X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#159: WinHex, X-Ways Forensics und X-Ways Investigator 19.7 veröffentlicht

27. August 2018

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.7. Erscheinungsdatum war der 19. August 2018. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Anstehende Schulungstermine

3.-6. September (!) Köln X-Ways Forensics
1.+2. Oktober Nürnberg X-Ways Forensics II

Wenn Sie über weitere Termine informiert werden möchten, können Sie hier Ihre E-Mail-Adresse hinterlassen. Aber besser wäre, sich schnell für die o. g. Termine anzumelden.


Was ist neu in v19.7?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateisystemunterstützung

  • Fähigkeit, die Datenstrukturen vieler APFS-Volumes zu parsen, um einen Dateiüberblick anzubieten.

  • Geklonte Dateien in APFS, von denen lediglich die Unterschiede zu ihren Originalen in eigenen Clustern gespeichert werden, werden mit einem griechischen Delta als Großbuchstabe in der Spalte Attr. gekennzeichnet.

  • Unterstützung für APFS-Zeitstempel im Daten-Dolmetscher und in den Schablonen ("APFSDateTime").

  • Es gibt jetzt auch für exFAT-Volumes eine gründliche Dateisystem-Datenstruktur-Suche.

  • Schutz gegen eine seltene Form von Datenkorruption in NTFS, bei der FILE-Records in der $MFT fehlplaziert werden.

  • Die Option, jeweils nur einen harten Verweis zu verarbeiten, hat jetzt auch dann Wirkung, wenn nur ausgewählte oder markierte Dateien verarbeitet werden.

Dateiformatunterstützung

  • Verschlüsselte Dokumente mit bekanntem Passwort können jetzt auch mit der FuzZyDoc-Hash-Datenbank abgeglichen werden.

  • Die Berichtstabelle "Scan" wird nicht mehr länger zur Identifikation von PDF-Dokumenten mit gescanntem Inhalt verwendet. Stattdessen wird für PDF-Dokumente, die als von einem Scanner erzeugt identifiziert werden, ab jetzt "Scanner" in der Gerätetyp-Spalte angezeigt.

  • Extraktion des Feldes mdtacom.apple.quicktime.location.ISO6709 aus iPhone-MOV-Dateien in die Metadaten-Spalte.

  • Identifikation von und Datei-Header-Signatur-Suche nach MP4s-Dateien, einem proprietären Überwachungsvideoformat.

  • Der Verlauf für Google Chrome zeigt jetzt für jede besuchte Webseite den Seitenübergang, was die Beurteilung erleichtert, ob der Besuch vom Benutzer veranlasst wurde oder von einer anderen Aktion wie z.B. einer Seitenumleitung. Die Dauer jedes Besuchs wird ebenfalls aufgeführt. Internet-Suchen, die aus der Chrome-Adresszeile gestartet wurden, werden in einer separaten Tabelle ausgegeben und ebenfalls zur Ereignisliste hinzugefügt.

  • Fähigkeit, SNSS Session-Dateien von Google Chrome (aktuelle/letzte Sitzung und aktuelle/letzte Tabs) bei der Metadaten-Extraktion auszuwerten. Die resultierende Sitzungsübersicht zeigt alle offenen Tabs mit ihrem jeweiligen Verlauf.

  • Die bisherige Ausgabe im Detail-Modus für Dateien vom Typ .automaticdestinations-ms wird ab jetzt im Vorschau-Modus angezeigt und auch für den Anzeigen-Befehl und beim Kopieren solcher Jump-List-Dateien für die Übernahme in den Bericht.

  • Die Erzeugung von Vorschaubildern für den Bericht wird jetzt unter anderem auch für Dateien dieser Typen unterstützt: lnk, flnk, TCP/UDP packets, NK2, DBX, Skype chat, WAB, change.log.1, info2, job, IconCache.db, Prefetch, shd, usnjrnl, eiurl, $I*, travellog, chrome1, automaticdestinations-ms.

  • Ein seltener Prüfsummenfehler bei der Ausgabe der Umwandlung zu Intel Hex wurde behoben.

  • Fähigkeit (z.B. für Suchbegriffe) von UTF-16 in diverse Indische Code-Pages umzuwandeln: ISCII Devanagari, Bengali, Tamil, Telugu, Assamese, Oriya, Kannada, Malayalam, Gujarati, Punjabi (Gurmukhi).

JPEG-Metadatenunterstützung

  • Irreguläre EXIF-Metadaten-Kodierungen, die der EXIF-Spezifikation zuwider laufen, werden jetzt mit einem Sternchen am Ende gekennzeichnet (manchmal zusätzlich mit Fettschrift).

  • "EXIF compliance" ist ein weiterer neuer aggregierter Einzelwert; ein Punktwert, der die Beurteilung erleichtert, ob ein qualitativ schlechtes Bildbearbeitungsprogramm zur Bearbeitung eingesetzt wurde. Ein guter Wert, den von Nikon- oder Canon-Kameras erzeugte JPEG-Bilder überlicherweise haben, wird nur von hochwertigen Bildbearbeitungsprogrammen weiterhin erhalten. Ein schlechter Wert für solche Bilder deutet auf Bearbeitung mit qualitativ minderwertiger Software hin. Irregulär kodierte Felder in den EXIF-Daten werden mit einem Stern gekennzeichnet. Irregulär könnte bedeuten, dass der falsche Datentyp verwendet wurde, oder die erlaubten Wertgrenzen überschritten wurden, oder Tags doppelt vorhanden sind, oder eine Zeichenkette nicht nullterminiert ist oder Schlupf beinhaltet. Einige Tags dürfen nicht gleichzeitig auftreten, andere müssen in einem festgelegten Verzeichnis gespeichert sein.

  • Ganz allgemein ist die EXIF-Darstellung nicht einfach eine unstrukturierte Ausgabe aller EXIF-Werte, sondern sie versucht, Hintergrundinformationen mitzuliefern und bestimmte Parameter in ihrem Kontext hervorzuheben, um Ermittler auf Ungereimtheiten hinzuweisen. Bereits in ihren Originaldateien erzeugen Digitalkameras charakteristische EXIF-Metadaten-Fehler. Durch die Bearbeitung werden evtl. weitere Fehler erzeugt oder andere behoben.

  • XMP-Metadaten-Extraktion überarbeitet. Neue und relevante Informationen werden zur Metadaten-Spalte hinzugefügt, redundante Informationen híngegen nicht. XMP enthält oft Informationen über die Zeitzone, die in den EXIF-Metadaten nicht enthalten ist.

  • Die Menge an Schlupfspeicher (Nullbytes) am Ende des EXIF-Segments wird im Detail-Modus angezeigt, falls derartiger Schlupf vorhanden ist. Ein solcher Bereich variabler Größe wird bespielsweise von iPhone 4 und iPhone 5 üblicherweise erzeugt, von iPhone 7 nicht. Falls der Schlupf auch nach einer Bildrotation erhalten bleibt, war die Rotation minimalinvasiv, ohne die Daten erneut zu komprimieren (d.h. ohne Qualitätsverlust). Wenn ein Bildbearbeitungsprogramm die JPEG-Daten hingegen neu schreibt, verschwindet dieser Schlupfbereich.

  • Die Zusammenfassung der internen Metadaten im Detail-Modus für JPEG-Dateien hat jetzt ein neues Feld namens "Light value". Dieser Wert wird von der in der Fotografie bekannten Formel Ev=log2(N**2/t)+log2(100/ISO) abgeleitet. Der Wertebereich endet bei ungefähr 16, was vollem Sonnenlicht entspricht. Dieser Aggregatwert könnte für einige Ermittler interessant sein, da er die Unterscheidung nach Innen- und Außenaufnahmen ermöglicht und weil man mit diesem Wert die Plausibilität der Lokalzeit eines Fotos prüfen kann.

  • Ein neuer Wert "Rotated" ist nun für das JPEG-Metadaten-Feld Condition möglich.

  • Ein neuer Gerätetyp "Printer" wird jetzt für JPEG-Dateien angezeigt, die zu Druckzwecken erzeugt wurden.

  • Firmware-Daten werden für iPhones und andere Apple-Geräte jetzt ebenfalls ausgegeben.

  • Die IMEI einiger (high-end) Samsung Galaxy Smartphones wird in den SEFT "trailing data" von JPEG-Dateien gespeichert, abhängig von den Einstellungen des Geräts, und wird jetzt, falls vorhanden, im Detail-Modus der SEFT-Datei angezeigt. Die SEFT-Datei wird von "Eingebettete Daten in diversen Dateitypen suchen" erzeugt.

  • Generator-Signaturen und Geräte-Alias-Tabelle wurden überarbeitet.

E-Mail

  • Extrahiert mehr interne Zeitstempel aus E-Mails in PST/OST-E-Mail-Archiven.

  • In dem (sehr seltenen) Fall, dass die Namen von E-Mail-Empfängern den vertikalen Strich ("pipe") enthalten, wurden solche Empfänger bei der Erweiterung des Datei-Überblicks bislang nicht korrekt als To:, Cc: oder Bcc: eingeordnet. Dies wurde behoben.

  • Neue Option für den Datei-Überblick, (bei der Extraktion von E-Mails) bestimmte RTF-formatierte E-Mail-Bodies aus Outlook-E-Mail-Archiven in normales UTF-8 umzuwandeln, um die erzeugten .eml-Dateien besser in externen E-Mail-Programmen darzustellen und um die alternative .eml-Vorschau zu ermöglichen.

Benutzeroberfläche

  • Beim Sortieren nach Zeitstempeln in einer der vielen Zeitstempel-Spalten kann es passieren, dass UTC-basierte Zeitstempel mit solchen verglichen werden müssen, die in einer undefinierten lokalen Zeitzone gespeichert sind, oder als in einer vom (X-Ways-)Nutzer festgelegten Zeitzone gespeichert interpretiert werden, um zu entscheiden, welcher früher und welcher später ist. Dies kann zum Beispiel im für Dateisystem-Zeitstempel im Asservat-Überblick passieren, wenn ein Asservat ein NTFS- und ein anderes ein FAT-Dateisystem enthält. Dies kann auch innerhalb desselben Asservats auftreten, beispielsweise beim Sortieren nach aus den Dateiinhalten extrahierten internen Erzeugungszeitstempeln, wie zum Beispiel bei gewöhnlichen EXIF-Zeitstempeln in JPEGs (die lokal sind) und GPS-Zeitstempeln in JPEGs (die in UTC gespeichert werden). Das Sortieren solcher Zeitstempel berücksichtigt jetzt, wie diese Zeitstempel dargestellt werden (in ursprünglicher lokaler Zeit oder in einer vom Nutzer definierten Anzeigezeitzone), womit die Reihenfolge mit den dargestellten Werten übereinstimmt, und nicht damit, wie die Zeitstempel intern gespeichert sind. Dies bedeutet beispielsweise, dass der lokale EXIF-Zeitstempel 2017-01-01 14:01 OZ *hinter* einem UTC-GPS-Zeitstempel 2017-01-01 14:00 +2 eingereiht wird, was korrekt ist, sofern die undefinierte lokale Zeitzone mit der Anzeigezeitzone (in diesem Beispiel UTC +2) identisch ist. Diese Reihenfolge kann natürlich auch falsch sein, da die unbekannte Zeitzone des lokal gespeicherten Erzeugungsdatum des Inhalts irgendwo östlich von UTC +2 sein könnte. Die Reihenfolge kann auch dann falsch sein, wenn die vom Nutzer festgelegte Referenzzeitzone für FAT-Dateisysteme falsch ist.

  • Die Zeitstempel-Spalte der Ereignisliste respektiert jetzt die vom Nutzer festgelegte Referenzzeitzone für Zeitstempel in Dateisystemen, die ihre Zeitstempel in lokaler Zeit speichern, und übersetzt diese Zeitstempel zur aktuellen Anzeigezeitzone entsprechend.

  • Fähigkeit, im IM-Detail-Modus zw. Ein- und Doppel-Spalten-Anzeige umzuschalten. Bei hinreichender Bildschirmauflösung und Fensterbreite kann man ohne Scrollen die gesamten internen Metadaten betrachten, da die Zusammenfassung rechts daneben angezeigt wird.

  • Option, den Daten-Dolmetscher mit einem gewissen Grad an Transparenz anzuzeigen. Der praktische Nutzen dieser Option ist noch zu entdecken. Sieht nur cooler aus.

  • Bei der Erweiterung eines bislang unbehandelten Datei-Überblicks wird ab jetzt auch die Option, direkt im Anschluss eine parallele Suche durchzuführen, mit gespeichert. Dies ist insbesondere in Verbindung mit der Ausführung von der Kommandozeile nützlich.

  • Ein neuer Kommandozeilenbefehl erlaubt das Laden einer Liste von Suchbegriffen: "LST" (=load search terms). Wenn gefolgt von einem Doppelpunkt und dem Namen oder vollständigen Pfad einer Textdatei mit einem Suchbegriff pro Zeile und wenn dies einem DÜE-Lauf mit implizit gestarteter paralleler Suche vorausgeht, werden diese Begriffe für diese Suche verwendet.

  • Beim Einsehen von Bildern mit der internen Bildbetrachtungsbibliothek ist das Anzeigefenster nicht länger maximiert, wenn das Bild zur Anzeige auf dem Schirm verkleinert werden muss, und Sie können jetzt entscheiden, diese Bilder, wie in bisherigen Versionen, auf dem Bildschirm zu zentrieren oder stattdessen deren obere linke Position oder die Position ihrer Mitte zu speichern, nachdem Sie sie auf dem Bildschirm verschoben haben. Um dies festzulegen, öffnen Sie das Systemmenü des Anzeigefensters (d.h. klicken Sie auf das Fenster-Icon oben links). Sie können außerdem festlegen, ob solche Anzeigefenster grundsätzlich im Vordergrund sein sollen, also auch vor den Fenstern anderer Anwendungen. Und zu guter Letzt können Sie auch die ungefähre Fenstergröße speichern lassen. Insbesondere nützlich in Verbindung mit den Optionen, die obere linke Position des Anzeigefensters speichern zu lassen, nur ein Anzeigefenster gleichzeitig zuzulassen, und das Anzeigefenster automatisch mit nur einem Klick auf eine Datei zu aktualisieren, womit Sie an einer von Ihnen definierten Stelle Ihres Bildschirms effektiv ein Vorschaufenster für Bilder haben, während die untere Hälfte des Datenfensters eine andere Darstellung als den Vorschau-Modus haben kann, z.B. den Detail-Modus.

  • Schablonen können jetzt UTF-16-Unicode-Zeichenketten mit nicht-lateinischen Zeichen darstellen und editieren.

  • Fähigkeit, über das Systemmenü des Schablonenfensters den Inhalt von Schablonen als Tabulator-getrennten Text in die Zwischenablage zu kopieren.

  • Fähigkeit, die Variablen einer Schablone als Einträge im Positions-Manager (entweder dem allgemeinen oder, falls das Datenfenster ein Asservat repräsentiert, dem Positions-Manager des Asservats) anzuzeigen. Dies bedeutet auch, dass die entsprechenden Werte direkt in der Hex-Darstellung optisch hervorgehoben und mit erläuternden Tool-Tips ausgestattet werden. Der Befehl hierfür kann ebenfalls im Systemmenü des Schablonenfensters gefunden werden.

  • Das normale Schablonenfenster kann optional komplett übersprungen und die Einträge im Positions-Manager direkt erzeugt werden, wenn Sie beim Anwenden der Schablone die Umschalttaste gedrückt halten.

  • Fähigkeit, Text auch dann als UTF-16 Unicode in die Zwischenablage zu kopieren, wenn die Textspalte kein UTF-16 Unicode anzeigt, über das Hauptmenü. Fähigkeit, Daten in die Zwischenablage als ANSI-Zeichen zu kopieren, selbst wenn die Textspalte UTF-16 Unicode anzeigt.

  • Strg+Umschalt+Entf entfernt jetzt die "Duplikate gefunden" Kennzeichnung von den ausgewählten Dateien, zusätzlich zur Entfernung aller Arten von Hash-Set-Treffern.

  • Die Suchtreffer-Kontextvorschau in Suchtrefferlisten kann über das Kontextmenü jetzt aktiviert bzw. deaktiviert werden.

Unterstützung für Datenträger(-sicherungen)

  • Kann jetzt bis zu 128 physische Datenträger in Windows ansprechen, statt wie bisher 64 (diejenigen mit Nummern 0 bis 127).

  • Wenn die erste Leseoperation bei der Erzeugung einer Minimalsicherung von einem Datenfenster ausgelöst wird, das eine Partition repräsentiert, die über die übergeordnete physische Platte geöffnet wurde, wird die Minimalsicherung ein Partitions-/Volume-Image statt einem kompletten Disk-Image, im Unterschied zu früheren Versionen. Leseoperationen in anderen Datenfenstern (die den umgebenden physischen Datenträger oder dessen andere Partitionen repräsentieren) haben auf die Minimalsicherung keinen Einfluss.

  • Unterstützung für ein neues Format des Erstelldatums in bestimmten von Drittprogrammen erzeugten .e01-Evidence-Files.

X-Tensions API

  • Die Funktion XWF_GetCaseProp kann jetzt dazu verwendet werden, Erzeugungszeitstempel und interne ID des aktuellen Falles abzufragen. XWF_GetVSProp kann jetzt zur Festlegung der Hash-Typen eines Datei-Überblicks verwendet werden.

  • Die X-Tension-Funktion XWF_GetHashValue hat jetzt die Fähigkeit, gleichzeitig den primären und den sekundären Hash-Wert abzufragen, und sie hat jetzt die Fähigkeit, die gewünschten Hash-Werte berechnen zu lassen, falls diese noch nicht im Datei-Überblick gespeichert sind.

  • Fragt den Nutzer, ob sture C# X-Tension-DLLs, die nicht einfach entladen werden können, nach ihrer Ausführung zum Schließen gezwungen werden sollen. Programierer, die ihre eigenen X-Tensions debuggen wollen, ziehen dies evtl. vor, aber offenbar kann dies die nochmalige Verwendung derselben DLL in derselben Sitzung von X-Ways Forensics verhindern, weshalb normale Nutzer vermutlich besser Nein wählen sollten.

Diverses

  • Die Passwort-Sammlung für neu erzeugte Fälle wird jetzt mit der allgemeinen Passwort-Sammlung initialisiert. Die allgemeine Passwort-Sammlung kann zur Bearbeitung jetzt von Optionen | Sicherheit geöffnet werden. Die Passwort-Sammlung eines Falles wird für verschlüsselte Archive und verschlüsselte Dokumente verwendet, wann immer der Fall geladen ist.

  • Beim Importieren von Hash-Werten aus Project Vic wird der Nutzer jetzt gefragt, ob die US-amerikanischen oder die kanadischen Standardkategorien voreingestellt sein sollten.

  • Ein Import-Problem mit bestimmten an unerwarteten Stellen auftretenden Leerzeichen in Project Vic JSON-Dateien wurde gelöst.

  • Beim Füllen von Blöcken/Dateien/Datenträgern mit konstanten Hex-Werten werden jetzt bis zu 16 zweistellige Hex-Werte akzeptiert.

  • Einige Stabilitätsverbesserungen.

  • Unzählige kleinere Verbesserungen.

  • Benutzerhandbuch und Programmhilfe für v19.7 aktualisiert.

  • Oracle hat einige Korrekturen für die Viewer-Komponente zur Verfügung gestellt, insbesondere zur Darstellung von PDF-Dateien und um einige Sicherheitsprobleme zu adressieren (keine genaueren Angaben verfügbar).


Änderungen der Service-Releases von v19.6

  • SR-1: Inkompatible Teile von .settings-Dateien von v19.5 werden nicht mehr geladen.

  • SR-1: Verwendet eingebettete Vorschaubilder mit Typ-Status "nicht bestätigt" nicht mehr als Miniaturansichten in der Galerie.

  • SR-2: Ändert den Wert der Option "Store .e01 metadata for fast re-open" automatisch von voll auf halb ausgewählt, wenn festgestellt wird, dass der Datenträger bzw. das Volume, das das Image enthält, schreibgeschützt ist.

  • SR-2: Ein Problem bei der Ermittlung der Größe von Asservaten, die Dateien oder Verzeichnisse sind, wurde behoben.

  • SR-2: Fähigkeit, mehrere einzelne Dateien, die im selben Verzeichnis gespeichert sind, zum selbgen Fall als Asservate hinzuzufügen. Frühere Versionen können Fälle mit Einzeldatei-Asservaten, die in v19.6 SR-2 gespeichert wurden, nicht öffnen.

  • SR-2: Fähigkeit, bestimmte Windows-Thumbcaches mit einer ungewöhnlichen Signatur-Variante zu verarbeiten.

  • SR-2: Beim Einsehen von Bildern mit der internen Bildbetrachtungsbibliothek sind die erzeugten Fenster jetzt garantiert im Vordergrund, selbst wenn die Galerie-Ansicht vom Datenfenster abgekoppelt wurde.

  • SR-2: Das sichere Überschreiben von ausgewählten Dateien auf logischen Laufwerksbuchstaben ist mit einer Fehlermeldung gescheitert. Dies wurde behoben. (Bei Anwendung auf die entsprechende Partition des physischen Datenträgers hat es normal funktioniert.)

  • SR-2: Korrekte Identifikation des SQLite-Datenbank-Subtyps in einigen raren Fällen, in denen dies nicht bereits passiert ist.

  • SR-2: Ein Ausnahmefehler wurde behoben, der beim Speichern des Falles mit einem neuen Namen auftreten konnte, wenn der Asservat-Überblick offen war.

  • SR-2: Fähigkeit, verschlüsselte Dateien in bestimmten Dateiarchiven zu entschlüsseln, bei denen das bisher nicht möglich war.

  • SR-3: Eine potentielle Quelle für Stabilitätsprobleme bei der Befüllung der Galerie mit mehreren Threads in der x64-Ausführung wurde behoben.

  • SR-3: Die Unfähigkeit, Dateien in bestimmten GZ-Archiven mehr als einmal zu öffnen, während das Asservat geöffnet war, wurde behoben.

  • SR-3: Ein seltener Ausnahmefehler wurde behoben, der am Anfang der DÜE-Phase "Untersuche Dateien" in Ext*-Dateisystemen auftreten konnte.

  • SR-3: Ein Fehler wurde behoben, der das Speichern von performanzverbessernden Image-Metadaten in einigen seltenen Konfigurationen verhindern konnte.

  • SR-3: Ein Fehler beim Carven von TIFF-Dateien wurde behoben.

  • SR-3: Ein Problem mit weißem Text auf weißem Hintergrund im Verzeichnis-Browser wurde behoben, das bei der Verwendung der bedingten Zelleinfärbung auftreten konnte.

  • SR-3: Für manche Spalten haben die FlexFilter nie ein Ergebnis geliefert. Dies wurde behoben.

  • SR-3: Bei der Benennung von wiederhergestellten/kopierten Dateien nach einer ausgewählten Spalte wird die Dateierweiterung des aktuellen Dateinamens im Datei-Überblick nicht länger an den alternativen Namen angehängt.

  • SR-4: Der RunCount für Windows 8 Prefetch-Dateien wurde im Detail-Modus korrekt angezeigt, aber nicht in der Metadaten-Spalte. Dies wurde behoben.

  • SR-4: Der Inhalt der Metadaten-Spalte wird jetzt immer im Detail-Modus angezeigt, falls er Einträge enthält, die als nutzerdefiniert gekennzeichnet oder von X-Tensions erzeugt sind. Es wird empfohlen, dass Nutzer ihre manuellen Zusätze mit ihren Initialen in eckigen Klammern kennzeichnen und dass X-Tensions ihre Zusätze mit [XT] kenntlich machen, damit diese als solches erkennbar sind. Beliebige ein bis vier Zeichen in eckigen Klammern haben den beschriebenen Effekt.

  • SR-4: Ein Ausnahmefehler ist in v19.6 beim Öffnen von Laufwerksbuchstaben ohne Sektor-Level-Zugriff aufgetreten. Dies wurde behoben.

  • SR-4: Die Deckblatt-Vorschau beim Drucken mehrerer ausgewählter Dateien gleichzeitig wurde nicht aktualisiert. Dies wurde behoben.

  • SR-4: Extraktion RTF-formatierter E-Mail-Bodies aus PST/OST-E-Mail-Archiven in Fällen, in denen kein alternativer HTML- oder Plain-Text-E-Mail-Body verfügbar ist.

  • SR-4: Ein Ausnahmefehler wurde verhindert, der bei der Extraktion von Metadaten aus der Samsung-Variante von JPEG Trailing Data auftreten konnte.

  • SR-4: Eine neue Option in Optionen | Datei-Überblick erlaubt es den Empfängern von Datei-Containern zu bestätigen, dass sie die exakt gleiche PhotoDNA-Hash-Datenbank verwenden wie der Erzeuger des Containers, damit alle den Dateien ggf. zugewiesenen PhotoDNA-Kategorien (die im Container lediglich als Kategorie-Nummern gespeichert sind) mit dem entsprechenden Kategorie-Namen in der aktuellen PhotoDNA-Hash-Datenbank des Nutzers angezeigt werden. Wenn diese Option nicht gewählt ist, werden dem Empfänger nur die Original-Kategorie-Nummern aus der Datenbank des Container-Erzeugers angezeigt, keine Kategorie-Bezeichnungen.

  • SR-5: Ein möglicher Ausnahmefehler wurde behoben, der mit gecarvten oder defekten Dateien aus Outlook 2011 für Mac auftreten konnte.

  • SR-5: Verbesserte Stabilität bei der Extraktion von Thunderbird Index-Datenbanken.

  • SR-5: Zeigt vorausgegangene Besuche bei einer Webseite aus dem Chrome-Verlauf zusätzlich zum letzten, auch als Ereignisse, und die Dauer jedes Besuchs.

  • SR-5: Verhindert die Einfügung eines störenden Zeilenumbruchs beim Exportieren von Dateilisten mit Generator-Signaturen.

  • SR-5: Eine mögliche Endlosschleife mit JPEG-Dateien, die von Galaxy S3 Mini VE Smartphones erzeugt wurden, wurde behoben.

  • SR-6: Die Extraktion von E-Mails aus MBOX-E-Mail-Archiven in v19.6 ohne .eml-Dateierweiterung im Namen wurde behoben.

  • SR-6: Ein seltener Fehler wurde behoben, bei dem bestimmte Namen von Dateianhängen in Original-.eml-Dateien und ein paar anderen Formaten abgeschnitten sein konnten, wenn diese in Quoted Printable kodiert waren.

  • SR-6: Falls eine logische Suche in verschlüsselten/geschützten PDF-Dokumenten unter Verwendung der Option zur absturzsicheren Dekodierung gestartet wurde, ohne vorher auf Verschlüsselung geprüft zu haben, war die Suche ergebnislos, selbst wenn das korrekte Passwort angegeben war. Dies wurde behoben.

  • SR-7: X-Tension API: Die Funktion XWF_CreateEvObj gab beim Aufruf für Asservate der Typen 0, 3 und 4 Handles zu den falschen Asservaten zurück. Dies wurde behoben.

  • SR-7: Fallbericht: Unter bestimmten Umständen wurden Miniaturansichten von Bildern erzeugt, als seien diese Nicht-Bilder (z.B. Dokumente). Dies wurde behoben.

  • SR-7: Ein möglicher Absturz beim Extrahieren von Metadaten aus MP3-Dateien, die einen ID3-Tag mit inkompatiblem GEOB-Eintrag enthalten, wurde verhindert.

  • SR-7: Extraktion von Änderungszeitstempeln aus TAR-Archiven mit bestimmten nicht-standardmäßiger Kodierung mit der alternativen Extraktionsmethode.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

#158: WinHex, X-Ways Forensics und X-Ways Investigator 19.6 veröffentlicht

12. März 2018

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.6. Erscheinungsdatum war der 9. März 2018. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Was ist neu in v19.6?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateityp-Unterstützung

  • Eine neue Spalte im Verzeichnis-Browser in X-Ways Forensics und X-Ways Investigator namens „Gerätetyp“ wurde eingeführt. Diese füllt sich bei der Metadaten-Extraktion. Die Spalte zeigt, welche Art von Gerät eine gegebene JPEG-Datei erzeugt hat. Das kann die Hauptkamera eines Smartphones sein oder die Zweit-/Frontkamera, eine Kompaktkamera, eine Spiegelreflexkamera, eine Webcam o. ä. Diese Information wird aus der Generator-Signatur abgeleitet. Die Spalte ist auch mit einem Filter ausgestattet. Das Filtern nach dem Gerätetyp kann nützlich sein, wenn Sie z. B. nach eher privaten Fotos fahnden (Selfies, die mit der Frontkamera eines Smartphones aufgenommen wurden) oder nach eher professionellen Fotos (Spiegelreflexkamera oder digitale Kamerarückwand) o. ä.

  • Eingescannte Bilder wurden bisher über eine Berichtstabellen-Verknüpfung als solche identifiziert. Das ist jetzt nicht mehr der Fall. Daß solche Bilder von einem Scanner erzeugt wurden, kann man nun ebenfalls der zuvor genannten Spalte „Gerätetyp“ entnehmen.

  • Bilder, die als Bildschirmfotos erkannt wurden, bekommen nun den Gerätetyp Bildschirm (Screen) zugeordnet. Dieser Gerätetyp kann auch vergeben werden für Bilder, die speziell auf typische Display-Auflösungen zugeschnitten zu sein scheinen, wie etwa Bildschirmhintergründe.

  • Der GPS-Verarbeitungsmodus, sofern in einer JPEG-Datei gespeichert, wird nun im Details-Modus angezeigt. Dieser Modus erlaubt es, die Verläßlichkeit und Präzision der Koordinaten besser einzuschätzen. Er wird von mehreren Herstellern gespeichert und kann einer der folgenden Werte sein: Unknown, GPS, Network, Hybrid, Fused oder CELLID.

  • Ein neuer Eintrag namens Geolocation in den extrahierten Metadaten und im Details-Modus zeigt die GPS-Koordinaten nun in einer Schreibweise an, wie sie von Google Maps, OpenStreetMap und Bing Maps akzeptiert wird. Diese ersetzt auch die früheren Felder Latitude und Longitude in der Metadaten-Spalte und ist für eine etwaige automatische Weiterverarbeitung geeigneter.

  • Drei weitere Felder für Exif-GPS-Daten werden nun im Details-Modus ausgegeben, sofern verfügbar: Altitude, Image-Direction und GPS-Error. Die Höhe (Altitude) kann hilfreich sein beim Einschätzen der Verläßlichkeite von Geokoordinaten. Image-Direction ist ein Funktionsmerkmal von Smartphones der Spitzenklasse.

  • Wenn am Vorhandensein von GPS-Koordinaten in JPEG-Bildern etwas ungewöhnlich ist, werden diese Koordinaten nun in blauer Farbe hervorgehoben. Wenn z. B. GPS-Koordinaten verfügbar sind und ein GPS-Zeitstempel nicht, bei einem Gerätemodell, das dafür bekannt ist, immer beide Angaben zusammen abzuspeichern  (was manchmal davon abhängt, ob die Haupt- oder die Frontkamera verwendet wird), oder wenn angeblich von einem Gerätemodell, von dem gar nicht bekannt ist, daß es über GPS verfügt, GPS-Daten gespeichert wurden, dann sträuben sich bei X-Ways Forensics die virtuellen Nackenhaare, weil es sein könnte, daß die Koordinaten nachträglich eingefügt wurde. GPS-Zeitstempel, die vom Aufnahmezeitstempel des Fotos abweichen, werden auch in blauer Farbe hervorgehoben.

  • Eine neue Datei namens PhoneAliasTable.txt enthält Übersetzungen von internen Modellbezeichnungen in menschenlesbare Marketingnamen. Insbes. interne Bezeichnungen von Samsung, Motorola, LG und Huawei sind eher kryptisch und nach Übersetzung besser verständlich. Diese Tabelle kann auch das Veröffentlichungsdatum und die Vertriebsregion enthalten. Die Tabelle ist derzeit noch relativ spärlich besetzt, aber ihr Format wird im Kopf der Datei erklärt, so daß Benutzer bei ihrer Vervollständigung helfen können.

  • Der Details-Modus zeigt nun Firmware-Datum und -Region an für JPEG-Dateien, die von diversen Mobiltelefonmodellen von Samsung erzeugt wurden, was der Validierung anderer Metadaten dienlich ist.

  • Die Tabelle, die auf Generator-Signaturen basierend zur Validierung von Exif-Daten eingesetzt wird, unterstützt nun mehr als 11.000 Geräte (wobei dabei Frontkameras von Smartphone selbst als Geräte gezählt werden).

  • Die von neueren Sony-Geräten in Dateien abgespeicherte Zeitzone kann nun extrahiert werden.

  • Twitter-Zeitstempel in JPEG-Dateien werden nun erkannt und in der Spalte „Erzeugung des Inhalts“ ausgegeben.

  • Allgemeine Verbesserung der Extraktion von Inhaltserzeugungszeitstempeln aus JPEG-Dateien.

  • Automatische Entfernung von Fülldaten, die diverse Digitalkameramodelle zwischen zwei Miniaturansichten in JPEG-Dateien einfügen. Diese wurden vormals als Teil der Daten der zweiten Miniaturansicht ausgegeben, was eine direkte Anzeige verhinderte.

  • Für PNG-Dateien wird nun als Teil der Metadaten-Extraktion ebenfalls eine Generator-Signatur ausgegeben, um PNG-Dateien kenntlich zu machen, die wahrscheinlich aus derselben Quelle stammen, und zu Erkennung von PNG-Dateien, die Bildschirmfotos sind.

  • Erkennung des erzeugenden Gerätetyps für einige PNG-Dateien sowie Anzeige in der neuen Spalte.

  • Verbesserte Erkennung von PNG-Bildschirmfotos von alten Mobiltelefonen.

  • Unterstützung von netusage.sqlite-Dateien von iOS, in denen der Datenverbrauch von Apps festgehalten wird. Zusätzlich zu der Menge an aus- und eingehenden Daten in Form einer HTML-Vorschau werden auch ungefähre Zeitstempel der ersten und letzten Benutzung von Apps in Form von Ereignissen ausgegeben.

  • Verbesserte Stabilität bei der Verarbeitung von EVTX-Dateien..

  • Unterstützt eine neue Formatvariante in bestimmten Registry-Werten von Windows 10.

Bildanzeige

  • Wenn Bilder im Vorschau-Modus von der internen Grafikanzeigebibliothek angezeigt werden, nicht von der separaten Viewer-Komponente, dann können sie 90°-Schritten gedreht werden, durch Klick mit der linken Maustaste nach links und mit der rechten Maustaste nach rechts.

  • Fotos, die von Smartphones und Digitalkameras bestimmter großer Hersteller im Hochformat aufgenommen wurden, werden dennoch im Querformat gespeichert und müssen zum Zeitpunkt der Anzeige entweder nach links oder rechts gedreht werden, damit sie korrekt ausgerichtet sind. Sowohl der Vorschaumodus als auch der Einsehen-Befehl erledigen das nun automatisch, nur bei Einsatz der internen Grafikanzeigebibliothek, nicht mit der Viewer-Komponente. Die Galerie paßt die Ausrichtung jetzt ebenfalls automatisch an (nicht bei ersatzweise verwendeten Miniaturansichten).

  • Ein Klick mit der mittleren Maustaste im Vorschaumodus auf ein von der internen Grafikbibliothek dargestelltes Bild spiegelt dieses Bild (d. h. vertauscht links und rechts) oder (wenn der Umschalttaste dabei gedrückt ist) kehrt das Bild vertikal um (d. h. vertauscht oben und unten). Bitte beachten Sie, daß diese Operation zusätzlich zu einer etwaigen aktiven Drehung angewandt wird.

  • Eine etwaige aktuell aktive Drehung und eine etwaige aktuell aktive Spiegelung werden in Form von einigen Symbolen in der oberen rechten Ecke angedeutet. Wenn keine Spiegelung angewandt wird, aber eine Drehung, zeigen zusätzlich die Buchstaben "UR" an, was in den Originalgrafikdaten die untere rechte Ecke war.

  • Fähigkeit, einige seltene PNG-Dateien mit ungültiger Zlib-Kompression als Bild darzustellen.

Benutzeroberfläche

  • Video-Dateien, Audio-Dateien, Office-Dokumente und reine Textdateien können nun optional mit speziellen Icons dargestellt werden, genau wie zuvor nur Bild-Dateien. Sie können die speziellen Icons einzlen für jede Kategorie im Dialogfenster mit den Verzeichnis-Browser-Optionen ein- und ausschalten.

  • Viele zusätzliche Icons in der Benutzeroberfläche, insbes. für die Modus-Schalter und für externe Programme.

  • Ein geschlossener Briefumschlag dient nun als Icons für E-Mails, die nicht den Status „bereits gelesen“ aufweisen.

  • Ein Rechtsklick irgendwo in der Leiste mit den Modusschaltern außerhalb der Schalter zeigt oder versteckt nun die Trennlinie zwischen Verzeichnis-Browser und Schalterleiste. Wenn die Trennlinie sichtbar ist, ist sie nun etwas dicker als früher und kann bei hohen DPI-Einstellungen leichter mit dem Mauszeiger angesteuert und nach oben oder unten verschoben werden. Ungeachtet der Sichtbarkeit der Trennlinie kann man die Fensterunterteilung nun auch einfach nach einem Linksklick in der Leiste mit den Modusschaltern (außerhalb der Schalter) bei gedrücktgehaltener Maustaste verschieben. Ohne die Trennlinie ist es etwas intuitiver, daß sich die rechte Hälfte der Leiste mit den Modusschaltern auf den Verzeichnis-Browser darüber bezieht und nur die linke Hälfte der Leiste auf die untere Hälfte des Datenfensters.

  • Verbesserte Unterstützung für hohe DPI-Einstellungen allgemein.

  • Die Höhe des Dialogfensters mit den Verzeichnis-Browser-Optionen wird nun automatisch so weit vergrößert, wie es die vertikale Auflösung des Hauptbildschirms ergibt und wie es erforderlich ist, um so viele Spaltenbezeichnungen wie möglich auf einen Blick sichtbar zu machen, so daß auch der Rollbalken rechts idealerweise gar nicht benötigt wird.

  • Option einer Rückfrage für jede Datei beim Drucken mitsamt Unterobjekten.

  • Option, nur nicht-leere Felder eines Deckblatts auszugeben.

Performanz

  • Möglichkeit, die Galerie mit mehreren Threads schneller aufzubauen. Das macht den größten Unterschied bei JPEG-Dateien mit hoher Auflösung, deren etwaige eingebettete Miniaturansichten entweder noch nicht in den Datei-Überblick aufgenommen wurden oder die generell nicht als Ersatz für die Hauptdatei in der Galerie zum Einsatz kommen, weil für solch hochaufgelösten JPEG-Bilder die Dekompression am rechenintensivsten ist.

  • Accelerated volume snapshot finalization for large snapshots with many directories in "Path unknown".

  • Ability to refine volume snapshots on storage devices with sector wise access using multiple threads just like on images and in directories.

  • Fähigkeit, große .e01-Evidence-Files nach dem ersten Mal schneller zu öffnen, indem einige interne Image-Metadaten zur Navigation in einer separaten Datei gespeichert werden. Das kann einen großen Unterschied machen, wenn das Image auf einem Datenträger mit langsamem Zugriff gespeichert ist, insbes. auf einem Netzlaufwerk. Diese Funktion wurde bei Optionen | Sicherheit untergebracht, da dort auch alle anderen .e01-Options zu finden sind. Wenn die Option voll gewählt ist, wird die separate Datei im selben Verzeichnis wie das Image selbst gespeichert, so daß auch andere Fälle / andere Benutzer sofort in den Genuß des schnelleren Öffnens kommen, wenn die separate Datei bereits zuvor erzeugt wurde. Wenn nur halb gewählt, wird die separate Datei im internen Metadaten-Verzeichnis des Asservats im aktuellen Fall gespeichert und ist folglich nur in dem Fall wirksam.

    Einige unserer Benutzer schützen nicht nur die Originaldatenträger von Beschuldigten vor versehentlicher Datenänderung, -löschung und -beschädigung durch einen Schreib-Blocker, sondern auch ihre eigenen Datenträger, wenn diese Sicherungen (Images) enthalten, und maximieren dadurch auch den Umsatz der Hersteller von Hardware-Write-Blockern. Diesen Benutzern muß aus offensichtlichen Gründen empfohlen werden, die o. g. Option nur halb zu wählen. Und sie seien hiermit daran erinnert, daß Schreib-Blocker das korrekte vorgesehene Funktionieren von Betriebssystem und Anwendungsprogrammen torpedieren, weil sie fälschlicherweise Schreiberfolge signalisieren