WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

In dieser Ausgabe informieren wir Sie über ein weiteres Update mit einigen beachtlichen Verbesserungen, die Version 20.6. Erscheinungstermin war der 24. Juli. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Nächste Schulungstermine

X-Ways Forensics: 25.-28. Oktober, online

X-Ways Forensics II: 8.-10. November, online

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen werden hier aufgelistet.

Was ist neu in v20.6?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Bildanalyse

• Das Dialogfenster zum Pixel-Filter wurde neu gestaltet, um das Verständnis von dessen Funktionsweise zu verbessern.

• Es gibt nun einen kleinen Schalter auf der rechten Seite des Dialogfensters für die Bildanalyse und -verarbeitung. Ein Klick auf diesen Schalter zeigt die Steuerungselemente für PhotoDNA und Excire PhotoAI an, auch wenn die Funktionalität gar nicht verfügbar ist. Dadurch können Sie eine bessere Vorstellung davon bekommen, wie diese Module genutzt werden können. PhotoDNA wird Strafverfolgungsbehörden kostenlos zur Verfügung gestellt. Excire PhotoAI ist kommerziell erhältlich und wird hier beschrieben.

• Fähigkeit, Bilder im HEIC-Format mit Excire PhotoAI zu analysieren.

• Fähigkeit, die Mindestauflösung von Bildern anzugeben, die mit Excire PhotoAI analysiert werden sollen. Das vorherige Minimum war 224x224 Pixel. Wenn Sie nur an hochqualitativen Digitalfotos interessiert sind, können Sie Zeit sparen und die Mindestauflösung stark heraufsetzen. Wenn Sie auch an Bildern in niedriger Auflösung interessiert sind, incl. Miniaturansichten (z. B. weil Sie annehmen müssen, dass Sie manchmal nicht mehr als Miniaturansichten von verdächtigen Bildern wiederherstellen können), können Sie die Mindestauflösung herabsetzen. Das absolute Minimum ist 48x48 Pixel, aber es wird nicht empfohlen, deutlich unter 80x80 zu gehen, weil Erkennungsfehler natürlich bei schlechter Bildqualität verstärkt auftreten.

• Bilder können nun mit Excire PhotoAI automatisch als irrelevant oder verdächtig klassifiziert werden. In der umfangreichen Hierarchie identifizierbarer Objekte können Sie einzelne Objekte oder ganze Teilbäume auswählen, die ein Bild aus Ihrer Sicht irrelevant machen, wie etwas jegliche Arten von Tieren, Pflanzen, Musikinstrumenten, Sportarten usw. Die automatische Einstufung von Bildern als irrelevant basierend auf dem Bildinhalt setzt eine gewisse Gewissheit bei der Erkennung voraus (die Sie einstellen können) und eine gewisse Mindestauflösung in KP (fix).

• Um die Anzahl der Berichtstabellenverknüpfungen zu reduzieren, die Excire PhotoAI erzeugt, können Sie entscheiden, dass innerhalb eines als irrelevant gekennzeichneten Teilbaums keine Erkennungen auf unteren Ebenenen ausgegeben werden. Wenn Sie also z. B. den Teilbaum „Tier“ als irrelevant markiert haben und in einem Foto wird ein Schmetterling erkannt, dann werden Sie mit dieser Einstellung keine Berichtstabelle für „Schmetterling“ oder „Insekt“ bekommen, sondern nur für Tier. (Optional können Sie sich dabei aber in der Kommentarspalte immer noch angeben lassen, welches Tier genau erkannt wurde.)

• Sie können definieren, was ein Bild für Sie verdächtig macht, z. B. Entblößung, Waffen, puderförmige Substanzen, Fahrzeuge, Text usw. Die Einstufung als „verdächtig“ überstimmt im Zweifelsfall eine Einstufung als irrelevant, wenn z. B. Hunde in einem bestimmten Fall als verdächtig definiert wurden, aber Tiere im allgemeinen immer noch als irrelevant.

• Bei der Einstufung von Bildern als verdächtig werden logische UND-Verknüpfungen unterstützt. Um eine neue UND-Kombination zu erstellen, klicken Sie auf das erste Schlagwort in der Hierarchie, dann den UND-Schalter, dann das zweite Schlagwort und dann nochmal den UND-Schalter. Falls Sie sich verklickt haben, können Sie das Dialogfenster mit Abbrechen verlassen oder einfach das Häkchen vor Ihrer verunglückten oder nicht mehr benötigten UND-Kombinationen entfernen, so dass diese verworfen wird, wenn Sie auf OK klicken. Einige UND-Kombinationen sind in frischen Installationen voreingestellt. Sie können jegliche Objekte im Baum miteinander kombinieren, nicht nur solche auf der untersten Ebene, die von Datei-Icons repräsentiert werden. Die Definitionen von irrelevant und verdächtig werden in diesen beiden Textdateien gespeichert: „Excire Irrelevant.txt“ und „Excire Notable.txt“.

• Es gibt nun die Möglichkeit, die interne Schlagwortliste von Excire PhotoAI mitsamt benutzerfreundlicher Übersetzung in Englisch, Deutsch, Spanisch, Italienisch oder Französisch (abhängig von der aktiven Sprache der Benutzeroberfäche) einzusehen und Übersetzungen bei Bedarf zu ändern, durch Klick auf den „Bearbeiten“-Schalter im Kategorisierungsfenster von Excire. X-Ways Forensics muss u. U. neu gestartet werden, damit Änderungen greifen.

Bildanzeige

• Die interne Grafikanzeigebibliothek wurde aktualisiert.

• Bessere Unterstützung von bestimmte PNG-Bilder mit Transparenz.

• The Art und Weise, in der Miniaturansichten für den Fallbericht erzeugt werden, hat sich geändert für Dateitypen, die von der internen Bildanzeigebibliothek unterstützt werden. Das betrifft u. a. Photoshop-PSD-Dateien, die offenbar von der 64-Bit-Fassung der Viewer-Komponente nicht ordnungsgemäß dargestellt werden können, aber von der internen Bildanzeigebibliothek schon.

• Die Anwendung der Exif-Orientierungsmetadaten im Vorschau-Modus, im Einsehen-Befehl, in der Galerie, für OCR und für Excire PhotoAI wurde teilweise überarbeitet, ist nun optional und kann über ein dreistufiges Kontrollkästchen unter Optionen | Datei-Betrachtung gesteuert werden. Wenn voll gewählt, wird die Exif-Orientierung streng (und blind) angewandt. Wenn sie halb gewählt ist, wird sie nicht angewandt, wenn X-Ways Forensics glaubt, dass es wahrscheinlich korrekt ist, das Bild nicht (weiter) zu drehen bzw. umzukehren. Das war auch das Verhalten in früheren Versionen und ist noch immer die Voreinstellung.

• Verbesserte Exif-Orientierungskonformität in der Galerie. Insbesondere richtet sich die Darstellung von Miniaturansichten und von Alternativbildern in niedriger Auflösung nun nach der Exif-Orientierung der jeweiligen Elterndatei.

Metadaten-Extraktion

• Die Relevanzskala für PNG-Dateien ist nun vergleichbar mit der für JPEG, so dass das Sortieren nach beiden Dateitypen nach Relevanz eine plausiblere Reihenfolge liefert.

• Der Kompressionsgrad von PNG-Dateien wird nun in den internen Metadaten im Detailsmodus ausgegeben. Er beeinflusst auch die Relevanzberechnung.

• Die Zustände „trailing data“ und „incomplete“ (ebenfalls im Detailsmodus) sind für PNG-Dateien neu hinzugekommen.

• Ein Problem der Falscherkennung eines Scanners als erzeugendes Gerät bei PNG-Dateien wurde behoben.

• Wenn das Feld „IFD GPS“ in Exif-Metadaten verfügbar, aber leer ist, oder wenn es ungültige Koordinaten enthält, ist das eine irreguläre Situation, anders als das komplette Fehlen von „IFD GPS“, und bedeutet oft, dass die GPS-Daten nachträglich entfernt wurden. Dies wird nun dargestellt als „GPS format: NaN“, wobei NaN „not a number“ bedeutet (keine Zahl).

• Ein seltener Fehler, bei dem die Geolocation zuvor nicht ausgegeben wurde, wurde behoben.

• Das Konzept der Generatorsignatur von JPEG-Bildern wurde überarbeitet. Die Fehlerrate wurde reduziert auf unter 0,1%, durch Vermeiden von Hash-Kollisionen (in der eine Signatur auf zwei verschiedene Geräte passt). Dies fällt evtl. speziell bei Geräten des Typs Samsung Galaxy auf.

• Die Summary-Tabelle im Detailsmodus von JPEG-Dateien gibt nun die Gewissheit an, mit der der erzeugende Gerätetyp identifiziert wurde.

• Benutzer können nun die Mindestgewissheit in % angeben, ab der für JPEG- und PNG-Dateien eine Ausgabe des erzeugenden Gerätetyps erfolgen soll.

• AMPF (Abkürzung vermutlich für „Apple Multi Picture Format“) im JFIF-Header wird nun Detailsmodus erwähnt.

Verzeichnis-Browser

• Verbesserte Lesbarkeit von Tooltips zu Zellen im Verzeichnis-Browser, die sehr langen Text ohne Zeilenumbrüche enthalten, z. B. Kommentare.

• Die Anzahl der Textzeichen, die aus einer Datei extrahiert wurde, sei es über Textdecodierung oder OCR, wird nun in der Beschreibungsspalte angezeigt, wenn das Kästchen „andere“ angekreuzt ist in den Notationsoptionen der Beschreibungsspalte. Und mit dem Filter können Sie sich auf Dateien mit einer bestimmten Mindestanzahl von extrahierten Zeichen fokussieren (z. B. 5 oder 10, maximal 255), zum Beispiel um Bilder auszuklammern, in denen bloß ein paar wenige Müllzeichen (fehl)erkannt wurden, d. h. Bilder, die in Wirklichkeit gar keinen Text enthalten.

• Es gibt eine neue Verzeichnis-Browser-Option zur Anzeige des Start-Offsets der Daten einer Datei in der Spalte Startsektor. Diese Angabe ist deutlich präziser und für die meisten Dateien verfügbar. Die Bezeichnung der Spalte ändert sich dann entsprechend an den meisten Stellen in der Benutzeroberfläche. Der Offset kann optional ein physischer Offset sein (aus Sicht des physischen Datenträgers/Images, wenn innerhalb einer Partition angezeigt) genau wie Sektornummern in physische Sektornummern umgerechnet werden können. Der Filter dieser Spalte erwartet Angaben mit derselben Bedeutung wie aktuell im Verzeichnis-Browser angezeigt, d. h. entweder Offsets oder Sektornummern, in derselben Notation, d. h. dezimal für Sektornummern, dezimal oder hexadezimal für Offsets.

• Das Kontextmenü des Verzeichnis-Browsers enthält den Befehl „Duplikate in Liste finden“. Dieser kann nun Duplikate auch basierend auf exakt gleichen Startoffsets identifizieren anstelle von gleichen Startsektor-Nummern, wenn die Spalte „Startsektor“ entsprechend umfunktioniert wurde.

• Die Hash-Kategorie-Spalte, die anzeigt, welche Dateien als verdächtig oder irrelevant eingestuft wurden, wurde umbenannt in „Kategorisierung“. Hintergrund ist, dass der Abgleich mit einer Hash-Datenbank mittlerweile nur noch eine von vielen Methoden ist, um diese Spalte zu befüllen. Dateien können auch von X-Tensions als verdächtig oder irrelevant eingeordnet werden, ebenso über Metadaten in Datei-Containern, ..., ..., und nun in v20.6 auch einfach über ein Untermenü im Kontextmenü des Verzeichnis-Browsers.

• Die bisher „Kategorie“ genannte Spalte mit der Dateityp-Kategorie heißt nun „Typ-Kategorie“, analog zu „Typ-Status“ und „Typ-Beschreibung“.

Bedienbarkeit

• Sie können nun jede beliebige Spalte im Verzeichnis-Browser nach Ihrem Geschmack umbenennen, z. B. um Kontinuität in der Benutzerschnittstelle zwischen früheren und neueren Versionen aufrechtzuerhalten oder um Kompatibilität in Datentransfers zu wahren (man denke an den Befehl „Liste exportieren“) oder weil ein bestimmter Spaltenname nicht in Ihre bevorzugte (auf lateinischen Buchstaben basierende) Sprache der Benutzerschnittstelle übersetzt wurde und Sie gern Ihre eigene Übersetzung anstelle des englischen Namens sehen würden, oder auch weil Sie einfach lieber „Attribute“ statt die Abkürzung „Attr.“ sehen möchten usw. usf. Im Dialogfenster mit den Verzeichnis-Browser-Optionen können Sie dazu einfach einen Spaltennamen rechts anklicken und erhalten dann die Gelegenheit, ihn zu ersetzen.

• Tatsächlich können nun noch weitaus mehr Textfragmente (sog. Strings) in der Benutzerschnittstelle an die eigenen Bedürfnisse angepasst werden, über diesen Menübefehl: Hilfe | Setup | UI Text Adjustments. Sie müssten dazu bitte das exakte zu ersetzende Textfragment identifizieren und Ihre eigene Version davon angeben. Wenn der Text, den Sie adressieren möchten, nicht gefunden wird und Sie nicht genau wissen, wie er intern gespeichert ist, können Sie in die mitgelieferte Datei „language.dat“ hineinsehen. Ihre Anpassungen werden in einer separaten Datei („UI Text Adjustments.txt“) gespeicherte und können daher leicht mit anderen Benutzern geteilt werden. Diese Datei kann voraussichtlich auch in künftigen Versionen Verwendung finden, solange die Original-Textfragmente gleich bleiben. Sie besteht einfach nur aus einer Anpassung pro Zeile, beginnend mit dem Originaltext, gefolgt von einem Tabulatorzeichen zur Trennung und dann dem Ersatztext. (Das bedeutet, dass die wenigen Textfragmente, die bereits ein Tabulatorzeichen enthalten, nicht angepasst werden können). Sie können die Datei auch direkt in einem Texteditor bearbeiten. Bitte beachten Sie, dass die Übersetzungen in nicht auf lateinischen Buchstaben basierende Sprachen sowieso schon in Form von einfachen Textdateien vorliegen und daher direkter geändert werden können.

• X-Ways Forensics hat nun die Fähigkeit, bestimmte Operationen auch nach einem Absturz (einem unfreiwilligen Programmende) ohne Eingriff des Benutzers automatisch fortzusetzen. Dies ist eine Einstellung unter Optionen | Sicherheit. Die derzeit unterstützten Operationen sind die Teilschritte „Datei-Header-Signatur-Suche“ und „Individuelle Verarbeitung einzelner Dateien“ der Erweiterung des Datei-Überblicks, bei Aufruf über das Hauptmenü oder über die Befehlszeile oder beim Hinzufügen von Asservaten zum Fall. Im Gefolge eines Absturzes werden diese Vorgänge automatisch fortgesetzt an einer Stelle, die davon abhängt, wann der Datei-Überblick zuletzt gespeichert wurde. (Das wiederum hängt vom Intervall fürs automatische Speichern in den Falleigenschaften ab, denn wann immer der aktive Fall gespeichert wird, wird auch der Datei-Überblick eines jeden offenen Asservats gespeichert. Sie können den Fall auch manuell speichern, während der Datei-Überblick erweitert wird.) Wenn es nicht klar ist, welche Datei genau einen Absturz ausgelöst hat, weil Sie eine Operation mit zusätzlichen Threads haben laufen lassen, dann wird diese Operation zunächst ohne zusätzliche Threads fortgeführt. Mit etwas Glück, wird der Absturz dann gar nicht mehr auftreten. Wenn doch, wird die Operation abermals fortgesetzt, und wenn eine bestimmte Datei als Auslöser erkannt wird, wird diese beim nächsten Versuch automatisch übersprungen. Im Fall eines Absturzes bei der Datei-Header-Signatur-Suche wird hingegen der Sektor, an dem eine problematische Datei ausgegliedert wurde, übersprungen.

• Ausschließlich in Preview- und Beta-Releases können Sie Abstürze auf Wunsch simulieren, wenn Sie die o. g. Neuerung beobachten, testen oder demonstrieren möchten, z. B. weil Sie sie sich zunutze machen möchten bei der mehr oder weniger automatisierten Ausführung von X-Ways Forensics mit Befehlszeilen-Parametern, wo Sie evtl. auf die Situation reagieren müssen, dass eine Instanz von X-Ways Forensics verschwindet und sofort von einer weiteren Instanz ersetzt wird, die Sie nicht selbst gestartet haben. Für die Simulation können Sie den Namen einer Datei angeben, die einen Crash in den unterstützten Operationen auslösen soll. Dieser Dateiname sollte natürlich möglichst eindeutig sein und idealerweise nur auf eine einzige Datei passen. Eine Datei also, von der Sie wissen, dass sie im initialen Datei-Überblick enthalten ist oder deren Hinzufügen Sie bei der Erweitung des Datei-Überblicks erwarten. Groß- und Kleinschreibung im Dateinamen macht dabei einen Unterschied. Bitte beachten Sie, dass wenn Sie X-Ways Forensics aus Sektoren ausgegliederten Dateien Namen mit fortlaufenden Nummern zuweisen, und Sie einen Absturz simulieren lassen mit einer Datei, deren Name erwartungsgemäß 012345.jpg wird, dass selbst wenn X-Ways Forensics erfolgreich lernt, den Sektor zu meiden, in dem die Datei bei der Datei-Header-Signatur-Suche gefunden wird, dass die nächste ausgegliederte Datei evtl. auch wieder 012345.jpg genannt wird (abhängig vom Dateityp) und somit noch einen weiter Absturz auslösen wird. Eindeutige Namen von ausgegliederten Dateien sind solche, die von der intelligenten Benennungsoption erzeugt werden (sowas wie „Canon DIGITAL IXUS 950 IS 2007-07-01 12:01:46.jpg“) oder von der Option, Dateien nach Startsektor-Nummern zu benennen. Um einen zufälligen, nicht reproduzierbaren Absturz zu simulieren, können Sie X-Ways Forensics einfach mit dem Task-Manager von Windows terminieren. v20.6 Beta 5 ist nach Erscheinen von v20.6 noch ein paar Wochen verfügbar, falls Sie dieses Feature benötigen.

• Die Funktionalität „Eingebettete Daten in diversen Dateitypen suchen“ trifft nun besondere Vorkehrungen, um keine Duplikate von Dateien zu erzeugen, die bereits von der Datei-Header-Signatur-Suche aus Sektoren ausgegliedert wurden. Genauer gesagt ersetzt die Ausgabe dieser Funktionalität nun die entsprechenden zuvor ausgegliederten Dateien im Datei-Überblick. Deren interne IDs bleiben gleich. Zusätzliche Metadaten werden u. U. verfügbar (z. B. Pfad/Darstellung als Unterobjekt einer Trägerdatei, vermuteter Original-Dateiname, korrektere Dateigröße usw.). Mit den üblichen Einstellungen betrifft diese eine beträchtliche Anzahl von an Sektorgrenzen ausgerichteten Dateien, z. B. im Browser-Cache von Google Chrome.

• Es wird im Fallbericht vermerkt, wie die ausgegebenen Objekte in den Berichtstabellen sortiert sind.

• In der Verwaltung der Hash-Datenbanken wird dem Benutzer nun zur Erinnerung angezeigt, unter welchen Pfaden sie gespeichert sind.

• Die komplexere Version des Dialogfensters zur Verwaltung von Berichtstabellen und Berichtstabellen-Verknüpfungen hat nun auch den Schalter, mit dem man von den ausgewählten Dateien alle Verknüpfungen mit ausgewählten Berichtstabellen entfernen kann.

Benutzerschnittstelle

• Fähigkeit, auch über die Befehlszeile zwei Kopien  einer Datenträger-Sicherung auf einmal zu erzeugen. Der Pfad der zweiten Kopie, sofern gewünscht, wird einfach an den Pfad der ersten angehängt, getrennt durch einen normalen Schrägstrich. Beispiel: „|e01|Z:\Erste Kopie.e01/V:\Zweite Kopie.e01|Image-Beschreibung|Benutzername“.

• RVS:~ in der Befehlszeile erweitert bekanntlich die Datei-Überblicke von allen Asservaten im Fall. RVS:~+ wurde neu eingeführt und erlaubt die Erweiterung nur für die neu hinzugefügten Asservate, d. h. solche, die hinzugefügt wurden, seit dem der Fall geöffnet wurde.

• Die Benutzerschnittstelle zeigt nun verbesserte Anleitungen für die Rekonstruktion bestimmter MD-RAID-Varianten von Linux an.

• Die Einstellungen der Datei-Header-Signatur-Suche sind nun vom Dialogfenster zur Erweiterung des Datei-Überblicks auf genau dieselbe Weise zugänglich wie die anderer Unteroperationen, über einen „...“-Schalter. Und genau wie die Einstellungsmöglichkeiten anderer Unteroperationen werden sie nun normalerweise nur noch auf Nachfrage (Klick auf „...“) angezeigt.

Dateityp-Unterstützung

• Neue Option zur Beschleunigung diverser Operationen: Erweiterung des Datei-Überblicks, logische Suche und insbes. die optionale dynamische Darstellung des Kontextvorschau von Suchtreffern in der Suchtrefferliste. Dazu werden mehr dekomprimierte Inhalte von Datei-Archiven im Cache des Datei-Überblicks gehalten. Diese Option findet sich daher unter Optionen | Datei-Überblick. Sie beschleunigt generell das erneute Öffnen von Dateien in Archiven nach dem ersten Mal, insbes. in verschachtelten Archiven.
  
  Der Cache des Datei-Überblicks kann auf diese Weise sehr groß werden. Er kann optional verworfen werden, wann immer Sie das Datenfenster schließen (nützlich, wenn Sie mit dem betreffenden Asservat oder dem ganzen Fall erstmal fertig sind), und das ist eine fallspezifische Einstellung in den Falleigenschaften. Wenn der Cache geleert wurde, können Dateien jederzeit erneut dort abgelegt werden, wenn sie erneut geöffnet werden, sofern die Option dafür aktiv ist. Wenn das Kontrollkästchen fürs Caching halb gewählt ist, bedeutet das, dass nur verschachtelte Archive im Cache gehalten werden, ähnlich wie in früheren Versionen komprimierte TAR-Archive gehandhabt wurden.

• Das Anklicken von Dateien in nicht verschachtelten Archiven des Typs Zip im Verzeichnis-Browser im Modus Partition/Volume löst nun einen Sprung direkt zum jeweiligen Zip-Datensatz aus. Genauer gesagt zu dem Teil des Datensatzes, der den Dateinamen enthält, um die erste enthaltene Datei besser von ihrer Elterndatei unterscheidbar zu machen (auch was die Spalte Startsektor/Offset angeht). Der tatsächliche Anfang des Datensatzes wird bereits hinreichend von der automatischen Signaturerkennung hervorgehoben.

Suche

• Führende Leerzeichen/Whitespaces aus der OCR-Texterkennung werden nun automatisch herausgefiltert.

• Eine neue Option unter Optionen | Datei-Betrachtung lässt X-Ways Forensics über OCR gewonnenen Text verwerfen, wenn er nicht mind. x aufeinanderfolgende „nützliche“ Zeichen enthält. Solche Ergebnisse werden also nicht gespeichert, ausgegeben, kopiert, indexiert oder durchsucht. Das ist vorteilhaft, wenn Sie OCR auf unbekannte/wahllos herausgesuchte/normale Bilder anwenden (d. h. keine bekannten Textdaten), um die Anzahl der Dateien zu reduzieren, die später (irreführenderweise) auf den Beschreibungsfilter für Dateien mit per OCR ermitteltem Text reagieren oder für die (unnötigerweise) Unterobjekte erzeugt werden durch die Funktion „Kopieren: extrahierter Text“ usw. Ein „nützliches“ Zeichen ist hier definiert als ein Zeichen mit einem ASCII-/Unicode-Wert von 0x30 oder höher. Das bedeutet, dass sog. Whitespaces <=0x20 nicht zählen, und ebensowenig die druckbaren Zeichen !=#$%&'()*+,-.& (die Spanne 0x21-0x2F), weil einige davon gelegentlich zu Unrecht in zufälligen Pixel-Kombinationen erkannt werden. Alle echten Buchstaben in jeder Sprache zählen, und auch Ziffern („0“ bis „9“).

• Logische Suchen merken sich nun im Datei-Überblick, wenn OCR bereits erfolglos aufbestimmte Bilddateien angewandt wurde (d. h. wenn kein Text erkannt wurde), so dass folgende Suchläufe mit aktiviertem OCR nicht erneut OCR bei diesen Dateien versuchen.

• X-Ways Forensics weist den Benutzer nun auf etwaige Leerzeichen am Ende von Suchbegriffen hin (die dort z. B. durch unsauberes Copy & Paste landen könnten).

Dateisystem-Unterstützung

• Verbesserte Darstellung von HFS+-Dateisystemen mit redundanten inaktiven Katalog-Einträgen. Doppelte Einträge im Katalog (einer inaktiv und einer aktiv) für dieselbe Datei oder dasselbe Verzeichnis (gleiche ID, gleicher Name) werden offenbar unter bestimmten Umständen beim Befüllen des Dateisystems unter Linux erzeugt. In neu erzeugten Datei-Überblicken wird nun normalerweise nur noch der aktive Eintrag übernommen.

• HFS+: Wenn ein inaktiver und ein aktiver Katalogeintrag für dasselbe Verzeichnis gefunden wird (gleiche ID, gleicher Name) und beide in den Datei-Überblick aufgenommen werden, wird der Inhalt dieses Verzeichnisses nun auf jeden Fall für den existierenden Eintrag angezeigt und nicht zufällig für einen von beiden.

• Option, die Suche nach NTFS-FILE-Records (Teil der gründlichen Dateisystem-Datenstruktur-Suche) auf den aktuell definierten Block zu beschränken. (Wenn gar kein Block definiert ist, wird die Suche ganz normal in allen Sektoren des Volumes/der Partition durchgeführt.)

• Die Art der Datenstruktur, die in NTFS an dem angegebenen Dateisystem-Offset zu finden ist, wird nun direkt in der Spalte „Dateisystem-Offset“ genannt, für Dateien und verzeichnisse.

• Es gibt nun in den Falleigenschaften eine Option, für Ext*-Dateisysteme bei der Interpretation von Datei- und Verzeichnisnamen bei Bedarf auf eine bestimmte alternative Codepage (also nicht UTF-8) zurückzugreifen oder deren Verwendung sogar zu erzwingen. Dazu versetzen Sie das Kontrollkästchen neben der zweiten fallspezifischen Codepage in den halb oder ganz gewählten Zustand. Diese Codepage wird verwendet für Namen, die nicht wie in Linux üblich in UTF-8 codiert sind, in bestimmten Altsystemen oder in speziellen Umgebungen, in denen eine andere Codepage eingestellt wurde.

Diverses

• In der Konfigurationsdatei „Event Log Events.txt“ gilt nun ein Zeilenbeginn (1. Spalte) mit Semikolon als Kommentar. Dadurch können Sie Zeilen deaktivieren oder für bestimmte Abschnitte erklärende Kommentare einfügen. Die Datei akzeptiert nun auch Angaben in einer optionalen 4. Spalte. Darüber können Sie einfache Textkommentare direkt in der Spalte mit der Beschreibung eines Ereignisses erscheinen lassen.

• Die mitgelieferte „Event Log Events.txt“-Datei enthält nun einige Erklärungen und ein Beispiel für einen Kommentar, der in die Ereignisbeschreibung übernommen wird.

• Das Exportieren und Importieren ausgewählter Berichtstabellen in/aus Textdateien schließt nun die Beschreibung der Tabellen mit ein, wenn es eine gibt, zusätzlich zu den Namen.

• Die Liste der bei der Datei-Header-Signatur-Suche auszulassenden Sektoren kann nun bis zu 16 Einträge umfaseen statt bislang 8.

• Dokumente, deren Text per FuzZyDoc als teilweise bekannt identifiziert wird, können nun optional automatisch  als verdächtig kategorisiert werden.

• Unterstützung von Unicode-Dateinamen in der Funktion „Sicher Löschen“.

• X-Tension API: Die Funktion XWF_OutputMessage() akzeptiert nun das Flag 0x8, das die Nachricht an das Ausgabefenster leitet statt ans Nachrichtenfenster, aus dem Benutzer ebenso leicht mit Copy & Paste Text entnehmen können, wo aber kein [XT]-Präfix vorangestellt wird, um interne Nachrichten von Nachrichten von X-Tensions zu unterscheiden.

• Die Programmhilfe und das Benutzerhandbuch wurden aktualisiert.

• Viele kleinere Verbesserungen.

Excire PhotoAI: Neue Erkennung verdächtiger Bildelemente

Ein neues Excire-PhotoAI-Paket ist jetzt für lizenzierte Benutzer und Testnutzer herunterladbar, vom selben Verzeichnis wie vorher, das mit X-Ways Forensics 20.6 kompatibel ist.

• Eine neue Kategorie namens „Forensik“ wurde eingeführt, die die neuen Schlagwörter enthält (s. u.), nach denen manche Benutzer werden Ausschau halten wollen und die, wenn erkannt, zu automatischen einer Kategorisierung von Bildern als verdächtig genutzt werden können. Sie ist nur ab X-Ways Forensics 20.6 SR-1 sichtbar.

• Sowohl Handfeuerwaffen als auch Langwaffen werden in Fotos ziemlich zuverlässig erkannt und voneinander unterschieden. Sie sind bilden zusammen die Gruppe „Waffe“. Gelegentlich werden auch Messer als Waffen erkannt.

• Pillen und puderförmige Substanzen werden nun auch normalerweise erkannt. Sie bilden eine neue Gruppe namens „Droge“.

• Nacktheit in unterschiedlichem Ausmaß und Pornographie werden nun typischerweise als „Entblößung“ erkannt. UND-Kombinationen von Entblößung und Kind oder Teenager werden in der Voreinstellung in neuen Installationen von X-Ways Forensics 20.6 SR-1 automatisch als verdächtig eingestuft, wenn Sie Kategorisierungen einschalten.

• Das bereits zuvor unterstützte Schlagwort „Akt“ wurde zum besseren Verständnis umbenannt in „Aktfotografie“. Bilder, die als solches identifiziert wurden, haben evtl. einen höheren ästhetischen oder künstlerischen Anspruch als solche mit Erkennung als „Entblößung“.

Wenn Sie X-Ways Forensics bereits haben und an einer Testlizenz für Excire PhotoAI interessiert sind, finden Sie Instruktionen dafür in Ihrem Lizenzstatus.

Änderungen an den weiteren Service-Releases von 20.5

• SR-1: The table of generating devices was updated.

• SR-1: Some new video generator signatures.

• SR-1: Some more format variants added for the device type „Video publishing“.

• SR-1: Structure types are now computed for the file types XLS, WEBP, and WAV.

• SR-1: More formats supported for filename analysis.

• SR-1: Keyboard shortcut assignments in the report table association dialog did not always work in v20.5. That was fixed.

• SR-2: Improved Unicode support for EVTX processing.

• SR-2: The definitions in „Event Log Events.txt“ were not applied completely when processing .evtx event logs since v20.4 SR-6. That was fixed.

• SR-2: Fixed unintended dependency of the alternative e-mail presentation in the case report on the setting in Options | Viewer Programs.

• SR-2: Originally WofCompressed files in evidence file containers could not be opened for reading. That was fixed.

• SR-2: The particularly thorough file system data structure search in NTFS now skips some volume areas that could only result in unnecessary duplicate findings, and grouping orphaned files now always happens in virtual directories that have a connection to the root directory via the virtual „Path unknown“ directory.

• SR-2: Fixed some report table management functions for the new optional report table listing in alphabetical order.

• SR-2: Clarified supported file types in online Excire product description. Clarified supported file types for face definitions in marker-help.txt in the Excire package. Face marking now accepts supported picture files with any filename extension or without filename extension.

• SR-3: The directory browser context menu command to copy extracted text to various output channels had encoding issues with some settings. That was fixed.

• SR-3: The alternative e-mail preview did not present Date and Recipient fields in some rare cases. That was fixed.

• SR-3: Fixed occasional inability to preview compressed Prefetch files in v20.5.

• SR-3: Fixed sorting partitions by size in the directory browser.

• SR-3: Fixed a user interface error that could occur in some installations in v20.5 SR-2.

• SR-4: Some minor improvements and fixes

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

In dieser Ausgabe informieren wir Sie über ein weiteres Update mit einigen beachtlichen Verbesserungen, die Version 20.5, sowie ein separates Modul eines Partnerunternehmens. Erscheinungstermin von v20.5 war der 11. April 2022. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Neue Videos (englischsprachig) sind auf YouTube verfügbar, die die Einrichtung von X-Ways Forensics darstellen und diverse Einstellungen diskutieren.

Nächste Schulungstermine

X-Ways Forensics: 30. Mai - 2. Juni, Online

X-Ways Forensics II: 28.-30. Juni, Online

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im Online-Live-Format, darunter derzeit auch eine  umfangreiche Dateisystem-Schulung (!), werden hier aufgelistet.

Excire: Foto-Analyse mittels künstlicher Intelligenz

Excire für X-Ways Forensics ist ein separates Modul, das auf Technologie der Pattern Recognition Company GmbH basiert, einer deutschen KI-Firma.

• Excire analysiert Bilder automatisch und identifiziert Bildinhalte (Objekte wie Gebäude, Tiere, Pflanzen, Strand, Berge, Menschen, Erwachsene, Babies, Gesichter, Augen, Bart, Nacktheit, Text, ...) sowie dominierende Bildfarben und Bildeigenschaften, die alle in Form von Stichworten beschrieben werden. Sie können sich auf Bilder mit bestimmten wichtigen Stichworten konzentrieren (verknüpft mit UND oder ODER), oder Bilder mit bestimmten unwichtigen Begriffen herausfiltern lassen.

• Excire bietet Ihnen auch die Möglichkeit, Bilder suchen zu lassen, die aus der Sicht der KI anderen von Ihnen als Muster vorgegebenen Bildern "ähnlich" sind.

• Es erlaubt Ihnen, Gesichter bestimmter Personen in Fotos in neuen Fällen wiederzufinden.

Von großem Nutzen für forensische Ermittler sollte die Fähigkeit von Excire sein, komplett offline zu arbeiten. Alles geschieht auf Ihrem eigenen Rechner. Sie brauchen keinem Cloud-Dienst zu vertrauen, zu dem Fotos hochgeladen werden müssten. Es wird keine Internet-Verbindung benötigt.* Das heißt, es ist im Prinzip alles so, wie Sie es auch von X-Ways Forensics her kennen. *Eine Internet-Verbindung wird benötigt beim Lizenzerwerb, und dafür können Sie einen anderen Computer verwenden. Außerdem benötigt man bei Benutzung von Testlizenzen eine Internet-Verbindung.

Besitzer von X-Ways Forensics Lizenzen mit aktuellem Zugang zu Updates (ausgenommen Lizenzen für Schulungszwecke) können Excire für X-Ways Forensics für diese Lizenzen mit 25% Rabatt erwerben. Ein entsprechender Gutschein-Code ist in den Lizenz-Status-Nachrichten enthalten (erhältlich von https://www.x-ways.net/winhex/license-d.html). Dieses Angebot gilt nur für Bestellungen, die bis zum 24. April 2022 eingehen. Preise und Bestellmöglichkeiten hier. Technische Einzelheiten hier.

Was ist neu in v20.5?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Bildanalyse

• Eine Schnittstelle für Excire (s. oben) ist jetzt in X-Ways Forensics und X-Ways Investigator eingebaut. Die Integration in die allgemeine Verwendung von X-Ways Forensics ist nahtlos. Sie verwenden dieselben Operationen wie immer (Datei-Überblick erweitern) und dieselben Filter, die Sie bereits kennen (für Berichtstabellen-Verknüpfungen, Kommentare oder Metadaten), und die Ergebnisse werden im Datei-Überblick oder in Datei-Containern festgehalten. Sie können spezifische Zellfarben im Verzeichnis-Browser festlegen für Bilder mit Stichwörter, die Sie besonders interessant finden. Stichwörter zur Beschreibung von Bildinhalten sind derzeit in den folgenden Sprache verfügbar: Deutsch, Englisch, Französisch, Spanisch und Italienisch.

• Bei der Berechnung von PhotoDNA-Hash-Werten und deren Speicherung für Deduplizierung und schnelleres erneutes Abgleichen, vergleicht X-Ways Forensics jetzt automatisch die eingebetteten Vorschaubilder mit ihren jeweiligen übergeordneten Dateien. Wenn ein erkennbarer Unterschied identifiziert wird, wird dies dem Nutzer mittels zweier Berichtstabellen zur Kenntnis gebracht: "Thumbnail discrepancy" und "Thumbnail notable (data corrupt/incomplete)", wobei letzteres bedeutet, dass der Unterschied hauptsächlich einer Beschädigung bzw. einem unvollständigen Hauptbild geschuldet ist. Das Vorschaubild, das weniger Speicherplatz benötigt und in der Nähe des Dateianfangs gespeichert ist, könnte davon nicht betroffen und daher nützlich sein. Die erste Berichtstabelle könnte bedeuten, dass jemand nachträglich ein Bild verändert hat, aber das enthaltene Vorschaubild im Originalzustand erhalten geblieben ist.

Dateiformat-Unterstützung

• X-Ways Forensics unterscheidet jetzt zwischen vier, statt bisher drei, verschiedenen Zuständen bei der Dateiformat-Konsistenz: unbekannt, OK, irregulär und defekt. Dies ist relevant für die Auswahl im Typ-Status-Filter.

• Verbesserte Erkennung von PNG-Bildschirmfotos. Insbesondere wird ein neues Exif-Format unterstützt, das hauptsächlich für Android-Bildschirmfotos verwendet wird. Dies ermöglicht die Prüfung, ob solche Android-Bildschirmfotos original sind.

• Zusätzliche Generator-Signaturen definiert.

• Unterstützung für neue Exif-Tags bezüglich "composite"-Bildern und Zeitzonen.

• Überarbeitete Erkennung von Original-Kamerabildern, jetzt mit einer niedrigeren Falsch-Negativ-Rate, insbesondere für Xiaomi-Smartphones.

• Weiter überarbeitete Identifikation des erzeugenden Geräts (insbes. Smartphones, insbes. alle Samsung-Smartphones) mit ungefähr 34.000 Definitionen und zwei neuen iOS-Release-Identifikationen.

• Wertet die Kamera-Debug-Informationen im sog. Application Marker 4 für Samsung-Smartphones aus, wie z. B. Kamera-Seriennummer, Zeitstempel des letzten Firmware-Updates, und ein 2-Buchstaben-Länderkürzel. Dies könnte dem Ermittler helfen, ein Foto mit einem konkreten Aufnahmegerät in Verbindung zu bringen.

• Ausgabe der internen Druck- und Änderungszeitstempel aus OpenOffice-Dokumenten als Ereignisse.

• Überarbeitete und verbesserte alternative .eml-Darstellung, was auch für die Berichtsoption "Alternative .eml-Darstellung direkt im Browser" von Bedeutung ist.

• Fähigkeit, gecarvte komprimierte PF-Prefetch-Dateien zu verarbeiten.

Dateisystem-Unterstützung

• Eine neue Art Reparse-Point-Text von Windows 11 wird unterstützt.

• Eine umbenannte/verschobene Datei in einem Datei-Überblick für ein FAT-Dateisystem, die unter anderem Namen oder in einem anderen Verzeichnis weiterhin existiert, wurde bisher inkonsistent gehandhabt. Jetzt wird sie exakt so wie ihr existierendes Gegenstück gelesen, d. h. unter Berücksichtigung der Cluster-Ketten wie sie in der Dateizuordnungstabelle festgehalten sind, unabhängig von der aktuellen Einstellung der Option "FAT: Allokationsaverse gelöschte Dateien", was identische Hash-Werte, doppelte Suchtreffer, etc. bedeutet.

Plattform-Unterstützung

• Erkennt Windows 11 als Plattform; Windows 11 wurde als Umgebung als gleichermaßen tauglich wie Windows 10 bestätigt.

• Jetzt auch unter Windows XP wieder lauffähig (mit Einschränkungen).

Sicherung von Daten

• Ein neuer Befehl "Prozesse sichern" im Extras-Menü von X-Ways Forensics erlaubt die Sicherung aller Daten im Prozess-Speicher der laufenden Prozesse eines lebenden Systems in zusammenhängender, richtiger Reihenfolge der Speicherseiten. Die Erzeugungszeitstempel der jeweiligen Prozesse werden als Erzeugungszeitstempel der jeweiligen Speicher-Dumps sichtbar. Speicherseiten, deren Inhalt als ausführbarer Programm-Code gekennzeichnet sind (PAGE_EXECUTE*) sind optional und reduzieren, falls ausgelassen, die Gesamtdatenmenge, sofern Sie lediglich interessiert sind, Suchbegriffe oder Dateisignaturen suchen zu lassen, und nicht Malware-Untersuchung. Signatursuchen in den Speicher-Dumps (die als Dateien vom Typ "mem" gezeigt werden) können über die Suche nach eingebetteten Daten, einer der Funktionen von Datei-Überblick erweitern, veranlasst werden.

• Dieser Befehl kann auch eine tabulatorgetrennte Liste aller Hauptfenster mit deren jeweiligen Titeln und zugehörigen Prozessen ausgeben plus (kommagetrennt), die Titel ihrer Unterfenster. Bildschirmfotos von einigen der Hauptfenster werden automatisch erzeugt und ausgegeben. Wenn diese Funktion ohne Administrator-Rechte ausgeführt wird, werden nur die Prozesse des aktuellen Benutzers berücksichtigt, sonst alle Prozesse.

• Das Ausgabeverzeichnis von "Prozesse sichern" ist standardmäßig entweder ein Unterverzeichnis des aktuellen Falles oder, falls kein Fall aktiv ist, ein Unterverzeichnis des Verzeichnisses für Datenträgersicherungen. Es kann automatisch im Windows File Explorer geöffnet, wenn die Ausgabe fertig ist, und/oder dem aktuellen Fall als Verzeichnis hinzugefügt werden.

• Der Speicher-Dump von "Prozesse sichern" kann auch auf Ihrem eigenen System nützlich sein, wenn eine Anwendung, in der Sie Text eingegeben haben (z. B. ein E-Mail-Programm) plötzlich einfriert und Sie Ihren Text noch aus dem Prozess-Speicher retten möchten.

• Ein Filter ist für die Prozess-Sicherung verfügbar. Sie können ihn genauso verwenden, wie andere Dateimasken-Filter in X-Ways Forensics. Die Eingabe "explorer.exe" würde beispielsweise nur den Speicherinhalt und die Fenster des Windows Explorer Prozesses ausgeben. ":C*" gibt alle Prozesse mit Ausnahme derer aus, deren Namen mit dem Buchstaben "C" beginnt, d. h. beispielsweise nicht "Chrome.exe". Die Dateimaske ist nicht abhängig von Groß- und Kleinschreibung. Mehrere Dateimasken können mit Strichpunkt getrennt hintereinander gehängt werden. (Allerdings ist die Gesamtlänge beschränkt.)

• Fähigkeit, nicht verschlüsselte Datenträgersicherungen im Ex01-Evidence-File-Format als partitionierte phyische Datenträger oder Volumes zu interpretieren.

• Verbesserte Handhabung von Festplatten, die so partitioniert und formatiert wurden, als hätten sie eine andere Sektorgröße als sie in Wirklichkeit nach außen propagieren.

Benutzeroberfläche

• Eine aktualisierte (englische) Tooltips.txt-Datei ist jetzt Bestandteil des Downloads. Sofern Sie diese Tooltips (hauptsächlich für die Kontrollkästchen) in Ihren Dialogfenstern sehen möchten, aktivieren Sie bitte die Option "Tooltips.txt" in Optionen | Allgemein. Eine deutschsprachige Tooltips.txt ist aus dem Download-Bereich für zusätzliche Resourcen für die Nutzer von X-Ways Investigator und X-Ways Forensics verfügbar. Falls Sie Ihre Übersetzung in eine andere Sprache mit anderen Nutzern teilen möchten, senden Sie uns bitte Ihre Kopie dieser Datei, damit wir sie ebenfalls dort hinterlegen können. Danke.

• Berichtstabellen können jetzt in den Dialogfenstern für deren Verwaltung und Filter alphabetisch sortiert werden. Standardmäßig werden sie wie bisher in der Reihenfolge angezeigt, in der sie angelegt wurden.

• Die Auflistung von Berichtstabellen, die vom Programm automatisch als Hinweise angelegt werden, ist jetzt optional, und diese sind jetzt die einzigen, die eingerückt angezeigt werden.

• Den verschiedenen Arten von Berichtstabellen (regulär nutzerdefinierte, Hinweise für den Benutzer, oder solche basierend auf Hash-Sets, Suchbegriffen, Deduplizierungsgruppen, ...) wurden neue Farben zugewiesen, und die Dreiecke, die in den Namenszellen für solche Verknüpfungen angezeigt werden, verwenden jetzt dieselben Farben. Die Anzeige dieser Dreiecke ist jetzt ebenfalls optional, s. Optionen | Allgemein | Notation, und ihre Größe in zwei Stufen regelbar.

• Registry Viewer: Fähigkeit, einen Wert so zu kopieren, wie er in der Listendarstellung auf der rechten Seite angezeigt wird. (Um den Wert als Binärdaten zu kopieren, wählen Sie den Wert in der Listendarstellung aus, bewegen Sie den Registry Viewer zur Seite, und kopieren Sie die ausgewählten Daten aus der Datei-Modus-Anzeige.)

• Beim Drucken von Schablonen wurden formatierte GUIDs nicht korrekt ausgegeben. Dies wurde korrigiert.

Verzeichnis-Browser

• Die Regeln für das erweiterte Sortieren werden jetzt auch auf die Hash-Set-Spalte angewandt.

• Wenn eine Datei beim Abgleich mit der Hash-Datenbank für mehrere Hash-Sets Treffer liefert, werden diese in der entsprechenden Zelle jetzt in der gleichen Reihenfolge angezeigt, in der diese auch in der Datenbank stehen, statt wie bisher in einer zufälligen Reihenfolge.

• Die Kommentare für Asservate werden jetzt auch in Kommentar-Spalte im Asservat-Überblick angezeigt, und können von dort auch bearbeitet werden. Die Beschreibung von Asservaten wird jetzt auch in der Metadaten-Spalte des Asservat-Überblicks angezeigt.

• Wenn ein Filter mit der Option NICHT aktiv ist, wird das Filtersymbol zur Erinnerung rot dargestellt.

• Wenn eine ODER-Kombination von mehreren Filtern aktiv ist, wird zur Erinnerung das Wort "ODER" jetzt in größeren Buchstaben und mit Zeigefingersymbolen in der Titelzeile des Verzeichnis-Browsers angezeigt.

• Gefärbte Zellen haben jetzt einen optionalen Farbverlauf. Dies kann für jeden Färbebedingung einzeln aktiviert werden. Die exakten Regeln zur Färbung von Zeilen im Verzeichnis-Browser basierend auf Fokus, Auswahl, Maus-Hover-Status, Dunkelmodus und Zellfärbung wurden grundsätzlich überarbeitet.

• Bei der bedingten Zellfärbung haben Sie jetzt die Möglichkeit, zusätzlich zur eigentlichen Bedingungszelle die Namenszelle mit einzufärben. Nützlich, wenn Sie einen sichtbaren Hinweis auf die zutreffende Bedingung haben wollen, selbst, wenn die eigentlich verantwortliche Spalte aktuell nicht sichtbar ist, und die Färbung der ganzen Zeile vielleicht doch etwas viel wäre.

• Die Notationsoptionen erlauben jetzt auch die Anzeige bestimmter "interner" Flags in der Bescheibungsspalte, sofern gewünscht. Diese Flags identifizieren den Status einer Datei bezüglich Datei-Überblick-Erweiterung:
  [Emb]: wurde auf eingebettete Dateien geprüft
  [Arc]: Datei-Archiv auf Inhalte geprüft
  [Enc]: Verschlüsselungstest durchgeführt
  [Ext]: E-Mail(-Archiv) auf extrahierbare Inhalte geprüft
  [Met]: auf interne Metadaten geprüft
  [Xtn]: von einer X-Tension erzeugt.

Diverses

• Die Anwendung von X-Tensions auf Dateien in ausgewählten Verzeichnissen ist jetzt optional. (Falls eine bestimmte X-Tension nur für die Anwendung auf Verzeichnisse nützlich ist.)

• Die Funktion "Als Laufwerk einbinden" besitzt jetzt eine neue Option namens "Rekursiv anwenden", um die Dateien aus allen Unterverzeichnissen des aktuell aktiven Asservats bzw. des ausgewählten Verzeichnisses in einer flachen Liste anzuzeigen. Nützlich, wenn Sie vorhaben, viele dieser Dateien in einem externen Programm zu öffnen und zu dem Zweck nicht durch die diversen Verzeichnisse navigieren wollen. Wenn Sie diese Option benutzen, werden die int. IDs der Dateien in deren Namen eingefügt, um die Dateien für X-Ways Forensics besser identifizierbar zu machen.

• Fähigkeit, die maximale Dateigröße festzulegen, für die Vorschaubilder in der Galerie erzeugt werden sollten. Es kann ggf. erforderlich sein, diese Grenze hoch zu setzen, z.B. für sehr hoch aufgelöste Photoshop PSD-Dateien.

• Die automatische Hash-Prüfung neu erzeugter Datenträgersicherungen wird jetzt auch dann auf eine optionale zweite Kopie angewandt, wenn die erste Kopie automatisch dem aktiven Fall hinzufügt wird.

• Backups der Falldateien können jetzt optional mit dem Attribut H (versteckt) versehen werden.

• Viele kleinere Verbesserungen.

Änderungen an den weiteren Service-Releases von 20.4

• SR-1: The hash types for disk imaging and volume snapshot refinement can now be selected in the same dialog window, which requires two mouse clicks less and means that .dlg files of these dialog windows will cover the settings more completely.

• SR-1: Avoided a read error that could occur when OCRing files.

• SR-1: Prevents repeated output of hint on use of multiple .settings files.

• SR-2: If you get file creation error messages when running OCR with multiple threads, you can now try an unlabeled, but tooltipped checkbox next to the Tesseract OCR option to make X-Ways Forensics wait longer for Tesseract to finish.

• SR-2: Fixed a potential infinite loop that could occur with certain PDF documents when uncovering embedded data.

• SR-2: Now uses an embedded JPEG picture as the thumbnail of certain camera raw files in the case report.

• SR-2: When the case report is generated, the user now has the option to explore the directory where the report is stored instead of viewing the report directly.

• SR-2: The hint given in fresh installations that the RVS processing state of files in evidence file containers is taken over is now given repeatedly, until the user disables it. Previously it was probably often overlooked or ignored and/or not understood.

• SR-2: Chinese translation of the user interface updated.

• SR-3: Fixed an exception error that could occur in v20.4 with WofCompressed or possibly other kinds of pseudo-sparse files.

• SR-3: Prevented inability to load previously decoded text that was written incompletely because of a crash. Earlier versions of X-Ways Forensics cannot load decoded text stored by v20.4 SR-3 and later.

• SR-4: Faster viewing and previewing of large PSD pictures, using the internal graphics viewing library instead of the viewer component.

• SR-4: Fixed an error in the Tools | Compute Hash command that occurred when applied in File mode.

• SR-4: Attaching files in the case root window previously switched to a file listing that was shown as being not recursive. That was fixed.

• SR-5: Waits longer for closed evidence objects to open if targeted by RVS, to avoid the error message "Sorry, the following evidence object was skipped".

• SR-5: Fixed a cluster allocation display error of v20.4 SR-4.

• SR-5: Fixed an exception error that could occur in v20.4 under certain circumstances when generating the case report.

• SR-6: The mouse wheel now also works for scrolling in Windows 10 when the cursor hovers over a directory browser tooltip.

• SR-6: Fixed inability to remove certain context menu commands from the Windows shell via Options | General.

• SR-6: Support for a newer variant of Windows 10 thumbcache index files in file type verification and Details mode.

• SR-6: Fixed inability to extract certain tables from some SQLite database as TSV child objects.

• SR-6: Fixed a crash that could occur if the user inserted a trailing blank line at the end of "Event Log Events.txt".

• SR-6: Fixed inability of v20.4 to properly open ordinary sparse files in NTFS.

• SR-6: In OSDirList volume snapshots, directories were previously skipped if their names started with two dots. That was fixed.

• SR-6: Tooltips now also work in the dialog windows for simple text and hex searches.

• SR-6: Restoring old backups of cases did not always discard all newer components of volume snapshot that did not exist in the backup (e.g. events).

• SR-6: Replacing text or hex values in a file with data of different size did not always work in files larger than 2 GB. That was fixed.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde