Wykluczanie artefaktów

Wymagana jest licencja XAMN Pro.

Aby badanie było skuteczniejsze, należy wykluczyć artefakty nieistotne dla sprawy lub niegenerowane przez użytkownika urządzenia. Wykluczone artefakty nie są wyświetlane w XAMN i są wykluczone z wyników wyszukiwania. Zmniejsza to liczbę artefaktów i przyspiesza wyszukiwanie właściwych danych.

Uwaga:

  • Jeśli zdecydujesz się wykluczyć dane, wpłynie to na wszystkie karty w XAMN. Jeśli opcja Zapamiętaj ustawienia wyświetlania między sesjami jest włączona, ustawienie wykluczania znanych danych, plików systemowych i plików aplikacji jest zachowywane między sesjami.

  • Ponieważ funkcja wykluczania jest wykonywana na poziomie globalnym, wyświetlana w menu liczba artefaktów, które zostaną wykluczone, opiera się na wszystkich danych w sprawie. Jeśli obecnie pracujesz na karcie Wyróżnienia, liczby mogą nie zgadzać się z liczbami widocznymi na bieżącej karcie.

Istnieją dwa sposoby wykluczania plików, które nie są generowane przez użytkowników: wykluczenie znanych danych na podstawie pliku skrótów oraz wykluczenie plików systemowych i plików aplikacji, które zostały zidentyfikowane podczas ekstrakcji danych. Można wykluczyć je osobno lub wybrać opcję wykluczenia wszystkich. Pojedynczy plik może być zarówno zidentyfikowany jako plik systemowy lub plik aplikacji, jak i zawarty w pliku skrótu znanych danych.

Zachowaj ostrożność przed wykluczeniem plików systemowych i aplikacji, jeśli badasz dane z urządzenia ze zdjętymi zabezpieczeniami systemu lub zrootowanego przez użytkownika i masz powody, by sądzić, że potencjalne dowody zostały ukryte w obszarach pamięci zwykle zarezerwowanych dla statycznych plików systemowych. Informacje o urządzeniu są dostępne na ekranie Sprawa > Źródła danych > okienko Szczegóły > Informacje ogólne.

Wykluczone artefakty nie są usuwane. W razie potrzeby zawsze można wybrać ponowne uwzględnienie wykluczonych artefaktów.

Procedury

MSAB udostępnia plik skrótów znanych danych. Plik ten zawiera na przykład pliki systemowe i ikony, o których wiadomo, że nie zostały wygenerowane przez użytkownika i nie zawierają żadnych danych użytkownika. Źródłem pliku skrótów jest NIST NSRL.

Aby wykluczyć znane dane, należy najpierw pobrać plik skrótów MSAB z portalu klienta MSAB i przesłać go do XAMN.

Wskazówka: Plik biblioteki znanych danych MSAB jest okresowo aktualizowany. Aby zapewnić skuteczne wykluczenie przy użyciu tej metody, należy regularnie pobierać i aktualizować bibliotekę znanych danych.

Wybierz plik skrótu MSAB
  1. Przejdź do MSAB Customer Portal, kliknij XAMN — Analiza w menu, a następnie kliknij, aby pobrać plik instalacyjny biblioteki znanych danych MSAB.
  2. Na wstążce XAMN kliknij przycisk Opcje.
  3. W zakładce Ogólne, w sekcji Znane dane, kliknij Przeglądaj.
  4. Przejdź do pobranego pliku skrótów MSAB i kliknij przycisk Otwórz.
Wykluczanie znanych danych
  1. W grupie Wyświetlanie na wstążce kliknij przycisk Wyklucz artefakty.
  2. Z rozwijanej listy wybierz pole wyboru Znane dane.

    Znane dane są wykluczone. Oznacza to, że nie są one wyświetlane w XAMN Pro i nie będą uwzględniane w żadnych raportach, eksportach ani podczas zapisywania podzbioru sprawy.

Pliki systemowe i pliki aplikacji to pliki zawarte w systemie operacyjnym urządzenia lub dodane podczas instalowania i aktualizowania aplikacji na urządzeniu. Nie są one generowane przez użytkownika ani nie zawierają żadnych danych użytkownika.

XRY identyfikuje teraz pliki systemowe i pliki aplikacji podczas pobierania danych z urządzenia. Dzięki temu można wybrać wykluczenie tych plików ze sprawy w XAMN.

Wykluczanie plików systemowych i plików aplikacji
  1. W grupie Wyświetlanie na wstążce kliknij przycisk Wyklucz artefakty.
  2. Z listy rozwijanej wybierz pola wyboru Pliki systemowe i Pliki aplikacji.

Uwaga: Liczba plików systemowych i plików aplikacji jest podana na liście rozwijanej. Jeśli liczba wynosi 0, oznacza to, że nie zidentyfikowano żadnych plików systemowych ani plików aplikacji, ponieważ wyodrębnienie danych nie zostało wykonane przy użyciu najnowszej wersji XRY.

Oprócz wykluczania artefaktów, które nie są generowane przez użytkownika, można również wykluczać artefakty na podstawie znaczników zastosowanych do artefaktów. Jest to przydatne do wykluczenia na przykład artefaktów uznanych za nieistotne dla sprawy lub artefaktów zawierających poufne informacje.

Wyklucz artefakty, które mają określony tag
  1. W grupie Wyświetlanie na wstążce kliknij przycisk Wyklucz artefakty.
  2. Na liście rozwijanej zaznacz pole wyboru tagu do wykluczenia.

Powiązane tematy