Formats d’export

Exportez les données vers différents formats de sortie. L’objectif des formats décrits ci-dessous est de présenter les données sélectionnées dans un format adapté à l’analyse des données à l’aide d’autres applications.

Astuce : Veuillez consulter Formats de rapport pour obtenir des informations sur les formats de sortie destinés à la création de rapports.

Remarque : Tous les paramètres ne sont pas disponibles pour chaque modèle.

Métadonnées
  • Pour inclure les données contenues dans la propriété Métadonnées (complètes) aux fichiers multimédias du rapport, cochez la case Ajouter des métadonnées aux fichiers multimédias.
  • Cochez la case Création de liens géographiques pour ajouter un lien Google Maps aux artefacts contenant des données géographiques.
  • Pour inclure les balises aux métadonnées, cochez la case Inclure les balises.
  • Pour inclure les remarques de la personne examinant les données, cochez la case Inclure les remarques.

Exemple de propriété MetaData (Full) :

Contenu
  • Pour ajouter une page de couverture, cochez la case Inclure la première page.
  • Cochez la case Inclure les données du dossier pour inclure les informations qui apparaissent dans la section « Données du dossier » de l’onglet de démarrage.
  • Pour inclure le nombre d’artefacts par catégorie et par application, cochez la case Inclure le résumé.
  • Pour inclure les informations dans l'onglet Démarrer affiché sous Données d'élément, cochez la case Inclure les données d'élément.
  • Pour inclure des informations générales, cochez la case Inclure les informations générales.
  • Pour inclure des informations sur le système d’exploitation du périphérique et la méthode d’extraction XRY, cochez la case Inclure le descriptif de l’appareil.
  • Pour inclure les journaux d’extraction, cochez la case Inclure les journaux d’extraction.
  • Pour inclure des séries de données associées, telles que les propriétés d'emplacement d'une voiture ou d'un drone, cochez la case Inclure les données associées. Lorsque cette option est sélectionnée, un fichier Excel est créé pour chaque artefact sélectionné avec les séries de données associées. Le fichier Excel comporte un onglet pour chaque série de données. Le rapport lui-même indique le nombre d'entrées de séries de données disponibles pour l'artefact et renvoie vers le fichier Excel correspondant.
  • Pour inclure les filtres dans l’onglet actif de XAMN, cochez la case Inclure les filtres actifs.
  • Pour inclure un instantané de la vue d’artefact XAMN active, cochez la case Inclure la vue active.
  • Pour inclure une page avec les captures d’écran que XRY Photon a utilisées comme source lors du décodage des discussions, cochez la case Inclure les captures d’écran Photon.
Organiser les résultats par
  • Pour utiliser le tri que vous avez appliqué dans la vue d’artefact XAMN active, sélectionnez Artefact.
  • Pour inclure des artefacts triés par catégorie comme dans le fichier XRY, sélectionnez fichier XRY.
Incorporer un élément multimédia
  • Pour exclure des images du rapport, choisissez Non.
  • Pour inclure des miniatures dans le rapport, choisissez Miniature.
  • Pour inclure des liens cliquables vers des images dans votre rapport, utilisez l’option Lien. L’exportation comprendra un dossier contenant tous les fichiers multimédias en tant qu’objets liés.
  • Pour inclure des miniatures et des liens cliquables vers les images au format d’origine, utilisez l’option Miniature+Lien. L’exportation comprendra un dossier contenant tous les fichiers multimédias en tant qu’objets liés.
Sélectionnez la taille de la page.
  • Pour définir la taille de la page, sélectionnez l’une des options correspondantes proposées.
Sélectionnez l’orientation de la page.
  • Pour définir l’orientation de la page, sélectionnez l’une des options correspondantes proposées.
Taille de la miniature
  • Pour sélectionner une taille de miniature, sélectionnez Petite, Moyenne ou Grande.
Convertir les e-mails HTML au format
  • Choisissez l’option Source pour afficher le code source HTML des e-mails.
  • Pour afficher les e-mails HTML sous forme de texte brut, sélectionnez l’option Texte.
  • Pour afficher les e-mails HTML au format HTML, sélectionnez l’option HTML.
Personnaliser la structure des dossiers

Astuce : Les options XAMN incluent un paramètre de structure de dossiers. En sélectionnant Structure de dossiers plate, vous obtiendrez les fichiers exportés dans une structure de dossiers plate plutôt que dans une structure de sous-dossiers.

Utilisez le format de sortie Extended XML lorsque vous souhaitez analyser des données extraites dans un autre outil d’analyse prenant en charge le format d’entrée XML. Ajoutez également le format de sortie de fichier pour inclure les fichiers extraits à l’export.

Remarque : Lors de l'exportation vers Extended XML, les balises XML ne sont pas traduites.

Remarque : Si vous souhaitez inclure les fichiers extraits dans l'exportation, et pas seulement les métadonnées des artefacts, vous devez également sélectionner le format d'exportation « Fichier ».

Cette option permet d’exporter les données sélectionnées vers un fichier Microsoft Excel.

Mises en page
  • Standard : Utilisez cette disposition pour inclure tous les types d’artefacts avec un ensemble limité de propriétés.
  • Adaptatif : Utilisez cette disposition pour inclure des artefacts avec toutes leurs propriétés. Un onglet sera créé pour chaque type d’artefact. Les propriétés de l’artefact sont affichées sous forme de colonnes.
  • PowerChat : permet d’inclure des artefacts de conversation avec un ensemble limité de propriétés. Remarque : cette mise en page inclut uniquement les artefacts des catégories Appels et Messages.
  • HashOnly : permet d’exporter uniquement les valeurs de hachage. Vous obtiendrez une feuille Excel par propriété de hachage (SHA-1, MD5, etc.).

Pour les propriétés d’artefact regroupées, il est possible de toutes les exporter dans une même colonne, ou chacune dans une colonne distincte, avec l’option Développer les groupes.

Exemple :

Voici un exemple d’artefact Skype Call. Un groupe De avec deux propriétés s’affiche dans le volet Détails :

Si l’option Développer les groupes n’est pas sélectionnée, toutes les propriétés du groupe sont exportées dans la même colonne. Les propriétés sont répertoriées avec leurs valeurs sous forme de liste séparée par des points-virgules.

Si l’option Développer les groupes est sélectionnée, chaque propriété est exportée dans une colonne distincte. Les en-têtes affichent le nom du groupe et de la propriété.

Utilisez ce format de sortie si vous souhaitez voir des emplacements dans Google Earth. Ce format de sortie génère un fichier kmz. Démarrez Google Earth et ouvrez le fichier kmz.

Utilisez ce format de sortie pour exporter les fichiers extraits. Un dossier sera créé pour chaque source de données.

  • Créer un manifeste : sélectionnez cette option lorsque vous avez besoin d'un fichier manifeste. Le fichier manifeste est un fichier XML décrivant les fichiers exportés.
  • Refléter le chemin d'origine : sélectionnez cette option pour exporter des fichiers avec les mêmes chemins d'accès que dans la source des données. Décochez la case pour obtenir une structure de fichiers plus plate.
  • Ajouter une extension de fichier : sélectionnez cette option pour ajouter des extensions de fichier en fonction du contenu réel du fichier.

GPX est un schéma XML conçu comme un format de données GPS commun pour les applications logicielles.

Utilisez le format de sortie GPX ou GPS Exchange lorsque vous souhaitez importer des données de géolocalisation dans d’autres applications logicielles. Les emplacements sont exportés avec des points de cheminement, des parcours et des itinéraires.

Utilisez le format de sortie VICS lorsque vous souhaitez exporter des valeurs de hachage et des propriétés VIC pour les artefacts d’image et vidéo. L’export VICS génère un fichier .json.

Le fichier .json exporté peut être utilisé pour contribuer aux ensembles de hachages officiels des projets VIC et CAID. Il peut également être utilisé pour contribuer à une collection d'ensembles de hachages utilisés uniquement au sein de l'organisation locale.

Remarque : Si vous souhaitez inclure les fichiers extraits dans l’export, en plus des métadonnées de l’artefact, vous devez également cocher la case Exporter les fichiers.

Autres options

L’export de fichiers VICS prend en charge les versions suivantes :

  • VICS 1.2
  • VICS 1.3
  • VICS 2.0

Utilisez ce format pour générer un rapport au format OpenDocument Spreadsheet (ODS). Les documents ODS peuvent être ouverts dans Microsoft Excel. Les documents au format ODS sont généralement créés avec les logiciels gratuits OpenOffice ou LibreOffice.

Mise en page des rapports ODS
  • Standard : Utilisez cette disposition pour inclure tous les types d’artefacts avec un ensemble limité de propriétés.
  • Adaptatif : Utilisez cette disposition pour inclure des artefacts avec toutes leurs propriétés. Un onglet sera créé pour chaque type d’artefact. Les propriétés de l’artefact sont affichées sous forme de colonnes.

Utilisez ce format de sortie lorsque vous avez besoin d’une liste de mots et de nombres uniques provenant d’une source de données ou d’un ensemble d’artefacts.

Cette liste peut être utilisée dans le cadre d’attaques par force brute.

Une attaque par force brute consiste à essayer de deviner les informations de connexion, les clés de chiffrement ou de trouver une page Web cachée.

Utilisez le format de sortie Nuix lorsque vous souhaitez importer les données extraites vers Nuix Workstation pour effectuer une enquête plus approfondie dans Nuix Investigate. L’export Nuix crée un fichier .msabnuix. Ce fichier comprend tous les fichiers extraits et les balises qui ont été ajoutées lors de l’examen des données dans XAMN.

Remarque : Lors de la génération d’un export Nuix, ne sélectionnez pas d’autre format de sortie.

Utilisez le format de sortie Detego lorsque vous souhaitez importer les données extraites dans Detego Analyse. L’export Detego crée un fichier .msabdetego. Ce fichier comprend tous les fichiers extraits et les balises qui ont été ajoutées lors de l’examen des données dans XAMN.

Remarque : Lors de la génération d’une export Detego, ne sélectionnez pas d’autre format de sortie.

Utilisez le format de sortie Relativity lorsque vous souhaitez importer les données extraites dans RelativityOne. Avec l’export Relativity, les messages et les conversations sont exportés au format Short Message de Relativity, et vous obtenez un fichier .rsmf.

Vous pouvez choisir de diviser l’export en fonction de la période et, par ordre hiérarchique, du propriétaire de l’appareil, de la source de données et de la conversation.

  • Propriétaire de l’appareil : comparable au dépositaire dans RelativityOne.
  • Source de données : appareil à partir duquel les données sont extraites.
  • Conversation : fil de messages entre un groupe de personnes sur une application ou une plateforme spécifique, ou dans un fil d’e-mails.
  • Période : périodes de 24 heures correspondant aux jours calendaires.

Si vous choisissez de diviser l'exportation en fonction du propriétaire de l'appareil, les données de chaque propriétaire d'appareil sont exportées dans un fichier distinct. Si vous choisissez de diviser en fonction du propriétaire de l'appareil, de la source des données et de la période, il y aura un fichier pour chaque période de 24 heures pour chaque source des données et chaque propriétaire d'appareil. Pour savoir quelle partie des données exportées se trouve dans quel fichier, consultez le journal d'exportation. Le journal est disponible dans le même dossier que les fichiers exportés.

Exemple : Vous avez choisi d'exporter les messages pour une période de quatre jours. Les données proviennent de trois sources des données et toutes les sources contiennent des données pour les quatre jours. Deux des appareils appartiennent à une personne et le troisième appareil appartient à une autre personne. Cela donnera 12 fichiers, un par jour et par source des données.

Astuce : Les exports au format Relativity utilisent Personnes dans XAMN. Pour de meilleurs résultats, fusionnez les personnes en double dans XAMN avant d’exporter et définissez la personne concernée en tant que propriétaire de l’appareil à partir duquel vous exportez les données. Si un message ne contient pas d’expéditeur ou si aucun propriétaire n’a été affecté à la source de données, un participant « Unknown » est créé dans le fichier .rsmf.

Si une personne ne dispose pas d'une adresse e-mail attribuée, support@msab.com est utilisé dans l'exportation.

L’export Relativity nécessite que vous travailliez dans un dossier. Seuls les artefacts considérés comme faisant partie des conversations sont exportés (c’est-à-dire les SMS, MMS, e-mails, discussions et appels).

Les appels inclus dans l’export (audio et vidéo) sont affichés sous forme de messages accompagnés de la mention Appel. Les métadonnées de l’artefact d’appel peuvent fournir des informations telles que le type d’appel, le pays et la durée de l’appel.

Remarque : Lors de la génération d’un export Relativity, ne sélectionnez pas d’autre format de sortie.

Pour exporter un fichier binaire d'une extraction physique, procédez comme suit :

  1. Sur la page Sources de données XAMN, cliquez avec le bouton droit sur une source de données d’extraction physique.

  2. Sélectionner Exporter vers .bin et accédez à l’emplacement pour enregistrer les données binaires.

    Remarque : L’option Exporter les données n’est visible que lorsque le fichier .xry est une extraction physique et non un sous-ensemble. S’il y a plus d’une image, un export aura lieu pour chaque image du fichier.

    Les données chiffrées seront toujours chiffrées dans le fichier exporté.

Sections liées