X-Ways Forensics ist nun in der Version 15.0 erschienen. Der Versionssprung rührt wahrscheinlich daher, dass man bei 14.9 angelangt war. Die Indexierung ist wesentlich überarbeitet worden – ich werde die neue Version gleich mal mit ein paar Problemimages füttern. Die Viewer-Komponente ist ebenfalls aktualisiert worden, also bitte auch installieren. Für Leser von Andreas Schusters Blog und Freunde der Sandman-Bibliothek wird sicherlich der folgende Hinweis aus den Release Notes von Interesse sein: „Die hiberfil.sys-Dekompression arbeitet nun getreuer dem Originalcode von Microsoft. “ 😉
* Der Indexierungsalgorithmus in X-Ways Forensics wurde mit
großem Aufwand überarbeitet. Er nutzt nun explizit mehrere
Prozessorkerne, sofern vorhanden, und läuft bei Vorhandensein
mehrerer Kerne schneller, insbesondere wenn man die für
die (optionale) Optimierung benötigte Zeit einberechnet.
* Die Dateityp-Signaturen-Datenbank unterscheidet nun zwischen
Signaturen, die nur für die Dateityp-Prüfung nützlich sind
(um den Typ von solchen Dateien herauszufinden, die bereits
im Datei-Überblick enthalten sind, nur mit forensischer
Lizenz) und Signaturen, die stark und wichtig genug sind,
um sie auch für die Datei-Header-Signatur-Suche einzusetzen,
d. h. um weitere, ehemals existierende Dateien zu finden.
Dazu liegen X-Ways Forensics nun zwei verschiedene Definitions-
dateien bei.
Der Sinn liegt darin zu verhindern, daß arglose Benutzer
einfach *alle* Dateitypen für die Suche auswählen, bei
schwachen Signaturen zu viele falsche Treffer bekommen, zu
viele nicht funktionierende Dateien zu erhalten (z. B. über-
lappende MPEG-Fragmente, die nicht abspielbar sind), zu viele
irrelevante Dateien bekommen (z. B. Schriftarten und Maus-
zeiger-Dateien), die Suche unnötig verlangsamen und sich über
die vorgenannten Effekten wundern oder beschweren. Es ist
natürlich nach wie vor möglich, manuell neue Dateityp-
Definitionen für die Datei-Header-Signatur-Suche hinzuzufügen
oder bewußt Dateityp-Definitionen aus einer Definitionsdatei
in die andere zu verschieben, wenn man weiß, was man tut.
* Es sind diverse weitere Dateityp-Signatur- und Kategorie-
Definitionen hinzugekommen. Es werden nun bis zu 4096 Dateityp-
Definitionen für die Typprüfung und bis zu 1024 Definitionen
für die Datei-Header-Signatur-Suche unterstützt statt zuvor
nur ca. 255.
* Die Namenskonventionen für per Signatur gefundene Dateien
hat sich leicht geändert. Die Dateien werden nun basierend
auf einer fortlaufenden Nummer benannt, die für jedes Asservat
hochgezählt wird.
* Ehemals existierende Dateien, deren erste Cluster bekannter-
maßen an andere Dateien neu vergeben wurden, werden nicht
mehr auf ihren wahren Dateityp hin überprüft.
* Beim Überprüfen von Dateitypen unternimmt X-Ways Forensics
für solche Dateien, deren Typ nicht mit Hilfe der Einträge
in der Datei-Signaturen-Datenbank erkannt werden kann, nun
noch weitere Anstrengungen. Das ist nützlich, damit Dateitypen
erkannt werden können, die keine feststehende Signatur haben,
wie z. B. E-Mails, Quellcode von Programmiersprachen, Stapel-
verarbeitungsdateien, diverse andere Arten von Textdateien
u. v. a. m.
* Die Benennung von extrahierten .eml-Dateien nach der Be-
treffzeile erfolgt nun normalerweise authentischer, wenn
diese in einer asiatischen Codepage codiert ist.
* Einige kleinere Verbesserungen bei der E-Mail-Verarbeitung.
* Bei der Ausgabe von Berichtstabellen in den Fallbericht
ist es nun möglich, den Bericht z. B. zum Ausdrucken schmaler
zu machen, indem unvorhersehbar lange und evtl. durch fehlende
Leerzeichen nicht automatisch umbrechbare Dateinamen und Pfade
künstlich nach einer benutzerdefinierten Anzahl von Pixeln
umgebrochen werden. Damit kann man vermeiden, daß der Bericht
breiter wird als eine druckbare Seite, insbes. wenn man mehr
als eine Datei pro Zeile in einer Berichtstabelle ausgibt.
* Es ist in X-Ways Forensics jetzt möglich, manuell einen
Block im Modus Volume/Partition/Disk zu definieren und ihn
dem Datei-Überblick als eine herausgeschnitzte („gecarvete“)
Datei hinzuzufügen. Nützlich, wenn Sie die Daten in einem
bestimmten Bereich (z. B. HTML-Code oder lose E-Mails, die
im freien Speicher herumliegen) wie eine Datei behandeln
lassen möchten, um sie beispielsweise betrachten, speziell
durchsuchen, kommentieren oder in einen Bericht ausgeben zu
können. Der Befehl dazu kann im Bearbeiten-Menü gefunden
werden. Der Name des virtuellen Verzeichnisse für heraus-
geschnitzte Dateien muß aufgrund diese Funktion nun allge-
meiner ausfallen (bisher: „Per Signatur gefunden“). Der
neue Name ist „Aus Sektoren ausgegliedert“. Beachten Sie,
daß Sie virtuelle Verzeichnisse nennen können, wie Sie
möchten (s. Verzeichnis-Browser-Kontextmenü), da der Name
ohnehin auch von X-Ways Forensics frei gewählt wird und
einfach nur zweckmäßig sein soll.
* Eine neue Option für den Verzeichnis-Browser, genannt
„Vollpfadsortierung übergeordneter Objekte“, wurde für
Objekte mit Unterobjekten eingeführt. Die Wirkung besteht
darin, daß bei rekursiver Erkundung und bei Sortierung nach
Pfad, Unterobjekte im Anschluß an ihre jeweiligen Eltern-
objekte angeordnet werden. Z. B. folgen gewöhnliche Dateien
dann ihren Elternverzeichnissen; E-Mails den E-Mail-Archiven,
aus denen sie extrahiert wurden; E-Mail-Anhänge den ent-
haltenden E-Mails; komprimierte Dateien den Archiven, in
denen sie liegen usw.
* Zip- und Rar-Archive, von denen X-Ways Forensics weiß,
daß sie Dateien verschlüsselt enthalten, werden nun auch
selbst als verschlüsselt gekennzeichnet, mit dem Vermerk
„e!“ in der Attributspalte (dateiformatspezifisch ver-
schlüsselt). Erlaubt es, sich bequemer als früher auf
solche Dateien konzentieren zu können, um sie etwas heraus-
zukopieren. (Einige Benutzer waren sich der bisherigen
Möglichkeit dazu nicht bewußt.)
* Beim Betrachten von Suchtreffern in der decodierten
Version von z. B. PDF-Dokumenten sehen Sie im „Roh“-
Vorschaumodus nun den rohen decodierten Text nun exakt
so, wie er auch für die Suche verwendet wurde. Die kann
nützlich sein, wenn die Viewer-Komponenten einen Such-
treffer nicht in der normalen Ansicht eines PDF-Dokuments
hervorheben kann.
* Es können nun zwei weitere externe Betrachtungsprogramme
hinterlegt werden.
* Der oberste Teil des Details-Modus („Daten aus dem Datei-
Überblick“) wird nun in Form einer Tabelle angezeigt, was
optisch ansprechender ist.
* Metadaten-Extraktion aus BMP-Dateien und (auf logischen
Laufwerksbuchstaben) aus EXE/DLL-Dateien.
* RAID-Zusammensetzung: Es wird nun auch eine Stripe-Größe
von 1 Sektor unterstützt.
* Diverse weitere kleinere Verbesserungen. Mehrere Ausnahme-
fehler in speziellen Situationen verhindert.
* Bitte beachten Sie, daß .cfg Konfigurationsdateien von
früheren Versionen nicht mehr weiterverwendet werden können.
* Die Version 8.2.2 der Viewer-Komponente wurde am 31. Mai
zum Download bereitgestellt. Sie unterstützt nun JPEG-2000-
Dateien, läuft offiziell unter Windows 2008 Server und
enthält diverse Patches und Bug-Fixes. Die Installation
dieses Updates wird empfohlen. (nur mit forensischer Lizenz)
* Die ursprüngliche Version 14.9 von X-Ways Forensics
14.9 hat die Viewer-Komponente nicht automatisch für den
Verschlüsselungstest geladen, so daß es bei dem Test zu
einer Fehlermeldung kam, wenn die Viewer-Komponente nicht
vorher schon aus einem anderen Anlaß heraus geladen wurde.
Dies wurde behoben mit v14.9 SR-1.
* Fehler bei einigen Kontrollkästchen im Attributfilter-
Dialog in der ursprünglichen Version 14.9 behoben (seit
v14.9 SR-2).
* Beim Kopieren von Dateien mit Unterobjekten aus einer
rekursiven Ansicht ohne Wiederherstellung des Originalpfads
erstellt X-Ways Forensics nun keine nach diesen Dateien
benannten leeren Unterverzeichnisse mehr (seit v14.9 SR-2).
* Ein Fehler wurde behoben, der beim Anhängen einer Datei
an eine Datei im Stammverzeichnis eines Volumes auftreten
konnte (seit v14.9 SR-2).
* Eine Endlosschleife wurde behoben, die in einige seltenen
Situationen beim Auffinden von OLE2-Compound-Dateien per
Signatur auftreten konnte (seit v14.9 SR-3).
* Beim Anwenden der logischen Suche auf ausgewählte Dateien
in einem rekursiv erkundeten Verzeichnis hatte das Pausieren
der Suche zum Einsehen der Suchtreffer den Abbruch der Suche
zur Folge. Dies wurde mit v14.9 SR-3 behoben.
* Eine Instabilität im Indexierungsalgorithmus wurde mit
der Version 14.9 SR-3 behoben.
* Ein selten auftretender Fehler wurde behoben, bei dem
zu viele Zeichen aus bestimmten Ext*-Verzeichniseinträgen
mit im Dateinamen ausgegeben wurden. (seit v14.9 SR-3)
* Ein Fehler wurde behoben, der unter bestimmten Umständen
dazu führte, daß in Container kopierte Datei-Anhänge darin
unter „Pfad unbekannt“ aufgeführt wurden. (seit v14.9 SR-3)
* Der GREP-Anker \b funktioniert nun auch bei eingeschal-
teter 16-Bit-Option (seit v14.9 SR-4).
* Die hiberfil.sys-Dekompression arbeitet nun getreuer dem
Originalcode von Microsoft. (seit v14.9 SR-4)
* Mögliche versehentliche Doppeltaufnahme von Dateien mit
Unterobjekten in Datei-Containern verhindert. (seit v14.9
SR-5)
* Bestimmte Ausnahmefehler beim Extrahieren von E-Mails
aus E-Mail-Archiven verhindert. (seit v14.9 SR-5)
* Seit v14.8 wurde die Spalte „Besitzer“ im Verzeichnis-
Browser in bestimmten NTFS-Dateisystemen nicht mehr gefüllt.
Dies wurde behoben. (seit v14.9 SR-5)