教程案例教案

法律?2017CellebriteMobileSynchronization .，保留所利。本手冊的提供應(yīng)遵循下列條件與限制：n本手冊包括歸屬于CellebriteMobile .的專有信息。此類信息僅用于助明確并適當(dāng)?shù)腢FED yzer用戶n未獲Cellebrite .明確的事先，手冊任意部分的內(nèi)容均不得挪作他用、透露給其他個人或公司，或以(機(jī)械或電子形式)進(jìn)行。n手冊中的文本和圖形說明與參考之用。這些內(nèi)容所依據(jù)的規(guī)范更改，恕不另行通知。n文檔內(nèi)容更改，恕不另行通知。除非另行注明，否則示例中使用的企業(yè)和個人的名稱及數(shù)據(jù)均為虛構(gòu)。內(nèi)3內(nèi)簡 物理提 數(shù)據(jù)分 安裝和激 系統(tǒng)需 軟件安 安裝UFEDPhysical 激活 新版本通 使用證硬件保護(hù)裝 使用軟件 使用網(wǎng)絡(luò)硬件保護(hù)裝 停用軟件 掃描惡意軟 更新特征碼數(shù)據(jù)庫( 從文件更新特征碼數(shù)據(jù)庫(離線 入 啟動UFEDPhysical 打開提取內(nèi)容進(jìn)行分 分析多個提 打開與合并項(xiàng) 提取信息 重命名項(xiàng)目和提 和分析 多提取設(shè) 報 保存項(xiàng)目會 在高級模式下打開提取內(nèi) 以高級模式打開UFED提取文 以高級模式打開非UFED提取文 保存.ufd文 加載項(xiàng)目會 關(guān)閉項(xiàng) 關(guān)閉UFEDPhysical 鍵盤快捷方 工作空間簡 項(xiàng)目 使用項(xiàng)目樹區(qū) 數(shù)據(jù)顯示區(qū) 歡迎選項(xiàng) “提取信息”選項(xiàng) 數(shù)據(jù)選項(xiàng) 查看圖像文 文 尋找和分析信 在數(shù)據(jù)選項(xiàng)卡中搜索信 使用快速過濾器功 使用高級過濾 在所有打開的項(xiàng)目中搜索信 瀏覽文件系 時間線視 視 使用觀察列 創(chuàng)建觀察列表編輯觀察列表導(dǎo)入觀察列表導(dǎo)出觀察列表刪除觀察列表運(yùn)行觀察列表查找觀察列表 設(shè)備位 查看離線地 查看離線地 標(biāo)記與信息窗 (無線網(wǎng)絡(luò))數(shù)據(jù) 檢索地 翻譯解碼出的數(shù) 使用本功 更新證以包含所選擇的語 在MyCellebrite中選擇語 翻譯 翻譯出的數(shù) 報 使用項(xiàng)目分 生成報 報告數(shù)據(jù)集設(shè) 報告安全設(shè) 報告布局設(shè) 執(zhí)行提 對iOS設(shè)備執(zhí)行提 物理提 高級邏輯提 對GPS或大容量設(shè)備執(zhí)行提 GPS或大容量設(shè)備中的數(shù)據(jù) 高級功 11.1.向 正在識別數(shù)據(jù) 正在建立查 正在映射數(shù) 正在運(yùn)行創(chuàng)建的查 管理查 模糊型 使用 導(dǎo)出TomTom文 導(dǎo)入TomTom文 打開加密的提取內(nèi) 打開加密的zip文 提取和BlackBerry備份文 BlackBerry數(shù)據(jù)庫的 導(dǎo)出帳戶數(shù)據(jù) 雕復(fù)圖 掃描雕復(fù)的圖 使用雕復(fù)的圖 驗(yàn)證Hash 網(wǎng)絡(luò)硬件保護(hù)裝置-管理過 網(wǎng)絡(luò)硬件保護(hù)裝置-系統(tǒng)要 管理網(wǎng)絡(luò)硬件保護(hù)裝置 功能頁 會話頁 更新網(wǎng)絡(luò)硬件保護(hù)裝置 獨(dú)立安裝所需驅(qū)動程 啟用網(wǎng)絡(luò)硬件保護(hù)裝置日 使用十六進(jìn)制數(shù) 在十六進(jìn)制數(shù)據(jù)和已數(shù)據(jù)中搜索信 搜索字符 搜索字 搜索日 搜索SIM卡ICCID 搜索SMS 搜索正則表達(dá)式 搜索SMS文本字符 搜索模 搜索代碼和 瀏覽十六進(jìn)制提取內(nèi) 使用偏移跳轉(zhuǎn)到文件中的不同位 正在使用十六進(jìn)制 正在添加十六進(jìn)制 正在編輯十六進(jìn)制 原始數(shù)據(jù) 查看十六進(jìn)制數(shù)據(jù)信 在十六進(jìn)制內(nèi)容中尋找特定類型的數(shù) 相機(jī)和截圖證 高級解 管理 構(gòu)建新的 編輯現(xiàn)有的 將設(shè)備附加到鏈 設(shè)置默認(rèn)的設(shè)備 將設(shè)備與鏈分 刪除 鏈說 插 管理插 運(yùn)行特定的插 使用PythonS 導(dǎo)出文件系 使用Android圖形雕復(fù)插 使用 雕復(fù)插 設(shè) 常規(guī)設(shè) 數(shù)據(jù)文 數(shù)據(jù)文件過濾方 管理數(shù)據(jù)文件設(shè) Hex查看器設(shè) 模式設(shè) 接口設(shè) 額外的報告字 添加新的報告字 編輯報告字 刪除報告字 報告默認(rèn) 后鏈插件設(shè) 保存設(shè) 加載設(shè) 設(shè)定項(xiàng)目設(shè) 設(shè)置項(xiàng)目的世界協(xié)調(diào)時 設(shè)置案例信 參 “文件”菜 “視圖”菜 查看窗 “工具”菜 “提取”菜 “Python”菜 “插件”菜 “報告”菜 “幫助”菜 1簡UFED由以下大量部件組成 UFEDTouchUFED4PCUFEDInField用于實(shí)現(xiàn)從移動設(shè)備進(jìn)行邏輯、、SIM文件系統(tǒng)以及物理的提取，然后將所提取信息保存到USB閃存驅(qū)動器、SD卡或PC上。nUFEDCloudyzer可以提取來自云數(shù)據(jù)來源的信息。云數(shù)據(jù)來源是指通過Internet向消費(fèi)者提供的服務(wù)。 UFEDyticsDesktop可以根據(jù)物理、邏輯和文件系統(tǒng)提取生成的報告，立即識別出可 UFEDPhysical yzer應(yīng)用程序通過高級的解碼、分析和報告功能對設(shè)備內(nèi)存中的內(nèi)容進(jìn)行次的展示。UFEDPhysical yzer可以由UFED創(chuàng)建的各種類型的提取內(nèi) PhoneDetective應(yīng)用程序則能通過的物理屬性幫助人員快速對其進(jìn)行識別，從而避免因?yàn)樾枰獑釉O(shè)備而導(dǎo)致其鎖死的。UFED的工作流程包括如下兩個步驟n提取-使用UFED進(jìn)行物理、文件系統(tǒng)、邏輯、和SIM卡的提取n使用UFED yzer執(zhí)行、分析和報告物理提取執(zhí)行物理提取時，UED使用高級的提取方法來為移動設(shè)備使用的每個閃存或地址范圍創(chuàng)建一個單獨(dú)的十六進(jìn)制提取文件。與邏輯提取不同，物理提取方法將繞過設(shè)備的操作系統(tǒng)，直接獲取設(shè)備內(nèi)部閃存中的數(shù)據(jù)。設(shè)備的內(nèi)存數(shù)據(jù)將捉到十六進(jìn)制的提取文件以便以后用UFEDPhysical yzer加以和。所創(chuàng)建的物理提取內(nèi)容將會包含由設(shè)備操作系統(tǒng)分配的內(nèi)存空間，其中可能含有已刪除的數(shù)據(jù)，如SMS、、條目、、和用戶。物理提取提供了移動設(shè)備閃存中內(nèi)容的逐字節(jié)拷貝。對物理提取進(jìn)行不僅能取出完好的數(shù)據(jù)，還能取出隱藏或者已經(jīng)刪除的數(shù)據(jù)?？梢曰謴?fù)文件和未分配空間中的已刪除數(shù)據(jù)1。UFEDPhysicalyzer提供的高級生成算法可以恢復(fù)記錄，從而揭示出未分配空間中額外的已刪除數(shù)據(jù)。所揭示的已刪除數(shù)據(jù)量取決于設(shè)備上的具體數(shù)據(jù)。出的數(shù)據(jù)將和已分析的數(shù)據(jù)一起顯示在同樣的列表中。舉例而言，來自未分配空間的已刪除M將和其他SMS一起顯示在同一個列表中。未分配的空間指分區(qū)上沒有用于活動文件的群集。其中可能含有已經(jīng)從文件分區(qū)中刪除，但未從物理磁盤上移除的文件片段。第1章簡 在未分配空間中進(jìn)行的數(shù)據(jù)生成可以帶來以下的好處：n市面上最好最快的已刪除數(shù)據(jù)恢復(fù)解決方案。n以更少的時間揭示的已刪除數(shù)據(jù)n可以揭示出以前無法發(fā)現(xiàn)的已刪除數(shù)據(jù)。n得到的數(shù)據(jù)質(zhì)量更高自動移除誤報和重復(fù)項(xiàng)。nn同一個視圖：可以在同一個視圖內(nèi)安排所有的數(shù)據(jù)，包括從未分配空間中出的數(shù)數(shù)據(jù)分析UFED yzer供人員對所提取的數(shù)據(jù)執(zhí)行深入的分析并生成報告UFED yzer的主要功能如下n提取內(nèi)容并生成內(nèi)存內(nèi)容的分層視n提供十六進(jìn)制文件的詳盡視圖n重新構(gòu)建設(shè)備的文件系統(tǒng)n各種分析得出的數(shù)據(jù)類型，如：聯(lián)系人列表、SMS消息、、設(shè)備信(IMSIICCID戶代碼)和應(yīng)用程序信息等n提供數(shù)據(jù)文件的視圖，包括圖像、、數(shù)據(jù)庫等n當(dāng)前數(shù)據(jù)和已刪除的數(shù)據(jù)n揭示設(shè)備的(如果可用niOSGPS設(shè)備執(zhí)行功能強(qiáng)大的提取nnn即時搜索所有的項(xiàng)目內(nèi)容n基于多個參數(shù)的高級搜索功能n即時搜索數(shù)據(jù)表內(nèi)容n觀察列表功能，用于根據(jù)預(yù)定義的列表來自動突出顯示信nnn軟件掃描器可以識別設(shè)備中的軟件n基于各種參數(shù)如字符串、字節(jié)、數(shù)字、日期搜索十六進(jìn)制信息 可以使用正則表達(dá)式(RegEx)查找特定數(shù)據(jù)字符串n為特定內(nèi)存位置添加書簽以便將關(guān)鍵區(qū)域編入索引，從而供以后查看nPython外殼命令執(zhí)行數(shù)據(jù)分析1應(yīng)用程序數(shù)據(jù)包括Kik 等n插n添加或刪除插n使用Python語言自行編寫插n管理n生成多種格式的可定制報告(徽標(biāo)、標(biāo)題等22安裝和激活本節(jié)敘述了在PC上安裝UFEDPhysicalyzer并激活的過程。系統(tǒng)需求帶PentiumIV或與其兼容，并且主頻為1.6GHz或更高的處理器，同時與ndows兼容的系位Windows10，64Windows8.x，64Windows內(nèi)16要1GB的安裝可用磁盤空間要.Net4.6版或之前版本.14.5權(quán)如果想要使用由Cellebrite提供的硬件證密鑰(硬件保護(hù)裝置)來激活應(yīng)用2015228UFED系列將不再支持WindowsXP軟件安裝要獲取 yzer的副本可以從以下來源獲得UFED yzer安裝程序的副本nUFED yzer的CDn從MyCellebrite安裝UFEDPhysical開始之前，請沒有將U-441線連接到計算機(jī)。雙擊安裝文件。選擇所需語言，然后單擊確定繼續(xù)。將顯示如下的窗口。單擊下一步。將顯示如下的窗口。閱讀協(xié)議。然后選擇我接受協(xié)議，并單擊下一步。將顯示如下的窗口。如果需要，可以單擊瀏覽設(shè)置不同的安裝文件夾，然后單擊下一步。將顯示如下的窗口。如果不希望有桌面圖標(biāo)，請清除創(chuàng)建桌面圖標(biāo)復(fù)選框，然后單擊下一步。將顯示如下單擊安裝在安裝過程中，可能會提示您下載并安裝 .NET3.5Framework這是安裝過程的一部分，并且要求您的計算機(jī)能Internet。如果想要使用由Cellebrite提供的硬件證密鑰(硬件保護(hù)裝置)來激活應(yīng)用程序，請選擇安裝HASP硬件保護(hù)裝置驅(qū)動程序。必須擁有管理員權(quán)限才能安裝HASP硬件保護(hù)裝置驅(qū)動程序。安裝完成時選擇啟動 yzer即可啟動應(yīng)用程序單擊完成激活用以下方法中的一種激活UFED yzer yticsDesktopUFEDPhone以及UFEDPhysical/Logicaln使用證硬件保護(hù)裝置(下一頁n使用軟件證(在本頁n使用網(wǎng)絡(luò)硬件保護(hù)裝置(在本頁檢查您的UFED套件以確定應(yīng)當(dāng)使用的激活方法。新版本通知有新版本的軟件可用時，Cellebrite會進(jìn)行通知。如果已連接到Internet，就會在有新版本可用時收到該通知。如果未連接到Internet，則會每3個月顯示一次通知。使用證硬件保護(hù)裝使用隨UFED套件提供的UFED硬件保護(hù)裝置。硬件保護(hù)裝置中包含了所的全部應(yīng)用程序的證。UFED將硬件保護(hù)裝置連接到計算機(jī)上的USB端口。系統(tǒng)將會自動找到證。操作系統(tǒng)識別出硬件保護(hù)裝置后，應(yīng)用程序便可以啟動UFED應(yīng)用程序。恭喜，您的應(yīng)用程序現(xiàn)已準(zhǔn)備就緒！如果沒有找到包含證的硬件保護(hù)裝置首次啟動時或是未找到證硬件保護(hù)裝置時，將顯示一個Cellebrite產(chǎn)品窗口如果已經(jīng)將硬件保護(hù)裝置連接到計算機(jī)上 USB端口，但仍然無法工作，請聯(lián) 要使用硬件 證密鑰，必須先安裝HASP硬件保護(hù)裝置驅(qū)動程序。如果在選擇Hasp硬件保護(hù)裝置驅(qū)動程序使用軟件首次打開應(yīng)用程序時必須激活證UFED以下：nUFEDPhysicalhttps:/ 用您的MyCellebrite帳戶登錄。(如果沒有帳戶，請單擊立即激活并創(chuàng)建一個用戶，然后返回到所需的UFED應(yīng)用程序您將被引導(dǎo)至產(chǎn)品激活窗口。單擊應(yīng)用程序并將文件保存到PCzip文件，單擊安裝文件并通過安裝向?qū)О惭b軟件。重新啟動PC(如果需要)重復(fù)步驟1以轉(zhuǎn)到應(yīng)用程序如果的是UFED4PC，請在“激活方法”框中選擇激活代碼。如果的是UFEDTouch，請選擇UFEDTouch/UFEDClassic。nUFED4PCUFEDyzer yticsDesktop：在“激活碼”字段中輸入在UFED套件中提供的激活代碼。激活方法并非UFEDCloud yzernUFED4PCUFEDyzer yticsDesktop：在“激活碼”字段中輸入在UFED套件中提供的激活代碼。nUFEDTouch：在“序列號”字段中，選擇在UFEDTouch設(shè)備或UFEDTouch的“證激活”屏幕上顯示的UFED序列號。要添加新設(shè)備，請單擊添加，然后輸入必需的信息。然后獲取計算機(jī)ID(執(zhí)行此步操作時關(guān)閉MyCellebrite頁面) 啟動應(yīng)用程序。將顯示“Cellebrite產(chǎn)品”窗口n單擊以窗口中顯示的計算機(jī)ID在MyCellebrite上，粘貼所的計算機(jī)ID單擊生成證以將應(yīng)用程序的證密鑰文件到PC。該證密鑰會同時發(fā)送到您的MyCellebrite電子郵件地址。在應(yīng)用程序中，單擊“Cellebrite產(chǎn)品”窗口中的加載證文件選擇證文件，然后單擊打開。將顯示一條消息，指示軟件更新成功單擊關(guān)閉恭喜，您的應(yīng)用程序現(xiàn)已準(zhǔn)備就緒！使用網(wǎng)絡(luò)硬件保護(hù)裝置網(wǎng)絡(luò)硬件保護(hù)裝置連接到組織的網(wǎng)絡(luò)，并且包含了所的全部應(yīng)用程序的證。UFED啟動UFED應(yīng)用程序。如果網(wǎng)絡(luò)硬件保護(hù)裝置已經(jīng)連網(wǎng)，則應(yīng)用程序?qū)⒄?，用戶可以立即開始工作。如果未能識別出網(wǎng)絡(luò)硬件保護(hù)裝置，則會顯示“Cellebrite產(chǎn)品”窗口單擊網(wǎng)絡(luò)。將顯示如下的窗口。如果未能找到網(wǎng)絡(luò)中的硬件保護(hù)裝置，請確保已經(jīng)連接到Internet，并且硬件保護(hù)裝置的網(wǎng)絡(luò)連接正常。然后單擊刷新重新搜索網(wǎng)絡(luò)硬件保護(hù)裝置。在默認(rèn)情況下，網(wǎng)絡(luò)將采用“廣播”配置。如果需要，可以手動連接到網(wǎng)絡(luò)硬件保護(hù)裝置。單擊配置將網(wǎng)絡(luò)配置更改為特定的主機(jī)。輸入主機(jī)名(或IP地址)。如果只有一個網(wǎng)絡(luò)硬件保護(hù)裝置，就會自動選中它。但如果有多個網(wǎng)絡(luò)硬件保護(hù)裝置，就需要從列表中選擇所需要的硬件保護(hù)裝置，然后單擊應(yīng)用。恭喜，您的應(yīng)用程序現(xiàn)已準(zhǔn)備就緒！如希望了解與網(wǎng)絡(luò)硬件保護(hù)裝置有關(guān)的管理員操作程序，請參閱管理網(wǎng)絡(luò)硬件保護(hù)裝置證在本頁。停用軟件如果需要將通過軟件證激活的UFED應(yīng)用程序移動到另一臺PC，必須先停用(刪除)計算機(jī)上的證。在UFED應(yīng)用程序中，轉(zhuǎn)至幫助>顯示證詳細(xì)信息。將顯示Cellebrite產(chǎn)品窗單擊停用軟件許可證。將顯示軟件證停用窗口。單擊以計算機(jī)ID轉(zhuǎn)至tt /deactivation并用您的MyCellebrite帳戶登錄如果沒有帳戶，請單擊立即并創(chuàng)建一個用戶。然后返回到tt /deactivation。將顯示如下的窗口確保設(shè)備添加到產(chǎn)品列表中。n如果設(shè)備顯示在產(chǎn)品列表中，請單擊轉(zhuǎn)到“我的產(chǎn)品”頁面以瀏覽到“我的產(chǎn)品”頁n如果該設(shè)備未在產(chǎn)品列表中顯示，單擊UFED證停用窗口中的添加設(shè)備，或我的產(chǎn)品頁面的UFED產(chǎn)品/加密狗。將顯示如下的窗口。輸入Cellebrite產(chǎn)品窗口中顯示的序列號、設(shè)備ID和設(shè)備名稱(可選)單擊添加設(shè)備。設(shè)備現(xiàn)在顯示在“我的產(chǎn)品”頁面中的“活動的產(chǎn)品”在“我的產(chǎn)品”頁面中，找到設(shè)備，然后打開選項(xiàng)菜單并選擇停用設(shè)備。將顯示如下的窗點(diǎn)擊下一步到您完成上述步驟。單擊下載停用文件并將文件保存到PC在UFED應(yīng)用程序的軟件證停用窗口中，您需要上傳停用文件。單擊選擇停用文件，然后打開停用文件。將顯示軟件證停用窗口。要完成停用過程，您需要將停用文件上傳至MyCellebrite。在軟件證停用窗口中，單擊復(fù)制路徑或打開所在文件夾，然后單擊關(guān)閉返回MyCellebrite上的“停用向?qū)А保缓髥螕粝乱徊絾螕暨x擇文件，然后將UFED應(yīng)用程序創(chuàng)建的停用文件上傳。要在其他計算機(jī)上激活UFED證，請按照使用軟件證(在本頁21)中的步驟操3掃描3在提取內(nèi)容上運(yùn)行軟件偵測，以尋找其中的軟件掃描軟件時，UFEDPhysical yzer會應(yīng)用最近一次使用的特征碼數(shù)據(jù)庫。如果是第一次使用軟件掃描器，或者希望在掃描前更新數(shù)據(jù)庫，請按照更新特征碼數(shù)據(jù)庫(在線)(下一頁)中的步驟進(jìn)行。如果使用的計算機(jī)沒有Internet連接，則請按照從文件更新特征碼數(shù)據(jù)庫(離線)(在本頁30)中的步驟進(jìn)行。選擇工具>軟件掃描器>掃描軟件或者單擊將顯示如下的窗口選擇希望掃描的文件系統(tǒng)，然后單擊UFEDPhysical yzer將掃描項(xiàng)目以尋找軟件。結(jié)果將顯示在項(xiàng)目樹中的軟件掃描器項(xiàng)目下。雙擊惡意軟件掃描器樹項(xiàng)目以打開一個數(shù)據(jù)顯示選項(xiàng)卡。其中顯示的數(shù)據(jù)包括軟件類型和軟件信息，如名稱n要將此結(jié)果包含在報告中，請選擇報告數(shù)據(jù)集區(qū)域中的受的文件。有關(guān)詳細(xì)信息，請參閱生成報告(在本頁119)。更新特征碼數(shù)據(jù)庫(在首次使用軟件掃描器前應(yīng)更新特征碼數(shù)據(jù)庫，在數(shù)據(jù)庫中寫入內(nèi)容。之后可以通過更新來保證數(shù)據(jù)庫中包含了的特征碼。在特征碼數(shù)據(jù)庫中寫入了內(nèi)容之后，可以使用現(xiàn)有的數(shù)據(jù)庫運(yùn)行 軟件掃描器。強(qiáng)烈建議您定期更新特征碼數(shù)據(jù)庫以確保其內(nèi)容。選擇工具菜單中的軟件掃描器>更新特征碼數(shù)據(jù)庫。將顯示如下的窗口單擊從Web更新。將向數(shù)據(jù)庫中寫入內(nèi)容。完成后，單擊關(guān)閉?，F(xiàn)在便可以掃描項(xiàng)目以尋找軟件。從文件更新特征碼數(shù)據(jù)庫 離線在使用沒有Internet在特征碼數(shù)據(jù)庫中寫入了內(nèi)容之后，可以使用現(xiàn)有的數(shù)據(jù)庫運(yùn)行 軟件掃描器。強(qiáng)烈建議您定期更新特征碼數(shù)據(jù)庫以確保其內(nèi)容。在“資源管理器”中轉(zhuǎn)到UFEDPhysical yzer的主 ，將BitDefenderUpdater 一個外部的設(shè)備上。將BitDefenderUpdater 傳輸?shù)揭慌_有Internet連接并且沒有服務(wù)器設(shè)置的計算 選擇安裝了UFED yzer的計算機(jī)所使用的操作系統(tǒng)。單擊。將顯示如下的窗口單擊打開所在文件夾將definitions.msd文件到外部設(shè)備中，然后將其傳輸?shù)桨惭b了UFEDPhysicalyzer的計算機(jī)上。單擊關(guān)閉以關(guān)閉“軟件定義器”建議您一直使用同一臺計算機(jī)來 definitions.msd文件以簡化工作流程，節(jié)省時間。以后在這臺計算機(jī)上definitions.msd時，“軟件定義器”將對此文件執(zhí)行更新，而不用整個文件。切勿刪除此計算機(jī)上的definitions.msd文在UFEDPhysical yzer中，選擇工具>軟件掃描器>更新特征碼數(shù)據(jù)庫。將顯示如下的窗口。單擊從文件更新。將顯示打開的文件窗口。通過瀏覽找到軟件定義數(shù)據(jù)庫文件(*.msd)，然后單擊打開單擊開始。將向數(shù)據(jù)庫中寫入內(nèi)容。完成后，單擊關(guān)閉?，F(xiàn)在便可以掃描項(xiàng)目以尋找軟件。4入4UFEDPhysicalyzer提供了強(qiáng)大的和分析工具用于處理提取出的設(shè)備數(shù)據(jù)，同時它還簡化了在設(shè)備的數(shù)據(jù)結(jié)構(gòu)中進(jìn)行瀏覽的操作。UFEDPhysicalyzer可以在復(fù)雜的收集和研究工作中為您提供幫助，并能提供報告形式的法律。該應(yīng)用程序的設(shè)計是對由UED單元提取出的內(nèi)存內(nèi)容加以利用，并以清晰簡明的形式展示設(shè)備的十六進(jìn)制提取內(nèi)容、文件系統(tǒng)和分析得出的數(shù)據(jù)，從而使人員可以通過強(qiáng)大的搜索工具來出相關(guān)的信息。該應(yīng)用程序還能生成各種格式的結(jié)果報告，如HTMLPDFExcel(*.xlsx)和XML，從而提供完整的功能。 用以下方法中的一種啟動UFED n雙擊桌面上的UFEDPhysicalyzer快捷方式。n選擇開始>程序>CellebriteMobileSynchronization>UFEDPhysical 請參閱工作空間簡介(在本頁54)以了解工作空間的概況。打開提取內(nèi)容進(jìn)行分析UFEDPhysical yzer可以打開由UFED設(shè)備創(chuàng)建的文件和由UFEDPhysical yzer創(chuàng)建的XML文件，以及UFDR文件、UFD文件和URP文件(這些文件是由ReportManager應(yīng)用程序創(chuàng)建)。在“高級”模式下，UFEDPhysical yzer還可以打開鏡像文件。有關(guān)詳細(xì)信息，請參閱在高級模式下打開提取內(nèi)容(在本頁40)。如果將設(shè)備數(shù)據(jù)提取到了一個可移動驅(qū)動器上，那么請將包含所提取數(shù)據(jù)的USB閃存驅(qū)動器或SD卡連接到PC上。可以將提取內(nèi)容的文件夾直接從可移動 復(fù)制到PC上以加快處理速度。執(zhí)行以下操作之一：n單擊歡迎選項(xiàng)卡上的打開n將UFD文件拖放到UFED yzer中n單擊應(yīng)用程 上的n單擊應(yīng)用程序菜單中的文件打開瀏覽到提取出的設(shè)備數(shù)據(jù)所處的位置并將其打開。選擇所支持格式的提取內(nèi)容：nUFDX集合*nUFED轉(zhuǎn)儲*n二進(jìn)制文件(*.bin)。由另一個應(yīng)用程序通過高級的打開功能生成的原始二進(jìn)制文件或十六進(jìn)制提取內(nèi)容。請參閱在高級模式下打開提取內(nèi)容(在本頁40)。n諾基PMn黑莓備份文件(*.ipd,n索尼愛立信GDFS(*.gdfs,nTomTomCFGnInField包(*nUFED報告(*.xml)-由UFED單元生成的邏輯報告，以及由UFED yzer創(chuàng)建XMLnReportManager(*.urp,*.ucp)-ReportManager創(chuàng)建的UFED報告包/UFED內(nèi)容nUFED報告在默認(rèn)情況下，“打開” 框?qū)@示*.ufd文件，即所提取設(shè)備數(shù)據(jù)的信息映射單擊打開數(shù)據(jù)分析過程(包括項(xiàng)目分析)將開始，并且可能會持續(xù)數(shù)分鐘的時間。過程結(jié)束后，系統(tǒng)會在項(xiàng)目樹中加入一個新的項(xiàng)目，并且在數(shù)據(jù)顯示區(qū)域中顯示提取信息。在UFEDPhysical yzer未打開時，可以通過雙擊提取 中的*.ufd文件來快速打開提取內(nèi)容。此時將打開UFEDPhysical yzer并開始數(shù)據(jù)分析過程。分析多個提取多個提取功能可用于將多個提取合并成一個項(xiàng)目，從而提供統(tǒng)一的分析(視圖和報告)。您可以單獨(dú)打開包含不同項(xiàng)目中提取的UFDX文件，或打開統(tǒng)一包含所有提取的單獨(dú)項(xiàng)頭和打開高級。此功能和分析單獨(dú)的統(tǒng)一項(xiàng)目，并可以移除重復(fù)信息(重復(fù)項(xiàng)或冗余信息)。提取的數(shù)據(jù)都顯示在一個項(xiàng)目樹下，含有以下內(nèi)容：n統(tǒng)一的提取信息和設(shè)備信息，并可以深化到每個提取n對任何記錄來源的提取。nn過濾功能。請參閱使用快速過濾器功能(在本頁81)n打開與合并項(xiàng)目您可以將任何類型的提取添加到一個現(xiàn)有的項(xiàng)目中。您可以打開包含多個提取的將UFDX文件作為多個提取項(xiàng)目打開選擇文件>打開或單擊打開按鈕()并選擇EvidenceCollection.ufdx文件(當(dāng)您對一個設(shè)備進(jìn)行多個提取時，此文件便已創(chuàng)建。)將顯示如下的窗口。如果不希望每次打開包含多個提取的UFDX文件時顯示此消息，請選擇不要再顯示此消息復(fù)選框。單擊確定。單擊添加提取按鈕或右鍵單擊項(xiàng)目并選擇添加提取選擇所需的提取內(nèi)容。單擊確定。選擇文件>打開或單擊打開按鈕()并選擇要打開的文件將顯示如下的窗口單擊確定。n選擇文件另存UFDXn選擇關(guān)閉選項(xiàng)卡提取信息摘要項(xiàng)目樹中的“提取信息”區(qū)域包括多提取項(xiàng)目中所含的全部提取信息。每個提取信息都以不同顏色顯示，便于您在各“已分析數(shù)據(jù)”選項(xiàng)卡中找到數(shù)據(jù)來源。提取信息選項(xiàng)卡包括對所有內(nèi)容選項(xiàng)卡中全部提取信息的，而且每個提取信息都有單獨(dú)的選項(xiàng)卡。下面顯示了多提取項(xiàng)目的示例。有關(guān)“提取信息”選項(xiàng)卡中數(shù)據(jù)的詳細(xì)信息，請參閱“提取信息”選項(xiàng)卡(在本頁重命名項(xiàng)目和提取當(dāng)多提取項(xiàng)目打開項(xiàng)目時，就稱為多項(xiàng)目。您可以將此項(xiàng)目重命名。您還可以將項(xiàng)目中提取的默認(rèn)名重命名。有關(guān)重命名提取的詳細(xì)信息，請參閱“所有內(nèi)容”選項(xiàng)卡(在本頁在項(xiàng)目樹中選擇項(xiàng)目名。右鍵單擊并選擇重命名。將顯示如下的窗口。為項(xiàng)目輸入所需的名稱。單擊保存解碼和分析多提取項(xiàng)目會發(fā)起，以便顯示或?yàn)V除重復(fù)信息。所有提取的數(shù)據(jù)都顯示在一個項(xiàng)目樹下。在已分析的數(shù)據(jù)區(qū)域，您可以看到重復(fù)信息，條狀圖表示對數(shù)據(jù)來源的提取。條形的顏色與樹中的提取信息區(qū)域中提取的顏色匹配。您可以根據(jù)需要更改設(shè)置以移除重復(fù)信息。有關(guān)詳細(xì)信息，請參閱常規(guī)設(shè)置在本頁。下面“已分析的數(shù)據(jù)”區(qū)域的示例顯示與一個多提取項(xiàng)目相關(guān)的信息。相關(guān)項(xiàng)目過濾器。*表示其中一個合并項(xiàng)目中提供了其他信息。包含重復(fù)信息的項(xiàng)目。來源提取圖標(biāo)。包含重復(fù)信息的24視圖顯示第75(75)個選定項(xiàng)。已選定75可在此處查看其他信息。從其中派生數(shù)據(jù)的提取。下面“數(shù)據(jù)文件”區(qū)域的示例顯示與一個多提取項(xiàng)目相關(guān)的信息。多提取設(shè)置n時間戳自動調(diào)整n根據(jù)設(shè)備的時區(qū)自動調(diào)整時間戳nUFDX文件作為多個項(xiàng)目打開n移除重復(fù)項(xiàng)有關(guān)這些設(shè)置的詳細(xì)信息，請參閱常規(guī)設(shè)置(在本頁242)報您可以為多提取項(xiàng)目生成一個統(tǒng)一的報告，其中顯示了原始提取來源。有關(guān)適用于多個提取的報告設(shè)置的詳細(xì)信息，請參閱生成報告在本頁中的包含合并的項(xiàng)(已分析的數(shù)據(jù))包含合并的項(xiàng)(數(shù)據(jù)文件)和包含來源信息。保存項(xiàng)目會話保存項(xiàng)目會話將保存您在項(xiàng)目上進(jìn)行的工作，這樣就可以關(guān)閉UFEDPhysical yzer并在以后重新開始該會話。保存的會話文件(.pas)中包含以下內(nèi)容：n用戶在分析數(shù)據(jù)和數(shù)據(jù)文件表格中選擇的內(nèi)容n案例信息設(shè)n生成的報n十六進(jìn)制n位n打開的選項(xiàng)n項(xiàng)目名稱n項(xiàng)目設(shè)置n報告選擇n搜索nnn統(tǒng)一的時區(qū)設(shè)置n用戶在數(shù)據(jù)表格中進(jìn)行的排序nHashn觀察列表的結(jié)果處理第工具執(zhí)行的提取時，也可以創(chuàng)建項(xiàng)目會話保存的項(xiàng)目會話中不包含定義的設(shè)置。有關(guān)如何保存設(shè)置的詳細(xì)信息，請參閱保存設(shè)置(在本頁260)在文件菜單中選擇保存項(xiàng)目會話。會出現(xiàn)另存為框。瀏覽到希望保存項(xiàng)目會話文件的位置。要更改文件名，請編輯文件名框中自動分配的名稱。可以通過選擇相同的文件名來覆蓋之前的會話。單擊保存在高級模式下打開提取內(nèi)容“打開(高級)”功能可用于指定設(shè)備數(shù)據(jù)提取和過程中使用的選項(xiàng)。有兩種可用于打開主項(xiàng)目的方法供選擇：n選擇UFED提取內(nèi)容-您可以指定如何UFED提取文件(*.ufd)n開始UFD文件)用于對并非由UFED單元生成的物理提取內(nèi)容或文件系統(tǒng)開始進(jìn)行。以高級模式打開UFED提取文件標(biāo)準(zhǔn)的打開過程會啟動根據(jù)*.ufd文件中記錄的設(shè)備和廠商信息而設(shè)置的過程而使用選擇UFED的提取方法則可以跳過標(biāo)準(zhǔn)的打開過程，并可以指定自定義的解析過程或是指定如何對未知的設(shè)備進(jìn)行解析。要使用“打開(高級)”功能在UFED提取的數(shù)據(jù)上創(chuàng)建新的項(xiàng)目選擇文件>打開(高級)或單擊“打開(高級)”框?qū)⒋蜷_，供您設(shè)置在新的項(xiàng)目中如何對所提取數(shù)據(jù)執(zhí)行的過單擊UFED提取內(nèi)容在“打開”框中，選擇要處理的*.ufd文件并單擊確定框的內(nèi)容將更改為“高級定制”，其中顯示根據(jù)所選中的*.ufd文件檢測到的如下信n設(shè)備的廠商名稱和型號。n選中的鏈-自動分配給該設(shè)備的標(biāo)準(zhǔn)設(shè)備鏈n二進(jìn)制轉(zhuǎn)儲-*.ufd文件所的二進(jìn)制提取內(nèi)容鏡像根據(jù)如下小節(jié)中所述對打開文件的選項(xiàng)進(jìn)行自定義。單擊完成指定不同的設(shè)備您可以通過將選中的設(shè)備替換為另一種來指定一個完全不同的過程在打開的(高級 框中單擊切換設(shè)備將顯示如下的窗口在選擇設(shè)備列表中，選擇希望使用的設(shè)備。執(zhí)行以下操作之一來過濾所顯示的設(shè)備：n單擊左側(cè)面板上廠商列表中的廠商n在快速過濾器字段中輸入設(shè)備的廠商或型號來過濾所顯示的設(shè)備單擊下一步返回“高級定制”更改所謂鏈，是指一組以特定的順序組合起來的插件，用于對提取出的數(shù)據(jù)執(zhí)行。應(yīng)用程序所支持設(shè)備列表中的每一種設(shè)備都分配有一個預(yù)定義的鏈。除插件外，鏈中還可能包含其他的鏈，這樣就可以更方便地在一個鏈中使用一組預(yù)定的插件。有關(guān)鏈和插件的詳細(xì)信息，請參閱高級(在本頁225)和插件(在本頁237)在打開的(高級)框中單擊切換鏈。將打開“切換鏈”框，其中顯示分配給該設(shè)備的默認(rèn)鏈。一種設(shè)備可能分配有多個鏈，但其中只有一個可以設(shè)置為默認(rèn)的鏈。n選擇當(dāng)前設(shè)備n在該列表的鏈n選擇我的鏈n選擇所有鏈n使用“快速過濾器”字段來過濾所顯示的列表項(xiàng)目。選擇適用的鏈，然后單擊選擇以返回“高級定制”面板。所選中的鏈就會取代默認(rèn)的鏈。單擊編輯。將打開當(dāng)前鏈的鏈結(jié)構(gòu)框，顯示該鏈要將某個組件添加到該鏈：單擊添加鏈/插件在組件庫中，選擇以下項(xiàng)目之n設(shè)備n鏈n插件在設(shè)備和鏈中選中的項(xiàng)目將作為鏈組件添加到鏈中。單擊以添加組件。要將某個組件從鏈的列表中刪除，請單擊該組件項(xiàng)目右側(cè)的x，然后單擊是單擊確定以返回“高級定制”完成對鏈的自定義后，您可以使用選中的鏈部分中的另存為或保存按鈕來保存對鏈進(jìn)行保存按鈕只可用于保存對我的鏈中保存的已 用戶定義鏈進(jìn)行的自定義。有關(guān)用戶定義鏈的詳細(xì)信息，請參閱管理鏈(在本頁225)。單擊保存以用當(dāng)前鏈替換用戶定義的鏈，或者單擊另存將當(dāng)前鏈另存為新鏈。如果單擊了另存為，請輸入新鏈的名稱，然后單擊保存新鏈將添加到包含應(yīng)用程序自定義鏈的我的鏈列表中，并且所保存的鏈將作為選中的鏈顯示出來。添加二進(jìn)制轉(zhuǎn)儲您可以在打開的(高級)框中添加從其他來源得到的其他二進(jìn)制轉(zhuǎn)儲文件n要添加二進(jìn)制轉(zhuǎn)儲文件請單擊二進(jìn)制轉(zhuǎn)儲區(qū)域中的或添加二制轉(zhuǎn)儲，然后選擇希望添加的二進(jìn)制提取文件。所添加的每個二進(jìn)制轉(zhuǎn)儲都將以一個單獨(dú)組成部分的形式顯示在框的二進(jìn)制轉(zhuǎn)儲部分中。n要刪除某個二進(jìn)制轉(zhuǎn)儲請單擊將鼠標(biāo)懸停在其上時顯示的添加文件系統(tǒng)轉(zhuǎn)儲您可以將收到的文件系統(tǒng)轉(zhuǎn)儲添加到項(xiàng)目中，文件系統(tǒng)轉(zhuǎn)儲可以是ZIP存檔的形式，也可以是包含文件系統(tǒng)提取內(nèi)容文件的文件夾形式。n要添加文件系統(tǒng)提取內(nèi)容，請單擊Zip文件或文件夾，然后選擇希望添加的ZIP存檔或您只能添加一個文件系統(tǒng)提取內(nèi)容。嘗試添加多個時，無論前一次添加的文件系統(tǒng)轉(zhuǎn)儲是ZIP存檔還是文件，都會被刪除。n要刪除文件系統(tǒng)提取內(nèi)容請單擊將鼠標(biāo)懸停在其上時顯示的以高級模式打開非UFED提取文件收到并非由UFED單元生成的二進(jìn)制或文件系統(tǒng)提取內(nèi)容時，或者沒有與其對應(yīng)的文件時，可以使用“打開(高級)”功能定義如何這些內(nèi)容以用于新的項(xiàng)目選擇文件>打開(高級)或單擊“打開(高級)” 框?qū)⒋蜷_供您設(shè)置在新的項(xiàng)目中如何對所提取數(shù)據(jù)執(zhí)行的過程。開始UFD文件選項(xiàng)提供了兩個可用于開始建立新項(xiàng)目的起始點(diǎn)：n選擇設(shè)備-選擇對數(shù)據(jù)提取內(nèi)容進(jìn)行時使用的特定設(shè)備定義。如果設(shè)備的廠商和型號已知，則可以使用此選項(xiàng)。請參閱通過選擇設(shè)備開始(向下)。n空項(xiàng)目-提供一個空的高級定制面板，供您設(shè)置過程參數(shù)和數(shù)據(jù)。如果沒有任何有關(guān)設(shè)備及/或其廠商的信息，并且希望構(gòu)建一個自定義的過程，就可以使用此選項(xiàng)。請參閱通過空項(xiàng)目開始在本頁。通過選擇設(shè)備開始根據(jù)一個已知設(shè)備創(chuàng)建用于數(shù)據(jù)提取內(nèi)容的新項(xiàng)目。在“打開(高級)”窗口中單擊選擇設(shè)備在選擇設(shè)備列表中，選擇希望使用的設(shè)備。使用左側(cè)的廠商列表來按廠商過濾所顯示的設(shè)備，還可以使用快速過濾器字段來根據(jù)任何字符串過濾所顯示的設(shè)備。單擊下一步“高級定制”面板中將顯示所選中設(shè)備的名稱和默認(rèn)鏈。n要選擇另一種設(shè)備，請參閱指定不同的設(shè)備(在本頁41)n要選擇另一個解析鏈，請參閱更改鏈(在本頁42)n要自行定析鏈，請參閱更改鏈(在本頁42)n要添加二進(jìn)制提取內(nèi)容，請參閱添加二進(jìn)制轉(zhuǎn)儲(在本頁45)n要添加文件系統(tǒng)提取內(nèi)容，請參閱添加文件系統(tǒng)轉(zhuǎn)儲(在本頁45)單擊完成通過空項(xiàng)目開始在“打開(高級)”窗口中單擊空項(xiàng)目要選擇設(shè)備，請參閱指定不同的設(shè)備(在本頁41)要選擇另一個解析鏈，請參閱更改解碼鏈(在本頁42)要自行定析鏈，請參閱更改解碼鏈(在本頁42)要添加二進(jìn)制提取內(nèi)容，請參閱添加二進(jìn)制轉(zhuǎn)儲(在本頁45)要添加文件系統(tǒng)提取內(nèi)容，請參閱添加文件系統(tǒng)轉(zhuǎn)儲(在本頁45)單擊完成JTAG提JTAG(JointTestActionGroup，聯(lián)合測試工作組)是一種高級的數(shù)據(jù)提取方法，取證檢驗(yàn)者需要連接到設(shè)備的測試端口以獲取完整的物理鏡像。這樣檢驗(yàn)者就可以并存儲于內(nèi)存上的原始數(shù)據(jù)。JTAG是一種非破壞性的方法，通過它，有機(jī)會對受到部分更改或損壞、數(shù)據(jù)端口不可用(或者連接斷開)或者由于其他原因無法以其他取證工具的設(shè)備中的數(shù)據(jù)進(jìn)行。UFEDPhysicalyzer將JTAG的過程自動化，這樣您就不再需要手動JTAG提取內(nèi)商商號 A7272Desire有關(guān)支持JTAG提取的設(shè)備的更新列表，請參閱UFEDPhoneDetective移動應(yīng)用或MyCellebrite中支持UFED的設(shè)備的文件通過此方法獲得物理內(nèi)存之后，便可以將其載入UFEDPhysicalyzer進(jìn)行。您將在加載UFEDJTAG鏈時收到所有的數(shù)據(jù)，過程和正常的提取一樣。JTG提取和FD提取的主要不同點(diǎn)在于提取內(nèi)容中空閑位置的所在。所謂空閑是指提取內(nèi)容中數(shù)據(jù)塊的元數(shù)據(jù)。它可以位于提取內(nèi)容中的多個位置。在正常提取過程中，它位于各數(shù)據(jù)塊的末尾。而在JTG提取過程中，它位于整個提取內(nèi)容的末尾。要使用JTAG數(shù)據(jù)提取內(nèi)容在“打開高級窗口中單擊選擇設(shè)備在快速過濾器字段中輸入設(shè)備的廠商或型號，或者單擊左側(cè)廠商列表中的設(shè)備廠商，以對所顯示的設(shè)備進(jìn)行過濾。如果所需設(shè)備不支持JTAG，可以在“快速過濾器”字段中輸入“jtag”以選擇一個通用的JTAG設(shè)備。選擇所需設(shè)備并單擊下一。將顯示如下的窗口。選擇方法并單擊下一步。不同設(shè)備上的可選方法也不同。將顯示如下的窗口要添加二進(jìn)制轉(zhuǎn)儲文件請單擊二進(jìn)制轉(zhuǎn)儲區(qū)域中的或添加二進(jìn)制轉(zhuǎn)儲，然后選擇希望添加的二進(jìn)制提取文件。所添加的每個二進(jìn)制轉(zhuǎn)儲都將以一個單獨(dú)組成部分的形式顯示在框的二進(jìn)制轉(zhuǎn)儲部分中。單擊完成在設(shè)置“打開(高級)”參數(shù)的任何階段，都可以通過單擊框右上角的保存來保存一個記錄了所選二進(jìn)制提取內(nèi)容和設(shè)備信息的*.ufd文件，以便以后下次需要同一個文件時，就可以使用保存的UFD文件來通過打開或打開(高級)功能將其打開。加載項(xiàng)目會話在歡迎選項(xiàng)卡下，打望處理的項(xiàng)目。選擇文件菜單中的加載項(xiàng)目會話在“打開”框中，通過瀏覽找到希望打開的項(xiàng)目會話文件并選中單擊打開關(guān)閉項(xiàng)目n執(zhí)行以下操作之一：n選擇文件菜單中的關(guān)閉n右鍵單擊項(xiàng)目樹中的項(xiàng)目名稱，并選擇關(guān)閉 n選擇文件菜單中的退出鍵盤快捷方式選擇用于轉(zhuǎn)儲文件系統(tǒng)的文件夾添加實(shí)體書簽將光標(biāo)移動到表格的末尾 將光標(biāo)移動到表格的開頭在打開的選項(xiàng)卡之間切換打開報告向?qū)нx中或取消選中復(fù)選框空格鍵打開設(shè)置打開項(xiàng)目設(shè)置關(guān)閉項(xiàng)目5工作空間簡介工作空間包含兩個主要區(qū)域：項(xiàng)目樹和數(shù)據(jù)顯示區(qū)域，這樣的安排可以簡化您的工作流程。工作空間由以下部分組成：應(yīng)用程序菜單欄數(shù)據(jù)顯示區(qū)域所有項(xiàng)目范圍內(nèi)搜索項(xiàng)目樹項(xiàng)目區(qū)域顯示每個打開進(jìn)行分析的項(xiàng)目下的以下提取信息結(jié)構(gòu)樹 說目信n雙擊提取信 可在數(shù)據(jù)顯示區(qū)域中打開項(xiàng)目 息有關(guān)詳細(xì)信息，請參閱“提取信息 ”選項(xiàng)卡(在本頁61)。要設(shè)n雙擊設(shè)備信息可在數(shù)據(jù)顯示區(qū)域中打開一個選項(xiàng)卡。備設(shè)備信息選項(xiàng)卡列出了現(xiàn)有的信息，并在支持的情況下還會顯示設(shè)備的重要識別信信息，如SIM卡和用戶鎖定代碼等。所顯示的類別數(shù)量和信息量取決于設(shè)備的型號息和廠商。內(nèi)n雙擊一個鏡像項(xiàng)目可以在數(shù)據(jù)顯示區(qū)域的“十六進(jìn)制視圖”選項(xiàng)卡中將其顯示出存來。鏡像內(nèi)存鏡像樹項(xiàng)目列出了從設(shè)備的內(nèi)存模塊中生成的所有提取文件。樹中的內(nèi)存范圍項(xiàng)目列出了提取出的每個設(shè)備內(nèi)存模塊(列于鏡像下)中接受分析內(nèi)的內(nèi)存范圍。存n范n在顯示的數(shù)據(jù)中突出顯示對應(yīng)的內(nèi)存范圍部分圍n將其添加到顯示的所屬二進(jìn)制鏡像的突出顯示列表中(位于“十六進(jìn)制視圖”項(xiàng)卡底部)n雙擊一個內(nèi)存范圍項(xiàng)目可以在“十六進(jìn)制視圖”選項(xiàng)卡中顯示其內(nèi)容。樹中的文件系統(tǒng)項(xiàng)目列出在所分析的二進(jìn)制文件中找到或重新構(gòu)建出的所有文件文系統(tǒng)。件每個文件系統(tǒng)都帶有 (硬盤)標(biāo)記。統(tǒng)刪除的文件帶有(紅叉)n雙擊任何文件系統(tǒng)可以在“十六進(jìn)制視圖”選項(xiàng)卡中顯示其內(nèi)容。樹 說目樹中的已分析的數(shù)據(jù)項(xiàng)目分組顯示與設(shè)備的具體功能相關(guān)的已分析數(shù)據(jù)，如聯(lián)系人、SMS消息、 可用的信息和顯示的內(nèi)容取決于設(shè)備的功能和應(yīng)用程序版本。舉例而言，S消息將按照設(shè)備的消息功能所包含的文件夾進(jìn)行分類，如草稿收件箱發(fā)件箱、“已發(fā)送”等。電子郵件消息則按照發(fā)送或接收消息的帳戶分類。此外還有一個未分類的帳戶或消息文件夾，其中列出無法分入找到的帳戶或帳戶文件夾(“收件箱”、“發(fā)件箱”“草稿”等)的所有文件夾或消息。已分析的數(shù)據(jù)中可能還會顯示以下信息已分n個人信息-日歷、聯(lián)系人、附注、 析n消息項(xiàng)目-SMS、彩信、電子郵件、即時消息、聊天內(nèi)容的據(jù)數(shù)nWeb瀏覽器項(xiàng)書簽、歷史記錄據(jù)nGPS信息-位置(包括來自 數(shù)據(jù)庫的此類信息)、旅程、定位。有關(guān)地理位置的詳細(xì)信息，請參閱設(shè)備位置(在本頁99)。n設(shè)備信息藍(lán)牙配對、無線網(wǎng)絡(luò)、SIM卡數(shù)據(jù)、應(yīng)用程序使用情況、Wi-Fi、蜂窩位括號中的數(shù)量指示了每個類別所包含的項(xiàng)目數(shù)。選中任何已分析的數(shù)據(jù)會自動將其添加到顯示的所屬二進(jìn)制鏡像和/或內(nèi)存范圍的突出顯示列表中(位于“十六進(jìn)制視圖”選項(xiàng)卡底部)，并在顯示的數(shù)據(jù)中突出顯示它的數(shù)據(jù)范圍部分。樹 說目樹中的數(shù)據(jù)文件項(xiàng)目按照常見或已知的設(shè)備或計算機(jī)文件類型排列提取出的數(shù) n圖像-被識別為屬于圖像文件格式的文件 -被識別為屬于文件格式的文件n音頻-被識別為屬于音頻文件格式的文件數(shù)n文本被識別為屬于文本文件格式的文件據(jù)n數(shù)據(jù)被識別為屬于數(shù)據(jù)庫的數(shù)據(jù)結(jié)構(gòu)文n配置設(shè)備配置文件(iOSplist文件件 應(yīng)用程-被識別為屬于應(yīng)用程序文件的文件thatwererecognizedasfiles(.apk.jar.dex.so.exe文件等 文檔-被識別為屬于文檔格式的文件(.doc.docxpdf.xlsxppt文件等n未歸所有未知的文件格式或未定義的文件擴(kuò)展名。刪除的項(xiàng)目帶 (紅叉)標(biāo)記您可以創(chuàng)建其他數(shù)據(jù)文件分組。有關(guān)詳細(xì)信息，請參閱管理數(shù)據(jù)文件設(shè)置(在本頁正樹中的雕復(fù)項(xiàng)目用于在物理提取內(nèi)容中搜索部分刪除或損壞的圖像。n雙擊雕復(fù)以開始搜索。生成有關(guān)詳細(xì)信息，請參閱雕復(fù)圖像(在本頁185)時n雙擊時間線在數(shù)據(jù)顯示區(qū)域中打開按時間安排的設(shè)備事件。間時間線選項(xiàng)卡將按時間順序顯示設(shè)備事件，如通話、SMS、彩信等，所有事件都帶線有時間戳。 列表，用于在提取出的數(shù)據(jù)中搜索并識別出感 的事件和項(xiàng)目。察n展開觀察列表將列出當(dāng)前會話中曾經(jīng)運(yùn)行過的觀察列表。列n雙擊觀察列表查看基于觀察列表的突出顯示事件。表有關(guān)詳細(xì)信息，請參閱使用觀察列表(在本頁91)樹 說目軟運(yùn) 軟件掃描器來識別設(shè)備中 軟件。有關(guān)詳細(xì)信息，請參閱掃掃件軟件(在本28)。掃器項(xiàng)樹中的項(xiàng)目分析項(xiàng)目為您提供了一個對比性的分析概覽。您可以打開“活動分析”選目項(xiàng)卡，查看所有設(shè)備活動的總覽，另外各個單獨(dú)活動，包括 SkypeGmail和BlackBerryMessenger，都有各自的選項(xiàng)卡。有關(guān)詳細(xì)信息，析請參閱設(shè)定項(xiàng)目設(shè)置(在本頁261)。十 用來定義并保存十六進(jìn)制數(shù)據(jù)中的特定位置，通過十六進(jìn)制 樹項(xiàng)目進(jìn)行進(jìn)管理。制標(biāo)n雙擊十六進(jìn) 將在數(shù)據(jù)顯示區(qū)域中打開選項(xiàng)卡中的列表簽在所提取數(shù)據(jù)中將對部分文件類型進(jìn)行識別和標(biāo)記。 標(biāo)頻。簽?zāi)梢允褂貌寮騊ython外殼來查找其他的數(shù)據(jù)片段，然后用現(xiàn)有的 之一或自定義的 加以標(biāo)識。刪除的項(xiàng)目帶有紅叉要打開已經(jīng)在此會話中生成項(xiàng)目報告的某個報告：n雙擊報告樹項(xiàng)目中的報告。 報告將在與該報告格式相關(guān)聯(lián)的應(yīng)用程序中打開告n如果沒有在項(xiàng)目中生成任何報告，則雙擊報告樹項(xiàng)目可以打開“生成報告有關(guān)生成報告的詳細(xì)信息，請參閱生成報告(在本頁119)使用項(xiàng)目樹區(qū)域n單擊以展開或折疊樹項(xiàng)目。n雙擊樹項(xiàng)目可以在數(shù)據(jù)顯示區(qū)域中打開詳細(xì)信息。n單擊項(xiàng)目樹頂部的可以展開樹中的所有項(xiàng)目。n單擊項(xiàng)目樹頂部的可以折疊樹中的所有項(xiàng)目。數(shù)據(jù)顯示區(qū)域一共有五種類型的選項(xiàng)卡：n歡迎選項(xiàng)n提取信息選項(xiàng)n數(shù)據(jù)n時間線選項(xiàng)n鏡像選項(xiàng)卡(十六進(jìn)制視圖數(shù)據(jù)顯示區(qū)域中還會顯示其他窗口，如窗口以及觀察列表的結(jié)果n單擊選項(xiàng)卡標(biāo)題n單擊數(shù)據(jù)顯示區(qū)域右上角的n單擊數(shù)據(jù)顯示區(qū)域右上角的，然后在打開的選項(xiàng)卡列表中選擇希望跳轉(zhuǎn)到的選項(xiàng)歡迎選項(xiàng)卡應(yīng)用程序啟動時，將在數(shù)據(jù)顯示區(qū)域中自動顯示歡迎選項(xiàng)卡，其中列出最近打開的文件。列表中的每個文件都以帶邊框的信息分組的形式顯示，其中包含如下項(xiàng)目：n設(shè)備的-來自應(yīng)用程序資源的設(shè)備縮略圖，前提是有這種。如果沒有此，則會換用一個通用的占位圖。n文件-n文件路指向文件位置的文件系統(tǒng)路徑。n設(shè)備型-n日期和時文件最后一次打開的日期和時間戳。n瀏覽”-直接指向文件系統(tǒng)中文件的如需從歡迎選項(xiàng)卡中刪除最近的項(xiàng)目請單擊 您可以執(zhí)行以下操作：n單擊框中的某個項(xiàng)目可以打開文件進(jìn)行n單擊瀏覽可以直接轉(zhuǎn)到文件系統(tǒng)中與之相關(guān)聯(lián)的文件。n關(guān)閉歡迎選項(xiàng)卡。關(guān)閉后可以用視圖>顯示歡迎重新打開?！疤崛⌒畔⒄边x項(xiàng)卡每次打開新的提取內(nèi)容進(jìn)行分析時，提取信息摘要選項(xiàng)卡就會自動顯示n該選項(xiàng)卡關(guān)閉后，如果要重新打開，可以雙擊樹中的提取信息項(xiàng)目“提取信息”選項(xiàng)卡有如下子選項(xiàng)卡：n所有內(nèi)容：包括提取信息、設(shè)備信息和設(shè)備內(nèi)容。有關(guān)詳細(xì)信息，請參閱“所有內(nèi)容”選項(xiàng)卡(向下)。 提取信息：執(zhí)行的各類型提取的選項(xiàng)卡。請參閱“提取信息”選項(xiàng)卡(在本頁67)“”選項(xiàng)卡“所有內(nèi)容”選項(xiàng)卡包括如下信息：提取信(下一頁案例信息(在本63)設(shè)備信息(在本64)設(shè)備內(nèi)容(在本提取信息本節(jié)包括與設(shè)備的提取過程有關(guān)的信息。圖：單次提取圖：包含多個提取的項(xiàng)目“提取信息”區(qū)域包括如下信息：與與“提取信息”選項(xiàng)卡的。提取文件的位置。提取開始和結(jié)束的時間。所執(zhí)行的提取類型，如物理提取(引導(dǎo)程序提取)檢測到的型號，如MB717SamsungGT-I9205單擊編輯按鈕()或在項(xiàng)目樹中選擇提取名右鍵單擊并選擇重命名將顯示如下的為提取內(nèi)容輸入新名稱，然后單擊保存在項(xiàng)目樹中選擇項(xiàng)目名。右鍵單擊并選擇重命名。將顯示如下的窗口。為項(xiàng)目輸入所需的名稱。單擊保存案例信息本節(jié)包括取自項(xiàng)目設(shè)置>案例信息的案例信設(shè)備信息本節(jié)顯示從提取文件中取出的具體設(shè)備信息的。請參閱項(xiàng)目樹(在本頁55)中的設(shè)備信息條目。下面的示例顯示多提取項(xiàng)目的設(shè)備信息。設(shè)備內(nèi)容n數(shù)據(jù)：在提取內(nèi)容中找到的各種經(jīng)過分析得出的設(shè)備數(shù)據(jù)，如、聯(lián)系人、SMS消息等。有關(guān)數(shù)據(jù)類型的完整列表，請參閱項(xiàng)目樹(在本頁55)中的已分析的數(shù)據(jù)條目。n數(shù)據(jù)文件：在提取內(nèi)容中找到的各種標(biāo)準(zhǔn)數(shù)據(jù)文件，如應(yīng)用程序、音頻、配置、圖像、視頻、文本文件和未歸類文件。請參閱數(shù)據(jù)文件(在本頁248)。n相機(jī)：設(shè)備的或。請參閱相機(jī)和截圖(在本頁223) ：設(shè)備截圖。請參閱相機(jī)和截圖(在本頁223)藍(lán)色數(shù)字表示項(xiàng)目的總數(shù)，紅色數(shù)字(帶括號)表示在已刪除的數(shù)據(jù)中發(fā)現(xiàn)的項(xiàng)“”選項(xiàng)卡各個類型的提取都有一個“提取信息”選項(xiàng)卡?！疤崛⌒畔ⅰ边x項(xiàng)卡顯示提取信息，如提取何時執(zhí)行、由何種UFED單元執(zhí)行、使用了哪種數(shù)據(jù)線以及圖像Hash信息(用于驗(yàn)證為所解Hash值。請參閱Hash(在本188)。在每個“提取信息”選項(xiàng)卡中，可使用“查找”框搜索具體設(shè)備信息。提取信息包含以下內(nèi)容：提取開始和結(jié)束的時間。提取開始和結(jié)束的時間。各提取類型的唯一所執(zhí)行的提取類型(例如文件系統(tǒng)用于提取的數(shù)據(jù)線(100號數(shù)據(jù)線設(shè)備的名稱(例如稱設(shè)備的生產(chǎn)廠商(UFED軟件版本執(zhí)行提取的裝置(UFEDTouch)的序列號，如果提取是以PC序執(zhí)行UFED4PCID如需在數(shù)據(jù)顯示區(qū)域中新建選項(xiàng)卡以顯示相關(guān)信息，請單擊任意項(xiàng)目樹。數(shù)據(jù)選項(xiàng)卡應(yīng)用程序十六進(jìn)制視圖和文件信息圖像文件十六進(jìn)制視圖圖像視圖和文件信息應(yīng)用程序十六進(jìn)制視圖和文件信息圖像文件十六進(jìn)制視圖圖像視圖和文件信息文件十六進(jìn)制視圖文件信息和視音頻文件十六進(jìn)制視圖和文件信文本文件十六進(jìn)制視圖和文件信息文檔文件十六進(jìn)制視圖和文件信置十六進(jìn)制視圖和文件信數(shù)據(jù)庫選項(xiàng)卡會在各選項(xiàng)卡中顯示數(shù)據(jù)，具體取決于數(shù)據(jù)類型n表格視圖-列出在數(shù)據(jù)分析過程中找出的屬于特定類型的所有文件(圖像、、音頻、文本等)。n文件夾視查看重建的文件系統(tǒng)中與數(shù)據(jù)文件路徑相對應(yīng)的文件夾結(jié)構(gòu)(僅適用于數(shù)據(jù)文件)。n十六進(jìn)制查看二進(jìn)制項(xiàng)目的十六進(jìn)制數(shù)據(jù)。n圖像視圖-查看圖像。請參閱查看圖像文件(在本頁79)n縮略圖查看圖像的縮略圖(僅適用于圖像)n文件信查看文件的相關(guān)信息。n數(shù)據(jù)庫視查看數(shù)據(jù)庫文件的內(nèi)容。使用數(shù)據(jù)選項(xiàng)卡選擇項(xiàng)目在數(shù)據(jù)顯示區(qū)域中選擇項(xiàng)目，以將其包含在生成的任何報告中。在默認(rèn)情況下會選中所有的項(xiàng)目。n要選擇多個項(xiàng)目，請按住SHIFTCTRL鍵(分別用于選擇連續(xù)項(xiàng)目和選擇不連續(xù)的項(xiàng)目)。n選中一個項(xiàng)目時，可以按空格鍵選中或取消選中復(fù)選框，將該項(xiàng)目包含在報告中或?qū)⑵鋘要同時選中所有項(xiàng)目請單擊列標(biāo)題中的(表格視圖縮略圖視圖和時間線)按字母順序或時間對各列進(jìn)行排序。n單擊列標(biāo)題可以切換順序。n方法是將列拖動到喜歡的位置。n右鍵單擊列標(biāo)題并選擇列表中的列名稱。在默認(rèn)情況下，包含文本信息的數(shù)據(jù)選項(xiàng)卡的右側(cè)面板為打開狀態(tài)，其中顯示所選項(xiàng)目的信息。n要關(guān)閉或打開右側(cè)面板請單擊要導(dǎo)出特定選項(xiàng)卡中的數(shù)據(jù)請在中單擊希望使用的輸出格式：ExcelHTMLPDFXMLKML(僅限于位置數(shù)據(jù))或EML(僅限于電子郵件數(shù)據(jù))將顯示“導(dǎo)出”框執(zhí)行以下操作之一：n輸入希望用于保存報告的路徑。n單擊并瀏覽到希望使用的位置并加以選擇選擇包括翻譯復(fù)選框以包含翻譯后的數(shù)據(jù)。單擊確定將生成報告，并且出現(xiàn)一則消息，詢問您是否要在第軟件中將其打開單擊是或否文件將在默認(rèn)的第軟件中打開導(dǎo)出到EML數(shù)據(jù)文件的表格視圖指示項(xiàng)目是否包含在所生成的報告中。包含時則為選中狀態(tài)，指示項(xiàng)目是否包含在所生成的報告中。包含時則為選中狀態(tài)，未包含時則未選中。書簽的詳細(xì)信息。指示附件的源應(yīng)用程序，以及是否發(fā)送或接收。數(shù)據(jù)文件的時間戳。上一次數(shù)據(jù)文件的修改時間戳。數(shù)據(jù)文件的創(chuàng)建時間戳。數(shù)據(jù)文件的其他元數(shù)據(jù)。文件的大小。小文件系統(tǒng)中數(shù)據(jù)文件的根路徑。徑文件的名稱。稱圖像的縮略圖，或者對應(yīng)于文件類型的圖標(biāo)(僅限于圖像文件)。像表示數(shù)據(jù)文件是否包含附件。指示數(shù)據(jù)文件是已經(jīng)刪除 還是狀態(tài)未知("?"或白色的文檔圖標(biāo))。指示項(xiàng)目是否帶有書簽。此外還有用于顯示附件、指示是否為通話以及用于顯示方向的各種指示符n雙擊一個項(xiàng)目記錄(表中的行)可以打開“Hex查看器”選項(xiàng)卡，其中顯示所選文件的十六進(jìn)制數(shù)據(jù)。已分析數(shù)據(jù)的表格視圖對于已分析的數(shù)據(jù)，表格視圖選項(xiàng)卡中將列出在數(shù)據(jù)分析過程中找到的屬于特定類型的所有項(xiàng)目(、聯(lián)系人、S消息等)。文件夾視圖n選則文件夾復(fù)選框可以選中該文件夾中的所有項(xiàng)目(包括子文件夾)。選中的項(xiàng)目將包含在所生成的報告中。選中某個項(xiàng)目時，會同時在數(shù)據(jù)顯示區(qū)域的所有選項(xiàng)卡中將其選中。n單擊可在數(shù)據(jù)顯示區(qū)域內(nèi)新建一個選項(xiàng)卡在其中打開此文件夾將顯示以下的文件夾信息：n在提取出的文件系統(tǒng)中的文件夾名稱。n該文件夾下選中的項(xiàng)目數(shù)(帶括號的紅色字樣)n該文件夾下項(xiàng)目的總數(shù)(黑色)數(shù)據(jù)庫視圖n在“文件系統(tǒng)”樹項(xiàng)目中打開一個.db數(shù)據(jù)庫視圖顯示了在提取信息中找到的數(shù)據(jù)庫文件的內(nèi)容。數(shù)據(jù)庫視圖由以下各部分組成：數(shù)據(jù)庫表格的列表。表格名稱旁帶括號的數(shù)字表示該數(shù)據(jù)庫表格內(nèi)的記錄數(shù)。在左列中選擇一個表格，其中的記錄就會在右列中顯示出來。記錄顯示區(qū)域中列出所選數(shù)據(jù)庫表格中的數(shù)據(jù)記錄。使用搜索字段來過濾所顯示的記錄。單擊 可以將選中的數(shù)據(jù)庫記錄導(dǎo)出為CSV文件十六進(jìn)制視圖在項(xiàng)目樹中打開的每個二進(jìn)制項(xiàng)目都會新建一個“十六進(jìn)制視圖”選項(xiàng)卡。舉例而言，打開某個盤的鏡像時，就只會打開一個“十六進(jìn)制視圖”選項(xiàng)卡。而打開一個二進(jìn)制項(xiàng)目，如鏡像文件時，除了“十六進(jìn)制視圖”選項(xiàng)卡，可能還會有其他選項(xiàng)卡。“十六進(jìn)制視圖”選項(xiàng)卡包含如下組成部分：十六進(jìn)制視圖選項(xiàng)卡n地址列：使用十六進(jìn)制或十進(jìn)制數(shù)值表示的信息列編號，顯示十六進(jìn)制以及ASCII數(shù)據(jù)表示區(qū)域中每一行的起始地址。n十六進(jìn)制數(shù)據(jù)視圖列：所選項(xiàng)目的十六進(jìn)制數(shù)據(jù)nASCII表示視圖列：ASCII將鼠標(biāo)置于“十六進(jìn)制視圖”中的數(shù)據(jù)上方時，會自動顯示一個信息框。信息框中顯示指向已分析數(shù)據(jù)項(xiàng)目(如項(xiàng)目樹中的文件和文件夾)的(指針)，以及與所指向的數(shù)據(jù)相關(guān)聯(lián)的搜索結(jié)果。十六進(jìn)制視圖工具欄單擊可將整個內(nèi)存提取內(nèi)容保存為一個本地的文件夾。將“十六進(jìn)制視圖”選項(xiàng)卡中當(dāng)前選中的內(nèi)容到剪貼板。顯示“查找”框，在所顯示的十六進(jìn)制顯示面板中搜索出現(xiàn)指定信息的所有位置。顯示“查找”框，其中顯示上次搜索時使用的搜索參數(shù)添加為當(dāng)前在十六進(jìn)制顯示面板中選中的內(nèi)容添加書簽。將偏移值重新定向到十六進(jìn)制顯示面板內(nèi)容中的特定地址處。切換是否在光標(biāo)位置顯示浮動的信息框。切換是否顯示左側(cè)的地址列。切換是否顯示右側(cè)的ASCII表示列分析信息選項(xiàng)卡在“十六進(jìn)制視圖”選項(xiàng)卡下方的是“分析信息”選項(xiàng)卡，其中顯示了以下與所顯示的十六進(jìn)制數(shù)據(jù)直接相關(guān)的信息：n-各種對數(shù)值的解讀(如81632和64位)、各種字符串編碼、日期與時間格式等，這些內(nèi)容是針對十六進(jìn)制視圖中選中的數(shù)據(jù)實(shí)時計算得出的。請參閱使用數(shù)值選項(xiàng)卡對頁。n-在顯示的十六進(jìn)制數(shù)據(jù)中添加的列表。請參閱正在使用十六進(jìn)制(在本頁218)。n突出顯-列出在所顯示的十六進(jìn)制數(shù)據(jù)中標(biāo)記為突出顯示的內(nèi)容區(qū)段。突出顯示結(jié)果的數(shù)量顯示在該選項(xiàng)卡名稱旁邊的括號中。請參閱使用“突出顯示”選項(xiàng)卡(對頁)n搜索-顯示在所顯示的十六進(jìn)制數(shù)據(jù)中進(jìn)行搜索的結(jié)果。每次執(zhí)行搜索時，都會打開您可以根據(jù)自己的喜好重新安排“分析信息”選項(xiàng)卡的顯示方式：n雙擊某個部分的標(biāo)題條，可以將整個部分顯示為一個浮動的面板。雙擊該浮動面板的標(biāo)題條，可以將其重新?？炕啬J(rèn)的位置(即“十六進(jìn)制視圖”選項(xiàng)卡的底部)。n雙擊任何選項(xiàng)卡的名稱，可以將其顯示為一個浮動的面板。雙擊該浮動面板的標(biāo)題n將該浮動面板的名稱拖動到顯示的任何一個?？可希梢詫⑵渫？康健笆M(jìn)制視圖”選項(xiàng)卡上的相應(yīng)位置。使用“數(shù)值”選項(xiàng)卡實(shí)時地根據(jù)各種編碼類型來對原始數(shù)據(jù)進(jìn)行，并在“數(shù)值”列表中將其展開顯示。要數(shù)值選項(xiàng)卡，請單擊十六進(jìn)制視圖選項(xiàng)卡底部的數(shù)值選項(xiàng)卡在十六進(jìn)制內(nèi)容中選擇一個數(shù)據(jù)片段。要顯示后的數(shù)據(jù)，請滾動到希望使用的編碼方式，然后單擊展開顯示。某些編碼選項(xiàng)(如16位)有次一級的編碼類型。您可以單擊 來完全展開或折疊所有編碼類型使用“”選項(xiàng)卡突出顯示選項(xiàng)卡列出了在所顯示的十六進(jìn)制數(shù)據(jù)中突出顯示的內(nèi)容區(qū)段。每個區(qū)段都代表著已分析的數(shù)據(jù)在十六進(jìn)制數(shù)據(jù)中所處的位置。使用突出顯示選項(xiàng)卡，您就可以在十六進(jìn)制數(shù)據(jù)中定位特定類型的已分析數(shù)據(jù)。突出顯示結(jié)果的數(shù)量顯示在該選項(xiàng)卡名稱旁邊的括號中。要突出顯示選項(xiàng)卡，請單擊十六進(jìn)制視圖選項(xiàng)卡底部的突出顯示選項(xiàng)卡在項(xiàng)目樹中，單擊某個已分析的數(shù)據(jù)文件夾(例如聯(lián)系人)所選文件夾的位置就會在十六進(jìn)制視圖選項(xiàng)卡中突出顯示出來，同時組成該文件夾的數(shù)據(jù)區(qū)塊也會在突出顯示選項(xiàng)卡中列出。“”選項(xiàng)卡“文件信息”選項(xiàng)卡顯示了有關(guān)數(shù)據(jù)文件的如下信息：nFAT包括其他屬性的文件分配表。n日期和時間-數(shù)據(jù)文件的創(chuàng)建、修改和最后一次的時間戳n一般-n數(shù)據(jù)文件在十六進(jìn)制數(shù)據(jù)中的偏移地址。nEXIF由照相機(jī)記錄下并嵌入其中的EXIF信息(如果存在)n文件元圖像的常規(guī)信息(捕獲時間、分辨率、大小和顏色深度)查看圖像文件雙擊數(shù)據(jù)顯示選項(xiàng)卡中的圖像。此時將打開一個新的選項(xiàng)卡，其中包含該圖像。該選項(xiàng)卡進(jìn)一步分為兩個子選項(xiàng)卡：圖像視圖和文件信息。在圖像視圖圖像放大顯示時，單擊可以在圖像中導(dǎo)航。順時針和逆時針旋轉(zhuǎn)圖像?？s放以適合選項(xiàng)卡大小。將縮放重置為100%。隱藏圖像控件。單擊文件信息選項(xiàng)卡可查看文件的信息。例如“文件元數(shù)據(jù)”部分中包括了捕獲時間等播放文在數(shù)據(jù)表格中，雙擊希望的文件。將打開一個新選項(xiàng)卡來該文件。單擊縮略圖上的圖標(biāo)。下面顯示了一個示例要在默認(rèn)的程序 n右鍵單擊文件并選擇使用默認(rèn)的程序打開66尋找和分析信息在數(shù)據(jù)選項(xiàng)卡中搜索信息在表格視圖選項(xiàng)卡中搜索數(shù)據(jù)表格中的某個特定項(xiàng)目。該搜索將針對表格中的所有數(shù)據(jù)條目執(zhí)行。n在表搜索框中輸入任意字符串。使用快速過濾器功能使用快速過濾器工具，可以按照如下方式對表格視圖選項(xiàng)卡中的數(shù)據(jù)進(jìn)行過濾顯示自帶或非系統(tǒng)圖像。過濾設(shè)備附帶或應(yīng)用程序安裝時加入的圖像。默認(rèn)過濾所有系統(tǒng)圖像。您可以在設(shè)置>數(shù)據(jù)文件下更改此設(shè)置。僅選定的僅顯示已選定的項(xiàng)目。僅未選定僅顯示未選定的項(xiàng)目。僅顯示已刪除的項(xiàng)目。顯示所有圖像顯示所有圖像。此過濾器會覆蓋使用以下三個過濾條件的過濾器：顯示大于30KB的圖像、大于100KB的圖像和大于500KB的圖像。顯示大于30僅顯示30KB以上的小圖像顯示大于100KB以上的中等圖像顯示大于100KB以上的大圖像過濾圖像展名單擊以啟用文件類型過濾：JPEGGIFBMP或PNG顯示JPGJPEG文件。GIF文件。BMP文件。PNG文件。按照元數(shù)據(jù)(“全部”“不帶有元數(shù)據(jù)”或“具有元數(shù)據(jù)”)和位置(“全部”“具有位置”或“不帶有位置”)對圖像和文件進(jìn)行過濾。按照捕獲時間對圖像和文件進(jìn)行過濾。默認(rèn)顯示最大范圍，您可以選擇一個具體的日期和時間范圍。翻譯過濾對的文本進(jìn)行過濾，選擇是顯示全部文本、文本還是未翻譯文本。過濾提取的相關(guān)項(xiàng)，這在使用多個提取功能時非常有用(請參閱分析多個提取在本頁)所有顯示所有項(xiàng)，僅重復(fù)信息僅顯示包含重復(fù)信息(重復(fù)項(xiàng)或冗余信息)僅非重復(fù)信息僅顯示不包含重復(fù)信息的項(xiàng)，以及僅包含其他數(shù)據(jù)的項(xiàng)僅顯示包含其他信息的項(xiàng)。打開顯示項(xiàng)目和相關(guān)消息 選項(xiàng)卡在表格視圖中打 中的所有消息過濾帶有附件的數(shù)據(jù)文件。“全部”適用于所有數(shù)據(jù)文件，“附件”適用于含附件的數(shù)據(jù)文件，“無附件”適用于不含附件的數(shù)據(jù)文件。附件過濾已發(fā)送或已收到的過濾器附件?！叭俊边m用于所有附件，“已發(fā)送”適用于已發(fā)送的附件，“已收到”適用于已收到的附件，“未知”適用于未知附件。附件來源應(yīng)用按附件的來源應(yīng)用程序進(jìn)行過濾。將列出提取中的所有應(yīng)用程序。選擇要顯示的應(yīng)用程序并單擊完成。標(biāo)記所選項(xiàng)目。從所選項(xiàng)目中刪除打開管理窗口。打向 向?qū)б越QL查詢，并將數(shù)據(jù)庫字段映射到UFEDPhysicalyzer模型。將當(dāng)前視圖導(dǎo)出到ExcelHTMLPDFXMLWord位置過濾過濾地圖上顯示的位置。檢索所選位置的物理地址。通過拍攝/記錄、創(chuàng)建、修改、或刪除的時間，或者通過相機(jī)生產(chǎn)商或型號對所選圖像或進(jìn)行分組。刪除所有過濾刪除所有應(yīng)用的過濾器。使用高級過濾器在任何分析數(shù)據(jù)或數(shù)據(jù)文件窗口中，列出的結(jié)果將按列過濾。單擊相關(guān)列標(biāo)題以查看過濾器和排序選項(xiàng)。下面顯示了一個示例。當(dāng)選擇過濾器時，僅顯示相關(guān)結(jié)果。在所有打開的項(xiàng)目中搜索信息中的所有可用于在所有打開的項(xiàng)目中搜索信息。在所有項(xiàng)目框中鍵入任意字符串。將在所有項(xiàng)目搜索字段下顯示匹配結(jié)果的列表。這些結(jié)果將按所屬的打開項(xiàng)目排序。而在每個打開的項(xiàng)目中，結(jié)果將按照類別()排列。同時還會顯示每個類別下找到的匹配結(jié)果的數(shù)目。單擊可以折疊或展開項(xiàng)目執(zhí)行以下操作之一：n單擊項(xiàng)目名稱旁的可以在數(shù)據(jù)顯示區(qū)域的選項(xiàng)卡中查看搜索結(jié)果在提取內(nèi)容中n選擇快速結(jié)果列表頂部的全部顯示可以在數(shù)據(jù)顯示區(qū)域中打開一個結(jié)果選項(xiàng)卡，其中列出所有匹配的搜索結(jié)果。各項(xiàng)目中與搜索相匹配的字符串將以紅色顯示。直到關(guān)閉應(yīng)用程序前您最近的搜索活動(20次搜索)，包括已保存的所有項(xiàng)目搜索和表搜索。瀏覽文件系統(tǒng)FDyscl yzr能夠重新構(gòu)建設(shè)備的文件系統(tǒng)以形成一個樹形結(jié)構(gòu)，并將其顯示出來。在樹中的文件系統(tǒng)項(xiàng)目中，單擊每個節(jié)點(diǎn)旁的或繼續(xù)在文件系統(tǒng)中深化以瀏覽其內(nèi)容。n-在文件系統(tǒng)中找到的現(xiàn)有的文n-在文件系統(tǒng)中找到的已刪除的文件數(shù)對該文件顯示的信息選項(xiàng)卡數(shù)量取決于文件的類型。例如，對于未知文件，可能只會顯示十六進(jìn)制視圖和文件信息選項(xiàng)卡；而對于JPEG圖像，則可能還會顯示圖像視圖和元數(shù)據(jù)十六進(jìn)制視圖是默認(rèn)的視圖。有關(guān)使用十六進(jìn)制視圖的詳細(xì)信息，請參閱十六進(jìn)制視圖(在本頁74)和使用十六進(jìn)制數(shù)據(jù)(在本頁195)當(dāng)數(shù)據(jù)顯示區(qū)域中顯示了某個鏡像的十六進(jìn)制提取內(nèi)容時，單擊樹中文件系統(tǒng)項(xiàng)目下的某個文件，可以在數(shù)據(jù)顯示區(qū)域的十六進(jìn)制數(shù)據(jù)中將該文件對應(yīng)的數(shù)據(jù)部分突出顯示出來。時間線視圖時間線視圖是一個功能強(qiáng)大的工具，您可以通過它來按照時間順序分析數(shù)據(jù)，識別事件發(fā)生的順序，找出它們之間的聯(lián)系。n單擊可以按照日期對事件進(jìn)行分組或取消分組在圖形視圖中，事件顯示在一個圖形中，這樣您就可以快速識別出可能會感的活動激增情況。n要在時間線內(nèi)向前或向后滾動請使 、、和按鈕您可以提高或降低時間線視圖中的細(xì)節(jié)等級：n要提高時間解析度，請單擊。n要降低時間解析度，請單擊。此時發(fā)生間隔較短的事件就會被標(biāo)記為一組。n單擊可以打開包含該組事件的新時間線視圖視像、電子郵件、S和彩信消息等這些與通訊交流有關(guān)的數(shù)據(jù)可以通過一個對話形式的布局顯示出來，這樣就可以更好地雙方或多方之間的交流。可以搜索聊天中的消息，選擇要包含在報告內(nèi)的消息(默認(rèn)將包含所有聊天消息)以及打印或?qū)С鰞?nèi)容。單擊將打開一個選項(xiàng)卡，其中以所選項(xiàng)目發(fā)送方和接收方之間的形式顯示相關(guān)的項(xiàng)目。如需翻譯或刪除的文本請單擊 然后選擇翻譯全部翻譯選定的項(xiàng)或刪除全部翻譯。要打 請單擊要查看打印預(yù)覽請單擊要導(dǎo)出，請 選項(xiàng)卡的中單擊希望使用的輸出格式ExcelHTML XML或Word要更改的順序請單擊然后選擇舊消息最前或新消息最前在搜索框中輸入文本來對消息進(jìn)行過濾。如需添加或編輯請單擊選中復(fù)選框?qū)⑻囟ǖ南趫蟾嬷?也可以選中或取消選中全部消息)使用觀察列表針對提取出的數(shù)據(jù)運(yùn)行一個包含的觀察列表，可以識別其中重要的相關(guān)信息并將其突出顯示出來。創(chuàng)建觀察列表執(zhí)行以下操作之一：n單擊中的n選擇工具菜單中的觀察列表編輯器“觀察列表編輯器”將會出現(xiàn)。單擊并選擇新建將顯示如下的窗口在觀察列表名稱框中輸入觀察列表的名稱。要將觀察列表設(shè)為僅在項(xiàng)目的特定數(shù)據(jù)類型中查找，請單擊查找范圍，然后選擇希望使用的數(shù)據(jù)類型。在輸入說明框中輸入觀察列表的一般性說明可選)要將觀察列表設(shè)置為打開項(xiàng)目時自動運(yùn)行，請單擊自動激活單擊新建可以添加新的。此時會在“”列表中出現(xiàn)一個新的行。對于每個，可以根據(jù)需要設(shè)置以下內(nèi)容n輸入值：輸入n匹配大小寫：選中以在匹配時區(qū)分大小寫n整個：選中以匹配整個n顏色：單擊并選擇在顯示匹配的時希望使用的顏色執(zhí)行以下操作之一：n單擊應(yīng)用以保存觀察列表并保持“觀察列表編輯器”n單擊確定以保存觀察列表并關(guān)閉“觀察列表編輯器”n單擊取消以關(guān)閉“觀察列表編輯器”編輯觀察列表在“觀察列表編輯器”中選擇希望編輯的觀察列表。編輯希望更改的觀察列表參數(shù)和要對觀察列表進(jìn)行過濾以找到某個特定的，請在輸入文本以進(jìn)行過濾框中鍵入該。要編輯某個，請在列表中單擊相應(yīng)的并進(jìn)行需要的更改要刪除某個請單擊n單擊應(yīng)用以保存觀察列表并保持“觀察列表編輯器”n單擊確定以保存觀察列表并關(guān)閉“觀察列表編輯器”n單擊取消以關(guān)閉“觀察列表編輯器”導(dǎo)入觀察列表通過導(dǎo)出和導(dǎo)入功能，您可以和同事共享您的觀察列表，或使用從他們那里收到的觀察列表。您可以導(dǎo)入使用FDyscl yzr保存或創(chuàng)建的現(xiàn)有觀察列表(.csv文件)。您也可以導(dǎo)入每行單獨(dú)包含各個的CSV文件如此導(dǎo)入時將不帶有任何格單擊主中的“觀察列表編輯器”將會出現(xiàn)單擊并選擇導(dǎo)入瀏覽到保存了觀察列表的位置，選中CSV文件，然后單擊打開。觀察列表將會出現(xiàn)在“觀察列表編輯器”中。下面顯示了一個示例。導(dǎo)出觀察列表導(dǎo)出觀察列表時，會將其保存為*.csv文件以便以后使用或與他人共享。在“觀察列表編輯器”中選擇希望導(dǎo)出的觀察列表。單擊瀏覽到希望保存觀察列表的位置，然后單擊選擇文件夾觀察列表即被導(dǎo)出。默認(rèn)情況下會采用[觀察列表名稱].csv的名稱保存。刪除觀察列表在“觀察列表編輯器”中選擇希望刪除的觀察列表。單擊將顯示如下的窗口單擊是。觀察列表即被刪除。運(yùn)行觀察列表您可以在打開的項(xiàng)目上運(yùn)行觀察列表。在特定的項(xiàng)目上運(yùn)行觀察列表通過觀察列表編輯器運(yùn)行觀察列表時，您可以選擇要運(yùn)行的觀察列表以及運(yùn)行它們的項(xiàng)目。單擊中的以打開“觀察列表編輯器”，然后選擇要運(yùn)行的觀察列表單擊將會顯示一個列表列出打開的項(xiàng)目選擇希望運(yùn)行搜索的項(xiàng)目。對鉤標(biāo)記表示選中的觀察列表在該項(xiàng)目上目前處于活動狀態(tài)。單擊應(yīng)用UFEDPhysical yzer將在選中的項(xiàng)目中搜索。完成后將在觀察列表樹項(xiàng)目中顯示觀察列表的結(jié)果。如果觀察列表只適用于特定類型的信息(請參閱創(chuàng)建觀察列表(在本頁91))，則觀察列表結(jié)果中將只包含這些類型的匹配結(jié)果。在當(dāng)前項(xiàng)目上運(yùn)行觀察列表通過項(xiàng)目樹運(yùn)行觀察列表時，您可以選擇要在當(dāng)前處理的項(xiàng)目上運(yùn)行的觀察列表。多個打開的項(xiàng)目，所選的觀察列表將在項(xiàng)目樹中最后一個被單擊過的項(xiàng)目上運(yùn)行。單 中的將會列出所有的觀察列表選擇希望在當(dāng)前處理的項(xiàng)目上運(yùn)行的觀察列表。對鉤標(biāo)記表示該觀察列表在項(xiàng)目上目前處于活動狀態(tài)。單擊項(xiàng)目樹中當(dāng)前所關(guān)注項(xiàng)目上的應(yīng)用單擊 中的時只能在項(xiàng)目樹中最后一次單擊的項(xiàng)目上運(yùn)行觀察列表UFEDPhysical yzer將在選中的項(xiàng)目中搜索。完成后將在觀察