v21.1 版本的新特性包括:
卷快照与文件系统支持
对非常大的卷快照提供了更好的支持。现在,在单一卷中可以处理超过5亿个条目(即文件+目录),此功能仅限64位版本,需充足的RAM,并且需要足够的时间等待卷快照完成。这一经过测试的能力进一步巩固了X-Ways Forensics作为存储设备分析重载工具的地位。约5亿条目的假设基于平均文件名长度为16个字符。若文件名更短,理论上可能包含10亿个条目或更多。如果仅文件名空间耗尽,更多的文件仍可被包含在卷快照中,但将以占位符文件名(问号字符)显示。
现在,特别巨大的卷快照支持在文件系统中定义的偏移超过131TB的文件,或其数据开始于超过131TB位置的文件。新的限制为262TB。
加速了大型NTFS文件系统的卷快照创建过程。
主动过滤器(Proactive Filters)
现在可以在案例属性中激活基于名称和时间戳的两种主动过滤器。这些过滤器允许您限制初始卷快照,未通过这些过滤器的文件在过滤器激活期间不会被包含在任何卷快照中。目录仍然会被包含。这仅适用于作为证据对象的分区/卷和文件归档,以及直接依据文件系统或归档的定义数据结构找到的文件。它不限制以其他方式添加的文件,例如通过文件头签名搜索或检查卷快照中已包含文件中的嵌入数据等。
主动过滤器的特殊之处在于它们可以防止文件无意中被纳入卷快照,特别是那些不需要、不希望存在或不应查看的文件。无论是因为任务或搜索范围仅限于特定预知名称或时间戳范围的文件,还是因为证据对象(镜像或文件归档)太大,通过避免处理数亿其他文件,可以节省时间和主内存,或者使卷处理变得可行(即将卷快照大小保持在支持范围内)。如果证据对象是镜像文件,这种方式可能显著加速卷快照的创建过程,后续步骤(如导航、列出、排序、过滤、卷快照细化)的计算成本也会因主动排除大量不想要的文件而降低。
在创建卷快照时,主动忽略的文件数量会在进度指示窗口中显示。完成后,总数量始终可在卷快照细化对话框的卷快照状态中检查。每次会话中,当创建卷快照时,消息窗口会输出一次主动过滤器激活的警告。
操作系统目录列表选项
从操作系统获取的目录列表(“OS dir list”),例如将目录或单个文件作为证据对象添加到案例时,现在可以选择不显示文件系统的任何时间戳或仅显示修改时间戳。这是一个卷快照选项,对于文件时间戳没有常规意义的情况特别有用,比如它们反映的是收集文件的时间而非原始位置的原始时间戳。
默认设置调整
在新安装中,默认设置了“新识别名称作为主要名称”的卷快照选项为半选状态,这意味着只有原始的.eml文件新识别的名称(即主题行)会成为“名称”列的主要名称,而根据文件系统可能无帮助的通用文件名则成为次要名称。
SquashFS支持
现在能够识别SquashFS压缩文件系统,并将其数据当作文件归档处理。X-Ways Forensics支持的SquashFS压缩算法有GZIP/zlib、LZMA、LZO和XZ。
哈希数据库支持
正常使用共享的哈希数据库(用于读取目的,如检索匹配哈希集的名称并在目录浏览器的“哈希集”列中显示)不再阻止其他用户更新或替换数据库,因为哈希集名称将保存在本地缓存/缓冲区中。
现在普通哈希数据库支持较为简单的CRC32算法。基于CRC32创建哈希数据库仅在确实只知道所查找文件的CRC32值,没有更高级的哈希值或完整原始文件内容的情况下有用,例如来自加密的zip存档,因为这类存档在元数据中包含了未加密数据的CRC32值。如果找到CRC32匹配且文件大小与从此类加密zip存档元数据中得知的一致,则很可能找到了同一文件的未加密副本。
如果希望从文本文件导入CRC32哈希值(首行为"CRC32",随后每行一个十六进制ASCII格式的CRC32值),请注意,它们的十六进制ASCII值应按大端(“人类可读”)字节顺序,如同7-Zip、WinZip以及X-Ways Forensics本身显示的那样。与MD5、SHA-1等不同,这不是它们在二进制中存储的字节顺序,无论是在X-Ways Forensics内部还是在zip文件本身以及其他地方。
为块哈希数据库定义块大小的选项。512字节仍然是默认和推荐的,除非你确切知道自己在做什么。例如,4KB的较大块大小可能与集群大小为4KB的卷/分区和物理及逻辑上扇区大小为4KB的硬盘兼容,但如果目标文件系统的簇不是从证据对象视角以4KB边界对齐的,则会阻碍你查找所需数据。后一种情况可能是因为文件系统在第一个簇之前有一个不规则大小的头部区域(如FAT),或者因为你以分区式存储设备的层面应用块级哈希(仅),其中分区不是以4KB边界对齐的。然而,好消息是,就像文件头签名搜索一样,如果在可分区存储设备(或其镜像)上知道分区,块级哈希会专门应用于分区,并且只处理已知和可探索分区之外的分区式存储设备层面。
块哈希匹配现在在搜索命中列中显示其大小。
PhotoDNA匹配(尤其是同一图片的多个匹配)现在可以选择性地作为标签输出。如果你需要看到所有匹配项或希望在与普通哈希数据库匹配相同的地方看到PhotoDNA匹配,这很有用,后者也可以作为标签输出。
用户界面
你可以在标签管理对话框或过滤器对话框中更改标签的顺序(如果该对话框中的标签未按名称排序),使用箭头按钮。现在在那里更改顺序会立即影响目录浏览器中标签列的显示顺序。这样你可以确保对你来说最重要的标签首先列出。
目录浏览器的“标签”列中的标签名称现在可以选择性地截断,以便更多标签名称适合单元格。这是标记设置。半选表示截断处会有省略号标记。
重新组织和整理了扩展的标签对话框。
“动态电子邮件和日期列”选项现在正确控制了“内容创建”列的可见性。
日期过滤器设置,聚焦于某些时间戳完全未知的文件(通常因为它们未设置,例如在文件系统中)。
对用户提供的文件掩码进行了更一致和彻底的错误和合理性检查。
选项以潜在改善多个画廊线程的同步。
如果你需要在X-Ways Forensics内调用外部程序并带有特定参数以及它们应打开的文件名称,现在你可以在Programs.txt的同一行中指定这些参数,并用制表符与可执行文件路径分隔。文件名将在你的自定义参数之后附加,除非你在参数列表中包含了占位符%1。该占位符将被替换为文件名。
为了将X-Ways Forensics或X-Ways Investigator的便携式安装及其图标与特定机器上的.xfc案例文件关联,你可以有意识地至少以管理员身份运行应用程序一次,并在任何可定制的标准路径位于与你的Windows安装相同的磁盘驱动器字母上时结束应用程序,以此给应用程序一个提示,表明你是该Windows系统的拥有者,并对写入数据感到舒适。这可能是你运行应用程序的路径、创建和期望案例文件的路径、创建和期望镜像文件的路径,或创建临时文件的路径。
更新了.e01证据文件的压缩/数据密度图表。在其他改进中,图表窗口现在根据用户的DPI设置缩放。
如果预览模式与详细信息模式结合使用,并且数据窗口的下半部分移动到了右侧,预览和详细信息现在垂直分割而不是水平分割,预览出现在详细信息之上。
详细信息模式中的描述单元格现在总是相当详细,而不受描述列记号设置的影响。
用于提取静止图像的视频文件现在使用逗号分隔的类型列表而非文件名掩码来定位。
更新了乌克兰语和俄语的用户界面翻译。
图片内容分析
现在可以下载新的Excire版本,并且需要与X-Ways Forensics 21.1一起使用。对于“类似”图片的搜索已经修订,内容检测的准确性得到了提升。被错误分配超过一个关键词(假阳性)的图片数量减少了75%,完全没有错误关键词的图片数量翻了一番。
新版本的Excire移除了69个检测关键词,这些关键词产生的结果可靠性较低。这些关键词都不太重要。新增了对87个新关键词的支持,其中包括执法/政府机构之前要求的(身份证明文件),以及各种身体部位(即非完整人物)。
文件格式支持
报告HTML文件现在可以根据安装目录中的"Reg Report *.txt"定义文件自动生成,适用于NTUSER.DAT、SYSTEM、SOFTWARE、SECURITY和SAM等Windows注册表hive文件。这些HTML文件将作为子对象添加到卷快照中。这样做的好处是,它们可以作为选定有趣值的人可读预览,并且包含了一些编码文本如UserAssist条目,以便逻辑搜索能够找到它们。同时,处理过的注册表hive中的大量时间戳将被添加到事件列表中。如果用户还选择为浏览器数据库等生成HTML预览,或将内部时间戳填充到文件的事件列表中,所有这些都将发生。
作为“在未经过上述处理的文件中进行文件头签名搜索”程序的一部分,自动检查MS Edge的某些临时文件中嵌入的图片。为此目的,此版本重置了该程序的文件掩码。
提取通过Microsoft 365的Admin Center导出的特定PST归档中存储的Microsoft Teams消息。
能够从Mac版Microsoft Outlook的OLM数据库中提取电子邮件消息。
将纯文本附件从原始.eml文件和MBOX电子邮件存档中提取为子对象。
能够解码.json文件以进行逻辑搜索、索引和文本预览模式,包括来自基本多文种平面(如中文)的特殊编码Unicode字符的文件。
从WEBP文件中提取的元数据得到扩展,特别是引入了在WEBP图片中除了XMP元数据外输出Exif元数据的功能。
使用内部图形显示库支持更多TIFF图片变体。
“社交媒体”曾是JPEG文件在详细模式的摘要表中的处理状态的多个可能值之一。现在,这种照片来源通过所谓的软件类别引起用户的注意。
当前对JPEG和WEBP图片支持28个软件类别:AI生成、Adobe、Amazon(来自其购物网站的照片)、Android、Apple、美化器、Bing、相机、通用内容、编辑器、Facebook/Instagram、固件、通用、Google/Picasa、LinkedIn、MSN、PHP、Pinterest、扫描仪、混合社交媒体、库存照片(指库存照片)、Twitter(X)、视频截图、网站构建器、WhatsApp、Windows、WordPress。
大约75%的JPEG和PNG(以及一些WEBP)图片现在被分配了一个软件类别。
更多图片生成设备的定义。特别是更新了Galaxy S23和S24的生成器签名。
摘要表已经修订。
现在在详细模式中,通过“备注”编号引用在图片中检测到的各种特殊属性。新包含的“Remarks.txt”文本文件记录了这些编号,并可能提供了一个基本解释。
改进了ICC颜色配置文件元数据的输出。
注册表查看器中QWORD值的输出之前仅为32位,现已覆盖完整的64位。
X-Tension API扩展
X-Tension API新增了两个功能:XWF_Mount() 和 XWF_Unmount()。如果你的X-Tensions需要为外部程序提供对卷快照中许多或大文件的读取访问权限,将卷快照作为驱动器字母挂载可能会比将这些文件复制到外部程序可访问的路径更快。
当X-Tensions将目录作为证据对象添加到案例时,可以选择让X-Ways Forensics忽略NTFS的四个常规时间戳中的任何一个,以防它们没有价值而被包含进卷快照中。
X-Tension API催生了一系列名为Exponent™的商业第三方模块,它们与X-Ways Forensics集成得非常好,特别是在访问获取的智能手机数据和邮箱方面显著扩展了其功能。
其他
针对Windows实时系统的“捕获进程”命令已修订。对各种应用程序(尤其是网络浏览器和某些微软应用程序)进行窗口截图的能力有了显著提升。此外,用户现在能更灵活地控制哪些信息包含在分隔符为制表符的窗口列表中,例如子窗口的详尽列表及(新增的)屏幕截图的哈希值。
当将一个文件解释为原始映像,且文件大小不是所假设扇区大小的整数倍时,现在会包含末尾额外的数据,即使它不足以构成另一个完整扇区,这与之前的版本不同,这将影响哈希计算及潜在的文件提取操作。在解释这类映像时,你仍然会收到关于意外文件大小的警告,除非你为某个证据对象抑制了该警告。当你执行按扇区进行的操作试图读取最后一个(不完整的)“扇区”时,也可能收到读取错误消息。
error.log文件的条目现在以UTF-8存储,而不是Windows中活动的ANSI代码页。
改进了在遇到非标准内部时间戳的.e01证据文件时的错误提示信息。
程序帮助和用户手册已更新。
众多细微改进。