X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 
Preise einsehen, Angebote einholen, bestellen (Neulizenzen)

Upgrades und Verlängerungen bestehender Lizenzen
 
Produkte
 
X-Ways Forensics X-Ways Forensics
Integrierte Forensik-Software
 
X-Ways Investigator X-Ways Investigator
Ermittler-Version von X-Ways Forensics
 
Find out more about 3rd party X-Tensions X-Tensions
Zusätzliche Module
 
Näheres zu Excire Forensics Excire Forensics
Foto-Analyse mit KI
 
Näheres zu WinHex WinHex
  Lizenztypen
  Upgrade
  Forensische Features
  Alle Features
 
Näheres zu X-Ways Imager X-Ways Imager
Disk-Imaging
 
Dienstleistungen
 
Schulungsangebot
 
Zertifizierung
 
Benutzerforum
 

 
Kontakt zu X-Ways Kontakt
Die X-Ways AG Die X-Ways AG
Datenschutzerklärung
Die X-Ways AG Stellenangebote


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

  
#181: X-Ways Forensics, X-Ways Investigator und WinHex 21.8 veröffentlicht

31. Mai 2026

In dieser Ausgabe informieren wir Sie über ein am 25. Mai erschienenes Update mit wichtigen Verbesserungen, die Version 21.8.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Service-Releases oder auch Preview- und Beta-Releases interessiert sind, können Sie Informationen dazu jederzeit aktuell im Bereich "Announcements" des Forums finden. Bitte legen Sie sich ein Konto an (dazu werden die Log-In-Daten benötigt), um die Ankündigungen in diesem Bereich immer sofort per E-Mail zu erhalten. Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Danke. Wir bitten darum, dass sich mit dem gelegentlich verwendeten generischen Maskulinum in unseren Texten alle Benutzer(innen) unserer Software gleichermaßen angesprochen fühlen.

Nächste deutschsprachige Schulungstermine:

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie online werden hier aufgelistet, darunter diesmal auch eine Dateisystem-Schulung.

Was ist neu in v21.8?
 (Die meisten Änderungen beziehen sich nur auf X-Ways Forensics.)

Dateiformat-Unterstützung

  • Der Algorithmus zum Ausgliedern von MPEG-Dateien bestimmter Varianten aus Sektoren (Carven) wurde deutlich verbessert.

  • Möglichkeit zum Ausgliedern von AVIF-Dateien aus Sektoren.

  • Beim Suchen nach eingebetteten Daten in JPEG-Dateien werden zusätzliche Exif-Makernote-Daten nicht mehr integriert in Unterobjekte mit Miniaturansichten. Dadurch erhält man universeller vergleichbare Hash-Werte für solche Unterobjekte.

  • Alternative Extraktionsmethode für Attachments, die in .eml-Dateien eingebettet sind.

  • Grundlegend erneuerte Verarbeitung von Windows-Event-Log-Dateien des Typs evtx. Vollständigere Ausgabe der Ereignisdaten in die Ereignisliste. Stabiler als zuvor bei defekten .evtx-Dateien.

  • Erkennt von DocuRay verwaltete Dokumentdateien als verschlüsselt/DRM-geschützt.

  • Erkennt harte Verweise und Symlinks in TAR-Archives als solche. Harte Verweise werden mit dem Original-Dateiinhalt dargestellt und der Verweisanzahl innerhalb des Archivs.

  • Dass bestimmte binäre Dateien im Fallbericht in einem menschenlesbaren Format ausgegeben werden, falls möglich, ist nun optional. Dies betrifft z. B. Dateien vom Typ job, lnk, Prefetch, $I*, $LogFile, $UsnJrnl:$J, wtmp, utmp, btmp sowie TCP- und UDP-Paket-Schnipsel und vieles mehr. Wenn binäre Kopien bevorzugt werden, die nicht direkt mit dem Bericht in einem Browser eingesehen werden können, entfernen Sie das Häkchen in dem dafür neu eingeführten Kontrollkästchen.

  • Testweise eingebaute Funktion, die RTF-Dateien identifiziert, die eingebettete Bilder enthalten, über einen Vermerk namens „No pictures extracted“.

Bildunterstützung

  • Die interne Grafikanzeigebibliothek und die Bildinhaltsanalyse können nun Bilder aus AVIF-Dateien laden.

  • Die Anzeige von HEIC-Bildern wurde komplett erneuert.

  • PNG- und JPEG-Unterstützung in der internen Grafikanzeigebibliothek aktualisiert.

  • Verbesserte Erkennung von mit KI erzeugten Bildern anhand diverser Mikromuster. Sie können dazu zunächst den Eintrag „Software class“ in der Übersichtstabelle im Details-Modus prüfen. Wenn dieser nicht „AI-generated“ sagt, kann der Gerätetyp „No device“ ein Anhaltspunkt sein, wie auch Anmerkung Nr. 201, wenn ausgegeben.

  • Verbesserte Erkennung des erzeugenden Gerätetyps.

  • Verbesserte Bildgröße+-Information in der Übersichtstabelle (in früheren Versionen Sensor- oder Papiergröße genannt), mit textuellen Beschreibungen der Auflösung, einer Nennung des Bildseitenverhältnisses (sofern beachtenswert) und, sofern das Bild bekanntermaßen vergrößert oder verkleinert wurde, eine frühere Auflösung. Ein Pfeil nach oben zeigt einen unerwartet hohen Propensity Score an. Ein Pfeil nach unten zeigt einen unerwartet niedrigen Propensity Score an, welcher korreliert ist mit Kopien in verringerter Auflösung für die weitere Verbreitung und mit einer niedrigeren generischen Relevanz. Das Wort "Bildgröße" ist hier mit einem kleinen Plus-Symbol versehen, um die Angabe zu unterscheiden von der ansonsten gleichnamigen Spalte im Verzeichnis-Browser.

  • Verbesserte Interpretation von Bildseitenverhältnissen.

Asservatunterstützung

  • Bereits seit einigen Versionen können UFDR-Berichte als Asservate hinzugefügt werden wie normale Zip-Archive. Die Datei report.xml darin wird als virtuelle Datei dargestellt, da sie Metadaten für die Untersuchung enthält und keine Originaldatei ist. Sie kann optional ausgewertet werden, damit alle anderen Dateien in dem Archiv mit ihren Original-Zeitstempeln und in ihrem jeweiligen Originalpfad erscheinen, wann immer möglich. In v21.8 können die Zeitstempel, die die anderen Dateien laut den Zip-Records im UFDR/Zip-Archiv haben, nun optional ganz verworfen werden, wenn sie Ihnen unzuverlässig oder irreführend vorkommen.

  • Wenn die report.xml-Auswertung voll gewählt ist, kann X-Ways Forensics nun auch Nachrichten extrahieren und präsentiert diese als Ereignisse. Nachrichten der folgenden Art werden bislang normalerweise unterstützt:
    Instant Messages: Android CallLog database
    Instant Messages: Android
    Instant Messages: Phone
    Chats: Native Messages
    Chats: Kik Messenger
    Chats: Snapchat

  • Detailliertere Rückmeldung, wenn beim Verarbeiten der Datei report.xml Probleme auftreten.

  • Möglichkeit, decodierten Text aus Dokumenten sowie per OCR gewonnenem Text in Datei-Containern zusammen mit den zugehörigen Dateien zu speichern. Dies erlaubt es den Empfängern solcher Container, gründliche logische Suchen in den enthaltenen Dateien schnell durchlaufen zu lassen, ohne Zeit in die Textdecodierung und in OCR investieren zu müssen, sofern sie v21.7 SR-3 oder neuer verwenden.

  • Möglichkeit, verschlüsselte Container-Archive weiter zu befüllen. (Der Benutzer muss dazu dasselbe Passwort erneut eingeben.)

Dateisystem-Unterstützung

  • Fähigkeit, ein exFAT-Dateisystem in einer Partition zu erkennen und direkt damit zu arbeiten, auch wenn der Boot-Sektor überschrieben wurde, solange Backup-Boot-Sektor verfügbar ist.

  • Eine Schablone für exFAT-Boot-Sektoren ist jetzt im Lieferumfang enthalten.

  • Die Verschachtelungstiefe für Unterverzeichnisse, bei der von einem Fehler im Dateisystem ausgegangen wird und bei der die Rekursion abgebrochen wird, wenn der Datei-Überblick von einem FAT*- oder Ext*-Dateisystem erzeugt wird, kann nun in den Optionen des Datei-Überblicks festgelegt werden und sog. Stack-Überlauf-Fehler verhindern. Diese würden sonst in einigen sehr seltenen Fällen auftreten. In so einer Situation wird folgende Nachricht ausgegeben: "Probably circular link detected. Recursion depth ...".

  • Verbesserter Umgang mit einer bestimmten Art von NTFS-Dateisystem-Manipulation.

  • Breitere Erkennung von BitLocker-Recovery-Key-Dateien. Diese Art von Dateien wird in der Typspalte als „blkey“ identifiziert.

  • Recovery-Keys, die in einem beliebigen Asservat im Fall bereits angetroffen wurden, werden automatisch zur Entschlüsselung von anderen BitLocker-Partitionen, die Sie öffnen, herangezogen, sofern sie passen.

  • Eine neue Sicherheitsoption steuert, ob BitLocker-Passwörter und -Schlüssel, die Sie manuell eingeben oder die automatisch gefunden werden (BEK- und Recovery-Key-Dateien) oder die passen, wenn Passwörter aus einer Liste ausprobiert werden, zentral im Fall (auf dem Datenträger) gespeichert werden. Das ist zwar bequem und die Voreinstellung, aber für interne Ermittlungen evtl. nicht gewünscht, wenn das Fallverzeichnis nicht verschlüsselt/ausreichend geschützt ist.

Benutzeroberfläche

  • Feinere Einstellung dazu, was passieren soll, wenn eine Datei mit Unterobjekte doppelt angeklickt wird (erkunden oder einsehen).

  • Das erste vierstufige Kontrollkästchen in X-Ways Forensics (oder evtl. im Universum) wurde eingeführt: Die Gitternetzlinien im Verzeichnis-Browser werden nun in drei verschiedenen Schattierungen angeboten und können optional weiterhin ganz unsichtbar sein.

  • Strg+A funktioniert nun in Fenstern der Viewer-Komponente, um alles auszuwählen, in Text-Dokumente, Tabellenkalkulationen, ... (aber nicht in PDF-Dokumenten, Präsentationen, ...).

  • Der Filter zur Beschreibungsspalte kann nun nach Verzeichnissen suchen, also Dateien herausfiltern.

  • Erweiterte UTF-8-Unterstützung in einigen Funktionen und Teilen der Benutzeroberfläche.

  • Die ukrainische und russische Übersetzung der Benutzeroberfläche wurde aktualisiert.

Notation und Ausgabe

  • Eine neue Notationseinstellung erlaubt es, den vollständigen internen Pfad eines Asservats in der Asservatspalte zu sehen anstelle der benutzerdefinierbaren, bis zu 79 Zeichen langen Bezeichnung oder Nummer des Asservats wie bisher.

  • Eine weitere neue Einstellung bewirkt, dass keine Dateinamenserweiterungen mehr angezeigt werden in den Spalten "Name" und "Elter-Name". Das könnte die Namen insbes. für manche Benutzer von X-Ways Investigator angenehmer lesbar machen, wenn ihnen die Endungen nicht unbedingt etwas sagen und ihnen der tatsächliche oder vermeintliche Dateityp sowieso egal ist, weil es ihnen auf den Inhalt ankommt.

  • Sie können X-Ways Forensics nun mitteilen, was Sie in der Spalte "Int. Elter" sehen möchten: Die interne ID des Elters (wie in früheren Versionen), dessen Namen, seine Beschreibung, oder eine Kombination von diesen. Der Dateiname kann wiederum optional vor der Dateinamenserweiterung abgeschnitten werden.

  • Eine weitere Notationseinstellungen erlaubt es, Dateigrößen in Form einer Anzahl von Sektoren anzugeben. Falls Dateien nicht auf Datenträgern oder in Sicherungen mit sektorweisem Zugriff angetroffen wurden, sondern z. B. in Asservaten, die Zip-Archive oder Verzeichnisse sind, wird dabei eine Standardsektorgröße von 512 Bytes angenommen. Die angezeigte Sektorzahl wird entweder aufgerundet (weil eine Datei, die 1 Sektor ganz besetzt und weitere 2 Bytes von einen anderen Sektor tatsächlich 2 Sektoren in Anspruch nimmt, wo immer Dateien an Sektorgrenzen ausgerichtet sind) oder mit einer Nachkommastelle angezeigt. Die Anzeigeart mit einer Nachkommastelle kann Ihnen eine Vorstellung davon geben, wie präzise oder grob eine aus Sektoren ausgegliederte Datei abgemessen wurde, denn wenn eine Dateigröße ein exaktes Vielfaches der Sektorgröße ist, wird sie ganz ohne Nachkommastelle angezeigt, wohingegen ,0 signalisiert, dass noch ein paar Bytes zusätzlich enthalten sind, die aber noch nicht ein Zehntel eines Sektors ausmachen (also 0,1). Dies kann Ihnen auch eine Vorstellung davon geben, welche Dateitypen natürlicherweise mit aufgerundeter Größe auftreten, z. B. Windows-Registry-Hives und OLE-2-Verbundsdateien. Wenn hingegen eine JPEG- oder HEIC-Datei oder eine sonstige normalerweise nicht gerundete Datei ohne Nachkommastelle in der Größe gefunden wird, ist sie evtl. abgeschnitten worden, z. B. bei der Ausgliederung aus Sektoren oder durch einen Dateisystemfehler. (Wenn allerdings Dateigrößen dabei gleichmäßig verteilt sind, hat statistisch gesehen 1 von 512 Dateien auch auf natürliche Weise ein exaktes Vielfaches der Sektorgröße als Größe.)

  • Das Dialogfenster für Notation wurde aufgeräumt und umbenannt in Notation/Ausgabe. Die Einstellungen für Notation und Ausgabe in der graphischen Benutzeroberfläche selbst kann jetzt über das Hauptmenü erreicht werden. Der Schalter "Notation..." im Dialogfenster mit den Allgemeinen Optionen wird wahrscheinlich irgendwann entfallen.

  • Die Option, entweder den Hauptdateinamen, einen alternativen Namen oder beides in exportierten Listen und in copylog-Dateien auszugeben, sofern überhaupt ein alternativer Name bekannt ist, ist zu einer Einstellung im Dialogfenster für Notation und Ausgabe geworden.

  • Die zwei Optionen für die Spalte "Startsektor", ehemals Teil der Optionen des Verzeichnis-Browsers, wurden zu Notationseinstellungen und können daher nun unterschiedlich gewählt werden für die graphische Benutzeroberfläche und für exportierte Listen.

  • Die Einstellung, dass ein kleines Dreieck in der Namenszelle das Vorhandensein von Vermerken anzeigt, wurde aus den Notationseinstellungen zu den Optionen des Verzeichnis-Browsers befördert.

X-Tension API

  • Die Funktionen XWF_GetReportTableAssocs() und XWF_AddToReportTable() haben neue Namen erhalten: XWF_Label() und XWF_GetLabels(). Die Funktionen können aus Gründen der Kompatibilität immer noch unter ihren alten Namen aufgerufen werden. Die vorherigen Namen gelten aber nun seit v21.7 SR-4 als veraltet und nicht mehr empfehlenswert.

  • Die Funktion XWF_Label() kann jetzt Vermerke auch von einer Datei entfernen.

  • Die Funktion XWF_OpenItem() unterstützt nun ein Flag, um Attachments in verschlankte .eml-Dateien wieder einzubetten, i. d. R. für Export-Zwecke.

Diverses

  • Beim Importieren von Hash-Werten, sei es aus einer externen Textdatei mit ASCII-Hex-Werten oder über ausgewählte Dateien im Verzeichnis-Browser, haben Sie die Möglichkeit, die Hash-Werte nicht wirklich der Datenbank hinzuzufügen, sondern nur herauszufinden, welche Hash-Werte davon bereits in der Datenbank enthalten sind und welche Hash-Werte neu sind. Das könnte von Nutzen sein, um herauszufinden, wie sich ein Import auf Ihre Datenbank auswirken würde / ob überhaupt neues Material dabei ist usw., oder, wenn Sie Zugang erlangt haben zu einer bloßen Liste von Hash-Werten von Dateien, die sich im Besitz von jemandem befanden, ohne die Dateien selbst, und Sie wissen möchten, ob die Dateien in Ihrer Hash-Datenbank bekannt sind.

  • Die Protokollierungsfunktion von Wiederherstellen/Kopieren, wenn ganz gewählt, protokolliert nun auch mit, wenn Verzeichnisse aus der Quelle im Ausgabepfad repliziert werden (um kopierte Dateien mit Originalpfad aufzunehmen), mit den Originalnamen dieser Verzeichnisse, internen IDs, Attributen und was auch immer Sie sonst auswählen.

  • X-Ways Forensics überwacht nun zusätzliche Threads beim Erweitern des Datei-Überblicks und versucht, hängengebliebene Threads zu beenden und wieder neu zu starten, wenn diese z. B. 15 Minuten lang kein Lebenszeichen von sich gegeben haben. Dies ist eine neue Einstellung unter Optionen | Sicherheit und setzt voraus, dass die Benutzeroberfläche selbst noch auf Aktivitäten reagiert. Wenn die Verarbeitung einer bestimmten Datei sehr lange dauert (z. B. besonders große PST-E-Mail-Archive von Outlook mit vielen, vielen E-Mails und Datei-Anhängen), signalisiert der zugehörige Thread dennoch, dass er aktiv ist, so dass diese Situation allein keine Wiederbelebungsmaßnahmen auslöst.

  • Fähigkeit, ein Hängen bei einer bestimmten Datei zu simulieren, unter Verwendung eines des unbeschrifteten, aber mit Tooltip ausgestatteten Kontrollkästchen unter Optionen | Sicherheit, nur in Preview- und Beta-Releases. (v21.8 Beta ist noch für kurze Zeit herunterladbar.)

  • Das Hinterlegen von mind. einer E-Mail-Adresse speziell für die Versicherung eines jeden Dongles gegen Verlust und Diebstahl ist jetzt vollkommen optional und weniger wichtig geworden (und wird auch in künftigen Releases früherer Versionen als weniger dringlich behandelt). Falls keine E-Mail-Adresse für diesen Zweck definiert ist, wird der finale Transaktionscode, um die Beendigung des Versicherungsschutzes abzuschließen, einfach an alle E-Mail-Adressen verschickt, die mit der Lizenzgruppe, zu der der Dongle gehört, verknüpft sind. Wenn Sie meinen, dass das zu nervig oder irreführend ist für zu viele Ihrer Kollegen, können Sie wie gewohnt gezielter E-Mail-Adressen für speziell diesen Zweck angeben.

  • Die am 26. Feb. 2026 zuletzt mit Updates aktualisierte Version der Viewer-Komponente steht auf unserem Server zum Download zur Verfügung.

  • Ein MPlayer-Release von 2025 ist jetzt herunterladbar.

  • Die NSRL RDS Hash-Sets, in einem Format zum direkten Import in X-Ways Forensics, wurden auf die Version 2026.03.1 aktualisiert und stehen zum Download aus dem Resourcen-Verzeichnis, sowohl als MD5- als auch als SHA-1-Variante, zur Verfügung.

  • Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

  • Viele kleinere Verbesserungen.

Änderungen der Service-Releases von 21.7:

  • SR-1: Fixed an exception error that could occur when applying OCR to certain PDF documents.

  • SR-2: Fixed an exception error that could occur when applying OCR to certain PDF documents.

  • SR-2: Fixed a memory allocation error that could occur when reaching around 358 million items in a volume snapshot.

  • SR-2: Fixed inability to recognize a FAT file system as such if it consists of less than 100 sectors in total.

  • SR-2: The option to skip and omit data in free clusters when creating an image was ignored when active in the .cfg file and when imaging was triggered from the command line. That was changed.

  • SR-2: Fixed inability of v21.6 SR-4 and later to extract e-mails from small MBOX e-mail archives.

  • SR-2: Improved simultaneous compatibility with v8.5.4 and v8.5.7 of the viewer component.

  • SR-2: Improved compatibility of "File Type Signatures Search.txt" with editing in MS Excel.

  • SR-3: Ability to import extracted text from evidence file containers, which can be included in evidence file containers in v21.8 and later.

  • SR-3: Fixed an exception error that could occur when parsing the report.xml file in some UFDR archives.

  • SR-3: Support for overlong UNC (network) paths for progress notifications as files.

  • SR-3: v21.7 did not present the dongle management dialog window in some situations when needed at startup. That was fixed.

  • SR-4: The Exif table in Details mode was not present for HEIC files since v21.6. That was fixed. The fix is has also been applied to v21.6 SR-8.

  • SR-4: Content created timestamps from HEIC files were not translated correctly to local time. That was fixed.

  • SR-4: Improved size detection of QuickTime video files with an mvhd atom. This change is also available in v21.6 SR-8.

  • SR-4: Fixed an instability associated with the parsing of certain PList files.

  • SR-4: Fixed a division by zero error in v21.7 when processing certain video files.

Neuzugänge in der X-Tension-Sammlung (sozusagen unser „App-Store“)

UAL Timeliner
by Kevin Stokes

Parses Windows User Access Logging (UAL) databases (Current.mdb /{GUID}.mdb under the SUM folder of Windows Server installations) and ingests one event per UAL record into the X-Ways Forensics event list, anchored to its source .mdb. Optional per-format reports can be written to disk at the same time (CSV, XLSX, SQLite, Parquet, K2T / Timesketch JSONL). Each ingested .mdb is tagged with a "ual-timeliner" Report Table label. Auto-detects re-runs and enables event-level deduplication so re-ingest can attempt to avoide duplicate rows. Runs from Tools | Run X-Tensions (whole-snapshot scan) or from the  directory-browser right-click menu (selected .mdb files only). Requires ual-timeliner.exe (the upstream parser binary) next to the DLL or on PATH, download from here.
Updater for X-Ways Forensics
by Kevin Stokes

Downloads and installs/updates X-Ways Forensics (dongle or BYOD) inside an existing installation; optionally pulls Viewer, Tesseract, Excire, AFF4 X-Tension, and Conditional Coloring. Run from Tools | Run X-Tensions.
Dahua DHFS 4.1 file system parser
by Dane Wullen

Reads video contents of Dahua DHFS4.1 file system and represents available and carved video data in X-Ways Forensics. Right-click the virtual file that represents the entire space of the file system unknown to X-Ways Forensics and run the X-Tension. After that, open the disk via disk I/O with the same X-Tension to access the fragmented video data.
HIKVISION file system parser
by Dane Wullen

Reads video contents of HIKVISION file system and represents available video data in X-Ways Forensics. Right-click the virtual file that represents the entire space of the file system unknown to X-Ways Forensics and run the X-Tension.

XT_RefineSearchTerm
by Jamie Sharpe

Source Code

Assists in reducing the number of false positive keyword hits in a Simultaneous Search where bytes are read before and after the keyword, and a percentage is calculated on printable characters [printable meaning > 0x20]. If the percentage is over a user's threshold, then the keyword is marked positive, otherwise it is removed as a hit. The reason this was developed is due to the large amounts of false positives when a keyword term is rather small, less than 5 characters for example.

Werden Sie zertifizierter Benutzer von X-Ways Forensics
Werden Sie X-PERTe. (X-Ways Professional in Evidence Recovery Techniques)

Beweisen Sie Ihre Fähigkeiten in der Computerforensik im Allgemeinen und mit X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm. Nach dem Bestehen der herausfordernden Prüfung werden Sie Teil einer exklusiven Gruppe und genießen neben der entsprechenden Anerkennung auch weitere einhergehende Vorteile, wie Schulungsrabatte oder Zugang zum aktualisierten Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden Sie hier.

Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

  
#180: X-Ways Forensics, X-Ways Investigator und WinHex 21.7 veröffentlicht

26. Feb. 2026

In dieser Ausgabe informieren wir Sie über ein am 17. Februar erschienenes Update mit wichtigen Verbesserungen, die Version 21.7.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten (!) sowie Details zu Ihren Lizenzen wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Service-Releases oder auch Preview- und Beta-Releases interessiert sind, können Sie Informationen dazu jederzeit aktuell im Bereich "Announcements" des Forums finden. Bitte legen Sie sich ein Konto an (dazu werden die Log-In-Daten benötigt), um die Ankündigungen in diesem Bereich immer sofort per E-Mail zu erhalten. Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden. Danke. Wir bitten darum, dass sich mit dem gelegentlich verwendeten generischen Maskulinum in unseren Texten alle Benutzer(innen) unserer Software gleichermaßen angesprochen fühlen.

Nächste deutschsprachige Schulungstermine:

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen weltweit sowie online werden hier aufgelistet.

Was ist neu in v21.7?
 (Die meisten Änderungen beziehen sich nur auf X-Ways Forensics.)

Dateityp-Unterstützung

  • Die Spieldauer bestimmter Videodateien, die nicht von der Metadaten-Extraktion in die Metadaten-Spalte übertragen werden kann, kann jetzt bei der Erzeugung der Video-Einzelbilder ermittelt werden.

  • Wenn Sie mehrere Videodateien auswählen, deren Spieldauer in der Metadaten-Spalte bekannt ist, wird die Gesamtdauer berechnet und unterhalb des Verzeichnis-Browsers angezeigt. Dies gibt Ihnen und anderen (bspw. Anwälten) einen besseren Einblick in die Menge an Videodaten, um z. B. einzuschätzen, wie vollständig die Abdeckung einer Videoüberwachung ist oder um die Menge an illegalem Videomaterial in einer sinnvolleren Bemessungsgrundlage zu beurteilen als nach Mega-, Giga- oder Terabytes, gerade auch aus Laiensicht.

  • Aktualisierte Unterstützung für PNG-, TIFF- und WEBP-Bilder in der internen Bildanzeigebibliothek.

  • Mehr Bilder können jetzt als der Geräteklasse (device class) "No device" zugehörig identifiziert werden, welche als nicht von optischen Geräten wie Kameras oder Scannern, sondern ausschließlich von Software erzeugt wurden.

  • Der "Propensity"-Punktwert in der zusammenfassenden Sachverhaltstabelle im Detailsmodus von Bilddateien bestimmter Typen wurde ersetzt durch die Einführung eines Prozentwertes für die Konfidenz bezüglich der Geräteklasse.

  • Die neue Angabe zur Mediengestaltung (media design) in der Sachverhaltstabelle soll dabei helfen, das Seitenverhältnis (aspect ratio) eines Bildes besser einordnen zu können. Das Seitenverhältnis erscheint in dem Feld "Bildgröße" (picture size). Es gibt etwa 128 Seitenverhältnisse, die sich statistisch als Signal vom Hintergrund abheben. Alle anderen Seitenverhältnise werden mit der Angabe Random gekennzeichnet. Besonders häufig vorkommende Seitenverhältnisse wie z. B. 4:3, die von Kamerasensoren verwendet werden, sind mit der Angabe Native (ungestaltet) gekennzeichnet. Die Gruppe der als Framed (gestaltet) gekennzeichneten Mediengestaltungen wird noch weiter differenziert in Framed, Square, Scaled, Social media und Featured. Featured bezieht sich auf einen von Google initierten Standard namens "Open Graph", mit dem Bilder markiert werden, die die Webseite insgesamt repräsentieren sollen. Man kann die Angabe zur Mediengestaltung vor allem für eine Stimmigkeitsprüfung benutzen. So sollte ein Bild mit dem Bearbeitungszustand "original" eigentlich immer das Mediendesign Native besitzen. Bei einem bearbeitetem Bild würde man das Mediendesign Framed erwarten, wohingegen Featured oder Social media mit dem Bearbeitungszustand "disseminated" korreliert. Wenn ein Bild überhaupt keine Anhaltpunkte besitzt, kann man die erkannte Mediengestaltung immerhin noch für eine grobe Einordnung benutzen.

  • Selbstextrahierende Archive in Form von Windows PE .exe-Dateien (sofern als Typ "sfx" identifiziert) werden jetzt, analog zu Zip, RAR und 7z, wie allgemeine ("General purpose") Archive behandelt, und ihre verschiedenen Sektionen werden angezeigt, wie auch eventuelle Zertifikate, falls signiert. Die PE-Sektion, deren Daten als eingebettetes Zip- oder RAR-Archiv interpretiert werden können, wird dann üblicherweise identifiziert und entsprechend verarbeitet.

  • Überarbeitete Aufbereitung von .evtx-Event-Log-Dateien. Einige Fehler wurden behoben. Vollständigere Abdeckung von Datentypen und Ausgabe des Namensattributs.

  • "Eingebettete Daten in diversen Dateitypen suchen" gibt jetzt alle in BPListen gefundenen Zeitstempel als eigenständigen Ereignistyp aus.

Dateisystem-Unterstützung

  • Unterstützung in NTFS für resident gespeicherte WofCompressed-Dateien.

  • Unterstützung für benannte, erweiterte Attribute in Ext4-Dateisystemen.

  • Verbesserte Behandlung bestimmter beschädigter Cluster-Ketten in FAT-Dateisystemen.

  • Wenn man zu Beginn einer Minimalsicherung von einer bereits geöffneten Partition einen neuen Datei-Überblick einlesen lässt, werden jetzt automatisch auch ein paar Sektoren vom Anfang der Partition mit übernommen, um die Identifizierung der gängigsten Dateisysteme in der Zielsicherung zu ermöglichen. Beachten Sie, dass es kein Muss ist, beim Befüllen einer Minimalsicherung überhaupt einen Datei-Überblick zu erstellen und dadurch alle essentiellen Dateisystem-Datenstrukturen in die Sicherung zu befördern. Das könnte leicht Hunderttausende oder Millionen Namen von Dateien und Verzeichnissen beinhalten, was für Ihre Zwecke notwendig und angemessen sein kann oder auch nicht. Wenn Sie z. B. bloß die Inhalte und einige Metadaten bestimmter Dateien in einem NTFS-Dateisystem benötigen, können Sie gezielt die FILE-Records und Inhalte dieser Dateien übertragen lassen, ohne die gesamte $MFT, und dank der Einbindung von Sektor 0 (dem Bootsektor) wird X-Ways Forensics später wissen, was das Dateisystem und die Clustergröße war und wird die FILE-Records mit einer besonders intensiven Dateisystem-Datenstruktursuche in der Minimalsicherung finden können (schnell dank Sparse-Speicherung) und wird die Speicherorte und Namen und Zeitstempel usw. dieser Dateien im Dateisystem ermitteln können.

  • Eine kleine Anzahl von Sektoren werden jetzt nicht mehr indirekt in Minimalsicherungen übernommen, wenn sie nur für interne Zwecke (z. B. um Schlupfbereiche zu identifizieren und hervorzuheben) gelesen wurden.

  • Datei-Inhalte mit sog. residenter Speicherung in $MFT in NTFS können optional aus einer Minimalsicherung getilgt (mit binären Nullen überschrieben) werden, wenn die $MFT-Datei beim Einlesen des Datei-Überblicks in eine Minimalsicherung übertragen wird. Die Wahl dieser Option liegt evtl. nahe, weil „normale“ (größere, nicht resident gespeicherte) Dateien natürlich auch nicht einfach so unbeabsichtigt in eine Minimalsicherung aufgenommen werden. Allerdings erfordert dies ein nachträgliches Redigieren der Daten innerhalb bestimmten Sektoren, was die berechneten Hash-Werte von in einem Rutsch übertragenen Sektor-Bereichen für die Sicherung ungültig bzw. nicht mehr nachvollziehbar macht. Als Kompromiss wird, wenn die Berechnung eines Hash-Werts aktiv ist, ein zweiter Hash-Wert erzeugt für die redigierten Sektoren, und ebenfalls in die .log-Datei aufgenommen, und dieser zweite Hash-Wert ist derjenige, den X-Ways Forensics zum Vergleich heranzieht, wenn Sie die Integrität einer Minimalsicherung überprüfen lassen. Residente Hauptdaten einer Datei und residente alternative Datenströme, die sich denselben FILE-Record als Speicherort teilen, erfahren die gleiche Behandlung.

  • Das Hinzufügen gewählter Dateien zu einer Minimalsicherung kopiert diese Dateien jetzt normalerweise ohne Schlupfbereiche, d. h. die Sektorzugriffe beschränken sich auf die logische Dateigröße.

  • Nachdem von einem Quell-Volume einer Minimalsicherung ein neuer Datei-Überblick erzeugt wurde, der alle relevanten Dateisystem-Datenstrukturen zur Identifikation aller Dateiinhalte enthält, wird jetzt automatisch angeboten, die Minimalsicherung in den Wartezustand zu versetzen, damit zukünftige wahllose Lesezugriffe keine weitere automatische Sicherung verursachen, was es Ihnen ermöglicht, danach beliebig mit Daten zu interagieren, im Verzeichnis-Browser zu navigieren, etc. Über den entsprechenden Befehl im Kontextmenü des Verzeichnis-Browsers können weiterhin jederzeit die Inhalte gewählter Dateien explizit in die Minimalsicherung kopiert werden.

BitLocker-Unterstützung

  • Falls ein passender Startup-Key für ein BitLocker-Volume in einer .BEK-Datei im Fallverzeichnis gefunden wurde, wird dies im Nachrichtenfenster gemeldet und die entsprechende Datei benannt und angegeben, wo sie gefunden wurde.

  • BitLocker-Partitionen, die X-Ways Forensics entschlüsseln kann, prüft es automatisch auch auf nicht verschlüsselte Bereiche. Solche Bereiche können vorhanden sein, wenn nur in Benutzung befindlicher Speicher verschlüsselt und neu geschrieben wurde, als BitLocker aktiviert wurde, z. B. um Zeit zu sparen oder weil die damit verbundenen Sicherheitseinbußen nicht verstanden wurden. Wenn diese Situation erkannt wird, empfiehlt X-Ways Forensics, Ihre Analysen auch im nicht entschlüsselten Zustand der Partition laufen zu lassen, so dass der BitLocker-Algorithmus zur Entschlüsselung also umgangen wird. Es könnte beispielsweise empfehlenswert sein, Suchbegriffe nicht nur in den Dateiinhalten des entschlüsselten Volumes, sondern zusätzlich auch in den nicht entschlüsselten Sektoren suchen zu lassen.

  • Für Asservate, die BitLocker-Volumes sind, die X-Ways Forensics entschlüsseln kann, gibt es jetzt einen neuen Kontextmenü-Befehl. Dieser ermöglicht, ein solches Volume zu öffnen, ohne die Daten in den Sektoren zu entschlüsseln, um die Daten tatsächlich so zu sehen, wie sie wirklich gespeichert sind. Sie könnten in diesem Zustand auch physische Suchen veranlassen, oder Dateien aus Sektoren ausgliedern, sowohl automatisch als auch manuell. Nicht verfügbar in X-Ways Investigator.

  • Die Datei-Header-Signatur-Suche kann zusätzlich und automatisch einen zweiten Durchlauf starten, direkt so auf den Daten, wie sie in einer von BitLocker geschützten Partition gespeichert sind. Entweder nur, wenn die Präsenz unverschlüsselter Bereiche von X-Ways Forensics selbst erkannt wurde (evtl. bloß Sekunden zuvor, während des normalen ersten Durchlaufs der Datei-Header-Signatur-Suche selbst!) oder, wenn voll gewählt, in einfach jeder BitLocker-Partition, die in ihrer entschlüsselten Form nach Datei-Header-Signaturen durchsucht wird, zusätzlich im Anschluss.

  • X-Ways Forensics merkt es sich für jede einzelne Datei, ob sie während einer inaktiven BitLocker-Entschlüsselung aus Sektoren ausgegliedert wurde (ob automatisch oder manuell!) oder nicht, so dass sie später korrekt gelesen werden kann, auch wenn die BitLocker-Entschlüsselung generell gerade aktiv ist. Die Beschreibungsspalte identifiziert solche Dateien. Wenn Sie mit einer entschlüsselten BitLocker-Partition arbeiten, zeigt das Hin- und Herwechseln zwischen den Modi Volume/Partition und Datei für solche Dateien offensichtliche Differenzen zwischen den Daten, die in den erstgenannten Modi durch den Entschlüsselungsalgorithmus geschickt werden (zu Unrecht, weil sie ja nicht verschlüsselt worden waren) und im Datei-Modus nicht.

Performanz und Stabilität

  • Deutlich beschleunigtes Laden sehr großer Passwords.txt-Dateien.

  • Die Passwort-Sammlung in Passwords.txt kann jetzt zum versuchten Öffnen von BitLocker-Volumes in mehreren Threads verwendet werden, für deutlich bessere Performanz.

  • Die interne Bildanzeigebibliothek wurde grundlegend überarbeitet.

  • Verschwendet keine Zeit mit unnötigen Dateisystemzugriffen oder dem Öffnen komprimierter Dateien, wenn ausgewählte Dateien in ein neues Hash-Set aufgenommen werden sollen und deren Hash-Werte direkt aus dem Datei-Überblick übernommen werden können.

Benutzeroberfläche

  • Die bereits in früheren Versionen verfügbare Option, Vermerke auf die nächste übergeordnete Datei zuzuweisen, hat jetzt einen (englischsprachigen) Tooltip, der auf die Funktionalität dieser Option hinweist: Es wird das nächste übergeordnete Objekt, das kein Verzeichnis ist, mit dem Vermerk ausgestattet. Verzeichnisse werden übergangen und in der Pfadhierarchie wird aufwärts gesucht, bis eine Datei gefunden wird. Gibt es in der Hierarchie eine solche Datei nicht, wird auch kein Vermerk vergeben.

  • Eine neue, verwandte Option wurde eingeführt, die die sog. ultimative Datei betrifft. Dies ist diejenige Datei, die in der übergeordneten Pfadhierarchie an der höchsten Stelle steht, also die allumfassendeste, übergeordnete Datei, die das aktuell gewählte Objekt enthält. Übergeordnete Verzeichnisse (in Datei- oder E-Mail-Archiven) können optional übersprungen werden. Falls nicht, gilt die letzte übergeordnete Datei vor dem ersten übergeordneten Verzeichnis als die ultimative Datei. Sollte keine übergeordnete Datei in der Hierarchie gefunden werden, wird das ausgewählte Objekt selbst mit dem Vermerk ausgestattet, sofern es eine Datei ist.

  • Eine weitere neue Option erlaubt das Zuweisen eines Vermerks auf alle übergeordneten Dateien, in einer Reihe, die von Verzeichnissen unterbrochen sein darf, oder auch nicht. Sie könnten dann beispielsweise später noch mit Hilfe des Typfilters entscheiden, welche davon Sie tatsächlich benötigen (z.B. E-Mails).

  • Eine neue Option ermöglicht die Zuweisung eines Vermerks zum direkten Elternobjekt einer gewählten Datei, egal, ob es sich dabei um eine Datei oder ein Verzeichnis handelt.

  • Das Dialogfenster für die Verwaltung der Vermerke wurde generell leicht überarbeitet.

  • Falls eine Datei für die Übernahme in den Fallbericht vorgesehen ist, weil sie einen Vermerk hat, der selbst wiederum als in den Fallbericht aufnehmbar gekennzeichnet ist, wird diese Datei jetzt mit einem speziellen Symbol in ihrer Namenszelle gekennzeichnet, wo auch ein gelbes Notizsymbol erscheint, wenn eine Datei einen Kommentar besitzt. Das Bericht-Symbol wird verblasst dargestellt, falls der Vermerk derzeit nicht für die Ausgabe in den Bericht ausgewählt ist.

  • Ausgeblendete Unterobjekte beim Drucken ebenfalls auszulassen ist jetzt optional.

  • Einige Symbole in der Benutzeroberfläche wurden überarbeitet, für die parallele Suche, das Kopieren extrahierten Texts, Minimalsicherungen und den Aufruf externer Programme.

Suchtreffer- und Ereignislisten

  • Der Filter für Suchtreffer erlaubt jetzt, genauer zu definieren, wo im Kontext eines Suchtreffers ein weiterer Suchbegriff erscheinen muss; wahlweise nur links oder nur rechts vom eigentlichen Suchtreffer, oder beides. Außerdem kann ein zusätzlicher Suchbegriff im Suchtreffer selbst verlangt werden. Dies kann nützlich sein, wenn die Daten des Suchtreffers variabel sind, weil kein fixer Suchbegriff, sondern ein regulärer Ausdruck verwendet wurde (z. B. für beliebige E-Mail-Adressen), oder weil Sie den Offset des Suchtreffers nach links oder rechts verschoben haben, um auch zugehörige Daten mit abzudecken, die mit exportiert werden sollen, etc.

  • Sowohl für Suchtreffer als auch für Ereignisse gibt es jetzt zwei getrennte Menübefehle um Einträge in den Bericht zu übernehmen, oder diese wieder zu entfernen. (Für Suchtreffer gab es hierfür bislang einen einzelnen Menübefehl, der zwischen diesen beiden Zuständen gewechselt hat.)

  • Ausgewählte Ereignisse aus allen gewählten Asservaten können jetzt im Fallbericht ausgegeben werden, gegen Ende, in der Reihenfolge, wie sie zuletzt in einer Ereignisliste verwendet wurde, z. B. in chronologischer Reihenfolge nach Zeitstempel sortiert. (Nicht in X-Ways Investigator.)

  • Die Beschreibung einzelner Ereignisse kann jetzt geändert oder nachträglich benutzerseitig definiert werden, über das Kontextmenü. (Ereignisbeschreibungen sind derzeit auf 255 Bytes in UTF-8 beschränkt.).

Verschiedenes

  • Fortschrittsbenachrichtigungen können jetzt optional in Unterverzeichnisse ausgegeben werden, die nach der Maschine benannt sind, auf denen die aktuelle Sitzung von X-Ways Forensics läuft, die diese Benachrichtigungen erzeugt.

  • ASCII-Ersatzmuster für nicht lesbare Sektoren auf fehlerhaften Datenträgern, bereinigte Sektoren in bereinigten Sicherungen, etc. werden jetzt mit einer vorangestellten UTF-8-Signatur geschrieben, damit die neueste Version der Viewer-Komponente diese Muster beim Einsehen oder in der Vorschau der betroffenen Dateien lesbar darstellt, sofern die Dateien nur aus solchem Text (mit phasenweise Nullbytes dazwischen) bestehen.

  • X-Tension API: Das Flag XT_PREPARE_TARGETFILESWITHUNKNOWNDATA erzwingt jetzt Aufrufe an XT_ProcessItem() und XT_ProcessItemEx() für Dateien mit nicht unterstützter Verschlüsselung oder Kompression.

  • Dateien in bestimmten beschädigten/unvollständigen Archiven können jetzt mit einer Größe von 0 Bytes geöffnet werden, statt bisher gar nicht. Dies bedeutet auch, dass die X-Tension API Funktion XT_ProcessItemEx() für diese Dateien Aufrufe mit (nutzlosen) Handles bekommen kann.

  • Die am 2. Nov. 2025 zuletzt mit Updates aktualisierte Version der Viewer-Komponente steht auf unserem Server zum Download zur Verfügung.

  • Die NSRL RDS Hash-Sets, in einem Format zum direkten Import in X-Ways Forensics, wurden auf die Version 2025.12.1 aktualisiert und stehen zum Download aus dem Resourcen-Verzeichnis, sowohl als MD5- als auch als SHA-1-Variante, zur Verfügung.

  • Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

  • Viele kleinere Verbesserungen.

Änderungen der Service-Releases von 21.6:

  • SR-1: Fähigkeit, eine seltene JPEG-Variante anzuzeigen.

  • SR-1: Die Unfähigkeit des ursprünglichen v21.6 Release, den gleichen Fall mit dem gleichen Nutzerkonto im arbeitsteiligen Modus zu mehr als einmal zu öffnen (beim zweiten Mal als das Alter Ego) wurde behoben.

  • SR-1: Die ausschließliche Verwendung von AND-Kombinationen erkannter Bildinhalte in der Bildinhaltsanalyse für die Kategorisierung als verdächtig hat nicht funktioniert, da diese Kombinationen verloren gingen. Dies wurde behoben.

  • SR-2: Eine in bestimmten Situationen beim Programmstart erscheinende, unnötige Fehlermeldung bezüglich der Erzeugung einer temporären Datei wurde vermieden.

  • SR-2: Das Statistikfenster für die Datendichte bzw. Kompression ist jetzt mit höherer Wahrscheinlichkeit auch auf Monitoren mit einer niedrigeren Bildauflösung im sichtbaren Fensterbereich.

  • SR-2: Ein Ausnahmefehler wurde behoben, der bei der gleichzeitigen Berechnung von ed2k und einem beliebigen, weiteren Hash-Wert aufgetreten ist (auch in v21.5 SR-10)

  • SR-2: Die automatische Dekrementierung der verbliebenen Programmstarts bei versicherten Dongles nach einem automatischen Programmneustart wurde behoben. (auch in v21.5 SR-10)

  • SR-2: Die Gerätetyp-abhängige Anwendung von OCR wurde in bestimmten Situationen korrigiert. (auch in v21.5 SR-10)

  • SR-3: Einfache Prüfsummen, byteweise mit einem Multi-Byte-Accumulator berechnet werden, werden jetzt wieder in umgekehrter Hex-ASCII-Byte-Anordnung dargestellt, wie in v21.4 und früher.

  • SR-3: Ein Ausnahmefehler wurde behoben, der in v21.6 beim Erzeugen eines neuen Datei-Containers auftreten konnte.

  • SR-3: Funktioniert mit mehr Tesseract-Versionen.

  • SR-3: Zu einer übergeordneten Datei per Doppelklick auf den Eintrag .. kann jetzt nicht mehr zu einem unerwünschten Einsehen der Datei führen.

  • SR-3: Unterstützung für die Prefetch Dateien aus Windows 11 24H2.

  • SR-3: Ein Fehler im Rückgängig-Befehl in v21.6 wurde behoben.

  • SR-3: Die Zeichenangleichung hat für die Indexierung in v21.6 nicht funktioniert. Dies wurde behoben.

  • SR-4: Die Dekompression bestimmter, nicht-residenter Dateien die WofCompressed gespeichert sind, wurde korrigiert.

  • SR-4: Unterstützung längerer Pfade und Dateinamen in der Funktion zur Fortschrittsbenachrichtigung.

  • SR-4: Ein Fehler in der nicht-alternativen Methode zur Extraktion von TAR-Archiven in v21.4 und später wurde behoben, der bei bestimmten TAR-Archiven auftreten konnte, die verschachtelte Archive enthalten.

  • SR-4: Ein Fehler wurde behoben, der dazu geführt hat, dass bestimmte E-Mails aus MBOX-Archiven mit einer Größe von 4 GB extrahiert wurden.

  • SR-4: Eine beim Einsatz mehrerer Threads evtl. mögliche Trennung des Präfix [XT] von der eigentlichen Meldung, die von einer X-Tension ausgegeben wurde, im Nachrichtenfenster wurde verhindert.

  • SR-5: Ein mögliches Stabilitätsproblem bei der massenhaften Bildverarbeitung wurde behoben.

  • SR-6: SHA-512 war als Hash-Verfahren für die Datenträgersicherung nicht verwendbar. Dies wurde behoben.

  • SR-6: Eine etwas genauere Darstellung des Existenz-Status gelöschter Dateien und Verzeichnisse in exFAT, deren erster Cluster unbekannt ist.

  • SR-6: Die Darstellung einzelner, seltener $I-Recyle-Bin-Dateien mit der v8.5.7 der Viewer-Komponente wurde korrigiert.

  • SR-6: Die Erkennung von BitLocker-to-go FAT16-Dateisystemen wurde korrigiert.

  • SR-6: X-Tension API: Die Flags XT_PREPARE_DONTOMIT und XT_PREPARE_TARGETFILESWITHUNKNOWNDATA, wenn kombiniert, setzen sich jetzt über die Option in der Nutzeroberfläche hinweg, Dateien auszulassen, deren erster Cluster nicht verfügbar ist.

Werden Sie zertifizierter Benutzer von X-Ways Forensics
Werden Sie X-PERTe. (X-Ways Professional in Evidence Recovery Techniques)

Beweisen Sie Ihre Fähigkeiten in der Computerforensik im Allgemeinen und mit X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm. Nach dem Bestehen der herausfordernden Prüfung werden Sie Teil einer exklusiven Gruppe und genießen neben der entsprechenden Anerkennung auch weitere einhergehende Vorteile, wie Schulungsrabatte oder Zugang zum aktualisierten Schulungsmaterial. Weitere Informationen zu unserer Zertifizierung finden Sie hier.

Wir hoffen, Sie bald wieder auf https://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

> Archiv des Jahres 2025 <

> Archiv des Jahres 2024 <

> Archiv des Jahres 2023 <

> Archiv des Jahres 2022 <

> Archiv des Jahres 2021 <

> Archiv des Jahres 2020 <

> Archiv des Jahres 2019 <

> Archiv des Jahres 2018 <

> Archiv des Jahres 2017 <

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archiv des Jahres 2000 <

X-Ways Software Technology AG  •  Jetzt bestellen  •  Treueprogramm  •   X-Ways bei Twitter!   X-Ways in Facebook!