X-Ways Forensics: Update 14.2

icon Heute erschien ein Update des beliebten Forensikwerkzeugs X-Ways Forensics in der Version 14.2. Folgende Änderungen sind in der Changelog enthalten:

  • Bessere Unterstützung von Systemen mit mehreren Monitoren. Einige Anzeigeprobleme wurden behoben, und Dialog- und Meldungsfenster werden nun immer zentriert im WinHex-Hauptfenster dargestellt, außer für den Fall daß sie dann zwischen zwei Bildschirmen aufgeteilt werden müßten (wenn das Hauptfenster zwei Bildschirme umfaßt). In diesem Fall werden sie auf dem Hauptbildschirm zentriert.
  • Es ist nun möglich die untere Hälfte des Datenfensters (im Sektoren-Modus, Datei-Modus, Vorschau, Galerie usw.) vom Datenfenster zu lösen, indem man die drei Punkte links vom
    Sektorenschalter anklickt. Dann kann diese Hälfte frei verschoben und in der Größe geändert werden. Bei Mehrmonitorsystemen ist es möglich, diesen Teil der Benutzeroberfläche auf einen anderen Bildschirm zu schieben und ihn dort sogar zu maximieren!
  • X-Ways Forensics informiert nun über den SMART-Status von [S]ATA-Festplatten (wenn verbunden über [S]ATA) als Teil des technischen Detail-Berichtes. Dies ist nützlich, um sowohl seine eigene Festplatte als auch die eines Beschuldigten zu überprüfen. Z. B. erfährt man, wie oft und wie lange eine Festplatte benutzt wurde und ob fehlerhafte Sektoren erkannt und durch Ersatzsektoren ersetzt wurden. Wenn eine Festplatte einem Beschuldigten zurückgegeben werden muß und dieser behauptet, Sie hätten die Platte beschädigt, weil sie nun fehlerhafte Sektoren habe, so können Sie anhand des Detail-Berichts belegen, in welchem Zustand die Platte ursprünglich war. Wenn Sie sehen können, daß fehlerhafte Sektoren bereits ausgetauscht wurden, bedeutet das auch, daß mit den entsprechenden technischen Mitteln zusätzliche Daten aus den ausgetauschten wiederhergestellt werden könnten.
  • Wenn eine Datenträgersicherung erstellt wird, wird der SMART-Status einmal zu Beginn (im Rahmen des technischen Detail-Berichts) und einmal am Ende des Vorgangs abgefragt. Daran
    kann man ablesen, ob sich der Zustand der Platte währenddessen ggf. weiter verschlechtert hat. Zum anderen läßt sich dann bestimmen, in welcher Maßeinheit die „Power on time“ angegeben
    ist, denn diese kann hersteller- und modellabhängig etwas anderes (kleineres) als Stunden sein.
  • Es wurde ein neuer Modus „Details“ eingeführt. Dieser zeigt für eine einzelne ausgewählte Datei alle Informationen aus allen Spalten des Verzeichnis-Browser, inklusive der gerade nicht sichtbaren Spalten. (nur für forensische Lizenz)Dies ist besonders nützlich, wenn z. B. der Pfad so lang ist, daß er nicht vollständig in einer Spalte zu sehen ist, oder sogar nicht einmal in der Tool-Tip-Anzeige. Zusätzlich erlaubt dies, einen selektierten Dateinamen oder Pfad oder sonstige Daten in die Zwischenablge von Windows zu übertragen (Kopieren-Befehl im Kontextmenü). In zukünftigen Versionen wird dieDetailanzeige noch für die Ausgabe zusätzlicher Informationen über eine Datei genutzt werden, etwa deren interne Metadaten.
  • Es wurde eine zusätzliche Verzeichnis-Browser-Spalte „Typ-Beschreibung“ eingeführt, die in der Regel den Namen der Anwendung, zu der die Dateiendung gehört, anzeigt oder sagt, wofür die Dateiendung eine Abkürzung ist, oder was auch immer als Hinweis in der Datei „File Type Categories.txt“ hinterlegt wurde. (nur forensische Lizenz) Falls dieselbe Dateiendung in der Definitionsdatei mehrfach vorkommt, werden alle ihre Beschreibungen angezeigt. Z. B. könnte .pm ein Perl-Modul, eine Pagemaker-Datei, eine Pegasus-Datei oder eine X11-
    Pixmap-Datei sein.
  • Das Format der Datei File Type Categories.txt hat sich geringfügig geändert, so daß Kategorie-Zeilen jetzt mit *** beginnen statt wie bisher mit :aufsteigende Zahl:. Diese entlastet den Benutzer von der Pflicht, für eindeutige Kategorienummern sorgen zu müssen, und führt dazu, daß die Kategoriegrenzen leichter zu erkennen sind. Dieselbe Dateinamenserweiterung kann dabei mehreren Dateityp-Kategorien zugeordnet werden. In einem solchen Fall zeigt die Kategoriespalte nur eine Kategorie. Der Kategoriefilter funktioniert aber dennoch.
  • Noch eine weitere Spalte, genannt „Pixel“, wurde eingeführt.
    (nur forensische Lizenz). In dieser Spalte wird die Größe von Bildern (=Breite mal Höhe) in gerundeter Darstellung angezeigt. Die Abmessungen werden beim Bestimmen des Hautfarbenanteils (HFA) oder beim Betrachten eines Bildes (Vollbild, Vorschau oder Galerie) nebenbei ermittelt. Dies ist nützlich, um z. B. zwischenkleinen Web-Site-Grafiken, die man sich beim Surfen im Internet im Browser-Cache einfängt, und hochqualitativen digitalen Photos unterscheiden zu können. Die Spalte ist auch mit einem Filter ausgestattet. Damit kann man sich gezielt Bilder in einem benutzerdefinierten Größenbereich anzeigen lassen.
  • Vorschaubilder können jetzt selbst dann erfolgreich aus thumbs.db-Dateien extrahiert werden, wenn sie darin fragmentiert gespeichert sind. Die ursprünglichen Dateinamen und Zeitstempel
    werden nun ebenfalls für diese Vorschaubilder extrahiert. Dies ist insbesondere bedeutsam angesichts der Tatsache, daß Vorschaubilder in der thumbs.db auch dann erhalten bleiben, wenn
    das dazugehörige Bild gelöscht wird. (nur forensische Lizenz)
  • Es ist bei Befüllen eines Datei-Containers nun möglich, Hash-Werte der kopierten Dateien zu berechnen und in dem Container abzuspeichern. Die Hash-Werte werden direkt während des Übertragungsvorgangs von den vom Quelldatenträger gelesenen Daten berechnet. Die Hash-Werte werden beim Interpretieren des Datei-Containers automatisch in den Datei-Überblick importiert.
  • Es ist nun möglich, die bereits in einem Datei-Überblick enthaltenen Hash-Werte mit der Funktion „Dateiüberblick erweitern“ zu verifizieren. Damit können Sie sich davon überzeugen, daß die Dateien sich seit dem Erfassen vom Originaldatenträger nicht verändert haben. Sollten doch Änderungen an Hash-Werten festgestellt werden, werden die betroffenen Dateien zum komfortablen Einsehen einer speziellen Berichtstabelle hinzugefügt
  • Es gibt nun die Möglichkeit, nicht relevante und nicht benötigte Dateien aus dem Datei-Überblick einfach zu entfernen. Dies bietet sich unter anderem an für bedeutungslosen „Müll“, der über die Signatursuche gefunden wurde. Diese Funktion macht den Datei-Überblick effizienter in der Handhabung und schont den Hauptspeicher (spielt bei Hunderttausenden solcher Dateien evtl.
    eine Rolle). Zunächst müssen die betreffenden Dateien unterdrückt werden. Danach können alle unterdrückten Dateien mittels eines neuen Schalters im Verzeichnis-Browser-Optionen-Dialog endgültig gelöscht werden. Dies geht jedoch nur bei einem Datei-Überblick, der mit v14.2 oder neuer erzeugt wurde. Diese Funktion kann auch genutzt werden, um X-Ways Forensics Dateien erneut per Signatursuche finden zu lassen, für die inzwischen eine neue Standardgröße festgelegt wurde.
  • Ein Datei-Überblick, der mit der Version 14.2 erzeugt oder bearbeitet wurde, kann nicht mehr von früheren Versionen korrekt verarbeitet werden. Es gibt jedoch Warnungen diesbezüglich in
    bestimmten Situationen.
  • Möglichkeit, mittels eines neuen Befehls im Kontextmenü des Verzeichnis-Browsers unterdrückte Dateien auszuwählen (sofern nicht herausgefiltert). Dies ist nützlich, wenn
    • man gezielt unterdrückte Dateien einsehen möchte (zuerst auswählen, dann markieren, dann markierte und nicht markierte Objekte gruppieren)
    • relevante Dateien bereits einer Berichtstabelle hinzugefügt wurden und X-Ways Forensics Duplikate anhand ihrer Hashwerte unter diesen Dateien unterdrücken soll, um den Bericht schlanker zu machen.
  • Im Galerie-Modus warden jetzt der Pfad und der Name eines gewählten Bildes in der Statusleiste angezeigt. Der Pfad enthält den Asservatennamen.
  • Es besteht nun die Möglichkeit, eine parallele Suche mit einer zweiten Codepage durchzuführen. (nur forensische Lizenz) Dies ist nützlich, wenn man nach Suchbegriffen sucht, die Nicht-7-Bit-
    ASCII-Zeichen enthalten. Sucht man z. B. zusätzlich zu der für Deutsch typischen Windows-Codepage 1252 (Lateinisch 1) auch in UTF-8, macht das die Decodierung des Textes z. B. in XML-Dateien (MS Office 2007 usw.) überflüssig. Diese Option einer zweiten Codepage ist nicht von Bedeutung, wenn ohnehin nur nach 7-Bit-ASCII-Text gesucht wird (also z. B. ohne deutsche Umlaute, ohne ß usw.), wenn also auch das Decodieren von XML-Dateien keinen weiteren Nutzen brächte.
  • Die Auswirkungen der Verwendung der GREP-Option im Dialogfenster für die parallele Suche sind nun klarer. Es entfallen u. a. die Codepage-Übersetzungsoptionen.
  • Bei der Anzeige von Suchtreffern in einer bestimmten Codepage mit ihrem Kontext wandelt X-Ways Forensics den Text nun in Unicode um, so daß die Darstellung von der Codepage unabhängig ist und auch dann korrekt ist, wenn die dem Suchtreffer zugrundeliegende
    Codepage gar nicht die aktive Codepage in dem Windows-System ist, auf dem X-Ways Forensics ausgeführt wird!
  • Beim Anzeigen der Suchtreffer im Vorschaumodus kann es passieren, daß der Suchtreffer nicht hervorgehoben warden kann, weil er in den Metadaten der Datei liegt. Diese können von der Viewer-Komponente nicht dargestellt werden. X-Ways Forensics bietet in einem solchen Fall neuerdings automatisch an, zum Datei-Modus zu wechseln.
  • Möglichkeit, Text aus diversen Codepages nach Unicode und umgekehrt zu konvertieren, mit denen Optionen unter Bearbeiten | Konvertieren.
  • Beim Arbeiten mit Roh-Images besteht jetzt die Möglichkeit, eine alternative Sektorgröße anzugeben. Dazu muß die Umschalt-Taste gedrückt gehalten werden. Danach muß – wie in früheren Versionen – eine Angabe zur Natur der Image-Datei gemacht werden
    (ob partitionierter physischer Datenträger oder Partition). Wird die Umschalt-Taste dann weiterhin gedrückt, kann die Sektorgröße angegeben werden. In älteren Versionen wurden bereits implizite Sektorgrößenangaben dem FAT- oder NTFS-Bootsektor entnommen, und bei .e01 Evidence-Dateien ist die Sektorgröße in den Metadaten der Datei spezifiziert.
  • Es besteht nun die Möglichkeit, die internen IDs der verarbeiteten Dateien sowohl beim Erweitern des Datei-Überblicks als auch beim Indexieren zu protokollieren. Die entsprechenden Dateien
    heißen RVS.log und Indexing.log und werden im Metadatenverzeichnis des Asservats erzeugt. Sollte eine defekte Datei in X-Ways Forensics zu einem Absturz führen in der Art, daß das Hauptfenster weiß bleibt oder ganz geschlossen wird, kann die Protokolldatei die verursachende Datei offenbaren, so daß diese beim nächsten Versuch ausgelassen werden kann.
  • Bislang konnten beschädigte OpenOffice2-Writer-Dokumente (.odt) den dateiformatspezifischen Verschlüsselungstest im Ausnahmefall komplett einfrieren. In solchen Fällen wird jetzt nach Ablauf eines Timeouts abgebrochen.
  • Das Redewendung „Wasch mich, aber mach mich nicht naß“ trifft oft zu, wenn Benutzer von X-Ways Forenscis Archive wie Verzeichnisse behandeln lassen und sich dann wundern, daß sie diese Archive dann nicht wie andere Dateien aus einem Asservat herauskopieren können oder daß diese Archive nicht in der rekursiven Auflistung erscheinen (Option „Rekursiv auch Verz. mit ausgeben“ deaktiviert). Für das letztgenannte „Problem“ gibt es jetzt eine Lösung: Archive, die wie Verzeichnisse behandelt werden, werden jetzt nicht mehr abhängig von dieser Option von der rekursiven Auflistung ausgeschlossen. Außerdem werden sie nicht mehr zusammen mit den Verzeichnissen gruppiert, und Filter werden selbst bei aktivierter Option „Archivdateien wie Verzeichnisse behandeln“ auch auf Archive angewandt.Eine mögliche „Lösung“ für das Kopierproblem: Man kann die Behandlung als Verzeichnisse in Specialist | „Datei-Überblick erweitern“ nachträglich wieder deaktivieren, oder man kann ein zu kopierendes Archiv öffnen (Öffnen-Befehl im Verzeichnis-Brower-Kontextmenü) und dann mit Datei | Speichern unter speichern. Beachten Sie bitte, daß es nie zwingend erforderlich war, Archive wie Verzeichnisse behandeln zu lassen. Sind die Dateien in Archiven einmal dem Datei-Überblick hinzugefügt worden, sind sie in jeder rekursiven Auflistung enthalten (es sei denn, ein Filter verhindert
    dies), unabhängig davon, ob Archive wie Verzeichnisse behandelt werden oder nicht.
  • Es ist jetzt möglich, die Datenanalyse-Funktionalität auf die gewählte Datei im Dateimodus anzuwenden.
  • Beim Befüllen eines Containers mit Asservatnamen als oberste Verzeichnisebene unter Beibehaltung des Pfads konnten bisher Objekte aus dem virtuellen Verzeichnis „Pfad unbekannt“ im „Pfad unbekannt“-Verzeichnis eines falschen Asservats landen. Dies passiert bei neu erstellten Datei-Überblicken und bei importierten Datei-Überblicken aus v14.1 oder früher nicht mehr.
  • Ein Fehler beim Decodieren von Text aus bestimmten Dateien für die logische Suche wurde behoben.
  • Unter bestimmten Bedingungen (wohl bei Systemen mit dem Internet Exlorer 7.0) wurden beim Herauskopieren von Dateien Internet-Explorer-Fenster geöffnet. Dies wurde behoben mit v14.1
    SR-2.
  • Unter bestimmten Bedingungen wurden Dateien, deren Typ in „Datei-Überblick erweitern“ neu erkannt wurde, in der ursprünglichen 14.1-Version nicht im selben Schritt dementsprechend
    weiterverarbeitet. Dies wurde behoben mit v14.1 SR-2.
  • Ein Fehler in der WHX_Open-Funktionalität der WinHex API wurde behoben. (seit v14.1 SR-3)
  • Ein Problem, das unter bestimmten Umständen beim Exportieren von Index-Suchtreffern als HTML mit Kontextvorschau auftrat, ist behoben worden. (seit v14.1 SR-3)
  • Die Option „+19“ in investigator.ini hält Benutzer von X-Ways Investigator nun auch davon ab, das Verzeichnis für Fälle und für temporäre Dateien zu verändern. (seit v14.1 SR-1)
  • Das Feature von X-Ways Investigator, Datei-Container zu erzeugen, ist nun getestet und funktioniert. (seit v14.1 SR-3)
  • Bestimmte Suchoptionen funktionierten in v14.2 nicht vor v14.2 SR-1.
  • Diverse kleinere Verbesserungen und Fehlerkorrekturen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.