Présentation de l’onglet Travail

Lorsque vous choisissez d’ouvrir une sélection d’artefacts à examiner, un nouvel onglet Travail s’ouvre. L’onglet Travail peut se présenter sous deux modes différents : Données marquantes ou Toutes les données. En mode Données marquantes, les catégories d’artefacts contenant des fichiers système sont masquées pour mettre en évidence les catégories qui contiennent davantage de données liées à l’utilisateur, plus susceptibles d’être pertinentes pour l’enquête. En mode Toutes les données, toutes les catégories sont disponibles.

Le mode dans lequel se trouve l’onglet Travail dépend de la sélection de Données marquantes ou Toutes les données lors de l’ouverture de l’onglet Travail à partir de l’onglet Dossier. Si vous avez ouvert un onglet Données marquantes et que vous souhaitez voir toutes les catégories, retournez à l’onglet Dossier, sélectionnez Toutes les données, puis ouvrez un nouvel onglet de travail.

Le type d’onglet est indiqué par une icône.

  • Points forts
  • Toutes les données

Quel que soit le mode, l’onglet Travail comprend trois onglets principaux : le volet Filtre, le volet Artefacts et le volet Détails. Si vous souhaitez visualiser les données brutes d’un artefact, vous pouvez développer un quatrième volet, le volet Mode Source. Vous trouverez ci-dessous plus d’informations sur chacun des volets.

XAMN dispose de nombreux filtres intégrés puissants. Certains sont affichés par défaut dans le volet Filtre et d’autres doivent être ajoutés manuellement.

Pour plus d'informations sur l'utilisation des filtres et l'ajout de nouveaux filtres, veuillez consulter Utiliser les filtres du volet Filtre

Pour plus d'informations sur tous les filtres disponibles, veuillez consulter Tous les filtres

Le volet Artefacts affiche tous les artefacts qui correspondent aux conditions définies par les filtres du volet Filtre. La vue sous forme de colonnes est particulièrement adaptée à l’examen simultané de différents types d’artefacts. Si vous examinez un certain type d’artefacts, tels que des messages ou des images, sélectionnez une vue qui présente ces types d’artefacts de la meilleure façon possible.

Pour plus d'informations sur les différentes vues disponibles dans le volet Artefacts, veuillez consulter Visualiseurs d’artefact.

Dans le volet Artefacts, vous trouverez également les vues filtrées Chronologie et Cartes qui peuvent vous aider à restreindre la portée des artefacts à examiner à ceux dont les horodatages se situent dans une période pertinente ou à ceux dont les données d’emplacement se trouvent dans une zone d’intérêt. Pour plus d'informations, consultez Utiliser la vue de filtre Chronologie et Utiliser la vue de filtre Cartes.

Lorsqu'un artefact est sélectionné dans le volet Artefacts, ses propriétés et les données associées s'affichent dans le volet Détails. Le contenu et la disposition du volet Détails dépendent du type d'artefact sélectionné.

Pour plus d'informations, veuillez consulter Afficher les détails de l’artefact.

Les données brutes de n’importe quelle propriété d’artefact peuvent être examinées au format hexadécimal dans le volet Mode source. Il suffit de cliquer avec le bouton droit de la souris sur la propriété dans le volet Détails et de sélectionner Examiner en mode Source.

Cela permet de vérifier les données extraites et de consulter les relations entre les données hexadécimales et le registre d’adresse mémoire.

Pour plus d'informations, veuillez consulter en mode Source..