X-Ways Forensics: Update 16.3 und neue X-Ways Produkte

Posted on 8.192 Besucher AuthorAlexander GeschonneckLeave a comment

Neben dem Update von X-Ways Forensics auf 16.3 mit vielen Neuerungen, gibt es vom gleichen Hersteller nun zwei zusätzliche Produkte: X-Ways Imager und X-Ways Investigator CTR.

Bevor ich die Neuerungen in Version 16.3 beschreibe, möchte ich kurz auf die beiden neuen Produkte eingehen, wobei sie eigentlich gar nicht so neu sind, da es sich im Wesentlichen um „Ausgliederungen“ bekannter Features von X-Ways Forensics in separate Einzelprogramme handelt.

X-Ways Imager ist die reduzierte Version von X-Ways Forensics, die nur für die Sicherung der Datenträger verwendet werde kann. Dieses Werkzeug ist nicht mir X-Ways Capture zu verwechseln, welches eine Beweismittelsicherung im laufenden Betrieb ermöglicht.

X-Ways Investigator CTR ist eine neue, noch weiter im Funktionsumfang reduzierte Version von X-Ways Investigator, die ausschließlich Datei-Containers von X-Ways Forensics und X-Ways Investigator öffnen kann, keine sonstigen Images und keine Datenträger. X-Ways Investigator CTR ist exklusiv als Zusatzprodukt für X-Ways Forensics gedacht, zum Aufteilen der Auswertungsarbeit auf mehrere Ermittler/Sachbearbeiter oder wenn Dateien in Containern an andere mit einem Fall befaßte Personen weitergegeben werden sollen, die nur ausgewählte Dateien zu sehen brauchen, sehen sollen oder sehen dürfen. X-Ways Investigator CTR entspricht praktisch einem extrem mächtigen Viewer-Programm für Container, mit vielen nützlichen Features wie Filter, Stichwortsuchen, Berichterzeugung, Kommentarmöglichkeiten usw. Also eigentlich ein prima Werkzeug für Staatsanwälte für eine erste schnelle Beweismittelsichtung oder ein generelles Early Case Assessment.

Ich hoffe, dass es dies nun erstmal war mit der Ausgliederung von einzelnen Features. 😉

Was listet nun die Changelog für Version 16.3 auf?

Datei-Container

  • Ein neues Datei-Container-Format wurde eingeführt. Das neue Format kann von diversen Computerforensik-Tools verstanden werden, die nicht von X-Ways stammen. Ältere Versionen von WinHex (mit Specialist-Lizenz oder höher), X-Ways Forensics und X-Ways Investigator können es ebenfalls verstehen. All diese Tools können die Datei-Inhalte und die grundlegensten Metadaten lesen (z. B. Dateiname, Pfad, diverse Attribute, Dateigröße, die meisten Zeitstempel, existierend oder gelöscht). Um die größtmögliche Menge von Metadaten aus einem Container zu importieren, verwenden Sie WinHex/X-Ways Forensics/X-Ways Investigator 16.3 oder neuer. Aus Kompatibilitäts- und Nostalgiegründen können Sie in v16.3 immer noch Container im alten Format erzeugen.
  • Das neue Format verhindert, daß Sie dieselben Dateien versehentlich zweimal in den gleichen Container kopieren.
  • Das Schreiben und Lesen besonders großer Container sollte mit dem neuen Format nun schneller sein (noch genauer zu testen).
  • Das neue Format speichert Kommentare und Datei-Klassifizierungen (Berichtstabellenverknüpfungen) nunmehr intern, nicht mehr in separaten Dateien in einem Metadaten-Unterverzeichnis. Sowohl Kommentare als auch Berichtstabellenverknüpfungen können nun auch in Tools anderer Hersteller eingesehen werden, die das neue Format verstehen.
  • Künstliche Verzeichnisse können optional in Containern des neuen Formats angelegt werden, um Unterobjekte von Dateien aufzunehmen, zur besseren Kompatibilität mit Tools, die Dateien nicht als Unterobjekte von anderen Dateien akzeptieren (Tools anderer Hersteller sowieso WinHex/XWF/XWI 15.9 und älter). WinHex/XWF/XWI 16.0 und neuer (jeweils neuestes Service-Release) brauchen keine solchen künstlichen Verzeichnisse.
  • Container (sowohl im alten als auch im neuen Format) speichern neuerdings die gültige Datenlänge (englische Microsoft-Terminologie: valid data length) von Dateien, die aus Dateisystemen stammen, die dieses Feld unterstützen, auch wenn die gültige Datenlänge nicht kleiner als die logische Dateigröße ist.
  • Dateien, die in NTFS oder in Zip-/RAR-Archiven verschlüsselt sind, werden beim Kopieren in Datei-Container nicht mehr komplett ausgelassen. Sie werden jetzt mit ihren Metadaten aufgenommen, so daß der Empfänger/Bearbeiter des Containers leicht sehen kann, daß an der betreffenden Stelle ursprünglich verschlüsselte Dateien lagen. Die verschlüsselten Daten zu solchen Dateien werden weiterhin nicht mit kopiert (und ergeben ohne ihren Kontext ohnehin keinen Sinn). Zip-/RAR-Archive, die Verschlüsselung für einige oder alle Dateien, die sie enthalten, verwenden, werden natürlich vollständig mitsamt ihren Daten kopiert, und wurden schon immer so kopiert.
  • Anfängliche Nullbytes werden beim expliziten Kopieren nur des Schlupfes einer Datei in einen Container nun gezielt ausgelassen. Konsequenterweise wird das entstehende Objekt im Container dann auch in der Attributspalte als bloßen Ausschnitt des Originals gekennzeichnet.
  • Dateien in Containern, die im Original-Asservat Unterobjekte aufwiesen, werden im Container nicht mehr als Dateien mit Unterobjekten gekennzeichnet, wenn nicht mind. eines dieser Unterobjekte auch tatsächlich mit in den Container aufgenommen wurde.

Datei-Header-Signatur-Suche

  • Die individuellen Standard-Dateigrößen der Datei-Header-Signatur-Suche werden nun in Bytes statt KB angegeben, um präziseres Ausgliedern von Daten zu ermöglichen. Das ist nützlich insbes. dann, wenn man keine ganzen Dateien sucht, sondern bloß Datensätze, Einträge, Mikroformate, Netzwerkverkehr-Artefakte im Hauptspeicher u. ä.
  • Möglichkeit, gleichzeitig Dateien bestimmter Typen an Sektorgrenzen und Dateien anderer Typen auf Byte-Ebene zu suchen. Zu diesem Zweck kann das Flag „b“ (für „Byte-Ebene“) in einer neu hinzugekommenen Spalte in den Datei-Header-Signatur-Definitionen eingetragen werden. Erlaubt es, ganze Dateien und einzelne Datensätze o. ä. im selben Durchgang zu suchen.
  • Datei-Header-Signatur-Suchen auf Byte-Ebene können nun auch auf Asservate angewandt werden, die physische Datenträger sind (in denen partitionierte Bereiche übersprungen werden, weil die Partitionen als zusätzliche Asservate separat behandelt werden).
  • Ein weiteres Flag „f“ kann in der neuen letzten Spalte zum Ausdruck bringen, daß die betreffende Footer-Signatur gedacht ist zum Finden von Daten, die nicht mehr Teil der Datei sind und aus der auszugebenden Datei exkludiert werden sollen. Das ist anders als bei gewöhnlichen Footern, die Bestandteil von aus Sektoren ausgegliederten Dateien sind/werden.
    Dieses neue Flag „f“ ist nützlich für Dateiformate, die eigentlich keinen wohldefinierten Footer aufweisen, wobei das Ende der Datei dann u. U. anhand des Auftretens von Daten erkannt werden kann, die nicht mehr zu der Datei gehören können. Das könnte z. B. dieselbe Signatur wie die des Headers sein (wenn Dateien des jeweiligen Typs typischerweise in Gruppen auftreten, direkt hintereinander) oder einfach \x00 (für Dateiformate wie ASCII-Textdateien, die keine Nullbytes enthalten, bei denen \x00 jedoch mit hoher Wahrscheinlichkeit im RAM-Schlupf erwartet werden kann). Solche Footer-Signaturen sollten als exklusiv gekennzeichnet werden, weil die Daten, die mit ihnen gefunden werden, nicht selbst Teil der Datei sind.
  • Ein weiteres neues, analog zu verstehendes Flag „h“ kann anzeigen, daß die angegebene Header-Signatur als exklusiv zu verstehen ist, so daß sie Daten findet, die nicht Teil der Datei sind und die aus den Sektoren ausgegliederte Datei erst direkt dahinter anfängt. Gewöhnliche Header hingegen sind Teil der Dateien.
  • Die Option zum Suchen von Datei-Header-Signaturen nur an Cluster-Grenzen wurde aufgegeben.

Datei-Format-Unterstützung

  • Der Registry-Viewer unterstützt nun Registry-Hives von Windows 8.
  • Die Pfad-Wiedergabe des „gesprächigen“ Modus der Registry-Berichts für Ausdrucke wurde überarbeitet.
  • Unterstützung von Datei-Archiven überarbeitet. Fähigkeit zum Auffinden und Lesen von Dateien in bestimmten defekten Zip-Archiven, die WinZip, WinRAR und 7-Zip nicht finden können.
  • Unterstützung von Bildern mit extrem hoher Auflösung (größer als ca. 25 MP).
  • Fähigkeit zum Filtern nach Bildern mit einem Hautfarbenanteil von x % oder weniger. Ein sehr niedriger Anteil oder 0% kann nützlich sein, um eingescante Dokumente zu finden, die mit voller Farbtiefe gescant wurden statt mit Graustufen und daher minimale Abweichungen von einer reinen Grauskala enthalten und folglich nicht als Schwarz-Weiß/Graustufen-Bilder von X-Ways Forensics klassifiziert werden.
  • Zusätzlicher Überblick über Log-In- und Log-Off-Vorgängen am Ende der Interpretation von .evtx Event-Logs.
  • Für mit einem roten X markierte Dateien wird keine Extraktion interner Metadaten mehr versucht.
  • Bei der Metadaten-Extraktion wird nun eine Berichtstabellenverknüpfung für solche TIFF-Dateien erzeugt, die aus mehreren Seiten bestehen.
  • Performanz der Konsistenzprüfung von JPEG-Dateien verbessert.
  • Mehr Exif-Metadata aus JPEG-Dateien extrahierbar: focal length, lens model, F number, serial number, firmware, image unique ID
  • Ein etwaiges vorhandenes Signierdatum kann nun aus ausführbaren Dateien (.exe, .dll, …) extrahiert werden.
  • Interne Erzeugungszeitstempel können nun aus Zertifikatsdateien extrahiert werden (.cat, .cer, .ctl).
  • Fähigkeit zum Auffinden von Dateien vom Typ .itc2 iTunes Artwork Cache per Datei-Header-Signatur-Suche und Fähigkeit zum Auffinden von in ihnen eingebetteten PNG-Dateien.
  • Beschleunigung der E-Mail-Extraktion aus Exchange EDB. Speicherbedarf für Extraktion aus Exchange EDB reduziert.
  • Überarbeitete Standard-Dateityp-Maske für E-Mail-Extraktion schließt nun MS Office 2011 für Mac mit ein (*.olk14MsgSource), um die Extraktion von Datei-Anhängen zu ermöglichen.

Bedienbarkeit

  • Es ist jetzt möglich, durch Drücken der Esc-Taste eine Suchtrefferliste in Richtung normalem Verzeichnis-Browser zu verlassen und dort sofort automatisch zu der Datei zu navigieren, in der ein ggf. zuletzt ausgewählte Suchtreffer enthalten war.
  • Durch Drücken der Multiplikationstaste auf dem Nummernblock der Tastatur sowie durch Drücken der Sterntaste kann ein Verzeichnis oder eine Datei mit Unterobjekten im Verzeichnis-Browser neuerdings erkundet werden. Nützlich, wenn Sie Doppelklicke und die Eingabe-Taste bereits zum Einsehen von Dateien mit Unterobjekten verwenden.
  • Es ist jetzt möglich, die Sterntaste genau wie die Multiplikationstaste (Windows-Standard) zum vollständigen rekursiven Aufklappen des Verzeichnisbaumes vom ausgewählten Verzeichnis aus abwärts zu drücken. Nützlich z. B. auf Laptop-Computern ohne Nummernblock (und damit ohne Multiplikationstaste).
  • Die Tastenkombination Strg + Pfeiltaste Links bzw. Rechts kann nun zum Zurück- und Vorwärtsnavigieren verwendet werden, genau wie die Menübefehle und Werkzeugleistensymbole für Vor und Zurück.
  • Die Befehle Vor und Zurück berücksichtigen nun das Wechseln vom normalen Verzeichnis-Browser zur Suchtrefferliste und andersherum und können solche Wechsel rückgängig machen.
  • Es ist jetzt möglich, Verzeichnisse oder Dateien mit Unterobjekten, die Suchtreffer enthalten, innerhalb der Suchtrefferliste zu erkunden. Beachten Sie allerdings, daß Sie etwaige Unterobjekte nur dann sehen würden, wenn diese ebenfalls Suchtreffer enthalten. Falls sie keine Suchtreffer enthalten, sehen Sie statt dessen eine Erinnerung daran, daß Ihnen die Zurück-Funktionalität offensteht sowie das Drücken der Esc-Taste zu Rückkehr in den normalen Verzeichnis-Browser, wo Sie die Unterobjekte dann definitiv sehen könnten, zumindest wenn alle Filter ausgeschaltet sind.
  • Die Anzahl der herausgefilterten Suchtreffer in der Suchtrefferliste bei aktivem Filter ist nun eine intuitiv verständlichere Zählweise.
  • Separater Menübefehl zum Hinzufügen von Hauptspeicher-Abbildern zu einem Fall.
  • Der Modus Disk/Partition/Container in X-Ways Investigator versteckt nun die Hex- und Textspalte und zeigt statt dessen einige nützliche Informationen über den Datenträger/Container und über den Datei-Überblick.
  • Neue Einstellungsmöglichkeiten in investigator.ini:
    -40 verhindert Suchen mit GREP-Syntax
    -41 verhindert Hautfarbenerkennung
    -42 verhindert Ausgabe des Fallprotokolls im Fallbericht
    -43 verhindert Ausgabe des Hauptteils des Fallberichts
    -44 verhindert das Exportieren von Berichtstabellenverknüpfungen
    -45 verhindert Datei-Export zur Analyse
    -46 verhindert Exportieren von Teilbäumen
    -47 verhindert Verwendung des Menübefehls „Liste exportieren“
    -48 verhindert Metadaten-Extraktion
  • Einzelne Original-E-Mail-Dateien, die auf einem Datenträger vorgefunden werden (wie .eml, .emlx oder .olk14MsgSource) werden nun in der Attr.-Spalte als verarbeitete Original-eml gekennzeichnet, wenn sie verarbeitet wurden (E-Mail-Extraktion beim Erweitern des Datei-Überblicks) und kann danach nach diesem Merkmal gefiltert werden. Nützlich um alle einzelnen Original-E-Mails unter alle künstlich produzierten .eml-Dateien (die extrahierte E-Mails repräsentieren) mit dem Attr.-Filter zu erfassen.

Physische Datenquellen

  • Fähigkeit zum Rekonstruieren von RAID-Systemen des Typs Level 6, genauer gesagt folgender Varianten: Backward Parity (Adaptec), Forward Parity und Forward Delayed Parity mit beliebiger Parity-Start-Komponente.
  • Fähigkeit zum Rekonstruieren von RAID-Systemen des Typs Level 5 Forward Delayed Parity und Forward Dynamic Delayed Parity (WiebeTech/CRU-Dataport).
  • Schablone für GPT-Partitionstabellen nun im Lieferumfang enthalten und aufrufbar über das Verzeichnis-Browser-Kontextmenü (beim Rechtsklick auf die virtuelle Datei, die den Anfang einer GPT-partitionierten Platte repräsentiert) und über das Aufklappmenü des Schalters mit dem weißen Pfeil.
  • Fähigkeit zum Schreiben von Sektoren unter Windows Vista und 7 verbessert.
  • Es ist nun möglich, den Befehl Datei | Datenträger-Sicherung auf lokalen physischen RAM anzuwenden, der von X-Ways Forensics selbst unter Windows XP or 2000 geöffnet wurde.

Diverses

  • Die Option der Absturzsicherheit bei der Text-Decodierung wird nun, wenn ganz gewählt, auch auf .eml-Dateien angewandt, was in früheren Versionen aus Performanzgründen nicht geschah.
  • Suchtreffer und ihr Kontext können nun auch korrekt angezeigt werden, wenn sie in UTF-8 gespeichert sind.
  • Sicherheitsoption zum Überprüfen der CRCs von Chunks beim Lesen von .e01-Evidence-Files.
  • Seltenen Fehler „Internal error 2010“ behoben, den in früheren Versionen bei logischen Suchen auftreten konnte.
  • Interpretation von Zeitstempeln in Ext*-Dateisystemen nun unabhängig von Einstellungen im Daten-Dolmetscher für UNIX/C-Datumsangaben, wie es sein sollte.
  • Einige Ausnahmefehler behoben, die bei der Metadaten-Extraktion auftreten konnten.
  • Versehentliche Ausgabe von Dummy-Einträgen im Registry-Bericht korrigiert.
  • Fähigkeit zum Sortieren nach der Suchbegriffsspalte.
  • Fehler bei E-Mail-Extraktion aus Exchange EDB behoben.
  • Relativer Pfad zur Viewer-Komponent (wie z. B. .\viewer) jetzt ganz unterstützt. Nützlich bei portabler Anwendung von X-Ways Forensics auf Live-Systemen und Start auf einem mitgebrachten USB-Stick o. ä.
  • Viele kleinere Verbesserungen.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert