WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.6. Erscheinungsdatum war der 9. März 2018. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: http://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter http://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Was ist neu in v19.6?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateityp-Unterstützung

• Eine neue Spalte im Verzeichnis-Browser in X-Ways Forensics und X-Ways Investigator namens „Gerätetyp“ wurde eingeführt. Diese füllt sich bei der Metadaten-Extraktion. Die Spalte zeigt, welche Art von Gerät eine gegebene JPEG-Datei erzeugt hat. Das kann die Hauptkamera eines Smartphones sein oder die Zweit-/Frontkamera, eine Kompaktkamera, eine Spiegelreflexkamera, eine Webcam o. ä. Diese Information wird aus der Generator-Signatur abgeleitet. Die Spalte ist auch mit einem Filter ausgestattet. Das Filtern nach dem Gerätetyp kann nützlich sein, wenn Sie z. B. nach eher privaten Fotos fahnden (Selfies, die mit der Frontkamera eines Smartphones aufgenommen wurden) oder nach eher professionellen Fotos (Spiegelreflexkamera oder digitale Kamerarückwand) o. ä.

• Eingescannte Bilder wurden bisher über eine Berichtstabellen-Verknüpfung als solche identifiziert. Das ist jetzt nicht mehr der Fall. Daß solche Bilder von einem Scanner erzeugt wurden, kann man nun ebenfalls der zuvor genannten Spalte „Gerätetyp“ entnehmen.

• Bilder, die als Bildschirmfotos erkannt wurden, bekommen nun den Gerätetyp Bildschirm (Screen) zugeordnet. Dieser Gerätetyp kann auch vergeben werden für Bilder, die speziell auf typische Display-Auflösungen zugeschnitten zu sein scheinen, wie etwa Bildschirmhintergründe.

• Der GPS-Verarbeitungsmodus, sofern in einer JPEG-Datei gespeichert, wird nun im Details-Modus angezeigt. Dieser Modus erlaubt es, die Verläßlichkeit und Präzision der Koordinaten besser einzuschätzen. Er wird von mehreren Herstellern gespeichert und kann einer der folgenden Werte sein: Unknown, GPS, Network, Hybrid, Fused oder CELLID.

• Ein neuer Eintrag namens Geolocation in den extrahierten Metadaten und im Details-Modus zeigt die GPS-Koordinaten nun in einer Schreibweise an, wie sie von Google Maps, OpenStreetMap und Bing Maps akzeptiert wird. Diese ersetzt auch die früheren Felder Latitude und Longitude in der Metadaten-Spalte und ist für eine etwaige automatische Weiterverarbeitung geeigneter.

• Drei weitere Felder für Exif-GPS-Daten werden nun im Details-Modus ausgegeben, sofern verfügbar: Altitude, Image-Direction und GPS-Error. Die Höhe (Altitude) kann hilfreich sein beim Einschätzen der Verläßlichkeite von Geokoordinaten. Image-Direction ist ein Funktionsmerkmal von Smartphones der Spitzenklasse.

• Wenn am Vorhandensein von GPS-Koordinaten in JPEG-Bildern etwas ungewöhnlich ist, werden diese Koordinaten nun in blauer Farbe hervorgehoben. Wenn z. B. GPS-Koordinaten verfügbar sind und ein GPS-Zeitstempel nicht, bei einem Gerätemodell, das dafür bekannt ist, immer beide Angaben zusammen abzuspeichern  (was manchmal davon abhängt, ob die Haupt- oder die Frontkamera verwendet wird), oder wenn angeblich von einem Gerätemodell, von dem gar nicht bekannt ist, daß es über GPS verfügt, GPS-Daten gespeichert wurden, dann sträuben sich bei X-Ways Forensics die virtuellen Nackenhaare, weil es sein könnte, daß die Koordinaten nachträglich eingefügt wurde. GPS-Zeitstempel, die vom Aufnahmezeitstempel des Fotos abweichen, werden auch in blauer Farbe hervorgehoben.

• Eine neue Datei namens PhoneAliasTable.txt enthält Übersetzungen von internen Modellbezeichnungen in menschenlesbare Marketingnamen. Insbes. interne Bezeichnungen von Samsung, Motorola, LG und Huawei sind eher kryptisch und nach Übersetzung besser verständlich. Diese Tabelle kann auch das Veröffentlichungsdatum und die Vertriebsregion enthalten. Die Tabelle ist derzeit noch relativ spärlich besetzt, aber ihr Format wird im Kopf der Datei erklärt, so daß Benutzer bei ihrer Vervollständigung helfen können.

• Der Details-Modus zeigt nun Firmware-Datum und -Region an für JPEG-Dateien, die von diversen Mobiltelefonmodellen von Samsung erzeugt wurden, was der Validierung anderer Metadaten dienlich ist.

• Die Tabelle, die auf Generator-Signaturen basierend zur Validierung von Exif-Daten eingesetzt wird, unterstützt nun mehr als 11.000 Geräte (wobei dabei Frontkameras von Smartphone selbst als Geräte gezählt werden).

• Die von neueren Sony-Geräten in Dateien abgespeicherte Zeitzone kann nun extrahiert werden.

• Twitter-Zeitstempel in JPEG-Dateien werden nun erkannt und in der Spalte „Erzeugung des Inhalts“ ausgegeben.

• Allgemeine Verbesserung der Extraktion von Inhaltserzeugungszeitstempeln aus JPEG-Dateien.

• Automatische Entfernung von Fülldaten, die diverse Digitalkameramodelle zwischen zwei Miniaturansichten in JPEG-Dateien einfügen. Diese wurden vormals als Teil der Daten der zweiten Miniaturansicht ausgegeben, was eine direkte Anzeige verhinderte.

• Für PNG-Dateien wird nun als Teil der Metadaten-Extraktion ebenfalls eine Generator-Signatur ausgegeben, um PNG-Dateien kenntlich zu machen, die wahrscheinlich aus derselben Quelle stammen, und zu Erkennung von PNG-Dateien, die Bildschirmfotos sind.

• Erkennung des erzeugenden Gerätetyps für einige PNG-Dateien sowie Anzeige in der neuen Spalte.

• Verbesserte Erkennung von PNG-Bildschirmfotos von alten Mobiltelefonen.

• Unterstützung von netusage.sqlite-Dateien von iOS, in denen der Datenverbrauch von Apps festgehalten wird. Zusätzlich zu der Menge an aus- und eingehenden Daten in Form einer HTML-Vorschau werden auch ungefähre Zeitstempel der ersten und letzten Benutzung von Apps in Form von Ereignissen ausgegeben.

• Verbesserte Stabilität bei der Verarbeitung von EVTX-Dateien..

• Unterstützt eine neue Formatvariante in bestimmten Registry-Werten von Windows 10.

Bildanzeige

• Wenn Bilder im Vorschau-Modus von der internen Grafikanzeigebibliothek angezeigt werden, nicht von der separaten Viewer-Komponente, dann können sie 90°-Schritten gedreht werden, durch Klick mit der linken Maustaste nach links und mit der rechten Maustaste nach rechts.

• Fotos, die von Smartphones und Digitalkameras bestimmter großer Hersteller im Hochformat aufgenommen wurden, werden dennoch im Querformat gespeichert und müssen zum Zeitpunkt der Anzeige entweder nach links oder rechts gedreht werden, damit sie korrekt ausgerichtet sind. Sowohl der Vorschaumodus als auch der Einsehen-Befehl erledigen das nun automatisch, nur bei Einsatz der internen Grafikanzeigebibliothek, nicht mit der Viewer-Komponente. Die Galerie paßt die Ausrichtung jetzt ebenfalls automatisch an (nicht bei ersatzweise verwendeten Miniaturansichten).

• Ein Klick mit der mittleren Maustaste im Vorschaumodus auf ein von der internen Grafikbibliothek dargestelltes Bild spiegelt dieses Bild (d. h. vertauscht links und rechts) oder (wenn der Umschalttaste dabei gedrückt ist) kehrt das Bild vertikal um (d. h. vertauscht oben und unten). Bitte beachten Sie, daß diese Operation zusätzlich zu einer etwaigen aktiven Drehung angewandt wird.

• Eine etwaige aktuell aktive Drehung und eine etwaige aktuell aktive Spiegelung werden in Form von einigen Symbolen in der oberen rechten Ecke angedeutet. Wenn keine Spiegelung angewandt wird, aber eine Drehung, zeigen zusätzlich die Buchstaben "UR" an, was in den Originalgrafikdaten die untere rechte Ecke war.

• Fähigkeit, einige seltene PNG-Dateien mit ungültiger Zlib-Kompression als Bild darzustellen.

Benutzeroberfläche

• Video-Dateien, Audio-Dateien, Office-Dokumente und reine Textdateien können nun optional mit speziellen Icons dargestellt werden, genau wie zuvor nur Bild-Dateien. Sie können die speziellen Icons einzlen für jede Kategorie im Dialogfenster mit den Verzeichnis-Browser-Optionen ein- und ausschalten.

• Viele zusätzliche Icons in der Benutzeroberfläche, insbes. für die Modus-Schalter und für externe Programme.

• Ein geschlossener Briefumschlag dient nun als Icons für E-Mails, die nicht den Status „bereits gelesen“ aufweisen.

• Ein Rechtsklick irgendwo in der Leiste mit den Modusschaltern außerhalb der Schalter zeigt oder versteckt nun die Trennlinie zwischen Verzeichnis-Browser und Schalterleiste. Wenn die Trennlinie sichtbar ist, ist sie nun etwas dicker als früher und kann bei hohen DPI-Einstellungen leichter mit dem Mauszeiger angesteuert und nach oben oder unten verschoben werden. Ungeachtet der Sichtbarkeit der Trennlinie kann man die Fensterunterteilung nun auch einfach nach einem Linksklick in der Leiste mit den Modusschaltern (außerhalb der Schalter) bei gedrücktgehaltener Maustaste verschieben. Ohne die Trennlinie ist es etwas intuitiver, daß sich die rechte Hälfte der Leiste mit den Modusschaltern auf den Verzeichnis-Browser darüber bezieht und nur die linke Hälfte der Leiste auf die untere Hälfte des Datenfensters.

• Verbesserte Unterstützung für hohe DPI-Einstellungen allgemein.

• Die Höhe des Dialogfensters mit den Verzeichnis-Browser-Optionen wird nun automatisch so weit vergrößert, wie es die vertikale Auflösung des Hauptbildschirms ergibt und wie es erforderlich ist, um so viele Spaltenbezeichnungen wie möglich auf einen Blick sichtbar zu machen, so daß auch der Rollbalken rechts idealerweise gar nicht benötigt wird.

• Option einer Rückfrage für jede Datei beim Drucken mitsamt Unterobjekten.

• Option, nur nicht-leere Felder eines Deckblatts auszugeben.

Performanz

• Möglichkeit, die Galerie mit mehreren Threads schneller aufzubauen. Das macht den größten Unterschied bei JPEG-Dateien mit hoher Auflösung, deren etwaige eingebettete Miniaturansichten entweder noch nicht in den Datei-Überblick aufgenommen wurden oder die generell nicht als Ersatz für die Hauptdatei in der Galerie zum Einsatz kommen, weil für solch hochaufgelösten JPEG-Bilder die Dekompression am rechenintensivsten ist.

• Accelerated volume snapshot finalization for large snapshots with many directories in "Path unknown".

• Ability to refine volume snapshots on storage devices with sector wise access using multiple threads just like on images and in directories.

• Fähigkeit, große .e01-Evidence-Files nach dem ersten Mal schneller zu öffnen, indem einige interne Image-Metadaten zur Navigation in einer separaten Datei gespeichert werden. Das kann einen großen Unterschied machen, wenn das Image auf einem Datenträger mit langsamem Zugriff gespeichert ist, insbes. auf einem Netzlaufwerk. Diese Funktion wurde bei Optionen | Sicherheit untergebracht, da dort auch alle anderen .e01-Options zu finden sind. Wenn die Option voll gewählt ist, wird die separate Datei im selben Verzeichnis wie das Image selbst gespeichert, so daß auch andere Fälle / andere Benutzer sofort in den Genuß des schnelleren Öffnens kommen, wenn die separate Datei bereits zuvor erzeugt wurde. Wenn nur halb gewählt, wird die separate Datei im internen Metadaten-Verzeichnis des Asservats im aktuellen Fall gespeichert und ist folglich nur in dem Fall wirksam.
  
  Einige unserer Benutzer schützen nicht nur die Originaldatenträger von Beschuldigten vor versehentlicher Datenänderung, -löschung und -beschädigung durch einen Schreib-Blocker, sondern auch ihre eigenen Datenträger, wenn diese Sicherungen (Images) enthalten, und maximieren dadurch auch den Umsatz der Hersteller von Hardware-Write-Blockern. Diesen Benutzern muß aus offensichtlichen Gründen empfohlen werden, die o. g. Option nur halb zu wählen. Und sie seien hiermit daran erinnert, daß Schreib-Blocker das korrekte vorgesehene Funktionieren von Betriebssystem und Anwendungsprogrammen torpedieren, weil sie fälschlicherweise Schreiberfolge signalisieren, wenn tatsächlich gar keine Daten geschrieben wurden, was das Betriebssystem und Anwendungsprogramme davon abhält zu erkennen, daß die Daten, die sie schreiben wollten, nicht geschrieben werden konnten. Schreib-Blocker sind nur für besondere Situationen gedacht, nicht für den Normalbetrieb von Computern. Die empfohlene Methode, um seine eigenen Daten zu schützen, wie u. a. Datensicherungen im Fall eines IT-Forensikers, wäre ein offizieller Schreibschutz, von dem das Betriebssystem weiß oder den es selbst durchsetzt, und nicht heimliches Blockieren. (Und Backups sind natürlich auch gut.)

Datenträger-Verwaltung

• Die Liste von logischen Volumes in Extras | Datenträger öffnen kann nun optional Volumes einschließen, die zwar in Windows aktiv sind, aber keinen Laufwerksbuchstaben haben. Bitte beachten Sie, daß immer wenn Sie Volumes öffnen, ob nun mit oder ohne Laufwerksbuchstaben, kein Partitionsschlupfspeicher darin enthalten ist. Partitionsschlupf ist nur enthalten, wenn Sie erst den physischen Datenträger öffnen und dann die Partition, die das Volume enthält.

• Active volumes that are not ordinary volumes are displayed with a special icon and a special description, e.g. "TrueCryptVolumeX". Useful so that on a live system that you wish to preview, examine or acquire you can quickly see which volumes may need to be addressed separately (in additional to physical storage devices) because it would be difficult to reconstruct or unlock them later based on the data on the physical storage device.

• If volumes without connected drive letter are listed, that also includes volumes that have been mounted within Windows as a junction point in another volume. Such volumes are listed with a special link icon, and the junction point is displayed between volume label and volume size.

• The list of volumes that do not have drive letters may also include volumes that were previously active in Windows. Those are marked with a crossed out red circle icon. For example a previously mounted TrueCrypt volume that was dismounted might be shown in this fashion. Such volumes cannot be opened any more, they are just listed for informational purposes, which is useful when running X-Ways Forensics on a live system that needs to be examined.

• Ein neuer Befehl im Specialist-Menü erlaubt es Ihnen, lokal angeschlossene physische Datenträger (auch Wechselmedien außer optische Discs) innerhalb von Windows mit einem Schreibschutz versehen. Das betrifft auch all Volumes, die auf diesen Datenträgern gespeichert sind. Der Effekt gilt im gesamten Betriebssystem, in allen Anwendungen, auch auf Sektorebene in WinHex selbst, egal welcher Editiermodus aktiv ist. Dies kann nützlich sein, um Originaldatenträger zu schützen, die es zu sichern oder zu untersuchen gilt (allerdings erst nachdem Windows sie bemerkt und auf sie zugegriffen hat), und auch Ihre eigenen Datenträgern, die zu untersuchende Images enthalten. Dies kann ein Schutz sein vor versehentlicher Änderung, Löschung oder Datenbeschädigung (z. B. sich neu einschleichende Dateisystemfehler). Die Wirkung bleibt so lange bestehen, bis Sie den Schreibschutz wieder entfernen oder Ihren Computer neu starten. Um Windows davon abzuhalten, neu angeschlossene physische Datenträger "anzufassen", bevor Sie sie mit einem Schreibschutz versehen (d. h. um sie anfangs im Windows-Modus "offline" zu betreiben), müßten Sie das automatische Mounten in Windows ausschalten (und überprüfen, daß das auch wirklich funktioniert). Wenn Sie den Schreibschutz für einen Offline-Datenträger einschalten, wird gleichzeitig der Offline-Status auf Online geändert. Vorsicht, versuchen Sie nicht, die Datenträger in den Schreibschutzmodus zu versetzen, die Ihr Windows-System zum Funktionieren braucht.

• Dieser Befehl erlaubt es auch, gezielt nur bestimmte Volumes in den schreibgeschützten Zustand zu versetzen, wenn sie mit einem Laufwerksbuchstaben verknüpft sind, also nicht notwendigerweise den gesamten physischen Datenträger. Bitte beachten Sie noch, daß der Schreibschutz eines Volumes nicht selektiv aufgehoben werden kann, wenn der zugrundeliegende physische Datenträger schreibgeschützt ist.

• Wenn ein phyischer Datenträger im Windows Disk Management als „offline“ oder „read only“ geführt wird, dann wird diese Informationen nun in allen Dialogfenstern zur Auswahl eines Datenträgers angezeigt. Datenträger mit Status „offline“ können zum Lesen/Sichern/Analysieren normal geöffnet werden.

• Verbesserte Unterstützung von Linux MD RAIDs mit Container-Partitionen auf GPT-partitionierten Datenträgern.

Dateisystem-Unterstützung

• Referrer-URLs in alternativen Datenströmen namens Zone.Identifier von Windows 10 werden nun in der Metadatenspalte angezeigt, wenn Sie solche ADS nicht in den Datei-Überblick als Unterobjekte aufnehmen lassen.

• Unterstützung für 1 KB große FILE-Records in NTFS-Dateisystemen mit 4 KB Sektogröße.

• Verwirft/ignoriert mehr ungültige/defekte FAT-Verzeichniseinträge als frühere Versionen.

• Gelegentliches Fehlen der Anzeige von Einträgen in der Dateizuordnungstabelle von exFAT in der Informationsspalte korrigiert.

• Symlinks in unixartigen Dateisystemen haben jetzt ein Datei-Icon mit einem kleinen Pfeil zur leichteren Identifizierung.

• Reparse-Points/Junction-Points in NTFS haben jetzt ein Verzeichnis-Icon mit einem kleinen Pfeil, das sie im Verzeichnis-Browser als Verzeichnisse spezieller Art kenntlich macht. Solche Verzeichnisse werden jetzt auch in neu erzeugten Datei-Überblicken nicht mehr als "bereits eingesehen" behandelt.

Diverses

• Unterstützung für Dateinamenserweiterungen mit 5 Ziffern in segmentierten Roh-Images.

• Stabiler beim Umgang mit defekten .e01-Evidence-Files.

• Die Weitergabe von internen Datei-Metadaten in Datei-Containern hängt nun von einem dreistufigen Kontrollkästchen ab. Wenn halb gewählt, werden nur extrahierte Absender und Empfänger von E-Mails weitergeben, aber nicht die allgemeinen, von der Metadaten-Spalte her bekannten Metadaten.

• Der Befehlszeilenparameter „RVS“ sorgt nun automatisch für die Aufnahme eines Bildschirmfotos von den aktiven Einstellungen im Dialogfenster zur Datei-Überblicks-Erweiterung in das Fallprotokoll. Das Bildschirmfoto kann textueller oder graphischer Natur sein, je nach Ihren Einstellungen für das Fallprotokoll.

• Wenn „Seitenumbruch nach x Tabellenzeilen“ bei der Erzeugung des Fallberichts gewählt ist, wird nun auch nach jeder Berichtstabelle ein Zeilenumbruch eingefügt.

• Die Größe eines Asservats, das ein Verzeichnis ist, ist nun die gesamte kumulierte Größe aller enthaltener Dateien, nicht mehr die Gesamtkapazität des Volumes, in dem sich das Verzeichnis befindet. Diese Größe wird nun auch in der Informationsspalte als genutzter Speicher angezeigt. Jedoch sind freier Speicher und Gesamtkapazität weiterhin die Größen des enthaltenden Volumes.

• Die Gewichtung, mit der der Gerätetyp in die Einschätzung der generischen Relevanz einfließt, kann nun in der Datei Generator Signatures.txt definiert werden. Der Gewichtungsfaktor ist am Ende der ***-Zeile zu finden. Er kann zwischen 0 und 50 liegen.

• Die Anzahl der Kategorien pro Gerätetyp hat sich erhöht, und es gibt eine neue Kategorie „Unknown“.

• Möglichkeit, den verwendeten Rechner planmäßig nach einer bestimmten Anzahl von Minuten herunterzufahren  oder (sofern unterstützt) in den Ruhezustand zu versetzen, unter Optionen | Sicherheit. Das funktioniert nur dann garantiert, wenn den Rechner nichts davon abhält, heruntergefahren zu werden, z. B. andere Anwendungen mit noch nicht gespeicherten Daten o. ä. Wenn Sie die Option zum „brutalem“ Herunterfahren halb wählen, sollte das Herunterfahren des Rechners auch dann gelingen, wenn eine Anwendung hängengeblieben ist. Wenn ganz gewählt, dann sollte nicht länger als ein paar Sekunden auf Anwendungen gewartet werden, die den Anwender fragen, wie mit ungesicherter Arbeit verfahren werden soll. Wenn Sie die Instanz von WinHex/X-Ways Forensics, in der Sie das Herunterfahren avisiert haben, beenden, wird das Herunterfahren nicht eingeleitet. Es ist möglich, ein bereits geplantes Herunterfahren ohne Neustart des Programms abzubrechen.

• Einige Stabilitätsverbesserungen.

• Unzählige kleinere Verbesserungen.

• Benutzerhandbuch und Programmhilfe für v19.6 aktualisiert.

Änderungen der Service-Releases von v19.5

• SR-1: The internal creation date of XML/Zip-based Office documents was incorrectly assumed to be UTC-based during extraction. That was fixed.

• SR-1: A few filters could not be activated any more in v19.5 by clicking the respective funnel symbols in the column headers, only from within the dialog window with the directory browser options. That was fixed.

• SR-1: Parses a GUID partition table if present even if the MBR has a valid partition table itself and does not point to the presence of GPT partitioning.

• SR-2: Ability to use the RAID reconstruction feature to rebuild a JBOD that consists of just a single component. That could be useful to get a single partition of an MD RAID with RAID level 1 interpreted as a physical disk within X-Ways Forensics.

• SR-2: Processing of SQLite databases with the identification as sqlite3 in the Type column.

• SR-2: Fixed "Extents cannot be accessed" error that could occur on some highly fragmented HFS+ volumes.

• SR-2: Fixed an error or crash that could occur when viewing nested files purely with the viewer component in v19.5.

• SR-2: More stable when trying to decompress corrupt data that is presumed to be XPRESS-compressed.

• SR-2: Fixed a possible read error in conjunction with image files in v19.5.

• SR-3: Certain existing files in evidence file containers that originated from exFAT file systems were erroneously not included in the volume snapshot if "Include deleted files in snapshot at all" was not checked. That was fixed.

• SR-3: Fixed a crash that could occur when adding e-mails with an extremely long list of recipients to an evidence file container.

• SR-3: Prevented a possible exception error with certain Chome cache files.

• SR-3: The work-around to view Windows 10 Prefetch files under Windows 7 did not work any more in v19.5. That was fixed.

• SR-4: Improved stability when decompressing data that is expected to be WofCompressed, but is not really WofCompressed, and for certain unsupported WofCompressed data.

• SR-4: Fixed an exception error that occurred when creating a case report if an evidence object had positions/bookmarks without description in the Position Manager.

• SR-4: Fixed a possible exception error when uncovering embedded data from PE executable files.

• SR-4: The alternative .eml preview now now correctly deals with bodies that contain concatenated HTML documents such as found in Skype conversation that were auto-saved in MS Exchange.

• SR-4: Fixed an exception error that could occur at the beginning of the file-wise processing of volume snapshot refinement if started from the command line.

• SR-4: Fixed inability to change the user interface language in X-Ways Investigator right in the user interface.

• SR-5: Prevented exception errors that could occur with carved corrupt Canon Zoom Browser files (.info).

• SR-5: Some previously existing directories of which traces were found in $LogFile were erroneously included in the volume snapshot as files. That could lead to consequential parent-child problems for files that were contained in those directories, if traces of these files were also found in $LogFile.

• SR-5: Fixed an error that under certain circumstances prevented the removal of unwanted hash values from a specifically targeted hash set in the hash database.

• SR-5: Fixed an exception error that could occur when generating the alternative preview of .eml files.

• SR-5: Fixed incomplete GPS latitude output.

• SR-5: Fixed an exception error that occurred in v19.5 when recovering files by type from within uninterpreted raw image files.

• SR-5: Prevented reproduction of trailing backslashes in evidence object names as top level directory names in evidence file containers.

• SR-5: Fixed an exception error that could occur in the 64-bit edition when activating the Type filter with a user-defined type list.

• SR-6: More strict checking of $USNJrnl:$J data before extraction to prevent instabilities with potential data corruption.

• SR-6: Automatic removal of interspersed padding data between a thumbnail and a low-resolution alternative of a photo in JPEG files created by various digital camera models, which was previously included in (prepended to) the low-resolution alternative and prevented immediate viewing.

• SR-6: Fixed an exception error that could occur when parsing incomplete sets of thumbcaches of Windows 7.

• SR-6: Prevented a possible crash that could occur with certain corrupt or irregular ID3 metadata in MP3 files.

• SR-6: Implemented a more precise handling of Google Chrome's SyncData which results in a more detailed extraction of artifacts.

• SR-6: Extraction of embedded JPEG attachments from certain original .eml files with an unusual encoding style.

• SR-6: Better protection against corrupt .evt files.

• SR-6: Stored search hits were not automatically loaded when an evidence object was opened by the "Last session" project.

• SR-6: Fixed an error that in v19.3 and later could lead to sector read problems.

• SR-6: Prevented unnecessary output of "Cannot write..." error messages for certain SQLite databases in certain situations when actually no error had occurred.

• SR-7: Under certain circumstances, a logical simultaneous searches in v19.5 were aborted prematurely if the "1 hit per file" option was selected, and the user was informed of that. That was fixed.

• SR-7: Reading uninitialized areas of files is now forced for shadow copy host files when volume shadow copies are parsed, no matter which settings for reading unintialized areas is active.

• SR-7: If the surrogate pattern for unreadable sectors is completely removed, that will now result in an all zeroes again as documented and as known from v19.1 and earlier, without line breaks.

• SR-7: When viewing password-protected documents with the viewer component for which the password list did not contain the correct password, after manually entering the correct password, a wrong password was remembered in the metadata column. That was fixed.

• SR-7: Duplicate identification based on timestamp columns did not work correctly before. That was fixed.

• SR-7: Fixed an exception error that could occur when uncovering embedded bitmap ressources from corrupt PE executable files.

• SR-8: Fixed inability of SR-6 and SR-7 to extract attachments from lose .eml files and e-mails in MBOX archives.

• SR-8: Fixed potentially incomplete processing of some rare SQLite database files.

• SR-8: Fixed a potential instability when extracting e-mails from MBOX e-mail archives.

• SR-8: Fixed display error with extremely high DPI settings.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde