Bestellung, Preise:
  Lizenzkauf online
 
  Lizenzen upgraden
 
Produkte
 
X-Ways Forensics X-Ways Forensics
Integrierte Forensik-Software
 
X-Ways Investigator X-Ways Investigator
Ermittler-Version v. X-Ways Forensics
 
Näheres zu WinHex WinHex
  Lizenztypen
  Upgrade
  Forensische Features
  Alle Features
 
Näheres zu X-Ways Imager X-Ways Imager
Disk-Imaging
 
Näheres zu X-Ways Capture X-Ways Capture
EDV-Beweissicherung
 
Näheres zu X-Ways Trace X-Ways Trace
Benutzer-Aktivität
 
Näheres zu Davory Davory
Datenrettung
 
Näheres zu X-Ways Security X-Ways Security
Datenlöschung
 
Dienstleistungen
 
Schulungsangebot
 

 
Kontakt zu X-Ways Kontakt
Benutzer-Forum
 
Die X-Ways AG Die X-Ways AG
X-Ways in Facebook X-Ways in Facebook
  X-Ways Software Technology AG
English
 
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

  
#138: WinHex, X-Ways Forensics und X-Ways Investigator 17.6 veröffentlicht

26. Mrz. 2014

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten Verbesserungen, die Version 17.6.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Schulungen

Bonn, 7.-10. April 2014
Weitere Informationen


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Was ist neu in v17.6?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Dateityp-Unterstützung

  • Dateityp-Erkennung und -Kategorisierung stark überarbeitet.

  • Neue Metadaten-Extraktionsfunktion, die die Wiederherstellung ursprünglicher Dateisystem-Metadaten (wie etwa Dateinamen oder Zeitstempel) ermöglicht, wenn diese in bestimmten Dateitypen wie z. B. $I*-Papierkorb-Dateien oder in Mobile-Sync-Backup-Indexes (Manifest.mbdx) von iPhones gefunden werden. Die Original-Dateinamen sind üblicherweise deutlich aussagekräftiger als die zufälligen Namen, die lediglich zugewiesen werden, um in einem einzigen Verzeichnis zu Backup-Zwecken Eindeutigkeit zu garantieren. Beispiele solcher zufälligen Namen sind 3a1c41282f45f5f1d1f27a1d14328c0ac49ad5ae (für eine Datei in einem iPhone-Backup) oder $RAE2PBF.jpg (Windows Papierkorb). Unterstützung für weitere Dateitypen wird folgen. Der aktuelle Dateiname laut Dateisystem ist nicht völlig verloren; er wird in eckigen Klammern in der Namensspalte weiterhin angezeigt, wie auch im Detail-Modus, und der Namensfilter findet bequemerweise sowohl den ursprünglichen als auch den aktuellen Namen.

  • Verbesserte Fähigkeit, Vorschaubilder in Thumbcaches von Windows zu suchen. Der Vorgang ist jetzt schneller und erzeugt weniger redundante Vorschaubilder, insbesondere für Installationen von Windows 8 und 8.1 (nur die höchste Auflösung für ein Set von Vorschaubildern desselben Bildes wird ausgegeben). Die neue Methode wird bei der Anwendung auf thumbcache_idx.db-Dateien (die dann wiederum auf die entsprechenden thumbcache*.db-Dateien verweisen) über die angegebene Maske verwendet und nicht auf die thumbcache*.db-Dateien direkt wie in früheren Versionen von X-Ways Forensics.

  • Unterstützung für eine Variante der thumbs.db-Dateien, die in bestimmten Situationen in Windows 7 auftreten können.

  • Performanz bei der Suche nach Vorschaubildern in großen JPEG-Dateien verbessert.

  • Fähigkeit, die eingebetteten Dateien aus Photoshop Vorschaubild-Caches (Adobe Bridge Cache.bc), Canon ZoomBrowser Vorschaubild-Sammlungen (.info) und Paint Shop Pro Caches (.jbf) zu extrahieren.

  • Fähigkeit, die eingebetteten Bilder aus den Caches von Googles Picasa 3 Bild-Organsations- und Betrachtungsprogramm (thumbindex.db und verwandte Dateien) zu extrahieren.

  • Ereignis-Extraktion aus Picasa 3.

  • Metadaten-Extraktion aus IconCache.db-Dateien. Wichtige Windows-Artefakte, die die Ausführung von Programmen belegen können, beispielsweise bei Untersuchungen von Schadprogrammen.

  • Extraktion forensisch wertvoller Metadaten aus PhotoShop PSD- und INDD-Dateien (Adobe InDesign).

  • Interne Signatursuch-Algorithmen für INDD-, Bridge Cache- und Picasa3-Index-Dateien implementiert.

  • Verbesserte Unterstützung für Magix Photo Manager Cache .mxc2 und .mxc3 und andere Dateien.

  • Die interne Bildbetrachtungskomponente unterstützt jetzt bestimmte .bmp-Grafiken mit größeren Headern.

  • Einige andere Verbesserungen in der internen Bildbetrachtungskomponente.

  • Mehr Metadaten werden jetzt aus AVI-Video-Dateien extrahiert, zum Beispiel der Codec, IDIT-Erzeugungszeitstempel oder auch der Original-Dateiname, sofern vorhanden.

  • Metadaten- und interne Signatursuchen-Unterstützung für AMR-Sprachaufzeichnungs-Dateien.

  • Präziseres Abschneiden unvollständiger oder fragmentierter PNG-Dateien bei der Signatursuche.

  • Fähigkeit, diverse potentiell relevante Resourcen in ausführbaren 32-Bit- und 64-Bit-Windows-PE-Dateien (Programme und Bibliotheken) zu suchen und als Unterobjekte anzuzeigen, insbesondere RCDATA, benannte Objekte, Bitmaps, Icons und Manifeste. Nützlich beispielsweise bei der Untersuchung von Schadprogrammen. Dies passiert nicht automatisch, sondern nur, wenn Sie gezielt ausführbare Dateien über eine geeignete Reihe von Dateimasken untersuchen lassen.

  • Unterstützung für noch tiefer verschachtelte (rekursiv weitergeleitete) E-Mail-Nachrichten in OST/PST-E-Mail-Archiven.

  • Fähigkeit, E-Mail-Nachrichten aus der Livecomm.edb-Datenbank zu rekonstruieren, die von Windows Live Mail (in Windows 7 und neuer) verwendet wird, als Teil der "eingebettete Daten suchen"-Operation. Extrahiert auch Kontakte und Konto-Informationen.

  • Unicode-Unterstützung für die Rekonstruktion von E-Mail-Auszügen aus Thunderbird Indexierungs-Datenbanken.

  • Einige kleinere Fehlerkorrekturen bei der Verarbeitung von EDBs.

  • Ein Ausnahmefehler wurde behoben, der bei der Verarbeitung von SQLite-Datenbanken auftreten konnte.

Benutzbarkeit

  • Erhöhte Kapazitäten für große Fälle:

    Maximale Anzahl gleichzeitig geöffneter Sicherungen physischer Datenträger und rekonstruierter RAIDs zusammen:
    v15-v17.1: 46
    v17.2-v17.5: 57
    ab v17.6: 100

    Maximale Anzahl gleichzeitig geöffneter Partitionen auf physischen Datenträgern (nicht über Laufwerksbuchstaben) und Partitionen auf Sicherungen physischer Datenträger und Sicherungen von Volumes:
    v15-v15.5: 64
    v15.6-v17.5: 99
    ab v17.6: 256

    Einige Hintergrundinformationen: Beachten Sie, daß es nicht erforderlich ist, immer alle Asservate in einem Fall gleichzeitig geöffnet zu haben. Es kann genaugenommen wünschenswert sein, sie nicht gleichzeitig zu öffnen, wenn die Datei-Überblicke sehr groß sind (d. h. viele Millionen von Dateien referenzieren) und nicht viel Arbeitsspeicher verfügbar ist. Parallele Suchen und Datei-Überblick-Erweiterungen über mehrere ausgewählte Asservate hinweg können selbst dann gestartet werden, wenn gar kein Asservat offen ist. In diesem Fall öffnet X-Ways Forensics die Asservate automatisch einzeln, wenn sie an der Reihe sind, und schließt diese wieder, wenn ihre Verarbeitung beendet ist, um Speicherverbrauch zu minimieren. Nur, wenn Sie aus dem Asservat-Überblick rekursiv erkunden, müssen alle Asservate, deren Dateien Sie einschließen möchten, gleichzeitig geöffnet sein.

    Maximale Anzahl ansprechbarer lokaler physischer Datenträger:
    ab v17.2: 64

  • Importiert und zeigt neu erzeugte Berichtstabellen-Verknüpfungen anderer zeitgleicher Nutzer im arbeitsteiligen Auswertungs-Modus an, wenn man ein Asservat erneut öffnet oder wenn das Zeitintervall zum automatischen Speichern des Falls abgelaufen ist oder wenn man manuell den Befehl "Fall speichern" aufruft. (In v17.5 ist dies nur beim Öffnen eines Falles im normalen, unbeschränkten Modus passiert.)

  • Option vorzuschlagen, einen Fall immer mit erweiterter Benutzer-Koordination in arbeitsteiligem Auswertungs-Modus zu öffnen. Dies kann selbst für den ersten von vielen zeitgleichen Nutzern eines Falls nützlich sein, weil nur in diesem Modus die neu erzeugten Berichtstabellen-Verknüpfungen anderer zeitgleicher Nutzer in regelmäßigen Intervallen (beim automatischen Speicherns des Falles) propagiert werden.

  • Benutzeroberfläche der Suchbegriffsliste leicht aktualisiert. Besser lesbare Schriftart und sparsamere Nutzung des Platzes. Um die Treffer auf als wichtig gekennzeichnete zu reduzieren, verwenden Sie den Filter in der Anmerk.-Spalte.

  • Die Suchbegriffsliste kann jetzt über das Kontextmenü der Suchbegriffsliste nach Suchbegriffen in alphabetisch aufsteigender oder nach der angezeigten Suchtrefferanzahl in absteigender Reihenfolge sortiert werden, um das Auffinden eines bestimmten Suchbegriffs in einer langen Liste zu vereinfachen.

  • Bestimmte Arten von Dateien mit Unterobjekten, wie z. B. E-Mail-Archive, sind jetzt im Verzeichnisbaum im Falldaten-Fenster enthalten, zusammen mit ihren Unterverzeichnissen.

  • Hash-Datenbank-Dialog-Fenster überarbeitet.

  • Sie können den rohen Vorschau-Modus dauerhaft aktivieren, indem Sie die Umschalt-Taste gedrückt halten, wenn Sie in den Roh-Modus wechseln.

  • Bleibt während der Datei-Header-Signatur-Suche und anderen Datei-Überblick-Erweiterungs-Operationen ansprechbarer und erlaubt die Verwendung mehrerer Befehle im Kontextmenü des Falldaten-Fensters während diverser laufender Operationen.

  • Neue Option, Dateien mit einem einzelnen Klick in der Galerie einzusehen statt mit einem Doppelklick. Nützlich beispielsweise, wenn Sie bestimmte Bilder auf einem separaten Bildschirm einsehen möchten, wo Sie das Einsehen-Fenster nicht wieder schließen müssen, um die Galerie zu sehen, wenn Sie nicht alle Bilder nacheinander ansehen (wofür die Bild-auf- oder -ab-Tasten effizienter sind).

  • Fähigkeit, zusätzliche eigene Dateitypen und Kategorien in einer separaten Datei namens "File Type Categories User.txt" zu definieren, die zusätzlich zu den Standard-Definitionen in "File Type Categories.txt" gelesen und verwaltet wird und dieselbe Struktur besitzt und nicht von Software-Updates überschrieben wird, wenn sie im Installationsverzeichnis liegt, so daß Sie diese bequem weiter verwenden können, selbst, wenn Sie Ihre Installation mit einer neueren Version überschreiben.

  • Daß der Ordner für Sicherungsdateien, der in den Allgemeinen Optionen angegeben ist, für neu erzeugte Datenträgersicherungen voreingestellt ist, ist jetzt optional.

  • Fähigkeit, Ereignisse als wichtig zu kennzeichnen, und auf wichtige Ereignisse über die Zeitstempel-Spalte zu filtern.

  • Fähigkeit, mehrere ausgewählte Suchtreffer oder Ereignisse nicht mehr als wichtig zu kennzeichnen, indem man die Umschalt-Taste gedrückt hält, während man den Kontextmenü-Befehl "Als wichtig kennzeichnen" aufruft.

  • Ab jetzt ist für Benutzer von X-Ways Forensics eine Text-Datei zum Herunterladen verfügbar (klicken Sie auf den "Alle Versionen" Link), die die meisten Texte der Benutzeroberfläche überschreiben kann (mit Ausnahme beispielsweise des Hauptmenüs), wenn sie mit Namen language.txt im Installationsverzeichnis von v17.6 hinterlegt wird, und die leicht von Nutzern editiert werden kann. Nützlich, wenn Sie zum Beispiel Fallberichte in Ihrer eigenen Sprache erzeugen möchten.

X-Tensions API

  • Möglichkeit, die Fähigkeiten von X-Ways Forensics, X-Ways Investigator und X-Ways Investigator CTR zum Einsehen von Dateien durch die Integration sogenannter Viewer-X-Tensions zu erweitern. Solche X-Tensions bieten spezialisierte Ansichten bestimmter Dateitypen, indem sie auf die Aufrufe einer neu definierten Funktion XT_View reagieren, die diese exportieren müssen. Nutzer können Viewer-X-Tensions unter Optionen | Viewer-Programme aktivieren.

  • Eine neue Option +52 in investigator.ini verhindert die Verwendung von Viewer-X-Tensions, zum Beispiel aus Sicherheitsgründen. Bedenken Sie, daß X-Tensions Windows-DLLs sind, die bei ihrer Ausführung Ihrem System möglicherweise Schaden zufügen könnten.

  • Eine neue Funktion namens XWF_AddEvent wurde eingeführt, die es erlaubt, Ereignisse zur Ereignisliste eines Asservats hinzuzufügen. XT_Prepare und XT_Finalize erhalten jetzt ein Handle zu demjenigen Asservat, auf das die X-Tension angewandt wird.

  • Neue verfügbare Funktionen: XWF_GetEvObjProp, XWF_OpenEvObj, XWF_CloseEvObj, XWF_GetFirstEvObj, XWF_GetNextEvObj, XWF_UpdateDirBrowser. 4 neue Flags für XWF_GetItemInformation und XWF_SetItemInformation eingeführt: XWF_ITEM_INFO_FLAG_FILEARCHIVEEXPLORED, XWF_ITEM_INFO_FLAG_EMAILARCHIVEORVIDEOPROCESSED, XWF_ITEM_INFO_FLAG_EMBEDDEDDATAUNCOVERED und XWF_ITEM_INFO_FLAG_METADATAEXTRACTED.

  • Die Delphi-API-Definitionen und eine Demo-X-Tension wurden um einige der neuen Funktionen erweitert.

Daten-Dolmetscher & Schablonen

  • Unterstützung für Mac Absolute Time im Daten-Dolmetscher.

  • Der Daten-Dolmetscher kann jetzt Zeitstempel in den Formaten UNIX/C, Java/BlackBerry/Android und Mac Absolute auch dann interpretieren, wenn sie als Dezimalwerte in ASCII-Text statt binär gespeichert sind. Sie finden dafür sowohl einen Kontextmenü-Eintrag als auch ein Auswahlfeld im Optionen-Dialog.

  • Der Daten-Dolmetscher übersetzt jetzt Zeitstempel aller Formate außer DOS Date+Time zu lokaler Zeit (die Zeitzone, die in den Allgemeinen Optionen eingestellt ist). Sie finden dafür sowohl einen Kontextmenü-Eintrag als auch ein Auswahlfeld im Optionen-Dialog.

  • Neuer Datumstyp "MacAbsTime" in Schablonen unterstützt.

  • Neuer Modifikator "local" unterstützt für Zeitstempel in Schablonen. Bewirkt, daß X-Ways Forensics Zeitstempel (außer DOSDateTime) in die Zeitzone, die in den Allgemeinen Optionen eingestellt ist, umrechnet.

Unterstützung für Datenträger & -sicherungen

  • Fähigkeit, sogenannte Nandroid-Backup-Dateien aus dem NAND-Flash-Speicher von Android-Geräten mittels Bearbeiten | Konvertieren in gewöhnliche Roh-Images umzuwandeln.

  • Vollständigere Ausgabe von Seriennummern von USB-Geräten.

  • Fähigkeit, Modell und Seriennummer physischer Datenträger auch ohne Administrator-Rechte zu sehen.

  • Struktur des Technischen Detailberichts für physische Datenträger leicht verbessert.

  • Zeigt die Größe des freien Speichers auf dem Ziellauffwerk im Dialog-Fenster für die Datenträger-Sicherung an.

X-Ways Imager

  • Fähigkeit, neu erzeugte Sicherungen sofort zu überprüfen.

  • Fähigkeit, Roh-Images in .e01 Evidence-Files umzuwandeln und umgekehrt (nach dem Öffen und Interpretieren der existierenden Sicherung).

  • Fähigkeit, gewöhnliche Binärdateien in X-Ways Imager zu öffnen.

  • Fähigkeit, ausgewählte Sektoren oder Byte-Bereiche aus gewöhnlichen Dateien, Datenträger-Sicherungen oder Datenträgern in die Zwischenablage oder neue Dateien zu kopieren.

  • Fähigkeit, spezifische Sektoren aufzusuchen.

Diverses

  • Neuer Menü-Befehl Extras | Datei-Tools | Verz. replizieren. Dieser Befehl kopiert ein Verzeichnis mit all seinen Dateien und Unterverzeichnissen, rekursiv, und reproduziert individuell NTFS-komprimierte Quelldateien als NTFS-komprimiert im jeweiligen Ausgabe-Verzeichnis, falls vom Ziel-Dateisystem und allen dazwischen liegenden Ebenen unterstützt. Der Befehl komprimiert die Dateien nicht im Nachhinein, sondern schreibt sie sofort komprimiert, was effizienter ist. Er muss allerdings immer noch die dekomprimierte Datenmenge der Quelldatei kopieren/schicken. Wählen Sie zunächst das Quellverzeichnis, dann wählen bzw. erzeugen Sie das Ausgabe-Verzeichnis. Diese Funktion ist nützlich, wenn Sie beispielsweise ein Fall-Verzeichnis kopieren oder bewegen möchten, das einige NTFS-komprimierte Dateien enthält, die unkomprimiert sehr ineffizient gespeichert würden. Beachten Sie, Sie können alternativ den Fall auch öffnen und den Speichern unter Befehl im Falldaten-Fenster für den gleichen Zweck verwenden. Der Verz. replizieren Befehl ist auch insofern etwas außergewöhnlich, da er mit überlangen Pfaden zurecht kommt.

  • Fähigkeit, den Ausgabe-Pfad für Wiederherstellen/Kopieren manuell einzugeben, indem Sie auf den neuen Schalter "..." im Dialogfenster klicken, in derselben Zeile, in der der Pfad angezeigt wird. Nützlich, wenn Sie einen Netzwerk-Pfad angeben möchten, den Windows nicht automatisch auflistet.

  • Die Hash-Datenbank für Block-Hash-Werte wird jetzt nicht mehr in einem Unterverzeichnis des Verzeichnisses mit der normalen Hash-Datenbank erwartet, sondern in einem Verzeichnis auf derselben Ebene, mit demselben Stamm-Namen und " [block hash values]" angehängt.

  • Die alte Indexierung wurde entfernt.

  • Unzählige interne Verbesserungen und kleinere Reparaturen.

  • Benutzerhandbuch und Programm-Hilfe wurden aktualisiert.


Änderungen der Service-Releases von v17.5

  • SR-1: Die Ausgabe falscher Zeitstempel aus Firefox-SQLite-Datenbanken wurde behoben.

  • SR-1: Die Zeitzonen-Anpassung für Zeitstempel in den Metadaten bestimmter Dateitypen wurde korrigiert (PDF, MDB, RTF, PNG, Flash und GZip).

  • SR-1: Die fälschliche Auswahl des Radio-Buttons für Datei-Container bei der Auswahl des Zielpfads für die Sicherung in X-Ways Imager wurde behoben.

  • SR-1: Die in exportierten Index-Wortlisten angegebenen Worthäufigkeiten waren nicht völlig korrekt. Dies wurde korrigiert.

  • SR-2: Gründlichere Sortierung nach "Typ-Status", die die ermittelte Datei-Konsistenz berücksichtigt.

  • SR-2: Die fehlerhafte Verwendung der Header-Größe beim RAID-System Zusammensetzen in einigen neueren Versionen wurde behoben.

  • SR-2: Ein Ausnahmefehler wurde behoben, der bei der Verarbeitung bestimmter unvollständiger Chrome-Caches auftreten konnte.

  • SR-2: Eine irreführende und unnötige Fehlermeldung beim Abschließen eines Indexes und beim Suchen im Index wurde vermieden.

  • SR-2: Irreführende und unnötige Fehlermeldungen beim Importieren von Suchtreffern anderer Nutzer wurden vermieden.

  • SR-2: Ein Stabilitätsproblem bei der Verarbeitung von IE Travellog-Dateien wurde vermieden.

  • SR-3: Ein möglicher Absturz wurde vermieden, der bei der Extraktion von E-Mails aus PST/OST-E-Mail-Archiven auftreten konnte.

  • SR-3: Der Befehl zum Löschen von Hash-Sets hat Hash-Datenbanken in v17.5 und v17.6 Preview beschädigt. Dies wurde behoben.

  • SR-3: The Include command in the directory browser context menu did not work in v17.5 and v17.6 Preview. Dies wurde behoben.

  • SR-3: Die potentiell unvollständige Vorschau von Google Chrome WebData-Datenbanken wurde behoben.

  • SR-3: Ein Ausnahmefehler wurde behoben, der bei irregulären PDF-Dateien auftreten konnte.

  • SR-4: Ein Lesefehler wurde behoben, der bei XML-Dateien, die aus PDF-Dokumenten extrahiert wurden, auftreten konnte.

  • SR-4: Bessere Unterstützung für extrem fragmentierte Dateien in NTFS-Volumes.

  • SR-4: Ein Dateierzeugungs-Fehler wurde behoben, der beim Befehl "Berichtstabellen-Verknüpfungen exportieren" auf der Fall-Ebene auftreten konnte.

  • SR-4: Ausnahmefehler wurden vermieden, die auftreten konnten, wenn mehr als die aktuell unterstützten 57 gleichzeitig geöffneten Sicherungen physischer Datenträger und 99 gleichzeitig geöffneten Partitionen von physischen Datenträgern oder Sicherungen von Partitionen für rekursives Erkunden aus dem Asservat-Überblick ausgewählt wurden, und dann versucht wurde, Befehle im Verzeichnis-Browser-Kontextmenü darauf anzuwenden.

  • SR-5: Verbesserte/korrigierte Koordination gleichzeitiger Verwendung der Hash-Datenbank durch mehrere Nutzer.

  • SR-5: Ein Link-Fehler wurde behoben, der bei der Erzeugung von Fallberichten für Dateien mit überlangen Pfaden auftreten konnte.

  • SR-5: Ein Ausnahmefehler wurde vermieden, der beim Parsen von beschädigten 0x30-Attributen auftreten konnte.

  • SR-6: Verbesserte Darstellung von Base64-kodierten E-Mails, die aus MBOX-E-Mail-Archiven extrahiert wurden.

  • SR-6: v17.3 und später haben nicht immer alle NTFS-Dateisystem-Level-Zeitstempel in die Ereignisliste übernommen, wenn diese vom Erzeugungszeitstempel abweichen. Dies wurde behoben.

  • SR-6: Fortschrittsanzeige für die Zeit, wenn X-Ways Forensics einen Index der neuen Art abschließt.

  • SR-6: Ein Fehler wurde behoben, der den Verlust neu erzeugter Berichtstabellen-Verknüpfungen im arbeitsteiligen Auswertungs-Modus nach sich ziehen konnte.

  • SR-7: Ein Stabilitätsproblem wurde behoben, das beim rekursiven Erkunden aus dem Asservat-Überblick und Auflisten vieler Millionen von Dateien auftreten konnte.

  • SR-8: Ein Ausnahmefehler wurde behoben, der bei der Extraktion von Dateien aus Google Chrome-Caches auftreten konnte.

  • SR-8: Die Unfähigkeit von X-Ways Investigator, Datei-Container im Roh-Format in .e01 Evidence-File-Format umzuwandeln, wurde behoben.

  • SR-8: Ein Ausnahmefehler wurde behoben, der bei der Extraktion bestimmter wiederhergestellter beschädigter E-Mail-Nachrichten aus Outlook PST/OST-E-Mail-Archiven auftreten konnte.

  • SR-8: Bestimmte überflüssige Teile in bestimmten Multi-Part-E-Mail-Nachrichten wurden entfernt, um die Viewer-Komponente davon abzuhalten, die E-Mails als leer anzuzeigen.

  • SR-8: Ein Fehler wurde behoben, der den Verlust von Nutzer-Kommentaren im Datei-Überblick nach sich ziehen konnte.

  • SR-9: Ein Ausnahmefehler wurde behoben, der in der Standard-Version von WinHex 17.5 bei der Anzeige des Daten-Dolmetscher-Kontextmenüs auftrat.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde 

 

  
#137: WinHex, X-Ways Forensics und X-Ways Investigator 17.5 veröffentlicht

29. Jan. 2014

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten neuen Features, die Version 17.5, erschienen am 28.01.2014.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage. Einige wenige Benutzer von X-Ways Forensics mit aktiver Update-Berechtigungen benötigen wie von v17.4 angekündigt für v17.5 neue Aktivierungscodes.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie bei einer älteren Version bleiben möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.


Schulungen

Bonn, 7.-10. April 2014
Weitere Informationen


Was ist neu in v17.5?

(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Mehrbenutzerfähigkeit

  • Alle Fälle, die in v17.5 oder später erzeugt oder geöffnet werden, haben jetzt erweiterte Mehrbenutzerfähigkeit. Das bedeutet, daß X-Ways Forensics verschiedene Benutzer (Ermittler), die denselben Fall zu unterschiedlichen Zeiten oder gleichzeitig bearbeiten, anhand ihrer Benutzerkonten in Windows unterscheidet und ihre Ergebnisse getrennt verwaltet. Fälle, die mit v17.5 und neuer geöffnet wurden, können nicht mehr mit früheren Versionen geöffnet werden. Erweiterte Mehrbenutzerfähigkeit ist insbesondere für größere Fälle nützlich. Berichtstabellenverknüpfungen, Kommentare und Suchbegriffe/-treffer verschiedener Ermittler können optional unterschieden werden, indem standardmäßig die Initialen der erzeugenden Ermittler oder alternativ andere Abkürzungen ihrer Namen oder (falls keine Abkürzung angegeben ist) ihre vollständigen Nutzernamen angezeigt werden.

    Maximal 255 Benutzer (Ermittler) pro Fall werden unterstützt. Alle diesbezüglichen Optionen können durch Anklicken des Knopfes für "Erweiterte Benutzer-Koordination" im Fall-Eigenschaften-Dialogfenster gefunden werden.

  • Mehrere Benutzer können dieselben Asservate im selben Fall gleichzeitig zur Bearbeitung öffnen. Mit "selbem Fall" meinen wir dieselbe Fall-Datei, keine Kopie, gespeichert auf einem gemeinsam genutzten Netzlaufwerk oder auf einem Terminal-Server. X-Ways Forensics ist für die Synchronisierung der Berichtstabellenverknüpfungen, Kommentare und zum Überblick hinzugefügten Dateien verantwortlich, und auch dafür, Benutzer auf Zugriffskonflikte hinzuweisen, bevor diese auftreten und diese in den meisten Fällen zu verhindern.

  • X-Ways Forensics speichert die Zustände "markiert", "eingesehen" und "ausgeblendet" der Dateien nach Nutzern getrennt. Sie können beim Öffnen wahlweise den Status "eingesehen" von Dateien im Datei-Überblick von allen anderen Ermittlern übernehmen. Dies ist nützlich, um Doppelarbeiten zu vermeiden, wenn Sie Dateien nicht einsehen möchten, die bereits von einem Ihrer Kollegen eingesehen wurden. Bitte beachten Sie, daß sämtliche individuelle Datei-Zustände ("markiert", "eingesehen" und "ausgeblendet") und auch Suchtreffer anderer Nutzer verlorengehen, wenn ein Ermittler Objekte aus dem Datei-Überblick entfernt.

  • Suchtreffer und -begriffe werden ebenfalls auf Nutzerbasis festgehalten. Der erste Ermittler, der einen älteren Fall mit v17.5 oder später öffnet, übernimmt die Suchtreffer und -begriffe, die in dem Fall von v17.4 oder früher gespeichert wurden. Das Dialogfenster für die "Erweiterte Benutzer-Koordination" beinhaltet einen Schalter, der es Ihnen ermöglicht, die Suchtreffer und -begriffe eines anderen Benutzers zu importieren.  

  • Kommentare und Berichtstabellenverknüpfungen werden von allen Ermittlern geteilt. Ermittler können auswählen, ob sie die Berichtstabellenverknüpfungen anderer Benutzer zu sehen bekommen oder nicht. Dieselbe Datei kann mit derselben Berichtstabelle nur von einem Ermittler verknüpft werden. 

  • Um alle Ergebnisse eines Kollegen (Berichtstabellenverknüpfungen, Suchtreffer, Dateizustände "markiert", "eingesehen", "ausgeblendet") einzusehen, können Sie den Fall schreibgeschützt als der- oder diejenige öffnen. Benutzen Sie hierfür das neue Ankreuzfeld "Optionen..." beim Öffnen eines Falls. Sie können Ihre Kollegen daran hindern, einen Fall schreibgeschützt zu öffnen als wären sie Sie.

  • Das neue Ankreuzfeld "Optionen..." erlaubt Ihnen, einen Fall in jedem der drei von vorigen Versionen bekannten Modi zu öffnen:
    1) der gesamte Fall schreibgeschützt (Fall-Datei und Datei-Überblicke),
    2) arbeitsteiliger Auswertungsmodus (Fähigkeit, Berichtstabellenverknüpfungen, Kommentare, Suchtreffer und virtuelle Dateien zu erzeugen, Dateien zu markieren, als eingesehen zu vermerken oder auszublenden)
    3) Vollzugriff

  • Falls derselbe Benutzer denselben Fall (dieselbe Kopie) in mehr als einer Instanz des Programms gleichzeitig öffnen möchte, hat der Nutzer drei Möglichkeiten. Entweder wird der Fall in der zweiten Instanz schreibgeschützt geöffnet, oder der Benutzer ist dafür verantwortlich, Asservate, die in einer Instanz bereits offen sind, in der anderen schreibgeschützt zu öffnen, um Konflikte zu vermeiden (Sie erreichen diese Option per Rechts-Klick auf ein Asservat), oder der Benutzer öffnet den Fall als separater, fiktiver Nutzer (sein „Alter Ego“) mit getrennten Datei-Zuständen, Suchtreffern, Berichtstabellenverknüpfungen, etc. Falls die letzte Option gewählt wird, wird der getrennte Zugriff auf den Fall von X-Ways Forensics genauso verwaltet, als ob das Alter Ego ein echter, anderer Benutzer wäre, obwohl der Benutzername identisch ist.

  • Das zuvor erwähnte Feld "Optionen..." erlaubt es Ihnen, den Fall jederzeit als Ihr Alter Ego zu öffnen, nicht nur, wenn Sie den Fall in einer zweiten Programminstanz öffnen.

  • Daß mehrere Benutzer im selben Asservat simultan Suchen starten, Berichtstabellenverknüpfungen erzeugen, Kommentare eingeben, extrahierte Metadaten editieren, Dateien markieren, ausblenden oder als eingesehen kennzeichnen, wird alles unterstützt. Objekte aus einem Datei-Überblick zu entfernen, während das Asservat anderswo offen ist, ist hingegen verboten und wird vom Programm verweigert. Das Ziel der Mehrbenutzer-Koordination in v17.5 und später ist es, die parallele Auswertung/Sichtung durch mehrere Ermittler zu unterstützen. Das Entfernen von Dateien aus einem Datei-Überblick wird nicht als normale Sichtungs-/Auswertungsarbeit angesehen. Datei-Überblicke sollten im voraus systematisch erweitert werden.

  • Die Initialen des Ermittlers, der in v17.5 und später dem Datei-Überblick Dateien angehängt oder Dateien manuell gecarvt hat, können in eckigen Klammern neben dem Dateinamen gesehen werden, so daß es einfach möglich ist zu sehen, wer diese Dateien in den Fall eingefügt hat.

  • Wir behalten uns technische Änderungen an der Art, wie mehrere Nutzer gleichzeitig koordiniert werden, vor. Um auf der sicheren Seiten zu sein, stellen Sie bitte sicher, daß alle gleichzeitigen Nutzer dieselbe Programmversion verwenden.

  • Sie können die "Erweiterte Mehrbenutzerfähigkeit" abstellen, wenn Sie sicher der einzige gleichzeitige Nutzer eines Falles sind und keine der weiteren Optionen benötigen, für Performanzvorteile in einigen wenigen Situationen.

  • Zu guter Letzt ermöglicht Ihnen v17.5 die Bearbeitungshistorie eines Falles in seinen Eigenschaften einzusehen. Diese dokumentiert, welche Versionen wann verwendet wurden (festgehalten erst ab v17.3 SR-10 und später, v17.4 SR-4 und später und v17.5 und später) und von welchen Benutzern (festgehalten nur von v17.5 und später).

Benutzeroberfläche

  • Überarbeitetes Aussehen der Benutzeroberfläche (Werkzeugleiste, Menüs, Verzeichnis-Browser, Galerie). Icons sind jetzt farbiger und zahlreicher. Dies erlaubt erfahrenen Nutzern, schneller und intuitiver die richtigen Menübefehle zu finden, insbesondere im Verzeichnis-Browser-Kontextmenü.

  • Die Gitterlinien im Verzeichnis-Browser sind jetzt optional und, falls angezeigt, können jetzt entweder hellgrau oder hellblau sein. Ohne die Gitterlinien wirkt die Darstellung ebenfalls weniger überfüllt.

  • Die gesamte Zeile im Verzeichnis-Browser, über der sich der Mauszeiger aktuell befindet, ist jetzt hervorgehoben. Dies macht es leichter, weiter entfernte Zellen derselben Zeile zu identifizieren.

  • Verbesserte Unterstützung für Bildschirmeinstellungen mit hohen DPI-Werten in Windows (150% und größer), in Nachrichtenfenstern, Dateiauswahl-Dialogen, Informationsspalte, Modus-Schaltern, Werkzeugleiste, Fortschrittsanzeige-Fenster, Verzeichnis-Browser und Suchtreffer-Kontext-Vorschau.

  • Die Namen der Autoren von Dokumenten verschiedener Typen (MS Office, OpenOffice/LibreOffice, RTF, PDF, ...) werden jetzt nach der Metadaten-Extraktion in einer neuen Spalte namens "Autor" angezeigt.

  • Die Seitenanzahl wird jetzt im Zuge der Metadaten-Extraktion aus PDF und einigen Office-Dateitypen extrahiert und ebenfalls in einer eigenen Spalte angezeigt.

  • Das Sortieren und Filtern von Kommentaren und extrahierten Metadaten in sehr großen Datei-Überblicken, in denen eine sehr große Anzahl von Dateien Kommentare oder extrahierte Metadaten besitzen, wurde erheblich beschleunigt.

  • Das Sortieren nach bestimmten Verzeichnis-Browser-Spalten, wie z.B. Besitzer, Autor, Absender, Empfänger, Berichtstabellen, Kommentar, Metadaten, Suchbegriffe und Hash-Set, ist jetzt benutzerfreundlicher, indem Objekte ohne entsprechenden Wert (d.h. unbekannter Besitzer, unbekannter Autor, keine Berichtstabellenverknüpfung, kein Kommentar...) als letztes aufgelistet werden, nicht als erstes. Außerdem ist die Standard-Sortierreihenfolge für die Hash-Kategorie jetzt absteigend.

  • Der Dateityp-Filter-Dialog merkt sich jetzt, welche Kategorien aufgeklappt waren.

  • Die eingefärbten Icons für ausgeblendete und verdächtige Dateien werden jetzt auch dann ohne erkennbare Verzögerung angezeigt, wenn Aero aktiviert ist.

Dateiformat-Unterstützung

  • Verbesserte Fähigkeit, Dateien in Firefox- (Anwendung auf "_CACHE_MAP_"-Dateien) und Chrome-Cache (Anwendung auf "index"-Dateien) zu finden. Ermittelt Metadaten wie Original-Dateinamen und Zeitstempel. Metadaten-Extraktion aus "index"-Dateien.

  • In Norton Backup-Dateien (N360 backup, *.nb20) eingebettete Dateien können jetzt automatisch gesucht werden.

  • Fähigkeit, Base64-codierte Bilder, die in VCF-Dateien (elektronische Visitenkarten) eingebettet sind, zu suchen.

  • Dateityp-Prüfung erheblich aktualisiert. Beispiele: Identifizierung von MMAP, IDML, INCX, EDX, ENML, NBI.

  • Dateityp-Signatur-Definitionen und -Prüfung erheblich aktualisiert.

  • Neue Dateityp-Kategorie GPS/Navigation.

  • Rekonstruktion indexierter E-Mail-Nachrichten aus der Indexierungs-Datenbank des Thunderbird-E-Mail-Clients und Ausgabe als Unterobjekte im Datei-Überblick, als Teil der Extraktion eingebetteter Daten in SQLite-Datenbanken.

  • Ausschluß bekannter SQLite-Datenbanken aus der Extraktion enthaltener Daten, wenn bekannt ist, daß in diesen keine wertvollen Binärdaten zu finden sind.

  • Verbesserte Unterstützung von MS Internet Explorer Recovery-Travellog-Dateien.

  • Windows-Registry-Bericht und -Ereignis-Extraktion überarbeitet.

Dateisystem-/Datenträger-/-sicherungs-Unterstützung

  • Die Existenz erweiterter Attribute für Dateien in NTFS ($EA-Attribute) wird jetzt in der Attr.-Spalte in neu erzeugten Datei-Überblicken angezeigt und Sie können auf die Anwesenheit solcher Attribute auch filtern. Im Fall von nicht-residenten $EA-Attributen wird darüberhinaus eine automatische Berichtstabellenverknüpfung erzeugt. Nützlich, um bestimmte Schadsoftware zu entdecken, wie sie in vor Kurzem sehr prominenten Fällen aufgetreten ist.

  • Unterstützung für NTFS-Dateisysteme größer als 232 Cluster (was in Windows 8 und früher nicht unterstützt wird, aber eventuell in späteren Versionen).

  • Erheblich verbesserte Behandlung von Dateien mit harten Verweisen in HFS+. Das Auflösen von harten Verweisen ist jetzt sehr viel schneller und gründlicher in aktuellen HFS+-Volumes, die sehr viele harte Verweise für den Time Machine Dienst benutzen. Harte Verweise zu Verzeichnissen und Dateien, die nur eine Resource-Fork besitzen, werden jetzt ebenfalls aufgelöst. Der Zähler für harte Verweise wird jetzt korrekt dargestellt. Alle harten Verweise bis auf einen können in logischen Suchen optional ausgelassen werden, genau wie in NTFS, um die unnötige Mehrfachdurchsuchung derselben Daten und entsprechende Duplikate bei den Treffern zu vermeiden. Harte Verweise, die ignoriert werden, sind durch einen ausgegrauten Verweis-Zähler gekennzeichnet (nicht mehr durch ein Sternchen wie in früheren Versionen). Außerdem werden iNode-Dateien ausgelassen, die mit den harten Verweisen, die auf sie zeigen, im Datei-Überblick als sogenannte "zugehörige Objekte" verknüpft wurden. Sollte der Verweis-Zähler für eine iNode-Datei nicht ausgegraut sein, zeigt dies eine verwaiste iNode-Datei an (eine, die von keiner Datei mit harten Verweisen referenziert wird, zumindest nicht im Datei-Überblick). Kommentare werden für harte Verweise in HFS+ nicht mehr länger verwendet.

  • Unterstützung für tiefer verschachtelte Verzeichnisbäume in Ext*.

  • Einige Cluster von erheblich fragmentierten Dateien in Ext4 wurden inkorrekterweise auch als Teil des brachliegenden Speichers angezeigt. Dies wurde behoben.

  • Extraktion von Ereignissen aus Unix-/Linux-/Macintosh-System-Log-Dateien. Diese Ereignisse sind von praktischer Relevanz insbesondere bei der Untersuchung von USB-Geräte-Historien.

  • Verbesserte Erkennung von nicht-standardgemäßen LVM2-Container-Partitione.

  • VMDK virtuelle Festplatten-Dateien, die zu Transportzwecken komprimiert wurden (die VMDK-Format-Variante genannt "stream-optimized"), wie zum Beispiel im OVF-Appliance-Exportformat verwendet, werden jetzt unterstützt.

  • Unterstützung für VMDK-Snapshots, wo die VMDK-Dateien in Segmenten gespeichert sind, wobei jedes Segment typischerweise 2 GB der virtuellen Platte repräsentiert. Zuvor wurden nur monolithische Snapshots unterstützt, d.h. wenn die virtuelle Platte vollständig in einer Datei gespeichert war (dynamisch wachsend oder auch nicht).

  • Option, Berichtstabellenverknüpfungen für Dateien zu erzeugen, die erfolgreich per Verzeichnis-Browser-Kontextmenü zu einer Minimalsicherung hinzugefügt worden sind.

  • Fähigkeit, Datei-Container zu interpretieren, die größer als 4 TB sind.

  • Die Option, die Anzahl an Extra-Threads für die Kompression bei der Erzeugung von .e01-Evidence-Files festzulegen, ist nicht mehr versteckt.

  • Die Erzeugung der beschreibenden Text-Datei bei der Datenträger-Sicherung ist jetzt optional.

  • Stabilität der EVTX-Behandlung verbessert.

Diverses

  • Fähigkeit, separate virtuelle Ausgabe-Verzeichnisse für separate Datei-Header-Signatur-Suchen festzulegen, zum Beispiel um zwischen Operationen mit unterschiedlichem Umfang oder unterschiedlichen Zwecken (z. B. zuerst gewöhnliches Datei-Carven auf Sektor-Ebene in der gesamten Partition, dann E-Mails auf Byte-Ebene aus dem freien Speicher carven).

  • Indexe des neuen Typs wurden bislang unbenutzbar, wenn sich der Laufwerksbuchstabe oder Pfad des Falles geändert hat. Dies ist jetzt für existierende und neue erzeugte Indexe nicht mehr der Fall.

  • Diverse kleinere Verbesserungen und kleinere Reparaturen.

  • Benutzerhandbuch und Programm-Hilfe wurden aktualisiert.


Änderungen der Service-Releases von v17.4:

  • SR-1: Funktioniert wieder mit der alten Version von MPlayer.

  • SR-1: Ein Fehler wurde behoben, der im Attr.-Filter für Special Files in Unix-/Linux-Dateisystemen auftreten konnte.

  • SR-1: Das Hängenbleiben nach einer Erweiterung des Datei-Überblicks, wenn der Fehler "Parent of ... undefined" aufgetreten ist, wurde behoben.

  • SR-1: Schnellere Identifizierung des EDB-Datei-Untertyps.

  • SR-2: Wenn die Galerie die Einzelbilder eines Videos dynamisch in einer Schleife anzeigt, können Sie jetzt Esc drücken, um die Animation zu stoppen, +, um die Animation zu beschleunigen und wieder zu starten, und -, um sie zu verlangsamen und wieder zu starten.

  • SR-2: Ein Fehler, der die Galerie an ihrer Funktion hindern konnte, wurde behoben.

  • SR-2: Ein Fehler, der beim Exportieren von Hash-Sets aus der Block-Hash-Datenbank aufgetreten ist, wurde behoben.

  • SR-2: Einige abgeschnittene Beschreibungen für Ereignisse, die aus SQLite-Datenbanken extrahiert wurden, wurden in der 64-bit-Version korrigiert.

  • SR-2: Korrekte Zeitzonen-Anpassung für Ereignis-Zeitstempel aus SQLite-Datenbanken.

  • SR-2: Ein Fehler wurde möglicherweise behoben, der auf einigen Rechnern beim Schließen von Datenfenstern auftreten konnte, nachdem man Datenträger mit der Option "Datenträger ganz kopieren" geklont hat.

  • SR-3: Ein Fehler, der bei der Benutzung der Galerie auftreten konnte, wurde behoben.

  • SR-3: Die Ausgabe einiger unnötiger Meldungen bei der Erzeugung von Datei-Überblicken von Ext4-Volumes wurde behoben.

  • SR-3: Falls der Dialog Hilfe | Dongle Sie darüber informiert, daß Sie für v17.5 einen neuen Aktivierungscode benötigen, fordern Sie diesen von X-Ways bitte an.

  • SR-3: Ein Fehler in der Überprüfung von Minimalsicherungen, der unter bestimmten Umständen auftreten konnte, wurde behoben.

  • SR-3: Ein Ausnahmefehler, der bei Index-Suchen in v17.4 auftreten konnte, wurde behoben.

  • SR-4: Ein Fehler wurde behoben, der dazu führen konnte, daß die Galerie in bestimmten Situationen nicht vollständig befüllt wurde.

  • SR-5: v17.4 SR-2 und später haben beim Schließen des Falls das Asservat-Überblick-Fenster nicht mit geschlossen, was zu Fehlern geführt hat. Dies wurde behoben.

  • SR-5: Die Galerie wurde in v17.4 nicht aktualisiert, wenn im Verzeichnis-Browser sortiert wurde. Dies wurde behoben.

  • SR-5: Eine Instabilität der 64-bit-Version mit bestimmten EDB-Datenbank-Dateien wurde behoben.

  • SR-5: Unterobjekte, die eingesehen wurden, geben ihren Eltern-Dateien diesen Status nicht mehr weiter.

  • SR-6: Ein Ausnahmefehler wurde behoben, der beim Befüllen von Datei-Containern in v17.3 und v17.4 auftreten konnte.

  • SR-6: Ein Ausnahmefehler wurde behoben, der bei der Auflösung symbolischer Verweise in der 64-bit-Version von v17.4 auftreten konnte.

  • SR-6: Eine wiederkehrende Verzögerung wurde behoben, die auf Volumes mit sehr vielen Clustern bei der Durchsicht von Suchtreffern im freien Speicher auftreten konnte, für die nur ein logischer/relativer Offset bekannt ist (Index-Suchtreffer).

  • SR-6: Eine Instabilität in v17.4 bei der Verarbeitung von Windows.edb-Datenbanken aus Windows 7 unter Windows 8 und Windows 8.1 wurde behoben.

  • SR-7: Fähigkeit, Datei-Container des neuen Typs größer als 4 TB korrekt zu erzeugen. Diese Korrektur ist auch in v17.3 SR-11, v17.2 SR-11 und v17.1 SR-11 enthalten.

  • SR-7: Ein Fehler in der Funktion Sparse kopieren wurde behoben.

  • SR-7: Die Galerie wurde in v17.4 beim Ausblenden von Dateien nicht aktualisiert. Dies wurde behoben.


Werden Sie zertifizierter Anwender von X-Ways Forensics

Stellen Sie ihre Fähigkeiten in der Computer-Forensik im Allgemeinen und in X-Ways Forensics im Speziellen mit unserem brandneuen Zertifizierungsprogramm unter Beweis. Nach Bestehen der herausfordernden Prüfung gehören Sie zu einer exklusiven Gruppe und genießen neben der Anerkennung diverse Vorteile wie Rabatte auf Kursangebote und Zugang zu unserem aktuellen Kursmaterial. Weitere Informationen finden Sie hier.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde 

 

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <