X-Ways Forensics 21.1 릴리즈
새로운 기능
v21.1 Preview 1
* 평균 파일 이름 길이가 16자라고 가정할 때 단일 볼륨의 5억 개 이상의 항목에 적합한 더 큰 볼륨 스냅샷에 대한 지원이 향상되었습니다. 더 짧은 파일 이름을 사용하면 이론적으로 10억 개 이상의 항목이 가능합니다. 이는 RAM이 충분해야 하고 64비트 버전에서만 작동하며 볼륨 스냅샷이 완료될 때까지 기다릴 시간이 충분하다고 가정합니다. 파일 이름 공간만 모두 사용된 경우 볼륨 스냅샷에 더 많은 파일을 포함할 수 있지만 더미 파일 이름(물음표 문자)으로 표시됩니다.
* 대규모 NTFS 파일 시스템에 대한 볼륨 스냅샷 생성 속도가 약간 빨라졌습니다.
* 이제 이름과 타임스탬프를 기반으로 하는 두 종류의 사전 필터를 사례 속성에서 활성화할 수 있습니다. 사전 필터를 사용하면 초기 볼륨 스냅샷을 제한할 수 있습니다. 이러한 필터를 통과하지 못한 파일은 해당 필터가 활성화된 동안 생성된 볼륨 스냅샷에 포함되지 않습니다. 디렉토리는 여전히 포함되어 있습니다. 이는 증거 개체인 파티션/볼륨 및 파일 아카이브와 파일 시스템 또는 아카이브의 정의 데이터 구조에 따라 직접적으로 발견되는 모든 파일에만 관련됩니다. 예를 들어 파일 헤더 서명 검색을 통해 또는 내장된 데이터에 대한 볼륨 스냅샷에 이미 포함된 파일을 확인할 때와 같이 다른 방법으로 발견된 파일의 추가를 제한하지 않습니다.
사전 필터는 파일이 볼륨 스냅샷에 무의식적으로 들어가는 것을 방지할 수 있다는 점에서 특별합니다. 즉, 필요하지 않거나 존재하고 싶지 않은 파일 또는 볼 수 없는 파일입니다. 작업 또는 검색 범위가 이름이나 타임스탬프 범위가 미리 알려진 특정 파일로 제한되거나 증거 개체(이미지 또는 파일 아카이브)가 너무 커서 수억 개의 다른 파일을 피함으로써 시간과 주 메모리를 절약하거나 볼륨을 전혀 소화할 수 있게 만들 수 있습니다(즉, 지원되는 경계 내에서 볼륨 스냅샷 크기를 유지). 증거 개체가 이미지 파일인 경우 볼륨 스냅샷 생성 자체가 눈에 띄게 가속화될 수 있으며, 증거 개체의 포함을 사전에 방지하면 모든 후속 단계(탐색, 나열, 정렬, 필터링, 볼륨 스냅샷 개선)의 계산 비용이 덜 듭니다. 원하지 않는 파일이 많습니다.
볼륨 스냅샷을 생성하는 동안 사전에 생략된 파일 수가 진행률 표시기 창에 표시됩니다. 완료 후 볼륨 스냅샷 미세 조정을 위한 대화 상자 창의 볼륨 스냅샷 상태에서 해당 파일의 총 개수를 항상 확인할 수 있습니다. 볼륨 스냅샷을 찍을 때 세션당 한 번씩 사전 필터가 활성화되었다는 경고가 메시지 창에 출력됩니다.
* 보고서 HTML 파일은 이제 메타데이터 추출의 일부로 Windows 레지스트리 하이브 파일 NTUSER.DAT, SYSTEM, SOFTWARE, SECURITY 및 SAM에 대해 자동으로 생성됩니다. 이러한 파일은 하위 개체로 저장됩니다. 장점은 선택한 흥미로운 값에 대해 사람이 읽을 수 있는 미리 보기 역할을 할 수 있고 UserAssist 항목과 같은 일반 텍스트로 인코딩된 일부 텍스트를 포함하므로 논리 검색에서 해당 값을 찾을 수 있다는 것입니다.
* 기본 다국어 평면(예: 중국어)에서 특별히 인코딩된 유니코드 문자가 포함된 파일을 포함하여 논리적 검색, 인덱싱 및 텍스트 미리 보기 모드를 위해 .json 파일을 디코딩하는 기능.
* error.log 파일 항목은 이제 Windows에서 활성화된 ANSI 코드 페이지 대신 UTF-8로 저장됩니다.
* .e01 증거 파일에서 비표준 내부 타임스탬프가 발견될 때 나타나는 오류 메시지가 개선되었습니다.
* 사용자가 제공한 파일 마스크에 대한 보다 일관되고 철저한 오류 및 타당성 검사.
* "소셜 미디어"는 세부 정보 모드의 JPEG 파일 요약 테이블에 있는 처리 상태의 여러 가능한 값 중 하나였습니다. 이제는 보고된 소프트웨어 클래스의 가능한 값 중 하나가 되었습니다.
* 소프트웨어 클래스의 다른 새로운 가능한 값은 이제 "stock"(스톡 사진용), "Amazon"(Amazon 쇼핑 웹 사이트의 제품 사진용), "Mastodon"(Twitter/X 경쟁자) 및 "MS Office"입니다. 이제 전체 JPEG 및 PNG(일부 WEBP 포함) 사진의 약 75%에 소프트웨어 클래스가 할당됩니다.
* 일부 iPhone 관련 생성기 서명은 이제 iPhone으로 올바르게 식별됩니다.
* 다양한 사소한 개선.
v21.1 Preview 2
* 매우 큰 볼륨의 볼륨 스냅샷은 이제 131TB를 초과하는 오프셋에서 파일 시스템에 정의된 파일을 지원하거나 해당 볼륨에서 131TB를 초과하는 데이터를 시작합니다. 새로운 한도는 262TB입니다.
* SquashFS 압축 파일 시스템을 인식하고 해당 내용을 파일 아카이브처럼 처리하는 기능. X-Ways Forensics에서 SquashFS에 지원되는 압축 알고리즘은 GZIP/zlib, LZMA, LZO 및 XZ입니다.
* 내부 그래픽 디스플레이 라이브러리를 통해 더 많은 TIFF 그림 변형을 지원합니다.
* 이제 JPEG 및 WEBP 사진에 대해 27가지 소프트웨어 클래스가 지원됩니다: 펌웨어, Adobe, PHP, Apple, Windows, Facebook/Instagram, Android, 일반, WordPress, 편집기, 소셜 미디어, Google/Picasa, 스캐너, WhatsApp, 비디오 스틸, 웹사이트 빌더, 주식, Twitter, Amazon, 스크린샷, Pinterest, 콘텐츠, 카메라, LinkedIn, Beautifier, Bing, MSN.
* XMP 메타데이터 외에 WEBP 사진의 Exif 메타데이터 출력.
* ICC 색상 프로필에 대한 메타데이터 출력이 향상되었습니다.
* 몇 가지 사소한 개선이 이루어졌습니다.
* v21.0 SR-2와 수정 수준이 동일합니다.
v21.1 Preview 3
* 운영 체제("OSDirList")에서 얻은 디렉터리 목록(예를 들어 증거 개체로 사례에 디렉터리나 단일 파일을 추가할 때 얻는)은 이제 파일 시스템의 타임스탬프를 표시하지 않거나 타임스탬프만 표시하도록 만들 수 있습니다. 수정 타임스탬프. 이는 볼륨 스냅샷 옵션이며, 파일의 타임스탬프가 원래 위치에 있었던 타임스탬프가 아니라 파일을 수집한 시점을 반영하므로 일반적인 의미가 없는 경우에 유용합니다.
* X-Tensions가 증거 개체로 사건에 디렉터리를 추가할 때 X-Ways Forensics가 NTFS의 4가지 일반 타임스탬프 중 하나를 무시하도록 선택할 수 있습니다.
* 새 설치에서는 볼륨 스냅샷 옵션 "새로 식별된 이름을 기본 이름으로"의 기본 설정이 이제 절반만 선택되어 있습니다. 이는 원본 .eml 파일에만 적용된다는 의미이며 잠재적으로 도움이 되지 않는 일반 파일 이름 대신 제목을 보는 것이 유용합니다.
* 이제 블록 해시 일치 항목이 검색 적중 열에 크기와 함께 표시됩니다.
* 블록 해시 데이터베이스의 블록 크기를 정의하는 옵션입니다. 수행 중인 작업이 확실하지 않은 경우에는 512바이트가 여전히 기본값이며 권장됩니다. 예를 들어 4KB의 더 큰 블록 크기는 물리적으로나 논리적으로 클러스터 크기가 4KB인 볼륨/파티션 및 섹터 크기가 4KB인 하드 디스크와 호환될 수 있지만 찾고 있는 데이터를 찾으려는 모든 시도를 방해합니다. 증거 개체의 관점에서 대상 파일 시스템의 클러스터가 4KB 경계 자체에 정렬되지 않은 경우. 예를 들어 파일 시스템에 첫 번째 클러스터(예: FAT) 앞에 불규칙한 크기의 헤더 영역이 있거나 파티션이 정렬되지 않은 파티션 가능한 저장 장치에만 블록 단위 해싱을 적용하기 때문에 후자가 해당될 수 있습니다. 4KB 경계에서. 그러나 좋은 소식은 파일 헤더 서명 검색과 마찬가지로 파티션 가능한 저장 장치(또는 그 이미지)에 파티션이 알려져 있고 알려지고 탐색 가능한 영역 외부의 영역만 있는 경우 블록별 해싱이 파티션에 특별히 적용된다는 것입니다. 파티션은 파티션 가능한 저장 장치 수준에서 처리됩니다.
* CRC32 해시 값은 이제 일반 해시 데이터베이스에서 지원됩니다. 이는 찾고 있는 파일의 CRC32 값만 알고 있고 더 이상 고급 해시 값이 없으며 전체 원본 파일 내용이 아닌 경우에만 유용합니다. 예를 들어 암호화된 zip 아카이브의 CRC32 값이 있기 때문입니다. 메타데이터의 암호화되지 않은 데이터. CRC32 일치 항목을 찾았고 파일 크기가 암호화된 zip 아카이브의 메타데이터에서 알려진 것과 동일하다면 동일한 파일의 암호화되지 않은 복사본을 찾았을 가능성이 높습니다.
텍스트 파일에서 CRC32 해시 값을 가져오려는 경우(첫 번째 줄에 "CRC32", 줄당 16진수 ASCII로 체크섬 하나 포함) 해당 16진수 ASCII 값은 빅 엔디안("인간- 읽을 수 있음") 바이트 순서(7-Zip 및 WinZip과 같은 소프트웨어 및 X-Ways Forensics 자체에 표시됨), 이는 MD5, SHA-1 등과 달리 X-Ways에서 바이너리로 저장되는 바이트 순서가 아닙니다. 내부적으로는 물론 zip 파일 자체와 다른 곳에서도 법의학을 수행할 수 있습니다.
* 파일 크기로 추정되는 섹터 크기의 배수가 아닌 원시 이미지로 파일을 해석할 때 이전 버전과 달리 다른 전체 섹터에 추가되지 않는 끝에 추가 데이터가 포함됩니다. 해시 계산 및 잠재적으로 파일 조각에 영향을 미칩니다. 증거 개체에 대해 해당 이미지를 표시하지 않는 한 이러한 이미지를 해석할 때 예상치 못한 파일 크기에 대한 경고가 계속 표시됩니다. 섹터별로 적용되는 작업이 마지막(불완전한) "섹터"를 읽으려고 할 때 읽기 오류 메시지가 나타날 수도 있습니다.
* Microsoft 365의 관리 센터를 통해 내보낸 특정 PST 아카이브에 저장된 Microsoft Teams 메시지를 추출합니다.
* 몇 가지 사소한 개선이 이루어졌습니다.
v21.1 Preview 4
* Mac용 Microsoft Outlook의 OLM 데이터베이스에서 전자 메일 메시지를 추출하는 기능.
* 일부 사소한 개선이 이루어졌습니다.
* v21.0 SR-4와 수정 수준이 동일합니다.
v21.1 beta 1
* PhotoDNA 일치(특히 동일한 사진에 대한 여러 일치)를 이제 선택적으로 레이블로 출력할 수 있습니다. 이는 모든 일치 항목을 확인해야 하거나 레이블로 출력할 수도 있는 일반 해시 데이터베이스 일치 항목과 동일한 위치에서 PhotoDNA 일치 항목을 확인하려는 경우에 유용합니다.
* 라벨 관리용 대화 상자 창이나 필터 대화 상자의 라벨이 이름별로 정렬되어 있지 않은 경우 화살표 버튼을 사용하여 라벨 순서를 변경할 수 있습니다. 이제 순서를 변경하면 라벨 열에 라벨이 나열되는 순서에 즉시 영향을 미칩니다. 이렇게 하면 가장 중요한 라벨이 먼저 나열되는지 확인할 수 있습니다.
* 이제 라벨 열의 라벨 이름을 선택적으로 잘라서 디렉터리 브라우저의 셀에 더 많은 라벨 이름을 넣을 수 있습니다. 표기법 설정입니다. 절반만 확인됨은 잘린 부분이 줄임표로 표시됨을 의미합니다.
* 라벨링을 위한 확장된 대화창을 개편하고 정리했습니다.
* 이제 "동적 이메일 및 날짜 열" 옵션이 "생성된 콘텐츠" 열의 가시성을 적절하게 제어합니다.
* 새로운 Excire 버전은 지금 다운로드할 수 있으며 X-Ways Forensics 21.1과 함께 사용하려면 필요합니다. "유사한" 사진 검색이 개선되었으며, 콘텐츠 감지 정확도가 향상되었습니다. 둘 이상의 잘못된 키워드가 할당된(오탐지) 사진의 수가 75% 감소했습니다. 키워드가 틀린 사진이 2배로 늘었습니다.
* 새로운 Excire 버전에서는 검색 기능에서 69개의 키워드가 삭제되어 결과의 신뢰성이 떨어졌습니다. 이 키워드 중 어느 것도 그다지 중요하지 않습니다. 이전에 법 집행 기관/정부 기관에서 요청한 키워드(신분증 및 다양한 신체 부위(완전한 사람이 아님))를 포함하여 87개의 새로운 키워드에 대한 지원이 추가되었습니다.
* 세부 정보 모드에서 찾을 수 있는 번호가 매겨진 설명을 문서화하고 설명하는 새로운 텍스트 파일 "Remarks.txt"가 이제 포함되었습니다.
* Galaxy S23 및 S24 생성기 시그니처가 업데이트되었습니다.
* WEBP 파일에서 메타데이터 추출이 확장되었습니다.
* 여러 갤러리 스레드의 동기화를 잠재적으로 향상시키는 옵션입니다.
* 사용자 인터페이스의 우크라이나어 및 러시아어 번역이 업데이트되었습니다.
* 몇 가지 사소한 개선이 이루어졌습니다.
v21.1 beta 2
* .e01 증거 파일에 대한 압축/데이터 밀도 차트가 약간 수정되었습니다.
* 특정 타임스탬프가 전혀 설정되지 않은 파일에 초점을 맞추는 날짜 필터 설정.
* X-Tension API에는 XWF_Mount 및 XWF_Unmount라는 두 가지 추가 기능이 있습니다. X-Tensions가 외부 프로그램에 볼륨 스냅샷의 다수 또는 대용량 파일에 대한 읽기 액세스 권한을 부여해야 하는 경우 해당 파일을 해당 외부 프로그램에 액세스할 수 있는 경로에 복사하는 것보다 볼륨 스냅샷을 드라이브 문자로 마운트하는 것이 더 빠를 수 있습니다.
* v21.0 SR-5와 동일한 수정 수준입니다.
v21.1 beta 3
* 열어야 하는 파일 이름 외에 특정 매개변수를 사용하여 X-Ways Forensics 내에서 외부 프로그램을 호출해야 하는 경우 이제 Programs.txt의 동일한 줄에 해당 매개변수를 지정할 수 있습니다. 탭이 있는 실행 파일입니다. 매개변수 목록의 아무 곳에나 자리 표시자 %1을(를) 포함하지 않는 한, 파일 이름은 사용자 고유의 매개변수 뒤에 끝에 추가됩니다. 해당 자리 표시자는 파일 이름으로 대체됩니다.
* 세부 정보 모드에서 Remarks.txt에 대한 더 많은 설명 참조. 요약표가 수정되었습니다. 사진 생성 장치에 대한 추가 정의.
* 많은 사소한 개선이 이루어졌습니다.
v21.1 beta 4
* Windows 라이브 시스템의 "프로세스 캡처" 명령이 수정되었습니다. 특정 응용 프로그램, 특히 인터넷 브라우저의 창 스크린샷을 찍는 기능이 향상되었습니다. 탭으로 구분된 Windows 목록에 어떤 정보가 포함되는지에 대한 더 많은 제어가 가능합니다. 하위 창 및 스크린샷의 (새로운) 해시 값에 대한 포괄적인 목록입니다.
* 읽기 목적으로 해시 데이터베이스를 일반적으로 사용합니다(디렉토리 브라우저의 "해시 세트" 열에 표시하기 위해 일치하는 해시 세트의 이름을 검색하기 위해). 공유된 경우 더 이상 다른 사용자가 데이터베이스를 업데이트하거나 교체하는 것을 방해하지 않습니다. 해시 세트 이름이 로컬 캐시/버퍼에 보관되기 때문입니다.
* "위에서 처리되지 않은 파일에서 파일 헤더 서명 검색" 절차의 일부로 MS Edge의 특정 임시 파일에 포함된 그림이 있는지 자동으로 확인합니다. 이 절차에 대한 파일 마스크는 해당 목적으로 이번 릴리스에서 재설정되었습니다.
* X-Ways Forensics 또는 X-Ways Investigator의 휴대용 설치와 해당 아이콘을 특정 컴퓨터의 .xfc 케이스 파일과 연결하려면 의식적으로 적어도 한 번은 관리자 권한으로 애플리케이션을 실행하고 사용자 정의 가능한 표준이 실행되는 동안 종료할 수 있습니다. 경로는 Windows 설치와 동일한 드라이브 문자에 위치하여 응용 프로그램에 사용자가 해당 Windows 시스템의 소유자이고 데이터가 기록된다는 사실을 편안하게 느낄 수 있는 힌트를 제공합니다. 이는 애플리케이션을 실행하는 경로, 케이스 파일을 생성하고 예상하는 경로, 이미지 파일을 생성하고 예상하는 경로 또는 임시 파일을 생성할 경로입니다.
* 일부 사소한 개선이 이루어졌습니다.
v21.1 beta 5
* 미리보기 모드가 세부정보 모드와 결합되고 데이터 창의 하단이 오른쪽으로 이동하면 이제 미리보기와 세부정보가 가로가 아닌 세로로 분할되어 세부정보 위에 미리보기가 표시됩니다.
* 기타 몇 가지 사소한 개선 사항.
* 프로그램 도움말 및 사용설명서가 업데이트되었습니다.
v21.0 정식버전 Release
* v21.1용 Excire 패키지가 다시 업데이트되었으며, v21.1은 이 새 버전에서만 작동할 수 있습니다.
* 세부 정보 모드의 설명 셀은 이제 설명 열의 표기 설정에 관계없이 항상 매우 상세합니다.
* 정지 이미지를 추출할 비디오 파일은 이제 파일 이름 마스크 대신 쉼표로 구분된 유형 목록을 사용하여 대상으로 지정됩니다.
* 원본 .eml 파일 및 MBOX 전자 메일 아카이브에서 일반 텍스트 첨부 파일을 하위 개체로 추출합니다.
* 레지스트리 뷰어의 QWORD 값 출력은 이전에는 32비트에 대해서만 가능했습니다. 이제 완전한 64비트를 다룹니다.
* v21.0 SR-6의 모든 수정 사항이 포함되어 있습니다.
이번 업데이트에 대한 사항은
https://www.x-ways.net/winhex/forum/messages/1/5459.html?1712317387
내용을 확인하시기 바랍니다
감사합니다.