教程案例教案

法律©2017CellebriteMobileSynchronization .，保留所利。本手册的提供应遵循下列条件与限制：n本手册包括归属于CellebriteMobile .的专有信息。此类信息仅用于助明确并适当的UFED yzer用户n未获Cellebrite .明确的事先，手册任意部分的内容均不得挪作他用、透露给其他个人或公司，或以(机械或电子形式)进行。n手册中的文本和图形说明与参考之用。这些内容所依据的规范更改，恕不另行通知。n文档内容更改，恕不另行通知。除非另行注明，否则示例中使用的企业和个人的名称及数据均为虚构。内3内简 物理提 数据分 安装和激 系统需 软件安 安装UFEDPhysical 激活 新版本通 使用证硬件保护装 使用软件 使用网络硬件保护装 停用软件 扫描恶意软 更新特征码数据库( 从文件更新特征码数据库(离线 入 启动UFEDPhysical 打开提取内容进行分 分析多个提 打开与合并项 提取信息 重命名项目和提 和分析 多提取设 报 保存项目会 在高级模式下打开提取内 以高级模式打开UFED提取文 以高级模式打开非UFED提取文 保存.ufd文 加载项目会 关闭项 关闭UFEDPhysical 键盘快捷方 工作空间简 项目 使用项目树区 数据显示区 欢迎选项 “提取信息”选项 数据选项 查看图像文 文 寻找和分析信 在数据选项卡中搜索信 使用快速过滤器功 使用高级过滤 在所有打开的项目中搜索信 浏览文件系 时间线视 视 使用观察列 创建观察列表编辑观察列表导入观察列表导出观察列表删除观察列表运行观察列表查找观察列表 设备位 查看离线地 查看离线地 标记与信息窗 (无线网络)数据 检索地 翻译解码出的数 使用本功 更新证以包含所选择的语 在MyCellebrite中选择语 翻译 翻译出的数 报 使用项目分 生成报 报告数据集设 报告安全设 报告布局设 执行提 对iOS设备执行提 物理提 高级逻辑提 对GPS或大容量设备执行提 GPS或大容量设备中的数据 高级功 11.1.向 正在识别数据 正在建立查 正在映射数 正在运行创建的查 管理查 模糊型 使用 导出TomTom文 导入TomTom文 打开加密的提取内 打开加密的zip文 提取和BlackBerry备份文 BlackBerry数据库的 导出帐户数据 雕复图 扫描雕复的图 使用雕复的图 验证Hash 网络硬件保护装置-管理过 网络硬件保护装置-系统要 管理网络硬件保护装置 功能页 会话页 更新网络硬件保护装置 独立安装所需驱动程 启用网络硬件保护装置日 使用十六进制数 在十六进制数据和已数据中搜索信 搜索字符 搜索字 搜索日 搜索SIM卡ICCID 搜索SMS 搜索正则表达式 搜索SMS文本字符 搜索模 搜索代码和 浏览十六进制提取内 使用偏移跳转到文件中的不同位 正在使用十六进制 正在添加十六进制 正在编辑十六进制 原始数据 查看十六进制数据信 在十六进制内容中寻找特定类型的数 相机和截图证 高级解 管理 构建新的 编辑现有的 将设备附加到链 设置默认的设备 将设备与链分 删除 链说 插 管理插 运行特定的插 使用PythonS 导出文件系 使用Android图形雕复插 使用 雕复插 设 常规设 数据文 数据文件过滤方 管理数据文件设 Hex查看器设 模式设 接口设 额外的报告字 添加新的报告字 编辑报告字 删除报告字 报告默认 后链插件设 保存设 加载设 设定项目设 设置项目的世界协调时 设置案例信 参 “文件”菜 “视图”菜 查看窗 “工具”菜 “提取”菜 “Python”菜 “插件”菜 “报告”菜 “帮助”菜 1简UFED由以下大量部件组成 UFEDTouchUFED4PCUFEDInField用于实现从移动设备进行逻辑、、SIM文件系统以及物理的提取，然后将所提取信息保存到USB闪存驱动器、SD卡或PC上。nUFEDCloudyzer可以提取来自云数据来源的信息。云数据来源是指通过Internet向消费者提供的服务。 UFEDyticsDesktop可以根据物理、逻辑和文件系统提取生成的报告，立即识别出可 UFEDPhysical yzer应用程序通过高级的解码、分析和报告功能对设备内存中的内容进行次的展示。UFEDPhysical yzer可以由UFED创建的各种类型的提取内 PhoneDetective应用程序则能通过的物理属性帮助人员快速对其进行识别，从而避免因为需要启动设备而导致其锁死的。UFED的工作流程包括如下两个步骤n提取-使用UFED进行物理、文件系统、逻辑、和SIM卡的提取n使用UFED yzer执行、分析和报告物理提取执行物理提取时，UED使用高级的提取方法来为移动设备使用的每个闪存或地址范围创建一个单独的十六进制提取文件。与逻辑提取不同，物理提取方法将绕过设备的操作系统，直接获取设备内部闪存中的数据。设备的内存数据将捉到十六进制的提取文件以便以后用UFEDPhysical yzer加以和。所创建的物理提取内容将会包含由设备操作系统分配的内存空间，其中可能含有已删除的数据，如SMS、、条目、、和用户。物理提取提供了移动设备闪存中内容的逐字节拷贝。对物理提取进行不仅能取出完好的数据，还能取出隐藏或者已经删除的数据。可以恢复文件和未分配空间中的已删除数据1。UFEDPhysicalyzer提供的高级生成算法可以恢复记录，从而揭示出未分配空间中额外的已删除数据。所揭示的已删除数据量取决于设备上的具体数据。出的数据将和已分析的数据一起显示在同样的列表中。举例而言，来自未分配空间的已删除M将和其他SMS一起显示在同一个列表中。未分配的空间指分区上没有用于活动文件的群集。其中可能含有已经从文件分区中删除，但未从物理磁盘上移除的文件片段。第1章简 在未分配空间中进行的数据生成可以带来以下的好处：n市面上最好最快的已删除数据恢复解决方案。n以更少的时间揭示的已删除数据n可以揭示出以前无法发现的已删除数据。n得到的数据质量更高自动移除误报和重复项。nn同一个视图：可以在同一个视图内安排所有的数据，包括从未分配空间中出的数数据分析UFED yzer供人员对所提取的数据执行深入的分析并生成报告UFED yzer的主要功能如下n提取内容并生成内存内容的分层视n提供十六进制文件的详尽视图n重新构建设备的文件系统n各种分析得出的数据类型，如：联系人列表、SMS消息、、设备信(IMSIICCID户代码)和应用程序信息等n提供数据文件的视图，包括图像、、数据库等n当前数据和已删除的数据n揭示设备的(如果可用niOSGPS设备执行功能强大的提取nnn即时搜索所有的项目内容n基于多个参数的高级搜索功能n即时搜索数据表内容n观察列表功能，用于根据预定义的列表来自动突出显示信nnn软件扫描器可以识别设备中的软件n基于各种参数如字符串、字节、数字、日期搜索十六进制信息 可以使用正则表达式(RegEx)查找特定数据字符串n为特定内存位置添加书签以便将关键区域编入索引，从而供以后查看nPython外壳命令执行数据分析1应用程序数据包括Kik 等n插n添加或删除插n使用Python语言自行编写插n管理n生成多种格式的可定制报告(徽标、标题等22安装和激活本节叙述了在PC上安装UFEDPhysicalyzer并激活的过程。系统需求带PentiumIV或与其兼容，并且主频为1.6GHz或更高的处理器，同时与ndows兼容的系位Windows10，64Windows8.x，64Windows内16要1GB的安装可用磁盘空间要.Net4.6版或之前版本.14.5权如果想要使用由Cellebrite提供的硬件证密钥(硬件保护装置)来激活应用2015228UFED系列将不再支持WindowsXP软件安装要获取 yzer的副本可以从以下来源获得UFED yzer安装程序的副本nUFED yzer的CDn从MyCellebrite安装UFEDPhysical开始之前，请没有将U-441线连接到计算机。双击安装文件。选择所需语言，然后单击确定继续。将显示如下的窗口。单击下一步。将显示如下的窗口。阅读协议。然后选择我接受协议，并单击下一步。将显示如下的窗口。如果需要，可以单击浏览设置不同的安装文件夹，然后单击下一步。将显示如下的窗口。如果不希望有桌面图标，请清除创建桌面图标复选框，然后单击下一步。将显示如下单击安装在安装过程中，可能会提示您下载并安装 .NET3.5Framework这是安装过程的一部分，并且要求您的计算机能Internet。如果想要使用由Cellebrite提供的硬件证密钥(硬件保护装置)来激活应用程序，请选择安装HASP硬件保护装置驱动程序。必须拥有管理员权限才能安装HASP硬件保护装置驱动程序。安装完成时选择启动 yzer即可启动应用程序单击完成激活用以下方法中的一种激活UFED yzer yticsDesktopUFEDPhone以及UFEDPhysical/Logicaln使用证硬件保护装置(下一页n使用软件证(在本页n使用网络硬件保护装置(在本页检查您的UFED套件以确定应当使用的激活方法。新版本通知有新版本的软件可用时，Cellebrite会进行通知。如果已连接到Internet，就会在有新版本可用时收到该通知。如果未连接到Internet，则会每3个月显示一次通知。使用证硬件保护装使用随UFED套件提供的UFED硬件保护装置。硬件保护装置中包含了所的全部应用程序的证。UFED将硬件保护装置连接到计算机上的USB端口。系统将会自动找到证。操作系统识别出硬件保护装置后，应用程序便可以启动UFED应用程序。恭喜，您的应用程序现已准备就绪！如果没有找到包含证的硬件保护装置首次启动时或是未找到证硬件保护装置时，将显示一个Cellebrite产品窗口如果已经将硬件保护装置连接到计算机上 USB端口，但仍然无法工作，请联 要使用硬件 证密钥，必须先安装HASP硬件保护装置驱动程序。如果在选择Hasp硬件保护装置驱动程序使用软件首次打开应用程序时必须激活证UFED以下：nUFEDPhysicalhttps:/ 用您的MyCellebrite帐户登录。(如果没有帐户，请单击立即激活并创建一个用户，然后返回到所需的UFED应用程序您将被引导至产品激活窗口。单击应用程序并将文件保存到PCzip文件，单击安装文件并通过安装向导安装软件。重新启动PC(如果需要)重复步骤1以转到应用程序如果的是UFED4PC，请在“激活方法”框中选择激活代码。如果的是UFEDTouch，请选择UFEDTouch/UFEDClassic。nUFED4PCUFEDyzer yticsDesktop：在“激活码”字段中输入在UFED套件中提供的激活代码。激活方法并非UFEDCloud yzernUFED4PCUFEDyzer yticsDesktop：在“激活码”字段中输入在UFED套件中提供的激活代码。nUFEDTouch：在“序列号”字段中，选择在UFEDTouch设备或UFEDTouch的“证激活”屏幕上显示的UFED序列号。要添加新设备，请单击添加，然后输入必需的信息。然后获取计算机ID(执行此步操作时关闭MyCellebrite页面) 启动应用程序。将显示“Cellebrite产品”窗口n单击以窗口中显示的计算机ID在MyCellebrite上，粘贴所的计算机ID单击生成证以将应用程序的证密钥文件到PC。该证密钥会同时发送到您的MyCellebrite电子邮件地址。在应用程序中，单击“Cellebrite产品”窗口中的加载证文件选择证文件，然后单击打开。将显示一条消息，指示软件更新成功单击关闭恭喜，您的应用程序现已准备就绪！使用网络硬件保护装置网络硬件保护装置连接到组织的网络，并且包含了所的全部应用程序的证。UFED启动UFED应用程序。如果网络硬件保护装置已经连网，则应用程序将正常启动，用户可以立即开始工作。如果未能识别出网络硬件保护装置，则会显示“Cellebrite产品”窗口单击网络。将显示如下的窗口。如果未能找到网络中的硬件保护装置，请确保已经连接到Internet，并且硬件保护装置的网络连接正常。然后单击刷新重新搜索网络硬件保护装置。在默认情况下，网络将采用“广播”配置。如果需要，可以手动连接到网络硬件保护装置。单击配置将网络配置更改为特定的主机。输入主机名(或IP地址)。如果只有一个网络硬件保护装置，就会自动选中它。但如果有多个网络硬件保护装置，就需要从列表中选择所需要的硬件保护装置，然后单击应用。恭喜，您的应用程序现已准备就绪！如希望了解与网络硬件保护装置有关的管理员操作程序，请参阅管理网络硬件保护装置证在本页。停用软件如果需要将通过软件证激活的UFED应用程序移动到另一台PC，必须先停用(删除)计算机上的证。在UFED应用程序中，转至帮助>显示证详细信息。将显示Cellebrite产品窗单击停用软件许可证。将显示软件证停用窗口。单击以计算机ID转至tt /deactivation并用您的MyCellebrite帐户登录如果没有帐户，请单击立即并创建一个用户。然后返回到tt /deactivation。将显示如下的窗口确保设备添加到产品列表中。n如果设备显示在产品列表中，请单击转到“我的产品”页面以浏览到“我的产品”页n如果该设备未在产品列表中显示，单击UFED证停用窗口中的添加设备，或我的产品页面的UFED产品/加密狗。将显示如下的窗口。输入Cellebrite产品窗口中显示的序列号、设备ID和设备名称(可选)单击添加设备。设备现在显示在“我的产品”页面中的“活动的产品”在“我的产品”页面中，找到设备，然后打开选项菜单并选择停用设备。将显示如下的窗点击下一步到您完成上述步骤。单击下载停用文件并将文件保存到PC在UFED应用程序的软件证停用窗口中，您需要上传停用文件。单击选择停用文件，然后打开停用文件。将显示软件证停用窗口。要完成停用过程，您需要将停用文件上传至MyCellebrite。在软件证停用窗口中，单击复制路径或打开所在文件夹，然后单击关闭返回MyCellebrite上的“停用向导”，然后单击下一步单击选择文件，然后将UFED应用程序创建的停用文件上传。要在其他计算机上激活UFED证，请按照使用软件证(在本页21)中的步骤操3扫描3在提取内容上运行软件侦测，以寻找其中的软件扫描软件时，UFEDPhysical yzer会应用最近一次使用的特征码数据库。如果是第一次使用软件扫描器，或者希望在扫描前更新数据库，请按照更新特征码数据库(在线)(下一页)中的步骤进行。如果使用的计算机没有Internet连接，则请按照从文件更新特征码数据库(离线)(在本页30)中的步骤进行。选择工具>软件扫描器>扫描软件或者单击将显示如下的窗口选择希望扫描的文件系统，然后单击UFEDPhysical yzer将扫描项目以寻找软件。结果将显示在项目树中的软件扫描器项目下。双击恶意软件扫描器树项目以打开一个数据显示选项卡。其中显示的数据包括软件类型和软件信息，如名称n要将此结果包含在报告中，请选择报告数据集区域中的受的文件。有关详细信息，请参阅生成报告(在本页119)。更新特征码数据库(在首次使用软件扫描器前应更新特征码数据库，在数据库中写入内容。之后可以通过更新来保证数据库中包含了的特征码。在特征码数据库中写入了内容之后，可以使用现有的数据库运行 软件扫描器。强烈建议您定期更新特征码数据库以确保其内容。选择工具菜单中的软件扫描器>更新特征码数据库。将显示如下的窗口单击从Web更新。将向数据库中写入内容。完成后，单击关闭。现在便可以扫描项目以寻找软件。从文件更新特征码数据库 离线在使用没有Internet在特征码数据库中写入了内容之后，可以使用现有的数据库运行 软件扫描器。强烈建议您定期更新特征码数据库以确保其内容。在“资源管理器”中转到UFEDPhysical yzer的主 ，将BitDefenderUpdater 一个外部的设备上。将BitDefenderUpdater 传输到一台有Internet连接并且没有服务器设置的计算 选择安装了UFED yzer的计算机所使用的操作系统。单击。将显示如下的窗口单击打开所在文件夹将definitions.msd文件到外部设备中，然后将其传输到安装了UFEDPhysicalyzer的计算机上。单击关闭以关闭“软件定义器”建议您一直使用同一台计算机来 definitions.msd文件以简化工作流程，节省时间。以后在这台计算机上definitions.msd时，“软件定义器”将对此文件执行更新，而不用整个文件。切勿删除此计算机上的definitions.msd文在UFEDPhysical yzer中，选择工具>软件扫描器>更新特征码数据库。将显示如下的窗口。单击从文件更新。将显示打开的文件窗口。通过浏览找到软件定义数据库文件(*.msd)，然后单击打开单击开始。将向数据库中写入内容。完成后，单击关闭。现在便可以扫描项目以寻找软件。4入4UFEDPhysicalyzer提供了强大的和分析工具用于处理提取出的设备数据，同时它还简化了在设备的数据结构中进行浏览的操作。UFEDPhysicalyzer可以在复杂的收集和研究工作中为您提供帮助，并能提供报告形式的法律。该应用程序的设计是对由UED单元提取出的内存内容加以利用，并以清晰简明的形式展示设备的十六进制提取内容、文件系统和分析得出的数据，从而使人员可以通过强大的搜索工具来出相关的信息。该应用程序还能生成各种格式的结果报告，如HTMLPDFExcel(*.xlsx)和XML，从而提供完整的功能。 用以下方法中的一种启动UFED n双击桌面上的UFEDPhysicalyzer快捷方式。n选择开始>程序>CellebriteMobileSynchronization>UFEDPhysical 请参阅工作空间简介(在本页54)以了解工作空间的概况。打开提取内容进行分析UFEDPhysical yzer可以打开由UFED设备创建的文件和由UFEDPhysical yzer创建的XML文件，以及UFDR文件、UFD文件和URP文件(这些文件是由ReportManager应用程序创建)。在“高级”模式下，UFEDPhysical yzer还可以打开镜像文件。有关详细信息，请参阅在高级模式下打开提取内容(在本页40)。如果将设备数据提取到了一个可移动驱动器上，那么请将包含所提取数据的USB闪存驱动器或SD卡连接到PC上。可以将提取内容的文件夹直接从可移动 复制到PC上以加快处理速度。执行以下操作之一：n单击欢迎选项卡上的打开n将UFD文件拖放到UFED yzer中n单击应用程 上的n单击应用程序菜单中的文件打开浏览到提取出的设备数据所处的位置并将其打开。选择所支持格式的提取内容：nUFDX集合*nUFED转储*n二进制文件(*.bin)。由另一个应用程序通过高级的打开功能生成的原始二进制文件或十六进制提取内容。请参阅在高级模式下打开提取内容(在本页40)。n诺基PMn黑莓备份文件(*.ipd,n索尼爱立信GDFS(*.gdfs,nTomTomCFGnInField包(*nUFED报告(*.xml)-由UFED单元生成的逻辑报告，以及由UFED yzer创建XMLnReportManager(*.urp,*.ucp)-ReportManager创建的UFED报告包/UFED内容nUFED报告在默认情况下，“打开” 框将显示*.ufd文件，即所提取设备数据的信息映射单击打开数据分析过程(包括项目分析)将开始，并且可能会持续数分钟的时间。过程结束后，系统会在项目树中加入一个新的项目，并且在数据显示区域中显示提取信息。在UFEDPhysical yzer未打开时，可以通过双击提取 中的*.ufd文件来快速打开提取内容。此时将打开UFEDPhysical yzer并开始数据分析过程。分析多个提取多个提取功能可用于将多个提取合并成一个项目，从而提供统一的分析(视图和报告)。您可以单独打开包含不同项目中提取的UFDX文件，或打开统一包含所有提取的单独项头和打开高级。此功能和分析单独的统一项目，并可以移除重复信息(重复项或冗余信息)。提取的数据都显示在一个项目树下，含有以下内容：n统一的提取信息和设备信息，并可以深化到每个提取n对任何记录来源的提取。nn过滤功能。请参阅使用快速过滤器功能(在本页81)n打开与合并项目您可以将任何类型的提取添加到一个现有的项目中。您可以打开包含多个提取的将UFDX文件作为多个提取项目打开选择文件>打开或单击打开按钮()并选择EvidenceCollection.ufdx文件(当您对一个设备进行多个提取时，此文件便已创建。)将显示如下的窗口。如果不希望每次打开包含多个提取的UFDX文件时显示此消息，请选择不要再显示此消息复选框。单击确定。单击添加提取按钮或右键单击项目并选择添加提取选择所需的提取内容。单击确定。选择文件>打开或单击打开按钮()并选择要打开的文件将显示如下的窗口单击确定。n选择文件另存UFDXn选择关闭选项卡提取信息摘要项目树中的“提取信息”区域包括多提取项目中所含的全部提取信息。每个提取信息都以不同颜色显示，便于您在各“已分析数据”选项卡中找到数据来源。提取信息选项卡包括对所有内容选项卡中全部提取信息的，而且每个提取信息都有单独的选项卡。下面显示了多提取项目的示例。有关“提取信息”选项卡中数据的详细信息，请参阅“提取信息”选项卡(在本页重命名项目和提取当多提取项目打开项目时，就称为多项目。您可以将此项目重命名。您还可以将项目中提取的默认名重命名。有关重命名提取的详细信息，请参阅“所有内容”选项卡(在本页在项目树中选择项目名。右键单击并选择重命名。将显示如下的窗口。为项目输入所需的名称。单击保存解码和分析多提取项目会发起，以便显示或滤除重复信息。所有提取的数据都显示在一个项目树下。在已分析的数据区域，您可以看到重复信息，条状图表示对数据来源的提取。条形的颜色与树中的提取信息区域中提取的颜色匹配。您可以根据需要更改设置以移除重复信息。有关详细信息，请参阅常规设置在本页。下面“已分析的数据”区域的示例显示与一个多提取项目相关的信息。相关项目过滤器。*表示其中一个合并项目中提供了其他信息。包含重复信息的项目。来源提取图标。包含重复信息的24视图显示第75(75)个选定项。已选定75可在此处查看其他信息。从其中派生数据的提取。下面“数据文件”区域的示例显示与一个多提取项目相关的信息。多提取设置n时间戳自动调整n根据设备的时区自动调整时间戳nUFDX文件作为多个项目打开n移除重复项有关这些设置的详细信息，请参阅常规设置(在本页242)报您可以为多提取项目生成一个统一的报告，其中显示了原始提取来源。有关适用于多个提取的报告设置的详细信息，请参阅生成报告在本页中的包含合并的项(已分析的数据)包含合并的项(数据文件)和包含来源信息。保存项目会话保存项目会话将保存您在项目上进行的工作，这样就可以关闭UFEDPhysical yzer并在以后重新开始该会话。保存的会话文件(.pas)中包含以下内容：n用户在分析数据和数据文件表格中选择的内容n案例信息设n生成的报n十六进制n位n打开的选项n项目名称n项目设置n报告选择n搜索nnn统一的时区设置n用户在数据表格中进行的排序nHashn观察列表的结果处理第工具执行的提取时，也可以创建项目会话保存的项目会话中不包含定义的设置。有关如何保存设置的详细信息，请参阅保存设置(在本页260)在文件菜单中选择保存项目会话。会出现另存为框。浏览到希望保存项目会话文件的位置。要更改文件名，请编辑文件名框中自动分配的名称。可以通过选择相同的文件名来覆盖之前的会话。单击保存在高级模式下打开提取内容“打开(高级)”功能可用于指定设备数据提取和过程中使用的选项。有两种可用于打开主项目的方法供选择：n选择UFED提取内容-您可以指定如何UFED提取文件(*.ufd)n开始UFD文件)用于对并非由UFED单元生成的物理提取内容或文件系统开始进行。以高级模式打开UFED提取文件标准的打开过程会启动根据*.ufd文件中记录的设备和厂商信息而设置的过程而使用选择UFED的提取方法则可以跳过标准的打开过程，并可以指定自定义的解析过程或是指定如何对未知的设备进行解析。要使用“打开(高级)”功能在UFED提取的数据上创建新的项目选择文件>打开(高级)或单击“打开(高级)”框将打开，供您设置在新的项目中如何对所提取数据执行的过单击UFED提取内容在“打开”框中，选择要处理的*.ufd文件并单击确定框的内容将更改为“高级定制”，其中显示根据所选中的*.ufd文件检测到的如下信n设备的厂商名称和型号。n选中的链-自动分配给该设备的标准设备链n二进制转储-*.ufd文件所的二进制提取内容镜像根据如下小节中所述对打开文件的选项进行自定义。单击完成指定不同的设备您可以通过将选中的设备替换为另一种来指定一个完全不同的过程在打开的(高级 框中单击切换设备将显示如下的窗口在选择设备列表中，选择希望使用的设备。执行以下操作之一来过滤所显示的设备：n单击左侧面板上厂商列表中的厂商n在快速过滤器字段中输入设备的厂商或型号来过滤所显示的设备单击下一步返回“高级定制”更改所谓链，是指一组以特定的顺序组合起来的插件，用于对提取出的数据执行。应用程序所支持设备列表中的每一种设备都分配有一个预定义的链。除插件外，链中还可能包含其他的链，这样就可以更方便地在一个链中使用一组预定的插件。有关链和插件的详细信息，请参阅高级(在本页225)和插件(在本页237)在打开的(高级)框中单击切换链。将打开“切换链”框，其中显示分配给该设备的默认链。一种设备可能分配有多个链，但其中只有一个可以设置为默认的链。n选择当前设备n在该列表的链n选择我的链n选择所有链n使用“快速过滤器”字段来过滤所显示的列表项目。选择适用的链，然后单击选择以返回“高级定制”面板。所选中的链就会取代默认的链。单击编辑。将打开当前链的链结构框，显示该链要将某个组件添加到该链：单击添加链/插件在组件库中，选择以下项目之n设备n链n插件在设备和链中选中的项目将作为链组件添加到链中。单击以添加组件。要将某个组件从链的列表中删除，请单击该组件项目右侧的x，然后单击是单击确定以返回“高级定制”完成对链的自定义后，您可以使用选中的链部分中的另存为或保存按钮来保存对链进行保存按钮只可用于保存对我的链中保存的已 用户定义链进行的自定义。有关用户定义链的详细信息，请参阅管理链(在本页225)。单击保存以用当前链替换用户定义的链，或者单击另存将当前链另存为新链。如果单击了另存为，请输入新链的名称，然后单击保存新链将添加到包含应用程序自定义链的我的链列表中，并且所保存的链将作为选中的链显示出来。添加二进制转储您可以在打开的(高级)框中添加从其他来源得到的其他二进制转储文件n要添加二进制转储文件请单击二进制转储区域中的或添加二制转储，然后选择希望添加的二进制提取文件。所添加的每个二进制转储都将以一个单独组成部分的形式显示在框的二进制转储部分中。n要删除某个二进制转储请单击将鼠标悬停在其上时显示的添加文件系统转储您可以将收到的文件系统转储添加到项目中，文件系统转储可以是ZIP存档的形式，也可以是包含文件系统提取内容文件的文件夹形式。n要添加文件系统提取内容，请单击Zip文件或文件夹，然后选择希望添加的ZIP存档或您只能添加一个文件系统提取内容。尝试添加多个时，无论前一次添加的文件系统转储是ZIP存档还是文件，都会被删除。n要删除文件系统提取内容请单击将鼠标悬停在其上时显示的以高级模式打开非UFED提取文件收到并非由UFED单元生成的二进制或文件系统提取内容时，或者没有与其对应的文件时，可以使用“打开(高级)”功能定义如何这些内容以用于新的项目选择文件>打开(高级)或单击“打开(高级)” 框将打开供您设置在新的项目中如何对所提取数据执行的过程。开始UFD文件选项提供了两个可用于开始建立新项目的起始点：n选择设备-选择对数据提取内容进行时使用的特定设备定义。如果设备的厂商和型号已知，则可以使用此选项。请参阅通过选择设备开始(向下)。n空项目-提供一个空的高级定制面板，供您设置过程参数和数据。如果没有任何有关设备及/或其厂商的信息，并且希望构建一个自定义的过程，就可以使用此选项。请参阅通过空项目开始在本页。通过选择设备开始根据一个已知设备创建用于数据提取内容的新项目。在“打开(高级)”窗口中单击选择设备在选择设备列表中，选择希望使用的设备。使用左侧的厂商列表来按厂商过滤所显示的设备，还可以使用快速过滤器字段来根据任何字符串过滤所显示的设备。单击下一步“高级定制”面板中将显示所选中设备的名称和默认链。n要选择另一种设备，请参阅指定不同的设备(在本页41)n要选择另一个解析链，请参阅更改链(在本页42)n要自行定析链，请参阅更改链(在本页42)n要添加二进制提取内容，请参阅添加二进制转储(在本页45)n要添加文件系统提取内容，请参阅添加文件系统转储(在本页45)单击完成通过空项目开始在“打开(高级)”窗口中单击空项目要选择设备，请参阅指定不同的设备(在本页41)要选择另一个解析链，请参阅更改解码链(在本页42)要自行定析链，请参阅更改解码链(在本页42)要添加二进制提取内容，请参阅添加二进制转储(在本页45)要添加文件系统提取内容，请参阅添加文件系统转储(在本页45)单击完成JTAG提JTAG(JointTestActionGroup，联合测试工作组)是一种高级的数据提取方法，取证检验者需要连接到设备的测试端口以获取完整的物理镜像。这样检验者就可以并存储于内存上的原始数据。JTAG是一种非破坏性的方法，通过它，有机会对受到部分更改或损坏、数据端口不可用(或者连接断开)或者由于其他原因无法以其他取证工具的设备中的数据进行。UFEDPhysicalyzer将JTAG的过程自动化，这样您就不再需要手动JTAG提取内商商号 A7272Desire有关支持JTAG提取的设备的更新列表，请参阅UFEDPhoneDetective移动应用或MyCellebrite中支持UFED的设备的文件通过此方法获得物理内存之后，便可以将其载入UFEDPhysicalyzer进行。您将在加载UFEDJTAG链时收到所有的数据，过程和正常的提取一样。JTG提取和FD提取的主要不同点在于提取内容中空闲位置的所在。所谓空闲是指提取内容中数据块的元数据。它可以位于提取内容中的多个位置。在正常提取过程中，它位于各数据块的末尾。而在JTG提取过程中，它位于整个提取内容的末尾。要使用JTAG数据提取内容在“打开高级窗口中单击选择设备在快速过滤器字段中输入设备的厂商或型号，或者单击左侧厂商列表中的设备厂商，以对所显示的设备进行过滤。如果所需设备不支持JTAG，可以在“快速过滤器”字段中输入“jtag”以选择一个通用的JTAG设备。选择所需设备并单击下一。将显示如下的窗口。选择方法并单击下一步。不同设备上的可选方法也不同。将显示如下的窗口要添加二进制转储文件请单击二进制转储区域中的或添加二进制转储，然后选择希望添加的二进制提取文件。所添加的每个二进制转储都将以一个单独组成部分的形式显示在框的二进制转储部分中。单击完成在设置“打开(高级)”参数的任何阶段，都可以通过单击框右上角的保存来保存一个记录了所选二进制提取内容和设备信息的*.ufd文件，以便以后下次需要同一个文件时，就可以使用保存的UFD文件来通过打开或打开(高级)功能将其打开。加载项目会话在欢迎选项卡下，打望处理的项目。选择文件菜单中的加载项目会话在“打开”框中，通过浏览找到希望打开的项目会话文件并选中单击打开关闭项目n执行以下操作之一：n选择文件菜单中的关闭n右键单击项目树中的项目名称，并选择关闭 n选择文件菜单中的退出键盘快捷方式选择用于转储文件系统的文件夹添加实体书签将光标移动到表格的末尾 将光标移动到表格的开头在打开的选项卡之间切换打开报告向导选中或取消选中复选框空格键打开设置打开项目设置关闭项目5工作空间简介工作空间包含两个主要区域：项目树和数据显示区域，这样的安排可以简化您的工作流程。工作空间由以下部分组成：应用程序菜单栏数据显示区域所有项目范围内搜索项目树项目区域显示每个打开进行分析的项目下的以下提取信息结构树 说目信n双击提取信 可在数据显示区域中打开项目 息有关详细信息，请参阅“提取信息 ”选项卡(在本页61)。要设n双击设备信息可在数据显示区域中打开一个选项卡。备设备信息选项卡列出了现有的信息，并在支持的情况下还会显示设备的重要识别信信息，如SIM卡和用户锁定代码等。所显示的类别数量和信息量取决于设备的型号息和厂商。内n双击一个镜像项目可以在数据显示区域的“十六进制视图”选项卡中将其显示出存来。镜像内存镜像树项目列出了从设备的内存模块中生成的所有提取文件。树中的内存范围项目列出了提取出的每个设备内存模块(列于镜像下)中接受分析内的内存范围。存n范n在显示的数据中突出显示对应的内存范围部分围n将其添加到显示的所属二进制镜像的突出显示列表中(位于“十六进制视图”项卡底部)n双击一个内存范围项目可以在“十六进制视图”选项卡中显示其内容。树中的文件系统项目列出在所分析的二进制文件中找到或重新构建出的所有文件文系统。件每个文件系统都带有 (硬盘)标记。统删除的文件带有(红叉)n双击任何文件系统可以在“十六进制视图”选项卡中显示其内容。树 说目树中的已分析的数据项目分组显示与设备的具体功能相关的已分析数据，如联系人、SMS消息、 可用的信息和显示的内容取决于设备的功能和应用程序版本。举例而言，S消息将按照设备的消息功能所包含的文件夹进行分类，如草稿收件箱发件箱、“已发送”等。电子邮件消息则按照发送或接收消息的帐户分类。此外还有一个未分类的帐户或消息文件夹，其中列出无法分入找到的帐户或帐户文件夹(“收件箱”、“发件箱”“草稿”等)的所有文件夹或消息。已分析的数据中可能还会显示以下信息已分n个人信息-日历、联系人、附注、 析n消息项目-SMS、彩信、电子邮件、即时消息、聊天内容的据数nWeb浏览器项书签、历史记录据nGPS信息-位置(包括来自 数据库的此类信息)、旅程、定位。有关地理位置的详细信息，请参阅设备位置(在本页99)。n设备信息蓝牙配对、无线网络、SIM卡数据、应用程序使用情况、Wi-Fi、蜂窝位括号中的数量指示了每个类别所包含的项目数。选中任何已分析的数据会自动将其添加到显示的所属二进制镜像和/或内存范围的突出显示列表中(位于“十六进制视图”选项卡底部)，并在显示的数据中突出显示它的数据范围部分。树 说目树中的数据文件项目按照常见或已知的设备或计算机文件类型排列提取出的数 n图像-被识别为属于图像文件格式的文件 -被识别为属于文件格式的文件n音频-被识别为属于音频文件格式的文件数n文本被识别为属于文本文件格式的文件据n数据被识别为属于数据库的数据结构文n配置设备配置文件(iOSplist文件件 应用程-被识别为属于应用程序文件的文件thatwererecognizedasfiles(.apk.jar.dex.so.exe文件等 文档-被识别为属于文档格式的文件(.doc.docxpdf.xlsxppt文件等n未归所有未知的文件格式或未定义的文件扩展名。删除的项目带 (红叉)标记您可以创建其他数据文件分组。有关详细信息，请参阅管理数据文件设置(在本页正树中的雕复项目用于在物理提取内容中搜索部分删除或损坏的图像。n双击雕复以开始搜索。生成有关详细信息，请参阅雕复图像(在本页185)时n双击时间线在数据显示区域中打开按时间安排的设备事件。间时间线选项卡将按时间顺序显示设备事件，如通话、SMS、彩信等，所有事件都带线有时间戳。 列表，用于在提取出的数据中搜索并识别出感 的事件和项目。察n展开观察列表将列出当前会话中曾经运行过的观察列表。列n双击观察列表查看基于观察列表的突出显示事件。表有关详细信息，请参阅使用观察列表(在本页91)树 说目软运 软件扫描器来识别设备中 软件。有关详细信息，请参阅扫扫件软件(在本28)。扫器项树中的项目分析项目为您提供了一个对比性的分析概览。您可以打开“活动分析”选目项卡，查看所有设备活动的总览，另外各个单独活动，包括 SkypeGmail和BlackBerryMessenger，都有各自的选项卡。有关详细信息，析请参阅设定项目设置(在本页261)。十 用来定义并保存十六进制数据中的特定位置，通过十六进制 树项目进行进管理。制标n双击十六进 将在数据显示区域中打开选项卡中的列表签在所提取数据中将对部分文件类型进行识别和标记。 标频。签您可以使用插件或Python外壳来查找其他的数据片段，然后用现有的 之一或自定义的 加以标识。删除的项目带有红叉要打开已经在此会话中生成项目报告的某个报告：n双击报告树项目中的报告。 报告将在与该报告格式相关联的应用程序中打开告n如果没有在项目中生成任何报告，则双击报告树项目可以打开“生成报告有关生成报告的详细信息，请参阅生成报告(在本页119)使用项目树区域n单击以展开或折叠树项目。n双击树项目可以在数据显示区域中打开详细信息。n单击项目树顶部的可以展开树中的所有项目。n单击项目树顶部的可以折叠树中的所有项目。数据显示区域一共有五种类型的选项卡：n欢迎选项n提取信息选项n数据n时间线选项n镜像选项卡(十六进制视图数据显示区域中还会显示其他窗口，如窗口以及观察列表的结果n单击选项卡标题n单击数据显示区域右上角的n单击数据显示区域右上角的，然后在打开的选项卡列表中选择希望跳转到的选项欢迎选项卡应用程序启动时，将在数据显示区域中自动显示欢迎选项卡，其中列出最近打开的文件。列表中的每个文件都以带边框的信息分组的形式显示，其中包含如下项目：n设备的-来自应用程序资源的设备缩略图，前提是有这种。如果没有此，则会换用一个通用的占位图。n文件-n文件路指向文件位置的文件系统路径。n设备型-n日期和时文件最后一次打开的日期和时间戳。n浏览”-直接指向文件系统中文件的如需从欢迎选项卡中删除最近的项目请单击 您可以执行以下操作：n单击框中的某个项目可以打开文件进行n单击浏览可以直接转到文件系统中与之相关联的文件。n关闭欢迎选项卡。关闭后可以用视图>显示欢迎重新打开。“提取信息摘要”选项卡每次打开新的提取内容进行分析时，提取信息摘要选项卡就会自动显示n该选项卡关闭后，如果要重新打开，可以双击树中的提取信息项目“提取信息”选项卡有如下子选项卡：n所有内容：包括提取信息、设备信息和设备内容。有关详细信息，请参阅“所有内容”选项卡(向下)。 提取信息：执行的各类型提取的选项卡。请参阅“提取信息”选项卡(在本页67)“”选项卡“所有内容”选项卡包括如下信息：提取信(下一页案例信息(在本63)设备信息(在本64)设备内容(在本提取信息本节包括与设备的提取过程有关的信息。图：单次提取图：包含多个提取的项目“提取信息”区域包括如下信息：与与“提取信息”选项卡的。提取文件的位置。提取开始和结束的时间。所执行的提取类型，如物理提取(引导程序提取)检测到的型号，如MB717SamsungGT-I9205单击编辑按钮()或在项目树中选择提取名右键单击并选择重命名将显示如下的为提取内容输入新名称，然后单击保存在项目树中选择项目名。右键单击并选择重命名。将显示如下的窗口。为项目输入所需的名称。单击保存案例信息本节包括取自项目设置>案例信息的案例信设备信息本节显示从提取文件中取出的具体设备信息的。请参阅项目树(在本页55)中的设备信息条目。下面的示例显示多提取项目的设备信息。设备内容n数据：在提取内容中找到的各种经过分析得出的设备数据，如、联系人、SMS消息等。有关数据类型的完整列表，请参阅项目树(在本页55)中的已分析的数据条目。n数据文件：在提取内容中找到的各种标准数据文件，如应用程序、音频、配置、图像、视频、文本文件和未归类文件。请参阅数据文件(在本页248)。n相机：设备的或。请参阅相机和截图(在本页223) ：设备截图。请参阅相机和截图(在本页223)蓝色数字表示项目的总数，红色数字(带括号)表示在已删除的数据中发现的项“”选项卡各个类型的提取都有一个“提取信息”选项卡。“提取信息”选项卡显示提取信息，如提取何时执行、由何种UFED单元执行、使用了哪种数据线以及图像Hash信息(用于验证为所解Hash值。请参阅Hash(在本188)。在每个“提取信息”选项卡中，可使用“查找”框搜索具体设备信息。提取信息包含以下内容：提取开始和结束的时间。提取开始和结束的时间。各提取类型的唯一所执行的提取类型(例如文件系统用于提取的数据线(100号数据线设备的名称(例如称设备的生产厂商(UFED软件版本执行提取的装置(UFEDTouch)的序列号，如果提取是以PC序执行UFED4PCID如需在数据显示区域中新建选项卡以显示相关信息，请单击任意项目树。数据选项卡应用程序十六进制视图和文件信息图像文件十六进制视图图像视图和文件信息应用程序十六进制视图和文件信息图像文件十六进制视图图像视图和文件信息文件十六进制视图文件信息和视音频文件十六进制视图和文件信文本文件十六进制视图和文件信息文档文件十六进制视图和文件信置十六进制视图和文件信数据库选项卡会在各选项卡中显示数据，具体取决于数据类型n表格视图-列出在数据分析过程中找出的属于特定类型的所有文件(图像、、音频、文本等)。n文件夹视查看重建的文件系统中与数据文件路径相对应的文件夹结构(仅适用于数据文件)。n十六进制查看二进制项目的十六进制数据。n图像视图-查看图像。请参阅查看图像文件(在本页79)n缩略图查看图像的缩略图(仅适用于图像)n文件信查看文件的相关信息。n数据库视查看数据库文件的内容。使用数据选项卡选择项目在数据显示区域中选择项目，以将其包含在生成的任何报告中。在默认情况下会选中所有的项目。n要选择多个项目，请按住SHIFTCTRL键(分别用于选择连续项目和选择不连续的项目)。n选中一个项目时，可以按空格键选中或取消选中复选框，将该项目包含在报告中或将其n要同时选中所有项目请单击列标题中的(表格视图缩略图视图和时间线)按字母顺序或时间对各列进行排序。n单击列标题可以切换顺序。n方法是将列拖动到喜欢的位置。n右键单击列标题并选择列表中的列名称。在默认情况下，包含文本信息的数据选项卡的右侧面板为打开状态，其中显示所选项目的信息。n要关闭或打开右侧面板请单击要导出特定选项卡中的数据请在中单击希望使用的输出格式：ExcelHTMLPDFXMLKML(仅限于位置数据)或EML(仅限于电子邮件数据)将显示“导出”框执行以下操作之一：n输入希望用于保存报告的路径。n单击并浏览到希望使用的位置并加以选择选择包括翻译复选框以包含翻译后的数据。单击确定将生成报告，并且出现一则消息，询问您是否要在第软件中将其打开单击是或否文件将在默认的第软件中打开导出到EML数据文件的表格视图指示项目是否包含在所生成的报告中。包含时则为选中状态，指示项目是否包含在所生成的报告中。包含时则为选中状态，未包含时则未选中。书签的详细信息。指示附件的源应用程序，以及是否发送或接收。数据文件的时间戳。上一次数据文件的修改时间戳。数据文件的创建时间戳。数据文件的其他元数据。文件的大小。小文件系统中数据文件的根路径。径文件的名称。称图像的缩略图，或者对应于文件类型的图标(仅限于图像文件)。像表示数据文件是否包含附件。指示数据文件是已经删除 还是状态未知("?"或白色的文档图标)。指示项目是否带有书签。此外还有用于显示附件、指示是否为通话以及用于显示方向的各种指示符n双击一个项目记录(表中的行)可以打开“Hex查看器”选项卡，其中显示所选文件的十六进制数据。已分析数据的表格视图对于已分析的数据，表格视图选项卡中将列出在数据分析过程中找到的属于特定类型的所有项目(、联系人、S消息等)。文件夹视图n选则文件夹复选框可以选中该文件夹中的所有项目(包括子文件夹)。选中的项目将包含在所生成的报告中。选中某个项目时，会同时在数据显示区域的所有选项卡中将其选中。n单击可在数据显示区域内新建一个选项卡在其中打开此文件夹将显示以下的文件夹信息：n在提取出的文件系统中的文件夹名称。n该文件夹下选中的项目数(带括号的红色字样)n该文件夹下项目的总数(黑色)数据库视图n在“文件系统”树项目中打开一个.db数据库视图显示了在提取信息中找到的数据库文件的内容。数据库视图由以下各部分组成：数据库表格的列表。表格名称旁带括号的数字表示该数据库表格内的记录数。在左列中选择一个表格，其中的记录就会在右列中显示出来。记录显示区域中列出所选数据库表格中的数据记录。使用搜索字段来过滤所显示的记录。单击 可以将选中的数据库记录导出为CSV文件十六进制视图在项目树中打开的每个二进制项目都会新建一个“十六进制视图”选项卡。举例而言，打开某个盘的镜像时，就只会打开一个“十六进制视图”选项卡。而打开一个二进制项目，如镜像文件时，除了“十六进制视图”选项卡，可能还会有其他选项卡。“十六进制视图”选项卡包含如下组成部分：十六进制视图选项卡n地址列：使用十六进制或十进制数值表示的信息列编号，显示十六进制以及ASCII数据表示区域中每一行的起始地址。n十六进制数据视图列：所选项目的十六进制数据nASCII表示视图列：ASCII将鼠标置于“十六进制视图”中的数据上方时，会自动显示一个信息框。信息框中显示指向已分析数据项目(如项目树中的文件和文件夹)的(指针)，以及与所指向的数据相关联的搜索结果。十六进制视图工具栏单击可将整个内存提取内容保存为一个本地的文件夹。将“十六进制视图”选项卡中当前选中的内容到剪贴板。显示“查找”框，在所显示的十六进制显示面板中搜索出现指定信息的所有位置。显示“查找”框，其中显示上次搜索时使用的搜索参数添加为当前在十六进制显示面板中选中的内容添加书签。将偏移值重新定向到十六进制显示面板内容中的特定地址处。切换是否在光标位置显示浮动的信息框。切换是否显示左侧的地址列。切换是否显示右侧的ASCII表示列分析信息选项卡在“十六进制视图”选项卡下方的是“分析信息”选项卡，其中显示了以下与所显示的十六进制数据直接相关的信息：n-各种对数值的解读(如81632和64位)、各种字符串编码、日期与时间格式等，这些内容是针对十六进制视图中选中的数据实时计算得出的。请参阅使用数值选项卡对页。n-在显示的十六进制数据中添加的列表。请参阅正在使用十六进制(在本页218)。n突出显-列出在所显示的十六进制数据中标记为突出显示的内容区段。突出显示结果的数量显示在该选项卡名称旁边的括号中。请参阅使用“突出显示”选项卡(对页)n搜索-显示在所显示的十六进制数据中进行搜索的结果。每次执行搜索时，都会打开您可以根据自己的喜好重新安排“分析信息”选项卡的显示方式：n双击某个部分的标题条，可以将整个部分显示为一个浮动的面板。双击该浮动面板的标题条，可以将其重新停靠回默认的位置(即“十六进制视图”选项卡的底部)。n双击任何选项卡的名称，可以将其显示为一个浮动的面板。双击该浮动面板的标题n将该浮动面板的名称拖动到显示的任何一个停靠上，可以将其停靠到“十六进制视图”选项卡上的相应位置。使用“数值”选项卡实时地根据各种编码类型来对原始数据进行，并在“数值”列表中将其展开显示。要数值选项卡，请单击十六进制视图选项卡底部的数值选项卡在十六进制内容中选择一个数据片段。要显示后的数据，请滚动到希望使用的编码方式，然后单击展开显示。某些编码选项(如16位)有次一级的编码类型。您可以单击 来完全展开或折叠所有编码类型使用“”选项卡突出显示选项卡列出了在所显示的十六进制数据中突出显示的内容区段。每个区段都代表着已分析的数据在十六进制数据中所处的位置。使用突出显示选项卡，您就可以在十六进制数据中定位特定类型的已分析数据。突出显示结果的数量显示在该选项卡名称旁边的括号中。要突出显示选项卡，请单击十六进制视图选项卡底部的突出显示选项卡在项目树中，单击某个已分析的数据文件夹(例如联系人)所选文件夹的位置就会在十六进制视图选项卡中突出显示出来，同时组成该文件夹的数据区块也会在突出显示选项卡中列出。“”选项卡“文件信息”选项卡显示了有关数据文件的如下信息：nFAT包括其他属性的文件分配表。n日期和时间-数据文件的创建、修改和最后一次的时间戳n一般-n数据文件在十六进制数据中的偏移地址。nEXIF由照相机记录下并嵌入其中的EXIF信息(如果存在)n文件元图像的常规信息(捕获时间、分辨率、大小和颜色深度)查看图像文件双击数据显示选项卡中的图像。此时将打开一个新的选项卡，其中包含该图像。该选项卡进一步分为两个子选项卡：图像视图和文件信息。在图像视图图像放大显示时，单击可以在图像中导航。顺时针和逆时针旋转图像。缩放以适合选项卡大小。将缩放重置为100%。隐藏图像控件。单击文件信息选项卡可查看文件的信息。例如“文件元数据”部分中包括了捕获时间等播放文在数据表格中，双击希望的文件。将打开一个新选项卡来该文件。单击缩略图上的图标。下面显示了一个示例要在默认的程序 n右键单击文件并选择使用默认的程序打开66寻找和分析信息在数据选项卡中搜索信息在表格视图选项卡中搜索数据表格中的某个特定项目。该搜索将针对表格中的所有数据条目执行。n在表搜索框中输入任意字符串。使用快速过滤器功能使用快速过滤器工具，可以按照如下方式对表格视图选项卡中的数据进行过滤显示自带或非系统图像。过滤设备附带或应用程序安装时加入的图像。默认过滤所有系统图像。您可以在设置>数据文件下更改此设置。仅选定的仅显示已选定的项目。仅未选定仅显示未选定的项目。仅显示已删除的项目。显示所有图像显示所有图像。此过滤器会覆盖使用以下三个过滤条件的过滤器：显示大于30KB的图像、大于100KB的图像和大于500KB的图像。显示大于30仅显示30KB以上的小图像显示大于100KB以上的中等图像显示大于100KB以上的大图像过滤图像展名单击以启用文件类型过滤：JPEGGIFBMP或PNG显示JPGJPEG文件。GIF文件。BMP文件。PNG文件。按照元数据(“全部”“不带有元数据”或“具有元数据”)和位置(“全部”“具有位置”或“不带有位置”)对图像和文件进行过滤。按照捕获时间对图像和文件进行过滤。默认显示最大范围，您可以选择一个具体的日期和时间范围。翻译过滤对的文本进行过滤，选择是显示全部文本、文本还是未翻译文本。过滤提取的相关项，这在使用多个提取功能时非常有用(请参阅分析多个提取在本页)所有显示所有项，仅重复信息仅显示包含重复信息(重复项或冗余信息)仅非重复信息仅显示不包含重复信息的项，以及仅包含其他数据的项仅显示包含其他信息的项。打开显示项目和相关消息 选项卡在表格视图中打 中的所有消息过滤带有附件的数据文件。“全部”适用于所有数据文件，“附件”适用于含附件的数据文件，“无附件”适用于不含附件的数据文件。附件过滤已发送或已收到的过滤器附件。“全部”适用于所有附件，“已发送”适用于已发送的附件，“已收到”适用于已收到的附件，“未知”适用于未知附件。附件来源应用按附件的来源应用程序进行过滤。将列出提取中的所有应用程序。选择要显示的应用程序并单击完成。标记所选项目。从所选项目中删除打开管理窗口。打向 向导以建立SQL查询，并将数据库字段映射到UFEDPhysicalyzer模型。将当前视图导出到ExcelHTMLPDFXMLWord位置过滤过滤地图上显示的位置。检索所选位置的物理地址。通过拍摄/记录、创建、修改、或删除的时间，或者通过相机生产商或型号对所选图像或进行分组。删除所有过滤删除所有应用的过滤器。使用高级过滤器在任何分析数据或数据文件窗口中，列出的结果将按列过滤。单击相关列标题以查看过滤器和排序选项。下面显示了一个示例。当选择过滤器时，仅显示相关结果。在所有打开的项目中搜索信息中的所有可用于在所有打开的项目中搜索信息。在所有项目框中键入任意字符串。将在所有项目搜索字段下显示匹配结果的列表。这些结果将按所属的打开项目排序。而在每个打开的项目中，结果将按照类别()排列。同时还会显示每个类别下找到的匹配结果的数目。单击可以折叠或展开项目执行以下操作之一：n单击项目名称旁的可以在数据显示区域的选项卡中查看搜索结果在提取内容中n选择快速结果列表顶部的全部显示可以在数据显示区域中打开一个结果选项卡，其中列出所有匹配的搜索结果。各项目中与搜索相匹配的字符串将以红色显示。直到关闭应用程序前您最近的搜索活动(20次搜索)，包括已保存的所有项目搜索和表搜索。浏览文件系统FDyscl yzr能够重新构建设备的文件系统以形成一个树形结构，并将其显示出来。在树中的文件系统项目中，单击每个节点旁的或继续在文件系统中深化以浏览其内容。n-在文件系统中找到的现有的文n-在文件系统中找到的已删除的文件数对该文件显示的信息选项卡数量取决于文件的类型。例如，对于未知文件，可能只会显示十六进制视图和文件信息选项卡；而对于JPEG图像，则可能还会显示图像视图和元数据十六进制视图是默认的视图。有关使用十六进制视图的详细信息，请参阅十六进制视图(在本页74)和使用十六进制数据(在本页195)当数据显示区域中显示了某个镜像的十六进制提取内容时，单击树中文件系统项目下的某个文件，可以在数据显示区域的十六进制数据中将该文件对应的数据部分突出显示出来。时间线视图时间线视图是一个功能强大的工具，您可以通过它来按照时间顺序分析数据，识别事件发生的顺序，找出它们之间的联系。n单击可以按照日期对事件进行分组或取消分组在图形视图中，事件显示在一个图形中，这样您就可以快速识别出可能会感的活动激增情况。n要在时间线内向前或向后滚动请使 、、和按钮您可以提高或降低时间线视图中的细节等级：n要提高时间解析度，请单击。n要降低时间解析度，请单击。此时发生间隔较短的事件就会被标记为一组。n单击可以打开包含该组事件的新时间线视图视像、电子邮件、S和彩信消息等这些与通讯交流有关的数据可以通过一个对话形式的布局显示出来，这样就可以更好地双方或多方之间的交流。可以搜索聊天中的消息，选择要包含在报告内的消息(默认将包含所有聊天消息)以及打印或导出内容。单击将打开一个选项卡，其中以所选项目发送方和接收方之间的形式显示相关的项目。如需翻译或删除的文本请单击 然后选择翻译全部翻译选定的项或删除全部翻译。要打 请单击要查看打印预览请单击要导出，请 选项卡的中单击希望使用的输出格式ExcelHTML XML或Word要更改的顺序请单击然后选择旧消息最前或新消息最前在搜索框中输入文本来对消息进行过滤。如需添加或编辑请单击选中复选框将特定的消息包含在报告中(也可以选中或取消选中全部消息)使用观察列表针对提取出的数据运行一个包含的观察列表，可以识别其中重要的相关信息并将其突出显示出来。创建观察列表执行以下操作之一：n单击中的n选择工具菜单中的观察列表编辑器“观察列表编辑器”将会出现。单击并选择新建将显示如下的窗口在观察列表名称框中输入观察列表的名称。要将观察列表设为仅在项目的特定数据类型中查找，请单击查找范围，然后选择希望使用的数据类型。在输入说明框中输入观察列表的一般性说明可选)要将观察列表设置为打开项目时自动运行，请单击自动激活单击新建可以添加新的。此时会在“”列表中出现一个新的行。对于每个，可以根据需要设置以下内容n输入值：输入n匹配大小写：选中以在匹配时区分大小写n整个：选中以匹配整个n颜色：单击并选择在显示匹配的时希望使用的颜色执行以下操作之一：n单击应用以保存观察列表并保持“观察列表编辑器”n单击确定以保存观察列表并关闭“观察列表编辑器”n单击取消以关闭“观察列表编辑器”编辑观察列表在“观察列表编辑器”中选择希望编辑的观察列表。编辑希望更改的观察列表参数和要对观察列表进行过滤以找到某个特定的，请在输入文本以进行过滤框中键入该。要编辑某个，请在列表中单击相应的并进行需要的更改要删除某个请单击n单击应用以保存观察列表并保持“观察列表编辑器”n单击确定以保存观察列表并关闭“观察列表编辑器”n单击取消以关闭“观察列表编辑器”导入观察列表通过导出和导入功能，您可以和同事共享您的观察列表，或使用从他们那里收到的观察列表。您可以导入使用FDyscl yzr保存或创建的现有观察列表(.csv文件)。您也可以导入每行单独包含各个的CSV文件如此导入时将不带有任何格单击主中的“观察列表编辑器”将会出现单击并选择导入浏览到保存了观察列表的位置，选中CSV文件，然后单击打开。观察列表将会出现在“观察列表编辑器”中。下面显示了一个示例。导出观察列表导出观察列表时，会将其保存为*.csv文件以便以后使用或与他人共享。在“观察列表编辑器”中选择希望导出的观察列表。单击浏览到希望保存观察列表的位置，然后单击选择文件夹观察列表即被导出。默认情况下会采用[观察列表名称].csv的名称保存。删除观察列表在“观察列表编辑器”中选择希望删除的观察列表。单击将显示如下的窗口单击是。观察列表即被删除。运行观察列表您可以在打开的项目上运行观察列表。在特定的项目上运行观察列表通过观察列表编辑器运行观察列表时，您可以选择要运行的观察列表以及运行它们的项目。单击中的以打开“观察列表编辑器”，然后选择要运行的观察列表单击将会显示一个列表列出打开的项目选择希望运行搜索的项目。对钩标记表示选中的观察列表在该项目上目前处于活动状态。单击应用UFEDPhysical yzer将在选中的项目中搜索。完成后将在观察列表树项目中显示观察列表的结果。如果观察列表只适用于特定类型的信息(请参阅创建观察列表(在本页91))，则观察列表结果中将只包含这些类型的匹配结果。在当前项目上运行观察列表通过项目树运行观察列表时，您可以选择要在当前处理的项目上运行的观察列表。多个打开的项目，所选的观察列表将在项目树中最后一个被单击过的项目上运行。单 中的将会列出所有的观察列表选择希望在当前处理的项目上运行的观察列表。对钩标记表示该观察列表在项目上目前处于活动状态。单击项目树中当前所关注项目上的应用单击 中的时只能在项目树中最后一次单击的项目上运行观察列表UFEDPhysical yzer将在选中的项目中搜索。完成后将在观察