Viele Korrekturen und Verbesserungen in X-Ways Forensics 15.1:
* Möglichkeit, einfache Versuche zu erkennen, Dateien beliebigen
Typs als ausführbare Dateien zu maskieren. Solche Dateien werden
nicht mehr als ausführbare Dateien bestätigt. Nur mit forensischer
Lizenz.
* Ungewöhnliche ausführbare Dateien können nun leichter ausfindig
gemacht werden, da sie speziellen Berichtstabellen zugeordnet
werden, wenn sie unbekannte Segmente oder ein unerwartetes
Dateiende aufweisen. Nur mit forensischer Lizenz.
* Es kann nun besser unterschieden werden zwischen diversen
exe-Dateitypen, incl. Altformate, DLLs, Fonts, VXDs und anderen
Treibern (siehe Typ-Spalte nach Typprüfung). Nur mit forensischer
Lizenz.
* Besondere Unterstützung für ausführbare Dateien bei der Datei-
Header-Signatursuche. Die Dateigröße und der genaue Dateityp
werden erkannt. Die exakte Dateigröße hilft dabei, bekanntermaßen
irrelevante Dateien mit Hilfe von Hash-Datenbanken auszuschließen.
* Größenerkennung für besonders große Zip-Archive bei der Datei-
Header-Signatursuche. Größenerkennung für 7zip-Archive.
* Es ist jetzt möglich, auch übergeordnete und Unterobjekte
einer ausgewählten Datei automatisch einer Berichtstabelle
hinzuzufügen. Nützlich z. B., wenn Sie nicht nur eine bestimmte
E-Mail in einen Bericht aufnehmen möchten, sondern auch deren
Anhänge, oder andersherum, oder nicht nur bestimmte Standbilder
aus Videos, sondern auch das ganz zugehörige Video selbst.
Berichtstabellen-Verknüpfungen können auch von übergeordneten
und Unterobjekten in einem einzigen Schritt entfernt werden.
Nur mit forensischer Lizenz.
* Dateien, die Unterobjekte einer *Datei* sind (d. h. deren
übergeordnetes Objekt kein Verzeichnis ist), werden nun im
Verzeichnis-Browser gesondern mit 3 hellblauen Punkten in der
oberen linken Ecke des Icons gekennzeichnet, um auf diese
Besonderheit hinzuweisen.
* Lange Listen von Dateinamen können nun direkt als Datei-
namensfilter eingesetzt werden. Mehrere Dateinamen oder
Dateinamensmasken werden nicht mehr per Semikolon verkettet,
sondern 1 pro Zeile eingegeben oder aus der Zwischenablage
eingefügt. Nützlich, wenn Sie eine Liste relevanter Dateien
oder Stichwörter haben und schnell herausfinden möchten,
ob Dateien mit solchen Namen vorhanden sind.
* Beim Extrahieren von Miniaturansichten aus JPEGs werden diese
nun als Unterobjekte der jeweiligen JPEG-Datei angezeigt.
Solche Miniaturansichten und andere generisch benannten
eingebetteten Bilder werden nun als virtuelle Dateien
klassifiziert. Nur mit forensischer Lizenz.
* Angehängte externe Dateien werden nun immer als Unterobjekte
des gewählten Objekts hinzugefügt, selbst wenn Sie nur eine
einzige Datei anhängen, es sei denn, Sie halten die Umschalt-
Taste gedrückt. Es ist jetzt auch möglich, externe Dateien an
ein Verzeichnis anzuhängen. Nur mit forensischer Lizenz.
* Möglichkeit, dem Datei-Überblick auch im Datei-Modus einen
gewählten Block als virtuelle Datei hinzuzufügen (Bearbeiten-
Menü). In diesem Fall wird die Datei als Unterobjekt der
Originaldatei angeordnet. Nur mit forensischer Lizenz.
* Die NTFS-System-Datei $UsnJrnl kann nun besonders eingesehen
werden, ein weiteres einzigartiges Feature. Nur mit forensischer
Lizenz.
* Die Untersuchung von $LogFile als Teil der intensiven Datei-
system-Datenstruktur-Suche in NTFS-Dateisystemen ist nun noch
vollständiger. Nur mit forensischer Lizenz.
* Die Interpretation von $LogFile für den Einsehen-Befehl/den
Vorschau-Modus ist nun vollständiger. Sie zeigt jetzt auch das
von der Datei abgedeckte Zeitintervall an (s. ganz unten in der
Darstellung), so daß leicht feststellbar ist, ob relevante
Zeitpunkte überhaupt in der betreffenden $LogFile-Datei enthalten
sind. Es ist jetzt auch leichter, den Löschzeitpunkt einer Datei
herauszufinden oder zumindest einzugrenzen, wenn dieser Vorgang
zeitlich in der abgedeckten Rahmen fällt, indem man nach einer
„Undo: Initialize File Record Segment“-Operation für die betref-
fende Datei sucht oder indem man nach der LSN aus dem Header des
FILE-Records der betreffenden Datei sucht. Der folgende EndPage-
Ausdruck zeigt dann jeweils den Zeitrahmen der Operation an.
Generell verbesserte Darstellung. Nur mit forensischer Lizenz.
* Möglichkeit, FAT32-Dateisysteme auszuwerten, deren Haupt-
Bootsektor defekt ist, sofern der Backup-Bootsektor noch
vorliegt. Möglichkeit, FAT32-Partitionen automatisch bei der
Suche nach verlorenen Partitionen zu finden, auch wenn der
Haupt-Bootksektor defekt ist.
* Umgang mit extrem großen Verzeichnissen in FAT-Dateisystemen.
* Das Kopieren von Dateien aus einem Image auf eigene Laufwerke
oder in einen Container funktioniert intern nun leicht anders.
Diese Operationen können den Inhalt von ausgewählten Verzeichnissen
nun auch in einer bereits rekursiven Ansicht berücksichtigen,
und wenn man diese Möglichkeit nutzt, wird automatisch sicher-
gestellt, daß zugleich direkt und indirekt ausgewählte Dateien
nicht mehrfach kopiert werden. Auch wenn dieselbe Datei in einer
Suchtrefferliste mehrfach aufgelistet ist, weil sie mehrere
Suchtreffer enthält, und mehrfach ausgewählt ist, wird sie nur
noch einmal kopiert, was sehr komfortabel ist. Eine weitere
Folge ist, daß Sie die Meldung „Diese Operation kann in einer
bereits rekursiven Ansicht nicht in ausgewählte Verzeichnisse
verzweigen.“ nicht mehr sehen werden. Ein weiterer Vorteil ist,
daß es nun 3 statt 2 Optionen für das Wiederherstellen des
Originalpfads in dem Ausgabe-Ordner bzw. Datei-Container gibt:
vollständiger Pfad, kein Pfad oder teilweiser Pfad (basierend
auf dem gegenwärtig erkundeten Verzeichnis, nicht vom Asservat-
Überblick aus verfügbar).
* Der Befehl Wiederherstellen/Kopieren erlaubt es nun optional,
Dateien mit überlangen Pfaden auszugeben (mehr als 260, bis 510
Zeichen, für Ausgabepfad + Originalpfad + Originaldateiname).
Beachten Sie, daß Sie solche Dateien anschließend mit gewöhnlichen
Tools wie dem Windows-Explorer nicht weiterverarbeiten können
(weder ansehen noch kopieren noch löschen). Diese Option ist
nützlich, wenn Sie auf diese Dateien mit Tools zugreifen, die
überlange Pfade unterstützen. Ansonsten können Sie die Pfadlänge
wie zuvor auf 260 Zeichen beschränken und Berichtstabellen-
Verknüpfungen für ausgelassene Dateien erhalten. Nur mit foren-
sischer Lizenz.
* Eine neue Option namens „empfehlenswerte Datenreduktion“ für
die logische Suche und die Indexierung spart Zeit, indem sie
den logischen Teil bestimmter Dateien automatisch ausschließt:
Dateiarchive wie ZIP und RAR, deren Inhalte bereits in den
Datei-Überblick aufgenommen wurden, sowie PST- und DBX-E-Mail-
Archive, deren E-Mails und Datei-Anhänge bereits extrahiert
wurden. Letzteres ist besonders für die Indexierung hilfreich,
weil Base64-Code den Index sonst extrem aufbläht und den
Indexierungsvorgang stark verlangsamt.
* Es gibt nun einen „NICHT“-Operator im Attributfilter, der
es erlaubt, alternative Datenströme, Symlinks, Dateien mit
unbekanntem Inhalt usw. usf. herauszufiltern, wenn Sie solche
Dateien *nicht* sehen möchten.
* Es gibt nun eine Fortschrittsanzeige für die Hash-Berechnung
beim Erzeugen von Hash-Sets.
* Das Klonen von Datenträgern wird nun in Log-Dateien mit
jeweils eindeutigem Namen protokolliert, der auf der Startzeit
basiert.
* Möglichkeit, ausgewählte Dateien im Datei-Überblick so auf
den Urzustand zurückzuversetzen, daß die diversen Optionen in
der Funktion „Datei-Überblick erweitern“ auf sie erneut
zugreifen würden, auch wenn dies schon vorher passiert ist.
Diese Funktion ist über Strg+Entf anwendbar. Sie räumt nicht
hinter den ausgewählten Dateien auf, d. h. löscht z. B. nicht
etwaige bereits extrahierte Unterobjekte aus dem Datei-Überblick,
aber das ist ja manuell anderweitig möglich.
* Der Anwendungsbereich einer Suche, die vom Falldatenfenster
aus ausgeführt wurde, war nicht konsistent. Dies wurde behoben.
* Die italienische Übersetzung wurde aktualisiert.
* Eine Fehler im neuen Indexierungsalgorithmus von v15.0
wurden behoben.
* Diverse kleinere Verbesserungen.
* Die Protokollierungsoption für den Befehl Wiederhstellen/
Kopieren verlangsamt das Kopieren besonders vieler Dateien
nicht mehr. (seit v15.0 SR-3)
* Gelegentliche Nichtverfügbarkeit des Druckbefehls im
Kontextmenü korrigiert. (seit v15.0 SR-3)
* Ein Ausnahmefehler wurde behoben, der beim Ausführen einer
Datei-Header-Signatursuche bei aktiver Darstellung einer
Suchtrefferliste auftreten konnte. (seit v15.0 SR-3)
* Ein beim Beenden einer Suche verkleinertes Hauptfenster
stellt kein Problem mehr dar. (seit v15.0 SR-3)
* Ein Ausnahmefehler wurden behoben, der beim Sichern eines
aus Image-Dateien wiederhergestellten RAIDs in ein Image
auftreten konnte. (seit v15.0 SR-3)
* Ein Fehler im Verzeichnis-Browser wurde behoben, der nach
dem Erweitern des Datei-Überblicks oder nach der Rückkehr
aus einer Suchtrefferliste auftreten konnte. (seit v15.0 SR-3)
* Intelligente Größenerkennung beim Carven von .tar-Archiven.
(seit v15.0 SR-4)
* Ein Fehler wurde behoben, der die Interpretation eines
e01-Evidence-Files mit vielen Segmenten unterbrechen konnte.
(seit v15.0 SR-4)
* Dateien, die Ausnahmefehler oder Abstürze während der
massenweisen Metadaten-Extraktion hervorrufen, werden dem
Benutzer vom Programm nun besonders zur Kenntnis gebracht,
so daß sie leicht identifiziert, unterdrückt und/oder an
uns weitergeleitet werden können. (seit v15.0 SR-5)
* Eine Instabilität bei der Extraktion von Metadaten aus
Cookies des Internet Explorer wurde behoben. (seit v15.0 SR-7)
* Ein Ausnahmefehler wurde behoben, der beim Klick auf eine
Position im Positions-Manager auftreten konnte. (seit v15.0 SR-5)
* Ein Ausnahmefehler wurde behoben, der beim Verarbeiten von
großen AOL-PFC-Dateien auftreten konnte. (seit v15.0 SR-7)