X-Ways Forensics: Update 16.5

X-Ways Forensics ist in einer neuen Version erschienen. Es ist nicht das einzige Forensik-Werkzeug am Markt, kann sich aber gegenüber den anglo-amerikanischen Suiten sehr gut behaupten und erfreut sich gerade auch bei detuschen Ermittlern größter Beliebtheit. Version 16.5 listet folgende Neuerungen auf:

  • Möglichkeit zum Betrachten von Browser-SQLite-Datenbanken durch Erzeugen einer Vorschau, über eine neue Option in Specialist | Datei-Überblick erweitern | ≥Interne Metadaten extrahieren und hübsch aufbereiten„. Dies erfordert, daß die Dateien auf ihren wahren Typ hin geprüft wurden (oder gleichzeitig geprüft werden). Unterstützt Firefox History, Firefox Downloads, Firefox Form History, Firefox Sign-Ons, Chrome Cookies, Chrome Archived History, Chrome History, Chrome Log-In-Daten, Chrome Web Data, Safari Cache und Safari Feeds sowie die Datei main.db von Skype mit Kontakten und Datei-Transfers.
  • Möglichkeit zum Betrachten von Internet Explorer index.dat-Dateien, ebenfalls durch Erzeugen einer Vorschau über dieselbe Funktion.
  • Eine permanent vorgehaltene Vorschau kann jetzt für $UsnJrnl:$J ebenfalls als Teil der Metadaten-Extraktion erzeugt werden, so daß sie nicht jedes Mal bei Bedarf (beim Betrachten dieses Logs) neu erstellt zu werden braucht, was bei großen Exemplaren (mehrere GB möglich) sehr zeitraubend sein kann.
  • Möglichkeit zum Erzeugen einer permanent vorgehaltenen Vorschau für Windows Event-Logs (.evt und .evtx).
  • Die Vorschau wird im Datei-Überblick jeweils in Form einer Unterobjekts hinterlegt, i. d. R. im HTML-Format. Diese Unterobjekte sind nicht nur intern durch X-Ways Forensics beim Einsehen der betreffenden Elterndatei verwendbar. Sie können sie auch selbst in einem externen Programm wie Ihrem bevorzugten Internet-Browser oder in MS Excel betrachten, einfach durch Senden an ein Programm Ihrer Wahl (Kontextmenü des Verzeichnis-Browsers). Die Existenz der HTML-Unterobjekte mit durchsuchbarem Text (wahrscheinlich in künftigen Versionen auch noch für weitere Datenquellen) verbessert auch die Effektivität von logischen Suchen und der Indexierung.
  • Möglichkeit zum Aufteilen von HTML-Tabellen in den Vorschauen von Browser-Datenbanken und Event-Logs nach einer beiliebigen Zahl von Zeilen. Diese Zahl können Sie stark erhöhen, wenn Sie die HTML-Vorschauen extern betrachten, mit Ihrem bevorzugten Internet-Browser, nicht mit der Viewer-Komponente (die mit sehr großen Tabellen nicht umgehen kann).
  • Möglichkeit zum Einsehen von Dateien der Typen Outlook NK2 Auto-Complete, Outlook WAB Adreßbuch und Internet Explorer Travellog (auch bekannt als RecoveryStore).
  • Automatisches farbliches Hervorheben von ausgerichteten FILETIME-Werten in den Modi Disk/Partition/Volume und Datei. Nützlich beim manuellen Inspizieren diverser Microsoft-Formate, die u. U. mehr Zeitstempel enthalten als automatisch extrahiert werden können (versuchen Sie z. B. index.dat, Registry-Hives, .lnk-Verknüpfungen usw. usf.). Wenn die untere Hälfte eines Datenfensters den Eingabefokus hat und FILETIME-Werte hervorgehoben erscheinen, können Sie auch den Mauszeiger über einen solchen Wert bewegen, um eine menschenlesbare Interpretation des Zeitstempels zu erhalten. Alternative können Sie diese natürlich wie immer auch vom Daten-Dolmetscher enthalten, wenn Sie das erste Byte eines solchen Werts anklicken.
  • Extraktion von Metadaten aus Datenbank-Dateien von MS Access.
  • Extraktion von Metadaten aus den iPhone-Backup-Dateien Manifest.mbdx und Manifest.mbdb .
  • Registry-Bericht-Definitionen überarbeitet. Neue Definitionsdatei Reg Report Autorun.txt eingeführt.
  • Automatische Extraktion von .lnk-Verknüpfungen aus Jump-Lists (.automaticdestinations-ms) als Teil des Erweiterns des Datei-Überblicks.
  • Verbesserte Fähigkeit beim Umgang mit beschädigten .evtx Event-Log-Dateien.

E-Mails

  • Neue Methode für die Extraktion von E-Mails und Datei-Anhängen aus MSG-Dateien, die MAPI nicht erfordert.
  • Neue Extraktion von E-Mails und Datei-Anhängen aus E-Mail-Archiven vom Typ DBX und MBOX .
  • Überarbeitete Extraktion von Datei-Anhängen aus Original .eml-Dateien.
  • Extraktion von E-Mails und diversen Outlook-Daten aus PST leicht verbessert und vervollständigt.
  • Möglichkeit, die neuen Extraktionsmethoden individuell für PST, MSG, DBX, MBOX und EML ein- oder auszuschalten. Die alte Extraktionsmethode für PST und MSG ist das, was in früheren Versionen die „MAPI“-Option genannt wurde. Die neue Methode für PST wurde bereits vor langer Zeit eingeführt und als empfohlene Standardoption voreingestellt. Die neuen Methoden für alle anderen Dateitypen sind in v16.5 neu hinzugekommen. Die alten Extraktionsmethoden werden in künftigen Versionen von X-Ways Forensics wahrscheinlich nicht mehr angeboten.
  • Vorschau verfügbar für E-Mail-Archive vom Typ Outlook Express DBX.

Dateisysteme

  • Unterstützung für Festplatten, die mit MBR LVM2 oder GPT LVM2 partitioniert wurden, wie sie in Fedora/Red Hat üblich sind und in Debian und Ubuntu möglich. Sowohl Vorkommnisse mit nur 1 Platte (Standarverhalten beim Installieren von Fedora auf einer normalen Festplatte) und übergreifende Volumes (d. h. logische Volumes, die sich über mehrere physischen Datenträger erstrecken) werden unterstützt. Letztere erfordern, daß alle zur Gruppe gehörenden Datenträger/Images in X-Ways Forensics geöffnet sind, damit alle erforderlichen Daten gefunden werden können.
  • Ability to reconstruct Linux software RAIDs from partitions. The partitions need to be opened before they can be selected.
  • Unterstützung diverser UDF-Dateisystem-Versionen und -Besonderheiten überarbeitet und beträchtlich ausgebaut: Verbesserte Unterstützung von UDF auf nicht-optischen Datenträgern, virtuellen Partitionen, Metadata-Partitionen und benannten Datenströmen (dem UDF-Gegenstück zu alternativen Datenströmen von NTFS).
  • Zeitstempel in 0x30-Attributen von FILE-Records in NTFS werden jetzt direkt unter ihren Pendants aus den 0x10-Attributen dargestellt.
  • Korrektur in der NTFS-Unterstützung auf Datenträgern mit einer Sektorgröße von 4 KB.
  • Fähigkeit zum Erkennen des neuen ReFS-Dateisystems als solches.
  • Die Datei-Überblicks-Option ≥Dateien mit unbekannten Clustern aufnehmen„ ist jetzt eine der berüchtigten Kontrollkästchen mit 3 Zustände. Wenn ganz angekreuzt, werden alle ehem. existierenden Dateien, von denen nur Metadaten bekannt sind, in den Datei-Überblick aufgenommen. Wenn gar nicht ausgewählt, werden solche Dateien komplett ignoriert. Wenn halb gewählt, werden nur Dateien, für die mehr als bloß der Namen bekannt ist (z. B. Größe, Attribute und Zeitstempel) aufgenommen, z. B. wie in Index-Records in INDX-Puffern zu finden oder in $LogFile in NTFS, aber keine Verzeichnisleichen in den Dateisystemen Ext* und Reiser*. (Besonders kritische Benutzer, die die detaillierteren dreistufige Kontrollkästchen nicht zu schätzen wissen oder ihnen generell skeptisch gegenüberstehen oder sich keine Meinung über ihre bevorzugte Standardeinstellung bilden möchten oder meinen, daß die filigranen Bedeutungsunterschiede auch direkt in den kleinen Dialogfenstern erklärt werden müßten statt ≥nur„ in der Programmhilfe und im Benutzerhandbuch, können die Option einfach ganz ein- oder ausgeschaltet lassen.)

Datenträger-Images

  • Unterstützung für VMDK-Snapshot-Images. Das Basis-Image und alle vorherigen Snapshot-Images müssen beim Interpretieren eines neueren Snapshots bereits geöffnet und interpretiert sein.
  • Versagen beim Lesen von flachen VMDK-Images behoben. Fähigkeit zum Interpretieren bestimmter VMDK-Images, die vorher nicht unterstützt wurde.
  • Fähigkeit zum Erstellen von Datei-Containers vom Menübefehl Datei | Datenträger-Sicherung aus, wo Neulinge im Umgang mit X-Ways Forensics eine solche Funktionalität wohl erwarten. (nur in X-Ways Forensics verfügbar, nicht WinHex)
  • Das Feld zum Eingeben der Beschreibung einer Datenträger-Sicherung ist jetzt größer und erlaubt Zeilenumbrüche. Nützlich, wenn Sie es für mehr Informationen verwenden und diese klarer strukturieren möchten.

X-Tensions API (Details)

  • C++ function definitions for the X-Tensions API are now available for download.
  • A plug-in to run Python scripts as X-Tensions can now be downloaded from the X-Tension API web page, along with sample scripts. Also a minimal Python installation is downloadable.
  • An X-Tension that during a simultaneous search uses the Luhn algorithm to check sequences of digits for whether they could be credit card numbers (and discards false hits) is now available in 32 bit and 64 bit. When more users create and share their own X-Tensions as we hope, we will create a dedicated web page for X-Tension downloads.
  • Ability to load X-Tension DLLs from any directory. By default, X-Ways Forensics expects X-Tension DLL in the directory for scripts and templates.
  • Only selected X-Tensions will be executed, not all X-Tensions that were added to the list.
  • 7 important new functions were added:

    XWF_Search

    XWF_OpenItem

    XWF_Close

    XWF_CreateContainer

    XWF_CopyToContainer

    XWF_CloseContainer

    XWF_CreateEvObj

  • XT_ProcessSearchHit now receives a handle of the item or volume in which a search hit was found, for optional further reading.
  • New functionality was added to the XWF_SetItemInformation function.
  • More return values for XT_Prepare supported.
  • New flag for XWF_OutputMessage function.
  • Last parameter in XWF_GetItemInformation API function fixed.

Bedienbarkeit

  • Wenn Sie den Datei-Überblick erweitern, parallele Suchen oder eine Indexierung starten, bleibt die meiste andere Funktionalität ab jetzt zugänglich und nutzbar. Der Verzeichnis-Browser, der Fallbaum und andere Elemente der Bedienoberfläche incl. aller Menüs reagieren meistens weiterhin auf Aktivität. Das bedeutet z. B., daß Sie weiterhin Dateien betrachten, Kommentare zu Dateien eingeben, Berichtstabellenverknüpfungen erstellen, Verzeichnisse erkunden, Filter aktivieren oder deaktieren, Dateien sortieren und drucken sowie andere Asservate öffnen und schließen können. Es gibt übrigens eine Möglichkeit zum Minimieren des kleinen Fortschrittsanzeige-Fensters, per Rechtsklick in dessen Titel.
  • Die Option zum Herunterfahren oder Versetzen des Rechners in den Ruhezustand nach Abschluß von Datenträger-Sicherungen oder Klon-Vorgängen ist jetzt im Fortschrittsanzeige-Fenster angesiedelt, so daß Sie noch während des Vorgangs sehen können, ob sie von ihr Gebrauch gemacht haben, und sich auch jederzeit noch umentscheiden können, z. B. wenn Sie doch noch länger als geplant am Computer arbeiten möchten/müssen.
  • Es ist jetzt möglich, mehrere an denselben Computer angeschlossene Dongles (z. B. Terminal-Server) zu verwenden. Bisher waren mehrere gleichzeitige Benutzer am gleichen Rechner nur mit Multi-User-Donglen möglich (s. http://www.x-ways.net/forensics/dongle-d.html). Jeder Benutzer kann bei Programmstart auswählen, welchen Dongle er benutzen möchte. Die ID des Dongles, den er oder sie zuletzt verwendet hatte, ist voreingestellt. Die im Dongle gespeicherten Text-Notizen, sofern vorhanden, werden auch angezeigt, um das Identifizieren des richtigen Dongles zu erleichtern.
  • Wenn der einzige aktive Filter der ≥natürlicherweise„ aktive Filter ist, der dazu führt, daß unterdrückte Dateien nicht aufgelistet werden, und wenn es tatsächlich unterdrückte Objekte gibt, die gerade im Verzeichnis-Browser herausgefiltert werden, dann erscheinen die zusätzlichen Filter-Icons, die einen aktiven Filter signalisieren, nun in dezentem Grau statt leuchtendem Blau, um zu unterstreichen, daß es normal ist, daß unterdrückte Dateien nicht aufgelistet werden und nichts anderes herausgefiltert wird, Sie also wahrscheinlich gerade nichts übersehen.
  • Die Optionen im Dialog für den Namensfilter sind nun übersichtlicher und verständlicher strukturiert.
  • Der Pfadfilter wurde erweitert. Es können jetzt mehrere Teilwörter (1 pro Zeile) eingegeben werden, und es gibt eine NICHT-Option.
  • Eine weitere Option für den Filter „Int. ID“.
  • Virtuell angehängte Dateien haben jetzt ein Büroklammer-Icon.
  • Die Rücksetz-Taste und die Leertaste funktionieren nun auch im Fallbaum.

Datei-Header-Signatur-Suche

  • Daß die Anfangssektoren von im Datei-Überblick bereits verzeichneten Dateien immer von der Datei-Header-Signatur-Suche ausgenommen sind, ist  nun optional. X-Ways Forensics versucht natürlich weiterhin, Duplikate zu vermeiden, aber wenn die Datei-Header-Signatur oder die interne Größenerkennung so stark ist, daß man vermuten kann, daß eine bekannte gelöschte Dateien mit den Daten einer neuen Datei überschrieben wurde, dann wird diese neue Datei aus den Sektoren ausgegliedert, obwohl sie sich mit der bekannten Datei denselben Anfangssektor teilt.
  • Wenn Sie die Datei-Header-Signatur-Suche bewußt abbrechen oder wenn X-Ways Forensics mittendrin abstürzt, finden Sie beim nächsten Mal, wenn Sie eine Datei-Header-Signatur-Suche in demselben Asservat starten, eine Option zum Fortsetzen vor direkt an dem Sektor, wo Sie zuvor abgebrochen hatten bzw. an der Stelle, als der Datei-Überblick vor dem Absturz zuletzt gespeichert wurde (hängt vom Auto-Save-Intervall des Falls ab).

Diverses

  • Möglichkeit, nur Verknüpfungen mit vom Benutzer erstellten Berichtstabellen über Datei-Container weiterzugeben, nicht solchen von X-Ways Forensics intern und automatisch erzeugten. Um dies so einzustellen, muß die Option zum Exportieren von Berichtstabellenverknüpfungen halb angekreuzt sein, wenn Sie einen Container erzeugen. Dies ist nun auch die neue Voreinstellung.
  • Möglichkeit, den Allgemeinen Positions-Manager auch im Datei-Modus zu verwenden.
  • Ein beim Sortieren nach der Spalte SB-Anz. auftretender Fehler wurde behoben.
  • Das Benutzerhandbuch wurde auf den neusten Stand gebracht.
  • Viele kleinere Verbesserungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.