X-Ways Forensics: Update 14.7

Version 14.7 von X-Ways Forensics wartet wieder mit einer umfangreichen Liste von Verbesserungen und Fehlerkorrekturen auf:

* Das virtuelle Verzeichnis „Pfad unbekannt“ für NTFS-Parti-
tionen ist nun oftmals viel differenzierter aufgebaut. Es
identifiziert Dateien und Unterverzeichnisse, deren ursprüng-
liche Elternverzeichnisse zwar unbekannt sind, aber bekannter-
maßen dieselben sind. Solche Dateien und Unterverzeichnisse
werden dann jeweils in einem einzigen generisch benannten
virtuellen Verzeichnis gesammelt, weil sie ja ursprünglich
zusammengehörten. Das erleichtert es, eine Vorstellung davon
zu gewinnen, was dieses Verzeichnis mal war, und die Dateien
darin als relevant oder irrelevant einzustufen. Dies betrifft
nur von 14.7 neu erstellte Datei-Überblicke.

* Die intensive Dateisystem-Datenstruktur-Suche auf NTFS-
Partitionen fördert nun noch mehr Spuren ehemals existierender
Dateien zutage als in früheren Versionen, einschließlich
frühere Namen und frühere Pfade von umbenannten/verschobenen
Dateien. (nur mit forensischer Lizenz)

* Verbesserte Resultate einer intensiven Dateisystem-Daten-
struktur-Suche auf NTFS-Partitionen, die noch als solche
erkannt werden, deren MFT aber beschädigt ist und nicht mehr
gelesen werden kann.

* Unterstützung für dynamische Volumes, die auf GUID-parti-
tionierten Datenträgern (GPT) definiert sind. Solche dyna-
mischen Volumes können unter Windows Vista und den 64-Bit-
Versionen von Windows XP und Windows 2003 Server betrieben
werden.

* Findet nun automatisch alle Partitionen auf Festplatten,
die sowohl gültige GPT- als auch MBR-Partitionsdefinitionen
enthalten.

* Partitionen, die mit exFAT formatiert sind, werden nun
als solche erkannt. (Das bedeutet nicht, daß das exFAT-
Dateisystem nun nativ unterstützt wird.)

* Das Fortschrittsanzeigefenster ist für die intensive
Dateisystem-Datenstruktur-Suche auf NTFS und für die Datei-
Header-Signatur-Suche nun etwas informativer.

* Fortschrittsanzeigefenster und Möglichkeit zum Abbruch für
die Metadaten-Extraktion.

* Extrahierte Metadaten wurden zuvor der Kommentarspalte
hinzugefügt. Jetzt werden sie in einer separaten Spalte und
mit einem eigenen Filter für Metadaten erfaßt, und die Kom-
mentarspalte ist nun wieder ausschließlich den Kommentaren
des Benutzers vorbehalten.

* Metadaten-Extraktion aus Dateien vom Typ RTF, MP4, 3GP,
M4V, M4A, RIFF (.wav, .avi, …) und IE-Cookies. (nur
forensische Lizenz)

* Intelligente Dateigrößenerkennung für MP4, 3GP, M4V, M4A,
MOV, DBX bei der Datei-Header-Signatursuche und bei Dateien
retten nach Typ. Verbesserte JPEG-Größen-erkennung und
-abschätzung.

* File Header Signatures.txt weiter ausgebaut.

* PDF-Dokumente mit alten, unsichtbaren Bearbeitungsständen
desselben Dokuments werden automatisch mit einer besonderen
Berichtstabelle verknüpft, sobald sie im Details-Modus
gesehen oder ihre interne Metadaten extrahiert wurden. (nur
mit forensischer Lizenz) Mit dem Wissen, daß alte Revisionen
enthalten sind, können versierte Benutzer diese dann bei
Interesse sichtbar machen.

* Extrahiert die interne Erzeugungszeitstempel von Cookies
des Internet Explorer, Norton Ghost .gho und PGP pubring.pkr
Keyring-Dateien. (nur mit forensischer Lizenz)

* Unterstützung von INFO2-Dateien im Preview-Modus/beim
Einsehen.

* Möglichkeit, die meisten SPL-Drucker-Spool-Dateien einzu-
sehen. Möglichkeit, EMF-Dateien aus SPL-Drucker-Spool-
Dateien mit mehreren Seiten zu extrahieren (s. Datei-Über-
blick erweitern, nur mit forensischer Lizenz).

* thumbs.db-Dateien und viele Windows-Registry-Dateien, die
über die Datei-Header-Signatursuche gefunden werden, werden
nun mit ihrem ursprünglichen Namen aufgelistet bzw. wieder-
hergestellt. Intelligente Größenerkennung für Windows-Registry-
Dateien.

* Microsoft-XPS-Dokumente werden nun wie Archive behandelt,
so daß insbes. die XML-Dateien darin bei logischen Suchen
ordnungsgemäß abgedeckt werden (natürlich wie üblich nur so-
fern der Inhalt von Archiven mit den Dateiüberblick aufge-
nommen wurde).

* Möglichkeit, bequem die E-Mail zu finden, die den ausge-
wählten Dateianhang enthält, über einen neu eingeführten
Befehl im Verzeichnis-Browser-Kontextmenü. (Nur mit foren-
sischer Lizenz.) Nicht für AOL PFC.

* Dateianhänge und eingebettete Dateien in E-Mails, die
selbst Anhänge von anderen E-Mails sind (da z. B. in dieser
Form weitergeleitet), können nun aus der äußeren E-Mail
extrahiert werden, wenn Sie der Reihe von Dateinamensmasken
für die E-Mail-Extraktion *.eml hinzufügen.

* Korrekte Unicode-Konvertierung von und zu den Windows-Code-
pages zwischen Nr. 50220 und 50230.

* Beim erneuten externen Betrachten einer Datei, die bereits
zuvor in das Verzeichnis für temporäre Dateien zum externen
Betrachten kopiert wurde und dort noch liegt, wird die Datei
nun nicht noch einmal dorthin kopiert, was insbes. bei großen
Video-Dateien Zeit spart.

* Möglichkeit, sofort und automatisch neu erzeugte Roh-Images
und .e01-Evidence-Files zu verifizieren, indem deren Hash-
Werte mit den Images neu berechnet werden. (nur mit foren-
sischer Lizenz)

* Option, ein Asservats im aktiven Fall sofort durch ein von
ihm erzeugtes Image zu ersetzen, wenn ein Datenträger gesichert
wird, der ein Asservat des aktiven Falls ist.

* Beim Erzeugen von Roh-Image-Dateien oder .e01-Evidence-Files
von Volumes/Partitions mit WinHex gibt es nun eine Option,
freie Cluster in Form von Nullbytes zu speichern. (nur mit
Specialist- oder forensischer Lizenz). Das ist nützlich,
wenn Sie das Image zu Backup-Zwecken und nicht zu forensi-
schen Zwecken erstellen, um zusammen mit der Komprimierungs-
option Plattenplatz zu sparen. Diese Option ist nicht in
X-Ways Forensics verfügbar, um die versehentliche Erzeugung
von nicht forensisch einwandfreien Images von vornherein
auszuschließen.

* Möglichkeit, die NTFS-Kompression für neu erzeugte Roh-
Image-Dateien in Datei | Datenträger-Sicherung direkt
festzulegen: keine, Sparse oder normale Kompression.

* Nun vollständige Unicode-Unterstützung im technischen
Detailbericht, in der technischen Beschreibung von Asservaten
und in der technischen Beschreibung in .e01-Evidence-Dateien.

* Verbesserte Unicode-Unterstützung für textuelle Registry-
Einträge im Registry-Viewer und im Registry-Bericht.

* Im Registry-Bericht können Binärdaten wie „RecentDocs“ nun
optional als Unicode-Text interpretiert werden, was es z. B.
erlaubt, Dateinamen zu erkennen, die aus Buchstaben bestehen,
die nicht in der Codepage Lateinisch 1 enthalten sind.

* Der automatisch vorgeschlagene Dateiname für den Registry-
Bericht hängt nun von der verwendete Definitionsdatei ab.
Nützlich, um versehentliches Überschreiben von Berichten zu
verhindern, die auf anderen Registry-Schlüssel basieren und
zu anderen Zwecken erstellt wurden, und um leicht den Zweck
des Berichts ersehen zu können, sofern die Definitionsdatei
bereits geeignet benannt war.

* Wenn Sie einen Eintrag in einem geladenen Hive im Registry-
Viewer anklicken und sich das Datenfenster mit dem Datenträger/
Image, von dem aus der Hive geladen wurden, im Dateimodus
befindet, springt der Cursor nun automatisch auf den jewei-
ligen Eintrag in der Registry-Datei im Dateimodus, und er
wird automatisch in der Datei als Block ausgewählt. Dies
erlaubt es einem, insbes. binäre Registry-Einträge sowohl
hexadezimal als auch als Text zu sehen, und Binäreinträge
leicht in Binärform oder als Text zu kopieren, nicht nur als
Hex-ASCII wie zuvor.

* Möglichkeit, die Copylog-Datei als tabulatorseparierte
ASCII- oder Unicode-Textdatei anstelle von HTML mitschreiben
zu lassen. Darüber hinaus gibt es nun eine Option, nur den
Zieldateinamen und -pfad und gar keine ursprünglichen Meta-
daten in zusätzlichen Spalten auszugeben. Auch andersherum
hat der Benutzer die Wahl, nur die ursprünglichen Metadaten
auszugeben und keinen Zieldateinamen und -pfad.

* Neue Option: Die in einem Datenfenster angezeigten Bytes
können nun in der Textspalte einzeln dargestellt werden, oder
WinHex kann versuchen sie zu kombinieren, was wenn die in
Windows aktive Codepage ein Doppel-Byte-Zeichensatz ist
wünschenswert sein kann, um die Zeichen richtig angezeigt
zu bekommen (wenn 2 Bytes 1 Zeichen entsprechen), oder aus
optischen Gründen wegen der dann variablen Zeilenlänge auch
nicht wünschenswert sein kann.

* Beim verteilten Indexieren versucht X-Ways Forensics nun
Unterschiede in den jeweiligen Indexierungseinstellungen
der diversen Beteiligten zu erkennen (Optionen wie Codepages,
Teilwortberücksichtigung, Zeichenvorrat usw.). Wenn erkannt,
bekommt zumindest einer der Beteiligten eine Warnung angezeigt,
bevor das Indexieren auf seinem Computer startet. In einer
gemeinsamen Indexierungsoperation sollten natürlich die
Einstellungen auf allen Computern gleich sein.

* Interpretierte Roh-Images werden nun im Dialogfenster „Ziel-
datenträger wählen“ der Funktion Extras | Disk-Tools |
Datenträger klonen zur Auswahl angeboten. Nur mit Specialist-
oder forensischer Lizenz. Nicht in X-Ways Forensics. Nützlich,
wenn Sie selektiv bestimmte in Sektoren ausgedrückte Bereiche
von einem Image oder einem Datenträger in ein anderes, bereits
bestehendes Image hineinkopieren möchten.

* Die Logs für Datei-Überblick erweitern, logische Suche und
die Indexierung, die die internen IDs der verarbeiteten Dateien
enthalten, um im Falle eines Absturzes die dafür verantwort-
liche Datei identifizieren zu können, werden nun nicht mehr
in separaten Log-Dateien gespeichert und nicht mehr im Meta-
daten-Verzeichnis des jeweils betroffenen Asservats. Statt
dessen wird nun eine einzige Datei namens „VS.log“ in dem
Verzeichnis erzeugt, in den X-Ways Forensics ausgeführt wird,
und sie wird bei jeder neuen Operation wieder überschrieben.
Das bedeutet, daß Sie nicht mehr nach der richtigen Log-Datei
der letzten Operation zu suchen brauchen, und es wird auch
Plattenplatz gespart. Wie zuvor können Sie der letzten Zeile
in einer solchen Datei die interne ID der zuletzt verarbei-
teten Datei entnehmen. Neu: Die Art der Operation und der
Name des betreffenden Datenträgers/Images können Sie aus der
ersten Zeile ersehen.

* Es wurde ein Ausnahmefehler behoben, der im Zusammenhang mit
sehr langen Image-Dateinamen und -Pfaden auftreten konnte.

* Es wurde ein Fehler behoben, der dazu führte, daß bestimmte
GREP-Suchtreffer wie Unicode-Treffer angezeigt wurden. (seit
v14.6 SR-1)

* Drei neue investigator.ini-Options: Verhindern des Neuein-
lesens des Datei-Überblicks. Verhindern, daß beliebige Dateien
extern mit dem jeweils verknüpften Programm geöffnet werden.
Verhindern, daß andere externe Viewer-Programme festgelegt
werden.

* Zwei neue investigator.ini-Optionen seit v14.6 SR-2: Verhin-
dern des Entfernens von Asservaten aus dem Fall. Nichtverfüg-
barkeit des Befehls Wiederherstellen/Kopieren. Dieser Befehl
ist in X-Ways Investigator nach wie vor nie verfügbar. Tatsäch-
lich gedacht ist diese Option nur für X-Ways Forensics, wenn
X-Ways Forensics aus Gründen der vereinfachten Bedienbarkeit
für Nicht-Computerspezialisten mit der Benutzeroberfläche von
X-Ways Investigator betrieben wird, dieser Befehl aber doch
verfügbar sein soll.

* Verzeichnisse in PST-E-Mail-Archiven, deren Namen echte Uni-
code-Zeichen enthalten, können nun beim Extrahieren von E-Mail
repliziert werden. Dies schlug bisher unter Verweis auf unzu-
lässige Verzeichnisnamen fehl. Die Unicode-Zeichen gehen aber
nach wie vor verloren und werden durch einen Unterstrich er-
setzt. (seit v14.6 SR-2)

* Ein Ausnahmefehler wurden behoben, der beim Betrachten be-
stimmter Suchtreffer im Vorschaumodus auftreten konnte. (seit
v14.6 SR-2)

* Es wurde ein Fehler behoben, der dazu führen konnte, daß
beim Anzeigen von Sektoren hinter der 2-TB-Grenze eines Daten-
trägers oder Images nicht die richtigen Daten angezeigt wurden.
(seit v14.6 SR-2)

* Verzeichniseinträge in weiteren Clustern nach dem ersten
Cluster von Verzeichnissen in FAT12-/FAT16-Dateisytemen, die
Unterverzeichnisse des Stammverzeichnisses sind und deren Namen
nur aus 1-2 Zeichen bestehen, wurden bisher ignoriert. Dateien,
die in solchen Verzeichniseinträge definiert waren, konnten nur
über eine Datei-Header-Signatur-Suche gefunden werden. Dies
wurde behoben. (seit v14.6 SR-3)

* Einige Instabilitäten in der Unterstützung für bestimmte
Dateitypen wurden korrigiert. (seit v14.6 SR-3)

* Viele kleinere Verbesserungen, einige kleinere Fehler-
korrekturen.