Es gibt wieder eine neue Version von X-Ways Forensics sowie der Viewer-Komponente XW-Viewer. Anbei die wieder umfangreiche List mit Verbesserungen und Fehlerkorrekturen:
* Möglichkeit, auf Datenträger, RAIDs und interpretierte
Image-Dateien mit mehr als 4,3 Milliarden (2^32) Sektoren
vollständig zuzugreifen. Erlaubt es, auf Datenträgern mit
einer Sektorgröße von 512 Bytes Daten von jenseits der 2-TB-
Grenze zu lesen.
* Unterstützung für NTFS-Dateisysteme, die aus mehr als
2^32 Sektoren bestehen (bis 2^32 Cluster). Andere Datei-
systeme auf solch großen Partitionen werden bis jetzt
nicht speziell unterstützt.
* Suchbegriffe können nun in der Suchbegriffsliste variabler
logisch kombiniert werden. Insbesondere ist das Verwenden
eines NOT-Operators nun bequemer. Um einen Suchbegriff zu
erzwingen, wählen Sie ihn aus und drücken die „+“-Taste.
Um einen Suchbegriff auzuschließen drücken Sie die „-„-
Taste. Um ein + oder – wieder zu entfernen, drücken die
Esc-Taste. Sie können für all dies auch das Kontextmenü
der Suchbegriffsliste verwenden.
A
B
= Suchtreffer für A und Suchtreffer für B in beliebigen Dateien (normale ODER-Kombination)
+A
B
= Suchtreffer für A und Suchtreffer für B in Dateien, die A enthalten
+A
+B
= Suchtreffer für A und Suchtreffer für B in Dateien, die sowohl A als auch B enthalten (UND)
+A
-B
= Suchtreffer für A in Dateien, die nicht B enthalten
* Eine logische Suche kann nun optional auf alle _ausge-
wählten_ Objekte angewandt werden, wie in X-Ways-Forensics-
Versionen bis 13.7, über das Kontextmenü des Verzeichnis-
Browsers. Derzeit nicht im Asservat-Überblick verfügbar.
* Möglichkeit, externe Dateien in den Datei-Überblick einzu-
binden und von X-Ways Forensics wie die ursprünglichen
Dateien im Datei-Überblick weiterverarbeiten zu lassen.
Nützlich, wenn Originaldateien z. B. übersetzt, konvertiert
oder entschlüsselt werden müssen und das Ergebnis wieder in
den ursprünglichen Datei-Überblick aufgenommen werden soll,
im Originalpfad, zur weiteren Untersuchung, zur Aufnahme in
den Bericht, zum Filtern, für Suchläufe usw. Sobald sie
eingebunden sind, werden solche externen Dateien vollständig
von X-Ways Forensics verwaltet und dazu im Metadaten-Verzeichnis
aufbewahrt und im Datei-Überblick als virtuelle Dateien
gekennzeichnet. Eine externe Datei sollte vom Benutzer
geeignet benannt werden, am besten basierend auf dem Namen
der Ursprungsdatei.
* Beim Befüllen eines Datei-Containers gibt es nun zwei
neue Optionen: Die erste erlaubt es Ihnen, Dateien nur
_teilweise_ in einen Container zu kopieren. Das ist möglich,
wenn die Datei im Datei-Modus geöffnet und ein Block ausge-
wählt ist. Nützlich z. B., wenn Sie einen relevanten Such-
treffer in der Mitte einer 2 GB großen Auslagerungsdatei
oder inmitten einer 100 GB großen virtuellen Datei „Freier
Speicher“ gefunden haben und Sie die Umgebung des Treffer
an jemanden über einen Container weitergeben und dabei
viele Gigabytes an irrelevanten Daten aussparen möchten.
* Die andere Option erlaubt es Ihnen, _nur_ die Datei-
system-Metadaten ausgewählter Dateien in einen Container
zu kopieren und die eigentlichen Dateiinhalte komplett
auszulassen, z. B. weil Sie die Inhalte nicht kopieren
dürfen und die Dateisystem-Metadaten und der Verzeichnis-
baum allein schon hilfreich sein könnten. Wenn Sie einen
so erzeugten Container untersuchen, sehen Sie die gesamte
ursprüngliche Verzeichnisstruktur, alle Dateinamen,
Zeitstempel, Dateigrößen, Attribute, Löschzustand usw.,
und können die diversen Filter verwenden.
* Möglichkeit, die Effekte von NTFS-Kompression bei der
Suche nach Datei-Header-Signaturen speziell zu berück-
sichtigen (nur mit forensischer Lizenz). Erlaubt es,
von NTFS komprimierte Dateien bestimmter Typen automa-
tisch sogar dann zu finden, wenn deren FILE-Records gar
nicht mehr verfügbar sind. Diese Dateien werden dann
auch automatisch dekomprimiert für Suchläufe, zum Hashen,
für den Vorschau-Modus, den Wiederherstellen/Kopieren-
Befehl usw. usf.
* Extrahiert Metadaten von JPEG, PNG, TIF, GIF, THM, ASF,
WMV, WMA, MOV, GZ und thumbs.db im Details-Modus zusätz-
lich zu vielen anderen bereits vorher unterstützten
Dateitypen. Zusätzliche Metadaten werden nun aus PPT-
Dateien extrahiert. Weitere allgemeine Verbesserungen für
OLE2-Verbunddateien (z. B. MS-Office-Dateien vor Version
2007).
* Wenn Sie eine Datei-Header-Signatur-Suche laufen lassen,
benennen WinHex und X-Ways Forensics JPEG-Bilder von
Digitalkameras nun nach der Modellbezeichnung und dem
internen Zeitstempel. (Specialist-Lizenz oder höher)
* Das interne Erzeugungsdatum, das in diversen Dateitypen
gespeichert ist, kann nun in einer separaten neuen Spalte
des Verzeichnis-Browsers angezeigt werden, sobald es mit
dem neuen Kontextmenübefehl „Interne Metadaten extrahieren“
ermittelt worden ist oder im Details-Modus angezeigt wurde.
Dank dieser neuen Spalte und dem Zeitstempel-Filter fällt
es nun sehr leicht, sich auf Dateien/Dokumente zu konzen-
trieren, die _ursprünglich_ zu einer bestimmten Zeit er-
stellt wurden (nicht bloß in einem bestimmten Dateisystem
erzeugt/kopiert wurden). Intern gespeicherte Zeitstempel
sind üblicherweile weniger flüchtig als Zeitstempel aus
der Dateisystemebene und weniger leicht nachträglich zu
manipulieren. Die unterstützten Dateitypen sind: OLE2-
Verbunddateien (z. B. MS Office vor Version 2007), PDF,
MDI, ASF, WMV, WMA, MOV, diverse JPEG-Varianten, THM, TIFF,
PNG, GZ, SHD Drucker-Spool, PF-Prefetch, LNK-Shortcut-
Dateien und alternative Datenströme vom Typ DocumentSummary.
* Aus den meisten PDF-Dokumenten können nun auch einige
Metadaten extrahiert werden. Für Zip-Archive werden im
Details-Modus Informationen angezeigt.
* Die Option, Metadata in das Kommentarfeld zu übernehmen
oder daran anzuhängen wurde in den oben erwähnten neuen
Kontextmenübefehl „Interne Metadaten extrahieren“ verschoben.
* Möglichkeit, MS-Office-Dokumente (Word, Excel und Power-
Point) mit Microsoft DRM (Digital Rights Management) oder
Oracle IRM zu erkennen. Solche Dateien werden in der Attri-
butspalte mit e! gekennzeichnet, genau wie dateiformat-
spezifisch verschlüsselte Dateien. Benötigt die neueste
Version 8.2 der Viewer-Komponente.
* Die Hash-Set-Spalte hat nun einen Filter, der es erlaubt,
sich bequemer auf Dateien zu konzentrieren, deren Hash-
Werte in ausgewählten Hash-Sets enthalten oder nicht
enthalten sind.
* Wenn Sie den Wiederherstellen/Kopieren-Befehl verwenden,
werden überlange Pfade nun gekürzt und für Windows akzep-
tabel gemacht, wenn das Kürzen der letzten Pfadkomponente
dies erreichen kann. Jede Datei mit einem Pfad, der nach
diesem Versuch noch länger als 259 Zeichen ist, wird wie
zuvor _nicht_ kopiert und statt dessen mit einer Berichts-
tabelle verknüpft (so daß man sie anschließend bequem
filtern und separat ohne Pfad herauskopieren kann), weil
es ohnehin nicht möglich wäre, mit einer solchen Datei in
Windows weiter zu operieren.
* Unterstützung für mehrere Sommerzeit-Varianten in der-
selben Zeitzone in unterschiedlichen Jahren. Vordefiniert
für USA, Kanada, (West-) Australien und Neuseeland ange-
sichts jüngster Änderungen in der Sommerzeit. Zusätzliche
Hinweise und Berichtigungen nehmen wir gerne entgegen.
* Im Registry-Viewer und im Registry-Bericht angezeigte UTC-
basierte Zeitstempel beachten nun die Option „Abstand von
UTC-Zeit anzeigen“, so daß es offensichtlich ist, ob und
wie sie in Ortszeit umgerechnet wurden. Es werden dieselben
Zeitzonen-Einstellungen verwendet wie auch sonst überall
im aktiven Fall.
* Beim Analysieren kleiner Datenmengen (<50000 Bytes) mit
Extras | Datenanalyse wird die Kompressionsrate, die zlib
für diese Daten erzielt, in der Titelzeile des Analyse-
fenster angezeigt.
* Attachments in Original-.eml-E-Mail-Dateien (nicht durch
X-Ways Forensics selbst erzeugte) können nun extrahiert
werden, wenn Sie *.eml der Reihe von Dateimasken für die
E-Mail-Extraktion hinzufügen.
* Der Sektorenmodus wird jetzt mit Disk, Partition, Volume,
oder Container bezeichnet, je nach Art des Datenträgers/
Images, der vom Datenfenster repräsentiert wird.
* Möglichkeit, Dateien anhand von Datei-Header-Signaturen
zu finden und sie mit Dateigrößen über 2 GB wiederherzu-
stellen oder auch bloß aufzulisten.
* Sowohl die Datei-Header-Signatursuche als auch „Dateien
retten nach Typ“ unterscheiden nun zwischen Standardgrößen,
die benutzt werden, wenn der interne Algorithmus einen
bestimmten Dateityp nicht unterstützt, und einer Maximal-
dateigröße, die Versuche des internen Algorithmus beschränkt,
das Ende von Dateien der besonders unterstützten Typen
zu finden.
* Möglichkeit, unvollständige Roh-Image und .e01 Evidence-
Files zu erzeugen, indem man als letzten zu kopierenden
Sektor einen Sektor angibt, der nicht der letzte auf der
Platte ist.
* Unterstützung für .e01 Evidence-Files, die aus mehr als
512 Segmenten bestehen.
* Deutlich verringerter Arbeitsspeicherbedarf für .e01
Evidence-Files, die aus besonders vielen Segmenten bestehen.
* Fälle merken sich nun für jedes Asservat einen optionalen
alternativen Pfad, in dem weitere Image-Datei-Segmente
gespeichert sind. Das heißt, Sie brauchen den zusätzlichen
Pfad nicht jedesmal erneut anzugeben, wenn Sie das Asservat
öffnen. Nützlich wenn Ihre Images zu groß sind, um auf
einen einzigen Laufwerksbuchstaben zu passen.
* Möglichkeit, inaktive Verzeichniseinträge auf FAT-Lauf-
werken sicher zu löschen, um Spuren vorher existierender
Dateien oder frühere Namen/Orte von Dateien aus dem Datei-
system zu entfernen: Extras | Disk-Tools | Verzeichnis-
einträge initialisieren. (noch im Test-Betrieb) Nützlich
besonders zusammen mit dem Befehl zum Initialisieren des
freien Speichers. Verfügbar nur in WinHex, nicht in X-Ways
Forensics.
* Das Auslesen der NTFS-Systemdatei $LogFile für den Vor-
schau-Modus sowie für das normale Einsehen geschieht nun
deutlich schneller.
* Die automatische Einfärbung von FILE-Records in der MFT
funktioniert nun optional auch auf beschädigten Partitionen,
die nicht mehr als NTFS-Volumes erkannt werden, sowie auf
physischen Datenträgern.
* Es ist jetzt möglich, Dateien bequemer zu kategorisieren
(d. h. mit Berichtstabellen zu verknüpfen), indem man dafür
Tastenkürzel verwendet. Probieren Sie Strg+1, Strg+2, …,
Strg+9 aus, um Berichtstabellenverknüpfungen für ausgewählte
Dateien anzulegen. Alternativ kann auf den meisten Computern
auch der Ziffernblock benutzt werden, wenn NumLock aktiv ist.
Sie können Ihren am häufigsten verwendeten Berichtstabellen
diese Tastaturkürzel selbst zuordnen, indem Sie die genann-
ten Tasten in dem Dialogfenster für Berichtstabellenver-
knüpfungen bei ausgewählten Berichtstabellen drücken. Die
zugeordneten Tasten werden im Fall gespeichert.
* Das in von X-Ways Forensics 14.5 und später erzeugten
Datei-Containern verfügbare interne Erzeugungs- und Ände-
rungsdatum kann nun nach dem Hinzufügen zum Fall in den
Asservateigenschaften eingesehen werden. Man kann dort auch
nachsehen, ob ein Container als sicher klassifiziert ist
(also mit der indirekten Methode befüllt worden ist) oder
nicht.
* Enthält ein Container eine interne Beschreibung und wird
einem Fall hinzugefügt, wird die Beschreibung nun nicht mehr
nur in den Asservateigenschaften, sondern auch in einem
separaten Meldungsfenster angezeigt. Das ist nützlich, weil
dieses Feld dem Ersteller des Containers erlaubt, dem
Empfänger Hinweise, Anweisungen oder sonstige Nachrichten
zukommen zu lassen.
* Sekundenangaben in Zeitstempeln können nun optional mit
bis zu 3 Stellen nach dem Komma im Verzeichnis-Browser
angezeigt werden, sofern diese Genauigkeit verfügbar ist
(z. B. in den Dateisystemen NTFS und Reiser4, teilweise in
FAT, teilweise in internen Erzeugungsdaten).
* Dateigrößen können nun optional immer in Bytes im Ver-
zeichnis-Browser angezeigt werden statt in KB, MB oder TB.
* Es ist jetzt möglich, ausgewählte Verzeichnis rekursiv
auch in einer bereits rekursiv erkundeten Liste zu markieren.
* Eintragsnummern im Verzeichnis-Browser werden nun von 1
an gezählt statt von 0.
* Eine zusätzliche Spalte zeigt die interne ID des Eltern-
verzeichnisses einer Datei oder eines Verzeichnisses an.
Nützlich wenn man z. B. eine Liste von Dateien und
Verzeichnissen exportiert, um Elternverzeichnisse eindeutig
zu identifizieren, wenn es mehrere Verzeichnisse gleichen
Namens im gleichen Pfad gibt (z. B. eins gelöscht, eins
existent).
* Fehler beim Erzeugen der Fallberichtsdatei behoben, der
auftrat, wenn keine existierende Datei überschrieben wurde.
(seit v14.5 SR-1)
* Dateien in Archiven wurden in Containern nur mit einem
Icon in der Galerie angezeigt, unabhängig von der ent-
sprechenden Einstellung in den Allgemeinen Optionen. Dies
wurde korrigiert. (seit v14.5 SR-1)
* Die Ausgabe von wirren Zeichen im Kommentarfeld im Fall-
bericht wurde korrigiert. (seit v14.5 SR-2)
* Erkennung von zirkulären Verweisen im Verzeichnisbaum
von Dateisystemen verbessert. (seit v14.5 SR-3)
* Viele kleinere Verbesserungen, einige kleinere Fehler-
korrekturen.
————————————————————-
Ein Update der Viewer-Komponent (v8.2) ist nun verfügbar
für Besitzer von Lizenzen für X-Ways Forensics mit aktueller
Update-Berechtigung. Beachten Sie bitte die unten genannten
noch bestehenden Bedenken gegenüber dieser Version. Das
Update ist verbunden mit den folgenden Änderungen laut Oracle:
* Concerning MS Office 2007, Word, Excel and PowerPoint,
there is now viewing support for more Office Art, including
line styles, fills, and shapes. Text Extraction of Smart Art
objects.
* Concerning Star Office / Open Office Calc 2.x / 8.0 and 6.0:
Extends support for viewing and transformation of Calc 2.x /
8.0 and 6.0 beyond text only. This filter now supports character
attributes (bold, underlined, color) and paragraph attributes
(alignment, tabs, spacing, borders, hidden, revisions). It
does not yet support embedded graphics.
* Concerning Star Office / Open Office Writer 2.x / 8.0 Embedded
graphics: Supports viewing and conversion of embedded graphics
in Writer 2.x / 8.0 except for draw objects in Star Office.
* Supports the viewing Yahoo! Instant Messenger 8.x files.
* Fully verified support to view the 2007 versions of Outlook
and Exchange related formats: MSG, PST.
Des weiteren gab es folgende Änderungen, auf die wir
aufmerksam machen möchten:
* Die Anzeige von Bildern ist nun deutlich schneller.
* Wenn man eine Datei druckt und der Pfad in der Kopfzeile
(Platzhalter „%P“) Umlaute oder wahrscheinlich andere Codepage-
abhängige Zeichen aus anderen Sprachen enthielt, wurden diese
nicht richtig dargestellt. Dies wurde behoben.
* Bestimmte defekte HTML-Dateien verursachten bisher Probleme.
Die Viewer-Komponent konnte den oberen Teil darstellen, fror
X-Ways Forensics dann aber ein. Entsprechende Probleme
konnten auch beim Decodieren von defekten HTML-Dateien für
die logische Suche und fürs Indexieren auftreten. Dies
wurde behoben.
* Die Viewer-Komponente konnte beim Betrachten von defekten
oder abgeschnittenen OpenOffice-Dokumenten einfrieren. Dies
wurde korrigiert.
* In bestimmten .msg-E-Mail-Dateien war der Nachrichtenrumpf
in der Viewer-Komponente nicht lesbar. Es gab einen anklickbaren
Link, der ein neues Fenster öffnete, in dem der Nachrichtentext
in Schwarz auf sehr dunklem blauen Hintergrund dargestellt wurde,
schwerlich erkennbar. Dieselben Dateien konnten in MS Outlook
normal eingesehen werden. Dies wurde behoben.
* Es war nicht möglich, mit dem Suchbefehl in der Viewer-
Komponente deutsche Umlaute oder andere Zeichen außerhalb
von 7-Bit-ASCII zu finden. Dies betraf reine Textdateien,
für deren Anzeige die Windows-Codepage ANSI 1252 ausgewählt
wurde, sowie bestimmte Dateitypen wie MS-Word-Dokument.
Dies wurde korrigiert.
* Bestimmte .eml-E-Mail-Dateien basierend auf bestimmten
Codepages (wie Japanisch ISO-2022-JP) konnten bisher nicht
richtig eingesehen werden. Dies wurde behoben.
* Eine weitere wichtige Änderung, wenn Sie X-Ways Forensics
und die Viewer-Komponente zur direkten Untersuchung eines
laufenden Systens verwenden möchten, ist, daß die Viewer-
Komponente ihre Konfiguration und Einstellungen nun im
Windows-Profil (\Application Data\.oit) des angemeldeten
Benutzers statt wie zuvor in der Windows-System-Registrierung
ablegt. Um das Schreiben von Dateien auf den Datenträgern
eines Live-Systems, das Sie untersuchen möchten, zu ver-
hindern, aktivieren Sie die Viewer-Komponente in X-Ways
Forensics nicht und stellen Sie sicher, daß sie nicht im
Unterverzeichnis \viewer von X-Ways Forensics vorhanden
ist (z. B. auf dem externen USB-Datenträger, von dem Sie
vorhaben, X-Ways Forensics zu starten), wo die Viewer-
Komponent von X-Ways Forensics automatisch gefunden und
aktiviert werden könnte.
* Diese Version benötigt msvcr80.dll aus dem Microsoft
Visual C++ 2005 SP1 Redistributable Package. Dieses Package
kann heruntergeladen werden von
http://www.microsoft.com/downloads/details.aspx?FamilyID=200b2fd9-ae1a-4a14-984d-389c36f85647&DisplayLang=en
(2,6 MB). Auf vielen Windows-Computern ist es bereit in-
stalliert unter C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_*.
Auf anderen Windows-Computern müssen Sie es installieren,
bevor Sie die Version 8.2 der Viewer-Komponente erfolgreich
laden können.
* Ansonsten extrahieren Sie einfach die Dateien, die zur
Viewer-Komponente gehören, in ein Verzeichnis Ihrer Wahl
und verweisen X-Ways Forensics auf dieses Verzeichnis unter
Optionen | Viewer-Programme.
WICHTIG: Einige wenige Dateien verschiedener Typen, die
in den Vorgängerversionen der Viewer-Komponente normal
eingesehen werden konnten, können nun in v8.2 nicht mehr
eingesehen werden und provozieren einen Ausnahmefehler vom
Typ 207 in X-Ways Forensics. Dies wird noch untersucht,
und wir werden Neuigkeiten dazu im Bereich Announcements
im Forum bekanntgeben, wenn sich etwas ergibt. Wegen dieses
Problems wird das Update einstweilen nur empfohlen, um von
der gestärkten Stabilität beim Decodieren von Text aus
defekten HTML- und OpenOffice-Dateien für logische Suchen
und das Indexieren zu profitieren. Ohne das Problem wäre
es äußerst empfehlenswert, das Update der Viewer-Komponente
zu installieren, wegen der diversen Korrekturen und
Verbesserungen.
2 thoughts on “X-Ways Forensics: Update 14.6”