Übersicht über die Arbeitsregisterkarte

Wenn Sie eine Auswahl von Artefakten zur Überprüfung öffnen, wird eine neue Arbeitsregisterkarte geöffnet. Die Arbeitsregisterkarte kann in zwei verschiedenen Modi angezeigt werden: Hervorhebungen oder Alle Daten. Im Modus Hervorhebungen werden die Artefaktkategorien, die Systemdateien enthalten, ausgeblendet, um die Kategorien hervorzuheben, die mehr benutzerbezogene Daten enthalten, die für die Untersuchung eher von Interesse sein dürften. Im Modus Alle Daten sind alle Kategorien verfügbar.

In welchem Modus die Arbeitsregisterkarte angezeigt wird, hängt davon ab, ob Hervorhebungen oder Alle Daten ausgewählt wurde, als Sie die Arbeitsregisterkarte über die Registerkarte „Fall“ geöffnet haben. Wenn Sie die Registerkarte Hervorhebungen geöffnet haben und alle Kategorien einblenden möchten, gehen Sie zurück zur Registerkarte „Fall“, wählen Sie Alle Daten aus und öffnen Sie dann eine neue Arbeitsregisterkarte.

Die Art der Registerkarte ist durch ein Symbol gekennzeichnet.

  • Highlights
  • Alle Daten

Unabhängig vom Modus besteht die Arbeitsregisterkarte aus drei Hauptbereichen: dem Bereich „Filter“, dem Bereich „Artefakte“ und dem Bereich „Details“. Wenn Sie die Rohdaten eines Artefakts anzeigen möchten, können Sie die Registerkarte um einen vierten Bereich erweitern: den Bereich Quellmodus. Im Folgenden erfahren Sie mehr über die einzelnen Bereiche.

XAMN verfügt über viele leistungsstarke integrierte Filter. Einige werden standardmäßig im Filterbereich angezeigt und andere müssen manuell hinzugefügt werden.

Weitere Informationen zur Verwendung der Filter und zum Hinzufügen neuer Filter finden Sie unter Mit den Filtern im Filterbereich arbeiten

Weitere Informationen zu allen verfügbaren Filtern finden Sie unter Alle Filter

Im Bereich „Artefakte“ werden alle Artefakte angezeigt, die den im Bereich „Filter“ festgelegten Bedingungen entsprechen. Wenn Sie eine Kombination aus verschiedenen Artefaktarten überprüfen möchten, ist die Spaltenansicht eine gute Option. Wenn Sie eine bestimmte Artefaktart überprüfen möchten, z. B. Nachrichten oder Bilder, wählen Sie eine Ansicht aus, die diese Art von Artefakten am besten darstellt.

Weitere Informationen zu den verschiedenen Ansichten, die im Bereich der Artefakte verfügbar sind, finden Sie unter Artefaktansichten.

Im Bereich „Artefakte“ finden Sie auch die Filteransichten „Zeitleiste“ und „Karten“, mit denen Sie den Umfang der zu durchführenden Überprüfungen auf diejenigen mit Zeitstempeln innerhalb eines relevanten Zeitraums oder auf diejenigen mit Standortdaten innerhalb eines Interessenbereichs eingrenzen können. Weitere Informationen finden Sie unter Mit der Filteransicht „Zeitleiste“ arbeiten und Mit der Filteransicht „Karten“ arbeiten.

Wenn ein Artefakt im Artefaktfenster ausgewählt wird, werden seine Artefakteigenschaften und zugehörigen Daten im Detailbereich angezeigt. Der Inhalt und das Layout des Detailbereichs hängen vom ausgewählten Artefakttyp ab.

Weitere Informationen finden Sie unter Artefaktdetails anzeigen.

Die Rohdaten jeder Artefakteigenschaft können im Bereich „Quellmodus“ im hexadezimalen Format untersucht werden. Klicken Sie einfach im Bereich „Details“ mit der rechten Maustaste auf die Eigenschaft und wählen Sie Im Quellmodus untersuchen aus.

Dies ist hilfreich, um die extrahierten Daten zu überprüfen und um die Beziehung der Daten im Hexadezimalformat zum Speicheradressregister darzustellen.

Weitere Informationen finden Sie unter Quellmodus.