#168: X-Ways Forensics,
X-Ways Investigator und WinHex 20.5 veröffentlicht
12. April 2022 |
In dieser Ausgabe informieren wir Sie über ein weiteres
Update mit einigen beachtlichen Verbesserungen, die Version 20.5, sowie ein
separates Modul eines Partnerunternehmens. Erscheinungstermin von v20.5 war
der 11. April 2022. Nicht alle Beschreibungen
sind auf Deutsch verfügbar. Kunden erhalten Download-Instruktionen,
aktuelle
Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter
https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates
oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw.
Lizenzverlängerungen.
Wenn Sie an Benachrichtigungen über Service-Releases
zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder
auch über Preview- und Beta-Releases, können Sie diese im
Bereich „Announcements“
des
Forums einsehen und sich
bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen
in diesem Bereich per E-Mail abonnieren.
Bitte beachten Sie: Wenn Sie
vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie
bitte zumindest das letzte Service-Release der betreffenden Version
verwenden.
Neue Videos
(englischsprachig) sind auf YouTube verfügbar, die die Einrichtung von
X-Ways Forensics darstellen und diverse Einstellungen diskutieren.
Nächste Schulungstermine
X-Ways Forensics: 30. Mai - 2. Juni, Online
X-Ways Forensics II: 28.-30. Juni, Online
Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten,
sobald diese feststehen, können Sie
hier Ihre
E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im
Online-Live-Format, darunter derzeit auch eine umfangreiche
Dateisystem-Schulung (!), werden
hier aufgelistet.
Excire: Foto-Analyse mittels künstlicher Intelligenz
Excire für X-Ways Forensics ist ein separates Modul, das
auf Technologie der Pattern Recognition Company GmbH basiert, einer
deutschen KI-Firma.
-
Excire analysiert Bilder automatisch und
identifiziert Bildinhalte (Objekte wie Gebäude, Tiere, Pflanzen, Strand,
Berge, Menschen, Erwachsene, Babies, Gesichter, Augen, Bart, Nacktheit,
Text, ...) sowie dominierende Bildfarben und Bildeigenschaften, die alle
in Form von Stichworten beschrieben werden. Sie können sich auf Bilder
mit bestimmten wichtigen Stichworten konzentrieren (verknüpft mit UND
oder ODER), oder Bilder mit bestimmten unwichtigen Begriffen
herausfiltern lassen.
-
Excire bietet Ihnen auch die Möglichkeit, Bilder
suchen zu lassen, die aus der Sicht der KI anderen von Ihnen als Muster
vorgegebenen Bildern "ähnlich" sind.
-
Es erlaubt Ihnen, Gesichter bestimmter Personen in
Fotos in neuen Fällen wiederzufinden.
Von großem Nutzen für forensische Ermittler sollte die
Fähigkeit von Excire sein, komplett offline zu arbeiten. Alles geschieht auf
Ihrem eigenen Rechner. Sie brauchen keinem Cloud-Dienst zu vertrauen, zu dem
Fotos hochgeladen werden müssten. Es wird keine Internet-Verbindung
benötigt.* Das heißt, es ist im Prinzip alles so, wie Sie es auch von X-Ways
Forensics her kennen. *Eine Internet-Verbindung wird benötigt beim
Lizenzerwerb, und dafür können Sie einen anderen Computer verwenden.
Außerdem benötigt man bei Benutzung von Testlizenzen eine
Internet-Verbindung.
Besitzer von X-Ways Forensics Lizenzen mit aktuellem
Zugang zu Updates (ausgenommen Lizenzen für Schulungszwecke)
können Excire für X-Ways Forensics für diese Lizenzen mit 25% Rabatt erwerben.
Ein entsprechender Gutschein-Code ist in den Lizenz-Status-Nachrichten enthalten
(erhältlich von
https://www.x-ways.net/winhex/license-d.html). Dieses Angebot gilt nur für
Bestellungen, die bis zum 24. April 2022 eingehen. Preise und
Bestellmöglichkeiten hier.
Technische Einzelheiten
hier.
Was ist neu in v20.5?
(Bitte beachten
Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)
Bildanalyse
-
Eine Schnittstelle für Excire (s. oben) ist jetzt
in X-Ways Forensics und X-Ways Investigator eingebaut. Die Integration in
die allgemeine Verwendung von X-Ways Forensics ist nahtlos. Sie verwenden
dieselben Operationen wie immer (Datei-Überblick erweitern) und dieselben
Filter, die Sie bereits kennen (für Berichtstabellen-Verknüpfungen,
Kommentare oder Metadaten), und die Ergebnisse werden im Datei-Überblick
oder in Datei-Containern festgehalten. Sie können spezifische Zellfarben
im Verzeichnis-Browser festlegen für Bilder mit Stichwörter, die Sie
besonders interessant finden. Stichwörter zur Beschreibung von
Bildinhalten sind derzeit in den folgenden Sprache verfügbar: Deutsch,
Englisch, Französisch, Spanisch und Italienisch.
-
Bei der Berechnung von PhotoDNA-Hash-Werten und deren
Speicherung für Deduplizierung und schnelleres erneutes Abgleichen,
vergleicht X-Ways Forensics jetzt automatisch die eingebetteten Vorschaubilder
mit ihren jeweiligen übergeordneten Dateien. Wenn ein erkennbarer Unterschied
identifiziert wird, wird dies dem Nutzer mittels zweier Berichtstabellen
zur Kenntnis gebracht: "Thumbnail discrepancy" und "Thumbnail notable
(data corrupt/incomplete)", wobei letzteres bedeutet, dass der Unterschied
hauptsächlich einer Beschädigung bzw. einem unvollständigen Hauptbild geschuldet
ist. Das Vorschaubild, das weniger Speicherplatz benötigt und in der Nähe des
Dateianfangs gespeichert ist, könnte davon nicht betroffen und daher nützlich
sein. Die erste Berichtstabelle könnte bedeuten, dass jemand nachträglich ein
Bild verändert hat, aber das enthaltene Vorschaubild im Originalzustand erhalten
geblieben ist.
Dateiformat-Unterstützung
-
X-Ways Forensics unterscheidet jetzt zwischen vier, statt
bisher drei, verschiedenen Zuständen bei der Dateiformat-Konsistenz: unbekannt,
OK, irregulär und defekt. Dies ist relevant für die Auswahl im Typ-Status-Filter.
-
Verbesserte Erkennung von PNG-Bildschirmfotos.
Insbesondere wird ein neues Exif-Format unterstützt, das hauptsächlich für
Android-Bildschirmfotos verwendet wird. Dies ermöglicht die Prüfung, ob
solche Android-Bildschirmfotos original sind.
-
Zusätzliche Generator-Signaturen definiert.
-
Unterstützung für neue Exif-Tags bezüglich "composite"-Bildern
und Zeitzonen.
-
Überarbeitete Erkennung von Original-Kamerabildern, jetzt
mit einer niedrigeren Falsch-Negativ-Rate, insbesondere für Xiaomi-Smartphones.
-
Weiter überarbeitete Identifikation des erzeugenden Geräts
(insbes. Smartphones, insbes. alle Samsung-Smartphones) mit ungefähr 34.000
Definitionen und zwei neuen iOS-Release-Identifikationen.
-
Wertet die Kamera-Debug-Informationen im sog. Application
Marker 4 für Samsung-Smartphones aus, wie z. B. Kamera-Seriennummer, Zeitstempel
des letzten Firmware-Updates, und ein 2-Buchstaben-Länderkürzel. Dies könnte
dem Ermittler helfen, ein Foto mit einem konkreten Aufnahmegerät in Verbindung
zu bringen.
-
Ausgabe der internen Druck- und Änderungszeitstempel
aus OpenOffice-Dokumenten als Ereignisse.
-
Überarbeitete und verbesserte alternative .eml-Darstellung,
was auch für die Berichtsoption "Alternative .eml-Darstellung direkt
im Browser" von Bedeutung ist.
-
Fähigkeit, gecarvte komprimierte PF-Prefetch-Dateien zu
verarbeiten.
Dateisystem-Unterstützung
-
Eine neue Art Reparse-Point-Text von Windows 11 wird unterstützt.
-
Eine umbenannte/verschobene Datei in einem Datei-Überblick für ein
FAT-Dateisystem, die unter anderem Namen oder in einem anderen Verzeichnis weiterhin
existiert, wurde bisher inkonsistent gehandhabt. Jetzt wird sie exakt so wie ihr
existierendes Gegenstück gelesen, d. h. unter Berücksichtigung der Cluster-Ketten
wie sie in der Dateizuordnungstabelle festgehalten sind, unabhängig von der
aktuellen Einstellung der Option "FAT: Allokationsaverse gelöschte Dateien",
was identische Hash-Werte, doppelte Suchtreffer, etc. bedeutet.
Plattform-Unterstützung
Sicherung von Daten
-
Ein neuer Befehl "Prozesse sichern" im Extras-Menü
von X-Ways Forensics erlaubt die Sicherung aller Daten im Prozess-Speicher der
laufenden Prozesse eines lebenden Systems in zusammenhängender, richtiger
Reihenfolge der Speicherseiten. Die Erzeugungszeitstempel der jeweiligen
Prozesse werden als Erzeugungszeitstempel der jeweiligen Speicher-Dumps sichtbar.
Speicherseiten, deren Inhalt als ausführbarer Programm-Code gekennzeichnet sind
(PAGE_EXECUTE*) sind optional und reduzieren, falls ausgelassen, die Gesamtdatenmenge,
sofern Sie lediglich interessiert sind, Suchbegriffe oder Dateisignaturen suchen zu
lassen, und nicht Malware-Untersuchung. Signatursuchen in den Speicher-Dumps (die als
Dateien vom Typ "mem" gezeigt werden) können über die Suche nach
eingebetteten Daten, einer der Funktionen von Datei-Überblick erweitern, veranlasst
werden.
-
Dieser Befehl kann auch eine tabulatorgetrennte Liste
aller Hauptfenster mit deren jeweiligen Titeln und zugehörigen Prozessen
ausgeben plus (kommagetrennt), die Titel ihrer Unterfenster. Bildschirmfotos
von einigen der Hauptfenster werden automatisch erzeugt und ausgegeben. Wenn
diese Funktion ohne Administrator-Rechte ausgeführt wird, werden nur die
Prozesse des aktuellen Benutzers berücksichtigt, sonst alle Prozesse.
-
Das Ausgabeverzeichnis von "Prozesse sichern" ist
standardmäßig entweder ein Unterverzeichnis des aktuellen Falles oder, falls
kein Fall aktiv ist, ein Unterverzeichnis des Verzeichnisses für Datenträgersicherungen.
Es kann automatisch im Windows File Explorer geöffnet, wenn die Ausgabe fertig ist, und/oder
dem aktuellen Fall als Verzeichnis hinzugefügt werden.
-
Der Speicher-Dump von "Prozesse sichern" kann auch
auf Ihrem eigenen System nützlich sein, wenn eine Anwendung, in der Sie Text
eingegeben haben (z. B. ein E-Mail-Programm) plötzlich einfriert und Sie Ihren
Text noch aus dem Prozess-Speicher retten möchten.
-
Ein Filter ist für die Prozess-Sicherung verfügbar. Sie können
ihn genauso verwenden, wie andere Dateimasken-Filter in X-Ways Forensics.
Die Eingabe "explorer.exe" würde beispielsweise nur den Speicherinhalt
und die Fenster des Windows Explorer Prozesses ausgeben. ":C*" gibt alle
Prozesse mit Ausnahme derer aus, deren Namen mit dem Buchstaben "C" beginnt,
d. h. beispielsweise nicht "Chrome.exe". Die Dateimaske ist nicht abhängig
von Groß- und Kleinschreibung. Mehrere Dateimasken können mit Strichpunkt getrennt
hintereinander gehängt werden. (Allerdings ist die Gesamtlänge beschränkt.)
-
Fähigkeit, nicht verschlüsselte Datenträgersicherungen im
Ex01-Evidence-File-Format als partitionierte phyische Datenträger oder Volumes zu interpretieren.
-
Verbesserte Handhabung von Festplatten, die so partitioniert und
formatiert wurden, als hätten sie eine andere Sektorgröße als sie in
Wirklichkeit nach außen propagieren.
Benutzeroberfläche
-
Eine aktualisierte (englische) Tooltips.txt-Datei ist jetzt
Bestandteil des Downloads. Sofern Sie diese Tooltips (hauptsächlich für
die Kontrollkästchen) in Ihren Dialogfenstern sehen möchten, aktivieren
Sie bitte die Option "Tooltips.txt" in Optionen | Allgemein.
Eine deutschsprachige Tooltips.txt ist aus dem Download-Bereich für
zusätzliche Resourcen für die Nutzer von X-Ways Investigator und X-Ways
Forensics verfügbar. Falls Sie Ihre Übersetzung in eine
andere Sprache mit anderen Nutzern teilen möchten, senden Sie uns bitte
Ihre Kopie dieser Datei, damit wir sie ebenfalls dort hinterlegen können.
Danke.
-
Berichtstabellen können jetzt in den Dialogfenstern für
deren Verwaltung und Filter alphabetisch sortiert werden. Standardmäßig
werden sie wie bisher in der Reihenfolge angezeigt, in der sie angelegt
wurden.
-
Die Auflistung von Berichtstabellen, die vom Programm automatisch als
Hinweise angelegt werden, ist jetzt optional, und diese sind jetzt die
einzigen, die eingerückt angezeigt werden.
-
Den verschiedenen Arten von Berichtstabellen (regulär
nutzerdefinierte, Hinweise für den Benutzer, oder solche basierend auf
Hash-Sets, Suchbegriffen, Deduplizierungsgruppen, ...) wurden neue Farben
zugewiesen, und die Dreiecke, die in den Namenszellen für solche Verknüpfungen
angezeigt werden, verwenden jetzt dieselben Farben. Die Anzeige dieser
Dreiecke ist jetzt ebenfalls optional, s. Optionen | Allgemein | Notation,
und ihre Größe in zwei Stufen regelbar.
-
Registry Viewer: Fähigkeit, einen Wert so zu kopieren,
wie er in der Listendarstellung auf der rechten Seite angezeigt wird. (Um
den Wert als Binärdaten zu kopieren, wählen Sie den Wert in der Listendarstellung
aus, bewegen Sie den Registry Viewer zur Seite, und kopieren Sie die ausgewählten
Daten aus der Datei-Modus-Anzeige.)
-
Beim Drucken von Schablonen wurden formatierte
GUIDs nicht korrekt ausgegeben. Dies wurde korrigiert.
Verzeichnis-Browser
-
Die Regeln für das erweiterte Sortieren werden jetzt
auch auf die Hash-Set-Spalte angewandt.
-
Wenn eine Datei beim Abgleich mit der Hash-Datenbank für
mehrere Hash-Sets Treffer liefert, werden diese in der entsprechenden Zelle
jetzt in der gleichen Reihenfolge angezeigt, in der diese auch in der
Datenbank stehen, statt wie bisher in einer zufälligen Reihenfolge.
-
Die Kommentare für Asservate werden jetzt auch in
Kommentar-Spalte im Asservat-Überblick angezeigt, und können von dort
auch bearbeitet werden. Die Beschreibung von Asservaten wird jetzt auch
in der Metadaten-Spalte des Asservat-Überblicks angezeigt.
-
Wenn ein Filter mit der Option NICHT aktiv ist,
wird das Filtersymbol zur Erinnerung rot dargestellt.
-
Wenn eine ODER-Kombination von mehreren Filtern aktiv ist,
wird zur Erinnerung das Wort "ODER" jetzt in größeren Buchstaben
und mit Zeigefingersymbolen in der Titelzeile des Verzeichnis-Browsers
angezeigt.
-
Gefärbte Zellen haben jetzt einen optionalen Farbverlauf.
Dies kann für jeden Färbebedingung einzeln aktiviert werden. Die exakten
Regeln zur Färbung von Zeilen im Verzeichnis-Browser basierend auf Fokus,
Auswahl, Maus-Hover-Status, Dunkelmodus und Zellfärbung wurden grundsätzlich
überarbeitet.
-
Bei der bedingten Zellfärbung haben Sie jetzt die
Möglichkeit, zusätzlich zur eigentlichen Bedingungszelle die Namenszelle
mit einzufärben. Nützlich, wenn Sie einen sichtbaren Hinweis auf die
zutreffende Bedingung haben wollen, selbst, wenn die eigentlich verantwortliche
Spalte aktuell nicht sichtbar ist, und die Färbung der ganzen Zeile vielleicht
doch etwas viel wäre.
-
Die Notationsoptionen erlauben jetzt auch die Anzeige
bestimmter "interner" Flags in der Bescheibungsspalte, sofern
gewünscht. Diese Flags identifizieren den Status einer Datei bezüglich
Datei-Überblick-Erweiterung:
[Emb]: wurde auf eingebettete Dateien geprüft
[Arc]: Datei-Archiv auf Inhalte geprüft
[Enc]: Verschlüsselungstest durchgeführt
[Ext]: E-Mail(-Archiv) auf extrahierbare Inhalte geprüft
[Met]: auf interne Metadaten geprüft
[Xtn]: von einer X-Tension erzeugt.
Diverses
-
Die Anwendung von X-Tensions auf Dateien in ausgewählten
Verzeichnissen ist jetzt optional. (Falls eine bestimmte X-Tension nur für
die Anwendung auf Verzeichnisse nützlich ist.)
-
Die Funktion "Als Laufwerk einbinden" besitzt jetzt
eine neue Option namens "Rekursiv anwenden", um die Dateien aus allen
Unterverzeichnissen des aktuell aktiven Asservats bzw. des ausgewählten Verzeichnisses
in einer flachen Liste anzuzeigen. Nützlich, wenn Sie vorhaben, viele dieser Dateien
in einem externen Programm zu öffnen und zu dem Zweck nicht durch die diversen
Verzeichnisse navigieren wollen. Wenn Sie diese Option benutzen, werden die
int. IDs der Dateien in deren Namen eingefügt, um die Dateien für X-Ways Forensics
besser identifizierbar zu machen.
-
Fähigkeit, die maximale Dateigröße festzulegen, für die
Vorschaubilder in der Galerie erzeugt werden sollten. Es kann ggf. erforderlich
sein, diese Grenze hoch zu setzen, z.B. für sehr hoch aufgelöste Photoshop
PSD-Dateien.
-
Die automatische Hash-Prüfung neu erzeugter Datenträgersicherungen
wird jetzt auch dann auf eine optionale zweite Kopie angewandt, wenn die erste Kopie
automatisch dem aktiven Fall hinzufügt wird.
-
Backups der Falldateien können jetzt optional mit dem
Attribut H (versteckt) versehen werden.
-
Viele kleinere Verbesserungen.
Änderungen an den weiteren Service-Releases von 20.4
-
SR-1: The hash types for disk imaging and volume
snapshot refinement can now be selected in the same dialog window, which
requires two mouse clicks less and means that .dlg files of these dialog
windows will cover the settings more completely.
-
SR-1: Avoided a read error that could occur when
OCRing files.
-
SR-1: Prevents repeated output of hint on use of
multiple .settings files.
-
SR-2: If you get file creation error messages when
running OCR with multiple threads, you can now try an unlabeled, but
tooltipped checkbox next to the Tesseract OCR option to make X-Ways
Forensics wait longer for Tesseract to finish.
-
SR-2: Fixed a potential infinite loop that could
occur with certain PDF documents when uncovering embedded data.
-
SR-2: Now uses an embedded JPEG picture as the
thumbnail of certain camera raw files in the case report.
-
SR-2: When the case report is generated, the user now
has the option to explore the directory where the report is stored
instead of viewing the report directly.
-
SR-2: The hint given in fresh installations that the
RVS processing state of files in evidence file containers is taken over
is now given repeatedly, until the user disables it. Previously it was
probably often overlooked or ignored and/or not understood.
-
SR-2: Chinese translation of the user interface
updated.
-
SR-3: Fixed an exception error that could occur in
v20.4 with WofCompressed or possibly other kinds of pseudo-sparse files.
-
SR-3: Prevented inability to load previously decoded
text that was written incompletely because of a crash. Earlier versions
of X-Ways Forensics cannot load decoded text stored by v20.4 SR-3 and
later.
-
SR-4: Faster viewing and previewing of large PSD
pictures, using the internal graphics viewing library instead of the
viewer component.
-
SR-4: Fixed an error in the Tools | Compute Hash
command that occurred when applied in File mode.
-
SR-4: Attaching files in the case root window
previously switched to a file listing that was shown as being not
recursive. That was fixed.
-
SR-5: Waits longer for closed evidence objects to
open if targeted by RVS, to avoid the error message "Sorry, the
following evidence object was skipped".
-
SR-5: Fixed a cluster allocation display error of
v20.4 SR-4.
-
SR-5: Fixed an exception error that could occur in
v20.4 under certain circumstances when generating the case report.
-
SR-6: The mouse wheel now also works for scrolling in
Windows 10 when the cursor hovers over a directory browser tooltip.
-
SR-6: Fixed inability to remove certain context menu
commands from the Windows shell via Options | General.
-
SR-6: Support for a newer variant of Windows 10
thumbcache index files in file type verification and Details mode.
-
SR-6: Fixed inability to extract certain tables from
some SQLite database as TSV child objects.
-
SR-6: Fixed a crash that could occur if the user
inserted a trailing blank line at the end of "Event Log
Events.txt".
-
SR-6: Fixed inability of v20.4 to properly open ordinary
sparse files in NTFS.
-
SR-6: In OSDirList volume snapshots, directories were
previously skipped if their names started with two dots. That was fixed.
-
SR-6: Tooltips now also work in the dialog windows
for simple text and hex searches.
-
SR-6: Restoring old backups of cases did not always
discard all newer components of volume snapshot that did not exist in
the backup (e.g. events).
-
SR-6: Replacing text or hex values in a file with
data of different size did not always work in files larger than 2 GB.
That was fixed.
Wir hoffen, Sie bald wieder auf
http://www.x-ways.net
zu sehen, oder bei Facebook oder
Twitter. Bitte leiten Sie
diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z.
B. noch mit weiteren E-Mail-Adressen)
u. a.
hier. Vielen
Dank.
Freundliche Grüße
Stefan Fleischmann
--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde |