Bestellung, Preise:
  Lizenzkauf online
 
  Überweisung
 
  Lizenzen upgraden
 
Produkte
 
X-Ways Forensics X-Ways Forensics
Integrierte Forensik-Software
 
X-Ways Investigator X-Ways Investigator
Ermittler-Version v. X-Ways Forensics
 
Näheres zu WinHex WinHex
  Lizenztypen
  Upgrade
  Forensische Features
  Alle Features
 
Näheres zu X-Ways Imager X-Ways Imager
Disk-Imaging
 
Näheres zu X-Ways Capture X-Ways Capture
EDV-Beweissicherung
 
Näheres zu X-Ways Trace X-Ways Trace
Benutzer-Aktivität
 
Näheres zu Davory Davory
Datenrettung
 
Näheres zu X-Ways Security X-Ways Security
Datenlöschung
 
Dienstleistungen
 
Schulungsangebot
 

 
Kontakt zu X-Ways Kontakt
Support-Forum
 
Die X-Ways AG Die X-Ways AG
X-Ways in Facebook X-Ways in Facebook
  X-Ways Software Technology AG
English
 
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#132: WinHex, X-Ways Forensics und X-Ways Investigator 17.0 veröffentlicht

27. März 2013

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit bemerkenswerten neue Features, die Version 17.0.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie eine ältere Version weiter nutzen möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.

Schulungen

Köln, 8.-11. Apr. 2013 (X-Ways Forensics, ausgebucht)
Köln, 3.-6. Juni 2013 (Speicherforensik, FAT, exFAT, NTFS, XWFS2, Ext2/3/4, XFS)
Weitere Informationen

Was ist neu in v16.7?

(Beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Netzwerk-Dongle

  • Fähigkeit, X-Ways Forensics 17.0 und folgende Versionen (auch v16.9 SR-4 und v16.8 SR-10) mit Netzwerk-Dongles zu verwenden. Netzwerk-Dongles sind ab jetzt optional anstellen von normalen Dongles erhältlich. Ein einzelner Netzwerk-Dongle kann x Lizenzen repräsentieren und x normale Dongles ersetzen und es den Benutzern ermöglichen, X-Ways Forensics auf x Rechnern im selben Netzwerk gleichzeitig laufen zu lassen. Der Netzwerk-Dongle wird an einen beliebigen Rechner im Netzwerk angeschlossen und den Client-Systemen durch ein Dongle-Server-Programm oder einen -Service zur Verfügung gestellt. Falls ein Client-System mehrere Netzwerk-Dongles findet, kann der Nutzer einen davon beim Start von X-Ways Forensics auswählen. Falls einer dieser Dongles bereits vollständig verwendet ist hinsichtlich der Anzahl Lizenzen, die er repräsentiert, kann der Nutzer dies sehen und einen anderen Dongle wählen. Praktischerweise kann ein Netzwerk-Dongle auch lokal wie ein gewöhnlicher Dongle oder ein Multi-User-Dongle verwendet werden, wenn nötig!

    Sie haben die Wahl, neue Lizenzen mit einem Netzwerk-Dongle statt normaler Dongles zu bestellen, abhängig von der Anzahl Lizenzen entweder umsonst oder gegen einen Aufpreis. Wenn Sie bereits viele Lizenzen besitzen, können wir Ihnen anbieten, viele oder alle Ihrer existierenden normalen Dongles gegen einen einzelnen Netzwerk-Dongle einzutauschen. Viele weitere Informationen zu Dongles im allgemeinen und Netzwerk-Dongles im Besonderen finden Sie auf http://www.x-ways.net/forensics/dongle-d.html#types.

Dateisystem-Unterstützung

  • In neu erzeugten Datei-Überblicken von HFS+-Volumes mit harten Verweisen können Sie solche Dateien jetzt direkt einsehen und müssen die zugehörige sogenannte indirekte Knoten-Datei nicht mehr manuell aufsuchen (diejenige, deren Name die iNode-Nummer enthält, die in der Kommentar-Spalte angegeben ist).

  • Neu erzeugte Datei-Überblicke unterstützen jetzt ein neues Konzept: "zugehöriger" Dateien; die miteinander verwandt sind auf andere Weise als Eltern-Kind- und Geschwister-Beziehungen. Die zugehörige Datei für harte Verweise in HFS+ zum Beispiel ist die entsprechende indirekte Knoten-Datei. Die zugehörige Datei für Dateien, die in Schattenkopien in NTFS gefunden wurden, ist die Schattenkopie-Trägerdatei. Die zugehörige Datei für eine Schattenkopie-Trägerdatei ist die zugehörige Snapshot-Properties-Datei (in der Typ-Spalte als "snapprop" bezeichnet). Weitere Arten von n:1-Beziehungen sind in zukünftigen Versionen vorstellbar. Dateien, für die eine zugehörige Datei definiert ist, werden links neben in ihrem Icon mit einem kleinen blauen, nach unten zeigenden Pfeil versehen.

  • Ein neuer Befehl im Kontextmenü des Verzeichnis-Browsers (im Untermenü Navigation) erlaubt das bequeme Aufsuchen der zugehörigen Datei, falls eine solche für die ausgewählte Datei existiert. Sie können auch Umschalt+Rücksetztaste drücken, um zur verwandten Datei zu navigieren. Dies ist analog zum alleinigen Betätigen der Rücksetztaste, was zur Eltern-Datei bzw. -Verzeichnis navigiert.

  • Für Dateien, die von v17.0 und später in Schattenkopien gefunden werden, zeigt die Attr.-Spalte jetzt die fortlaufende Nummer des Snapshots an, in dem diese gefunden wurden, wie von der Snapshot-Properties-Datei angezeigt.

  • Vermeidet weitere bedeutungslose identischen Spuren von Dateien, die in Schattenkopien gefunden werden.

  • In neu erzeugten Datei-Überblicken von NTFS-Volumes erhalten Dateien mit harten Verweisen jetzt eine Sonderbehandlung. Ein zusätzlicher harter Verweis, der lediglich einen kurzen Dateinamen bereitstellt, um die 8.3-Bedingungen alter Microsoft DOS/Windows-Versionen zu erfüllen, wird nicht mehr als Verweis gezählt. Stattdessen wird für solche Dateien ihre Verweis-Zählung in der Verweise-Spalte des Verzeichnis-Browsers mit einem ° markiert. Auf diese Art repräsentiert die Verweis-Zählung besser die tatsächlich im Datei-Überblick von X-Ways Forensics vorhandenen harten Verweise, und normale Dateien haben immer einen Wert 1, während 2 oder mehr wirklich eine Besonderheit bedeutet.

  • Ein Filter für die ID-Spalte ist jetzt verfügbar, mit dem bequem andere harte Verweise einer gegebenen Datei ermittelt werden können (außer in HFS+).

  • Wenn eine Datei mit harten Verweisen in Dateisystemen mit direkter Unterstützung für harte Verweise (nicht HFS+) eingesehen wird, werden die anderen harten Verweise optional jetzt ebenfalls zugleich als bereits eingesehen markiert, wie von früheren Versionen bekannt für Duplikate laut Hash.

  • Wenn eine Berichtstabellen-Verknüpfung gleichzeitig auch für Duplikate der ausgewählten Dateien erzeugt wird, schließt dies jetzt auch die anderen harten Verweise derselben Datei mit ein (außer in HFS+).

  • Unterstützung von tiefer verschachtelten Unterverzeichnissen in Ext*-Dateisystemen.

Suchfunktionen

  • In neu erzeugten Datei-Überblicken von NTFS-Volumes können alle "echten" harten Verweise (d. h. alle außer kurze Dateinamen) bis auf einen bequem von der logischen Suche und der Indexierung ausgeschlossen werden. Heutzutage finden sich in Windows-Installationen oft zwischen 10.000 und 100.000 harte Verweise von Systemdateien, zum Beispiel 27 Verweise auf eine Datei wie "Ph3xIB64MV.dll" in Verzeichnissen wie etwa
    \Windows\System32\DriverStore\FileRepository\ph3xibc9.inf_amd64_neutral_ff3a566e4...
    \Windows\System32\DriverStore\FileRepository\ph3xibc2.inf_amd64_neutral_7621f5d6...
    \Windows\System32\DriverStore\FileRepository\ph3xibc5.inf_amd64_neutral_2270382...
    \Windows\winsxs\amd64_ph3xibc9.inf_31bf3856ad364e35_6.1.7600.16385_none_a0a...
    \Windows\winsxs\amd64_ph3xibc5.inf_31bf3856ad364e35_6.1.7600.16385_none_9e7...
    \Windows\winsxs\amd64_ph3xibc12.inf_31bf3856ad364e35_6.1.7600.16385_none_64...
    etc. etc.
    Indem man nur einen Verweis einer Datei durchsucht, kann man typischerweise mehrere GB an doppelten Daten ausschließen und verpaßt dennoch nichts, wenn man alle anderen Dateien durchsucht. Die zusätzlichen harten Verweise, die ausgeschlossen werden, werden in der Spalte Verweise mit einem Stern (*) markiert. Suchtreffer im einzigen Verweis, der durchsucht wurde, werden mit dem Hinweis "-> Verweise" in der Spalte Anmerk. versehen, um Sie an die anderen harten Verweise derselben Datei zu erinnern, falls diese Suchtreffer relevant sind.

  • Unterstützung für eine weitere künstlich definierte Codepage, die es ermöglicht, UTF-16-Text zu suchen und zu lesen, der von MS Outlook in sogenannter komprimierbarer Verschlüsselung kodiert ist.

  • Es ist jetzt möglich in bis zu sechs Codepages gleichzeitig suchen oder indexieren zu lassen.

  • Die bereits früher unterstützte künstliche nicht-Unicode-Codepage für MS Outlook komprimierbare Verschlüsselung arbeitet jetzt auf der Basis einer nutzerdefinierten Codepage (standardmäßig identisch mit derjenigen, die in Ihrem Windows-System für Nicht-Unicode-Anwendungen aktiv ist), nicht nur Latin 1. Unter Umständen wichtig für Sprachen, die nicht westeuropäisch sind. Outlook verwendet die Windows-System-Codepage in seiner alten, nicht-Unicode-fähigen Variante von PST.

  • PST- und OST-Dateien werden von der logischen Suche und der Indexierung jetzt nicht mehr ausgeschlossen, wenn die empfehlenswerte Datenreduktion aktiv ist und E-Mails und andere Outlook-Daten daraus extrahiert wurden, dafür aber MBOX.

  • Suchtreffer in allen Varianten von UTF-16, die nicht an geradzahligen Offsets ausgerichtet sind, werden in der Anmerk.-Spalte als "unaligned" gekennzeichnet, als kleiner Hinweis und Erklärung, warum Sie den Text nur in der die Ausrichtung beachtenden Kontext-Vorschau der Suchtreffer-Spalte lesen können, aber nicht in der Text-Spalte.

  • Logische Suchen decken jetzt auch ganz speziell den Übergangsbereich zwischen nicht-initialisierten (aber physisch allokierten) Bereichen von Dateien zu unmittelbar folgendem freien Speicher ab, falls die Option "Übergang Dateischlupf/freier Speicher" aktiv ist.

  • Fähigkeit, eine logische Suche in ausgewählten Dateien über das Kontextmenü des Verzeichnis-Browsers aus dem Asservat-Überblick zu starten.

Dateiformat-Unterstützung

  • Die Funktion "Eingebettete Daten aus diversen Dateitypen hervorholen" verwendet einige spezielle Algorithmen für bestimmte Dateitypen (Windows.edb, thumbs.db, PLists) und Datei-Header-Suche auf Byte-Ebene für alle anderen Host-Dateien. Diese Header-Suche war in früheren Versionen auf eingebettete JPEG- und PNG-Dateien beschränkt (+EMF in mehrseitigen .spl Druck-Spooler-Dateien). Jetzt wird nach allen Dateitypen gesucht, deren Definition in der Datei "File Type Signatures Search.txt" einen Tilde-Algorithmus (~) besitzt und mit dem neuen Flag "e" (für "eingebettet") markiert ist. Ein sehr gutes Beispiel dieser neuen Flexibilität sind .lnk-Verknüpfungen, die jetzt in customdestinations-ms Jumplists gesucht werden.

  • Spezielle Extraktion von Objekten (Bilder und andere), die in OLE2-Verbunddateien wie MS Word .doc und MS PowerPoint .ppt eingebettet sind, in denen zuvor nur JPEG und PNG gefunden wurden, und dies nur durch gewöhnliche Datei-Header-Suche. Eingebettete Bilder werden jetzt oft mit ihrem Originalnamen oder ihrer Benennung im Dokument ausgegeben und werden korrekt extrahiert, selbst wenn sie innerhalb der OLE2-Verbunddatei fragmentiert gespeichert sind.

  • Das Aufnehmen der Inhalte von 5 üblicherweise eher irrelevanten Zip-Untertypen ist beim Erweitern des Datei-Überblicks jetzt optional, statt wie bisher nur JAR.

  • Das Erkunden Zip-basierter Office-Dokumente wie die von MS Office 2007/2010, LibreOffice, OpenOffice, iWork ist jetzt ebenfalls optional bei der Erweiterung des Datei-Überblicks. Nützlich, wenn Sie oder die Empfänger von Datei-Containern, die Sie erzeugen, die Dokumente nur als Ganzes sehen wollen, ohne die eingebetteten Bilder oder XML-Dateien separat, und aus diesen XML-Dateien keine Metadaten extrahieren müssen und verschachtelte Dokumente (Dokumente in anderen Dokumenten eingebettet) selbst erkennen können.

  • Die Unterstützung für binäre PLists wurde um die Behandlung des undokumentierten Datentyps CF$UID ergänzt.

  • Unterstützung in der Datei-Header-Suche für "Gatherer Transaction Log".

  • Spezielle Unterstützung für Header-Suche nach Thumbcache-Fragmenten (CMMM-Records) auf der Byte-Ebene.

  • Die ungefähre Auflösung von Videos wird jetzt in der Pixel-Spalte angezeigt, nachdem zumindest ein Video-Einzelbild extrahiert wurde.

  • Die Option, Objekte in Registry-Hive-Dateien rekursiv anzuzeigen, wurde entfernt.

Datenträger-Unterstützung, Datenträger-Sicherung

  • Der Technische Detailbericht prüft jetzt auf bestimmte Lese-Inkonsistenzen, die mit Flash-Datenträgern (zum Beispiel bei bestimmten USB-Stick-Marken/-Modellen, aber nicht bei anderen) in Bereichen auftreten können, die noch nie beschrieben/verwendet wurden, wo die Daten undefiniert sind. Daten, die aus solchen Bereichen gelesen werden, beispielsweise bei der Erstellung einer Datenträger-Sicherung, können von der Menge an Daten abhängen, die mit einem einzelnen Lesebefehl auf einmal gelesen werden. Das Ergebnis wird im Bericht erwähnt. Wenn solche Inkonsistenzen erkannt werden ("Inconsistent read results!" im Bericht), werden Sie ein Meldungsfenster sehen, das anbietet, die Sektoren aus diesem Datenträger in kleineren Einheiten zu lesen, solange er offen ist, was vermutlich die erwarteten Nullen als Byte-Werte produziert, anstelle eines nicht aus Nullen bestehenden Datenmusters, das nach Zufallswerten aussieht, wenn man solche Bereiche liest. Die Nutzung dieser Option ergibt nicht korrektere oder echtere Daten (undefiniert ist undefiniert, was nicht dasselbe ist wie mit Nullen überschrieben), oder Daten, die mehr oder weniger Beweismaterial enthalten, es kann lediglich einen erheblichen Einfluß auf die zu erzielende Kompressionsrate haben und auf die Reproduzierbarkeit von Hash-Werten mit anderen Anwendungen, die möglicherweise in anderen Größeneinheiten lesen und so unterschiedliche Daten und Hash-Werte erzeugen. Bitte beachten Sie, daß Inkonsistenzen auftreten können, die X-Ways Forensics nicht erkennt, da eine vollständige Prüfung sehr langsam wäre. Wie gesagt, diese Inkonsistenzen sind nicht fatal und kein Software-Fehler, und sie können erklärt werden. Bedeutet das, daß Sie vor der Datenträger-Sicherung Specialist | Technischer Detailbericht aufrufen sollten? Nein, der Bericht wird am Anfang einer Sicherung automatisch erzeugt.

  • Seit v16.3 ist es möglich, ein RAID-System Level 5EE durch Auswahl einer kompatiblen Variante von Level 6 zusammenzusetzen. Jetzt ist es auch möglich, RAID-Systeme 5EE explizit auszuwählen und diese auch dann zu rekonstruieren, wenn eine zugehörige Festplatte fehlt. RAID 5EE wird mit Forward und Backward Parity unterstützt.

  • Fähigkeit anzugeben, wie viele Extra-Threads bei der Erzeugung von .e01-Evidence-Files verwendet werden sollen, wenn man den winzigen Schalter in der unteren rechten Ecke des Dialogfensters Datenträger-Sicherung anklickt. Standardmäßig verwendet X-Ways Forensics nicht mehr als vier und macht das abhängig von der Anzahl der Rechner-Kerne in Ihrem System, aber Sie können normalerweise problemlos versuchen, dies auf bis zu 8 oder auf sehr leistungsfähigen Systemen mit sehr vielen Kernen auch auf 16 zu erhöhen, um die Geschwindigkeit eventuell noch weiter zu erhöhen.

  • Erkennung von dynamischen Volumes von Windows größer als 2 TB auf GPT-LDM-partitionierten Datenträgern.

Herangehensweise

  • Fähigkeit, Dateitypen einen Rang basierend auf deren Bedeutung/Relevanz zuzuweisen und mittels Typ-Status-Filter nach diesem Rang zu filtern. Das Herausfiltern von Dateitypen mit Rang 0 oder 1 wird Schriftart-Dateien, Mauszeiger, Icons, Themes, Skins, Clip-Arts, etc. ausschließen. Dateien mit einem niedrigen Rang sind nur in sehr spezifischen Ermittlungen von Bedeutung, wie etwa Quellcode, an dem Sie beispielsweise auf der Suche nach Office-Dokumenten oder Bildern nicht interessiert wären, aber vielleicht schon, wenn Sie einen Viren-Programmierer suchen. Dateitypen mit höherem Rang sind in mehr Fällen von Bedeutung. Grundsätzlich ist der Rang in einfachen Situationen hilfreich, wo Sie erwarten, was Sie suchen, in gemeinhin bekannten Dateitypen zu finden. Eine andere Idee könnte sein, sich anzugewöhnen, nur Dateien höheren Rangs zu indexieren.

  • Fähigkeit, Dateitypen einer sogenannten Gruppe zuzuordnen, ein neues Konzept, das nicht identisch mit Dateityp-Kategorien ist. Nützlich zum Beispiel, wenn es Ihre Standard-Vorgehensweise ist, Ermittler A Bilder und Videos auswerten zu lassen, Ermittler B Dokumente, E-Mails und andere Internet-Aktivitäten und Ermittler C verschiedene Formen von Betriebssystem-Dateien, basierend auf deren jeweiligen Spezialisierungen. Sie können diesen Gruppen aussagekräftige Namen geben und nach ihnen filtern, ebenfalls mittels Typ-Status-Filter. Die Gruppen werden im Typ-Filter angezeigt.

  • Die neuen Festlegungen werden alle in der Datei "File Type Categories.txt" gemacht. Existierende Dateien dieser Art werden auch weiterhin verwendbar bleiben. Vorschläge für Rang sind in der neuen Standard-Datei bereits angelegt. Sowohl Rang (von 0 bis 9, wobei ein fehlender Rang 0 bedeutet) und Gruppen (Buchstaben von A bis Z) können nach einem Tabulatorzeichen am Ende der Zeile optional definiert werden, in beliebiger Reihenfolge, zum Beispiel als "2P" oder "DI3". So sind bis zu 10 Rang-Ebenen (aber es ist nicht erforderlich, die Bandbreite vollständig zu nutzen) und bis zu 26 Gruppen (und Sie müssen nicht alphabetisch anfangen, Groß-/Kleinschreibung wird ignoriert) möglich. Sie können auch Rang und Gruppen für eine ganze Kategorie auf einmal festlegen, nach einem Tabulatorzeichen in einer Kategorie-Zeile. Um einer Gruppe einen aussagekräftigeren Namen zu geben als nur einen Buchstaben, fügen Sie Gruppen-Definitions-Zeilen am Ende der Textdatei ein, die mit einem Gleichheitszeichen beginnen, z.B.
    =P=Photos und Videos für Bildauswertung
    =D=Dokumente, E-Mails und Internet
    =I=Dateitypen für Indexierung

Ereignis-Analyse

  • Ereignis-Extraktion aus gecarvten Fragmenten von Gatherer Transaction Logs (.gthr2) und existierenden .NTfy.gthr Dateien und mehreren anderen Dateitypen. Dies ist eine Übersicht der Dateiformate, aus denen derzeit Ereignisse extrahiert werden:
    .firefox (~55) Fragmente
    _CACHE_001_ und _CACHE_002_
    .lnk Verknüpfungen
    .automaticDestination-ms
    .chrome Chromium cache data_1, data_2
    .usnjrnl Fragmente
    Registry-Hives
    .hbin Registry-Hive-Fragmente
    .doc (zuletzt gedruckt)
    .msg
    rp.log XP-Wiederherstellungspunkt
    INFO2 XP-Papierkorb
    .recycler Vista-Papierkorb
    .snapprop Vista Snapshot-Properties
    .cookie
    .gthr;.gthr2 Gatherer und Gatherer-Fragmente
    .pf Prefetch
    JPEG GPS
    OLE2 letzte Änderung

  • Mehrere Ereignisse haben jetzt individuelle Beschreibungen, zum Beispiele Ereignisse in der Windows Registry und in index.dat-Dateien des Internet Explorer.

  • Ein Filter für die Ereignis-Typ-Spalte ist jetzt verfügbar.

Installation/Administration

  • Benutzerspezifische Konfigurationen werden jetzt im Nutzerprofil von Windows gespeichert, in einem Unterverzeichnis von \AppData\Local\X-Ways. Die Konfiguration wird jetzt automatisch benutzerspezifisch, wenn X-Ways Forensics ohne Administrator-Rechte aus einem Verzeichnis auf dem C:-Laufwerk gestartet wird, in dem der Nutzer keinen Schreibzugriff hat, wie etwa C:\Programme. Sonst läuft X-Ways Forensics weiterhin mit einer nicht-benutzerspezifischen Konfiguration, damit es eine portable Anwendung bleibt und nicht unnötig Änderungen in laufenden Systemen vornimmt, die Sie einsehen möchten (Triage). Weitere Details finden Sie auf http://www.x-ways.net/winhex/setup-d.html. Ob eine benutzerspezifische Konfiguration verwendet wird oder nicht (und falls ja, aus welchem Grund und wo diese gespeichert ist) kann im Fenster Hilfe | Info nachgesehen werden. Der Grund kann sein "necessarily" (notwendigerweise), falls im Installationsverzeichnis kein Schreibzugriff besteht, oder "forced" (erzwungen), falls eine Datei namens winhex.user im Installationsverzeichnis gefunden wird, oder "for this user" (für diesen Nutzer), falls der Nutzer bereits eine individuelle Konfiguration besitzt, aus einem der anderen beiden Gründe. Die inkonsistente Verwendung von Unterverzeichnissen in Virtual Store wird jetzt vermieden.

Bedienbarkeit

  • Fähigkeit, den Datei-Überblick nur für ausgewählte Dateien zu erweitern, über das Kontextmenü des Verzeichnis-Browsers.

  • Fähigkeit, die meisten Filter- und alle Sortier-Einstellungen im aktiven Fall zu speichern und automatisch wieder zu laden, wenn ein Fall geöffnet wird. Siehe Optionen | Verzeichnis-Browser.

  • Fähigkeit, Filter- und Sortier-Einstellungen in einer separaten Datei zu speichern und jederzeit wieder zu laden, durch Anklicken der Öffnen/Speichern-Icons am rechten Ende der Überschriftszeile des Verzeichnis-Browsers. Solche Dateien erhalten die Dateierweiterung ".settings".

  • Die ausgewählten Dateitypen des Typ-Filters werden jetzt ebenfalls optional im Fall gespeichert, wie andere Filter-Einstellungen. Beachten Sie, daß Kollisionen zwischen Dateityp-Bezeichnungen erkennbar werden, wenn die Auswahl für den Dateityp-Filter geladen wird. Wenn Sie beispielsweise ursprünglich "mmf" = "MailMessage File" (Kategorie E-Mail) ausgewählt hatten, dann werden Sie feststellen, dass "mmf" auch als "Yamaha SMAF" (Kategorie Sound/Music) ausgewählt ist. Dies ist normal und hat keinen Einfluß auf die Filter-Funktion. Im Zweifelsfall listet der Filter auch andere Typen mit derselben Bezeichnung, um auszuschließen, daß etwas übersehen wird.

  • Falls Sie entscheiden, den Verzeichnis-Browser beim Start zunächst nicht sortieren zu lassen, dann wird ab jetzt auch beim Abschalten aller Filter mit einem einzelnen Mausklick nicht sortiert, um Verzögerungen zu vermeiden, wenn plötzlich alle Dateien wieder rekursiv gelistet werden.

  • Strg+A funktioniert jetzt in allen Editierfeldern und allen Mehrfach-Auswahl-Listen in Dialogfenstern.

  • Die Prüfung auf Updates kann jetzt unter Hilfe | Online gefunden werden.

  • Fähigkeit, in den Filtern für ID und int. ID auf "Ungleichheit" filtern zu lassen. Nützlich falls das Erweitern des Datei-Überblicks abstürzen sollte mit einer Datei, die noch nicht Teil des Datei-Überblicks war, als er bei der Erweiterung zuletzt gespeichert wurde. In diesem Fall können Sie bei einem erneuten Versuch die problematische Datei im Voraus herausfiltern und auslassen anhand der zukuenftig zugewiesenen int. ID.

  • Neue Attr.-Filter-Option für andere virtuelle Dateien, was beispielsweise menschenlesbare HTML-Darstellungen für Internet-Browser-Datenbanken, Event-Logs, etc. enthält.

  • Aktivieren des Sync-Modus deaktiviert jetzt automatisch alle Filter, falls Filter den Verzeichnis-Browser daran hindern, die Datei anzuzeigen, die die aktuelle Cursor-Position im Partitions-/Volume-Modus enthält. Wie immer können Sie den Zurück-Schalter benutzen, um zur vorherigen Liste im Verzeichnis-Browser zurückzukehren, aber beachten Sie, daß dies nur funktioniert, wenn der Verzeichnis-Browser den Eingabe-Fokus besitzt, nicht die untere Hälfte des Datenfensters, wo Sie im Partitions-/Volume-Modus navigiert sind, wo mit den Zurück- und Vorwärts-Schaltern Sprünge von einem Offset zum nächsten rückgängig gemacht oder wiederholt werden können.

Verschiedenes

  • Die Werte der Pixel-Spalte werden nun in Datei-Containern des neuen Typs gespeichert.

  • Falls die Option, Unterobjekte gewählter Dateien wiederherzustellen/zu kopieren, halb gewählt ist, bedeutet dies, daß die einzigen Unterobjekte, die kopiert werden, E-Mail-Anhänge sind.

  • Beim Kopieren von Dateien oder Alternativen Datenströmen oder anderen Objekten, denen einige oder alle Zeitstempel fehlen, mit dem Befehl Wiederherstellen/Kopieren repräsentiert X-Ways Forensics den Umstand, dass ein Zeitstempel nicht verfügbar ist indem es den entsprechenden Zeitstempel der ausgegebenen Datei auf ~0 setzt (1. Jan. 1601 in NTFS). Dieses Verhalten existierte bereits in Versionen vor April 2012. Es kann vermieden werden, indem man die Umschalttaste drückt, wenn man im Dialog-Fenster auf OK klickt, beispielsweise falls Sie ein anderes Programm mit dieser Datei verwenden möchten, das Dateien mit solchen Zeitstempeln nicht öffnet (dies wurde für VLC berichtet).

  • Fähigkeit, Video-Einzelbilder verläßlich mit aktuellen Versionen von MPlayer zu extrahieren. MPlayer 1.1 zur Verwendung mit v17 wird jetzt als Download bereitgehalten.

  • Verzeichnis-Browser-Option, Datei-Markierung als Häkchen darzustellen.

  • Die Option "Dateigrößen immer in Bytes anzeigen" befindet sich jetzt in Optionen | Allgemein | Notation. Die Option zur alternativen .eml-Vorschau befindet sich jetzt in Optionen | Viewer-Programme.

  • Extras | Datei-Tools | Rekursiv Löschen kann jetzt automatisch Dateien löschen, für die Sie aktuell nicht das Recht haben, sie zu löschen (zum Beispiel, weil "Trusted Installer" der Eigentümer ist), aber für die Sie alle Rechte bekommen können (falls Sie WinHex mit Administrator-Rechten betreiben).

  • Der Mindest-Speicherverbrauch für geladene Datei-Überblicke wurde reduziert. Mehr Daten aus dem Datei-Überblick können jetzt optional für bessere Performanz im Speicher gehalten werden.

  • Kompaktere interne Organisation bestimmter Dateien im Datei-Überblick (extrahierte E-Mails, Video-Einzelbilder, virtuell angehängte Dateien).

  • Datei-Überblicke von v16.3 (veröffentlicht Oktober 2011) and später können importiert werden, von v15.8 (Oktober 2010) bis v16.2 ebenfalls, solange keine E-Mails von diesen Versionen extrahiert wurden. Ein inkompatibler Datei-Überblick wird erkannt und nicht konvertiert.

  • Speicherbedarf für Suchtreffer wurde um 17% reduziert. Ältere Versionen können Suchtrefferlisten nicht öffnen, die von v17.0 und späteren erzeugt werden.

  • Viele kleinere Verbesserungen.

  • PDF-Nutzerhandbuch und Programmhilfe überarbeitet und aktualisiert für v17.0 auf Deutsch und Englisch.

Änderungen der Service-Releases von v16.9:

  • SR-1: Fähigkeit, eine nutzerspezifische WinHex*.cfg Konfigurationsdatei zu erzwingen, indem eine leere Datei namens "winhex.user" im Installationsverzeichnis angelegt wird.

  • SR-1: Zwei Fehler im Befehl "Liste exportieren" für Ereignislisten wurden behoben.

  • SR-1: Die Spalten Absender und Empfänger werden jetzt auch für E-Mails befüllt, die aus MBOX- und DBX-E-Mail-Archiven mit der neuen Methode extrahiert werden.

  • SR-1: Die Unfähigkeit von X-Ways Investigator 16.9, Datenträger-Sicherungen/Container zu öffnen, wurde behoben.

  • SR-2: Mehr Tabellen werden aus bereits zuvor unterstützten SQLite-Datenbanken extrahiert.

  • SR-2: Chinesische Übersetzung der Benutzeroberfläche aktualisiert.

  • SR-2: Ein Ausnahmefehler wurde behoben, der beim Versuch auftreten konnte, gelöschte Verzeichniseinträge zu finden, bei der Erzeugung eines Datei-Überblicks in XFS-Volumes.

  • SR-2: Eine theoretisch mögliche Situation wurde vermieden, in der zufällige Zeichen an einen (ansonsten korrekten) Dateinamen in XFS angehängt hätten werden können.

  • SR-2: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn der Suchbegriffe-Filter aktiv war während ein Asservat geöffnet wurde, das Suchtreffer enthielt.

  • SR-2: Ein Ausnahmefehler wurde behoben, der beim Parsen von PLists unter bestimmten Umständen auftreten konnte.

  • SR-2: Ein seltener Ausnahmefehler wurde behoben, der beim Parsen von index.dat-Dateien auftreten konnte.

  • SR-2: Ein Verarbeitungsfehler für thumbcache*.db wurde behoben.

  • SR-2: Ein seltener Fehler in der SHA-256 Berechnung bei der Datenträger-Sicherung wurde behoben, der, falls er auftrat, bei der späteren Prüfung des Hash-Wertes entdeckt wurde.

  • SR-3: Die Flags u and U für die Datei-Header-Suche carven jetzt auch aus unpartitionierten Bereichen und Partitionen mit unbekanntem Dateisystem.

  • SR-3: Die neue Option für getrennte Druckaufträge hat nicht auf allen Systemen funktioniert. Jetzt behoben.

  • SR-3: Fähigkeit, die Online-Prüfung auf Updates jederzeit auszulösen.

  • SR-3: Die Darstellung in der Pfad-Spalte war in v16.9 abgeschnitten. Dies wurde behoben.

  • SR-3: Ein Hängenbleiben bei Verwendung des Befehls "Cluster auflisten" bei bestimmten Verzeichnissen in XFS wurde behoben.

  • SR-3: Ein Stabilitätsproblem in v16.9 beim Parsen von $UsnJrnl:$J wurde behoben.

  • SR-4: Fähigkeit, die neuen Netzwerk-Dongles zu verwenden, genau wie in v17.0.

  • SR-4: Dateisystem-Zeitstempel von Verzeichnissen werden jetzt ebenfalls als Ereignisse ausgegeben.

  • SR-4: Reguläre Ausdrücke mit \nnn, wobei \nnn eine Dezimalzahl darstellt, wurden in vorhergehenden Versionen nicht korrekt verarbeitet. Dies wurde korrigiert.

  • SR-5: .lnk-Verknüpfungen, die aus Jumplists extrahiert wurden, wurden intern fälschlich als E-Mail-Anhänge gekennzeichnet. Dies wurde korrigiert.

  • SR-5: Die Metadaten-Extraktion wurde nach einer neuen Installation nicht durchgeführt, bis die Unteroptionen einmal durch Klicken von OK bestätigt wurden. Dies wurde behoben.

  • SR-5: Ein Ausnahmefehler wurde vermieden, der beim Auswerten von Schattenkopien auftreten konnte.

  • SR-5: Verbesserte Kommunikation mit dem Netzwerk-Dongle-Server.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln

Registergericht: AG Bad Oeynhausen HRB 7475
Vorstand: Dipl.-Wirtsch.inf. Stefan Fleischmann
Aufsichtsratsvorsitzende: Dr. Marlies Horstmeyer

Wettbewerb ist normal und gesund. Die Vorstellung, daß einem Unternehmen das alleinige Recht auf abgerundete Rechtecke und bestimmte Fingerbewegungen zusteht, ist absurd. Meiden Sie Produkte der Firma, die mit ihren Anwälten rücksichtslos gegen jeden vorgeht, den sie als Hindernis ansieht, z. B. eine Café-Besitzerin in Bonn und den brasilianischen Schöpfer des Worts "iphone". Danke.

 

  
#131: WinHex, X-Ways Forensics und X-Ways Investigator 16.9 veröffentlicht

6. Januar 2013

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres beachtenswertes Update, die Version 16.9.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Lizenzierte Benuter, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote. Beachten Sie, daß lizenzierten Benutzern von X-Ways Forensics und X-Ways Investigator mit aktiver Update-Berechtigung auch alle älteren Versionen bequem zum Download angeboten werden, anderen i. d. R. auf Anfrage.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und Benachrichtigungen über neue Informationen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie, wenn Sie eine ältere Version weiter nutzen möchten, sollten Sie das letzte Service-Release der betreffenden Version verwenden. Fehler in älteren Releases sind mit einer gewissen Wahrscheinlichkeit bereits behoben worden und sollten nicht mehr an uns berichtet werden.

Schulungen

Köln, 25.-28. Feb. 2013 (X-Ways Forensics, ausgebucht)
Köln, 8.-11. Apr. 2013 (X-Ways Forensics)
Köln, 3.-6. Juni 2013 (Speicherforensik, FAT, exFAT, NTFS, XWFS2, Ext2/3/4, XFS)
Weitere Informationen

Herangehensweise

  • Beim Extrahieren von Metadaten (Teil des Erweiterns des Datei-Überblicks), kann X-Ways Forensics eine Liste von Ereignissen zusammenstellen aus Zeitstempeln, die auf Dateisystemebene gefunden werden sowie intern in Dateien und im Hauptspeicher. Denkbare Quellen sind Verläufe von Internet Bowsern, Event-Logs von Windows, Registry-Hives von Windows, E-Mails usw. Eine Ereignisliste funktioniert genau wie eine Suchtrefferliste und wird angezeigt, wenn Sie einen Schalter anklicken, der sich direkt neben dem Schalter für Suchtrefferlisten befindet, an einem Uhrensymbol zu erkennen. Genau wie eine Suchtrefferliste kommt eine Ereignisliste mit weiteren Spalten daher: Zeitstempel des Ereignisses, Ereignistyp, Ereigniskategorie und optional ein Dateioffset.

    Wenn eine Ereignisliste chronologisch sortiert ist, nach Zeitstempeln, dann funktioniert sie wie eine Zeitleiste, anhand der Sie leichter eine Folge von Ereignissen ablesen können, die an unterschiedlichen Orten gespeichert sind (z. B. E-Mail empfangen, Anhang abgespeichert, Anwendung gestartet, Dokument gedruckt, Datei gelöscht), die Sie sonst nicht untereinander im Zusammenhang sehen könnten. Wie üblich können Sie im Asservat-Überblick Ereignisse von verschiedenen Asservaten auf einmal sehen, rekursiv oder verzeichnisweise erkunden, nach Ereignistyp sortieren oder nach Ereigniskategorie sowie tagesgenau nach bestimmten Zeitspannen filtern.

    Ereignisbasierte Auswertung anstelle von dateibasierter Auswertung ist ein progressiver neuer Ansatz mit völlig anderer Perspektive, der zu Wissen über von Computern aufgezeichnete Aktivitäten führen kann, das auf andere Weise nur schwerlich gewonnen werden könnte. Sie können u. U. Zusammenhänge erkennen (in Verbindung mit Aktivität x stehende andere Aktivität), die ansonsten leicht übersehen wird, und die Logik hinter dem, was passiert ist, besser erklären. Die Quellen von Ereignissen, die von der Metadaten-Extraktion in dieser Version ausgewertet werden, sind noch begrenzt (Dateisystem, index.dat, E-Mails, Prozesse in Hauptspeicher-Dumps). Weitere werden in künftigen Releases hinzukommen.

  • Option, mit einer angepaßten virtuellen Datei "Freier Speicher" zu arbeiten, die um diejenigen Cluster reduziert wird, die erkannt wurden als zugehörig zu ehemals existierenden Dateien, um den Speicherplatz in Dateisystemen zu minimieren, der für logische Suchen und zum Indexieren doppelt gelesen wird. Nach dem Ändern dieser Option (in Optionen | Dateiüberblick) wird die virtuelle Datei aktualisiert, wenn sie das nächste Mal geöffnet wird, z. B. beim Auswählen der Datei im Datei-Modus oder die Datei bei der logischen Suche an der Reihe ist. Relative Offsets der Suchtreffer in dieser virtuellen Datei werden u. U. falsch, wenn sie sich ändert, so daß sie nicht zum Navigieren zu Suchtreffern im Datei-Modus taugen.

  • Neues Flag U für Datei-Header-Signatur-Suchen nur im bereinigten freien Speicher. Insbesondere nützlich für interne Einträge von Zip- und RAR-Archiven, Internet Explorer index.dat-Dateien und Firefox URL-Records um zahlreiche Duplikationen zu vermeiden.

  • Die Flags für die Signatur-Suche b (Suche auf Byte-Ebene) und g (gierige Zuweisung) können jetzt kombiniert werden. Nützlich, wenn Datensätze von Dateien gecarvt werden, für die ein interner Algorithmus verfügbar ist, der mehrere zusammenhängende Datensätze in eine einzige gecarvte Datei zusammenfassen kann. Das Flag g stellt sicher, daß diejenigen Datensätze, die bereits hinzugefügt wurden, nicht noch einmal separat identiziert und gecarvt werden.

Unterstützung für Dateiformate

  • Extraktion aller Tabellen (mit allen Spalten außer Binärdaten) aus allen anderen SQLite-Datenbanken, neben den bereits unterstützten Internet Browser-Datenbanken, als Teil der Metadaten-Extraktion. Die erste extrahierte Tabelle wird auch als Vorschau der SQLite-Datenbank-Datei selbst verwendet.

  • Datei-Signatur-Suche und interner Algorithmus für Datensätze von $UsnJrnl:$J. Eine einzige Datei wird gecarvt, die aus mehreren zusammenhängenden Datensätzen außerhalb bekannter $J-ADS besteht und bequem im Vorschau-Modus eingesehen werden kann (noch im Teststadium). Das Einsehen einer solchen Datei ist deutlich effizienter als das einzeln gecarvter Datensätze.

  • Fähigkeit, bestimmte nicht-standardkonforme GIF-Bilder in der Galerie und im Vorschau-Modus mit Hilfe der internen Graphik-Bibliothek anzuzeigen, die in v16.7 und früher Ausnahmefehler erzeugten und deren Anzeige in v16.8 nicht versucht wurde.

  • Signaturen und Algorithmen für Dateityp-Überprüfung und Datei-Header-Signatur-Suche erheblich überarbeitet.

  • Vorschau für .pf Prefetch-Dateien verbessert.

  • Überarbeitete Verarbeitung von PLists.

  • Die Metadaten-Extraktion für index.dat-Dateien (HTML-Vorschau-Erzeugung und Event-Extraktion) wird jetzt auch auf gecarvte Fragmente von index.dat-Dateien (Internet Explorer URL-Datensätze) angewandt.

  • Menüoption, Text in der Textspalte in Big-Endian UCS-2/UTF-16 Unicode anzuzeigen. Nützlich insbesondere, um ostasiatische Zeichen zum Beispiel in HFS*-Dateisystemen und in binären PLists korrekt anzuzeigen.

  • Gecarvte Dateien besitzen jetzt Schlupfspeicher, falls sie an einer Cluster-Grenze beginnen.

Datenträger-Unterstützung, Datenträger-Sicherung

  • Überlagerung von Sektoren von als schreibgeschützt geöffneten Datenträgern oder interpretierten Images mit anderen Daten. Das kann nützlich sein, wenn Sie kleinere vorübergehend erforderliche Änderungen an den Daten in den Sektoren innerhalb des Programms vornehmen müssen, um die Daten intern richtig interpretiert zu bekommen, wenn Sie aber die Daten auf dem Datenträger oder im Image selbst nicht ändern möchten oder dürfen (oder nicht können, weil es sich nicht um ein Roh-Image, sondern ein .e01-Evidence-File handelt) und auch nicht eine weitere komplette Arbeitskopie eines Images von z. B. 2 TB Größe erzeugen möchten, wenn nur 1 Byte geändert werden muß. Solche Anpassungen können vonnöten sein z. B. in Fällen, in denen eine Partitionstabelle oder Dateisystem-Metadaten leicht falsche Werte enthalten, in denen lediglich das Fehlen einer bestimmten Signatur WinHex davon abhält, das Dateisystem zu erkennen, oder in denen ein einziges umgekipptes Bit verhindert, daß WinHex $MFT in NTFS findet oder lediglich ein falsches Nibble das Erkennen einer Partition als eine LVM2-Container-Partition vereitelt usw. usf. In solchen Situationen können Sie die korrigierten Daten manuell bereitstellen und über die gelesenen Daten legen und dann hoffentlich ohne weitere Probleme mit dem Datenträger bzw. dem Image arbeiten und alle Partitionen und Dateien aufgelistet bekommen, als ob alles in Ordnung wäre. Diese Funktionalität ist gedacht für fortgeschrittene Benutzer, die nicht so leicht aufgeben, wenn Sie zunächst "nichts" sehen, und ein gewisses Maß an Verständnis für Datenstrukturen auf niedriger Ebene mitbringen und Wissen darüber, wie diese zu reparieren sind.

    Sie können die Überlagerung ein- und ausschalten für den Datenträger oder die Partition im aktiven Datenfenster durch Aufruf des Menübefehls Bearbeiten | Sektoren überlagern. Dieser Befehl erlaubt es Ihnen, eine Datei auszuwählen mit dem Roh-Inhalt von Sektoren. Z. B. können Sie eine solche Datei erzeugen, indem Sie ein oder mehrere Sektoren als Block auswählen, den Block in eine neue Datei kopieren, die notwendigen Änderungen darin vornehmen (sogar in X-Ways Forensics möglich, weil normale Dateien anders als Datenträger und interpretierte Images editiert werden können) und die Datei dann speichern. Wenn die Datei dann angewandt wird, wird ihr Inhalt über die gelesenen Originalsektoren geschichtet, beginnend mit dem Sektor, indem sich der Cursor befindet, oder falls die Datei einen Namen der Art "*.n.superimposition" hat, wobei n eine Zahl ist, wird sie auf die Sektoren beginnend bei Sektor n angewandt und alle anderen Dateien im selben Verzeichnis, deren Namen auf die gleiche Maske paßt mit dem gleichen Basisnamen werden ebenfalls auf die entsprechenden Sektoren wie im jeweiligen Dateinamen angegeben angewandt. Sie sehen nun die überlagernden Daten sofort, wenn Sie zu den betroffenen Sektoren navigieren, und können auch weitere Änderungen an der Datei vornehmen, wenn Sie sie in einem separaten Datenfenstern offenhalten. Sobald Sie die Änderungen in dem Fenster gespeichert haben, werden sie auch wirksam in dem Datenfenster, das den Datenträger bzw. die Partition repräsentiert, deren Daten Sie korrigieren möchten, wenn Sie die Ansicht aktualisieren, einen neuen Datei-Überblick erstellen, den Anfang einer Partition definieren, erneut versuchen, eine Datei mit einem defekten FILE-Record zu öffnen usw. usf.

    Bitte beachten Sie, daß nur vollständige Sektoren, keine Teildaten davon, überlagert werden können. Die Überlagerung kann nur für einen Datenträger oder eine Partition gleichzeitig aktiv sein. Bei Bedarf können Sie eine vollständige Kopie (Image oder geklonter Datenträger) des virtuell reparierten Datenträgers bzw. Images mit den üblichen Befehlen erzeugen, während die Überlagerung aktiv ist, so daß in der Kopie die künstlich aufgetragenen Daten direkt eingebettet sind.

  • Unterstützung für PC-kompatible BSD-Disklabel-Partitionierung.

  • Möglichkeit, einen physischen Datenträger (z.B. lokale Festplatte oder Festplatte oder RAM mittels F-Response geöffnet) automatisch von der Kommandozeile zu sichern. Der erste Parameter sollte mit einem Doppelpunkt beginnen und dann die Nummer des Datenträgers in Windows angeben (z.B. ":1" für Festplatte Nr. 1). Der Datenträger wird beim Programmstart automatisch geöffnet. Der zweite Parameter sollte mit dem Pipe-Symbol beginnen, gefolgt von entweder e01 oder raw, um das gewünschte Sicherungsformat anzugeben, gefolgt von einem weiteren Pipe-Symbol und Pfad und Dateiname für die Sicherungsdatei (z.B. "|e01|G:\Output filename.e01"). Als dritter Parameter kann "auto" angegeben werden, um X-Ways Forensics nach der Sicherung automatisch zu schließen. (Dieses Kommando war in WinHex und X-Ways Forensics schon immer verfügbar, wie es auch schon immer möglich war, Dateien von der Kommandozeile aus öffnen zu lassen oder .whs WinHex-Skripte ausführen zu lassen.)
    Ein Powershell-Skript, das die Sicherung des physischen Arbeitsspeichers entfernter Rechner automatisiert, mittels F-Response Enterprise und X-Ways Forensics und unter Verwendung der oben genannten neuen Kommandozeilen-Optionen, wurde vor kurzem hier veröffentlicht.

  • Simultane Erzeugung von 2 Kopien von .e01 Evidence-Files war nicht erfolgreich, falls diese unterschiedliche Namen hatten. Das wurde behoben.

  • Berichtet die Gesamtzahl an CRC-Fehlern in den Asservat-Eigenschaften für jede Hash-Berechnung wenn die Chunk-CRC-Werte beim Lesen aus .e01 Evidence-Files überprüft werden (siehe Optionen | Sicherheit).

Suchfunktionen

  • Leicht zu verwendende Einstellungen für das Alphabet, das Wortgrenzen defininert, wenn nur nach ganzen Wörtern in auf Lateinisch basierenden Sprachen gesucht wird. Die Einstellung für das gründlichste Suchergebnis ist als Standard vorgesehen. Benutzer, die von unsinnigen Suchtreffern für kurze Suchbegriffe in Nicht-Text-Daten wie Base64 oder binären Mülldaten überschwemmt werden, können die beiden anderen Optionen probieren. Diese zwei Optionen können dazu führen, in bestimmten Konstellationen gültige Suchtreffer zu verpassen (hängt vom Dateiformat ab), aber können immer noch zu rechtfertigen sein als große Zeitersparnis für Suchen in Textdokumenten.

  • Möglichkeit, GREP-Syntax ausdrücklich nur für einige bestimmte Suchbegriffe zu verwenden, während andere Suchbegriffe in natürlichen Sprachen sind. Stellen Sie hierzu sicher, daß die GREP-Syntax-Option nur halb angekreuzt ist, und stellen Sie den GREP-Ausdrücken "grep:" voran.

  • Analog, wenn GREP-Syntax nicht verwendet wird, können Sie jetzt nur nach einigen bestimmten Suchbegriffen als ganze Wörter suchen lassen, ebenfalls indem Sie die entsprechende Box nur halb ankreuzen und die Suchbegriffe, die Sie nur als ganze Wörter finden wollen, durch Voranstellen eines Tabulatorzeichens einrücken.

  • X-Tensions API: Neue Flags XWF_SEARCH_WHOLEWORDS2 und XWF_SEARCH_GREP2 für die neuen Suchoptionen. Neue Funktion XT_PrepareSearch unterstützt, die es X-Tensions, die Suchtreffer beobachten, ermöglicht, auch bestimmte Suchoptionen zu beobachten und die Suchbegriffe anzupassen.

  • Maximale Anzahl enthaltener Suchbegriffe, die in der Suchbegriffe-Spalte im Verzeichnis-Browser angezeigt werden, ist jetzt 25 statt bisher 10.

Bedienbarkeit

  • Das Mausrad scrollt aus Gründen der Bedienbarkeit im Galerie-Modus jetzt immer exakt um eine Vorschaubilder-Seite. Überall sonst scrollt das Mausrad seit v16.7 um die Anzahl an Zeilen, die in der Windows Systemsteuerung festgelegt sind. In v16.6 und früher war dies eine Option in den Allgemeinen Optionen.

  • Wenn ein externes Verzeichnis dem Dateiüberblick angehängt wird, erzeugt X-Ways Forensics normalerweise virtuelle Dateien in einem neuen virtuellen Verzeichnis. Jetzt gibt es eine Option, die Dateien im Dateiüberblick in existierenden Verzeichnissen des selben Namens an der selben Position im Verzeichnisbaum unterzubringen. Nützlich, wenn Sie eine gesamte Verzeichnisstruktur aus dem Image kopieren zwecks Konvertierung/Entschlüsselung/Übersetzung/... dieser Dateien außerhalb von X-Ways Forensics, und dann die Ergebnisse in den Dateiüberblick übernehmen und die Dateien neben ihren original Gegenstücken in den selben original Verzeichnissen sehen wollen. Dies kann z.B. helfen, wenn Sie von Adobe Acrobat OCR-Texterkennung auf PDF-Dokumente anwenden lassen wollen, die von X-Ways Forensics als nicht durchsuchbar identifiziert wurden.

  • Wenn Sie ein externes Verzeichnis dem Dateiüberblick anhängen lassen, werden Sie jetzt gefragt, ob das gewählte Verzeichnis selbst ebenfalls angehängt werden soll (bisheriges Standardverhalten in früheren Versionen) oder lediglich dessen Inhalte.

  • Es ist jetzt möglich, den Verzeichnis-Browser zu "unsortieren", indem man den Spaltenkopf derjenigen Spalte, die das primäre Sortierkriterium darstellt, anklickt während man die Umschalt-Taste gedrückt hält.

  • Der Drucken-Befehl im Kontextmenü des Verzeichnis-Browsers hat jetzt eine bequeme Option, ggf. vorhandene Kind-Objekte nach der/n gewählten Datei(en) zu drucken, z.B. E-Mail-Anhänge zusammen mit ihren jeweiligen E-Mails.

  • Möglichkeit, mehrere ausgewählte Dateien optional in getrennten Druckaufträgen zu drucken, wie in v16.3 und früher.

  • Es ist jetzt einfacher, Daten in den Zeitstempel-Filter-Dialogen einzugeben. Sie können jetzt per Knopfdruck eine Kalenderfunktion zum Auswählen des Datums per Mausklick aufrufen.

  • Diverse andere Elemente der Benutzeroberfläche wurden verbessert.

  • Neues Icon für umbenannte/verschobene Verzeichnisse in FAT- und exFAT-Volumes.

  • Mehr statistische Informationen in den Asservateigenschaften.

  • Möglichkeit zum gelegentlichen Prüfen auf Updates online (Optionen | Sicherheit). Dabei wird u. U. die Verfügbarkeit einer neueren Version oder eines neuen Service-Releases der aktuell verwendeten Version (keine Vorab-Versionen) angezeigt, und Sie erhalten die Möglichkeit zum sofortigen Herunterladen. Es werden keinerlei Daten von innerhalb des Programms an das Internet übertragen, z. B. auch keine System-Information, Benutzer-Informationen oder Dongle-ID, weder direkt noch verschlüsselt oder anonymisiert, nicht mal die aktuell verwendete Versionsnummer, sondern gar nichts. Diese Option ist standardmäßig aktiv nur dann, wenn das Programm davon ausgehen kann, daß es auf dem eigenen System des Benutzers ausgeführt wird (wenn von Laufwerk C: aus gestartet oder wenn es mit dem Setup-Programm installiert wurde). Die Prüfung findet nicht schon beim ersten Programmstart statt, so daß Sie auf jeden Fall die Gelegenheit haben, diese Option auszuschalten, bevor etwas passiert. Angesichts der Tatsache, daß die meisten Systeme, auf denen X-Ways Investigator und X-Ways Forensics verwendet werden, keine Internet-Verbindung haben, hat diese Option nur eine begrenzte Wirkung.

  • Ob neue Berichtstabellen-Verknüpfungen für ausgewählte Dateien nur für die gewählten Dateien oder auch für deren Kind-Objekte, Duplikate, usw. erzeugt werden, ist jetzt eine Einstellung spezifisch für jede Berichtstabelle.

  • Der Menü-Befehl Ansicht | Anzeige aktualisieren befüllt jetzt auch den Verzeichnis-Browser neu, falls dieser den Eingabefokus hat. Nützlich z.B. wenn ein Filter für markierte Objekte aktiv ist und Sie die Markierung einiger der gelisteten Dateien entfernen, wenn Sie die Liste im Verzeichnis-Browser auf den aktuellen Stand bringen und die nicht mehr markierten Dateien aus der Anzeige entfernen möchten.

  • Knöpfe, die es ermöglichen, alle Kategorien im Typ-Filter auf- bzw. einzuklappen. Aufklappen aller Kategorien kann nützlich sein, wenn Sie einen bestimmten Typ schnell finden möchten, indem Sie seine Buchstaben eintippen, während die Baumdarstellung den Eingabefokus hat.

  • Neue Option für Meldungen: Wenn in Optionen | Sicherheit gar nicht angekreuzt, werden nur Ausnahmefehler mit potentiell schwerwiegenden Folgen (etwa unvollständige Untersuchungsergebnisse) im Nachrichtenfenster angezeigt. Vollständig angekreuzt werden alle angezeigt, wie bisher, selbst solche, die typischerweise nur mit beschädigten Dateien auftreten und keine negativen Auswirkungen auf andere Untersuchungsergebnisse haben. Die neue Standard-Option ist eine vernünftige Kompromißlösung.

Diverses

  • Fähigkeit, bis zu ~4 GB an Daten in die interne Zwischenablage der 64-Bit-Edition zu kopieren (~2 GB bisher, und auch weiterhin in der 32-Bit-Edition).

  • Neuer Hash-Typ verfügbar: Adler32

  • Die Werte der Bits in den Volume-Attributen von HFS+-Dateisystemen werden jetzt im Technischen Detailbericht angezeigt.

  • Option, nur markierte Dateien für Anzeige im Bericht herauszukopieren, statt alle oder keine. Nützlich, falls Sie alle relevanten Dateien mit ihren Metadaten im Bericht aufführen wollen, aber nur eine Unterauswahl davon zeigen wollen.

  • Sortierung nach Pfad beschleunigt.

  • Viele kleinere Verbesserungen.

  • Einige kleinere Korrekturen.

  • Programmhilfe und Nutzerhandbuch überarbeitet und aktualisiert für v16.9.

Änderungen der Service-Releases von v16.8:

  • SR-1: Suchtreffer in dekodierten Dateiversionen wurden fälschlicherweise an deren künstlichen Offsets im Datei-Modus hervorgehoben. Dies wurde vermieden.

  • SR-1: Ein Fehler wurde behoben in der Art, wie die 64-Bit-Edition exFAT-Dateisysteme liest.

  • SR-1: Ein Fehler wurde behoben, der auftreten konnte, wenn Datei-Container kopiert wurden.

  • SR-1: Die Warnung über in Verwendung befindliche Asservate wurde vermieden in einigen Situationen, in denen sie nicht notwendig ist.

  • SR-1: Inkorrekte Ankreuz-Zustände im Typ-Filter-Dialog wurden behoben, die nach Doppelklicken in Windows-Versionen neuer als XP auftreten konnten.

  • SR-1: X-Ways Imager-Download aktualisiert mit v16.8. Besitzt jetzt eine 64-Bit-Edition, was als mächtiges Programm zur Datenträger-Sicherung und zum Klonen für die 64-Bit-Edition von Windows PE oder FE nützlich ist.

  • SR-2: Eine 64-Bit-Edition der normalen (nicht Dongle-basierten) Version von WinHex ist jetzt für Nutzer mit professioneller oder Specialist-Lizenz verfügbar. Der Speicherbedarf von WinHex ist sehr gering, so daß der erweiterte logische Adreßraum der 64-Bit-Edition keinen relevanten Vorteil bietet. Allerdings kann die 64-Bit-Edition, im Gegensatz zur 32-Bit-Edition, aus einem 64-Bit Windows PE ausgeführt werden, wie Sie es von einer 64-Bit Windows 7 oder Windows 8 Installations-CD oder im Fall von Problemen von einer Festplatte mit Windows 8 Installation booten können. Dies ist z. B. nützlich, wenn Sie Sektoren derjenigen Partition, die Ihre Windows-Installation entält, bearbeiten/reparieren oder sicher löschen möchten, die sonst in Windows Vista und später schreibgeschützt sind. Weitere Informationen zu Windows PE. Lizensierte Nutzer können den Download-Link der zusätzlichen 64-Bit-Dateien von der üblichen Webseite abrufen. Das Setup-Programm ist weiterhin eine 32-Bit-Anwendung. Als portable Anwendung braucht WinHex nicht und sollte auch nicht mittels Setup-Programm installiert werden.

  • SR-2: Eine Endlosschleife wurde vermieden, die in v16.8 bei der Datei-Header-Signatur-Suche nach index.dat-Datensätzen im freien Speicher auftreten konnte.

  • SR-2: Ein Ausnahmefehler wurde behoben, der auftreten konnte, wenn alte Varianten des alten Datei-Container-Formats geladen wurden.

  • SR-2: Ein seltener Ausnahmefehler wurde verhindert, der beim Dateiüberblick-Erzeugen bei Ext-Dateisystemen auftreten konnte.

  • SR-3: Ein Ausnahmefehler in der 32-Bit-Edition von X-Ways Forensics 16.8 wurde behoben, der nach der Erzeugung eines Dateiüberblicks von FAT-Volumes auftreten konnte.

  • SR-3: Die Erzeugung von mehreren Tausenden von Berichtstabellen-Verknüpfungen auf einmal oder deren Import aus einem Datei-Container konnte in v16.8 sehr lange dauern. Das wurde korrigiert.

  • SR-3: Aussagekräftige Benennung für Prefetch-Dateien in der Datei-Header-Signatur-Suche.

  • SR-4: Einige Probleme in X-Ways Imager wurden behoben.

  • SR-4: Die Besitzer-ID von Dateien, die NTFS-Volumes entstammen, wurde von Datei-Containern der 1. Generation nicht an Datei-Container der 2. Generation weitergereicht. Dies wurde behoben.

  • SR-4: Sortierung nach Asservat sortiert nicht mehr alphabetisch, sondern nach der Reihenfolge der Asservate im Fall-Baum. Dies ist erheblich schneller und möglicherweise sogar von vielen Nutzern so erwartet oder erwünscht.

  • SR-4: Der Befehl "Liste nicht sortieren" befüllt jetzt automatisch den Verzeichnis-Browser mit den selben Objekten in der Reihenfolge, in der sie im Dateiüberblick verzeichnet sind. Nützlich insbesondere für Nutzer von X-Ways Investigator, die es gewohnt sind, mit einer unsortierten Liste zu arbeiten, versehentlich einen Spaltenkopf anklicken und nicht wissen, wie sie den Verzeichnis-Browser neu befüllen können.

  • SR-4: Erkennt bestimmte nicht-standardgemäße GIF-Bilder, die Ausnahmefehler erzeugen können, und versucht nicht mehr, diese zu verarbeiten, um Probleme zu vermeiden.

  • SR-4: Möglichkeit, eine eigene Bitmap (16x16 Pixel) bereitzustellen, die Dateien im Verzeichnis-Browser als bereits eingesehen kennzeichnet, falls Sie die standardmäßige hellgrüne Farbe nicht mögen. Stellen Sie die Datei mit dem Namen 9.bmp ins selbe Verzeichnis, in der die .exe-Datei liegt.

  • SR-5: Verbesserte Fähigkeit, Absender- und Empfänger-Felder aus PST-E-Mail-Archiven zu extrahieren, die von SysTools bei der Konvertierung von NFS zu PST künstlich erzeugt wurden.

  • SR-5: Geringfügige Verbesserungen bei der Extraktion aus Exchange EDB.

  • SR-5: Registry-Berichte für Windows 8 Registry-Hives so vollständig wie für frühere Windows-Versionen.

  • SR-5: X-Tensions, die via Extras | X-Tensions ausführen gestartet werden, werden jetzt standardmäßig auf das aktive Datenfenster angewandt, falls ein Datenfenster offen ist, genau wie Specialist | Dateiüberblick erweitern.

  • SR-5: Bestimmte Situationen wurden vermieden, wo das Markieren großer Zahlen von Dateien in einem großen Dateiüberblick extrem langsam war. (Bitte teilen Sie uns mit, wenn Sie weiterhin derartige Probleme haben.)

  • SR-6: Ein Fehler wurde behoben, der bei der E-Mail-Extraktion aus Exchange EDB auftreten konnte.

  • SR-6: Seit v16.4 haben die Typ- und Kategorie-Filter nicht alle numerischen Dateitypen, wie z.B. .123, .000, .001., verläßlich behandelt. Das wurde behoben.

  • SR-6: Ein Ausnahmefehler wurde behoben, der unter bestimmten Umständen bei der Erzeugung einer Vorschau für index.dat-Dateien auftreten konnte.

  • SR-6: Ein seltener Ausnahmefehler wurde behoben, der beim Extrahieren von E-Mails aus MBox-E-Mail-Archiven auftreten konnte.

  • SR-6: Ein Einfrieren des Programms wurde verhindert, das bei der Verarbeitung bestimmter Dateien namens cache.db auftreten konnte.

  • SR-6: Verbesserte Kompatibilität der Datei-Container des neuen Formats mit Mount Image Pro beim Kopieren von Verzeichnissen mit Windows Explorer.

  • SR-7: Signaturen für die Dateityp-Prüfung leicht aktualisiert.

  • SR-7: Ein Fehler wurde behoben, der bei der Verarbeitung von SQLite-Datenbanken auftreten konnte.

  • SR-7: Einige Fehler wurden behoben, die bei der Verarbeitung bestimmter beschädigter Dateien auftreten konnten.

  • SR-7: Eine Situation wurde vermieden, in der die 64-Bit-Edition stehenbleiben konnte, wenn bei der Datenträger-Sicherung die Option "Daten in freien Clustern überspringen" verwendet wurde.

  • SR-7: Ein Fehler in v16.8 wurde behoben, der in bestimmten Situationen (häufiger auf Maschinen mit vielen Prozessorkernen) eine kleine Menge an unsichtbaren, überschüssigen Daten am Ende von komprimierten .e01 Evidence-Files erzeugt hat, was in anderen Tools zu einem falschen Hash-Wert und Lese- oder CRC-Fehlermeldungen führen konnte, obwohl die angezeigten und zugreifbaren Daten in den selben Tools 100% korrekt waren.

  • SR-7: Fehler wurden behoben, die auftreten konnten, wenn das Limit von ~176 Millionen Suchtreffern erreicht wurde.

  • SR-8: Ein Datenfehler wurde behoben, der beim Sichern von Datenträgern mit mehr als 4.294.967.295 Sektoren auftreten konnte.

  • SR-8: Ein Ausnahmefehler mit bestimmten nicht-standardgemäßen Volume-Labels in FAT-Dateisystemen wurde vermieden.

  • SR-8: Ein Ausnahmefehler wurde behoben, der in der 64-Bit-Edition bei der Verarbeitung von .evtx Event-Log-Dateien auftreten konnte.

  • SR-8: Ein Ausnahmefehler wurde behoben, der bei der Verarbeitung bestimmter MSG-Dateien auftreten konnte.

  • SR-9: E-Mail-Extraktion aus MSG-Dateien wurde verbessert.

  • SR-9: Verzerrte Text-Proportionen wurden vermieden, die auf Deckblättern auftreten konnten, wenn mehrere Dateien auf einmal mit der Viewer-Komponente gedruckt wurden.

  • SR-9: Ein Fehler in der Suchfunktion des Registry Viewers wurde behoben.

  • SR-9: Ein Absturz der Funktion Wiederherstellen/Kopieren mit überlangen Pfaden wurde in der nicht Dongle-basierten Version von WinHex behoben.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Agrippastr. 37-39
50676 Köln

 

 

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <