Exkludera artefakter

XAMN Pro-licens krävs.

För att göra utredningen mer effektiv, exkluderar du artefakter som inte är relevanta för ärendet, eller som inte genereras av användaren av enheten. Exkluderade artefakter visas inte i XAMN och de exkluderas från dina sökresultat. Detta minskar mängden artefakter och ger en snabbare sökning efter relevanta data.

Notera:

  • När du väljer att exkludera data påverkar detta alla flikar i XAMN. Om möjligheten Kom ihåg skärminställningar mellan sessioner är aktiverad, behålls inställningen för att exkludera kända data, systemfiler och applikationsfiler mellan sessionerna.

  • Eftersom funktionen för undantag utförs på global nivå baseras antalet artefakter som kommer att undantas och som visas i menyn på alla data i ärendet. Om du för närvarande arbetar på en flik för Höjdpunkter kan det hända att siffrorna inte stämmer överens med dem på din aktuella flik.

Det finns två sätt att utesluta filer som inte är användargenererade: exkludering av kända data baserat på en hashfil, och exkludering av systemfiler och applikationsfiler som identifierades under extrahering av data. Du kan exkludera dem separat eller välja att exkludera dem alla. En enskild fil kan både identifieras som en system- eller applikationsfil och inkluderas i hashfilen med kända data.

Var försiktig innan du exkluderar system- och applikationsfiler om du undersöker data från en jailbreakad eller rotad enhet och har anledning att tro att potentiella bevis har dolts på lagringsområden som normalt är reserverade för statiska systemfiler. Enhetsinformation är tillgänglig på skärmbilden Ärende > Datakällor > Detaljer > Allmän information.

De exkluderade artefakterna tas inte bort. Du kan alltid välja att inkludera de exkluderade artefakterna igen om det behövs.

Procedurer

MSAB tillhandahåller en hashfil med kända data. Denna fil innehåller till exempel systemfiler och ikoner som vi vet inte genereras av användaren och som inte innehåller några användardata. Källan till hashfilen är NIST NSRL.

För att exkludera kända data måste du först ladda ner MSAB-hashfilen från MSAB Customer Portal och ladda upp den i XAMN.

Tips: MSAB:s kända data-bibliotek uppdateras regelbundet. För effektiv uteslutning med denna metod, se till att regelbundet ladda ner och uppdatera det kända data-biblioteket.

Välj en MSAB-hashfil
  1. Gå till MSAB Customer Portal, klicka på XAMN - Analysera i menyn och klicka sedan för att ladda ner installationsfilen för MSAB Kända data-biblioteket.
  2. Klicka på Alternativ på menyfliken för XAMN.
  3. På fliken Allmänt, under Kända data, klicka på Bläddra.
  4. Bläddra till den nedladdade MSAB-hashfilen och klicka på Öppna.
Exkludera kända data
  1. I bandets grupp Visa klickar du på knappen Uteslut artefakter.
  2. På rullgardinsmenyn markerar du kryssrutan Kända data.

    De kända dataen är undantagna. Det innebär att de inte visas i XAMN Pro och inte kommer att inkluderas i några rapporter, exporter eller när en delmängd av ärendet sparas.

Systemfiler och applikationsfiler är filer som ingår i enhetens operativsystem eller läggs till vid installation och uppgradering av applikationer på enheten. De genereras inte av användaren, och de innehåller inte heller några användardata.

XRY identifierar nu systemfiler och applikationsfiler vid extrahering av data från enheten. Detta gör det möjligt att välja att exkludera dessa filer från ärendet i XAMN.

Exkludera systemfiler och applikationsfiler
  1. I menyfliksområdet Visning klickar du på knappen Uteslut artefakter.
  2. På rullgardinsmenyn markerar du kryssrutorna Systemfiler och Programfiler.

Notera: Antalet systemfiler och applikationsfiler anges på rullgardinsmenyn. Om siffran är 0 betyder det att inga systemfiler eller applikationsfiler identifierats, eftersom dataextraheringen inte utfördes med en ny version av XRY.

Förutom att exkludera artefakter som inte genereras av användaren, kan du också exkludera artefakter baserat på taggarna som du har tillämpat på artefakterna. Detta är användbart för att exkludera artefakter som du har upplevt vara irrelevanta för ärendet, eller artefakter som innehåller känslig information.

Exkludera artefakter som har en specifik tagg
  1. I menyfliksområdet Visning klickar du på knappen Uteslut artefakter.
  2. På rullgardinsmenyn markerar du kryssrutan för den tagg som ska uteslutas.

Relaterade ämnen