accessdata forensic toolkit 4.2 release notes.es

52
WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA PROGRAMACIÓN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS SISTEMAS I/O AVANZADOS DE ALTO NIVEL [email protected] Traducido por Sykrayo España

Upload: sykrayo

Post on 14-Dec-2014

550 views

Category:

Documents


1 download

TRANSCRIPT

Page 1: AccessData Forensic Toolkit 4.2 Release Notes.es

WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIAPROGRAMACIÓN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS

SISTEMAS I/O AVANZADOS DE ALTO NIVEL

[email protected]

Traducido por Sykrayo España

Page 2: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes Introduction | 1

AccessData Forensic Toolkit 4.2Notas de la

versión

Fecha del documento: 31 de enero 2013

© 2013 AccessData Group, LLC Todos los derechos reservados.

IntroducciónEste documento incluye información sobre el Forensic Toolkit ® AccessData ® (FTK ®) 4,2 liberación. Tengaen cuenta que todos los problemas conocidos que se han publicado en las notas de liberación anteriores,todavía se aplican hasta que se enumeran en la sección "problemas resueltos".

Para su comodidad, las versiones anteriores Notas de la versión se incluyen al final de este

documento. Consulte la siguiente:

Forensic Toolkit 4.1 Notas de la versión (Página 12)

Forensic Toolkit 4.0.2 Notas de la versión (Página 20)

Forensic Toolkit 4.0.1 Notas de la versión (Página 25)

Forensic Toolkit 4.0 Notas de la versión (Página 30)

Para obtener información acerca de las versiones anteriores, consulte el sitio web AccessData enhttp://accessdata.com/.

Información importanteLas siguientes son consideraciones importantes a tener en cuenta:

Instalación y actualización: no es compatible con saltarse versiones cuando actualice los casos. Debe actualizar en el orden de

las versiones publicadas. Por ejemplo, no se puede actualizar los casos de FTK 4.0 o anterior directamente aFTK 4.2. Primero debe actualizar a FTK 4.1 y luego actualizar de FTK 4.1> FTK 4.2.

es posible, instale el componente de base de datos a un sistema físico. AccessData no recomiendaconfiguraciones en las que la base de datos o en el motor de procesamiento de pruebas se ejecutan en una máquinavirtual.

está utilizando Oracle, cuando se inicie por primera vez FTK y agregar la base de datos, cuando seleccionautilizar Oracle, debe cambiar el SID de Oracle de ADG a FTK2.

Traducido por Sykrayo España

Page 3: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes Important Information | 2

decide instalar ambas versiones de PostgreSQL, la versión 9.1.6 no puede utilizar el mismo puertoque 9.0.1 (5432). Debe utilizar un nuevo puerto al instalar la versión 9.1.6. Un nuevo puerto seráautomáticamente elegida durante la instalación. Debe registrar el puerto que se utiliza.

instalar el servidor KFF, debe tener privilegios de administrador. De lo contrario, se obtieneel siguiente error: Excepción no controlada en la aplicación. (9092)

instalar el servidor KFF, se requiere Microsoft. NET Framework 4. Si usted no tiene. NET instalado,se le pedirá que lo instale. Si instala. NET en este momento, el equipo debe ser reiniciado antes de instalarKFF. En equipos de 32 bits, el instalador le pedirá que lo haga esto, pero en equipos de 64 bits, no se le pide yel asistente de configuración del servidor se abre KFF. Usted debe cancelar el asistente y reiniciar el equipomanualmente antes de reiniciar la instalación KFF Server. (15,000)

Exportar correos electrónicos con función PST requiere que tenga ya sea Microsoft Outlook oMicrosoft

Collaboration Data Objects (CDO) instalados en el mismo equipo que el motor de procesamiento.Sin embargo, CDO no admite mensajes de correo electrónico Unicode exportadores. El intento deexportar Unicodemensajes a PST con CDO instalado dará lugar a errores y el PST resultante se falta cualquierMensajes de correo electrónico Unicode. Para exportar mensajes de correo electrónicoUnicode, debe instalar Outlook. Para obtener más información, consulte la Guía deInstalación Rápida.Ver Dónde obtener más información en la página 11.

Gestión de datos y base de datos recomienda que, siempre que sea posible, los usuarios no tienen una conexión a Internet activa

cuando se ejecuta o FTK Imager. Si el equipo que ejecuta FTK Imager o tiene una conexión a Internet activa y que estánviendo ciertos tipos de páginas web HTMLo binarios, existe el riesgo potencial de que se asocia con las páginasespecialmente diseñadas o binarios. Estas páginas o binarios pueden desencadenar consecuencias no deseadas, comola ejecución de código malicioso o scripts.

es muy recomendable para configurar antivirus para excluir la base de datos (PostgreSQL,Oracle base de datos Microsoft SQL) temp AD, imágenes de origen / archivos sueltos y carpetas para elrendimiento y la integridad de datos de casos.

escribe binarios a la carpeta Temp AD momentáneamente a fin de realizar el análisis demalware. Al finalizar, se eliminará rápidamente el binario. Es importante asegurarse de que su antivirus noestá explorando la carpeta Temp AD. Si no se realizarán antivirus elimina / Pone en cuarentena los binariosdel análisis temp Cerberus.

utilizando una base de datos Oracle, debe ser instalado en un equipo con un nombre que empiezacon una letra (az y AZ). Debido a una restricción de nombres de dominio en RFC 1035, las aplicaciones nopueden conectarse a Oracle si el nombre del equipo comienza con un número. Si el equipo de Oracle tiene unnombre que comienza con un número, debe cambiar el nombre de la máquina antes de instalar Oracle.

Si está utilizando Oracle, debe considerar la instalación de Oracle Critical Patch Updates. Puededescargar Oracle Critical Patch Update 38 y 45 (abril de 2011) de la página web Descargas SoporteAccessData. Para los nuevos cambios, debe tener un contrato de soporte de Oracle. Puede cargaractualizaciones del El sitio web de Oracle (http :/ / www.oracle.com / technetwork/ Apics / security /alertas-086861.html).Para instalar una Actualización Crítica de Oracle, primera copia de seguridad de la base de datos, a continuación, cierre todos losprogramas antes de instalar el parche. (58583, 58248)Si usted no tiene un contrato de soporte de Oracle, considere cambiar a partir de una base de datos deOracle a PostgreSQL, que está disponible de manera gratuita en la página de descargas FTK. Puedemigrar fácilmente los casos de Oracle a PostgreSQL. Para obtener más información, consulte la Guíade Instalación Rápida y Actualización, migración y mover guía CasesVer Dónde obtener más información en la página 11.

decide que los archivos de base de un caso colocados en la carpeta caso, no mueva su carpetacaso sin primero el archivo y extraer el caso. (64.450)

que marque un punto tallada manualmente que no ha sido procesado, el archivo no aparece en un

Traducido por Sykrayo España

Page 4: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes Important Information | 2

marcador o en un informe hasta que lo procesa. Puede utilizar la opción "Process Artículos tallados deforma manual" en el menú desplegable de pruebas, a los procesos de la opción tallada manualmente.(57.812)

Traducido por Sykrayo España

Page 5: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes 4.2 New, Improved, and Enhanced Features | 3

4.2 nuevo, mejorado y características mejoradasLos siguientes elementos son funciones nuevas y mejoradas, o mejoras de funciones para la

versión 4.2. Para obtener mejoras en las versiones 4.x anteriores, consulte la siguiente:

Nuevo, mejorado y características mejoradas (Página 13)

Nuevo, mejorado y características mejoradas (Página 21)

Nuevo, mejorado y características mejoradas (Página 26)

Nuevo, mejorado y características mejoradas (Página 31)

Soporte de base de datos mejorada

Soporte para Microsoft SQL ServerAhora puede utilizar la versión de base de datos Microsoft SQL Server 2008 R2 o 2012 para su base de datos FTK.

Puede migrar los FTK 4.1 casos que están actualmente en Oracle o PostgreSQL para FTK 4.2 y Microsoft SQL Server.

Para obtener información sobre la configuración de una base de datos Microsoft SQL para trabajar con

FTK 4.2, consulte la Guía de instalación rápida. Para obtener información sobre la migración de los casos,

consulte la Actualización, migración y mover guía Cases.

Ver Dónde obtener más información en la página 11.

Versión actualizada de PostgreSQLFTK 4.2 incluye PostgreSQL 9.1.6. (FTK 4.1 incluye PostgreSQL 9.0.1).

Para obtener información sobre la versión de PostgreSQL 9.1.6, visite el

siguiente enlace:

http :/ / www.postgresql.org / docs / current / stuntic/release-9-1-6.html

Instalación de PostgreSQL y las opciones deactualización:

está instalando FTK 4.2 de PostgreSQL, por primera vez, PostgreSQL 9.1.6 es la versiónque se proporciona para que la instale.

está actualizando desde FTK 4.1 y el uso de PostgreSQL, tiene dos opciones:

usar PostgreSQL 9.0.1 con FTK 4.1 y 4.2. Usted no está obligado a actualizar a lanueva versión de PostgreSQL.

PostgreSQL 9.1.6

Importante: Si decide instalar PostgreSQL 9.1.6, se instalará al lado de PostgreSQL9.0.1 y sólo será utilizada por FTK4.2.Si usted continúa usando FTK 4.1, utilizará sólo para la versión 9.0.1. (4.1 no escompatible con la nueva versión 9.1.6).

puede actualizar o migrar los FTK 4.1 casos que se utilizarán en 4,2 utilizandocualquiera de las bases de datos soportadas. Para obtener más información, consulte laActualización, migración y mover guía Cases.

Para obtener más información acerca de la instalación y actualización de PostgreSQL, consulte laGuía de Instalación Rápida y Actualización, migración y mover guía Cases.Ver Dónde obtener más información en la página 11.

Traducido por Sykrayo España

Page 6: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes 4.2 New, Improved, and Enhanced Features | 4

Integración de bases de datos con AccessData CIRT 2.2Si está utilizando tanto FTK 4.2 o superior y AccessData CIRT 2.2 o superior, puede compartir la misma basede datos. Al instalar FTK, puede especificar la misma base de datos que está utilizando para la CIRT. Esto lepermite abrir y realizar tareas en casos CIRT en FTK. Usted puede realizar las siguientes tareas con casosCIRT:

un caso

y restaurar un caso

y eliminar las evidencias

Análisis adicional

y datos del índice

datos

Apertura casos FTK en CIRT no se admite actualmente.

Actualización del caso Backup FuncionesTodas las copias de seguridad de caso ahora se realizan utilizando el formato independiente de la base dedatos en lugar de un formato nativo. El formato independiente de base de datos facilita la migración de loscasos y en movimiento a una aplicación de base de datos o versión. Puede realizar una copia de seguridadcon un formato original mediante la utilidad dbcontrol.

Funcionalidad actualizada para el análisis y la visualización de datos

Soporte para Ver y Analizar archivos de registro de IISAhora puede ver los datos contenidos en los archivos de registro de IIS en formato HTML en la pestaña natural del contenido del archivoPane.

También puede procesar archivos de registro de IIS para que se dividen en registros individuales y mezclados con otros elementospara apoyar el análisis de la línea de tiempo. Para procesar los archivos de registro de IIS, hay una nueva casilla de verificación deregistro de IIS en las opciones de proceso Evidencia> Opciones de expansión. Esta opción no está activada por defecto.

Al visualizar los archivos de registro de IIS, puede utilizar las siguientes nuevas columnas IIS relacionados en lalista de archivos:

c-ip cs-bytes cs-uri-query s-nombre deequipo

s-sitename

cs (Cookie) cs-host cs-uri-stem s-ip sc-bytes

cs (Referer) cs-método cs-nombre deusuario

s-puerto sc-status

cs (User-Agent)

Traducido por Sykrayo España

Page 7: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes 4.2 New, Improved, and Enhanced Features | 5

Análisis CronologíaRegistroAhora puede ver los datos de registro adicionales en formato HTML en la ficha Natural del Panel de contenido de archivos paraapoyar elanálisis de la línea de tiempo.

Puede procesar los archivos de datos del Registro para que se dividen en registros individuales para que se intercalan con otroselementos para apoyar el análisis de la línea de tiempo. Para procesar los datos del registro, hay una nueva casilla de verificación delRegistro en las opciones de proceso Evidencias> Opciones de expansión. Esta opción no está activada por defecto.

Las siguientes áreas de registro soncompatibles:

006097DEACF9} \ Conde

00AA004AE837} \ Conde

9926F41749EA} \ Conde

443BCFE33D9F} \ Conde

También puede utilizar las siguientes nuevas

columnas Registro relacionadas en la lista de archivos:

Registro de Acción Descripción Registro de Tipo de acción

Registro de Nombre de la acción Archivo del Registro

Soporte para los tipos de archivos adicionales en la pestaña natural del Panel de contenido de archivos integrada en los archivos de entrada PDF son ahora soportados

para los siguientes tipos de documentos se ha agregado:

Nombre

Visualización en elvisorNatural

Categorización

ExtracciónTexto

Hangul documentos 2010 X X X

Datos de la tabla en un Jet 3.x-4.x o archivo basado en Microsoft X X X

Microsoft OneNote 2007 y 2010 archivos X X

Traducido por Sykrayo España

Page 8: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes 4.2 New, Improved, and Enhanced Features | 6

Archivos de Office 2003: WordprocessingML sólo texto (Word2003);y SpreadsheetML sólo texto (Excel 2003)

X X X

IBM SmartSuite 9.8 archivos: WordPro Lotus, Lotus 1-2-3, yLotus Freelance

X X X

Traducido por Sykrayo España

Page 9: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes 4.2 New, Improved, and Enhanced Features | 7

Nombre

Visualización en elvisorNatural

Categorización

ExtracciónTexto

De Apple iWork 09 archivos para Mac OSX: Pages, Keynote yNúmeros

X X X

Archivos de WordPerfect X5: procesador de textos, Quattro Pro yPresentaciones

X X X

Adobe Creative Suite 5 archivos: Photoshop CS5, IllustratorCS5 e InDesign CS5

X X X

Nota Microsoft campo de texto enriquecido Proyecto X X X

Archivos PDF comprimidos X X X

Archivos PDF cifrados con AES de 256 bits X

Los archivos PDF creados con Acrobat 10 ahora sonvalidados por el motor de firma de archivo

X X

Lista de archivos de cachéCuando se procesa la evidencia, los datos que se vieron frecuentemente en la lista de archivos ahora puedenalmacenar en caché. Puede almacenar en caché los siguientes:

Todas las vistas de fichas y columnas por defecto asociado a la vista respectiva

Todos los filtros predefinidos

Esta función no está activada por defecto. Para activar esta función, seleccione la opción Filtros Comúncaché, ya sea en las opciones de procesamiento de casos o análisis adicional.

Para los casos grandes, esta caché se reducirá la cantidad de tiempo necesario para actualizar los datos en lalista de archivos y varios puntos de vista. Almacenamiento en caché de base de datos ejecuta efectivamentelas consultas comunes durante el tiempo de procesamiento y almacena los resultados en la base de datos.Cuando un usuario realiza una consulta que se almacena en caché, los resultados van a volver rápidamenteen lugar de tener que ejecutar la consulta real en contra de la base de datos cada vez que se ejecuta.

Almacenamiento en caché las consultas aumentará el tiempo de procesamiento debido al hecho de la seejecutan cada una de las consultas en el tiempo de procesamiento. El aumento en el tiempo depende de lacantidad de datos. En las opciones de procesamiento de pruebas, usted puede optar por desactivar laconfiguración por defecto para los archivos de caché.

En la lista de archivos, puede elegir, agregar o quitar vistas de la caché.

Actualizaciones de indexación se ha reducido la lista predeterminada de palabras irrelevantes que son ignorados para la indexación

durante una dtSearch. Las palabras, como los otros, porque, cada uno, de hecho, muchos, y otros, ya no están enla lista predeterminada. Todavía se puede añadir o quitar palabras irrelevantes de la lista por defecto al configurarlas opciones de proceso evidencia predeterminados de un nuevo caso. (13.867)

exportar datos de un caso como una imagen, y luego agrega que la imagen como prueba, ya sea enel mismo caso o un caso diferente, el nombre de la imagen se cambia el nombre usando un término genérico. Estoevita que un nombre de imagen generados por los usuarios de la indexación con pruebas. (9495)

Traducido por Sykrayo España

Page 10: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes 4.2 Fixed Issues | 7

Bitlocker actualización ahora es compatible con Windows 7 y Windows Vista.

Nueva versión de KFF (Conocido filtro de archivos) es ahora una aplicación independiente que se ejecuta en el mismo equipo queejecuta examinador.

Ya no almacena la base de datos KFF en la base de datos compartida, pero la evidencia en el sistemade archivos de EDBformato.La instalación de los datos KFF ahora sólo incluye la Biblioteca Hash de NIST NSRL (febrero 2012). Labiblioteca expandida, incluyendo actualizaciones NSRL trimestrales y Hashkeeper, está disponible en elsitio de descarga de AccessData.KFF ahora requiere que se "cierra" un grupo KFF personalizado antes de usarlo. Un grupo cerrado nose puede editar para eliminar.

está actualizando desde FTK 4.1, puede exportar sus grupos KFF existentes e importarlos en FTK4.2.Si usted continúa usando FTK 4.1, que va a utilizar la versión 4.1 de la KFF, no la nueva versión KFF de4,2.

Ahora se instalará el servicio de servidor KFF como una instalación independiente de la bibliotecaKFF.

Al instalar el servidor KFF, se especifica la ubicación de los datos KFF.Para obtener información sobre la instalación de KFF, consulte la Guía deinstalación rápida.

Las mejoras de proceso se ha mejorado para proporcionar un rendimiento más rápido.

Agregar en Mejoras del móduloEsta versión incluye mejoras en el FTK Cerberus y los módulos de visualización

complemento. Para obtener más información, consulte 4.2 Notas de la versión de módulos

adicionales (Página 10).

4.2 Problemas resueltosLos siguientes elementos se resuelven los problemas de la versión 4.2.

Para los problemas resueltos en la anterior 4.x, lanzamientos, vea lo siguiente:

Problemas resueltos (Página 16)

Problemas resueltos (Página 22)

Problemas resueltos (Página 27)

Problemas resueltos (Página 32)

Index Data Merge un problema que impedía el índice de combinación de correspondencia desde la consolidación de

Traducido por Sykrayo España

Page 11: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes 4.2 Fixed Issues | 7

todos los datos. (3734)

Traducido por Sykrayo España

Page 12: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes 4.2 Fixed Issues | 8

Tratamiento un problema que impedía 7zip archivos EXE contenidos que se expanden correctamente. (70.071)

un tema que grandes cantidades a veces causados de datos del registro no se muestran en Registry Viewer.(10.149)

Filtros filtros

La interfaz de usuario ha sido actualizado para reflejar los acontecimientos reales en la gestión defiltros. En versiones anteriores, parecía que se podía editar y cambiar el nombre de un filtropersonalizado. Sin embargo, lo que realmente sucedió es que el filtro original se copia con el nombrenuevo. El resultado fue que el filtro original todavía existe con el nombre original, y un filtro de copiadofue creado con el nuevo nombre. Ahora, si edita un filtro personalizado, no se puede intentar cambiar elnombre del filtro. Usted puede copiar y puede utilizar un nuevo nombre para la copia. Si lo desea,puede eliminar el filtro original de encargo. (9698)

un problema que provocaba cirílico / nombres rusos en el campo "De" y "A" campos de mensajes decorreo electrónico que no se visualicen correctamente. (14.242)

Gráficos y vídeo un problema que a veces causaba un error de tiempo de ejecución al acceder a la ficha Gráficos.(13.754)

un problema que provocaba que los sistemas de 32 bits para convertir un menor número de archivosde Flash Video a archivos de vídeo comunes que

Sistemas de 64 bits. (13.216)

un problema que provocaba Windows 7 (64-bit) de la creación de miniaturas y archivos de vídeo comunesde. rb y. archivos RMVB. (10.150)

Marcadores un problema que impedía que los archivos se eliminen de un marcador. (68.372)

KFF un problema que impedía el Administrador KFF se muestren los grupos de sólo el grupo

seleccionado. (13.082)

Bitlocker un problema que provocaba Bitlocker falle al validar las credenciales. (13.493)

Imagermontaje ahora trabaja en FTK Imager o cuando el agente está instalado en esa máquina. (58.791)

un problema que provocaba Imager se bloquee al realizar una copia de cadena del nombre del archivo paraque aparezca en la lista de archivos. (13.011)

una cuestión que mejora la detección de archivos corruptos $ I30. (12.293)

Lista de archivos Icono de "llave" que se muestra junto a los archivos de la categoría Otros archivos de cifrado en el panel de lista

de archivos ya no está distorsionada. (18.628)

Traducido por Sykrayo España

Page 13: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes 4.2 Known Issues | 9

ahora le impide la creación de dos o más perfiles de configuración de las columnas con el mismonombre pero con mayúsculas y minúsculas. (55732, 52510, 58961)

Otro un problema que impedía contenido de una imagen ISO, o los datos de un CD / DVD, de haber

activado la opción del archivo real. (10.554)

el rendimiento en el correo electrónico de exportación. (13.098)

el problema donde un espacio adicional al final del nombre del caso provocó FTK se bloquee. (62.386)

4.2 Problemas conocidosLos siguientes elementos son los problemas conocidos que se encuentran en la versión 4.2.

Para problemas conocidos que se encuentran en las versiones 4.x anteriores, consulte la siguiente:

Problemas conocidos (Página 16)

Problemas conocidos (Página 23)

Problemas conocidos (Página 28)

Problemas conocidos (Página 34)

Buscar hacer un índice de búsqueda de un archivo pagefile.sys, que no destaca la sección correcta del archivo en el

Panel "de contenido de archivos". (14.614)

hacer un índice de búsqueda de un archivo pagefile.sys, si hay un montón de hits, un "límiteBúsqueda Impactos" ventana emergente le permitirá limitar el número de visitas mostradas. Esto no estáfuncionando correctamente Índice Resultados de la búsqueda. (14.619)

haciendo un Live Search, en la ficha Texto, puede introducir más de un término de búsqueda,pero si hace clic en "Eliminar" para uno de ellos y haga clic en "Eliminar" de nuevo, se borrará toda la lista sinprevio aviso, (a menos que haya seleccionado otro elemento individual). (14896)

una búsqueda en vivo en varios caracteres chinos no puede producir ningún resultado. Realizar unabúsqueda en tiempo real en un solo personaje funciona correctamente. (9471)

Los archivos de vídeo utilizando la opción de crear archivos de vídeo comunes durante el proceso, algunos archivos de

Flash Video no se convierten correctamente. Esto se puede resolver mediante la actualización de la ffmpeg.file.Este archivo se encuentra en la carpeta siguiente:.. \ AccessData \ Engine EvidenceProcessing \ version \ ffmpeg.exe

Puede descargar una versión actualizada delhttp://ffmpeg.zeranoe.com / construye / y reemplazar el archivooriginal. (13.216)

KFF FTK 4.2, no se puede exportar grupos KFF. Usted todavía puede exportar los grupos de 4.1 para

que pueda importarlos a 4,2.

desinstalar el servidor KFF y tratar de desinstalar los datos KFF, error 1721 se devuelve y no sepuede desinstalar los datos.Solución: Si desea desinstalar el servidor KFF, desinstale los datos / hashes primero. (13.920)

Traducido por Sykrayo España

Page 14: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes 4.2 Release Notes for Add-on Modules | 10

Marcadoresmarcadores Diálogo normalmente sólo permite la inclusión de "adjuntos de correo electrónico" o "e-mail

de Padres" al marcar un mensaje de correo electrónico o un archivo adjunto. Sin embargo, actualmentetambién se aplica estas opciones cuando archivos de correo electrónico y carpetas de marcadores, lo queresulta en muchos más productos marcada de lo previsto. (14.992)

Otro está utilizando una pantalla de menos de 768 píxeles, al visualizar la página Análisis adicional, no

puede ver el botón Aceptar en la parte inferior de la página. (10.210)

usando OCR y seleccionando la B & W y Escala de grises, y luego establecer el filtro para OCRGraphics, el panel de lista de archivos puede mostrar gráficos en color. (13.140)

4.2 Notas de la versión de módulos adicionales

4.2 Notas de la versión para el Cerberus Add-onNo es un módulo add-on para el análisis de malware que se llama Cerberus. Cerberus es integrada que lepermite detectar y triage sospechoso binarios. Puede determinar el comportamiento, la intención y la amenazapotencial de binarios sospechosos sin esperar a que un equipo de malware para realizar semanas de análisis.Cerberus requiere una licencia adicional. Para obtener más información, consulte http://accessdata.com/.

Para Cerberus Notas de la versión de las versiones 4.x anteriores, consulte la siguiente:

Notas de la versión para el Cerberus Add-on (Página 17)

Notas de la versión para el Cerberus Add-on (Página 23)

Notas de la versión para el Cerberus Add-on (Página 28)

Notas de la versión para el Cerberus Add-on (Página 34)

Tenga en cuenta las siguientes mejoras: Información suministrada por el siguiente:

Sumario de lasFunciones de llamada

Funciones de información de llamada

nombres en el informe se han simplificado

ya no consigue marcado por el software antivirus.

4.2 Notas de la versión para la visualización Add-onNo es un módulo add-on llamado Visualización. El módulo de visualización le permite ver los datos en variosformatos de imagen, incluyendo las líneas de tiempo, gráficos de racimo, gráficos circulares y más. Estafuncionalidad le permite determinar con rapidez las relaciones en los datos y encontrar piezas clave deinformación. La visualización requiere una licencia adicional. Para obtener más información, consultehttp://accessdata.com/.

Para la visualización de notas de la versión para las versiones 4.x anteriores, consulte la siguiente:

Notas de la versión para la visualización Add-on (Página 18)

Notas de la versión para la visualización Add-on (Página 24)

Notas de la versión para la visualización Add-on (Página 29)

Traducido por Sykrayo España

Page 15: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes Where to get more information | 11

Notas de la versión para la visualización Add-on (Página 34)

Tenga en cuenta las siguientes mejoras: ahora es compatible con los datos del historial del navegador.

Ahora puede ver los archivos del historial del navegador, en la línea de tiempo detallada visualización. Puede ver los archivos delhistorial de navegación de los siguientes navegadores:

Explorador

Para procesar los datos del historial del navegador, no es un proceso nuevo Internet History Browser casilla Visualización enOpciones deproceso de las pruebas o análisis adicional. Esta opción no está activada por defecto.

Por favor, tenga en cuenta lo siguiente tema fijo: selección de la fecha actual de la línea de tiempo de visualización coincide ahora con la información

Selección actual que se muestra en la barra de estado de la línea de tiempo. Ya no agrega un día adicional.(66.296)

Dónde obtener más informaciónUtilice los siguientes recursos de documentación para obtener más información sobre este producto. Cadadocumento está disponible en formato PDFformato en el archivo ISO de descarga. La Guía del usuario también está disponible a través del menú Ayuda deFTK.

La última versión de cada documento está disponible en el panel de lanzamiento del producto en la páginade descarga del producto FTK:

http://www.unccessdata.com / support / product-descargas / ftk-download-pedad

Documento DescripciónGuía de instalación rápida La información sobre cómo instalar y actualizar este y otros productos.Guía del usuario Información sobre cómo utilizar este producto, incluyendo técnicadetallada

información e instrucciones para la realización de tareas.Actualización, migración ymovimientoCasos

Información sobre la actualización y migración de los casos 4,1 a 4,2,y moviendo los casos de una base de datos a otro.

Actualización de Casos Información sobre la actualización de casos 4,1-4,2.Migración de casos archivados Información sobre la actualización o migración de los casos que se

han archivado en una versión anterior.

¿Sugerencias?

Traducido por Sykrayo España

Page 16: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.2 Release Notes Where to get more information | 11

Valoramos todos los comentarios de nuestros clientes. Por favor, contacte con nosotros [email protected], o enviar problemas de documentación [email protected].

Traducido por Sykrayo España

Page 17: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes Introduction | 12

AccessData Forensic Toolkit 4.1Notas de la

versión

Fecha del documento: 03 de octubre 2012

© 2012 AccessData Group, LLC Todos los derechos reservados.

IntroducciónEste documento incluye información sobre el Forensic Toolkit ® AccessData ® (FTK ®) versión 4.1. Tengaen cuenta que todos los problemas conocidos que se han publicado en las notas de liberación anteriores,todavía se aplican hasta que se enumeran en la sección "problemas resueltos".

Para su comodidad, las versiones anteriores Notas de la versión se incluyen al final de este

documento. Consulte la siguiente:

Forensic Toolkit 4.0.2 Notas de la versión (Página 20)

Forensic Toolkit 4.0.1 Notas de la versión (Página 25)

Forensic Toolkit 4.0 Notas de la versión (Página 30)

Para obtener información acerca de las versiones anteriores, consulte el sitio web AccessData enhttp://accessdata.com/.

Información importanteLas siguientes son consideraciones importantes a tener en cuenta:

puede descargar la Actualización Crítica de Oracle en esta versión de la página web de asistenciaDescargas AccessData. Primera copia de seguridad de la base de datos, a continuación, cierre todos losprogramas antes de instalar el parche. (58583, 58248)

recomienda que, siempre que sea posible, los usuarios no tienen una conexión a Internet activacuando se ejecuta o FTK Imager. Si el equipo que ejecuta FTK Imager o tiene una conexión a Internet activa y que estánviendo ciertos tipos de HTML o páginas web, existe el riesgo potencial de que se asocia con las páginas especialmentediseñadas o binarios. Estas páginas o binarios pueden desencadenar consecuencias no deseadas, como la ejecución decódigo malicioso o scripts.

utilizando una base de datos Oracle, debe ser instalado en un equipo con un nombre que empiezacon una letra (az y AZ). Debido a una restricción de nombres de dominio en RFC 1035, las aplicaciones nopueden conectarse a Oracle si el nombre del equipo comienza con un número. Si el equipo de Oracle tiene unnombre que comienza con un número, debe cambiar el nombre de la máquina antes de instalar Oracle.

es posible, instale el software de base de datos a un sistema físico. AccessData no recomienda configuracionesen las que la base de datos o en el motor de procesamiento de pruebas se ejecutan en una máquina virtual.

decide que los archivos de base de un caso colocados en la carpeta caso, no mueva su carpeta

Traducido por Sykrayo España

Page 18: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes Introduction | 12

caso sin primero el archivo y extraer el caso. (64.450)

Traducido por Sykrayo España

Page 19: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes 4.1 New, Improved, and Enhanced Features | 13

no es compatible con saltarse versiones cuando actualice los casos. Debe actualizar en el orden de lasversiones publicadas. Por ejemplo, no se puede actualizar los casos de FTK 3.1 de FTK 4.0. En este ejemplo,usted tendría que actualizar primero de FTK 3.1> FTK 3.2> FTK 3.3> FTK 3.4> FTK 4.0. (63,494) (57,461)

que marque un punto tallada manualmente que no ha sido procesado, el archivo no aparece en unmarcador o en un informe hasta que lo procesa. Puede utilizar la opción "Process Artículos tallados deforma manual" en el menú desplegable de pruebas, a los procesos de la opción tallada manualmente.(57.812)

es muy recomendable para configurar antivirus para excluir la base de datos (PostgreSQL,Oracle base de datos MS SQL) temp AD, imágenes de origen / archivos sueltos y carpetas para elrendimiento y la integridad de datos de casos.

escribe binarios a la carpeta Temp AD momentáneamente a fin de realizar el análisis de malware.Al finalizar se eliminará rápidamente el binario. Es importante asegurarse de que su antivirus no estáexplorando la carpeta Temp AD. Si no se realizarán antivirus elimina / Pone en cuarentena los binariosdel análisis temp Cerberus.

4.1 nuevo, mejorado y características mejoradasLos siguientes elementos son funciones nuevas y mejoradas, o mejoras de funciones para la

versión 4.1. Para obtener mejoras en las versiones 4.x anteriores, consulte la siguiente:

Nuevo, mejorado y características mejoradas (Página 21)

Nuevo, mejorado y características mejoradas (Página 26)

Nuevo, mejorado y características mejoradas (Página 31)

Mejoras en Análisis de Medios Ficha Vídeo

Puede generar miniaturas de archivos de vídeo y los muestra en el panel de miniaturas de vídeo. Esta funcionalidad le permiteexaminar rápidamente una parte de los contenidos dentro de los archivos de vídeo sin tener que mirar el contenido completo decadaarchivo multimedia.Puede definir el intervalo de generación de miniaturas basado en uno de los siguientes:

(1 miniatura cada "n"% del video)

(1 miniatura cada "nonskeds)

Video File ComúnPuede convertir todos los tipos de vídeo compatibles en un formato que es compatible con Windows Media Player. Todos losvídeos convertidos se almacenan en la carpeta de caso y cuando el usuario selecciona un vídeo, que se pueden reproducir enFTK.Puede definir las líneas de resolución y la velocidad de bits.

Mejoras de Exportadoresmanejo de Outlook 2010 borradores de correo electrónico cuando se exporta. (67.505)

Mensajes de correo electrónico a PSTPuede exportar los mensajes de correo electrónico en un archivo PST, incluso si no proceden de un archivo PST original. Estolepermite realizar lo siguiente:

mensajes de RFC822, NSF, PST, Exchange, y así sucesivamente hasta un PST.

lo opuesto a la reducción, se puede crear un nuevo archivo PST con mensajes derespuesta en el mismo.

Esto crea un nuevo PST en lugar de exportar todo el PST de origen y la reducción de marchapara eliminar cualquier cosa que no responde.

archivos de correo electrónico, tales como NSF, a un PST con la misma estructura de

Traducido por Sykrayo España

Page 20: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes 4.1 New, Improved, and Enhanced Features | 13

carpetas y mensajes.

Traducido por Sykrayo España

Page 21: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes 4.1 New, Improved, and Enhanced Features | 14

Nota: Esta función de exportación requiere que tenga Microsoft Outlook y los objetos de datos decolaboración de Microsoft (CDO) instalados en el mismo equipo que el motor de procesamiento.El programa de instalación del motor de procesamiento intentará descargar e instalar CDOautomáticamente. Sin embargo, si el equipo no tiene una conexión a Internet, usted tendrá queinstalar CDO manualmente.Ver http://www. Microsoftcom / es-es / download / details.aspx? id = 3671

info se ha añadido al archivo de manifiesto de exportación. (69.056)

Mejoras de procesamientomanejo de mensajes de correo electrónico NSF con cuerpos email comprimidos ha sido mejorada.(66.674)

Se han agregado los siguientes nuevos escultores. Estos nuevos talladores no están habilitados de formapredeterminada:

AIM registros de chat Firefox Historia Form Windows Messenger Plus w /chatear registro

Facebook actualizaciones de estado Firefox Places MSN /WLM chat de Facebook Chat Firefox Session Store Yahoo diagnósticoFacebook Email Artefacto Frostwire Atrezzo Archivos Yahoo Webmail Chat enFacebook Correo Fragmentos GigaTribe chat Yahoo MailFacebook Fragmento IE8 URL recuperación Yahoo chat de grupo llam

Gmail Email Mensaje Atrezzo Limewire Yahoo chat de grupo EnviadoGmail Analizada Email Limewire / Frostwire Palabra

BuscarYahoo Chat en

Chats de Google Talk Iniciar chat mIRC Yahoo Chat en IMPUTACIONHotmail Email Artefacto MySpace chat Yahoo sin cifrar activo Bebo chat

Twitter Status

Archivo de contenido Visualización de Mejoras Ahora puede ver fácilmente los datos acerca de Windows prefetch (. pf) archivos.

Cuando se selecciona un archivo de captura previa en la lista de archivos, se muestran los siguientesdatos de la aplicación en formato HTML en la ficha Natural del panel Contenido del archivo:

ruta de acceso del archivo ejecutable de la aplicación

número de veces que la aplicación se ha ejecutado

última vez que se ejecutó la aplicación

Soporte para archivos de registro de Windows evtx Ahora puede ver los datos contenidos en los archivos de registro de Microsoft evtx en formato

HTML en la ficha Natural del panel de contenido del archivo. (T6636)

es una nueva opción en Abrir archivos compuestos de evtx. Cuando se selecciona evtx, se creará unobjeto independiente para cada evento. Esto permite a un usuario ver eventos evtx intercalados con los datosdel archivo.

También puede utilizar las siguientes nuevas columnas evtx relacionados en la lista de archivos:

Canal Evento

Computer Evento

Datos de eventos

Traducido por Sykrayo España

Page 22: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes 4.1 New, Improved, and Enhanced Features | 15

Identificador de sucesos

Traducido por Sykrayo España

Page 23: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes 4.1 New, Improved, and Enhanced Features | 16

Nivel de evento

Origen del suceso

Nombre del Evento Fuente

Evento ID de usuario

Mejoras descifradoMicrosoft Office y Outlook Digital Rights Management (DRM) archivos protegidos

Si su organización utiliza Windows Rights Management (RMS) para proteger sus archivos de MicrosoftOffice y archivos de correo electrónico de Outlook, puede utilizar el Examinador de descifrarlos. Siusted está investigando los archivos de Microsoft Office y archivos de correo electrónico de Outlookdesde dentro de la organización, esto le ahorra tiempo al descifrar e indexar archivos protegidos porDRM en el lote. Al utilizar esta función, ya no tiene que exportar primero cada documento y luegodescifrar de forma individual con el servidor RMS.Importante: Esta característica sólo se aplica a los archivos que están protegidos con DRM desde

dentro de su dominio. No se puede utilizar esta función para descifrar los archivos que estánprotegidos por los sistemas de RMS de otras organizaciones.

Para descifrar los archivos protegidos por DRM, deben cumplirse las siguientes condiciones previas:

Examinador de equipo y el servidor Microsoft RMS deben estar en el mismo dominio.

Examinador equipo debe ser capaz de autenticar con el servidor RMS. La activación de lamáquina pasa la primera vez que intenta abrir o para proteger un documento por primera vez.

Debe iniciar sesión en el equipo examinador con una cuenta de dominio que tengaacceso súper usuario al servidor de Microsoft RMS.

debe tener Microsoft Office instalado en el equipo examinador. Para descifrar los archivosprotegidos por DRM PST, Outlook debe estar instalado en el equipo examinador. Tiene que ser configuradopara trabajar con el sistema de MicrosoftExchange Server de su organización.

intenta descifrar, el sistema le pedirá con una alerta de seguridad, seleccione VerCertificado y luego haga clic en Instalar

certificado.

Ahora puede configurar el servidor Credant de dos maneras distintas:

en todos los casos, en la interfaz del Administrador de Casos en el menúHerramientas.

un caso concreto en la página adicional de análisis.En la página de Análisis adicional, puede seleccionar para descifrar los archivos Credant. Si

selecciona para descifrarArchivos Credant, la opción Análisis de firma de archivos automáticamente serán seleccionadostambién. (68848, 69165)

ahora puede hacer un Live Search en archivos Credant sobre la marcha después de realizar unavista previa en coche. (70.081)

Optimización de Base de Datos para Grandes Casos está utilizando PostrgreSQL, ahora se puede seleccionar una opción para optimizar su base de

datos para casos grandes. (68.733)

Mejoras en la instalación y la modernización Ahora puede migrar usuarios, roles compartidos, filtros, columnas, y así sucesivamente de la versión

anterior cuando se inicializa la base de datos. (68.535)

Otras mejoras

Traducido por Sykrayo España

Page 24: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes 4.1 New, Improved, and Enhanced Features | 17

(Registro) informes que estaban disponibles en el sitio web para agregar a FTK se han incorporado en elproducto. (67.649)

Traducido por Sykrayo España

Page 25: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes 4.1 Fixed Issues | 16

Agregar en Mejoras del módulo versión incluye mejoras en el FTK Cerberus y los módulos de visualización complemento.

Para obtener más información, consulte 4.1 Notas de la versión de módulos adicionales (Página 17).

4.1 Problemas resueltosLos siguientes elementos se resuelven los problemas en el lanzamiento 4.1.

Para los problemas resueltos en la anterior 4.x, lanzamientos, vea lo siguiente:

Problemas resueltos (Página 22)

Problemas resueltos (Página 27)

Problemas resueltos (Página 32)

Corrección de Procesamientomanejo de mensajes de correo electrónico NSF con cuerpos email comprimidos ha sido mejorada.(66.674)

un problema que si el procesamiento se realizó con tanto 'KFF' y 'Reconocimiento óptico de caracteres'seleccionado, se generaron dos archivos de OCR para cada archivo que había OCR hecho en ella. (67.248)

un problema que, en ciertos casos, FTK tomó mucho tiempo para hacer que los archivos de base dedatos SQLite. (68.246)

Arreglos Varios un problema que, en ciertos casos, FTK estaba mostrando GUID de libreta de direcciones en

lugar de direcciones de correo electrónico en el campo "Para" y "De". (68.228)

un problema en la lista de archivos HTML locales y donde los tiempos UTC eran al revés. (63.082)

Auto Commit valor por defecto se muestra ahora en las opciones de indexación de casos en lugar de 0.(58.701)

El área visible en el Analizador Social cuando la radio se hace zoom ha sido mejorada. (66.495)

un problema que al usar ciertas opciones de informes, los revisores de casos fueron capaces deexportar ciertos productos que habían sido marcados como reservados. (68.202)

apoyo para la búsqueda de índice alcanzó el resaltado de los archivos PDF en la vista natural.Anteriormente, sólo el texto de la vista con el apoyo de búsqueda índice filtrado golpeó destacando losarchivos PDF. (68.336)

Archivos PDF ahora se identifican mediante el sistema de archivos PDF y ya no se identifican a travésde encargo

Archivo de Identificación.(67.866)

el problema donde algunos archivos IMG estaban causando un accidente. (69.663)

un problema donde algunos valores hash SHA1 estaban truncados en el archivo de manifiesto deexportación. (69.155)

tema filtro en la interfaz de usuario al utilizar hashes de archivos (MD5, SHA1, etc.) (69.273)

manejo de archivos EML. (69.910)

un problema con la cuenta de correo electrónico duplicados. (70.078)

un problema al importar grupos definidos por el usuario KFF. (70.086)

Traducido por Sykrayo España

Page 26: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes 4.1 Fixed Issues | 16

4.1 Problemas conocidosLos siguientes elementos son los problemas conocidos que se encuentran en la versión 4.1.

Para problemas conocidos que se encuentran en las versiones 4.x anteriores, consulte la siguiente:

Traducido por Sykrayo España

Page 27: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes 4.1 Release Notes for Add-on Modules | 17

Problemas conocidos (Página 23)

Problemas conocidos (Página 28)

Problemas conocidos (Página 34)

Instalación Instalación KFF en PostgreSQL puede tomar un poco de tiempo para completar. (68.237)

KFF install no funcionará en Postgres si el dbname se ha cambiado de FTK2. (70.629)

Gráficos y vídeo Ficha Vídeo tiene un filtro de juego de separadores para mostrar sólo los medios de comunicación que ha

tenido un archivo de imagen en miniatura o vídeo renderizado de la misma durante el proceso. Si no se hanseleccionado las opciones de vídeo para el procesamiento, la pestaña de vídeo estará en blanco. (67.871)

archivos de vídeo no son compatibles. (67.958)

utilizando la opción de crear archivos de vídeo comunes en equipos de 32 bits, algunos archivos deFlash Video no se convierten correctamente. Esto se puede resolver mediante la actualización de la ffmpeg.file.Este archivo se encuentra en la carpeta siguiente: .. \ AccessData \ Engine EvidenceProcessing \version \ ffmpeg.exe

Puede descargar una versión actualizada delhttp://ffmpeg.zeranoe.com / construye / y reemplazar el archivooriginal. 13216

Otros problemas conocidos: visualización de archivos después de realizar una dtSearch, al hacer clic a través de los resultados

de búsqueda, es posible que no vea los resultados en el orden esperado. Si el archivo contiene las cabeceras ypies de página, como archivos PDF, los resultados de la parte principal del texto en la página se mostrarán enorden. A continuación, se muestran los resultados en el encabezado y pie de página y luego en esa página. Seprocederá entonces al cuerpo de la página siguiente, seguido de la cabecera y el pie, y así sucesivamente.(68.556)

exportación de archivos 7-Zip, algunos archivos EXE pueden dañarse. (70.071)

el acceso directo del producto FTK, el campo de destino incluye los siguientes parámetros:Subproducto = productnamecon el nombre del producto, tales como, FTK, laboratorio, y así sucesivamente. Si este parámetro noestá definido, AccessData Empresa se abrirá por defecto.

4.1 Notas de la versión de módulos adicionales

4.1 Notas de la versión para el Cerberus Add-onNo es un módulo add-on para el análisis de malware que se llama Cerberus. Cerberus es integrada que lepermite detectar y triage sospechoso binarios. Puede determinar el comportamiento, la intención y la amenazapotencial de binarios sospechosos sin esperar a que un equipo de malware para realizar semanas de análisis.Cerberus requiere una licencia adicional. Para obtener más información, consulte http://accessdata.com/.

Para Cerberus Notas de la versión de las versiones 4.x anteriores, consulte la siguiente:

Notas de la versión para el Cerberus Add-on (Página 23)

Notas de la versión para el Cerberus Add-on (Página 28)

Notas de la versión para el Cerberus Add-on(Página 34)

Traducido por Sykrayo España

Page 28: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes 4.1 Release Notes for Add-on Modules | 18

Tenga en cuenta las siguientes mejoras:Cerberus Add-on Mejora

1 Cerbrus Analylsis ahora incluye la siguiente información adicional:

Puntuación: Muestra una puntuación de los binarios entropía utilizada porsospecha de embalaje o cifrar

Sección: Muestra los archivos DLL cargados con el binario

Y Encryptor identificación: Los intentos de mostrar una lista de losempacadores y codificadores identificados cuya signagture coincide paquetes de malwareconocidos.

Desencajonadora para cierta familia de los envasadores. Cerbrus Analylsis intenta descomprimirel binario y analizar el contenido y muestra los resultados de los esfuerzos de desembalaje.

4.1 Notas de la versión para la visualización Add-onNo es un módulo add-on llamado Visualización. El módulo de visualización le permite ver los datos en variosformatos de imagen, incluyendo las líneas de tiempo, gráficos de racimo, gráficos circulares y más. Estafuncionalidad le permite determinar con rapidez las relaciones en los datos y encontrar piezas clave deinformación. La visualización requiere una licencia adicional. Para obtener más información, consultehttp://accessdata.com/.

Para la visualización de notas de la versión para las versiones 4.x anteriores, consulte la siguiente:

Notas de la versión para la visualización Add-on (Página 24)

Notas de la versión para la visualización Add-on (Página 29)

Notas de la versión para la visualización Add-on (Página 34)

Tenga en cuenta las siguientes mejoras: Vista detallada de Visualización

Puede utilizar la vista detallada de la línea de tiempo de visualización para tener una visión más granular de los archivos ycorreoselectrónicos en el conjunto de datos. Esto le ayuda a utilizar la línea de tiempo para identificar los archivos y correoselectrónicosque son importantes en su investigación. La vista detallada proporciona las siguientes bandas de tiempo que se puede activarodesactivar para obtener una visión más o menos granular de los archivos:

Los diferentes tipos de archivos están representados por diferentes colores para ayudar a identificar losarchivos pertinentes.

Todo y seleccione Opciones Ninguno se han añadido a la hora Basic line View inEmail visualización. (68.170)

La visualización de demostración vez información restante se ha eliminado del cuadro demensaje que aparece al iniciar la sesión y ahora se muestra en la Ayuda> Acerca de diálogo. (67.738)

un problema que provocaba el cuadro Información de advertencia para continuar mostrandodespués de hacer clic en "No" para no continuar con la visualización. (66.792)

un problema en la barra de extensiones donde la selección se borra después de mover la barra dedesplazamiento en el

Extensiones panel de distribución. (66.843)

un tema que al hacer una selección en el panel de distribución de extensiones de archivos, no actualizala Tabla de Distribución panel Categorías. (66.893)

Traducido por Sykrayo España

Page 29: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.1 Release Notes Comments? | 19

un problema donde los nombres leyenda no se ordenan alfabéticamente en la ventana devisualización de archivos. (68.304)

un problema en la visualización en 0 archivos de longitud a veces se muestran un tamaño de -1bytes. (68.992)

Tenga en cuenta las siguientes cuestiones: viendo la visualización Categorías Gráfico Distribución, los porcentajes se han redondeado al más cercano

ciento centésima. Si una categoría tiene un porcentaje menor que una centésima de punto porcentual, como el 0,008%, semostrará como 0%, a pesar de que hay un número limitado de archivos reales. (68.508)

ver la línea de tiempo detallada, y los archivos están agrupados por tiempo seleccionado, si hace clic enun grupo, se muestra el número total de archivos de ese grupo en la bandera y al lado de la lista de archivos. Si losarchivos se agrupan por número fijo, el número de visitas del archivo no se muestra al lado de la lista de archivos.(68.530)

¿Sugerencias?Valoramos todos los comentarios de nuestros clientes. Por favor, contacte con nosotros [email protected], o enviar problemas de documentación [email protected].

Traducido por Sykrayo España

Page 30: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.2 Release Notes Introduction | 20

AccessData Forensic Toolkit 4.0.2Notas de la

versión

Fecha del documento: 13 de junio 2012

© 2012 AccessData Group, LLC Todos los derechos reservados.

IntroducciónEste documento incluye información sobre el Forensic Toolkit ® AccessData ® (FTK ®) 4.0.2. Tenga en cuentaque todos los problemas conocidos que se han publicado en las notas de liberación anteriores, todavía seaplican hasta que se enumeran en la sección "problemas resueltos".

Para su comodidad, tanto en la versión 4.0.1 y la versión de notas de la versión 4.0 se incluyen al final deeste documento. Consulte la siguiente:

Forensic Toolkit 4.0.1 Notas de la versión (Página 25)

Forensic Toolkit 4.0 Notas de la versión (Página 30)

Para obtener información acerca de las versiones anteriores, consulte el sitio web AccessData enhttp://accessdata.com/.

Información importanteLas siguientes son consideraciones importantes a tener en cuenta:

puede descargar la Actualización Crítica de Oracle en esta versión de la página web de asistenciaDescargas AccessData. Primera copia de seguridad de la base de datos, a continuación, cierre todos losprogramas antes de instalar el parche. (58583, 58248)

recomienda que, siempre que sea posible, los usuarios no tienen una conexión a Internet activacuando se ejecuta o FTK Imager. Si el equipo que ejecuta FTK Imager o tiene una conexión a Internet activa y que estánviendo ciertos tipos de HTML o páginas web, existe el riesgo potencial de que se asocia con las páginas especialmentediseñadas o binarios. Estas páginas o binarios pueden desencadenar consecuencias no deseadas, como la ejecución decódigo malicioso o scripts.

utilizando una base de datos Oracle, debe ser instalado en un equipo con un nombre que empiezacon una letra (az y AZ). Debido a una restricción de nombres de dominio en RFC 1035, las aplicaciones nopueden conectarse a Oracle si el nombre del equipo comienza con un número. Si el equipo de Oracle tiene unnombre que comienza con un número, debe cambiar el nombre de la máquina antes de instalar Oracle.

es posible, instale el software de base de datos a un sistema físico. AccessData no recomienda configuracionesen las que la base de datos o en el motor de procesamiento de pruebas se ejecutan en una máquina virtual.

decide que los archivos de base de un caso colocados en la carpeta caso, no mueva su carpetacaso sin primero el archivo y extraer el caso. (64.450)

Traducido por Sykrayo España

Page 31: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.2 Release Notes 4.0.2 New, Improved, and Enhanced Features | 21

no es compatible con saltarse versiones cuando actualice los casos. Debe actualizar en el orden de lasversiones publicadas. Por ejemplo, no se puede actualizar los casos de FTK 3.1 de FTK 4.0. En este ejemplo,usted tendría que actualizar primero de FTK 3.1> FTK 3.2> FTK 3.3> FTK 3.4> FTK 4.0. (63,494) (57,461)

que marque un punto tallada manualmente que no ha sido procesado, el archivo no aparece en unmarcador o en un informe hasta que lo procesa. Puede utilizar la opción "Process Artículos tallados deforma manual" en el menú desplegable de pruebas, a los procesos de la opción tallada manualmente.(57.812)

4.0.2 nuevo, mejorado y características mejoradasLos siguientes elementos son funciones nuevas y mejoradas, o mejoras de funciones para la

versión 4.0.2. Para obtener mejoras en las anteriores versiones 4.0.1 o 4.0, consulte el siguiente:

Nuevo, mejorado y características mejoradas (Página 26)

Nuevo, mejorado y características mejoradas (Página 31)

Mejoras en el sistema de archivos ahora es compatible con el formato de pruebas EX01. (66,024) (66,389)

versión mejora el manejo del espacio no asignado para Android EXT4 particiones. (65.613)

versión mejora el manejo del espacio no asignado en Yaffs particiones. (65.601)

Mejoras de procesamiento decide índice o ampliar en el análisis adicional, la holgura de archivos y espacio libre en el disco se

incluye por defecto. (63.473)

nueva opción se ha añadido al no procesar gráficos integrados de elementos de correo electrónico. Elcomportamiento por defecto no ha cambiado. La opción sólo se aplica si se selecciona en las opciones deproceso. (65.912)

Ahora puede ejecutar una prueba de entropía en los archivos sin realizar la indexación.

Mejoras en copia de seguridad Ahora puede seleccionar varios casos en el panel Lista de casos y realizar copias de seguridad /

separar al mismo tiempo. (66,503) (66,503)

Mejoras para marcar interfaz de usuario ahora te permite marcar más de 9.999 artículos a la vez. (65.840)

Mejoras descifrado versión incluye un nuevo soporte de descifrado para YAFFS 1 y YAFFS 2.

versión incluye un nuevo soporte de descifrado para iOS.

archivos descifrados tienen establecido el indicador descifrado en lugar de la banderade cifrado. Puede buscar estos archivos por ordenación o filtrado en la columna de descifrado. Si usted necesita ver losdatos cifrados originales, haga clic derecho en el archivo y seleccione Buscar en el disco. (65.314)

Mejoras de filtrado Esta versión mejora el orden de tabulación de la interfaz de usuario en el cuadro de diálogo Definición

Traducido por Sykrayo España

Page 32: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.2 Release Notes 4.0.2 New, Improved, and Enhanced Features | 21

de filtro. (65.805)

Traducido por Sykrayo España

Page 33: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.2 Release Notes 4.0.2 Fixed Issues | 22

Reconocimiento óptico de caracteres (OCR) Mejoras ahora tiene soporte para un nuevo motor de OCR. Clientes Reader Glifo existentes se cambiarán al

nuevo motor de OCR.

Mejoras del Registro Ahora puede enviar los archivos de registro de Registry Viewer de FTK, incluso si aún no se hanidentificado los archivos.

Mejoras búsqueda usted a Live Search con un filtro seleccionado, el árbol de Resultados Buscar ahora muestra el

tipo de opción de filtro que utilizaste para esa búsqueda particular. (65.961)

Mejoras Filtro archivo conocidos definidos por el usuario sets KFF, columna Vender Origen está ahora poblada. (57.244)

Agregar en Mejoras del módulo versión incluye mejoras en el FTK Cerberus y los módulos de visualización complemento.

Para obtener más información, consulte 4.0.2 Notas de la versión de módulos adicionales (Página 23).

4.0.2 Problemas resueltosLos siguientes elementos se resuelven los problemas en la liberación 4.0.2.

Para los problemas resueltos en la anterior 4.0.1 o 4.0, comunicados de ver lo siguiente:

Problemas resueltos (Página 27)

Problemas resueltos (Página 32)

Corrección de instalación y configuración un problema que cuando un usuario instala el producto en una carpeta Unicode, las opciones deindexación de la

Asistente Nuevo caso no estaban pobladas.(65.582)

Copia de seguridad y restauración de Correcciones un problema en el caso de la ruta de la carpeta caso contenía el signo "&" caracteres, y si el caso se

separó y luego se une de nuevo, el archivo adjunto no. (65.385)

Correcciones de descifrado un problema en el FTK estaba mostrando "El documento está codificado" para ciertos archivos XLS

protegidas en lugar de los contenidos del archivo. (65.839)

Corrección de Exportadores versión corrige un problema por el que no se podía abrir la evidencia de una exportación a la

acción de archivo de imagen. (66.122)

Traducido por Sykrayo España

Page 34: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.2 Release Notes 4.0.2 Known Issues | 23

versión corrige un problema por el que, en ciertos casos, los campos en blanco en el panel de lista dearchivos se rellenan con los datos duplicados cuando se exportan a un archivo CSV. (66.129)

Correcciones de filtrado un problema donde algunos filtros muestran el operador "atributo no existe" 3 veces en la

lista de operadores. (65.237)

Arreglos Varios un problema que cuando se desacoplará el panel de contenido de archivos, que permaneció

abierta en las otras fichas. (57,321) (65,248)

un problema donde el producto a veces no era capaz de conectarse a la base de datos. (65.906)

versión soluciona un problema con la barra de desplazamiento vertical de la ventana Propiedades. Seestaba cubriendo previamente los datos de la vista. (57.582)

versión corrige un problema por el que el tipo flecha que indica la columna, no se actualizabacorrectamente en la lista de archivos

panel. (65.997)

el manejo de los elementos MSG que se adjuntan a mensajes de correo electrónico, cuando seexporta a MSG. (66.216)

4.0.2 Problemas conocidosLos siguientes elementos son los problemas conocidos que se encuentran en la versión 4.0.2.

Para problemas conocidos que se encuentran en las versiones 4.0.1 o 4.0, consulte el siguiente:

Problemas conocidos (Página 28)

Problemas conocidos (Página 34)

Problemas conocidos: resultados de búsqueda de archivos de gran tamaño es una acción intensiva de recursos muy.

Se puede disminuir el rendimiento del producto. (65.382)

Processing, con PostgreSQL como base de datos, no funciona con varias tarjetas de interfaz dered que se unió entre sí o que se utiliza el protocolo de control de agregación de enlaces (LACP). Esto también funcionacon una sola tarjeta de interfaz de red. (64.286)

Archivos PDF, que se procesan como evidencia de una ubicación de red, puede causar elprocesamiento para reducir la velocidad.

4.0.2 Notas de la versión de módulos adicionales

4.0.2 Notas de la versión para el Cerberus Add-onFTK soporta un módulo add-on para el análisis de malware que se llama Cerberus. Cerberus se integra conFTK para que pueda detectar y triage sospechoso binarios. Puede determinar el comportamiento, la intencióny la amenaza potencial de binarios sospechosos sin esperar a que un equipo de malware para realizarsemanas de análisis. Cerberus requiere una licencia adicional. Para obtener más información, consultehttp://accessdata.com/.

Para Cerberus Notas de la versión de los últimos comunicados de 4.0.1 y 4.0, consulte el siguiente:

Traducido por Sykrayo España

Page 35: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.2 Release Notes 4.0.2 Known Issues | 23

Notas de la versión para el Cerberus Add-on(Página 28)

Traducido por Sykrayo España

Page 36: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.2 Release Notes Comments? | 24

Notas de la versión para el Cerberus Add-on (Página 34)

Por favor, tenga en cuenta lo siguiente: 1 etapa de análisis se ha mejorado para incluir varios detalles adicionales. Ahora, el informe incluye

detalles sobre el tamaño de un archivo, las funciones examinadas, las funciones potencialmente peligrosas,información detallada de la versión y la información detallada firma.

4.0.2 Notas de la versión para la visualización Add-onFTK soporta un módulo add-on llamado Visualización. El módulo de visualización le permite ver los datosen varios formatos de imagen, incluyendo las líneas de tiempo, gráficos de racimo, gráficos circulares ymás. Esta funcionalidad le permite determinar con rapidez las relaciones en los datos y encontrar piezasclave de información. La visualización requiere una licencia adicional. Para obtener más información,consulte http://accessdata.com/.

Para la visualización de las notas de la versión 4.0.1 y versiones anteriores 4.0 consulte el siguiente:

Notas de la versión para la visualización Add-on (Página 24)

Notas de la versión para la visualización Add-on (Página 34)

Tenga en cuenta las siguientes mejoras: con esta versión, el producto ahora incluye una licencia de evaluación gratuita de 30 días para la

Visualización módulo adicional. Esta funcionalidad estará en vigor hasta que finalice la promoción.

Ahora puede seleccionar objetos de Label, Crear marcadores, borrar un elemento seleccionado, o añadirloa otros elementos comprobados, directamente desde la ventana de visualización.

versión mejora el rendimiento en la visualización cuando se cambia el lapso de tiempo de la CreaciónFecha a la fecha de modificación. (65.809)

volumen gráfico de comunicación en la herramienta Analizador Social se ha mejorado pararepresentar con mayor precisión el volumen de la comunicación. (65.816)

Tenga en cuenta las siguientes cuestiones: Actual selección de fecha del cronograma no coincide con la información de Selección actual que se

muestra en la barra de estado de la línea de tiempo. Un día adicional se añade a la barra de estado dela línea del tiempo. (66.296)

¿Sugerencias?Valoramos todos los comentarios de nuestros clientes. Por favor, contacte con nosotros [email protected], o enviar problemas de documentación [email protected].

Traducido por Sykrayo España

Page 37: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.1 Release Notes Introduction | 25

AccessData Forensic Toolkit 4.0.1Notas de la

versión

IntroducciónEste documento incluye información sobre el Forensic Toolkit ® AccessData ® (FTK ®) 4.0.1 versión. Tengaen cuenta que todos los problemas conocidos que se han publicado en las notas de liberación anteriores,todavía se aplican hasta que se enumeran en la sección "problemas resueltos".

Para su comodidad, la versión 4.0 Notas de la versión se incluyen al final de este documento.

Ver AccessData Forensic Toolkit 4.0 Notas de la versión (Página 30)

Para obtener información acerca de las versiones anteriores, consulte el sitio web AccessData enhttp://accessdata.com/.

Información importante

Las siguientes son consideraciones importantes a tener en cuenta: puede descargar la Actualización Crítica de Oracle en esta versión de la página web de asistencia

Descargas AccessData. Primera copia de seguridad de la base de datos, a continuación, cierre todos losprogramas antes de instalar el parche. (58583, 58248)

recomienda que, siempre que sea posible, los usuarios no tienen una conexión a Internet activacuando corren o FTK Imager. Si el equipo que ejecuta FTK Imager o tiene una conexión a Internet activa y que estánviendo ciertos tipos de HTML o páginas Web, existe el riesgo potencial de que se asocia con las páginas especialmentediseñadas o binarios. Estas páginas o binarios pueden desencadenar consecuencias no deseadas, como la ejecución decódigo malicioso o scripts.

utilizando una base de datos Oracle, debe ser instalado en un equipo con un nombre que empiezacon una letra (az y AZ). Debido a una restricción de nombres de dominio en RFC 1035, las aplicaciones nopueden conectarse a Oracle si el nombre del equipo comienza con un número. Si el equipo de Oracle tiene unnombre que comienza con un número, debe cambiar el nombre de la máquina antes de instalar Oracle.

es posible, instale el software de base de datos a una unidad del sistema físico. AccessData nosoporta configuraciones en las que la base de datos o en el motor de procesamiento de pruebas se ejecutan enuna máquina virtual. Además, no se recomienda la instalación del software CodeMeter en una máquina virtual.(56.262)

decide que los archivos de base de un caso colocados en la carpeta caso, no mueva su carpetacaso sin primero el archivo y extraer el caso. (64.450)

no es compatible con saltarse versiones cuando actualice los casos. Debe actualizar en el orden de lasversiones publicadas. Por ejemplo, no se puede actualizar los casos de FTK 3.1 de FTK 4.0. En este ejemplo,usted tendría que actualizar primero de FTK 3.1> FTK 3.2> FTK 3.3> FTK 3.4> FTK 4.0. (63,494) (57,461)

que marque un punto tallada manualmente que no ha sido procesado, el archivo no aparece en unmarcador o en un informe hasta que lo procesa. Puede utilizar la opción "Process Artículos tallados deforma manual" en el menú desplegable de pruebas, PROCESOS el elemento tallada manualmente.

Traducido por Sykrayo España

Page 38: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.1 Release Notes Introduction | 25

(57.812)

Traducido por Sykrayo España

Page 39: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.1 Release Notes 4.0.1 New, Improved, and Enhanced Features | 26

4.0.1 nuevo, mejorado y características mejoradasLos siguientes elementos son funciones nuevas y mejoradas, o mejoras de funciones para la

versión 4.0.1. Por mejoras en la versión 4.0, consulte 4.0 nuevo, mejorado y características

mejoradas en la página 31.

Mejoras de procesamiento Ahora puede obtener los metadatos de archivos PDF, incluyendo "Título", "Autor", "Asunto", "Palabras clave", "creador",

"productor", "Fecha de creación", y "Fecha de modificación". Esta función también le permite extraer archivos adjuntos (peronográficos incrustados) de PDFs. Para extraer los archivos adjuntos, puede optar por ampliar archivos PDF como archivoscompuestos. Adjuntos PDF son los archivos en la ventana inferior de Adobe Reader que se puede abrir con la función de clip deAdobe.

de nuevas opciones de proceso de datos de los registros adicionales que se reunieron a partir de unanálisis de la memoria. (64.873)

es una nueva opción de proceso índice llamado No incluir metadatos del documento en el texto filtrado.Esta opción le permite evitar la colección de propiedades de metadatos internos para el texto filtrado indexada.Los campos de estas propiedades de metadatos todavía están pobladas de revisión a nivel de campo. Sinembargo, si resulta seleccionado que no se ve la información como "Autor", "Título", "Palabras clave","Comentarios", etc, en el panel de texto filtrado del examinador. La opción de metadatos oficina de exclusión sóloexcluye de texto filtrada y no de atributos. Si exporta con otra utilidad, como la ECA o descubrimiento electrónico, eincluir el texto filtrada del archivo con la exportación, los metadatos se filtra desde el archivo exportado. (64,514)(65,560)

Se ha mejorado la identificación y procesamiento de los archivos PDF. (65.101)

se mejora la velocidad de procesamiento para el reconocimiento óptico de caracteres (OCR) función.(64.237)

velocidad de procesamiento se mejora cuando se utiliza las opciones de proceso KFF y una base dedatos PostgreSQL. (62.400)

informar de los tiempos de procesamiento para el archivo de registro y se mejoró la ventana de progreso.(64.522)

Mejoras para marcar que marque una entrada index.dat, el cuadro de diálogo Create Bookmark proporciona una

opción para incluir archivos index.dat principal de las entradas en el marcador. (58.750)

Mejoras de Exportadores exportación de metadatos de mensajes de correo electrónico NSF a formato MSG se mejora. (64.515)

exportar un archivo de manifiesto, el nombre de archivo del archivo de manifiesto se cambia elnombre de

FTKExportSUmmary y ERRORS.TXT a FTKExportSummary.TXT (60733)

Mejoras búsqueda Información de texto de búsqueda se ha actualizado para ser más claro acerca de las

opciones que ha seleccionado. (61.526)

Mejoras Varios opción para administrar KFF se encuentra bajo el menú Base de datos en el administrador de casos, así como dela

Examinador. (57.441)

Traducido por Sykrayo España

Page 40: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.1 Release Notes 4.0.1 New, Improved, and Enhanced Features | 26

apoyo a la búsqueda de procesos ocultos, cuando la opción está seleccionada en la función "AddRemote Data". (65.264)

Traducido por Sykrayo España

Page 41: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.1 Release Notes 4.0.1 Fixed Issues | 27

Agregar en Mejoras del módulo versión incluye varias mejoras en el FTK Cerberus y Visualización de módulos adicionales Para obtener

información, consulte 4.0.1 Notas de la versión de módulos adicionales (Página 28).

4.0.1 Problemas resueltosLos siguientes elementos se resuelven los problemas en la liberación 4.0.1.

Para los problemas solucionados en la versión 4.0, consulte 4.0 Problemas resueltos en la página 32.

Corrección de instalación y configuración se crea un usuario de confianza, la cuenta del administrador de la aplicación se valida si seleccionaconfianza

Usuario. (64.335)

versión soluciona un problema en la caja de diálogo Copy anterior donde la ventana de asignaciónde usuario estaba en blanco si ha utilizado una base de datos PostgreSQL. (64.524)

versión corrige un problema por el FTK 3.4.1 no podía abrir los casos después de seleccionaruna zona horaria para su procesamiento en FTK 4.0. (64.559)

Corrección de búsqueda versión corrige un problema por el que algunos talladores de archivos personalizados causaban otrostipos conocidos, en el

dtSearch ventana para no expandir. (64.822)

versión corrige un cuelgue en la ficha índice de búsqueda que se ha producido en la búsqueda a travésde tallado personalizado

Archivos MPEG. (57.740)

Corrección de Exportadores versión soluciona un problema con la exportación de puntos de vista HTML para archivos tallados.(58.520)

Corrección de correo electrónico versión corrige un problema por el FTK rendía algunos correos electrónicos con texto blanco sobre un fondoblanco.

Este hecho previamente el texto no es visible en la ventana. (63.384)

Informes Correcciones versión soluciona un problema en los informes generados por el usuario donde se visualizan

caracteres no ingleses en lugar de las palabras "de zona horaria para la pantalla." (65.009)

Arreglos Varios versión corrige un problema que se producía cuando usted vio los conductores en el panel de

información detallada. El panel no se actualiza cuando se cambia entre las entradas de la lista a menos que elelemento seleccionado contiene datos. (64.207)

Esta versión corrige un problema con un accidente que a veces ocurría cuando se mudó el panelde lista de archivos y rápidamente cerró el examinador. (62.976)

Traducido por Sykrayo España

Page 42: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.1 Release Notes 4.0.1 Fixed Issues | 27

escribir terreno caché en el diálogo de montaje de la unidad ha sido fijado para rellenarautomáticamente con una ruta de acceso válida. (64.821)

Traducido por Sykrayo España

Page 43: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.1 Release Notes 4.0.1 Known Issues | 28

4.0.1 Problemas conocidosLos siguientes elementos son los problemas conocidos que se encuentran en la versión 4.0.1.

Para problemas conocidos que se encuentran en la versión 4.0, consulte 4.0 Problemas conocidos (Página 34)

Problemas conocidos: exportación de un mensaje de correo electrónico que tiene un mensaje incrustado, el mensaje

incrustado exportado puede tener información del encabezado en blanco (Para, De, CC, BBB, Asunto). Paraevitar este isssue, exportar el mensaje incrustado separado de la dirección de correo electrónico integrada.(65.744)

montaje no funciona en FTK Imager o si el agente está instalado en esa máquina. (58.791)

Processing, con PostgreSQL como base de datos, no funciona con varias tarjetas de interfaz dered que se unió entre sí o que se utiliza el protocolo de control de agregación de enlaces (LACP). Esto también funcionacon una sola tarjeta de interfaz de red. (64.286)

SafeGuard diálogo descifrado empresa muestra un mensaje de error al hacer clic en la tecla Cancelarbotón. (19.975)

Icono de "llave" que se muestra junto a los archivos de la categoría Otros archivos de cifrado en el panel de listade archivos está distorsionado. (18.628)

programas antivirus han sido conocidos por jam.dll marcar como malware. Se trata de un falsopositivo y se puede ignorar.

4.0.1 Notas de la versión de módulos adicionales

4.0.1 Notas de la versión para el Cerberus Add-onFTK soporta un módulo add-on para el análisis de malware que se llama Cerberus. Cerberus se integra conFTK para que pueda detectar y triage sospechoso binarios. Puede determinar el comportamiento, la intencióny la amenaza potencial de binarios sospechosos sin esperar a que un equipo de malware para realizarsemanas de análisis. Cerberus requiere una licencia adicional. Para obtener más información, consultehttp://accessdata.com/.

Véase también 4.0 Notas de la versión para el Cerberus Add-on (Página 34)

Por favor, tenga en cuenta lo siguiente: Resultados HTML de un análisis de malware Cerberus ahora pueden ser indexados por lo que puede

ejecutar una búsqueda de ellos.

triage de malware incluye un nuevo filtro llamado Cerberus Análisis estático. Este filtro limita lavisualización de archivos en el panel de lista de archivos de sólo los archivos que han tenido Cerberus Etapa 2 carreracontra ellos.

triage de malware incluye una nueva columna llamada Cerberus Análisis estático. En estacolumna se muestra la letra "Y" al lado de los archivos que han tenido Cerberus Etapa 2 análisis se ejecutan enellos.

Mejoras de filtrado Se añade nuevo filtro por defecto llamada Cerberus Análisis estático. Este filtro le permite ver los

archivos que han tenido Cerberus Fase 2 Análisis plazo en contra de ellos. (63.176)

Traducido por Sykrayo España

Page 44: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0.1 Release Notes Comments? | 29

4.0.1 Notas de la versión para la visualización Add-onFTK soporta un módulo add-on llamado Visualización. El módulo de visualización le permite ver los datos envarios formatos de imagen, incluyendo las líneas de tiempo, gráficos de racimo, gráficos circulares y más.Esta funcionalidad le permite determinar con rapidez las relaciones en los datos y encontrar piezas clave deinformación. La visualización requiere una licencia adicional. Para obtener más información, consultehttp://accessdata.com/.

Véase también 4.0 Notas de la versión para la visualización Add-on (Página 34)

Por favor, tenga en cuenta lo siguiente:módulo de visualización no está disponible en nuevas pestañas que son creados por los usuarios. Sólo

está disponible en el Explora, general, y las fichas de correo electrónico. (62,810) (64,420)

visualización incluye elementos del historial de llamadas pan rallado. Si selecciona una ruta denavegación en la línea de tiempo de visualización de correo electrónico, la línea de tiempo se pone a la vistaque se muestra cuando se creó la ruta de navegación. (64.547)

se ha actualizadopara que pueda modificar la apariencia de las ventanas de visualización.Usted puede elegir entre nueve colores diferentes.

ahora soporta mostrando FAT últimos tiempos se ha accedido. (64.243)

la columna nueva extensión se ha añadido a la lista de datos de archivos en la visualización. Estacolumna le permite ordenar los elementos de extensión. (64.439)

Ahora puede minimizar y maximizar ventanas de visualización. (64.160)

lanza ahora separada de la ventana de examinador, y cada ventana se muestra por separadoen la barra de tareas. (64.162)

se ha actualizado de manera que si "Fecha de creación" de un archivo, "Fecha de modificación", o"fecha del último acceso" es anterior al año 1985, y luego la visualización muestra un cuadro de diálogo. El cuadro de diálogole preguntará si desea incluir los archivos con estas fechas en la pantalla de visualización. Si selecciona la opción No volver apreguntar, Visualización recuerda sus preferencias la próxima vez que las fechas preceden a 1985.

Visualización, ahora se puede ver el gráfico extensión de archivo en modo lineal o log. Estoproporciona una selección más fácil de elementos de la interfaz. (64.448)

ahora se puede escribir en el cuadro de diálogo de filtro en la visualización. Anteriormente, sólo sepodía copiar y pegar en ella. (63.920)

versión soluciona un problema de actualización en el archivo de datos panel de la lista de visualizaciónque se produjo cuando se cambió

Métricas de visualización. (64.931)

se han mejorado los problemas de visualización con vistas visualización y comportamientos. (64.958)

Campo Número total de archivos en la visualización se ha eliminado. (63,991) (64,231)

¿Sugerencias?Valoramos todos los comentarios de nuestros clientes. Por favor, contacte con nosotros [email protected], o enviar problemas de documentación [email protected].

Traducido por Sykrayo España

Page 45: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0 Release Notes Introduction | 30

AccessData Forensic Toolkit 4.0Notas de la

versión

IntroducciónEste documento incluye información sobre el Forensic Toolkit ® AccessData ® (® FTK) versión 4.0. Tenga encuenta que todos los problemas conocidos publicadas con notas de la versión anterior todavía se aplican hastaque se enumeran en la sección de "problemas resueltos".

Para obtener información acerca de las versiones anteriores, consulte el sitio web AccessData enhttp://accessdata.com/.

Información importante

Las siguientes son consideraciones importantes a tener en cuenta: puede descargar la Actualización Crítica de Oracle en esta versión del Support AccessData

El sitio web de descargas. Cierre todos los programas antes de instalar el parche. (58583, 58248)

el equipo que ejecuta FTK Imager o tiene una conexión a Internet activa y que están viendo ciertostipos de HTML o páginas Web, existe el riesgo potencial asociado a las páginas o binarios especialmentediseñados. Estas páginas o binarios pueden desencadenar consecuencias no deseadas, tales como laejecución de código malicioso o scripts.AccessData recomienda que, siempre que sea posible, los usuarios no tienen una conexión a Internetactiva durante la ejecución o FTK Imager. Si el equipo que ejecuta FTK Imager o tiene una conexión aInternet activa y que están viendo ciertos archivos / binarios (por ejemplo, HTML), existe un riesgopotencial asociado a las páginas especialmente diseñadas. Estas páginas o binarios puedendesencadenar consecuencias no deseadas, como la ejecución de código malicioso o scripts.

Base de datos de Oracle debe estar instalado en una máquina con un nombre que empieza con una letra(az y AZ).

Las aplicaciones no pueden conectarse a Oracle si el nombre del equipocomienza con un número. Esto es debido a una restricción de nombres dedominio en RFC 1035.Si el equipo de Oracle tiene un nombre que comienza con un número, debe cambiar el nombre de lamáquina antes de instalar Oracle.

software de base de datos se debe instalar en una unidad de sistema físico siempre que sea posible.AccessData no soporta configuraciones en las que la base de datos se ejecuta en una máquina virtual.Además, no se recomienda la instalación del software CodeMeter en una máquina virtual. (56.262)

no es compatible con versiones saltar al actualizar los casos. Debe actualizar en el orden de lasversiones publicadas. Por ejemplo: no se puede actualizar los casos de FTK 3.1 de FTK 4.0. En este ejemplo,usted tendría que actualizar primero de FTK 3.1> FTK 3.2> FTK 3.3> FTK3.4> FTK 4.0. (63,494) (57,461)

que marque un punto tallada manualmente que no ha sido procesado, el archivo no se mostraráen el marcador o informe hasta que se procesa el elemento tallada manualmente utilizando la opción

Traducido por Sykrayo España

Page 46: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0 Release Notes Introduction | 30

"Process Artículos tallados de forma manual" en el menú desplegable de pruebas. (57.812)

Traducido por Sykrayo España

Page 47: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0 Release Notes 4.0 New, Improved, and Enhanced Features | 31

4.0 nuevo, mejorado y características mejoradasLos siguientes elementos son nuevas y mejoradas características o mejoras de características de esta versión:

Mejoras para el análisis remoto versión introduce capacidades de análisis remotos de clase empresarial. Ahora incluye la respuesta a

incidentes y las capacidades de investigación digitales remotas del agente Enterprise en un solo nodo a la vez.Para obtener más información, vea los temas en el capítulo Trabajar con pruebas en vivo, en el manual deusuario.

Funcionalidad adicional ahora es compatible con los archivos de Exchange EDB procesamiento 2010. Puede ver los detalles

y obtener todos los mensajes de correo electrónico en todos los buzones de la EDB. (59.391)

buscar ahora soporta TR1 operandos de expresiones regulares de Microsoft para búsquedasde patrones en términos individuales (no a través de palabras o términos). (54594) Para Microsoft TR1Regular Expressions ver información de apoyo http://msdn.microsoft.com / es-es/library/bb982727.aspx

soporte para archivos 7-Zip se ha añadido a esta versión. Sin embargo, para descifrarlosdebe utilizar PRTK. Ellos no pueden ser descifrados en FTK. También tenga en cuenta que pueden tardar más tiempopara expandir los archivos de WinZip. (59,828) (60,015) (58,907) (60,093)

apoya las capacidades de análisis de memoria adicionales, incluyendo la capacidad de analizar ymostrar información mango, así como soporte para ver los datos del descriptor de direcciones virtuales (VAD)del árbol. Usted puede ver los recursos que asignan los programas mediante la visualización de la informaciónque se contiene en el árbol VAD.

ahora pueden leer las imágenes que contienen más de 1.000 segmentos. (63.302)

Reconocimiento de caracteres (OCR) es ahora compatible FTK cuando se ejecuta en sistemasoperativos XP. (57.776)

Checkpoint / PointSec R73 7.4.5 apoyo descifrado.

Yaffs teléfono de soporte del sistema de archivos de FTK 4.0 (64090)

apoyo a SafeGuard Enterprise 5.6 archivos de imagen (62450)

apoyo de Visio 2010. VSD.

el apoyo de. DOTMs.

el apoyo de. DOTXs.

Mejoras de procesamiento y rendimientoMejoras para procesar pruebas al mismo tiempo y usar la memoria de manera más eficiente.

DB threading para mejorar el rendimiento de procesamiento.

manejo de la memoria para el procesamiento de los casos grandes (61.423)

opción de OCR sólo los archivos PDF que tienen pequeño texto extraído de acuerdo a un umbralajustable. Se ha producido un 34% - 47% observó aumento de velocidad.

Los metadatos de Office (por ejemplo, creador, comentarios del revisor) y sólo ampliar la oficinadocumentos con objetos incrustados reales (es decir, no los flujos OLE)

ampliar adjuntos reales de RFC822 Emails

el procesamiento y la indexación de archivos Visio 2003 (. vsd). (62.451)

Análisis de FTK de archivos index.dat para manejar mejor el tiempo facturado y el tiempo expiradomarcas de tiempo.

(59.480)

Traducido por Sykrayo España

Page 48: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0 Release Notes 4.0 Fixed Issues | 32

ya no son los índices KFF archivos ignorables por defecto. Este cambio mejora el procesamiento. Siusted necesita para indexar archivos KFF ignorables puede seleccionar en la pantalla de pre-procesamiento,bajo Refinamiento Index (Advanced) opciones. (62,914) (62,915)

listas ahora importan más rápido. (59.040)

Rendimiento de la interfaz de usuario cuando se expande árboles de correo electrónico en la pestañaCorreo electrónico. (58.453)

procesamiento de mensajes de correo electrónico de Internet, carpetas extrañas y otras partesMIME no se agregan como elementos separados. (62.257)

Aplicar caída etiqueta hacia abajo se ha mejorado para permitir hacer clic en la etiqueta que se muestraa aplicarlo en un archivo en lugar de verse obligados a elegir desde el menú desplegable cada vez que deseaaplicar la misma etiqueta. (55.166)

Descifrado de diálogo se ha mejorado para permitir a los usuarios introducir varias contraseñas, pulse la"Enter" entre cada uno en lugar de tener que hacer clic en el botón Guardar contraseña. (59.127)

Mejoras Varios Columna de un mensaje de texto SMS está disponible en los informes sobre las imágenes deteléfonos móviles. (60.032)

mensaje de advertencia se muestra ahora cuando se intenta cambiar un administrador de la aplicacióna un caso de administrador o revisor caso (59565)

el módulo de Live Search en las etiquetas de texto, modelo y Hex ahora permanezca atracado cuandose selecciona. (59.671)

4.0 Problemas resueltosLos siguientes elementos son los problemas resueltos en esta versión:

Backup / Restore Ahora puede utilizar los botones de Cancelar (X "iconos") en las interfaces de hacer una copia

de seguridad, restaurar y archivar los casos. (56,287) (59,012)

Correcciones de descifrado ahora muestra / descifra configuración de múltiples IDs por SEE. En versiones anteriores, sólo se

admite uno. (60.839)

añadiendo un archivo de recuperación para el cifrado CheckPoint, al hacer clic en el botón Examinar,el Open

diálogo aparece ahora en frente de la Comisión de Verificación de diálogo como se esperaba, en lugarde detrás de él. (62.797)

procesamiento de Base64 adjuntos codificados en mensajes de correo electrónico enviados. (61.605)

el manejo de los archivos XLS que son de nivel 1 cifrados (células protegidas). Estos archivos deben sercapaces de ser visto sin la contraseña. (61.200)

Corrección de correo electrónico el algoritmo para la búsqueda de tamaño lógico / físico de un correo electrónico. Más mensajes decorreo electrónico ahora tienen una lógica /

tamaño físico que en versiones anteriores. (61.252)

Lotus Notes procesamiento de correo electrónico para que los iconos incrustados no se muestrancomo archivos adjuntos en FTK. (61.451)

Traducido por Sykrayo España

Page 49: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0 Release Notes 4.0 Fixed Issues | 33

Corrección de exportación interfaz de la capacidad de respuesta al realizar múltiples trabajos de exportación. (57.378)

el manejo de correo electrónico a la exportación para el asunto de un correo electrónico de Outlook2010. (60.335)

la función de exportación de archivos para manejar mejor las rutas de archivos largas. (58.893)

Instalar arreglos se ha añadido de nuevo en el asistente de instalación FTK. (61.858)

Filtro Correcciones de archivos conocidos (KFF) Después de una importación KFF completa, los conjuntos definidos ahora aparecen en la lista.(60.061)

Corrección de Procesamiento RFC822 manejo de correo electrónico para el campo de la hora de entrega. (61.800)

procesamiento. Se ha solucionado un problema por el que en ciertos casos el motor deprocesamiento se colgaba. (59.689)

Distributed Processing Engine instalador incluye ahora una comprobación de requisitosprevios para. NET 4 disponibilidad. (59285)

el procesamiento y la indexación de ciertos archivos PDF. (61.408)

Corrección de búsqueda Columna indexada no muestra una N para el artículo no indexada. En cambio, si un artículo no ha sido

indexada, la columna aparece en blanco. Si el artículo ha sido indexada, una Y se muestra en la columna.(59.347)

versiones anteriores, la creación de un favorito de una búsqueda de índice no si el término debúsqueda fue más de 2000 caracteres. Esto se ha corregido, y el término de búsqueda que se guarda en elcomentario marcador ahora se trunca en 2000 caracteres. (58.798)

funcionalidad de indizaciónde archivos descifrados que se procesan después de la operación de tratamientoinicial se ha ejecutado. (63.547)

marcas de tiempo de Live Search en la base de datos PostgreSQL se encuentran ahora en el tiempoUTC en lugar del tiempo de máquina local. (60,102) (63,360)

Arreglos Varios cargas más que la primera página de los documentos (PPT, DOC, PDF, etc) en la vista del contenido delos archivos naturales.

Nota: Los documentos grandes pueden tardar mucho tiempo en cargarse. (59.256)

un problema con la información del sector al restaurar una imagen en una unidad. (60.202)

un problema que en determinadas situaciones "Execute SQL" estaba fallando. (59.476)

hacer una copia especial / Pegar en una hoja de cálculo, la columna Fecha Consultado está llenacon las fechas disponibles en lugar de N / A. (60.187)

valor predeterminado para el intervalo Commit Auto se muestra ahora en el FTK UI. (61.933)

el Administrador de filtros, las imágenes de los diagramas de Venn se han actualizado pararepresentar con mayor precisión las funciones de los operadores que representan. (57.652)

un problema con el montaje de archivos de evidencia lógica en Imager si se hubieran creado con FTK.

Traducido por Sykrayo España

Page 50: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0 Release Notes 4.0 Known Issues | 34

4.0 Problemas conocidos

Problemas conocidos: IRP y capas de información en el panel de información detallada sólo actualizará al hacer clic en un

elemento que tiene los datos adicionales. Información fija se puede visualizar de un artículo antes cuando ustedha hecho clic en una entrada diferente que no tenía ninguna información detallada adicional. (64.207)

se crea un caso que tiene un espacio al final del nombre, añadir pruebas en vivo, y luego decidecrear un AD1, el programa se bloqueará. Para solucionar este problema no poner un espacio al final delnombre del caso. (62.386)

Base de datos PostgreSQL puede fallar para inicializar si la configuración regional del equipocontiene un carácter de apóstrofo. Por ejemplo, "República Popular de China." Los localePara evitar este problema, debe inicializar la base de datos manualmente ejecutando el siguiente comando:C: \ Archivos de programa \ AccessData \ PostgreSQL \ bin> initdb-U postgres - pwprompt-EUTF8-A md5 --No-local-D d: \ PGDATA

no le impide la creación de dos o más perfiles de configuración de las columnas con el mismonombre pero con mayúsculas o minúsculas distintas. Por ejemplo, aunque no es recomendable, puede creardos perfiles diferentes con nombre "Email" y el nombre "EMAIL." (55732, 52510, 58961)

4.0 Notas de la versión de módulos adicionales

4.0 Notas de la versión para el Cerberus Add-onFTK ahora soporta un nuevo módulo adicional para el análisis de malware llamado Cerberus. Cerberus seintegra con FTK para que pueda detectar y triage sospechoso binarios. En cuestión de minutos, usted puededeterminar el comportamiento y la intención de los binarios, así como la amenaza potencial que suponen, sinesperar a que un equipo de malware para realizar semanas de análisis. Cerberus requiere una licenciaadicional. Para obtener más información, consulte http://accessdata.com/.

Por favor, tenga en cuenta lo siguiente: El análisis se puede ejecutar para incluir archivos que no han tenido la Etapa 2 Cerberus hacer si el

valor de umbral se reduce. En este caso, si el umbral se eleva FTK no elimina la etapa de Cerberus2 resultados que ya se han creado. (62.993)

4.0 Notas de la versión para la visualización Add-onFTK ahora soporta un nuevo módulo adicional llamado Visualización. El módulo de visualización le permite verlos datos en cuestión de segundos en múltiples formatos de imagen, incluyendo las líneas de tiempo, gráficosde racimo, gráficos circulares y más. Esta funcionalidad le permite determinar con rapidez las relaciones enlos datos y encontrar piezas clave de información. La visualización requiere una licencia adicional. Paraobtener más información, consulte http://accessdata.com/.

Por favor, tenga en cuenta lo siguiente: sólo puede mostrar datos que tienen una fecha asociada. Si un archivo o un correo electrónico

no contiene una crean, modifican, fecha del último acceso, envío y de recepción válida, no se muestra en el módulo devisualización. Por ejemplo, los archivos tallados no tienen una fecha asociada por lo que no se muestran en el módulo devisualización. Si intenta visualizar un conjunto de datos que no tiene fechas, el panel de línea de tiempo muestra el textoNo Series de datos. Si un archivo contiene una fecha de creación, pero no una fecha de modificación, y se cambia elpanel para mostrar el archivo por fecha de modificación, el archivo ya no se muestra en el módulo de visualización.(61.524)

Traducido por Sykrayo España

Page 51: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0 Release Notes 4.0 Release Notes for Add-on Modules | 35

Traducido por Sykrayo España

Page 52: AccessData Forensic Toolkit 4.2 Release Notes.es

AccessData Forensic Toolkit 4.0 Release Notes 4.0 Release Notes for Add-on Modules | 36

Traducido por Sykrayo España