Öffnen Sie einen Fall oder eine einzelne XRY-Datei in XAMN.

Weitere Informationen finden Sie unter Einen Fall oder eine Datei öffnen.

Datenquellen in einen Fall importieren

Fügen Sie zusätzliche Datenquellen zu Ihrem Fall hinzu, um Daten von verschiedenen Geräten nebeneinander anzuzeigen und Verbindungen und Korrelationen leichter zu finden.

1. Klicken Sie im Menüband auf Importieren.
2. Wählen Sie den zu importierenden Datentyp aus. Eine Beschreibung aller Importtypen und der jeweils erforderlichen Auswahlen finden Sie unter Daten importieren.

Dateien zum Fallordner hinzufügen

Eine andere Möglichkeit, XRY-Dateien zu einem Fall hinzuzufügen, besteht darin, sie zunächst in den Fallordner zu kopieren und dann in XAMN zu aktivieren. Dies kann einfacher sein, wenn es viele Dateien gibt, die dem Fall hinzugefügt werden müssen.

Hinweis: Das Hinzufügen von Dateien zum Fall durch Ablegen im Ordner funktioniert nur bei XRY-Dateien. Um Datenquellen anderer Typen hinzuzufügen, verwenden Sie den Datenquellenimport.

1. Kopieren Sie die hinzuzufügenden Dateien und fügen Sie sie im Fallordner ein.
2. Öffnen Sie den Fall in XAMN.
3. Im Bereich „Datenquellen“ wird die Benachrichtigung angezeigt, dass im Fallordner neue Dateien vorhanden sind.
4. Aktivieren Sie die neuen Datenquellen mit einer der folgenden Methoden.
   • Klicken Sie auf Alle einschließen.
   • Klicken Sie auf Auflösen, überprüfen Sie die neuen Dateien und klicken Sie bei den Dateien, die Sie dem Fall hinzufügen möchten, auf Aktivieren.

Überprüfen Sie, ob die richtigen Datenquellen für den Fall vorhanden sind. Wählen Sie auf der Registerkarte „Fall“ die Seite „Datenquellen“ aus, um alle Details zur Datenquelle selbst anzuzeigen. Hier finden Sie Informationen wie Hersteller, Modell, Seriennummer und SIM-Status.

Weitere Informationen finden Sie unter Verwalten von Datenquellen.

Wenn Sie eine Falldatei in XAMN öffnen, beginnen Sie auf der Seite Übersicht der Registerkarte „Fall“.

Im Bereich „Datenquellen“ sehen Sie eine Liste aller Datenquellen, die derzeit in Ihrem Fall enthalten sind. Wenn Sie gerade neue Datenquellen zu Ihrem Fall hinzugefügt haben, wird möglicherweise oben im Bereich „Datenquellen“ eine Benachrichtigung angezeigt. Diese Benachrichtigung informiert Sie darüber, wie Sie alle Daten in Ihrem Fall aktivieren, damit die neuen Inhalte angezeigt werden.

Der Bereich „Untersuchen“ auf der rechten Seite ist der Bereich, in dem Sie Ihre Untersuchung starten, indem Sie zum Beispiel eine Schnellansicht oder eine Kategorie auswählen. Dadurch wird eine Arbeitsregisterkarte geöffnet, auf der Sie mit dem Überprüfen der Artefakte beginnen können. Üblicherweise beginnt man mit der Auswahl von Alle Hervorhebungen oder Alle Artefakte und grenzt dann durch Anwendung von Filtern den Bereich ein, sobald man sich auf der Arbeitsregisterkarte befindet.

Hinweis: Der Bereich „Untersuchen“ enthält zwei Registerkarten: „Hervorhebungen“ und „Alle Daten“. Auf der Registerkarte „Hervorhebungen“ werden die Systemdateien ausgeblendet, um Datenkategorien hervorzuheben, die mehr benutzerbezogene Daten enthalten, die für die Untersuchung eher von Interesse sein dürften. Um alle Daten, einschließlich der Systemdateien, zu sehen, öffnen Sie die Registerkarte „Alle Daten“. Auf der Registerkarte „Allgemein“ in den Optionen können Sie festlegen, welche Datenregisterkarte als Standard verwendet werden soll.

Weitere Informationen finden Sie unter Seite Übersicht.

Die Personenfunktion hilft Ihnen, Telefonnummern und Benutzerkonten, die von derselben Person verwendet werden, zu gruppieren, um einfacher zu erkennen, wie eine Person über verschiedene Geräte, Apps und Wege mit anderen Personen kommuniziert hat.

Weitere Informationen finden Sie unter Personen.

Das Projekt VIC ist eine Initiative zum Austausch von Hash-Daten, die das automatische Scannen und Erkennen von CSAM-Bild- und Videoinhalten ermöglicht, ohne dass visuelle Inhalte forensischen Ermittlern zugänglich gemacht werden müssen. In der Regel stammen Hash-Daten aus einer offiziellen Quelle (offizieller Typ), aber die Projekt-VIC-Funktion in XAMN unterstützt auch die Verwaltung lokaler Hash-Sätze (lokaler Typ).

Weitere Informationen finden Sie unter Project VIC.

Die Ausschlussfunktion hilft Ihnen, die Anzahl der zu überprüfenden Artefakte zu reduzieren, indem Artefakte, die für den Fall irrelevant sind, ausgeblendet werden. Solche Artefakte sind zum Beispiel System- oder Anwendungsdateien, die keine vom Benutzer erstellten Daten enthalten oder die mit einem bestimmten Tag versehen sind.

Weitere Informationen finden Sie unter Artefakte ausschließen.

Sie können identische Dateien oder ähnliche Bilder gruppieren, um die Anzahl der zu überprüfenden Artefakte weiter zu reduzieren.

Weitere Informationen finden Sie unter Identische oder ähnliche Artefakte gruppieren.

Verwenden Sie die Filter in XAMN, um die Anzahl der zu überprüfenden Artefakte einzuschränken, z. B. auf der Grundlage von Zeiträumen, geografischen Standorten oder den verwendeten Anwendungen. In XAMN gibt es mehr als 30 verschiedene Filter, die Ihnen helfen, das zu finden, was Sie suchen. Wenn das nicht ausreicht, können Sie basierend auf Werten bestimmter Artefakteigenschaften Ihre eigenen Filter erstellen.

Beispiele für häufig verwendete Filter, mit denen man beginnen kann, sind:

• Zeit – Zum Anzeigen der Artefakte mit Zeitstempeln innerhalb eines ausgewählten Zeitraums.
• Kategorie – Zum Anzeigen der Artefakte eines bestimmten Typs, z. B. Anrufe oder Videos.
• Text – Zum Anzeigen der Artefakte, die ein bestimmtes Wort, einen bestimmten Text oder eine bestimmte Zeichenkombination enthalten.

Weitere Informationen finden Sie unter Mit den Filtern im Filterbereich arbeiten und Alle Filter.

Tags sind nützlich, um Artefakte von besonderem Interesse hervorzuheben, zu organisieren und zu finden. Jeder Tag kann als Filter verwendet werden, um Artefakte, die einen Tag haben, schnell zu finden. Sie können die voreingestellten Tags verwenden oder eigene Tags erstellen.

Weitere Informationen finden Sie unter Tags.

XAMN enthält eine Menge Funktionen, um aus den extrahierten Daten mehr Informationen zu gewinnen. Hier sind einige Beispiele:

• Intelligente Verarbeitung – Tools, die alle Datenquellen des Falls scannen und analysieren. Sie können beispielsweise die Sprache in benutzerdefinierten Texteigenschaften identifizieren oder die Filterung großer Datenmengen anhand regulärer Ausdrücke ermöglichen. Weitere Informationen finden Sie unter Intelligente Verarbeitung.
• Dateistruktur-Ansicht – Zeigt die gesamte Dateistruktur für jede Datenquelle an. Auf diese Weise können Sie die Dateien durchlaufen und Daten finden, die noch nicht decodiert wurden. Weitere Informationen finden Sie unter Dateistrukturansicht.
• Hex Viewer – Durchführen einer Überprüfung der Rohdaten, die noch nicht in Datei-Artefakte decodiert wurden, und speichern Sie Artefakte basierend auf Ihren Entdeckungen. Weitere Informationen finden Sie unter Infos zu Hex Viewer.

Wenn die extrahierten Daten in XAMN überprüft wurden, besteht der nächste Schritt in der Regel darin, die Ergebnisse für Personen innerhalb Ihrer Organisation oder für Staatsanwälte oder andere externe Personen freizugeben.

Informationen zu den verschiedenen Freigabeoptionen in XAMN finden Sie unter Freigabe Ihrer Ergebnisse.