X-Ways Forensics: Update 15.5

Posted on 41.161 Besucher AuthorAlexander Geschonneck1 Comment

Pünktlich zum Jahresende gibt es nun noch ein Update für X-Ways Forensics. Nachdem es ja einige Zeit um die Entwickler etwas ruhiger geworden war, sind folgende umfangreiche Änderungen in Version 15.5 enthalten (BTW: es gibt jetzt auch eine „nur-imaging“-Lizenz):

* Neue E-Mail-Extraktionsfunktion für E-Mail-Archive im Format Outlook PST und OST. Chance, gelöschte E-Mails in PST und OST zu finden. Es werden nun auch mehr Informationen aus Kontakteinträgen, Kalendereinträgen und Aufgaben extrahiert, die in PST-Archiven gespeichert sind. Die neue Funktion hat auch die Fähigkeit, paßwortgeschützte PST-Archive ohne das Paßwort zu verarbeiten. Schnellere Verarbeitung als vorher. Eine Installation von Outlook/MAPI wird für die neue Funktionalität nicht benötigt.

Bei dieser neuen Methode werden einige reine Text-E-Mails als eml-Dateien (d. h. Kopf und Rumpf in eins kombiniert) dargestellt, andere als Text-Dateien, HTML-E-Mails als HTML-Dateien. Sie werden alle in der Attributsspalte als extrahierte E-Mails gekennzeichnet. Um extrahierte E-Mails zu sehen, filtern Sie nach der Attr.spalte, nicht nach Typ. Außer für die .eml-Dateien werden die E-Mail-Header als Unterobjekte angezeigt. Die bisherige Verarbeitung von PST-Dateien über die MAPI-Schnittstelle ist noch verfügbar, wenn das Kontrollkästchen „MAPI“ angekreuzt ist, aber die neue Methode kommt auch dann zusätzlich zum Zug, um gelöschte Inhalte zu finden.

Das Kapitel in der Programmhilfe und im Benutzerhandbuch über die E-Mail-Extraktion wurde entsprechend überarbeitet.

* Aufgrund einer Anfrage von einem Großkunden kann X-Ways Forensics nun mit einem speziellen Lizenztyp auch als reines Tool zur Datenträgersicherung verwendet werden (d. h. nur mit der Fähigkeit zum Disk-Imaging). Die Anfrage basierte auf Geschwindigkeitstests, in denen X-Ways Forensics im Vergleich zu anderen Imaging-Tools am besten abschnitt, vor allem zusammen mit Hardware-Schreibblockern. Diese Lizenzen
nur für Datenträgersicherungen sind zu einem besonderen Preis erhältlich. Details erfahren Sie unter
http://www.x-ways.net/forensics/dongle-d.html#imaging.

* Neue „schnelle, adaptive“ Kompressionsoption für Datenträgersicherungen, die einen noch besseren Kompromiß zwischen höherer Geschwindigkeit und Kopmressionsrate verspricht. Sie ist die neue Voreinstellung. Die bisherige schnelle, adaptive Kompressionsoption ist noch immer vorhanden und
heißt jetzt „normal, adaptiv“.

* Der HTML-Registry-Bericht wird nun vollständig in Tabellenform ausgegeben mit dem Ziel besserer Lesbarkeit und Übersichtlichkeit, kompaktere Darstellung, und Importierbarkeit in anderen Programme wie MS Excel (zum Sortieren oder Filtern). Kommentare über dieses neue Format sind willkommen. Der Name und der Schlüssel eines jeden Werts werden nun standardmäßig nicht mehr explizit ausgegeben, sondern können in Form eines Tooltips eingesehen werden, wenn man den Mauszeiger über ein kleines weißes Quadrat
in der betreffenden Zeile bewegt. Sollten Sie Name und Key für alle im Bericht enthaltenen Werte auf einmal sehen wollen, können Sie sie über eine Option im Kontextmenü des Registry-Viewers als Text mit ausgeben lassen.

* Der zweite Teil des Registry-Berichts gibt Ihnen nun einen Überblick über installierte Treiber, Dateisysteme
und Dienste, zusätzlich zu den bisherigen (auch noch relativ neuen) sehr hilfreichen Tabellen „Attached devices by serial number“ und „Partitions by disk signature“.

* Die Index-Optimierung nutzt nun die Vorteile, die sich durch den größeren Speicheradreßraum in 64-Bit-Windows-Umgebungen ergeben.

* X-Ways Forensics läuft unter Windows 7 genauso gut wie unter Windows Vista, d. h. es gelten dieselben Einschränkungen, und keine weitere Einschränkungen.

* Verbesserte Unterstützung von dynamischen Platten, die von Windows Vista verwaltet wurden.

* Fähigkeit, bei der Datei-Header-Signatur-Suche zwiwschen DOCX, XLSC, PPTX und anderen Dateitypen zu unterscheiden.

* Informationen über den erkannten wahren Typ einer Datei (bestätigt oder neu erkannt) bleiben nun in Datei-Containern erhalten. Sie können von v15.5 und späteren Versionen importiert werden. Konsequenterweise wird die Option „Beim Kopieren mit Endung versehen“ für das Befüllen von Datei-
Containern nicht mehr benötigt, und hat von jetzt an nur noch Auswirkungen auf den Befehl „Wiederherstellen/Kopieren“.

* In neu erzeugten Datei-Überblick für NTFS-Dateisysteme werden alternative Datenströme u. ä. nun als Unterobjekte derjenigen Dateien dargestellt, zu denen sie gehören. Dies ist eine getreuere Abbildung der tatsächlichen Organisation im Dateisystem, in dem ADS nicht in Verzeichnissen aufgelistet werden, sondern an ihre jeweilige Trägerdatei gebunden sind. Ein weiterer Vorteil ist, daß es jetzt leichter ist, von einem relevanten alternativen Datenstrom zu seiner Trägerdatei zu navigieren (z. B. einfach die Rücksetz-Taste drücken, wie immer, um zum jeweiligen Elternobjekt zu gelangen). Auch wird die Auflistung des Inhalts eines Verzeichnisses, das viele Dateien mit ADS enthält, auf diese Weise übersichtlicher. Kommentare über dieses neue Feature sind auch besonders willkommen.

* Möglichkeit, bestimmte Befehle des Positionsuntermenüs auch im Asservatüberblicksfenster zu nutzen: Übergeordnetes Objekt aufsuchen, FILE-Record/Index-Record/Inode/Verzeichniseintrag usw. aufsuchen, Eintrag-Nr. aufsuchen.

* Wenn Sie eine gelöschte Datei in einem Ext*-Dateisystem anklicken, für die nur ein Verzeichniseintrag bekannt ist und keine Inode, im Modus Partition bzw. Volume, springt X-Ways Forensics nun automatisch zu dem Verzeichniseintrag.

* Möglichkeit, innerhalb einer Suchtrefferliste im Asservatüberblicksfenster zum Elternobjekt zu springen, ohne die Suchtrefferlistenansicht zu verlieren.

* Wenn Betrachten von Bildern mit der Grafikbibliothek (nicht mit der Viewer-Komponente) in einem separaten Fenster können Sie „Bild auf/ab“ auf Ihrer Tastatur drücken, um zum nächsten Bild in der Liste zu wechseln und es sofort in einem neuen Fenster einzusehen. Drucken Sie zusätzlich die Strg-Taste, um denselben Effekt im Fall eines Fensters der Viewer-Komponente zu haben.

* Das Icon, das im Punkt-Punkt-Eintrag („..“) im Verzeichnis-Browser zu sehen ist, repräsentiert nun das Elternobjekt korrekter, d. h. läßt nun unterscheiden zwischen existierendem, ehem. existierendem oder virtuellem Verzeichnis, oder einer existierenden, ehem. existierenden oder virtuellen Datei. Dieses Feature ist erstmal nur testweise aktiv.

* Möglichkeit, unterdrückte Objekte in X-Ways Investigator herauszufiltern. (In X-Ways Investigator können Dateien beim Identifizieren von Duplikaten im Verzeichnis-Browser basierend auf Hash-Werten unterdrückt werden.)

* Das Anwenden der Sonderregel für das Unterdrücken von doppelten E-Mails und Dateianhängen von E-Mails im Verzeichnis-Browser basierend auf Hash-Werten ist nun optional.

* Ein Fehler bei der Darstellung des Dateisystemschlupfs in Ext*-Dateisystemen wurde behoben.

* Nicht-deterministisches Auflisten von nicht partitionierbarem Speicher auf physischen Datenträgern korrigiert.

* Deinstallationsroutine überarbeitet. Im Fall von X-Ways Forensics wird für die Deinstallation der Dongle nicht mehr benötigt.

* Möglichkeit, per Datei-Header-Signatur-Suche gefundene Dateien manuelle umzubenennen. Nützlich, um die Hive-Namen von gecarveten Registry-Dateien für das korrekte Funktionieren der Registry-Berichterzeugung nachzukorrigierenm, sofern nicht gleich automatisch richtig benannt.

* Die interpretierte Version eines Roh-Images eines physischen Datenträgers kann nun als Ziel beim Klonen angegeben werden. Dies ist nützlich z. B. dann, wenn Sie eine Reihe von Sektoren von einem Image in ein anderes kopieren möchten. Unterstützt nur in WinHex, nicht in X-Ways Forensics.

* Möglichkeit, den Computer nach Abschluß des Platten-Klonens und Wiederherstellens eines Images auf einen Datenträger automatisch herunterzufahren.

* Verbesserte Unterstützung des Zerlegens von MHT-Dateien.

* Ein Fehler wurde behoben, der beim Darstellen von GUIDs in Schablonen auftrat.

* In der ursprünglichen Version 15.4 war der Hautfarbenanteil von Bildern mit 0% initialisiert, und die Spaltenbreiten konnten im Dialog mit den Verzeichnis-Browser-Optionen nicht leicht geändert werden. Dies wurde alles mit v15.4 SR-1 behoben.

* Verbesserte Fähigkeit, Dummy-Partitionen als solche zu erkennen, die in MBRs auf im Apple-Stil GPT-partitionierten Platten auftreten. (seit v15.4 SR-2)

* Es ist jetzt optional möglich, jede Art von Filter auch auf Verzeichnisse anzuwenden. Zuvor galt dies nur für den Namensfilter. Nützlich u. U. für Zeitstempel-Filter und den Attributsfilter. S. Verzeichnis-Browser-Optionen. (seit v15.4 SR-2)

* Der Dateinamensfilter erlaubt nun optional auch eine Suche in Dateinamen mit GREP-Syntax. Die herkömmliche Notation, um Dateien zu finden, deren Namen z. B. das Wort „Rechnung“
enthält, ist *Rechnung*. Mit der GREP-Option suchen Sie einfach nach „Rechnung“. (seit v15.4 SR-2)

* Neue Option +29 in der Datei investigator.ini, die verhindert, daß der Menübefehl „Durch neues Image ersetzen“ in X-Ways Investigator angeboten wird. (seit v15.4 SR-2)

* Die Schalter „Zurück“ und „Vorwärts“ sind nun in der Symbolleiste in X-Ways Investigator verfügbar. (seit v15.4 SR-2)

* Möglichkeit, die Historie der letzten 10 Abspeicherungen (Benutzer und Dateipfad) von MS-Word-Dokumenten in einigen seltenen Fällen auszugeben, bei denen dies bisher fehlschlug. (seit v15.4 SR-2)

* Unterstützung von Sektornummern, die größer als 2^32 sind, in Extras | Disk-Tools | Datenträger klonen. (seit v15.4 SR-2)

* Der Hautfarbenanteilsfilter funktioniert nicht in v15.4 bis SR-1. Dies wurde mit v15.4 SR-2 behoben.

* Das Editierfeld für Suchbegriffe in der Parallelen Suche erlaubt nun standardmäßig die Eingabe von Suchbegriffen mit bis zu 100.000 Zeichen insgesamt statt zuvor rd. 30.000. Wenn Suchbegriffe hingegen aus einer Textdatei geladen werden, gibt es gar keine feste Beschränkung mehr. (seit v15.4 SR-2)

* Gelegentliche Nichtverfügbarkeit des Menübefehls „Treffer permanent speichern“ (für Index-Suchtreffer) korrigiert. (seit v15.4 SR-2)

* Ausnahmefehler vermieden, der in v15.4 bis SR-1 auftreten konnte, beim Anhängen externer Dateien an einen Datei-Überblick. (seit v15.4 SR-2)

* Neu eingeführte Trefferzahl für im Asservatüberblick aufgelistete Suchtreffer korrigiert. (seit v15.4 SR-2)

* Ein Fehler wurde behoben, der einen Index unvollständig machen konnte, wenn Teilworte indexiert wurden, Wörter in der Ausnahmeliste länger als die maximal indexierte Wortlänge waren und der Index optimiert wurde. Der Fehler trat nicht mit Standardeinstellungen auf. (seit v15.4 SR-3)

* Ein Ausnahmefehler wurde behoben, der unter bestimmten Umständen auftreten konnte, wenn eine Index-Suche lief.(seit v15.4 SR-3)

* Einige Details der Navigation im Verzeichnis-Browser und der Handhabung der Galerie wurden verbessert. (seit v15.4 SR-3)

* Die Beschränkung der Länge von Suchbegriffen auf 50 Bytes in der Parallelen Suche wurde für einige weitere Einstellungen aufgehoben. (seit v15.4 SR-3)

* Der Befehl Wiederherstellen/Kopieren hat die Originalzeitstempel von Dateien in Archiven in v15.4 bis SR-3
nicht wiederhergestellt. Dies wurde mit SR-4 behoben.

* Wenn Sie beim Befüllen eines Datei-Containers in mehreren Schritten den Container öffnen und interpretieren oder ihn einem Fall hinufügen, um zu sehen, welche Dateien Sie bereits in den Container kopiert haben, können Sie dieses Fenster nun geöffnet lassen und einfach einen neuen Datei-Überblick erzeugen, wann immer Sie die aktuellen Inhalte sehen möchten, nachdem Sie weitere Dateien
hinzugefügt haben. (seit v15.4 SR-4)

* Beim Exportieren des Inhalts der Metadaten-Spalte als tabulatorseparierte ASCII- oder Unicode-Textdatei werden Zeilenumbrüche nun durch Semikola ersetzt statt durch Leerzeichen, so daß die Daten besser von anderen Programmen geparst werden können. (seit v15.4 SR-4)

* Ein Fehler in der Metadaten-Extraktion von QuickTime-Dateien wurde behoben. (seit v15.4 SR-4)

* Ein vermeidbarer Sektorlesefehler wurde verhindert, der auftreten konnte, wenn echte Sektorlesefehler beim Klonen von Datenträgern auftraten. (seit v15.4 SR-4)

* Unterstützt nun gleichzeitig Lösch- und internes Erzeugungsdatum für Dateien in Datei-Containern. (seit v15.4 SR-4)

* Ein neuer Befehl wurde zum Fallmenü hinzugefügt, der es erlaubt, zuvor gespeicherte Fallberichts bequem wieder zu öffnen und in dem verknüpften oder angegebenen Programm anzuzeigen. (seit v15.4 SR-5)

* Beim Identifizieren von Duplikaten (doppelten Dateien) basierend auf Hash-Werten, wenn eine der Dateien als bereits eingesehen gekennzeichnet ist, können die Duplikate nun optional ebenfalls als bereits eingesehen gekennzeichnet werden. Oder andersherum: Wenn Dateien als Duplikate aufweisend gekennzeichnet sind und ihre Hash-Werte verfügbar sind, und eine von diesen Dateien eingesehen wird, werden sofort auch all deren Duplikate als bereits eingesehen gekennzeichnet (dies allerdings nur innerhalb desselben Datei-Überblicks). (seit v15.4 SR-5)

* Der absturzsichere Text-Decodierungsmechanismus, der mit v15.3 eingeführt wurde, ist nun optional (siehe
Optionen | Viewer-Programme), weil er langsamer ist als die frühere Methode. Beachten Sie aber, daß es sobald die Resultate im Datei-Überblick zwischengespeichert sind (nach der ersten Suche) keinen Geschwindigkeitsunterschied mehr gibt. (seit v15.4 SR-5)

* .eml-Dateien werden nicht mehr für die logische Suche und das Indexieren decodiert, wenn Sie nur nach 7-Bit-ASCII suchen bzw. diese Indexieren, weil in diesem Fall das Durchsuchen/Indexieren der .eml-Dateien in ihrem natürlichen Zustand gut genug ist. Dies spart Zeit, besonders bei aktiver absturzsicherer Text-Decodierung und reduzierte die Anzahl doppelter Suchtreffer. (seit
v15.4 SR-5)

* Wenn der Hash-Wert einer Datei zusammen mit der Datei in einen Datei-Container kopiert wird, wird er dabei nicht mehr erzwungenermaßen neu berechnet, wenn er bereits im Datei-Überblick enthalten ist. (seit v15.4 SR-5)

* Wenn Sie in einem Dialogfenster für einen spaltenbasierten Filter einen deaktivierten Filter nicht aktivieren, wird der Verzeichnis-Browser jetzt nicht mehr unnötigerweise beim Schließen des Dialogs von Grund auf neu befüllt, so daß Sie nicht auf erneutes Sortieren warten müssen und nicht Ihre Auswahl und Rollposition verlieren. (seit v15.4 SR-5)

* Suchtreffer, die gefunden werden, wenn man nicht mit einem Fall arbeitet, werden im Positions-Manager gespeichert. Sie werden nun nicht mehr automatisch dort permanent abgelegt, wenn Sie WinHex beenden, sondern dann gelöscht, außer solche, die über das Kontextmenü bearbeitet wurden. (seit v15.4 SR-5)

* Die Möglichkeit zum Verwenden der Grafikbibliothek der Version 13.6 wurde schließlich entfernt. (seit v15.4 SR-5)

* Wenn eine Parallele Suche mit den Suchbegriffen A und B durchgeführt wird, wobei B und Teilwort von A ist, dann kann ein Suchtreffer sowohl als Treffer für A als auch für B gewertet werden, und ab jetzt wird er dann als
Treffer für beides gewertet. In früheren Versionen wurde er nur einmal gespeichert, für den Suchbegriff, der als erster angegeben wurde. (seit v15.4 SR-6)

Beispiel: In „Peter Peterson“ erhalten Sie nun 2 Treffer für „Peter“ und 1 für „Peterson“. In früheren Versionen
hätten Sie entweder 1 Treffer für „Peter“ und 1 für „Peterson“ bekommen, oder 2 Treffer für „Peter“, je nach Ihrer Vorgabe.

Wenn Sie nicht mögen, daß Sie sowohl einen Treffer für „Peter“ und „Peterson“ im Text „Peterson“ erhalten, können Sie immer noch das Kontextmenü der Suchtrefferliste nutzen, um doppelte Treffer zu eliminieren. Dieser Befehl ordnet längeren Suchbegriffen eine höhere Priorität zu, würde als den Treffer für „Peterson“ behalten und den für „Peter“ löschen.

* An der Funktion, die Index-Suchtreffer permanent speichert, wurde ein Fehler behoben. (seit v15.4 SR-6)

* Das Suchen in Indexen von mehreren Asservaten auf einmal von Asservatüberblick aus funktionierte nicht richtig in einigen der vorherigen Service-Releases. Dies wurde behoben mit v15.4 SR-6.

* Wenn Duplikate im Verzeichnis-Browser laut Hash unterdrückt werden, werden bevorzugt solche Dateien unterdrückt, die per Datei-Header-Signatur-Suche gefunden wurden, und Dateien mit Dateisystem-Metadaten beibehalten, weil diese wertvoller sind. (seit v15.4 SR-6)

* Es ist jetzt möglich, die Erweiterung des Datei-Überblicks für ausgewählte Asservate vom Asservat-Überblick aus zu starten. (seit v15.4 SR-6)

* Verbesserte Datei-Header-Signatur-Suche nach Roh-Bilddateien der Typen Nikon NEF und Canon CR2 als Teil der TIFF-Dateityp-Signaturdefinition. Fähigkeit, automatisch zwischen den Untertypen zu unterscheiden und die Dateigrößen richtig zu erkennen. (seit v15.4 SR-7)

* TIFF-Metadaten-Extraktion überarbeitet. (seit v15.4 SR-7)

* Metadaten-Extraktion aus Dateien vom Typ MS Office 2007, MS Office 2010 und OpenOffice 3 überarbeitet. Die typischen Felder wie Company, Author und Title haben nun dieselben Bezeichnungen wie in früheren Office-Versionen, was es leichter macht, nach ihnen zu filtern. (seit v15.4 SR-7)

* Suchtreffer von physischen Suchen auf physischen Datenträgern oder Images von physischen Datenträgern, sofern mit einem Fall als Asservat verknüpft, werden nun auch in Suchtrefferlisten angezeigt und nicht im allgemeinen Positions-Manager. (seit v15.4 SR-7)

* Ein Fehler, der unter bestimten Umständen während einer Suche auftrat und in einer Fehlermeldung wie „Unable to record a search hit“ oder in früheren Versionen „Internal search term list inconsistent“ mündete, wurde behoben. (seit v15.4 SR-7)

* Der deutsche Buchstabe „ß“ wird von Suchen, die die Suchbegriffsliste und die Suchtrefferliste füllen, nicht
mehr genauso wie „ss“ behandelt. (seit v15.4 SR-7)

* Ein Fehler wirde in SR-7 behoben, der in v15.4 SR-6 beim Unterdrücken von Duplikaten im Asservat-Überblick auftreten konnte.

* Ein Fehler wurde mit SR-8 behoben, der in v15.4 SR-7 das Aufnehmen von Hash-Werten einiger Dateien in den Datei-Überblick verhinderte.

* Es ist jetzt möglich, Volumes zu öffnen, die als Laufwerksbuchstabe geladen sind, aber nicht mit einem gültigen Dateisystem formatiert sind. (seit v15.4 SR-8)

* Die Rücksetz-Taste auf der Tastatur als schneller Weg zum Navigieren zum Elternobjekt einer Datei funktioniert nun auch in der Galerie. Das ist nützlich zum Beispiel, wenn Sie Video-Standbilder in der Galerie betrachten und das Video, aus dem ein bestimmtes Bild exportiert wurde, ansehen möchten. Erinnern Sie sich auch daran, daß Sie nach Abschluß mit dem Zurück-Schalter in der Symbolleiste bequem zur vorherigen Liste der Standbildern zurückkehren können. (seit v15.4 SR-8)

* Fähigkeit, mehrere Sessions in Images von CDs in einigen Fällen zu finden, in denen zuvor nur die ersten Session gefunden wurde. (seit v15.4 SR-8)

* Ein Ausnahmefehler wurde mit SR-8 behoben, der in v15.4 SR-7 beim Extrahieren von Metadaten ohne Extrahieren des internen Erzeugungsdatum zur selben Zeit auftrat.

* Akzeptiert nun hexadezimale Kleinbuchstaben in Datensatz-Längenfeld in Intel-Hex-Dateien beim Konvertieren nach Binär. (seit v15.4 SR-9)

* Fähigkeit, JPEG- und PNG-Dateien aus Firefox-Container-Dateien namens _CACHE_* zu extrahieren. (seit v15.4 SR-9)

* Es wurden Pfadfehler behoben, die beim Öffnen einer Falldatei über einen Befehlszeilenparameter ohne Pfadangabe entstanden. (seit v15.4 SR-9)

* Es wurde ein Fehler behoben, der in bestimmten Situationen bewirkte, daß X-Ways Forensics keine E-Mails
aus gültigen E-Mail-Archiven extrahieren konnte. Dieser Fall wurde begleitet von der Nachricht „Keine E-Mails gefunden“. (seit v15.4 SR-9)

* Stabiler beim Verarbeiten von defekten (z. B. per Datei-Header-Signatur-Suche gefundenen) AOL PFC E-Mail-Archiven. (seit v15.4 SR-9)

* Verhindert eine Fehlermeldung beim Verwenden des Asservat-Überblicks in mehr als einer Session zur gleichen Zeit. (seit v15.4 SR-10)

* Zeigt die Berechtigungen von Dateien in NTFS-Dateisystemen nun auch im Asservat-Überblick an (Details-Modus). (seit v15.4 SR-10)

* Ein Ausnahmefehler wurde mit SR-10 behoben, der in SR-9 beim Verarbeiten bestimmter E-Mail-Archive auftreten konnte.

* Der Fehler „…is not a valid integer value“, der beim Extrahieren von E-Mails in SR-9 auftreten konnte, wurde
behoben.

* Ein Fehler in der GREP-Suche wurde mit v15.4 SR-10 behoben.

* Ein Ausnahmefehler, der beim Hinzufügen des Inhalts verschlüsselter Archive in den Datei-Überblick auftreten konnte, wurde behoben. (seit v15.4 SR-10)

* Individuelle „File Type Categories.txt“-Dateien für jeden Benutzer einer gemeinsam genutzten Installation von X-Ways Forensics/X-Ways Investigator, so daß die Software sich individuelle Datei-Typ-Filter-Einstellungen für jeden Benutzer merkt. Hängt davon ab, ob auch eine benutzerspezifische .cfg-Dateien verwendet wird oder eine generische WinHex.cfg-Datei für alle. (seit v15.4 SR-11)

* Wenn Sie sich E-Mails anzeigen lassen z. B. mit dem Attr.-filter, und wenn Sie mehrere E-Mails für den Befehl Wiederherstellen/Kopieren auswählen, die Datei-Anhänge als Unterobjekte im Datei-Überblick haben, wurden diese Datei-Anhänge nicht mitkopiert, selbst wenn das Häkchen bei „Unterobjekte gewählter Dateien kopieren“ gesetzt war, weil der Filter für E-Mails keine andere Art von Dateien (z. B. Datei-Anhänge
von E-Mails) durchließ. Dies ist wahrscheinlich in den meisten Situationen nicht wünschenswert. Daher wurde das Verhalten so geändert, daß Filter keine Auswirkung mehr auf den Befehl „Wiederherstellen/Kopieren“ haben, und auch keinen Effekt mehr auf den Befehl zum Befüllen eines Datei-Containers. Wenn Sie nichts mitkopieren möchte, was Sie nicht sehen und nicht ausgewählt haben, dann stellen Sie einfach über das Kontrollkästchen sicher, daß Unterobjekte gewählter Dateien explizit nicht mitkopiert werden. (seit
v15.4 SR-11)

* Das Problem, daß X-Ways Forensics beim Verwenden der neuen Version 8.3.2 der Viewer-Komponente im Vorschaumodus in Suchtrefferlisten u. U. einfrieren konnte, wurde behoben. (seit v15.4 SR-11)

* Vermeidet Fehlermeldungen darüber, daß die ursprünglichen Zeitstempel von per Signatursuche in FAT-Partitionen gefunden Dateien beim Wiederherstellen/Kopieren nicht auf die Kopien übertragen werden konnten. (seit v15.4 SR-11)

* Es wurde ein Pfad-Erzeugungsfehler behoben, der im Befehl Wiederherstellen/Kopieren in der nicht-forensischen Edition von WinHex unter bestimmten Umständen auftreten konnte. (seit v15.4 SR-11)

* Es wurde ein Fehler behoben, der Unicode-Suchtreffer im Positions-Manager mit einer Beschreibung gespeichert hatte, die um 1 Zeichen verrutscht war. (seit v15.4 SR-11)

* Ein Fehler wurde mit SR-11 behoben, der in bestimmten Situationen innerhalb besonders großer Dateien dazu führen konnte, daß ein Suchtreffer einmal für jeden Suchbegriff aufgelistet wurde statt nur für den/die jeweils passenden. Der Fehler war enthalten in SR-6 bis SR-10.

* Ein Lesefehler in SR-11 wurde behoben, der beim Prüfen von E-Mail-Attachments auf eingebettete Bilder auftrat. (seit v15.4 SR-12)

* Ein Ausnahmefehler wurde behoben, der beim Verarbeiten bestimmter MP3-Dateien auftreten konnte. (seit v15.4 SR-12)

* Ein Fehler wurde behoben, der ein neu angegebenes Ausgabelaufwerk nicht akzeptierte, wenn der Plattenplatz beim Indexieren knapp wurde. (seit v15.4 SR-12)

* Besserer Umgang mit zirkulären Links in gelöschten Verzeichniseinträgen in Ext*-Dateisystemen. (seit v15.4 SR-12)

* Viele kleine Verbesserungen.

1 thought on “X-Ways Forensics: Update 15.5”

  1. Pingback: Kfeld-United Die Community der Altschüler & Schüler in Königsfeld

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert