X-Ways Forensics: Update 14.5

iconX-Ways Software hat Version 14.5 des beliebten Forensikwerkzeugs X-Ways Forensics veröffentlicht. Anbei die Liste des Herstellers mit den Verbesserungen bzw. den neuen Features :

  • Das Lesen von Multi-Session-CDs und -DVDs geht nun merklich schneller vonstatten, weil WinHex und X-Ways Forensics unbeschriebene Sektoren nun überspringen. Der Unterschied wird z. B. beim Sichern, Hashen und Suchen auf solchen Datenträgern deutlich.
  • Im technischen Detailbericht werden jetzt weitere Informationen über optische Datenträger ausgegeben.
  • Es ist jetzt möglich, RAID-Systeme zusammenzusetzen, dieaus bis 16 statt zuvor 10 Komponenten bestehen.
  • Ein weiteres RAID-5-Muster wird nun unterstützt: Forward Dynamic Parity, auch bekannt als Right Synchronous, einer der vier in Software-RAIDs unter Linux verwandten Algorithmen. Die anderen drei Linux-Algorithmen werden bereits von X-Ways Forensics unterstützt.
  • Möglichkeit, eine vom Standard abweichende Parity-Start-Komponente anzugeben. Z. B. verwenden RAID-Kontroller vom Typ Intel SRCU42L eine andere Platte als Nr. 1 als Anfang für das Parity in ihrem Forward-Parity-Muster.
  • Wenn physische Superfloppy-Datenträger (unpartitioniert, aus einem einzigen Volume bestehend) als .e01-Evidence-Files gesichert werden, werden diese Dateien nun als Images von logischen Volumes statt physischen Datenträgern gekennzeichnet. Dies vermeidet die unnötige Einbindung als zwei Asservate, wenn ein solches Evidence-File einem Fall hinzugefügt wird.
  • Im Fallbericht können Zellen von Berichtstabellen nun optional Ränder und einen inneren Abstand vom Rand (Padding) haben. Die in Berichtstabellen und im Protokoll verwendete Schriftgröße ist nun benutzerkonfigurierbar. Sie können Platz/Papier sparen, indem Sie Schriftgröße verringern (z. B. 10 Punkte statt Standard 12 Punkte).
  • Wenn Sie Berichtstabellen in den Bericht aufnehmen, werden die Kommentarfelder nun nicht mehr abgeschnitten.
  • .eml-Dateien in Berichtstabellen werden nun intern vom Fallbericht aus mit einer .txt-Endung verlinkt, so daß man sie direkt im Internet Explorer einsehen kann. (seit v14.4 SR-2)
  • Es ist jetzt möglich, physische Asservate aus einem Fall zu entfernen, ohne etwaige untergeordnete Asservate (Partitionen) zuvor zu entfernen.
  • Ein „Speichern-unter“-Befehl ist jetzt auch für Fälle verfügbar. Das erlaubt das Speichern des aktuellen Falls unter einem anderen internen Namen und/oder in einem anderen Verzeichnis. Dabei wird das gesamte Fallunterverzeichnis auch mit kopiert. Dieser Befehl kann auch dann aufgerufen werden, wenn ein Fall vom Benutzer als schreibgeschützt geöffnet wurde, sofern dies freiwillig geschah und nicht wegen eines Paßwortschutzes.
  • Beim Arbeiten mit einem schreibgeschützt geöffneten Fall wird der Benutzer nun an den Schreibschutz erinnert, wann immer das Autosave-Intervall abläuft oder ein Asservat geschlossen wird, in dessen Datei-Überblick Änderungen vorgenommen wurden. Dies ist nützlich, wenn man sich unbeabsichtigt im Schreibschutz-Modus befindet, nachdem man etwa einen nicht sauber geschlossenen Fall schreibgeschützt geöffnet hat, ohne die Konsequenzen zu verstehen.
  • Ein Container kann nun optional den Namen seines Erstellers speichern. Die interne Bezeichnung eines Containers kann nun 63 statt zuvor 31 Zeichen lang sein. Ein Container merkt sich nun intern sein Erstellungsdatum und das Datum seiner letzten Änderung.
  • Benutzerdefinierte Metadaten in OLE2-Dateien, wie sie z. B. beim Export von Dokumenten aus OpenOffice im MS-Office-Format erzeugt werden, können nun im Detail-Modus eingesehen werden. Es werden neuerdings außerdem weitere OLE2-Metadaten und insbes. weitere Metadaten aus MS-Word-Dokumenten extrahiert.
  • Die in Kommentare übernehmbaren Metadaten werden nun maßgeschneideter ausgewählt. Auch Metadaten aus .mdi-Dateien (MS Office Document Imaging) und .wri (Windows Write) können nun extrahiert werden. Metadaten weiterer Dateiformate werden in v14.6 unterstützt werden.
  • Möglichkeit, den Verzeichnis-Browser und die Datei-Vorschau zu nutzen, während das Erweitern des Datei-Überblicks noch andauert, um vorläufige Ergebnisse einzusehen (z. B. zu überprüfen, ob die für die Datei-Header-Signatursuche getroffenen Einstellung des gewünschten Effekt haben).
  • Das Auflisten der zu einer besonders großen Datei gehörigen Cluster kann nun immens beschleunigt werden, indem man die Cluster in der Mitte einer Reihe von zusammenhängenden Cluster nicht mit auflisten läßt. Jede Auslassung wird durch eine besondere Zeile in eckigen Klammern mit der Anzahl der ausgelassenen Cluster angezeigt. Daß die Nummer des letzten Clusters in einem Fragment aufgelistet wird, macht es weiterhin einfach, zum Ende des Fragments zu navigieren. Diese neue Option kann im Kontextmenü einer Cluster-Liste gefunden werden und tritt beim nächsten Aufruf einer Cluster-Liste in Kraft.
  • Die untere Wortlängengrenze beim Indexieren wurde von 3 auf 2 reduziert, um das Suchen nach 2 chinesischen Zeichen zu ermöglichen (z. B. Namen).
  • Es wurde ein Fehler behoben, der eine vollständige Index-Optimierung verhinderte, wenn dieser Vorgang zuvor abgebrochen worden war.
  • Beim Erzeugen eines Containers fährt X-Ways Forensics nun auch bei der „direkten“ Füllmethode im Fall eines Lesefehlers
    mit der nächsten Datei fort und berichtet lediglich, welche Dateien nicht kopiert werden konnten. (seit v14.4 SR-1)
  • Beim Extrahieren von Thumbails aus thumbs.db-Dateien ist X-Ways Forensics nun robuster (seit v14.4 SR-2).
  • Eine Instabilität im Zusammenhang mit besonders langen Pfad wurde aus der Welt geschafft. (seit v14.4 SR-2)
  • Die Zeitstempel für Zugriff und letzte Änderung waren beim Einsehen von Windows Link-Dateien (.lnk) vertauscht. Dies wurde behoben (seit v14.4 SR-2).
  • Ein Datei-Caching-Problem unter Windows Vista beim Arbeiten mit großen Image-Dateien wird jetzt vermieden. (seit v14.4 SR-2)
  • Wenn nur Hautfarbenanteile berechnet wurden und sonst seit dem Öffnen des Asservats nichts im Datei-Überblick geändert wurde, hat X-Ways Forensics die Hautfarbenanteile beim Schließen des Asservats nicht gespeichert. Dies wurde behoben. (seit v14.4 SR-2)
  • Ein Längenfehler bei der Suchtreffervorschau für DBCS-Codepages wurde behoben. (seit v14.4 SR-3)
  • Nach Auskunft von Oracle, wird die Version 8.2 der Viewer-Komponente in den nächsten Tagen veröffentlicht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.