教程案例教案

法律?2017CellebriteMobileSynchronization .，保留所利。本手冊(cè)的提供應(yīng)遵循下列條件與限制：n本手冊(cè)包括歸屬于CellebriteMobile .的專(zhuān)有信息。此類(lèi)信息僅用于助明確并適當(dāng)?shù)腢FED yzer用戶n未獲Cellebrite .明確的事先，手冊(cè)任意部分的內(nèi)容均不得挪作他用、透露給其他個(gè)人或公司，或以(機(jī)械或電子形式)進(jìn)行。n手冊(cè)中的文本和圖形說(shuō)明與參考之用。這些內(nèi)容所依據(jù)的規(guī)范更改，恕不另行通知。n文檔內(nèi)容更改，恕不另行通知。除非另行注明，否則示例中使用的企業(yè)和個(gè)人的名稱及數(shù)據(jù)均為虛構(gòu)。內(nèi)3內(nèi)簡(jiǎn) 物理提 數(shù)據(jù)分 安裝和激 系統(tǒng)需 軟件安 安裝UFEDPhysical 激活 新版本通 使用證硬件保護(hù)裝 使用軟件 使用網(wǎng)絡(luò)硬件保護(hù)裝 停用軟件 掃描惡意軟 更新特征碼數(shù)據(jù)庫(kù)( 從文件更新特征碼數(shù)據(jù)庫(kù)(離線 入 啟動(dòng)UFEDPhysical 打開(kāi)提取內(nèi)容進(jìn)行分 分析多個(gè)提 打開(kāi)與合并項(xiàng) 提取信息 重命名項(xiàng)目和提 和分析 多提取設(shè) 報(bào) 保存項(xiàng)目會(huì) 在高級(jí)模式下打開(kāi)提取內(nèi) 以高級(jí)模式打開(kāi)UFED提取文 以高級(jí)模式打開(kāi)非UFED提取文 保存.ufd文 加載項(xiàng)目會(huì) 關(guān)閉項(xiàng) 關(guān)閉UFEDPhysical 鍵盤(pán)快捷方 工作空間簡(jiǎn) 項(xiàng)目 使用項(xiàng)目樹(shù)區(qū) 數(shù)據(jù)顯示區(qū) 歡迎選項(xiàng) “提取信息”選項(xiàng) 數(shù)據(jù)選項(xiàng) 查看圖像文 文 尋找和分析信 在數(shù)據(jù)選項(xiàng)卡中搜索信 使用快速過(guò)濾器功 使用高級(jí)過(guò)濾 在所有打開(kāi)的項(xiàng)目中搜索信 瀏覽文件系 時(shí)間線視 視 使用觀察列 創(chuàng)建觀察列表編輯觀察列表導(dǎo)入觀察列表導(dǎo)出觀察列表刪除觀察列表運(yùn)行觀察列表查找觀察列表 設(shè)備位 查看離線地 查看離線地 標(biāo)記與信息窗 (無(wú)線網(wǎng)絡(luò))數(shù)據(jù) 檢索地 翻譯解碼出的數(shù) 使用本功 更新證以包含所選擇的語(yǔ) 在MyCellebrite中選擇語(yǔ) 翻譯 翻譯出的數(shù) 報(bào) 使用項(xiàng)目分 生成報(bào) 報(bào)告數(shù)據(jù)集設(shè) 報(bào)告安全設(shè) 報(bào)告布局設(shè) 執(zhí)行提 對(duì)iOS設(shè)備執(zhí)行提 物理提 高級(jí)邏輯提 對(duì)GPS或大容量設(shè)備執(zhí)行提 GPS或大容量設(shè)備中的數(shù)據(jù) 高級(jí)功 11.1.向 正在識(shí)別數(shù)據(jù) 正在建立查 正在映射數(shù) 正在運(yùn)行創(chuàng)建的查 管理查 模糊型 使用 導(dǎo)出TomTom文 導(dǎo)入TomTom文 打開(kāi)加密的提取內(nèi) 打開(kāi)加密的zip文 提取和BlackBerry備份文 BlackBerry數(shù)據(jù)庫(kù)的 導(dǎo)出帳戶數(shù)據(jù) 雕復(fù)圖 掃描雕復(fù)的圖 使用雕復(fù)的圖 驗(yàn)證Hash 網(wǎng)絡(luò)硬件保護(hù)裝置-管理過(guò) 網(wǎng)絡(luò)硬件保護(hù)裝置-系統(tǒng)要 管理網(wǎng)絡(luò)硬件保護(hù)裝置 功能頁(yè) 會(huì)話頁(yè) 更新網(wǎng)絡(luò)硬件保護(hù)裝置 獨(dú)立安裝所需驅(qū)動(dòng)程 啟用網(wǎng)絡(luò)硬件保護(hù)裝置日 使用十六進(jìn)制數(shù) 在十六進(jìn)制數(shù)據(jù)和已數(shù)據(jù)中搜索信 搜索字符 搜索字 搜索日 搜索SIM卡ICCID 搜索SMS 搜索正則表達(dá)式 搜索SMS文本字符 搜索模 搜索代碼和 瀏覽十六進(jìn)制提取內(nèi) 使用偏移跳轉(zhuǎn)到文件中的不同位 正在使用十六進(jìn)制 正在添加十六進(jìn)制 正在編輯十六進(jìn)制 原始數(shù)據(jù) 查看十六進(jìn)制數(shù)據(jù)信 在十六進(jìn)制內(nèi)容中尋找特定類(lèi)型的數(shù) 相機(jī)和截圖證 高級(jí)解 管理 構(gòu)建新的 編輯現(xiàn)有的 將設(shè)備附加到鏈 設(shè)置默認(rèn)的設(shè)備 將設(shè)備與鏈分 刪除 鏈說(shuō) 插 管理插 運(yùn)行特定的插 使用PythonS 導(dǎo)出文件系 使用Android圖形雕復(fù)插 使用 雕復(fù)插 設(shè) 常規(guī)設(shè) 數(shù)據(jù)文 數(shù)據(jù)文件過(guò)濾方 管理數(shù)據(jù)文件設(shè) Hex查看器設(shè) 模式設(shè) 接口設(shè) 額外的報(bào)告字 添加新的報(bào)告字 編輯報(bào)告字 刪除報(bào)告字 報(bào)告默認(rèn) 后鏈插件設(shè) 保存設(shè) 加載設(shè) 設(shè)定項(xiàng)目設(shè) 設(shè)置項(xiàng)目的世界協(xié)調(diào)時(shí) 設(shè)置案例信 參 “文件”菜 “視圖”菜 查看窗 “工具”菜 “提取”菜 “Python”菜 “插件”菜 “報(bào)告”菜 “幫助”菜 1簡(jiǎn)UFED由以下大量部件組成 UFEDTouchUFED4PCUFEDInField用于實(shí)現(xiàn)從移動(dòng)設(shè)備進(jìn)行邏輯、、SIM文件系統(tǒng)以及物理的提取，然后將所提取信息保存到USB閃存驅(qū)動(dòng)器、SD卡或PC上。nUFEDCloudyzer可以提取來(lái)自云數(shù)據(jù)來(lái)源的信息。云數(shù)據(jù)來(lái)源是指通過(guò)Internet向消費(fèi)者提供的服務(wù)。 UFEDyticsDesktop可以根據(jù)物理、邏輯和文件系統(tǒng)提取生成的報(bào)告，立即識(shí)別出可 UFEDPhysical yzer應(yīng)用程序通過(guò)高級(jí)的解碼、分析和報(bào)告功能對(duì)設(shè)備內(nèi)存中的內(nèi)容進(jìn)行次的展示。UFEDPhysical yzer可以由UFED創(chuàng)建的各種類(lèi)型的提取內(nèi) PhoneDetective應(yīng)用程序則能通過(guò)的物理屬性幫助人員快速對(duì)其進(jìn)行識(shí)別，從而避免因?yàn)樾枰獑?dòng)設(shè)備而導(dǎo)致其鎖死的。UFED的工作流程包括如下兩個(gè)步驟n提取-使用UFED進(jìn)行物理、文件系統(tǒng)、邏輯、和SIM卡的提取n使用UFED yzer執(zhí)行、分析和報(bào)告物理提取執(zhí)行物理提取時(shí)，UED使用高級(jí)的提取方法來(lái)為移動(dòng)設(shè)備使用的每個(gè)閃存或地址范圍創(chuàng)建一個(gè)單獨(dú)的十六進(jìn)制提取文件。與邏輯提取不同，物理提取方法將繞過(guò)設(shè)備的操作系統(tǒng)，直接獲取設(shè)備內(nèi)部閃存中的數(shù)據(jù)。設(shè)備的內(nèi)存數(shù)據(jù)將捉到十六進(jìn)制的提取文件以便以后用UFEDPhysical yzer加以和。所創(chuàng)建的物理提取內(nèi)容將會(huì)包含由設(shè)備操作系統(tǒng)分配的內(nèi)存空間，其中可能含有已刪除的數(shù)據(jù)，如SMS、、條目、、和用戶。物理提取提供了移動(dòng)設(shè)備閃存中內(nèi)容的逐字節(jié)拷貝。對(duì)物理提取進(jìn)行不僅能取出完好的數(shù)據(jù)，還能取出隱藏或者已經(jīng)刪除的數(shù)據(jù)?？梢曰謴?fù)文件和未分配空間中的已刪除數(shù)據(jù)1。UFEDPhysicalyzer提供的高級(jí)生成算法可以恢復(fù)記錄，從而揭示出未分配空間中額外的已刪除數(shù)據(jù)。所揭示的已刪除數(shù)據(jù)量取決于設(shè)備上的具體數(shù)據(jù)。出的數(shù)據(jù)將和已分析的數(shù)據(jù)一起顯示在同樣的列表中。舉例而言，來(lái)自未分配空間的已刪除M將和其他SMS一起顯示在同一個(gè)列表中。未分配的空間指分區(qū)上沒(méi)有用于活動(dòng)文件的群集。其中可能含有已經(jīng)從文件分區(qū)中刪除，但未從物理磁盤(pán)上移除的文件片段。第1章簡(jiǎn) 在未分配空間中進(jìn)行的數(shù)據(jù)生成可以帶來(lái)以下的好處：n市面上最好最快的已刪除數(shù)據(jù)恢復(fù)解決方案。n以更少的時(shí)間揭示的已刪除數(shù)據(jù)n可以揭示出以前無(wú)法發(fā)現(xiàn)的已刪除數(shù)據(jù)。n得到的數(shù)據(jù)質(zhì)量更高自動(dòng)移除誤報(bào)和重復(fù)項(xiàng)。nn同一個(gè)視圖：可以在同一個(gè)視圖內(nèi)安排所有的數(shù)據(jù)，包括從未分配空間中出的數(shù)數(shù)據(jù)分析UFED yzer供人員對(duì)所提取的數(shù)據(jù)執(zhí)行深入的分析并生成報(bào)告UFED yzer的主要功能如下n提取內(nèi)容并生成內(nèi)存內(nèi)容的分層視n提供十六進(jìn)制文件的詳盡視圖n重新構(gòu)建設(shè)備的文件系統(tǒng)n各種分析得出的數(shù)據(jù)類(lèi)型，如：聯(lián)系人列表、SMS消息、、設(shè)備信(IMSIICCID戶代碼)和應(yīng)用程序信息等n提供數(shù)據(jù)文件的視圖，包括圖像、、數(shù)據(jù)庫(kù)等n當(dāng)前數(shù)據(jù)和已刪除的數(shù)據(jù)n揭示設(shè)備的(如果可用niOSGPS設(shè)備執(zhí)行功能強(qiáng)大的提取nnn即時(shí)搜索所有的項(xiàng)目?jī)?nèi)容n基于多個(gè)參數(shù)的高級(jí)搜索功能n即時(shí)搜索數(shù)據(jù)表內(nèi)容n觀察列表功能，用于根據(jù)預(yù)定義的列表來(lái)自動(dòng)突出顯示信nnn軟件掃描器可以識(shí)別設(shè)備中的軟件n基于各種參數(shù)如字符串、字節(jié)、數(shù)字、日期搜索十六進(jìn)制信息 可以使用正則表達(dá)式(RegEx)查找特定數(shù)據(jù)字符串n為特定內(nèi)存位置添加書(shū)簽以便將關(guān)鍵區(qū)域編入索引，從而供以后查看nPython外殼命令執(zhí)行數(shù)據(jù)分析1應(yīng)用程序數(shù)據(jù)包括Kik 等n插n添加或刪除插n使用Python語(yǔ)言自行編寫(xiě)插n管理n生成多種格式的可定制報(bào)告(徽標(biāo)、標(biāo)題等22安裝和激活本節(jié)敘述了在PC上安裝UFEDPhysicalyzer并激活的過(guò)程。系統(tǒng)需求帶PentiumIV或與其兼容，并且主頻為1.6GHz或更高的處理器，同時(shí)與ndows兼容的系位Windows10，64Windows8.x，64Windows內(nèi)16要1GB的安裝可用磁盤(pán)空間要.Net4.6版或之前版本.14.5權(quán)如果想要使用由Cellebrite提供的硬件證密鑰(硬件保護(hù)裝置)來(lái)激活應(yīng)用2015228UFED系列將不再支持WindowsXP軟件安裝要獲取 yzer的副本可以從以下來(lái)源獲得UFED yzer安裝程序的副本nUFED yzer的CDn從MyCellebrite安裝UFEDPhysical開(kāi)始之前，請(qǐng)沒(méi)有將U-441線連接到計(jì)算機(jī)。雙擊安裝文件。選擇所需語(yǔ)言，然后單擊確定繼續(xù)。將顯示如下的窗口。單擊下一步。將顯示如下的窗口。閱讀協(xié)議。然后選擇我接受協(xié)議，并單擊下一步。將顯示如下的窗口。如果需要，可以單擊瀏覽設(shè)置不同的安裝文件夾，然后單擊下一步。將顯示如下的窗口。如果不希望有桌面圖標(biāo)，請(qǐng)清除創(chuàng)建桌面圖標(biāo)復(fù)選框，然后單擊下一步。將顯示如下單擊安裝在安裝過(guò)程中，可能會(huì)提示您下載并安裝 .NET3.5Framework這是安裝過(guò)程的一部分，并且要求您的計(jì)算機(jī)能Internet。如果想要使用由Cellebrite提供的硬件證密鑰(硬件保護(hù)裝置)來(lái)激活應(yīng)用程序，請(qǐng)選擇安裝HASP硬件保護(hù)裝置驅(qū)動(dòng)程序。必須擁有管理員權(quán)限才能安裝HASP硬件保護(hù)裝置驅(qū)動(dòng)程序。安裝完成時(shí)選擇啟動(dòng) yzer即可啟動(dòng)應(yīng)用程序單擊完成激活用以下方法中的一種激活UFED yzer yticsDesktopUFEDPhone以及UFEDPhysical/Logicaln使用證硬件保護(hù)裝置(下一頁(yè)n使用軟件證(在本頁(yè)n使用網(wǎng)絡(luò)硬件保護(hù)裝置(在本頁(yè)檢查您的UFED套件以確定應(yīng)當(dāng)使用的激活方法。新版本通知有新版本的軟件可用時(shí)，Cellebrite會(huì)進(jìn)行通知。如果已連接到Internet，就會(huì)在有新版本可用時(shí)收到該通知。如果未連接到Internet，則會(huì)每3個(gè)月顯示一次通知。使用證硬件保護(hù)裝使用隨UFED套件提供的UFED硬件保護(hù)裝置。硬件保護(hù)裝置中包含了所的全部應(yīng)用程序的證。UFED將硬件保護(hù)裝置連接到計(jì)算機(jī)上的USB端口。系統(tǒng)將會(huì)自動(dòng)找到證。操作系統(tǒng)識(shí)別出硬件保護(hù)裝置后，應(yīng)用程序便可以啟動(dòng)UFED應(yīng)用程序。恭喜，您的應(yīng)用程序現(xiàn)已準(zhǔn)備就緒！如果沒(méi)有找到包含證的硬件保護(hù)裝置首次啟動(dòng)時(shí)或是未找到證硬件保護(hù)裝置時(shí)，將顯示一個(gè)Cellebrite產(chǎn)品窗口如果已經(jīng)將硬件保護(hù)裝置連接到計(jì)算機(jī)上 USB端口，但仍然無(wú)法工作，請(qǐng)聯(lián) 要使用硬件 證密鑰，必須先安裝HASP硬件保護(hù)裝置驅(qū)動(dòng)程序。如果在選擇Hasp硬件保護(hù)裝置驅(qū)動(dòng)程序使用軟件首次打開(kāi)應(yīng)用程序時(shí)必須激活證UFED以下：nUFEDPhysicalhttps:/ 用您的MyCellebrite帳戶登錄。(如果沒(méi)有帳戶，請(qǐng)單擊立即激活并創(chuàng)建一個(gè)用戶，然后返回到所需的UFED應(yīng)用程序您將被引導(dǎo)至產(chǎn)品激活窗口。單擊應(yīng)用程序并將文件保存到PCzip文件，單擊安裝文件并通過(guò)安裝向?qū)О惭b軟件。重新啟動(dòng)PC(如果需要)重復(fù)步驟1以轉(zhuǎn)到應(yīng)用程序如果的是UFED4PC，請(qǐng)?jiān)凇凹せ罘椒ā笨蛑羞x擇激活代碼。如果的是UFEDTouch，請(qǐng)選擇UFEDTouch/UFEDClassic。nUFED4PCUFEDyzer yticsDesktop：在“激活碼”字段中輸入在UFED套件中提供的激活代碼。激活方法并非UFEDCloud yzernUFED4PCUFEDyzer yticsDesktop：在“激活碼”字段中輸入在UFED套件中提供的激活代碼。nUFEDTouch：在“序列號(hào)”字段中，選擇在UFEDTouch設(shè)備或UFEDTouch的“證激活”屏幕上顯示的UFED序列號(hào)。要添加新設(shè)備，請(qǐng)單擊添加，然后輸入必需的信息。然后獲取計(jì)算機(jī)ID(執(zhí)行此步操作時(shí)關(guān)閉MyCellebrite頁(yè)面) 啟動(dòng)應(yīng)用程序。將顯示“Cellebrite產(chǎn)品”窗口n單擊以窗口中顯示的計(jì)算機(jī)ID在MyCellebrite上，粘貼所的計(jì)算機(jī)ID單擊生成證以將應(yīng)用程序的證密鑰文件到PC。該證密鑰會(huì)同時(shí)發(fā)送到您的MyCellebrite電子郵件地址。在應(yīng)用程序中，單擊“Cellebrite產(chǎn)品”窗口中的加載證文件選擇證文件，然后單擊打開(kāi)。將顯示一條消息，指示軟件更新成功單擊關(guān)閉恭喜，您的應(yīng)用程序現(xiàn)已準(zhǔn)備就緒！使用網(wǎng)絡(luò)硬件保護(hù)裝置網(wǎng)絡(luò)硬件保護(hù)裝置連接到組織的網(wǎng)絡(luò)，并且包含了所的全部應(yīng)用程序的證。UFED啟動(dòng)UFED應(yīng)用程序。如果網(wǎng)絡(luò)硬件保護(hù)裝置已經(jīng)連網(wǎng)，則應(yīng)用程序?qū)⒄?dòng)，用戶可以立即開(kāi)始工作。如果未能識(shí)別出網(wǎng)絡(luò)硬件保護(hù)裝置，則會(huì)顯示“Cellebrite產(chǎn)品”窗口單擊網(wǎng)絡(luò)。將顯示如下的窗口。如果未能找到網(wǎng)絡(luò)中的硬件保護(hù)裝置，請(qǐng)確保已經(jīng)連接到Internet，并且硬件保護(hù)裝置的網(wǎng)絡(luò)連接正常。然后單擊刷新重新搜索網(wǎng)絡(luò)硬件保護(hù)裝置。在默認(rèn)情況下，網(wǎng)絡(luò)將采用“廣播”配置。如果需要，可以手動(dòng)連接到網(wǎng)絡(luò)硬件保護(hù)裝置。單擊配置將網(wǎng)絡(luò)配置更改為特定的主機(jī)。輸入主機(jī)名(或IP地址)。如果只有一個(gè)網(wǎng)絡(luò)硬件保護(hù)裝置，就會(huì)自動(dòng)選中它。但如果有多個(gè)網(wǎng)絡(luò)硬件保護(hù)裝置，就需要從列表中選擇所需要的硬件保護(hù)裝置，然后單擊應(yīng)用。恭喜，您的應(yīng)用程序現(xiàn)已準(zhǔn)備就緒！如希望了解與網(wǎng)絡(luò)硬件保護(hù)裝置有關(guān)的管理員操作程序，請(qǐng)參閱管理網(wǎng)絡(luò)硬件保護(hù)裝置證在本頁(yè)。停用軟件如果需要將通過(guò)軟件證激活的UFED應(yīng)用程序移動(dòng)到另一臺(tái)PC，必須先停用(刪除)計(jì)算機(jī)上的證。在UFED應(yīng)用程序中，轉(zhuǎn)至幫助>顯示證詳細(xì)信息。將顯示Cellebrite產(chǎn)品窗單擊停用軟件許可證。將顯示軟件證停用窗口。單擊以計(jì)算機(jī)ID轉(zhuǎn)至tt /deactivation并用您的MyCellebrite帳戶登錄如果沒(méi)有帳戶，請(qǐng)單擊立即并創(chuàng)建一個(gè)用戶。然后返回到tt /deactivation。將顯示如下的窗口確保設(shè)備添加到產(chǎn)品列表中。n如果設(shè)備顯示在產(chǎn)品列表中，請(qǐng)單擊轉(zhuǎn)到“我的產(chǎn)品”頁(yè)面以瀏覽到“我的產(chǎn)品”頁(yè)n如果該設(shè)備未在產(chǎn)品列表中顯示，單擊UFED證停用窗口中的添加設(shè)備，或我的產(chǎn)品頁(yè)面的UFED產(chǎn)品/加密狗。將顯示如下的窗口。輸入Cellebrite產(chǎn)品窗口中顯示的序列號(hào)、設(shè)備ID和設(shè)備名稱(可選)單擊添加設(shè)備。設(shè)備現(xiàn)在顯示在“我的產(chǎn)品”頁(yè)面中的“活動(dòng)的產(chǎn)品”在“我的產(chǎn)品”頁(yè)面中，找到設(shè)備，然后打開(kāi)選項(xiàng)菜單并選擇停用設(shè)備。將顯示如下的窗點(diǎn)擊下一步到您完成上述步驟。單擊下載停用文件并將文件保存到PC在UFED應(yīng)用程序的軟件證停用窗口中，您需要上傳停用文件。單擊選擇停用文件，然后打開(kāi)停用文件。將顯示軟件證停用窗口。要完成停用過(guò)程，您需要將停用文件上傳至MyCellebrite。在軟件證停用窗口中，單擊復(fù)制路徑或打開(kāi)所在文件夾，然后單擊關(guān)閉返回MyCellebrite上的“停用向?qū)А?，然后單擊下一步單擊選擇文件，然后將UFED應(yīng)用程序創(chuàng)建的停用文件上傳。要在其他計(jì)算機(jī)上激活UFED證，請(qǐng)按照使用軟件證(在本頁(yè)21)中的步驟操3掃描3在提取內(nèi)容上運(yùn)行軟件偵測(cè)，以尋找其中的軟件掃描軟件時(shí)，UFEDPhysical yzer會(huì)應(yīng)用最近一次使用的特征碼數(shù)據(jù)庫(kù)。如果是第一次使用軟件掃描器，或者希望在掃描前更新數(shù)據(jù)庫(kù)，請(qǐng)按照更新特征碼數(shù)據(jù)庫(kù)(在線)(下一頁(yè))中的步驟進(jìn)行。如果使用的計(jì)算機(jī)沒(méi)有Internet連接，則請(qǐng)按照從文件更新特征碼數(shù)據(jù)庫(kù)(離線)(在本頁(yè)30)中的步驟進(jìn)行。選擇工具>軟件掃描器>掃描軟件或者單擊將顯示如下的窗口選擇希望掃描的文件系統(tǒng)，然后單擊UFEDPhysical yzer將掃描項(xiàng)目以尋找軟件。結(jié)果將顯示在項(xiàng)目樹(shù)中的軟件掃描器項(xiàng)目下。雙擊惡意軟件掃描器樹(shù)項(xiàng)目以打開(kāi)一個(gè)數(shù)據(jù)顯示選項(xiàng)卡。其中顯示的數(shù)據(jù)包括軟件類(lèi)型和軟件信息，如名稱n要將此結(jié)果包含在報(bào)告中，請(qǐng)選擇報(bào)告數(shù)據(jù)集區(qū)域中的受的文件。有關(guān)詳細(xì)信息，請(qǐng)參閱生成報(bào)告(在本頁(yè)119)。更新特征碼數(shù)據(jù)庫(kù)(在首次使用軟件掃描器前應(yīng)更新特征碼數(shù)據(jù)庫(kù)，在數(shù)據(jù)庫(kù)中寫(xiě)入內(nèi)容。之后可以通過(guò)更新來(lái)保證數(shù)據(jù)庫(kù)中包含了的特征碼。在特征碼數(shù)據(jù)庫(kù)中寫(xiě)入了內(nèi)容之后，可以使用現(xiàn)有的數(shù)據(jù)庫(kù)運(yùn)行 軟件掃描器。強(qiáng)烈建議您定期更新特征碼數(shù)據(jù)庫(kù)以確保其內(nèi)容。選擇工具菜單中的軟件掃描器>更新特征碼數(shù)據(jù)庫(kù)。將顯示如下的窗口單擊從Web更新。將向數(shù)據(jù)庫(kù)中寫(xiě)入內(nèi)容。完成后，單擊關(guān)閉?，F(xiàn)在便可以掃描項(xiàng)目以尋找軟件。從文件更新特征碼數(shù)據(jù)庫(kù) 離線在使用沒(méi)有Internet在特征碼數(shù)據(jù)庫(kù)中寫(xiě)入了內(nèi)容之后，可以使用現(xiàn)有的數(shù)據(jù)庫(kù)運(yùn)行 軟件掃描器。強(qiáng)烈建議您定期更新特征碼數(shù)據(jù)庫(kù)以確保其內(nèi)容。在“資源管理器”中轉(zhuǎn)到UFEDPhysical yzer的主 ，將BitDefenderUpdater 一個(gè)外部的設(shè)備上。將BitDefenderUpdater 傳輸?shù)揭慌_(tái)有Internet連接并且沒(méi)有服務(wù)器設(shè)置的計(jì)算 選擇安裝了UFED yzer的計(jì)算機(jī)所使用的操作系統(tǒng)。單擊。將顯示如下的窗口單擊打開(kāi)所在文件夾將definitions.msd文件到外部設(shè)備中，然后將其傳輸?shù)桨惭b了UFEDPhysicalyzer的計(jì)算機(jī)上。單擊關(guān)閉以關(guān)閉“軟件定義器”建議您一直使用同一臺(tái)計(jì)算機(jī)來(lái) definitions.msd文件以簡(jiǎn)化工作流程，節(jié)省時(shí)間。以后在這臺(tái)計(jì)算機(jī)上definitions.msd時(shí)，“軟件定義器”將對(duì)此文件執(zhí)行更新，而不用整個(gè)文件。切勿刪除此計(jì)算機(jī)上的definitions.msd文在UFEDPhysical yzer中，選擇工具>軟件掃描器>更新特征碼數(shù)據(jù)庫(kù)。將顯示如下的窗口。單擊從文件更新。將顯示打開(kāi)的文件窗口。通過(guò)瀏覽找到軟件定義數(shù)據(jù)庫(kù)文件(*.msd)，然后單擊打開(kāi)單擊開(kāi)始。將向數(shù)據(jù)庫(kù)中寫(xiě)入內(nèi)容。完成后，單擊關(guān)閉?，F(xiàn)在便可以掃描項(xiàng)目以尋找軟件。4入4UFEDPhysicalyzer提供了強(qiáng)大的和分析工具用于處理提取出的設(shè)備數(shù)據(jù)，同時(shí)它還簡(jiǎn)化了在設(shè)備的數(shù)據(jù)結(jié)構(gòu)中進(jìn)行瀏覽的操作。UFEDPhysicalyzer可以在復(fù)雜的收集和研究工作中為您提供幫助，并能提供報(bào)告形式的法律。該應(yīng)用程序的設(shè)計(jì)是對(duì)由UED單元提取出的內(nèi)存內(nèi)容加以利用，并以清晰簡(jiǎn)明的形式展示設(shè)備的十六進(jìn)制提取內(nèi)容、文件系統(tǒng)和分析得出的數(shù)據(jù)，從而使人員可以通過(guò)強(qiáng)大的搜索工具來(lái)出相關(guān)的信息。該應(yīng)用程序還能生成各種格式的結(jié)果報(bào)告，如HTMLPDFExcel(*.xlsx)和XML，從而提供完整的功能。 用以下方法中的一種啟動(dòng)UFED n雙擊桌面上的UFEDPhysicalyzer快捷方式。n選擇開(kāi)始>程序>CellebriteMobileSynchronization>UFEDPhysical 請(qǐng)參閱工作空間簡(jiǎn)介(在本頁(yè)54)以了解工作空間的概況。打開(kāi)提取內(nèi)容進(jìn)行分析UFEDPhysical yzer可以打開(kāi)由UFED設(shè)備創(chuàng)建的文件和由UFEDPhysical yzer創(chuàng)建的XML文件，以及UFDR文件、UFD文件和URP文件(這些文件是由ReportManager應(yīng)用程序創(chuàng)建)。在“高級(jí)”模式下，UFEDPhysical yzer還可以打開(kāi)鏡像文件。有關(guān)詳細(xì)信息，請(qǐng)參閱在高級(jí)模式下打開(kāi)提取內(nèi)容(在本頁(yè)40)。如果將設(shè)備數(shù)據(jù)提取到了一個(gè)可移動(dòng)驅(qū)動(dòng)器上，那么請(qǐng)將包含所提取數(shù)據(jù)的USB閃存驅(qū)動(dòng)器或SD卡連接到PC上。可以將提取內(nèi)容的文件夾直接從可移動(dòng) 復(fù)制到PC上以加快處理速度。執(zhí)行以下操作之一：n單擊歡迎選項(xiàng)卡上的打開(kāi)n將UFD文件拖放到UFED yzer中n單擊應(yīng)用程 上的n單擊應(yīng)用程序菜單中的文件打開(kāi)瀏覽到提取出的設(shè)備數(shù)據(jù)所處的位置并將其打開(kāi)。選擇所支持格式的提取內(nèi)容：nUFDX集合*nUFED轉(zhuǎn)儲(chǔ)*n二進(jìn)制文件(*.bin)。由另一個(gè)應(yīng)用程序通過(guò)高級(jí)的打開(kāi)功能生成的原始二進(jìn)制文件或十六進(jìn)制提取內(nèi)容。請(qǐng)參閱在高級(jí)模式下打開(kāi)提取內(nèi)容(在本頁(yè)40)。n諾基PMn黑莓備份文件(*.ipd,n索尼愛(ài)立信GDFS(*.gdfs,nTomTomCFGnInField包(*nUFED報(bào)告(*.xml)-由UFED單元生成的邏輯報(bào)告，以及由UFED yzer創(chuàng)建XMLnReportManager(*.urp,*.ucp)-ReportManager創(chuàng)建的UFED報(bào)告包/UFED內(nèi)容nUFED報(bào)告在默認(rèn)情況下，“打開(kāi)” 框?qū)@示*.ufd文件，即所提取設(shè)備數(shù)據(jù)的信息映射單擊打開(kāi)數(shù)據(jù)分析過(guò)程(包括項(xiàng)目分析)將開(kāi)始，并且可能會(huì)持續(xù)數(shù)分鐘的時(shí)間。過(guò)程結(jié)束后，系統(tǒng)會(huì)在項(xiàng)目樹(shù)中加入一個(gè)新的項(xiàng)目，并且在數(shù)據(jù)顯示區(qū)域中顯示提取信息。在UFEDPhysical yzer未打開(kāi)時(shí)，可以通過(guò)雙擊提取 中的*.ufd文件來(lái)快速打開(kāi)提取內(nèi)容。此時(shí)將打開(kāi)UFEDPhysical yzer并開(kāi)始數(shù)據(jù)分析過(guò)程。分析多個(gè)提取多個(gè)提取功能可用于將多個(gè)提取合并成一個(gè)項(xiàng)目，從而提供統(tǒng)一的分析(視圖和報(bào)告)。您可以單獨(dú)打開(kāi)包含不同項(xiàng)目中提取的UFDX文件，或打開(kāi)統(tǒng)一包含所有提取的單獨(dú)項(xiàng)頭和打開(kāi)高級(jí)。此功能和分析單獨(dú)的統(tǒng)一項(xiàng)目，并可以移除重復(fù)信息(重復(fù)項(xiàng)或冗余信息)。提取的數(shù)據(jù)都顯示在一個(gè)項(xiàng)目樹(shù)下，含有以下內(nèi)容：n統(tǒng)一的提取信息和設(shè)備信息，并可以深化到每個(gè)提取n對(duì)任何記錄來(lái)源的提取。nn過(guò)濾功能。請(qǐng)參閱使用快速過(guò)濾器功能(在本頁(yè)81)n打開(kāi)與合并項(xiàng)目您可以將任何類(lèi)型的提取添加到一個(gè)現(xiàn)有的項(xiàng)目中。您可以打開(kāi)包含多個(gè)提取的將UFDX文件作為多個(gè)提取項(xiàng)目打開(kāi)選擇文件>打開(kāi)或單擊打開(kāi)按鈕()并選擇EvidenceCollection.ufdx文件(當(dāng)您對(duì)一個(gè)設(shè)備進(jìn)行多個(gè)提取時(shí)，此文件便已創(chuàng)建。)將顯示如下的窗口。如果不希望每次打開(kāi)包含多個(gè)提取的UFDX文件時(shí)顯示此消息，請(qǐng)選擇不要再顯示此消息復(fù)選框。單擊確定。單擊添加提取按鈕或右鍵單擊項(xiàng)目并選擇添加提取選擇所需的提取內(nèi)容。單擊確定。選擇文件>打開(kāi)或單擊打開(kāi)按鈕()并選擇要打開(kāi)的文件將顯示如下的窗口單擊確定。n選擇文件另存UFDXn選擇關(guān)閉選項(xiàng)卡提取信息摘要項(xiàng)目樹(shù)中的“提取信息”區(qū)域包括多提取項(xiàng)目中所含的全部提取信息。每個(gè)提取信息都以不同顏色顯示，便于您在各“已分析數(shù)據(jù)”選項(xiàng)卡中找到數(shù)據(jù)來(lái)源。提取信息選項(xiàng)卡包括對(duì)所有內(nèi)容選項(xiàng)卡中全部提取信息的，而且每個(gè)提取信息都有單獨(dú)的選項(xiàng)卡。下面顯示了多提取項(xiàng)目的示例。有關(guān)“提取信息”選項(xiàng)卡中數(shù)據(jù)的詳細(xì)信息，請(qǐng)參閱“提取信息”選項(xiàng)卡(在本頁(yè)重命名項(xiàng)目和提取當(dāng)多提取項(xiàng)目打開(kāi)項(xiàng)目時(shí)，就稱為多項(xiàng)目。您可以將此項(xiàng)目重命名。您還可以將項(xiàng)目中提取的默認(rèn)名重命名。有關(guān)重命名提取的詳細(xì)信息，請(qǐng)參閱“所有內(nèi)容”選項(xiàng)卡(在本頁(yè)在項(xiàng)目樹(shù)中選擇項(xiàng)目名。右鍵單擊并選擇重命名。將顯示如下的窗口。為項(xiàng)目輸入所需的名稱。單擊保存解碼和分析多提取項(xiàng)目會(huì)發(fā)起，以便顯示或?yàn)V除重復(fù)信息。所有提取的數(shù)據(jù)都顯示在一個(gè)項(xiàng)目樹(shù)下。在已分析的數(shù)據(jù)區(qū)域，您可以看到重復(fù)信息，條狀圖表示對(duì)數(shù)據(jù)來(lái)源的提取。條形的顏色與樹(shù)中的提取信息區(qū)域中提取的顏色匹配。您可以根據(jù)需要更改設(shè)置以移除重復(fù)信息。有關(guān)詳細(xì)信息，請(qǐng)參閱常規(guī)設(shè)置在本頁(yè)。下面“已分析的數(shù)據(jù)”區(qū)域的示例顯示與一個(gè)多提取項(xiàng)目相關(guān)的信息。相關(guān)項(xiàng)目過(guò)濾器。*表示其中一個(gè)合并項(xiàng)目中提供了其他信息。包含重復(fù)信息的項(xiàng)目。來(lái)源提取圖標(biāo)。包含重復(fù)信息的24視圖顯示第75(75)個(gè)選定項(xiàng)。已選定75可在此處查看其他信息。從其中派生數(shù)據(jù)的提取。下面“數(shù)據(jù)文件”區(qū)域的示例顯示與一個(gè)多提取項(xiàng)目相關(guān)的信息。多提取設(shè)置n時(shí)間戳自動(dòng)調(diào)整n根據(jù)設(shè)備的時(shí)區(qū)自動(dòng)調(diào)整時(shí)間戳nUFDX文件作為多個(gè)項(xiàng)目打開(kāi)n移除重復(fù)項(xiàng)有關(guān)這些設(shè)置的詳細(xì)信息，請(qǐng)參閱常規(guī)設(shè)置(在本頁(yè)242)報(bào)您可以為多提取項(xiàng)目生成一個(gè)統(tǒng)一的報(bào)告，其中顯示了原始提取來(lái)源。有關(guān)適用于多個(gè)提取的報(bào)告設(shè)置的詳細(xì)信息，請(qǐng)參閱生成報(bào)告在本頁(yè)中的包含合并的項(xiàng)(已分析的數(shù)據(jù))包含合并的項(xiàng)(數(shù)據(jù)文件)和包含來(lái)源信息。保存項(xiàng)目會(huì)話保存項(xiàng)目會(huì)話將保存您在項(xiàng)目上進(jìn)行的工作，這樣就可以關(guān)閉UFEDPhysical yzer并在以后重新開(kāi)始該會(huì)話。保存的會(huì)話文件(.pas)中包含以下內(nèi)容：n用戶在分析數(shù)據(jù)和數(shù)據(jù)文件表格中選擇的內(nèi)容n案例信息設(shè)n生成的報(bào)n十六進(jìn)制n位n打開(kāi)的選項(xiàng)n項(xiàng)目名稱n項(xiàng)目設(shè)置n報(bào)告選擇n搜索nnn統(tǒng)一的時(shí)區(qū)設(shè)置n用戶在數(shù)據(jù)表格中進(jìn)行的排序nHashn觀察列表的結(jié)果處理第工具執(zhí)行的提取時(shí)，也可以創(chuàng)建項(xiàng)目會(huì)話保存的項(xiàng)目會(huì)話中不包含定義的設(shè)置。有關(guān)如何保存設(shè)置的詳細(xì)信息，請(qǐng)參閱保存設(shè)置(在本頁(yè)260)在文件菜單中選擇保存項(xiàng)目會(huì)話。會(huì)出現(xiàn)另存為框。瀏覽到希望保存項(xiàng)目會(huì)話文件的位置。要更改文件名，請(qǐng)編輯文件名框中自動(dòng)分配的名稱?？梢酝ㄟ^(guò)選擇相同的文件名來(lái)覆蓋之前的會(huì)話。單擊保存在高級(jí)模式下打開(kāi)提取內(nèi)容“打開(kāi)(高級(jí))”功能可用于指定設(shè)備數(shù)據(jù)提取和過(guò)程中使用的選項(xiàng)。有兩種可用于打開(kāi)主項(xiàng)目的方法供選擇：n選擇UFED提取內(nèi)容-您可以指定如何UFED提取文件(*.ufd)n開(kāi)始UFD文件)用于對(duì)并非由UFED單元生成的物理提取內(nèi)容或文件系統(tǒng)開(kāi)始進(jìn)行。以高級(jí)模式打開(kāi)UFED提取文件標(biāo)準(zhǔn)的打開(kāi)過(guò)程會(huì)啟動(dòng)根據(jù)*.ufd文件中記錄的設(shè)備和廠商信息而設(shè)置的過(guò)程而使用選擇UFED的提取方法則可以跳過(guò)標(biāo)準(zhǔn)的打開(kāi)過(guò)程，并可以指定自定義的解析過(guò)程或是指定如何對(duì)未知的設(shè)備進(jìn)行解析。要使用“打開(kāi)(高級(jí))”功能在UFED提取的數(shù)據(jù)上創(chuàng)建新的項(xiàng)目選擇文件>打開(kāi)(高級(jí))或單擊“打開(kāi)(高級(jí))”框?qū)⒋蜷_(kāi)，供您設(shè)置在新的項(xiàng)目中如何對(duì)所提取數(shù)據(jù)執(zhí)行的過(guò)單擊UFED提取內(nèi)容在“打開(kāi)”框中，選擇要處理的*.ufd文件并單擊確定框的內(nèi)容將更改為“高級(jí)定制”，其中顯示根據(jù)所選中的*.ufd文件檢測(cè)到的如下信n設(shè)備的廠商名稱和型號(hào)。n選中的鏈-自動(dòng)分配給該設(shè)備的標(biāo)準(zhǔn)設(shè)備鏈n二進(jìn)制轉(zhuǎn)儲(chǔ)-*.ufd文件所的二進(jìn)制提取內(nèi)容鏡像根據(jù)如下小節(jié)中所述對(duì)打開(kāi)文件的選項(xiàng)進(jìn)行自定義。單擊完成指定不同的設(shè)備您可以通過(guò)將選中的設(shè)備替換為另一種來(lái)指定一個(gè)完全不同的過(guò)程在打開(kāi)的(高級(jí) 框中單擊切換設(shè)備將顯示如下的窗口在選擇設(shè)備列表中，選擇希望使用的設(shè)備。執(zhí)行以下操作之一來(lái)過(guò)濾所顯示的設(shè)備：n單擊左側(cè)面板上廠商列表中的廠商n在快速過(guò)濾器字段中輸入設(shè)備的廠商或型號(hào)來(lái)過(guò)濾所顯示的設(shè)備單擊下一步返回“高級(jí)定制”更改所謂鏈，是指一組以特定的順序組合起來(lái)的插件，用于對(duì)提取出的數(shù)據(jù)執(zhí)行。應(yīng)用程序所支持設(shè)備列表中的每一種設(shè)備都分配有一個(gè)預(yù)定義的鏈。除插件外，鏈中還可能包含其他的鏈，這樣就可以更方便地在一個(gè)鏈中使用一組預(yù)定的插件。有關(guān)鏈和插件的詳細(xì)信息，請(qǐng)參閱高級(jí)(在本頁(yè)225)和插件(在本頁(yè)237)在打開(kāi)的(高級(jí))框中單擊切換鏈。將打開(kāi)“切換鏈”框，其中顯示分配給該設(shè)備的默認(rèn)鏈。一種設(shè)備可能分配有多個(gè)鏈，但其中只有一個(gè)可以設(shè)置為默認(rèn)的鏈。n選擇當(dāng)前設(shè)備n在該列表的鏈n選擇我的鏈n選擇所有鏈n使用“快速過(guò)濾器”字段來(lái)過(guò)濾所顯示的列表項(xiàng)目。選擇適用的鏈，然后單擊選擇以返回“高級(jí)定制”面板。所選中的鏈就會(huì)取代默認(rèn)的鏈。單擊編輯。將打開(kāi)當(dāng)前鏈的鏈結(jié)構(gòu)框，顯示該鏈要將某個(gè)組件添加到該鏈：?jiǎn)螕籼砑渔?插件在組件庫(kù)中，選擇以下項(xiàng)目之n設(shè)備n鏈n插件在設(shè)備和鏈中選中的項(xiàng)目將作為鏈組件添加到鏈中。單擊以添加組件。要將某個(gè)組件從鏈的列表中刪除，請(qǐng)單擊該組件項(xiàng)目右側(cè)的x，然后單擊是單擊確定以返回“高級(jí)定制”完成對(duì)鏈的自定義后，您可以使用選中的鏈部分中的另存為或保存按鈕來(lái)保存對(duì)鏈進(jìn)行保存按鈕只可用于保存對(duì)我的鏈中保存的已 用戶定義鏈進(jìn)行的自定義。有關(guān)用戶定義鏈的詳細(xì)信息，請(qǐng)參閱管理鏈(在本頁(yè)225)。單擊保存以用當(dāng)前鏈替換用戶定義的鏈，或者單擊另存將當(dāng)前鏈另存為新鏈。如果單擊了另存為，請(qǐng)輸入新鏈的名稱，然后單擊保存新鏈將添加到包含應(yīng)用程序自定義鏈的我的鏈列表中，并且所保存的鏈將作為選中的鏈顯示出來(lái)。添加二進(jìn)制轉(zhuǎn)儲(chǔ)您可以在打開(kāi)的(高級(jí))框中添加從其他來(lái)源得到的其他二進(jìn)制轉(zhuǎn)儲(chǔ)文件n要添加二進(jìn)制轉(zhuǎn)儲(chǔ)文件請(qǐng)單擊二進(jìn)制轉(zhuǎn)儲(chǔ)區(qū)域中的或添加二制轉(zhuǎn)儲(chǔ)，然后選擇希望添加的二進(jìn)制提取文件。所添加的每個(gè)二進(jìn)制轉(zhuǎn)儲(chǔ)都將以一個(gè)單獨(dú)組成部分的形式顯示在框的二進(jìn)制轉(zhuǎn)儲(chǔ)部分中。n要?jiǎng)h除某個(gè)二進(jìn)制轉(zhuǎn)儲(chǔ)請(qǐng)單擊將鼠標(biāo)懸停在其上時(shí)顯示的添加文件系統(tǒng)轉(zhuǎn)儲(chǔ)您可以將收到的文件系統(tǒng)轉(zhuǎn)儲(chǔ)添加到項(xiàng)目中，文件系統(tǒng)轉(zhuǎn)儲(chǔ)可以是ZIP存檔的形式，也可以是包含文件系統(tǒng)提取內(nèi)容文件的文件夾形式。n要添加文件系統(tǒng)提取內(nèi)容，請(qǐng)單擊Zip文件或文件夾，然后選擇希望添加的ZIP存檔或您只能添加一個(gè)文件系統(tǒng)提取內(nèi)容。嘗試添加多個(gè)時(shí)，無(wú)論前一次添加的文件系統(tǒng)轉(zhuǎn)儲(chǔ)是ZIP存檔還是文件，都會(huì)被刪除。n要?jiǎng)h除文件系統(tǒng)提取內(nèi)容請(qǐng)單擊將鼠標(biāo)懸停在其上時(shí)顯示的以高級(jí)模式打開(kāi)非UFED提取文件收到并非由UFED單元生成的二進(jìn)制或文件系統(tǒng)提取內(nèi)容時(shí)，或者沒(méi)有與其對(duì)應(yīng)的文件時(shí)，可以使用“打開(kāi)(高級(jí))”功能定義如何這些內(nèi)容以用于新的項(xiàng)目選擇文件>打開(kāi)(高級(jí))或單擊“打開(kāi)(高級(jí))” 框?qū)⒋蜷_(kāi)供您設(shè)置在新的項(xiàng)目中如何對(duì)所提取數(shù)據(jù)執(zhí)行的過(guò)程。開(kāi)始UFD文件選項(xiàng)提供了兩個(gè)可用于開(kāi)始建立新項(xiàng)目的起始點(diǎn)：n選擇設(shè)備-選擇對(duì)數(shù)據(jù)提取內(nèi)容進(jìn)行時(shí)使用的特定設(shè)備定義。如果設(shè)備的廠商和型號(hào)已知，則可以使用此選項(xiàng)。請(qǐng)參閱通過(guò)選擇設(shè)備開(kāi)始(向下)。n空項(xiàng)目-提供一個(gè)空的高級(jí)定制面板，供您設(shè)置過(guò)程參數(shù)和數(shù)據(jù)。如果沒(méi)有任何有關(guān)設(shè)備及/或其廠商的信息，并且希望構(gòu)建一個(gè)自定義的過(guò)程，就可以使用此選項(xiàng)。請(qǐng)參閱通過(guò)空項(xiàng)目開(kāi)始在本頁(yè)。通過(guò)選擇設(shè)備開(kāi)始根據(jù)一個(gè)已知設(shè)備創(chuàng)建用于數(shù)據(jù)提取內(nèi)容的新項(xiàng)目。在“打開(kāi)(高級(jí))”窗口中單擊選擇設(shè)備在選擇設(shè)備列表中，選擇希望使用的設(shè)備。使用左側(cè)的廠商列表來(lái)按廠商過(guò)濾所顯示的設(shè)備，還可以使用快速過(guò)濾器字段來(lái)根據(jù)任何字符串過(guò)濾所顯示的設(shè)備。單擊下一步“高級(jí)定制”面板中將顯示所選中設(shè)備的名稱和默認(rèn)鏈。n要選擇另一種設(shè)備，請(qǐng)參閱指定不同的設(shè)備(在本頁(yè)41)n要選擇另一個(gè)解析鏈，請(qǐng)參閱更改鏈(在本頁(yè)42)n要自行定析鏈，請(qǐng)參閱更改鏈(在本頁(yè)42)n要添加二進(jìn)制提取內(nèi)容，請(qǐng)參閱添加二進(jìn)制轉(zhuǎn)儲(chǔ)(在本頁(yè)45)n要添加文件系統(tǒng)提取內(nèi)容，請(qǐng)參閱添加文件系統(tǒng)轉(zhuǎn)儲(chǔ)(在本頁(yè)45)單擊完成通過(guò)空項(xiàng)目開(kāi)始在“打開(kāi)(高級(jí))”窗口中單擊空項(xiàng)目要選擇設(shè)備，請(qǐng)參閱指定不同的設(shè)備(在本頁(yè)41)要選擇另一個(gè)解析鏈，請(qǐng)參閱更改解碼鏈(在本頁(yè)42)要自行定析鏈，請(qǐng)參閱更改解碼鏈(在本頁(yè)42)要添加二進(jìn)制提取內(nèi)容，請(qǐng)參閱添加二進(jìn)制轉(zhuǎn)儲(chǔ)(在本頁(yè)45)要添加文件系統(tǒng)提取內(nèi)容，請(qǐng)參閱添加文件系統(tǒng)轉(zhuǎn)儲(chǔ)(在本頁(yè)45)單擊完成JTAG提JTAG(JointTestActionGroup，聯(lián)合測(cè)試工作組)是一種高級(jí)的數(shù)據(jù)提取方法，取證檢驗(yàn)者需要連接到設(shè)備的測(cè)試端口以獲取完整的物理鏡像。這樣檢驗(yàn)者就可以并存儲(chǔ)于內(nèi)存上的原始數(shù)據(jù)。JTAG是一種非破壞性的方法，通過(guò)它，有機(jī)會(huì)對(duì)受到部分更改或損壞、數(shù)據(jù)端口不可用(或者連接斷開(kāi))或者由于其他原因無(wú)法以其他取證工具的設(shè)備中的數(shù)據(jù)進(jìn)行。UFEDPhysicalyzer將JTAG的過(guò)程自動(dòng)化，這樣您就不再需要手動(dòng)JTAG提取內(nèi)商商號(hào) A7272Desire有關(guān)支持JTAG提取的設(shè)備的更新列表，請(qǐng)參閱UFEDPhoneDetective移動(dòng)應(yīng)用或MyCellebrite中支持UFED的設(shè)備的文件通過(guò)此方法獲得物理內(nèi)存之后，便可以將其載入U(xiǎn)FEDPhysicalyzer進(jìn)行。您將在加載UFEDJTAG鏈時(shí)收到所有的數(shù)據(jù)，過(guò)程和正常的提取一樣。JTG提取和FD提取的主要不同點(diǎn)在于提取內(nèi)容中空閑位置的所在。所謂空閑是指提取內(nèi)容中數(shù)據(jù)塊的元數(shù)據(jù)。它可以位于提取內(nèi)容中的多個(gè)位置。在正常提取過(guò)程中，它位于各數(shù)據(jù)塊的末尾。而在JTG提取過(guò)程中，它位于整個(gè)提取內(nèi)容的末尾。要使用JTAG數(shù)據(jù)提取內(nèi)容在“打開(kāi)高級(jí)窗口中單擊選擇設(shè)備在快速過(guò)濾器字段中輸入設(shè)備的廠商或型號(hào)，或者單擊左側(cè)廠商列表中的設(shè)備廠商，以對(duì)所顯示的設(shè)備進(jìn)行過(guò)濾。如果所需設(shè)備不支持JTAG，可以在“快速過(guò)濾器”字段中輸入“jtag”以選擇一個(gè)通用的JTAG設(shè)備。選擇所需設(shè)備并單擊下一。將顯示如下的窗口。選擇方法并單擊下一步。不同設(shè)備上的可選方法也不同。將顯示如下的窗口要添加二進(jìn)制轉(zhuǎn)儲(chǔ)文件請(qǐng)單擊二進(jìn)制轉(zhuǎn)儲(chǔ)區(qū)域中的或添加二進(jìn)制轉(zhuǎn)儲(chǔ)，然后選擇希望添加的二進(jìn)制提取文件。所添加的每個(gè)二進(jìn)制轉(zhuǎn)儲(chǔ)都將以一個(gè)單獨(dú)組成部分的形式顯示在框的二進(jìn)制轉(zhuǎn)儲(chǔ)部分中。單擊完成在設(shè)置“打開(kāi)(高級(jí))”參數(shù)的任何階段，都可以通過(guò)單擊框右上角的保存來(lái)保存一個(gè)記錄了所選二進(jìn)制提取內(nèi)容和設(shè)備信息的*.ufd文件，以便以后下次需要同一個(gè)文件時(shí)，就可以使用保存的UFD文件來(lái)通過(guò)打開(kāi)或打開(kāi)(高級(jí))功能將其打開(kāi)。加載項(xiàng)目會(huì)話在歡迎選項(xiàng)卡下，打望處理的項(xiàng)目。選擇文件菜單中的加載項(xiàng)目會(huì)話在“打開(kāi)”框中，通過(guò)瀏覽找到希望打開(kāi)的項(xiàng)目會(huì)話文件并選中單擊打開(kāi)關(guān)閉項(xiàng)目n執(zhí)行以下操作之一：n選擇文件菜單中的關(guān)閉n右鍵單擊項(xiàng)目樹(shù)中的項(xiàng)目名稱，并選擇關(guān)閉 n選擇文件菜單中的退出鍵盤(pán)快捷方式選擇用于轉(zhuǎn)儲(chǔ)文件系統(tǒng)的文件夾添加實(shí)體書(shū)簽將光標(biāo)移動(dòng)到表格的末尾 將光標(biāo)移動(dòng)到表格的開(kāi)頭在打開(kāi)的選項(xiàng)卡之間切換打開(kāi)報(bào)告向?qū)нx中或取消選中復(fù)選框空格鍵打開(kāi)設(shè)置打開(kāi)項(xiàng)目設(shè)置關(guān)閉項(xiàng)目5工作空間簡(jiǎn)介工作空間包含兩個(gè)主要區(qū)域：項(xiàng)目樹(shù)和數(shù)據(jù)顯示區(qū)域，這樣的安排可以簡(jiǎn)化您的工作流程。工作空間由以下部分組成：應(yīng)用程序菜單欄數(shù)據(jù)顯示區(qū)域所有項(xiàng)目范圍內(nèi)搜索項(xiàng)目樹(shù)項(xiàng)目區(qū)域顯示每個(gè)打開(kāi)進(jìn)行分析的項(xiàng)目下的以下提取信息結(jié)構(gòu)樹(shù) 說(shuō)目信n雙擊提取信 可在數(shù)據(jù)顯示區(qū)域中打開(kāi)項(xiàng)目 息有關(guān)詳細(xì)信息，請(qǐng)參閱“提取信息 ”選項(xiàng)卡(在本頁(yè)61)。要設(shè)n雙擊設(shè)備信息可在數(shù)據(jù)顯示區(qū)域中打開(kāi)一個(gè)選項(xiàng)卡。備設(shè)備信息選項(xiàng)卡列出了現(xiàn)有的信息，并在支持的情況下還會(huì)顯示設(shè)備的重要識(shí)別信信息，如SIM卡和用戶鎖定代碼等。所顯示的類(lèi)別數(shù)量和信息量取決于設(shè)備的型號(hào)息和廠商。內(nèi)n雙擊一個(gè)鏡像項(xiàng)目可以在數(shù)據(jù)顯示區(qū)域的“十六進(jìn)制視圖”選項(xiàng)卡中將其顯示出存來(lái)。鏡像內(nèi)存鏡像樹(shù)項(xiàng)目列出了從設(shè)備的內(nèi)存模塊中生成的所有提取文件。樹(shù)中的內(nèi)存范圍項(xiàng)目列出了提取出的每個(gè)設(shè)備內(nèi)存模塊(列于鏡像下)中接受分析內(nèi)的內(nèi)存范圍。存n范n在顯示的數(shù)據(jù)中突出顯示對(duì)應(yīng)的內(nèi)存范圍部分圍n將其添加到顯示的所屬二進(jìn)制鏡像的突出顯示列表中(位于“十六進(jìn)制視圖”項(xiàng)卡底部)n雙擊一個(gè)內(nèi)存范圍項(xiàng)目可以在“十六進(jìn)制視圖”選項(xiàng)卡中顯示其內(nèi)容。樹(shù)中的文件系統(tǒng)項(xiàng)目列出在所分析的二進(jìn)制文件中找到或重新構(gòu)建出的所有文件文系統(tǒng)。件每個(gè)文件系統(tǒng)都帶有 (硬盤(pán))標(biāo)記。統(tǒng)刪除的文件帶有(紅叉)n雙擊任何文件系統(tǒng)可以在“十六進(jìn)制視圖”選項(xiàng)卡中顯示其內(nèi)容。樹(shù) 說(shuō)目樹(shù)中的已分析的數(shù)據(jù)項(xiàng)目分組顯示與設(shè)備的具體功能相關(guān)的已分析數(shù)據(jù)，如聯(lián)系人、SMS消息、 可用的信息和顯示的內(nèi)容取決于設(shè)備的功能和應(yīng)用程序版本。舉例而言，S消息將按照設(shè)備的消息功能所包含的文件夾進(jìn)行分類(lèi)，如草稿收件箱發(fā)件箱、“已發(fā)送”等。電子郵件消息則按照發(fā)送或接收消息的帳戶分類(lèi)。此外還有一個(gè)未分類(lèi)的帳戶或消息文件夾，其中列出無(wú)法分入找到的帳戶或帳戶文件夾(“收件箱”、“發(fā)件箱”“草稿”等)的所有文件夾或消息。已分析的數(shù)據(jù)中可能還會(huì)顯示以下信息已分n個(gè)人信息-日歷、聯(lián)系人、附注、 析n消息項(xiàng)目-SMS、彩信、電子郵件、即時(shí)消息、聊天內(nèi)容的據(jù)數(shù)nWeb瀏覽器項(xiàng)書(shū)簽、歷史記錄據(jù)nGPS信息-位置(包括來(lái)自 數(shù)據(jù)庫(kù)的此類(lèi)信息)、旅程、定位。有關(guān)地理位置的詳細(xì)信息，請(qǐng)參閱設(shè)備位置(在本頁(yè)99)。n設(shè)備信息藍(lán)牙配對(duì)、無(wú)線網(wǎng)絡(luò)、SIM卡數(shù)據(jù)、應(yīng)用程序使用情況、Wi-Fi、蜂窩位括號(hào)中的數(shù)量指示了每個(gè)類(lèi)別所包含的項(xiàng)目數(shù)。選中任何已分析的數(shù)據(jù)會(huì)自動(dòng)將其添加到顯示的所屬二進(jìn)制鏡像和/或內(nèi)存范圍的突出顯示列表中(位于“十六進(jìn)制視圖”選項(xiàng)卡底部)，并在顯示的數(shù)據(jù)中突出顯示它的數(shù)據(jù)范圍部分。樹(shù) 說(shuō)目樹(shù)中的數(shù)據(jù)文件項(xiàng)目按照常見(jiàn)或已知的設(shè)備或計(jì)算機(jī)文件類(lèi)型排列提取出的數(shù) n圖像-被識(shí)別為屬于圖像文件格式的文件 -被識(shí)別為屬于文件格式的文件n音頻-被識(shí)別為屬于音頻文件格式的文件數(shù)n文本被識(shí)別為屬于文本文件格式的文件據(jù)n數(shù)據(jù)被識(shí)別為屬于數(shù)據(jù)庫(kù)的數(shù)據(jù)結(jié)構(gòu)文n配置設(shè)備配置文件(iOSplist文件件 應(yīng)用程-被識(shí)別為屬于應(yīng)用程序文件的文件thatwererecognizedasfiles(.apk.jar.dex.so.exe文件等 文檔-被識(shí)別為屬于文檔格式的文件(.doc.docxpdf.xlsxppt文件等n未歸所有未知的文件格式或未定義的文件擴(kuò)展名。刪除的項(xiàng)目帶 (紅叉)標(biāo)記您可以創(chuàng)建其他數(shù)據(jù)文件分組。有關(guān)詳細(xì)信息，請(qǐng)參閱管理數(shù)據(jù)文件設(shè)置(在本頁(yè)正樹(shù)中的雕復(fù)項(xiàng)目用于在物理提取內(nèi)容中搜索部分刪除或損壞的圖像。n雙擊雕復(fù)以開(kāi)始搜索。生成有關(guān)詳細(xì)信息，請(qǐng)參閱雕復(fù)圖像(在本頁(yè)185)時(shí)n雙擊時(shí)間線在數(shù)據(jù)顯示區(qū)域中打開(kāi)按時(shí)間安排的設(shè)備事件。間時(shí)間線選項(xiàng)卡將按時(shí)間順序顯示設(shè)備事件，如通話、SMS、彩信等，所有事件都帶線有時(shí)間戳。 列表，用于在提取出的數(shù)據(jù)中搜索并識(shí)別出感 的事件和項(xiàng)目。察n展開(kāi)觀察列表將列出當(dāng)前會(huì)話中曾經(jīng)運(yùn)行過(guò)的觀察列表。列n雙擊觀察列表查看基于觀察列表的突出顯示事件。表有關(guān)詳細(xì)信息，請(qǐng)參閱使用觀察列表(在本頁(yè)91)樹(shù) 說(shuō)目軟運(yùn) 軟件掃描器來(lái)識(shí)別設(shè)備中 軟件。有關(guān)詳細(xì)信息，請(qǐng)參閱掃掃件軟件(在本28)。掃器項(xiàng)樹(shù)中的項(xiàng)目分析項(xiàng)目為您提供了一個(gè)對(duì)比性的分析概覽。您可以打開(kāi)“活動(dòng)分析”選目項(xiàng)卡，查看所有設(shè)備活動(dòng)的總覽，另外各個(gè)單獨(dú)活動(dòng)，包括 SkypeGmail和BlackBerryMessenger，都有各自的選項(xiàng)卡。有關(guān)詳細(xì)信息，析請(qǐng)參閱設(shè)定項(xiàng)目設(shè)置(在本頁(yè)261)。十 用來(lái)定義并保存十六進(jìn)制數(shù)據(jù)中的特定位置，通過(guò)十六進(jìn)制 樹(shù)項(xiàng)目進(jìn)行進(jìn)管理。制標(biāo)n雙擊十六進(jìn) 將在數(shù)據(jù)顯示區(qū)域中打開(kāi)選項(xiàng)卡中的列表簽在所提取數(shù)據(jù)中將對(duì)部分文件類(lèi)型進(jìn)行識(shí)別和標(biāo)記。 標(biāo)頻。簽?zāi)梢允褂貌寮騊ython外殼來(lái)查找其他的數(shù)據(jù)片段，然后用現(xiàn)有的 之一或自定義的 加以標(biāo)識(shí)。刪除的項(xiàng)目帶有紅叉要打開(kāi)已經(jīng)在此會(huì)話中生成項(xiàng)目報(bào)告的某個(gè)報(bào)告：n雙擊報(bào)告樹(shù)項(xiàng)目中的報(bào)告。 報(bào)告將在與該報(bào)告格式相關(guān)聯(lián)的應(yīng)用程序中打開(kāi)告n如果沒(méi)有在項(xiàng)目中生成任何報(bào)告，則雙擊報(bào)告樹(shù)項(xiàng)目可以打開(kāi)“生成報(bào)告有關(guān)生成報(bào)告的詳細(xì)信息，請(qǐng)參閱生成報(bào)告(在本頁(yè)119)使用項(xiàng)目樹(shù)區(qū)域n單擊以展開(kāi)或折疊樹(shù)項(xiàng)目。n雙擊樹(shù)項(xiàng)目可以在數(shù)據(jù)顯示區(qū)域中打開(kāi)詳細(xì)信息。n單擊項(xiàng)目樹(shù)頂部的可以展開(kāi)樹(shù)中的所有項(xiàng)目。n單擊項(xiàng)目樹(shù)頂部的可以折疊樹(shù)中的所有項(xiàng)目。數(shù)據(jù)顯示區(qū)域一共有五種類(lèi)型的選項(xiàng)卡：n歡迎選項(xiàng)n提取信息選項(xiàng)n數(shù)據(jù)n時(shí)間線選項(xiàng)n鏡像選項(xiàng)卡(十六進(jìn)制視圖數(shù)據(jù)顯示區(qū)域中還會(huì)顯示其他窗口，如窗口以及觀察列表的結(jié)果n單擊選項(xiàng)卡標(biāo)題n單擊數(shù)據(jù)顯示區(qū)域右上角的n單擊數(shù)據(jù)顯示區(qū)域右上角的，然后在打開(kāi)的選項(xiàng)卡列表中選擇希望跳轉(zhuǎn)到的選項(xiàng)歡迎選項(xiàng)卡應(yīng)用程序啟動(dòng)時(shí)，將在數(shù)據(jù)顯示區(qū)域中自動(dòng)顯示歡迎選項(xiàng)卡，其中列出最近打開(kāi)的文件。列表中的每個(gè)文件都以帶邊框的信息分組的形式顯示，其中包含如下項(xiàng)目：n設(shè)備的-來(lái)自應(yīng)用程序資源的設(shè)備縮略圖，前提是有這種。如果沒(méi)有此，則會(huì)換用一個(gè)通用的占位圖。n文件-n文件路指向文件位置的文件系統(tǒng)路徑。n設(shè)備型-n日期和時(shí)文件最后一次打開(kāi)的日期和時(shí)間戳。n瀏覽”-直接指向文件系統(tǒng)中文件的如需從歡迎選項(xiàng)卡中刪除最近的項(xiàng)目請(qǐng)單擊 您可以執(zhí)行以下操作：n單擊框中的某個(gè)項(xiàng)目可以打開(kāi)文件進(jìn)行n單擊瀏覽可以直接轉(zhuǎn)到文件系統(tǒng)中與之相關(guān)聯(lián)的文件。n關(guān)閉歡迎選項(xiàng)卡。關(guān)閉后可以用視圖>顯示歡迎重新打開(kāi)。“提取信息摘要”選項(xiàng)卡每次打開(kāi)新的提取內(nèi)容進(jìn)行分析時(shí)，提取信息摘要選項(xiàng)卡就會(huì)自動(dòng)顯示n該選項(xiàng)卡關(guān)閉后，如果要重新打開(kāi)，可以雙擊樹(shù)中的提取信息項(xiàng)目“提取信息”選項(xiàng)卡有如下子選項(xiàng)卡：n所有內(nèi)容：包括提取信息、設(shè)備信息和設(shè)備內(nèi)容。有關(guān)詳細(xì)信息，請(qǐng)參閱“所有內(nèi)容”選項(xiàng)卡(向下)。 提取信息：執(zhí)行的各類(lèi)型提取的選項(xiàng)卡。請(qǐng)參閱“提取信息”選項(xiàng)卡(在本頁(yè)67)“”選項(xiàng)卡“所有內(nèi)容”選項(xiàng)卡包括如下信息：提取信(下一頁(yè)案例信息(在本63)設(shè)備信息(在本64)設(shè)備內(nèi)容(在本提取信息本節(jié)包括與設(shè)備的提取過(guò)程有關(guān)的信息。圖：?jiǎn)未翁崛D：包含多個(gè)提取的項(xiàng)目“提取信息”區(qū)域包括如下信息：與與“提取信息”選項(xiàng)卡的。提取文件的位置。提取開(kāi)始和結(jié)束的時(shí)間。所執(zhí)行的提取類(lèi)型，如物理提取(引導(dǎo)程序提取)檢測(cè)到的型號(hào)，如MB717SamsungGT-I9205單擊編輯按鈕()或在項(xiàng)目樹(shù)中選擇提取名右鍵單擊并選擇重命名將顯示如下的為提取內(nèi)容輸入新名稱，然后單擊保存在項(xiàng)目樹(shù)中選擇項(xiàng)目名。右鍵單擊并選擇重命名。將顯示如下的窗口。為項(xiàng)目輸入所需的名稱。單擊保存案例信息本節(jié)包括取自項(xiàng)目設(shè)置>案例信息的案例信設(shè)備信息本節(jié)顯示從提取文件中取出的具體設(shè)備信息的。請(qǐng)參閱項(xiàng)目樹(shù)(在本頁(yè)55)中的設(shè)備信息條目。下面的示例顯示多提取項(xiàng)目的設(shè)備信息。設(shè)備內(nèi)容n數(shù)據(jù)：在提取內(nèi)容中找到的各種經(jīng)過(guò)分析得出的設(shè)備數(shù)據(jù)，如、聯(lián)系人、SMS消息等。有關(guān)數(shù)據(jù)類(lèi)型的完整列表，請(qǐng)參閱項(xiàng)目樹(shù)(在本頁(yè)55)中的已分析的數(shù)據(jù)條目。n數(shù)據(jù)文件：在提取內(nèi)容中找到的各種標(biāo)準(zhǔn)數(shù)據(jù)文件，如應(yīng)用程序、音頻、配置、圖像、視頻、文本文件和未歸類(lèi)文件。請(qǐng)參閱數(shù)據(jù)文件(在本頁(yè)248)。n相機(jī)：設(shè)備的或。請(qǐng)參閱相機(jī)和截圖(在本頁(yè)223) ：設(shè)備截圖。請(qǐng)參閱相機(jī)和截圖(在本頁(yè)223)藍(lán)色數(shù)字表示項(xiàng)目的總數(shù)，紅色數(shù)字(帶括號(hào))表示在已刪除的數(shù)據(jù)中發(fā)現(xiàn)的項(xiàng)“”選項(xiàng)卡各個(gè)類(lèi)型的提取都有一個(gè)“提取信息”選項(xiàng)卡?！疤崛⌒畔ⅰ边x項(xiàng)卡顯示提取信息，如提取何時(shí)執(zhí)行、由何種UFED單元執(zhí)行、使用了哪種數(shù)據(jù)線以及圖像Hash信息(用于驗(yàn)證為所解Hash值。請(qǐng)參閱Hash(在本188)。在每個(gè)“提取信息”選項(xiàng)卡中，可使用“查找”框搜索具體設(shè)備信息。提取信息包含以下內(nèi)容：提取開(kāi)始和結(jié)束的時(shí)間。提取開(kāi)始和結(jié)束的時(shí)間。各提取類(lèi)型的唯一所執(zhí)行的提取類(lèi)型(例如文件系統(tǒng)用于提取的數(shù)據(jù)線(100號(hào)數(shù)據(jù)線設(shè)備的名稱(例如稱設(shè)備的生產(chǎn)廠商(UFED軟件版本執(zhí)行提取的裝置(UFEDTouch)的序列號(hào)，如果提取是以PC序執(zhí)行UFED4PCID如需在數(shù)據(jù)顯示區(qū)域中新建選項(xiàng)卡以顯示相關(guān)信息，請(qǐng)單擊任意項(xiàng)目樹(shù)。數(shù)據(jù)選項(xiàng)卡應(yīng)用程序十六進(jìn)制視圖和文件信息圖像文件十六進(jìn)制視圖圖像視圖和文件信息應(yīng)用程序十六進(jìn)制視圖和文件信息圖像文件十六進(jìn)制視圖圖像視圖和文件信息文件十六進(jìn)制視圖文件信息和視音頻文件十六進(jìn)制視圖和文件信文本文件十六進(jìn)制視圖和文件信息文檔文件十六進(jìn)制視圖和文件信置十六進(jìn)制視圖和文件信數(shù)據(jù)庫(kù)選項(xiàng)卡會(huì)在各選項(xiàng)卡中顯示數(shù)據(jù)，具體取決于數(shù)據(jù)類(lèi)型n表格視圖-列出在數(shù)據(jù)分析過(guò)程中找出的屬于特定類(lèi)型的所有文件(圖像、、音頻、文本等)。n文件夾視查看重建的文件系統(tǒng)中與數(shù)據(jù)文件路徑相對(duì)應(yīng)的文件夾結(jié)構(gòu)(僅適用于數(shù)據(jù)文件)。n十六進(jìn)制查看二進(jìn)制項(xiàng)目的十六進(jìn)制數(shù)據(jù)。n圖像視圖-查看圖像。請(qǐng)參閱查看圖像文件(在本頁(yè)79)n縮略圖查看圖像的縮略圖(僅適用于圖像)n文件信查看文件的相關(guān)信息。n數(shù)據(jù)庫(kù)視查看數(shù)據(jù)庫(kù)文件的內(nèi)容。使用數(shù)據(jù)選項(xiàng)卡選擇項(xiàng)目在數(shù)據(jù)顯示區(qū)域中選擇項(xiàng)目，以將其包含在生成的任何報(bào)告中。在默認(rèn)情況下會(huì)選中所有的項(xiàng)目。n要選擇多個(gè)項(xiàng)目，請(qǐng)按住SHIFTCTRL鍵(分別用于選擇連續(xù)項(xiàng)目和選擇不連續(xù)的項(xiàng)目)。n選中一個(gè)項(xiàng)目時(shí)，可以按空格鍵選中或取消選中復(fù)選框，將該項(xiàng)目包含在報(bào)告中或?qū)⑵鋘要同時(shí)選中所有項(xiàng)目請(qǐng)單擊列標(biāo)題中的(表格視圖縮略圖視圖和時(shí)間線)按字母順序或時(shí)間對(duì)各列進(jìn)行排序。n單擊列標(biāo)題可以切換順序。n方法是將列拖動(dòng)到喜歡的位置。n右鍵單擊列標(biāo)題并選擇列表中的列名稱。在默認(rèn)情況下，包含文本信息的數(shù)據(jù)選項(xiàng)卡的右側(cè)面板為打開(kāi)狀態(tài)，其中顯示所選項(xiàng)目的信息。n要關(guān)閉或打開(kāi)右側(cè)面板請(qǐng)單擊要導(dǎo)出特定選項(xiàng)卡中的數(shù)據(jù)請(qǐng)?jiān)谥袉螕粝Ｍ褂玫妮敵龈袷剑篍xcelHTMLPDFXMLKML(僅限于位置數(shù)據(jù))或EML(僅限于電子郵件數(shù)據(jù))將顯示“導(dǎo)出”框執(zhí)行以下操作之一：n輸入希望用于保存報(bào)告的路徑。n單擊并瀏覽到希望使用的位置并加以選擇選擇包括翻譯復(fù)選框以包含翻譯后的數(shù)據(jù)。單擊確定將生成報(bào)告，并且出現(xiàn)一則消息，詢問(wèn)您是否要在第軟件中將其打開(kāi)單擊是或否文件將在默認(rèn)的第軟件中打開(kāi)導(dǎo)出到EML數(shù)據(jù)文件的表格視圖指示項(xiàng)目是否包含在所生成的報(bào)告中。包含時(shí)則為選中狀態(tài)，指示項(xiàng)目是否包含在所生成的報(bào)告中。包含時(shí)則為選中狀態(tài)，未包含時(shí)則未選中。書(shū)簽的詳細(xì)信息。指示附件的源應(yīng)用程序，以及是否發(fā)送或接收。數(shù)據(jù)文件的時(shí)間戳。上一次數(shù)據(jù)文件的修改時(shí)間戳。數(shù)據(jù)文件的創(chuàng)建時(shí)間戳。數(shù)據(jù)文件的其他元數(shù)據(jù)。文件的大小。小文件系統(tǒng)中數(shù)據(jù)文件的根路徑。徑文件的名稱。稱圖像的縮略圖，或者對(duì)應(yīng)于文件類(lèi)型的圖標(biāo)(僅限于圖像文件)。像表示數(shù)據(jù)文件是否包含附件。指示數(shù)據(jù)文件是已經(jīng)刪除 還是狀態(tài)未知("?"或白色的文檔圖標(biāo))。指示項(xiàng)目是否帶有書(shū)簽。此外還有用于顯示附件、指示是否為通話以及用于顯示方向的各種指示符n雙擊一個(gè)項(xiàng)目記錄(表中的行)可以打開(kāi)“Hex查看器”選項(xiàng)卡，其中顯示所選文件的十六進(jìn)制數(shù)據(jù)。已分析數(shù)據(jù)的表格視圖對(duì)于已分析的數(shù)據(jù)，表格視圖選項(xiàng)卡中將列出在數(shù)據(jù)分析過(guò)程中找到的屬于特定類(lèi)型的所有項(xiàng)目(、聯(lián)系人、S消息等)。文件夾視圖n選則文件夾復(fù)選框可以選中該文件夾中的所有項(xiàng)目(包括子文件夾)。選中的項(xiàng)目將包含在所生成的報(bào)告中。選中某個(gè)項(xiàng)目時(shí)，會(huì)同時(shí)在數(shù)據(jù)顯示區(qū)域的所有選項(xiàng)卡中將其選中。n單擊可在數(shù)據(jù)顯示區(qū)域內(nèi)新建一個(gè)選項(xiàng)卡在其中打開(kāi)此文件夾將顯示以下的文件夾信息：n在提取出的文件系統(tǒng)中的文件夾名稱。n該文件夾下選中的項(xiàng)目數(shù)(帶括號(hào)的紅色字樣)n該文件夾下項(xiàng)目的總數(shù)(黑色)數(shù)據(jù)庫(kù)視圖n在“文件系統(tǒng)”樹(shù)項(xiàng)目中打開(kāi)一個(gè).db數(shù)據(jù)庫(kù)視圖顯示了在提取信息中找到的數(shù)據(jù)庫(kù)文件的內(nèi)容。數(shù)據(jù)庫(kù)視圖由以下各部分組成：數(shù)據(jù)庫(kù)表格的列表。表格名稱旁帶括號(hào)的數(shù)字表示該數(shù)據(jù)庫(kù)表格內(nèi)的記錄數(shù)。在左列中選擇一個(gè)表格，其中的記錄就會(huì)在右列中顯示出來(lái)。記錄顯示區(qū)域中列出所選數(shù)據(jù)庫(kù)表格中的數(shù)據(jù)記錄。使用搜索字段來(lái)過(guò)濾所顯示的記錄。單擊 可以將選中的數(shù)據(jù)庫(kù)記錄導(dǎo)出為CSV文件十六進(jìn)制視圖在項(xiàng)目樹(shù)中打開(kāi)的每個(gè)二進(jìn)制項(xiàng)目都會(huì)新建一個(gè)“十六進(jìn)制視圖”選項(xiàng)卡。舉例而言，打開(kāi)某個(gè)盤(pán)的鏡像時(shí)，就只會(huì)打開(kāi)一個(gè)“十六進(jìn)制視圖”選項(xiàng)卡。而打開(kāi)一個(gè)二進(jìn)制項(xiàng)目，如鏡像文件時(shí)，除了“十六進(jìn)制視圖”選項(xiàng)卡，可能還會(huì)有其他選項(xiàng)卡?！笆M(jìn)制視圖”選項(xiàng)卡包含如下組成部分：十六進(jìn)制視圖選項(xiàng)卡n地址列：使用十六進(jìn)制或十進(jìn)制數(shù)值表示的信息列編號(hào)，顯示十六進(jìn)制以及ASCII數(shù)據(jù)表示區(qū)域中每一行的起始地址。n十六進(jìn)制數(shù)據(jù)視圖列：所選項(xiàng)目的十六進(jìn)制數(shù)據(jù)nASCII表示視圖列：ASCII將鼠標(biāo)置于“十六進(jìn)制視圖”中的數(shù)據(jù)上方時(shí)，會(huì)自動(dòng)顯示一個(gè)信息框。信息框中顯示指向已分析數(shù)據(jù)項(xiàng)目(如項(xiàng)目樹(shù)中的文件和文件夾)的(指針)，以及與所指向的數(shù)據(jù)相關(guān)聯(lián)的搜索結(jié)果。十六進(jìn)制視圖工具欄單擊可將整個(gè)內(nèi)存提取內(nèi)容保存為一個(gè)本地的文件夾。將“十六進(jìn)制視圖”選項(xiàng)卡中當(dāng)前選中的內(nèi)容到剪貼板。顯示“查找”框，在所顯示的十六進(jìn)制顯示面板中搜索出現(xiàn)指定信息的所有位置。顯示“查找”框，其中顯示上次搜索時(shí)使用的搜索參數(shù)添加為當(dāng)前在十六進(jìn)制顯示面板中選中的內(nèi)容添加書(shū)簽。將偏移值重新定向到十六進(jìn)制顯示面板內(nèi)容中的特定地址處。切換是否在光標(biāo)位置顯示浮動(dòng)的信息框。切換是否顯示左側(cè)的地址列。切換是否顯示右側(cè)的ASCII表示列分析信息選項(xiàng)卡在“十六進(jìn)制視圖”選項(xiàng)卡下方的是“分析信息”選項(xiàng)卡，其中顯示了以下與所顯示的十六進(jìn)制數(shù)據(jù)直接相關(guān)的信息：n-各種對(duì)數(shù)值的解讀(如81632和64位)、各種字符串編碼、日期與時(shí)間格式等，這些內(nèi)容是針對(duì)十六進(jìn)制視圖中選中的數(shù)據(jù)實(shí)時(shí)計(jì)算得出的。請(qǐng)參閱使用數(shù)值選項(xiàng)卡對(duì)頁(yè)。n-在顯示的十六進(jìn)制數(shù)據(jù)中添加的列表。請(qǐng)參閱正在使用十六進(jìn)制(在本頁(yè)218)。n突出顯-列出在所顯示的十六進(jìn)制數(shù)據(jù)中標(biāo)記為突出顯示的內(nèi)容區(qū)段。突出顯示結(jié)果的數(shù)量顯示在該選項(xiàng)卡名稱旁邊的括號(hào)中。請(qǐng)參閱使用“突出顯示”選項(xiàng)卡(對(duì)頁(yè))n搜索-顯示在所顯示的十六進(jìn)制數(shù)據(jù)中進(jìn)行搜索的結(jié)果。每次執(zhí)行搜索時(shí)，都會(huì)打開(kāi)您可以根據(jù)自己的喜好重新安排“分析信息”選項(xiàng)卡的顯示方式：n雙擊某個(gè)部分的標(biāo)題條，可以將整個(gè)部分顯示為一個(gè)浮動(dòng)的面板。雙擊該浮動(dòng)面板的標(biāo)題條，可以將其重新?？炕啬J(rèn)的位置(即“十六進(jìn)制視圖”選項(xiàng)卡的底部)。n雙擊任何選項(xiàng)卡的名稱，可以將其顯示為一個(gè)浮動(dòng)的面板。雙擊該浮動(dòng)面板的標(biāo)題n將該浮動(dòng)面板的名稱拖動(dòng)到顯示的任何一個(gè)?？可希梢詫⑵渫？康健笆M(jìn)制視圖”選項(xiàng)卡上的相應(yīng)位置。使用“數(shù)值”選項(xiàng)卡實(shí)時(shí)地根據(jù)各種編碼類(lèi)型來(lái)對(duì)原始數(shù)據(jù)進(jìn)行，并在“數(shù)值”列表中將其展開(kāi)顯示。要數(shù)值選項(xiàng)卡，請(qǐng)單擊十六進(jìn)制視圖選項(xiàng)卡底部的數(shù)值選項(xiàng)卡在十六進(jìn)制內(nèi)容中選擇一個(gè)數(shù)據(jù)片段。要顯示后的數(shù)據(jù)，請(qǐng)滾動(dòng)到希望使用的編碼方式，然后單擊展開(kāi)顯示。某些編碼選項(xiàng)(如16位)有次一級(jí)的編碼類(lèi)型。您可以單擊 來(lái)完全展開(kāi)或折疊所有編碼類(lèi)型使用“”選項(xiàng)卡突出顯示選項(xiàng)卡列出了在所顯示的十六進(jìn)制數(shù)據(jù)中突出顯示的內(nèi)容區(qū)段。每個(gè)區(qū)段都代表著已分析的數(shù)據(jù)在十六進(jìn)制數(shù)據(jù)中所處的位置。使用突出顯示選項(xiàng)卡，您就可以在十六進(jìn)制數(shù)據(jù)中定位特定類(lèi)型的已分析數(shù)據(jù)。突出顯示結(jié)果的數(shù)量顯示在該選項(xiàng)卡名稱旁邊的括號(hào)中。要突出顯示選項(xiàng)卡，請(qǐng)單擊十六進(jìn)制視圖選項(xiàng)卡底部的突出顯示選項(xiàng)卡在項(xiàng)目樹(shù)中，單擊某個(gè)已分析的數(shù)據(jù)文件夾(例如聯(lián)系人)所選文件夾的位置就會(huì)在十六進(jìn)制視圖選項(xiàng)卡中突出顯示出來(lái)，同時(shí)組成該文件夾的數(shù)據(jù)區(qū)塊也會(huì)在突出顯示選項(xiàng)卡中列出?！啊边x項(xiàng)卡“文件信息”選項(xiàng)卡顯示了有關(guān)數(shù)據(jù)文件的如下信息：nFAT包括其他屬性的文件分配表。n日期和時(shí)間-數(shù)據(jù)文件的創(chuàng)建、修改和最后一次的時(shí)間戳n一般-n數(shù)據(jù)文件在十六進(jìn)制數(shù)據(jù)中的偏移地址。nEXIF由照相機(jī)記錄下并嵌入其中的EXIF信息(如果存在)n文件元圖像的常規(guī)信息(捕獲時(shí)間、分辨率、大小和顏色深度)查看圖像文件雙擊數(shù)據(jù)顯示選項(xiàng)卡中的圖像。此時(shí)將打開(kāi)一個(gè)新的選項(xiàng)卡，其中包含該圖像。該選項(xiàng)卡進(jìn)一步分為兩個(gè)子選項(xiàng)卡：圖像視圖和文件信息。在圖像視圖圖像放大顯示時(shí)，單擊可以在圖像中導(dǎo)航。順時(shí)針和逆時(shí)針旋轉(zhuǎn)圖像?？s放以適合選項(xiàng)卡大小。將縮放重置為100%。隱藏圖像控件。單擊文件信息選項(xiàng)卡可查看文件的信息。例如“文件元數(shù)據(jù)”部分中包括了捕獲時(shí)間等播放文在數(shù)據(jù)表格中，雙擊希望的文件。將打開(kāi)一個(gè)新選項(xiàng)卡來(lái)該文件。單擊縮略圖上的圖標(biāo)。下面顯示了一個(gè)示例要在默認(rèn)的程序 n右鍵單擊文件并選擇使用默認(rèn)的程序打開(kāi)66尋找和分析信息在數(shù)據(jù)選項(xiàng)卡中搜索信息在表格視圖選項(xiàng)卡中搜索數(shù)據(jù)表格中的某個(gè)特定項(xiàng)目。該搜索將針對(duì)表格中的所有數(shù)據(jù)條目執(zhí)行。n在表搜索框中輸入任意字符串。使用快速過(guò)濾器功能使用快速過(guò)濾器工具，可以按照如下方式對(duì)表格視圖選項(xiàng)卡中的數(shù)據(jù)進(jìn)行過(guò)濾顯示自帶或非系統(tǒng)圖像。過(guò)濾設(shè)備附帶或應(yīng)用程序安裝時(shí)加入的圖像。默認(rèn)過(guò)濾所有系統(tǒng)圖像。您可以在設(shè)置>數(shù)據(jù)文件下更改此設(shè)置。僅選定的僅顯示已選定的項(xiàng)目。僅未選定僅顯示未選定的項(xiàng)目。僅顯示已刪除的項(xiàng)目。顯示所有圖像顯示所有圖像。此過(guò)濾器會(huì)覆蓋使用以下三個(gè)過(guò)濾條件的過(guò)濾器：顯示大于30KB的圖像、大于100KB的圖像和大于500KB的圖像。顯示大于30僅顯示30KB以上的小圖像顯示大于100KB以上的中等圖像顯示大于100KB以上的大圖像過(guò)濾圖像展名單擊以啟用文件類(lèi)型過(guò)濾：JPEGGIFBMP或PNG顯示JPGJPEG文件。GIF文件。BMP文件。PNG文件。按照元數(shù)據(jù)(“全部”“不帶有元數(shù)據(jù)”或“具有元數(shù)據(jù)”)和位置(“全部”“具有位置”或“不帶有位置”)對(duì)圖像和文件進(jìn)行過(guò)濾。按照捕獲時(shí)間對(duì)圖像和文件進(jìn)行過(guò)濾。默認(rèn)顯示最大范圍，您可以選擇一個(gè)具體的日期和時(shí)間范圍。翻譯過(guò)濾對(duì)的文本進(jìn)行過(guò)濾，選擇是顯示全部文本、文本還是未翻譯文本。過(guò)濾提取的相關(guān)項(xiàng)，這在使用多個(gè)提取功能時(shí)非常有用(請(qǐng)參閱分析多個(gè)提取在本頁(yè))所有顯示所有項(xiàng)，僅重復(fù)信息僅顯示包含重復(fù)信息(重復(fù)項(xiàng)或冗余信息)僅非重復(fù)信息僅顯示不包含重復(fù)信息的項(xiàng)，以及僅包含其他數(shù)據(jù)的項(xiàng)僅顯示包含其他信息的項(xiàng)。打開(kāi)顯示項(xiàng)目和相關(guān)消息 選項(xiàng)卡在表格視圖中打 中的所有消息過(guò)濾帶有附件的數(shù)據(jù)文件。“全部”適用于所有數(shù)據(jù)文件，“附件”適用于含附件的數(shù)據(jù)文件，“無(wú)附件”適用于不含附件的數(shù)據(jù)文件。附件過(guò)濾已發(fā)送或已收到的過(guò)濾器附件?！叭俊边m用于所有附件，“已發(fā)送”適用于已發(fā)送的附件，“已收到”適用于已收到的附件，“未知”適用于未知附件。附件來(lái)源應(yīng)用按附件的來(lái)源應(yīng)用程序進(jìn)行過(guò)濾。將列出提取中的所有應(yīng)用程序。選擇要顯示的應(yīng)用程序并單擊完成。標(biāo)記所選項(xiàng)目。從所選項(xiàng)目中刪除打開(kāi)管理窗口。打向 向?qū)б越QL查詢，并將數(shù)據(jù)庫(kù)字段映射到UFEDPhysicalyzer模型。將當(dāng)前視圖導(dǎo)出到ExcelHTMLPDFXMLWord位置過(guò)濾過(guò)濾地圖上顯示的位置。檢索所選位置的物理地址。通過(guò)拍攝/記錄、創(chuàng)建、修改、或刪除的時(shí)間，或者通過(guò)相機(jī)生產(chǎn)商或型號(hào)對(duì)所選圖像或進(jìn)行分組。刪除所有過(guò)濾刪除所有應(yīng)用的過(guò)濾器。使用高級(jí)過(guò)濾器在任何分析數(shù)據(jù)或數(shù)據(jù)文件窗口中，列出的結(jié)果將按列過(guò)濾。單擊相關(guān)列標(biāo)題以查看過(guò)濾器和排序選項(xiàng)。下面顯示了一個(gè)示例。當(dāng)選擇過(guò)濾器時(shí)，僅顯示相關(guān)結(jié)果。在所有打開(kāi)的項(xiàng)目中搜索信息中的所有可用于在所有打開(kāi)的項(xiàng)目中搜索信息。在所有項(xiàng)目框中鍵入任意字符串。將在所有項(xiàng)目搜索字段下顯示匹配結(jié)果的列表。這些結(jié)果將按所屬的打開(kāi)項(xiàng)目排序。而在每個(gè)打開(kāi)的項(xiàng)目中，結(jié)果將按照類(lèi)別()排列。同時(shí)還會(huì)顯示每個(gè)類(lèi)別下找到的匹配結(jié)果的數(shù)目。單擊可以折疊或展開(kāi)項(xiàng)目執(zhí)行以下操作之一：n單擊項(xiàng)目名稱旁的可以在數(shù)據(jù)顯示區(qū)域的選項(xiàng)卡中查看搜索結(jié)果在提取內(nèi)容中n選擇快速結(jié)果列表頂部的全部顯示可以在數(shù)據(jù)顯示區(qū)域中打開(kāi)一個(gè)結(jié)果選項(xiàng)卡，其中列出所有匹配的搜索結(jié)果。各項(xiàng)目中與搜索相匹配的字符串將以紅色顯示。直到關(guān)閉應(yīng)用程序前您最近的搜索活動(dòng)(20次搜索)，包括已保存的所有項(xiàng)目搜索和表搜索。瀏覽文件系統(tǒng)FDyscl yzr能夠重新構(gòu)建設(shè)備的文件系統(tǒng)以形成一個(gè)樹(shù)形結(jié)構(gòu)，并將其顯示出來(lái)。在樹(shù)中的文件系統(tǒng)項(xiàng)目中，單擊每個(gè)節(jié)點(diǎn)旁的或繼續(xù)在文件系統(tǒng)中深化以瀏覽其內(nèi)容。n-在文件系統(tǒng)中找到的現(xiàn)有的文n-在文件系統(tǒng)中找到的已刪除的文件數(shù)對(duì)該文件顯示的信息選項(xiàng)卡數(shù)量取決于文件的類(lèi)型。例如，對(duì)于未知文件，可能只會(huì)顯示十六進(jìn)制視圖和文件信息選項(xiàng)卡；而對(duì)于JPEG圖像，則可能還會(huì)顯示圖像視圖和元數(shù)據(jù)十六進(jìn)制視圖是默認(rèn)的視圖。有關(guān)使用十六進(jìn)制視圖的詳細(xì)信息，請(qǐng)參閱十六進(jìn)制視圖(在本頁(yè)74)和使用十六進(jìn)制數(shù)據(jù)(在本頁(yè)195)當(dāng)數(shù)據(jù)顯示區(qū)域中顯示了某個(gè)鏡像的十六進(jìn)制提取內(nèi)容時(shí)，單擊樹(shù)中文件系統(tǒng)項(xiàng)目下的某個(gè)文件，可以在數(shù)據(jù)顯示區(qū)域的十六進(jìn)制數(shù)據(jù)中將該文件對(duì)應(yīng)的數(shù)據(jù)部分突出顯示出來(lái)。時(shí)間線視圖時(shí)間線視圖是一個(gè)功能強(qiáng)大的工具，您可以通過(guò)它來(lái)按照時(shí)間順序分析數(shù)據(jù)，識(shí)別事件發(fā)生的順序，找出它們之間的聯(lián)系。n單擊可以按照日期對(duì)事件進(jìn)行分組或取消分組在圖形視圖中，事件顯示在一個(gè)圖形中，這樣您就可以快速識(shí)別出可能會(huì)感的活動(dòng)激增情況。n要在時(shí)間線內(nèi)向前或向后滾動(dòng)請(qǐng)使 、、和按鈕您可以提高或降低時(shí)間線視圖中的細(xì)節(jié)等級(jí)：n要提高時(shí)間解析度，請(qǐng)單擊。n要降低時(shí)間解析度，請(qǐng)單擊。此時(shí)發(fā)生間隔較短的事件就會(huì)被標(biāo)記為一組。n單擊可以打開(kāi)包含該組事件的新時(shí)間線視圖視像、電子郵件、S和彩信消息等這些與通訊交流有關(guān)的數(shù)據(jù)可以通過(guò)一個(gè)對(duì)話形式的布局顯示出來(lái)，這樣就可以更好地雙方或多方之間的交流?？梢运阉髁奶熘械南ⅲx擇要包含在報(bào)告內(nèi)的消息(默認(rèn)將包含所有聊天消息)以及打印或?qū)С鰞?nèi)容。單擊將打開(kāi)一個(gè)選項(xiàng)卡，其中以所選項(xiàng)目發(fā)送方和接收方之間的形式顯示相關(guān)的項(xiàng)目。如需翻譯或刪除的文本請(qǐng)單擊 然后選擇翻譯全部翻譯選定的項(xiàng)或刪除全部翻譯。要打 請(qǐng)單擊要查看打印預(yù)覽請(qǐng)單擊要導(dǎo)出，請(qǐng) 選項(xiàng)卡的中單擊希望使用的輸出格式ExcelHTML XML或Word要更改的順序請(qǐng)單擊然后選擇舊消息最前或新消息最前在搜索框中輸入文本來(lái)對(duì)消息進(jìn)行過(guò)濾。如需添加或編輯請(qǐng)單擊選中復(fù)選框?qū)⑻囟ǖ南趫?bào)告中(也可以選中或取消選中全部消息)使用觀察列表針對(duì)提取出的數(shù)據(jù)運(yùn)行一個(gè)包含的觀察列表，可以識(shí)別其中重要的相關(guān)信息并將其突出顯示出來(lái)。創(chuàng)建觀察列表執(zhí)行以下操作之一：n單擊中的n選擇工具菜單中的觀察列表編輯器“觀察列表編輯器”將會(huì)出現(xiàn)。單擊并選擇新建將顯示如下的窗口在觀察列表名稱框中輸入觀察列表的名稱。要將觀察列表設(shè)為僅在項(xiàng)目的特定數(shù)據(jù)類(lèi)型中查找，請(qǐng)單擊查找范圍，然后選擇希望使用的數(shù)據(jù)類(lèi)型。在輸入說(shuō)明框中輸入觀察列表的一般性說(shuō)明可選)要將觀察列表設(shè)置為打開(kāi)項(xiàng)目時(shí)自動(dòng)運(yùn)行，請(qǐng)單擊自動(dòng)激活單擊新建可以添加新的。此時(shí)會(huì)在“”列表中出現(xiàn)一個(gè)新的行。對(duì)于每個(gè)，可以根據(jù)需要設(shè)置以下內(nèi)容n輸入值：輸入n匹配大小寫(xiě)：選中以在匹配時(shí)區(qū)分大小寫(xiě)n整個(gè)：選中以匹配整個(gè)n顏色：?jiǎn)螕舨⑦x擇在顯示匹配的時(shí)希望使用的顏色執(zhí)行以下操作之一：n單擊應(yīng)用以保存觀察列表并保持“觀察列表編輯器”n單擊確定以保存觀察列表并關(guān)閉“觀察列表編輯器”n單擊取消以關(guān)閉“觀察列表編輯器”編輯觀察列表在“觀察列表編輯器”中選擇希望編輯的觀察列表。編輯希望更改的觀察列表參數(shù)和要對(duì)觀察列表進(jìn)行過(guò)濾以找到某個(gè)特定的，請(qǐng)?jiān)谳斎胛谋疽赃M(jìn)行過(guò)濾框中鍵入該。要編輯某個(gè)，請(qǐng)?jiān)诹斜碇袉螕粝鄳?yīng)的并進(jìn)行需要的更改要?jiǎng)h除某個(gè)請(qǐng)單擊n單擊應(yīng)用以保存觀察列表并保持“觀察列表編輯器”n單擊確定以保存觀察列表并關(guān)閉“觀察列表編輯器”n單擊取消以關(guān)閉“觀察列表編輯器”導(dǎo)入觀察列表通過(guò)導(dǎo)出和導(dǎo)入功能，您可以和同事共享您的觀察列表，或使用從他們那里收到的觀察列表。您可以導(dǎo)入使用FDyscl yzr保存或創(chuàng)建的現(xiàn)有觀察列表(.csv文件)。您也可以導(dǎo)入每行單獨(dú)包含各個(gè)的CSV文件如此導(dǎo)入時(shí)將不帶有任何格單擊主中的“觀察列表編輯器”將會(huì)出現(xiàn)單擊并選擇導(dǎo)入瀏覽到保存了觀察列表的位置，選中CSV文件，然后單擊打開(kāi)。觀察列表將會(huì)出現(xiàn)在“觀察列表編輯器”中。下面顯示了一個(gè)示例。導(dǎo)出觀察列表導(dǎo)出觀察列表時(shí)，會(huì)將其保存為*.csv文件以便以后使用或與他人共享。在“觀察列表編輯器”中選擇希望導(dǎo)出的觀察列表。單擊瀏覽到希望保存觀察列表的位置，然后單擊選擇文件夾觀察列表即被導(dǎo)出。默認(rèn)情況下會(huì)采用[觀察列表名稱].csv的名稱保存。刪除觀察列表在“觀察列表編輯器”中選擇希望刪除的觀察列表。單擊將顯示如下的窗口單擊是。觀察列表即被刪除。運(yùn)行觀察列表您可以在打開(kāi)的項(xiàng)目上運(yùn)行觀察列表。在特定的項(xiàng)目上運(yùn)行觀察列表通過(guò)觀察列表編輯器運(yùn)行觀察列表時(shí)，您可以選擇要運(yùn)行的觀察列表以及運(yùn)行它們的項(xiàng)目。單擊中的以打開(kāi)“觀察列表編輯器”，然后選擇要運(yùn)行的觀察列表單擊將會(huì)顯示一個(gè)列表列出打開(kāi)的項(xiàng)目選擇希望運(yùn)行搜索的項(xiàng)目。對(duì)鉤標(biāo)記表示選中的觀察列表在該項(xiàng)目上目前處于活動(dòng)狀態(tài)。單擊應(yīng)用UFEDPhysical yzer將在選中的項(xiàng)目中搜索。完成后將在觀察列表樹(shù)項(xiàng)目中顯示觀察列表的結(jié)果。如果觀察列表只適用于特定類(lèi)型的信息(請(qǐng)參閱創(chuàng)建觀察列表(在本頁(yè)91))，則觀察列表結(jié)果中將只包含這些類(lèi)型的匹配結(jié)果。在當(dāng)前項(xiàng)目上運(yùn)行觀察列表通過(guò)項(xiàng)目樹(shù)運(yùn)行觀察列表時(shí)，您可以選擇要在當(dāng)前處理的項(xiàng)目上運(yùn)行的觀察列表。多個(gè)打開(kāi)的項(xiàng)目，所選的觀察列表將在項(xiàng)目樹(shù)中最后一個(gè)被單擊過(guò)的項(xiàng)目上運(yùn)行。單 中的將會(huì)列出所有的觀察列表選擇希望在當(dāng)前處理的項(xiàng)目上運(yùn)行的觀察列表。對(duì)鉤標(biāo)記表示該觀察列表在項(xiàng)目上目前處于活動(dòng)狀態(tài)。單擊項(xiàng)目樹(shù)中當(dāng)前所關(guān)注項(xiàng)目上的應(yīng)用單擊 中的時(shí)只能在項(xiàng)目樹(shù)中最后一次單擊的項(xiàng)目上運(yùn)行觀察列表UFEDPhysical yzer將在選中的項(xiàng)目中搜索。完成后將在觀察