IsoBuster 3.6 Beta vrijgegeven!

2 juni 2015

Na een behoorlijke ontwikkelcyclus van software schrijven en testen, ben ik fier de nieuwe IsoBuster versie te kunnen aankondigen. IsoBuster 3.6 detecteert nog meer bestandssystemen dan voorheen, zodat forensische onderzoekers en data recuperatie experts snel kunnen beslissen hoe verder te gaan. Daarenboven werd nu ook het EXT bestandssysteem volledig geimplementeerd. Alle bestanden en folders worden getoond en kunnen van het medium afgehaald worden. EXT is waarschijnlijk een van de meest populaire Linux bestandssystemen en het wordt ook vaak gebruikt in embedded systemen zoals TV's, NAS drives, Setup boxen, Media players enz. IsoBuster ondersteunt ook het interpreteren van Rimage CD/DVD manifest bestanden, zodat je geen Rimage software moet draaien om vb. geencrypteerde bestanden te recupereren (u heeft dan wel nog steeds het paswoord nodig). Maar dat is niet alles, er is ook ondersteuning voor GameCube, High Sierra en een heleboel andere verbeteringen en bug fixes. Probeer deze versie, ze is goed getest en een vrijgave kandidaat. Laat ons weten als er iets verbeterd kan worden.

Hier is een lijst van alle nieuwigheden, verbeteringen en foutoplossingen:

Nieuw:

  • Ondersteuning voor het Linux EXT bestandssysteem
  • Ondersteuning voor Rimage gemaakte CD/DVD discs met manifest bestand
  • Ondersteuning voor Nintendo GameCube bestandssyteem
  • Ondersteuning voor de GEMDOS / Atari - ST FAT12-16 variant
  • Ondersteuning voor High Sierra op CD-ROM (de voorganger van ISO9660)
  • Gelezen sectoren worden soms intern gecached, vooral tijdens bestandssysteem scannen. Vele bestandssystemen starten op dezelde adressen en caching voorkomt dat dezelfde addressen meermaals gelezen moeten worden
  • Detecteer het Nintendo Wii bestandssysteem indien aanwezig en toon het Wii icon (*)
  • Detecteer het Linux RomFS bestandssysteem indien aanwezig en toon het RomFS icon (*)
  • Detecteer het Unix/Linux JFS bestandssysteem indien aanwezig en toon het JFS icon (*)
  • Detecteer het Unix/Linux ZFS bestandssysteem indien aanwezig en toon het ZFS icon (*)
  • Detecteer het Unix/Linux Minix bestandssysteem indien aanwezig en toon het Minix icon (*)
  • Detecteer het Linux BtrFS bestandssysteem indien aanwezig en toon het BtrFS icon (*)
  • Detecteer het Linux SquashFS bestandssysteem indien aanwezig en toon het SquashFS icon (*)
  • Detecteer het Linux CramFS bestandssysteem indien aanwezig en toon het CramFS icon (*)
  • Detecteer het Linux BeFS (BFS) bestandssysteem indien aanwezig en toon het BeFS icon (*)
  • Detecteer het Microsoft ReFS bestandssysteem indien aanwezig en toon het ReFS icon (*)
  • Nieuw en veel sneller mechanisme om verwijderde bestanden terug te vinden in een NTFS volume

(*) Volledige implementatie van dit bestandssysteem is niet aanwezig maar een forensisch onderzoeker of data recuperatie specialist ziet nu onmiddelijk welk bestandssysteem er mogelijk verborgen is

Verbeteringen:

  • Extra tests om zeker te zijn dat een folder niet naar een van zijn hogere ouder-folders wijst, om circulaire links te vermijden in corrupte of verwijderde bestandssystemen
  • Een 'Paranoid mode' om er voor te zorgen dat tijdens het maken van een IBP/IBQ image bestand, alle data onmiddelijk geschreven wordt en structuren regelmatig worden weggeschreven
  • Laat toe om een managed IBP/IBQ image bestand te vervolledigen van niet identiek media, indien de verschillen aanvaardbaar zijn [Professionele versie enkel]
  • Laat toe om een managed IBP/IBQ image bestand te vervolledigen van een ander soort image bestand [Professionele versie enkel]
  • Snelheid verbeterd tijdens het updaten van het IBP bestand
  • Verschillende commandolijn aanpassingen: /ET: A, IBP, WAV, RAW, R2U, RUN, DLL
  • Nieuwe bestandssysteem commandolijn opties (zie de nieuw geimplementeerde bestandssystemen)
  • Zorg ervoor dat Pinnacle Studio gemaakte Video DVD's worden herkend en er naar IFO/VOB bestanden wordt gezocht
  • Mogelijkheid om via rechtermuisklik op het eigenschappenvenster te klikken en alle tekst in een memo veld te zien, zodat de gegevens makkelijk gecopieerd kunnen worden
  • Ondersteuning voor 'underscores' in functienamen van een met Borland gemaakte libewf dll
  • Toon altijd de bestandsnaam:streamnaam, met of zonder [ADS] voor NTFS Alternate Data Streams
  • Geen registratie dialog waneer u een BD wil onderzoeken op leesfouten met de gratis versie
  • Verbeteringen in de Extract Van-Tot dialoog en de interne implementatie
  • Zorg er voor dat de test naar geencrypteerde parties enkel eenmaal gebeurt, niet telkens de visuele node wordt aangemaakt (vb. tijdens veranderen van apparaat)
  • Lees geen extra blokken om de determineren of een partitie geencrypteerd is als er voldoende blokken gecached zijn
  • Een verbeterde 'Agent' string tijdens het online checken, om meer compatibel te zijn met moderne systemen
  • Veranderde volgorde tijden het testen van de AVDP, eerst LBA 512, dan LBA 256, in geval van CeQuadrat gemaakte UDF CD's, om met Cequadrat UDF bug overweg te kunnen
  • Vind de correcte naam voor met CeQuadrat gemaakte UDF discs
  • Nadat een image bestand is aangemaakt, schrijf de naam weg in de recent geopende image bestanden, zodat het bestand makkelijk en onmiddelijk kan geopend worden
  • Verbeterde GI image bestand interpretatie, vooral de detectie van de hoeveel bytes in de hoofding
  • Toon bestanden en folders met als eigenschap 'systeem' in een andere kleur
  • Toon speciale bestanden, bestanden in niet-Windows bestandssystemen die een andere rol hebben, in een andere kleur
  • Toon Windows overlay iconen en voeg het snelkoppelingsicoon toe aan EXT symbolische link bestanden
  • Men kan het gebruik van CD-Text in de bestandsnamen, tijdens audio extractie, afzetten in de opties
  • De overschrijf-dialoog kan nu ook bestanden auto-hernoemen, ipv enkel overschrijven of negeren (Niet-Windows bestandssystemen kunnen duplicate namen bevatten in eenzelfde folder, vb. met of zonder hoofdletters)
  • Nieuwe dialoog om bestanden met illegale naam te kunnen hernoemen of negeren (Niet Windows bestandssystemen laten bestandsnamen toe die Windows zelf verbied)
  • Folders worden automatisch hernoemd wanneer zijn een illegale Windows naam hebben
  • Toon Endianess in UFS, XFS, ISO en SquashFS en andere bestandssysteem eigenschappen
  • Verbeteringen in drag&drop functionaliteit, en het gebruik van tijdelijk folders. Wordt ook beter opgekuist nadien
  • Mogelijkheid om altijd de HERKANS SELECTEER ABORTEER fout dialoog te krijgen tijdens bestandsextractie, ipv de HERKANS NEGEER ABORTEER dialoog
  • Een heleboel interne verbeteringen en aanpassigen, daar dit een levend project is, en om toevoegen van nieuwe functionaliteit in de toekomst makkelijk te kunnen blijven doen
  • Allerlei grafische gebruikersinterface (GUI) verbeteringen en aanpassigen

Foutoplossingen:

  • Een GUI probleem opgelost dat er voor zorgde dat soms foutieve waarden werden getoond in foutdialogen
  • Een mogelijke hang opgelost tijdens het laden van bepaalde EWF bestanden
  • Soms was het mogelijk dat de fase na een scan, op zoek naar verloren bestanden, enorm lang duurde op FAT geformatteerd media, omwille van slechte FAT structuren
  • Een data-corruptie probleem opgelost dat in IsoBuster 3.5 was geslopen, voor bestanden die uit meer dan 10 extents bestonden (gefragmenteerd in meer dan tien stukken; ze werden dan in de verkeerde volgorde van het medium gelezen)
  • Indien een IBP/IBQ image bestand tweemaal achtereen werd gemaakt van hetzelfde media, zonder een refresh, werd niet alle data in de IBP weggeschreven
  • Een exception fout opgelost die kon optreden wanneer een IBP met onvolledige informatie werd ingelezen
  • Extractie van named streams voor NTFS folders (niet bestanden) werkt nu correct

Download deze versie hier.

Vertel het verder, 'like' het op facebook, deel het via FaceBook en Twitter, vermeld het op forums enz. Dat wordt geapprecieerd. Start vb. met het klikken op de "Recommend" knop onderaan

Peter Van Hove,
Oprichter en CEO