Letzte Woche erschien wieder ein nennenswertes Update des beliebten Forensikwerkzeugs X-Ways Forensics. Folgende Änderungen sind in der Changelog enthalten (ist mal wieder eine beeindruckende Menge ;-))
- Nur für forensische Lizenzen: Möglichkeit, entfernte Netzlaufwerke auf logischer Ebene zu öffnen, wenn dafür lokal ein Laufwerksbuchstabe zugewiesen wurde. Der Verzeichnis-Browser sowie die Modi Datei, Vorschau, Galerie und Kalender sind alle verfügbar. Ein Datei-Überblick kann erstellt und erweitert werden (nicht mit den Optionen, die Sektorzugriff erfordern), Filter können verwendet werden, logische Suchläufe können gestartet werden. Andererseits können Sektoren, freier Speicher, Schlupfspeicher, gelöschte Dateien, alternative Datenströme, Benutzer-SIDs usw. nicht angezeigt werden.
Sehr nützlich, um vor Ort bei Durchsuchungen Netzlaufwerke einsehen zu können und z. B. relevante Dokument zu suchen oder zu kopieren, wenn kein physischer Zugriff auf bestimmte Server im Netzwerk möglich ist. Ein weiterer Vorteil ist, daß von NTFS (EFS) verschlüsselte Dateien, auf die der gegenwärtig eingeloggte Benutzer Zugriff hat, in ihrem entschlüsselten Zustand geöffnet und verarbeitet werden können. - Nur für forensische Lizenzen: Möglichkeit, lokale Laufwerksbuchstaben ohne Administratorrechte zu öffnen. Dafür gelten dieselben Einschränkungen wie o. a.
- Unterstützung des Dateisystems Ext4 (nur für Specialist- und forensische Lizenzen).
- X-Ways Forensics warnt neuerdings beim Öffnen eines Falls, wenn dieser Fall bereits anderswo (von einem anderen Benutzer) geöffnet ist, falls dort nicht im Schreibschutzmodus.
- von besonders vielen zu decodierenden Dateien merklich beschleunigt werden und daß eine Kontextvorschau für Suchtreffer im Textextrakt möglich wird! Dies macht das Einsehen von Suchtrefferlisten deutlich bequemer. Der decodierte Text wird nun dateiweise entweder in ASCII oder Unicode ausgegeben, je nach Art der Zeichen im Text.
- Der Druckbefehl im Kontextmenü des Verzeichnis-Browsers ist flexibler geworden. Er erlaubt es, bei Drucken mit der Viewer-Komponente ein von X-Ways Forensics erstelltes Deckblatt voranzustellen. Eine weitere Möglichkeit besteht darin, X-Ways Forensics den Dateinamen und Pfad oben auf die erste Seite drucken zu lassen. Diese Option ist nicht denselben Pfadlängenbeschränkungen unterworfen wie der optional von der Viewer-Komponente gedruckte Header. Um zu vermeiden, daß der Pfad auf der ersten Seite zweimal gedruckt wird, lassen Sie ihn entweder von X-Ways Forensics oder von der Viewer-Komponente drucken, nicht von beiden.
- Wenn in der neuen Druckfunktionalität die Auflösung des Druckers in dpi nicht automatisch erkannt wird, kann/muß der Benutzer die Auflösung nun selbst eingeben, um ein ordnungsgemäßes Druckergebnis zu erzielen.
- Es fällt jetzt leichter, das Asservat, das im aktiven Datenfenster repräsentiert wird, im Falldatenfenster schnell zu identifizieren, weil alle anderen Asservate mitsamt ihrer Verzeichnisbäume dort nun in Grau dargestellt werden.
- Änderungen bei den physischen Datenträgern im Windows-System (z. B. neu angeschlossene USB-Festplatten) werden nun erkannt, ohne das Programm neu starten zu müssen.
- Datei-Container haben nun eine optionale interne Bezeich-nung (das XWFS-Volume-Label). Nützlich als weiteres Mittel, erkennen zu können, zu welchem Fall/Beschuldigten ein Container gehört, wenn der Dateiname nach allgemeinen Regeln zu wählen ist (und in verschiedenen Fällen ähnlich) Beim Decodieren von Text in Dateien der Typen PDF, HTML, RTF, StarOffice, WordPerfect usw. für die logische Suche und zum Indexieren kann das Extrakt nun optional (abschaltbar in Optionen | Viewer-Programme) gepuffert werden. Weil das Decodieren relativ langsam ist, sind die sich daraus ergebende Vorteile, daß weitere Suchläufe bei Vorhandensein von besonders vielen zu decodierenden Dateien merklich beschleunigt werden und daß eine Kontextvorschau für Suchtreffer im Textextrakt möglich wird! Dies macht das Einsehen von Suchtrefferlisten deutlich bequemer. Der decodierte Text wird nun dateiweise entweder in ASCII oder Unicode ausgegeben, je nach Art der Zeichen im Text.
- Der Druckbefehl im Kontextmenü des Verzeichnis-Browsers ist flexibler geworden. Er erlaubt es, bei Drucken mit der Viewer-Komponente ein von X-Ways Forensics erstelltes Deckblatt voranzustellen. Eine weitere Möglichkeit besteht darin, X-Ways Forensics den Dateinamen und Pfad oben auf die erste Seite drucken zu lassen. Diese Option ist nicht denselben Pfadlängenbeschränkungen unterworfen wie der optional von der Viewer-Komponente gedruckte Header. Um zu vermeiden, daß der Pfad auf der ersten Seite zweimal gedruckt wird, lassen Sie ihn entweder von X-Ways Forensics oder von der Viewer-Komponente drucken, nicht von beiden.
- Wenn in der neuen Druckfunktionalität die Auflösung des Druckers in dpi nicht automatisch erkannt wird, kann/muß der Benutzer die Auflösung nun selbst eingeben, um ein ordnungsgemäßes Druckergebnis zu erzielen.
- Es fällt jetzt leichter, das Asservat, das im aktiven Datenfenster repräsentiert wird, im Falldatenfenster schnell zu identifizieren, weil alle anderen Asservate mitsamt ihrer Verzeichnisbäume dort nun in Grau dargestellt werden.
- Änderungen bei den physischen Datenträgern im Windows-System (z. B. neu angeschlossene USB-Festplatten) werden nun erkannt, ohne das Programm neu starten zu müssen.
- andardpfad\u003cbr /\>für Sicherungsdateien liegen. Nützlich, wenn der Standard-\u003cbr /\>pfad verfahrens-/fallabhängig von außen automatisch\u003cbr /\>gesteuert wird und die Benutzer nicht versehentlich\u003cbr /\>Container, auf die sie grundsätzlich Zugriff haben, einem\u003cbr /\>Fall hinzufügen können sollen, zu dem sie nicht gehören.\u003cbr /\>\u003cbr /\>* Möglichkeit, auch Verzeichnisse optional mit der Datei-\u003cbr /\>namensspalte zu filtern. Dies ist der einzige Filter, der\u003cbr /\>auf einer Spalte des Verzeichnis-Browsers beruht, der\u003cbr /\>auch auf Verzeichnisse Auswirkungen hat.\u003cbr /\>\u003cbr /\>* Jedes Asservat merkt sich nun die letzten 32 Dateien,\u003cbr /\>die im Vorschau-Modus betrachtet wurden. Mit Strg+Umsch+\u003cbr /\>F7 können Sie diese Liste für ein Asservat einsehen. In\u003cbr /\>der Liste stehen Datum und Uhrzeit des Einsehens, Datei-\u003cbr /\>name und interne ID. Nützlich z. B., wenn vergessen\u003cbr /\>wurde, bei welcher Datei die manuelle Durchsicht einer\u003cbr /\>langen Liste unterbrochen wurde oder um daraus die vorher\u003cbr /\>eingestellte Sortierreihenfolge abzuleiten. Nicht in der\u003cbr /\>Programmhilfe oder im Handbuch dokumentiert, Funktionalität\u003cbr /\>kann sich ändern.\u003cbr /\>\u003cbr /\>* Die Sortierreihenfolge der Spalte für Suchtreffer-\u003cbr /\>Beschreibungen wurde so umdefiniert, daß Treffer im Datei-\u003cbr /\>schlupf nicht mehr lediglich gruppiert, sondern auch fest\u003cbr /\>am unteren Ende der Liste angesiedelt werden, wo sie\u003cbr /\>leicht gefunden und ausgewählt werden können, so daß der\u003cbr /\>Schlupf von vielen Dateien auf einmal, soweit aufgrund\u003cbr /\>von Suchtreffern relevant, gezielt mit geeigneten Ein-\u003cbr /\>stellungen über Wiederherstellen/Kopieren herauskopiert\u003cbr /\>werden kann. (seit v13.8 SR-5)\u003cbr /\>\u003cbr /\>* Decodierter Text wurde in v13.8 vor v13.8 SR-2 nicht\u003cbr /\>richtig indexiert. Dies wurde behoben.\u003cbr /\>\u003cbr /\>* Die logische Suche hatte in v13.8 vor v13.8 SR-2 ein\u003cbr /\>“,1] ); //–> Datei-Container haben nun eine optionale interne Bezeichnung (das XWFS-Volume-Label). Nützlich als weiteres Mittel, erkennen zu können, zu welchem Fall/Beschuldigten ein Container gehört, wenn der Dateiname nach allgemeinen Regeln zu wählen ist (und in verschiedenen Fällen ähnlich ist) oder versehentlich geändert wurde.
- Ein neuer Schalter „+19“ in der Datei investigator.ini kann verhindern, daß Benutzer von X-Ways Investigator Images/Container öffnen können, die nicht im Standardpfad für Sicherungsdateien liegen. Nützlich, wenn der Standardpfad verfahrens-/fallabhängig von außen automatisch gesteuert wird und die Benutzer nicht versehentlich Container, auf die sie grundsätzlich Zugriff haben, einem Fall hinzufügen können sollen, zu dem sie nicht gehören.
- Möglichkeit, auch Verzeichnisse optional mit der Dateinamensspalte zu filtern. Dies ist der einzige Filter, der auf einer Spalte des Verzeichnis-Browsers beruht, der auch auf Verzeichnisse Auswirkungen hat.
- Jedes Asservat merkt sich nun die letzten 32 Dateien, die im Vorschau-Modus betrachtet wurden. Mit Strg+Umsch+F7 können Sie diese Liste für ein Asservat einsehen. In der Liste stehen Datum und Uhrzeit des Einsehens, Dateiname und interne ID. Nützlich z. B., wenn vergessen wurde, bei welcher Datei die manuelle Durchsicht einer langen Liste unterbrochen wurde oder um daraus die vorher eingestellte Sortierreihenfolge abzuleiten. Nicht in der Programmhilfe oder im Handbuch dokumentiert, Funktionalität kann sich ändern.
- Die Sortierreihenfolge der Spalte für Suchtreffer-Beschreibungen wurde so umdefiniert, daß Treffer im Dateischlupf nicht mehr lediglich gruppiert, sondern auch fest am unteren Ende der Liste angesiedelt werden, wo sie leicht gefunden und ausgewählt werden können, so daß der
andem wissen, daß er ihn oder sie\u003cbr /\>interessieren wird.\u003cbr /\>\u003cbr /\>Freundliche Grüße\u003cbr /\>\u003cbr /\>Stefan Fleischmann\u003cbr /\>X-Ways Software Technology AG\u003cbr /\>\u003c/div\>“,1] ); // Schlupf von vielen Dateien auf einmal, soweit aufgrund von Suchtreffern relevant, gezielt mit geeigneten Einstellungen über Wiederherstellen/Kopieren herauskopiert werden kann. (seit v13.8 SR-5) - Decodierter Text wurde in v13.8 vor v13.8 SR-2 nicht richtig indexiert. Dies wurde behoben.
- Die logische Suche hatte in v13.8 vor v13.8 SR-2 ein Speicherleck. Dies wurde behoben.
- Ein Speicherleck in der Indexierung wurde mit v13.8 SR-5 behoben.
- Ein Speicher beim Interpretieren von ganzen Dateinamenn der Datei File Type Categories.txt wurde in v13.8 SR-3 ehoben.
- Diverse kleinere Verbesserungen.
Von X-Ways Forensics unterstützte Betriebssysteme: Windows 98/Me (nicht empfohlen), Windows 2000, Windows XP (empfohlen), Windows 2003 Server