X-Ways Forensics: Update 15.4

Wie so oft an dieser Stelle, möchte ich gern auf die neue Version von X-Ways Forensics 15.4 hinweisen. Die Liste der Bugfixes und neuen Features:

* Stark reduzierter Hauptspeicherbedarf für größere Datei-Überblicke, d. h. Datei-Überblicke von Partitionen mit besonders vielen Dateien, was das Öffnen und Analysieren von Partitionen erlaubt mit vielen mehr Millionen Dateien (rd. 100% mehr) bei gleich viel verfügbarem RAM als früher. Beachten Sie, daß das Format der Datei-Überblicke sich geändert hat, so daß frühere Versionen Datei-Überblicke von v15.4 und später nicht öffnen können!

* Mit den Befehlen „Vor“ und „Zurück“ im Positionsmenü und den Vor- und Zurück-Schaltern in der Symbolleiste können Sie bequem zurückkehren zu bestimmten Einstellungen des Verzeichnis-Browsers. Dies berücksichtigt erkundeten Pfad,
rekursiv oder nicht rekursiv, Sortierkriterien, Ein-/Aus-Zustand aller Filter, Einstellungen einiger Filter sowie einige Verzeichnis-Browser-Optionen. Die Befehle Vor und Zurück erlauben auch das erneute Aktivieren eines zuvor aktiven Datenfensterns, wenn Sie zwischen einzelnen Fenstern hin- und herwechseln. (nur mit forensischer Lizenz)

* Bestimmte Filter verhalten sich jetzt etwas „intelligenter“, wenn man von einem übergeordneten Objekt zu einem Unterobjekt navigiert oder umgekehrt, so daß er sich selbständig abschaltet, wenn das sinnvoll ist. Nur mit forensischer Lizenz. Beispiele:
– Wenn Sie einen Filter verwenden, um rekursiv nur extrahierte E-Mails aufzulisten, und dann eine einzelne E-Mail doppelt anklicken, um im Verzeichnis-Browser einen Blick auf ihre Datei-Anhänge zu werfen, wird der Filter automatisch deaktiviert, so daß Sie diese Datei-Anhänge tatsächlich sehen können. Ein einfacher Klick auf den Zurück-Schalter bringt sie dann wieder zur vorherigen Liste aller E-Mails zurück, aktiviert den Filter
wieder und wählt die doppelt angeklickte E-Mail aus, so daß Sie die Begutachtung aller E-Mails komfortabel mit der nächsten E-Mail in der Liste fortsetzen können!
– Wenn Sie einen Filter verwenden, um sich auf Videos oder Dokumente zu konzentrieren, und dann ein Video oder ein Dokument doppelt anklicken, um die exportierten Einzelbilder des Videos zu sehen bzw. die im Dokument eingebetteten Bilder, dann wird der Filter ebenfalls automatisch abgeschaltet.
– Wenn Sie sich Video-Einzelbilder in der Gallerie als kleine Miniaturansichten ansehen und die Rücksetz-Taste drücken oder den Menübefehl „Übergeordnetes Objekt aufsuchen“ aufrufen, um zu dem Video zu navigieren, aus dem das Einzelbild exportiert wurde, z. B. um dieses Video anzuschauen, dann wird der Attributfilter für Video-Einzelbilder deaktiviert, so daß das Video tatsächlich im Verzeichnis-Browser aufgelistet wird. Ein einfacher Klick auf den Zurück-Schalter kehrt zur vorherigen Übersicht der Einzelbilder zurück, aktiviert den Filter wieder und wählt das betreffende Einzelbild erneut aus!
– Dies funktioniert analog mit Datei-Anhängen von E-Mails, wenn Sie gelegentlich für relevante Datei-Anhänge einen Blick auf die enthaltene E-Mail werfen (und diese ausdrucken oder in einen Bericht aufnehmen) möchten.

Diese zwei neuen Features zusammen, intelligente Filter auf der einen Seiten und Vor-/Zurück-Navigation im Verzeichnis-Browser auf der anderen Seite, sollten die Bedienbarkeit der Software weiter stark verbessern.

* Es ist jetzt möglich, Verzeichnisse und Dateien mit Unterobjekten, die im Asservatüberblick aufgelistet sind, von dort aus zu erkunden, indem man sie doppelt anklickt. Dann rückt automatisch das Datenfenster in den Vordergrund, das das Asservat
repräsentiert, das jenes Verzeichnis bzw. jene Datei enthält. Mit dem Zurück-Befehl (zweimal anwenden) kann man bequem zurück zum Asservat-Überblick gelangen, oder man aktiviert das Fenster, das den Asservat-Überblick enthält, einfach selbst wieder, z. B.
durch Klick auf die Registerkarte.

* Es ist jetzt möglich, die Anzahl von Suchtreffern zu ausgewählten Suchbegriffen in der Suchbegriffsliste abzulesen und auch zu kopieren. Diese Zahlen basieren auf den aktuellen Einstellungen für die auf dem Bildschirm aufgelisteten Suchtreffer und hängen ab von Filtern, dem erkundeten Pfad, etwaigen UND-Verknüpfungen von Suchbegriffen usw. (nur mit forensischer Lizenz)

* Man kann nun auch im Index nach mehr als 1 Suchbegriff auf einmal suchen. Es ist außerdem jetzt möglich, die beiden Optionen für die Index-Suche bei einer Index-Suche vom Asservat-Überblick aus zu steuern. (betrifft nur forensische Lizenzen)

* Typischweise können in NTFS-Dateisystemen nun noch mehr gelöschte Dateien bei der intensiven Dateisystem-Datenstruktur-Suche gefunden und im erweiterten Datei-Überblick untergebracht werden als zuvor. Diese gelöschten Dateien können mit Dateiname, Pfad, Zeitstempeln usw. aufgelistet werden. (nur mit forensischer
Lizenz)
* X-Ways Forensics kann nun oft den echten Löschzeitpunkt von ehemals existierenden Dateien in NTFS-Dateisystemen bei der intensiven Dateisystem-Datenstruktur-Suche ermitteln und in der entsprechenden Spalte im Verzeichnis-Browser eintragen. Noch
mehr Löschzeitpunkte können gefunden und eingetragen werden, wenn die Datei $UsnJrnl:$J eingesehen oder im Vorschaumodus betrachtet wird. Dies ist ein einzigartes Feature. Nur mit forensischer Lizenz. Nicht zu verwechseln mit dem sog. Löschdatum,
das Ihnen andere forensische Tools in NTFS-Dateisystemen u. U. anzeigen, für Dateien, die in dem Dateisystem nicht mal gelöscht wurden.

* Option zum Ausschließen ehemals existierender Dateien aus dem Datei-Überblick bei desse Erzeugung. Nützlich, wenn Sie sich für gelöschte Dateien nicht interessieren oder Sie diese gar nicht ansehen dürfen. S. Option des Datei-Überblicks.

* Option zum Ausschließen der je nach Partitionsgröße lang dauernden Suche nach FILE-Records außerhalb der $MFT aus der intensiven Dateisystem-Datenstruktursuche bei NTFS-Dateisystemen.

* Verbesserte StreamMRU-Decodierung für den Registry-Bericht, um Kenntnis von Ordnern auf Wechseldatenträgern zu erlangen.

* Verbesserte Erkennung von Sektorgröße und alternativen Layouts von Apple-Partitionstabellen in Roh-Images von CDs und DVDs.

* Unterstützung von HFS+-Dateisystemen auf optischen Medien oder in Images mit einer Sektorgröße von 2048 Bytes. Betrifft nur forensische Lizenzen.

* Möglichkeit, die Attribute „Temporärdatei“ und „nicht zu indexieren“ einer Datei auf Ihrem eigenen Datenträger in Datei | Eigenschaften zu setzen oder zu entfernen, über die Buchstaben T bzw. X.

* Weitere der .dir-Dateien, in denen Datei-Überblicke gespeichert sind, .xfi-Index-Dateien sowie Image-Dateien werden nicht mehr von Windows indexiert, wenn die Indexierung eingeschaltet ist, um  Zeit und Plattenplatz zu sparen. Gilt für von v15.4 erzeugte Dateien.

* Das Wechseln zwischen dezimalen und hexadezimalen Offsets durch Klicken in der Offset-Spalte funktionierte in bestimmten Situation in v15.2 und v15.3 nicht mehr. Das wurde behoben.

* Eine Endlosschleife tritt nun nicht mehr auf, die beim Erzeugen eines Index zum Einfrieren führen konnte, wenn das Schreiben von Index-Dateien auf ein entferntes Netzlaufwerk fehlschlug.

* Wenn während des Speicherns eines Falls unter einem anderen Namen/an einem anderen Ort das Auto-Save-Intervall ablief, bracht dies die „Speichern unter“-Operation mit Fehlermeldungen ab. Dies wurde verhindert.

* Wenn dieselbe Datei zum selben Datei-Conainer erneut hinzu- gefügt wird und wenn von der ersten Version der Datei im Container nur Metadaten übertragen wurden (also kein Datei-Inhalt), weil sie nur indirekt mit kopiert wurde, um den Pfad von einem ihrer Unterobjekte im Container korrekt zu replizieren, und wenn dieselbe Datei dann beim zweiten Mal explizit mit Inhalt kopiert wird, dann ersetzt die neue Version mit Inhalt
nun seit v15.3 SR-1 die alte Version ohne Inhalt. Zurvor wäre die Datei nicht erneut kopiert worden.

* Wenn mehrere Suchbegriffe in der ursprünglichen Version 15.3 in der Parallelen Suche bei eingeschalteter GREP-Syntax verwendet wurden, wurde tatsächlich nur der erste Begriff gesucht. Dies wurde mit v15.3 SR-1 behoben.

* Als Teil des Registry-Berichts werden nun weitere Informationen über Benutzerkonten aus dem SAM-Registry-Hive extrahiert. (seit v15.3 SR-1)

* Der Script-Befehl „Convert“ unterstützt nun die Parameter „hiberfil Binary“ zur automatisierten Dekompression von hiberfil.sys. (seit v15.3 SR-1)

* Verläßlichere Erkennung von Dateisystemen in Partitionen, die von konventionellen Apple-Partitionstabellen definiert sind. (seit v15.3 SR-1)

* Mehr Informationen im Nachrichtenfenster beim Erweitern des Datei-Überblicks in mehreren Asservaten auf einmal darüber, welches Asservat gerade bearbeitet wird. (seit v15.3 SR-2)

* Eine alltägliche Situation beim Erweitern des Datei-Überblicks ist, daß Dateien in per Header-Signatur-Suche gefundenen Zip-Archiven nicht geöffnet werden können, weil die Zip-Archive unvollständig oder beschädigt sind. In diesem Fall wird die Anzahl der Fehlermeldungen, die im Nachrichtenfenster ausgegeben werden, mittlerweile beträchtlich reduziert, die betroffenen Dateien werden in der Attributspalte mit „Dateiinhalt unbekannt“ gekennzeichnet und es werden keine weiteren Versuche unternommen, solche Dateien zu öffnen. Dies sollte das Erweitern des Datei-
Überblicks beschleunigen und die allgemeine Stabilität verbessern. (seit v15.3 SR-2)

* Das NTFS-Attribut für „nicht zu indexieren“ wird nun in der Attributspalte als „X“ ausgegeben. (seit v15.3 SR-2)
* Mehr Informationen über $UsnJrnl:$J im Vorschau-Modus. (seit v15.3 SR-2)

* Der Registry-Bericht extrahiert nun Festplatten-Signaturen und Partitionsstartsektoren aus „MountedDevices“-Einträgen. (seit v15.3 SR-2)

* Ein scheinbarer Verlust von Suchtreffern konnte in bestimmten Situationen auftreten. Dies hatte mit der neuen Speicherart für Suchtreffer in v15.3 zu tun und wird seit SR-3 verhindert. Suchtreffer, die aufgrund dieses Fehlers scheinbar verlorengingen,

werden von v15.3 SR-3 und später automatisch wiederhergestellt, sofern keine neuen Suchläufe im selben Asservat angestoßen wurden
* Suchtreffer in der decodierten Version von PDF/HTML/…-Dateien konnten u. U. in v15.3 vor SR-3 mit falschem Inhalt dargestellt werden, abhängig vom Sortierkriterium. Dies wurde mit v15-3 SR-3 behoben.

* Das Öffnen von großen NTFS-Partitionen (nicht das Erstellen des Datei-Überblicks, sondern das bloße Öffnen und jedes Öffnen) ist nun deutlich schneller. (seit v15.3 SR-3)

* Die Bezeichnungen der Registerkarten von Fenstern, die interpretierte Images oder Partitionen in Images repräsentieren, sind nun kürzer, so daß mehr Registerkarten auf den Bildschirm passen. Die Partitionsnummern werden zudem in den Registerkarten nicht herausgekürzt, auch wenn der Name des Images lang ist. (seit v15.3 SR-3)

* Die Anzeige der RAID-Komponente und der relativen Sektornummer in intern rekonstruierten RAIDs in der Informationsspalte wurde korrigiert für RAID Level 0. Sie funktionierte bisher nur für RAID Level 5. (seit v15.3 SR-3)

* Der Fall wird nun wieder sofort nach dem Abschluß oder dem Abbruch einer Suche gespeichert, so daß Suchtreffer nicht verlorengehen, sollte das Programm vor dem nächsten regulären Speichern des Falls abstürzen. (seit v15.3 SR-4)

* Möglichkeit, Dateien mit Wiederherstellen/Kopieren incl. Pfad zu kopieren, wenn Teil des Pfades ein Verzeichnis ist, dessen Name lediglich aus einem Punkt besteht. Nützlich für Dateien, die assoziiert sind mit Spuren von alten NTFS-Stammverzeichnissen.Allein nur der Punkt ist für Windows ein unzulässiger Name; daher wird „.“ beim Herauskopieren umbenannt in „_“. (seit v15.3 SR-4)

* Verhindert, daß unser Firmenname als Ersatz für eine fehlende ursprüngliche „X-Mailer“-Zeile in E-Mails eingefügt wird, die aus Outlook-Ordnern „Gesendete Objekte“ extrahiert werden. (seit v15.3 SR-4)

* Daß der Fallbericht nach seiner Erzeugung nicht geöffnet werden konnte, wenn der vom Benutzer angegebene Dateiname keine .html-Endung hatte, wurde behoben. (seit v15.3 SR-4)

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert