X-Ways
·.·. Computerforensik-Software aus Deutschland .·.·
   
 


WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

 

  
#168: X-Ways Forensics, X-Ways Investigator und WinHex 20.5 veröffentlicht

12. April 2022

In dieser Ausgabe informieren wir Sie über ein weiteres Update mit einigen beachtlichen Verbesserungen, die Version 20.5, sowie ein separates Modul eines Partnerunternehmens. Erscheinungstermin von v20.5 war der 11. April 2022. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Kunden erhalten Download-Instruktionen, aktuelle Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Benachrichtigungen über Service-Releases zwischendurch interessiert sind, sobald diese veröffentlicht werden, oder auch über Preview- und Beta-Releases, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktivem Zugang zu Updates ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren.

Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Neue Videos (englischsprachig) sind auf YouTube verfügbar, die die Einrichtung von X-Ways Forensics darstellen und diverse Einstellungen diskutieren.


Nächste Schulungstermine

X-Ways Forensics: 30. Mai - 2. Juni, Online

X-Ways Forensics II: 28.-30. Juni, Online

Wenn Sie über Termine für deutschsprachige Schulungen informiert werden möchten, sobald diese feststehen, können Sie hier Ihre E-Mail-Adresse hinterlassen. Englischsprachige Schulungen im Online-Live-Format, darunter derzeit auch eine  umfangreiche Dateisystem-Schulung (!), werden hier aufgelistet.


Excire: Foto-Analyse mittels künstlicher Intelligenz

Excire für X-Ways Forensics ist ein separates Modul, das auf Technologie der Pattern Recognition Company GmbH basiert, einer deutschen KI-Firma.

  • Excire analysiert Bilder automatisch und identifiziert Bildinhalte (Objekte wie Gebäude, Tiere, Pflanzen, Strand, Berge, Menschen, Erwachsene, Babies, Gesichter, Augen, Bart, Nacktheit, Text, ...) sowie dominierende Bildfarben und Bildeigenschaften, die alle in Form von Stichworten beschrieben werden. Sie können sich auf Bilder mit bestimmten wichtigen Stichworten konzentrieren (verknüpft mit UND oder ODER), oder Bilder mit bestimmten unwichtigen Begriffen herausfiltern lassen.

  • Excire bietet Ihnen auch die Möglichkeit, Bilder suchen zu lassen, die aus der Sicht der KI anderen von Ihnen als Muster vorgegebenen Bildern "ähnlich" sind.

  • Es erlaubt Ihnen, Gesichter bestimmter Personen in Fotos in neuen Fällen wiederzufinden.

Von großem Nutzen für forensische Ermittler sollte die Fähigkeit von Excire sein, komplett offline zu arbeiten. Alles geschieht auf Ihrem eigenen Rechner. Sie brauchen keinem Cloud-Dienst zu vertrauen, zu dem Fotos hochgeladen werden müssten. Es wird keine Internet-Verbindung benötigt.* Das heißt, es ist im Prinzip alles so, wie Sie es auch von X-Ways Forensics her kennen. *Eine Internet-Verbindung wird benötigt beim Lizenzerwerb, und dafür können Sie einen anderen Computer verwenden. Außerdem benötigt man bei Benutzung von Testlizenzen eine Internet-Verbindung.

Besitzer von X-Ways Forensics Lizenzen mit aktuellem Zugang zu Updates (ausgenommen Lizenzen für Schulungszwecke) können Excire für X-Ways Forensics für diese Lizenzen mit 25% Rabatt erwerben. Ein entsprechender Gutschein-Code ist in den Lizenz-Status-Nachrichten enthalten (erhältlich von https://www.x-ways.net/winhex/license-d.html). Dieses Angebot gilt nur für Bestellungen, die bis zum 24. April 2022 eingehen. Preise und Bestellmöglichkeiten hier. Technische Einzelheiten hier.


Was ist neu in v20.5?
(Bitte beachten Sie, dass sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Bildanalyse

  • Eine Schnittstelle für Excire (s. oben) ist jetzt in X-Ways Forensics und X-Ways Investigator eingebaut. Die Integration in die allgemeine Verwendung von X-Ways Forensics ist nahtlos. Sie verwenden dieselben Operationen wie immer (Datei-Überblick erweitern) und dieselben Filter, die Sie bereits kennen (für Berichtstabellen-Verknüpfungen, Kommentare oder Metadaten), und die Ergebnisse werden im Datei-Überblick oder in Datei-Containern festgehalten. Sie können spezifische Zellfarben im Verzeichnis-Browser festlegen für Bilder mit Stichwörter, die Sie besonders interessant finden. Stichwörter zur Beschreibung von Bildinhalten sind derzeit in den folgenden Sprache verfügbar: Deutsch, Englisch, Französisch, Spanisch und Italienisch.

  • Bei der Berechnung von PhotoDNA-Hash-Werten und deren Speicherung für Deduplizierung und schnelleres erneutes Abgleichen, vergleicht X-Ways Forensics jetzt automatisch die eingebetteten Vorschaubilder mit ihren jeweiligen übergeordneten Dateien. Wenn ein erkennbarer Unterschied identifiziert wird, wird dies dem Nutzer mittels zweier Berichtstabellen zur Kenntnis gebracht: "Thumbnail discrepancy" und "Thumbnail notable (data corrupt/incomplete)", wobei letzteres bedeutet, dass der Unterschied hauptsächlich einer Beschädigung bzw. einem unvollständigen Hauptbild geschuldet ist. Das Vorschaubild, das weniger Speicherplatz benötigt und in der Nähe des Dateianfangs gespeichert ist, könnte davon nicht betroffen und daher nützlich sein. Die erste Berichtstabelle könnte bedeuten, dass jemand nachträglich ein Bild verändert hat, aber das enthaltene Vorschaubild im Originalzustand erhalten geblieben ist.

Dateiformat-Unterstützung

  • X-Ways Forensics unterscheidet jetzt zwischen vier, statt bisher drei, verschiedenen Zuständen bei der Dateiformat-Konsistenz: unbekannt, OK, irregulär und defekt. Dies ist relevant für die Auswahl im Typ-Status-Filter.

  • Verbesserte Erkennung von PNG-Bildschirmfotos. Insbesondere wird ein neues Exif-Format unterstützt, das hauptsächlich für Android-Bildschirmfotos verwendet wird. Dies ermöglicht die Prüfung, ob solche Android-Bildschirmfotos original sind.

  • Zusätzliche Generator-Signaturen definiert.

  • Unterstützung für neue Exif-Tags bezüglich "composite"-Bildern und Zeitzonen.

  • Überarbeitete Erkennung von Original-Kamerabildern, jetzt mit einer niedrigeren Falsch-Negativ-Rate, insbesondere für Xiaomi-Smartphones.

  • Weiter überarbeitete Identifikation des erzeugenden Geräts (insbes. Smartphones, insbes. alle Samsung-Smartphones) mit ungefähr 34.000 Definitionen und zwei neuen iOS-Release-Identifikationen.

  • Wertet die Kamera-Debug-Informationen im sog. Application Marker 4 für Samsung-Smartphones aus, wie z. B. Kamera-Seriennummer, Zeitstempel des letzten Firmware-Updates, und ein 2-Buchstaben-Länderkürzel. Dies könnte dem Ermittler helfen, ein Foto mit einem konkreten Aufnahmegerät in Verbindung zu bringen.

  • Ausgabe der internen Druck- und Änderungszeitstempel aus OpenOffice-Dokumenten als Ereignisse.

  • Überarbeitete und verbesserte alternative .eml-Darstellung, was auch für die Berichtsoption "Alternative .eml-Darstellung direkt im Browser" von Bedeutung ist.

  • Fähigkeit, gecarvte komprimierte PF-Prefetch-Dateien zu verarbeiten.

Dateisystem-Unterstützung

  • Eine neue Art Reparse-Point-Text von Windows 11 wird unterstützt.

  • Eine umbenannte/verschobene Datei in einem Datei-Überblick für ein FAT-Dateisystem, die unter anderem Namen oder in einem anderen Verzeichnis weiterhin existiert, wurde bisher inkonsistent gehandhabt. Jetzt wird sie exakt so wie ihr existierendes Gegenstück gelesen, d. h. unter Berücksichtigung der Cluster-Ketten wie sie in der Dateizuordnungstabelle festgehalten sind, unabhängig von der aktuellen Einstellung der Option "FAT: Allokationsaverse gelöschte Dateien", was identische Hash-Werte, doppelte Suchtreffer, etc. bedeutet.

Plattform-Unterstützung

  • Erkennt Windows 11 als Plattform; Windows 11 wurde als Umgebung als gleichermaßen tauglich wie Windows 10 bestätigt.

  • Jetzt auch unter Windows XP wieder lauffähig (mit Einschränkungen).

Sicherung von Daten

  • Ein neuer Befehl "Prozesse sichern" im Extras-Menü von X-Ways Forensics erlaubt die Sicherung aller Daten im Prozess-Speicher der laufenden Prozesse eines lebenden Systems in zusammenhängender, richtiger Reihenfolge der Speicherseiten. Die Erzeugungszeitstempel der jeweiligen Prozesse werden als Erzeugungszeitstempel der jeweiligen Speicher-Dumps sichtbar. Speicherseiten, deren Inhalt als ausführbarer Programm-Code gekennzeichnet sind (PAGE_EXECUTE*) sind optional und reduzieren, falls ausgelassen, die Gesamtdatenmenge, sofern Sie lediglich interessiert sind, Suchbegriffe oder Dateisignaturen suchen zu lassen, und nicht Malware-Untersuchung. Signatursuchen in den Speicher-Dumps (die als Dateien vom Typ "mem" gezeigt werden) können über die Suche nach eingebetteten Daten, einer der Funktionen von Datei-Überblick erweitern, veranlasst werden.

  • Dieser Befehl kann auch eine tabulatorgetrennte Liste aller Hauptfenster mit deren jeweiligen Titeln und zugehörigen Prozessen ausgeben plus (kommagetrennt), die Titel ihrer Unterfenster. Bildschirmfotos von einigen der Hauptfenster werden automatisch erzeugt und ausgegeben. Wenn diese Funktion ohne Administrator-Rechte ausgeführt wird, werden nur die Prozesse des aktuellen Benutzers berücksichtigt, sonst alle Prozesse.

  • Das Ausgabeverzeichnis von "Prozesse sichern" ist standardmäßig entweder ein Unterverzeichnis des aktuellen Falles oder, falls kein Fall aktiv ist, ein Unterverzeichnis des Verzeichnisses für Datenträgersicherungen. Es kann automatisch im Windows File Explorer geöffnet, wenn die Ausgabe fertig ist, und/oder dem aktuellen Fall als Verzeichnis hinzugefügt werden.

  • Der Speicher-Dump von "Prozesse sichern" kann auch auf Ihrem eigenen System nützlich sein, wenn eine Anwendung, in der Sie Text eingegeben haben (z. B. ein E-Mail-Programm) plötzlich einfriert und Sie Ihren Text noch aus dem Prozess-Speicher retten möchten.

  • Ein Filter ist für die Prozess-Sicherung verfügbar. Sie können ihn genauso verwenden, wie andere Dateimasken-Filter in X-Ways Forensics. Die Eingabe "explorer.exe" würde beispielsweise nur den Speicherinhalt und die Fenster des Windows Explorer Prozesses ausgeben. ":C*" gibt alle Prozesse mit Ausnahme derer aus, deren Namen mit dem Buchstaben "C" beginnt, d. h. beispielsweise nicht "Chrome.exe". Die Dateimaske ist nicht abhängig von Groß- und Kleinschreibung. Mehrere Dateimasken können mit Strichpunkt getrennt hintereinander gehängt werden. (Allerdings ist die Gesamtlänge beschränkt.)

  • Fähigkeit, nicht verschlüsselte Datenträgersicherungen im Ex01-Evidence-File-Format als partitionierte phyische Datenträger oder Volumes zu interpretieren.

  • Verbesserte Handhabung von Festplatten, die so partitioniert und formatiert wurden, als hätten sie eine andere Sektorgröße als sie in Wirklichkeit nach außen propagieren.

Benutzeroberfläche

  • Eine aktualisierte (englische) Tooltips.txt-Datei ist jetzt Bestandteil des Downloads. Sofern Sie diese Tooltips (hauptsächlich für die Kontrollkästchen) in Ihren Dialogfenstern sehen möchten, aktivieren Sie bitte die Option "Tooltips.txt" in Optionen | Allgemein. Eine deutschsprachige Tooltips.txt ist aus dem Download-Bereich für zusätzliche Resourcen für die Nutzer von X-Ways Investigator und X-Ways Forensics verfügbar. Falls Sie Ihre Übersetzung in eine andere Sprache mit anderen Nutzern teilen möchten, senden Sie uns bitte Ihre Kopie dieser Datei, damit wir sie ebenfalls dort hinterlegen können. Danke.

  • Berichtstabellen können jetzt in den Dialogfenstern für deren Verwaltung und Filter alphabetisch sortiert werden. Standardmäßig werden sie wie bisher in der Reihenfolge angezeigt, in der sie angelegt wurden.

  • Die Auflistung von Berichtstabellen, die vom Programm automatisch als Hinweise angelegt werden, ist jetzt optional, und diese sind jetzt die einzigen, die eingerückt angezeigt werden.

  • Den verschiedenen Arten von Berichtstabellen (regulär nutzerdefinierte, Hinweise für den Benutzer, oder solche basierend auf Hash-Sets, Suchbegriffen, Deduplizierungsgruppen, ...) wurden neue Farben zugewiesen, und die Dreiecke, die in den Namenszellen für solche Verknüpfungen angezeigt werden, verwenden jetzt dieselben Farben. Die Anzeige dieser Dreiecke ist jetzt ebenfalls optional, s. Optionen | Allgemein | Notation, und ihre Größe in zwei Stufen regelbar.

  • Registry Viewer: Fähigkeit, einen Wert so zu kopieren, wie er in der Listendarstellung auf der rechten Seite angezeigt wird. (Um den Wert als Binärdaten zu kopieren, wählen Sie den Wert in der Listendarstellung aus, bewegen Sie den Registry Viewer zur Seite, und kopieren Sie die ausgewählten Daten aus der Datei-Modus-Anzeige.)

  • Beim Drucken von Schablonen wurden formatierte GUIDs nicht korrekt ausgegeben. Dies wurde korrigiert.

Verzeichnis-Browser

  • Die Regeln für das erweiterte Sortieren werden jetzt auch auf die Hash-Set-Spalte angewandt.

  • Wenn eine Datei beim Abgleich mit der Hash-Datenbank für mehrere Hash-Sets Treffer liefert, werden diese in der entsprechenden Zelle jetzt in der gleichen Reihenfolge angezeigt, in der diese auch in der Datenbank stehen, statt wie bisher in einer zufälligen Reihenfolge.

  • Die Kommentare für Asservate werden jetzt auch in Kommentar-Spalte im Asservat-Überblick angezeigt, und können von dort auch bearbeitet werden. Die Beschreibung von Asservaten wird jetzt auch in der Metadaten-Spalte des Asservat-Überblicks angezeigt.

  • Wenn ein Filter mit der Option NICHT aktiv ist, wird das Filtersymbol zur Erinnerung rot dargestellt.

  • Wenn eine ODER-Kombination von mehreren Filtern aktiv ist, wird zur Erinnerung das Wort "ODER" jetzt in größeren Buchstaben und mit Zeigefingersymbolen in der Titelzeile des Verzeichnis-Browsers angezeigt.

  • Gefärbte Zellen haben jetzt einen optionalen Farbverlauf. Dies kann für jeden Färbebedingung einzeln aktiviert werden. Die exakten Regeln zur Färbung von Zeilen im Verzeichnis-Browser basierend auf Fokus, Auswahl, Maus-Hover-Status, Dunkelmodus und Zellfärbung wurden grundsätzlich überarbeitet.

  • Bei der bedingten Zellfärbung haben Sie jetzt die Möglichkeit, zusätzlich zur eigentlichen Bedingungszelle die Namenszelle mit einzufärben. Nützlich, wenn Sie einen sichtbaren Hinweis auf die zutreffende Bedingung haben wollen, selbst, wenn die eigentlich verantwortliche Spalte aktuell nicht sichtbar ist, und die Färbung der ganzen Zeile vielleicht doch etwas viel wäre.

  • Die Notationsoptionen erlauben jetzt auch die Anzeige bestimmter "interner" Flags in der Bescheibungsspalte, sofern gewünscht. Diese Flags identifizieren den Status einer Datei bezüglich Datei-Überblick-Erweiterung:
    [Emb]: wurde auf eingebettete Dateien geprüft
    [Arc]: Datei-Archiv auf Inhalte geprüft
    [Enc]: Verschlüsselungstest durchgeführt
    [Ext]: E-Mail(-Archiv) auf extrahierbare Inhalte geprüft
    [Met]: auf interne Metadaten geprüft
    [Xtn]: von einer X-Tension erzeugt.

Diverses

  • Die Anwendung von X-Tensions auf Dateien in ausgewählten Verzeichnissen ist jetzt optional. (Falls eine bestimmte X-Tension nur für die Anwendung auf Verzeichnisse nützlich ist.)

  • Die Funktion "Als Laufwerk einbinden" besitzt jetzt eine neue Option namens "Rekursiv anwenden", um die Dateien aus allen Unterverzeichnissen des aktuell aktiven Asservats bzw. des ausgewählten Verzeichnisses in einer flachen Liste anzuzeigen. Nützlich, wenn Sie vorhaben, viele dieser Dateien in einem externen Programm zu öffnen und zu dem Zweck nicht durch die diversen Verzeichnisse navigieren wollen. Wenn Sie diese Option benutzen, werden die int. IDs der Dateien in deren Namen eingefügt, um die Dateien für X-Ways Forensics besser identifizierbar zu machen.

  • Fähigkeit, die maximale Dateigröße festzulegen, für die Vorschaubilder in der Galerie erzeugt werden sollten. Es kann ggf. erforderlich sein, diese Grenze hoch zu setzen, z.B. für sehr hoch aufgelöste Photoshop PSD-Dateien.

  • Die automatische Hash-Prüfung neu erzeugter Datenträgersicherungen wird jetzt auch dann auf eine optionale zweite Kopie angewandt, wenn die erste Kopie automatisch dem aktiven Fall hinzufügt wird.

  • Backups der Falldateien können jetzt optional mit dem Attribut H (versteckt) versehen werden.

  • Viele kleinere Verbesserungen.


Änderungen an den weiteren Service-Releases von 20.4

  • SR-1: The hash types for disk imaging and volume snapshot refinement can now be selected in the same dialog window, which requires two mouse clicks less and means that .dlg files of these dialog windows will cover the settings more completely.

  • SR-1: Avoided a read error that could occur when OCRing files.

  • SR-1: Prevents repeated output of hint on use of multiple .settings files.

  • SR-2: If you get file creation error messages when running OCR with multiple threads, you can now try an unlabeled, but tooltipped checkbox next to the Tesseract OCR option to make X-Ways Forensics wait longer for Tesseract to finish.

  • SR-2: Fixed a potential infinite loop that could occur with certain PDF documents when uncovering embedded data.

  • SR-2: Now uses an embedded JPEG picture as the thumbnail of certain camera raw files in the case report.

  • SR-2: When the case report is generated, the user now has the option to explore the directory where the report is stored instead of viewing the report directly.

  • SR-2: The hint given in fresh installations that the RVS processing state of files in evidence file containers is taken over is now given repeatedly, until the user disables it. Previously it was probably often overlooked or ignored and/or not understood.

  • SR-2: Chinese translation of the user interface updated.

  • SR-3: Fixed an exception error that could occur in v20.4 with WofCompressed or possibly other kinds of pseudo-sparse files.

  • SR-3: Prevented inability to load previously decoded text that was written incompletely because of a crash. Earlier versions of X-Ways Forensics cannot load decoded text stored by v20.4 SR-3 and later.

  • SR-4: Faster viewing and previewing of large PSD pictures, using the internal graphics viewing library instead of the viewer component.

  • SR-4: Fixed an error in the Tools | Compute Hash command that occurred when applied in File mode.

  • SR-4: Attaching files in the case root window previously switched to a file listing that was shown as being not recursive. That was fixed.

  • SR-5: Waits longer for closed evidence objects to open if targeted by RVS, to avoid the error message "Sorry, the following evidence object was skipped".

  • SR-5: Fixed a cluster allocation display error of v20.4 SR-4.

  • SR-5: Fixed an exception error that could occur in v20.4 under certain circumstances when generating the case report.

  • SR-6: The mouse wheel now also works for scrolling in Windows 10 when the cursor hovers over a directory browser tooltip.

  • SR-6: Fixed inability to remove certain context menu commands from the Windows shell via Options | General.

  • SR-6: Support for a newer variant of Windows 10 thumbcache index files in file type verification and Details mode.

  • SR-6: Fixed inability to extract certain tables from some SQLite database as TSV child objects.

  • SR-6: Fixed a crash that could occur if the user inserted a trailing blank line at the end of "Event Log Events.txt".

  • SR-6: Fixed inability of v20.4 to properly open ordinary sparse files in NTFS.

  • SR-6: In OSDirList volume snapshots, directories were previously skipped if their names started with two dots. That was fixed.

  • SR-6: Tooltips now also work in the dialog windows for simple text and hex searches.

  • SR-6: Restoring old backups of cases did not always discard all newer components of volume snapshot that did not exist in the backup (e.g. events).

  • SR-6: Replacing text or hex values in a file with data of different size did not always work in files larger than 2 GB. That was fixed.


Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) u. a. hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

 

 

 

> Archiv des Jahres 2021 <

> Archiv des Jahres 2020 <

> Archiv des Jahres 2019 <

> Archiv des Jahres 2018 <

> Archiv des Jahres 2017 <

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <