Excluir artefactos

Se requiere licencia XAMN Pro.

Para que la investigación sea más eficiente, excluya artefactos que sean irrelevantes para el caso o que no sean generados por el usuario del dispositivo. Los artefactos excluidos no se muestran en XAMN y se excluyen de los resultados de búsqueda. Esto disminuye la cantidad de artefactos y ofrece una búsqueda más rápida de datos relevantes.

Nota:

  • Cuando elige excluir datos, esto afecta a todas las pestañas en XAMN. Si la opción de Recordar la configuración de visualización entre sesiones está habilitada, la configuración para excluir datos conocidos, archivos de sistema y archivos de aplicaciones se mantiene entre sesiones.

  • Dado que la función de exclusión se realiza a nivel global, los números de artefactos que se excluirán y que aparecen en el menú están basados en todos los datos del caso. Si actualmente está trabajando en una pestaña Aspectos destacados, los números podrían no coincidir con los que se muestran en su pestaña actual.

Existen dos formas de excluir archivos que no son generados por el usuario: exclusión de datos conocidos basados en un archivo hash y exclusión de archivos de sistema y archivos de aplicación que se identificaron durante la extracción de datos. Puede excluirlos por separado o seleccionar excluirlos todos. Un archivo individual puede identificarse como archivo de sistema o aplicación e incluirse en el archivo hash de datos conocidos.

Tenga cuidado antes de excluir archivos del sistema y de la aplicación si está examinando datos de un dispositivo con jailbreak o rooteado por el usuario y tiene razones para creer que se han ocultado evidencias potenciales en áreas de almacenamiento normalmente reservadas para archivos estáticos del sistema. La información del dispositivo está disponible en la pantalla Caso > Fuentes de datos > Panel Detalles > Información general.

Los artefactos excluidos no se eliminan. Si es necesario, siempre puede optar por incluir de nuevo los artefactos excluidos.

Procedimientos

MSAB proporciona un archivo hash de datos conocidos. Este archivo incluye, por ejemplo, archivos e iconos del sistema que sabemos que no son generados por el usuario y que no contienen ningún dato del usuario. La fuente del archivo hash es NSRL del NIST.

Para excluir datos conocidos, primero debe descargar el archivo hash de MSAB del MSAB Customer Portal y cargarlo en XAMN.

Consejo: El archivo de la biblioteca de datos conocidos de MSAB se actualiza periódicamente. Para una exclusión eficaz con este método, asegúrese de descargar y actualizar regularmente la biblioteca de datos conocidos.

Seleccione un archivo hash de MSAB
  1. Vaya al MSAB Customer Portal, haga clic en XAMN - Analizar en el menú y, a continuación, haga clic para descargar el archivo de instalación de la biblioteca de datos conocidos de MSAB.
  2. En la cinta de XAMN, haga clic en Opciones.
  3. En la pestaña General, en Datos conocidos, haga clic en Examinar.
  4. Examine el archivo hash de MSAB descargado y haga clic en Abrir.
Excluir datos conocidos
  1. En el grupo Mostrar de la cinta, haga clic en el botón Excluir artefactos.
  2. En la lista desplegable, seleccione la casilla de verificación Datos conocidos.

    Los datos conocidos se excluyen. Esto significa que no se muestran en XAMN Pro y no se incluirán en ningún informe, exportación o al guardar un subconjunto del caso.

Los archivos de sistema y de aplicaciones son archivos que se incluyen en el sistema operativo del dispositivo o se añaden al instalar y actualizar aplicaciones en el dispositivo. No son generados por el usuario ni contienen datos del usuario.

XRY ahora identifica los archivos de sistema y los archivos de aplicación durante la extracción de datos del dispositivo. Esto hace posible optar por excluir esos archivos del caso en XAMN.

Excluir archivos de sistema y archivos de aplicación
  1. En el grupo Visualización de la cinta, haga clic en el botón Excluir artefactos.
  2. En la lista desplegable, seleccione las casillas de verificación Archivos de sistema y Archivos de aplicación.

Nota: El número de archivos de sistema y archivos de aplicación se indica en la lista desplegable. Si el número es 0, significa que no se identifican archivos de sistema o archivos de aplicaciones porque la extracción de datos no se realizó con una versión reciente de XRY.

Además de excluir artefactos que no genera el usuario, también puede excluir artefactos en función de las etiquetas que haya aplicado a los artefactos. Esto resulta útil para excluir, por ejemplo, artefactos que haya considerado irrelevantes para el caso o artefactos que contienen información confidencial.

Excluir artefactos que tengan una etiqueta específica
  1. En el grupo Visualización de la cinta, haga clic en el botón Excluir artefactos.
  2. En la lista desplegable, seleccione la casilla de verificación de la etiqueta para excluirlos.

Temas relacionados