Artefakte ausschließen

XAMN Pro-Lizenz erforderlich.

Um die Untersuchung effizienter zu gestalten, schließen Sie Artefakte aus, die für den Fall irrelevant sind oder nicht vom Benutzer des Geräts generiert wurden. Ausgeschlossene Artefakte werden in XAMN nicht eingeblendet und sind aus Ihren Suchergebnissen ausgeschlossen. Dies verringert die Anzahl der Artefakte und ermöglicht eine schnellere Suche nach relevanten Daten.

Hinweis:

  • Wenn Sie Daten ausschließen, wirkt sich dies auf alle Registerkarten in XAMN aus. Wenn die Option Anzeigeeinstellungen zwischen Sitzungen merken aktiviert ist, wird die Einstellung zum Ausschließen bekannter Daten, System- und Anwendungsdateien zwischen den Sitzungen beibehalten.

  • Da die Ausschlussfunktion auf globaler Ebene erfolgt, basiert die im Menü angezeigte Anzahl der ausgeschlossenen Artefakte auf allen Daten des Falls. Wenn Sie gerade an einer Registerkarte „Hervorhebungen“ arbeiten, stimmen die Zahlen daher möglicherweise nicht mit denen auf Ihrer aktuellen Registerkarte überein.

Es gibt zwei Möglichkeiten, Dateien auszuschließen, die nicht vom Benutzer generiert wurden: Ausschluss bekannter Daten auf Basis einer Hash-Datei und Ausschluss von System- und Anwendungsdateien, die bei der Datenextraktion identifiziert wurden. Sie können sie einzeln oder alle ausschließen. Eine einzelne Datei kann sowohl als System- oder Anwendungsdatei identifiziert als auch in die Hash-Datei bekannter Daten eingeschlossen werden.

Seien Sie vorsichtig, bevor Sie System- und Anwendungsdateien ausschließen, wenn Sie Daten von einem Gerät mit Jailbreak oder von einem vom Benutzer gerooteten Gerät untersuchen und Grund zu der Annahme haben, dass potenzielle Beweise in Speicherbereichen versteckt sind, die normalerweise für statische Systemdateien reserviert sind. Geräteinformationen sind auf dem Bildschirm „Fall“ > „Datenquellen“ > „Details“ > „Allgemeine Informationen“ verfügbar.

Die ausgeschlossenen Artefakte werden nicht gelöscht. Bei Bedarf können Sie die ausgeschlossenen Artefakte jederzeit wieder einschließen.

Verfahren

MSAB stellt eine Hash-Datei mit bekannten Daten zur Verfügung. Diese Datei enthält beispielsweise Systemdateien und Symbole, von denen wir wissen, dass sie nicht vom Benutzer erstellt wurden und keine Benutzerdaten enthalten. Die Quelle der Hash-Datei ist NIST NSRL.

Um bekannte Daten auszuschließen, müssen Sie zunächst die MSAB-Hash-Datei vom MSAB Customer Portal herunterladen und in XAMN hochladen.

Tipp: Die MSAB Known Data Library-Datei wird regelmäßig aktualisiert. Um diese Methode beim Ausschluss effizient anzuwenden, stellen Sie bitte sicher, dass Sie die Known Data Library regelmäßig herunterladen und aktualisieren.

MSAB-Hash-Datei auswählen
  1. Bitte gehen Sie zum MSAB Customer Portal, klicken Sie im Menü auf XAMN – Analysieren und dann auf die Installationsdatei für die MSAB Known Data Bibliothek, um sie herunterzuladen.
  2. Klicken Sie im Menüband von XAMN auf Optionen.
  3. Klicken Sie auf der Registerkarte „Allgemein“ unter „Bekannte Daten“ auf „Durchsuchen“.
  4. Navigieren Sie zur heruntergeladenen MSAB-Hash-Datei und klicken Sie auf Öffnen.
Bekannte Daten ausschließen
  1. Klicken Sie in der Gruppe „Anzeige“ der Multifunktionsleiste auf die Schaltfläche „Artefakte ausschließen“.
  2. Aktivieren Sie in der Drop-down-Liste das Kontrollkästchen Bekannte Daten.

    Die bekannten Daten werden ausgeschlossen. Das bedeutet, dass sie nicht in XAMN Pro angezeigt werden und nicht in Berichten, Exporten oder beim Speichern einer Teilmenge des Falls enthalten sind.

System- und Anwendungsdateien sind Dateien, die im Betriebssystem des Geräts enthalten sind oder beim Installieren und Aktualisieren von Anwendungen auf dem Gerät hinzugefügt werden. Sie werden nicht vom Benutzer generiert und enthalten keine Benutzerdaten.

XRY identifiziert jetzt System- und Anwendungsdateien beim Extrahieren von Daten vom Gerät. Dadurch ist es möglich, diese Dateien vom Fall in XAMN auszuschließen.

System- und Anwendungsdateien ausschließen
  1. Klicken Sie in der Gruppe „Anzeige“ der Multifunktionsleiste auf die Schaltfläche „Artefakte ausschließen“.
  2. Aktivieren Sie in der Drop-down-Liste die Kontrollkästchen Systemdateien und Anwendungsdateien.

Hinweis: Die Anzahl der System- und Anwendungsdateien wird in der Drop-down-Liste angegeben. Wenn die Zahl 0 ist, bedeutet dies, dass keine System- oder Anwendungsdateien identifiziert werden, da die Datenextraktion nicht mit einer aktuellen Version von XRY durchgeführt wurde.

Sie können nicht nur Artefakte ausschließen, die nicht vom Benutzer generiert wurden, sondern auch Artefakte basierend auf den Tags ausschließen, die Sie auf die Artefakte angewendet haben. Dies ist nützlich, um beispielsweise Artefakte auszuschließen, die Ihrer Meinung nach für den Fall irrelevant sind oder die vertrauliche Informationen enthalten.

Artefakte ausschließen, die ein bestimmtes Tag haben
  1. Klicken Sie in der Gruppe „Anzeige“ der Multifunktionsleiste auf die Schaltfläche „Artefakte ausschließen“.
  2. Aktivieren Sie in der Drop-down-Liste das Kontrollkästchen des auszuschließenden Tags.

Verwandte Themen