v21.0 Preview 3 

* 파일 시스템에 따라 첫 번째 클러스터가 재할당된 기존 파일("첫 번째 클러스터를 사용할 수 없음"으로 표시됨)을 생략하게 하는 새 확인란을 선택 취소하면 이제 볼륨 스냅샷 미세 조정을 통해 처리할 수 있습니다. 이는 특히 파일에 속하지 않은 관련 없는 무작위 데이터가 해시되어 해당 파일의 해시 값으로 표시될 수 있음을 의미합니다. 물론 해당 파일의 해시 값은 아니었지만 말입니다. 이전에 X-Ways Forensics는 파일이 태그 지정 또는 선택을 통해 특별히 타겟으로 지정된 경우에만 해당 파일을 감지하고 처리했습니다. X-Ways Forensics가 강제로 계산해야 하는 경우 무의미한 데이터의 해시가 디렉토리 브라우저에 회색으로 표시되어 사용자에게 해당 해시가 과도하게 해석되거나 다른 저장 장치에서 발견될 것으로 예상해서는 안 된다는 점을 상기시킵니다.

* 이제 타임스탬프 필터는 다양한 타임스탬프 유형(생성, 수정 등)에 대한 조건을 기본 OR 대신 논리 AND로 선택적으로 결합할 수 있습니다.

* 세부정보 모드에서 보고되는 생성 "소프트웨어 클래스"가 수정되었습니다. 이제 스캐너와 웹 사이트 빌더라는 두 가지 클래스가 더 있습니다. 후자의 예로는 WIX, JIMDO, Site123, Squarespace 및 Shopify가 있습니다.

* 세부정보 모드 요약표의 또 다른 변경 사항은 새로운 항목 "성향 점수"입니다. 1부터 99까지의 값을 가정할 수 있습니다. 관련성 계산은 주로 해당 값을 기반으로 합니다. 해당 값은 제거 가능한 추가 관련 메타데이터가 있는 사진에 대한 객관적인 통계 확률입니다. 또한 문서성, 즉 문서로서의 역할을 할 수 있는 품질로 지정될 수도 있습니다. 이 추가 정보의 일관성을 확인할 수 있습니다. 성향 점수는 일반적으로 래스터 이미지(픽스로 측정됨), 특히 PNG 및 WEBP 형식에 대해 존재합니다.

v21.0 Preview 4 

* 이제 타임스탬프 필터에는 두 가지 유형의 AND 조합이 있습니다. 엄격한 AND 조합(완전히 선택됨)을 사용하려면 모든 대상 타임스탬프가 실제로 존재하거나 사용 가능해야 합니다. 소프트 AND 조합(절반 선택)에는 필터 조건을 충족하기 위해 사용 가능한 모든 타임스탬프만 필요합니다(적어도 하나는 사용 가능해야 함).

* 이제 타임스탬프 필터는 Ctrl+H를 통해 키보드에서도 액세스할 수 있습니다.

* Avatar/Identicon JPEG 사진에 새로운 내부 라벨이 도입되었습니다. 이러한 ID는 종종 아바타의 작은 버전이며 Tiktok, Twitter, Facebook, Instagram, Youtube, Quora, Gravatar, Pinterest 및 기타 곳에 존재합니다.

* 생성 장치로 iPhone 15를 지원합니다.

* 사진 분석 및 처리 결과를 삭제하면("이미 완료" 상자 선택 취소) 이제 식별된 사진 콘텐츠에 대한 라벨이 제거됩니다.

* 몇 가지 사소한 개선이 이루어졌습니다.

* v20.9 SR-4와 수정 수준이 동일합니다.

v21.0 Preview 4b 

* 사용자 인터페이스의 영국 영어 철자로 v21.0 Preview 4를 시작할 때 발생하는 예외 오류를 수정했습니다.

v21.0 Preview 5 

* 새로 생성된 사례의 경우 디렉터리 또는 단일 파일인 증거 개체에 대한 두 개의 내부 하위 디렉터리는 이제 더 짧은 이름을 갖게 되며 더 이상 해당 디렉터리 또는 단일 파일의 원래 경로를 포함하지 않습니다. 이제 이미지와 동일한 방식으로 하위 디렉터리 이름의 고유성이 보장됩니다(동일한 이름을 가진 여러 디렉터리 또는 단일 파일을 동일한 대소문자에 추가해야 함). 새로운 명명 규칙은 SR-6의 v20.8 및 SR-5의 v20.9에서도 이해됩니다.

* v20.9 SR-5와 수정 수준이 동일합니다.

v21.0 Preview 6 

* 사용자가 단일 파일이나 디렉터리인 증거 개체를 열려고 시도하고 해당 파일이나 디렉터리가 원래 경로에 더 이상 존재하지 않는 경우 X-Ways Forensics는 이제 사용자에게 새로운 경로를 제공하도록 편리하게 제안합니다. 또는 기본 데이터 없이 증거 개체를 열 수 있습니다(볼륨 스냅샷만 로드).

* 파일 | 이제 성능이나 저장소 할당량 또는 보안상의 이유로 임시 파일 대신 메모리에 선택적으로 새 명령을 보관할 수 있습니다. 확인란을 완전히 선택하면 사용자가 메모리 저장을 요구하고 사용 가능한 메모리가 충분하지 않으면(또는 32비트 버전의 경우 연속 메모리 주소 공간이 충분하지 않으면) 메뉴 명령이 실패한다는 의미입니다. 편집 | 클립보드 데이터 | 새 파일에 붙여넣습니다. 정보 창에는 새로 생성된 파일의 경로 대신 메모리 주소 공간의 버퍼 주소가 표시됩니다. 처리 중인 데이터는 예를 들어 pagefile.sys의 일부로 Windows에서 디스크에 계속 기록될 수 있습니다. 또한 디스크 I/O 및 임시 파일 사용을 방지하는 것이 목표인 경우 옵션 | 옵션에서 실행 취소 기능에 대한 파일 백업을 비활성화할 수 있습니다. 실행 취소.

* 장치 인식 생성이 업데이트되었습니다.

* 몇 가지 사소한 개선이 이루어졌습니다.

v21.0 Preview 7 

* 이제 타임스탬프 필터를 사용하면 0x30에 비해 상당히 오래된 것처럼 보이는 NTFS 0x10 타임스탬프와 내부 파일 메타데이터의 콘텐츠 생성 타임스탬프보다 빠른 파일 시스템의 생성 타임스탬프에 집중할 수 있습니다.

이러한 타임스탬프 불일치를 사용자에게 적합하게 만드는 임계값을 밀리초, 초, 분, 시간, 일, 주, 월 또는 연 단위로 정의할 수 있습니다. 즉, 기본 생성 타임스탬프가 해당 0x30 타임스탬프보다 훨씬 오래되도록 요구할 수 있습니다. 콘텐츠 생성 타임스탬프. 파일 시스템의 UTC 기반 생성 타임스탬프를 알 수 없는 현지 시간대(예: PNG 파일)에 기록된 콘텐츠 생성 타임스탬프와 비교하면 단지 이 기본 효과로 인해 얼마나 많은 시간 차이가 발생할 수 있는지 고려할 수 있습니다. 귀하를 돕기 위해 UTC 생성 타임스탬프는 시간대를 표시하도록 조정하여 로컬 콘텐츠 생성 타임스탬프와 더 유사하게 렌더링됩니다.

소급 적용은 다양한 이유(예: 파일 아카이브 추출 또는 설정 프로그램)로 인해 자동으로 발생하는 경우가 가장 많으며, 반드시 용의자의 개입이나 악의적인 의도를 가진 맬웨어 활동의 결과인 것은 아닙니다. 용의자의 잠재적인 수동 개입에 관심이 있는 경우 파일 형식 필터를 동시에 사용하고 타임스탬프가 사건에 차이를 만들 수 있는 파일 형식에 초점을 맞추는 것이 유용할 수 있습니다. 서류.

* 이제 모든 NTFS 0x10 타임스탬프 셀이 해당 0x30 대응 항목(헤더에 위 첨자 2가 있는 열)보다 타임스탬프 필터 대화 상자 창에 정의된 임계값보다 앞선 경우 역날짜 아이콘이 표시됩니다. 생성 타임스탬프 셀은 해당 타임스탬프가 존재하고 추출된 경우 "콘텐츠 생성" 타임스탬프보다 이전인 경우에도 해당 아이콘을 표시합니다. 비교되는 두 타임스탬프 간의 산술적 차이는 아이콘 뒤에 표시되며 밀리초, 초, 분, 시간, 일, 주, 월 또는 연으로 반올림됩니다.

* 일부 일반 아이콘 배치가 수정되었습니다.

* OS 전체 쓰기 방지 기능이 약간 수정되었습니다. MBR로 파티션된 저장 장치의 볼륨에 적용하면 이제 사용자는 해당 장치의 모든 볼륨을 대상으로 지정하도록 제안됩니다. 이 경우 단일 볼륨에 대해서만 보호를 활성화할 수 없기 때문입니다.

v21.0 Beta 1 

* 레거시 WinHex 스크립트 명령 UseLogFile이 수정되었습니다. 이제 출력되는 더 많은 메시지에 영향을 미치며 결과 로그 파일은 이제 유니코드 가능(UTF-8)입니다.
* 일반 타임스탬프 필터에는 이제 선택한 타임스탬프 유형에 대한 값이 있는 파일에 집중할 수 있는 "모두" 설정이 있습니다. 예를 들어 이를 백데이팅 조건과 결합하거나 단순히 선택한 타임스탬프의 타임스탬프가 있는 파일에 집중할 수 있습니다. 전혀 유형이 없습니다.
* 이벤트 타임스탬프 필터와 일반 타임스탬프 필터는 이제 서로 완전히 독립적이므로 2017년 3월 이전에 생성된 파일에서 2022년 7월 이후 이벤트를 필터링하는 것이 가능합니다.
* 자동 업데이트 기능이 개선되었습니다(그래픽 디스플레이 라이브러리에 표시된 그림을 마우스 클릭 한 번으로 별도의 창에 업데이트하는 기능).
* 케이스에 디렉터리 브라우저 설정을 저장하고 로드하는 경우 현재 DPI 설정이 열 너비와 함께 저장되므로 Windows 시스템에서 다른 DPI 설정을 사용하여 동일한 케이스를 열 때 해당 열 너비가 자동으로 비례적으로 조정될 수 있습니다. (새로 생성된 v21.0의 경우에만 해당됩니다. v20.6 이상의 향후 릴리스에서는 이러한 경우에도 디렉터리 브라우저 설정을 로드할 수 있지만 DPI 설정은 무시됩니다.)
* 편의를 위해 더 이상 사용자에게 처리할 증거 개체를 반복적으로 선택하도록 요구하지 않습니다(볼륨 스냅샷 개선, 논리적 검색, 색인 검색, 사례 보고 등). 동일한 사례가 열려 있고 새로운 증거 개체가 없는 동안 선택을 확인하도록 요구하지 않습니다. 추가되었습니다.
* 이제 볼륨 스냅샷 개선은 데이터 소스 없이(저장 장치, 이미지, 디렉터리 등 없이) 열린 증거 개체에 대한 실행을 거부합니다.
* v20.9 SR-6의 대부분이 수정되었습니다.
* 몇 가지 사소한 개선이 이루어졌습니다.

v21.0 Beta 2 

* 동일한 시스템에서 WinHex/X-Ways Forensics의 여러 인스턴스(세션, 프로세스)를 동시에 실행할 때 해당 인스턴스의 번호는 이제 0이 아닌 1부터 시작하여 지정됩니다. 이제 인스턴스 번호는 -정보 상자(오른쪽 상단 모서리에 있는 버전 번호를 클릭하면 나타나는 상자)라고 하지만 Windows 작업 표시줄과 Windows에서 쉽게 구분할 수 있도록 기본 창 캡션에도 추가 인스턴스가 있습니다. 작업 전환기. 이는 일반 옵션 대화 상자 창의 새로운 확인란에 따라 달라집니다. 완전히 선택하면 여러 인스턴스가 고유한 배경색을 가질 수도 있습니다. 이전 인스턴스를 종료한 다음 새 인스턴스를 시작하면 새 인스턴스는 인스턴스 번호가 1로 시작하는 슬롯을 재사용합니다.

v21.0 Beta 3 

* 단일 아카이브 파일을 증거 개체로 사건에 추가하는 경우(파일 추가 메뉴 명령 사용 또는 드래그 앤 드롭을 통해) 해당 아카이브가 즉시 탐색되며 아카이브 파일이 아닌 해당 내용만 디렉터리 브라우저에 표시됩니다. 사건에 이미지나 증거 파일 컨테이너를 추가할 때와 같습니다. 이는 X-Ways Forensics가 볼륨 스냅샷을 정제할 때 해당 콘텐츠를 볼륨 스냅샷에 포함하는 지원되는 모든 아카이브 하위 유형에 적용됩니다.
7-Zip 및 WinZip 스타일의 스팬/세그먼트화된 Zip 및 7z 아카이브도 지원됩니다. 케이스에 _first_ 세그먼트를 추가했는지 확인하세요. 7-Zip 스타일의 경우 이름이 .001이고 WinZip 스타일인 세그먼트입니다. .z01이라는 이름의 것입니다. 비밀번호로 보호된(암호화된) Zip, 7z 및 Rar 아카이브의 경우 비밀번호를 묻는 메시지가 표시됩니다. 해당 증거물을 다시 열 때 비밀번호를 다시 입력할 필요가 없도록 케이스에 비밀번호를 저장할 수 있습니다.
* 이제 디렉토리 브라우저는 전용 아카이브 아이콘 또는 대문자 A가 겹쳐진 일반 파란색 아이콘으로 파일 아카이브를 표시할 수 있습니다.
* 직접 하위 개체와 함께 선택한 파일을 인쇄할 때 제외되고 필터링된 하위 개체가 이제 생략됩니다
* 선택한 파일을 해시 세트에 추가할 때 기존 파일을 생략하는 레거시 옵션이 제거되었습니다.
* 몇 가지 사소한 개선이 이루어졌습니다.

v21.0 Beta 4 

* 갤러리의 사진을 이미 본 것으로 표시하는 옵션이 이제 내부 그래픽 디스플레이 라이브러리가 아닌 뷰어 구성 요소에 의해 표시되는 사진까지 확장됩니다. 이는 JPEG 2000, DXF, WMF 및 EMF 파일 등에 영향을 미칩니다.
* 사례 트리는 이제 디렉토리 브라우저와 유사하게 마우스 포인터 위치를 시각적으로 추적하고 마우스 위치에 해당하는 노드를 강조 표시합니다.
* 사례 트리는 이제 전체 행 반응성을 지원합니다. 즉, 원하는 응답을 위해 노드의 왼쪽이나 오른쪽 아무 곳이나 클릭할 수 있으므로 더 이상 정확하게 조준할 필요가 없습니다. 지원되는 작업은 선택 및 탐색을 위한 마우스 왼쪽 버튼 클릭, 태그 지정 또는 태그 해제를 위한 가운데 버튼 클릭, 재귀적으로 탐색을 위한 마우스 오른쪽 버튼 클릭, 하위 디렉터리 또는 파티션 확장 또는 축소를 위한 더블 클릭 등입니다.
* 높은 DPI 설정에서 목록 상자의 그래픽 결함을 수정했습니다.
* 몇 가지 사소한 개선이 이루어졌습니다.

v21.0 Beta 5 

* 이제 검색어 창의 상황에 맞는 메뉴에는 응답하지 않는 검색어(검색 결과가 나오지 않은 검색어)를 제외하여 잠재적으로 매우 긴 검색어 목록을 줄일 수 있는 옵션이 있습니다. 이전 버전으로 작성된 파일의 경우 검색어 작동이 보장되지 않습니다.
* 검색어 창을 마우스 오른쪽 버튼으로 클릭해도 더 이상 여러 검색어 선택 항목이 손실되지 않습니다.
* 사용자 툴팁이 포함된 확인란의 시각적 표시가 수정되었습니다.
* 다양한 영역의 사용자 인터페이스에 대한 이해도가 향상되었습니다.
* "증거 개체 해시/검증" 명령을 사용하여 증거 개체인 일반 파일과 아카이브 파일을 해시(및 검증 후)하는 기능.
* CRC32(32비트)와 일반 MD5 해시 간의 경제적인 절충안으로 일반 길이의 절반("접힌", 즉 전반부와 후반부를 xor'하여 64비트 생성)의 MD5 해시 값을 계산하고 저장할 수 있는 기능( 128비트), 예를 들어 중복 제거 목적으로 둘 사이의 간격을 메우고 메모리 및/또는 드라이브 공간을 절약합니다.
* 추출된 이메일 메시지와 원본 .eml 및 .emlx 파일(전체 헤더가 포함된 경우)에 대한 EDRM MIH 해시 값을 계산하고, 알려진 MIH 값이 있는 이메일을 검색하고, 데이터베이스 일치를 위해 또는 중복 제거 목적으로 사용하는 기능 . MIH가 볼륨 스냅샷의 .eml 파일에 할당되고 .eml 파일이 .msg 파일에서 추출된 경우 동일한 MIH가 상위 .msg 파일에도 자동으로 할당됩니다. 동일한 전자 메일 메시지의 두 복사본은 서로 다른 일반 해시 값을 가질 수 있지만 MIH는 동일합니다. 예를 들어 파일 형식이 다르거나(원시 .eml 파일과 OLE2 MSG 파일) 본문 형식 및/또는 콘텐츠가 저장된 경우 다르게. EDRM MIH가 해시 유형으로 선택되었지만 대상 파일이 지원되는 유형의 전자 메일 메시지가 아니기 때문에 MIH를 계산할 수 없는 경우 해시 값 셀은 공백으로 유지됩니다. 절충안으로 MD5/MIH를 해시 유형으로 선택할 수 있습니다. 여기서 MIH는 가능한 경우 계산되고 MD5 해시 값은 계산됩니다. 그러면 모든 해시 가능한 파일이 중복 제거 또는 일치에 사용할 수 있는 해시 값을 얻게 됩니다. MIH는 eDiscovery 표준이며 선도적인 공급업체에서 "획기적인 솔루션"이라고 설명했습니다.
* 일부 사소한 개선이 이루어졌습니다.

 v21.0 Beta 6 

* 템플릿의 수식에 공백이 포함된 변수 이름(둥근 괄호로 묶인 경우)을 사용하는 기능.
* 이름, 정수 유형 및 선택한 값을 사용하여 템플릿에서 상수를 정의하고 해당 상수를 계산에 사용하는 기능. 이름에 공백이 포함된 경우에는 따옴표로 묶어야 합니다. 값은 수식 자체일 수 있으며 상수가 정의될 때 이미 정의된 다른 상수나 변수에 따라 달라질 수 있습니다. 상수는 변수와 함께 템플릿 창에 나열됩니다. 예:

const int16 100 "내 상수"

const int16 ("내 상수"*10) "나의 다른 상수"

goto ("나의 다른 상수"*5)

그러면 템플릿 해석의 현재 위치가 오프셋 5000으로 변경됩니다.

* 저장 장치나 해석된 이미지 또는 파티션/볼륨에 적용되는 템플릿, 공식에서 Bytes_per_sector 및 Bytes_per_cluster라는 내부 사전 정의된 상수를 사용하는 기능.
* 또 다른 새로운 사전 정의 상수는 Bytes_per_record입니다. 보기 | 활성화된 경우 프레젠테이션을 녹음합니다. 해당 표시 옵션이 활성화되지 않은 경우 Ext2/Ext3/Ext4, XFS 또는 UFS 파일 시스템이 있는 파티션/볼륨에서는 inode 크기입니다. NTFS 파일 시스템에서는 FILE 레코드 크기입니다.
* 이제 템플릿 정의의 키워드 "다중"이 본문에 나타날 수 있습니다. 거기에서 사용될 때, 템플릿에 포함된 데이터의 양을 바이트 단위로 제공하는 매개변수가 동반되어야 하며 수식일 수 있고 (헤더와는 달리) 상수나 다른 변수를 사용할 수 있습니다. 이를 통해 왼쪽과 오른쪽으로 인접한 레코드를 탐색할 수 있습니다. 해당 데이터의 양이 본문에 명시적으로 정의되지 않은 경우, 즉 "multiple" 키워드가 매개 변수 없이 헤더에만 사용된 경우 이전 버전과 마찬가지로 템플릿 해석이 끝날 때 현재 읽은 위치를 기반으로 간접적으로 해당 양이 차감됩니다. , 템플릿의 변수에 가변 크기가 있는 경우 길이가 가변적인 것으로 간주될 수 있습니다. 이 경우 왼쪽으로 탐색할 수 없습니다.
* 또 다른 새로운 사전 정의 상수는 Base_offset입니다. 이는 사용자가 템플릿을 적용한 활성 데이터 창의 오프셋이며, 인접한 레코드를 탐색할 때 변경될 수 있습니다.
* 최신 버전의 점프 목록(.automaticdestinations-ms 파일) 미리보기에 대한 임시 지원입니다.
* v20.9 SR-7과 수정 수준이 동일합니다.

v21.0 Beta 7 

* 일부 사소한 수정.

v21.0 정식버전 Release

* 세부 정보 모드는 이제 컴퓨터(AI)로 생성된 사진의 자발적 마커인 JPEG 파일에 JUMBF 메타데이터 블록이 있음을 나타냅니다.

* 사용자 매뉴얼 및 프로그램 도움말이 업데이트되었습니다

.

이번 업데이트에 대한 사항은

https://www.x-ways.net/winhex/forum/messages/1/5446.html?1702451821

내용을 확인하시기 바랍니다

감사합니다.