speicheradressen im Position-Manager (ehem. virtuelle Adressen genannt).

  • Es gibt nun mit höherer Wahrscheinlichkeit genug Speicherplatz in Datei-Containern für E-Mails oder diverse Outlook-Daten mit extrem langen Betreffzeilen, extrahierten Absender und Empfängern, Kommentaren und Berichtstabellenverknüpfungen. (seit v18.2 SR-1)

  • Die Meldung „Die laufende Operation muß erst abgebrochen werden.“ konnte zu Unrecht erscheinen, wenn man großen Datei-Überblicken die Dateien hashen wollte, und es traten Folgefehler auf. Dies wurde korrigiert. (mit v18.2 SR-1)

  • Ein Fehler mit der Meldung "Unable to release memory...", der bei der Datei-Header-Signatur-Suche auftreten konnte, wurde behoben. (in v18.2 SR-1)

  • Die chinesische Übersetzung der Benutzeroberfläche wurde auf den neuesten Stand gebracht. Gerade für Benutzer im deutschsprachigen Bereich dürfte das ein entscheidender Anstoß dazu sein, schnell auf die Version 18.2 zu wechseln. (Scherz.)

  • Aktualisierte language.txt-Dateien für benutzereigene Übersetzungen (z. B. einfach Berichtserzeugung in Landessprache) stehen nun für v17.9, v18.0 und v18.1 zum Herunterladen bereit.

  • Viele kleinere Verbesserungen und Korrekturen.

  • Die Programmhilfe und das Benutzerhandbuch wurden für v18.2 aktualisiert.


Änderungen der Service-Releases von v18.1:

  • SR-1: Verarbeitung von weiteren Zip-Untertypen.

  • SR-1: Ein seltener Ausnahmefehler wird behoben, der beim Verarbeiten von MBOX-Dateien auftreten konnte.

  • SR-1: Unvollständige Darstellung von WebCacheV01.dat-Dateien in v18.1 korrigiert.

  • SR-1: v18.1 erzeugte keine korrekten Datei-Überblicke von bestimmten Ext3/4-Partitionen. Das wurde behoben.

  • SR-1: Übernimmt beim Programmiert bestimmte rechnerspezifische Einstellungen aus wiederverwendeten .cfg-Dateien nicht mehr blind, wenn diese nur mit anderer Hardware sinnvoll waren.

  • SR-2: Extrem langsamer Fortschritt (fast wie ein Stillstand aussehend) beim Carven von MPEG-Dateien in v17.9 und neuer korrigiert.

  • SR-2: Ein Fehler wurde behoben, der unter bestimmten Umständen in der 64-Bit-Edition beim Verarbeiten von Datei-Archiven auftreten konnte, die größer als 4 GB sind.

  • SR-2: Ein Absturz wurde verhindert, der in der 64-Bit-Edition beim Extrahieren von Metadaten aus bestimmten HTML-Dateien auftreten konnte.

  • SR-2: Einige kleinere Korrekturen bei der Dateityp-Prüfung.

  • SR-2: Einige unnötige Fehlermeldungen wurden verhindert, die u. U. in v18.1 bei der Suche nach in OLE2-Verbunddateien eingebetteten Daten auftreten konnten.

  • SR-3: Es werden nun Absender und Empfänger angezeigt für E-Mails, die aus livecomm.edb extrahiert wurde.

  • SR-3: Ein Ausnahmefehler wurde behoben, der in v18.1 bei einer Suche im Registry-Viewer auftreten konnte.

  • SR-3: Ein Ausnahmefehler beim Carven bestimmter PDF-Dateien in v18.0 und v18.1 wurde aus der Welt geschafft.

  • SR-3: Ein Fehler wurde behoben, der zu Datenbeschädigung in verbliebenen extrahierten Dateien führen konnte, wenn man andere extrahierte Dateien aus dem Datei-Überblick entfernt hat.

  • SR-3: Eine Beschädigung von Speicherstrukturen konnte bei der Berechnung von freiem Speicher auftreten. Das wurde repariert.

  • SR-3: Ein Ausnahmefehler wurde behoben, der in v18.1 beim Einlesen bestimmter Ext3/Ext4-Partitionen auftreten konnte.

  • SR-3: Einge in sehr speziellen Situationen auftretende Ausnahmefehler wurden gefixt.

  • SR-4: Eine beträchtliche unnötige Ineffizienz bei der Verarbeitung von besonders großen verschachtelten Datei-Archiven wurde korrigiert.

  • SR-4: Ein Ausnahmefehler wurde behoben, der beim Extrahieren von Dateien aus Fragmenten von Windows-Registry-Hives auftreten konnte.

  • SR-4: Ein Codepage-Fehler in der italienischen Übersetzung der Benutzeroberfläche von v18.1 wurde behoben.

  • SR-4: X-Ways Forensics hat sich nicht immer an die im Dialogfenster aufgelisteten X-Tensions aus früheren Sitzungen erinnert. Das wurde korrigiert.

  • SR-5: Ein in sehr speziellen Situationen auftretender exzessiver Speicherverbrauch beim Decodieren von Text für logische Suchen und für die Idnexierung wurde verhindert.

  • SR-5: Das Problem  fehlender Rollbalken in der Vorschau von PDF-Dokumenten nach der Darstellung von Nichtbildern in der Galerie wurde gelöst.

  • SR-5: Ein u. U. beim Verarbeiten defekter RIFF-Dateien auftretender Ausnahmefehler gehört nun der Vergangenheit an.

  • SR-5: Eine mögliche Endlosschleife beim Verarbeiten defekter EVT-Dateien tritt nun nicht mehr auf.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde 

 

  
#143: WinHex, X-Ways Forensics und X-Ways Investigator 18.1 veröffentlicht

16. Feb. 2015

In dieser Ausgabe des Newsletters informieren wir Sie wieder über ein Update mit bemerkenswerten Verbesserungen, die Version 18.1.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung werden auch ältere Versionen automatisch zum Download angeboten, lizenzierten Benutzern anderer Produkte i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Schulungen

Frankfurt, 13.-17. April 2015: X-Ways Forensics und Speicherforensik
Hamburg, 15.-19. Juni 2015: FAT12/16/32, exFAT; NTFS, XWFS2; Ext2/3/4, XFS; X-Ways Forensics II (erstmalig in Deutschland!)
Weitere InformationenEnglischsprachige Schulungen


Diverse verbesserte Regelungen

  • Wir haben unser Treueprogramm kürzlich überarbeitet. Es gibt jetzt zwei Level statt nur einen: Silber und Gold. Es ist jetzt leichter als früher, einen Status zu erreichen, und es gibt jetzt mehr, äußerst praktische Vorteile. Alle Details finden Sie hier.

  • Für die Versicherung gegen Diebstahl (nicht einfach nur Verlust), falls Sie Ihren Dongle mit einer Version vor v18.0 versichert hatten, machen Sie die Versicherung bitte rückgängig und versichern Sie ihn sofort wieder mit v18.0 oder später. v18.0 und spätere erlauben Ihnen jetzt, mindestens eine E-Mail-Adresse für Ihren Dongle zu hinterlegen, wenn Sie ihn zum ersten Mal aufstocken. Dies kann unter Umständen wichtig sein, da es clevere Diebe daran hindert, die Dongle-Versicherung sofort zu deaktivieren, bevor Sie die Gelegenheit hatten, ihn als gestohlen zu melden. Nur die Besitzer der registrierten E-Mail-Adressen können den Versicherungsschutz aufheben, sofern E-Mail-Adressen registriert sind.

  • Es ist jetzt möglich, (laufzeitbeschränkte) Mietlizenzen zu einem vergünstigten Preis zu verlängern, jederzeit nach deren Ablauf, um ein Jahr beginnend mit dem Datum der Verlängerung, oder bereits 2 Monate im Voraus, ebenfalls um ein ganzes Jahr gerechnet ab dem Ende der aktuellen Laufzeit.

  • Alle für Lizenzierung relevanten Begriffe und Details werden hier erklärt.


Was ist neu in v18.1?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Verwendbarkeit

  • Unterstützung für Windows 10 (Technical Preview) als Plattform.

  • Verbesserte Skalierung diverser Elemente der Benutzeroberfläche für hohe DPI-Einstellungen in Windows, insbesondere Verzeichnis-Browser- und Verzeichnisbaum-Icons, die Schalter in der Bildschirmmitte, die Statusleiste, Markierungskästchen und Sortierpfeile. Mehrere Symbolleisten- und Menü-Icons wurden überarbeitet. Insbesondere sind jetzt fast alle Icons in hoher Auflösung für hohe DPI-Einstellungen verfügbar. Datei- und Verzeichnissymbole wurden ebenfalls überarbeitet und sind jetzt konsistenter in Verzeichnisbaum und Verzeichnis-Browser. Neue Symbole repräsentieren Bilder, E-Mails, und diverse Outlook-Daten. Erheblich verbesserte Unterstützung für größere Schriftgrößen in der Darstellung des Hex-Editors und in den Zeichentabellen. Diese Verbesserungen sind insbesondere für hochauflösende Bildschirme (4K- oder 5K-Displays, wie z. B. die Retina-Displays aktueller Mac-Computer) und Nutzer mit Seh-Einschränkungen bedeutsam.

  • Jetzt können bis zu 2 Alter Egos desselben Benutzers denselben Fall gleichzeitig öffnen. Manchen Nutzern könnte dies bei der parallelisierten, simultanen Datei-Überblick-Erweiterung verschiedener Asservate im selben Fall auf demselben Rechner helfen.

  • Eine neue Galerie-Option erlaubt es, Dateien durch Anklicken einer beliebigen Stelle in der Miniaturansicht zu markieren, nicht nur im Markierungskästchen. Dies macht das Markieren einer großen Anzahl von Dateien bequemer, und ist angenehmer als mehrere Dateien auszuwählen, während man die Strg-Taste gedrückt hält.

  • Italienische Übersetzung der Benutzeroberfläche aktualisiert.

HTML-Berichte

  • Es ist jetzt einfacher, CSS (Cascading Style Sheets) zur Formatierung des Fallberichts zu verwenden. Zusätzlich zur Parameter-Definition für Standard-HTML-Elemente (was auch bisher schon möglich war), wird wesentlichen Elementen des Berichts jetzt auch ein "class"-Parameter zugewiesen, um deren gezielte Ansteuerung zu Formatierzwecken zu erleichtern. Beispiel-Stylesheets als Ausgangspunkt für weitere Anpassungen sind vorhanden. Die Berichtsoptionen erlauben die Auswahl oder Bearbeitung einer CSS.txt als Teil des Berichtsprozesses.

  • Zwei neue Fallberichtsoptionen wurden hinzugefügt. "Dateien nach eindeutiger ID benennen" stellt sicher, daß Dateinamen kompakt, eindeutig, verfolgbar und reproduzierbar sind, und stellt außerdem sicher, falls dieselbe Datei mit mehreren Berichtstabellen verknüpft ist, daß diese in das Berichts-Unterverzeichnis nur einmal kopiert wird. Das spart Zeit und Speicherplatz. "Jede Datei nur einmal auflisten" ist eine 3-stufige Option. Voll angekreuzt wird keine Datei im Bericht von mehr als einer Berichtstabelle mehr erwähnt. Beachten Sie, daß Sie immer noch alle Berichtstabellenverknüpfungen einer Datei in ihrer einen Berichtstabellennennung sehen können, wenn Sie das Feld "Berichtstabelle" mit ausgeben lassen. Falls die Option halb-angekreuzt ist, wird die Datei weiterhin in mehreren Berichtstabellen im Bericht aufgeführt, sofern sie mehrere Verknüpfungen hat, aber nur einmal herauskopiert und nur aus der ersten Berichtstabelle verlinkt.

Hash-Werte

  • Option, die Block-Hash-Datenbank mit einem Hash-Set pro Datei zu befüllen, wenn mehrere Dateien ausgewählt sind, im Unterschied zu früheren Versionen, die ein einziges Hash-Set für alle ausgewählten Dateien erzeugt haben.

  • Unterstützung für Project VIC JSON-Dateiformat 1.1.

  • Fähigkeit, zwei Hash-Werte pro Asservat zu verwalten. Fähigkeit, zwei Hash-Werte aus .e01-Evidence-Files zu importieren, die von X-Ways Forensics oder X-Ways Imager erzeugt wurden.

  • Unterstützung für die Hash-Typen Tiger128, Tiger160 und Tiger192.

  • Unterstützung für Tiger-Tree-Hash-Werte (TTH). Nützlich für Ermittlungen, die Direct Connect P2P Filesharing-Programme beinhalten. Base32-Darstellung für TTH kann in den Verzeichnis-Browser-Optionen aktiviert werden.

Suchen

  • Die Suchbegriffsliste bietet jetzt eine "Max. 1"-Option, wenn mehrere Suchbegriffe ausgewählt sind, die nicht mit einem + erzwungen oder mit einem - ausgeschlossen werden. "Max. 1" listet Suchtreffer nur auf, wenn sich diese in Dateien befinden, die keinen der anderen ausgewählten Suchbegriffe enthalten. Um beispielsweise für 3 Suchbegriffe in früheren Versionen dasselbe Resultat zu erhalten, hätten Sie Treffer für Suchbegriff A anzeigen lassen müssen, während B und C ausgeschlossen sind, dann Treffer für B während A und C ausgeschlossen sind, und schließlich Treffer für C unter Auschluss von A und B, was natürlich erstens weniger elegant ist und zweitens nicht alle solchen Treffer gleichzeitig zeigen kann.

  • Die Suchbegriffsliste bietet nun eine "NOT NEAR"-Option (abgekürzt NTNR) zusätzlich zu "NEAR". Mit zwei ausgewählten Suchbegriffen zeigt NTNR nur solche Treffer an, die nicht in der Nähe irgendwelcher Treffer des jeweils anderen Suchbegriffs sind. Mit mehr als zwei ausgewählten Suchbegriffen ist das Ergebnis derzeit nicht definiert.

  • Kleinere Korrektur im HTML-Code von exportierten Suchtreffern.

Dateityp-Unterstützung

  • Dateityp-Prüfung überarbeitet.

  • Reihenfolge der Kategorien überarbeitet (basierend auf typischer Häufigkeit).

  • Neue Carving-Methode für Quickbooks .qbw-Dateien.

  • .evtx-Event-Log-Verarbeitung leicht überarbeitet.

  • Unterstützung für das aktualisierte Datenbankformat der Chrome-History. Unterstützung für die Opera Browser-History seit Version 15.0 (die Umstellung auf die Chromium-Engine).

  • Hübschere Namen für Dateien, die aus Google Chrome Cache extrahiert wurden.

  • Spezielle Carving-Unterstützung für EDB (ESE) Log-Dateien (.edblog). Diese Log-Dateien sind forensisch dahingehend relevant, daß Microsoft zunehmend interne Daten über EDB-Datenbanken in diesen Dateien speichert. Die Log-Dateien halten sämtliche Daten fest, die zu einem bestimmten Zeitpunkt zu einer Datenbank hinzugefügt werden, bis diese schließlich aus der Log-Datei gelöscht werden. Typischerweise können mehrere solcher Dateien in Windows Systemen wiederhergestellt werden, und Suchtreffer in solchen Log-Dateien sind bedeutungsvoller als in generischem freiem Speicher. Metadaten werden aus diesen Log-Dateien ebenfalls extrahiert.

  • Bessere Unterstützung für die CAB-Dateiformat-Familie, die Windows Installer-Dateien (weniger interessant), Windows Cabinet (interessanter, kann E-Mails beinhalten) und Microsoft OneNote-Packages (ebenfalls interessanter) beinhaltet.

  • Unterstützung für Deflate64-Kompression in Zip-Archiven.

  • Ein Ausnahmefehler wurde behoben, der bei der Extraktion von E-Mails aus bestimmten MBOX-E-Mail-Archiven auftreten konnte.

  • Kleinere Korrektur und Verbesserung der Ereignis-Extraktion aus .evtx-Event-Logs für den Fall, daß Ereignisse im Event-Log vom Nutzer gelöscht worden waren.

  • Ein möglicher fehlerhafter Übertrag von Absendern und Empfängern auf andere E-Mail-Fragmente, die aus Windows.edb extrahiert wurden, wurde behoben.

  • Ein Fehler wurde eliminiert, der beim Verarbeiten von über 2 GB großen Datei-Archiven auftreten konnte.

Dateisystem-Unterstützung

  • In neu erzeugten Datei-Überblicken von Ext3- und Ext4-Dateisystemen betrachtet X-Ways Forensics ab jetzt auch die Inhalte des Journals dieser Dateisysteme als alternative Informationsquelle. Dies kann zur Auflistung zusätzlicher ehemals existiernder Dateien führen, oder dem Auflisten ehemals existierender Dateien mit Inhalten und Zeitstempeln, die zuvor nicht verfügbar waren, oder zur Identifikation früherer Namen existierender Dateien (im letzteren Fall wird ein entsprechender Hinweis in der Metadaten-Spalte der betreffenden Datei hinterlegt). Wichtiger Hinweis: Da das Journaling in Ext3/4 Kopien ganzer Dateisystem-Blöcke beinhaltet, dürfte sich das Journal auf sehr aktiven Partitionen in relativ kurzer Zeit selbst überschreiben, wobei die jüngsten Einträge im Journal natürlich identisch mit den aktuell ohnehin im Dateisystem verfügbaren Daten sind.

  • Dateien, deren Darstellung auf einer Inode aus dem Ext3/Ext4-Journal basiert, werden mit (Jrnl) in der Attr.-Spalte gekennzeichnet. Ein Filter für solche Dateien ist verfügbar.

  • Identifiziert einige grundlegende Informationen über Windows-Installationen, falls gefunden, aus Partitionen oder Images, die einem Fall hinzugefügt werden, und zeigt diese in den Asservat-Eigenschaften an.

X-Tensions API

  • X-Tensions werden zusätzliche Informationen über den Aufruf von XT_Init zur Verfügung gestellt.

  • Eine neue X-Tension-Funktion XWF_GetEvent, die Informationen über ein Ereignis in der internen Ereignisliste eines Asservats liefert.

  • Die X-Tension-Funktionen XWF_GetReportTableInfo und XWF_GetVSProp wurden überarbeitet.

Diverses

  • Beim Sichern von Datenträgern mit aktiver Komprimierung gibt X-Ways Forensics jetzt direkt visuelles Feedback über die tatsächliche Datenmenge auf dem Datenträger. Dies ist möglich, da Regionen, die entweder noch nie beschrieben oder gewiped wurden, extrem hohe Kompressionsraten erzielen. Die laufende Kompressionsrate wird während des Sicherungsvorgangs durch vertikale Balken in einem gesonderten Fenster dargestellt. Je höher der Balken, desto niedriger die "Datendichte" in dem betreffenden Bereich. Die Kompressionsstatistik wird auch im .e01-Evidence-File gespeichert, womit die Balkendarstellung auch zu einem späteren Zeitpunkt über die Asservat-Eigenschaften verfügbar sind, wenn Sie auf den Schalter "Kompression" klicken.

  • Die Option "Dateien nach eindeutiger ID benennen" in Wiederherstellen/Kopieren ist jetzt auch in Verbindung mit der Erzeugung von vollständigen oder partiellen Pfaden im Ausgabeordner verfügbar. Es ist jetzt eine 3-stufige Option. Halb angekreuzt werden die Dateien nicht mehr ausschließlich nach ihrer eindeutigen ID (+Erweiterung) benannt. Stattdessen wird die eindeutige ID zwischen den Basis-Dateinamen und die Dateinamenserweiterung eingefügt.

  • Fähigkeit, in einem rekursiv erkundeten Asservat-Überblick alle Objekte in allen offenen Asservaten über die Verzeichnis-Browser-Optionen "einzublenden".

  • Specialist | Datei-Überblick erweitern zeigt jetzt die Größe der extrahierten Metadaten und Kommentare im Speicher an und erlaubt, die extrahierten Metadaten zu verwerfen, falls notwendig, um Speicherbedarf zu reduzieren. Unterstützt jetzt bis zu ~4 GB an extrahierten Metadaten pro Datei-Überblick (bislang ~2 GB before).

  • Möglichkeit, im Bericht Bilder in den Berichtstabellen über dem zugehörigen Text anzuzeigen, statt darunter.

  • Viele kleinere Verbesserungen.

  • Programmhilfe und Benutzerhandbuch wurden für v18.1 aktualisiert.


Änderungen der Service-Releases von v18.0:

  • SR-1: Ein Ausnahmefehler wurde behoben, der bei der Verwendung von X-Ways Forensics ohne eine zweite Hash-Datenbank auftreten konnte.

  • SR-2: Unterstützung für einige weitere TIFF-Untertypen für den Abgleich per PhotoDNA.

  • SR-2: Bestimmte nicht unterstützte TIFF-Untertypen werden jetzt dahingehend korrekter behandelt, daß der Abgleich per PhotoDNA und eventuell auch die Hautfarberkennung nicht mehr versucht werden, falls hoffnungslos, und stattdessen ein Fragezeichen ausgegeben wird.

  • SR-2: Korrekt für bestimmte Varianten von FAT12.

  • SR-3: Unterstützung für relative Pfade beim Einsatz der PhotoDNA-Hash-Datenbank.

  • SR-3: Extraktion von EXIF-Metadaten aus .wav-Dateien.

  • SR-3: Interne Zeitstempel aus JPEG-Dateien, die von aktuelleren Canon Kameramodellen erzeugt wurden, werden jetzt mitsamt Zeitzonen-Informationen extrahiert und können daher in die Anzeige-Zeitzone umgewandelt werden.

  • SR-3: Ein möglicher Fehler wurde behoben, der beim Sortieren nach der HFA/PhotoDNA-Spalte auftreten konnte.

  • SR-3: Ein Stabilitätsproblem, das bei beschädigten Google Chrome Caches auftreten konnte, wurde behoben.

  • SR-3: Ein Fehler wurde behoben, der bei der Verarbeitung von .ieurl-Dateien, die aus Google Chrome Caches extrahiert wurden, auftreten konnte.

  • SR-3: Ein Absturz, der mit Windows Vista Thumbcaches auftreten konnte, wurde behoben.

  • SR-4: Die massenhafte Extraktion von Metadaten wird nicht mehr von der Option "Bearbeitung durch gleichzeitige Benutzer sorgfältiger koordinieren" verlangsamt.

  • SR-4: Ein Ausnahmefehler, der bei der Benutzung des Registry Viewers auftreten konnte, wurde behoben.

  • SR-4: Automatische Berichtstabellenverknüpfungen für Duplikate haben nicht mehr funktioniert. Dies wurde behoben.

  • SR-5: Ein Fehler wurde behoben, der in v18.0 SR-4 Abstürze mit OLE2-Dateien produzieren konnte.

  • SR-5: v18.0 hat in zusätzlichen Durchläufen von Datei-Überblick erweitern nicht immer die Hash-Werte mit der Hash-Datenbank abgeglichen. Dies wurde behoben.

  • SR-5: Ein Fehler in der X-Tension API-Funktion XWF_GetRasterImage wurde korrigiert.

  • SR-6: Fehlerhafte Ereignisse mit Zeitstempeln im Jahr 1829 wurden korrigiert.

  • SR-6: Die Unfähigkeit von v18.0, aus allen E-Mail-Headern Absender und Empfänger zu extrahieren, wurde behoben.

  • SR-6: Die unzureichende Behandlung defekter Sektoren in aktuelleren Versionen wurde behoben.

  • SR-6: Ein Ausnahmefehler wurde behoben, der in der 64-bit-Version bei der Verarbeitung von Google Chrome Cache-Dateien auftreten konnte.

  • SR-7: Ein ungerechtfertigter unvollständiger Lesefehler in v18.0 wurde behoben.

  • SR-7: Ein möglicher Fehler mit verlorenen Kommentaren, die aus Datei-Containern importiert wurden, wurde behoben.

  • SR-7: Ein Absturz wurde behoben, der beim Versuch auftreten konnte, sehr lange Suchtreffer anzuzeigen (z. B. erzeugt mit einem GREP-Ausdruck wie .*).

  • SR-8: Ein Ausnahmefehler wurde behoben, der beim Wechseln zur Suchtrefferliste im Asservat-Überblick auftreten konnte, wenn im Verzeichnis-Browser noch sortiert wurde.

  • SR-8: Ein möglicher Absturz mit defekten OLE2-Dateien wurde behoben.

  • SR-8: Dongle-Fehler, die einige Nutzer bei der Nutzung mehrerer simultaner Programminstanzen bekommen haben, wurden behoben.

  • SR-8: Einige kleinere Verbesserungen und Korrekturen.

  • SR-9: Ein Ausnahmefehler wurde behoben, der bei der automatischen Überprüfung von Images nach der Sicherung mit bestimmten Einstellungen auftreten konnte.

  • SR-9: Verhindert ungewollte Abwandlungen von Berichtstabellennamen unter bestimmten Umständen während der Synchronisation arbeitsteiliger Auswertungen.


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde 

 

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <