WinHex & X-Ways Forensics Newsletter-Archiv (deutsch)

(Sie können den Newsletter hier abonnieren.)

#159: WinHex, X-Ways Forensics und X-Ways Investigator 19.7 veröffentlicht

27. August 2018

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.7. Erscheinungsdatum war der 19. August 2018. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten Sie von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Wenn Sie an Informationen über Service-Releases interessiert sind, wenn diese veröffentlicht werden, können Sie diese im Bereich „Announcements“ des Forums einsehen und sich bei noch aktiver Update-Berechtigung ein Konto anlegen und die Ankündigungen in diesem Bereich per E-Mail abonnieren. Bitte beachten Sie: Wenn Sie vorerst bei einer älteren Version bleiben möchten oder müssen, sollten Sie bitte zumindest das letzte Service-Release der betreffenden Version verwenden.

Anstehende Schulungstermine

3.-6. September (!)	Köln	X-Ways Forensics
1.+2. Oktober	Nürnberg	X-Ways Forensics II

Wenn Sie über weitere Termine informiert werden möchten, können Sie hier Ihre E-Mail-Adresse hinterlassen. Aber besser wäre, sich schnell für die o. g. Termine anzumelden.

Was ist neu in v19.7?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateisystemunterstützung

Fähigkeit, die Datenstrukturen vieler APFS-Volumes zu parsen, um einen Dateiüberblick anzubieten.
Geklonte Dateien in APFS, von denen lediglich die Unterschiede zu ihren Originalen in eigenen Clustern gespeichert werden, werden mit einem griechischen Delta als Großbuchstabe in der Spalte Attr. gekennzeichnet.
Unterstützung für APFS-Zeitstempel im Daten-Dolmetscher und in den Schablonen ("APFSDateTime").
Es gibt jetzt auch für exFAT-Volumes eine gründliche Dateisystem-Datenstruktur-Suche.
Schutz gegen eine seltene Form von Datenkorruption in NTFS, bei der FILE-Records in der $MFT fehlplaziert werden.
Die Option, jeweils nur einen harten Verweis zu verarbeiten, hat jetzt auch dann Wirkung, wenn nur ausgewählte oder markierte Dateien verarbeitet werden.

Dateiformatunterstützung

Verschlüsselte Dokumente mit bekanntem Passwort können jetzt auch mit der FuzZyDoc-Hash-Datenbank abgeglichen werden.
Die Berichtstabelle "Scan" wird nicht mehr länger zur Identifikation von PDF-Dokumenten mit gescanntem Inhalt verwendet. Stattdessen wird für PDF-Dokumente, die als von einem Scanner erzeugt identifiziert werden, ab jetzt "Scanner" in der Gerätetyp-Spalte angezeigt.
Extraktion des Feldes mdtacom.apple.quicktime.location.ISO6709 aus iPhone-MOV-Dateien in die Metadaten-Spalte.
Identifikation von und Datei-Header-Signatur-Suche nach MP4s-Dateien, einem proprietären Überwachungsvideoformat.
Der Verlauf für Google Chrome zeigt jetzt für jede besuchte Webseite den Seitenübergang, was die Beurteilung erleichtert, ob der Besuch vom Benutzer veranlasst wurde oder von einer anderen Aktion wie z.B. einer Seitenumleitung. Die Dauer jedes Besuchs wird ebenfalls aufgeführt. Internet-Suchen, die aus der Chrome-Adresszeile gestartet wurden, werden in einer separaten Tabelle ausgegeben und ebenfalls zur Ereignisliste hinzugefügt.
Fähigkeit, SNSS Session-Dateien von Google Chrome (aktuelle/letzte Sitzung und aktuelle/letzte Tabs) bei der Metadaten-Extraktion auszuwerten. Die resultierende Sitzungsübersicht zeigt alle offenen Tabs mit ihrem jeweiligen Verlauf.
Die bisherige Ausgabe im Detail-Modus für Dateien vom Typ .automaticdestinations-ms wird ab jetzt im Vorschau-Modus angezeigt und auch für den Anzeigen-Befehl und beim Kopieren solcher Jump-List-Dateien für die Übernahme in den Bericht.
Die Erzeugung von Vorschaubildern für den Bericht wird jetzt unter anderem auch für Dateien dieser Typen unterstützt: lnk, flnk, TCP/UDP packets, NK2, DBX, Skype chat, WAB, change.log.1, info2, job, IconCache.db, Prefetch, shd, usnjrnl, eiurl, $I*, travellog, chrome1, automaticdestinations-ms.
Ein seltener Prüfsummenfehler bei der Ausgabe der Umwandlung zu Intel Hex wurde behoben.
Fähigkeit (z.B. für Suchbegriffe) von UTF-16 in diverse Indische Code-Pages umzuwandeln: ISCII Devanagari, Bengali, Tamil, Telugu, Assamese, Oriya, Kannada, Malayalam, Gujarati, Punjabi (Gurmukhi).

JPEG-Metadatenunterstützung

Irreguläre EXIF-Metadaten-Kodierungen, die der EXIF-Spezifikation zuwider laufen, werden jetzt mit einem Sternchen am Ende gekennzeichnet (manchmal zusätzlich mit Fettschrift).
"EXIF compliance" ist ein weiterer neuer aggregierter Einzelwert; ein Punktwert, der die Beurteilung erleichtert, ob ein qualitativ schlechtes Bildbearbeitungsprogramm zur Bearbeitung eingesetzt wurde. Ein guter Wert, den von Nikon- oder Canon-Kameras erzeugte JPEG-Bilder überlicherweise haben, wird nur von hochwertigen Bildbearbeitungsprogrammen weiterhin erhalten. Ein schlechter Wert für solche Bilder deutet auf Bearbeitung mit qualitativ minderwertiger Software hin. Irregulär kodierte Felder in den EXIF-Daten werden mit einem Stern gekennzeichnet. Irregulär könnte bedeuten, dass der falsche Datentyp verwendet wurde, oder die erlaubten Wertgrenzen überschritten wurden, oder Tags doppelt vorhanden sind, oder eine Zeichenkette nicht nullterminiert ist oder Schlupf beinhaltet. Einige Tags dürfen nicht gleichzeitig auftreten, andere müssen in einem festgelegten Verzeichnis gespeichert sein.
Ganz allgemein ist die EXIF-Darstellung nicht einfach eine unstrukturierte Ausgabe aller EXIF-Werte, sondern sie versucht, Hintergrundinformationen mitzuliefern und bestimmte Parameter in ihrem Kontext hervorzuheben, um Ermittler auf Ungereimtheiten hinzuweisen. Bereits in ihren Originaldateien erzeugen Digitalkameras charakteristische EXIF-Metadaten-Fehler. Durch die Bearbeitung werden evtl. weitere Fehler erzeugt oder andere behoben.
XMP-Metadaten-Extraktion überarbeitet. Neue und relevante Informationen werden zur Metadaten-Spalte hinzugefügt, redundante Informationen híngegen nicht. XMP enthält oft Informationen über die Zeitzone, die in den EXIF-Metadaten nicht enthalten ist.
Die Menge an Schlupfspeicher (Nullbytes) am Ende des EXIF-Segments wird im Detail-Modus angezeigt, falls derartiger Schlupf vorhanden ist. Ein solcher Bereich variabler Größe wird bespielsweise von iPhone 4 und iPhone 5 üblicherweise erzeugt, von iPhone 7 nicht. Falls der Schlupf auch nach einer Bildrotation erhalten bleibt, war die Rotation minimalinvasiv, ohne die Daten erneut zu komprimieren (d.h. ohne Qualitätsverlust). Wenn ein Bildbearbeitungsprogramm die JPEG-Daten hingegen neu schreibt, verschwindet dieser Schlupfbereich.
Die Zusammenfassung der internen Metadaten im Detail-Modus für JPEG-Dateien hat jetzt ein neues Feld namens "Light value". Dieser Wert wird von der in der Fotografie bekannten Formel Ev=log2(N**2/t)+log2(100/ISO) abgeleitet. Der Wertebereich endet bei ungefähr 16, was vollem Sonnenlicht entspricht. Dieser Aggregatwert könnte für einige Ermittler interessant sein, da er die Unterscheidung nach Innen- und Außenaufnahmen ermöglicht und weil man mit diesem Wert die Plausibilität der Lokalzeit eines Fotos prüfen kann.
Ein neuer Wert "Rotated" ist nun für das JPEG-Metadaten-Feld Condition möglich.
Ein neuer Gerätetyp "Printer" wird jetzt für JPEG-Dateien angezeigt, die zu Druckzwecken erzeugt wurden.
Firmware-Daten werden für iPhones und andere Apple-Geräte jetzt ebenfalls ausgegeben.
Die IMEI einiger (high-end) Samsung Galaxy Smartphones wird in den SEFT "trailing data" von JPEG-Dateien gespeichert, abhängig von den Einstellungen des Geräts, und wird jetzt, falls vorhanden, im Detail-Modus der SEFT-Datei angezeigt. Die SEFT-Datei wird von "Eingebettete Daten in diversen Dateitypen suchen" erzeugt.
Generator-Signaturen und Geräte-Alias-Tabelle wurden überarbeitet.

E-Mail

Extrahiert mehr interne Zeitstempel aus E-Mails in PST/OST-E-Mail-Archiven.
In dem (sehr seltenen) Fall, dass die Namen von E-Mail-Empfängern den vertikalen Strich ("pipe") enthalten, wurden solche Empfänger bei der Erweiterung des Datei-Überblicks bislang nicht korrekt als To:, Cc: oder Bcc: eingeordnet. Dies wurde behoben.
Neue Option für den Datei-Überblick, (bei der Extraktion von E-Mails) bestimmte RTF-formatierte E-Mail-Bodies aus Outlook-E-Mail-Archiven in normales UTF-8 umzuwandeln, um die erzeugten .eml-Dateien besser in externen E-Mail-Programmen darzustellen und um die alternative .eml-Vorschau zu ermöglichen.

Benutzeroberfläche

Beim Sortieren nach Zeitstempeln in einer der vielen Zeitstempel-Spalten kann es passieren, dass UTC-basierte Zeitstempel mit solchen verglichen werden müssen, die in einer undefinierten lokalen Zeitzone gespeichert sind, oder als in einer vom (X-Ways-)Nutzer festgelegten Zeitzone gespeichert interpretiert werden, um zu entscheiden, welcher früher und welcher später ist. Dies kann zum Beispiel im für Dateisystem-Zeitstempel im Asservat-Überblick passieren, wenn ein Asservat ein NTFS- und ein anderes ein FAT-Dateisystem enthält. Dies kann auch innerhalb desselben Asservats auftreten, beispielsweise beim Sortieren nach aus den Dateiinhalten extrahierten internen Erzeugungszeitstempeln, wie zum Beispiel bei gewöhnlichen EXIF-Zeitstempeln in JPEGs (die lokal sind) und GPS-Zeitstempeln in JPEGs (die in UTC gespeichert werden). Das Sortieren solcher Zeitstempel berücksichtigt jetzt, wie diese Zeitstempel dargestellt werden (in ursprünglicher lokaler Zeit oder in einer vom Nutzer definierten Anzeigezeitzone), womit die Reihenfolge mit den dargestellten Werten übereinstimmt, und nicht damit, wie die Zeitstempel intern gespeichert sind. Dies bedeutet beispielsweise, dass der lokale EXIF-Zeitstempel 2017-01-01 14:01 OZ *hinter* einem UTC-GPS-Zeitstempel 2017-01-01 14:00 +2 eingereiht wird, was korrekt ist, sofern die undefinierte lokale Zeitzone mit der Anzeigezeitzone (in diesem Beispiel UTC +2) identisch ist. Diese Reihenfolge kann natürlich auch falsch sein, da die unbekannte Zeitzone des lokal gespeicherten Erzeugungsdatum des Inhalts irgendwo östlich von UTC +2 sein könnte. Die Reihenfolge kann auch dann falsch sein, wenn die vom Nutzer festgelegte Referenzzeitzone für FAT-Dateisysteme falsch ist.
Die Zeitstempel-Spalte der Ereignisliste respektiert jetzt die vom Nutzer festgelegte Referenzzeitzone für Zeitstempel in Dateisystemen, die ihre Zeitstempel in lokaler Zeit speichern, und übersetzt diese Zeitstempel zur aktuellen Anzeigezeitzone entsprechend.
Fähigkeit, im IM-Detail-Modus zw. Ein- und Doppel-Spalten-Anzeige umzuschalten. Bei hinreichender Bildschirmauflösung und Fensterbreite kann man ohne Scrollen die gesamten internen Metadaten betrachten, da die Zusammenfassung rechts daneben angezeigt wird.
Option, den Daten-Dolmetscher mit einem gewissen Grad an Transparenz anzuzeigen. Der praktische Nutzen dieser Option ist noch zu entdecken. Sieht nur cooler aus.
Bei der Erweiterung eines bislang unbehandelten Datei-Überblicks wird ab jetzt auch die Option, direkt im Anschluss eine parallele Suche durchzuführen, mit gespeichert. Dies ist insbesondere in Verbindung mit der Ausführung von der Kommandozeile nützlich.
Ein neuer Kommandozeilenbefehl erlaubt das Laden einer Liste von Suchbegriffen: "LST" (=load search terms). Wenn gefolgt von einem Doppelpunkt und dem Namen oder vollständigen Pfad einer Textdatei mit einem Suchbegriff pro Zeile und wenn dies einem DÜE-Lauf mit implizit gestarteter paralleler Suche vorausgeht, werden diese Begriffe für diese Suche verwendet.
Beim Einsehen von Bildern mit der internen Bildbetrachtungsbibliothek ist das Anzeigefenster nicht länger maximiert, wenn das Bild zur Anzeige auf dem Schirm verkleinert werden muss, und Sie können jetzt entscheiden, diese Bilder, wie in bisherigen Versionen, auf dem Bildschirm zu zentrieren oder stattdessen deren obere linke Position oder die Position ihrer Mitte zu speichern, nachdem Sie sie auf dem Bildschirm verschoben haben. Um dies festzulegen, öffnen Sie das Systemmenü des Anzeigefensters (d.h. klicken Sie auf das Fenster-Icon oben links). Sie können außerdem festlegen, ob solche Anzeigefenster grundsätzlich im Vordergrund sein sollen, also auch vor den Fenstern anderer Anwendungen. Und zu guter Letzt können Sie auch die ungefähre Fenstergröße speichern lassen. Insbesondere nützlich in Verbindung mit den Optionen, die obere linke Position des Anzeigefensters speichern zu lassen, nur ein Anzeigefenster gleichzeitig zuzulassen, und das Anzeigefenster automatisch mit nur einem Klick auf eine Datei zu aktualisieren, womit Sie an einer von Ihnen definierten Stelle Ihres Bildschirms effektiv ein Vorschaufenster für Bilder haben, während die untere Hälfte des Datenfensters eine andere Darstellung als den Vorschau-Modus haben kann, z.B. den Detail-Modus.
Schablonen können jetzt UTF-16-Unicode-Zeichenketten mit nicht-lateinischen Zeichen darstellen und editieren.
Fähigkeit, über das Systemmenü des Schablonenfensters den Inhalt von Schablonen als Tabulator-getrennten Text in die Zwischenablage zu kopieren.
Fähigkeit, die Variablen einer Schablone als Einträge im Positions-Manager (entweder dem allgemeinen oder, falls das Datenfenster ein Asservat repräsentiert, dem Positions-Manager des Asservats) anzuzeigen. Dies bedeutet auch, dass die entsprechenden Werte direkt in der Hex-Darstellung optisch hervorgehoben und mit erläuternden Tool-Tips ausgestattet werden. Der Befehl hierfür kann ebenfalls im Systemmenü des Schablonenfensters gefunden werden.
Das normale Schablonenfenster kann optional komplett übersprungen und die Einträge im Positions-Manager direkt erzeugt werden, wenn Sie beim Anwenden der Schablone die Umschalttaste gedrückt halten.
Fähigkeit, Text auch dann als UTF-16 Unicode in die Zwischenablage zu kopieren, wenn die Textspalte kein UTF-16 Unicode anzeigt, über das Hauptmenü. Fähigkeit, Daten in die Zwischenablage als ANSI-Zeichen zu kopieren, selbst wenn die Textspalte UTF-16 Unicode anzeigt.
Strg+Umschalt+Entf entfernt jetzt die "Duplikate gefunden" Kennzeichnung von den ausgewählten Dateien, zusätzlich zur Entfernung aller Arten von Hash-Set-Treffern.
Die Suchtreffer-Kontextvorschau in Suchtrefferlisten kann über das Kontextmenü jetzt aktiviert bzw. deaktiviert werden.

Unterstützung für Datenträger(-sicherungen)

Kann jetzt bis zu 128 physische Datenträger in Windows ansprechen, statt wie bisher 64 (diejenigen mit Nummern 0 bis 127).
Wenn die erste Leseoperation bei der Erzeugung einer Minimalsicherung von einem Datenfenster ausgelöst wird, das eine Partition repräsentiert, die über die übergeordnete physische Platte geöffnet wurde, wird die Minimalsicherung ein Partitions-/Volume-Image statt einem kompletten Disk-Image, im Unterschied zu früheren Versionen. Leseoperationen in anderen Datenfenstern (die den umgebenden physischen Datenträger oder dessen andere Partitionen repräsentieren) haben auf die Minimalsicherung keinen Einfluss.
Unterstützung für ein neues Format des Erstelldatums in bestimmten von Drittprogrammen erzeugten .e01-Evidence-Files.

X-Tensions API

Die Funktion XWF_GetCaseProp kann jetzt dazu verwendet werden, Erzeugungszeitstempel und interne ID des aktuellen Falles abzufragen. XWF_GetVSProp kann jetzt zur Festlegung der Hash-Typen eines Datei-Überblicks verwendet werden.
Die X-Tension-Funktion XWF_GetHashValue hat jetzt die Fähigkeit, gleichzeitig den primären und den sekundären Hash-Wert abzufragen, und sie hat jetzt die Fähigkeit, die gewünschten Hash-Werte berechnen zu lassen, falls diese noch nicht im Datei-Überblick gespeichert sind.
Fragt den Nutzer, ob sture C# X-Tension-DLLs, die nicht einfach entladen werden können, nach ihrer Ausführung zum Schließen gezwungen werden sollen. Programierer, die ihre eigenen X-Tensions debuggen wollen, ziehen dies evtl. vor, aber offenbar kann dies die nochmalige Verwendung derselben DLL in derselben Sitzung von X-Ways Forensics verhindern, weshalb normale Nutzer vermutlich besser Nein wählen sollten.

Diverses

Die Passwort-Sammlung für neu erzeugte Fälle wird jetzt mit der allgemeinen Passwort-Sammlung initialisiert. Die allgemeine Passwort-Sammlung kann zur Bearbeitung jetzt von Optionen | Sicherheit geöffnet werden. Die Passwort-Sammlung eines Falles wird für verschlüsselte Archive und verschlüsselte Dokumente verwendet, wann immer der Fall geladen ist.
Beim Importieren von Hash-Werten aus Project Vic wird der Nutzer jetzt gefragt, ob die US-amerikanischen oder die kanadischen Standardkategorien voreingestellt sein sollten.
Ein Import-Problem mit bestimmten an unerwarteten Stellen auftretenden Leerzeichen in Project Vic JSON-Dateien wurde gelöst.
Beim Füllen von Blöcken/Dateien/Datenträgern mit konstanten Hex-Werten werden jetzt bis zu 16 zweistellige Hex-Werte akzeptiert.
Einige Stabilitätsverbesserungen.
Unzählige kleinere Verbesserungen.
Benutzerhandbuch und Programmhilfe für v19.7 aktualisiert.
Oracle hat einige Korrekturen für die Viewer-Komponente zur Verfügung gestellt, insbesondere zur Darstellung von PDF-Dateien und um einige Sicherheitsprobleme zu adressieren (keine genaueren Angaben verfügbar).

Änderungen der Service-Releases von v19.6

SR-1: Inkompatible Teile von .settings-Dateien von v19.5 werden nicht mehr geladen.
SR-1: Verwendet eingebettete Vorschaubilder mit Typ-Status "nicht bestätigt" nicht mehr als Miniaturansichten in der Galerie.
SR-2: Ändert den Wert der Option "Store .e01 metadata for fast re-open" automatisch von voll auf halb ausgewählt, wenn festgestellt wird, dass der Datenträger bzw. das Volume, das das Image enthält, schreibgeschützt ist.
SR-2: Ein Problem bei der Ermittlung der Größe von Asservaten, die Dateien oder Verzeichnisse sind, wurde behoben.
SR-2: Fähigkeit, mehrere einzelne Dateien, die im selben Verzeichnis gespeichert sind, zum selbgen Fall als Asservate hinzuzufügen. Frühere Versionen können Fälle mit Einzeldatei-Asservaten, die in v19.6 SR-2 gespeichert wurden, nicht öffnen.
SR-2: Fähigkeit, bestimmte Windows-Thumbcaches mit einer ungewöhnlichen Signatur-Variante zu verarbeiten.
SR-2: Beim Einsehen von Bildern mit der internen Bildbetrachtungsbibliothek sind die erzeugten Fenster jetzt garantiert im Vordergrund, selbst wenn die Galerie-Ansicht vom Datenfenster abgekoppelt wurde.
SR-2: Das sichere Überschreiben von ausgewählten Dateien auf logischen Laufwerksbuchstaben ist mit einer Fehlermeldung gescheitert. Dies wurde behoben. (Bei Anwendung auf die entsprechende Partition des physischen Datenträgers hat es normal funktioniert.)
SR-2: Korrekte Identifikation des SQLite-Datenbank-Subtyps in einigen raren Fällen, in denen dies nicht bereits passiert ist.
SR-2: Ein Ausnahmefehler wurde behoben, der beim Speichern des Falles mit einem neuen Namen auftreten konnte, wenn der Asservat-Überblick offen war.
SR-2: Fähigkeit, verschlüsselte Dateien in bestimmten Dateiarchiven zu entschlüsseln, bei denen das bisher nicht möglich war.
SR-3: Eine potentielle Quelle für Stabilitätsprobleme bei der Befüllung der Galerie mit mehreren Threads in der x64-Ausführung wurde behoben.
SR-3: Die Unfähigkeit, Dateien in bestimmten GZ-Archiven mehr als einmal zu öffnen, während das Asservat geöffnet war, wurde behoben.
SR-3: Ein seltener Ausnahmefehler wurde behoben, der am Anfang der DÜE-Phase "Untersuche Dateien" in Ext*-Dateisystemen auftreten konnte.
SR-3: Ein Fehler wurde behoben, der das Speichern von performanzverbessernden Image-Metadaten in einigen seltenen Konfigurationen verhindern konnte.
SR-3: Ein Fehler beim Carven von TIFF-Dateien wurde behoben.
SR-3: Ein Problem mit weißem Text auf weißem Hintergrund im Verzeichnis-Browser wurde behoben, das bei der Verwendung der bedingten Zelleinfärbung auftreten konnte.
SR-3: Für manche Spalten haben die FlexFilter nie ein Ergebnis geliefert. Dies wurde behoben.
SR-3: Bei der Benennung von wiederhergestellten/kopierten Dateien nach einer ausgewählten Spalte wird die Dateierweiterung des aktuellen Dateinamens im Datei-Überblick nicht länger an den alternativen Namen angehängt.
SR-4: Der RunCount für Windows 8 Prefetch-Dateien wurde im Detail-Modus korrekt angezeigt, aber nicht in der Metadaten-Spalte. Dies wurde behoben.
SR-4: Der Inhalt der Metadaten-Spalte wird jetzt immer im Detail-Modus angezeigt, falls er Einträge enthält, die als nutzerdefiniert gekennzeichnet oder von X-Tensions erzeugt sind. Es wird empfohlen, dass Nutzer ihre manuellen Zusätze mit ihren Initialen in eckigen Klammern kennzeichnen und dass X-Tensions ihre Zusätze mit [XT] kenntlich machen, damit diese als solches erkennbar sind. Beliebige ein bis vier Zeichen in eckigen Klammern haben den beschriebenen Effekt.
SR-4: Ein Ausnahmefehler ist in v19.6 beim Öffnen von Laufwerksbuchstaben ohne Sektor-Level-Zugriff aufgetreten. Dies wurde behoben.
SR-4: Die Deckblatt-Vorschau beim Drucken mehrerer ausgewählter Dateien gleichzeitig wurde nicht aktualisiert. Dies wurde behoben.
SR-4: Extraktion RTF-formatierter E-Mail-Bodies aus PST/OST-E-Mail-Archiven in Fällen, in denen kein alternativer HTML- oder Plain-Text-E-Mail-Body verfügbar ist.
SR-4: Ein Ausnahmefehler wurde verhindert, der bei der Extraktion von Metadaten aus der Samsung-Variante von JPEG Trailing Data auftreten konnte.
SR-4: Eine neue Option in Optionen | Datei-Überblick erlaubt es den Empfängern von Datei-Containern zu bestätigen, dass sie die exakt gleiche PhotoDNA-Hash-Datenbank verwenden wie der Erzeuger des Containers, damit alle den Dateien ggf. zugewiesenen PhotoDNA-Kategorien (die im Container lediglich als Kategorie-Nummern gespeichert sind) mit dem entsprechenden Kategorie-Namen in der aktuellen PhotoDNA-Hash-Datenbank des Nutzers angezeigt werden. Wenn diese Option nicht gewählt ist, werden dem Empfänger nur die Original-Kategorie-Nummern aus der Datenbank des Container-Erzeugers angezeigt, keine Kategorie-Bezeichnungen.
SR-5: Ein möglicher Ausnahmefehler wurde behoben, der mit gecarvten oder defekten Dateien aus Outlook 2011 für Mac auftreten konnte.
SR-5: Verbesserte Stabilität bei der Extraktion von Thunderbird Index-Datenbanken.
SR-5: Zeigt vorausgegangene Besuche bei einer Webseite aus dem Chrome-Verlauf zusätzlich zum letzten, auch als Ereignisse, und die Dauer jedes Besuchs.
SR-5: Verhindert die Einfügung eines störenden Zeilenumbruchs beim Exportieren von Dateilisten mit Generator-Signaturen.
SR-5: Eine mögliche Endlosschleife mit JPEG-Dateien, die von Galaxy S3 Mini VE Smartphones erzeugt wurden, wurde behoben.
SR-6: Die Extraktion von E-Mails aus MBOX-E-Mail-Archiven in v19.6 ohne .eml-Dateierweiterung im Namen wurde behoben.
SR-6: Ein seltener Fehler wurde behoben, bei dem bestimmte Namen von Dateianhängen in Original-.eml-Dateien und ein paar anderen Formaten abgeschnitten sein konnten, wenn diese in Quoted Printable kodiert waren.
SR-6: Falls eine logische Suche in verschlüsselten/geschützten PDF-Dokumenten unter Verwendung der Option zur absturzsicheren Dekodierung gestartet wurde, ohne vorher auf Verschlüsselung geprüft zu haben, war die Suche ergebnislos, selbst wenn das korrekte Passwort angegeben war. Dies wurde behoben.
SR-7: X-Tension API: Die Funktion XWF_CreateEvObj gab beim Aufruf für Asservate der Typen 0, 3 und 4 Handles zu den falschen Asservaten zurück. Dies wurde behoben.
SR-7: Fallbericht: Unter bestimmten Umständen wurden Miniaturansichten von Bildern erzeugt, als seien diese Nicht-Bilder (z.B. Dokumente). Dies wurde behoben.
SR-7: Ein möglicher Absturz beim Extrahieren von Metadaten aus MP3-Dateien, die einen ID3-Tag mit inkompatiblem GEOB-Eintrag enthalten, wurde verhindert.
SR-7: Extraktion von Änderungszeitstempeln aus TAR-Archiven mit bestimmten nicht-standardmäßiger Kodierung mit der alternativen Extraktionsmethode.

Wir hoffen, Sie bald wieder auf http://www.x-ways.net zu sehen, oder bei Facebook oder Twitter. Bitte leiten Sie diesen Newsletter an andere Interessenten weiter. Anmelden kann man sich (z. B. noch mit weiteren E-Mail-Adressen) hier. Vielen Dank.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

#158: WinHex, X-Ways Forensics und X-Ways Investigator 19.6 veröffentlicht

12. März 2018

In dieser Ausgabe des Newsletters informieren wir Sie über ein weiteres Update mit vielen beachtlichen Verbesserungen, die Version 19.6. Erscheinungsdatum war der 9. März 2018. Nicht alle Beschreibungen sind auf Deutsch verfügbar.

Evaluationsversion von WinHex: https://www.x-ways.net/winhex.zip (korrekte Download-Adresse auch für Benutzer mit einer privaten, professionellen oder Specialist-Lizenz)

Kunden erhalten Download-Instruktionen, Log-In-Daten sowie Details zu Ihrem Zugang zu Updates wie immer unter https://www.x-ways.net/winhex/license-d.html. Wenn Ihr Zugang zu Updates oder Ihre Lizenz abgelaufen ist, erhalten von dort Angebote zu Upgrades bzw. Lizenzverlängerungen.

Was ist neu in v19.6?
(Bitte beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen.)

Dateityp-Unterstützung

Eine neue Spalte im Verzeichnis-Browser in X-Ways Forensics und X-Ways Investigator namens „Gerätetyp“ wurde eingeführt. Diese füllt sich bei der Metadaten-Extraktion. Die Spalte zeigt, welche Art von Gerät eine gegebene JPEG-Datei erzeugt hat. Das kann die Hauptkamera eines Smartphones sein oder die Zweit-/Frontkamera, eine Kompaktkamera, eine Spiegelreflexkamera, eine Webcam o. ä. Diese Information wird aus der Generator-Signatur abgeleitet. Die Spalte ist auch mit einem Filter ausgestattet. Das Filtern nach dem Gerätetyp kann nützlich sein, wenn Sie z. B. nach eher privaten Fotos fahnden (Selfies, die mit der Frontkamera eines Smartphones aufgenommen wurden) oder nach eher professionellen Fotos (Spiegelreflexkamera oder digitale Kamerarückwand) o. ä.
Eingescannte Bilder wurden bisher über eine Berichtstabellen-Verknüpfung als solche identifiziert. Das ist jetzt nicht mehr der Fall. Daß solche Bilder von einem Scanner erzeugt wurden, kann man nun ebenfalls der zuvor genannten Spalte „Gerätetyp“ entnehmen.
Bilder, die als Bildschirmfotos erkannt wurden, bekommen nun den Gerätetyp Bildschirm (Screen) zugeordnet. Dieser Gerätetyp kann auch vergeben werden für Bilder, die speziell auf typische Display-Auflösungen zugeschnitten zu sein scheinen, wie etwa Bildschirmhintergründe.
Der GPS-Verarbeitungsmodus, sofern in einer JPEG-Datei gespeichert, wird nun im Details-Modus angezeigt. Dieser Modus erlaubt es, die Verläßlichkeit und Präzision der Koordinaten besser einzuschätzen. Er wird von mehreren Herstellern gespeichert und kann einer der folgenden Werte sein: Unknown, GPS, Network, Hybrid, Fused oder CELLID.
Ein neuer Eintrag namens Geolocation in den extrahierten Metadaten und im Details-Modus zeigt die GPS-Koordinaten nun in einer Schreibweise an, wie sie von Google Maps, OpenStreetMap und Bing Maps akzeptiert wird. Diese ersetzt auch die früheren Felder Latitude und Longitude in der Metadaten-Spalte und ist für eine etwaige automatische Weiterverarbeitung geeigneter.
Drei weitere Felder für Exif-GPS-Daten werden nun im Details-Modus ausgegeben, sofern verfügbar: Altitude, Image-Direction und GPS-Error. Die Höhe (Altitude) kann hilfreich sein beim Einschätzen der Verläßlichkeite von Geokoordinaten. Image-Direction ist ein Funktionsmerkmal von Smartphones der Spitzenklasse.
Wenn am Vorhandensein von GPS-Koordinaten in JPEG-Bildern etwas ungewöhnlich ist, werden diese Koordinaten nun in blauer Farbe hervorgehoben. Wenn z. B. GPS-Koordinaten verfügbar sind und ein GPS-Zeitstempel nicht, bei einem Gerätemodell, das dafür bekannt ist, immer beide Angaben zusammen abzuspeichern (was manchmal davon abhängt, ob die Haupt- oder die Frontkamera verwendet wird), oder wenn angeblich von einem Gerätemodell, von dem gar nicht bekannt ist, daß es über GPS verfügt, GPS-Daten gespeichert wurden, dann sträuben sich bei X-Ways Forensics die virtuellen Nackenhaare, weil es sein könnte, daß die Koordinaten nachträglich eingefügt wurde. GPS-Zeitstempel, die vom Aufnahmezeitstempel des Fotos abweichen, werden auch in blauer Farbe hervorgehoben.
Eine neue Datei namens PhoneAliasTable.txt enthält Übersetzungen von internen Modellbezeichnungen in menschenlesbare Marketingnamen. Insbes. interne Bezeichnungen von Samsung, Motorola, LG und Huawei sind eher kryptisch und nach Übersetzung besser verständlich. Diese Tabelle kann auch das Veröffentlichungsdatum und die Vertriebsregion enthalten. Die Tabelle ist derzeit noch relativ spärlich besetzt, aber ihr Format wird im Kopf der Datei erklärt, so daß Benutzer bei ihrer Vervollständigung helfen können.
Der Details-Modus zeigt nun Firmware-Datum und -Region an für JPEG-Dateien, die von diversen Mobiltelefonmodellen von Samsung erzeugt wurden, was der Validierung anderer Metadaten dienlich ist.
Die Tabelle, die auf Generator-Signaturen basierend zur Validierung von Exif-Daten eingesetzt wird, unterstützt nun mehr als 11.000 Geräte (wobei dabei Frontkameras von Smartphone selbst als Geräte gezählt werden).
Die von neueren Sony-Geräten in Dateien abgespeicherte Zeitzone kann nun extrahiert werden.
Twitter-Zeitstempel in JPEG-Dateien werden nun erkannt und in der Spalte „Erzeugung des Inhalts“ ausgegeben.
Allgemeine Verbesserung der Extraktion von Inhaltserzeugungszeitstempeln aus JPEG-Dateien.
Automatische Entfernung von Fülldaten, die diverse Digitalkameramodelle zwischen zwei Miniaturansichten in JPEG-Dateien einfügen. Diese wurden vormals als Teil der Daten der zweiten Miniaturansicht ausgegeben, was eine direkte Anzeige verhinderte.
Für PNG-Dateien wird nun als Teil der Metadaten-Extraktion ebenfalls eine Generator-Signatur ausgegeben, um PNG-Dateien kenntlich zu machen, die wahrscheinlich aus derselben Quelle stammen, und zu Erkennung von PNG-Dateien, die Bildschirmfotos sind.
Erkennung des erzeugenden Gerätetyps für einige PNG-Dateien sowie Anzeige in der neuen Spalte.
Verbesserte Erkennung von PNG-Bildschirmfotos von alten Mobiltelefonen.
Unterstützung von netusage.sqlite-Dateien von iOS, in denen der Datenverbrauch von Apps festgehalten wird. Zusätzlich zu der Menge an aus- und eingehenden Daten in Form einer HTML-Vorschau werden auch ungefähre Zeitstempel der ersten und letzten Benutzung von Apps in Form von Ereignissen ausgegeben.
Verbesserte Stabilität bei der Verarbeitung von EVTX-Dateien..
Unterstützt eine neue Formatvariante in bestimmten Registry-Werten von Windows 10.

Bildanzeige

Wenn Bilder im Vorschau-Modus von der internen Grafikanzeigebibliothek angezeigt werden, nicht von der separaten Viewer-Komponente, dann können sie 90°-Schritten gedreht werden, durch Klick mit der linken Maustaste nach links und mit der rechten Maustaste nach rechts.
Fotos, die von Smartphones und Digitalkameras bestimmter großer Hersteller im Hochformat aufgenommen wurden, werden dennoch im Querformat gespeichert und müssen zum Zeitpunkt der Anzeige entweder nach links oder rechts gedreht werden, damit sie korrekt ausgerichtet sind. Sowohl der Vorschaumodus als auch der Einsehen-Befehl erledigen das nun automatisch, nur bei Einsatz der internen Grafikanzeigebibliothek, nicht mit der Viewer-Komponente. Die Galerie paßt die Ausrichtung jetzt ebenfalls automatisch an (nicht bei ersatzweise verwendeten Miniaturansichten).
Ein Klick mit der mittleren Maustaste im Vorschaumodus auf ein von der internen Grafikbibliothek dargestelltes Bild spiegelt dieses Bild (d. h. vertauscht links und rechts) oder (wenn der Umschalttaste dabei gedrückt ist) kehrt das Bild vertikal um (d. h. vertauscht oben und unten). Bitte beachten Sie, daß diese Operation zusätzlich zu einer etwaigen aktiven Drehung angewandt wird.
Eine etwaige aktuell aktive Drehung und eine etwaige aktuell aktive Spiegelung werden in Form von einigen Symbolen in der oberen rechten Ecke angedeutet. Wenn keine Spiegelung angewandt wird, aber eine Drehung, zeigen zusätzlich die Buchstaben "UR" an, was in den Originalgrafikdaten die untere rechte Ecke war.
Fähigkeit, einige seltene PNG-Dateien mit ungültiger Zlib-Kompression als Bild darzustellen.

Benutzeroberfläche

Video-Dateien, Audio-Dateien, Office-Dokumente und reine Textdateien können nun optional mit speziellen Icons dargestellt werden, genau wie zuvor nur Bild-Dateien. Sie können die speziellen Icons einzlen für jede Kategorie im Dialogfenster mit den Verzeichnis-Browser-Optionen ein- und ausschalten.
Viele zusätzliche Icons in der Benutzeroberfläche, insbes. für die Modus-Schalter und für externe Programme.
Ein geschlossener Briefumschlag dient nun als Icons für E-Mails, die nicht den Status „bereits gelesen“ aufweisen.
Ein Rechtsklick irgendwo in der Leiste mit den Modusschaltern außerhalb der Schalter zeigt oder versteckt nun die Trennlinie zwischen Verzeichnis-Browser und Schalterleiste. Wenn die Trennlinie sichtbar ist, ist sie nun etwas dicker als früher und kann bei hohen DPI-Einstellungen leichter mit dem Mauszeiger angesteuert und nach oben oder unten verschoben werden. Ungeachtet der Sichtbarkeit der Trennlinie kann man die Fensterunterteilung nun auch einfach nach einem Linksklick in der Leiste mit den Modusschaltern (außerhalb der Schalter) bei gedrücktgehaltener Maustaste verschieben. Ohne die Trennlinie ist es etwas intuitiver, daß sich die rechte Hälfte der Leiste mit den Modusschaltern auf den Verzeichnis-Browser darüber bezieht und nur die linke Hälfte der Leiste auf die untere Hälfte des Datenfensters.
Verbesserte Unterstützung für hohe DPI-Einstellungen allgemein.
Die Höhe des Dialogfensters mit den Verzeichnis-Browser-Optionen wird nun automatisch so weit vergrößert, wie es die vertikale Auflösung des Hauptbildschirms ergibt und wie es erforderlich ist, um so viele Spaltenbezeichnungen wie möglich auf einen Blick sichtbar zu machen, so daß auch der Rollbalken rechts idealerweise gar nicht benötigt wird.
Option einer Rückfrage für jede Datei beim Drucken mitsamt Unterobjekten.
Option, nur nicht-leere Felder eines Deckblatts auszugeben.

Performanz

Möglichkeit, die Galerie mit mehreren Threads schneller aufzubauen. Das macht den größten Unterschied bei JPEG-Dateien mit hoher Auflösung, deren etwaige eingebettete Miniaturansichten entweder noch nicht in den Datei-Überblick aufgenommen wurden oder die generell nicht als Ersatz für die Hauptdatei in der Galerie zum Einsatz kommen, weil für solch hochaufgelösten JPEG-Bilder die Dekompression am rechenintensivsten ist.
Accelerated volume snapshot finalization for large snapshots with many directories in "Path unknown".
Ability to refine volume snapshots on storage devices with sector wise access using multiple threads just like on images and in directories.
Fähigkeit, große .e01-Evidence-Files nach dem ersten Mal schneller zu öffnen, indem einige interne Image-Metadaten zur Navigation in einer separaten Datei gespeichert werden. Das kann einen großen Unterschied machen, wenn das Image auf einem Datenträger mit langsamem Zugriff gespeichert ist, insbes. auf einem Netzlaufwerk. Diese Funktion wurde bei Optionen | Sicherheit untergebracht, da dort auch alle anderen .e01-Options zu finden sind. Wenn die Option voll gewählt ist, wird die separate Datei im selben Verzeichnis wie das Image selbst gespeichert, so daß auch andere Fälle / andere Benutzer sofort in den Genuß des schnelleren Öffnens kommen, wenn die separate Datei bereits zuvor erzeugt wurde. Wenn nur halb gewählt, wird die separate Datei im internen Metadaten-Verzeichnis des Asservats im aktuellen Fall gespeichert und ist folglich nur in dem Fall wirksam.

Einige unserer Benutzer schützen nicht nur die Originaldatenträger von Beschuldigten vor versehentlicher Datenänderung, -löschung und -beschädigung durch einen Schreib-Blocker, sondern auch ihre eigenen Datenträger, wenn diese Sicherungen (Images) enthalten, und maximieren dadurch auch den Umsatz der Hersteller von Hardware-Write-Blockern. Diesen Benutzern muß aus offensichtlichen Gründen empfohlen werden, die o. g. Option nur halb zu wählen. Und sie seien hiermit daran erinnert, daß Schreib-Blocker das korrekte vorgesehene Funktionieren von Betriebssystem und Anwendungsprogrammen torpedieren, weil sie fälschlicherweise Schreiberfolge signalisieren, wenn tatsächlich gar keine Daten geschrieben wurden, was das Betriebssystem und Anwendungsprogramme davon abhält zu erkennen, daß die Daten, die sie schreiben wollten, nicht geschrieben werden konnten. Schreib-Blocker sind nur für besondere Situationen gedacht, nicht für den Normalbetrieb von Computern. Die empfohlene Methode, um seine eigenen Daten zu schützen, wie u. a. Datensicherungen im Fall eines IT-Forensikers, wäre ein offizieller Schreibschutz, von dem das Betriebssystem weiß oder den es selbst durchsetzt, und nicht heimliches Blockieren. (Und Backups sind natürlich auch gut.)

Datenträger-Verwaltung

Die Liste von logischen Volumes in Extras | Datenträger öffnen kann nun optional Volumes einschließen, die zwar in Windows aktiv sind, aber keinen Laufwerksbuchstaben haben. Bitte beachten Sie, daß immer wenn Sie Volumes öffnen, ob nun mit oder ohne Laufwerksbuchstaben, kein Partitionsschlupfspeicher darin enthalten ist. Partitionsschlupf ist nur enthalten, wenn Sie erst den physischen Datenträger öffnen und dann die Partition, die das Volume enthält.
Active volumes that are not ordinary volumes are displayed with a special icon and a special description, e.g. "TrueCryptVolumeX". Useful so that on a live system that you wish to preview, examine or acquire you can quickly see which volumes may need to be addressed separately (in additional to physical storage devices) because it would be difficult to reconstruct or unlock them later based on the data on the physical storage device.
If volumes without connected drive letter are listed, that also includes volumes that have been mounted within Windows as a junction point in another volume. Such volumes are listed with a special link icon, and the junction point is displayed between volume label and volume size.
The list of volumes that do not have drive letters may also include volumes that were previously active in Windows. Those are marked with a crossed out red circle icon. For example a previously mounted TrueCrypt volume that was dismounted might be shown in this fashion. Such volumes cannot be opened any more, they are just listed for informational purposes, which is useful when running X-Ways Forensics on a live system that needs to be examined.
Ein neuer Befehl im Specialist-Menü erlaubt es Ihnen, lokal angeschlossene physische Datenträger (auch Wechselmedien außer optische Discs) innerhalb von Windows mit einem Schreibschutz versehen. Das betrifft auch all Volumes, die auf diesen Datenträgern gespeichert sind. Der Effekt gilt im gesamten Betriebssystem, in allen Anwendungen, auch auf Sektorebene in WinHex selbst, egal welcher Editiermodus aktiv ist. Dies kann nützlich sein, um Originaldatenträger zu schützen, die es zu sichern oder zu untersuchen gilt (allerdings erst nachdem Windows sie bemerkt und auf sie zugegriffen hat), und auch Ihre eigenen Datenträgern, die zu untersuchende Images enthalten. Dies kann ein Schutz sein vor versehentlicher Änderung, Löschung oder Datenbeschädigung (z. B. sich neu einschleichende Dateisystemfehler). Die Wirkung bleibt so lange bestehen, bis Sie den Schreibschutz wieder entfernen oder Ihren Computer neu starten. Um Windows davon abzuhalten, neu angeschlossene physische Datenträger "anzufassen", bevor Sie sie mit einem Schreibschutz versehen (d. h. um sie anfangs im Windows-Modus "offline" zu betreiben), müßten Sie das automatische Mounten in Windows ausschalten (und überprüfen, daß das auch wirklich funktioniert). Wenn Sie den Schreibschutz für einen Offline-Datenträger einschalten, wird gleichzeitig der Offline-Status auf Online geändert. Vorsicht, versuchen Sie nicht, die Datenträger in den Schreibschutzmodus zu versetzen, die Ihr Windows-System zum Funktionieren braucht.
Dieser Befehl erlaubt es auch, gezielt nur bestimmte Volumes in den schreibgeschützten Zustand zu versetzen, wenn sie mit einem Laufwerksbuchstaben verknüpft sind, also nicht notwendigerweise den gesamten physischen Datenträger. Bitte beachten Sie noch, daß der Schreibschutz eines Volumes nicht selektiv aufgehoben werden kann, wenn der zugrundeliegende physische Datenträger schreibgeschützt ist.
Wenn ein phyischer Datenträger im Windows Disk Management als „offline“ oder „read only“ geführt wird, dann wird diese Informationen nun in allen Dialogfenstern zur Auswahl eines Datenträgers angezeigt. Datenträger mit Status „offline“ können zum Lesen/Sichern/Analysieren normal geöffnet werden.
Verbesserte Unterstützung von Linux MD RAIDs mit Container-Partitionen auf GPT-partitionierten Datenträgern.

Dateisystem-Unterstützung

Referrer-URLs in alternativen Datenströmen namens Zone.Identifier von Windows 10 werden nun in der Metadatenspalte angezeigt, wenn Sie solche ADS nicht in den Datei-Überblick als Unterobjekte aufnehmen lassen.
Unterstützung für 1 KB große FILE-Records in NTFS-Dateisystemen mit 4 KB Sektogröße.
Verwirft/ignoriert mehr ungültige/defekte FAT-Verzeichniseinträge als frühere Versionen.
Gelegentliches Fehlen der Anzeige von Einträgen in der Dateizuordnungstabelle von exFAT in der Informationsspalte korrigiert.
Symlinks in unixartigen Dateisystemen haben jetzt ein Datei-Icon mit einem kleinen Pfeil zur leichteren Identifizierung.
Reparse-Points/Junction-Points in NTFS haben jetzt ein Verzeichnis-Icon mit einem kleinen Pfeil, das sie im Verzeichnis-Browser als Verzeichnisse spezieller Art kenntlich macht. Solche Verzeichnisse werden jetzt auch in neu erzeugten Datei-Überblicken nicht mehr als "bereits eingesehen" behandelt.

Diverses

Unterstützung für Dateinamenserweiterungen mit 5 Ziffern in segmentierten Roh-Images.
Stabiler beim Umgang mit defekten .e01-Evidence-Files.
Die Weitergabe von internen Datei-Metadaten in Datei-Containern hängt nun von einem dreistufigen Kontrollkästchen ab. Wenn halb gewählt, werden nur extrahierte Absender und Empfänger von E-Mails weitergeben, aber nicht die allgemeinen, von der Metadaten-Spalte her bekannten Metadaten.
Der Befehlszeilenparameter „RVS“ sorgt nun automatisch für die Aufnahme eines Bildschirmfotos von den aktiven Einstellungen im Dialogfenster zur Datei-Überblicks-Erweiterung in das Fallprotokoll. Das Bildschirmfoto kann textueller oder graphischer Natur sein, je nach Ihren Einstellungen für das Fallprotokoll.
Wenn „Seitenumbruch nach x Tabellenzeilen“ bei der Erzeugung des Fallberichts gewählt ist, wird nun auch nach jeder Berichtstabelle ein Zeilenumbruch eingefügt.
Die Größe eines Asservats, das ein Verzeichnis ist, ist nun die gesamte kumulierte Größe aller enthaltener Dateien, nicht mehr die Gesamtkapazität des Volumes, in dem sich das Verzeichnis befindet. Diese Größe wird nun auch in der Informationsspalte als genutzter Speicher angezeigt. Jedoch sind freier Speicher und Gesamtkapazität weiterhin die Größen des enthaltenden Volumes.
Die Gewichtung, mit der der Gerätetyp in die Einschätzung der generischen Relevanz einfließt, kann nun in der Datei Generator Signatures.txt definiert werden. Der Gewichtungsfaktor ist am Ende der ***-Zeile zu finden. Er kann zwischen 0 und 50 liegen.
Die Anzahl der Kategorien pro Gerätetyp hat sich erhöht, und es gibt eine neue Kategorie „Unknown“.
Möglichkeit, den verwendeten Rechner planmäßig nach einer bestimmten Anzahl von Minuten herunterzufahren oder (sofern unterstützt) in den Ruhezustand zu versetzen, unter Optionen | Sicherheit. Das funktioniert nur dann garantiert, wenn den Rechner nichts davon abhält, heruntergefahren zu werden, z. B. andere Anwendungen mit noch nicht gespeicherten Daten o. ä. Wenn Sie die Option zum „brutalem“ Herunterfahren halb wählen, sollte das Herunterfahren des Rechners auch dann gelingen, wenn eine Anwendung hängengeblieben ist. Wenn ganz gewählt, dann sollte nicht länger als ein paar Sekunden auf Anwendungen gewartet werden, die den Anwender fragen, wie mit ungesicherter Arbeit verfahren werden soll. Wenn Sie die Instanz von WinHex/X-Ways Forensics, in der Sie das Herunterfahren avisiert haben, beenden, wird das Herunterfahren nicht eingeleitet. Es ist möglich, ein bereits geplantes Herunterfahren ohne Neustart des Programms abzubrechen.
Einige Stabilitätsverbesserungen.
Unzählige kleinere Verbesserungen.
Benutzerhandbuch und Programmhilfe für v19.6 aktualisiert.

Änderungen der Service-Releases von v19.5

SR-1: The internal creation date of XML/Zip-based Office documents was incorrectly assumed to be UTC-based during extraction. That was fixed.
SR-1: A few filters could not be activated any more in v19.5 by clicking the respective funnel symbols in the column headers, only from within the dialog window with the directory browser options. That was fixed.
SR-1: Parses a GUID partition table if present even if the MBR has a valid partition table itself and does not point to the presence of GPT partitioning.
SR-2: Ability to use the RAID reconstruction feature to rebuild a JBOD that consists of just a single component. That could be useful to get a single partition of an MD RAID with RAID level 1 interpreted as a physical disk within X-Ways Forensics.
SR-2: Processing of SQLite databases with the identification as sqlite3 in the Type column.
SR-2: Fixed "Extents cannot be accessed" error that could occur on some highly fragmented HFS+ volumes.
SR-2: Fixed an error or crash that could occur when viewing nested files purely with the viewer component in v19.5.
SR-2: More stable when trying to decompress corrupt data that is presumed to be XPRESS-compressed.
SR-2: Fixed a possible read error in conjunction with image files in v19.5.
SR-3: Certain existing files in evidence file containers that originated from exFAT file systems were erroneously not included in the volume snapshot if "Include deleted files in snapshot at all" was not checked. That was fixed.
SR-3: Fixed a crash that could occur when adding e-mails with an extremely long list of recipients to an evidence file container.
SR-3: Prevented a possible exception error with certain Chome cache files.
SR-3: The work-around to view Windows 10 Prefetch files under Windows 7 did not work any more in v19.5. That was fixed.
SR-4: Improved stability when decompressing data that is expected to be WofCompressed, but is not really WofCompressed, and for certain unsupported WofCompressed data.
SR-4: Fixed an exception error that occurred when creating a case report if an evidence object had positions/bookmarks without description in the Position Manager.
SR-4: Fixed a possible exception error when uncovering embedded data from PE executable files.
SR-4: The alternative .eml preview now now correctly deals with bodies that contain concatenated HTML documents such as found in Skype conversation that were auto-saved in MS Exchange.
SR-4: Fixed an exception error that could occur at the beginning of the file-wise processing of volume snapshot refinement if started from the command line.
SR-4: Fixed inability to change the user interface language in X-Ways Investigator right in the user interface.
SR-5: Prevented exception errors that could occur with carved corrupt Canon Zoom Browser files (.info).
SR-5: Some previously existing directories of which traces were found in $LogFile were erroneously included in the volume snapshot as files. That could lead to consequential parent-child problems for files that were contained in those directories, if traces of these files were also found in $LogFile.
SR-5: Fixed an error that under certain circumstances prevented the removal of unwanted hash values from a specifically targeted hash set in the hash database.
SR-5: Fixed an exception error that could occur when generating the alternative preview of .eml files.
SR-5: Fixed incomplete GPS latitude output.
SR-5: Fixed an exception error that occurred in v19.5 when recovering files by type from within uninterpreted raw image files.
SR-5: Prevented reproduction of trailing backslashes in evidence object names as top level directory names in evidence file containers.
SR-5: Fixed an exception error that could occur in the 64-bit edition when activating the Type filter with a user-defined type list.
SR-6: More strict checking of $USNJrnl:$J data before extraction to prevent instabilities with potential data corruption.
SR-6: Automatic removal of interspersed padding data between a thumbnail and a low-resolution alternative of a photo in JPEG files created by various digital camera models, which was previously included in (prepended to) the low-resolution alternative and prevented immediate viewing.
SR-6: Fixed an exception error that could occur when parsing incomplete sets of thumbcaches of Windows 7.
SR-6: Prevented a possible crash that could occur with certain corrupt or irregular ID3 metadata in MP3 files.
SR-6: Implemented a more precise handling of Google Chrome's SyncData which results in a more detailed extraction of artifacts.
SR-6: Extraction of embedded JPEG attachments from certain original .eml files with an unusual encoding style.
SR-6: Better protection against corrupt .evt files.
SR-6: Stored search hits were not automatically loaded when an evidence object was opened by the "Last session" project.
SR-6: Fixed an error that in v19.3 and later could lead to sector read problems.
SR-6: Prevented unnecessary output of "Cannot write..." error messages for certain SQLite databases in certain situations when actually no error had occurred.
SR-7: Under certain circumstances, a logical simultaneous searches in v19.5 were aborted prematurely if the "1 hit per file" option was selected, and the user was informed of that. That was fixed.
SR-7: Reading uninitialized areas of files is now forced for shadow copy host files when volume shadow copies are parsed, no matter which settings for reading unintialized areas is active.
SR-7: If the surrogate pattern for unreadable sectors is completely removed, that will now result in an all zeroes again as documented and as known from v19.1 and earlier, without line breaks.
SR-7: When viewing password-protected documents with the viewer component for which the password list did not contain the correct password, after manually entering the correct password, a wrong password was remembered in the metadata column. That was fixed.
SR-7: Duplicate identification based on timestamp columns did not work correctly before. That was fixed.
SR-7: Fixed an exception error that could occur when uncovering embedded bitmap ressources from corrupt PE executable files.
SR-8: Fixed inability of SR-6 and SR-7 to extract attachments from lose .eml files and e-mails in MBOX archives.
SR-8: Fixed potentially incomplete processing of some rare SQLite database files.
SR-8: Fixed a potential instability when extracting e-mails from MBOX e-mail archives.
SR-8: Fixed display error with extremely high DPI settings.

Freundliche Grüße

Stefan Fleischmann

--
X-Ways Software Technology AG
Carl-Diem-Str. 32
32257 Bünde

> Archiv des Jahres 2017 <

> Archiv des Jahres 2016 <

> Archiv des Jahres 2015 <

> Archiv des Jahres 2014 <

> Archiv des Jahres 2013 <

> Archiv des Jahres 2012 <

> Archiv des Jahres 2011 <

> Archiv des Jahres 2010 <

> Archiv des Jahres 2009 <

> Archiv des Jahres 2008 <

> Archiv des Jahres 2007 <

> Archiv des Jahres 2006 <

> Archiv des Jahres 2005 <

> Archiv des Jahres 2004 <

> Archiv des Jahres 2003 <

> Archiv des Jahres 2002 <

> Archiv des Jahres 2001 <

> Archive of the year 2000 <


Preise einsehen, Angebote einholen, bestellen (Neulizenzen)
Upgrades und Verlängerungen bestehender Lizenzen
Produkte
	X-Ways Forensics
	Integrierte Forensik-Software
	X-Ways Investigator
	Ermittler-Version von X-Ways Forensics
	X-Tensions
	Zusätzliche Module
	Excire Forensics
	Foto-Analyse mit KI
	WinHex
	Lizenztypen
	Upgrade
	Forensische Features
	Alle Features
	X-Ways Imager
	Disk-Imaging
Dienstleistungen
	Schulungsangebot
	Zertifizierung
	Benutzerforum

	Kontakt
	Die X-Ways AG
	Datenschutzerklärung
	Stellenangebote