X-Ways Forensics: Update 17.0(!)

Ich veröffentliche hier ja eigentlich nicht mehr so konsequent jeden neuen Versionssprung von Forensik-Werkzeugen. Beim Update auf X-Ways Forensics 16.7 17.0 will ich aber mal eine Ausnahme machen.(Beachten Sie, daß sich die meisten Änderungen nur auf X-Ways Forensics beziehen, die forensische Edition von WinHex.)

Netzwerk-Dongle

  • Fähigkeit, X-Ways Forensics 17.0 und folgende Versionen (auch v16.9 SR-4 und v16.8 SR-10) mit Netzwerk-Dongles zu verwenden. Netzwerk-Dongles sind ab jetzt optional anstellen von normalen Dongles erhältlich. Ein einzelner Netzwerk-Dongle kann x Lizenzen repräsentieren und x normale Dongles ersetzen und es den Benutzern ermöglichen, X-Ways Forensics auf x Rechnern im selben Netzwerk gleichzeitig laufen zu lassen. Der Netzwerk-Dongle wird an einen beliebigen Rechner im Netzwerk angeschlossen und den Client-Systemen durch ein Dongle-Server-Programm oder einen -Service zur Verfügung gestellt. Falls ein Client-System mehrere Netzwerk-Dongles findet, kann der Nutzer einen davon beim Start von X-Ways Forensics auswählen. Falls einer dieser Dongles bereits vollständig verwendet ist hinsichtlich der Anzahl Lizenzen, die er repräsentiert, kann der Nutzer dies sehen und einen anderen Dongle wählen. Praktischerweise kann ein Netzwerk-Dongle auch lokal wie ein gewöhnlicher Dongle oder ein Multi-User-Dongle verwendet werden, wenn nötig!Sie haben die Wahl, neue Lizenzen mit einem Netzwerk-Dongle statt normaler Dongles zu bestellen, abhängig von der Anzahl Lizenzen entweder umsonst oder gegen einen Aufpreis. Wenn Sie bereits viele Lizenzen besitzen, können wir Ihnen anbieten, viele oder alle Ihrer existierenden normalen Dongles gegen einen einzelnen Netzwerk-Dongle einzutauschen. Viele weitere Informationen zu Dongles im allgemeinen und Netzwerk-Dongles im Besonderen finden Sie auf http://www.x-ways.net/forensics/dongle-d.html#types.

Dateisystem-Unterstützung

  • In neu erzeugten Datei-Überblicken von HFS+-Volumes mit harten Verweisen können Sie solche Dateien jetzt direkt einsehen und müssen die zugehörige sogenannte indirekte Knoten-Datei nicht mehr manuell aufsuchen (diejenige, deren Name die iNode-Nummer enthält, die in der Kommentar-Spalte angegeben ist).
  • Neu erzeugte Datei-Überblicke unterstützen jetzt ein neues Konzept: „zugehöriger“ Dateien; die miteinander verwandt sind auf andere Weise als Eltern-Kind- und Geschwister-Beziehungen. Die zugehörige Datei für harte Verweise in HFS+ zum Beispiel ist die entsprechende indirekte Knoten-Datei. Die zugehörige Datei für Dateien, die in Schattenkopien in NTFS gefunden wurden, ist die Schattenkopie-Trägerdatei. Die zugehörige Datei für eine Schattenkopie-Trägerdatei ist die zugehörige Snapshot-Properties-Datei (in der Typ-Spalte als „snapprop“ bezeichnet). Weitere Arten von n:1-Beziehungen sind in zukünftigen Versionen vorstellbar. Dateien, für die eine zugehörige Datei definiert ist, werden links neben in ihrem Icon mit einem kleinen blauen, nach unten zeigenden Pfeil versehen.
  • Ein neuer Befehl im Kontextmenü des Verzeichnis-Browsers (im Untermenü Navigation) erlaubt das bequeme Aufsuchen der zugehörigen Datei, falls eine solche für die ausgewählte Datei existiert. Sie können auch Umschalt+Rücksetztaste drücken, um zur verwandten Datei zu navigieren. Dies ist analog zum alleinigen Betätigen der Rücksetztaste, was zur Eltern-Datei bzw. -Verzeichnis navigiert.
  • Für Dateien, die von v17.0 und später in Schattenkopien gefunden werden, zeigt die Attr.-Spalte jetzt die fortlaufende Nummer des Snapshots an, in dem diese gefunden wurden, wie von der Snapshot-Properties-Datei angezeigt.
  • Vermeidet weitere bedeutungslose identischen Spuren von Dateien, die in Schattenkopien gefunden werden.
  • In neu erzeugten Datei-Überblicken von NTFS-Volumes erhalten Dateien mit harten Verweisen jetzt eine Sonderbehandlung. Ein zusätzlicher harter Verweis, der lediglich einen kurzen Dateinamen bereitstellt, um die 8.3-Bedingungen alter Microsoft DOS/Windows-Versionen zu erfüllen, wird nicht mehr als Verweis gezählt. Stattdessen wird für solche Dateien ihre Verweis-Zählung in der Verweise-Spalte des Verzeichnis-Browsers mit einem ° markiert. Auf diese Art repräsentiert die Verweis-Zählung besser die tatsächlich im Datei-Überblick von X-Ways Forensics vorhandenen harten Verweise, und normale Dateien haben immer einen Wert 1, während 2 oder mehr wirklich eine Besonderheit bedeutet.
  • Ein Filter für die ID-Spalte ist jetzt verfügbar, mit dem bequem andere harte Verweise einer gegebenen Datei ermittelt werden können (außer in HFS+).
  • Wenn eine Datei mit harten Verweisen in Dateisystemen mit direkter Unterstützung für harte Verweise (nicht HFS+) eingesehen wird, werden die anderen harten Verweise optional jetzt ebenfalls zugleich als bereits eingesehen markiert, wie von früheren Versionen bekannt für Duplikate laut Hash.
  • Wenn eine Berichtstabellen-Verknüpfung gleichzeitig auch für Duplikate der ausgewählten Dateien erzeugt wird, schließt dies jetzt auch die anderen harten Verweise derselben Datei mit ein (außer in HFS+).
  • Unterstützung von tiefer verschachtelten Unterverzeichnissen in Ext*-Dateisystemen.

Suchfunktionen

  • In neu erzeugten Datei-Überblicken von NTFS-Volumes können alle „echten“ harten Verweise (d. h. alle außer kurze Dateinamen) bis auf einen bequem von der logischen Suche und der Indexierung ausgeschlossen werden. Heutzutage finden sich in Windows-Installationen oft zwischen 10.000 und 100.000 harte Verweise von Systemdateien, zum Beispiel 27 Verweise auf eine Datei wie „Ph3xIB64MV.dll“ in Verzeichnissen wie etwa
    \Windows\System32\DriverStore\FileRepository\ph3xibc9.inf_amd64_neutral_ff3a566e4…
    \Windows\System32\DriverStore\FileRepository\ph3xibc2.inf_amd64_neutral_7621f5d6…
    \Windows\System32\DriverStore\FileRepository\ph3xibc5.inf_amd64_neutral_2270382…
    \Windows\winsxs\amd64_ph3xibc9.inf_31bf3856ad364e35_6.1.7600.16385_none_a0a…
    \Windows\winsxs\amd64_ph3xibc5.inf_31bf3856ad364e35_6.1.7600.16385_none_9e7…
    \Windows\winsxs\amd64_ph3xibc12.inf_31bf3856ad364e35_6.1.7600.16385_none_64…
    etc. etc.
    Indem man nur einen Verweis einer Datei durchsucht, kann man typischerweise mehrere GB an doppelten Daten ausschließen und verpaßt dennoch nichts, wenn man alle anderen Dateien durchsucht. Die zusätzlichen harten Verweise, die ausgeschlossen werden, werden in der Spalte Verweise mit einem Stern (*) markiert. Suchtreffer im einzigen Verweis, der durchsucht wurde, werden mit dem Hinweis „-> Verweise“ in der Spalte Anmerk. versehen, um Sie an die anderen harten Verweise derselben Datei zu erinnern, falls diese Suchtreffer relevant sind.
  • Unterstützung für eine weitere künstlich definierte Codepage, die es ermöglicht, UTF-16-Text zu suchen und zu lesen, der von MS Outlook in sogenannter komprimierbarer Verschlüsselung kodiert ist.
  • Es ist jetzt möglich in bis zu sechs Codepages gleichzeitig suchen oder indexieren zu lassen.
  • Die bereits früher unterstützte künstliche nicht-Unicode-Codepage für MS Outlook komprimierbare Verschlüsselung arbeitet jetzt auf der Basis einer nutzerdefinierten Codepage (standardmäßig identisch mit derjenigen, die in Ihrem Windows-System für Nicht-Unicode-Anwendungen aktiv ist), nicht nur Latin 1. Unter Umständen wichtig für Sprachen, die nicht westeuropäisch sind. Outlook verwendet die Windows-System-Codepage in seiner alten, nicht-Unicode-fähigen Variante von PST.
  • PST- und OST-Dateien werden von der logischen Suche und der Indexierung jetzt nicht mehr ausgeschlossen, wenn die empfehlenswerte Datenreduktion aktiv ist und E-Mails und andere Outlook-Daten daraus extrahiert wurden, dafür aber MBOX.
  • Suchtreffer in allen Varianten von UTF-16, die nicht an geradzahligen Offsets ausgerichtet sind, werden in der Anmerk.-Spalte als „unaligned“ gekennzeichnet, als kleiner Hinweis und Erklärung, warum Sie den Text nur in der die Ausrichtung beachtenden Kontext-Vorschau der Suchtreffer-Spalte lesen können, aber nicht in der Text-Spalte.
  • Logische Suchen decken jetzt auch ganz speziell den Übergangsbereich zwischen nicht-initialisierten (aber physisch allokierten) Bereichen von Dateien zu unmittelbar folgendem freien Speicher ab, falls die Option „Übergang Dateischlupf/freier Speicher“ aktiv ist.
  • Fähigkeit, eine logische Suche in ausgewählten Dateien über das Kontextmenü des Verzeichnis-Browsers aus dem Asservat-Überblick zu starten.

Dateiformat-Unterstützung

  • Die Funktion „Eingebettete Daten aus diversen Dateitypen hervorholen“ verwendet einige spezielle Algorithmen für bestimmte Dateitypen (Windows.edb, thumbs.db, PLists) und Datei-Header-Suche auf Byte-Ebene für alle anderen Host-Dateien. Diese Header-Suche war in früheren Versionen auf eingebettete JPEG- und PNG-Dateien beschränkt (+EMF in mehrseitigen .spl Druck-Spooler-Dateien). Jetzt wird nach allen Dateitypen gesucht, deren Definition in der Datei „File Type Signatures Search.txt“ einen Tilde-Algorithmus (~) besitzt und mit dem neuen Flag „e“ (für „eingebettet“) markiert ist. Ein sehr gutes Beispiel dieser neuen Flexibilität sind .lnk-Verknüpfungen, die jetzt in customdestinations-ms Jumplists gesucht werden.
  • Spezielle Extraktion von Objekten (Bilder und andere), die in OLE2-Verbunddateien wie MS Word .doc und MS PowerPoint .ppt eingebettet sind, in denen zuvor nur JPEG und PNG gefunden wurden, und dies nur durch gewöhnliche Datei-Header-Suche. Eingebettete Bilder werden jetzt oft mit ihrem Originalnamen oder ihrer Benennung im Dokument ausgegeben und werden korrekt extrahiert, selbst wenn sie innerhalb der OLE2-Verbunddatei fragmentiert gespeichert sind.
  • Das Aufnehmen der Inhalte von 5 üblicherweise eher irrelevanten Zip-Untertypen ist beim Erweitern des Datei-Überblicks jetzt optional, statt wie bisher nur JAR.
  • Das Erkunden Zip-basierter Office-Dokumente wie die von MS Office 2007/2010, LibreOffice, OpenOffice, iWork ist jetzt ebenfalls optional bei der Erweiterung des Datei-Überblicks. Nützlich, wenn Sie oder die Empfänger von Datei-Containern, die Sie erzeugen, die Dokumente nur als Ganzes sehen wollen, ohne die eingebetteten Bilder oder XML-Dateien separat, und aus diesen XML-Dateien keine Metadaten extrahieren müssen und verschachtelte Dokumente (Dokumente in anderen Dokumenten eingebettet) selbst erkennen können.
  • Die Unterstützung für binäre PLists wurde um die Behandlung des undokumentierten Datentyps CF$UID ergänzt.
  • Unterstützung in der Datei-Header-Suche für „Gatherer Transaction Log“.
  • Spezielle Unterstützung für Header-Suche nach Thumbcache-Fragmenten (CMMM-Records) auf der Byte-Ebene.
  • Die ungefähre Auflösung von Videos wird jetzt in der Pixel-Spalte angezeigt, nachdem zumindest ein Video-Einzelbild extrahiert wurde.
  • Die Option, Objekte in Registry-Hive-Dateien rekursiv anzuzeigen, wurde entfernt.

Datenträger-Unterstützung, Datenträger-Sicherung

  • Der Technische Detailbericht prüft jetzt auf bestimmte Lese-Inkonsistenzen, die mit Flash-Datenträgern (zum Beispiel bei bestimmten USB-Stick-Marken/-Modellen, aber nicht bei anderen) in Bereichen auftreten können, die noch nie beschrieben/verwendet wurden, wo die Daten undefiniert sind. Daten, die aus solchen Bereichen gelesen werden, beispielsweise bei der Erstellung einer Datenträger-Sicherung, können von der Menge an Daten abhängen, die mit einem einzelnen Lesebefehl auf einmal gelesen werden. Das Ergebnis wird im Bericht erwähnt. Wenn solche Inkonsistenzen erkannt werden („Inconsistent read results!“ im Bericht), werden Sie ein Meldungsfenster sehen, das anbietet, die Sektoren aus diesem Datenträger in kleineren Einheiten zu lesen, solange er offen ist, was vermutlich die erwarteten Nullen als Byte-Werte produziert, anstelle eines nicht aus Nullen bestehenden Datenmusters, das nach Zufallswerten aussieht, wenn man solche Bereiche liest. Die Nutzung dieser Option ergibt nicht korrektere oder echtere Daten (undefiniert ist undefiniert, was nicht dasselbe ist wie mit Nullen überschrieben), oder Daten, die mehr oder weniger Beweismaterial enthalten, es kann lediglich einen erheblichen Einfluß auf die zu erzielende Kompressionsrate haben und auf die Reproduzierbarkeit von Hash-Werten mit anderen Anwendungen, die möglicherweise in anderen Größeneinheiten lesen und so unterschiedliche Daten und Hash-Werte erzeugen. Bitte beachten Sie, daß Inkonsistenzen auftreten können, die X-Ways Forensics nicht erkennt, da eine vollständige Prüfung sehr langsam wäre. Wie gesagt, diese Inkonsistenzen sind nicht fatal und kein Software-Fehler, und sie können erklärt werden. Bedeutet das, daß Sie vor der Datenträger-Sicherung Specialist | Technischer Detailbericht aufrufen sollten? Nein, der Bericht wird am Anfang einer Sicherung automatisch erzeugt.
  • Seit v16.3 ist es möglich, ein RAID-System Level 5EE durch Auswahl einer kompatiblen Variante von Level 6 zusammenzusetzen. Jetzt ist es auch möglich, RAID-Systeme 5EE explizit auszuwählen und diese auch dann zu rekonstruieren, wenn eine zugehörige Festplatte fehlt. RAID 5EE wird mit Forward und Backward Parity unterstützt.
  • Fähigkeit anzugeben, wie viele Extra-Threads bei der Erzeugung von .e01-Evidence-Files verwendet werden sollen, wenn man den winzigen Schalter in der unteren rechten Ecke des Dialogfensters Datenträger-Sicherung anklickt. Standardmäßig verwendet X-Ways Forensics nicht mehr als vier und macht das abhängig von der Anzahl der Rechner-Kerne in Ihrem System, aber Sie können normalerweise problemlos versuchen, dies auf bis zu 8 oder auf sehr leistungsfähigen Systemen mit sehr vielen Kernen auch auf 16 zu erhöhen, um die Geschwindigkeit eventuell noch weiter zu erhöhen.
  • Erkennung von dynamischen Volumes von Windows größer als 2 TB auf GPT-LDM-partitionierten Datenträgern.

Herangehensweise

  • Fähigkeit, Dateitypen einen Rang basierend auf deren Bedeutung/Relevanz zuzuweisen und mittels Typ-Status-Filter nach diesem Rang zu filtern. Das Herausfiltern von Dateitypen mit Rang 0 oder 1 wird Schriftart-Dateien, Mauszeiger, Icons, Themes, Skins, Clip-Arts, etc. ausschließen. Dateien mit einem niedrigen Rang sind nur in sehr spezifischen Ermittlungen von Bedeutung, wie etwa Quellcode, an dem Sie beispielsweise auf der Suche nach Office-Dokumenten oder Bildern nicht interessiert wären, aber vielleicht schon, wenn Sie einen Viren-Programmierer suchen. Dateitypen mit höherem Rang sind in mehr Fällen von Bedeutung. Grundsätzlich ist der Rang in einfachen Situationen hilfreich, wo Sie erwarten, was Sie suchen, in gemeinhin bekannten Dateitypen zu finden. Eine andere Idee könnte sein, sich anzugewöhnen, nur Dateien höheren Rangs zu indexieren.
  • Fähigkeit, Dateitypen einer sogenannten Gruppe zuzuordnen, ein neues Konzept, das nicht identisch mit Dateityp-Kategorien ist. Nützlich zum Beispiel, wenn es Ihre Standard-Vorgehensweise ist, Ermittler A Bilder und Videos auswerten zu lassen, Ermittler B Dokumente, E-Mails und andere Internet-Aktivitäten und Ermittler C verschiedene Formen von Betriebssystem-Dateien, basierend auf deren jeweiligen Spezialisierungen. Sie können diesen Gruppen aussagekräftige Namen geben und nach ihnen filtern, ebenfalls mittels Typ-Status-Filter. Die Gruppen werden im Typ-Filter angezeigt.
  • Die neuen Festlegungen werden alle in der Datei „File Type Categories.txt“ gemacht. Existierende Dateien dieser Art werden auch weiterhin verwendbar bleiben. Vorschläge für Rang sind in der neuen Standard-Datei bereits angelegt. Sowohl Rang (von 0 bis 9, wobei ein fehlender Rang 0 bedeutet) und Gruppen (Buchstaben von A bis Z) können nach einem Tabulatorzeichen am Ende der Zeile optional definiert werden, in beliebiger Reihenfolge, zum Beispiel als „2P“ oder „DI3“. So sind bis zu 10 Rang-Ebenen (aber es ist nicht erforderlich, die Bandbreite vollständig zu nutzen) und bis zu 26 Gruppen (und Sie müssen nicht alphabetisch anfangen, Groß-/Kleinschreibung wird ignoriert) möglich. Sie können auch Rang und Gruppen für eine ganze Kategorie auf einmal festlegen, nach einem Tabulatorzeichen in einer Kategorie-Zeile. Um einer Gruppe einen aussagekräftigeren Namen zu geben als nur einen Buchstaben, fügen Sie Gruppen-Definitions-Zeilen am Ende der Textdatei ein, die mit einem Gleichheitszeichen beginnen, z.B.
    =P=Photos und Videos für Bildauswertung
    =D=Dokumente, E-Mails und Internet
    =I=Dateitypen für Indexierung

Ereignis-Analyse

  • Ereignis-Extraktion aus gecarvten Fragmenten von Gatherer Transaction Logs (.gthr2) und existierenden .NTfy.gthr Dateien und mehreren anderen Dateitypen. Dies ist eine Übersicht der Dateiformate, aus denen derzeit Ereignisse extrahiert werden:
    .firefox (~55) Fragmente
    _CACHE_001_ und _CACHE_002_
    .lnk Verknüpfungen
    .automaticDestination-ms
    .chrome Chromium cache data_1, data_2
    .usnjrnl Fragmente
    Registry-Hives
    .hbin Registry-Hive-Fragmente
    .doc (zuletzt gedruckt)
    .msg
    rp.log XP-Wiederherstellungspunkt
    INFO2 XP-Papierkorb
    .recycler Vista-Papierkorb
    .snapprop Vista Snapshot-Properties
    .cookie
    .gthr;.gthr2 Gatherer und Gatherer-Fragmente
    .pf Prefetch
    JPEG GPS
    OLE2 letzte Änderung
  • Mehrere Ereignisse haben jetzt individuelle Beschreibungen, zum Beispiele Ereignisse in der Windows Registry und in index.dat-Dateien des Internet Explorer.
  • Ein Filter für die Ereignis-Typ-Spalte ist jetzt verfügbar.

Installation/Administration

  • Benutzerspezifische Konfigurationen werden jetzt im Nutzerprofil von Windows gespeichert, in einem Unterverzeichnis von \AppData\Local\X-Ways. Die Konfiguration wird jetzt automatisch benutzerspezifisch, wenn X-Ways Forensics ohne Administrator-Rechte aus einem Verzeichnis auf dem C:-Laufwerk gestartet wird, in dem der Nutzer keinen Schreibzugriff hat, wie etwa C:\Programme. Sonst läuft X-Ways Forensics weiterhin mit einer nicht-benutzerspezifischen Konfiguration, damit es eine portable Anwendung bleibt und nicht unnötig Änderungen in laufenden Systemen vornimmt, die Sie einsehen möchten (Triage). Weitere Details finden Sie auf http://www.x-ways.net/winhex/setup-d.html. Ob eine benutzerspezifische Konfiguration verwendet wird oder nicht (und falls ja, aus welchem Grund und wo diese gespeichert ist) kann im Fenster Hilfe | Info nachgesehen werden. Der Grund kann sein „necessarily“ (notwendigerweise), falls im Installationsverzeichnis kein Schreibzugriff besteht, oder „forced“ (erzwungen), falls eine Datei namens winhex.user im Installationsverzeichnis gefunden wird, oder „for this user“ (für diesen Nutzer), falls der Nutzer bereits eine individuelle Konfiguration besitzt, aus einem der anderen beiden Gründe. Die inkonsistente Verwendung von Unterverzeichnissen in Virtual Store wird jetzt vermieden.

Bedienbarkeit

  • Fähigkeit, den Datei-Überblick nur für ausgewählte Dateien zu erweitern, über das Kontextmenü des Verzeichnis-Browsers.
  • Fähigkeit, die meisten Filter- und alle Sortier-Einstellungen im aktiven Fall zu speichern und automatisch wieder zu laden, wenn ein Fall geöffnet wird. Siehe Optionen | Verzeichnis-Browser.
  • Fähigkeit, Filter- und Sortier-Einstellungen in einer separaten Datei zu speichern und jederzeit wieder zu laden, durch Anklicken der Öffnen/Speichern-Icons am rechten Ende der Überschriftszeile des Verzeichnis-Browsers. Solche Dateien erhalten die Dateierweiterung „.settings“.
  • Die ausgewählten Dateitypen des Typ-Filters werden jetzt ebenfalls optional im Fall gespeichert, wie andere Filter-Einstellungen. Beachten Sie, daß Kollisionen zwischen Dateityp-Bezeichnungen erkennbar werden, wenn die Auswahl für den Dateityp-Filter geladen wird. Wenn Sie beispielsweise ursprünglich „mmf“ = „MailMessage File“ (Kategorie E-Mail) ausgewählt hatten, dann werden Sie feststellen, dass „mmf“ auch als „Yamaha SMAF“ (Kategorie Sound/Music) ausgewählt ist. Dies ist normal und hat keinen Einfluß auf die Filter-Funktion. Im Zweifelsfall listet der Filter auch andere Typen mit derselben Bezeichnung, um auszuschließen, daß etwas übersehen wird.
  • Falls Sie entscheiden, den Verzeichnis-Browser beim Start zunächst nicht sortieren zu lassen, dann wird ab jetzt auch beim Abschalten aller Filter mit einem einzelnen Mausklick nicht sortiert, um Verzögerungen zu vermeiden, wenn plötzlich alle Dateien wieder rekursiv gelistet werden.
  • Strg+A funktioniert jetzt in allen Editierfeldern und allen Mehrfach-Auswahl-Listen in Dialogfenstern.
  • Die Prüfung auf Updates kann jetzt unter Hilfe | Online gefunden werden.
  • Fähigkeit, in den Filtern für ID und int. ID auf „Ungleichheit“ filtern zu lassen. Nützlich falls das Erweitern des Datei-Überblicks abstürzen sollte mit einer Datei, die noch nicht Teil des Datei-Überblicks war, als er bei der Erweiterung zuletzt gespeichert wurde. In diesem Fall können Sie bei einem erneuten Versuch die problematische Datei im Voraus herausfiltern und auslassen anhand der zukuenftig zugewiesenen int. ID.
  • Neue Attr.-Filter-Option für andere virtuelle Dateien, was beispielsweise menschenlesbare HTML-Darstellungen für Internet-Browser-Datenbanken, Event-Logs, etc. enthält.
  • Aktivieren des Sync-Modus deaktiviert jetzt automatisch alle Filter, falls Filter den Verzeichnis-Browser daran hindern, die Datei anzuzeigen, die die aktuelle Cursor-Position im Partitions-/Volume-Modus enthält. Wie immer können Sie den Zurück-Schalter benutzen, um zur vorherigen Liste im Verzeichnis-Browser zurückzukehren, aber beachten Sie, daß dies nur funktioniert, wenn der Verzeichnis-Browser den Eingabe-Fokus besitzt, nicht die untere Hälfte des Datenfensters, wo Sie im Partitions-/Volume-Modus navigiert sind, wo mit den Zurück- und Vorwärts-Schaltern Sprünge von einem Offset zum nächsten rückgängig gemacht oder wiederholt werden können.

Verschiedenes

  • Die Werte der Pixel-Spalte werden nun in Datei-Containern des neuen Typs gespeichert.
  • Falls die Option, Unterobjekte gewählter Dateien wiederherzustellen/zu kopieren, halb gewählt ist, bedeutet dies, daß die einzigen Unterobjekte, die kopiert werden, E-Mail-Anhänge sind.
  • Beim Kopieren von Dateien oder Alternativen Datenströmen oder anderen Objekten, denen einige oder alle Zeitstempel fehlen, mit dem Befehl Wiederherstellen/Kopieren repräsentiert X-Ways Forensics den Umstand, dass ein Zeitstempel nicht verfügbar ist indem es den entsprechenden Zeitstempel der ausgegebenen Datei auf ~0 setzt (1. Jan. 1601 in NTFS). Dieses Verhalten existierte bereits in Versionen vor April 2012. Es kann vermieden werden, indem man die Umschalttaste drückt, wenn man im Dialog-Fenster auf OK klickt, beispielsweise falls Sie ein anderes Programm mit dieser Datei verwenden möchten, das Dateien mit solchen Zeitstempeln nicht öffnet (dies wurde für VLC berichtet).
  • Fähigkeit, Video-Einzelbilder verläßlich mit aktuellen Versionen von MPlayer zu extrahieren. MPlayer 1.1 zur Verwendung mit v17 wird jetzt als Download bereitgehalten.
  • Verzeichnis-Browser-Option, Datei-Markierung als Häkchen darzustellen.
  • Die Option „Dateigrößen immer in Bytes anzeigen“ befindet sich jetzt in Optionen | Allgemein | Notation. Die Option zur alternativen .eml-Vorschau befindet sich jetzt in Optionen | Viewer-Programme.
  • Extras | Datei-Tools | Rekursiv Löschen kann jetzt automatisch Dateien löschen, für die Sie aktuell nicht das Recht haben, sie zu löschen (zum Beispiel, weil „Trusted Installer“ der Eigentümer ist), aber für die Sie alle Rechte bekommen können (falls Sie WinHex mit Administrator-Rechten betreiben).
  • Der Mindest-Speicherverbrauch für geladene Datei-Überblicke wurde reduziert. Mehr Daten aus dem Datei-Überblick können jetzt optional für bessere Performanz im Speicher gehalten werden.
  • Kompaktere interne Organisation bestimmter Dateien im Datei-Überblick (extrahierte E-Mails, Video-Einzelbilder, virtuell angehängte Dateien).
  • Datei-Überblicke von v16.3 (veröffentlicht Oktober 2011) and später können importiert werden, von v15.8 (Oktober 2010) bis v16.2 ebenfalls, solange keine E-Mails von diesen Versionen extrahiert wurden. Ein inkompatibler Datei-Überblick wird erkannt und nicht konvertiert.
  • Speicherbedarf für Suchtreffer wurde um 17% reduziert. Ältere Versionen können Suchtrefferlisten nicht öffnen, die von v17.0 und späteren erzeugt werden.
  • Viele kleinere Verbesserungen.
  • PDF-Nutzerhandbuch und Programmhilfe überarbeitet und aktualisiert für v17.0 auf Deutsch und Englisch.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert