Mit wesentlichen Änderungen in der Analyse von Hauptspeicherinhalten wartet Version 15.2 des Forensikwerkzeugs X-Ways Forensics auf. Lange hat man nichts mehr von dem Hersteller aus Köln gehört. Im einzelnen gibt der Hersteller folgende Verbesserungen bekannt:
* Hauptspeicheranalyse. Erfordert eine forensische Lizenz.
Die Analyse ist verfügbar für lokalen RAM (geöffnet über Extras
| RAM öffnen) und für Memory-Dumps. Unterstützt die 32-Bit-
Versionen von Windows 2000, Windows XP, Windows 2003 Server,
Windows Vista und Windows 2008 Server.
Prozesse werden im Verzeichnis-Browser aufgelistet, mit ihren
Zeitstempeln und Prozeß-IDs, und ihr jeweiliger Speicheradreß-
raum kann individuell im Modus „Process“ eingesehen werden,
wobei die Seiten in korrekter logischer Reihenfolge hinter-
einander dargestellt werden, wie sie aus Sicht jedes Prozesses
angeordnet sind. Die „intensiven Dateisystem-Datenstruktur-
Suche“ ist signaturbasiert, dauert ein bißchen länger als das
Erstellen des standardmäßigen Datei-Überblicks und kann Spuren
von weiteren beendeten Prozessen sowie Rootkits aufdecken.
Der technische Detailbericht gibt wichtige systemweite Parameter
aus sowie die aktuellen Adressen wichtiger Kernel-Datenstrukturen.
Im Details-Modus finden sich zu jedem Prozeß die Adressen von
prozeßbezogenen Datenstrukturen und jeweils die ID des über-
geordneten Prozesses. Im RAM-Modus wird zu jeder Speicherseite
in der Informationsspalte ggf. ein zugehöriger Prozess und der
Verwaltungszustand angezeigt.
Mit dem entsprechenden Hintergrundwissen kann die neue Funk-
tionalität benutzt werden, um mehr zu erfahren über den
aktuellen Zustand der Maschine und der Prozesse, Sockets,
geöffnete Dateien, geladene Treiber und angeschlossene Daten-
träger, um Schadsoftware zu identifizieren, um die entschlüsselte
Version von verschlüsselten Daten zu finden, um etwa in der
Vorfallsanalyse Netzwerk-Spuren zu analysieren, und um weitere
Erkenntnisse im Bereich der Speicherforensik zu gewinnen.
* Arbeitsspeicher kann mit X-Ways Forensics auch über ein
Netzwerk hinweg gesichert werden, mit Hilfe von F-Response 2.x,
seit v15.1 SR-5 (Extras | Datenträger öffnen).
* Der Befehl „Speichern unter“ steht nun auch für Datenträger
bzw. über F-Response geöffnetes RAM zur Verfügung (noch eine
weitere Möglichkeit, ein Image zu erzeugen).
* Wenn mehr als 1 GB Hauptspeicher verfügbar ist, nutzt die
Index-Optimierung den Speicher nun besser aus, was zu einer
beträchtlichen Beschleunigung dieses Schritts für große Indexe
führen kann.
* Es gibt nun zwei verschiedene Kontrollkästchen im Fenster
„Suche im Index“. Das Ankreuzen des ersteren hilft, Wörter
innerhalb von Verbünden zu finden (z. B. „Konto“ in „Bankkonto“
und „Unterkonto“). Wie schon in früheren Versionen, ist das
Ergebnis ist allerdings unvollständig und langsam, wenn der
Index nicht schon speziell für Teilwortsuchen präpariert wurde.
Das Ankreuzen des zweiten Kontrollkästchens erlaubt Wort-
verlängerungen (findet z. B. „Drogen“ bei der Suche nach
„Droge“ und „Bankkonto“ bei der Suche nach „Bank“). Das
Finden von Wortverlängerungen war in früheren Versionen die
Standardeinstellung. Jetzt ist es optional. Wenn beide Kontroll-
kästchen *nicht* angekreuzt sind, werden nur ganze Wörter
gefunden.
* Hash-Sets können nun nach Wichtigkeit eingestuft werden.
Das ist nützlich, weil beim Abgleich von Hash-Werten mit
der Hash-Datenbank immer nur maximal 1 Treffer zurückgegeben
wird, auch wenn derselbe Hash-Wert in mehreren Hash-Sets
enthalten ist. Jetzt können Sie sicherstellen, daß Sie in
einem solchen Fall das für Sie relevanteste Hash-Set gemeldet
bekommen, z. B. ein Hash-Set, das Kipo-Bilder ohne Zweifel
identiziert und nicht ein anderes Hash-Set aus einer anderen
Quelle, in dem auch die Hash-Werte von weniger eindeutig dem
Bereich Kipo zuzuordnenden Bilddateien enthalten sind.
Ebenfalls neu ist, daß im Fall von mehreren Treffern in der
Hash-Set-Spalte hinter dem Namen des jeweils zurückgemeldeten
Hash-Sets nun ein „+“-Zeichen angezeigt wird.
* Sie können nun Unicode-Zeichen bei der Benennung von
Hash-Sets verwenden.
* Zur Erhöhung der Bequemlichkeit erinnern sich WinHex und
X-Ways Forensics nun an das zuletzt ausgewählte Objekt und
weitere Einstellungen des Verzeichnis-Browsers und stellen
sie wieder her, wenn Sie Datenfenster und Asservate erneut
öffnen. Das erleichtert es, die eigene Arbeit (die Begutachtung
von Dateien) nach einer Pause oder Unterbrechung an gleicher
Stelle fortzusetzen.
* Datei-Container, die mit der neuen Version erstellt wurden,
speichern nun auch die Hash-Kategorie von Dateien und den
Hautfarbenanteil von Bildern.
* X-Ways Forensics kann nun Hash-Werte vom Typ SHA-1 von .e01
Evidence-Files importieren, wie sie neuerdings optional von
EnCase 6.12 bereitgestellt werden. (Beachten Sie, daß Sie in
X-Ways Forensics niemals auf MD5 beschränkt waren.)
* Es ist nun möglich, ein Asservat durch einem neuen Datenträger
zu ersetzen (Laufwerksbuchstabe oder physischer Datenträger).
Nützlich, wenn Sie mit Originalplatten und nicht mit Images
arbeiten, und der Laufwerksbuchstabe oder die Plattennummer
sich in Windows geändert hat.
* Die Grafikbibliothek wurde aktualisiert. Einige Probleme
mit der Anzeige von Bildern wurden damit behoben.
* Möglichkeit zum Interpretieren von ISO-CD-Images im Mode 1
mit 2.352 Bytes pro Sektor, sofern diese Images nicht segmentiert
sind.
* Es ist jetzt möglich, existierende und gelöschte Dateien
in separaten Ausgabeverzeichnissen zu gruppieren, wenn Sie
den Befehl Wiederherstellen/Kopieren verwenden. Erfordert,
daß Sie X-Ways Forensics auch den Originalpfad wiederherstellen
lassen.
* Möglichkeit, Dateien wiederherzustellen, deren Originalpfad
Verzeichnisnamen mit Leerzeichen am Ende enthält, obwohl
Windows dies nicht erlaubt, indem diese Leerzeichen entfernt
werden.
* Für intern rekonstruierte RAIDs wird nun in der Informations-
spalte die Nummer der Komponentenplatte angezeigt, von der
der aktuelle Sektor (der Sektor mit dem blinkenden Cursor)
gelesen wurde, zusammen mit der relativen Nummer, die der
Sektor auf dieser Komponentenplatte hat.
* Es ist jetzt möglich, auch in einer Suchtrefferliste Dateien
zu unterdrücken. Solche Dateien werden tatsächlich heraus-
gefiltert, wenn Sie unterdrückte Objekte nicht auflisten
lassen, sobald Sie den Enter-Schalter im Suchbegriffsfenster
anklicken, um die Suchtrefferliste neu zu füllen.
* Beim Identifizieren und Unterdrücken von doppelten Dateien
war es bisher möglich, daß Verbünde von E-Mails und Attachments
aufgespalten wurden, weil das übergeordnete Objekt (die
E-Mail) von einem Verbund und das Unterobjekt (der Dateianhang)
eines anderen anderen Verbunds unterdrückt wurde. Der Algorithmus
wurde verbessert, um die Qualität der Untersuchung zu verbessern,
indem diese nicht wünschenswerte Situation nun vermieden wird.
Identische E-Mails mit unterschiedlichen Dateianhängen (Unter-
objekten) werden als Duplikate gekennzeichnet, aber nicht mehr
unterdrückt. Identische Anhänge (Unterobjekte) werden als
Duplikate gekennzeichnet, aber nur dann indirekt unterdrückt,
wenn sie Teil von identischen E-Mails sind und diese auch
unterdrückt werden.
* Nach der Verarbeitung von E-Mail zeigt X-Ways Forensics nun
Datei-Anhänge als Unterobjekte von E-Mails statt in einem
virtuellen Verzeichnis namens „Attach“ an, in einigen wenigen
Fällen, in denen dies bisher noch nicht so geschah.
* Ein Benennungsproblem wurde behoben, für E-Mails, die aus
msg-Dateien extrahiert wurden, welche dem Datei-Überblick
als virtuelle Dateien von extern angehängt worden waren.
* Es ist jetzt möglich, alle Dateien eines ganzen Verzeichnisses
auf einmal an einen Daten-Überblick anzuhängen, nicht nur
einzelne Dateien, wenn Sie die Strg-Taste beim Aufruf des
Befehls im Kontextmenü des Verzeichnis-Browsers gedrückt
halten. Nützlich z. B., nachdem Sie Tausende von .msg-Dateien
aus einem .pst- oder .ost-E-Mail-Archiv mit der Viewer-
Komponente extrahiert haben, um sie zurück in X-Ways Forensics
zur weiteren Verarbeitung zu importieren.
* Ein Fehler in der Funktion „Unterdrücktes ganz entfernen“,
der seit v14.8 existierte, wurde behoben.
* Icons von unterdrückten Dateien werden nun in Grau statt
blau angezeigt. Icons von verdächtigen Dateien werden nun in
Rot statt blau angezeigt.
* Beim Hinzufügen einer Datei zu einer Berichtstabelle ist es
nun möglich, gleichzeitig auch rekursiv all deren Unterobjekte
zu derselben Tabelle hinzuzufügen, nicht nur direkte Unterobjekte.
* Möglichkeit, wtmp- und utmp-Log-In-Datensätze von Unix/Linux
einzusehen.
* Erkennt das Dateisystem TFAT als solches.
* Wenn Sie die empfehlenswerte Datenreduktion für logische
Suchen einschalten, werden Dateien, die als verschoben/umbenannt
gekennzeichnet sind, nicht mehr durchsucht, da dieselben Daten
bereits durchsucht werden, wenn die betreffende Datei in ihrem
neuen Verzeichnis/unter ihrem neuen Namen an die Reihe kommt.
* Diverse kleinere Verbesserungen.
* Ein Ausnahmefehler vom Typ 216 bei Offset 00550348 beim
Erstellen eines Datei-Überblicks in der ursprünglichen Version
15.2 wurde mit SR-1 behoben.
* Ein Ausnahmefehler, der in seltenen Fällen beim Optimieren
eines Indexes auftreten konnte, wurde ebenfalls mit v15.2
SR-1 behoben.
* Es gibt nun zwei Interpretationen von $LogFile im Vorschau-
Modus und für den Einsehen-Befehl. Die neue Interpretation
gibt Ihnen einen leicht verständlichen Überblick über gelöschte
Dateien mit Löschzeitpunkt (bis dato nicht verfügbar und
ein weiteres Alleinstellungsmerkmal von X-Ways Forensics).
In Fällen, in denen der Löschzeitpunkt fehlt, kann zumindest
manuelle ein Zeitrahmen, in dem die Löschung erfolgt sein
muß, abgeleitet werden. Die alte Interpretion, eine weitaus
vollständigere und detailliertere Ansicht von $LogFile, ist
noch immer verfügbar, wenn Sie den Roh-Modus aktivieren.
(seit v15.1 SR-1)
* Eine Ausnahmesituation, die während einer Suche im Index
auftreten konnte, wurde behoben. (seit v15.1 SR-1)
* Das Markieren von Dateien in einer rekursiven Ansicht hatte
nicht immer den richtigen Effekt auf Verzeichnisse. Dies wurde
korrigiert. (seit v15.1 SR-1)
* Ein Ressourcen-Leck wurde behoben, das zutage trat, wenn
man versuchte, aus Tausenden von Dateien E-Mails zu extrahieren.
(seit v15.1 SR-1)
* Verschobene oder umbenannte Dateien in NTFS-Partitionen,
von denen nur Index-Records verfügbar sind und deren Dateigröße
unbekannt ist, werden nun auch in der Galerie, nicht nur im
Vorschau-Modus angezeigt. (Allerdings beides nur, wenn der
neue Zustand der Datei, wie er in einem FILE-Record definiert
ist, das Öffnen der Datei erlaubt.) (seit v15.1 SR-2)
* Wenn E-Mail aus paßwortgeschützten Outlook-PST-Archiven
extrahiert werden soll und der Benutzer nicht innerhalb von
30 Sekunden reagiert und zustimmt, ein Paßwort einzugeben,
fährt X-Ways Forensics mit der nächsten Datei fort. (seit
v15.1 SR-2)
* Datei-Container können nun nach dem Befüllen beim Schließen
nicht nur in einer .e01-Datei verpackt, sondern optional in
ihrem aktuellen Zustand auch „eingefroren“ werden, so daß sie
nicht noch weiter befüllt werden können (selbst nach Rück-
konvertierung in ein Roh-Image). Solche Container werden im
technischen Detailbericht als schreibgeschützt beschrieben.
(seit v15.1 SR-2)
* Möglichkeit, Hybride von RAR mit JPEG oder Bitmap-Dateien
zu erkennen, bei der Extraktion von Metadaten sowie im Details-
Modus. (seit v15.1 SR-2)
* Mehr Informationen über RAR-Dateien im Details-Modus. (seit
v15.1 SR-2)
* Instabilität des Registry-Viewers unter Windows Vista
beseitigt. (seit v15.1 SR-2)
* Eine Instabilität wurde korrigiert, die beim Dekomprimieren
bestimmter hiberfil.sys-Dateien auftreten konnte. (seit v15.1
SR-2)
* Ein Problem beim Verarbeiten von signierten E-Mails
(x-pkcs7-Signatur) von Eudora wurde behoben. (seit v15.1 SR-2)
* Erhöhte Genauigkeit bei der Konvertierung bestimmter E-Mails
von Office Outlook. (since v15.1 SR-2)
* Einige weitere kleinere Verbesserungen und Fehlerkorrekturen
bei der E-Mail-Verarbeitung. (seit v15.1 SR-2)
* Ein Fehler, der die Anzeige von GIF-Bildern für den Rest einer
Sitzung nach Anzeige des bestimmten GIF-Bildes verhinderte, ist
behoben worden. (seit v15.1 SR-3)
* Die von Windows auf Festplatten hinterlassene Signatur wird
nun im technischen Detailbericht mit ausgegeben. (seit v15.1
SR-4)
* Zip-Dateien, die OpenOffice-Dokumente sind, werden nun bei
der Signatursuche normalerweise wieder mit der korrekten
Dateigröße dargestellt. (seit v15.1 SR-4)
* Nach dem Abgleich von Hash-Werten mit der Hash-Datenbank,
wenn eine andere Hash-Datenbank geladen wird und die Hash-
Werte nicht wieder mit der neuen Datenbank abgeglichen werden,
werden Bezüge auf Hash-Sets in der alten Datenbank nicht mehr
als gültig anerkannt, was verhindert, daß ein falsches
Hash-Sets in der Hash-Set-Spalte angezeigt wird. Die Hash-
Kategorie hingegen war immer unabhängig von der Hash-Datenbank
gespeichert worden. (seit v15.1 SR-4)
* Die Fortschrittsanzeige für den Wiederherstellen/Kopieren-
Befehl wurde korrigiert. (seit v15.1 SR-4)
* Die Anzeige zweier Meldungsfenster wurde vermieden, die
in sehr speziellen Situationen beim Erweitern des Datei-Über-
blicks Benutzerinteraktion erzwangen. (seit v15.1 SR-4)
* Das Abwählen der Option „Unterobjekte gewählter Dateien
kopieren“ hatte nicht immer den gewünschten Effekt. Das wurde
behoben. (seit v15.1 SR-5)
* Der GREP-Anker „$“ funktionierte nicht richtig für größere
Dateien. Das wurde korrigiert. (seit v15.1 SR-5)
* Das Unvermögen der Funktion Bearbeiten | Daten modifizieren,
größere Dateien zu verarbeiten, wurde behoben. (seit v15.1 SR-6)
* Einige Ausnahmefehler wurden verhindert. (seit v15.1 SR-6)
* Ein Fehler im Wiederherstellen/Kopieren-
der Anzeigefehler im Fortschrittsanzeigefenster zur Folge hatte
und dazu führen konnte, daß bestimmte Dateien nicht wieder-
hergestellt wurden (gefolgt von einer Fehlermeldung, die
besagte, daß die ursprünglichen Zeitstempel oder Attribute
nicht auf die Datei übertragen werden konnten, weil die Datei
nicht gefunden wurde). (seit v15.1 SR-7)
* Ein Zeitzonen-Umrechnungsfehler für Zeitstempel in der neuen
$LogFile-Interpretation (nicht im Roh-Modus) wurde behoben.
(seit v15.1 SR-7)
* Möglichkeit, den Menübefehl Bearbeiten | Alles auswählen
(aber nicht das Tastenkürzel dazu) auf Fenster der Viewer-
Komponente anzuwenden. (seit v15.1 SR-7)
* Der Befehl „Speichern unter“ für Fälle kann nun auch mit
überlangen Pfaden in Unterverzeichnissen des Falls umgehen
(bis zu 510 Zeichen). (seit v15.1 SR-8)
* Ein Fehler wurde behoben, der unter bestimmten Umstände
eine falsches Muster zum internen Zusammensetzen von RAID-5-
Systemen mit Forward Parity zur Folge hatte. (seit v15.1 SR-8)