X-Ways Forensics: Update 14.9

iconMit der Veröffentlichung von X-Ways Forensics in der Version 14.9 wurde nun die Möglichkeit geschaffen, hibernation-Dateien (Ruhezustand) forensisch zu analysieren. Der Autor der dafür ebenfalls verwendbaren frei verfügbaren Bibliothek „Sandman“ Matthieu Suiche ist nun verwundert ob der zeitlichen Koinzidenz. Er hat seine unter GPLv3 stehenden Werkzeuge Ende Februar veröffentlicht. Ich kann mir aber beim besten Willen nicht vorstellen, dass ein professionell agierendes Unternehmen wie X-Ways hier nicht korrekt handelt. Bin über den weiteren Verlauf der Geschichte gespannt und sicher, dass sich alles aufklären lässt.  Anbei aber noch die Featureliste von Version 14.9:

* WinHex und X-Ways Forensics geben nun einen Hinweis darauf,
wenn eine Datei in einem NTFS-Dateisystem nur teilweise mit
Daten gefüllt wurde. Solche Dateien werden in der Attribut-
spalte mit der Anmerkung "partial init" (teilweise Initia-
lisierung) versehen und können darauf hin gefiltert werden.
Die Größe des tatsächlich initialisierten/definierten Bereichs
einer Datei wird in der Informationsspalte angezeigt, wenn
eine solche Datei geöffnet wird oder wenn Sie sie im Datei-
Modus ansehen, hinter dem Vermerk „Davon initialisiert:“.
Der nicht initialisierte Teil wird in einer anderen Farbe
angezeigt. Suchtreffer im nicht initialisierten Teil einer
Datei werden als „Schlupf usw.“ gekennzeichnet. Die Tatsache,
daß eine Datei auf dem Originaldatenträger nur teilweise
initialisiert war (aber nicht das Ausmaß) wird auch in
Containern gespeichert und erkennbar.

All dies soll fachkundige Computerforensik-Spezialisten davor
bewahren, falsche Schlüsse zu ziehen. Dieses Risiko besteht,
weil Daten, die in den allozierten Clustern einer Datei
gespeichert sind, alte Daten sein können, die auf dem Daten-
träger vorhanden waren, bevor die Cluster jener Datei zuge-
wiesen worden, wenn die Cluster nie tatsächlich mit neuen
Daten überschrieben worden sind. D. h. es kann sich um Daten
handeln, die mit der Datei nichts zu tun haben, obwohl sie
der logischen Dateigröße zufolge Teil der Datei sind.

Typischerweise sind u. a. folgende Dateitypen oft nicht
vollständig initialisiert:
– Windows Registry
– Windows Event Log (.evt and .evtx)
– CRMLOG
– Outlook PST
– Outlook Express DBX
– Windows MediaPlayer databases
– Windows Reliability Monitor
– SystemIndex Indexer CiFiles
– Microsoft Network Downloader
– Windows Font Cache
– Windows Vista thumbcache
– Windows rescache
– Microsoft IME User Dictionary
– Java .jsa
..außerdem Datenbank-Dateien, temporäre Dateien und generell
Dateien, die von Anwendungen erzeugt wurden, die sich gern
Speicherplatz vorab reservieren, aus Performanzgründen und/
oder um spätere Dateifragmentierung zu vermeiden.

* Beim Extrahieren von E-Mails und Datei-Anhängen werden
Datei-Anhänge nun Unterobjekte der jeweils zugehörigen E-
Mail. (nur mit forensischer Lizenz) Das vereinfacht es deut-
lich, die Dateianhänge zu einer bestimmten E-Mail zu finden
oder die E-Mail zu finden, die einen bestimmten Datei-Anhang
enthält. Wegen dieses Verhältnisses (übergeordnetes und
untergeordnetes Objekt) können Sie nun bequem die enthaltende
E-Mail beim Kopieren von Anhängen mit in einen Container
kopieren, oder beim Kopieren von E-Mails die zugehörigen
Anhängen mit kopieren. Das Markieren einer E-Mail markiert
auch ihre Datei-Anhänge. Das Markieren eines Datei-Anhangs
markiert auch die enthaltende E-Mail, zumindest halb. Die
alte Logik der E-Mail-Extraktion von v14.8 und älter, in der
Datei-Anhänge in einem separaten Verzeichnis namens "Attach"
gesammelt wurden, kommt noch immer zur Anwendung, wenn Sie
keine Dateien mit Unterobjekte erlauben (s. Optionen |
Verzeichnis-Browser). Beachten Sie, daß diese Option in
künftigen Versionen früher oder später entfallen wird. Sie
war in v14.8 nur aus Gründen der Kompatibilität mit älteren
Versionen eingeführt worden.

* Die Namen von angehängten und eingebetteten Dateien, die
zu E-Mails im selben Ordner im selben E-Mail-Archiv gehören,
werden nun normalerweise nicht mehr durch Einfügen einer
laufenden Nummer in eckigen Klammen vor der Dateiendung
künstlich eindeutig gemacht, so daß sie nun i. d. R. authen-
tisch/original sind.

* Die Wiedergabe des Rumpfes von E-Mails, die aus PST-Archiven
bei Vorhandensein von Outlook 2003 oder neuer extrahiert
werden, ist für asiatische Sprachen nun originalgetreuer.

* Der Befehl im Kontextmenü des Verzeichnis-Browsers, der in
früheren Versionen die enthaltende E-Mail zu einem gegebenen
Datei-Anhang gefunden hat, wurde umbenannt in „Übergeordnetes
Objekt aufsuchen“, in das Untermenü „Position“ verschoben und
kann nun auf beliebige Dateien angewandt werden. Seine
Funktion ist nun identisch mit der Rücklöschtaste (Backspace),
und er ist nun mit allen Lizenzarten verfügbar. Außerdem
verläßt er eine rekursive Ansicht nicht mehr zugunsten einer
nicht-rekursiven Ansicht, wenn das übergeordnete Objekt in
dieser rekursiven Ansicht bereits enthalten ist.

* Auch nach dem Erkunden eines Verzeichnisses durch Anklicken
im Verzeichnisbaum finden Sie nun einen „..“-Eintrag ganz oben
im Verzeichnis-Browser, den Sie doppelt anklicken können, um
aufwärts zum jeweiligen Elternverzeichnis zu navigieren, genau
wie mit der Rücklöschtasten.

* Paßwortgeschützte Outlook PST E-Mail-Archive werde nun mit
„e!“ in der Attributspalte gekennzeichnet, wenn entweder der
Verschlüsselungstest auf sie angewandt wird oder Sie versuchen,
E-Mails aus ihnen zu extrahieren.

* Die E-Mail-Extraktion prüft nun Dateien mit der Endung .pst
auf ihre Signatur und prüft ursprüngliche Dateien mit der
Endung .eml auf das Vorhandensein eingebetteter Dateien, bevor
mit der eigentlichen Extraktion begonnen wird. Dies reduziert
die Anzahl der Dateien, für die unnötigerweise „Keine E-Mails
gefunden in…“ ausgegeben wird.

* Dateien, die aus ursprünglichen .eml-Dateien extrahiert
werden, werden darüber hinaus nun direkt als Unterobjekte
ausgegeben, und die E-Mail selbst wird nicht mehr unnötiger-
weise ein weiteres Mal aufgelistet.

* Einige weitere kleine Verbesserungen/Fehlerbehebungen
für die Verarbeitung von E-Mail, betreffend E-Mails mit ungewöhnlichen
Zeilenumbruchformaten sowieso Pegasus Mail und PocoMail.

* Besser strukturierte und optisch ansprechendere Präsentation
der internen Datei-Metadaten im Details-Modus für verschiedene
Dateitypen. (nur mit forensischer Lizenz)

* Die Darstellung von .lnk Shortcut-Dateien im Vorschau-Modus
und im Einsehen-Befehl ist nun optisch ansprechender. (nur mit
forensischer Lizenz)

* Metadaten-Extraktion aus MS Office 2007 XML, OpenOffice XML,
StarOffice XML, .dmp Speicher-Dumps und Dateien vom Typ PNF
(Precompiled Setup Information). Metadaten-Extraktion aus
hiberfil.sys-Dateien, .wim Vista Image-Dateien und GZ-Archiven
im Details-Modus. (nur mit forensischer Lizenz)

* Möglichkeit, sowohl aktive als auch inaktive ganze Windows
XP 32-bit hiberfil.sys-Dateien zu dekomprimieren, nachdem man
sie aus dem Image herauskopiert hat, um ein Abbild des physi-
schen Arbeitsspeichers von einem früheren Zeitpunkt zu erhalten,
als der Computer in den Ruhezustand überging. Außerdem können
einzelne xpress-Blöcke aus dem „Schlupf“ von hiberfil.sys-
Dateien dekomprimiert werden, die von einem noch früheren
Zeitpunkt stammen. Diese Funktion finden Sie unter Bearbeiten
| Konvertieren. (nur mit forensischer Lizenz)

* Unterstützung für echte Unicode-Dateinamen bei der Untersu-
chung von Zip, RAR und 7zip-Archiven (nur mit forensischer
Lizenz). Beachten Sie, daß Sie zum korrekten Verarbeiten von
Dateien in Zip-Archiven mit echten Unicode-Dateinamen in den
Falleigenschaften erst die richtige Codepage angeben müssen.
Wenn das z. B. Zip-Archive sind, die unter Linux erstellt
wurden, ist das wahrscheinlich UTF-8. Für Zip-Archive, die
unter Windows in Asien erstellt wurden, ist das wahrschein-
liche eine regionale Codepage.

* Bessere Unterstützung für sehr große Archive über 2 GB.
Einige weitere kleinere Verbesserungen in bezug auf die
Verarbeitung von Archiven.

* Erzeugungs- und Zugriffszeitstempel von Dateien in Zip-
Archiven werden nun in den Datei-Überblick aufgenommen,
sofern verfügbar.

* Die Option, freien Laufwerksspeicher in ansonsten voll-
ständige sektorgenaue Images von Partitionen/Volumes _nicht_
mit aufzunehmen, ist nun auch in X-Ways Forensics verfügbar,
nicht nur in WinHex mit Specialist oder forensischer Lizenz.
Sie ist nun verfügbar, weil im Prinzip selektive Sicherungen
vollständigen Sicherungen je nach den rechtlichen Verhält-
nissen u. U. sowieso vorzuziehen sind oder sogar explizit
gefordert werden, und weil manche Staatsanwaltschaften
bestimmte Ermittlungen ohnehin auf existierende Dateien
beschränken möchten. Besondere Vorkehrungen helfen, das
unbeabsichtigte Einschalten dieser Option zu verhindern.

* Möglichkeit, nur solche ehemals existierenden Dateien
herauszufiltern, deren erster Cluster bekanntermaßen nicht
mehr verfügbar ist, mittels des neuen dritten Zustands des
Kontrollkästchens mit der Beschriftung „Ehem. exist. Objekte
anzeigen". (nur mit forensischer Lizenz)

* Möglichkeit, sich mit dem Attributfilter auf Dateien zu
konzentrieren, die Unterobjekte haben. (nur mit forensischer
Lizenz)

* Immer wenn einer oder mehrere Filter aktiv sind, die auch
tatsächlich Dateien in der aktuellen Anzeige des Verzeichnis-
Browsers herausfiltern, sind die beiden blauem Filtersymbole
in der Überschriftszeile des Verzeichnis-Browser nun anklickbar
und ermöglichen es, *alle* Filter mit einem einzigen Mausklick
auf einmal auszuschalten, um sicherzustellen, daß Sie keine
Datei versehentlich übersehen. Dies war ein oft vorgetragener
Wunsch der Benutzer. Die Filtersymbole bewirken auch ein voll-
ständiges Anzeigen der Suchtrefferliste, indem bei mehreren
ausgewählten Suchbegriffen die Einstellung „Min. x“ oder „Alle
x“ auf „Min. 1“ zurückgesetzt wird. Ebenso wird die Option
„Nur 1 Treffer pro Datei auflisten“ ggf. ausgeschaltet. (nur
mit forensischer Lizenz)

* Möglichkeit, .e01 Evidence-Files mit einer Segmentgröße von
über 2 GB zu schreiben und zu lesen. Tatsächlich ist es nun
überhaupt nicht mehr erforderlich, sie in Segmente zu zerlegen
(außer natürlich wenn das Zieldateisystem FAT32 ist oder Sie
das Image auf CDs oder DVDs brennen möchten). Um Kompatibilität
mit früheren Version von X-Ways Forensics zu erhalten, mit
EnCase-Versions vor v6 und mit anderen Produkten, lassen Sie
sie wie früher bei 2047 MB oder weniger splitten. (nur mit
forensischer Lizenz)

* Berichtstabellen, die von X-Ways Forensics selbst erzeugt
wurden (durch v14.9 Preview 3 und neuer) können in Dialog-
fenstern von benutzerdefinierten Berichtstabellen nun optisch
unterschieden werden.

* Die Größenbeschränkung, die festlegt, wann ein Bild als
irrelevant für die Hautfarbenerkennung eingestuft wird, ist
nun etwas strenger: Breite oder Höhe nicht mehr als 8 Pixel,
oder Breite und Höhe beide nicht mehr als 16 Pixel. (nur mit
forensischer Lizenz)

* Möglichkeit, virtuell angehängte Dateien in einem Datei-
Überblick über das Verzeichnis-Browser-Kontextmenü umzube-
nennen. (nur mit forensischer Lizenz)

* Indexierung: Unnötige Unterbrechung durch eine vom Programm
geforderte Bestätigung durch den Benutzer in bestimmte Situa-
tionen verhindert. (nur mit forensischer Lizenz)

* Bilder, die in anderen Dateien eingebettet sind, können nun
auch dann in den Datei-Überblick aufgenommen werden, wenn die
jeweilige Trägerdatei komprimiert ist. (nur mit forensischer
Lizenz)

* Aus Videos extrahierte Einzelbilder werden nun auch bei
Verwendung von MPlayer nach der jeweiligen Videodatei benannt
(voll Unicode-fähig), nicht nur nach dem Zeitindex. Bei
Verwendung von Forensic Framer werden etwaige echte Unicode-
Zeichen im Dateinamen nun beibehalten. (nur mit forensischer
Lizenz)

* Wenn Video-Dateien extern angeschaut werden, stellt X-Ways
Forensics nun sicher, daß die Namen der Temporärdateien nur
triviale Unicode-Zeichen enthalten (Latin 1), aus Gründen der
Kompatibilität mit Programmen wie MPlayer, die nicht mit
echten Unicode-Zeichen im Dateinamen umgehen können. (seit
v14.8 SR-4)

* Das automatische Benennen per Signatur gefundener JPEG-
Dateien nach Kameramodell und Aufnahmezeitpunkt, sofern
möglich, ist nun optional. (betrifft Specialist- und foren-
sische Lizenzen)

* Es ist nun möglich, nur halb markierte Dateien im Verzeichnis-
Browser auszugeben oder diese herauszufiltern (s. Verzeichnis-
Browser-Optionen, nur mit forensischer Lizenz).

* Option zum Export von Listen als Textdateien in Unicode.
(nur mit forensischer Lizenz)

* Ein Fehler wurde behoben, der unter bestimmten Umständen die
Signatursuche eine Datei erneut finden ließ, obwohl sie bereits
im Datei-Überblick enthalten war und eine Verdoppelung vermie-
den werden sollte.

* Nun fast vollständige interne Verwendung von Unicode für die
Benutzeroberfläche, so daß die chinesische und die japanische
Übersetzung auch dann korrekt angezeigt werden können, wenn die
in Windows aktive Codepage nicht 936 bzw. 932 ist. Verbesserte
Unicode-Unterstützung auch für Fallberichte im HTML-Format in
Chinesisch und Japanisch.

* Für bestimmte Dateitypen erkennt die Dateitypprüfung den
korrekten Dateityp nun, ohne den Typstatus grundsätzlich auf
„neu erkannt“ zu setzen, selbst wenn der Typ nicht mit der
Dateinamenserweiterung übereinstimmt. Dies geschieht für
Windows Registry-Dateien (weil es normal ist, wenn diese Dateien
überhaupt keine Endung haben) und für HTML/XML-Dateien (weil
es eine Vielzahl von Endungen geben kann, die alle normal
und plausibel sind). Dies hilft, die Anzahl der Dateien mit
dem Typstatus „neu erkannt“ niedrig zu halten, und erlaubt es,
sich besser auf solche Dateien konzentrieren können, die u. U.
tatsächlich falsch benannt wurden. (nur mit forensischer Lizenz)

* Findet gelöschte Partitionen nun auch dann automatisch,
wenn sie 64 Sektoren von zuvor gefundenen Partitionen entfernt
liegen (nicht nur 63 oder 2048 Sektoren wie zuvor).

* Seit der Einführung von 256-Bit-AES in WinHex/X-Ways Forensics
wurde der Verschlüsselungsalgorithmus PC1 aus Gründen der
Kompatibilität mit älteren Versionen noch weiter unterstützt.
Diese Unterstützung wurde nun eingestellt.

* Dateien vom Typ XML und HTML werden nicht mehr der Berichts-
tabelle „Ohne erkennbaren textuellen Inhalt“ hinzugefügt, wenn
die Viewer-Komponente für die logische Suche/die Indexierung
keinen Text mehr aus ihnen extrahieren kann. (nur mit foren-
sischer Lizenz)

* Ein Fehler wurde behoben, der verhinderte, daß Dateien,
deren Inhalte auf NTFS-Partitionen über 2 TB hinter der 2-TB-
Grenze lagen, richtig gelesen wurden.

* Der erste Schritt der besonders intensiven Dateisystem-
Datenstruktur-Suche auf NTFS-Partitionen funktioniert nun
auch hinter der 2-TB-Grenze. (seit v14.8 SR-5)

* Ein Fehler wurde behoben beim Zusammensetzen von RAIDs über
2 TB. (seit v14.8 SR-1)

* X-Ways Forensics und X-Ways Investigator geben Ihnen nun
automatisch bis zu drei Mal Bescheid, wenn Sie sich dem Ende
Ihrer Update-Berechtigung nähern.

* Die Viewer-Komponent wird nun erst dann geladen, wenn sie
tatsächlich benötigt wird, nicht schon zwingend beim Start
der Software. (nur mit forensischer Lizenz)

* Der mit „Text“ bezeichnete Schalter, der die Vorschau der
Viewer-Komponente in eine Roh-Text-Ansicht umschaltet (was
z. B. sehr hilfreich ist, wenn Sie alle Kopfzeilen einer
E-Mail sehen möchten), heißt nun „Roh“, um das Bewußtsein
dafür etwas zu schärfen, daß dieser Modus normalerweise
_nicht_ wünschenswert zum Betrachten von Dateien ist, basie-
rend auf der Erfahrung, daß viele Anwender es vergessen, von
der Roh-Ansicht zur normalen Ansicht zurückzuschalten, und
sich dann wundern, daß z. B. Office-Dokumente nicht mehr
schön angezeigt werden. (nur mit forensischer Lizenz)

* Beim Exportieren von Suchtreffern in eine tabulatorsepa-
rierte Textdatei (nicht HTML), einschließlich Kontext, wurde
der eigentliche Suchbegriff zuvor durch „x“-Zeichen ersetzt.
Dies wurde behoben. (seit v14.8 SR-4)

* Beim Exportieren von Metadaten in eine tabulatorseparierte
Textdatei werden ursprüngliche Zeilenumbrüche und Tabulatoren
nun durch Leerzeichen ersetzt. (seit v14.8 SR-4)

* Ein Fehler wurde behoben, der beim Versuch auftrat, Ver-
zeichnisdaten (Verzeichniseinträge, INDX-Puffer usw.) mit der
indirekten Füllmethode in einen Container zu kopieren. (seit
v14.8 SR-3)

* Das Verwenden von Tastenkürzeln zum Erstellen von Berichts-
tabellenverknüpfungen ersetzt nun entweder bereits bestehende
Verknüpfungen oder oder nicht, in Abhängigkeit von der
Einstellung im Dialogfenster für Berichtstabellenverknüpfungen.
(seit v14.8 SR-3)

* Ein Fehler in der Version v14.8 SR-1 wurde mit SR-2 behoben,
der das automatische Interpretieren von Images mit mehreren
Segmenten sofort nach der Erstellung betraf, zum Zwecke der
Hash-Überprüfung oder des Ersetzens des Asservats. Die Images
selbst waren in Ordnung.

* Ein Fehler beim Wiederherstellen von alternative Daten-
strömen als alternative Datenströme wurde behoben. (seit
v14.8 SR-2)

* Eine mögliche Quelle von Instabiltität im Detailsmodus wurde
behoben. (seit v14.8 SR-1)

* Eine neue Option in investigator.ini wurde eingeführt, die
es verhindert, daß in X-Ways Investigator externe Dateien an
einen Datei-Überblick angehängt werden können. (seit v14.8 SR-1)

* Unter bestimmten Umständen konnte die Fortschrittsanzeige
für logische Suchen in ausgewählten Asservaten falsch sein.
Dies wurde behoben. (seit v14.8 SR-1)

* Schnellere Anzeige von Metadaten-Zellen im Verzeichnis-
Browser, wenn große Datenmengen extrahiert worden waren.
(since v14.8 SR-1)

* Diverse weitere kleinere Verbesserungen.

* Die Kurzanleitungen, die von der X-Ways Forensics Produkt-
seite herunterladbar sind, wurden für v14.8/v14.9 auf den
neuesten Stand gebracht, wo sich Änderungen ergeben hatten.
Das Benutzerhandbuch wurde auch auf v14.9 angepaßt.

* Die Version 8.2 der Viewer-Komponente wurde am 14. und 20.
März weiter aktualisiert. Sie friert beim Betrachten/
Verarbeiten bestimmter HTML-Dateien nicht mehr, die in der
Version 8.1.9 normal funktioniert hatten. MS-Word-Dokumente,
die aus einer einzigen Tabelle bestanden, werden nun wieder
richtig angezeigt.

2 thoughts on “X-Ways Forensics: Update 14.9”

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.