Exclure les artefacts

Licence XAMN Pro requise.

Pour rendre l’enquête plus efficace, excluez les artefacts qui ne sont pas pertinents ou qui ne sont pas générés par l’utilisateur de l’appareil. Les artefacts exclus ne sont pas affichés dans XAMN et sont exclus de vos résultats de recherche. Cela réduit la quantité d’artefacts et permet une recherche plus rapide des données pertinentes.

Remarque :

  • Lorsque vous choisissez d’exclure des données, cela affecte tous les onglets de XAMN. Si l’option Ne pas oublier les paramètres d’affichage entre les sessions est activée, le paramètre d’exclusion des données connues, des fichiers système et des fichiers d’application est conservé entre les sessions.

  • La fonction d’exclusion ayant une portée globale, le nombre d’artefacts qui seront exclus, indiqué dans le menu, est basé sur toutes les données du dossier. Si vous travaillez actuellement dans un onglet Nouveautés, les nombres peuvent ne pas correspondre à ceux de votre onglet actuel.

Il existe deux façons d’exclure des fichiers qui ne sont pas générés par l’utilisateur : exclusion des données connues sur la base d’un fichier de hachage, et exclusion des fichiers système et des fichiers d’application qui ont été identifiés lors de l’extraction des données. Vous pouvez les exclure séparément ou choisir de les exclure tous. Un fichier individuel peut être à la fois identifié en tant que fichier système ou d’application et inclus dans le fichier de hachage des données connues.

Faites preuve de prudence avant d’exclure des fichiers système et d’application si vous examinez les données d’un appareil jailbreaké ou rooté par l’utilisateur, et avez des raisons de croire que des preuves potentielles ont été cachées dans des zones de stockage normalement réservées aux fichiers système statiques. Les informations sur l’appareil sont disponibles sur l’écran Dossier > Sources de données > Volet Détails > Informations générales.

Les artefacts exclus ne sont pas supprimés. Vous pouvez toujours choisir d’inclure à nouveau les artefacts exclus, si nécessaire.

Procédures

MSAB fournit un fichier de hachage contenant des données connues. Ce fichier comprend, par exemple, des fichiers système et des icônes dont nous savons qu'ils ne sont pas générés par l'utilisateur et qu'ils ne contiennent aucune donnée utilisateur. La source du fichier de hachage est NIST NSRL.

Pour exclure les données connues, vous devez d’abord télécharger le fichier de hachage MSAB à partir de MSAB Customer Portal et le télécharger dans XAMN.

Astuce : La bibliothèque MSAB des données connues est mise à jour régulièrement. Pour une exclusion efficace à l'aide de cette méthode, veuillez vous assurer de télécharger et de mettre à jour régulièrement la bibliothèque des données connues.

Sélectionner un fichier de hachage MSAB
  1. Veuillez vous rendre sur le MSAB Customer Portal, cliquer sur XAMN - Analyser dans le menu, puis cliquer pour télécharger le fichier d'installation de la bibliothèque de données connues MSAB.
  2. Dans la barre d’outils de XAMN, cliquez sur Options.
  3. Dans l'onglet Général, sous Données connues, cliquez sur Parcourir.
  4. Accédez au fichier de hachage MSAB téléchargé, puis cliquez sur Ouvrir.
Exclure les données connues
  1. Dans le groupe Affichage du ruban, cliquez sur le bouton Exclure les artefacts.
  2. Dans la liste déroulante, cochez la case Données connues.

    Les données connues sont exclues. Cela signifie qu'elles ne sont pas affichées dans XAMN Pro et ne seront incluses dans aucun rapport, exportation ou lors de l'enregistrement d'un sous-ensemble du dossier.

Les fichiers système et les fichiers d’application sont des fichiers inclus dans le système d’exploitation de l’appareil, ou ajoutés lors de l’installation et de la mise à niveau d’applications sur l’appareil. Ils ne sont pas générés par l’utilisateur et ne contiennent aucune donnée utilisateur.

XRY identifie désormais les fichiers système et les fichiers d’application lors de l’extraction des données de l’appareil. Cela permet de choisir d’exclure ces fichiers du dossier dans XAMN.

Exclure les fichiers système et les fichiers d’application
  1. Dans le groupe Affichage du ruban, cliquez sur le bouton Exclure les artefacts.
  2. Dans la liste déroulante, cochez les cases Fichiers système et Fichiers d’application.

Remarque : Le nombre de fichiers système et d’application est indiqué dans la liste déroulante. Si ce nombre est 0, cela signifie qu’aucun fichier système ou d’application n’est identifié car l’extraction des données n’a pas été effectuée à l’aide d’une version récente de XRY.

Outre l’exclusion des artefacts qui ne sont pas générés par l’utilisateur, vous pouvez également exclure des artefacts en fonction des balises appliquées. Ceci est utile pour exclure, par exemple, les artefacts que vous considérez comme non pertinents ou qui contiennent des informations sensibles.

Exclure les artefacts associés à une balise spécifique
  1. Dans le groupe Affichage du ruban, cliquez sur le bouton Exclure les artefacts.
  2. Dans la liste déroulante, cochez la case de la balise à exclure.

Sections liées