X-Ways Forensics und X-Ways Investigator

X-Ways Software Technology aus Köln hat Version 13.8 der Computer-Forensik-Software X-Ways Forensics veröffentlicht. Um die Arbeit mit dem Werkzeug auch technisch weniger erfahrenen Ermittlern zu erleichtern, wurde die Ermittlerversion mit abgespecktem GUI in das eigenständige Produkt X-Ways Investigator ausgegliedert.  Wie bereits von früheren Updates gewohnt, ist die Liste der Neuerung wieder mal beeindruckend recht lang. Im Einzelnen meldet der Hersteller dies:

* Die Ermittlerversion von X-Ways Forensics ist jetzt ein eigenständiges Produkt, X-Ways Investigator, mit eigener Produktseite: http://www.x-ways.net/investigator/. Die Benutzeroberfläche der Ermittlerversion läßt sich jetzt bis zu einem gewissen Grad anpassen: Mittels einer optionalen Datei „investigator.ini“ können zusätzliche administrative Sicherheitsvorkehrungen und zusätzliche Benutzungsvereinfachungen individuell aktiviert werden.

* Die Fähigkeit, .e01 Evidence-Files zu interpretieren, wurde X-Ways Investigator hinzugefügt. Dies bedeutet, Ermittler können Datei-Container erhalten, die in .e01 Evidence-Files umgewandelt wurden (optional komprimiert oder verschlüsselt). Außerdem wurde X-Ways Investigator die Möglichkeit hinzugefügt, Datei-Container zu erzeugen. Das bedeutet, Ermittler können jetzt selbst Container erzeugen und so relevante Dateien in andere Container kopieren, für den eigenen Bedarf oder zur Weitergabe an Kollegen. Die Fähigkeit, Such-Indexe zu erstellen, wurde entfernt.

* Die logische parallele Suche wurde aus dem Verzeichnis-Browser-Kontextmenü entfernt und in Suche | Parallele Suche integriert. Von dort kann man nun sowohl die physische als auch die logische Suche ausführen. Die logische Suche wurde intern umgebaut: Sie durchsucht nicht mehr die ausgewählten
Dateien, sondern entweder alle oder markierte Dateien, und sie verarbeitet die Dateien jetzt immer in der Reihenfolge, in der sie im Datei-Überblick vorkommen (d. h. aufsteigend nach interner ID).

* Die physische parallele Suche ist für die Durchsuchung ganzer Datenträger nun unnötig geworden, da die logische Suche für das freie Speicher/Schlupfspeicher-Paradoxon nun eine Lösung hat, indem alle Übergänge von Schlupf in freien Speicher gezielt zusätzlich abgesucht werden. (Das Paradoxon ist, daß – obwohl der gesamte freie Speicher und auch der gesamte Schlupfspeicher durchsucht werden – gewisse Standardwerkzeuge für Computerforensik nicht alle Vorkommnisse der Suchbegriffe in diesen Bereichen finden.)

* Irrelevante, versteckte oder herausgefilterte Dateien können in der logischen Suche nun ausgelassen werden. Falls Schlupfspeicher mit durchsucht wird, ist die Suche für solche Dateien darauf begrenzt. Dies spart Zeit und reduziert die Anzahl irrelevanter Treffer.

* Auch die Indexierung kann auf den Schlupfspeicher irrelevanter, versteckter oder gefilterter Dateien beschränkt werden.

* Es ist jetzt möglich, bis zu einem gewissen Grad weiterhin  Dateien zu begutachten und im Verzeichnis-Browser zu arbeiten, während die logische Suche läuft, da der Verzeichnis-Browser dabei nicht mehr blockiert ist.

* Wenn PDF-/OpenOffice-/WPD-/HTML-/…-Dateien für die logische Suche dekodiert werden, liegt der extrahierte Text jetzt in 16-Bit Unicode vor statt ASCII. Das bedeutet, daß Unicode aktiviert sein muß, wenn mit dieser Option gesucht wird (die Software stellt das automatisch sicher).

* Der Datei-Überblick kann jetzt erweitert und ein Index erzeugt werden für ausgewählte Asservate auf einmal, und es ist jetzt auch möglich, die Indexierung direkt im Anschluß an die Erweiterung des Datei-Überblicks automatisch zu beginnen. Sofern letztere Option gewählt wurde, wird zuerst der Datei-Überblick der ausgewählten Asservate erweitert, dann automatisch der Index für diese Asservate erstellt und zuletzt werden die Indexe optimiert (was wie bisher optional ist und jederzeit abgebrochen, ggf. später fortgesetzt werden kann).

* Der Datei-Überblick kann jetzt auch für physische, partitionierte Datenträger erweitert werden. Dies ist nützlich, um bequem Dateien in unpartionierten Bereichen aufzulisten, die mit einer Header-Signatur-Suche gefunden werden können. Dateien im partitionierten Bereich können nur mit einer Signatur-Suche in der betreffenden Partition gefunden werden, wie bisher. Dies vermeidet Duplikate.

* Physische Datenträger besitzen jetzt einen Datei-Modus, einen Vorschau-Modus und einen Galerie-Modus. Nützlich für Dateien, die mit einer Header-Signatur-Suche gefunden wurden.

* Die Fähigkeit, mehrere ausgewählte Dokumente in einem Rutsch ohne weitere Mausklicks zu drucken, mittels des überarbeiteten Kontextmenü-Befehls „Drucken mit Deckblatt“. Das Deckblatt enthält Datum und Uhrzeit des Druckauftrags und vom Benutzer wählbare Meta-Informationen, z. B. Dateiname, Pfad, Name des Asservats, Dateigröße, Beschreibung, Zeitstempel, Kommentare… Das Deckblatt wird von X-Ways Forensics selbst gedruckt, die folgenden Seiten mit dem eigentlichen Dokument werden von der Viewer-Komponente gedruckt. Um Dokumente mit der Viewer-Komponente ohne Deckblatt zu drucken, wie bisher, benutzen Sie den Drucken-Befehl im Hauptmenü oder das Drucker-Icon in der Werkzeugleiste, während die Anzeige im Vorschau-Modus ist oder das Dokument in einem eigenen Fenster angezeigt wird. Bekannter Fehler: Die Viewer-Komponente zeigt nicht immer den Namen des korrekten Druckers während des Druckvorgangs an, obwohl der Druckauftrag tatsächlich an den gewählten Drucker gesendet wird.

* Selbstextrahierende .exe-Archive, wie sie von WinZip (getestet mit v9.0 and v11.0), WinRAR (GUI- und Konsolen- .exe-Dateien, Zip- und RAR-Kompression, getestet mit v3.0, v3.3, v3.62 und v3.7 Beta), 7-Zip (getestet mit v4.42) und WinACE (getestet mit SFX-Factory v2.64) erzeugt werden, werden jetzt als solche von der Datei-Signaturen-Prüfung erkannt. Sie werden klassifiziert als Dateityp „sfx“ und der Kategorie „Archives“ hinzugefügt, damit sie gezielt betrachtet werden können. Dies verhindert, daß komprimierte Dateien in solchen Archiven in einer Untersuchung völlig unbeachtet bleiben. .exe-Archive mit Zip-Kompression können im Vorschau-Modus betrachtet werden, andere selbstextrahierende Archive müssen aus dem Image herauskopiert und mit einem entsprechenden Tool wie WinRAR oder 7-Zip geöffnet
werden.

* Das Lesen aus komprimierten Evidence-Files ist jetzt erheblich schneller.

* Die CRC32-Berechnung ist jetzt etwas schneller.

* Wenn Hardware-RAIDs zusammengesetzt werden, kann die Header-Größe einer Komponente neuerdings mehr als 65.535 Sektoren betragen.

* Es werden jetzt 48 statt bisher 32 Skript-Variablen gleichzeitig unterstützt.

* Extras | Disk-Tools | Plattenparameter eingeben akzeptiert für physische Datenträger jetzt leere Felder für die C/H/S-Werte. Wenn leer gelassen, berechnet X-Ways Forensics selbst geeignete Werte.

* Die Daten-Analyse-Funktion funktioniert jetzt mit mehr als 4 Milliarden Vorkommnissen eines einzelnen Byte-Wertes. Damit kann diese Funktion problemfrei auf viele GB an Daten angewandt werden, obwohl sie für deutlich kleinere Datenmengen gedacht ist. Die erhöhte Rechenzeit wurde kompensiert, indem die
Prüfsummenberechnung weggelassen wurde.

* In Optionen | Viewer-Programme wird jetzt eine Liste von Dateinamenserweiterungen geführt, die angibt, welche Dateien besser mit einem externen Programm eingesehen werden sollten, z. B. weil die Viewer-Komponente und die interne Bild-Anzeige und Galerie diese nicht unterstützen. Wenn eine solche Datei doppelt angeklickt bzw. eingesehen wird, wird automatisch das Programm gestartet, das auf dem Auswertesystem mit dieser Erweiterung verknüpft ist. In den Standard-Einstellungen betrifft dies die Dateien der Typen *.mdi;*.mdb;*.mpeg;*.mov;*.asf;*.avi;*.mp3. Die Liste ist vom Benutzer editierbar (siehe Optionen | Viewer-Programme). Insbesondere Dateien vom Typ MDI (Microsoft Document Imaging), einem Dateityp ähnlich TIFF, sollten normalerweise nicht übersehen werden, da dieses Format in MS Office dazu verwendet werden kann, gescannte Dokumente oder Druckausgaben zu speichern.

* Möglichkeit, den Computer automatisch nach einer erfolgreichen Datenträgersicherung herunterzufahren. (seit v13.7 SR-1)

* Die Stabilität und Geschwindigkeit der Bildbehandlung wurden weiter verbessert (mit v13.7 SR-2 und SR-5). Bitte beachten Sie, falls es Probleme bei der Behandlung oder Darstellung von Bildern gibt, könnte es helfen, auf die Bilddarstellungsfunktionen früherer Versionen zurückzuschalten, indem Sie Optionen | Viewer-Programme | [x] „Bildanzeige-Funktionalität von v13.6 verwenden“ ankreuzen. Wir bitten jedoch um Mitteilung, wenn Ihnen Bilder begegnen, die X-Ways Forensics Probleme bereiten.

* Ein Fehler im Skript-Befehl ExecuteScript wurde behoben. (seit v13.7 SR-2)

* Ein Ausnahmefehler wurde behoben, der bei der Betrachtung von Suchtrefferlisten eintreten konnte. (seit v13.7 SR-3)

* Zeichen in der Text-Spalte werden jetzt normalerweise auch dann in Zwei-Byte-Code-Pages wie z. B. Simplified Chinese (falls aktiv) korrekt angezeigt, wenn ein Block oder Lesezeichen in einer Zeile definiert ist. (seit v13.7 SR-3)

* Ein Ausnahmefehler wurde behoben, der während der besonders intensiven Dateisystem-Struktur-Suche für NTFS auftreten konnte. (seit v13.7 SR-4)

* Ein Stabilitätsproblem mit extrem langen Dateinamenserweiterungen (über 127 Zeichen) wurde in der Text-Dekodier-Option behoben. (seit v13.7 SR-8)

* Fehlermeldung „Internal search term list inconsistent“ verhindert. (seit v13.7 SR-8)

* Fehler in der Indexierungsfortschrittsanzeige behoben. (seit v13.8 SR-1)

* Diverse weitere kleinere Verbesserungen und Fehlerkorrekturen, u. a. betreffend den Befehl Wiederherstellen/Kopieren.