Exportformat

Exportera data till olika utdataformat. Syftet med de format som beskrivs nedan är att presentera markerade data i ett format som lämpar sig för fortsatt analys av dessa data med hjälp av andra applikationer.

Tips: Se Rapportformat för information om utdataformat avsedda för att skapa rapporter.

Notera: Alla inställningar är inte tillgängliga för varje layoutmall.

Metadata
  • Markera kryssrutan Inkludera metadata i mediefiler för att inkludera data som ingår i egenskapen Metadata (full) om mediefiler i rapporten.
  • Om du vill lägga till en hyperlänk från Google Maps för artefakter med geografiska data markerar du kryssrutan Skapa geografiska länkar.
  • Om du vill inkludera artefakttaggar som metadata markerar du kryssrutan Inkludera taggar.
  • Om du vill inkludera användarkommentarer markerar du kryssrutan Inkludera användarkommentarer.

Exempel på en MetaData-egenskap (full):

Innehåll
  • För att lägga till ett försättsblad markerar du kryssrutan Inkludera första sidan.
  • Om du vill inkludera informationen på fliken Start som visas under Ärendedata markerar du kryssrutan Inkludera ärendedata.
  • Om du vill inkludera antalet artefakter per kategori och per app markerar du kryssrutan Inkludera sammanfattning.
  • Om du vill inkludera informationen i fliken Start som visas under Utställningsdata markerar du kryssrutan Inkludera utställningsdata.
  • Om du vill inkludera allmän information markerar du kryssrutan Inkludera allmän information.
  • Om du vill inkludera information om enhets-OS och XRY-extraktionsmetod markerar du kryssrutan Inkludera enhetsöversikt.
  • Om du vill inkludera extraktionsloggar markerar du kryssrutan Inkludera extraktionsloggar.
  • Om du vill inkludera associerade dataserier, till exempel platsegenskaper från en bil- eller drönar-spårning, markerar du kryssrutan Inkludera associerade data. När detta är markerat skapas en Excel-fil för varje vald artefakt med associerade dataserier. Excel-filen har en flik för varje dataserier. Rapporten anger antalet dataserier som finns tillgängliga för artefakten och länkar till motsvarande Excel-fil.
  • För att inkludera filtren på den aktiva fliken i XAMN markerar du kryssrutan Inkludera aktiva filter.
  • För att inkludera en ögonblicksbild över aktiv XAMN-artefaktvy markerar du kryssrutan Inkludera aktiv vy.
  • För att inkludera en sida med de skärmdumpar som XRY Photon använder som källa vid avkodning av chattkonversationer markerar du kryssrutan Inkludera Photon-skärmdumpar.
Organisera utdata efter
  • För att använda den sortering du tillämpat i den aktiva XAMN-artefaktvyn väljer du Artefakt.
  • För att inkludera artefakter sorterade efter kategori i XRY-filen väljer du XRY-fil.
Bädda in media
  • Om du vill utesluta bilder från rapporten väljer du alternativet Nej.
  • Om du vill inkludera miniatyrbilder i rapporten väljer du alternativet Miniatyrbild.
  • Om du vill inkludera klickbara länkar till bilder i din rapport väljer du alternativet Länk. Exporten innehåller en mapp med alla mediefiler som länkade objekt.
  • Om du vill inkludera miniatyrbilder och klickbara länkar till bilderna i fullformat väljer du alternativet Miniatyr+Länk. Exporten innehåller en mapp med alla mediefiler som länkade objekt.
Välj sidstorlek
  • För att ställa in sidstorlek väljer du något av sidstorleksalternativen.
Välj sidorientering
  • För att ställa in sidorientering väljer du något av orienteringsalternativen.
Miniatyrstorlek
  • För att välja en miniatyrstorlek, välj Liten, Medel eller Stor.
Konvertera HTML-e-postmeddelanden till
  • Om du vill se HTML-e-postmeddelanden som HTML-källkod väljer du alternativet Källa.
  • Om du vill se HTML-e-postmeddelanden som vanlig text väljer du alternativet Till text.
  • Om du vill se HTML-e-postmeddelanden som formaterad HTML väljer du alternativet HTML.
Anpassa mappstruktur

Tips: XAMN Inställningar innehåller en inställning för mappstruktur. Genom att välja Platt mappstruktur får du de exporterade filerna i en platt mappstruktur istället för i en undermappstruktur.

Använd utdataformatet Extended XML när du vill analysera extraherade data i ett annat analysverktyg som tar XML som indata. Du kan även lägga till filutdataformatet för att inkludera extraherade filer i exporten.

Notera: Vid export till Extended XML översätts inte XML-taggarna.

Notera: Om du vill inkludera de extraherade filerna i exporten och inte bara inkludera metadata för artefakten, måste du också välja exportformatet ”Fil”.

Använd det här alternativet för att exportera markerade data till en Microsoft Excel-fil.

Layouter
  • Standard: Använd denna layout för att inkludera alla typer av artefakter med en begränsad uppsättning egenskaper.
  • Adaptiv: Använd denna layout för att inkludera artefakter med alla deras egenskaper. En flik skapas för varje artefakttyp. Artefaktegenskaper visas som kolumner.
  • PowerChat: Använd denna layout för att inkludera konversationsartefakter med en begränsad mängd egenskaper. Obs! Denna layout inkluderar endast artefakter inom kategorierna Samtal och Meddelanden.
  • HashOnly: Använd denna layout för att endast exportera hashvärden. Du får ett Excel-ark per hashegenskap (SHA-1, MD5, osv).

För grupperade artefaktegenskaper kan du bestämma om du vill exportera dem alla i en kolumn eller var och en av dem i en separat kolumn med hjälp av kryssrutan Dela upp grupper.

Exempel:

Nedan följer ett exempel från en Skype-samtalsartefakt. En Från-grupp med två egenskaper visas så här i fönstret Detaljer:

När Dela upp grupper inte är markerat exporteras alla egenskaper i gruppen i samma kolumn. Egenskaperna listas med sina värden som avgränsas av semikolon.

När Dela upp grupper är markerat exporteras varje egenskap i gruppen som en separat kolumn. Rubrikerna visar gruppnamnet och egenskapsnamnet.

Använd det här utdataformatet när du vill se platser i Google Earth. Detta utdataformat genererar en kmz-fil. Starta Google Earth och öppna kmz-filen.

Använd detta utdataformat för att exportera extraherade filer. En mapp skapas för varje datakälla.

  • Skapa manifest: Välj det här alternativet när du behöver en manifestfil. Manifestfilen är en .XML-fil som beskriver de exporterade filerna.
  • Återspegla originalsökväg: Välj det här alternativet för att exportera filer med samma sökvägar som i datakällan. Avmarkera kryssrutan för en mer platt filstruktur.
  • Lägg till filändelse: Välj detta alternativ för att lägga till filändelser baserat på det faktiska filinnehållet.

GPX är ett XML-schema som utformats som ett vanligt GPS-dataformat för mjukvaruapplikationer.

Använd utdataformatet GPX eller GPS Exchange när du vill importera platsdata till andra mjukvaruapplikationer. Platser exporteras med vägpunkter, spår och rutter.

Använd VICS-utdataformatet när du vill exportera hashvärden och VIC-egenskaper för bild- och videoartefakter. VICS-exporten genererar en .json-fil.

Den exporterade .json-filen kan användas när du bidrar till officiella Project VIC- och CAID-hashuppsättningar. Den kan också användas när du bidrar till en samling hashuppsättningar som endast används inom den lokala organisationen.

Notera: Om du vill inkludera de extraherade bild- och videofilerna i exporten och inte bara inkludera artefaktmetadata, måste du markera kryssrutan Exportera filer.

Övriga alternativ

VICS-export stöder

  • VICS 1.2
  • VICS 1.3
  • VICS 2.0

Använd detta format för att generera en rapport i formatet OpenDocument-kalkylblad (ODS). ODS-dokument kan öppnas i Microsoft Excel. Dokument i ODS-format skapas vanligtvis med gratis OpenOffice eller LibreOffice.

ODS-rapportlayouter
  • Standard: Använd denna layout för att inkludera alla typer av artefakter med en begränsad uppsättning egenskaper.
  • Adaptiv: Använd denna layout för att inkludera artefakter med alla deras egenskaper. En flik skapas för varje artefakttyp. Artefaktegenskaper visas som kolumner.

Använd detta utdataformat när du behöver en lista över unika ord och nummer från en datakälla eller en uppsättning artefakter.

Listan kan användas för att forcera lösenord på enheten genom en uttömmande attack.

En så kallad uttömmande attack är en metod där man prövar sig fram för att gissa inloggningsinformation och krypteringsnycklar eller för att hitta en dold webbsida.

Använd Nuix-utdataformatet när du vill importera extraherade data till Nuix Workstation för vidare undersökning i Nuix Investigate. Nuix-exporten skapar en .msabnuix-fil. Den här filen innehåller alla extraherade filer och taggar som lades till vid undersökningen av datan i XAMN.

Notera: När du genererar en Nuix-export ska du inte välja något annat utdataformat i samma exportprocedur.

Använd utdataformatet Detego när du vill importera extraherade data till Detego Analyse. Detego-exporten skapar en .msabdetego-fil. Den här filen innehåller alla extraherade filer och taggar som lades till vid undersökningen av datan i XAMN.

Notera: När du genererar en Detego-export ska du inte välja något annat utdataformat i samma exportprocedur.

Använd utdataformatet Relativity när du vill importera extraherade data till RelativityOne. Med export i Relativity, exporteras meddelanden och konversationer i Relativitys kortmeddelandeformat, och utdata är en .rsmf-fil.

Du kan välja att dela upp exporten baserat på tidsintervall och på, i hierarkisk ordning, enhetsägare, datakälla och konversation.

  • Enhetsägare – jämförbar med vårdnadshavare i RelativityOne.
  • Datakälla – enheten från vilken data extraheras.
  • Konversation – en tråd med meddelanden mellan en specifik grupp människor på en specifik app eller plattform, eller i en e-posttråd.
  • Tidsintervall – 24-timmarsperioder motsvarande UTC-kalenderdagar.

Om du väljer att dela upp exporten baserat på enhetsägare exporteras data för varje enhetsägare till en separat fil. Om du väljer att dela upp efter enhetsägare, datakälla och tidsperiod kommer det att finnas en fil för varje 24-timmarsperiod för varje datakälla och varje enhetsägare. För information om vilken del av den exporterade datan som hamnade i vilken fil, se exportloggen. Loggen finns i samma mapp som de exporterade filerna.

Exempel: Du har valt att exportera meddelanden för en period på fyra dagar. Uppgifterna kommer från tre datakällor och alla datakällor har uppgifter för alla fyra dagarna. Två av enheterna tillhör en person och den tredje enheten tillhör en annan person. Detta resulterar i 12 filer, en per dag och datakälla.

Tips: Exporter i Relativity-format använder Personer i XAMN. För bästa resultat slår du samman möjliga dubbletter i XAMN innan du exporterar, och tilldelar den relevanta personen som ägare till den enhet du exporterar data från. Om ett meddelande inte innehåller en ”Från-person”, eller om ingen ägare har tilldelats datakällan, skapas en ”Unknown” deltagare i .rsmf-filen.

Om en person inte har någon tilldelad e-postadress används support@msab.com i exporten.

Export i Relativity kräver att du jobbar med ett ärende. Endast de artefakter som anses vara en del av konversationer exporteras: det vill säga sms, mms, e-post, chatt och samtal.

Samtalen som ingår i exporten, både ljud- och videosamtal, visas som meddelanden med texten Samtal. Metadata för samtalsartefakten kan ge information som samtalstyp, land och samtalets längd.

Notera: När du genererar en Relativity-export ska du inte välja något annat utdataformat i samma exportprocedur.

Gör följande för att exportera en binär fil av en fysisk extraktion:

  1. På sidan XAMN-datakälla högerklickar du på en datakälla för en fysisk extraktion.

  2. Välj Exportera till .bin och bläddra till platsen för att spara binära data.

    Notera: Exportera data är bara synlig när .xry-filen är en fysisk extraktion och inte en delmängd. Om det finns mer än en bild kommer en export att göras för varje bild i filen.

    Krypterade data kommer fortfarande att vara krypterade i den exporterade filen.

Relaterade ämnen