Mithilfe des App-Filters können Sie nach Artefakten suchen, die mit bestimmten Apps verknüpft sind. Der App-Filter ist ein Standardfilter.

Some apps store data in the common operating system databases, for example Apple's Biome. In these cases, the artifacts are shown as connected to two apps: the app where the data is used and the app where the data is stored.

Artefakte finden, die sich auf bestimmte Apps beziehen

• Um Artefakte zu suchen, die mit einer bestimmten, in der Extraktion berücksichtigten App verknüpft sind, klicken Sie im Bereich „Filter“ auf eine App.
• To find artifacts related to more than one app, click the multiple selection button , and then click more than one app.
• Um schnell zu sehen, welche Apps Treffer zum Filtern zurückgeben und welche nicht, wählen Sie unten im App-Filter aus, dass nur übereinstimmende Apps angezeigt werden sollen. Die nicht übereinstimmenden Apps werden abgeblendet angezeigt und zeigen keine Artefaktanzahl an.

Auswählen, welche Apps im App-Filter angezeigt werden sollen

1. Klicken Sie im Bereich „Filter“ auf die Schaltfläche „Filter bearbeiten“ .
2. Wählen Sie „Bearbeiten“.
3. Aktivieren Sie im Dialogfeld die Kontrollkästchen für die anzuzeigenden Apps.
   • Wenn Sie aus einer Liste der im Fall enthaltenen Apps auswählen möchten, aktivieren Sie das Kontrollkästchen Im Fall enthaltene Anwendungen zeigen.
   • Wenn Sie aus einer Liste aller unterstützter Apps auswählen möchten, deaktivieren Sie das Kontrollkästchen Im Fall enthaltene Anwendungen zeigen.
   • Wenn Sie alle Apps in der Liste auswählen möchten, aktivieren Sie das Kontrollkästchen Alle auswählen.
   • Um eine bestimmte App in der Liste zu finden, geben Sie im Feld Suchen die zu suchende App ein.
     Hinweis: Wenn das Suchfeld nicht angezeigt wird, deaktivieren Sie das Kontrollkästchen Im Fall enthaltene Anwendungen zeigen.
4. Klicken Sie auf OK.

Daten von Telegram- und Telegram-Klon-Apps einschließen

Um Daten aus Telegram- oder Telegram-Klon-Apps einzuschließen und anzuzeigen, müssen Sie die jeweilige Chat-App auswählen und im Dialogfeld „Apps“ die Kontrollkästchen Telegram und Klon-Apps aktivieren.

1. Klicken Sie im Bereich „Filter“ auf die Schaltfläche „Filter bearbeiten“ .
2. Deaktivieren Sie das Kontrollkästchen Im Fall enthaltene Anwendungen zeigen.
3. Geben Sie Telegram im Feld Suchen ein und wählen Sie Telegram und Klon-Apps aus. Wählen Sie außerdem die Telegram- oder die Telegram-Klon-App aus.
4. Klicken Sie auf OK.

Der Kamerafilter findet Bilder basierend auf Hersteller und Modell der Kamera, mit der die Bilder aufgenommen wurden. Die im Filter aufgelisteten Kamerahersteller und -modelle sind in den Metadaten der Bilder im aktuell geöffneten Fall oder in der Datenquelle enthalten.

Der Kamerafilter ist nützlich, um Fotos von einem bestimmten Gerät zu finden und Fotos von anderen Bildern wie Emojis und Grafiken zu trennen.

Hinweis: Wenn ein Bild in seinen Metadaten keine Informationen zu Kamerahersteller und -modell enthält, kann es nicht über den Kamerafilter gefunden werden.

Der Kategoriefilter findet Artefakte eines bestimmten Typs. Er wird automatisch zum Filterbereich hinzugefügt, wenn eine neue Registerkarte im Arbeitsbereich geöffnet wird.

Hinweis: Der Kategoriefilter ist einer der Filter, die nicht aus dem Filterbereich entfernt werden können.

Artefakte aus einer Kategorie und ihren Unterkategorien finden

• Klicken Sie auf eine Kategorie.

Artefakte aus mehr als einer Kategorie oder Unterkategorie finden

• Klicken Sie auf das Symbol für die Mehrfachauswahl  und anschließend auf mehr als eine Kategorie oder Unterkategorie.

Neue Registerkarte im Kategoriefilter öffnen

1. Klicken Sie im Bereich „Filter“ mit der rechten Maustaste auf die ausgewählte Kategorie.
2. Wählen Sie die Option In neuer Registerkarte zeigen aus.

   Es öffnet sich eine neue Registerkarte, in der dieser Kategoriefilter automatisch ausgewählt ist.

Anzuzeigende Kategorien im Kategoriefilter auswählen

1. Klicken Sie im Bereich „Filter“ auf die Schaltfläche „Filter bearbeiten“ .
2. Wählen Sie „Bearbeiten“.
3. Aktivieren Sie im Dialogfeld die Kontrollkästchen für die Kategorien, die im Filter eingeschlossen sein sollen.

4. Deaktivieren Sie die Kontrollkästchen für die Kategorien, die nicht im Filter berücksichtigt werden sollen, und klicken Sie dann auf OK.

   • Wenn Sie aus einer Liste der im Fall enthaltenen Kategorien auswählen möchten, aktivieren Sie das Kontrollkästchen Nur im Fall enthaltene Kategorien zeigen.
   • Wenn Sie aus einer Liste aller Kategorien auswählen möchten, deaktivieren Sie das Kontrollkästchen Nur im Fall enthaltene Kategorien zeigen.
   • Wenn Sie alle Kategorien in der Liste auswählen möchten, aktivieren Sie das Kontrollkästchen Alle auswählen.

Anzeigen von iOS-Benutzeraktivitätsdaten

Für iOS-Geräteextraktionen können Sie Benutzeraktivitäten anzeigen, z. B. Zeitstempel für bestimmte App-Aktivitäten, auf welche App sich das Artefakt bezieht, Installations- und Deinstallationsprozesse, Webbrowser-Verlauf und wann das Gerät gesperrt oder entsperrt wurde.

Hinweis: Dies gilt nur für iOS-Geräte mit Jailbreak.

Der Filter „Datenquellen“ findet Artefakte aus einer bestimmten Datenquelle. Dies ist einer der Filter, die standardmäßig im Filterbereich verfügbar sind.

Wenn Sie diesen Filter hinzufügen, werden alle Datenquellen standardmäßig angezeigt. Sie können jeweils eine oder mehrere Datenquellen anzeigen.

Der Filter „Gelöschte Artefakte“ findet Artefakte, die von den extrahierten Geräten gelöscht oder kürzlich gelöscht wurden. Diese Artefakte werden aus gelöschten Daten rekonstruiert.

• Gelöscht: Artefakte, die auf dem extrahierten Gerät als gelöscht markiert wurden.
• Kürzlich gelöscht: Artefakte, die auf dem extrahierten Gerät als gelöscht markiert, aber noch nicht vom Gerät entfernt wurden.

XAMN Pro-Lizenz erforderlich.

Fügen Sie einen dHash-Filter hinzu, um Bilder im Fall zu finden, die den auf Ihrem Computer gespeicherten Bildern ähneln. Dieser Filter kann auf JPG- und PNG-Dateien angewendet werden. Sie können auch ähnliche Bilder auf der Grundlage von dHash über die Eigenschaft „dHash“ im Bereich „Details“ finden.

Hinzufügen eines dHash-Filters

1. Klicken Sie auf Filter hinzufügen.
2. Wählen Sie dHash aus. Ein Dialogfeld wird angezeigt.
3. Klicken Sie auf Hinzufügen ....
4. Navigieren Sie zu dem Ordner und den Bildern, die Sie hinzufügen möchten, und klicken Sie auf Öffnen.

Ähnliche Bilder mit dHash-Wert finden

1. Wählen Sie ein Bildartefakt.
2. Klicken Sie im Detailbereich mit der rechten Maustaste auf die dHash-Wert-Eigenschaft.
3. Wählen Sie Filter erstellen und anschließend In dieser Registerkarte oder In einer neuen Registerkarte aus.

XAMN Pro-Lizenz erforderlich.

Der Filter „Vom Ermittler zugeordnete Daten“ findet Daten, die entweder manuell oder durch Ausführen eines Skripts hinzugefügt wurden.

XAMN Pro-Lizenz erforderlich.

XRY enthält eine Funktion zur Erkennung von Dateianomalien, mit der Dateien gesucht werden können, die möglicherweise verborgene Daten enthalten. Der Filter „Dateianomalien“ findet Dateien, die möglicherweise manuell geändert wurden.

Dateien mit einer unterschiedlichen Erweiterungskategorie suchen

Suchen Sie nach Dateien, bei denen die extrahierte Dateierweiterung nicht mit dem von XRY festgelegten Dateityp übereinstimmt. Dies kann darauf hinweisen, dass der Besitzer des Geräts die Dateierweiterung geändert hat, um Informationen zu verbergen.

1. Fügen Sie den Filter Dateianomalien hinzu.
2. Klicken Sie auf Unterschiedliche Erweiterungskategorie, um Artefakte anzuzeigen, bei denen die Dateierweiterung nicht mit dem von XRY ermittelten Dateityp übereinstimmt und der neue Dateityp einer anderen Kategorie als der ursprüngliche Dateityp zugeordnet ist. Zum Beispiel eine Bilddatei mit der Dateierweiterung .txt.

Die Eigenschaft Dateierweiterung stimmt nicht überein kann auch die folgenden Werte haben:

• Andere Erweiterung – Die extrahierte Dateierweiterung stimmt nicht mit dem von XRY festgelegten Dateityp überein und die Dateitypen befinden sich in derselben Kategorie. Zum Beispiel eine JPG-Datei mit der Dateierweiterung .png.
• Keine Erweiterung – Die extrahierte Datei hat keine Dateierweiterung.

Hinweis: Die Kategoriefilterbedingung Andere Erweiterung findet keine Dateien, bei denen sich die Dateierweiterung und der erkannte Dateityp in derselben Kategorie befinden, und auch keine Dateien ohne Dateierweiterung.

To find all files with the property value Different extension, find one artifact with this property value and create an artifact property filter based on the property. See Einen Filter basierend auf einer Artefakteigenschaft erstellen for more information.

Dateien suchen, die zusätzliche Daten enthalten

File Vault-Apps können verwendet werden, um versteckte Daten zu Dateien hinzuzufügen und geheime Nachrichten von einer Person an eine andere zu übertragen. Diese Apps platzieren normalerweise eine geheime Nachricht nach dem Dateiende und der Empfänger der Nachricht verwendet dieselbe App, um die geheime Nachricht zu lesen.

Die Funktion zur Erkennung von Dateianomalien in XRY fügt den Artefakten die Eigenschaft Dateianomalien hinzu, um anzuzeigen, dass die Dateien nach dem Ende des eigentlichen Dateiinhalts möglicherweise zusätzliche Daten enthalten.

1. Fügen Sie den Filter Dateianomalien hinzu.
2. Wählen Sie Zusätzliche Daten aus, um die Artefakte mit zusätzlichen Daten als Wert für die Eigenschaft „Dateianomalien“ zu sehen.
3. Wählen Sie ein Artefakt aus und öffnen Sie es im Quellmodus, um die zusätzlichen Daten zu untersuchen.

Fotos mit geändertem Standort suchen

Ab iOS 15 können Benutzer die Standortdaten eines Fotos auf einem iOS-Gerät bearbeiten oder löschen.

1. Fügen Sie den Filter Dateianomalien hinzu.
2. Wählen Sie Geänderter Standort aus, um Artefakte zu finden, für die der Standort der extrahierten Datei auf dem Gerät geändert wurde.

Hinweis: Gilt nur für iOS-Geräte.

XAMN Pro-Lizenz erforderlich.

Mit dem Dateinamenfilter kann nach Artefakten mit einem bestimmten Dateinamen oder einer Dateierweiterung gesucht werden.

Einstellungen für den Dateinamenfilter hinzufügen

1. Klicken Sie im Bereich „Filter“ auf die Schaltfläche „Filter bearbeiten“ .
2. Geben Sie im Dialogfeld den Teil des Dateinamens ein, nach dem gefiltert werden soll.
   • Um nach einer bestimmten Datei zu suchen, geben Sie den vollständigen Namen einschließlich der Dateierweiterung ein.
   • Um nach Dateien zu suchen, deren Dateiname ein bestimmtes Wort enthält, geben Sie dieses Wort gefolgt von einem Sternchen (*) ein.
   • Um nach Dateien mit einer bestimmten Dateierweiterung zu suchen, geben Sie ein Sternchen (*) gefolgt von der Dateierweiterung ein. Beispiel: *.txt
3. Klicken Sie auf OK.

Sie können bei einem Dateinamenfilter als Filterbedingung beliebig viele Dateinamen eingeben. Wenn Sie in das Dialogfeld einen Dateinamen eingeben, wird automatisch ein neues leeres Feld hinzugefügt.

XAMN Pro-Lizenz erforderlich.

Mit dem Filter „Dateigröße“ können Artefakte gesucht werden, die größer oder kleiner als die jeweils angegebene Größe sind. Mehrere Dateigrößen können bereitgestellt werden. Jede bereitgestellte Größe erscheint als Option im Filter.

Filter „Dateigröße“ bearbeiten

1. Klicken Sie im Bereich „Filter“ auf die Schaltfläche „Filter bearbeiten“ .
2. Geben Sie Ihre Filterbedingungen für die Dateigröße ein.
   • Um Dateien zu finden, die größer als eine bestimmte Größe sind, geben Sie im Feld Größer als einen Wert ein.
   • Um Dateien zu finden, die kleiner als eine bestimmte Größe sind, geben Sie im Feld Kleiner als einen Wert ein.
   • Um Dateien zu finden, die innerhalb eines bestimmten Größenbereichs liegen, geben Sie in beiden Feldern Größer als und Kleiner als jeweils einen Wert ein.
   • Wählen Sie eine Einheit für die angegebenen Werte aus.
3. Um zusätzliche Größenfilterbedingungen hinzuzufügen, klicken Sie auf die Schaltfläche + Dateigröße.
4. Klicken Sie auf OK.

XAMN Pro-Lizenz erforderlich.

Der Ordnerfilter findet Artefakte in einem angegebenen Speicherort im Dateisystem.

Hinweis: Mit dem Ordnerfilter können Sie nur nach Artefakten suchen, die über einen lokalen Pfad auf dem extrahierten Gerät verfügen. Aus Cloud-Diensten extrahierte Dateien haben in der Regel keinen Pfad auf dem logischen Datenträger und werden mit dem Ordnerfilter nicht gefunden. Beispielsweise können Sie nach Bildern im Ordner „iCloud Photos“, die nicht mit dem Ordnerfilter gefunden wurden, mit einem anderen Filter, z. B. dem Kategoriefilter, suchen.

Ordnerfilter bearbeiten

1. Klicken Sie im Bereich „Filter“ auf die Schaltfläche „Filter bearbeiten“ .
2. Geben Sie im Dialogfeld Bearbeiten den Ordnernamen ein, nach dem Sie suchen möchten. Sie können auch die ersten Buchstaben gefolgt von einem Sternchen (*) eingeben.
3. Klicken Sie auf OK.

Sie können bei einem Ordnerfilter beliebig viele Ordnernamen eingeben. Wenn Sie in das Dialogfeld „Bearbeiten“ einen Ordnernamen eingeben, wird automatisch ein neues leeres Feld hinzugefügt

Der Hash-Filter kann Dateien importieren, die Hash-Werte von besonderem Interesse enthalten.

Trennen Sie die Hash-Werte in Textdateien durch eine neue Zeile, einen Tabulator, ein Komma oder ein Semikolon.

Zu den unterstützten Dateiformaten zählen:

• Textdateien (.txt)
• Comma-separated-values-Dateien (.csv)
• Mit dem Hash Tree Builder-Tool generierte Hash-Watchlist-Match-Dateien

Hinweis: Das Unicode-Format wird nicht unterstützt.

Liste mit Hashwerten importieren

1. Klicken Sie im Bereich Filter auf Filter hinzufügen.
2. Wählen Sie Hash aus und klicken Sie auf OK.
3. Klicken Sie auf die Schaltfläche Datei hinzufügen.
4. Navigieren Sie zu der Datei, die Sie importieren möchten, und klicken Sie auf Öffnen.
5. Klicken Sie auf OK.

XAMN Pro-Lizenz erforderlich.

Erstellen Sie einen Hash-Watchlist-Match-Filter, um Artefakte zu finden, die mit einer Hash-Baumdatei in XRY abgeglichen wurden. Mit der frühen Hash-Benachrichtigung in XRY können Sie Informationen zu den extrahierten Daten abrufen, bevor Sie die fertige Extraktion analysieren. Verwenden Sie XAMN, um die übereinstimmenden Artefakte zu analysieren.

Weitere Informationen finden Sie im XRY-Benutzerhandbuch und Hash-Listen-Treffer.

XAMN Pro-Lizenz erforderlich.

Mit dem Filter „Verborgene Artefakte“ können Sie nach Artefakten suchen, die auf dem extrahierten Gerät als verborgen gekennzeichnet wurden.

Der Filter „Identifizierte Sprachen“ hilft Ihnen, Artefakte mit Text oder Sprache in einer ausgewählten Sprache zu finden, und kann Ihnen eine Vorstellung davon geben, welche Sprachen in Ihren Datenquellen am häufigsten verwendet werden.

Er enthält Ergebnisse aus zwei Quellen: dem Spracherkennungstool in XAMN und der Speech-to-Text-Decodierung in XRY.

See Spracherkennung for more information about the Language detection tool.

Der Filter „Orte“ findet Artefakte, die sich in angegebenen geografischen Bereichen befinden.

Um alle Artefakte anzuzeigen, die Standortmetadaten enthalten, wählen Sie die Filterbedingung Hat Standort aus.

Hinweis: Der Filter „Orte“ ist einer der Filter, die nicht aus dem Filterbereich entfernt werden können.

The Locations filter works with both online and offline maps. For information on how to install offline maps, see Offline-Karten.

XAMN Pro-Lizenz erforderlich.

Verwenden Sie den Filter „Teilnehmer“, um Artefakte zu untersuchen, an denen eine oder mehrere Personen beteiligt waren, oder um die Kommunikation zwischen Personen anzuzeigen. Er listet alle Personen auf, die im Personen-Viewer oder auf der Personenseite als Person von Interesse markiert sind.

Tipp: To get the best filter results, make sure that you have joined other persons that might be the same as the one you are creating the filter on. See Personen for more information.

Hinweis: Die Personen-Funktionalität ist verfügbar, wenn Sie in einer Falldatei mit einer oder mehreren Datenquellen arbeiten.

Teilnehmer-Filter von einer Person im Detailbereich erstellen

1. Wählen Sie im Bereich Artefakte ein Artefakt aus.
2. Klicken Sie im Bereich Details mit der rechten Maustaste auf die Person, für die ein Filter erstellt werden soll.
3. Klicken Sie im Kontextmenü auf Filter erstellen.
   Wählen Sie aus, ob Sie den Filter einer neuen Registerkarte oder Ihrer aktuellen Registerkarte hinzufügen möchten.
4. Um sich die Kommunikation zwischen zwei Personen anzeigen zu lassen, erstellen Sie in dieser Registerkarte einen zweiten Teilnehmer-Filter.

Erstellen eines Teilnehmer-Filters im Personen-Viewer

1. Klicken Sie im Detailbereich auf eine Person, um einen Personen-Viewer zu öffnen.
2. Klicken Sie im Personen-Viewer auf den Link Artefakte anzeigen, bei denen die Identitäten für ... angezeigt werden. Eine neue Registerkarte mit dem Teilnehmer-Filter wird geöffnet.
3. Um sich die Kommunikation zwischen zwei Personen anzeigen zu lassen, erstellen Sie auf dieser Registerkarte einen zweiten Teilnehmer-Filter.

Teilnehmer-Filter über das Menü „Filter hinzufügen“ erstellen

1. Klicken Sie im Bereich Filter auf Filter hinzufügen.
2. Wählen Sie Teilnehmer aus und klicken Sie auf OK.

Findet Artefakte, die Passwörter enthalten.

Mit dem Telefonnummernfilter können Artefakte gesucht werden, die eine bestimmte Telefonnummer enthalten.

Der Filter stimmt die Sequenz der Zahlen von rechts nach links überein. Das bedeutet, dass bei der Suche nach 1234 sowohl +46 8 561 234 als auch 08 561 234 gefunden werden.

Hinweis: Mitunter besteht die Telefonnummer einer gesendeten SMS-Nachricht nicht aus einer Zahl, sondern aus einem Wort, z. B. einem Firmennamen. Mit dem Telefonnummernfilter können nur Zahlen gesucht werden.

Telefonnummernfilter bearbeiten

1. Klicken Sie im Bereich „Filter“ auf die Schaltfläche „Filter bearbeiten“ .
2. Geben Sie im Dialogfeld Bearbeiten die zu suchende Telefonnummer ein. Sie können auch den letzten Teil der gesuchten Telefonnummer eingeben.

Verwenden Sie den Filter Liste der Telefonnummern, um mehrere Telefonnummern zu importieren und in Ihrem Fall durchsuchbar zu machen.

Hinweis: Überschreiten Sie nicht den empfohlenen Grenzwert von 20.000 Elementen, da dies die Filterleistung verlangsamen kann.

Unterstützte Dateiformate

• Textdateien (.txt)
• Comma-separated-values-Dateien (.csv)

Telefonnummernliste importieren

1. Klicken Sie im Bereich Filter auf Filter hinzufügen.
2. Wählen Sie Liste der Telefonnummern aus und klicken Sie auf OK.
3. Klicken Sie auf Datei importieren....
4. Klicken Sie im Dialogfeld Importieren auf Durchsuchen, wählen Sie die Datei aus, die die Telefonnummern enthält, und klicken Sie auf Öffnen.

5. Optional: Wählen Sie die Anzahl der Ziffern aus, die Sie in Ihre Suche aufnehmen möchten. Der Standardwert ist vierstellig.

   Der Filter stimmt die Sequenz der Zahlen von rechts nach links überein. Das bedeutet, dass bei der Suche nach 1234 sowohl +46 8 561 234 als auch 08 561 234 gefunden werden.

6. Klicken Sie auf OK.

Use the phone number list filter

• Click to expand the imported phone number list to see the hits.
• To see additional hits, click Show 10 more... or Show all.
• To change the sorting of the hits, click Edit filter and select Sort by number of hits or Sort alphabetically.
• With the search function, you can easily find the phone number you are looking for. The search function will show all hits for the numbers in the phone number list, not just hits for the last digits.

Telefonnummern zur Liste hinzufügen

1. Klicken Sie im Bereich „Filter“ auf die Schaltfläche „Filter bearbeiten“ .
2. Wählen Sie die Liste aus, zu der Sie die Telefonnummer hinzufügen möchten.
3. Geben Sie die Telefonnummer ein und klicken Sie auf Hinzufügen.
4. Klicken Sie auf OK.

Telefonnummern und Liste der Telefonnummern löschen

1. Klicken Sie im Bereich „Filter“ auf die Schaltfläche „Filter bearbeiten“ .
2. Klicken Sie auf das Löschsymbol  neben der Liste der Telefonnummern bzw. der Telefonnummer, um das Element zu entfernen.
3. Klicken Sie auf OK.

XAMN Pro-Lizenz erforderlich.

Der Project VIC-Filter findet Artefakte mit Project VIC-Informationseigenschaften.

• Um Artefakte zu finden, die zu einer bestimmten Project VIC-Kategorie gehören, klicken Sie auf eine Kategorie.
• Um Artefakte zu finden, die zu einer oder mehreren Project VIC-Kategorien gehören, klicken Sie auf das Symbol für die Mehrfachauswahl  und anschließend auf die entsprechenden Kategorien.

Hinweis: Um den Filter „Erkannter Inhalt“ zu verwenden, muss in XRY zunächst eine Inhaltserkennung durchgeführt werden. Weitere Informationen finden Sie im XRY-Benutzerhandbuch.

Der Filter „Erkannter Inhalt“ findet Artefakte, die spezifische Bildinhalte enthalten. Wenn es ein Bild gibt, bei dem von der Inhaltserkennung keiner der angegebenen Bildinhalte gefunden wurde, ist dieses Bild in keiner der Unterkategorien des Filters „Erkannter Inhalt“ enthalten.

Sie können auch auf Artefakte mit erkannten Inhaltseigenschaften klicken, die auf der Übersichtsseite angezeigt werden. Der auf der Übersichtsseite angezeigte übereinstimmende Bildinhalt stammt aus Datenquellen, deren Inhaltserkennung während des Extraktionsprozesses durchgeführt wurde.

Wählen Sie den gewünschten Bildinhalt aus der angezeigten Liste:

• Waffen
• Drogen
• Fahrzeuge
• Finanz
• Personen
• Elektronik
• Gesichter
• Dokumente/Notizen
• Flaggen
• Tätowierungen
• Screenshots
• Nacktbilder
• Tiere

Die Anzahl der dynamischen Artefakte wird aktualisiert, wenn Sie den Schwellenwertregler verschieben.

XAMN Pro-Lizenz erforderlich.

Ein regulärer Ausdruck ist eine Zeichenfolge, die ein Suchmuster im Text angibt. Verwenden Sie den Filter „Erkannte Muster“, um das Ergebnis der Verarbeitung regulärer Ausdrücke anzuzeigen.

Öffnen Sie Intelligente Verarbeitung und wählen Sie Musteranalyse aus, um das integrierte Tool auszuführen.

Hinweis: Die Anzahl der übereinstimmenden regulären Ausdrücke wird nach Abschluss der Intelligenten Verarbeitung angezeigt. Ein einzelnes Artefakt kann eine oder mehrere Übereinstimmungen enthalten.

See Musteranalyse (reguläre Ausdrücke) for more information.

XAMN Pro-Lizenz erforderlich.

Der Filter für erkannten Text findet Artefakte mit Textinhalten, bei denen kriminelle Aktivitäten und andere Arten von Missbrauch enthalten sind.

Hinweis: Gilt nur für Englisch. Andere Sprachen werden nicht unterstützt.

Um den Filter „Erkannter Text“ zu verwenden, müssen Sie zuerst das Textanalysetool ausführen, um die Datenquellen in Ihrem Fall zu verarbeiten. Dies erfordert die Lizenz XAMN Text Translation/Analysis.

Öffnen Sie Intelligente Verarbeitung und wählen Sie Textanalyse aus, um das Tool auszuführen. Der Fall wird geschlossen, um das Textanalysetool auszuführen.

See Textanalyse for more information.

XAMN Pro-Lizenz erforderlich.

Mit dem Soundex-Filter können Sie nach Artefakten suchen, die Wörter enthalten, die sich ähnlich wie das angegebene Wort anhören.

Soundex ist ein phonetischer Standardalgorithmus, der von vielen gängigen Datenbankbibliotheken unterstützt wird. Alphanumerische Zeichenfolgen werden hierbei anhand des Klangs bei englischer Aussprache dieser Zeichenfolge als vierstelliger Code codiert.

Soundex-Filter bearbeiten

1. Klicken Sie im Bereich „Filter“ auf die Schaltfläche „Filter bearbeiten“ .
2. Geben Sie im Dialogfeld „Bearbeiten“ ein Wort ein, das beinahe so klingt wie das gesuchte.

   Hinweis: Stellen Sie sicher, dass der erste Buchstabe richtig ist. Phonetisch ähnliche Segmente werden nicht als solche betrachtet, wenn sich die ersten Buchstaben unterscheiden.
   

3. Klicken Sie auf OK.

Sie können in einen Soundex-Filter beliebig viele Wörter eingeben. Wenn Sie im Dialogfeld „Bearbeiten“ ein Wort eingeben, wird automatisch ein neues leeres Textfeld hinzugefügt.

Hinweis: Der Soundex-Filter ist bei der Suche nach kurzen Wörtern präziser als bei der Suche nach längeren Wörtern.

Der Tags-Filter findet Artefakte, auf die ein Tag angewendet wurde. Voreingestellte, bevorzugte und vom Benutzer erstellte Tags werden alle automatisch im Tags-Filter angezeigt.

• Wenn Sie Artefakte suchen möchten, die mit einem bestimmten Tag markiert sind, klicken Sie auf einen Tag-Namen.
• Wenn Sie Artefakte suchen möchten, die mit einem oder mehreren Tags markiert sind, klicken Sie auf das Symbol für die Mehrfachauswahl und anschließend auf mehr als einen Tag-Namen.

Der Textfilter findet Artefakte, die ein bestimmtes Wort, einen bestimmten Text oder eine bestimmte Zeichenkombination enthalten. Der Filter wird automatisch zum Filterbereich hinzugefügt, wenn eine neue Registerkarte im Arbeitsbereich geöffnet wird.

• Passen Sie die Wortvorschläge an, indem Sie andere Filter anwenden, bevor Sie den Textfilter verwenden.
• Geben Sie im Textfeld das gesuchte Wort ein, um Artefakte zu finden, die ein bestimmtes Wort enthalten.
  Sie können auch die ersten Buchstaben eines Worts eingeben, um sofort Begriffsvorschläge aus den tatsächlichen Falldaten zu erhalten. Wenn Sie zwei Wörter eingeben, erhalten Sie weitere Vorschläge für das zweite Wort.
• Geben Sie im Textfeld mehrere Text- oder Zeichenkombinationen ein, um alle Artefakte einzuschließen, in denen alle Kombinationen vorkommen.
  Beispiel: Geben Sie id com in das Textfeld ein und drücken Sie die Eingabetaste. Im Artefaktbereich werden alle Artefakte angezeigt, in denen id und com vorkommen.
• Geben Sie ODER zwischen Text oder Zeichen ein, um alle Artefakte für einen der beiden Werte einzuschließen.
  Beispiel: Geben Sie id ODER lock ein und drücken Sie die Eingabetaste. Der Artefaktbereich zeigt alle Artefakte an, in denen entweder id oder lock vorkommen.
• Verwenden Sie Anführungszeichen, um die Suche einzugrenzen.
  Beispiel: Geben Sie „Android system“ ein, um nur Artefakte mit dem Text Android system einzuschließen.
• Verwenden Sie am Anfang oder Ende einer Phrase ein Sternchen (*) als Platzhalter für eine beliebige Buchstabenkombination. Das Sternchen gibt an, dass anstelle des Sternchens eine beliebige Anzahl von Text oder Zeichen verwendet werden kann.
• Um Ihre fünf letzten Suchvorgänge anzuzeigen, klicken Sie einmal in das Textsuchfeld.

Der Textfilter kann bestimmte Wörter in PDF-Dokumenten, TXT-Dateien, SQLite-Datenbanken, XML-Dateien und HTML-Dateien finden, vorausgesetzt, XRY war zum Zeitpunkt der Extraktion so konfiguriert, dass Inhalte in diesen Dateitypen durchsuchbar sind. Wenn der Filter das angegebene Wort in einem PDF-Dokument findet, öffnen Sie das Dokument in einem PDF-Reader und zeigen Sie es mithilfe der Suchfunktion an.

Tipp: Select Ctrl+F to quickly access the Text filter.

Der Filter Zeit findet Artefakte mit Zeitstempeln innerhalb bestimmter Zeiträume sowie Artefakte ohne Zeitstempel und zeigt diese an. Er wird automatisch zum Bereich Filter hinzugefügt, wenn eine neue Registerkarte „Untersuchen“ geöffnet wird.

Hinweis: Der Filter „Zeit“ ist einer der Filter, die nicht aus dem Filterbereich entfernt werden können.

Artefakte im Zeitfilter anzeigen

• Wählen Sie im Bereich Filter den anzuzeigenden Zeitraum aus. Die Artefakte werden im Bereich Artefakte angezeigt.
  • Letzte 24 Stunden
  • Letzte Woche
  • Letzter Monat
  • Letztes Jahr
  • Ohne Zeitstempel: Diese Option schließt Artefakte ohne Zeitstempel ein, da nicht allen Daten eine Zeit zugeordnet ist.

Benutzerdefinierten Datums- und Uhrzeitfilter hinzufügen

1. Wechseln Sie im Bereich Filter zum Filter Zeit.
2. Klicken Sie auf Benutzerdefinierten Zeitraum hinzufügen.
3. Wählen Sie in den Dialogfeldern Zeit und Benutzerdefinierten Zeitraum festlegen die Optionen Von und Bis aus, um den Zeitbereich zu definieren. Wenn Sie nur einen Startpunkt auswählen möchten, wählen Sie Von aus. Wenn Sie nur einen Endpunkt auswählen möchten, wählen Sie Bis aus.
4. Wählen Sie ein Datum im Kalender aus. Klicken Sie auf die Pfeile, um den Monat oder das Jahr zu ändern.
   
5. OPTIONAL: Geben Sie die Uhrzeit im Zeitformat hh:mm ein oder klicken Sie auf die Pfeilschaltflächen, um die Uhrzeit einzustellen.
6. Um zusätzliche Zeit- oder Datumsfilter hinzuzufügen, klicken Sie auf + Benutzerdefinierte Zeit.
   
7. Klicken Sie auf OK. Die neue benutzerdefinierte Zeit wird dem Filterbereich Zeit hinzugefügt.

Hinweis: Das Zeitformat kann je nach Ihren regionalen Zeitformateinstellungen abweichen. Mit dem Filter kann auch dann anhand der angepassten Zeitzone nach Artefakten gesucht werden, wenn das Anpassen von Zeitstempeln deaktiviert ist.

Zeitfilter bearbeiten

1. Wechseln Sie im Bereich Filter zum Filter Zeit.
2. Klicken Sie auf das Symbol Filter bearbeiten und wählen Sie Bearbeiten aus.
3. Bearbeiten Sie im Dialogfeld Zeit den Zeitraum.
   • Heben Sie die Auswahl für Von: auf, um Artefakte mit Zeitstempel vor einer bestimmten Zeit zu finden.
   • Heben Sie die Auswahl für Bis: auf, um Artefakte mit Zeitstempel nach einer bestimmten Zeit zu finden.
   • Aktivieren Sie das Kontrollkästchen Von: und das Kontrollkästchen Bis:, um ein Artefakt mit einem Zeitstempel zwischen zwei angegebenen Zeiten zu finden.
4. Klicken Sie auf OK. Die neue benutzerdefinierte Zeit wird dem Filterbereich Zeit hinzugefügt.

Mit dem Wortlistenfilter können Dateien importiert werden, die relevante Wörter enthalten.

Unterstützte Dateiformate

• Textdateien (.txt)
• Extensible Markup Language-Dateien (.xml)
• Comma-separated-values-Dateien (.csv)

Hinweis: Überschreiten Sie nicht den empfohlenen Grenzwert von 20.000 Elementen, da dies die Filterleistung verlangsamen kann.

Wortliste importieren

1. Klicken Sie im Bereich Filter auf Filter hinzufügen.
2. Select Word list and click OK.
3. Click Add file.
4. Browse to the file you want to import, select it and click Open.
5. Click OK to add the filter.

Neue Wortliste erstellen

1. Wählen Sie im Dialogfeld "Wortliste“ die Option Neu erstellen aus.
2. Wählen Sie den Dateinamen und den Speicherort, und klicken Sie auf Speichern.
3. Fügen Sie unter Wörter bearbeiten der erstellten Wortliste neue Wörter hinzu. Klicken Sie auf die Schaltfläche „Entfernen“ , um Wörter zu entfernen.
4. Klicken Sie auf OK.

Use the word list filter

• Click to expand the imported word list to see the hits.
• To see additional hits, click Show 10 more... or Show all.
• To change the sorting of the hits, click Edit filter and select Sort by number of hits or Sort alphabetically.
• Mit der Suchfunktion können Sie jedes gesuchte Wort ganz einfach finden.

Wörter in einer Wortliste bearbeiten

1. Wählen Sie rechts im Dialog "Wortliste" die zu bearbeitende Wortliste aus.
2. Klicken Sie auf die Schaltfläche „Entfernen“ , um Wörter auf der linken Seite zu entfernen, oder in ein Textfeld, um das Wort zu bearbeiten. Sie können auch Wörter in das untere Textfeld einfügen.
3. Klicken Sie auf OK.

Zusätzlich zu allen integrierten Filtern können Sie einen Filter basierend auf einer beliebigen Artefakteigenschaft erstellen.

Tipp: Das Erstellen von Filtern basierend auf Artefakteigenschaften ist eine leistungsstarke Möglichkeit für einen Benutzer, basierend auf willkürlichen Werten zu filtern, die in Artefakten entdeckt wurden, für die es keine vorgefertigten Filter gibt.

1. Klicken Sie im Detailbereich mit der rechten Maustaste auf eine Eigenschaft und wählen Sie Filter erstellen aus.
2. Wählen Sie aus, ob Sie den Filter in dieser Registerkarte oder in einer neuen Registerkarte öffnen möchten. Der Filter wird zum Bereich „Filter“ hinzugefügt und automatisch angewendet.

   Der erstellte Filter enthält alle Werte, die im Fall für diese Eigenschaft verfügbar sind.