Exportformate

Daten in verschiedene Ausgabeformate exportieren. Der Zweck der im Folgenden beschriebenen Formate besteht darin, die ausgewählten Daten in einem Format zu präsentieren, das für die weitere Analyse der Daten mit anderen Anwendungen geeignet ist.

Tipp: Informationen zu den Ausgabeformaten für die Erstellung von Berichten finden Sie unter Berichtsformate.

Hinweis: Nicht jede Einstellung ist für jede Layoutvorlage verfügbar.

Metadaten
  • Aktivieren Sie das Kontrollkästchen Metadaten in Mediendateien einschließen, um die in der Eigenschaft „MetaData (Full)“ enthaltenen Daten in Mediendateien in den Bericht aufzunehmen.
  • Wenn Sie Artefakten mit Geodaten Google Maps-Hyperlinks hinzufügen möchten, aktivieren Sie das Kontrollkästchen Geografische Links erstellen.
  • Wenn Sie Artefakt-Tags als Metadaten berücksichtigen möchten, aktivieren Sie das Kontrollkästchen Tags einschließen.
  • Wenn Sie Ermittlernotizen berücksichtigen möchten, aktivieren Sie das Kontrollkästchen Ermittlernotizen einschließen.

Beispiel für eine Eigenschaft von MetaData (Full):

Inhalt
  • Wenn Sie eine Titelseite hinzufügen möchten, aktivieren Sie das Kontrollkästchen Erste Seite einschließen.
  • Wenn Sie die auf der Registerkarte „Start“ unter „Falldaten“ angezeigten Informationen berücksichtigen möchten, aktivieren Sie das Kontrollkästchen Falldaten einschließen.
  • Um die Anzahl der Artefakte pro Kategorie und pro App einzuschließen, aktivieren Sie das Kontrollkästchen Zusammenfassung einschließen.
  • Um die Informationen in die Registerkarte „Start“ unter „Asservat-Daten“ aufzunehmen, aktivieren Sie das Kontrollkästchen „Asservat-Daten einbeziehen“.
  • Um allgemeine Informationen einzuschließen, aktivieren Sie das Kontrollkästchen Allgemeine Informationen einschließen.
  • Aktivieren Sie das Kontrollkästchen Geräteübersicht einschließen, um Informationen zum Gerätebetriebssystem und zur XRY-Extraktionsmethode einzuschließen.
  • Um die Extraktionsprotokolle einzuschließen, aktivieren Sie das Kontrollkästchen Extraktionsprotokolle einschließen.
  • Um zugehörige Datenreihen wie Eigenschaften des Speichersorts aus einer Auto- oder Drohnenverfolgung einzubeziehen, aktivieren Sie das Kontrollkästchen Zugehörige Daten einbeziehen. Wenn diese Option ausgewählt ist, wird für jedes ausgewählte Artefakt eine Excel-Datei mit zugehörigen Datenreihen erstellt. Die Excel-Datei enthält für jede Datenreihe eine eigene Registerkarte. Der Bericht selbst gibt die Anzahl der für das Artefakt verfügbaren Datenreiheneinträge an und enthält einen Link zur entsprechenden Excel-Datei.
  • Um die Filter in die aktive Registerkarte in XAMN aufzunehmen, aktivieren Sie das Kontrollkästchen Aktive Filter einschließen.
  • Aktivieren Sie das Kontrollkästchen Aktive Ansicht einschließen, um eine Momentaufnahme der aktuell aktiven XAMN-Artefaktansicht einzuschließen.
  • Um eine Seite mit den Screenshots einzuschließen, die XRY Photon beim Dekodieren von Chatgesprächen als Quelle verwendete, aktivieren Sie das Kontrollkästchen Photon-Screenshots hinzufügen.
Ausgabe organisieren durch
  • Wenn Sie die Sortierung verwenden möchten, die Sie in der aktiven XAMN-Artefaktansicht angewendet haben, wählen Sie Artefakt aus.
  • Wenn Sie nach Kategorie sortierte Artefakte wie in der XRY-Datei einschließen möchten, wählen Sie XRY-Datei aus.
Eingebettete Medien
  • Um Bilder aus dem Bericht auszuschließen, wählen Sie die Option Nein aus.
  • Verwenden Sie die Option Miniaturansicht, um Miniaturansichten von Bildern in den Bericht aufzunehmen.
  • Verwenden Sie die Option Link, um anklickbare Links zu Bildern in Ihren Bericht aufzunehmen. Der Export enthält einen Ordner mit allen Mediendateien als verknüpfte Objekte.
  • Verwenden Sie die Option Thumbnail+Link (Miniaturansicht+Link), um Miniaturbilder und anklickbare Links zu den Bildern im Vollformat einzuschließen. Der Export enthält einen Ordner mit allen Mediendateien als verknüpfte Objekte.
Seitengröße auswählen
  • Klicken Sie zum Festlegen der Seitengröße auf eine der Optionen für die Seitengröße.
Seitenausrichtung auswählen
  • Klicken Sie zum Festlegen der Seitenausrichtung auf eine der Ausrichtungsoptionen.
Miniaturansicht-Größe
  • Um eine Miniaturansicht-Größe auszuwählen, wählen Sie Klein, Mittel oder Groß aus.
HTML-E-Mails konvertieren:
  • Wenn Sie HTML-E-Mails als HTML-Quellcode anzeigen möchten, klicken Sie auf die Option Quelle.
  • Wenn Sie HTML-E-Mails als normaler Text anzeigen möchten, klicken Sie auf die Option Zu Text.
  • Wenn Sie HTML-E-Mails als formatierten HTML-Text anzeigen möchten, klicken Sie auf die Option HTML.
Anpassen der Ordnerstruktur

Tipp: Die XAMN-Optionen umfassen eine Einstellung für die Ordnerstruktur. Wenn Sie Flache Ordnerstruktur auswählen, werden die exportierten Dateien in einer flachen Ordnerstruktur anstatt in einer Unterordnerstruktur angezeigt.

Verwenden Sie das erweiterte XML-Ausgabeformat, wenn Sie extrahierte Daten in einem anderen Analysetool analysieren möchten, das XML als Eingabe verwendet. Fügen Sie außerdem das Dateiausgabeformat hinzu, um die extrahierten Dateien in den Export einzubeziehen.

Hinweis: Beim Exportieren in Extended XML werden die XML-Tags nicht übersetzt.

Hinweis: Wenn Sie die extrahierten Dateien in den Export einbeziehen möchten und nicht nur die Artefakt-Metadaten, müssen Sie zusätzlich das Exportformat „Datei“ auswählen.

Verwenden Sie diese Option, um die ausgewählten Daten in eine Microsoft Excel-Datei zu exportieren.

Layouts
  • Standard: Verwenden Sie dieses Layout, um alle Arten von Artefakten mit einer begrenzten Anzahl von Eigenschaften einzubeziehen.
  • Adaptiv: Verwenden Sie dieses Layout, um Artefakte mit all ihren Eigenschaften einzuschließen. Für jeden Artefakttyp wird eine Registerkarte erstellt. Artefakteigenschaften werden als Spalten angezeigt.
  • PowerChat: Verwenden Sie dieses Layout, um Konversationsartefakte mit einem begrenzten Satz von Eigenschaften einzuschließen. Hinweis: Dieses Layout enthält nur Artefakte in den Kategorien für Anrufe und Nachrichten.
  • HashOnly: Verwenden Sie dieses Layout, um nur Hashwerte zu exportieren. Sie erhalten ein Excel-Blatt pro Hash-Eigenschaft (SHA-1, MD5 usw.).

Bei gruppierten Artefakteigenschaften können Sie mithilfe des Kontrollkästchens Unroll groups (Gruppierungen auflösen) entscheiden, ob Sie sie alle in einer Spalte oder jede in einer separaten Spalte exportieren möchten.

Beispiel:

Unten finden Sie ein Beispiel für ein Skype-Anruf-Artefakt. Eine Gruppe „From“ (Von) mit zwei Eigenschaften wird im Detailbereich folgendermaßen angezeigt:

Wenn Unroll groups (Gruppierungen auflösen) nicht ausgewählt ist, werden alle Eigenschaften in der Gruppe in dieselbe Spalte exportiert. Die Eigenschaften werden mit ihren Werten als durch Semikolons getrennte Liste aufgelistet.

Wenn Unroll groups (Gruppierungen auflösen) ausgewählt ist, wird jede Eigenschaft in der Gruppe als separate Spalte exportiert. Die Überschriften zeigen den Gruppennamen und den Eigenschaftsnamen an.

Verwenden Sie dieses Ausgabeformat, wenn Sie Orte in Google Earth anzeigen möchten. Dieses Ausgabeformat generiert eine KMZ-Datei. Starten Sie Google Earth und öffnen Sie die KMZ-Datei.

Verwenden Sie dieses Ausgabeformat, um extrahierte Dateien zu exportieren. Für jede Datenquelle wird ein Ordner erstellt.

  • Manifest erstellen: Wählen Sie diese Option, wenn Sie eine Manifestdatei benötigen. Die Manifestdatei ist eine XML-Datei, die die exportierten Dateien beschreibt.
  • Originalpfad widerspiegeln: Wählen Sie diese Option, um Dateien mit denselben Dateipfaden wie in der Datenquelle zu exportieren. Deaktivieren Sie das Kontrollkästchen, um eine flachere Dateistruktur zu erhalten.
  • Dateierweiterung hinzufügen: Wählen Sie diese Option, um Dateierweiterungen basierend auf dem tatsächlichen Dateiinhalt hinzuzufügen.

GPX ist ein XML-Schema, das als allgemeines GPS-Datenformat für Softwareanwendungen konzipiert wurde.

Verwenden Sie das GPX oder GPS Exchange-Ausgabeformat, wenn Sie Ortsdaten in andere Softwareanwendungen importieren möchten. Orte werden mit Wegpunkten, Strecken und Routen exportiert.

Verwenden Sie das VICS-Ausgabeformat, wenn Sie Hashwerte und VIC-Eigenschaften für Bild- und Videoartefakte exportieren möchten. Der VICS-Export generiert eine JSON-Datei.

Die exportierte .json-Datei kann verwendet werden, wenn Sie zu offiziellen Hash-Sets von Project VIC und CAID beitragen. Sie kann auch verwendet werden, wenn Sie zu einer Sammlung von Hash-Sets beitragen, die nur innerhalb der lokalen Organisation verwendet werden.

Hinweis: Wenn nicht nur die Artefaktmetadaten, sondern auch die extrahierten Bild- und Videodateien im Export enthalten sein sollen, müssen Sie das Kontrollkästchen Dateien exportieren aktivieren.

Andere Optionen

VICS-Export bietet Unterstützung für

  • VICS 1.2
  • VICS 1.3
  • VICS 2.0

Verwenden Sie dieses Format, um einen Bericht im ODS-Format (OpenDocument Spreadsheet) zu erstellen. ODS-Dokumente können in Microsoft Excel geöffnet werden. Dokumente im ODS-Format werden normalerweise mit OpenOffice oder LibreOffice kostenlos erstellt.

ODS-Berichtslayouts
  • Standard: Verwenden Sie dieses Layout, um alle Arten von Artefakten mit einer begrenzten Anzahl von Eigenschaften einzubeziehen.
  • Adaptiv: Verwenden Sie dieses Layout, um Artefakte mit all ihren Eigenschaften einzuschließen. Für jeden Artefakttyp wird eine Registerkarte erstellt. Artefakteigenschaften werden als Spalten angezeigt.

Verwenden Sie dieses Ausgabeformat, wenn Sie eine Liste eindeutiger Wörter und Zahlen aus einer Datenquelle oder einer Reihe von Artefakten benötigen.

Die Liste kann verwendet werden, um Kennwörter auf dem Gerät zu erzwingen.

Bei einem Brute-Force-Angriff werden Anmeldeinformationen und Verschlüsselungsschlüssel oder verborgene Webseiten im Versuch-und-Irrtum-Verfahren gesucht.

Verwenden Sie das Nuix-Ausgabeformat, wenn Sie die extrahierten Daten in die Nuix Workstation importieren und mit Nuix Investigate weiter untersuchen möchten. Der Nuix-Export erstellt eine .msabnuix-Datei. Diese Datei enthält alle extrahierten Dateien und die Tags, die beim Untersuchen der Daten in XAMN hinzugefügt wurden.

Hinweis: Wählen Sie beim Generieren eines Nuix-Exports kein anderes Ausgabeformat im selben Exportverfahren aus.

Verwenden Sie das Detego-Ausgabeformat, wenn Sie die extrahierten Daten in Detego Analyse importieren möchten. Der Detego-Export erstellt eine .msabdetego-Datei. Diese Datei enthält alle extrahierten Dateien und die Tags, die beim Untersuchen der Daten in XAMN hinzugefügt wurden.

Hinweis: Wählen Sie beim Generieren eines Detego-Exports kein anderes Ausgabeformat im selben Exportverfahren aus.

Verwenden Sie das Relativity-Ausgabeformat, wenn Sie die extrahierten Daten in RelativityOne importieren möchten. Beim Relativity-Export werden Nachrichten und Konversationen im Kurznachrichtenformat von Relativity exportiert und die Ausgabe ist eine .rsmf-Datei.

Sie können den Export nach Zeitspanne und in hierarchischer Reihenfolge nach Geräteinhaber, Datenquelle und Gespräch aufteilen.

  • Geräteinhaber – Vergleichbar mit dem Verwalter in RelativityOne.
  • Datenquelle – Das Gerät, von dem die Daten extrahiert werden.
  • Gespräch – Ein Nachrichtenthread zwischen einer bestimmten Gruppe von Personen in einer bestimmten App bzw. auf einer bestimmten Plattform oder in einem E-Mail-Thread.
  • Zeitspanne – 24-Stunden-Zeitspannen, die UTC-Kalendertagen entsprechen.

Wenn Sie sich dafür entscheiden, den Export nach Eigentümer aufzuteilen, werden die Daten für jeden Eigentümer in eine separate Datei exportiert. Wenn Sie sich dafür entscheiden, nach Eigentümer, Datenquelle und Zeitraum aufzuteilen, gibt es für jeden 24-Stunden-Zeitraum, jede Datenquelle und jeden Eigentümer eine Datei. Informationen darüber, welcher Teil der exportierten Daten in welcher Datei gespeichert wurde, finden Sie im Export-Protokoll. Das Protokoll befindet sich im selben Ordner wie die exportierten Dateien.

Beispiel: Sie haben ausgewählt, Nachrichten für einen Zeitraum von vier Tagen zu exportieren. Die Daten stammen aus drei Datenquellen, und alle Datenquellen enthalten Daten für alle vier Tage. Zwei der Geräte gehören einer Person, das dritte Gerät gehört einer anderen Person. Dies führt zu 12 Dateien, eine pro Tag und Datenquelle.

Tipp: Exporte im Relativity-Format verwenden Personen in XAMN. Um die besten Ergebnisse zu erzielen, führen Sie mögliche doppelte Personen vor dem Export in XAMN zusammen und weisen Sie die entsprechende Person als Inhaber des Geräts zu, von dem Sie Daten exportieren. Wenn eine Nachricht keinen Absender enthält oder der Datenquelle kein Inhaber zugewiesen wurde, wird in der .rsmf-Datei der Teilnehmer „Unknown“ erstellt.

Wenn einer Person keine E-Mail-Adresse zugewiesen ist, wird support@msab.com im Export verwendet.

Für den Relativity-Export ist es erforderlich, dass Sie in einem Fall arbeiten. Es werden nur die Artefakte exportiert, die als Teil von Gesprächen betrachtet werden, d. h. SMS, MMS, E-Mails, Chats und Anrufe.

Die im Export enthaltenen Anrufe, sowohl Audio- als auch Videoanrufe, werden als Nachrichten mit dem Text Anruf angezeigt. Die Metadaten für das Anrufartefakt können Informationen wie den Anruftyp, das Land und die Dauer des Anrufs bereitstellen.

Hinweis: Wählen Sie beim Generieren eines Relativity-Exports kein anderes Ausgabeformat im selben Exportverfahren aus.

Um eine Binärdatei einer physischen Extraktion zu exportieren, gehen Sie wie folgt vor:

  1. Klicken Sie auf der Seite für die XAMN-Datenquellen mit der rechten Maustaste auf eine Datenquelle einer physischen Extraktion.

  2. Wählen Sie Export to .bin (Nach .bin exportieren) und navigieren Sie zum Speicherort, um die Binärdaten zu speichern.

    Hinweis: Export Data (Daten exportieren) ist nur sichtbar, wenn die XRY-Datei eine physische Extraktion und keine Teilmenge ist. Wenn mehr als ein Bild vorhanden ist, wird jedes Bild in der Datei exportiert.

    Verschlüsselte Daten werden in der exportierten Datei weiterhin verschlüsselt sein.

Verwandte Themen