X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

  
#142: WinHex, X-Ways Forensics und X-Ways Investigator 18.0 veröffentlicht

13. Dez. 2014

In dieser Ausgabe des Newsletters informieren wir Sie über ein größeres Update mit bemerkenswerten Verbesserungen, die Version 18.0.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung werden auch ältere Versionen automatisch zum Download angeboten, lizenzierten Benutzern anderer Produkte i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Gelegentliche Neuigkeiten und Sonderangebote bei Twitter: https://twitter.com/XWaysSoftware


Schulungen

Frankfurt, 13.-17. April 2015
Weitere InformationenEnglischsprachige Schulungen


Was ist neu in v18.0?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Herkömmliche Hash-Datenbanken

  • Möglichkeit, zwei getrennte Hash-Datenbanken gleichzeitig zu betreiben, basierend auf demselben oder unterschiedlichen Hash-Typen. Beispielsweise nützlich wenn Sie Hash-Sets aus unterschiedlichen Quellen auf der Basis unterschiedlicher Hash-Typen (z. B. einige mit MD5- und andere mit SHA-1-Werten) erhalten and diese gleichzeitig einsetzen möchten.

    Die zweite Hash-Datenbank kann auf einem anderen Laufwerk gespeichert sein. Nützlich wenn beispielsweise die primäre Hash-Datenbank auf einem Netzlaufwerk mit anderen Benutzern geteilt wird und der Benutzer neue Hash-Sets in einer lokal gespeicherten zweiten Hash-Datenbank erzeugen oder importieren möchte, entweder nur zu temporären Zwecken oder während die primäre Hash-Datenbank von anderen genutzt wird.

    Wenn Sie ein Hash-Set selbst erzeugen, können Sie wählen, zu welcher Hash-Datenbank es hinzugefügt werden soll. Das kann die Datei-Hash-Datenbank #1 oder die Datei-Hash-Datenbank #2 oder die Block-Hash-Datenbank sein.

    Die Fähigkeit einen ganzen Order mit Hash-Sets zu importieren, wurde entfernt. Sie können immer noch mehrere ausgewählte Hash-Sets im gleichen Verzeichnis zugleich importieren.

  • Fähigkeit beim Erweitern des Datei-Überblicks, Hash-Werte in zwei verschiedenen Hash-Typen gleichzeitig zu berechnen, zu allgemeinen Zwecken oder um sie mit zwei Hash-Datenbanken mit unterschiedlichen Hash-Typen abzugleichen. Wenn der Abgleich ausgewählt ist, werden alle Hash-Werte mit jeder der beiden Hash-Datenbanken verglichen, deren Typ übereinstimmt. Das heißt, selbst wenn der primäre Hash-Typ im Datei-Überblick MD5 und der zweite SHA-1 ist, und Hash-Datenbank #1 auf SHA-1 und Hash-Datenbank #2 auf MD5 basiert, wird X-Ways Forensics die Werte entsprechend vergleichen. Die Hash-Typen im Datei-Überblick und in den Hash-Datenbanken müssen nicht in der selben Reihenfolge sein.

  • Welcher Hash-Wert in der Hash-Spalte angezeigt wird, kann im Dialog Verzeichnis-Browser-Optionen geändert werden. Entweder der primäre Hash-Wert oder der Zweit-Hash-Wert oder beide gleichzeitig (wenn das Feld halb ausgewählt ist). Der Filter in der Hash-Wert-Spalte wird auf den/diejenigen Hash-Typ(en) angewendet, der/die gerade angezeigt wird/werden. Welche(r) Hash-Typ(en) gerade angezeigt wird/werden, kann man am Titel der Hash-Spalte sehen.

  • Die Hash-Set-Spalte zeigt bekannte Übereinstimmungen für beide Hash-Datenbanken gleichzeitig. Der Filter kann nur zum Filtern nach ausgewählten Hash-Sets von einer der Datenbanken zur gleichen Zeit verwendet werden. Die zu verwendende Datenbank, aus der die Hash-Sets gewählt werden sollen, kann im Filter-Dialog ausgewählt werden.

  • Die Hash-Kategorie zeigt nur eine Kategorie. Wenn Sie den Hash-Wert einer Datei in einer Hash-Datenbank der einen Kategorie und den Hash-Wert derselben Datei in der anderen Hash-Datenbank der anderen Kategorie zuweisen, erhalten Sie zum Zeitpunkt des Abgleichs einmal eine Warnung mit exakten Angaben bezüglich welcher Hash-Werte in welchen Hash-Sets in welchen Hash-Datenbanken einander widersprechen. Die Kategorisierung als "verdächtig" wird im Zweifelsfall immer vorgezogen.

  • Fähigkeit, Hash-Sets zu importieren, die im aktuellen JSON/ODATA-Format gespeichert sind, wie es von Project Vic verwendet wird und in der Hubstream-Inbox gefunden werden kann.

PhotoDNA

  • X-Ways Forensics kann ab jetzt bis auf weiteres den PhotoDNA-Hash-Algorithmus für Fotos einsetzen. Aufgrund der Natur des Hash-Algorithmuses und seiner Spezialisierung auf Fotos, ermöglicht er es üblicherweise, bekannte Fotos zu erkennen, selbst wenn diese mehrfach verlustbehaftet komprimiert (z. B. JPEG), in einem anderen Dateiformat gespeichert, in der Größe verändert, teilweise verschwommen/verpixelt, in Farbe oder Kontrast verändert wurden, etc. Im Unterschied zu Hash-Werten, wie sie von herkömmlichen Allzweck-Algorithmen berechnet werden, sind PhotoDNA-Hash-Werte gegenüber diversen solchen Bild-Änderungen resistent. Optional können solche Fotos auch dann erkannt werden, wenn sie (horizontal) gespiegelt wurden.

    Aus Lizenzgründen ist die PhotoDNA-Funktionalität ein separater Download und wird von X-Ways selbst nur Strafverfolgungsbehörden zur Verfügung gestellt, die diese zur Verhinderung der Verbreitung von „child sexual abuse content“ und für Ermittlungen einsetzen können, deren Ziel es ist, Verbreitung und Besitz solchen Materials zu unterbinden.

    Weitere Details (auf Englisch) zu PhotoDNA gibt es als schematische Übersicht und in dieser Presseinformation.

    Sofern die PhotoDNA-Funktionalität vorhanden ist, kann eine vierte (!) Datenbank mit PhotoDNA-Hash-Werten von Fotos in X-Ways Forensics erzeugt und gepflegt werden, und Fotos können mit dieser Hash-Datenbank in X-Ways Forensics und X-Ways Investigator abgeglichen werden, um bekannte illegale Inhalte zu identifizieren.

    Strafverfolgungsbehörden können ihre eigenen Sammlungen solcher Hash-Werte erzeugen und austauschen, oder eine große bestehende Sammlung von Project Vic importieren. Sie können auch die PhotoDNA-Hash-Datenbanken anderer X-Ways-Anwender importieren, nicht länger benötigte Hash-Kategorien löschen, oder Kategorien in Ihrer Datenbank verschmelzen oder umbenennen. Wenn Sie die Hash-Datenbank eines anderen Benutzers importieren, werden dessen Kategorien gleichen Namens mit Ihren verschmolzen. X-Ways Forensics wird versuchen, die Hash-Werte sehr ähnlicher Bilder beim Import in die Hash-Datenbank zu de-duplizieren.

    Hash-Werte für Bilder im Datei-Überblick eines Asservats können der PhotoDNA-Hash-Datenbank auf die gleiche Art hinzugefügt werden wie zu einer herkömmlichen Hash-Datenbank, mittels “Hash-Set erzeugen” im Kontext-Menü des Verzeichnis-Browsers. Die Datenbank ist eine der jetzt vier Datenbanken, die über den Befehl Extras | Hash-Datenbank gepflegt werden kann. Die PhotoDNA-Hash-Datenbank wird in einem Verzeichnis neben der Hash-Datenbank #1 gespeichert.

    Der Abgleich findet statt als Teil der Bildanalyse und -verarbeitung in „Specialist | Datei-Überblick erweitern“. Wenn Sie einen strengeren Abgleich auswählen (weniger Abweichungen im Bild erlauben), kann der Prozeß in großen Datenbanken merklich beschleunigt werden. Resultierende Treffer können in der jetzt kombinierten HFA/PDNA-Spalte gesehen und gefiltert werden. Bitte beachten Sie, daß von PhotoDNA bereits erkannte Bilder nicht noch zusätzlich auf ihren Hautfarbanteil untersucht werden.

Performanz-Steigerungen

  • Datei-Header-Signatur-Suchen, blockweises Hashen und Abgleichen, FILE-Record-Suchen, Suchen nach verlorenen Partitionen und physische parallele Suchen erkennen jetzt "sparse"-Bereiche beim Umgang mit komprimierten und sparse gespeicherten .e01-Evidence-Files. Das bedeutet, daß Bereiche, die auf dem Original-Datenträger nie beschrieben und genullt sind, oder Bereiche, die auf dem Original-Datenträger mit Nullen überschrieben wurden, oder Bereiche, die in bereinigten Sicherungen bewußt ausgelassen wurden, übersprungen werden und fast keine Zeit benötigen, da deren Daten weder gelesen noch dekomprimiert noch weiter verarbeitet werden müssen (durchsucht/gehasht und mit der Block-Hash-Datenbank abgeglichen).

    Sparse-Bewußtsein ist garantiert aktiv für .e01-Evidence-Files, die von X-Ways Forensics und X-Ways Imager 16.1 und später erzeugt wurden (und möglicherweise für Sicherungen, die von Dritt-Software erzeugt wurden, abhängig von den Einstellungen und internem Layout). Die genannten Operationen erkennen sparse-Bereiche nicht, wenn es sich um Images von Windows dynamischen Platten, Images von LVM2-Platten oder um rekonstruierte RAIDs auf der Basis von .e01-Evidence-Files handelt.

  • Logische Suchen in Dateien auf NTFS-Dateisystemen erkennen sparse-Bereiche auf der .e01-Evidence-File-Ebene ebenfalls, und generell logische Suchen in der virtuellen Datei „Freier Speicher“.

  • Logische Suchen in NTFS-, Ext*-, XFS- und UFS-Dateisystemen besitzen Sparse-Bewußtsein auch auf der Dateisystem-Ebene. Das bedeutet, es wird keine Zeit darauf verschwendet, große sparse-Bereiche in sparse gespeicherten Dateien zu durchsuchen. Diese werden nicht verarbeitet, egal, ob das Asservat ein .e01-Evidence-File, Roh-Image, RAID oder ein Datenträger ist.

  • Die Berechnung des Hautfarbanteils für hochauflösende Bilder wurde etwas beschleunigt.

Dateityp-Unterstützung

  • Verbesserte Stabilität und Qualität der E-Mail-Extraktion aus Exchange-Datenbanken.

  • Unterstützt eine neue PST/OST-Datenspeicher-Methode, wie sie in Outlook 2013 verwendet wird.

  • Unterstützung für die E-Mail-Extraktion aus MBOX-E-Mail-Archiven größer als 4 GB.

  • Vorschau für Skype-Chat-Sync-Dateien (genannt "chatsync" in der Typ-Spalte). Zeigt den kompletten Chat und die IP-Adressen der Teilnehmer. Ereignisse werden ebenfalls extrahiert.

  • Unterstützung für das neuere Photoshop-Vorschau-Cache-Format.

  • Verbesserter Abschnitt für Windows Benutzer-Administration im Registry-Bericht.

  • Fähigkeit, als Teil der Metadaten-Extraktion alternative Namen und Zeitstempel aus Linux-PNG-Vorschaubildern zu extrahieren, wie sie von Ubuntu- und Kubuntu-Distributionen, vom Desktop-Manager MATE und der GNOME ThumbnailFactory bekannt sind. Der Name der Original-Datei wird in der Namensspalte in eckigen Klammern und der festgehaltene Zeitstempel der Original-Datei als Zeitstempel "Erz. des Inhalts" angezeigt. Der vollständige Pfad der Original-Datei kann der Metadaten-Spalte entnommen werden.

  • Tiefgreifendere Extraktion eingebetteter Dateien aus PE-Anwendungen (nicht standardmäßig, nur wenn per Dateimaske festgelegt).

  • Exif-Metadaten-Extraktion überarbeitet.

  • Einige Verbesserungen bei der Datei-Typ-Prüfung.

Datei-Header-Signatur-Suche

  • Möglichkeit, die Ergebnisse der Datei-Header-Signatur-Suche als Unterobjekte existierender Dateien anzuzeigen, nicht im Verzeichnis für gecarvte Dateien, falls sie in diesen anderen Dateien gefunden wurden.

  • Ein neuer Eintrag in "Special interest" erlaubt es, Google-Such-URLs entweder mit den "ei" Parametern als Dateien zu carven oder (besser) Ereignisse mit den enthaltenen Zeitstempeln auszugeben (falls "Zeitstempel aus diversen Quellen als Ereignisse bereitstellen" ausgewählt ist).

  • Vermeidet falsch-positive Treffer bei der Signatur-Suche bei aktivierter Option "Effekt von NTFS-Kompression ausgleichen" besser.

  • Carven von "Outlook for Mac 2011"-Dateien verbessert.

Arbeitsspeicher-Editor

  • Fähigkeit, geladene Module oberhalb der 4-GB-Grenze in 64-Bit-Prozessen mit „Extras | Speicher öffnen“ aufzulisten und Speicher in diesen Adreßbereichen zu öffnen und zu editieren. Unicode-Unterstützung für Prozeß- und Modul-Namen und Pfade. Seitengrenzen werden durch horizontale Linien gekennzeichnet. Grenzen, die Lücken zwischen zusammenhängend allozierten Bereichen kennzeichnen, werden von dunkleren horizontalen Linien repräsentiert. Die Informationsspalte zeigt jetzt mehr Details an, wie z. B. die höchste repräsentierte Adresse und die Zahl der Lücken im zugewiesenen Speicher (=Zahl der zusammenhängenden zugewiesenen Speicherbereiche -1) wie auch den Schutz-Status und Typ der aktuell dargestellten Seite. Mehrere andere kleinere Verbesserungen. Bitte beachten Sie, daß Sie die 64-Bit-Version benötigen, um mit 64-Bit-Prozessen korrekt umzugehen.

Bedienbarkeit

  • Der Eintrag „..“ am oberen Ende des Verzeichnis-Browsers, der erscheint, wenn man innerhalb eines Volumes von einem Verzeichnis in ein anderes navigiert, ist jetzt optional. Sofern angezeigt, ist er jetzt am oberen Ende des Verzeichnis-Browsers fixiert und rollt nicht mit den anderen Einträgen. Außerdem zeigt er jetzt die Details des Verzeichnisses, das er repräsentiert (dasjenige, zu dem Sie navigieren würden, wenn Sie den Eintrag doppelt anklicken), genau wie die anderen Einträge im Verzeichnis-Browser.

    Und ein „.“-Eintrag wird jetzt optional ebenfalls angezeigt, der das aktuell angezeigte Verzeichnis repräsentiert. Nützlich, falls Sie beispielsweise bestimmte Metadaten (z. B. Zeitstempel) des übergeordneten Objektes gleichzeitig mit den Metadaten der Unterobjekte sehen wollen. Und falls das von . oder .. repräsentierte Objekt eine Datei ist und Sie es auswählen, können Sie diese Datei jetzt im Datei-, Vorschau- oder Detail-Modus einsehen. Auch in der Galerie wird es mit angezeigt.

  • Wenn Sie einen beliebigen Bestandteil des aktuellen Pfads in der Titelzeile des Verzeichnis-Browsers anklicken, navigiert das direkt zu dem Verzeichnis (oder der Datei mit Unterobjekt), auf dessen Namen Sie geklickt haben.

  • Möglichkeit, die Sichtbarkeit einer Spalte alleine mit der Maus ein- und auszuschalten, indem man den Spaltennamen in Optionen | Verzeichnis-Browser anklickt.

  • Ein unerwartetes Verhalten der Option „Vollpfadsortierung übergeordneter Objekte” wurde korrigiert.

  • Die Option „Eingesehene Dateien merken“ wurde zu Optionen | Viewer-Programme verschoben.

  • Separate Option „Abweichenden Typ als Namensänderung anhängen“ für „Verknüpftes Programm verwenden beim Einsehen”. Macht es leichter, Windows dazu zu bringen, das richtige Programm für falsch benannte Dateien, Dateien ohne Erweiterung, etc. zu starten.

  • Möglichkeit, ein benutzerdefiniertes Time-Out in Millisekunden für das Laden von Bildern mit der internen Grafik-Bibliothek festzulegen, in Optionen | Viewer-Programme.

  • Möglichkeit, automatisch Berichtstabellen-Verknüpfungen für Dateien zu erzeugen, die zu einem Datei-Container hinzugefügt wurden.

  • Beim Erzeugen von zwei Kopien einer Datenträger-Sicherung gleichzeitig können jetzt auch beide automatisch verifiziert werden.

  • Chinesische Übersetzung der Benutzeroberfläche aktualisiert.

Verschiedenes

  • Wenn lange Pfade auf dem Deckblatt oder oben auf der ersten Seite gedruckt werden, werden solche Pfade jetzt auch dann in mehrere Zeilen umgebrochen, selbst wenn sie keine Leerzeichen enthalten.

  • Die Verfolgung der internen Speicherbelegung kann jetzt in Optionen | Sicherheit zu Debugging-Zwecken aktiviert werden.

  • Die von den Notations-Einstellungen abhängige Unfähigkeit, Formeln in Schablonen auszuwerten, wurde behoben.

  • Container des alten Formats (seit über drei Jahren nicht mehr Standard in X-Ways Forensics) können jetzt nicht mehr erzeugt oder weiter befüllt werden, aber können weiterhin als Asservate in Fällen verwendet werden.

  • Neue X-Tension-Funktion XWF_GetRasterImage. Liefert eine standardisierte Echtfarb-Raster-Bild-Darstellung für beliebige Bild-Typen, die in X-Ways Forensics intern unterstützt werden (z. B. JPEG, GIF, PNG, ...), mit 24 Bit pro Pixel, mit einigen mächtigen Optionen.

  • Unterstützung für eine Variante von FAT12- und FAT16-Dateisystemen mit ungewöhnlichen Verzeichniseinträgen.

  • Unzählige kleinere Verbesserungen.

  • Benutzerhandbuch und Programm-Hilfe wurden aktualisiert.

Viewer-Komponente

  • v8.5 der Viewer-Komponente steht seit 27. Juli 2014 allen lizensierten Benutzern von X-Ways Forensics und X-Ways Investigator mit gültiger Update-Berechtigung zum Download zur Verfügung.

  • Unterstützung für AutoCAD 2013 wurde hinzufügt.

  • Die Anwendungen von LibreOffice 4.0 (Impress, Draw, Calc und Writer) werden jetzt unterstützt.

  • 64-bit ZIP-Komprimierung wird jetzt vom ZIP-Input-Filter unterstützt.

  • Input-Filter-Unterstützung für HTML5- und CSS2.1-Tags und -Attribute für E-Mail-Nachrichten wurde hinzugefügt.

  • Microsoft Visio 2010 wird jetzt unterstützt.

  • Von Microsoft Office 2013 werden jetzt auch Access, OneNote und Visio unterstützt.

  • Aus der Apple iWork-Suite werden jetzt Pages (iPad) PDF-Vorschau & Text, Numbers (iPad) PDF-Vorschau & Text, and Keynote (iPad) PDF-Vorschau & Text unterstützt.

  • Aus der WordPerfect X6-Suite werden Word Processor, Quattro Pro und Präösentationen unterstützt.

  • Windows 8.1 ist jetzt offiziell eine unterstützte Plattform.

  • HTML-Tabellen, die in früheren Versionen oft zu schmal waren, sind jetzt gelegentlich sehr breit, und sie scheinen immer die Anzeige eines horizontalen Scroll-Balkens auszulösen, selbst, wenn keine Scroll-Funktion benötigt wird, weil das Fenster breit genug ist. Außerdem werden inkonsistente Leerzeichen und Zeilenumbrüche in HTML-Tabellen-Zellen beobachtet.

  • Wie immer, bitte beachten Sie, daß verschiedene Versionen der Viewer-Komponente in unterschiedlichen Verzeichnissen liegen müssen. Sie dürfen die Dateien einer neuen Version nicht in ein existierendes Verzeichnis mit einer früheren Version kopieren, da dies nicht notwendigerweise alle Dateien ersetzt und dann Fehlermeldungen erzeugen kann.

    Die komprimierte Größe der Viewer-Komponente ist um 34% gewachsen, hauptsächlich dank einer neuen Datei namens oit_font_metrics.db, einer SQLite-Schriftarten-Datenbank deren exakter Nutzen noch festzustellen ist, und die auf den ersten Blick optional zu sein scheint.

  • Wie ein Benutzer aus der Schweiz festgestellt hat, ist v8.5 der Viewer-Komponente nicht in der Lage, den Text aus PDF-Dateien zu dekodieren, die von Abbyy Fine Reader 11 erzeugt wurden. Normale PDF-Dateien wurden wie üblich verarbeitet. Dies wurde scheinbar in v8.5.1 behoben, die seit 26. Nov. 2014 verfügbar ist. Andere bekannte Verbesserungen der v8.5.1 beinhalten, daß MHT-Dateien nicht mehr mit einem E-Mail-Header angezeigt werden, und offenbar Unterstützung für Ichicatro 2014, wobei uns unbekannt ist, was genau "Ichicatro 2014" ist.

Lizenzierung

  • Temporäre Lizenzen sind jetzt auch auf Tages-Basis erhältlich. Diese können nützlich sein, wenn Sie die Software auf ungewöhnlich vielen Rechnern gleichzeitig laufen lassen müssen, z. B. zu Schulungszwecken oder weil Sie die Verarbeitung (Stichwort-Suchen, Datei-Überblick-Erweiterung) in X-Ways Forensics parallelisieren wollen, mittels mehrerer Instanzen auf mehreren Rechnern, für einen ungewöhnlich großen oder dringenden Fall. Auch bei der Vorauswertung (Triage) einer großen Anzahl Rechner vor Ort nützlich und kosteneffektiv, wenn Sie mittels spezifischer Methoden (Stichwort-Suchen, Dateinamens-Filter, Hautfarbanteil-Berechnung von 10% aller Bilder, ...) vor Ort schnell prüfen müssen, ob ein Rechner potentielles Beweismaterial enthält oder nicht, und basierend auf dem Ergebnis entscheiden, ob Sie die Inhalte vor Ort sichern, die Hardware mitnehmen oder das System ausklammern. Eintägige Nutzung bezieht sich auf einen vollen Tag (24 hours) in Ihrer Zeitzone. Sehr kosteneffektiv, wenn Sie zusätzliche Lizenzen für nur einen kurzen Zeitraum oder sehr selten benötigen.


Änderungen der Service-Releases von v17.9:

  • SR-1: Die Unfähigkeit nach Hash-Sets zu filtern, während die Hash-Datenbank in einer anderen Instanz zum Abgleichen in Benutzung war, wurde behoben.

  • SR-1: Ein Ausnahmefehler wurde behoben, der in der ursprünglichen v17.9 auftreten konnte, wenn abhängige Viewer-Fenster aus der Viewer-Komponente heraus geöffnet wurden oder diese geschlossen wurden.

  • SR-1: Die Metadaten-Darstellung für Prozesse im Detail-Modus in der 64-bit-Version wurde korrigiert.

  • SR-1: Die Unfähigkeit, unter bestimmten Umständen dynamische Volumes zu öffnen, wurde behoben.

  • SR-1: Einige kleinere Speicherlecks wurden behoben.

  • SR-2: Die Hervorhebung von Suchtreffernin bestimmten Codepages beim HTML-Export wurde korrigiert.

  • SR-2: Dateien, die in Schattenkopien gefunden wurden, werden jetzt üblicherweise wieder in ihren ursprünglichen Verzeichnissen angezeigt, wie in früheren Versionen.

  • SR-2: Korrektur und Verbesserung beim Carven von TAR.

  • SR-2: Einige kleinere Verbesserungen und Korrekturen.

  • SR-3: Ein Ausnahmefehler wurde behoben, der in SR-2 beim Öffnen bestimmter Volumes auftreten konnte.

  • SR-4: Ein Ausnahmefehler wurde behoben, der beim Öffnen von Partitionen auf physischen Datenträgern auftreten konnte, wenn diese ohne ihren Eltern-Datenträger zu einem Fall hinzugefügt wurden.

  • SR-4: Eine Fehlermeldung wurde verhindert, die in bestimmten Situationen fälschlicherweise behauptet hat, der Datei-Überblick sei außerhalb der aktuellen Sitzung verändert worden.

  • SR-4: Verhindert, daß ehemals existierende Hash-Sets in der Hash-Datenbanken unter bestimmten Umständen als existierend behandelt wurden.

  • SR-5: Die fehlerhafte Darstellung von Metadaten von Prozessen in Speicherabbildern in der 64-bit-Version wurde korrigiert.

  • SR-5: Die unvollständige NEAR-Kombination von Suchtreffern unter bestimmten Umständen wurde behoben.

  • SR-6: Ein Fehler in bestimmten Datei-Überblicken, die von der 64-bit-Version von SR-5 erzeugt wurden, wurde behoben.

  • SR-7: Die fehlerhafte Darstellung von Partitionstabellen-Einträgen, die in der 64-bit-Version von SR-6 auftrat, wenn gelöschte Partitionen gefunden wurden, wurde behoben.

  • SR-8: Die Beschädigung von Hash-Set-Namen in gewissen Situationen in den 64-bit-Versionen neuerer Service-Releases von v17.9 und v18.0 Preview wurde behoben. Beschädigte Hash-Set-Namen können durch Umbenennen manuell repariert werden.

  • SR-9: Ein Stabilitätsproblem wurde behoben, das bei der Verarbeitung bestimmter MBOX-E-Mail-Archive auftreten konnte.

  • SR-9: Vertauschte Zeitstempel bei Dateien, die in Schattenkopien gefunden wurden, wurden korrigiert.

  • SR-9: Ein möglicher Ausnahmefehler wurde verhindert, der beim Parsen bestimmter beschädigter LVM2-Konfigurationen auftreten konnte.

  • SR-9: Ein seltener Ausnahmefehler wurde verhindert, der beim Parsen beschädigter .evtx-Event-Log-Dateien auftreten konnte.

  • SR-9: Ein technisches Problem für einige Dongle-Nutzer wurde behoben.

  • SR-9: Registry Keys im Registry-Viewer sollten jetzt immer alphabetisch sortiert sein.

  • SR-9: Ein Fehler bei der Erzeugung von Datei-Containern in v17.9 wurde behoben (seit 4. Dez. 2014)

  • SR-10: Beim Befüllen eines Datei-Containers des alten Formats mit v17.8 und v17.9 (eine standardmäßig versteckte Option) wurden die übergeordneten Verzeichnisse mehr als einmal mit übernommen. Dies wurde behoben.


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Allen Lesern und Anwendern frohe Weihnachten!

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

  
#141: WinHex, X-Ways Forensics und X-Ways Investigator 17.9 veröffentlicht

2. Okt. 2014

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten Verbesserungen, die Version 17.9.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Gelegentliche Neuigkeiten und Sonderangebote bei Twitter: https://twitter.com/XWaysSoftware


Schulungen

Darmstadt, 17.-21. Nov. 2014
Weitere Informationen


Was ist neu in v17.9?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Dateityp-Unterstützung

  • Die Galerie kann nun optional Miniaturansichten für alle Dateitypen anzeigen, die von der Viewer-Komponente unterstützt werden, incl. Office-Dokumente, PDF, HTML, E-Mails sowie Bilder, die die internen Bildanzeigebibliothek nicht anzeigen kann (wie etwa .emf, .wmf, ...)!

    Sie können wählen zwischen normalen, leicht geschrumpften und stark geschrumpften Miniaturansichten von Dokumenten. Geschrumpfte Ansichten zeigen mehr Details und geben einen Eindruck vom ursprünglichen Layout von Dokumenten, aber auf Kosten der Lesbarkeit. Größere Schriftarten (besonders Überschriften) im ursprünglichen Dokument, wenn nicht zu stark verkleinert, bleiben typischerweise in der Miniaturansicht lesbar und können dem Betrachter bereits vermitteln, um was für eine Art von Dokument es sich handelt, auch wenn man es nicht einsieht, so daß er wahrscheinlich schneller die Dokumente findet, nach denen er Ausschau hält. Außerdem kann er bereits vorab sehen, welche Dateien überhaupt in der Viewer-Komponente hübsch dargestellt werden können. Es ist sehr empfehlenswert, in Windows Aero zu aktivieren, wenn man die Galerie mit der Option für Nicht-Bilder verwendet.

    Dateien, die größer als 16 MB sind, werden nicht mit einer Miniaturansicht dargestellt, aus Gründen des beschleunigten Galerieaufbaus. X-Ways Forensics versucht, die Erzeugung einer Miniaturansicht abzubrechen, wenn sie länger als ein paar Sekunden dauert. Wenn die Erzeugung fehlschlägt, sehen Sie evtl. Fehlermeldungen der Viewer-Komponente wie "Operation cancelled" in kleinen roten Buchstaben in der Miniaturansicht. Wenn die Erzeugung von X-Ways Forensics nicht mal versucht wird, sehen Sie nur den Dateinamen und ein Icon.
     

  • Extraktion von Informationen aus der Windows.edb-Datenbank über den Verlauf von Web-Browsing mit dem Internet Explorer. Besuchte Adressen werden der Ereignisliste hinzugefügt, als Teil der Windows.edb-Verarbeitung in "Eingebettete Daten in diversen Dateitypen suchen...". Die URLs verbleiben auch dann in der Windows.edb, wenn man den Browser-Verlauf im Internet Explorer löscht, also genau wie man sich eine Funktion zum Schutz der Privatsphäre vorstellt (Ironie).

  • Extraktion von Kontakten aus der contacts.edb-Datenbank des Windows Live Messenger, ebenfalls über "Eingebettete Daten in diversen Dateitypen suchen...".

  • Bestimmte ehemals gültige Zeitstempel von Dateien werden nun während diverser Unteroperationen von "Dateisystem-Datenstruktur-Suche besonders intensiv" als Ereignisse ausgegeben, wenn die neue Erweiterungsoption "Zeitstempel aus diversen Quellen als Ereignisse bereitstellen" ausgewählt ist. Diese Option wirkt sich auch auf andere Operationen aus, deren Hauptzweckt nicht das Extrahieren von Zeitstempeln und Erzeugen von Ereignissen ist.

  • Unterstützung von Big-Data-Datensätzen in Registry-Hives im Registry-Viewer und in Registry-Berichten.

  • Unterstützung der Windows-8-Version und einiger weiterer neuer Varianten von AppCompatCache in der Windows Registry.

  • Die alternative E-Mail-Vorschau unterstützt nun Base64-codierte E-Mail-Rümpfe.

  • Fähigkeit zum Decodieren von voll Base64-codierter Dateien im Datei-Überblick. Ausgabe des Resultats in Binär als Unterobjekt über "Eingebettete Daten in diversen Dateitypen suchen...", vorausgesetzt, daß die codierte Datei in der Typ-Spalte als "b64" identifiziert wird.

  • Eine aktualisierte Version von MPlayer (genannt 2014) ist nun von unserer Web-Site herunterladbar. (Siehe Download-Instruktionen in der Lizenzstatus-Mail.)

  • Längerer Filterausdruck für die Videodatei-Verarbeitung unterstützt.

  • Korrektur bei Extraktion von Geo-Informationen aus BlackBerry-JPEGs.

  • Ein Ausnahmsfehler wurde behoben, der beim Extrahieren von Metadaten aus PE EXE (RLL) auftreten konnte.

  • Eine mögliche Instabilität beim Parsen von binären PLists (BPLists) wurde aus der Welt geschafft, die bei Dateien mit ganz speziellen Defekten auftreten konnte.

  • Unter bestimmten Umständen führte das Exportieren von Listen im XML-Format beim Importieren in MS Excel zu einer nicht hilfreichen Struktur. Das wurde verhindert.

  • Ein seltener Ausnahmefehler wurde behoben, der beim Extrahieren von Metadaten aus .evtx Event-Log-Dateien auftreten konnte.

Dateisystem-Unterstützung

  • Die diversen Unteroperationen der besonders intensiven Dateisystem-Datenstruktur-Suche im Fall von NTFS können nun präziser ausgewählt werden, in einem Unterdialogfenster von "Datei-Überblick erweitern", und sie laufen nun in besonders großen Datei-Überblick viel effizienter ab.

  • Einbinden bestimmter redundanter Dateien in den Datei-Überblick bei der Suche nach FILE-Records verhindert.

  • Möglichkeit zum Filtern nach solchen 0x30-Zeitstempeln, die ihren 0x10-Entsprechungen zeitlich nicht vorausgehen. (Bedenken Sie, daß diese Situation oft aus vielerlei "natürlichen" Gründen auftreten kann, und nur manchmal auf menschliches Rückdatieren zurückzuführen ist.) Klicken Sie dazu auf das Kontrollkästchen, das mit einem Größer-als-Symbol gekennzeichnet ist.

  • Extended Attributes in NTFS werden in den Datei-Überblick nun optional als Unterobjekte desjenigen Verzeichnisses oder derjenigen Datei aufgenommen, zu dem/der sie gehören, mit dem Namen "$EA", und in der Attr.-Spalte als "($EA)" markiert. Und zwar entweder alle solchen Attribute (wenn das zugehörige Kontrollkästchen in den Datei-Überblicks-Optionen ganz angekreuzt ist) oder nur die nicht-residenten (wenn nur halb gewählt, was die Voreinstellung ist). Wenn gar nicht, dann werden die Cluster, die zu nicht-residenten Extended Attributes gehören, wie gehabt der virtuellen Datei "Diverse nicht-residente Attribute" zugeschlagen.

    Hintergrundinformation: Microsoft verwendetet Extended Attributes regulär in ausführbaren Systemdateien als Teil der sog. Secure-Boot-Komponenten. Angreifer auf der anderen Seite haben große Extended Attributes in einigen weit beachteten Fällen zum Verstecken von Malware mißbraucht. Auf besonders große Extended Attributes werden Sie nach wie vor wie seit v17.5 in Form mittels Berichtstabellen-Verknüpfungen hingewiesen.

  • Heruntergeladene Dateien in NTFS können in neu erzeugten Datei-Überblicken nun viel bequemer als solche erkannt werden, weil ihr alternative Datenstrom namens "Zone.Identifier" fortan standardmäßig als Berichtstabellen-Verknüpfung repräsentiert wird (s. ebenfalls Optionen | Datei-Überblick). Das bedeutet, daß Sie nicht mehr zum Unterobjekt zu navigieren brauchen, um herauszufinden, um was für ein Unterobjekt es sich handelt. "ZoneId=3" ist der Name der Berichtstabelle, die aus dem Internet heruntergeladene Dateien identifziert.

  • Neu erzeugte Datei-Überblicke von Ext*-Dateisystemen enthalten nun Verzeichnisse und Dateien, die bloß aufgrund von Dateisystem-Fehlern verweist sind, also von keinem Verzeichnis höher in der Hierarchie referenziert werden, obwohl sie nicht gelöscht worden sind.

Datenträger-Unterstützung

  • Eine neue Variante der Minimalsicherung, genannt punktuelle Sicherung, steht nun zur Auswahl. Klicken Sie auf den gleichnamigen Schalter im Dateiauswahldialog des Menübefehls Datei | Minimalsicherung erstellen, um eine punktuelle Sicherung anzustoßen. Alle Sektoren, die von X-Ways Forensics gelesen werden, egal von welchem Datenträger oder welchen Image, während die punktuelle Sicherung aktiv ist, werden in separate Dateien geschrieben, die nach der Sektornummer benannt sind und die Erweiterung .sector erhalten, in einem Unterverzeichnis des Standardverzeichnisses für Sicherungsdateien, das nach dem jeweiligen Datenträger bzw. Image benannt wird. Zusammenhängend gelesene Sektoren landen in einer einzigen Datei.

    Die punktuelle Sicherung kann beendet werden über den Menübefehl Datei | Punktuelle Sicherung. Punktuelle Sicherungen sind nur in speziellen Situationen nützlich, z. B. zu Debug-Zwecken, wenn man nur wenige Sektoren gezielt sichern möchte, die am besten von der Software automatisch ermittelt werden (z. B. Datenstrukturen, die beim Öffnen einer bestimmten Datei benötigt werden). Im Vergleich zu einer Minimalsicherung kann eine punktuelle Sicherung vorteilhaft sein, weil keine Image-Datei von derseben Größe wie der Quelldatenträger erzeugt wird. (Auch wenn die Größe nur eine nominelle Größe und die Image-Datei sparse ist, hilft doch die Sparse-Eigenschaft nicht, wenn die Datei über das Internet verschickt oder in ein Dateisystem kopiert werden soll, das die Sparse-Eigenschaft der Datei nicht beibehält.)

    Dank kompatibler Namen können punktuelle Sicherungen (die .sector-Dateien) bei Bedarf direkt für die Sektor-Überlagerung eingesetzt werden. Sie können auch bequem und aufgrund ihrer typischerweise geringen Größe sehr, sehr schnell auf andere Datenträger zurückkopiert werden, alle solche Dateien im selben Verzeichnis auf einmal, natürlich unter Berücksichtigung der Startsektornummern in den Dateinamen, durch Klick auf den Schalter "Punktuelle Sicherung" im Dialogfenster zu Datei | Sicherung wiederherstellen.

  • Neue Dateinamens-Konventionen für die Sektor-Überlagerung. Als Name einer ganzen Gruppe von Dateien erwartet wird nun so etwas wie "n.sector", wobei n der Name des Startsektors ist und ".sector" die neue Namensendung.

  • Extras | Disk-Tools | Verlorene Partitionen suchen unterstützt nun Datenträger mit einer Sektorgröße von 4 KB.

  • Möglichkeit, die erkannte Sektorgröße einer .e01-Evidence-Datei beim Interpretieren/Hinzufügen zum Fall manuell außer Kraft zu setzen, wie üblich durch Gedrückthalten der Umschalt-Taste. Nützlich für inkorrekt gekennzeichnete .e01-Evidence-Dateien, um die richtige Interpretation von Partitionsstruktur und Dateisystemen zu ermöglichen. Solche fehlerhaften .e01-Evidence-Dateien können das Ergebnis einer Konvertierung von falsch interpretierten Roh-Images ins .e01-Format sein oder auf eine inkorrekte Sektorgrößen-Emulation von USB-Adaptern zurückzuführen sein oder durch Klonens der Originalfestplatte auf eine Festplatte mit anderer Sektorgröße (mit anschließender Sicherung ins .e01-Format) entstehen. Generell scheinen einige Benutzer technischen Details wie erkannte und ursprüngliche Sektorgröße auch bei Auftreten von Problemen manchmal keine große Beachtung zu schenken, was etwas schade ist. Wenn Sie beim Hinzufügen einer Sicherung zum Fall eine abweichende Sektorgröße  angeben, wird diese im Fall für das Asservat dauerhaft gespeichert, so daß die Angabe nicht jedes Mal neu erforderlich ist.

  • X-Ways Forensics prüft nun auf überlappende Partitionen beim Erzeugen von bereinigten Sicherungen von partitionierten physischen Datenträgern, und warnt davor. Cluster in betroffenen Bereichen werden in einer solchen Konstellation nicht mehr ausgelassen, und es erscheint eine Empfehlung, die relevanten Partitionen statt dessen separat zu sichern.

  • Die Spalte "1. Sektor" kann nun optional physische Anfangssektoren von Dateien in Partitionen anzeigen (also vom Anfang der physischen Platte oder des physischen Images an gezählt) statt logische Anfangssektoren (vom Bootsektor der Partition an gezählt), wenn die Partition vom physischen Datenträger/Image aus geöffnet wurde. In dem Fall wird der Spaltenkopf mit einem eingekreisten P (P für physisch) gekennzeichnet. Die Option ist im Dialogfenster mit den Verzeichnis-Browser-Optionen angesiedelt. Sie hat nur für herkömmliche Partitionen einen Effekt, nicht für dynamische Volumes von Windows oder LVM2-Volumes von Linux.

  • Ein Filter für die Spalte "1. Sektor" erlaubt es nun, Dateien zu identifizieren, deren Inhalte in bestimmten Sektorbereichen beginnen, z. B. weil diese definitiv von etwaigen bekannten defekten Sektoren betroffen sind oder jenseits des Endes von bekanntermaßen unvollständigen Images gespeichert sind. Bedenken Sie, daß Sie hier auf Wunsch physische (plattenbasierte) Sektornummern sehen können statt logische (partitionsbasierte) Sektornummern, s. Verzeichnis-Browser-Optionen. Der Filter erlaubt es auch, sich auf gecarvete Dateien zu konzentrieren, die entweder an Sektorgrenzen gefunden wurden oder nicht, z. B. nach einer Datei-Header-Signatur-Suche auf Byte-Ebene, um Mülldateien zu entfernen, die unter nicht an Sektorgrenzen gecarveten Dateien häufiger anzutreffen sind.

  • Der "Sektor aufsuchen"-Befehl, wenn auf einen physischen, partitionierten Datenträger angewandt, ermöglicht es nun, den angegebenen Sektor direkt innerhalb des betreffenden Partitionsdatenfenster anzusteuern, so daß Sie direkt den Allokationszustand des zugehörigen Clusters sehen können. Nur für herkömmliche Partitionen, nicht für dynamische Volumes von Windows oder LVM2-Volumes von Linux.

  • GPT-Partitionen vom Typ Apple Core Storage (also Lion FileVault) werden nun in der Typ-Spalte als "Core Storage" identifiziert.

Bedienbarkeit

  • Es ist nun möglich, unterschiedliche Versionen der Viewer-Komponente zum Einsehen einerseits und Decodieren von Text andererseits zur selben Zeit zu verwenden. Sie können separate Verzeichnisse im Dialogfenster Optionen | Viewer-Programme angeben. Das ist kann Vorteile haben, weil Sie so von der erweiterten Dateiformat-Unterstützung der neuesten Version 8.5 profitieren können und gleichzeitig die verläßlicheren Decodierungsfähigkeiten der Vorgängerversion 8.4.1 beibehalten für PDF-Dateien, die von der OCR-Software Abbyy Fine Reader 11 (und evtl. anderen Programmen) erzeugt wurden.

  • Die Anzahl der aktiven Filter wird nun in der Überschriftszeile des Verzeichnis-Browsers angezeigt, neben dem blauen Filtersymbol links. Spaltenbasierte und nicht-spaltenbasierte aktive Filter werden dabei separat gezählt. Diese Anzeige kann hilfreich sein, weil spaltenbasierte Filter zu Spalten aktiv sein könnten, die derzeit nicht im Verzeichnis-Browser sichtbar sind, und daß nicht-spaltenbasierte Filter aktiv sind ist ansonsten evtl. nur dann offensichtlich, wenn man im Dialogfenster mit den Verzeichnis-Browser-Optionen nachsieht.

  • "Benutzerinitialen zu Berichtstabellen-Verknüpfungen anzeigen" ist nun eins der beliebten 3-stufigen Kontrollkästchen. Wenn nur halb angekreuzt, hat die Option nur eine Wirkung auf den Verzeichnis-Browser und nicht auf die Befehle "Liste exportieren" oder "Wiederherstellen/Kopieren" und auch nicht auf den Fallbericht.

  • Pseudo-Hash-Werte werden nun nur noch im Verzeichnis-Browser angezeigt, und nicht mehr bei "Liste exportieren" oder im Fallbericht ausgegeben.

  • Es gibt nun einen Kopier-Befehl im Kontextmenü der Statusleiste in den Modi Details, Vorschau und Galerie.

  • Die neuen Spalten mit alternativen Zeitstempeln können nun dynamisch angezeigt werden, d. h.  nur dann, wenn Objekte, die solche Zeitstempel haben, gegenwärtig im sichtbaren Bereich des Verzeichnis-Browser angezeigt werden.

  • Alle Optionen, die mit der Galerie zu tun haben, wurden von Optionen | Allgemein verlegt nach Optionen | Viewer-Programme.

  • Die Galerie hat nun ihre eigene 3-stufige Option "Doppelklick=Einsehen statt Erkunden", analog zum Verzeichnis-Browser. Standardmäßig bedeutet ein Doppelklick in der Galerie nach wie vor "Einsehen".

  • Beim Entfernen von Berichtstabellen-Verknüpfungen von ausgewählten Dateien werden nun auch Verknüpfungen von verwandten Dateien entfernt, in Abhängigkeit von den Verküpfungsoptionen der Berichtstabelle (ausgewählte Datei, übergeordnete Datei, direkte Unterobjekte, bekannte Duplikate usw.).

  • Die Option zur Zifferngruppierung wurde von den Daten-Dolmetscher-Optionen in die Allg. Optionen verlegt und wirkt sich dementsprechend nun auf das gesamte Programm aus.

  • Es gibt nun die Möglichkeit, auch normale Dateien im Datei-Überblick umzubenennen, nicht nur virtuelle und gecarvete Dateien, sofern die Umschalt-Taste beim Rechtsklick auf eine solche Datei gedrückt ist. Auch wenn dies im Zusammenhang mit Asservaten nicht unbedingt forensisch einwandfrei ist (wenn man mit eigenen Daten hantiert, ist es auf jeden Fall OK), kann es doch in speziellen Situationen hilfreich sein, z. B. wenn ein Dateiname oder Verzeichnisname zu lang ist, um die Datei aus einem Image herauszukopieren o. ä. Der Originalname wird weiterhin als alternativer Dateiname angezeigt. Beachten Sie, daß dieser Befehl eine Datei nicht im Dateisystem umbenennt (auf dem Datenträger und im Image wird nichts verändert!), sondern nur im Datei-Überblick, also in der internen Datenbank in X-Ways Fürensics über das Dateisystem.

Diverses

  • Neues Carving-Flag "C" (Großbuchstabe). Kennzeichnet Dateityp-Signaturen, die nicht für die Suche nach NTFS-komprimierten Dateien berücksichtigt werden sollen, sofern der Effekt von NTFS-Kompression ausgeglichen wird, weil die Signaturen entweder zu schwach sind und zu viele falsche Treffer hervorrufen würden oder weil die Dateien des betreffenden Typs aufgrund interner Kompression ohnehin nicht komprimiert gespeichert würden.

  • Neues Carving-Flag "B" (Großbuchstabe). Verhindert die Suche auf Byte-Ebene nach einer bestimmten Signatur, um starke Geschwindigkeitseinbußen zu vermeiden.

  • Verbesserter Carving-Algorithmus für Zip.

  • Die Zerlegung von GUIDs der Version 1 in Zeitstempel, Sequenznummer und MAC-Adresse im Daten-Dolmetscher und in Schablonen ist nun optional. In den Daten-Dolmetscher-Optionen können Sie die Zerlegung nun entweder wie bisher erzwingen (wenn ganz angekreuzt) oder sie verhindern (um immer die Standard-GUID-Notation in geschweiften Klammern zu sehen) oder die Zerlegung nur dann vornehmen zu lassen, wenn auch die Zeitstempel einigermaßen plausibel ist (wenn halb angekreuzt). Letzte Einstellung ist nützlich z. B. für Apple GPT-Werte, die vorgeben, GUIDs der Version 1 zu sein, aber tatsächlich verdrehten ASCII-Text statt gültige Zeitstempel enthalten.

  • Möglichkeit, mit dem Befehl Bearbeiten | Modifizieren Einheiten von mehr als 2 oder 4 Bytes Byte-weise zu verdrehen.

  • Vollständigere Auflistung von DLLs anderer Prozesse in Extras | RAM öffnen in der 64-Bit-Edition.

  • Unzählige kleinere Verbesserungen.

  • Benutzerhandbuch und Programm-Hilfe wurden aktualisiert.


Änderungen der Service-Releases von v17.8:
(diesmal nicht übersetzt)

  • SR-1: Accelerated hash set matching if hash values were computed before.

  • SR-1: Under certain circumstances, Exchange EDB databases were not processed by X-Ways Forensics, but ignored. That was fixed.

  • SR-2: Fixed incorrect encoding of spaces in filenames in case reports in v17.8.

  • SR-2: Supports :n parameters in the command line again as v17.5 and earlier did, to automatically open hard disk n (and optionally image it automatically).

  • SR-2: Fixed missing FAT32 volume label in Technical Details Report in some recent versions.

  • SR-2: Fixed inability to remove hashes values from hash databases using certain import hash set files.

  • SR-2: Fixed display of certain double byte code pages in the text column.

  • SR-2: Fixed output of certain fields in case reports in v17.8, e.g. timestamps and matching hash sets.

  • SR-2: Prevented inclusion of invalid "Content created" timestamps in the volume snapshot.

  • SR-3: The specified maximum resulting file size for file carving is now ignored for file types with an internally implemented "~" algorithm. It now has an effect only on file types with a defined footer signature.

  • SR-3: Fixed inability of recent versions to carve zip archives with certain statistical properties.

  • SR-3: Fixed an interpretation error for Java Date+Time in v17.6 and later.

  • SR-3: Hash set matching in v17.7 and later did not work for selected files. That was fixed.

  • SR-3: Simultaneous hash set matching in multiple instances supported again.

  • SR-4: Fixed an exception error that could occur in the "jump-as-you-type" function.

  • SR-4: Fixed an exception error in XML export.

  • SR-4: Fixed inability to open dynamic volumes in certain situations.

  • SR-4: Fixed an error in the ability to delete hash values from hash sets.

  • SR-4: Fixed some inconsistencies in the handling of ANSI SQL and Java Date in the Data Interpreter.

  • SR-5: Fixed non-inclusion of file associations with freshly created report tables in evidence file containers.

  • SR-5: Fixed inability to import report table associations and comments from encrypted evidence file containers in certain situations.

  • SR-5: Minor fix and improvement for XML PList processing.

  • SR-5: The author, if extracted from an XML file in a zip-styled Office document, is now shown for the Office document file, not the XML file itself.

  • SR-6: Accelerated metadata extraction.

  • SR-6: Fixed an exception error that could occur when dealing with certain rare inconsistent FILE records in NTFS.

  • SR-6: Fixed output of some rare malformed .eml files during e-mail extraction.

  • SR-6: Certain e-mail messages created by Lotus Notes and received by Outlook that were not stored by Outlook in a consistent way were not presented correctly. That was fixed.

  • SR-6: Fixed inability to locate all LVM2 volumes in some situations.

  • SR-6: Fixed missing additional case open dialog for multiple simultaneous users in v17.8.

  • SR-6: Fixed an error in v17.8 that occurred importing an entire directory of hash sets or renaming a hash set.

  • SR-7: Revised date definitions for e-mails extracted from MSG.

  • SR-7: Fixed an error in the hash database handling in v17.8.

  • SR-8: Fixed an exception error that could occur when adding media whose model designation X-Ways Forensics could not determine to cases with active "Improved recognition of physical media".

  • SR-8: Accelerated byte-level JPEG carving in partitions with certain data.

  • SR-9: Fixed computed total capacity for certain internally reconstructed RAIDs.

  • SR-9: Fixed an error in the crash-safe text decoding option which could lead to incomplete decoding results in certain situations.

  • SR-10: The option "Omit directories" for logical searches did not have an effect for some file systems. That was fixed.

  • SR-10: Avoided unnecessary error messages when copying from a directory on a remote network drive to an evidence file container with certain settings.

  • SR-11: Fixed an instability in the Recover/Copy dialog window in SR-10.

  • SR-12: Fixed logical AND combination of associations with automatically generated report table.

  • SR-12: Fixed occasional inability to remove report table associations.

  • SR-12: More thorough support for certain Exif GPS data.

  • SR-12: Fixed an exception error that could occur when processing livecomm.edb files.

  • SR-13: Certain extremely fragmented files in NTFS volumes were not opened correctly in v17.7 SR-9 and SR-10 as well as v17.8 SR-6 through SR-12. That was fixed.

  • SR-13: Avoided garbage characters in the table "Partitions by disk signature" of the registry report in the 64-bit edition.

  • SR-13: Fixed an exception error that could occur when importing report table definition files whose names are enclosed in square brackets in v17.5 and later.

  • SR-13: Support for Apple partitionining on disks with a sector size of 4 KB.

  • SR-14: Fixed an error in the option to update existing hash sets in the hash database by importing a hash set of the same name. v17.8 SR-13 was marked as expiring, so it needs to be replaced now with v17.8 SR-14 or v17.9.


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

  
#140: WinHex, X-Ways Forensics und X-Ways Investigator 17.8 veröffentlicht

8. Jul. 2014

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten Verbesserungen, die Version 17.8, erschienen am 7. Juli.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Jetzt bei Twitter: https://twitter.com/XWaysSoftware


Schulungen

Bonn, 2.-5. Sept. 2014
Weitere Informationen


Was ist neu in v17.8?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Suchen

  • Möglichkeit, logische parallele Suchen zusätzlich zu Datei-Inhalten gleichzeitig auch auf Zellen des Verzeichnis-Browsers (also Metadaten) anzuwenden, und zwar auf die Zellen jeder ausgewählten Verzeichnis-Browser-Spalte wie Name, Autor, Absender, Empfänger oder Metadaten. Das erspart Ihnen das Einfügen Ihrer Suchbegriffe in die Filterdialoge diverser Verzeichnis-Browser-Spalten. Diese Vorgehensweise ist auch gründlicher, weil jeglicher von diesem neuen Feature adressierter Text in UTF-16 durchsuchbar ist, wohingegen dieselben Daten anderswo fragmentiert gespeichert sein können (z. B. Dateinamen, insbes. in FAT), speziell codiert (z. B. Absender und Empfänger in E-Mails als Quoted Printable), komprimiert oder in unerwarteten Codepages. Sie ist auch bequem, weil alle Suchtreffer in derselben Weise präsentiert und aufgelistet werden wie gewöhnliche Suchtreffer in Datei-Inhalten. Nur in der Spalte mit der Suchtreffer-Beschreibung werden solche Treffer mit dem Namen der Spalte, die den gefundenen Text tatsächlich enthält, gekennzeichnet, und die Suchtreffer werden in einer anderen Hintergrundfarbe hervorgehoben. Sie können nach Suchtreffern in Zellen des Verzeichnis-Browsers auch filtern.

    Wenn Sie einen Suchtreffer dieser Art auswählen, wird der automatisch im Modus „Details“ gesucht und hervorgehoben, genau wie normale Suchtreffer in Datei-Inhalten im Vorschau-Modus gesucht und hervorgehoben werden.

    Beachten Sie, daß eine Suche in Zellen des Verzeichnis-Browsers keine etwaigen zusätzlichen Zellinhalte in einer anderen Farbe durchsucht, wie etwa alternative Dateinamen und Datei-Anzahlen in der Namensspalte.

  • Option zum Sortieren von Suchtreffern nach ihrem Inhalt und Kontext anstatt bloß nach dem Suchbegriffes, zu dem sie gehören. Nützlich für Stichwortsuchen (keine technischen Suchen, z. B. nach Hex-Werten). Kann über Optionen | Verzeichnis-Browser | Erweitertes Sortieren (langsam) | ... aktiviert werden und ist in der Tat langsamer, weil die Daten und der Kontext aller Suchbegriffe gelesen und in eine vergleichbare Codepage konvertiert werden müssen.

    Das Sortieren nach Daten in den Suchtreffern hilft bei GREP-Ausdrücken, die auf variable Daten passen, denn für konstante Suchbegriffe sind die Suchbegriffe zu den Daten in den Suchtreffern identisch. Nach dem Suchen nach E-Mail-Adressen mit dem Ausdruck [a-zA-Z0-9_\-\+\.]{1,20}@[a-zA-Z0-9\-\.]{2,20}\.[a-zA-Z]{2,7} z. B. erkennen Sie durch Sortieren nach den Daten schnell etwaige vorhandene Gruppen von identischen E-Mail-Adressen und können diese schnell überspringen, oder sehen ähnliche Adressen (solche, die mit denselben Buchstaben anfangen), direkt untereinander.

    Das Fortsetzen des Sortierens anhand des Textes, der dem eigentlichen Suchtreffer folgt, sofern die Daten in den Suchtreffern identisch sind, präsentiert Ihnen identische oder ähnliche Textpassagen direkt untereinander und erlaubt ebenfalls ein zügigeres Durchsehen von Suchtrefferlisten.

    Sie können angeben, wie viele Zeichen in Daten und folgendem Kontext in das Sortieren einbezogen werden sollen. Je mehr Zeichen, desto mehr Speicher wird für das Sortieren benötigt. Das kann bei riesigen Anzahlen von Suchtreffern einen merklichen Unterschied machen.

  • Fähigkeit, Suchtreffer nach dem sie umgebenden textuellen Kontext (bis zu jeweils etwa 1000 Bytes davor und danach) mittels vom Nutzer festgelegten Suchbegriff zu filtern.

  • Die Obergrenze für den Kontext um Suchtreffer beim Exportieren in HTML- oder TSV-Format ist jetzt ebenfalls 2x ~1000 Bytes (bislang 500).

  • Eigene Suchtreffer werden jetzt mit einem Icon gekennzeichnet, das Nutzer repräsentiert. Wichtige und eigene Suchtreffer können jetzt mit dem Filter der Suchtreffer-Spalte gefiltert werden.

Bedienbarkeit

  • Eine neue Mehrbenutzer-Option koordiniert bestimmte Zugriffe auf Datei-Überblicke (Hinzufügen von Dateien sowie Editieren von Kommentaren und Metadaten) sorgfältiger. Kann die Verwendung des Programms beschleunigen, wenn ausgeschaltet. Das Ausschalten dieser Synchronisation ist empfehlenswert nur für Fälle, die definitiv nur von 1 Benutzer zur gleichen Zeit bearbeitet werden. Dies ist ein Ersatz für einen der Effekte der jetzt entfernten Option "Erweiterte Mehrbenutzer-Koordination", früherer Versionen.

  • Seit v17.5 erkennt X-Ways Forensics Benutzer anhand ihrer SIDs und unterscheidet zwischen ihnen (und ihren Ergebnissen). Dies ist in neu erzeugten Fällen jetzt optional, kann beim Erzeugen eines Falls im Dialog-Fenster für die Mehrbenutzer-Optionen deaktiviert werden. Nützlich, wenn Sie wissen, daß nur Sie den Fall bearbeiten werden und Sie ihn auf verschiedenen Computern bearbeiten werden, auf denen Sie lokale Windows-Benutzerkonten mit unterschiedlichen SIDs unterhalten, so daß Sie immer als derselbe Benutzer behandelt werden. Auch nützlich, wenn mehrere Ermittler denselben Fall zu unterschiedlichen Zeiten bearbeiten sollen und dabei all ihre Ergebnisse direkt miteinander teilen möchten, wie es in X-Ways Forensics vor v17.5 üblich war.

  • Option, das Importieren der Suchtreffer eines anderen Benutzers auf Suchtreffer zu beschränken, die als wichtig gekennzeichnet sind, oder auf die vom betreffenden Nutzer manuell erzeugten Suchtreffer (sogenannte eigene Suchtreffer).

  • Option, beim Importieren der Suchtreffer eines anderen Benutzers selbigem diese wegzunehmen. Nützlich, falls der andere Nutzer später die Auswertung wieder aufnehmen und bei dieser Gelegenheit im Gegenzug Ihre Suchtreffer importieren möchte, um Verdoppelungen von Suchtreffern zu vermeiden, da Ihre Suchtreffer die des anderen Nutzers enthalten, nachdem Sie diese importiert haben.

  • Fähigkeit, den gesamten Dateityp-Baum im Dialog-Fenster für die Datei-Header-Signatur-Suche und Datenrettung nach Typ ein- oder auszuklappen. Nützlich, weil Sie im ausgeklappten Zustand lediglich die ersten paar Zeichen einer Dateityp-Beschreibung eintippen brauchen, um automatisch zur ersten Übereinstimmung im Baum zu springen.

  • Fähigkeit, bequem Suchbegriffe aus einer Textdatei in den Namensfilter zu laden und diese direkt aus dem Dialogfenster zu speichern.

  • Fähigkeit, Unterobjekte und/oder ausgeblendete Dateien beim Ausführen einer X-Tension auf ausgewählte Dateien auszulassen.

Dateisystem-Unterstützung

  • Neue Verzeichnis-Browser-Spalten namens Erzeugung?, Änderung? und Record-Änderung? enthalten alternative Zeitstempel für die Erzeugung, letzte Änderung und letzte FILE-Record-Änderung (in mit v17.8 oder später erzeugten Datei-Überblicken). Mit Specialist-Lizenz oder höher verfügbar. Im Fall von NTFS stammen diese Werte aus den 0x30-Attributen, und geben daher ggf. ehemalige Zeitstempel, die gültig waren, als eine Datei zuletzt umbenannt oder verschoben wurde, oder von vor einer etwaige Rückdatierung. Rückdatierungen werden oft von Setup-Programmen und auch Windows selbst vorgenommen (der berüchtigte Erzeugungs-Zeitstempel-Tunnel-Effekt, s. http://support.microsoft.com/kb/172190), und natürlich von normalen Anwendungsprogrammen sowie von Benutzern zu diversen legitimen oder auch weniger hehren Zwecken. Beachten Sie, daß diese Spalten nur dann befüllt werden, wenn die zuvor gültigen Zeitstempel sich tatsächlich von ihren aktuellen Entsprechungen unterscheiden, und zusätzlich Änderung? und Record-Änderung? nur dann, wenn sie sich von Erzeugung? unterscheiden, damit der Bildschirm nicht unnötig mit redundanten Informationen überfrachtet wird. Das bedeutet, daß alle ?-Zeitstempel, die Sie sehen, tatsächlich zusätzliche Informationen enthalten und nicht einfach Duplikate sind.

  • Die Spalte Erzeugung? kommt auch für HFS+-Dateisysteme zum Einsatz, zur Anzeige der relativ neuen "Hinzugefügt"-Zeitstempel von Mac OS X Lion und neuer sowie iOS, sofern verfügbar und sofern sie sich tatsächlich von regulären Erzeugungsdatum unterscheiden. Diese Zeitstempel geben an, wann eine Datei zu dem bestimmten Verzeichnis, in dem sie enthalten sind, hinzugefügt wurden, auch wenn sie ursprünglich eher erzeugt wurden. "Hinzugefügt"-Zeitstempel in HFS+ werden auch als Ereignisse bereitgestellt.

  • Alle Zeitstempel für Erzeugung?, Änderung? und Record-Änderung?, die im Verzeichnis-Browser angezeigt werden, werden auch in Datei-Container übernommen.

  • Zeitstempel für den letzten Zugriff in NTFS werden jetzt grau dargestellt, falls mit dem Erzeugungszeitstempel identisch, da dies auf den meisten Systemen sehr wahrscheinlich bedeutet, dass diese Zeitstempel schlicht nicht aktualisiert werden und daher nicht sehr aussagekräftig sind.

  • Überarbeitete Behandlung von Schattenkopien.

  • Sparse-Dateien werden jetzt mit einer Tilde (~) anstelle des Begriffs "sparse" in der Attr.-Spalte gekennzeichnet. Es ist jetzt möglich, das Sparse-Attribut für jede auf Ihrem Datenträger existierende Datei zu setzen oder zu entfernen, mittels des Dialogfensters Datei | Eigenschaften, wie immer indem Sie die Eingabe-Taste drücken während das Eingabefeld mit den Änderungen den Eingabefokus hat. Bitte beachten Sie, daß das Setzen oder Entfernen des Sparse-Attributs nicht notwendigerweise den Allokationszustand von bereits zugewiesenen Clustern ändert. Es hat jedoch definitiv einen Effekt, wenn Sie die betreffende Datei vergrößern durch Setzen einer größeren Dateigröße im selben Dialogfenster.

Dateityp-Unterstützung

  • Unterstützung für eine relativ neue Formatspezialität in der Windows Registry, wie sie beispielsweise in Windows 7 AppCompatCache Keys zu finden ist.

  • Unterstützung für den Nachfolger von AppCompatCache in Windows 8, den Amcache.hve Hive, mit Hilfe einer speziellen Registry-Berichtsdefinitionsdatei namens "Reg Report Amcache.txt", die sowohl die Berichtserzeugung als auch die Bereitstellung entsprechender Ereignisse ermöglicht.

  • Dateityp-Prüfung aktualisiert.

  • Unterstützung für verschachtelte E-Mails beim Einbetten von Datei-Anhängen in .eml-Elterndateien.

  • Volländigere künstliche Header für gesendete E-Mails aus Exchange-Datenbanken, die korrekte Verweise auf Anhänge in der .eml-Darstellung erlauben.

  • Unterstützung für eine weitere Formatvariante von thumbs.db.

C4All

Die beliebte Anwendung C4All, von Strafverfolgungsbehörden und anderen weltweit zur Kategorisierung von Bildern und Videos eingesetzt, ist jetzt als X-Tension kostenlos verfügbar, im C4All-Forum und hier. Für v17.7 SR-5 und neuer. Sechsmal höhere Geschwindigkeit in X-Ways Forensics als in Konkurrenzprodukten. Dank an Steve Frawley, D. F., und Trevor F. für ihre großartige Arbeit. Die zum Download verfügbaren Anleitungen (nur auf Englisch) erklären, wie man die X-Tension mit den Strategy-Hash-Sets am besten einsetzt, aber Ihre eigenen Hash-Sets können ebenfalls verwendet werden.

Die Vorteile dieser X-Tension zeigen auch die allgemeinen Vorteile von X-Tensions im Vergleich zu Skripten in anderen Forensikprodukten auf:

  • Weniger Schritte als im ursprünglichen C4All-Prozess.

  • Geschwindigkeit. Geschwindigkeit. Und noch mehr Geschwindigkeit.

  • Noch schneller, wenn lokal ausgeführt und gespeichert, Durchsatzraten von bis zu 30 GB/min auf SSD-Laufwerken beobachtet.

  • Absturz-Schutz dank X-Ways Forensics' Fähigkeit, die Verarbeitung an der Abbruchstelle wieder aufzunehmen, falls ein Absturz bei der Verarbeitung von Daten auftritt.

  • Falls die X-Tension unterbrochen wird, besteht die Möglichkeit, fortzusetzen, von vorne zu starten, oder einfach eine neue XML-Datei zu erzeugen.

  • Fähigkeit, irrelevante Dateien und fälschlich gecarvte Dateien schon vor der C4All-Extraktion herauszufiltern.

  • Die Hash-Sets werden von X-Ways Forensics gehalten, nicht von SQL Server (dies ermöglicht es, bekannte irrelevante Dateien von der Extraktion auszuschließen).

  • Hash-Sets können übertragen werden, indem man einfach das Verzeichnis kopiert und X-Ways Forensics auf den Speicherort verweist. Es ist nicht nötig, einen Tag auf die Erzeugung der Datenbank zu warten.

  • Fähigkeit, Ihre eigenen Hash-Sets einzusetzen, bis zu ~65,000.

  • Bessere resultierende Verzeichnisstruktur, insbesondere, wenn viele Asservate in einem einzelnen Fall behandelt werden.

  • Die Ergebnisse können aus C4All im HashKeeper-Format extrahiert werden, um so ganz einfach in den Fall in X-Ways Forensics übertragen zu werden. Es ist nicht nötig, irgendwelche "Bookmark-Skripte" laufen zu lassen.

  • Vorschaubilder werden aus Dateien extrahiert, die solche besitzen, oder werden von X-Ways Forensics selbst erzeugt, und wenn in einer Datei Vorschaubilder existieren, werden die nicht zweimal betrachtet, was Dateiverdopplungen reduziert.

  • Bei der Verarbeitung stehen alle Funktionen von X-Ways Forensics während des X-Tension-Durchlaufs zur Verfügung.

  • Möglichkeit, X-Ways Forensics' Berichtsfunktionen für Gerichts- und Präsentationszwecke zu nutzen.

  • Video-Einzelbilder werden in X-Ways Forensics erzeugt.

VirusTotal X-Tension

Diese neue X-Tension ermöglicht es dem Ermittler, den Status einer Datei mit Hilfe der VirusTotal API direkt aus X-Ways Forensics heraus abzufragen und den Status im Nachrichtenfenster angezeigt zu bekommen. Beachten Sie, dass dies die Datei nicht an VirusTotal übermittelt, es prüft lediglich, ob es für den Hash-Wert einer gegebenen Datei bereits einen Bericht gibt und ruft dessen Ergebnisse ab. Alle Abfragen werden per SSL vorgenommen. X-Tension verfügbar von hier. Entwickelt und getestet mit X-Ways Forensics 17.7, aber sollte mit allen Versionen ab v16.9 funktionieren. Vielen Dank an Chad Gough für diese Arbeit, die auf seiner eigenen C#-Adaption der X-Tension API basiert.

Diverses

  • Fähigkeit, die Kategorie-Statistik der angezeigten Dateien als Tab-getrennte Textdatei zu exportieren, mittels Filter-Popup-Menü der Kategorie-Spalte während der Filter nicht aktiv ist.

  • Das Verzeichnis für Schablonen, X-Tensions und Skripte kann jetzt ein relativer Pfad sein. Bislang wurde nur "." unterstützt.

  • In früher erzeugten Dateiüberblicken von HFS+-Dateisytemen waren die Inhalte von Dateien mit exakt einem harten Verweis nicht zugreifbar, wenn solche Dateien trotzdem eine iNode-Datei besaßen. Dies wurde behoben. Dateien, die unerwarteterweise eine zugehörige iNode-Datei haben, werden jetzt mit einem ? der Spalte "Verweise" gekennzeichnet.

  • Daß die Spalten "Suchbegriffe" und "Begr.anz." erst befüllt wurden, nachdem die Suchtrefferliste eines Asservats zum ersten Mal angezeigt wurde, wurde behoben.

  • Viele kleinere Verbesserungen.

  • Benutzerhandbuch und Programm-Hilfe wurden aktualisiert.


Änderungen der Service-Releases von v17.7:

  • SR-1: Nach der Verwendung der Option [x] "Asservat durch Sicherung ersetzen" bei der Datenträger-Sicherung mit aktiver [x] "Verbesserte Wiedererkennung phys. Datenträger" konnten Partitionen nicht mehr geöffnet werden, bis das Image aus dem Fall entfernt und neu hinzugefügt wurde. Dies wurde behoben.

  • SR-1: Die Unfähigkeit der Exchange-EDB-Extraktion, ein Verzeichnis für temporäre Dateien auf einem Netzlaufwerk zu verwenden, wurde behoben.

  • SR-1: Die Unfähigkeit, Hash-Sets zum Filtern auszuwählen, wenn die Hash-Datenbank bereits in Verwendung ist, wurde behoben.

  • SR-1: Ein Ausnahmefehler wurde behoben, der in seltenen Konstellationen beim Extrahieren von Metadaten aus bestimmten SQLite-Datenbanken auftreten konnte.

  • SR-1: Leicht vertiefte Verarbeitung von Schattenkopien.

  • SR-2: Ein Ausnahmefehler wurde behoben, der in einigen zufälligen Situationen bei der Erzeugung von Registry-Berichten auftreten konnte.

  • SR-3: Die Unfähigkeit von v17.6 und später, Sektoren von allen Datenträgern zu lesen, wenn nur ein Datenträger nicht verfügbar war, wurde behoben.

  • SR-3: Die Unfähigkeit von v17.6 und später, automatisch mehrere dekomprimierte hiberfil.sys-Dateien als Asservate zum selben Fall hinzuzufügen, wurde behoben.

  • SR-3: Die fehlerhafte Darstellung alternativer Dateinamen in v17.6 und später für Schattenkopie-Trägerdateien, die auf Dateien im Papierkorb verweisen, wurde behoben.

  • SR-3: Eine unnötige Fehlermeldung "Gerät nicht bereit" für optische Laufwerke wurde behoben.

  • SR-3: Ein neues Flag 0x10 für die X-Tension-Funktion XWF_OpenItem wird unterstützt: alternative Dateiinhalte öffnen, falls verfügbar, und fehlschlagen, falls nicht.

  • SR-4: Nicht vererbter Status "gelöscht" für E-Mail-Anhänge in original .eml-Dateien, DBX und MBOX wurde behoben.

  • SR-4: Eine seltene Endlosschleife bei der Erzeugung eines Dateiüberblicks von Ext4-Dateisystemen wurde behoben.

  • SR-4: Die Unfähigkeit, in bestimmten Fällen die Original-Dateinamen für Vorschaubilder aus thumbcache*.db-Dateien zu ermitteln, wurde behoben.

  • SR-4: Die fehlende Fallzugehörigkeit automatisch wieder geöffneter Partitionen beim Programm-Neustart oder nach Verwendung der Historie im Datei-Menü wurde behoben.

  • SR-5: Die Unfähigkeit des Registry Viewers in v16.9 und später, für zusätzlich geladene Hives, außer dem ersten, erweiterte Key-Informationen und Value-Größen anzuzeigen und Werte im Datei-Modus hervorzuheben, wurde behoben.

  • SR-5: X-Tensions API: Neue Flags "Flagged" und "Selected for operations" unterstützt in XWF_GetEvObjProp.

  • SR-6: Das Fehlen von Suchtreffern, die Block-Hash-Übereinstimmungen repräsentieren, wurde behoben.

  • SR-6: Ein Ausnahmefehler wurde behoben, der beim Löschen doppelter Block-Hash-Übereinstimmungen auftreten konnte.

  • SR-7: Ein Fehler wurde behoben, der unter bestimmten Umständen bei der Verarbeitung von Videos auftreten konnte, wenn man mit einem relativen Pfad für MPlayer arbeitet.

  • SR-7: Versucht, einen möglichen Time-Out-Fehler zu vermeiden, der bei der Suche in einem extrem großen Index auftreten konnte.

  • SR-7: Ein Ausnahmefehler wurde behoben, der beim automatischen Hinzufügen bekannter Duplikate ausgewählter Dateien auftreten konnte.


Das Buch X-Ways Forensics Practitioner?s Guide hat die Auszeichnung „Best Digital Forensics Book of the Year“ beim DFIR-Summit 2014 in Austin, Texas, erhalten.


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde 

 

  
#139: WinHex, X-Ways Forensics und X-Ways Investigator 17.7 veröffentlicht

13. Mai 2014

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten Verbesserungen, die Version 17.7.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Schulungen

Bonn, 2.-5. Sept. 2014
Weitere Informationen


Was ist neu in v17.7?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Bedienbarkeit

  • Fähigkeit, Daten im Verzeichnis-Browser und in einigen anderen Teilen der Benutzeroberfläche in einer schöneren, längeren und regionsspezifischen Darstellung auszugeben, die den Wochentag und den Namen des Monats in Ihrer Sprache oder auf Englisch beinhalten kann. Diese Darstellung ist außerdem Unicode-fähig, was zum Beispiel die Verwendung chinesischer Datumsformate ermöglicht. Siehe Optionen | Allgemein | Notation. Eine vollständige Dokumentation aller möglichen Format-Optionen finden Sie unter http://msdn.microsoft.com/en-us/library/dd317787%28v=vs.85%29.aspx.
    Beispiele für die Darstellung des Monats: MMMM = April, MMM = Apr, MM = 04, M = 4.
    Beispiel eines vollständigen Datums: d/MMM/yyyy (ddd) = 2/Apr/2014 (Mi)

  • Neue Verzeichnis-Browser-Option zur erweiterten Sortierung der Namensspalte. Braucht vier- bis sechsmal soviel Zeit wie die stark optimierte Standard-Unicode-Sortierung früherer Versionen (spürbar beim Sortieren von Millionen von Dateien), aber hat mehrere nützliche Einstellungen und Eigenschaften:
    - Sprach-spezifische Zeichen-Equivalenz-Regeln (behandele ß wie ss, behandle ?ähnlich zu e, ü ähnlich zu u etc.)
    - Linguistisch verbesserte Unempfindlichkeit gegenüber Groß-/Kleinschreibung
    - Sonderbehandlung für Bindestriche und Apostrophen (diese werden anders als andere nicht-alphanumerische Zeichen behandelt, um sicherzustellen, daß Worte wie z. B. "coop" und "co-op" in einer sortierten Liste zusammen bleiben).
    - Behandlung von Dezimalziffern als Zahlen, z. B. würde "2" vor "10" einsortiert (nicht nutzbar für hexadezimale Darstellung, verfügbar nur unter Windows 7 und später)
    - Behandlung von Halb- und Voll-Breiten-Zeichen als identisch (Voll-Breiten-Zeichen werden von Ost-Asiaten gelegentlich benutzt, wenn sie englische Schriftzeichen schreiben)
    - Ignorieren des Kana-Typs (Behandlung einander entsprechender japanischer Hiragana- und Katakana-Zeichen als identisch)

    Die erweiterte Sortierung hängt von den Regionaleinstellungen des aktuell angemeldeten Benutzers ab. Wenn z. B. skandinavische Regionaleinstellungen aktiv sind, kommt ?nach Z, wie in den Alphabeten dieser Region definiert, andernfalls in der Nähe von A, wie von nicht-Einheimischen möglicherweise erwartet. Erweiterte Sortierregeln werden auch verwendet, wenn die Suchtreffer nach der Suchtreffer-Spalte sortiert werden.

  • Die derzeit aktive Zeitzone des aktuellen Falls oder eines Asservats wird jetzt direkt auf dem Schalter im Eigenschaften-Dialog-Fenster angezeigt.

  • Die gleichzeitige Erzeugung von Berichtstabellen-Verknüpfungen für bekannte Duplikate direkt gewählter Dateien funktioniert jetzt nicht mehr nur innerhalb desselben Datei-Überblicks, sondern auch in den Datei-Überblicken aller offenen Asservate.

  • Wenn Dateien eingesehen werden, die Duplikate besitzen, funktioniert die Markierung der Duplikate als ebenfalls eingesehen nicht mehr nur innerhalb desselben Datei-Überblicks, sondern auch in den Datei-Überblicken aller offenen Asservate.

  • Fähigkeit, mehrere ausgewählte Hash-Set-Dateien gleichzeitig zu importieren.

  • Fähigkeit, einzelne Hash-Werte effizient aus einem existierenden Hash-Set zu löschen, indem man eine Hash-Set-Datei importiert (einfaches 1-Spalten-Format, ein Hash-Wert pro Zeile), in der die zu löschenden Hash-Werte als erstes aufgeführt und mit einem vorangestellten Minuszeichen ("-") gekennzeichnet sein müssen. Die Datei muß denselben Namen haben wie das existierende Hash-Set, das Sie aktualisieren möchten (zusätzliche Dateinamenserweiterung erlaubt).

  • Dateien, die ohne Inhalt in einen Datei-Container übernommen werden, nur um den Original-Pfad ihrer Unterobjekte mit ihrem Namen zu vervollständigen, werden jetzt im Verzeichnisbaum angezeigt.

  • Nicht allen Nutzern ist bekannt, wenn sie den ursprünglichen Pfad einer Datei in Datei-Containern reproduzieren lassen, werden Dateien, die ausgewählte Dateien enthalten, mit in den Container übernommen (und müssen übernommen werden), auch wenn diese nicht selbst ausgewählt sind, nur um sicherzustellen, daß die Unterobjekte mit ihrem vollständigen, korrekten Pfad angezeigt werden. Aber diese übergeordneten Dateien werden natürlich ohne Datei-Inhalte übernommen, nur mit Dateisystem-Metadaten, wie z. B. aus der Attr.-Spalte ersichtlich. Solche übergeordneten Dateien nur mit Metadaten werden ab jetzt beim rekursiven Erkunden in Containern nicht mehr angezeigt, da sie sich im Container wie Verzeichnisse verhalten, obwohl sie im ursprünglichen Dateisystem richtige Dateien waren. Sie wurden vom Erzeuger des Containers als nicht relevant eingestuft (da sie selbst nicht zur Übernahme in den Container ausgewählt wurden), daher ist es vielleicht logischer, daß solche Dateien nur dann mit angezeigt werden, wenn Nutzer ausdrücklich auch Verzeichnisse beim rekursiven Erkunden ausgeben lassen (eine der Verzeichnis-Browser-Optionen). Dies vermeidet zumindest Verwirrungen und Nutzerrückfragen.

Verzeichnis-Browser

  • Der Kopf der Namensspalte erlaubt es jetzt, alle angezeigten Objekte mit einem einzigen Mausklick zu markieren bzw. entmarkieren. Er zeigt auch an, ob sich unter den aufgelisteten Objekten markierte oder nichtmarkierte befinden.

  • Die Zahl der aufgelisteten markierten Dateien wird jetzt in der Überschriftszeile des Verzeichnis-Browsers angezeigt, sofern es in der aktuellen Liste markierte Dateien gibt.

  • Rekursives Markieren und Ausblenden sind jetzt zwei getrennte Optionen.

  • Deutlich beschleunigtes rekursives Markieren, Entmarkieren, Aus- und Einblenden großer Mengen ausgewählter Dateien, was früher in großen, erweiterten Datei-Überblicken sehr langsam sein konnte.

  • Fähigkeit, gezielt auf 0x30-Zeitstempel in der Ereignisliste zu filtern, mittels des Ereignis-Typ-Filters.

  • Wenn während der Metadaten-Extraktion der ursprüngliche Name einer Datei im Windows Papierkorb oder in einem iPhone-Backup gefunden wird, wird dieser Name in der Namensspalte angezeigt, mit dem aktuellen eindeutigen Namen in eckigen Klammern. Der aktuelle eindeutige Name wird jetzt im Fallbericht ebenfalls in eckigen Klammern angezeigt. Beide Namen werden vom Namensfilter berücksichtigt.

  • Wenn eine Datei, die eine Datei enthält, vom Nutzer zu einer oder mehreren Berichtstabellen hinzugefügt wurde, wird dies ab jetzt auch in der Spalte "Berichtstabelle" für die enthaltene Datei angezeigt, in grau und mit einem Pfeil. Erinnert den Nutzer daran, daß die übergeordnete Datei bereits bearbeitet und als relevant eingestuft wurde, und es ggf. nicht mehr notwendig ist, die übergeordnete Datei nochmal aufzusuchen.

  • Die Menge an Text, die in den Namensfilter kopiert werden kann, wurde testweise auf 2 Millionen Zeichen (bislang 30.000) erhöht. Das garantiert nicht, daß X-Ways Forensics einen Filter mit vielen zehntausenden Zeichen oder mehr effizient nutzen kann. Benutzen Sie im Zweifelsfall die Option "Mit ganzem Namen abgleichen", die schneller ist als die Teilwort-Suche.

  • Verzeichnis-Browser-Spaltenbreiten und die Reihenfolge der Spalten werden jetzt in den Fällen gespeichert, und auch in .settings-Dateien, zusammen mit Filter- und Sortiereinstellungen.

  • Neue investigator.ini-Option +53, die das Speichern von Verzeichnis-Browser-Spaltenbreiten, Spaltenreihenfolge, Filter- und Sortiereinstellungen in Fällen verhindert.

  • Größerer Tooltip für Zellen mit viel Text, z. B. in der Metadaten-Spalte.

  • Das Ausblenden von Dateien in Suchtreffer- und Ereignis-Listen hat jetzt unmittelbaren Effekt (sofern ausgeblendete Dateien tatsächlich gefiltert werden) und wählt normalerweise automatisch den nächsten unter den verbleibenden Suchtreffern oder Ereignissen in der Liste aus. Sehr nützlich, um schnell alle angezeigten Suchtreffer in Dateien loszuwerden, die als irrelevant identifiziert werden.

Unterstützung für Datenträger & -sicherungen

  • Bei der Erzeugung eines neuen Falles haben Sie jetzt die Möglichkeit, diejenigen Asservate, die physische Datenträger sind (keine Datenträgersicherungen), von X-Ways Forensics an ihren eigenen, inhärenten Eigenschaften erkennen zu lassen, nicht an der von Windows zugewiesenen Datenträger-Nummer, die sich bei erneutem Anschließen ändern kann. Die Verwendung dieser Option macht es früheren Versionen von X-Ways Forensics unmöglich, den Fall zu öffnen. Der Vorteil dieser Option ist, daß Sie mehrere Festplatten oder externe USB-Platten oder -Sticks zu Ihrem Fall hinzufügen können, die zu unterschiedlichen Zeiten an den Rechner angeschlossen werden und dieselbe Datenträger-Nummer von Windows zugewiesen bekommen. Ein weiterer Vorteil ist, falls sich die Nummer, die einem Datenträger von Windows zugewiesen wurde, ändert, wird X-Ways Forensics den Datenträger weiterhin erkennen. Besonders nützlich für Triage, wenn nicht mit Datenträgersicherungen gearbeitet wird. Bitte beachten Sie, daß X-Ways Forensics externe Datenträger, die dem Fall bereits bekannt sind, unter Umständen nicht wiedererkennen kann, wenn diese beim nächsten Mal mit einem anderen Hardware-Write-Blocker angeschlossen werden. In diesem Fall können Sie den Befehl "Durch neuen Datenträger ersetzen" im Kontextmenü des Asservats verwenden, um X-Ways Forensics auf den korrekten Datenträger hinzuweisen.

    Nur zur Erinnerung: Sie können ein Asservat auch öffnen, wenn der Datenträger aktuell nicht an das System angeschlossen ist, nur um den Datei-Überblick zu sehen und damit zu arbeiten, mittels eines Befehls im Kontextmenü des Asservats.

  • Fähigkeit, weitere Datenträgersicherungsoperationen in zusätzlichen Programminstanzen im voraus anzusetzen, die abwarten bis bereits laufende Sicherungsoperationen in früheren Instanzen beendet sind, um die ineffiziente, simultane Erzeugung mehrerer Image-Dateien auf demselben Zieldatenträger zu vermeiden (was unnötig langsam ist und hochgradig fragmentierte Sicherungsdateien erzeugt).

  • Automatische Erkennung einiger Arten von Festplatten- oder Partitionsverschlüsselung.

  • Option, das Kopieren von Dateien in einen Datei-Container abzubrechen, wenn ein Lesefehler auftritt und die betroffenen Dateien nicht partiell in den Container zu kopieren. Nützlich beim Kopieren von Daten von einem Netzlaufwerk, wenn die Verbindung unterbrochen werden könnte und Sie annehmen, daß Sie in so einem Fall die Verbindung zurückbekommen und erfolgreicher sein werden, wenn Sie es erneut probieren, um zu vermeiden, unvollständige Dateien im Container zu haben, die im Nachhinein nicht mehr mit einer vollständigen Kopie ersetzt werden können. Nur verfügbar, wenn der Container nicht indirekt befüllt wird.

  • Ein seltener Ausnahmefehler wurde vermieden, der beim Parsen ungültiger LVM2-Partitionierungs-Datenstrukturen auftreten konnte.

Dateityp-Unterstützung

  • Überarbeitete Exchange-Datenbank-Extraktion (bis Version 2007) mit verbesserter Unterstützung für interne E-Mail-Kommunikation und mehr Metadaten.

  • Verbesserte Darstellung von aus Outlook PST/OST-Archiven extrahierten E-Mails, die weitergeleitete andere E-Mail-Nachrichten als Anhang enthalten.

  • Wiederherstellen/Kopieren: Verbesserte Fähigkeit, Datei-Anhänge in E-Mails einzubetten, die ursprünglich gar keine Datei-Anhänge referenziert haben.

  • Log-on-Ereignisse in Windows Event-Logs werden jetzt in der Ereignisliste mit Domain-Name, Log-on-ID und IP-Adresse angezeigt, falls verfügbar.

  • Unterstützung für das MacOS-X-Artefakt .DS_Store, das hilft, Papierkorb-Aktivitäten zu analysieren.

  • Neue Dateityp-Kategorie "Address Book".

  • Bessere Unterstützung für Samsung und Nokia .tec-Graphik-Dateien.

  • Metadaten-Extraktion aus RecentFilecache.bcf, ein wichtiges Windows 8 Artefakt.

  • Berichtstabellen-Verknüpfungen für E-Mail-Nachrichten mit Empfängern auf Bcc:.

  • Dateityp-Definitionen und -Signaturen überarbeitet.

X-Tensions API (Details hier)

  • Neue X-Tension Funktionen XWF_GetReportTableInfo, XWF_GetEvObjReportTableAssocs, XWF_GetExtractedMetadata, XWF_AddExtractedMetadata, XWF_GetMetadata, XWF_GetSearchTerm, XWF_GetFileCount, XWF_GetBlock und XWF_SetBlock

  • Neue XWF_GetItemInformation Fähigkeit hinzugefügt: XWF_ITEM_INFO_EMBEDDEDOFFSET. 2 weitere Flags für XWF_ITEM_INFO_FLAGS. Das Flag 0x00100000 von XWF_ITEM_INFO_FLAGS gilt jetzt als überholt und sollte nicht mehr verwendet werden.

  • Parameter für XWF_OpenItem definiert.

Diverses

  • Beschleunigter Block-Hash-Abgleich mit mehreren Threads.

  • Wiederherstellen/Kopieren: Fähigkeit, die Ausgabedateien in Verzeichnisse zu gruppieren anhand der Suchbegriffe, die sie laut der Suchbegriffsspalte enthalten.

  • Wiederherstellen/Kopieren: Option, die Ausgabedateien nach ihrer eindeutigen ID zu benennen. Nur beim Kopieren ohne Pfad verfügbar, auswählbar durch Klicken auf den "..." Schalter.

  • Gesonderter Abschnitt im Detail-Modus zu früheren Namen und Pfaden von Dateien, falls bekannt.

  • Daten-Dolmetscher-Option für binäre Darstellung von 16 oder 32 Bits, statt nur 8 Bits.

  • Viele kleinere Verbesserungen.

  • Benutzerhandbuch und Programm-Hilfe wurden aktualisiert.


Änderungen der Service-Releases von v17.6:

  • SR-1: Ein obskurer Heap-Überlauf-Ausnahmefehler wurde behoben, der bei der Benutzung der Hash-Datenbank v17.6 auftreten konnte.

  • SR-1: Das Durcheinander im Suchen-Menü in der regulären WinHex-Version in v17.6 wurde behoben.

  • SR-2: Die fehlerhafte Verwendung der Header-Größe beim Zusammensetzen von RAIDs in einigen neueren Versionen wurde korrigiert.

  • SR-2: Ein Gleitkomma-Fehler bei der Verarbeitung von Apple Bookmarks wurde behoben.

  • SR-2: Einige Typ-Erkennungsprobleme wurden behoben (z. B. .thumbsw7).

  • SR-2: Ein Fehler wurde behoben, der beim Importieren von Suchtreffern eines anderen Nutzers in einem Fall mit erweiterter Benutzer-Koordination auftreten konnte.

  • SR-2: In neu erzeugten Fällen ist der Status der Option "Gelöschte Partitionen erkennen" jetzt unveränderlich, um die Situation zu verhindern, daß Partitionen nicht geöffnet werden können, die früher automatisch erkannt wurden, aber jetzt nicht mehr.

  • SR-2: Falls Sie eine einspaltige Suchbegriffsliste wie in v17.5 und früher bevorzugen, können Sie das Byte an Offset 15414 in Ihrer WinHex.cfg von 0x00 zu 0x01 ändern. Eine Möglichkeit, sicherzustellen, daß diese Änderung von X-Ways Forensics nicht überschrieben wird, ist es, sie vorzunehmen während Optionen | Allgemein | [ ] "Einstellungen in .cfg-Datei speicher" nicht angekreuzt ist.

  • SR-3: Ein Stabilitätsproblem wurde behoben, das auftreten konnte, wenn Wiederherstellen/Kopieren Anhänge in .eml-Dateien eingebettet hat.

  • SR-3: Mehrbenutzer-Koordination: Zeitnähere Fähigkeit, die Suchtreffer eines anderen Nutzers zu importieren, wenn die Suche gerade erst beendet wurde.

  • SR-3: Dateityp-Prüfung leicht überarbeitet.

  • SR-3: Ein Lese- oder Ausnahmefehler wurde behoben, der bei einer Datei-Header-Signatursuche mit Kompensation für NTFS-Kompression auftreten konnte.

  • SR-3: Ein Ausnahmefehler wurde behoben, der bei der Suche nach eingebetteten Daten in Windows.edb-Dateien auftreten konnte.

  • SR-3: Ein Fehler wurde behoben, der bei der Suche nach eingebetteten Vorschaubildern in bestimmten ungültig formatierten JPEG-Dateien auftreten konnte.

  • SR-3: Ein Fehler in der Hash-Datenbank wurde behoben.

  • SR-3: Wiederherstellen/Kopieren repräsentiert fehlende Original-Zeitstempel nicht länger optional durch Setzen der entsprechenden Zeitstempel der Ausgabedateien in NTFS auf 1.1.1601. Nichtsahnende Nutzer haben fehlerhafte Video-Abspiel-Software verwendet, weder die Programmhilfe noch den Nutzerhandbuch-Abschnitt zur Wiederherstellen/Kopieren-Funktion gelesen und uns kontaktiert statt die Entwickler der anderen Software, die sich geweigert hat, Dateien mit solchen Zeitstempeln abzuspielen.

  • SR-4: Ein Stabilitätsproblem wurde behoben, das in v17.6 bei der Extraktion von Metadaten aus Dateien größer als 2 GB auftreten konnte.

  • SR-4: Einige Korrekturen bei der Suche nach eingebetteten Daten in PE EXE und anderen Dateien.

  • SR-5: Ein Ausnahmefehler wurde behoben, der die Suche nach eingebetteten Daten in einigen Windows.edb-Dateien verhindern konnte.

  • SR-5: Eine fehlerhafte Verwendung der Header-Größe beim Zusammensetzen eines RAID 5 mit einer fehlende Komponente in einigen neueren Versionen wurde behoben.

  • SR-5: Ein "Unable to read (1)"-Fehler in der Galerie wurde behoben, für Bilder, in denen sowohl eingebettete Vorschaubilder gefunden als auch zusätzliche Vorschaubilder zur Beschleunigung der Galerie von X-Ways Forensics selbst erzeugt wurden.

  • SR-5: Ein Fehler in der Galerie des Asservat-Überblicks wurde behoben, der zur Darstellung eines Bildes mit dem falschen Vorschaubild führen konnte.

  • SR-5: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn man die Sortierung im Verzeichnis-Browser geändert hat, während die Galerie aufgebaut wurde.

  • SR-6: Liefert für mehr extrahierte E-Mails ein Änderungsdatum.

  • SR-6: Leicht verbesserte interne Graphikdarstellungsbibliothek.

  • SR-6: Eine Endlosschleife wurde behoben, die bei der Erzeugung des Registry-Berichtes auftreten konnte.

  • SR-6: Stabilitätsprobleme wurden behoben, die bei der Verarbeitung bestimmter MSG/MBOX/DBX-E-Mail-Archive auftreten konnten.

  • SR-6: Die berichtete Windows-Installations-Sprache im Registry-Bericht wurde korrigiert.

  • SR-6: Fehlende Value-Ausgaben im Registry Viewer nach der Metadaten-Extraktion aus Registry-Hives wurden behoben.

  • SR-7: Das wiederholte Erscheinen eines Hinweisfensters bei Anwendung einer einfachen Text- oder Hex-Suche auf alle offenen Fenster wurde verhindert.

  • SR-7: Der Befehl "Teilbaum exportieren" unterstützt jetzt größere Teilbäume.

  • SR-7: Eine mögliche Endlosschleife bei der Verarbeitung bestimmter Registry-Hives wurde behoben.

  • SR-7: Ein Ausnahmefehler wurde behoben, der bei der Extraktion von Metadaten aus OLE2-Office-Dokumenten auftreten konnte.

  • SR-7: Präzisere Darstellung unterschiedlicher Arten von Empfängern in gesendeten (nicht empfangenen) E-Mails, die aus Outlook-E-Mail-Archiven extrahiert wurden.

  • SR-7: Eine falsche Darstellung alternativer Dateinamen in der Namensspalte nach der Metadaten-Extraktion wurde behoben.

  • SR-7: Einige kleinere Korrekturen.

  • SR-8: Unter bestimmten Umständen ging die Verbindung zwischen Suchtreffern und ihren entsprechenden Suchbegriffen in einigen Asservaten möglicherweise verloren, wenn man Suchbegriffe gelöscht hat. Dies wurde korrigiert.

  • SR-8: Ein Absturz wurde verhindert, der in v17.6 auftreten konnte beim Einsehen von Bildern, während sich die Galerie noch aufbaute.


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook. Neuerdings ist X-Ways auch bei Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer



Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde 

 

  
#138: WinHex, X-Ways Forensics und X-Ways Investigator 17.6 veröffentlicht

26. Mrz. 2014

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten Verbesserungen, die Version 17.6.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Schulungen

Bonn, 7.-10. April 2014
Weitere Informationen


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Was ist neu in v17.6?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Dateityp-Unterstützung

  • Dateityp-Erkennung und -Kategorisierung stark überarbeitet.

  • Neue Metadaten-Extraktionsfunktion, die die Wiederherstellung ursprünglicher Dateisystem-Metadaten (wie etwa Dateinamen oder Zeitstempel) ermöglicht, wenn diese in bestimmten Dateitypen wie z. B. $I*-Papierkorb-Dateien oder in Mobile-Sync-Backup-Indexes (Manifest.mbdx) von iPhones gefunden werden. Die Original-Dateinamen sind üblicherweise deutlich aussagekräftiger als die zufälligen Namen, die lediglich zugewiesen werden, um in einem einzigen Verzeichnis zu Backup-Zwecken Eindeutigkeit zu garantieren. Beispiele solcher zufälligen Namen sind 3a1c41282f45f5f1d1f27a1d14328c0ac49ad5ae (für eine Datei in einem iPhone-Backup) oder $RAE2PBF.jpg (Windows Papierkorb). Unterstützung für weitere Dateitypen wird folgen. Der aktuelle Dateiname laut Dateisystem ist nicht völlig verloren; er wird in eckigen Klammern in der Namensspalte weiterhin angezeigt, wie auch im Detail-Modus, und der Namensfilter findet bequemerweise sowohl den ursprünglichen als auch den aktuellen Namen.

  • Verbesserte Fähigkeit, Vorschaubilder in Thumbcaches von Windows zu suchen. Der Vorgang ist jetzt schneller und erzeugt weniger redundante Vorschaubilder, insbesondere für Installationen von Windows 8 und 8.1 (nur die höchste Auflösung für ein Set von Vorschaubildern desselben Bildes wird ausgegeben). Die neue Methode wird bei der Anwendung auf thumbcache_idx.db-Dateien (die dann wiederum auf die entsprechenden thumbcache*.db-Dateien verweisen) über die angegebene Maske verwendet und nicht auf die thumbcache*.db-Dateien direkt wie in früheren Versionen von X-Ways Forensics.

  • Unterstützung für eine Variante der thumbs.db-Dateien, die in bestimmten Situationen in Windows 7 auftreten können.

  • Performanz bei der Suche nach Vorschaubildern in großen JPEG-Dateien verbessert.

  • Fähigkeit, die eingebetteten Dateien aus Photoshop Vorschaubild-Caches (Adobe Bridge Cache.bc), Canon ZoomBrowser Vorschaubild-Sammlungen (.info) und Paint Shop Pro Caches (.jbf) zu extrahieren.

  • Fähigkeit, die eingebetteten Bilder aus den Caches von Googles Picasa 3 Bild-Organsations- und Betrachtungsprogramm (thumbindex.db und verwandte Dateien) zu extrahieren.

  • Ereignis-Extraktion aus Picasa 3.

  • Metadaten-Extraktion aus IconCache.db-Dateien. Wichtige Windows-Artefakte, die die Ausführung von Programmen belegen können, beispielsweise bei Untersuchungen von Schadprogrammen.

  • Extraktion forensisch wertvoller Metadaten aus PhotoShop PSD- und INDD-Dateien (Adobe InDesign).

  • Interne Signatursuch-Algorithmen für INDD-, Bridge Cache- und Picasa3-Index-Dateien implementiert.

  • Verbesserte Unterstützung für Magix Photo Manager Cache .mxc2 und .mxc3 und andere Dateien.

  • Die interne Bildbetrachtungskomponente unterstützt jetzt bestimmte .bmp-Grafiken mit größeren Headern.

  • Einige andere Verbesserungen in der internen Bildbetrachtungskomponente.

  • Mehr Metadaten werden jetzt aus AVI-Video-Dateien extrahiert, zum Beispiel der Codec, IDIT-Erzeugungszeitstempel oder auch der Original-Dateiname, sofern vorhanden.

  • Metadaten- und interne Signatursuchen-Unterstützung für AMR-Sprachaufzeichnungs-Dateien.

  • Präziseres Abschneiden unvollständiger oder fragmentierter PNG-Dateien bei der Signatursuche.

  • Fähigkeit, diverse potentiell relevante Resourcen in ausführbaren 32-Bit- und 64-Bit-Windows-PE-Dateien (Programme und Bibliotheken) zu suchen und als Unterobjekte anzuzeigen, insbesondere RCDATA, benannte Objekte, Bitmaps, Icons und Manifeste. Nützlich beispielsweise bei der Untersuchung von Schadprogrammen. Dies passiert nicht automatisch, sondern nur, wenn Sie gezielt ausführbare Dateien über eine geeignete Reihe von Dateimasken untersuchen lassen.

  • Unterstützung für noch tiefer verschachtelte (rekursiv weitergeleitete) E-Mail-Nachrichten in OST/PST-E-Mail-Archiven.

  • Fähigkeit, E-Mail-Nachrichten aus der Livecomm.edb-Datenbank zu rekonstruieren, die von Windows Live Mail (in Windows 7 und neuer) verwendet wird, als Teil der "eingebettete Daten suchen"-Operation. Extrahiert auch Kontakte und Konto-Informationen.

  • Unicode-Unterstützung für die Rekonstruktion von E-Mail-Auszügen aus Thunderbird Indexierungs-Datenbanken.

  • Einige kleinere Fehlerkorrekturen bei der Verarbeitung von EDBs.

  • Ein Ausnahmefehler wurde behoben, der bei der Verarbeitung von SQLite-Datenbanken auftreten konnte.

Benutzbarkeit

  • Erhöhte Kapazitäten für große Fälle:

    Maximale Anzahl gleichzeitig geöffneter Sicherungen physischer Datenträger und rekonstruierter RAIDs zusammen:
    v15-v17.1: 46
    v17.2-v17.5: 57
    ab v17.6: 100

    Maximale Anzahl gleichzeitig geöffneter Partitionen auf physischen Datenträgern (nicht über Laufwerksbuchstaben) und Partitionen auf Sicherungen physischer Datenträger und Sicherungen von Volumes:
    v15-v15.5: 64
    v15.6-v17.5: 99
    ab v17.6: 256

    Einige Hintergrundinformationen: Beachten Sie, daß es nicht erforderlich ist, immer alle Asservate in einem Fall gleichzeitig geöffnet zu haben. Es kann genaugenommen wünschenswert sein, sie nicht gleichzeitig zu öffnen, wenn die Datei-Überblicke sehr groß sind (d. h. viele Millionen von Dateien referenzieren) und nicht viel Arbeitsspeicher verfügbar ist. Parallele Suchen und Datei-Überblick-Erweiterungen über mehrere ausgewählte Asservate hinweg können selbst dann gestartet werden, wenn gar kein Asservat offen ist. In diesem Fall öffnet X-Ways Forensics die Asservate automatisch einzeln, wenn sie an der Reihe sind, und schließt diese wieder, wenn ihre Verarbeitung beendet ist, um Speicherverbrauch zu minimieren. Nur, wenn Sie aus dem Asservat-Überblick rekursiv erkunden, müssen alle Asservate, deren Dateien Sie einschließen möchten, gleichzeitig geöffnet sein.

    Maximale Anzahl ansprechbarer lokaler physischer Datenträger:
    ab v17.2: 64

  • Importiert und zeigt neu erzeugte Berichtstabellen-Verknüpfungen anderer zeitgleicher Nutzer im arbeitsteiligen Auswertungs-Modus an, wenn man ein Asservat erneut öffnet oder wenn das Zeitintervall zum automatischen Speichern des Falls abgelaufen ist oder wenn man manuell den Befehl "Fall speichern" aufruft. (In v17.5 ist dies nur beim Öffnen eines Falles im normalen, unbeschränkten Modus passiert.)

  • Option vorzuschlagen, einen Fall immer mit erweiterter Benutzer-Koordination in arbeitsteiligem Auswertungs-Modus zu öffnen. Dies kann selbst für den ersten von vielen zeitgleichen Nutzern eines Falls nützlich sein, weil nur in diesem Modus die neu erzeugten Berichtstabellen-Verknüpfungen anderer zeitgleicher Nutzer in regelmäßigen Intervallen (beim automatischen Speicherns des Falles) propagiert werden.

  • Benutzeroberfläche der Suchbegriffsliste leicht aktualisiert. Besser lesbare Schriftart und sparsamere Nutzung des Platzes. Um die Treffer auf als wichtig gekennzeichnete zu reduzieren, verwenden Sie den Filter in der Anmerk.-Spalte.

  • Die Suchbegriffsliste kann jetzt über das Kontextmenü der Suchbegriffsliste nach Suchbegriffen in alphabetisch aufsteigender oder nach der angezeigten Suchtrefferanzahl in absteigender Reihenfolge sortiert werden, um das Auffinden eines bestimmten Suchbegriffs in einer langen Liste zu vereinfachen.

  • Bestimmte Arten von Dateien mit Unterobjekten, wie z. B. E-Mail-Archive, sind jetzt im Verzeichnisbaum im Falldaten-Fenster enthalten, zusammen mit ihren Unterverzeichnissen.

  • Hash-Datenbank-Dialog-Fenster überarbeitet.

  • Sie können den rohen Vorschau-Modus dauerhaft aktivieren, indem Sie die Umschalt-Taste gedrückt halten, wenn Sie in den Roh-Modus wechseln.

  • Bleibt während der Datei-Header-Signatur-Suche und anderen Datei-Überblick-Erweiterungs-Operationen ansprechbarer und erlaubt die Verwendung mehrerer Befehle im Kontextmenü des Falldaten-Fensters während diverser laufender Operationen.

  • Neue Option, Dateien mit einem einzelnen Klick in der Galerie einzusehen statt mit einem Doppelklick. Nützlich beispielsweise, wenn Sie bestimmte Bilder auf einem separaten Bildschirm einsehen möchten, wo Sie das Einsehen-Fenster nicht wieder schließen müssen, um die Galerie zu sehen, wenn Sie nicht alle Bilder nacheinander ansehen (wofür die Bild-auf- oder -ab-Tasten effizienter sind).

  • Fähigkeit, zusätzliche eigene Dateitypen und Kategorien in einer separaten Datei namens "File Type Categories User.txt" zu definieren, die zusätzlich zu den Standard-Definitionen in "File Type Categories.txt" gelesen und verwaltet wird und dieselbe Struktur besitzt und nicht von Software-Updates überschrieben wird, wenn sie im Installationsverzeichnis liegt, so daß Sie diese bequem weiter verwenden können, selbst, wenn Sie Ihre Installation mit einer neueren Version überschreiben.

  • Daß der Ordner für Sicherungsdateien, der in den Allgemeinen Optionen angegeben ist, für neu erzeugte Datenträgersicherungen voreingestellt ist, ist jetzt optional.

  • Fähigkeit, Ereignisse als wichtig zu kennzeichnen, und auf wichtige Ereignisse über die Zeitstempel-Spalte zu filtern.

  • Fähigkeit, mehrere ausgewählte Suchtreffer oder Ereignisse nicht mehr als wichtig zu kennzeichnen, indem man die Umschalt-Taste gedrückt hält, während man den Kontextmenü-Befehl "Als wichtig kennzeichnen" aufruft.

  • Ab jetzt ist für Benutzer von X-Ways Forensics eine Text-Datei zum Herunterladen verfügbar (klicken Sie auf den "Alle Versionen" Link), die die meisten Texte der Benutzeroberfläche überschreiben kann (mit Ausnahme beispielsweise des Hauptmenüs), wenn sie mit Namen language.txt im Installationsverzeichnis von v17.6 hinterlegt wird, und die leicht von Nutzern editiert werden kann. Nützlich, wenn Sie zum Beispiel Fallberichte in Ihrer eigenen Sprache erzeugen möchten.

X-Tensions API

  • Möglichkeit, die Fähigkeiten von X-Ways Forensics, X-Ways Investigator und X-Ways Investigator CTR zum Einsehen von Dateien durch die Integration sogenannter Viewer-X-Tensions zu erweitern. Solche X-Tensions bieten spezialisierte Ansichten bestimmter Dateitypen, indem sie auf die Aufrufe einer neu definierten Funktion XT_View reagieren, die diese exportieren müssen. Nutzer können Viewer-X-Tensions unter Optionen | Viewer-Programme aktivieren.

  • Eine neue Option +52 in investigator.ini verhindert die Verwendung von Viewer-X-Tensions, zum Beispiel aus Sicherheitsgründen. Bedenken Sie, daß X-Tensions Windows-DLLs sind, die bei ihrer Ausführung Ihrem System möglicherweise Schaden zufügen könnten.

  • Eine neue Funktion namens XWF_AddEvent wurde eingeführt, die es erlaubt, Ereignisse zur Ereignisliste eines Asservats hinzuzufügen. XT_Prepare und XT_Finalize erhalten jetzt ein Handle zu demjenigen Asservat, auf das die X-Tension angewandt wird.

  • Neue verfügbare Funktionen: XWF_GetEvObjProp, XWF_OpenEvObj, XWF_CloseEvObj, XWF_GetFirstEvObj, XWF_GetNextEvObj, XWF_UpdateDirBrowser. 4 neue Flags für XWF_GetItemInformation und XWF_SetItemInformation eingeführt: XWF_ITEM_INFO_FLAG_FILEARCHIVEEXPLORED, XWF_ITEM_INFO_FLAG_EMAILARCHIVEORVIDEOPROCESSED, XWF_ITEM_INFO_FLAG_EMBEDDEDDATAUNCOVERED und XWF_ITEM_INFO_FLAG_METADATAEXTRACTED.

  • Die Delphi-API-Definitionen und eine Demo-X-Tension wurden um einige der neuen Funktionen erweitert.

Daten-Dolmetscher & Schablonen

  • Unterstützung für Mac Absolute Time im Daten-Dolmetscher.

  • Der Daten-Dolmetscher kann jetzt Zeitstempel in den Formaten UNIX/C, Java/BlackBerry/Android und Mac Absolute auch dann interpretieren, wenn sie als Dezimalwerte in ASCII-Text statt binär gespeichert sind. Sie finden dafür sowohl einen Kontextmenü-Eintrag als auch ein Auswahlfeld im Optionen-Dialog.

  • Der Daten-Dolmetscher übersetzt jetzt Zeitstempel aller Formate außer DOS Date+Time zu lokaler Zeit (die Zeitzone, die in den Allgemeinen Optionen eingestellt ist). Sie finden dafür sowohl einen Kontextmenü-Eintrag als auch ein Auswahlfeld im Optionen-Dialog.

  • Neuer Datumstyp "MacAbsTime" in Schablonen unterstützt.

  • Neuer Modifikator "local" unterstützt für Zeitstempel in Schablonen. Bewirkt, daß X-Ways Forensics Zeitstempel (außer DOSDateTime) in die Zeitzone, die in den Allgemeinen Optionen eingestellt ist, umrechnet.

Unterstützung für Datenträger & -sicherungen

  • Fähigkeit, sogenannte Nandroid-Backup-Dateien aus dem NAND-Flash-Speicher von Android-Geräten mittels Bearbeiten | Konvertieren in gewöhnliche Roh-Images umzuwandeln.

  • Vollständigere Ausgabe von Seriennummern von USB-Geräten.

  • Fähigkeit, Modell und Seriennummer physischer Datenträger auch ohne Administrator-Rechte zu sehen.

  • Struktur des Technischen Detailberichts für physische Datenträger leicht verbessert.

  • Zeigt die Größe des freien Speichers auf dem Ziellauffwerk im Dialog-Fenster für die Datenträger-Sicherung an.

X-Ways Imager

  • Fähigkeit, neu erzeugte Sicherungen sofort zu überprüfen.

  • Fähigkeit, Roh-Images in .e01 Evidence-Files umzuwandeln und umgekehrt (nach dem Öffen und Interpretieren der existierenden Sicherung).

  • Fähigkeit, gewöhnliche Binärdateien in X-Ways Imager zu öffnen.

  • Fähigkeit, ausgewählte Sektoren oder Byte-Bereiche aus gewöhnlichen Dateien, Datenträger-Sicherungen oder Datenträgern in die Zwischenablage oder neue Dateien zu kopieren.

  • Fähigkeit, spezifische Sektoren aufzusuchen.

Diverses

  • Neuer Menü-Befehl Extras | Datei-Tools | Verz. replizieren. Dieser Befehl kopiert ein Verzeichnis mit all seinen Dateien und Unterverzeichnissen, rekursiv, und reproduziert individuell NTFS-komprimierte Quelldateien als NTFS-komprimiert im jeweiligen Ausgabe-Verzeichnis, falls vom Ziel-Dateisystem und allen dazwischen liegenden Ebenen unterstützt. Der Befehl komprimiert die Dateien nicht im Nachhinein, sondern schreibt sie sofort komprimiert, was effizienter ist. Er muss allerdings immer noch die dekomprimierte Datenmenge der Quelldatei kopieren/schicken. Wählen Sie zunächst das Quellverzeichnis, dann wählen bzw. erzeugen Sie das Ausgabe-Verzeichnis. Diese Funktion ist nützlich, wenn Sie beispielsweise ein Fall-Verzeichnis kopieren oder bewegen möchten, das einige NTFS-komprimierte Dateien enthält, die unkomprimiert sehr ineffizient gespeichert würden. Beachten Sie, Sie können alternativ den Fall auch öffnen und den Speichern unter Befehl im Falldaten-Fenster für den gleichen Zweck verwenden. Der Verz. replizieren Befehl ist auch insofern etwas außergewöhnlich, da er mit überlangen Pfaden zurecht kommt.

  • Fähigkeit, den Ausgabe-Pfad für Wiederherstellen/Kopieren manuell einzugeben, indem Sie auf den neuen Schalter "..." im Dialogfenster klicken, in derselben Zeile, in der der Pfad angezeigt wird. Nützlich, wenn Sie einen Netzwerk-Pfad angeben möchten, den Windows nicht automatisch auflistet.

  • Die Hash-Datenbank für Block-Hash-Werte wird jetzt nicht mehr in einem Unterverzeichnis des Verzeichnisses mit der normalen Hash-Datenbank erwartet, sondern in einem Verzeichnis auf derselben Ebene, mit demselben Stamm-Namen und " [block hash values]" angehängt.

  • Die alte Indexierung wurde entfernt.

  • Unzählige interne Verbesserungen und kleinere Reparaturen.

  • Benutzerhandbuch und Programm-Hilfe wurden aktualisiert.


Änderungen der Service-Releases von v17.5

  • SR-1: Die Ausgabe falscher Zeitstempel aus Firefox-SQLite-Datenbanken wurde behoben.

  • SR-1: Die Zeitzonen-Anpassung für Zeitstempel in den Metadaten bestimmter Dateitypen wurde korrigiert (PDF, MDB, RTF, PNG, Flash und GZip).

  • SR-1: Die fälschliche Auswahl des Radio-Buttons für Datei-Container bei der Auswahl des Zielpfads für die Sicherung in X-Ways Imager wurde behoben.

  • SR-1: Die in exportierten Index-Wortlisten angegebenen Worthäufigkeiten waren nicht völlig korrekt. Dies wurde korrigiert.

  • SR-2: Gründlichere Sortierung nach "Typ-Status", die die ermittelte Datei-Konsistenz berücksichtigt.

  • SR-2: Die fehlerhafte Verwendung der Header-Größe beim RAID-System Zusammensetzen in einigen neueren Versionen wurde behoben.

  • SR-2: Ein Ausnahmefehler wurde behoben, der bei der Verarbeitung bestimmter unvollständiger Chrome-Caches auftreten konnte.

  • SR-2: Eine irreführende und unnötige Fehlermeldung beim Abschließen eines Indexes und beim Suchen im Index wurde vermieden.

  • SR-2: Irreführende und unnötige Fehlermeldungen beim Importieren von Suchtreffern anderer Nutzer wurden vermieden.

  • SR-2: Ein Stabilitätsproblem bei der Verarbeitung von IE Travellog-Dateien wurde vermieden.

  • SR-3: Ein möglicher Absturz wurde vermieden, der bei der Extraktion von E-Mails aus PST/OST-E-Mail-Archiven auftreten konnte.

  • SR-3: Der Befehl zum Löschen von Hash-Sets hat Hash-Datenbanken in v17.5 und v17.6 Preview beschädigt. Dies wurde behoben.

  • SR-3: The Include command in the directory browser context menu did not work in v17.5 and v17.6 Preview. Dies wurde behoben.

  • SR-3: Die potentiell unvollständige Vorschau von Google Chrome WebData-Datenbanken wurde behoben.

  • SR-3: Ein Ausnahmefehler wurde behoben, der bei irregulären PDF-Dateien auftreten konnte.

  • SR-4: Ein Lesefehler wurde behoben, der bei XML-Dateien, die aus PDF-Dokumenten extrahiert wurden, auftreten konnte.

  • SR-4: Bessere Unterstützung für extrem fragmentierte Dateien in NTFS-Volumes.

  • SR-4: Ein Dateierzeugungs-Fehler wurde behoben, der beim Befehl "Berichtstabellen-Verknüpfungen exportieren" auf der Fall-Ebene auftreten konnte.

  • SR-4: Ausnahmefehler wurden vermieden, die auftreten konnten, wenn mehr als die aktuell unterstützten 57 gleichzeitig geöffneten Sicherungen physischer Datenträger und 99 gleichzeitig geöffneten Partitionen von physischen Datenträgern oder Sicherungen von Partitionen für rekursives Erkunden aus dem Asservat-Überblick ausgewählt wurden, und dann versucht wurde, Befehle im Verzeichnis-Browser-Kontextmenü darauf anzuwenden.

  • SR-5: Verbesserte/korrigierte Koordination gleichzeitiger Verwendung der Hash-Datenbank durch mehrere Nutzer.

  • SR-5: Ein Link-Fehler wurde behoben, der bei der Erzeugung von Fallberichten für Dateien mit überlangen Pfaden auftreten konnte.

  • SR-5: Ein Ausnahmefehler wurde vermieden, der beim Parsen von beschädigten 0x30-Attributen auftreten konnte.

  • SR-6: Verbesserte Darstellung von Base64-kodierten E-Mails, die aus MBOX-E-Mail-Archiven extrahiert wurden.

  • SR-6: v17.3 und später haben nicht immer alle NTFS-Dateisystem-Level-Zeitstempel in die Ereignisliste übernommen, wenn diese vom Erzeugungszeitstempel abweichen. Dies wurde behoben.

  • SR-6: Fortschrittsanzeige für die Zeit, wenn X-Ways Forensics einen Index der neuen Art abschließt.

  • SR-6: Ein Fehler wurde behoben, der den Verlust neu erzeugter Berichtstabellen-Verknüpfungen im arbeitsteiligen Auswertungs-Modus nach sich ziehen konnte.

  • SR-7: Ein Stabilitätsproblem wurde behoben, das beim rekursiven Erkunden aus dem Asservat-Überblick und Auflisten vieler Millionen von Dateien auftreten konnte.

  • SR-8: Ein Ausnahmefehler wurde behoben, der bei der Extraktion von Dateien aus Google Chrome-Caches auftreten konnte.

  • SR-8: Die Unfähigkeit von X-Ways Investigator, Datei-Container im Roh-Format in .e01 Evidence-File-Format umzuwandeln, wurde behoben.

  • SR-8: Ein Ausnahmefehler wurde behoben, der bei der Extraktion bestimmter wiederhergestellter beschädigter E-Mail-Nachrichten aus Outlook PST/OST-E-Mail-Archiven auftreten konnte.

  • SR-8: Bestimmte überflüssige Teile in bestimmten Multi-Part-E-Mail-Nachrichten wurden entfernt, um die Viewer-Komponente davon abzuhalten, die E-Mails als leer anzuzeigen.

  • SR-8: Ein Fehler wurde behoben, der den Verlust von Nutzer-Kommentaren im Datei-Überblick nach sich ziehen konnte.

  • SR-9: Ein Ausnahmefehler wurde behoben, der in der Standard-Version von WinHex 17.5 bei der Anzeige des Daten-Dolmetscher-Kontextmenüs auftrat.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde 

 

  
#137: WinHex, X-Ways Forensics und X-Ways Investigator 17.5 veröffentlicht

29. Jan. 2014

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten neuen Features, die Version 17.5, erschienen am 28.01.2014.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter https://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage. Einige wenige Benutzer von X-Ways Forensics mit aktiver Update-Berechtigungen benötigen wie von v17.4 angekündigt für v17.5 neue Aktivierungscodes.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Schulungen

Bonn, 7.-10. April 2014
Weitere Informationen


Was ist neu in v17.5?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Mehrbenutzerfähigkeit

  • Alle Fälle, die in v17.5 oder später erzeugt oder geöffnet werden, haben jetzt erweiterte Mehrbenutzerfähigkeit. Das bedeutet, daß X-Ways Forensics verschiedene Benutzer (Ermittler), die denselben Fall zu unterschiedlichen Zeiten oder gleichzeitig bearbeiten, anhand ihrer Benutzerkonten in Windows unterscheidet und ihre Ergebnisse getrennt verwaltet. Fälle, die mit v17.5 und neuer geöffnet wurden, können nicht mehr mit früheren Versionen geöffnet werden. Erweiterte Mehrbenutzerfähigkeit ist insbesondere für größere Fälle nützlich. Berichtstabellenverknüpfungen, Kommentare und Suchbegriffe/-treffer verschiedener Ermittler können optional unterschieden werden, indem standardmäßig die Initialen der erzeugenden Ermittler oder alternativ andere Abkürzungen ihrer Namen oder (falls keine Abkürzung angegeben ist) ihre vollständigen Nutzernamen angezeigt werden.

    Maximal 255 Benutzer (Ermittler) pro Fall werden unterstützt. Alle diesbezüglichen Optionen können durch Anklicken des Knopfes für "Erweiterte Benutzer-Koordination" im Fall-Eigenschaften-Dialogfenster gefunden werden.

  • Mehrere Benutzer können dieselben Asservate im selben Fall gleichzeitig zur Bearbeitung öffnen. Mit "selbem Fall" meinen wir dieselbe Fall-Datei, keine Kopie, gespeichert auf einem gemeinsam genutzten Netzlaufwerk oder auf einem Terminal-Server. X-Ways Forensics ist für die Synchronisierung der Berichtstabellenverknüpfungen, Kommentare und zum Überblick hinzugefügten Dateien verantwortlich, und auch dafür, Benutzer auf Zugriffskonflikte hinzuweisen, bevor diese auftreten und diese in den meisten Fällen zu verhindern.

  • X-Ways Forensics speichert die Zustände "markiert", "eingesehen" und "ausgeblendet" der Dateien nach Nutzern getrennt. Sie können beim Öffnen wahlweise den Status "eingesehen" von Dateien im Datei-Überblick von allen anderen Ermittlern übernehmen. Dies ist nützlich, um Doppelarbeiten zu vermeiden, wenn Sie Dateien nicht einsehen möchten, die bereits von einem Ihrer Kollegen eingesehen wurden. Bitte beachten Sie, daß sämtliche individuelle Datei-Zustände ("markiert", "eingesehen" und "ausgeblendet") und auch Suchtreffer anderer Nutzer verlorengehen, wenn ein Ermittler Objekte aus dem Datei-Überblick entfernt.

  • Suchtreffer und -begriffe werden ebenfalls auf Nutzerbasis festgehalten. Der erste Ermittler, der einen älteren Fall mit v17.5 oder später öffnet, übernimmt die Suchtreffer und -begriffe, die in dem Fall von v17.4 oder früher gespeichert wurden. Das Dialogfenster für die "Erweiterte Benutzer-Koordination" beinhaltet einen Schalter, der es Ihnen ermöglicht, die Suchtreffer und -begriffe eines anderen Benutzers zu importieren.  

  • Kommentare und Berichtstabellenverknüpfungen werden von allen Ermittlern geteilt. Ermittler können auswählen, ob sie die Berichtstabellenverknüpfungen anderer Benutzer zu sehen bekommen oder nicht. Dieselbe Datei kann mit derselben Berichtstabelle nur von einem Ermittler verknüpft werden. 

  • Um alle Ergebnisse eines Kollegen (Berichtstabellenverknüpfungen, Suchtreffer, Dateizustände "markiert", "eingesehen", "ausgeblendet") einzusehen, können Sie den Fall schreibgeschützt als der- oder diejenige öffnen. Benutzen Sie hierfür das neue Ankreuzfeld "Optionen..." beim Öffnen eines Falls. Sie können Ihre Kollegen daran hindern, einen Fall schreibgeschützt zu öffnen als wären sie Sie.

  • Das neue Ankreuzfeld "Optionen..." erlaubt Ihnen, einen Fall in jedem der drei von vorigen Versionen bekannten Modi zu öffnen:
    1) der gesamte Fall schreibgeschützt (Fall-Datei und Datei-Überblicke),
    2) arbeitsteiliger Auswertungsmodus (Fähigkeit, Berichtstabellenverknüpfungen, Kommentare, Suchtreffer und virtuelle Dateien zu erzeugen, Dateien zu markieren, als eingesehen zu vermerken oder auszublenden)
    3) Vollzugriff

  • Falls derselbe Benutzer denselben Fall (dieselbe Kopie) in mehr als einer Instanz des Programms gleichzeitig öffnen möchte, hat der Nutzer drei Möglichkeiten. Entweder wird der Fall in der zweiten Instanz schreibgeschützt geöffnet, oder der Benutzer ist dafür verantwortlich, Asservate, die in einer Instanz bereits offen sind, in der anderen schreibgeschützt zu öffnen, um Konflikte zu vermeiden (Sie erreichen diese Option per Rechts-Klick auf ein Asservat), oder der Benutzer öffnet den Fall als separater, fiktiver Nutzer (sein „Alter Ego“) mit getrennten Datei-Zuständen, Suchtreffern, Berichtstabellenverknüpfungen, etc. Falls die letzte Option gewählt wird, wird der getrennte Zugriff auf den Fall von X-Ways Forensics genauso verwaltet, als ob das Alter Ego ein echter, anderer Benutzer wäre, obwohl der Benutzername identisch ist.

  • Das zuvor erwähnte Feld "Optionen..." erlaubt es Ihnen, den Fall jederzeit als Ihr Alter Ego zu öffnen, nicht nur, wenn Sie den Fall in einer zweiten Programminstanz öffnen.

  • Daß mehrere Benutzer im selben Asservat simultan Suchen starten, Berichtstabellenverknüpfungen erzeugen, Kommentare eingeben, extrahierte Metadaten editieren, Dateien markieren, ausblenden oder als eingesehen kennzeichnen, wird alles unterstützt. Objekte aus einem Datei-Überblick zu entfernen, während das Asservat anderswo offen ist, ist hingegen verboten und wird vom Programm verweigert. Das Ziel der Mehrbenutzer-Koordination in v17.5 und später ist es, die parallele Auswertung/Sichtung durch mehrere Ermittler zu unterstützen. Das Entfernen von Dateien aus einem Datei-Überblick wird nicht als normale Sichtungs-/Auswertungsarbeit angesehen. Datei-Überblicke sollten im voraus systematisch erweitert werden.

  • Die Initialen des Ermittlers, der in v17.5 und später dem Datei-Überblick Dateien angehängt oder Dateien manuell gecarvt hat, können in eckigen Klammern neben dem Dateinamen gesehen werden, so daß es einfach möglich ist zu sehen, wer diese Dateien in den Fall eingefügt hat.

  • Wir behalten uns technische Änderungen an der Art, wie mehrere Nutzer gleichzeitig koordiniert werden, vor. Um auf der sicheren Seiten zu sein, stellen Sie bitte sicher, daß alle gleichzeitigen Nutzer dieselbe Programmversion verwenden.

  • Sie können die "Erweiterte Mehrbenutzerfähigkeit" abstellen, wenn Sie sicher der einzige gleichzeitige Nutzer eines Falles sind und keine der weiteren Optionen benötigen, für Performanzvorteile in einigen wenigen Situationen.

  • Zu guter Letzt ermöglicht Ihnen v17.5 die Bearbeitungshistorie eines Falles in seinen Eigenschaften einzusehen. Diese dokumentiert, welche Versionen wann verwendet wurden (festgehalten erst ab v17.3 SR-10 und später, v17.4 SR-4 und später und v17.5 und später) und von welchen Benutzern (festgehalten nur von v17.5 und später).

Benutzeroberfläche

  • Überarbeitetes Aussehen der Benutzeroberfläche (Werkzeugleiste, Menüs, Verzeichnis-Browser, Galerie). Icons sind jetzt farbiger und zahlreicher. Dies erlaubt erfahrenen Nutzern, schneller und intuitiver die richtigen Menübefehle zu finden, insbesondere im Verzeichnis-Browser-Kontextmenü.

  • Die Gitterlinien im Verzeichnis-Browser sind jetzt optional und, falls angezeigt, können jetzt entweder hellgrau oder hellblau sein. Ohne die Gitterlinien wirkt die Darstellung ebenfalls weniger überfüllt.

  • Die gesamte Zeile im Verzeichnis-Browser, über der sich der Mauszeiger aktuell befindet, ist jetzt hervorgehoben. Dies macht es leichter, weiter entfernte Zellen derselben Zeile zu identifizieren.

  • Verbesserte Unterstützung für Bildschirmeinstellungen mit hohen DPI-Werten in Windows (150% und größer), in Nachrichtenfenstern, Dateiauswahl-Dialogen, Informationsspalte, Modus-Schaltern, Werkzeugleiste, Fortschrittsanzeige-Fenster, Verzeichnis-Browser und Suchtreffer-Kontext-Vorschau.

  • Die Namen der Autoren von Dokumenten verschiedener Typen (MS Office, OpenOffice/LibreOffice, RTF, PDF, ...) werden jetzt nach der Metadaten-Extraktion in einer neuen Spalte namens "Autor" angezeigt.

  • Die Seitenanzahl wird jetzt im Zuge der Metadaten-Extraktion aus PDF und einigen Office-Dateitypen extrahiert und ebenfalls in einer eigenen Spalte angezeigt.

  • Das Sortieren und Filtern von Kommentaren und extrahierten Metadaten in sehr großen Datei-Überblicken, in denen eine sehr große Anzahl von Dateien Kommentare oder extrahierte Metadaten besitzen, wurde erheblich beschleunigt.

  • Das Sortieren nach bestimmten Verzeichnis-Browser-Spalten, wie z.B. Besitzer, Autor, Absender, Empfänger, Berichtstabellen, Kommentar, Metadaten, Suchbegriffe und Hash-Set, ist jetzt benutzerfreundlicher, indem Objekte ohne entsprechenden Wert (d.h. unbekannter Besitzer, unbekannter Autor, keine Berichtstabellenverknüpfung, kein Kommentar...) als letztes aufgelistet werden, nicht als erstes. Außerdem ist die Standard-Sortierreihenfolge für die Hash-Kategorie jetzt absteigend.

  • Der Dateityp-Filter-Dialog merkt sich jetzt, welche Kategorien aufgeklappt waren.

  • Die eingefärbten Icons für ausgeblendete und verdächtige Dateien werden jetzt auch dann ohne erkennbare Verzögerung angezeigt, wenn Aero aktiviert ist.

Dateiformat-Unterstützung

  • Verbesserte Fähigkeit, Dateien in Firefox- (Anwendung auf "_CACHE_MAP_"-Dateien) und Chrome-Cache (Anwendung auf "index"-Dateien) zu finden. Ermittelt Metadaten wie Original-Dateinamen und Zeitstempel. Metadaten-Extraktion aus "index"-Dateien.

  • In Norton Backup-Dateien (N360 backup, *.nb20) eingebettete Dateien können jetzt automatisch gesucht werden.

  • Fähigkeit, Base64-codierte Bilder, die in VCF-Dateien (elektronische Visitenkarten) eingebettet sind, zu suchen.

  • Dateityp-Prüfung erheblich aktualisiert. Beispiele: Identifizierung von MMAP, IDML, INCX, EDX, ENML, NBI.

  • Dateityp-Signatur-Definitionen und -Prüfung erheblich aktualisiert.

  • Neue Dateityp-Kategorie GPS/Navigation.

  • Rekonstruktion indexierter E-Mail-Nachrichten aus der Indexierungs-Datenbank des Thunderbird-E-Mail-Clients und Ausgabe als Unterobjekte im Datei-Überblick, als Teil der Extraktion eingebetteter Daten in SQLite-Datenbanken.

  • Ausschluß bekannter SQLite-Datenbanken aus der Extraktion enthaltener Daten, wenn bekannt ist, daß in diesen keine wertvollen Binärdaten zu finden sind.

  • Verbesserte Unterstützung von MS Internet Explorer Recovery-Travellog-Dateien.

  • Windows-Registry-Bericht und -Ereignis-Extraktion überarbeitet.

Dateisystem-/Datenträger-/-sicherungs-Unterstützung

  • Die Existenz erweiterter Attribute für Dateien in NTFS ($EA-Attribute) wird jetzt in der Attr.-Spalte in neu erzeugten Datei-Überblicken angezeigt und Sie können auf die Anwesenheit solcher Attribute auch filtern. Im Fall von nicht-residenten $EA-Attributen wird darüberhinaus eine automatische Berichtstabellenverknüpfung erzeugt. Nützlich, um bestimmte Schadsoftware zu entdecken, wie sie in vor Kurzem sehr prominenten Fällen aufgetreten ist.

  • Unterstützung für NTFS-Dateisysteme größer als 232 Cluster (was in Windows 8 und früher nicht unterstützt wird, aber eventuell in späteren Versionen).

  • Erheblich verbesserte Behandlung von Dateien mit harten Verweisen in HFS+. Das Auflösen von harten Verweisen ist jetzt sehr viel schneller und gründlicher in aktuellen HFS+-Volumes, die sehr viele harte Verweise für den Time Machine Dienst benutzen. Harte Verweise zu Verzeichnissen und Dateien, die nur eine Resource-Fork besitzen, werden jetzt ebenfalls aufgelöst. Der Zähler für harte Verweise wird jetzt korrekt dargestellt. Alle harten Verweise bis auf einen können in logischen Suchen optional ausgelassen werden, genau wie in NTFS, um die unnötige Mehrfachdurchsuchung derselben Daten und entsprechende Duplikate bei den Treffern zu vermeiden. Harte Verweise, die ignoriert werden, sind durch einen ausgegrauten Verweis-Zähler gekennzeichnet (nicht mehr durch ein Sternchen wie in früheren Versionen). Außerdem werden iNode-Dateien ausgelassen, die mit den harten Verweisen, die auf sie zeigen, im Datei-Überblick als sogenannte "zugehörige Objekte" verknüpft wurden. Sollte der Verweis-Zähler für eine iNode-Datei nicht ausgegraut sein, zeigt dies eine verwaiste iNode-Datei an (eine, die von keiner Datei mit harten Verweisen referenziert wird, zumindest nicht im Datei-Überblick). Kommentare werden für harte Verweise in HFS+ nicht mehr länger verwendet.

  • Unterstützung für tiefer verschachtelte Verzeichnisbäume in Ext*.

  • Einige Cluster von erheblich fragmentierten Dateien in Ext4 wurden inkorrekterweise auch als Teil des brachliegenden Speichers angezeigt. Dies wurde behoben.

  • Extraktion von Ereignissen aus Unix-/Linux-/Macintosh-System-Log-Dateien. Diese Ereignisse sind von praktischer Relevanz insbesondere bei der Untersuchung von USB-Geräte-Historien.

  • Verbesserte Erkennung von nicht-standardgemäßen LVM2-Container-Partitione.

  • VMDK virtuelle Festplatten-Dateien, die zu Transportzwecken komprimiert wurden (die VMDK-Format-Variante genannt "stream-optimized"), wie zum Beispiel im OVF-Appliance-Exportformat verwendet, werden jetzt unterstützt.

  • Unterstützung für VMDK-Snapshots, wo die VMDK-Dateien in Segmenten gespeichert sind, wobei jedes Segment typischerweise 2 GB der virtuellen Platte repräsentiert. Zuvor wurden nur monolithische Snapshots unterstützt, d.h. wenn die virtuelle Platte vollständig in einer Datei gespeichert war (dynamisch wachsend oder auch nicht).

  • Option, Berichtstabellenverknüpfungen für Dateien zu erzeugen, die erfolgreich per Verzeichnis-Browser-Kontextmenü zu einer Minimalsicherung hinzugefügt worden sind.

  • Fähigkeit, Datei-Container zu interpretieren, die größer als 4 TB sind.

  • Die Option, die Anzahl an Extra-Threads für die Kompression bei der Erzeugung von .e01-Evidence-Files festzulegen, ist nicht mehr versteckt.

  • Die Erzeugung der beschreibenden Text-Datei bei der Datenträger-Sicherung ist jetzt optional.

  • Stabilität der EVTX-Behandlung verbessert.

Diverses

  • Fähigkeit, separate virtuelle Ausgabe-Verzeichnisse für separate Datei-Header-Signatur-Suchen festzulegen, zum Beispiel um zwischen Operationen mit unterschiedlichem Umfang oder unterschiedlichen Zwecken (z. B. zuerst gewöhnliches Datei-Carven auf Sektor-Ebene in der gesamten Partition, dann E-Mails auf Byte-Ebene aus dem freien Speicher carven).

  • Indexe des neuen Typs wurden bislang unbenutzbar, wenn sich der Laufwerksbuchstabe oder Pfad des Falles geändert hat. Dies ist jetzt für existierende und neue erzeugte Indexe nicht mehr der Fall.

  • Diverse kleinere Verbesserungen und kleinere Reparaturen.

  • Benutzerhandbuch und Programm-Hilfe wurden aktualisiert.


Änderungen der Service-Releases von v17.4:

  • SR-1: Funktioniert wieder mit der alten Version von MPlayer.

  • SR-1: Ein Fehler wurde behoben, der im Attr.-Filter für Special Files in Unix-/Linux-Dateisystemen auftreten konnte.

  • SR-1: Das Hängenbleiben nach einer Erweiterung des Datei-Überblicks, wenn der Fehler "Parent of ... undefined" aufgetreten ist, wurde behoben.

  • SR-1: Schnellere Identifizierung des EDB-Datei-Untertyps.

  • SR-2: Wenn die Galerie die Einzelbilder eines Videos dynamisch in einer Schleife anzeigt, können Sie jetzt Esc drücken, um die Animation zu stoppen, +, um die Animation zu beschleunigen und wieder zu starten, und -, um sie zu verlangsamen und wieder zu starten.

  • SR-2: Ein Fehler, der die Galerie an ihrer Funktion hindern konnte, wurde behoben.

  • SR-2: Ein Fehler, der beim Exportieren von Hash-Sets aus der Block-Hash-Datenbank aufgetreten ist, wurde behoben.

  • SR-2: Einige abgeschnittene Beschreibungen für Ereignisse, die aus SQLite-Datenbanken extrahiert wurden, wurden in der 64-bit-Version korrigiert.

  • SR-2: Korrekte Zeitzonen-Anpassung für Ereignis-Zeitstempel aus SQLite-Datenbanken.

  • SR-2: Ein Fehler wurde möglicherweise behoben, der auf einigen Rechnern beim Schließen von Datenfenstern auftreten konnte, nachdem man Datenträger mit der Option "Datenträger ganz kopieren" geklont hat.

  • SR-3: Ein Fehler, der bei der Benutzung der Galerie auftreten konnte, wurde behoben.

  • SR-3: Die Ausgabe einiger unnötiger Meldungen bei der Erzeugung von Datei-Überblicken von Ext4-Volumes wurde behoben.

  • SR-3: Falls der Dialog Hilfe | Dongle Sie darüber informiert, daß Sie für v17.5 einen neuen Aktivierungscode benötigen, fordern Sie diesen von X-Ways bitte an.

  • SR-3: Ein Fehler in der Überprüfung von Minimalsicherungen, der unter bestimmten Umständen auftreten konnte, wurde behoben.

  • SR-3: Ein Ausnahmefehler, der bei Index-Suchen in v17.4 auftreten konnte, wurde behoben.

  • SR-4: Ein Fehler wurde behoben, der dazu führen konnte, daß die Galerie in bestimmten Situationen nicht vollständig befüllt wurde.

  • SR-5: v17.4 SR-2 und später haben beim Schließen des Falls das Asservat-Überblick-Fenster nicht mit geschlossen, was zu Fehlern geführt hat. Dies wurde behoben.

  • SR-5: Die Galerie wurde in v17.4 nicht aktualisiert, wenn im Verzeichnis-Browser sortiert wurde. Dies wurde behoben.

  • SR-5: Eine Instabilität der 64-bit-Version mit bestimmten EDB-Datenbank-Dateien wurde behoben.

  • SR-5: Unterobjekte, die eingesehen wurden, geben ihren Eltern-Dateien diesen Status nicht mehr weiter.

  • SR-6: Ein Ausnahmefehler wurde behoben, der beim Befüllen von Datei-Containern in v17.3 und v17.4 auftreten konnte.

  • SR-6: Ein Ausnahmefehler wurde behoben, der bei der Auflösung symbolischer Verweise in der 64-bit-Version von v17.4 auftreten konnte.

  • SR-6: Eine wiederkehrende Verzögerung wurde behoben, die auf Volumes mit sehr vielen Clustern bei der Durchsicht von Suchtreffern im freien Speicher auftreten konnte, für die nur ein logischer/relativer Offset bekannt ist (Index-Suchtreffer).

  • SR-6: Eine Instabilität in v17.4 bei der Verarbeitung von Windows.edb-Datenbanken aus Windows 7 unter Windows 8 und Windows 8.1 wurde behoben.

  • SR-7: Fähigkeit, Datei-Container des neuen Typs größer als 4 TB korrekt zu erzeugen. Diese Korrektur ist auch in v17.3 SR-11, v17.2 SR-11 und v17.1 SR-11 enthalten.

  • SR-7: Ein Fehler in der Funktion Sparse kopieren wurde behoben.

  • SR-7: Die Galerie wurde in v17.4 beim Ausblenden von Dateien nicht aktualisiert. Dies wurde behoben.


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem brandneuen Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde 

 

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <