X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

  
#119c: X-Ways Forensics 15.9 Beta, Änderungen an WinHex/X-Ways Forensics 15.8

22. Dez. 2010

In dieser Ausgabe dieses Newsletters informieren wir Sie nochmals außer der Reihe über diverse Änderungen in v15.8 und außerdem über die Version 15.9 Beta, die mit diversen nützlichen Neuerungen aufwartet.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter https://www.x-ways.net/winhex/license-d.html.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich „Announcements“ per E-Mail anfordern: http://www.winhex.net

Was ist neu in v15.9 Beta?

  • Ein ausgeklügelter neuer Suchalgorithmus bewirkt eine dramatische Beschleunigung konventioneller (Nicht-Index-) Suchen mit mehreren Suchbegriffen und Suchvarianten (d. h. in mehreren Zeichensätzen/Codepages gleichzeitig und ohne Unterscheidung von Groß- und Kleinschreibung). Nur mit forensischer Lizenz. Für eine Suche nach 6 Suchbegriffen in allen Groß- und Kleinschreibungsvarianten in Codepage 1252 und Unicode z. B. kann der neue Suchalgorithmus doppelt so schnell sein. Mit 18 Suchbegriffen ist er 8 Mal so schnell. Bei 40 Suchbegriffen ist er 20 Mal schneller. (Bitte beachten Sie, daß sich dieser Vergleich nur auf den reinen Suchalgorithmus bezieht und nicht die für das Lesen der Daten von der Platte benötigte Zeit enthält.) In dieser Beta-Version können Sie explizit zwischen dem neuen und dem alten Algorithmus wählen. Mit dem neuen Suchalgorithmus funktioniert der Anker \b nun auch in Unicode (für englische, deutsche und französische Buchstaben, genau wie in Codepage 1252).

  • Mehrbenutzerfähigkeit für größere Verfahren: Mit v15.9 kann man in X-Ways Forensics und X-Ways Investigator nun Berichtstabellenverknüpfungen exportieren und importieren. Wenn mehrere Ermittler für dasselbe Verfahren Auswertearbeiten erledigen sollen, dann kann sich jeder eine eigene Kopie des Falls (.xfc-Datei samt zugehörigem Unterverzeichnis) anlegen und darin Dateien gleichzeitig Berichtstabellen zuordnen, also relevante Dateien identifizieren und kategorisieren. Mit den neuen Funktionen kann jeder Ermittler dann die Ergebnisse beliebiger Kollegen bei Bedarf jederzeit selektiv importieren, und man kann in der „Hauptkopie“ des Falls alle Ergebnisse von allen beteiligten Ermittler zusammenfassen, jeweils durch Export und Import.

    Das funktioniert auch mit Containern. Wenn man die zu untersuchenden Dateien/E-Mails aufteilt in Form von Containern und die Ermittler gleichzeitig an den einzelnen Container arbeiten (in jeweils eigenständigen Fällen), ob in X-Ways Forensics oder in X-Ways Investigator, können sie ihre Ergebnisse am Ende oder auch zwischendurch exportieren und im Originalfall wieder importieren.

    Wenn später nachvollziehbar sein soll, welcher Ermittler welche Berichtstabellen-Verknüpfungen erstellt hat, können die Ermittler entweder gleich ihren Namen in die Namen ihrer Berichtstabellen aufnehmen, oder man benennt die Berichtstabellen nach dem Export und vor dem Import noch geeignet um.

    Beide Befehle, der Export und der Import von Berichtstabellen, können im Kontextmenü des Fallbaums gefunden werden. Das Exportieren wird auf der Fall- und Asservatebene unterstützt, das Importieren auf der Fallebene. Bitte beachten Sie, daß Sie Berichtstabellenverknüpfungen nicht mehr in den Originalfall importieren können, wenn Sie in der Zwischenzeit einen neuen Datei-Überblick erstellt haben oder Objekte aus dem Datei-Überblick entfernt haben.

  • Es wurden zwei neue Spalten im Verzeichnis-Browser eingeführt. Nachdem Sie Stichwortsuchen haben laufen lassen, sagt Ihnen die Spalte „SB-Anz.“ zu jeder Datei, wie viele Suchbegriffe in ihr gefunden wurden, und die Spalte „Suchbegriffe“ listet Ihnen bis zu 10 davon (in einer zufälligen Reihenfolge) auf. Beachten Sie, daß diese Anzeige auf allen Suchtreffern beruht, die nicht gelöscht wurden, und auf allen Suchbegriffen, die jemals in einem Fall verwendet wurden, nicht nur auf den Suchbegriffen, die u. U. in der Suchbegriffsliste ausgewählt sind. Die Vorteile dieser beiden zusätzlichen Spalten sind, daß Sie in Dateien enthaltene Suchbegriffe sogar im normalen Verzeichnis-Browser sehen können (und nicht nur in der Suchtrefferliste), und daß Sie nach der Spalte „SB-Anz.“ sortieren können, um solche Dateien zuoberst zu sehen, die wahrscheinlich relevanter sind (weil sie mehr der von Ihnen gesuchten Begriffe enthalten). Diese Spalten werden nur für Asservate eines Falls gefüllt. Nur mit forensischer Lizenz.

  • Verbesserter und informativerer Windows-Registry-Bericht: Der Bericht kann nun gezielt ausgewählte Teile des Schlüsselpfades zusätzlich zu den Werten ausgeben. Das ist hilfreich bei der Interpretation vieler Registry-Werte und macht es überflüssig, daß Benutzer erst selbst nach relevanten Informationen  im Pfad suchen müssen.

  • Generell beschleunigte Erzeugung des Registry-Berichts.

  • Zusätzliche Informationen werden für den Registry-Bericht aus Windows-7-Registries extrahiert zu Volume-Shadow-Copies, Altprogrammen und Default Gateway MAC.

  • Möglichkeit zum Speichern und Laden von Berichtstabellennamen im Dialogfenster für Berichtstabellen-Verknüpfungen. Nützlich, wenn Sie in einem nmeuen Fall gleich mit einer Reihe vordefinierter Berichtstabellen starten möchten, wie sie typischerweise für eine bestimmte Art von Fällen verwendet werden.

  • Datei-Anhänge können nun auch bei der Fallberichtausgabe in ihre jeweiligen .eml-Elterndateien eingebettet werden, nicht nur bei Verwenden des Befehls „Wiederherstellen/Kopieren“.

  • Von der Verwendung des Befehls zum Einbetten von Datei-Anhängen als Base64-Code schon beim Extrahieren von E-Mails wurde bereits seit mehreren Jahren aus guten Gründen abgeraten. Diese Option wurde nun endgültig vollständig entfernt. 

  • Kerio Connect store.fdb-Dateien, die wie PST/OST-Dateien verarbeitet werden können, wurden als unterstützter E-Mail-Archivtyp hinzugefügt.

  • Empfänger auf Bcc in empfangenen E-Mails (selten und unlogisch, aber offenbar in der Praxis möglich und beobachtet) sind nun im Empfänger-Feld des Verzeichnis-Browsers mit enthalten.

  • Die initialisierte Größe des Datenstroms von Dateien, die aus NTFS-Dateisystemen stammen, kann aus Datei-Containern, die von v15.4 SR-4 und später erzeugt wurden, nun auch importiert werden.

  • Beim Erzeugen von Fallberichten und Kopieren von Dateien für die Anzeige im Bericht wird nun dieselbe leichter lesbare Darstellung von $LogFile, $UsnJrnl:$J, Restore-Point-Change-Logs, $I-Recycle-Bin- und Windows XP Prefetch-Dateien ausgegeben wie sie vom Vorschau-Modus her bekannt ist.

  • Extras | Datei-Tools | Sicheres Löschen wurde beschleunigt. 

  • Die Anzahl tatsächlich enthaltener Chunks in .e01-Evidence-Dateien wird nun in den Asservateigenschaften ausgegeben. Nützlich für unvollständige Images.

  • Eine neue investigator.ini-Option +35 hindert Benutzer von X-Ways Investigator am Ausschalten des strengen Laufwerksbuchstabenschutzes. Zuvor war das Ausschalten in X-Ways Investigator generell nicht möglich.

  • Eine neue investigator.ini-Option +36 hindert Benutzer von X-Ways Investigator am Erstellen eines Fallberichts.

  • Eine neue investigator.ini-Option +37 hindert Benutzer von X-Ways Investigator am Erstellen eines neuen Falls.

  • Fehlerhafte Ausgabe korrigiert, die auftreten konnte, wenn man in einem Index nach Zeichen suchte, die für die Indexierung gar nicht ausgewählt waren. Es hätte in einem solchen Fall gar keine Ausgabe erfolgen sollen.

  • Der Name des Asservats, in dem Kombinationen von SIDs und Benutzernamen gefunden wurden, wird nun in der SID-Auflistung mit ausgegeben, sofern diese Information aufgezeichnet wurde.

  • Wenn beim Abgleich von Hash-Werten mit der Hash-Datenbank ein Hash-Wert in verschiedenen Hash-Sets gefunden wurde, die unterschiedlichen Kategorien zugeordnet sind, dann wurde bisher schon (seit v15.6) eine Warnung ausgegeben. Es ist jetzt garantiert, daß die in einem solchen Fall immer die Kategorie „verdächtig“ zurückgegeben wird.

  • Fähigkeit zum Konvertieren von Motorola-S-Dateien, die Daten in einem Umfang von mehr als 2 GB definieren, ins Binärformat.

  • Diverse kleinere Verbesserungen.

Was ist neu seit v15.8 SR-3?

  • E-Mail-Extraktion aus PST/OST: Fähigkeit zum Referenzieren der Original-Dateianhänge in .eml-Dateien zu E-Mails im TNEF/winmail.dat-Attachment-Stil.

  • Bessere Darstellung von Meeting-Requests, die aus Outlook PST/OST-Dateien extrahiert wurden.

  • Generell leicht verbesserte Darstellung von E-Mail in OST-Dateien.

  • Einige wenige erzeugte .eml-Dateien wurden in der Viewer-Komponente und in Thunderbird ohne Rumpf angezeigt (aber z. B. korrekt in Outlook Express). Dies wurde verbessert.

  • Dateien mit diversen Outlook-Daten wie Kontakte, Verabredungen usw. haben nun das Icon von virtuellen Dateien.

  • Möglichkeit zum Import automatischer Analyse-Ergebnisse (wie z. B. durch DoublePics erkannte ähnliche Bilder) zurück in den Fall nun auch dann möglich, wenn nach dem Export Asservate aus dem Fall entfernt oder hinzugefügt wurden.

  • Die Speichernutzung beim Erstellen des Datei-Überblicks von Reiser-Dateisystemen war ineffizient in v15.6 bis v15.8 SR-2. Dies wurde behoben.

  • Die Optionen zur automatischen Benachrichtigung über den Fortschritt lang andauernder Operationen konnte nicht aktiviert werden. Das wurde behoben. 

  • Einige kleinere Verbesserungen.

Was ist neu seit v15.8 SR-4?

  • Es wurde ein Fehler behoben, der bei Verwendung des Sektor-Lese-Caches auf besonders großen Datenträgern auftreten konnte. 

  • Der Filter für Unterobjekte funktionierte nicht. Dies wurde behoben .

  • Detailliertere Fehlermeldung beim Fehlschlagen von Speicherallokationen. 

  • Einige kleinere Verbesserungen und Fehlerkorrekturen.

Was ist neu in v15.8 SR-5?

  • Wiederherstellen/Kopieren: Dieselben Optionen zu diesem Befehl, die vom normalen Verzeichnis-Browser her bekannt sind, stehen nun auch beim Kopieren von Dateien aus Suchtrefferlisten heraus zur Verfügung. Z. B. können Sie automatisch Unterobjekte mit kopieren und Datei-Anhänge in ebenfalls ausgewählte .eml-Elterndateien einbetten. 

  • Fehlermeldungen in Meldungsfenstern werden nun generell zusätzlich auch in messages.txt mitgeschrieben.

  • Einige kleinere Fehlerbehebungen und Verbesserungen.


Vielen Dank für Ihre Aufmerksamkeit! Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird.

Wir wünschen allen Lesern und Benutzern ein frohes Fest und einen guten Rutsch ins neue Jahr!

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln
X-Ways bei Facebook

 

#119b: Änderungen an WinHex/X-Ways Forensics 15.8 u. a.

9. Nov. 2010

In dieser Ausgabe dieses Newsletters informieren wir Sie außer der Reihe über diverse Änderungen in v15.8 und weitere Neuigkeiten.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter https://www.x-ways.net/winhex/license-d.html.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich „Announcements“ per E-Mail anfordern: http://www.winhex.net


Nächster allgemein zugänglicher Schulungstermin in Deutsch

Köln, 14.-16. Dezember - noch Plätze verfügbar!
Weitere Informationen


Facebook

Sie finden uns nun hier bei Facebook. Wir sind uns bewußt, daß viele unserer Benutzer vermutlich Arbeit und Privatleben streng trennen, hoffen aber dennoch auf ein paar Klicks auf „Gefällt mir“. Je nach Resonanz werden künftig zusätzliche Neuigkeiten und Informationen bei Facebook veröffentlicht.

Versprochen: Selbstverständlich gewähren wir Facebook keinen Zugang zu unseren E-Mails, und teilen mit Facebook bestimmt nicht unsere tausende Kontakte. Außerdem ist unserer offizielle Web-Site nicht Teil irgendeines Facebook-Netzwerks, das Facebook oder anderen Firmen erlauben würde, Sie bei einem Besuch auf unserer Web-Site zu sehen oder wiederzuerkennen.


Was ist neu in v15.8 SR-1?

  • Kleinere Verbesserungen bei der Nicht-MAPI-Extraktion von E-Mails aus OST-/PST-Archiven.

  • Eine neue Verzeichnis-Browser-Option ermöglicht es, den E-Mail-Header-Bereich in der Vorschau von .eml-Dateien wegzulassen. Betrifft nicht den Roh-Modus. Nützlich, wenn Sie mehr vom Rumpf der E-Mail sehen möchten, ohne vertikal rollen zu müssen. Sie können Betreff, Absender, Empfänger und Zeitangaben auch dem Verzeichnis-Browser entnehmen und brauchen dafür nicht unbedingt den Kopf. Etwaige Datei-Anhänge werden aufgelistet, wenn Sie die .eml-Datei erkunden.

  • Wiederherstellen/Kopieren: Möglichkeit zum Einbetten von Datei-Anhängen in .eml-Dateien in bestimmten Situationen, in denen dies zuvor nicht unterstürtzt wurde.

  • Die Option, die es erlaubt, den vermuteten wahren Typ einer mit falscher Endung versehenen Datei oder einer Datei ohne Dateinamenserweiterung beim Kopieren an den Namen anzuhängen, wurde in das Dialogfenster zu Wiederherstellen/Kopieren verlagert. Daß diese Option in der ursprünglichen Version 15.8 unter bestimmten Umständen keine Wirkung hatte, wurde korrigiert.

  • Weitere Datei-Signaturen und Typ-Definitionen für aus der Mac-OS-Welt.

  • Vorschau-Modus: Möglichkeit zum automatischen Entschlüsseln des Auto-Login-Paßworts von Mac OS X 10.5 und 10.6, das in  /private/etc/kcpassword gespeichert ist.

  • Möglichkeit zum Rekonstruieren von JBODs, die aus bloß 2 Komponenten bestehen. Möglichkeit zum Laden zuvor zusammengesetzter JBODs, die in Fällen als Asservate gespeichert wurden.

  • Zeigt die Anzahl der in Berichtstabellen enthaltenen Objekte im Dialogfenster für den Berichtstabellenfilter und im Dialogfenster mit den Berichtsoptionen an.

  • Möglichkeit, die Reihenfolge von Berichtstabellen zu ändern, in den Dialogfenstern für Berichtstabellenfilter, Berichtstabellenverknüpfungen und Berichtsoptionen, wenn man 1 Berichtstabelle auswählt.

  • Ein Ausnahmefehler wurde behoben, der beim Auflisten von Suchtreffern aus einer physischen Suche auftrat.

Was ist neu in v15.8 SR-2?

  • Wiederherstellen/Kopieren: Beim Einbetten von Datei-Anhängen in die jeweilige Elterndatei ist die resultierende .eml-Datei nun in den meisten Fällen kompatibel mit Thunderbird (so daß die Anhänge geöffnet werden können).

  • Ein Fehler wurde behoben, der beim Exportieren übergreifender WinHex-Datenträger-Backups vom Typ .whx in ein einziges Roh-Image auftreten konnte.

  • Kleinere Überarbeitung der PDF-Metadaten-Extraktion. Fehlende Separatoren in .lnk-Metadaten korrigiert.

  • Ein Ausnahmefehler wurde behoben, der beim Öffnen bestimmter Partitionen mit FAT-Dateisystemen auftreten konnte.

  • Visuelle Darstellung von Change-Log-Dateien in Restore-Points verbessert. Diese Dateien werden nun beim Einsehen und im Vorschau-Modus gesondert behandelt, nicht mehr im Detailsmodus.

  • Fehler behoben, der das Einschalten oder Ausschalten der Sommerzeit für bestimmte Zeitzonen-Varianten ohne Wirkung blieben ließ.

  • Ein Ausnahmefehler wurde behoben, der beim Carven von .gif-Dateien auftreten konnte.

  • Einige andere kleine Verbesserungen.


Vielen Dank für Ihre Aufmerksamkeit! Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen. Bitte leiten Sie diesen Newsletter weiter, wenn Sie von jemandem wissen, daß er ihn oder sie interessieren wird.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln

 

#119: WinHex, X-Ways Forensics und X-Ways Investigator 15.8 veröffentlicht

11. Okt. 2010

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein beachtenswertes Update, die Version 15.8.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer privaten, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter https://www.x-ways.net/winhex/license-d.html.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich "Announcements" per E-Mail anfordern: http://www.winhex.net

-------------------------------------------------------------

[...]

-------------------------------------------------------------

Was ist neu?

* Die Gesamtzahl von Dateien, die in einem Verzeichnis oder Asservat direkt oder indirekt enthalten ist, wird nun optional im Verzeichnisbaum und im Verzeichnis-Browser hinter dem Namen angezeigt. Dies erlaubt es, leicht diejenigen Verzeichnisse
oder Asservate/Partitionen auszumachen, die die meisten Dateien enthalten. Die Datei-Anzahl wird auch für Dateien mit Unterobjekte ausgegeben. Sie wird ebenfalls in einer separaten neuen Spalte im Verzeichnis-Browser angezeigt, die sortierbar ist. Nur mit forensischer Lizenz.

* Wenn die rekursive Auswahlstatistik aktiv ist, wird im Verzeichnis-Browser als Größe von Verzeichnissen nun die Gesamtgröße aller Dateien angezeigt, die direkt oder indirekt in dem betreffenden Verzeichnis enthalten sind, und nicht mehr die Größe der Datenstrukturen des Verzeichnisses im Dateisystem. Nur mit forensischer Lizenz. Die rekursive Auswahlstatistik versteht sich jetzt ausschließlich der Größe der Datenstrukturen der Verzeichnisse selbst.

* Die rekursive Auswahlstatistik wird neuerdings in besonderes
großen Datei-Überblicken deutlich schneller berechnet.

* Möglichkeit, intern JBODs zusammenzusetzen, d. h. hintereinander
übergreifend bespielte Festplatten (oder Images davon) virtuell
zu verketten, über den Menübefehl Specialist | RAID-System
zusammensetzen. Erfordert eine Specialist-Lizenz oder höher.
Beachten Sie, daß wenn nicht alle Sektoren auf den Komponenten-
Platten tatsächlich benutzt werden (sondern einige am Ende
reserviert sind), Sie die benutzte Anzahl von Sektoren für
jede Komponente vor dem Zusammensetzen über Extras | Disk-Tools
| "Plattenparameter eingeben" einstellen können.

* Wiederherstellen/Kopieren: Möglichkeit, existierende und
gelöschte Dateien auch ohne Wiederherstellen des Originalpfades
zu gruppieren. Möglichkeit zum Gruppieren nach anderen
Parametern wie Dateityp, Kategorie, Beschreibung, Absender,
Besitzer, Hash-Set, Hash-Kategorie, Berichtstabellen-
Verknüpfung! Nur mit forensischer Lizenz.

* Wiederherstellen/Kopieren: Option zum Einbetten von
Datei-Anhängen in E-Mails (.eml-Dateien), die nicht nur
einen Datei-Anhang, sondern auch weiteren Inhalt haben,
wenn sowohl die Anhänge aus auch die E-Mail zum Kopieren
ausgewählt sind und nicht über Filter ausgeschlossen werden.
Nur mit forensischer Lizenz. Die Möglichkeit zum Einbetten
von Attachments in .eml-Dateien bereits beim Extrahieren
von E-Mails aus E-Mail-Archiven wird erst in der nächsten
Version nach 15.8 endgültig entfallen.

* Wiederherstellen/Kopieren: Das aus einem einzigen Zeichen
bestehende Suffix zum Benennen künstlicher Ausgabeverzeichnisse,
die Unterobjekte von Dateien aufnehmen beim Kopieren mit
Pfad, das sie von den Namen der jeweiligen Elterndateien
unterscheidet, um Namenskonflikte zu vermeiden, ist nun
benutzerdefinierbar. Es kann auch ganz ausgeschaltet werden,
damit sich X-Ways Forensics wie in v15.5 und zuvor verhält,
so daß das Wort " Unterobjekte" angehängt wird. Nur mit
forensischer Lizenz.

* Wiederherstellen/Kopieren repliziert nicht mehr die
Original-Windows-Attribute von Dateien, da versteckte und
mit dem Attribut "System" versehene Dateien mit Standard-
Einstellungen im Windows-Explorer nicht sichtbar sind.

* Für E-Mails, die von v15.8 extrahiert wurden, können Sie
es nun in der Attributspalte ablesen, wenn eine E-Mails als
ungelesen markiert ist. Nur mit forensischer Lizenz.

* Das Filtern nach E-Mails über die Attributspalte wurde
überarbeitet. Beachten Sie, daß die zusätzlichen E-Mail-
Eigenschaften, nach denen Sie filtern können, mit einem
logischen UND verküpft werden, nicht ODER wie ansonsten
im Attribut-Filter üblich. Nur mit forensischer Lizenz.

* Auch selbst versandte E-Mails in PST-/OST-Archiven werden
mit der Nicht-MAPI-Extraktionsmethode nun in Form von
eml-Dateien ausgegeben, und ihre Zeitstempel werden in
üblichen Spalten ausgeben.

* Unterstützung für nicht-deutschsprachige Namen von
Datei-Anhängen in der künstlich generierten .eml-
Repräsentation von E-Mails, die mit der Nicht-MAPI-
Methode aus OST und PST extrahiert wurden.

* Von Outlook in PST-Archiven gespeicherte Kalendereinträge,
Kontakte, Notizen und Aufgaben werden nun auch mit Zeit-
stempeln angezeigt.

* Outlook-Journal-Einträge werden nun besser dargestellt.

* Mit einer forensischen Lizenz können Sie langwierige
Operationen nun von anderen Computern im selben Netzwerk
aus überwachen, also sehen, ob sie noch andauern oder
beendet wurden. Sie können Fortschrittsbenachrichtigungen
in Form von Textdateien erhalten (die in einem Verzeichnis
auf einem Netzlaufwerk erzeugt werden) oder per E-Mail,
in benutzerdefinierten Intervallen, einstellbar in den
Allgemeinen Optionen.

* Neues voreingestelltes Verzeichnis für Fälle unter Windows
Vista und 7, wenn X-Ways Forensics mit dem Setup-Programm
installiert wurde.

* Das Aufklappmenü des Kategoriefilters zeigt nun eine
Statistik über die Kategorien der im Verzeichnis-Browser
aufzulistenden Dateien an.

* Numerisch gefüllte Spalten des Verzeichnis-Browsers wie
etwa 1. Sektor, Hautfarbenanteil, interne ID usw. sind nun
rechtsbündig.

* Zeitstempel und Koordinaten von GPS-Modulen können nun mit
den sonstigen Metadaten aus JPEG-Dateien extrahiert werden.

* Kommentare in Zip-Archiven werden nun bei der Metadaten-
Extraktion mit extrahiert.

* Zip-Archive, die versteckte Dateien enthalten, werden
nun mit einer Berichtstabellenverknüpfung versehen, um
besondere Aufmerksamkeit auf sie zu lenken.

* Bestimmte gelöschte Dateien, die von der intensiven
Dateisystem-Datenstruktur-Suche in NTFS gefunden wurden,
können nun mit korrektem Inhalt dargestellt werden, auch
wenn Sie fragmentiert sind und ihr FILE-Record nicht mehr
verfügbar ist.

* Neue Option für die logische Suche und die Indexierung,
die es erlaubt, die Datenstrukturen von Verzeichnissen
gezielt auszulassen (d. h. in NTFS-INDX-Puffern und FAT-
Verzeichniseinträgen usw. nicht zu suchen).

* Unterstützte Maximalzahl von Suchbegriffen, die logisch
mit einem unscharfen UND verknüpft werden können, leicht
von 7 auf 8 angehoben.

* Zusammenhängende in FAT-Dateisystemen als defekt markierte
Cluster werden nun als separate virtuelle Dateien dargestellt.

* Korrekte Darstellung von FATs und Stammverzeichnis im
Datei-Überblick für FAT-Dateisysteme mit nur einer FAT.

* Detektierung von eCryptfs-verschlüsselten Dateien (die
vom Enterprise Cryptographic File System für Linux gespeichert
wurden), basierend auf Implementationen für Ubuntu 8.10,
9.04, 9.10 und 10.04. Solche Dateien werden in der Attribut-
Spalten mit einem "E" versehen, genau wie EFS-verschlüsselte
Dateien in NTFS, aber erst nach Anwender des Verschlüsselungs-
tests. Nur mit forensischer Lizenz.

* Unterstützung für das Linux-Dateisystem next3. Die
Exclude-Bitmap-Inode wird ausgewertet, und Snapshot-
Dateien werden in der Attributspalte mit (SF) markiert.
Nur mit Specialist-Lizenz oder höher.

* Die Tabelle "Partitions by disk signature" im Registry-
Bericht wird nun auch für Registries von Windows 7 gefüllt.
Es gibt außerdem eine neue Spezialtabelle namens "Windows
portable devices".

* Polnische Übersetzung der Benutzeroberfläche (noch
nicht vollendet).

* Ein Ausnahmefehler wurde behoben, der beim Konvertieren
von Hex-ASCII nach Binär mit dem Menübefehl Bearbeiten |
Konvertieren auftreten konnte. (seit v15.7 SR-7)

* Bestimmte empfangene E-Mails mit Datei-Anhängen in
OST-/PST-Archiven wurden nicht korrekt dargestellt, wenn
sie mit der Nicht-MAPI-Methode extrahiert wurden. Das
wurde behoben. (seit v15.7 SR-7)

* Bestimmte fehlerhafte .- und ..-Einträge in FAT-
Unterverzeichnissen werden nun toleriert. (seit v15.7 SR-8)

* Vervielfacher in GREP-Notation funktionierten u. U.
nicht korrekt in Unicode in v15.7. Dies wurde behoben mit
v15.7 SR-8.

* Hex-Werte in eckigen Klammern in GREP-Notation wurden
in v15.7 nicht korrekt ausgewertet. Dies wurde behoben
mit v15.7 SR-8.

* Ein Ausnahmefehler wurde behoben, der beim Abschluß
einer physischen Suche auftreten konnte, bei der keine
Treffer erzielt wurden. (seit v15.7 SR-8)

* Viele andere kleine Verbesserungen, z. B. bei der
Dateityp-Erkennung.

Bitte beachten Sie, daß Datei-Überblicke, die von
v15.8 erstellt oder importiert wurden, nicht mehr von
früheren Versionen verwendet werden können.  

 

#118b: Änderungen an WinHex/X-Ways Forensics 15.7, X-Ways Forensics 15.8 Preview u. a.

20. Sep. 2010

In dieser Ausgabe dieses Newsletters informieren wir Sie außer der Reihe über diverse Änderungen in v15.7, ein Stellenangebot und weitere weitere Neuigkeiten.

Lizenzierte Benutzer von X-Ways Forensicse erhalten von
https://www.x-ways.net/winhex/license-d.html per E-Mail
Download-Instruktionen für
- X-Ways Forensics 15.7 SR-6
- X-Ways Forensics 15.8 Preview
- eine neue Version der Viewer-Komponente

Die Neuerungen von v15.8 Preview sind beschrieben unter
https://www.x-ways.net/cgi-bin/discus/show.cgi?tpc=1&post=17081#POST17081.

Die Neuerungen der Viewer-Komponente sind beschrieben unter
https://www.x-ways.net/cgi-bin/discus/show.cgi?tpc=1&post=17058#POST17058.

-------------------------------------------------------------

[...]

-------------------------------------------------------------

Was hat sich in v15.7 geändert?

* Die Spalten Absender und Empfänger waren in der ursprüng-
lichen Version 15.7 vertauscht. Korrigiert mit SR-1.

* Zwei Fehler wurden in SR-2 behoben, die beim Erzeugen
eines Datei-Überblicks in SR-2 auftreten konnten.

SR-3:

* Nicht-MAPI-Verarbeitung von PST/OST weiter verbessert.

* Möglichkeit, die letzten Filtereinstellungen auch dann
wiederherzustellen, (über den Zurück-Schalter der Symbol-
leiste) wenn alle Filter mit einem einzigen Mausklick
deaktiviert wurden.

* Ein Ausnahmefehler wurde behoben, der beim Erzeugen des
technischen Detailberichts bei bestimmten nicht 100%ig
effizient formatierten großen FAT32-Partitionen auftreten
konnte.

* Ineffiziente Handhabung negierter GREP-Ausdrücke bei
Suchen in Unicode behoben.

* Ein Fehler beim HTML-Export von GREP-Suchtreffern wurde
korrigiert.

* Einige kleinere Verbesserungen.

SR-4:

* Die italienische Übersetzung der Benutzeroberfläche wurde
auf den neuesten Stand gebracht.

* Möglichkeit, den strengen Laufwerksbuchstabenschutz direkt
beim Speichern von Dateien abzuschalten, z. B. wenn mitten
beim Sichern eines Datenträgers der Speicherplatz ausgeht
und man ein neues Ziel auf einem anderen Laufwerksbuchstaben
angeben muß.

* Wenn die bevorzugte Extraktionsmethode für PST-Dateien
MAPI ist, wird nun die Nicht-MAPI-Methode zusätzlich benutzt,
um Spuren von E-Mails im nicht allozierten Bereich innerhalb
der PST-Dateien zu finden.

* Fähigkeit, ZIPX- und XAP-Dateien von normalen ZIP-Archiven
zu unterscheiden.

* Zusätzliche Definitionen für den Registry-Bericht.

* Fähigkeit, Kombinationen von SID und Benutzernamen aus
bestimmten Nicht-Standard-SAM-Hives automatisch zu extrahieren,
bei denen dies vorher fehlschlug.

* Verbesserte Unterstützung der Windows Registry von Windows
XP bis 7.

* Zwei Ausnahmefehler wurden behoben, die beim Verarbeiten
von Registry-Hives auftreten konnten.

* Ein Problem wurde behoben, das beim Exportieren von Such-
treffern, die das Ergebnis von GREP-Suchen waren, ohne Kontext
aufrat.

* Ein Absturz wurde verhindert, der beim Importieren eines
Ordners mit Hash-Sets oder eines Hash-Sets mit doppelten
Hash-Werten in die Hash-Datenbank auftreten konnte.

SR-5:

* "NICHT"-Option für den Dateityp-Filter.

* Verbesserte Verarbeitung einiger sehr ungewöhnlicher FAT-
Dateisystem-Anordnungen.

* Ein Ausnahmefehler wurde behoben, der beim Öffnen bestimmte
FAT-Partitionen auftreten konnte.

* Verbesserte PDF-Metadaten-Extraktion für bestimmte PDF-
Generatoren.

* Leichte Verbesserungen für den Registry-Bericht.

* Polnische Übersetzung der Benutzeroberfläche (noch im
Anfangsstadium).

* Ein Ausnahmefehler wurde behoben, der beim Erzeugen des
Registry-Berichts auftreten konnte.

* Ein Pfadproblem bei der E-Mail-Extraktion mit v15.7 SR-4
wurde behoben.

SR-6:

* Besser vorbereitet auf die neue Version der Viewer-Komponente.

* Der Dateinamensfilter unterscheidet nun optional zwischen
Groß- und Kleinschreibung.

* GREP-Ausdrücke, die im Dateinamensfilter verwendet werden,
dürfen nun echte Unicode-Zeichen enthalten (z. B. chinesische)
und dürfen nun den Anker ^ verwendet.

* Ein Fehler im Dateinamensfilter wurde behoben, der in v15.7
bei Verwendung von GREP-Syntax auftreten konnte.

* Falsche Zeilenende-Zeichen in .eml-Dateien korrigiert,
die in SR-3 bis SR-5 aus OST/PST-Archiven mit der Nicht-MAPI-
Methode erzeugt wurden.

* Einige kleinere Verbesserungen. 

 

#118: WinHex, X-Ways Forensics und X-Ways Investigator 15.7 veröffentlicht

29. Juli 2010

In dieser Ausgabe dieses Newsletters informieren wir Sie
über ein beachtenswertes Update, die Version 15.7.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip
(korrekte Download-Adresse auch für jeden mit einer private,
professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und
Details zur Update-Berechtigung, Log-In-Daten sowie
Upgrade-Angebote finden Sie wie immer unter
https://www.x-ways.net/winhex/license-d.html .

Wenn Sie an Informationen über Service-Releases interessiert
sind, wenn diese veröffentlicht werden, können Sie sich im
Support-Forum ein Konto anlegen und Benachrichtigungen über
Nachrichten im Bereich "Announcements" per E-Mail anfordern:
http://www.winhex.net

-------------------------------------------------------------

FAQ:

Warum ist ein Upgrade von X-Ways Forensics mit 2 Jahren Update-
Berechtigung u. U. mehr als doppelt so teuer als ein Upgrade
mit 1 Jahr Update-Berechtigung? Tatsächlich ist im Preis für
2 Jahre schon ein größerer Rabatt eingerechnet, sonst wäre er
höher. Die Software wird aber mit jeder Version mächtiger und
auch etwas teurer. Daher ist Update-Berechtigung in der fernen
Zukunft mehr wert (und teurer) als in der nahen Zukunft.

-------------------------------------------------------------

Was ist neu?

* Es wurde eine Schnittstelle eingeführt, die es erlaubt,
Dateien einer bestimmten Kategorie aus ausgewählten Asservaten
in ein benutzerdefiniertes Ausgabeverzeichnis zu kopieren
und damit an ein externes Analyseprogramm zu übergeben, das
direkt aufgerufen wird. Das externe Programm kann dann relevante
oder irrelevante Dateien idenfizieren und Dateien generell
klassifizieren. Das Ergebnis kann in den Fall zurück importiert
werden und wird in Form von Berichtstabellenverknüpfungen
dargestellt, nach denen man filtern oder Berichte erzeugen
kann. Die Schnittstelle arbeitet auf der Fallebene, und die
Befehle dazu finden Sie im Fall-Kontextmenü. Erfordert eine
forensische Lizenz oder X-Ways Investigator.

* Über diese Schnittstelle wird es mit der Profiversion der
Software DoublePics (www.dotnetfabrik.de) und einer geeigneten
Datenbank mit Bildern aus früheren Fällen möglich sein,
bequem und automatisch Bilder in neuen Fällen zu kategorisieren,
die bereits bekannt sind, als "Kipo", "normale Pornographie",
"Grenzbereich", "irrelevant" o. ä. Solche Bilder können auch
dann wiedererkannt werden, wenn sie in einem anderen Datei-
format gespeichert sind, vergrößert oder verkleinert wurden,
wenn die Farben oder die Bildqualität sich geändert haben,
wenn sie bearbeitet worden sind usw., dank Fuzzy Logic und
justierbarer Empfindlichkeit und Toleranz. Daher ist diese
Methode für die Wiedererkennung von Bildern der Verwendung
von Hash-Sets weit überlegen.

* Unterstützung des Dateisystems exFAT. (erfordert eine
Specialist-Lizenz oder höher)

* Möglichkeit zum Interpretieren von dynamischen VHD-Images
von Virtual PC. (erfordert eine Specialist-Lizenz oder höher)
Allozierte Bereiche in solchen Images können auch editiert
werden (in WinHex, nicht in X-Ways Forensics).

* Möglichkeit zum Interpretieren von .e01 Evidence-Files mit
einer internen Block/Chunk-Größe von bis zu 256 KB (statt
zuvor maximal 128 KB). Damit können Sie z. B. auch Memory-Dumps
öffnen, die von einer anderen Software erzeugt wurden.

* Ältere Versionen von Dateien, die von der intensiven Datei-
system-Datenstruktur-Suche in Volume-Shadow-Copies in NTFS-
Dateisystemen gefunden wurden, werden nun mit (SC) in der
Attributspalte gekennzeichnet und können danach gefiltert
werden. Die alten Inhalte von alten Versionen von größeren
Dateien werden in einem künftigen Release korrekt dargestellt.
Die Dateisystem-Metadaten von alten Versionen und normalerweise
die Inhalte von kleineren Dateien werden bereits korrekt
dargestellt.

* Alte Namen/Pfade von umbenannten/verschobenen Dateien in
NTFS, wie optional von der intensiven Dateisystem-Datenstruktur-
Suche entdeckt, werden nun standardmäßig nicht mehr wie bisher
als zusätzliche Objekte im Datei-Überblick und im Verzeichnis-
Browser aufgelistet. Statt dessen werden sie in Kommentaren
erwähnt, die an die umbenannten/verschobenen Dateien angehängt
werden. Dies macht die Dateilisten im Verzeichnis-Browser
deutlich kürzer und kompakter und beschleunigt logische
Suchvorgänge, und mach die Historie einer Datei durch Einsehen
der Kommentare leicht verständlich und überblickbar.

* Die parallele Suche unterstützt nun Suchen ohne Beachtung
von Groß- und Kleinschreibung nicht nur bei deutschen
Buchstaben.

* GREP-Ausdrücke können nun echte Unicode-Zeichen enthalten
(oder anders ausgedrückt können Unicode-Suchbegriffe nun
spezielle GREP-Zeichen verwenden), und es ist möglich, auch
bei Verwendung von GREP-Syntax in bestimmten Code-Pages zu
suchen.

* Die wichtigsten Dokumenttypen von MS Office 2007/2010 und
OpenOffice 2/3 werden nun standardmäßig für die logische
Suche decodiert. Die Haupt-XML-Datei darin wird (bei aktiver
empfehlenswerter Datenreduktion) dafür im Gegenzug bei der
Suche ausgelassen. Dies stellt sicher, daß Sie die Suchtreffer
direkt in den Dokumenten bekommen und nicht in den XML-Dateien,
was bequemer ist, und daß Sie sie nicht unnötigerweise
doppelt bekommen. Die anderen XML-Dateien, die wichtige
Metadaten enthalten können, werden weiterhin durchsucht
(natürlich nur dann, wenn Sie die Inhalte von Archiven
überhaupt in den Datei-Überblick aufgenommen haben).

* Bei Verwendung der Nicht-MAPI-Methode zum Extrahieren von
E-Mails aus PST/OST-Archiven werde nun auch HTML-formatierte
E-Mails gewöhnlich im .eml-Format dargestellt (außer für
selbst versandte E-Mails). Zusätzlich gibt es es anklickbare
Links zu den Datei-Anhängen im Vorschau-Modus (außer für
selbst versandte E-Mails, und nicht garantiert funktionsfähig,
wenn diese Datei-Anhänge Namen mit Zeichen aus anderen
Sprachen haben).

* Früher bestehende Beschränkungen zum Schreiben von Sektoren
in partitionierten Bereichen von Datenträgern unter Windows
Vista/7 wurden praktisch ganz aufgehoben. In 99% aller Fälle
ist es nun möglich, in diesen Windows-Versionen Sektoren
auch zu schreiben.

* Möglichkeit zum rekursiven Löschen von Verzeichnissen mit
Unterverzeichnissen, die mit dem Windows Explorer oder anderen
Windows-Tools und -Befehlen wegen unzulässiger Zeichen nicht
gelöscht werden können, über Extras | Disk-Tools | Rekursiv
löschen.

* Verbessertes Verhalten, wenn eine bereits laufende Instanz
angetroffen wird, die nicht mehr reagiert. Ein neuer mittlerer
Zustand des Kontrollkästchens, das das Verhalten steuert
(s. Allgemeine Optionen) erlaubt es zudem, von Fall zu Fall
zu entscheiden, ob eine weitere Instanz gestartet werden
soll oder nicht.

* Es gibt eine neue Option zum Filtern nach interner ID.
Nützlich zum Beispiel und sehr einfach zu benutzen, wenn
Sie sich auf Dateien konzentrieren möchten, die als letzte
zum Datei-Überblick hinzugefügt wurden (nachdem Sie ihn
erweitert haben), oder wenn Sie eine logische Suche ab
einer bestimmten internen ID fortsetzen möchten (also
Dateien herausfiltern und auslassen, die u. U. schon
zuvor durchsucht wurden).

* Metadaten-Extraktion für .lnk-Dateien von Windows 7
verbessert.

* Kataloge von JumpList-Dateien werden nun im Details-
Modus ausgegeben.

* Ausnahmefehler wurden behoben, die beim Erstellen des
Datei-Überblicks auftreten konnten.

* Einige Fehler wurden mit v15.6 SR-1 und SR-2 behoben,
die in der ursprünglichen Version 15.6 enthalten waren.

* Unterstützung für sehr lange Pfade und Betreffzeilen
in E-Mails in PST/OST-ARchiven durch die Extraktion mit
der Nicht-MAPI-Methode, die länger als 259 Zeichen sind.
(seit v15.6 SR-3)

* Beim Anhängen eines Verzeichnisses von einem Ihrer eigenen
Laufwerke an den Datei-Überblick eines Asservats werden
nun Unterverzeichnis rekursiv ebenfalls eingebunden, und
der Unterverzeichnisbaum wird im Datei-Überblick mit
Hilfe von virtuellen Verzeichnissen abgebildet. Diese
Funktionalität ist nun über einen separaten Kontextmenü-
befehl verfügbar, nicht mehr durch das Gedrückthalten der
Strg-Taste beim Aufruf des bereits bekannten Befehls
"Externe Datei anhängen". (seit v15.6 SR-3)

* Hilfe-Schalter und separates Hilfe-Thema für den Befehl
Wiederherstellen/Kopieren. (seit v15.6 SR-3)

* Unterstützung von Wiederherstellungspunkten bei der
Metadaten-Extraktion: Interne Erzeugungsdaten werden aus
rp.log extrahiert, und zusätzliche Metadaten werden im
Details-Modus für change.log ausgegeben. (seit v15.6 SR-3)

* Neuer Attributfilter für Dateien, die Unterobjekte
anderer Dateien sind (und nicht Unterobjekte von Verzeichnissen,
wie es der Normalfall ist). (seit v15.6 SR-3)

* System-SIDs von Windows werden nun auch in der Spalte
Besitzer aufgelöst, nicht nur in der Anzeige der NTFS-
Berechtigungen. (seit v15.6 SR-3)

* Die Identifizierung von Base64 als Dateityp wurde verbessert.
(seit v15.6 SR-3)

* Unterstützung von $I-Dateien bei der Dateitypprüfung
und bei der Datei-Header-Signatur-Suche. (seit v15.6 SR-3)

* Fehlerbehebungen in der Metadaten-Extraktion. (seit v15.6-SR3)

* Fehler bei der AOL-PFC-Verarbeitung behoben. (seit v15.6-SR3)

* Fehler behoben, der auf einigen Computern auftreten
konnte, wenn pff.dat ausgeführt wurde und eine bestimmte
DLL fehlte. (seit v15.6 SR-3)

* Korrekte HTML-Zeilenende-Zeichen für Metadaten-Felder
in Fallberichten. (seit v15.6 SR-3)

* Daß Meldungen zum Fehlschlagen des Öffnens von Dateien
bei der Indexierung in v15.6 bis SR-2 weggeklickt werden
mußten, wurde verbessert. (seit v15.6 SR-3)

* Absender- und Empfängernamen (zusätzlich zu den E-Mail-
Adressen) werden nun in den betreffenden Spalten auch für
selbt versendete Nachrichten aus Outlook PST/OST-E-Mail-
Archives angezeigt. (seit v15.6 SR-4)

* Die Pfadeinfärbung und der türkisfarbene Pfeil im
Falldatenfenster spiegeln nun die rekursive Erkundung
des Asservatüberblick-Fensters wieder, wenn dieses offen
und aktiv ist, und andernfalls wie zuvor den Zustand
invidiueller Datenfenster von Asservaten. (seit v15.6 SR-4,
wobei das Feature der Pfadeinfärbung nicht unter Windows
Vista/7 verfügbar ist.)

* Ausnahmefehler bei der Metadaten-Extraktion aus bestimmten
OLE2-Dateien behoben. (seit v15.6 SR-4)

* Ausnahmefehler bei der E-Mail-Extraktion behoben. (seit
v15.6 SR-4)

* Das Problem mit der Meldung "Unable to record a search hit"
wurde behoben. Es konnte auftreten für bestimmte Suchbegriffe,
die deutsche Umlaute enthalten. (seit v15.6 SR-4)

* Ein Speicherleck wurde behoben, das beim Erstellen eines
Datei-Überblicks von Ext*-Partitionen auftreten konnte. (seit v15.6 SR-4)

* Daß versteckte Objekte in X-Ways Investigator verpflichtend
angezeigt werden, wird nun nicht mehr bei jeden Neustart
erzwungen, wenn die investigator.ini-Option Nr. 31 nicht aktiv
ist. (seit v15.6 SR-4)

* E-Mail-Extraktion aus PST-Archiven mit der Nicht-MAPI-Methode:
Einige unnötige Fehlermeldungen über vermeintlich fehlende
Objekte wurden vermieden, die tatsächlich nicht fehlten. (seit
v15.6 SR-4)

* Einige Tastenkürzel funktionierten bisher in Dialog- und
Meldungsfenstern nur, wenn ein bestimmter Schalterstil aktiv
war. Dies wurde korrigiert. (seit v15.6 SR-5)

* Ein Fehler wurde behoben, der in SR-4 Suchbegriffe z. T.
abschnitt. (seit v15.6 SR-5)

* Die Sommerzeit-Definitionen für Westaustralien wurden
auf den neuesten Stand gebracht. Diese Verbesserung wird
bei Benutzern im deutschsprachigen Raum natürlich
Begeisterungsstürme hervorrufen. Weitere Witze sind in
diesem Newsletter aber nicht versteckt. (seit v15.6 SR-5)

* Verbesserte Darstellung von Kontakten, Terminen, Aufgaben
und Dateien, die in PST-Archives gespeichert sind, bei der
Nicht-MAPI-Extraktionsmethode. Z. B. wird nicht mehr jedes
einzelne Objekt in einem separaten Unterverzeichnis dargestellt,
und Sie können sich mit Hilfe eines neuen Attributfilters nun
bei Bedarf leicht auf solche Objekte konzentrieren, weil sie
in der Attributspalte mit als "(Div. Outlook-Daten)" gekenn-
zeichnet sind. (seit v15.6 SR-6)

* Einige Speicherlecks behoben. (seit v15.6 SR-6)

* Es können nun bis zu 99 statt 64 Volumes gleichzeitig
geöffnet sein, zusätzlich zu 26 Laufwerksbuchstaben. (seit
v15.6 SR-6)

* Interne Erzeugungsdaten werden nun extrahiert aus Dateien
vom Typ EDB, ETL und SQM. (seit v15.6 SR-6)

* Ein Ausnahmefehler wurde behoben, der auftreten konnte,
wenn man versuchte, gelöschte Dateien in Ext*-Dateisystemen
zu öffnen, die nicht geöffnet werden können. (seit v15.6 SR-6)

* .eml-Dateien, die HTML-formatierte E-Mails repräsentieren,
werden nun optional .html statt .txt genannt, wenn sie aus
dem Image für den Fallbericht herauskopiert werden, so daß
sie schön in Original-Formatierung betrachtet werden können.
(seit v15.6 SR-6)

* Ein Fehler wurde behoben, der in X-Ways Forensics dazu
führen konnte, daß der wahre Typ von Dateien in Datei-Containern
unter bestimmten Umständen falsch ausgelesen wurde. (seit v15.6 SR-6)

* Deer Befehl Wiederherstellen/Kopieren und die Funktion
zum Hinzufügen von Dateien zu einem Datei-Container können
nun optional etwaige aktive Filter berücksichtigen und
herausgefilterte Dateien auslassen, auch wenn sie in zum
Kopieren ausgewählten Verzeichnissen enthalten sind. (seit v15.6
SR-7)

* Beim Versuch, Dateien einem Container hinzuzufügen, die
nicht vollständig lesbar sind, schlug dieser Vorgang bisher
ganz fehl; solche Dateien wurden überhaupt nicht hinzugefügt.
Jetzt ist es so, daß sie dem Container mit dem Vermerk
"Ausschnitt" hinzugefügt werden, sofern sie teilweise lesbar
sind. Falls ihr Inhalt überhaupt nicht gelesen werden kann,
werden sie mit dem Vermerk "Datei-Inhalt unbekannt" versehen.
(seit v15.6 SR-7) Dies zeigt erneut, daß für die ausgewählten
Dateien ein Container praktisch genauso gut sein kann und fast
exakt so detaillierte Metadaten enthalten kann wie eine
herkömmliche physische Datenträger-Sicherung.

* Das Unvermögen, gelöschte Ext*-Partitionen zu finden, wenn
sie mit bestimmten Blockgrößen formatiert wurden, wurde korrigiert.
Weitere Optionen beim Suchen nach gelöschten Partitionen wurden
eingeführt. Bei Standardeinstellungen werden nun viele falsche
Treffer vermieden. (seit v15.6 SR-7)

* Spezielle Regeln für E-Mails beim Unterdrücken von Duplikaten
berücksichtigen nun auch header.txt-Dateien, die bis v15.6 oft
Unterobjekte von E-Mails aus PST/OST-Archives waren. (seit v15.6 SR-7)

* Algorithmus zur Dateityp-Prüfung erweitert und weiter verbessert.
(seit v15.6 SR-7)

* Eine Endlosschleife wurde korrigiert, die unter bestimmten
Umständen bei der Datei-Header-Signatur-Suche auftreten konnte.
(seit v15.6 SR-7)

* Ein Rekursionsfehler beim Verarbeiten von großen Archiven
mit vielen verschachtelt enthaltenen Archiven wurde verhindert.
(seit v15.6 SR-7)

* Ein Ausnahmefehler wurde behoben, der beim Verarbeiten von
Reiser4-Dateisystemen mit einem besonders großen internen
Baum auftreten konnte. (seit v15.6 SR-7)

* Unterstützung für mehrere neue Dateitypen bei der Dateityp-
Prüfung und der Datei-Header-Signatur-Suche (z. B. TravelLog
dat-Dateien, sessionrestore.js, jump list files, diverse
XML-Untertypen, diverse Zip-Untertypen, ...). (seit v15.6 SR-7)

* Ein Fehler wurde behoben, der in SR-7 X-Ways Forensics dazu
brachte, per Signatur-Suche gefundene Dateien unter bestimmten
Umständen falsch zu lesen. (seit v15.6 SR-8)

* Verbesserter Umgang mit Fehlern und verbesserte Vollständigkeit
der Nicht-MAPI-E-Mail-Extraktionsmethode. (seit v15.6 SR-9)

* hiberfil.sys-Dekompression für Windows 7 korrigiert. (seit
v15.6 SR-9)

* Beschreibende Textdateien, die von X-Ways Forensics erstellte
Sicherungen begleiten, sind nun in UTF-8 codiert. (seit v15.6 SR-9)

* Das Beschreibungsfeld für Datenträger-Sicherungen ist nun Unicode-fähig.
(seit v15.6 SR-9)

* Ein Bearbeiterfeld für Datenträger-Sicherungen wurde eingeführt.
Es ist ebenfalls Unicode-fähig. (seit v15.6 SR-9)

* Wenn die Erzeugung der Miniatur-Ansicht eines Bildes für die
Galerie X-Ways Forensics zum Einfrieren oder Abstürzen bringt,
werden Sie nun beim nächsten Neustart automatisch informiert,
welches die verursachende Datei war. (seit v15.6 SR-9)

* Vermeidet einen Ausnahmefehler, der in SR-8 nach den Zusammen-
setzen eines RAID-Systems auftreten konnte. (seit v15.6 SR-9)

* Vermeidet einen Ausnahmefehler, der beim Überprüfung von
Dateitypen auftreten konnte. (seit v15.6 SR-10)

* Der Prozeß, alle Duplikate als bereits eingesehen zu kennzeichnen,
wenn eine dieser Dateien eingesehen wurde, wurde beschleunigt.
(seit v15.6 SR-10)

* Die Konvertierung von Base64 nach Binär filtert nun automatisch
Zeilenumbrüche heraus. (seit v15.6 SR-10)

* Wenn es beim Abgleich von Hash-Werten mit der Hash-Datenbank
für mehrere Dateien Treffer in mehreren Hash-Sets gibt, werden
diese nun immer in der gleichen Reihenfolge angezeigt, was optisch
gefälliger und für eine Sortierung nach der Hash-Set-Spalte sinnvoll
ist. (seit v15.6 SR-11)

* Wenn es mehrere Treffer in mehreren Hash-Sets gibt und diese
Hash-Sets gar nicht alle zur gleichen Kategorie gehören, wird
im Meldungsfenster eine Warnung ausgegeben. (seit v15.6 SR-11)

* Vermeidet nun noch mehr redundante doppelte Dateien, wenn alte
Versionen von Dateien aus Volume-Shadow-Copies dem Datei-Überblick
während der intensiven Dateisystem-Datenstruktur-Suche in NTFS-
Dateisystemen hinzugefügt werden. (seit v15.6 SR-11)

* Die E-Mail-Extraktion mit der Nicht-MAPI-Methode erzeugte in
seltenen Fällen Unterverzeichnisse im Ordner für temporäre Dateien,
die nicht mehr gelöscht werden konnten. Dies wurde behoben.
(seit v15.6 SR-11)

* Das Tastenkürzel Strg+Entf löscht jetzt zusätzlich auch
bereits extrahierte Metadaten für die ausgewählten Dateien.
(seit v15.6 SR-11)

* Neue Version der Grafikbibliothek. Verhindert einen Ausnahme-
fehler, der beim Laden bestimmter Photoshop-PSD-Dateien auftreten
konnte. (seit v15.6 SR-11)

* Ein Ausnahmefehler wurde behoben, der in neuren Releases beim
Verwenden des Positions-Managers auftreten konnte. (seit v15.6 SR-11)

* Die Hautfarben- und Schwarz-Weiß-Bild-Erkennung funktionierte
nicht richtig in v15.6 SR-11. Dies wurde behoben. (seit v15.6 SR-12)

* Verbesserte Darstellung von Notizen aus PST-Archiven, die
mit der Nicht-MAPI-Methode extrahiert wurden. (seit v15.6 SR-12)

* Metadaten-Extraktion aus Cookies optisch (Formatierung) und
inhaltlich verbessert (jetzt oft mit Zeitstempel aus dem Internet).
(seit v15.6 SR-12)

* Möglichkeit, das Tastenkürzel Strg+Entf auch in X-Ways Investigator
zum Zurücksetzen des Bearbeitungsstatus von Dateien im Datei-Überblick
zu verwenden, sofern nicht durch die neue investigator.ini-Option
+33 verhindert. (seit v15.6 SR-12)

* Unterstützung größerer NTFS-komprimierter Dateien in NTFS. (seit
v15.6 SR-12)

* Export von Unicode-Suchtreffern verbessert. (seit v15.6 SR-12)

* Ein seltener Ausnahmefehler im Registry-Viewer und in der
Metadaten-Extraktion wurde vermieden. (seit v15.6 SR-12)

* Ein Datei-Erzeugungsfehler bei Verwendung des Befehls Wiederherstellen/
Kopieren wurde behoben. (seit v15.6 SR-13)

* Zugriff auf physischen RAM unter Windows 2000/XP funktionierte
nicht in v15.6 SR-12. Dies wurde mit v15.6 SR-13 behoben.

* Viele andere kleinere Verbesserungen, einige weitere
kleine Fehlerbehebungen.

 

#117: WinHex, X-Ways Forensics und X-Ways Investigator 15.6 veröffentlicht

1. März 2010

In dieser Ausgabe dieses Newsletters informieren wir Sie über ein wichtiges Update, die Version 15.6.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für jeden mit einer private, professionellen oder Specialist-Lizenz)

Download-Instruktionen für registrierte Benutzer und Details zur Update-Berechtigung, Log-In-Daten sowie Upgrade-Angebote finden Sie wie immer unter https://www.x-ways.net/winhex/license-d.html.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie sich im Support-Forum ein Konto anlegen und Benachrichtigungen über Nachrichten im Bereich "Announcements" per E-Mail anfordern: http://www.winhex.net

-------------------------------------------------------------

Im englischsprachigen Computer-Forensics-Bereich des Forums wurden von einem Benutzer kürzlich einige Vergleiche der Geschwindigkeit von Datenträgersicherungen mitgeteilt. In diesen Vergleichen schlug X-Ways Forensics alle getesteten Konkurrenzprodukte. Preisreduzierte Lizenzen für X-Ways Forensics rein für Datenträgersicherungen können erworben werden unter https://www.x-ways.net/forensics/dongle-d.html#imaging.

-------------------------------------------------------------

Nächste allgemein zugängliche Schulungstermine in Köln:
Köln, 1.-5. März 2010: https://www.x-ways.net/training/koeln1.html
Köln, 31. Mai-2. Juni: https://www.x-ways.net/training/koeln2.html
Details unter https://www.x-ways.net/training/index-d.html.

-------------------------------------------------------------

Was ist neu?

* Es können nun mehrere beim Hash-Abgleich erzielte Treffer (in verschiedenen Hash-Sets) pro Datei im Datei-Überblick aufgenommen werden, nicht mehr nur wie bisher ein Treffer (ggf. mit dem Pluszeichen versehen). (nur mit forensischer Lizenz)

* Beim Importieren eines Hash-Sets filtert X-Ways Forensics nun automatisch doppelte Hash-Werte innerhalb dieses Hash-Sets heraus. Dies hat einen beachtlichen Effekt vor allem bei der US NIST NSRL-RDS-Datenbank. Deren Größe reduziert sich dadurch enorm. Wenn Ihre Hash-Datenbank bereits Hash-Sets mit Duplikaten enthält, werden diese von v15.6 ebenfalls eliminiert, wenn Sie das nächste Mal irgendein weiteres Hash-Set importieren. Hash-Datenbanken, die von v15.6 oder später benutzt wurden, können anschließend nicht mehr von v15.1 oder früher geöffnet werden. (nur mit forensischer Lizenz)

* X-Ways Forensics kann nun normalerweise die tatsächliche Gesamtzahl an Sektoren gemäß ATA auf ATA/SATA-Fesplatten auch in solchen Konstellationen ermitteln, wo dies in früheren Versionen fehlschlug (nur ein Fragezeichen zurücklieferte). Nützlich, um Versuche aufzudecken, die adressierbare Kapazität einer Platte mit einer HPA (Host-Protected Area) der DCO (Device Configuration Overlay) künstlich zu begrenzen. (nur mit forensischer Lizenz)

* Immer wenn X-Ways Forensics auf eine HPA/DCO prüft (also beim Sichern einer Festplatte, beim Hinzufügen zum Fall oder beim Erstellen des technischen Detailberichts) und auch tatsächlich eine findet, bietet es nun an, diese entwedervorübergehend oder permanent zu deaktivieren und die volle offizielle Plattenkapazität zugreifbar zu machen, so daß Sie die Platte z. B. in ihrer vollen Größe sichern können, bevor Sie in ihren früheren Zustand zurückfällt, wenn sie das nächste Mal heruntergefahren wird. (nur mit forensischer Lizenz)

* Der technische Detailbericht kann nun den intern von derFestplatte aufgezeichneten Fehlerzähler ermitteln, sofern über die SMART-Schnittstelle verfügbar. (nur mit forensischer Lizenz)

* Einfacher und schneller Plausibilitätstest für intern zusammengesetzte RAID-5-Systeme, der Sie sofort nach dem Zusammensetzen warnt, sollte die Parity nicht zu den übrigen Daten passen. (nur mit Specialist- oder forensischer Lizenz)

* Bequeme Anzeige und Zerlegung von Object-ID(s) von Dateien,die in NTFS-Dateisystem gespeichert sind, im Detailsmodus. (nur mit forensischer Lizenz)

* Bessere Plausibilitätsprüfung für gelöschte Dateien in Ext2/3-Dateisystemen. (nur mit Specialist- oder forensischerLizenz)

* Repräsentation von Dateisystembereichen in bestimmten Ext4-Partitionen korrigiert. (nur mit Specialist- oder forensischer Lizenz)

* Die "Link-Referenz" (Inode-Nummer) einer Hartverweis-Datei in HFS+ wird nun in der Kommentarspalte angezeigt.Sie können den Kommentarfilter verwenden, um nach einer bestimmten Inode-Nummer zu fahnden. (nur mit forensischerLizenz)

* Repräsentation der Systemdateien "Attributes" und "Startup"im Stammverzeichnis von HFS+-Dateisystemen, falls definiert. (nur mit forensischer Lizenz)

* Ver- und Entschlüsselung mit AES wird nun auf Computernmit mehreren Prozessorkernen durch Parallelisierungbeschleunigt.

* Indexierung und Index-Optimierung wurden überarbeitet. Beide Schritte sind nun etwas schneller, und effizienter in ihrer Speichernutzung. (nur mit forensischer Lizenz)

* Eine neue Verzeichnis-Browser-Option steuert nun, obDateien mit Unterobjekte normalerweise eingesehen odererkundet werden, wenn Sie sie doppelt anklicken. Wenn das Kontrollkästchen halb angekreuzt ist, werden Sie beimDoppelklick auf eine solche Datei immer gefragt, welche Aktion Sie bevorzugen. In früheren Versionen wurde grundsätzlich erkundet, auch wenn es u. U. intuitiver war,eine solche Datei einzusehen (denken Sie an ein von MS Office 2007 oder OpenOffice erzeugtes Dokument mit XML-Dateien als Unterobjekte).

* Erhöhte Sortiergeschwindigkeit für Spalten, für die das Sortieren in v15.4 langsamer wurde (Datumsspalten, Hautfarbenanteil, Pixel, Besitzer, Verweise, ...).

* Daß .eml-Dateien in .txt beim Herauskopieren zumEinfügen im Bericht umbenannt wurden, so daß der Internet Explorer sie öffnen kann, ist nun optional. Ohne das Umbenennen kann Firefox solche Dateien beim Anklicken ggf. an Outlook Express schicken. (nur mit forensischer Lizenz)

* Bildern können nun optional direkt in den HTML-Fall-bericht als Inline-Base64-Code eingebettet werden, sodaß keine weiteren separaten Dateien im Unterverzeichnis des Berichts erforderlich werden. Natürlich vergrößert das die HTML-Datei immens, und nur Firefox unterstützt diese Art der Codierung für größere Bilder. (nur mit forensischer Lizenz)

* Der Ordner für Scripte wird nun auch als Ordner für Schablonen verwendet.

* Daß der allgemeine Ordner für Sicherungen voreingestellt ist beim Hinzufügen von Image zu einem Fall, ist nun optional. (betrifft nur Inhaber einer forensischer Lizenz)

* Die Spalten Absender und Empfänger werden nun auch für Datei-Anhänge gefüllt, so daß Sie auch beim Durchsehen von Datei-Anhängen sofort sagen können, wer welche Dateian wen geschickt hat, ohne zum jeweiligen Elternobjekt (E-Mail) navigieren zu müssen (was z. B. durch Drückender Rücksetz-Taste möglich wäre). Sie können Datei-Anhänge auch anhand Absender und Empfänger filtern. (nur mit forensischer Lizenz)

* Die Felder Absender und Empfänger werden nun auch für solche E-Mails in Datei-Container aufgenommen, die ohne MAPI-Methode aus PST-Archiven sowie aus anderen Archivtypen extrahiert wurden. (nur mit forensischer Lizenz)

* Das Sortieren vieler E-Mails nach Absender oder Empfänger war potentiell sehr langsam in früheren Versionen, außerin v15.5 für E-Mails, die mit der neuen Methode aus PST/OST-Archiven extrahiert wurden. Das Sortieren ist nun generellschnell für E-Mails, die mit v15.6 extrahiert wurden. (nur mit forensischer Lizenz)

* Die Felder Absender und Empfänger sowie internes Erzeugungsdatum werden nun aus ursprünglichen .eml-Dateien (also .eml-Dateien, die nicht von X-Ways Forensics beim Extrahieren von E-Mails aus E-Mail-Archiven selbsterzeugt wurden) beim Extrahieren von Metadaten gefüllt. (nur mit forensischer Lizenz)

* Es wurde ein Fehler behoben, der Instabilitäten beim Verwenden der Filter Absender und Empfänger zur Folgehaben konnte. (nur mit forensischer Lizenz)

* Metadaten-Extraktion aus HTML-Dokumenten. (nur mit forensischer Lizenz)

* Möglichkeit, Datei-Container nach dem Befüllen auch inX-Ways Investigator zu fixieren, zu konvertieren und zu verschlüsseln, genau wie in X-Ways Forensics. Nützlichz. B. wenn kriminalpolizeiliche Sachbearbeiter das von ihnen gefundene inkriminierende Material (z. B. Kipo) an andere Abteilungen/Behörden im verschlüsselten Zustandweitergeben sollen. Um Benutzer von X-Ways Investigator,die diese Funktion nicht benötigen, nicht unnötig zuverwirren, können Sie ihnen diese Funktion mit dem neueingeführten Schalter +32 in der Datei investigator.ini gezielt vorenthalten.

* Option, WinHex/X-Ways Forensics unter Windows Vista/7 gezielt immer als Administrator auszuführen (s. AllgemeineOptionen).

* Option zum automatischen Neustart des Programms, wenndies nach Änderung bestimmter Einstellung nötig ist.

* Option, dem Schlüssel für bereits hinzugefügte AES-verschlüsselte .e01-Evidence-Files in der Falldateizu speichern, so daß Sie ihn nicht immer wieder beimÖffnen eingeben müssen. Das ist bequem, aber 100% sichernur dann, wenn Sie Ihre Falldateien adäquat schützen.(nur mit forensischer Lizenz)

* Der Attributsfilter für "e?" funktionierte nicht richtig für Dateien, die als Datei-Anhänge gekennzeichnet waren. Dies wurde behoben.

* Es wurden ein Fehler behoben, der die geladenen Dateityp-Kategorie-Definitionen beschädigte und zu einer leeren Datei "File Type Categories.txt" führen konnte.

* Ein Fehler wurde behoben, der beim Öffnen von Dateien mit sehr langen Namen in HFS+-Dateisystemen auftretenkonnte. (seit v15.5 SR-1)

* Die Erzeugung von Roh-Image-Dateien im "sparse"-Stil lief in der ursprünglichen Version 15.5 nicht korrekt.Das wurde mit v15.5 SR-1 korrigiert.

* Die Definitionen in "File Type Categories.txt" wurden aktualisiert und erweitert. (nur mit forensischer Lizenz)

* Fehlzuordnungen mit v15.5 SR-2 behoben, die beim Importieren von Berichtstabellenverknüpfungen und Kommentaren aus Datei-Containern in den Datei-Überblick in v15.5und v15.5 SR-1 auftreten konnten.

* Ausnahmefehler mit v15.5 SR-2 behoben, der in seltenen Situationen beim Überprüfen des Typs von bestimmten Textdateien auftreten konnte.

* Der Dateinamensfilter hat bei anderen Buchstaben als A-Z entgegen der Dokumentation zwischen Groß- und Klein-schreibung unterschieden. Dies wurde mit v15.5 SR-3 korrigiert.

* Entfernt Punkte am Ende von Verzeichnisnamen beimKopieren/Wiederherstellen mit Pfad, so daß Windows das Erzeugen dieser Verzeichnisse erlaubt. (seit v15.5 SR-3)

* Ein Ausnahmefehler wurde verhindert, der beim Auswähleneines Datenträgers auftreten konnte. (seit v15.5 SR-3)

* Unterstützung von .e01-Evidence-Files mit mehr als 2^32 Sektoren. (seit v15.5 SR-3) (nur mit forensischerLizenz)

* Ein Fehler wurde behoben, der in einigen Versionenneueren Datums eine Fehlinterpretation der Sektorgrößein Roh-Images von bestimmten Apple-Festplatten zur Folge hatte. (seit v15.5 SR-3)

* Fähigkeit, die Historie der 10 letzten Abspeicherungenin MS-Word-Dokumenten in einigen seltenen Fällen anzu-zeigen, in denen dies vorher nicht gelang. (nur mit forensischer Lizenz)

* Informationen im Details-Modus über neuere hiberfil.sys-Dateien in Windows Vista und Windows 7 korrigiert. (seit v15.5 SR-4, nur mit forensischer Lizenz)

* Zwei seltene Ausnahmefehler in der Typprüfung behoben.(seit v15.5 SR-4)

* Das Initialisieren des freien Speichers ließ in v15.5den zuvor freien Speicher als allokierte Datei zurück.Dies wurde in v15.5 SR-4 behoben.

* Ein Ausnahmefehler wurde behoben, der in v15.5 beim Exportieren der Spalten Absender und Empfänger auftretenkonnte. (seit v15.5 SR-4)

* Ein Fehler wurde behoben, der beim Schreiben von Datenträgersektoren jenseits der 2-TB-Grenze auftretenkonnte. (seit v15.5 SR-4)

* Ein Ausnahmefehler wurde behoben, der beim Editieren von Sektoren auf Datenträgern mit einer Sektorgröße von4 KB auftrat. (seit v15.5 SR-4)

* Die Auflistung einer virtuelle Datei namens "Nichtpartitionierbarer Speicher" wird nun in Fällen, in denen sie keinen Sinn hat, vermieden. (seit v15.5 SR-4)

* Viele andere kleinere Verbesserungen, einige weitere kleine Fehlerbehebungen.

 

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <