Heute gehe ich wieder meiner Lieblingsbeschäftigung nach, dem Aufzählen neuer Features von X-Ways Forensics. 😎 In der nun veröffentlichten Version 14.3 sind gemäß Herstellerangaben folgende neuen Features bzw. Verbesserungen enthalten:
- Die Indexierungsfunktionalität wurde deutlich erweitert. Es ist jetzt möglich, Text sowohl in Codepages mit 1 Byte pro Zeichen als auch in Unicode zu indexieren! Auch ist es möglich,
bis zu drei solcher Indexe pro Asservat vorzuhalten (z. B. kyrillische Zeichen einmal indexiert in Unicode und in zwei kyrillischen Codepages). Mehrere Indexe, wenn gewählt, werden in dieser Version nacheinander erzeugt, aber Benutzerinteraktion ist nur einmal am Anfang erforderlich. Die Index-Suche sucht in allen erstellten Indexes eines Asservats auf einmal. - Da nun Unicode bei der Indexierung unterstützt wird, werden die zu indexierenden Zeichen als Unicode-Zeichen eingegeben, und X-Ways Forensics ermöglicht es Ihnen, Alphabete von mehr
als 22 Sprachen bequem auszuwählen. Derzeit sind die meisten europäischen und viele asiatische Sprachen vordefiniert.
Bitte beachten Sie, daß es in der Verantwortung des Benutzers liegt, eine geeignete Codepage auszuwählen, und Teilwortindexierung einzuschalten, wenn die Wörter in der zu indexierenden Sprache nicht durch Leerzeichen voneinander getrennt sind (z. B. in Thai). - Es ist nun optional möglich, einen Index zu erstellen, der Groß- und Kleinschreibung unterscheidet. Dies ist z. B. dann nützlich, wenn Sie den Index mit der Absicht erzeugen, eine Wortliste für einen individuell angepaßten Wörterbuch-Angriff zu verwenden.
- Sie können eine Zeichenersetzungsliste in Unicode definieren, die bestimmte zu indexierende Buchstaben als andere Buchstaben indexiert (z. B. das „é“ mit Accent einfach wie ein normales
„e“). Dies erlaubt es Ihnen, bestimmte Varianten in der Schreibweise mit einer einzigen Index-Suche zu finden, z. B. den Namen „René“/“Rene“ mit einer der beiden Schreibweisen. - Die Optimierung verschmilzt .xfi-Dateien nun nicht mehr über die 2-GB-Grenze hinaus. Das ermöglicht es, diese Dateien in konventionellen Zip-Archiven zu archivieren (wenn Sie z. B. einen Fall von X-Ways Forensics aus archivieren und Index-Dateien dafür mit auswählen). Generell ist der Schritt der Optimierung nun deutlich schneller als in früheren Versionen.
- Der Details-Modus wurde deutlich erweitert, und zwar für OLE2-Dateien (etwa MS-Office-Dokumente vor Version 2007) und .shd Drucker-Spool-Dateien, deren Metadaten er nun anzeigt. Für MS-Office-Dokumente sehen Sie oft weitere Zeitstempel (z. B. wann zuletzt gedruckt), Betreff, Verfasser, Organisation, Schlüsselwörter, akkummulierte Bearbeitungszeit,
u. v. a. m. - Sie können ab sofort eine detaillierte Aufstellung des Inhalts von Windows-Verknüpfungsdateien (.lnk) sehen, wenn Sie sie im Vorschaumodus betrachten oder in einem separaten
Fenster einsehen. Diese Aufstellung kann Folgendes enthalten:
Pfad, Name, Größe und Zeitstempel der referenzierten Datei; Volume-Label und Seriennummer, Datenträgertyp, Icon-Datei, Verknüpfungsbeschreibung, MAC-Adresse u. v. a. m. - Beim Erweitern des Datei-Überblicks und Überprüfen des wahren Dateityps laut Signatur warnt X-Ways Forensics jetzt, wenn es MS-Office-Hybriddateien findet, genauer gesagt verschmolzene MS-Word- und Excel-Dokumente, die in beiden Applikationen geöffnet werden können und dabei unterschiedliche Inhalte zeigen. Ein Hinweis darauf wird im Nachrichtenfenster angezeigt, und detektierte Dateien werden mit einer besonderen Berichtstabelle verknüpft. MS-Office-Hybriddateien sind ein raffinierter Versuch, den Inhalt eines der beiden verschmolzenen Dokumente zu verstecken.
- Möglichkeit, CDs/DVDs in externen optischen Laufwerken als physische Datenträger zu öffnen.
- Die chinesische Übersetzung wurde auf den neuesten Stand gebracht. Außerdem werden nun bei aktiver chinesischer Sprache mehr Elemente der Benutzeroberfläche tatsächlich in chinesischen Schriftzeichen angezeigt wenn die chinesische Codepage gar nicht die in Windows aktive Codepage ist (sofern Unterstützung für ostasiatische Sprachen installiert ist).
- Zusätzliche Hash-Kategorie-Filter wurden eingeführt: Nur irrelevante Dateien ausgeben, nur unbekannte Dateien ausgeben.
- In neu erstellten Datei-Überblicken werden Dateien und Verzeichnisse auf NTFS-Partitionen nun mit einem großen „I“ in der Attributsspalte kenntlich gemacht, wenn sie eine Object-ID besitzen.
- Wenn eine Datei nicht in einen Container kopiert werden kann, z. B. beim indirekten Befüllen, weil ein Antiviren-Tool die Datei abfängt und ihr Vordringen in den Container verhindert, wird diese Datei nun einer besonderen Berichtstabelle hinzugefügt, so daß es leicht fällt, diese Dateien
herauszufiltern und separat zu behandeln. - Möglichkeit, bestimmte Registry-Dateien von Windows Vista einzusehen, die zuvor nicht geladen werden konnten.
- Unicode-Suchtreffer können nun im Vorschaumodus in Dokumenten hervorgehoben werden auch wenn sie Nicht-ASCII-Zeichen enthalten.
- Die Suchbegriffsliste hat nun ein Kontextmenü, von dem aus man Suchbegriffe löschen kann. Nützlich für Benutzer von MacBooks, die keine Entf-Taste haben.
- Die Suchtrefferliste wird beim Aufruf von Suchen | Text suchen ohne die Option, Suchtreffer aufzulisten, nicht mehr geschlossen.
- Es ist jetzt möglich, logische Suchen mitzuprotokollieren, so daß wenn z. B. Text aus einer bestimmten beschädigten Datei nicht extrahiert werden kann und das Programm abstürzt,
Sie leicht deren interne ID der Datei „search.log“ entnehmen und die Datei bei einem erneuten Versuch auslassen können. - Beim Ersetzen eines partitionierten Asservats durch ein (anderes) Image, werden die davon abhängigen Asservate (die Partitionen) nun ebenfalls automatisch durch dasselbe Image
ersetzt. - Es wurde ein Fehler behoben, der beim Ersetzen eines Asservats durch ein (anderes) Image unter bestimmten Umständen nach dem Erstellen eines technischen Detailberichts auftreten
konnte. (seit v14.2 SR-5) - Die Viewer-Komponente wurde aktualisiert. Nur eine Datei hat sich tatsächlich geändert. Dieser Patch behebt einen Fehler, der mit bestimmten Visio-Dokumenten (.vsd) auftreten
konnte. Es wird empfohlen, die Viewer-Komponente neu herunterzuladen und zu installieren, wenn Sie Visio-Dokumente einsehen möchten oder ihren Text bei der logischen Suche
oder bei der Indexierung decodieren lassen. - Das Nachrichtenfenster kann nun minimiert, maximiert und wiederhergestellt werden.
- Das Dialogfenster „Allgemeine Optionen“ wurde neu organisiert. In diesem Fenster wird nun das Ersatzmuster für nicht lesbare Sektoren definiert. Diese Option wurde aus dem Dialog „Datenträger-Sicherung“ entfernt, weil sie das Verarbeiten von defekten Sektoren überall im Programm beeinflußt.
- Wenn die Betreffzeilen von extrahierten E-Mails nicht auf der Codepage basieren, die gegenwärtig in Windows aktiv ist, werden sie u. U. nicht korrekt angezeigt. X-Ways Forensics kann nun versuchen, den Betreff wie in der Spalte „Name“ angezeigt zu reparieren, wenn Sie für die Bearbeitung dieses Falls geeignete Codepages in den Falleigenschaften definieren.
Um diese Sonderbehandlung zu vermeiden, wählen Sie dort einfach die ohnehin in Windows aktive Codepage zweimal aus. - Diverse kleinere Verbesserungen, u. a. die Extraktion von E-Mails betreffend, und Fehlerkorrekturen.
- Es wurde ein Fehler behoben, der dazu führte, daß beim Kopieren von Dateien und Verzeichnissen unter bestimmten Umständen Internet-Explorer-Fenster geöffnet wurden. (seit
v14.2 SR-3) - Ein Fehler wurden behoben, der in der chinesischen Version von X-Ways Forensics nach einer intensiven Dateisystem-Struktursuche doppelte Datei-Auflistungen zur Folge hatte.
(seit v14.2 SR-4) - Ein Fehler wurde behoben, der dazu führte, daß bestimmte Operationen im Verzeichnis-Browser (Kopieren und Erzeugen eines Hash-Sets) unvollständig abgebrochen wurden, wenn auf
eine rekursive Ansicht angewandt, die als Verzeichnisse behandelte Archive enthielt. (seit v14.2 SR-5) - Bestimmte Ausnahmesituationen werden nun verhindert, die beim Verarbeiten von defekten Daten in NTFS FILE-Records auftreten konnten. (seit v14.2 SR-5)