X-Ways Forensics 20.9 릴리즈


새로운 기능


v20.9 Preview 1 

6개의 해시 데이터베이스 사용
2개의 기존 해시 데이터베이스블록 해시 데이터베이스, FuzZyDoc 데이터베이스 및 (적격한 경우) PhotoDNA 해시 데이터베이스 외에도 이제 설명이 있는 반복 파일의 데이터베이스를 유지할 수 있습니다예를 들어 법원에 제출할 사건 보고서에 불법 사진에 대한 설명을 포함해야 하는 경우 유용할 수 있습니다동일한 사진이 여러 경우에 발생하는 경우 새 데이터베이스는 작업을 저장하고 사진을 다시 볼 필요가 없도록 합니다주석으로 입력한 내용은 해당 해시 값과 함께 데이터베이스에 저장할 수 있습니다이를 위해 관련 파일을 선택하고 디렉토리 브라우저 컨텍스트 메뉴에서 "해시 데이터베이스에 포함명령을 호출합니다선택한 파일에 대해 해시 값이 이미 계산되었는지 여부는 중요하지 않습니다그렇지 않은 경우 즉석에서 계산됩니다볼륨 스냅샷 세분화의 일부로 데이터베이스에 대해 다른 경우의 해시 값을 일치시키는 경우 다른 경우에서 동일한 설명을 다시 얻을 수 있습니다.

 

데이터베이스는 "Hash Comments.txt" 파일에 저장됩니다해당 파일을 다른 사용자와 공유하기만 하면 데이터베이스를 쉽게 공유할 수 있습니다파일은 기존 해시 데이터베이스와 독립적입니다어떤 사용자가 어떤 소스의 해시 세트가 있는 기존 해시 데이터베이스를 가지고 있는지는 중요하지 않습니다. "Hash Comments.txt" 파일을 생성하거나 다른 사람의 "Hash Comments.txt" 파일과 사례의 해시 값을 일치시키기 위해 기존의 해시 데이터베이스가 전혀 필요하지 않습니다따라서 "Hash Comments.txt"는 매우 보편적이며 기관 간 교환에 적합합니다.

 

사용자 인터페이스에서 다른 동료/출처의 텍스트 파일을 자신의 데이터베이스와 병합할 수 있습니다도구 | Hash Database 대화 상자 창에서 가져오기 버튼을 클릭합니다. X-Ways Forensics가 중복 항목(동일한 해시 값)을 감지하면 동일한 대화 창의 확인란 상태에 따라 이전 주석을 유지하거나 새 주석을 채택합니다다른 사용자의 항목을 가져올 때 이 점을 염두에 두십시오항목을 수동으로 병합했기 때문에 동일한 텍스트 파일 내에서 중복 항목이 발견되는 경우에도 규칙이 적용됩니다.

 

우리는 간단한 텍스트 파일에 대해 이야기하고 있기 때문에 간단한 텍스트 편집기에서 다른 소스의 "Hash Comments.txt" 파일을 쉽게 병합하거나 필요에 따라 설명을 편집하고 자동으로 번역되도록 할 수 있습니다일반 레이아웃을 1로 유지하면 됩니다해시 값 + 라인당 설명 그대로. "Hash Comments.txt"의 첫 번째 줄(헤더 줄)에는 ASCII(: "MD5" 또는 "SHA-1")로 된 해시 유형의 지정이 포함되어야 하며 그 뒤에 탭과 ASCII 문자 "Cmt"가 옵니다이것은 모두 대소문자를 구분합니다다음 줄은 모두 16진수 ASCII(대문자 또는 소문자 모두 허용)의 해시 값으로 시작하고 탭과 UTF-8의 설명이 옵니다. Windows  Unix/Linux 줄 바꿈이 모두 허용됩니다.

 

이제 사진 생성 장치의 40,000 정의.

 

* APFS의 인라인 저장소로 압축 파일 지원.

 

약간의 개선 사항.

 

* v20.8 SR-1의 일부 수정 및 개선 사항.




v20.9 Preview 2 

이제 "Big time"으로 알려진 새로운 XFS 타임스탬프 형식이 지원되며 타임스탬프가 올바르게 표시됩니다이전 버전의 XWF는 볼륨에서 사용 중인 알 수 없는 비호환성 기능에 대해 사용자에게 단순히 경고했습니다.

 

* XFS 볼륨이 내부적으로 "수리 필요"로 플래그 지정되면 XWF는 이제 문제를 일으킬 수 있는 손상된 파일 시스템 구조에 대해 경고하는 메시지를 발행합니다이전 버전의 XWF는 볼륨에서 사용 중인 알 수 없는 비호환성 기능에 대해 추가 세부 사항 없이 사용자에게 단순히 경고했습니다.

 

일부 수정.




v20.9 Preview 3 

뷰어 구성 요소의 일반 텍스트 표현을 위한 대체 코드 페이지는 이제 옵션 | 파일 보기사용 가능한 코드 페이지 목록은 뷰어 구성 요소 자체의 옵션 대화 상자 창(뷰어 구성 요소에 의해 유지 관리되는 모든 창에서 오른쪽 클릭 메뉴를 통해 액세스할 수 있음)보다 더 광범위합니다.

 

스마트폰으로 녹화한 동영상을 MPlayer로 재생하거나 동영상에서 개별 프레임/스틸을 추출할 때 필요에 따라 동영상이 회전됩니다. (이전 릴리스에서 볼륨 스냅샷 세분화로 메타데이터를 이전에 추출한 경우에는 작동하지 않습니다.)

 

해시 주석과 해시 값을 성공적으로 일치시킬 때 교체된 파일에 대한 기존 주석을 가져올 수 있는 레이블은 없지만 도구 설명 확인란이 있습니다해시 주석 데이터베이스에 동일한 파일에 대한 주석이 있으면 이전 주석이 손실됩니다.

 

* X-Ways Forensics  WinHex Lab Edition에서 Edit | 읽기 전용 모드가 아닌 경우 활성 데이터 창에 표시된 전체 데이터에 적용할 수 있는 변환. X-Ways Forensics의 볼륨 스냅샷에 해당 파일이 없거나 자동으로 압축을 풀 수 없는 경우 다양한 파일 시스템에서 발견되고 압축된 데이터를 수동으로 압축 해제할 수 있습니다.

 

* APFS에서 더 압축된 스토리지 변형을 지원합니다.

 

파티션의 파일 시스템이 섹터 크기를 4KB로 가정하고 파일 시스템이 포함된 물리적 저장 장치 또는 이미지의 섹터 크기가 512바이트인 경우 및 파티션의 512바이트 섹터 수를 균등하게 나눌 수 없는 경우 그러면 파티션장치 또는 이미지의 용량을 초과하더라도 기존의 추가 512바이트 섹터를 포함하도록 불완전한 추가 4KB 섹터가 정의되어 추가 공간이 가상 볼륨 슬랙에 포함됩니다보다 철저한 적용을 위해 읽기 오류가 발생할 위험이 있는 파일 및 논리적 검색 등의 대상이 됩니다.

 

몇 가지 사소한 개선 사항.

 

* v20.8 SR-1과 동일한 수정 수준.




v20.9 Preview 4 

* NTFS의 동일한 파일에 대한 추가 하드 링크는 이제 볼륨 스냅샷을 찍을 때 선택적으로 이미 생략할 수 있습니다추가 파일로 디렉터리 브라우저에 전혀 포함되지 않고 표시되지 않습니다예를 들어 동일한 파일을 10번 또는 100번 세는 것이 의미가 없는 스토리지 공간 활용을 이해할 때 유용할 수 있습니다. "링크 수열은 여전히 실제 하드 링크 수를 표시합니다(그러나 이전과 마찬가지로 순수한 8.3 문자 파일 이름을 무시하고 이전과 마찬가지로 잘 관리되지 않은 하드 링크 수와 크게 다를 수 있습니다파일 레코드).

 

로컬 저장소에 대한 활성 운영 체제의 디렉터리 목록("OS 디렉터리 목록")을 기반으로 하는 볼륨 스냅샷에는 이제 "레코드 변경됨타임스탬프와 하드 링크 수가 포함됩니다.

 

활성 운영 체제("OS dir list")의 디렉토리 목록에 대한 증분 완성 옵션이 활성화된 경우 아직 탐색되지 않은 디렉토리는 이제 Attr에서 별표(*)로 표시됩니다.

 

활성 운영 체제의 디렉터리 목록("OS dir 목록")을 기반으로 하는 볼륨 스냅샷에서 다른 프로세스에서 열려 있고 변경할 수 없는 쓰기 잠금 파일은 이제 선택적으로 Attr에 대문자 "L"로 표시됩니다. . ("잠김"). 옵션만 유지되는 파일은 이 옵션을 나타내는 상자가 완전히 선택된 경우("열기"의 경우소문자 "o"로 표시될 수 있습니다이는 라이브 시스템을 미리 보거나 획득할 때 실행 중인 프로세스 또는 백그라운드 서비스에서 어떤 파일이 열려 있는지 또는 어떤 실행 파일이 실행 중/로드된 것으로 나타나는지 확인하는 데 유용할 수 있습니다많은 파일에 대해 이를 확인하는 데 시간이 오래 걸립니다특정 관심 디렉토리에 대해서만 실용적일 수 있습니다이 옵션은 매핑된 네트워크 드라이브에 영향을 주지 않습니다. Attr을 사용할 수 있습니다열려 있거나 쓰기가 잠긴 파일을 빠르게 대상으로 지정하는 필터이며 이러한 파일은 Attr의 정렬 순서에서 더 높습니다.

 

* .e01 증거 파일의 압축 통계 창은 이제 마우스 클릭을 통해 데이터 밀도 통계 창으로 전환될 수 있습니다이는 단순히 반대 표시입니다새 기본값은 데이터 밀도입니다더 긴 파란색 막대는 이전에 표시되었으며 여전히 더 높은 압축 = 더 낮은 데이터 밀도 = 암호화 없음 = 이미지에 대한 더 적은 저장 공간 요구 사항 = 더 적은 데이터 분석 = 더 적은 작업을 나타냅니다더 긴 빨간색 막대(신규)는 더 높은 데이터 밀도 = 더 많은 저장 공간 요구 사항 = 더 많은 분석 데이터 = (막대가 천장에 도달하는 경우잠재적인 암호화를 나타냅니다막대의 길이는 선택한 압축 방법/강도에 따라 다를 수 있습니다.

 

도구 | 파일 도구 | 재귀적으로 삭제는 액세스 권한이 충분하지 않기 때문에 일반적인 방법으로 디렉터리를 제거하지 못합니다이제 관리자 권한으로 실행하면 두 번째 시도를 할 수 있으며 그런 식으로 디렉터리를 제거할 좋은 기회가 있습니다삭제하기 전에 관리자 권한을 사용하고 선택한 디렉토리 구조의 소유권을 가져오려면 귀하의 동의가 필요합니다.

 

약간의 개선 사항.

 

* v20.8 SR-2의 수정 사항 중 하나입니다.

 



v20.9 beta 1 

* "Hash Comments.txt"에서 자동으로 파생된 댓글 앞에 사용자가 수동으로 입력한 댓글과 구별하기 위해 이니셜 "[HC] "를 추가하는 옵션.

 

다음 케이스에 대한 마지막 사용자의 선호 이니셜 및 "다른 사용자 간 구별옵션을 기억합니다.

 

특정 손상된 볼륨 스냅샷에 대한 복원력 향상(프리뷰 및 베타 릴리스에서만 활성화됨).

 

몇 가지 사소한 개선 사항.

 

* v20.8 SR-2 수정 사항이 하나 더 있습니다.



v20.9 beta 2 

* Btrfs에서 ZSTD 압축 지원.

 

역사적으로 사용된 알고리즘과 비교하여 .e01 증거 파일에서 훨씬 더 현대적인 압축 알고리즘을 지원하여 압축률과 압축 속도 및 압축 해제 속도 사이에서 훨씬 더 나은 절충안을 제공합니다대략적으로 말하면호환 가능한 알고리즘의 "일반설정만큼 강력한 압축 비율( % 포인트 적음)을 갖춘 최신 "일반설정은 압축 시간의 1/4, 압축 시간의 1/3만 필요합니다압축 해제 시간. (I/O에 필요한 시간을 제외하고 여기서는 단일 스레드를 사용하는 단순한 계산 작업을 말합니다.) "stronger+"로 설정하면 최신 알고리즘은 이전의 "보통"(또는 약간 더 나은)과 비슷한 압축 비율을 달성합니다하지만 압축에는 1/2 시간압축 해제에는 40%(또는 그 미만)의 시간만 필요합니다. "Stronger++"는 눈에 띄게 더 많은 시간이 걸리고 달성할 수 있는 추가 압축이 일반적으로 제한되기 때문에 일반적으로 권장되지 않지만 특히 압축 해제(일반적으로 두 번 이상 발생하는 경우예를 들어 즉각적인 생성 후 이미지 검증추후 이미지 검증을 위한 파일 헤더 서명 검색하나 이상의 키워드 검색파일 분석 및 복사 등).

 

최신 압축 스타일은 X-Ways Forensics  X-Ways Investigator v20.9 이상에서만 사용하기에 적합한 이미지를 렌더링합니다그러나 최신 압축 스타일의 "sparse" 설정은 최소한으로 사용된 저장 장치를 획득할 때 이미 매우 효율적이며실제로 호환 가능한 압축 스타일의 sparse 설정보다 0인 공간에 대해 11(!) 더 효율적입니다. v18.9 이상에서 이미 이해하고 있습니다.

 

이제 이미지와 함께 생성되는 설명 텍스트 파일의 끝에 이미지가 일반적으로 호환되는지 또는 X-Ways 제품에만 호환되는지 또는 특정 버전의 X-Ways 제품에만 호환되는지 설명하는 추가 줄이 있습니다. , 압축 설정 및 암호화에 따라 다릅니다.

 

더 강력한 압축 설정으로 인한 추가 절감 효과는 종종 미미하다는 점에 유의하십시오압축률이 매우 중요하고 해석된 이미지 내의 임의 액세스 속도가 중요하지 않은 경우 대신(또는 추가로더 큰 청크 크기를 고려할 수 있습니다.

 

파일 이름이 동일하게 유지되는 경우 다시 획득할 이미지를 우발적으로 덮어쓰는 것을 방지합니다.

 

* HPA/DCO 처리 개선.

 

* GUID 파티션 테이블에 정의된 파티션을 기존이 아닌 기존 파티션으로 표시하고 MBR (활성파티션 스타일로 확인하여 비활성 GPT 파티션(일반 MBR 파티션으로 대체됨)을 적절하게 처리합니다.

 

몇 가지 사소한 개선 사항.

 

* v20.8 SR-2와 동일한 수정 수준.



v20.9 beta 3  

타임스탬프 필터를 활성화하면 이제 일치하는 타임스탬프가 단순히 대상 기간에 속하는지 또는 실제로 대상 열 중 하나에 속하는지에 따라 다른 색상으로 강조 표시됩니다마찬가지로직접 대상이 아닌 타임스탬프 열의 헤더에 있는 깔때기형 아이콘은 이제 다른 색상으로 표시되어 "활성 상태임을 나타냅니다.

 

* NTFS에서 비정상적이거나 의심스러운 짧은 파일 이름(SFN, 8+3자 이름)을 감지하는 기능이러한 짧은 파일 이름은 선택적으로 대체 이름 또는 완전히 유효한 하드 링크 자체(동일한 파일의 추가 복사본)로 볼륨 스냅샷에 출력될 수 있습니다또한 "특이한 SFN"이라는 레이블을 지정하여 사용자가 이를 인지할 수 있습니다해당 LFN과 일치하지 않는 것으로 보이는 예기치 않은 SFN은 이름이 변경된 파일의 이전 이름을 반영하거나 중요 파일을 고정 이름(: DLL 또는 구성 파일)으로 대체하도록 특별히 설계되었을 수 있기 때문에 흥미로울 수 있습니다. , 그들의 LFN은 다르고 완벽하게 무해합니다. SFN 치료 설정은 옵션 | 볼륨 스냅샷너무 많은 일반 파일이 그런 식으로 플래그 지정되어 있는 경우 당사에 다시 보고하고 "보다 엄격한 일치확인란을 선택 취소하여 덜 심각한 불일치 중 일부를 무시할 수 있습니다.

 

마지막에 섹터를 제외하기 위해 재구성하는 RAID 구성 요소의 섹터에 바닥글 크기를 지정하는 기능이것은 산재된 사용되지 않은 공간이 결과 데이터의 일관성을 방해하는 경우 특히 JBOD에 유용할 수 있습니다.

 

픽셀 단위의 치수를 기준으로 사진의 관련성 계산이 개선되었습니다.

 

약간의 개선 사항.

 

* v20.8 SR-3의 일부 수정 사항.

 


v20.9 beta 3b


새로운 설치에서 처음으로 X-Ways Forensics를 시작하는 것과 관련된 일부 수정 사항.




v20.9 beta 4


* x86에서 일반 .e01 증거 파일의 더 빠른 압축 해제.

 

내부 그래픽 디스플레이 라이브러리의 PNG 지원이 업데이트되었습니다.

 

* Exif 방향 메타데이터에 따라 회전해야 하는 JPEG 사진에 대한 보고서 썸네일의 적절한 종횡비.

 

부모를 포함하여 재귀적으로 파일의 자식 개체인 파일에 대한 설명을 제공하는 새로운 표기법 설정.