成果物の除外

XAMN Pro ライセンスが必要です。

調査をより効率的にするには、ケースに無関係な成果物やデバイスのユーザーが生成したものではない成果物を除外します。除外された成果物は XAMN に表示されず、検索結果から除外されます。成果物の量を減らせるため、関連するデータを素早く探すことができます。

メモ：

データの除外を選択すると、XAMN 内のすべてのタブに影響します。[セッション間で表示設定を記憶する] ためのオプションが有効になっている場合は、既知のデータ、システムファイル、およびアプリケーションファイルを除外する設定がセッション間で保持されます。
除外機能はグローバルレベルで実行されるため、メニューに示される除外対象の成果物の数は、ケース内のすべてのデータに基づいています。現在 [ハイライト] タブで作業している場合は、この数字が現在のタブ上の数字と一致しない場合があります。

ユーザーが生成したものではないファイルを除外するには 2 つの方法があります。ハッシュファイルに基づく既知のデータの除外とデータの取得中に特定されたシステムファイルとアプリケーションファイルの除外です。それらを個別に除外することも、すべての除外を選択することもできます。個々のファイルは、システムファイルまたはアプリケーションファイルとして識別することも、既知のデータのハッシュファイルに含めることもできます。

Jailbreak 済みのデバイスまたはユーザーがルート化しているデバイスからのデータを調査していて、通常は静的システムファイル用に予約されているストレージ領域に潜在的な証拠が隠されていると信じる理由がある場合は、システムファイルとアプリケーションファイルを除外する前に注意してください。デバイス情報は、[ケース] 画面 > [データソース] > [詳細] パネル > [全般情報] で確認できます。

除外された成果物は削除されません。必要に応じていつでも、除外された成果物を再度含めることを選択できます。

手順

既知のデータを除外する

MSABは既知のデータのハッシュファイルを提供しております。このファイルには、例えばシステムファイルやアイコンなど、ユーザーによって生成されたものではなく、ユーザーデータを含まないことが確認されているものが含まれます。ハッシュファイルの出典はNIST NSRLです。

既知のデータを除外するには、まず MSAB Customer Portal から MSAB ハッシュファイルをダウンロードしてから、XAMN にアップロードする必要があります。

ヒント：MSAB既知データライブラリファイルは定期的に更新されます。この方法による効率的な除外のためには、既知データライブラリの定期的なダウンロードと更新を確実に行ってください。

MSABハッシュファイルを選択してください

MSAB Customer Portalにアクセスし、メニュー内のXAMN - 分析するをクリックした後、MSAB既知のデータライブラリのインストールファイルをダウンロードしてください。
XAMNのリボンで、オプションをクリックしてください。
[一般]タブの[既知のデータ]セクションで、[参照]をクリックしてください。
ダウンロードしたMSABハッシュファイルを選択し、開くをクリックしてください。

既知のデータを除外してください

リボン上の「表示」グループで、成果物を除外ボタンをクリックしてください。
ドロップダウンリストで、既知のデータチェックボックスを選択してください。
既知のデータは除外されます。これは、XAMN Pro に表示されず、レポート、エクスポート、またはケースのサブセット保存時にも含まれないことを意味します。