Das Upodate auf X-Ways Forensics 14.8 wartet wieder mit vielen neuen Dignen auf. Ein Schwerpunkt liegt u.a. bei der Analyse von Videodateien.
* Es ist jetzt möglich, JPEG-Bilder aus Video-Dateien zu extra-
hieren, in benutzerdefinierten Zeitabständen (z. B. alle 20
Sekunden). Dies ist außerordentlich hilfreich, wenn Sie viele
Videos systematisch auf illegalen oder sonstwie relevanten Inhalt
prüfen müssen. Das Betrachten extrahierter Bilder in der Galerie
ist viel schneller und weniger anstrengend als ein Video nach
dem anderen ganz anschauen zu müssen, da die Datenmenge sich
beträchtlich reduziert und die Extraktionsprozeß unbeaufsichtigt,
etwa über Nacht, laufen kann. Selbst wenn der Inhalt sich mitten
im Video ändert (z. B. Kinderpornographie versteckt in einem
Familien- oder Urlaubsvideo), kann der Betrachter dies erkennen
sofern der gewählte Zeitabstand nicht zu groß ist.
Auch nützlich, wenn Sie Standbilder in einen gedruckten oder auf
dem Bildschirm zu präsentierenden Bericht einbinden möchten. Die
extrahierten Bilder eines jeden Videos werden entweder als Unter-
objekte der Video-Datei selbst gesammelt oder in einem virtuellen
Verzeichnis, das nach der Videodatei benannt ist, als virtuelle
Dateien, immer unterhalb desselben Pfades wie die ursprüngliche
Videodatei. Daher ist es ein Leichtes, von relevanten Standbilder
auf das Video zurückzuschließen, insbesondere da die Standbilder
nach dem jeweiligen Zeitindex benannt werden. Das erste extra-
hierte Bild eines Videos dient gleichzeitig als Vorschaubild der
Videodatei im Vorschau- und Galeriemodus. ASF/WMV-Videos, die
mit digitalem Rechte-Management (DRM) geschützt sind, können
nicht verarbeitet werden und werden konsequenterweise in der
Attributsspalte mit e! gekennzeichnet.
Erfordert ein externes Programm, entweder die Nicht-GUI-Version
von MPlayer (http://www.mplayerhq.hu/design7/dload.html) und
das zugehöriger separat herunterladbaren Codec-Package (ins
Unterverzeichnis „codecs“ von MPlayer extrahieren), oder
Forensic Framer (http://www.kuiper.de/). Das Programm muß in
Optionen | Viewer-Programme ausgewählt werden. Bilder können
von diesen Video-Formaten und Codecs extrahiert werden:
http://www.mplayerhq.hu/DOCS/HTML/en/video-formats.html
http://www.mplayerhq.hu/DOCS/codecs-status.html
* Das Dialogfenster Optionen | Viewer-Programme erlaubt es nun,
ein zusätzliches externes Programm speziell zum Betrachten von
Videodateien festzulegen (nur mit forensischer Lizenz). Wenn
definiert, sendet ein Doppelklick Videodateien direkt an dieses
externe Programm. Wenn MPlayer von X-Ways Forensics erkannt
wird (oder Forensic Framer, der MPlayer enthält), wird der
MPlayer voreingestellt.
* Wenn Bilder aus Videodateien oder Dokumenten oder thumbs.db-
Dateien extrahiert werden, oder wenn E-Mails und Dateianhänge aus
E-Mail-Archiven extrahiert werden, erzeugt X-Ways Forensics nun
standardmäßig kein virtuelles Verzeichnis mehr, dessen Namen
sich an den Originaldateinamen anlehnt und das die extrahierten
Dateien aufnimmt. Statt dessen sind die extrahierten Dateien nun
einfach über einen Doppelklick auf die Originaldatei zugänglich.
Sie werden außerdem immer noch beim rekursiven Erkunden aufge-
listet. Das Icon der Elterndatei wird mit „…“ gekennzeichnet,
um anzuzeigen, daß die Inhalte der Datei extrahiert wurden und
„hinter“ der Datei noch etwas zu finden ist. Der Hauptvorteil
ist, daß es nun schneller gelingt, die jeweilige Elterndatei zu
identifizieren. Wenn Sie z. B. eine extrahierte Datei markieren,
wird die Elterndatei automatisch halb markiert, was es beispiels-
weise vereinfacht, solche Dateien später alle auf einmal einer
Berichtstabelle hinzuzufügen. Und wenn Sie zurück vom extrahierten
Inhalt durch Klick auf das „..“-Objekt aufwärts zur Elterndatei
navigieren, wird die Elterndatei selbst statt des virtuellen
Verzeichnisses automatisch ausgewählt. Außerdem ist der Pfad
des extrahierten Inhalts authentischer, weil kein Suffix wie
“ Mail“ oder “ Pics“ mehr künstlich in den Pfad eingefügt wird.
Beachten Sie noch Folgendes, wenn Sie viel mit Containern arbei-
ten: Wenn Sie Dateien, deren Elternobjekte andere Dateien (und
keine Verzeichnisse) sind, in Container kopieren, werden ältere
Version von X-Ways Forensics und X-Ways Investigator das Eltern-
Kind-Verhältnis nicht verstehen und die Unterobjekte daher in
„Pfad unbekannt“ anzeigen. Aus Kompatibilitätsgründen ist es
daher optional möglich, X-Ways Forensics wie bisher virtuelle
Verzeichnisse statt Dateien mit Unterobjekten verwenden zu lassen
(Optionen | Verzeichnis-Browser).
Aus Gründen der Konsistenz und Einfachheit wurde die optionale
besondere Behandlung von Archiven wie Verzeichnisse entfernt.
Statt dessen werden Archive nun genau wie andere Dateien mit
Unterobjekten gehandhabt.
* Möglichkeit, $EFS Logged Utility Streams (LUS) und Windows
Task Scheduler .job-Dateien zu betrachten (Vorschau und Einsehen,
nur mit forensischer Lizenz).
* Möglichkeit, $I*-Papierkorb-Dateien von Vista zu betrachten
(seit v14.7 SR-1, nur mit forensischer Lizenz).
* Die Option, $EFS Logged Utility Streams herauszufiltern, ist
aus den Verzeichnis-Browser-Optionen entfernt worden. Statt
dessen gibt es nun eine Option, die verhindert, daß NTFS-LUS
überhaupt in neu erstellte Datei-Überblicke aufgenommen werden,
oder zumindest solche LUS, die keine $EFS-LUS sind. Nützlich
für NTFS-Partitionen, die von Windows Vista erzeugt wurden, wenn
Sie sich nicht für die zahlreichen LUS interessieren.
* Die binären Inhalte von INFO2-Dateien des Papierkorbs, .lnk
Shortcut-Dateien, $EFS-LUS und .job-Dateien werden nun nicht mehr
direkt als Teil des Fallberichts ausgegeben, sondern es wird
eine textuelle Repräsentation ihres Inhalts wie vom Vorschau-
Modus bekannt verwendet.
* Attributfilter für NTFS $EFS-LUS, andere LUS, NTFS-Offline-
Dateien, Dateien mit Object-ID, Unix/Linux-Symlinks und andere
Spezialdateien aus der Unix/Linux-Welt. (nur mit forensischer
Lizenz)
* Ein weiterer neuer Attributfilter ermöglicht es Ihnen nun,
sich nur solche Dateien auflisten zu lassen, für die bloß
Dateisystem-Metadaten verfügbar und deren Inhalte gänzlich
unbekannt sind (weder der Inhalt noch der ursprüngliche Speicher-
ort des Inhalts). Solche Dateien werden üblicherweise bei der
intensiven Dateisystem-Datenstruktur-Suche auf NTFS-Partitionen
Teil des Datei-Überblicks. (nur mit forensischer Lizenz)
* Es gibt weitere neue Attributefilter für Bilder, die aus
Videos extrahiert wurden, und für virtuelle Dateien, die manuell
vom Benutzer an den Datei-Überblick angehängt wurden. (nur mit
forensischer Lizenz)
* Metadaten-Extraktion aus MP3-Dateien. Hinweise auf etwaige
über ID3 eingebettete Dateien, die nicht als vom Typ JPEG oder
PNG gekennzeichnet sind (da diese automatisch extrahiert werden
können), erhalten Sie in Form einer Berichtstabellenverknüpfung
der MP3-Datei. (nur mit forensischer Lizenz)
* Die Dateitypprüfung kann nun zwischen .wma/.wmv Audio/Video-
Dateien unterscheiden. Es werden nun auch deutlich mehr Meta-
daten extrahiert aus .asf, .wmv, und .wma-Dateien. Aus MS-Excel-
Dokumenten (vor Version 2007) wird nun der Name des Benutzers
extrahiert, der die Datei zuletzt geöffnet hatte.
* Intelligente Dateigrößenerkennung für .rar-Archive bei der
Datei-Header-Signatursuche und bei Dateien retten nach Typ, was
es ermöglicht, Dateien in solchen Archiven, wenn intakt, nicht
nur aufzulisten, sondern auch zu extrahieren.
* Datei-Header-Signatursuche und Dateitypprüfung mit Signaturen
verbessert für HTML, XML, XSD und DTD.
* File Type Signatures.txt, File Type Categories.txt und allgemein
das Auffinden von Dateien über Signaturen weiter ausgebaut und
verbessert.
* Unterstützung für Anker in der GREP-Syntax: \b repräsentiert
eine Wortgrenze, ^ steht für den Anfang einer Datei, $ für das
Ende einer Datei.
* Die Optionen zum Herausfiltern von existierenden, ehemals
existierenden und versteckten Objekten wurden ersetzt durch
Optionen, die positiv statt negativ definiert sind und daher
konsistent sind mit anderen Filtern: Existierende Dateien anzei-
gen, ehem. exist. Dateien anzeigen, markierte Objekte anzeigen,
nicht markierte Objekte anzeigen, unterdrückte Objekte anzeigen,
nicht unterdrückte anzeigen. Diese Änderung macht es auch sehr
einfach, sich nur solche Dateien auflisten zu lassen, die
markiert oder versteckt sind. (nur mit forensischer Lizenz)
Die Option, markierte und nicht markierte Objekte zu gruppieren,
wurde im Gegenzug entfernt, da sie wegen der neuen Filtermög-
lichkeit nicht mehr erforderlich war, um die Komplexität zu
reduzieren. (nur mit forensischer Lizenz)
* Die Option zum Herausfiltern von ehemals existierenden Dateien
ist nun in X-Ways Investigator verfügbar, wenn nicht durch die
neue Option „+28“ in der Datei investigator.ini verhindert.
Nützlich, wenn Sie sich auf die Analyse existierender Dateien
beschränken möchten oder müssen.
* Eine weitere zusätzliche Option in investigator.ini verhindert,
daß Benutzer Berichtstabellen löschen können.
* Ein Pfadfilter wurde eingeführt. Dieser erlaubt es Ihnen,
gezielt solche Dateien aufzulisten, deren Pfad ein bestimmtes
Teilwort enthält, wie z. B. „pic“ oder „Temporary Int“. (nur
mit forensischer Lizenz)
* Dateien, die anhand von Hash-Werten als Duplikate erkannt
wurden, werden nun nicht mehr optional mit Kommentaren kennt-
lich gemacht, sondern mit einem Hinweis „Duplikate gefunden“
in der Attributsspalte, was effizienter zu speichern und filter-
bar ist. Die Information bleibt auch in Containern erhalten,
so daß der Empfänger sehen kann, daß er bei Bedarf noch
Duplikate der Datei bekommen kann, wenn sie nicht bereits im
Container enthalten sind. (nur mit forensischer Lizenz)
* Bereits im Datei-Überblick vorhandene Hash-Werte von Dateien
werden beim Erzeugen von Hash-Sets nun wiederverwendet und
nicht mehr neu berechnet.
* Beim Erweitern des Datei-Überblicks wurde das Prüfen der
Dateitypen anhand von Signaturen in früheren Versionen, wenn
vom Benutzer eingeschaltet, auch auf Dateien angewandt, die
schon vorher dieser Prüfung unterzogen wurden. Wenn Sie eine
erneute Prüfung erzwingen möchten, z. B. weil Sie die Datei-
Header-Signatur-Datenbank editiert haben, müssen Sie nun [x]
„Erneut“ ankreuzen. Sonst werden dieselben Dateien nicht nochmal
bearbeitet, da dies etwas Zeit spart. Das heißt, neuerdings
werden standardmäßig nur solche Dateien geprüft, bei denen das
zuvor noch nicht gemacht wurde.
* Sollte X-Ways Forensics beim Erweitern des Datei-Überblicks
oder bei der logischen Suche oder beim Indexieren abstürzen
oder hängenbleiben, wenn es eine Datei im Datei-Überblick ver-
arbeitet, werden Sie nach einem Neustart des Programms automa-
tisch und umgehend auf die verursachende Datei hingewiesen, so
daß Sie sich leicht unterdrücken und bei einem erneuten Durch-
lauf auslassen können. Diese Funktion hängt ab von einer neuen
Option in den Sicherheitsoptionen. Die aus der Version 14.7
für solche Zwecke verwandte VS.log-Datei wird nicht mehr erzeugt.
* WinHex kann nun den exakten Typ von optischen Medien im
technischen Detailbericht identifizieren (also CD-ROM, CD-R,
CD-RW, DVD-ROM, DVD-RW, DVD+RW, usw.).
* Etwas schnellerer Lesezugriff auf DVDs.
* Verbesserter Umgang mit CD-ROM XA. Die meisten Sektoren lassen
sich aber nach wie vor nicht lesen. Wie so oft gibt X-Ways
Forensics Ihnen im Gegensatz zu Konkurrenzprodukten aber bei
Problemen wenigstens Bescheid und zeigt in diesem Fall nicht
einfach kommentarlos wissentlich falsche Daten (Nullen) an.
Zumindest ist es nun möglich, Dateien von solchen CDs (z. B.
Video-CDs) über das Betriebssystem zu öffnen, siehe Sicherheits-
optionen. (seit v14.7 SR-1, weiter verbessert mit v14.8)
* Vordefinierter Zeichenvorrat zum Indexieren japanischer Texte.
* Möglichkeit, ausgewählten Text aus Fenstern der Viewer-
Komponente in die Zwischenablage im Unicode- und RTF-Format
zu kopieren. (nur mit forensischer Lizenz)
* Der Details-Modus sieht nun optisch ansprechender aus und
ist leichter verständlich aufgeteilt. Wird in künftigen
Versionen noch weiter verbessert.
* Option, alternative Datenströme beim Verwenden des Befehls
Wiederherstellen/Kopieren als solche beizubehalten, wenn das
Zieldateisystem NTFS ist. (nur mit forensischer Lizenz) Wenn
ausgeschaltet oder wenn in ein anderes Dateisystem zu kopieren,
werden ADS wie bisher in Form normaler Dateien ausgegeben.
* Wenn der Befehl Wiederherstellen/Kopieren zum Kopieren von
Dateien mit Originalpfad verwendet wird, wird der Name des
Asservats nun auch im Ausgabeort als Verzeichnis erstellt,
sofern „Asservatordner als Standardausgabe“ in den Falleigen-
schaften ausgeschaltet ist, also nicht nur beim Kopieren aus
einem rekursiv erkundeten Asservatüberblicksfenster. (nur mit
forensischer Lizenz)
* Optionen zum expliziten Ein- oder Ausschließen von Unter-
objekten von Verzeichnissen oder Dateien beim Verwenden des
Befehls Wiederherstellen/Kopieren sowie beim Befüllen von
Containern. Wie zuvor jedoch können Unterobjekte beim Kopieren
aus einer bereits rekursiven Ansicht nicht indirekt mit kopiert
werden. (nur mit forensischer Lizenz)
* Es ist jetzt möglich, Verzeichnisdaten (d. h. je nach Datei-
system Verzeichniseinträge, INDX-Puffer, …) in Datei-Container
zu übertragen. (nur mit forensischer Lizenz) Nützlich, wenn der
Benutzer des Containers sich für Zeitstempel oder andere Meta-
daten in solchen Datenstrukturen interessieren könnte. Falls
Sie sich entscheiden, Verzeichnisdaten in einen Container auf-
zunehmen, wenn Sie ihn erzeugen, hat das direkte Auswirkungen
nur auf Verzeichnisse, die selbst ausgewählt sind. Es hat einen
Effekt auf Elternobjekte von gewählten Objekten nur dann, wenn
Sie eine weitere Option jeweils beim Kopiervorgang einschalten.
Diese weitere Stufe ist erforderlich, weil die Verzeichnisdaten
sonst unbeabsichtigt Namen und sonstige Metadaten von Dateien
enthüllen könnten, die z. B. aus Datenschutzgründen bewußt nicht
in den Container aufgenommen wurden. Frühere Versionen von
X-Ways Forensics und X-Ways Investigator verstehen es, wenn
Daten von Verzeichnissen verfügbar sind. (nur mit forensischer
Lizenz)
* Option zum automatischen Komprimieren, Verschlüsseln und/oder
Segmentieren von Datei-Containern nach deren Erstellung, die
beim Schließen eines im Hintergrund geöffneten Containers
angeboten wird. (nur mit forensischer Lizenz, nicht in X-Ways
Investigator) Hilfreich z. B., um große Container auf CDs oder
DVDs zu übermitteln.
* Das Setup-Programm verwendet nun eine Fortschrittsanzeige,
wenn die Viewer-Komponent kopiert wird (falls sie im Unterver-
zeichnis \viewer vorgefunden wird). Das Setup-Programm kopiert
auch MPlayer automatisch (wenn im Unterverzeichnis \MPlayer
vorgefunden). Beachten Sie, daß wenn diese externen Komponenten
in den erwarteten Unterverzeichnissen vorgefunden werden, sie
auch automatisch in Optionen | Viewer-Programme aktiviert werden,
was komfortabel, aber im Fall der Untersuchung eines Live-
Systems auch weniger empfehlenswert sein kann.
* Wenn Sie in den Fallberichtsoptionen für Bilder eine maximale
Größe von 0×0 Pixel einstellen, werden die Bilder jetzt nur noch
verlinkt, genau wie andere Dateien, und nicht direkt im Bericht
angezeigt.
* Extras | Disk-Tools | „Verlorene Partitionen suchen“ erkennt
nun Ext2/Ext3/Ext4-Partitionen an ihrem ersten Superblock.
* Das Entfernen von Objekten aus riesigen Datei-Überblicken ist
nun gewöhnlich viel schneller. Allerdings können Sie nach dieser
Operation nicht mehr von den internen IDs auf die Reihenfolge
schließen, in der die Objekte in den Datei-Überblick aufgenommen
wurden, weil die verbleibenden internen IDs beim Entfernen von
Objekten durcheinandergewürfelt werden.
* Wenn in früheren Versionen unterdrückte Objekte ganz aus
einem Datei-Überblick entfernt wurden, für den vorher Hash-Werte
berechnet worden waren, hatte dies inkonsistente Hash-Werte für
einige der verbleibenden Objekte zur Folge. Auch Berichtstabellen-
Verknüpfungen, Kommentare und extrahierte Metadaten wurden nicht
richtig beibehalten. Dies wurde korrigiert.
* Immer wenn der Fall automatisch gespeichert wird, weil das
Autosave-Intervall abgelaufen ist, wird nun auch die Konfiguration
gespeichert (diverse Optionen und Einstellungen).
* Der Befehl zum Anhängen externer Dateien im Verzeichnis-Browser-
Kontextmenü ist nun auch in X-Ways Investigator verfügbar
(seit v14.7 SR-1)
* Der Befehl zum Anhängen externer Dateien kann nun auch benutzt
werden, um mehrere Dateien auf einmal anzuhängen. Das ist nütz-
lich, wenn Sie z. B. manuell mehrere Datensätze/E-Mails/Bilder/
Dateien aus einer Datei extrahiert haben. Wenn Sie die extern
gespeicherten Dateien anhängen, werden sie direkte Unterobjekte
(s. o.) der Originaldatei, oder ein virtuelles Verzeichnis,
benannt nach der Originaldatei, wird erstellt, und die Dateien
werden gesammelt in diesem Verzeichnis eingebunden. Wenn nur
eine einzige Datei angehängt wird (z. B. die konvertierte/
entschlüsselte/übersetzte Version eines Dokuments), wird kein
virtuelles Verzeichnis benötigt. (seit v14.7 SR-2, geändert in
v14.8)
* Möglichkeit, virtuelle Verzeichnisse umzubenennen, mit einem
neuen Befehl im Verzeichnis-Browser-Kontextmenü.
* Ein Ausnahmefehler wurden behoben, der unter bestimmtem Umständen
beim Wechsel in den Suchtreffermodus auftrat. (seit v14.7 SR-3)
* Seit v14.6 wurde jedes Hash-Set, das für den Hash-Set-Filter
ausgewählt war, auch für den Abgleich mit Hash-Sets verwendet,
selbst wenn es dafür vom Benutzer nicht ausgewählt wurde. Dies
wurde behoben in v14.7 SR-5.
* Seit v14.6 hat die Option „Datei-Anhänge in E-Mails auch ein-
betten“ die Attachments _nur_ in die .eml-Dateien eingebettet
und nicht extrahiert. Dies wurde behoben in v14.7 SR-5.
* Der Registry-Viewer erlaubt es nun, nach echten Unicode-Zeichen
in den Werten/Daten zu suchen. Ein Fehler wurde behoben, der das
Finden von Text in den Werten/Daten in früheren Versionen von
v14.7 verhinderte. Die Anzahl der maximal zugleich ladbaren Hives
wurde von 16 auf 32 erhöht. (seit v14.7 SR-6)
* Die Ausnahmeliste für den Indexierungsalgorithmus, wenn vom
Benutzer aktiviert, wurde seit v14.3 nicht mehr richtig verwendet.
Dies wurde behoben mit v14.7 SR-7.
* Ein Ausnahmefehler wurde mit v14.7 SR-7 behoben, der beim
Öffnen von besonders großen FAT16-Partitionen auftreten konnte.
* Ein Anzeigeaktualisierungsproblem in der Galerie bei Dateien
ohne bekannten Inhalt (für die nur Dateisystem-Metadaten verfügbar
waren) wurde mit v14.7 SR-8 behoben.
* Unter bestimmten Umständen fehlende Möglichkeit zum Öffnen von
dynamischen Volumes korrigiert.
* Viele weitere kleinere Verbesserungen, einige kleinere Fehler-
korrekturen.
* Die Viewer-Komponente wurde am 12. und 26. Februar aktualisiert.
Einige Ausnahmefehler und Instabilitäten wurden behoben, und zwei
Fehler korrigiert, die das Programm bei bestimmten defekten GZ-
Archiven und bestimmten SWF-Dateien zum Hängen brachte.