Bestellung, Preise:
NeulizenzenUpgrades
 
Produkte
 
X-Ways Forensics X-Ways Forensics
Integrierte Forensik-Software
 
X-Ways Investigator X-Ways Investigator
Ermittler-Version v. X-Ways Forensics
 
Näheres zu WinHex WinHex
  Lizenztypen
  Upgrade
  Forensische Features
  Alle Features
 
Näheres zu X-Ways Imager X-Ways Imager
Disk-Imaging
 
Näheres zu X-Ways Capture X-Ways Capture
EDV-Beweissicherung
 
Näheres zu X-Ways Trace X-Ways Trace
Benutzer-Aktivität
 
Näheres zu Davory Davory
Datenrettung
 
Näheres zu X-Ways Security X-Ways Security
Datenlöschung
 
Dienstleistungen
 
Schulungsangebot
 

 
Kontakt zu X-Ways Kontakt
Benutzer-Forum
 
Die X-Ways AG Die X-Ways AG
X-Ways in Facebook X-Ways in Facebook
  X-Ways Software Technology AG
English
 
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

  
#149: WinHex, X-Ways Forensics und X-Ways Investigator 18.7 veröffentlicht

27. Jan. 2016

In dieser Ausgabe des Newsletters informieren wir Sie über ein größeres Update mit vielen nützlichen Verbesserungen, die Version 18.7.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Insbes. Benutzer von X-Ways Forensics, X-Ways Investigator und X-Ways Imager finden Download-Instruktionen, Log-In-Daten sowie Details zur Update-Berechtigung wie immer unter http://www.x-ways.net/winhex/license-d.html. Lizenzierte Benutzer, deren Update-Berechtigung abgelaufen ist, erhalten von dort Upgrade-Angebote.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.


Schulungstermine

Köln, 7.-10. März 2016
Termine im Ausland

Wenn wir Sie über weitere Termine informieren dürfen, geben Sie bitte hier Ihre E-Mail-Adresse ein.


Was ist neu in v18.7?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateiformat-Unterstützung

  • Die Genauigkeit der Dateityp-Prüfung wurde weiter verbessert. Weniger Dateitypen mit generischen Dateierweiterungen werden jetzt unnötig als „neu erkannt“ gekennzeichnet, sondern bestätigt, falls der volle Dateiname für den Dateityp angemessen ist.

  • Überprüfung vieler weiterer Dateitypen unterstützt. Insgesamt erkennt die Datetyp-Prüfung jetzt über 3.000 Dateitypen.

  • Überarbeitete hiberfil.sys Unterstützung für 64-Bit-Windows.

  • hiberfil.sys-Schlupf (komprimierte Daten aus früheren Verwendungen der Datei hiberfil.sys, wie sie gegen deren Ende gefunden werden, wenn die letzte Verwendung stärkere Komprimierung erreicht hat als frühere Verwendungen) wird im Zuge der Funktion „Eingebettete Daten in diversen Dateitypen suchen“ jetzt automatisch extrahiert und dekomprimiert und in dekomprimierter Form als Unterobjekt zur Verfügung gestellt.

  • Datei-Carving-Methoden für .cwm (Bildschirmvideos) und .accountpicture-ms-Dateien aus Windows 8 wurden implementiert. .accountpicture-ms-Dateien werden jetzt standardmäßig bei der Suche nach eingebetteten Dateien mit geprüft.

  • Typ-Prüfung für .thumbdata3-Dateien (Android-Dateien, die beispielsweise auf SD-Karten gefunden werden).

  • E-Mail-Extraktion so angepaßt, daß bestimmte Base64-kodierte E-Mails von externen Programmen nach Wiederherstellen/Kopieren korrekt angezeigt werden.

  • Unterstützung für bestimmte alte Outlook PST E-Mail-Archive mit bislang nicht unterstützter Text-Kodierung. Benötigt die Auswahl der korrekten regionalen ANSI-Codepage in den Eigenschaften des Falls und Ankreuzen des unbeschrifteten Kästchens daneben, das einen Tooltip „Diese Codepage in Outlook PST erwarten“ zeigt.

  • Falls E-Mail-Nachrichten eine „Sender:“-Zeile zusätzlich zu einer „From:“-Zeile haben, wird der Absender laut „Sender:“-Zeile jetzt zusätzlich in der Absender-Spalte im Verzeichnis-Browser angezeigt, nach dem „From:“-Absender, falls diese tatsächlich unterschiedlich sind. Sie werden von Leerzeichen und einem Vertikalstrich ( | ) getrennt. Ein deutschsprachiges MS Outlook beispielsweise zeigt solche E-Mails als gesendet „im Auftrag von“ jemand anderem (vom „Sender:“-Absender im Auftrag des „From:“-Absenders). Sie können nach solchen E-Mails filtern, indem Sie den Vertikalstrich als Teilwort für die Absender-Spalte eingeben. Unterschiedliche Arten von Empfängern ( To:, Cc: und Bcc: ) werden jetzt analog mit Vertikalstrichen in der Empfänger-Spalte voneinander getrennt.

  • Ein möglicher Ausnahmefehler wurde behoben, der bei der Verarbeitung beschädigter OLE2-Verbund-Dateien auftreten konnte.

  • Abstürze im Umgang mit bestimmten EDB-Datenbanken verhindert.

Unterstützung für Bilder

  • Die Bildschirmfläche wird für die Galerie jetzt viel besser genutzt, da die Miniaturansichten nicht mehr zwangsweise quadratisch sind. Sie können jetzt Breite und Höhe Ihrer bevorzugten Kachelgröße getrennt eingeben, im Dialog Optionen | Viewer-Programme. Die angegebenen Maße werden automatisch angepaßt (vergrößert), um den verfügbaren Bildschirmplatz optimal auszunutzen, ohne Miniaturansichten teilweise anzuzeigen. Da die meisten Fotos und fast alle Videos im Querformat gemacht werden, möchten Sie Breite und Höhe evtl. entsprechend auswählen (die Breite größer als die Höhe), wenn Sie Bilder einsehen. Die Miniaturansichten für Dokumente können oft frei auf jede beliebige Rechteckform angepaßt werden, beispielsweise solche, die Textverarbeitungsdokumente oder Tabellenkalkulationen darstellen, aber nicht Präsentationen. Für die meisten Dokumente außer Präsentationen erscheint Hochformat als natürlichere Darstellungsform. Das Verhältnis der von Ihnen festgelegten Höhe und Breite wird im Optionen-Dialog angezeigt, um Ihnen schnell eine grobe Vorstellunge davon zu geben, wie verträglich diese Maße mit normalen Fotos, Videos oder Dokumenten sind.

  • Die Vorschau und Anzeige von Bildern (nicht mit der Viewer-Komponente) zeigt jetzt zusätzlich die Namen verknüpfter Berichtstabellen in der oberen linken Ecke und die Namen zutreffender PhotoDNA-Kategorien in der unteren rechten Ecke an.

  • Als Teil der Datei-Überblick-Erweiterung kann X-Ways Forensics Miniaturansichten von hochauflösenden Digitalbildern erzeugen, um die Galerie zu beschleunigen. Es ist jetzt möglich, die Auflösung (maximale Breite oder Höhe in Bildern) und Qualität (JPEG-Kompressionsfaktor) in der Benutzeroberfläche einzustellen. Der maximale Speicherplatz, den ein Miniaturbild im Datei-Überblick belegen darf, ist allerdings auf 64 KB beschränkt. Wenn ein erzeugtes Miniaturbild größer als das wird, wird X-Ways Forensics die benutzerdefinierte Auflösung automatisch entsprechend reduzieren.

  • Neue interne Berichtstabelle für animierte PNG-Bilder.

  • Extraktion eingebetteter Daten aus PNG-Dateien (z. B. GIF-Bilder) unterstützt.

  • Neue interne Berichtstabelle für PNG-Bilder, die wahrscheinlich Bildschirmfotos von Mobilgeräten sind. Diese Annahme basiert lediglich auf für Smartphones typische Auflösungen. Nützlich, wenn solche Bildschirmfotos nicht ihre typischen Dateinamen haben (wenn sie gecarvt, per App erhalten, auf andere Medien kopiert und vom Nutzer umbenannt oder von bestimmten Apps erzeugt und im Cache dieser App gespeichert wurden).

  • Die leichte und seltene Ungenauigkeit in der Darstellung von GeoTagging-Koordinaten in JPEG-Dateien wurde korrigiert.

Video-Verarbeitung

  • Ein neuer Befehl im Kontextmenü ermöglicht das gezielte Extrahieren aller Einzelbilder aus einem festgelegten Abschnitt eines ausgewählten Videos. Nützlich wenn ein bestimmter Abschnitt eines Videos von hohem Interesse ist und Sie die visuellen Details bestimmter Einzelbilder genauer anschauen oder diese im Bericht einfügen müssen. Sie können festlegen, wie viele aufeinanderfolgende Einzelbilder extrahiert werden sollen und ab welcher Sekunde. Die Anzahl der Einzelbilder, die Sie benötigen, um einen bestimmten Zeitraum abzudecken, können Sie aus der Bildrate, die in der Metadaten-Spalte angezeigt wird, ableiten (fps = frames per second). Bitte beachten Sie, daß die Startsekunde unter Umständen nur sehr grob interpretiert wird, je nach Häufigkeit der „Keyframes“ (genannt I-Frames in MPEG) im Video. MPlayer kann in einer Video-Datei nur Keyframes anspringen. Falls ein Video beispielsweise alle 4 Sekunden einen Keyframe besitzt, dann kann die Startsekunde der Extraktion um bis zu 4 Sekunden verschoben sein. Bitte bedenken Sie das, wenn Sie die Zahl der zu extrahierenden Einzelbilder, die Sie benötigen, oder die Startsekunde eingeben. Um auf der sicheren Seite zu sein, extrahieren Sie mehr Einzelbilder, als Sie brauchen, und vielleicht ab einer früheren Startsekunde.

    Die Einzelbilder werden als JPEG-Dateien in einem Verzeichnis Ihrer Wahl gespeichert, wo Sie diese außerhalb von X-Ways Forensics durchsehen können. Wenn Sie möchten, können Sie die wichtigsten Einzelbilder der Original-Video-Datei natürlich als Unterobjekte im Datei-Überblick zuweisen. Die Einzelbilder werden standardmäßig nicht im Datei-Überblick gespeichert, um die Größe des Datei-Überblicks nicht unnötig mit möglicherweise überwiegend irrelevanten und redundanten Bilder aufzublähen. Falls das Ausgabeverzeichnis bereits extrahierte Einzelbilder enthält, werden Dateien mit identischen relativen Bildernummern überschrieben. Die relativen Bildnummern beginnen bei jeder Extraktion immer mit 00000001 und werden mit jedem Bild inkrementiert. Sie können die JPEG-Kompression für stärkere Komprimierung oder bessere Qualität anpassen, wenn nötig. (Sie können in den meisten Fällen natürlich keine sehr gute Qualität erwarten, da Videos zumeist bereits stark komprimiert sind.) Die Datei-Überblick-Erweiterungsoperation zur Erzeugung repräsentativer Einzelbilder aus Videos (vereinzelt, in bestimmten größeren Intervallen) wurde umbenannt, um den Unterschied zum neuen Kontextmenü-Befehl zur Erzeugung fortlaufender Einzelbilder anzuzeigen.

  • Aus Videos werden jetzt mehr Metadaten extrahiert (nur beim Exportieren von Einzelbildern), üblicherweise Kodierungs-/Kompressionsformat (coding), Auflösung, Bit pro Pixel (bpp), Bildrate (fps), Datenrate pro Sekunde für Videodaten.

  • Eine neue 64-Bit-Version des MPlayer von 2015 steht auf dem Web-Server zum Herunterladen bereit, zusätzlich zur 32-Bit-Version von 2014. MPlayer ist jetzt das einzige unterstützte Video-Extraktionsprogramm. Bitte beachten Sie, daß Sie die 64-Bit-Version von MPlayer durchaus auch von der 32-Bit-Fassung von X-Ways Forensics aus aufrufen lassen können und umgekehrt.

Dateisystemunterstützung

  • Verbesserte Einstellungen im Attr.-Filter für Unix-übliche Dateizugriffsrechte. Sie können jetzt auf jedes der 9+3 Bits ausdrücklich filtern und diese mit ODER, UND oder GLEICH verbinden. GLEICH verlangt, daß der Zustand aller 12 Bits exakt so ist, wie ausgewählt (egal, ob gesetzt oder nicht). UND bedeutet, daß alle ausgewählten Bits gesetzt sein müssen, der Rest aber egal ist. ODER bedeutet, es genügt bereits, wenn irgendeines der ausgewählten Bits gesetzt ist. SUID- und SGID-Bits können jetzt ebenfalls logisch mit ODER oder UND verknüpft sein (bisher waren sie immer mit ODER verknüpft). Bitte beachten Sie, wenn Sie sich für Verzeichnisse mit dem Sticky-Bit interessieren, müssen Sie Verzeichnisse beim rekursiven Erkunden mit ausgeben und Filter auch auf Verzeichnisse anwenden lassen (nicht die Standardeinstellung). Bitte beachten Sie, der logische Operator für die Zugriffsrechte sollte nicht normalerweise auf GLEICH gesetzt sein, da dies zu aktiver Filterung auf Zugriffsrechte auch dann führt, wenn gar keine Bits im Dialogfenster ausgewählt sind, im Unterschied zu den ODER- oder UND-Operatoren. GLEICH mit keinen ausgewählten Bits für Zugriffsrechte bedeutet, es wird auf Dateien gefiltert, die keine Bits für Zugriffsrechte gesetzt haben oder deren Zugriffsrechte unbekannt sind.

  • iNode*-Dateien (auf Deutsch: indirekte Knoten-Dateien) in HFS+ zeigen jetzt auf einen ihrer harten Verweis-Gegenstücke als „zugehöriges Objekt“ im Datei-Überblick, womit es sehr bequem wird, zumindest einen dieser harten Verweise zu identifizieren und die tatsächliche Verwendung und Ort der Datei zu sehen. Um andere harte Verweise für dieselbe iNode*-Datei zu finden, können Sie beispielsweise nach der Spalte „1. Sektor“ sortieren.

  • Ressourcenzweige in HFS und HFS+ werden jetzt als Unterobjekte dargestellt, analog zu alternativen Datenströmen und erweiterten Attributen in NTFS.

  • Attribut-Filter für Ressourcenzweige hinzugefügt.

  • Einzelne $MFT-Dateien können jetzt direkt und bequem interpretiert werden, als seien sie NTFS-Volumes, um zumindest die volle Auflistung aller Dateien und Verzeichnisse, mit Pfaden, Zeitstempeln und Attributen zu sehen. Es ist möglich, residente Dateien zu öffnen (Dateien, deren Inhalte klein genug sind, um in die FILE-Records zu passen), aber natürlich keine anderen Dateien. Nützlich in speziellen Situationen, wenn Sie nur die $MFT haben, nicht das gesamte Volume, z. B. extrahiert aus einer Schattenkopie.

  • Option, zusätzliche harte Verweise beim Erweitern des Datei-Überblicks in NTFS/HFS+ auszulassen, wie schon bisher bei logischen Suchen, um Zeit zu sparen und die Zahl redundanter identischer Unterobjekte zu reduzieren, etc. Dies kann auf Partitionen mit Windows-Installationen, die viele harte Verweise enthalten, und auf HFS+-Partitionen mit Mac OS X Time Machine einen großen Unterschied machen. Welche harten Verweise intern als die „zusätzlichen“ verstanden werden, kann wie bisher aus der Spalte „Verweise“ (graue Zahl bedeutet optional ausgelassen) und jetzt auch aus der Beschreibungsspalte abgelesen werden, die alle harten Verweise (d.h. Dateien mit zwei oder mehr harten Verweisen) und speziell die zusätzlichen textuell kennzeichnet. Derjenige harte Verweis, der in der Beschreibungsspalte nicht als „optional ausgelassen“ gekennzeichnet ist, wird intern als der „Haupt“-Verweis betrachtet.

  • Umbenennungsereignisse aus $J und Fragmenten davon werden jetzt in der Ereignisliste ausgegeben.

  • Dateien mit nur teilweise initialisierten Inhalten (gültige Datenlänge < logische Dateigröße) werden jetzt in der Attr.-Spalte mit dem Rautezeichen (#) gekennzeichnet, und eine Erklärung des #-Zeichens steht in der Legende.

  • In neu erzeugten Datei-Überblicken zeigt die Spalte „1. Sektor“ jetzt an, daß bestimmte Zahlen ungefähr sind, beispielsweise bei eingebetteten Dateien, mittels grauer Farbe und Tilde.

  • Beim Anklicken einer Datei im Partitions-/Volume-Modus ist der Sprung zum Anfang der Daten bestimmter Dateien jetzt präziser, beispielsweise bei residenten Dateien in NTFS führt dies direkt zum Body des Attributs 0x80 und bei bestimmten eingebetteten Dateien direkt zum Anfang der Daten. Das Sortieren nach der Spalte „1. Sektor“ gibt die physische Startposition von Dateien im Fall bestimmter nicht-Sektor-ausgerichteter Dateien präziser wieder.

  • Findet mehr Sessions von Multi-Session CDs/DVDs mit CDFS sofort, ohne die gründliche Dateisystem-Datenstruktur-Suche laufen lassen zu müssen.

  • Vermeidet die Session-Verdopplung bei CDs/DVDs mit CDFS, wo zusätzliche Sessions nur mittels der gründlichen Dateisystem-Datenstruktur-Suche gefunden werden.

Unterstützung für Datenträger & Images

  • Probeweise Unterstützung für ältere virtuelle Festplatten-Images vom Typ VirtualBox VDI von Sun Microsystems.

  • Ein Fehler wurde vermieden, der bei der gleichzeitigen Berechnung von zwei Hash-Werten bei der Datenträger-Sicherung auftreten konnte, wenn die Sicherung in einer sehr speziellen Konfiguration, einer Kombination aus einem spezifischen Hardware-Schreibblocker-Modell und einer spezifischen Windows-Version, erfolgte. Die Daten in der Sicherung waren dennoch in Ordnung.

  • Berichtet die Gesamtzahl nicht lesbarer Sektoren im Sicherungslog zusätzlich zu den betroffenen Sektorbereichen.

  • Die Sicherung bricht nach einem Datenträger-Trennungs-Fehler jetzt ab.

Fall- & Berichtseinstellungen

  • Kleinere Versionen von Bildern können jetzt optional speziell für den Bericht erzeugt werden, um den Speicherverbrauch des Browsers oder der Textverarbeitungsanwendung beim Laden des HTML-Berichts erheblich zu reduzieren und das Laden zu beschleunigen. Dies kann bei Berichten mit vielen hochauflösenden Fotos einen großen Unterschied machen. Der JPEG-Kompressionsfaktor ist vom Benutzer definierbar. Die Auflösung hängt von der angegebenen „max. Bildgröße im Bericht“ ab.

    Das Kontrollkästchen, das diese Option repräsentiert, ist 3-stufig. Halb angekreuzt werden die kleineren Versionen der Bilder nur für die Darstellung direkt im HTML-Bericht verwendet. Voll angekreuzt sehen Sie auch nach dem Anklicken des Bildes im Bericht nur die kleinere Version und die größere Original-Datei ist im Bericht gar nicht enthalten. Dies kann nützlich sein, wenn Ihnen der Platzverbrauch Ihres Berichts mitsamt verlinkter Dateien wichtiger ist als die Ausgabequalität der Bilder.

  • Der Bericht kann jetzt optional auch Miniaturansichten von Nicht-Bild-Dateien anzeigen, z. B. Office-Dokumente, E-Mails, Webseiten, Software-Quellcode, usw. usf., ähnlich wie die Galerie. Sie können die Vorschaudarstellung leicht, oder erheblich, oder auch gar nicht schrumpfen lassen, um entweder in der Lage zu sein, einen Teil des Textes direkt im Bericht lesen zu können, ohne das Dokument zu öffnen, oder um einen besseren Eindruck der Gesamtdarstellung des Textes zu bekommen und nur Logos o.ä. zu sehen.

  • Wenn Sie gezielt eine Berichtstabelle im Fallbericht ausgeben lassen, wird jetzt automatisch ein Berichtsname basierend auf dem Namen der Berichtstabelle vorgeschlagen.

  • In den Eigenschaften eines Falls können Sie jetzt festlegen, ob X-Ways Forensics das fallspezifische Verzeichnis für temporäre Dateien (das Unterverzeichnis _temp dieses Falls) statt des allgemeinen verwenden soll, während dieser Fall aktiv ist.

  • Rein physische eigene Suchtreffer (im Disk-/Partitions-Modus festgelegt, nicht im Datei-Modus) können jetzt auch im Bericht ausgegeben werden, im Abschnitt über das Asservat, zu denen sie gehören. Datei-bezogene Suchtreffer werden weiterhin im Eintrag der Datei in der Berichtstabelle angezeigt, zusammen mit den ausgewählten Metadaten. Falls die Datei, zu der ein Suchtreffer gehört, der für die Ausgabe im Bericht ausgewählt wurde, nicht mit einer Berichtstabelle ausgegeben wird, kann der Suchtreffer jetzt im Abschnitt über das Asservat gesehen werden.

  • Option, fortlaufende Nummern im Fallbericht auszugeben, für jeden Eintrag in einer Berichtstabelle, um eine Datei in diesem Bericht eindeutig zu identifizieren.

Benutzeroberfläche

  • Alle Textfelder im gesamten Programm (mit Ausnahme von solchen für Paßwörter und Spaltenbreiten) merken sich jetzt eine Historie von bis zu 10 zuletzt verwendeten Einträgen. Die Historie kann gesehen werden, indem man den winzigen Knopf anklickt, der in einem Textfeld erscheint, für das eine Historie verfügbar ist. Alternativ können Sie die F4-Taste drücken, wie in normalen Drop-Down-Auswahlfeldern. Wenn Sie einen der früheren Einträge aus dem Pop-Up-Menü auswählen, wird dieser automatisch in das Textfeld eingetragen. Benutzer, die diese Historien löschen oder an andere weitergeben wollen, seien darauf hingewiesen, daß diese in der Datei History.dat gespeichert werden, wenn das Programm geschlossen wird. Wenn Sie keine Historien zwischen Programmläufen speichern möchten, z. B. als Schutz vor neugierigen Kollegen, können Sie einfach selbst eine leere Datei namens History.dat erzeugen und diese schreibschützen.

  • Eine neue Tastenkombination, Umsch+Strg+Entf, erlaubt Abgleich-Treffer mit gewöhnlichen Hash-Sets, FuzZyDoc-Hash-Sets und PhotoDNA-Kategorien für ausgewählte Dateien im Datei-Überblick zu entfernen, die sonst nicht verworfen werden, selbst, wenn die Hash-Sets aus der Datenbank gelöscht werden.

  • Das Drücken von Strg+C im Verzeichnis-Browser kopiert jetzt die Text-Daten der ausgewählten Objekte in die Zwischenablage, mit derselben Notation wie im Verzeichnis-Browser selbst, ansonsten dem Befehl Liste exportieren sehr ähnlich.

  • Die Farben für die Markierung (sofern nicht in Form von Häkchen dargestellt) sind jetzt etwas anders, und sie können jetzt in Optionen | Verzeichnis-Browser geändert werden. Nützlich beispielsweise, wenn Sie stärkere Farben bevorzugen oder die Standardfarben Bildern zu sehr ähneln, die Sie in der Galerie anschauen (z. B. viele Außenaufnahmen mit blauem Himmel). Falls Ihnen die etwas weniger auffälligen Farben früherer Versionen gefallen haben, können Sie diese manuell wieder einstellen: Farbe 1 = RGB 225, 225, 255 (für die obere linke Ecke) und Farbe 2 = RGB 163, 163, 255 (für die untere rechte Ecke).

  • Die Farben, die Dateien als bereits eingesehen kennzeichnen, sind jetzt ebenfalls nutzerdefinierbar, über Optionen | Viewer-Programme | Eingesehene Dateien merken | .... Falls Ihnen die Farben früherer Versionen gefallen haben, können Sie diese manuell wieder einstellen: Farbe 1 = RGB 233, 225, 223 (für die obere linke Ecke) und Farbe 2 = RGB 145, 250, 103 (für die untere rechte Ecke). In v18.7 wurden diese lediglich vertauscht.

Suchfunktionen

  • Die Option „1 Treffer pro Datei genügt“ der logischen parallelen Suche überspringt jetzt den Schlupfspeicher einer Datei nicht mehr, nachdem ein Treffer im logischen Teil gefunden wurde, wenn die Option „Schlupf öffnen und durchsuchen“ voll angekreuzt ist. Es durchsucht auch den Schlupf nach höchstens einem zusätzlichen Treffer.

  • Rein physische eigene Suchtreffer werden nun im Asservat-Überblick angezeigt, auch wenn Sie in diesem Fenster nicht zu den Sektorinhalten navigieren können, wenn Sie den Suchtreffer anklicken.

  • Es gibt jetzt eine Option, die Suche nach verlorenen Partitionen auf physischen Datenträgern auf die Sektoren zu beschränken, die der aktuellen Cursor-Position folgen.

  • Die Fehlinterpretation eines wörtlich spezifizierten # Zeichens in eckigen Klammern in GREP-Ausdrücken wurde behoben.

  • Verhindert sich überlappende Treffer in Zellen des Verzeichnis-Browsers bei Suche mit einem GREP-Ausdruck variabler Ziellänge.

Verschiedenes

  • Beim Ausblenden von Duplikaten basierend auf Hash-Wert oder Name zieht X-Ways Forensics jetzt im Zweifelsfall diejenige Kopie vor, deren Eigentümer bekannt ist.

  • Wiederherstellen/Kopieren und Bericht erzeugen benennen jetzt auch eingebettete .eml-Dateien nach ihrer eindeutigen ID, wenn die entsprechende Option ausgewählt ist.

  • Die interne Beschränkung der Datenmenge, die aus Dateien eines einzelnen Datei-Überblicks extrahiert werden kann (bislang 1 TB) wurde aufgehoben. Datei-Überblicke, die von v18.7 erzeugt wurden, können von v18.6 und früheren nicht mehr geöffnet werden.

  • Größere Dateien können jetzt an den Datei-Überblick angehängt werden.

  • Für die Datensatz-Darstellung im Hex-Editor werden die Datensätze jetzt standardmäßig beginnend mit 0 durchnumeriert, nicht mehr mit 1. 1-basierte Record-Nummern sind optional weiterhin möglich. Die Datensatz-Größe wird jetzt hexadezimal angegeben, wenn die Benutzeroberfläche aktuell hexadezimale Offsets benutzt.

  • Neue X-Tension API Funktion GetEvObj().

  • Fähigkeit, zugewiesene Hash-Sets in Berichtstabellen-Verknüpfungen umzuwandeln, im Dialog-Fenster für Berichtstabellen-Verknüpfungen, wo Sie auch enthaltene Suchtreffer in Berichtstabellen-Verknüpfungen umwandeln können. Dies kann beispielsweise nützlich sein, wenn Sie Ihre Hash-Datenbank neu anlegen oder löschen möchten, und nicht nur die Hash-Kategorie bekannter Dateien im Datei-Überblick erhalten möchten, sondern auch die exakten Namen der betreffenden Hash-Sets. Auch nützlich, wenn Sie Dateien zu einem Datei-Container hinzufügen möchten und dem Empfänger die ursprünglichen Hash-Set-Übereinstimmungen mitteilen möchten, nicht nur die Hash-Kategorie. Diese unterstützenden Berichtstabellen werden in einer anderen Farbe angezeigt, um sie zu unterscheiden von 1) gewöhnlichen benutzerdefinierten Berichtstabellen, 2) intern erzeugten Berichtstabellen, die den Benutzer auf bestimmte Besonderheiten hinweisen, und 3) Suchtreffer-basierten Berichtstabellen. Verknüpfungen mit Hash-Set-basierten Berichtstabellen können auch spontan beim Kopieren von Dateien in Datei-Container erzeugt werden.

  • Das Beifügen von Kommentaren und/oder Berichtstabellen-Verknüpfungen in einen Datei-Container ist jetzt optional für jede einzelne Kopier-Operation wählbar und muß nicht mehr ein für alle mal bei der Erzeugung des Containers festgelegt werden.

  • Die hauptsächlichen ausführbaren Dateien des Programms sind jetzt digital signiert.

  • Windows 10 ist jetzt eine offiziell unterstützte Plattform.

  • Viele kleinere Verbesserungen.

  • Einige kleine Fixes.

  • Die Programmhilfe und das Benutzerhandbuch wurden für v18.7 aktualisiert.


Änderungen der Service-Releases von v18.6:

  • SR-1: Verbesserte FuzZyDoc-Abgleich-Ergebnisse für PDF-Dokumente.

  • SR-1: Zeitzonen-Bewußtsein für Zeitstempel in exFAT jetzt für jede Datei einzeln definiert.

  • SR-1: Fähigkeit, „Virtual Allocation Table“ virtueller UDF-Partitionen in bestimmten nicht-standardmäßigen (unvollständigen) Datenträger-Sicherungen zu finden, wie sie von anderer Software erzeugt werden.

  • SR-1: Ein Ausnahmefehler wurde behoben, der in v18.6 beim Carven von Dateien in einem Datenfenster aufgetreten ist, das eine einzelne Datei ohne Datei-Überblick und ohne Verzeichnis-Browser darstellt.

  • SR-1: Der Effekt der nicht ausgewählten Option „Dateisystem-Dateien ausgeben“ für Dateien in Archiven wurde behoben.

  • SR-1: Die erfolglose Dekodierung bestimmten Base64-Codes wurde behoben.

  • SR-1: Ein extrem seltener Ausnahmefehler wurde verhindert, der beim Abgleich von Hash-Werten gegen die Hash-Datenbank auftreten konnte.

  • SR-2: Die Unfähigkeit von X-Ways Imager 18.6, Festplatten zu sichern, wurde behoben.

  • SR-3: Die gelegentlich unvollständige Extraktion eingebetteter JPEGs in PDF-Dokumenten wurde behoben.

  • SR-3: Ein möglicher Zeitzonen-Informationsfehler in den Eigenschaften eines Asservats mit einer Windows-Installation wurde behoben.

  • SR-3: Ein Ausnahmefehler wurde behoben, der mit bestimmten beschädigten Zoom Browser-Dateien (Canon) auftreten konnte.

  • SR-4: Die Zeitzonen-Umrechnung in der zweiten Spalte der Vorschau bestimmter index.dat-Dateien wurde korrigiert.

  • SR-4: Das gelegentlich unvollständige Ausblenden von Duplikaten auf Hash-Basis wurde behoben.

  • SR-4: Deduplizierung mehrerer sehr ähnlicher PhotoDNA-Hash-Werte jetzt auch beim Import in eine leere (neu erzeugte) PhotoDNA-Hash-Datenbank.

  • SR-4: Wenn ein neuer PhotoDNA-Hash-Wert nah genug an einem bestehenden ist, um als Treffer zu gelten, aber unterschiedlich genug, um einen getrennten Eintrag in der PhotoDNA-Hash-Datenbank zu begründen, wird seit v18.6 der bestehende Eintrag aktualisiert und ein neuer hinzugefügt. Dieser Doppeleintrag hat bislang nicht stattgefunden, wenn beide ähnlichen Hash-Werte in der gleichen Import-Operation hinzugefügt wurden, jetzt aber schon.

  • SR-5: Die Größenerkennung von Ext*-Partitionen größer als 2^32 Blöcke in Situationen, in denen sie nicht von einer Partitionstabelle referenziert werden, wurde korrigiert.

  • SR-5: Ein Speicherleck in der Dateisystem-Unterstützung von HFS wurde behoben.

  • SR-5: Die Unfähigkeit in SR-4, alle Filter mit einem Mausklick zu deaktivieren, wurde behoben.

  • SR-6: Ein Ausnahme- und Instabilitätsfehler, der beim Extrahieren von Metadaten aus bestimmten Dokumenten im OLE2-Format auftreten konnte, wurde behoben.

  • SR-6: In Ext4-Dateisystemen wurden einige sehr seltene Dateien mit nicht-initialisierten Bereichen bislang teilweise mit falschen Daten gelesen. Dies wurde behoben.

  • SR-6: Das Parsen von FAT32-Dateisystemen mit Cluster-Größen von 128 KB oder mehr in X-Ways Forensics wurde korrigiert.

  • SR-6: Fähigkeit, die ungefähre Pixelanzahl für Bilder anzuzeigen, die Treffer in der PhotoDNA-Datenbank haben.

  • SR-6: Die Optionen in investigator.ini bezüglich des neuen Beschreibungsfilters haben in v18.6 nicht funktioniert. Dies wurde behoben.

  • SR-7: Ein seltener Ausnahmefehler wurde behoben, der bei der Erzeugung einer HTML-Vorschau für Dateien bestimmter Typen auftreten konnte.

  • SR-7: Die mögliche Unfähigkeit wurde behoben, Miniaturansichten in der Galerie auszuwählen, während Bilder mit der Viewer-Komponente angezeigt werden.

  • SR-7: Verbesserte Stabilität bei der Verarbeitung von SQLite-Datenbanken.

  • SR-7: Verbessertes Sicherungsverhalten nach einem Datenträger-Trennungs-Fehler.

  • SR-7: Die Möglichkeit, in v18.6 die Option +51 der investigator.ini zu umgehen, wurde verhindert.

  • SR-8: Eine möglicherweise unvollständige Auflistung der Partitionen im Verzeichnis-Browser wurde behoben, wenn mehr als eine Partition halb-automatisch erkannt wurde, beginnend mit dem vom Nutzer angezeigten Sektor.

  • SR-8: Ein Fehler wurde behoben, der beim Lesen von Partitionen auftreten konnte, deren Dateisystem eine andere Sektorgröße verwendet als die Sektorgröße des physischen Datenträgers.

  • SR-8: Eine falsch angezeigte Dateigröße für riesige Dateien in UDF-Dateisystemen wurde korrigiert.

  • SR-8: Ein seltener Fehler beim Auflösen symbolischer Verweise wurde korrigiert.


Viewer-Komponente

Oracle hat ein "Critical Patch Update" für die Version 8.5.2 der Viewer-Komponente herausgegeben. Die aktualisierte Version ist von unserem Web-Server herunterladbar. Sie ist wahrscheinlich aus Sicherheitsgründen empfehlenswert.

Oracles Beschreibung des Updates beginnt wie üblich mit der Ankündigung, daß eine Beschreibung dessen, was gefixt wurde, folgt, hält dies aber nicht ein:

What this Update Fixes:
January 2016 Critical Patch Update for Outside In
This patch is cumulative with all previous Outside In 8.5.2 Critical Patch Updates

Auf einer Web-Seite von Dritten wurde folgende Beschreibung des Fixes des Sicherheitsproblems gefunden: "Ein lokaler Benutzer kann eine Schwachstelle in der Oracle Outside In Technology Outside In Filter-Komponente component ausnutzen, um teilweise Denial-of-Service-Bedingungen zu verursachen." Die einzige Datei, die sich tatsächlich geändert hat, ist sccfnt.dll. Diese Datei ist für Schriftarten zuständig.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

  

 

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <