X-Ways Forensics: Update 15.9 beta

Posted on 6.202 Besucher AuthorAlexander GeschonneckLeave a comment

X-Ways hat eine neue Version (15.9 Beta) von X-Ways Forensics veröffentlicht, deren Features ich hier nicht vorenthalten möchte:

  • Ein ausgeklügelter neuer Suchalgorithmus bewirkt eine dramatische Beschleunigung konventioneller (Nicht-Index-) Suchen mit mehreren Suchbegriffen und Suchvarianten (d. h. in mehreren Zeichensätzen/Codepages gleichzeitig und ohne Unterscheidung von Groß- und Kleinschreibung). Nur mit forensischer Lizenz. Für eine Suche nach 6 Suchbegriffen in allen Groß- und Kleinschreibungsvarianten in Codepage 1252 und Unicode z. B. kann der neue Suchalgorithmus doppelt so schnell sein. Mit 18 Suchbegriffen ist er 8 Mal so schnell. Bei 40 Suchbegriffen ist er 20 Mal schneller. (Bitte beachten Sie, daß sich dieser Vergleich nur auf den reinen Suchalgorithmus bezieht und nicht die für das Lesen der Daten von der Platte benötigte Zeit enthält.) In dieser Beta-Version können Sie explizit zwischen dem neuen und dem alten Algorithmus wählen. Mit dem neuen Suchalgorithmus funktioniert der Anker \b nun auch in Unicode (für englische, deutsche und französische Buchstaben, genau wie in Codepage 1252).
  • Mehrbenutzerfähigkeit für größere Verfahren: Mit v15.9 kann man in X-Ways Forensics und X-Ways Investigator nun Berichtstabellenverknüpfungen exportieren und importieren. Wenn mehrere Ermittler für dasselbe Verfahren Auswertearbeiten erledigen sollen, dann kann sich jeder eine eigene Kopie des Falls (.xfc-Datei samt zugehörigem Unterverzeichnis) anlegen und darin Dateien gleichzeitig Berichtstabellen zuordnen, also relevante Dateien identifizieren und kategorisieren. Mit den neuen Funktionen kann jeder Ermittler dann die Ergebnisse beliebiger Kollegen bei Bedarf jederzeit selektiv importieren, und man kann in der „Hauptkopie“ des Falls alle Ergebnisse von allen beteiligten Ermittler zusammenfassen, jeweils durch Export und Import.Das funktioniert auch mit Containern. Wenn man die zu untersuchenden Dateien/E-Mails aufteilt in Form von Containern und die Ermittler gleichzeitig an den einzelnen Container arbeiten (in jeweils eigenständigen Fällen), ob in X-Ways Forensics oder in X-Ways Investigator, können sie ihre Ergebnisse am Ende oder auch zwischendurch exportieren und im Originalfall wieder importieren.

    Wenn später nachvollziehbar sein soll, welcher Ermittler welche Berichtstabellen-Verknüpfungen erstellt hat, können die Ermittler entweder gleich ihren Namen in die Namen ihrer Berichtstabellen aufnehmen, oder man benennt die Berichtstabellen nach dem Export und vor dem Import noch geeignet um.

    Beide Befehle, der Export und der Import von Berichtstabellen, können im Kontextmenü des Fallbaums gefunden werden. Das Exportieren wird auf der Fall- und Asservatebene unterstützt, das Importieren auf der Fallebene. Bitte beachten Sie, daß Sie Berichtstabellenverknüpfungen nicht mehr in den Originalfall importieren können, wenn Sie in der Zwischenzeit einen neuen Datei-Überblick erstellt haben oder Objekte aus dem Datei-Überblick entfernt haben.

  • Es wurden zwei neue Spalten im Verzeichnis-Browser eingeführt. Nachdem Sie Stichwortsuchen haben laufen lassen, sagt Ihnen die Spalte „SB-Anz.“ zu jeder Datei, wie viele Suchbegriffe in ihr gefunden wurden, und die Spalte „Suchbegriffe“ listet Ihnen bis zu 10 davon (in einer zufälligen Reihenfolge) auf. Beachten Sie, daß diese Anzeige auf allen Suchtreffern beruht, die nicht gelöscht wurden, und auf allen Suchbegriffen, die jemals in einem Fall verwendet wurden, nicht nur auf den Suchbegriffen, die u. U. in der Suchbegriffsliste ausgewählt sind. Die Vorteile dieser beiden zusätzlichen Spalten sind, daß Sie in Dateien enthaltene Suchbegriffe sogar im normalen Verzeichnis-Browser sehen können (und nicht nur in der Suchtrefferliste), und daß Sie nach der Spalte „SB-Anz.“ sortieren können, um solche Dateien zuoberst zu sehen, die wahrscheinlich relevanter sind (weil sie mehr der von Ihnen gesuchten Begriffe enthalten). Diese Spalten werden nur für Asservate eines Falls gefüllt. Nur mit forensischer Lizenz.
  • Verbesserter und informativerer Windows-Registry-Bericht: Der Bericht kann nun gezielt ausgewählte Teile des Schlüsselpfades zusätzlich zu den Werten ausgeben. Das ist hilfreich bei der Interpretation vieler Registry-Werte und macht es überflüssig, daß Benutzer erst selbst nach relevanten Informationen  im Pfad suchen müssen.
  • Generell beschleunigte Erzeugung des Registry-Berichts.
  • Zusätzliche Informationen werden für den Registry-Bericht aus Windows-7-Registries extrahiert zu Volume-Shadow-Copies, Altprogrammen und Default Gateway MAC.
  • Möglichkeit zum Speichern und Laden von Berichtstabellennamen im Dialogfenster für Berichtstabellen-Verknüpfungen. Nützlich, wenn Sie in einem nmeuen Fall gleich mit einer Reihe vordefinierter Berichtstabellen starten möchten, wie sie typischerweise für eine bestimmte Art von Fällen verwendet werden.
  • Datei-Anhänge können nun auch bei der Fallberichtausgabe in ihre jeweiligen .eml-Elterndateien eingebettet werden, nicht nur bei Verwenden des Befehls „Wiederherstellen/Kopieren“.
  • Von der Verwendung des Befehls zum Einbetten von Datei-Anhängen als Base64-Code schon beim Extrahieren von E-Mails wurde bereits seit mehreren Jahren aus guten Gründen abgeraten. Diese Option wurde nun endgültig vollständig entfernt.
  • Kerio Connect store.fdb-Dateien, die wie PST/OST-Dateien verarbeitet werden können, wurden als unterstützter E-Mail-Archivtyp hinzugefügt.
  • Empfänger auf Bcc in empfangenen E-Mails (selten und unlogisch, aber offenbar in der Praxis möglich und beobachtet) sind nun im Empfänger-Feld des Verzeichnis-Browsers mit enthalten.
  • Die initialisierte Größe des Datenstroms von Dateien, die aus NTFS-Dateisystemen stammen, kann aus Datei-Containern, die von v15.4 SR-4 und später erzeugt wurden, nun auch importiert werden.
  • Beim Erzeugen von Fallberichten und Kopieren von Dateien für die Anzeige im Bericht wird nun dieselbe leichter lesbare Darstellung von $LogFile, $UsnJrnl:$J, Restore-Point-Change-Logs, $I-Recycle-Bin- und Windows XP Prefetch-Dateien ausgegeben wie sie vom Vorschau-Modus her bekannt ist.
  • Extras | Datei-Tools | Sicheres Löschen wurde beschleunigt.
  • Die Anzahl tatsächlich enthaltener Chunks in .e01-Evidence-Dateien wird nun in den Asservateigenschaften ausgegeben. Nützlich für unvollständige Images.
  • Eine neue investigator.ini-Option +35 hindert Benutzer von X-Ways Investigator am Ausschalten des strengen Laufwerksbuchstabenschutzes. Zuvor war das Ausschalten in X-Ways Investigator generell nicht möglich.
  • Eine neue investigator.ini-Option +36 hindert Benutzer von X-Ways Investigator am Erstellen eines Fallberichts.
  • Eine neue investigator.ini-Option +37 hindert Benutzer von X-Ways Investigator am Erstellen eines neuen Falls.
  • Fehlerhafte Ausgabe korrigiert, die auftreten konnte, wenn man in einem Index nach Zeichen suchte, die für die Indexierung gar nicht ausgewählt waren. Es hätte in einem solchen Fall gar keine Ausgabe erfolgen sollen.
  • Der Name des Asservats, in dem Kombinationen von SIDs und Benutzernamen gefunden wurden, wird nun in der SID-Auflistung mit ausgegeben, sofern diese Information aufgezeichnet wurde.
  • Wenn beim Abgleich von Hash-Werten mit der Hash-Datenbank ein Hash-Wert in verschiedenen Hash-Sets gefunden wurde, die unterschiedlichen Kategorien zugeordnet sind, dann wurde bisher schon (seit v15.6) eine Warnung ausgegeben. Es ist jetzt garantiert, daß die in einem solchen Fall immer die Kategorie „verdächtig“ zurückgegeben wird.
  • Fähigkeit zum Konvertieren von Motorola-S-Dateien, die Daten in einem Umfang von mehr als 2 GB definieren, ins Binärformat.
  • Diverse kleinere Verbesserungen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert