教程案例教案

法律?2017CellebriteMobileSynchronization .，保留所利。本手冊的提供應遵循下列條件與限制：n本手冊包括歸屬于CellebriteMobile .的專有信息。此類信息僅用于助明確并適當?shù)腢FED yzer用戶n未獲Cellebrite .明確的事先，手冊任意部分的內(nèi)容均不得挪作他用、透露給其他個人或公司，或以(機械或電子形式)進行。n手冊中的文本和圖形說明與參考之用。這些內(nèi)容所依據(jù)的規(guī)范更改，恕不另行通知。n文檔內(nèi)容更改，恕不另行通知。除非另行注明，否則示例中使用的企業(yè)和個人的名稱及數(shù)據(jù)均為虛構。內(nèi)3內(nèi)簡 物理提 數(shù)據(jù)分 安裝和激 系統(tǒng)需 軟件安 安裝UFEDPhysical 激活 新版本通 使用證硬件保護裝 使用軟件 使用網(wǎng)絡硬件保護裝 停用軟件 掃描惡意軟 更新特征碼數(shù)據(jù)庫( 從文件更新特征碼數(shù)據(jù)庫(離線 入 啟動UFEDPhysical 打開提取內(nèi)容進行分 分析多個提 打開與合并項 提取信息 重命名項目和提 和分析 多提取設 報 保存項目會 在高級模式下打開提取內(nèi) 以高級模式打開UFED提取文 以高級模式打開非UFED提取文 保存.ufd文 加載項目會 關閉項 關閉UFEDPhysical 鍵盤快捷方 工作空間簡 項目 使用項目樹區(qū) 數(shù)據(jù)顯示區(qū) 歡迎選項 “提取信息”選項 數(shù)據(jù)選項 查看圖像文 文 尋找和分析信 在數(shù)據(jù)選項卡中搜索信 使用快速過濾器功 使用高級過濾 在所有打開的項目中搜索信 瀏覽文件系 時間線視 視 使用觀察列 創(chuàng)建觀察列表編輯觀察列表導入觀察列表導出觀察列表刪除觀察列表運行觀察列表查找觀察列表 設備位 查看離線地 查看離線地 標記與信息窗 (無線網(wǎng)絡)數(shù)據(jù) 檢索地 翻譯解碼出的數(shù) 使用本功 更新證以包含所選擇的語 在MyCellebrite中選擇語 翻譯 翻譯出的數(shù) 報 使用項目分 生成報 報告數(shù)據(jù)集設 報告安全設 報告布局設 執(zhí)行提 對iOS設備執(zhí)行提 物理提 高級邏輯提 對GPS或大容量設備執(zhí)行提 GPS或大容量設備中的數(shù)據(jù) 高級功 11.1.向 正在識別數(shù)據(jù) 正在建立查 正在映射數(shù) 正在運行創(chuàng)建的查 管理查 模糊型 使用 導出TomTom文 導入TomTom文 打開加密的提取內(nèi) 打開加密的zip文 提取和BlackBerry備份文 BlackBerry數(shù)據(jù)庫的 導出帳戶數(shù)據(jù) 雕復圖 掃描雕復的圖 使用雕復的圖 驗證Hash 網(wǎng)絡硬件保護裝置-管理過 網(wǎng)絡硬件保護裝置-系統(tǒng)要 管理網(wǎng)絡硬件保護裝置 功能頁 會話頁 更新網(wǎng)絡硬件保護裝置 獨立安裝所需驅(qū)動程 啟用網(wǎng)絡硬件保護裝置日 使用十六進制數(shù) 在十六進制數(shù)據(jù)和已數(shù)據(jù)中搜索信 搜索字符 搜索字 搜索日 搜索SIM卡ICCID 搜索SMS 搜索正則表達式 搜索SMS文本字符 搜索模 搜索代碼和 瀏覽十六進制提取內(nèi) 使用偏移跳轉(zhuǎn)到文件中的不同位 正在使用十六進制 正在添加十六進制 正在編輯十六進制 原始數(shù)據(jù) 查看十六進制數(shù)據(jù)信 在十六進制內(nèi)容中尋找特定類型的數(shù) 相機和截圖證 高級解 管理 構建新的 編輯現(xiàn)有的 將設備附加到鏈 設置默認的設備 將設備與鏈分 刪除 鏈說 插 管理插 運行特定的插 使用PythonS 導出文件系 使用Android圖形雕復插 使用 雕復插 設 常規(guī)設 數(shù)據(jù)文 數(shù)據(jù)文件過濾方 管理數(shù)據(jù)文件設 Hex查看器設 模式設 接口設 額外的報告字 添加新的報告字 編輯報告字 刪除報告字 報告默認 后鏈插件設 保存設 加載設 設定項目設 設置項目的世界協(xié)調(diào)時 設置案例信 參 “文件”菜 “視圖”菜 查看窗 “工具”菜 “提取”菜 “Python”菜 “插件”菜 “報告”菜 “幫助”菜 1簡UFED由以下大量部件組成 UFEDTouchUFED4PCUFEDInField用于實現(xiàn)從移動設備進行邏輯、、SIM文件系統(tǒng)以及物理的提取，然后將所提取信息保存到USB閃存驅(qū)動器、SD卡或PC上。nUFEDCloudyzer可以提取來自云數(shù)據(jù)來源的信息。云數(shù)據(jù)來源是指通過Internet向消費者提供的服務。 UFEDyticsDesktop可以根據(jù)物理、邏輯和文件系統(tǒng)提取生成的報告，立即識別出可 UFEDPhysical yzer應用程序通過高級的解碼、分析和報告功能對設備內(nèi)存中的內(nèi)容進行次的展示。UFEDPhysical yzer可以由UFED創(chuàng)建的各種類型的提取內(nèi) PhoneDetective應用程序則能通過的物理屬性幫助人員快速對其進行識別，從而避免因為需要啟動設備而導致其鎖死的。UFED的工作流程包括如下兩個步驟n提取-使用UFED進行物理、文件系統(tǒng)、邏輯、和SIM卡的提取n使用UFED yzer執(zhí)行、分析和報告物理提取執(zhí)行物理提取時，UED使用高級的提取方法來為移動設備使用的每個閃存或地址范圍創(chuàng)建一個單獨的十六進制提取文件。與邏輯提取不同，物理提取方法將繞過設備的操作系統(tǒng)，直接獲取設備內(nèi)部閃存中的數(shù)據(jù)。設備的內(nèi)存數(shù)據(jù)將捉到十六進制的提取文件以便以后用UFEDPhysical yzer加以和。所創(chuàng)建的物理提取內(nèi)容將會包含由設備操作系統(tǒng)分配的內(nèi)存空間，其中可能含有已刪除的數(shù)據(jù)，如SMS、、條目、、和用戶。物理提取提供了移動設備閃存中內(nèi)容的逐字節(jié)拷貝。對物理提取進行不僅能取出完好的數(shù)據(jù)，還能取出隱藏或者已經(jīng)刪除的數(shù)據(jù)?？梢曰謴臀募臀捶峙淇臻g中的已刪除數(shù)據(jù)1。UFEDPhysicalyzer提供的高級生成算法可以恢復記錄，從而揭示出未分配空間中額外的已刪除數(shù)據(jù)。所揭示的已刪除數(shù)據(jù)量取決于設備上的具體數(shù)據(jù)。出的數(shù)據(jù)將和已分析的數(shù)據(jù)一起顯示在同樣的列表中。舉例而言，來自未分配空間的已刪除M將和其他SMS一起顯示在同一個列表中。未分配的空間指分區(qū)上沒有用于活動文件的群集。其中可能含有已經(jīng)從文件分區(qū)中刪除，但未從物理磁盤上移除的文件片段。第1章簡 在未分配空間中進行的數(shù)據(jù)生成可以帶來以下的好處：n市面上最好最快的已刪除數(shù)據(jù)恢復解決方案。n以更少的時間揭示的已刪除數(shù)據(jù)n可以揭示出以前無法發(fā)現(xiàn)的已刪除數(shù)據(jù)。n得到的數(shù)據(jù)質(zhì)量更高自動移除誤報和重復項。nn同一個視圖：可以在同一個視圖內(nèi)安排所有的數(shù)據(jù)，包括從未分配空間中出的數(shù)數(shù)據(jù)分析UFED yzer供人員對所提取的數(shù)據(jù)執(zhí)行深入的分析并生成報告UFED yzer的主要功能如下n提取內(nèi)容并生成內(nèi)存內(nèi)容的分層視n提供十六進制文件的詳盡視圖n重新構建設備的文件系統(tǒng)n各種分析得出的數(shù)據(jù)類型，如：聯(lián)系人列表、SMS消息、、設備信(IMSIICCID戶代碼)和應用程序信息等n提供數(shù)據(jù)文件的視圖，包括圖像、、數(shù)據(jù)庫等n當前數(shù)據(jù)和已刪除的數(shù)據(jù)n揭示設備的(如果可用niOSGPS設備執(zhí)行功能強大的提取nnn即時搜索所有的項目內(nèi)容n基于多個參數(shù)的高級搜索功能n即時搜索數(shù)據(jù)表內(nèi)容n觀察列表功能，用于根據(jù)預定義的列表來自動突出顯示信nnn軟件掃描器可以識別設備中的軟件n基于各種參數(shù)如字符串、字節(jié)、數(shù)字、日期搜索十六進制信息 可以使用正則表達式(RegEx)查找特定數(shù)據(jù)字符串n為特定內(nèi)存位置添加書簽以便將關鍵區(qū)域編入索引，從而供以后查看nPython外殼命令執(zhí)行數(shù)據(jù)分析1應用程序數(shù)據(jù)包括Kik 等n插n添加或刪除插n使用Python語言自行編寫插n管理n生成多種格式的可定制報告(徽標、標題等22安裝和激活本節(jié)敘述了在PC上安裝UFEDPhysicalyzer并激活的過程。系統(tǒng)需求帶PentiumIV或與其兼容，并且主頻為1.6GHz或更高的處理器，同時與ndows兼容的系位Windows10，64Windows8.x，64Windows內(nèi)16要1GB的安裝可用磁盤空間要.Net4.6版或之前版本.14.5權如果想要使用由Cellebrite提供的硬件證密鑰(硬件保護裝置)來激活應用2015228UFED系列將不再支持WindowsXP軟件安裝要獲取 yzer的副本可以從以下來源獲得UFED yzer安裝程序的副本nUFED yzer的CDn從MyCellebrite安裝UFEDPhysical開始之前，請沒有將U-441線連接到計算機。雙擊安裝文件。選擇所需語言，然后單擊確定繼續(xù)。將顯示如下的窗口。單擊下一步。將顯示如下的窗口。閱讀協(xié)議。然后選擇我接受協(xié)議，并單擊下一步。將顯示如下的窗口。如果需要，可以單擊瀏覽設置不同的安裝文件夾，然后單擊下一步。將顯示如下的窗口。如果不希望有桌面圖標，請清除創(chuàng)建桌面圖標復選框，然后單擊下一步。將顯示如下單擊安裝在安裝過程中，可能會提示您下載并安裝 .NET3.5Framework這是安裝過程的一部分，并且要求您的計算機能Internet。如果想要使用由Cellebrite提供的硬件證密鑰(硬件保護裝置)來激活應用程序，請選擇安裝HASP硬件保護裝置驅(qū)動程序。必須擁有管理員權限才能安裝HASP硬件保護裝置驅(qū)動程序。安裝完成時選擇啟動 yzer即可啟動應用程序單擊完成激活用以下方法中的一種激活UFED yzer yticsDesktopUFEDPhone以及UFEDPhysical/Logicaln使用證硬件保護裝置(下一頁n使用軟件證(在本頁n使用網(wǎng)絡硬件保護裝置(在本頁檢查您的UFED套件以確定應當使用的激活方法。新版本通知有新版本的軟件可用時，Cellebrite會進行通知。如果已連接到Internet，就會在有新版本可用時收到該通知。如果未連接到Internet，則會每3個月顯示一次通知。使用證硬件保護裝使用隨UFED套件提供的UFED硬件保護裝置。硬件保護裝置中包含了所的全部應用程序的證。UFED將硬件保護裝置連接到計算機上的USB端口。系統(tǒng)將會自動找到證。操作系統(tǒng)識別出硬件保護裝置后，應用程序便可以啟動UFED應用程序。恭喜，您的應用程序現(xiàn)已準備就緒！如果沒有找到包含證的硬件保護裝置首次啟動時或是未找到證硬件保護裝置時，將顯示一個Cellebrite產(chǎn)品窗口如果已經(jīng)將硬件保護裝置連接到計算機上 USB端口，但仍然無法工作，請聯(lián) 要使用硬件 證密鑰，必須先安裝HASP硬件保護裝置驅(qū)動程序。如果在選擇Hasp硬件保護裝置驅(qū)動程序使用軟件首次打開應用程序時必須激活證UFED以下：nUFEDPhysicalhttps:/ 用您的MyCellebrite帳戶登錄。(如果沒有帳戶，請單擊立即激活并創(chuàng)建一個用戶，然后返回到所需的UFED應用程序您將被引導至產(chǎn)品激活窗口。單擊應用程序并將文件保存到PCzip文件，單擊安裝文件并通過安裝向?qū)О惭b軟件。重新啟動PC(如果需要)重復步驟1以轉(zhuǎn)到應用程序如果的是UFED4PC，請在“激活方法”框中選擇激活代碼。如果的是UFEDTouch，請選擇UFEDTouch/UFEDClassic。nUFED4PCUFEDyzer yticsDesktop：在“激活碼”字段中輸入在UFED套件中提供的激活代碼。激活方法并非UFEDCloud yzernUFED4PCUFEDyzer yticsDesktop：在“激活碼”字段中輸入在UFED套件中提供的激活代碼。nUFEDTouch：在“序列號”字段中，選擇在UFEDTouch設備或UFEDTouch的“證激活”屏幕上顯示的UFED序列號。要添加新設備，請單擊添加，然后輸入必需的信息。然后獲取計算機ID(執(zhí)行此步操作時關閉MyCellebrite頁面) 啟動應用程序。將顯示“Cellebrite產(chǎn)品”窗口n單擊以窗口中顯示的計算機ID在MyCellebrite上，粘貼所的計算機ID單擊生成證以將應用程序的證密鑰文件到PC。該證密鑰會同時發(fā)送到您的MyCellebrite電子郵件地址。在應用程序中，單擊“Cellebrite產(chǎn)品”窗口中的加載證文件選擇證文件，然后單擊打開。將顯示一條消息，指示軟件更新成功單擊關閉恭喜，您的應用程序現(xiàn)已準備就緒！使用網(wǎng)絡硬件保護裝置網(wǎng)絡硬件保護裝置連接到組織的網(wǎng)絡，并且包含了所的全部應用程序的證。UFED啟動UFED應用程序。如果網(wǎng)絡硬件保護裝置已經(jīng)連網(wǎng)，則應用程序?qū)⒄樱脩艨梢粤⒓撮_始工作。如果未能識別出網(wǎng)絡硬件保護裝置，則會顯示“Cellebrite產(chǎn)品”窗口單擊網(wǎng)絡。將顯示如下的窗口。如果未能找到網(wǎng)絡中的硬件保護裝置，請確保已經(jīng)連接到Internet，并且硬件保護裝置的網(wǎng)絡連接正常。然后單擊刷新重新搜索網(wǎng)絡硬件保護裝置。在默認情況下，網(wǎng)絡將采用“廣播”配置。如果需要，可以手動連接到網(wǎng)絡硬件保護裝置。單擊配置將網(wǎng)絡配置更改為特定的主機。輸入主機名(或IP地址)。如果只有一個網(wǎng)絡硬件保護裝置，就會自動選中它。但如果有多個網(wǎng)絡硬件保護裝置，就需要從列表中選擇所需要的硬件保護裝置，然后單擊應用。恭喜，您的應用程序現(xiàn)已準備就緒！如希望了解與網(wǎng)絡硬件保護裝置有關的管理員操作程序，請參閱管理網(wǎng)絡硬件保護裝置證在本頁。停用軟件如果需要將通過軟件證激活的UFED應用程序移動到另一臺PC，必須先停用(刪除)計算機上的證。在UFED應用程序中，轉(zhuǎn)至幫助>顯示證詳細信息。將顯示Cellebrite產(chǎn)品窗單擊停用軟件許可證。將顯示軟件證停用窗口。單擊以計算機ID轉(zhuǎn)至tt /deactivation并用您的MyCellebrite帳戶登錄如果沒有帳戶，請單擊立即并創(chuàng)建一個用戶。然后返回到tt /deactivation。將顯示如下的窗口確保設備添加到產(chǎn)品列表中。n如果設備顯示在產(chǎn)品列表中，請單擊轉(zhuǎn)到“我的產(chǎn)品”頁面以瀏覽到“我的產(chǎn)品”頁n如果該設備未在產(chǎn)品列表中顯示，單擊UFED證停用窗口中的添加設備，或我的產(chǎn)品頁面的UFED產(chǎn)品/加密狗。將顯示如下的窗口。輸入Cellebrite產(chǎn)品窗口中顯示的序列號、設備ID和設備名稱(可選)單擊添加設備。設備現(xiàn)在顯示在“我的產(chǎn)品”頁面中的“活動的產(chǎn)品”在“我的產(chǎn)品”頁面中，找到設備，然后打開選項菜單并選擇停用設備。將顯示如下的窗點擊下一步到您完成上述步驟。單擊下載停用文件并將文件保存到PC在UFED應用程序的軟件證停用窗口中，您需要上傳停用文件。單擊選擇停用文件，然后打開停用文件。將顯示軟件證停用窗口。要完成停用過程，您需要將停用文件上傳至MyCellebrite。在軟件證停用窗口中，單擊復制路徑或打開所在文件夾，然后單擊關閉返回MyCellebrite上的“停用向?qū)А保缓髥螕粝乱徊絾螕暨x擇文件，然后將UFED應用程序創(chuàng)建的停用文件上傳。要在其他計算機上激活UFED證，請按照使用軟件證(在本頁21)中的步驟操3掃描3在提取內(nèi)容上運行軟件偵測，以尋找其中的軟件掃描軟件時，UFEDPhysical yzer會應用最近一次使用的特征碼數(shù)據(jù)庫。如果是第一次使用軟件掃描器，或者希望在掃描前更新數(shù)據(jù)庫，請按照更新特征碼數(shù)據(jù)庫(在線)(下一頁)中的步驟進行。如果使用的計算機沒有Internet連接，則請按照從文件更新特征碼數(shù)據(jù)庫(離線)(在本頁30)中的步驟進行。選擇工具>軟件掃描器>掃描軟件或者單擊將顯示如下的窗口選擇希望掃描的文件系統(tǒng)，然后單擊UFEDPhysical yzer將掃描項目以尋找軟件。結(jié)果將顯示在項目樹中的軟件掃描器項目下。雙擊惡意軟件掃描器樹項目以打開一個數(shù)據(jù)顯示選項卡。其中顯示的數(shù)據(jù)包括軟件類型和軟件信息，如名稱n要將此結(jié)果包含在報告中，請選擇報告數(shù)據(jù)集區(qū)域中的受的文件。有關詳細信息，請參閱生成報告(在本頁119)。更新特征碼數(shù)據(jù)庫(在首次使用軟件掃描器前應更新特征碼數(shù)據(jù)庫，在數(shù)據(jù)庫中寫入內(nèi)容。之后可以通過更新來保證數(shù)據(jù)庫中包含了的特征碼。在特征碼數(shù)據(jù)庫中寫入了內(nèi)容之后，可以使用現(xiàn)有的數(shù)據(jù)庫運行 軟件掃描器。強烈建議您定期更新特征碼數(shù)據(jù)庫以確保其內(nèi)容。選擇工具菜單中的軟件掃描器>更新特征碼數(shù)據(jù)庫。將顯示如下的窗口單擊從Web更新。將向數(shù)據(jù)庫中寫入內(nèi)容。完成后，單擊關閉?，F(xiàn)在便可以掃描項目以尋找軟件。從文件更新特征碼數(shù)據(jù)庫 離線在使用沒有Internet在特征碼數(shù)據(jù)庫中寫入了內(nèi)容之后，可以使用現(xiàn)有的數(shù)據(jù)庫運行 軟件掃描器。強烈建議您定期更新特征碼數(shù)據(jù)庫以確保其內(nèi)容。在“資源管理器”中轉(zhuǎn)到UFEDPhysical yzer的主 ，將BitDefenderUpdater 一個外部的設備上。將BitDefenderUpdater 傳輸?shù)揭慌_有Internet連接并且沒有服務器設置的計算 選擇安裝了UFED yzer的計算機所使用的操作系統(tǒng)。單擊。將顯示如下的窗口單擊打開所在文件夾將definitions.msd文件到外部設備中，然后將其傳輸?shù)桨惭b了UFEDPhysicalyzer的計算機上。單擊關閉以關閉“軟件定義器”建議您一直使用同一臺計算機來 definitions.msd文件以簡化工作流程，節(jié)省時間。以后在這臺計算機上definitions.msd時，“軟件定義器”將對此文件執(zhí)行更新，而不用整個文件。切勿刪除此計算機上的definitions.msd文在UFEDPhysical yzer中，選擇工具>軟件掃描器>更新特征碼數(shù)據(jù)庫。將顯示如下的窗口。單擊從文件更新。將顯示打開的文件窗口。通過瀏覽找到軟件定義數(shù)據(jù)庫文件(*.msd)，然后單擊打開單擊開始。將向數(shù)據(jù)庫中寫入內(nèi)容。完成后，單擊關閉?，F(xiàn)在便可以掃描項目以尋找軟件。4入4UFEDPhysicalyzer提供了強大的和分析工具用于處理提取出的設備數(shù)據(jù)，同時它還簡化了在設備的數(shù)據(jù)結(jié)構中進行瀏覽的操作。UFEDPhysicalyzer可以在復雜的收集和研究工作中為您提供幫助，并能提供報告形式的法律。該應用程序的設計是對由UED單元提取出的內(nèi)存內(nèi)容加以利用，并以清晰簡明的形式展示設備的十六進制提取內(nèi)容、文件系統(tǒng)和分析得出的數(shù)據(jù)，從而使人員可以通過強大的搜索工具來出相關的信息。該應用程序還能生成各種格式的結(jié)果報告，如HTMLPDFExcel(*.xlsx)和XML，從而提供完整的功能。 用以下方法中的一種啟動UFED n雙擊桌面上的UFEDPhysicalyzer快捷方式。n選擇開始>程序>CellebriteMobileSynchronization>UFEDPhysical 請參閱工作空間簡介(在本頁54)以了解工作空間的概況。打開提取內(nèi)容進行分析UFEDPhysical yzer可以打開由UFED設備創(chuàng)建的文件和由UFEDPhysical yzer創(chuàng)建的XML文件，以及UFDR文件、UFD文件和URP文件(這些文件是由ReportManager應用程序創(chuàng)建)。在“高級”模式下，UFEDPhysical yzer還可以打開鏡像文件。有關詳細信息，請參閱在高級模式下打開提取內(nèi)容(在本頁40)。如果將設備數(shù)據(jù)提取到了一個可移動驅(qū)動器上，那么請將包含所提取數(shù)據(jù)的USB閃存驅(qū)動器或SD卡連接到PC上?？梢詫⑻崛?nèi)容的文件夾直接從可移動 復制到PC上以加快處理速度。執(zhí)行以下操作之一：n單擊歡迎選項卡上的打開n將UFD文件拖放到UFED yzer中n單擊應用程 上的n單擊應用程序菜單中的文件打開瀏覽到提取出的設備數(shù)據(jù)所處的位置并將其打開。選擇所支持格式的提取內(nèi)容：nUFDX集合*nUFED轉(zhuǎn)儲*n二進制文件(*.bin)。由另一個應用程序通過高級的打開功能生成的原始二進制文件或十六進制提取內(nèi)容。請參閱在高級模式下打開提取內(nèi)容(在本頁40)。n諾基PMn黑莓備份文件(*.ipd,n索尼愛立信GDFS(*.gdfs,nTomTomCFGnInField包(*nUFED報告(*.xml)-由UFED單元生成的邏輯報告，以及由UFED yzer創(chuàng)建XMLnReportManager(*.urp,*.ucp)-ReportManager創(chuàng)建的UFED報告包/UFED內(nèi)容nUFED報告在默認情況下，“打開” 框?qū)@示*.ufd文件，即所提取設備數(shù)據(jù)的信息映射單擊打開數(shù)據(jù)分析過程(包括項目分析)將開始，并且可能會持續(xù)數(shù)分鐘的時間。過程結(jié)束后，系統(tǒng)會在項目樹中加入一個新的項目，并且在數(shù)據(jù)顯示區(qū)域中顯示提取信息。在UFEDPhysical yzer未打開時，可以通過雙擊提取 中的*.ufd文件來快速打開提取內(nèi)容。此時將打開UFEDPhysical yzer并開始數(shù)據(jù)分析過程。分析多個提取多個提取功能可用于將多個提取合并成一個項目，從而提供統(tǒng)一的分析(視圖和報告)。您可以單獨打開包含不同項目中提取的UFDX文件，或打開統(tǒng)一包含所有提取的單獨項頭和打開高級。此功能和分析單獨的統(tǒng)一項目，并可以移除重復信息(重復項或冗余信息)。提取的數(shù)據(jù)都顯示在一個項目樹下，含有以下內(nèi)容：n統(tǒng)一的提取信息和設備信息，并可以深化到每個提取n對任何記錄來源的提取。nn過濾功能。請參閱使用快速過濾器功能(在本頁81)n打開與合并項目您可以將任何類型的提取添加到一個現(xiàn)有的項目中。您可以打開包含多個提取的將UFDX文件作為多個提取項目打開選擇文件>打開或單擊打開按鈕()并選擇EvidenceCollection.ufdx文件(當您對一個設備進行多個提取時，此文件便已創(chuàng)建。)將顯示如下的窗口。如果不希望每次打開包含多個提取的UFDX文件時顯示此消息，請選擇不要再顯示此消息復選框。單擊確定。單擊添加提取按鈕或右鍵單擊項目并選擇添加提取選擇所需的提取內(nèi)容。單擊確定。選擇文件>打開或單擊打開按鈕()并選擇要打開的文件將顯示如下的窗口單擊確定。n選擇文件另存UFDXn選擇關閉選項卡提取信息摘要項目樹中的“提取信息”區(qū)域包括多提取項目中所含的全部提取信息。每個提取信息都以不同顏色顯示，便于您在各“已分析數(shù)據(jù)”選項卡中找到數(shù)據(jù)來源。提取信息選項卡包括對所有內(nèi)容選項卡中全部提取信息的，而且每個提取信息都有單獨的選項卡。下面顯示了多提取項目的示例。有關“提取信息”選項卡中數(shù)據(jù)的詳細信息，請參閱“提取信息”選項卡(在本頁重命名項目和提取當多提取項目打開項目時，就稱為多項目。您可以將此項目重命名。您還可以將項目中提取的默認名重命名。有關重命名提取的詳細信息，請參閱“所有內(nèi)容”選項卡(在本頁在項目樹中選擇項目名。右鍵單擊并選擇重命名。將顯示如下的窗口。為項目輸入所需的名稱。單擊保存解碼和分析多提取項目會發(fā)起，以便顯示或濾除重復信息。所有提取的數(shù)據(jù)都顯示在一個項目樹下。在已分析的數(shù)據(jù)區(qū)域，您可以看到重復信息，條狀圖表示對數(shù)據(jù)來源的提取。條形的顏色與樹中的提取信息區(qū)域中提取的顏色匹配。您可以根據(jù)需要更改設置以移除重復信息。有關詳細信息，請參閱常規(guī)設置在本頁。下面“已分析的數(shù)據(jù)”區(qū)域的示例顯示與一個多提取項目相關的信息。相關項目過濾器。*表示其中一個合并項目中提供了其他信息。包含重復信息的項目。來源提取圖標。包含重復信息的24視圖顯示第75(75)個選定項。已選定75可在此處查看其他信息。從其中派生數(shù)據(jù)的提取。下面“數(shù)據(jù)文件”區(qū)域的示例顯示與一個多提取項目相關的信息。多提取設置n時間戳自動調(diào)整n根據(jù)設備的時區(qū)自動調(diào)整時間戳nUFDX文件作為多個項目打開n移除重復項有關這些設置的詳細信息，請參閱常規(guī)設置(在本頁242)報您可以為多提取項目生成一個統(tǒng)一的報告，其中顯示了原始提取來源。有關適用于多個提取的報告設置的詳細信息，請參閱生成報告在本頁中的包含合并的項(已分析的數(shù)據(jù))包含合并的項(數(shù)據(jù)文件)和包含來源信息。保存項目會話保存項目會話將保存您在項目上進行的工作，這樣就可以關閉UFEDPhysical yzer并在以后重新開始該會話。保存的會話文件(.pas)中包含以下內(nèi)容：n用戶在分析數(shù)據(jù)和數(shù)據(jù)文件表格中選擇的內(nèi)容n案例信息設n生成的報n十六進制n位n打開的選項n項目名稱n項目設置n報告選擇n搜索nnn統(tǒng)一的時區(qū)設置n用戶在數(shù)據(jù)表格中進行的排序nHashn觀察列表的結(jié)果處理第工具執(zhí)行的提取時，也可以創(chuàng)建項目會話保存的項目會話中不包含定義的設置。有關如何保存設置的詳細信息，請參閱保存設置(在本頁260)在文件菜單中選擇保存項目會話。會出現(xiàn)另存為框。瀏覽到希望保存項目會話文件的位置。要更改文件名，請編輯文件名框中自動分配的名稱?？梢酝ㄟ^選擇相同的文件名來覆蓋之前的會話。單擊保存在高級模式下打開提取內(nèi)容“打開(高級)”功能可用于指定設備數(shù)據(jù)提取和過程中使用的選項。有兩種可用于打開主項目的方法供選擇：n選擇UFED提取內(nèi)容-您可以指定如何UFED提取文件(*.ufd)n開始UFD文件)用于對并非由UFED單元生成的物理提取內(nèi)容或文件系統(tǒng)開始進行。以高級模式打開UFED提取文件標準的打開過程會啟動根據(jù)*.ufd文件中記錄的設備和廠商信息而設置的過程而使用選擇UFED的提取方法則可以跳過標準的打開過程，并可以指定自定義的解析過程或是指定如何對未知的設備進行解析。要使用“打開(高級)”功能在UFED提取的數(shù)據(jù)上創(chuàng)建新的項目選擇文件>打開(高級)或單擊“打開(高級)”框?qū)⒋蜷_，供您設置在新的項目中如何對所提取數(shù)據(jù)執(zhí)行的過單擊UFED提取內(nèi)容在“打開”框中，選擇要處理的*.ufd文件并單擊確定框的內(nèi)容將更改為“高級定制”，其中顯示根據(jù)所選中的*.ufd文件檢測到的如下信n設備的廠商名稱和型號。n選中的鏈-自動分配給該設備的標準設備鏈n二進制轉(zhuǎn)儲-*.ufd文件所的二進制提取內(nèi)容鏡像根據(jù)如下小節(jié)中所述對打開文件的選項進行自定義。單擊完成指定不同的設備您可以通過將選中的設備替換為另一種來指定一個完全不同的過程在打開的(高級 框中單擊切換設備將顯示如下的窗口在選擇設備列表中，選擇希望使用的設備。執(zhí)行以下操作之一來過濾所顯示的設備：n單擊左側(cè)面板上廠商列表中的廠商n在快速過濾器字段中輸入設備的廠商或型號來過濾所顯示的設備單擊下一步返回“高級定制”更改所謂鏈，是指一組以特定的順序組合起來的插件，用于對提取出的數(shù)據(jù)執(zhí)行。應用程序所支持設備列表中的每一種設備都分配有一個預定義的鏈。除插件外，鏈中還可能包含其他的鏈，這樣就可以更方便地在一個鏈中使用一組預定的插件。有關鏈和插件的詳細信息，請參閱高級(在本頁225)和插件(在本頁237)在打開的(高級)框中單擊切換鏈。將打開“切換鏈”框，其中顯示分配給該設備的默認鏈。一種設備可能分配有多個鏈，但其中只有一個可以設置為默認的鏈。n選擇當前設備n在該列表的鏈n選擇我的鏈n選擇所有鏈n使用“快速過濾器”字段來過濾所顯示的列表項目。選擇適用的鏈，然后單擊選擇以返回“高級定制”面板。所選中的鏈就會取代默認的鏈。單擊編輯。將打開當前鏈的鏈結(jié)構框，顯示該鏈要將某個組件添加到該鏈：單擊添加鏈/插件在組件庫中，選擇以下項目之n設備n鏈n插件在設備和鏈中選中的項目將作為鏈組件添加到鏈中。單擊以添加組件。要將某個組件從鏈的列表中刪除，請單擊該組件項目右側(cè)的x，然后單擊是單擊確定以返回“高級定制”完成對鏈的自定義后，您可以使用選中的鏈部分中的另存為或保存按鈕來保存對鏈進行保存按鈕只可用于保存對我的鏈中保存的已 用戶定義鏈進行的自定義。有關用戶定義鏈的詳細信息，請參閱管理鏈(在本頁225)。單擊保存以用當前鏈替換用戶定義的鏈，或者單擊另存將當前鏈另存為新鏈。如果單擊了另存為，請輸入新鏈的名稱，然后單擊保存新鏈將添加到包含應用程序自定義鏈的我的鏈列表中，并且所保存的鏈將作為選中的鏈顯示出來。添加二進制轉(zhuǎn)儲您可以在打開的(高級)框中添加從其他來源得到的其他二進制轉(zhuǎn)儲文件n要添加二進制轉(zhuǎn)儲文件請單擊二進制轉(zhuǎn)儲區(qū)域中的或添加二制轉(zhuǎn)儲，然后選擇希望添加的二進制提取文件。所添加的每個二進制轉(zhuǎn)儲都將以一個單獨組成部分的形式顯示在框的二進制轉(zhuǎn)儲部分中。n要刪除某個二進制轉(zhuǎn)儲請單擊將鼠標懸停在其上時顯示的添加文件系統(tǒng)轉(zhuǎn)儲您可以將收到的文件系統(tǒng)轉(zhuǎn)儲添加到項目中，文件系統(tǒng)轉(zhuǎn)儲可以是ZIP存檔的形式，也可以是包含文件系統(tǒng)提取內(nèi)容文件的文件夾形式。n要添加文件系統(tǒng)提取內(nèi)容，請單擊Zip文件或文件夾，然后選擇希望添加的ZIP存檔或您只能添加一個文件系統(tǒng)提取內(nèi)容。嘗試添加多個時，無論前一次添加的文件系統(tǒng)轉(zhuǎn)儲是ZIP存檔還是文件，都會被刪除。n要刪除文件系統(tǒng)提取內(nèi)容請單擊將鼠標懸停在其上時顯示的以高級模式打開非UFED提取文件收到并非由UFED單元生成的二進制或文件系統(tǒng)提取內(nèi)容時，或者沒有與其對應的文件時，可以使用“打開(高級)”功能定義如何這些內(nèi)容以用于新的項目選擇文件>打開(高級)或單擊“打開(高級)” 框?qū)⒋蜷_供您設置在新的項目中如何對所提取數(shù)據(jù)執(zhí)行的過程。開始UFD文件選項提供了兩個可用于開始建立新項目的起始點：n選擇設備-選擇對數(shù)據(jù)提取內(nèi)容進行時使用的特定設備定義。如果設備的廠商和型號已知，則可以使用此選項。請參閱通過選擇設備開始(向下)。n空項目-提供一個空的高級定制面板，供您設置過程參數(shù)和數(shù)據(jù)。如果沒有任何有關設備及/或其廠商的信息，并且希望構建一個自定義的過程，就可以使用此選項。請參閱通過空項目開始在本頁。通過選擇設備開始根據(jù)一個已知設備創(chuàng)建用于數(shù)據(jù)提取內(nèi)容的新項目。在“打開(高級)”窗口中單擊選擇設備在選擇設備列表中，選擇希望使用的設備。使用左側(cè)的廠商列表來按廠商過濾所顯示的設備，還可以使用快速過濾器字段來根據(jù)任何字符串過濾所顯示的設備。單擊下一步“高級定制”面板中將顯示所選中設備的名稱和默認鏈。n要選擇另一種設備，請參閱指定不同的設備(在本頁41)n要選擇另一個解析鏈，請參閱更改鏈(在本頁42)n要自行定析鏈，請參閱更改鏈(在本頁42)n要添加二進制提取內(nèi)容，請參閱添加二進制轉(zhuǎn)儲(在本頁45)n要添加文件系統(tǒng)提取內(nèi)容，請參閱添加文件系統(tǒng)轉(zhuǎn)儲(在本頁45)單擊完成通過空項目開始在“打開(高級)”窗口中單擊空項目要選擇設備，請參閱指定不同的設備(在本頁41)要選擇另一個解析鏈，請參閱更改解碼鏈(在本頁42)要自行定析鏈，請參閱更改解碼鏈(在本頁42)要添加二進制提取內(nèi)容，請參閱添加二進制轉(zhuǎn)儲(在本頁45)要添加文件系統(tǒng)提取內(nèi)容，請參閱添加文件系統(tǒng)轉(zhuǎn)儲(在本頁45)單擊完成JTAG提JTAG(JointTestActionGroup，聯(lián)合測試工作組)是一種高級的數(shù)據(jù)提取方法，取證檢驗者需要連接到設備的測試端口以獲取完整的物理鏡像。這樣檢驗者就可以并存儲于內(nèi)存上的原始數(shù)據(jù)。JTAG是一種非破壞性的方法，通過它，有機會對受到部分更改或損壞、數(shù)據(jù)端口不可用(或者連接斷開)或者由于其他原因無法以其他取證工具的設備中的數(shù)據(jù)進行。UFEDPhysicalyzer將JTAG的過程自動化，這樣您就不再需要手動JTAG提取內(nèi)商商號 A7272Desire有關支持JTAG提取的設備的更新列表，請參閱UFEDPhoneDetective移動應用或MyCellebrite中支持UFED的設備的文件通過此方法獲得物理內(nèi)存之后，便可以將其載入UFEDPhysicalyzer進行。您將在加載UFEDJTAG鏈時收到所有的數(shù)據(jù)，過程和正常的提取一樣。JTG提取和FD提取的主要不同點在于提取內(nèi)容中空閑位置的所在。所謂空閑是指提取內(nèi)容中數(shù)據(jù)塊的元數(shù)據(jù)。它可以位于提取內(nèi)容中的多個位置。在正常提取過程中，它位于各數(shù)據(jù)塊的末尾。而在JTG提取過程中，它位于整個提取內(nèi)容的末尾。要使用JTAG數(shù)據(jù)提取內(nèi)容在“打開高級窗口中單擊選擇設備在快速過濾器字段中輸入設備的廠商或型號，或者單擊左側(cè)廠商列表中的設備廠商，以對所顯示的設備進行過濾。如果所需設備不支持JTAG，可以在“快速過濾器”字段中輸入“jtag”以選擇一個通用的JTAG設備。選擇所需設備并單擊下一。將顯示如下的窗口。選擇方法并單擊下一步。不同設備上的可選方法也不同。將顯示如下的窗口要添加二進制轉(zhuǎn)儲文件請單擊二進制轉(zhuǎn)儲區(qū)域中的或添加二進制轉(zhuǎn)儲，然后選擇希望添加的二進制提取文件。所添加的每個二進制轉(zhuǎn)儲都將以一個單獨組成部分的形式顯示在框的二進制轉(zhuǎn)儲部分中。單擊完成在設置“打開(高級)”參數(shù)的任何階段，都可以通過單擊框右上角的保存來保存一個記錄了所選二進制提取內(nèi)容和設備信息的*.ufd文件，以便以后下次需要同一個文件時，就可以使用保存的UFD文件來通過打開或打開(高級)功能將其打開。加載項目會話在歡迎選項卡下，打望處理的項目。選擇文件菜單中的加載項目會話在“打開”框中，通過瀏覽找到希望打開的項目會話文件并選中單擊打開關閉項目n執(zhí)行以下操作之一：n選擇文件菜單中的關閉n右鍵單擊項目樹中的項目名稱，并選擇關閉 n選擇文件菜單中的退出鍵盤快捷方式選擇用于轉(zhuǎn)儲文件系統(tǒng)的文件夾添加實體書簽將光標移動到表格的末尾 將光標移動到表格的開頭在打開的選項卡之間切換打開報告向?qū)нx中或取消選中復選框空格鍵打開設置打開項目設置關閉項目5工作空間簡介工作空間包含兩個主要區(qū)域：項目樹和數(shù)據(jù)顯示區(qū)域，這樣的安排可以簡化您的工作流程。工作空間由以下部分組成：應用程序菜單欄數(shù)據(jù)顯示區(qū)域所有項目范圍內(nèi)搜索項目樹項目區(qū)域顯示每個打開進行分析的項目下的以下提取信息結(jié)構樹 說目信n雙擊提取信 可在數(shù)據(jù)顯示區(qū)域中打開項目 息有關詳細信息，請參閱“提取信息 ”選項卡(在本頁61)。要設n雙擊設備信息可在數(shù)據(jù)顯示區(qū)域中打開一個選項卡。備設備信息選項卡列出了現(xiàn)有的信息，并在支持的情況下還會顯示設備的重要識別信信息，如SIM卡和用戶鎖定代碼等。所顯示的類別數(shù)量和信息量取決于設備的型號息和廠商。內(nèi)n雙擊一個鏡像項目可以在數(shù)據(jù)顯示區(qū)域的“十六進制視圖”選項卡中將其顯示出存來。鏡像內(nèi)存鏡像樹項目列出了從設備的內(nèi)存模塊中生成的所有提取文件。樹中的內(nèi)存范圍項目列出了提取出的每個設備內(nèi)存模塊(列于鏡像下)中接受分析內(nèi)的內(nèi)存范圍。存n范n在顯示的數(shù)據(jù)中突出顯示對應的內(nèi)存范圍部分圍n將其添加到顯示的所屬二進制鏡像的突出顯示列表中(位于“十六進制視圖”項卡底部)n雙擊一個內(nèi)存范圍項目可以在“十六進制視圖”選項卡中顯示其內(nèi)容。樹中的文件系統(tǒng)項目列出在所分析的二進制文件中找到或重新構建出的所有文件文系統(tǒng)。件每個文件系統(tǒng)都帶有 (硬盤)標記。統(tǒng)刪除的文件帶有(紅叉)n雙擊任何文件系統(tǒng)可以在“十六進制視圖”選項卡中顯示其內(nèi)容。樹 說目樹中的已分析的數(shù)據(jù)項目分組顯示與設備的具體功能相關的已分析數(shù)據(jù)，如聯(lián)系人、SMS消息、 可用的信息和顯示的內(nèi)容取決于設備的功能和應用程序版本。舉例而言，S消息將按照設備的消息功能所包含的文件夾進行分類，如草稿收件箱發(fā)件箱、“已發(fā)送”等。電子郵件消息則按照發(fā)送或接收消息的帳戶分類。此外還有一個未分類的帳戶或消息文件夾，其中列出無法分入找到的帳戶或帳戶文件夾(“收件箱”、“發(fā)件箱”“草稿”等)的所有文件夾或消息。已分析的數(shù)據(jù)中可能還會顯示以下信息已分n個人信息-日歷、聯(lián)系人、附注、 析n消息項目-SMS、彩信、電子郵件、即時消息、聊天內(nèi)容的據(jù)數(shù)nWeb瀏覽器項書簽、歷史記錄據(jù)nGPS信息-位置(包括來自 數(shù)據(jù)庫的此類信息)、旅程、定位。有關地理位置的詳細信息，請參閱設備位置(在本頁99)。n設備信息藍牙配對、無線網(wǎng)絡、SIM卡數(shù)據(jù)、應用程序使用情況、Wi-Fi、蜂窩位括號中的數(shù)量指示了每個類別所包含的項目數(shù)。選中任何已分析的數(shù)據(jù)會自動將其添加到顯示的所屬二進制鏡像和/或內(nèi)存范圍的突出顯示列表中(位于“十六進制視圖”選項卡底部)，并在顯示的數(shù)據(jù)中突出顯示它的數(shù)據(jù)范圍部分。樹 說目樹中的數(shù)據(jù)文件項目按照常見或已知的設備或計算機文件類型排列提取出的數(shù) n圖像-被識別為屬于圖像文件格式的文件 -被識別為屬于文件格式的文件n音頻-被識別為屬于音頻文件格式的文件數(shù)n文本被識別為屬于文本文件格式的文件據(jù)n數(shù)據(jù)被識別為屬于數(shù)據(jù)庫的數(shù)據(jù)結(jié)構文n配置設備配置文件(iOSplist文件件 應用程-被識別為屬于應用程序文件的文件thatwererecognizedasfiles(.apk.jar.dex.so.exe文件等 文檔-被識別為屬于文檔格式的文件(.doc.docxpdf.xlsxppt文件等n未歸所有未知的文件格式或未定義的文件擴展名。刪除的項目帶 (紅叉)標記您可以創(chuàng)建其他數(shù)據(jù)文件分組。有關詳細信息，請參閱管理數(shù)據(jù)文件設置(在本頁正樹中的雕復項目用于在物理提取內(nèi)容中搜索部分刪除或損壞的圖像。n雙擊雕復以開始搜索。生成有關詳細信息，請參閱雕復圖像(在本頁185)時n雙擊時間線在數(shù)據(jù)顯示區(qū)域中打開按時間安排的設備事件。間時間線選項卡將按時間順序顯示設備事件，如通話、SMS、彩信等，所有事件都帶線有時間戳。 列表，用于在提取出的數(shù)據(jù)中搜索并識別出感 的事件和項目。察n展開觀察列表將列出當前會話中曾經(jīng)運行過的觀察列表。列n雙擊觀察列表查看基于觀察列表的突出顯示事件。表有關詳細信息，請參閱使用觀察列表(在本頁91)樹 說目軟運 軟件掃描器來識別設備中 軟件。有關詳細信息，請參閱掃掃件軟件(在本28)。掃器項樹中的項目分析項目為您提供了一個對比性的分析概覽。您可以打開“活動分析”選目項卡，查看所有設備活動的總覽，另外各個單獨活動，包括 SkypeGmail和BlackBerryMessenger，都有各自的選項卡。有關詳細信息，析請參閱設定項目設置(在本頁261)。十 用來定義并保存十六進制數(shù)據(jù)中的特定位置，通過十六進制 樹項目進行進管理。制標n雙擊十六進 將在數(shù)據(jù)顯示區(qū)域中打開選項卡中的列表簽在所提取數(shù)據(jù)中將對部分文件類型進行識別和標記。 標頻。簽您可以使用插件或Python外殼來查找其他的數(shù)據(jù)片段，然后用現(xiàn)有的 之一或自定義的 加以標識。刪除的項目帶有紅叉要打開已經(jīng)在此會話中生成項目報告的某個報告：n雙擊報告樹項目中的報告。 報告將在與該報告格式相關聯(lián)的應用程序中打開告n如果沒有在項目中生成任何報告，則雙擊報告樹項目可以打開“生成報告有關生成報告的詳細信息，請參閱生成報告(在本頁119)使用項目樹區(qū)域n單擊以展開或折疊樹項目。n雙擊樹項目可以在數(shù)據(jù)顯示區(qū)域中打開詳細信息。n單擊項目樹頂部的可以展開樹中的所有項目。n單擊項目樹頂部的可以折疊樹中的所有項目。數(shù)據(jù)顯示區(qū)域一共有五種類型的選項卡：n歡迎選項n提取信息選項n數(shù)據(jù)n時間線選項n鏡像選項卡(十六進制視圖數(shù)據(jù)顯示區(qū)域中還會顯示其他窗口，如窗口以及觀察列表的結(jié)果n單擊選項卡標題n單擊數(shù)據(jù)顯示區(qū)域右上角的n單擊數(shù)據(jù)顯示區(qū)域右上角的，然后在打開的選項卡列表中選擇希望跳轉(zhuǎn)到的選項歡迎選項卡應用程序啟動時，將在數(shù)據(jù)顯示區(qū)域中自動顯示歡迎選項卡，其中列出最近打開的文件。列表中的每個文件都以帶邊框的信息分組的形式顯示，其中包含如下項目：n設備的-來自應用程序資源的設備縮略圖，前提是有這種。如果沒有此，則會換用一個通用的占位圖。n文件-n文件路指向文件位置的文件系統(tǒng)路徑。n設備型-n日期和時文件最后一次打開的日期和時間戳。n瀏覽”-直接指向文件系統(tǒng)中文件的如需從歡迎選項卡中刪除最近的項目請單擊 您可以執(zhí)行以下操作：n單擊框中的某個項目可以打開文件進行n單擊瀏覽可以直接轉(zhuǎn)到文件系統(tǒng)中與之相關聯(lián)的文件。n關閉歡迎選項卡。關閉后可以用視圖>顯示歡迎重新打開。“提取信息摘要”選項卡每次打開新的提取內(nèi)容進行分析時，提取信息摘要選項卡就會自動顯示n該選項卡關閉后，如果要重新打開，可以雙擊樹中的提取信息項目“提取信息”選項卡有如下子選項卡：n所有內(nèi)容：包括提取信息、設備信息和設備內(nèi)容。有關詳細信息，請參閱“所有內(nèi)容”選項卡(向下)。 提取信息：執(zhí)行的各類型提取的選項卡。請參閱“提取信息”選項卡(在本頁67)“”選項卡“所有內(nèi)容”選項卡包括如下信息：提取信(下一頁案例信息(在本63)設備信息(在本64)設備內(nèi)容(在本提取信息本節(jié)包括與設備的提取過程有關的信息。圖：單次提取圖：包含多個提取的項目“提取信息”區(qū)域包括如下信息：與與“提取信息”選項卡的。提取文件的位置。提取開始和結(jié)束的時間。所執(zhí)行的提取類型，如物理提取(引導程序提取)檢測到的型號，如MB717SamsungGT-I9205單擊編輯按鈕()或在項目樹中選擇提取名右鍵單擊并選擇重命名將顯示如下的為提取內(nèi)容輸入新名稱，然后單擊保存在項目樹中選擇項目名。右鍵單擊并選擇重命名。將顯示如下的窗口。為項目輸入所需的名稱。單擊保存案例信息本節(jié)包括取自項目設置>案例信息的案例信設備信息本節(jié)顯示從提取文件中取出的具體設備信息的。請參閱項目樹(在本頁55)中的設備信息條目。下面的示例顯示多提取項目的設備信息。設備內(nèi)容n數(shù)據(jù)：在提取內(nèi)容中找到的各種經(jīng)過分析得出的設備數(shù)據(jù)，如、聯(lián)系人、SMS消息等。有關數(shù)據(jù)類型的完整列表，請參閱項目樹(在本頁55)中的已分析的數(shù)據(jù)條目。n數(shù)據(jù)文件：在提取內(nèi)容中找到的各種標準數(shù)據(jù)文件，如應用程序、音頻、配置、圖像、視頻、文本文件和未歸類文件。請參閱數(shù)據(jù)文件(在本頁248)。n相機：設備的或。請參閱相機和截圖(在本頁223) ：設備截圖。請參閱相機和截圖(在本頁223)藍色數(shù)字表示項目的總數(shù)，紅色數(shù)字(帶括號)表示在已刪除的數(shù)據(jù)中發(fā)現(xiàn)的項“”選項卡各個類型的提取都有一個“提取信息”選項卡?！疤崛⌒畔ⅰ边x項卡顯示提取信息，如提取何時執(zhí)行、由何種UFED單元執(zhí)行、使用了哪種數(shù)據(jù)線以及圖像Hash信息(用于驗證為所解Hash值。請參閱Hash(在本188)。在每個“提取信息”選項卡中，可使用“查找”框搜索具體設備信息。提取信息包含以下內(nèi)容：提取開始和結(jié)束的時間。提取開始和結(jié)束的時間。各提取類型的唯一所執(zhí)行的提取類型(例如文件系統(tǒng)用于提取的數(shù)據(jù)線(100號數(shù)據(jù)線設備的名稱(例如稱設備的生產(chǎn)廠商(UFED軟件版本執(zhí)行提取的裝置(UFEDTouch)的序列號，如果提取是以PC序執(zhí)行UFED4PCID如需在數(shù)據(jù)顯示區(qū)域中新建選項卡以顯示相關信息，請單擊任意項目樹。數(shù)據(jù)選項卡應用程序十六進制視圖和文件信息圖像文件十六進制視圖圖像視圖和文件信息應用程序十六進制視圖和文件信息圖像文件十六進制視圖圖像視圖和文件信息文件十六進制視圖文件信息和視音頻文件十六進制視圖和文件信文本文件十六進制視圖和文件信息文檔文件十六進制視圖和文件信置十六進制視圖和文件信數(shù)據(jù)庫選項卡會在各選項卡中顯示數(shù)據(jù)，具體取決于數(shù)據(jù)類型n表格視圖-列出在數(shù)據(jù)分析過程中找出的屬于特定類型的所有文件(圖像、、音頻、文本等)。n文件夾視查看重建的文件系統(tǒng)中與數(shù)據(jù)文件路徑相對應的文件夾結(jié)構(僅適用于數(shù)據(jù)文件)。n十六進制查看二進制項目的十六進制數(shù)據(jù)。n圖像視圖-查看圖像。請參閱查看圖像文件(在本頁79)n縮略圖查看圖像的縮略圖(僅適用于圖像)n文件信查看文件的相關信息。n數(shù)據(jù)庫視查看數(shù)據(jù)庫文件的內(nèi)容。使用數(shù)據(jù)選項卡選擇項目在數(shù)據(jù)顯示區(qū)域中選擇項目，以將其包含在生成的任何報告中。在默認情況下會選中所有的項目。n要選擇多個項目，請按住SHIFTCTRL鍵(分別用于選擇連續(xù)項目和選擇不連續(xù)的項目)。n選中一個項目時，可以按空格鍵選中或取消選中復選框，將該項目包含在報告中或?qū)⑵鋘要同時選中所有項目請單擊列標題中的(表格視圖縮略圖視圖和時間線)按字母順序或時間對各列進行排序。n單擊列標題可以切換順序。n方法是將列拖動到喜歡的位置。n右鍵單擊列標題并選擇列表中的列名稱。在默認情況下，包含文本信息的數(shù)據(jù)選項卡的右側(cè)面板為打開狀態(tài)，其中顯示所選項目的信息。n要關閉或打開右側(cè)面板請單擊要導出特定選項卡中的數(shù)據(jù)請在中單擊希望使用的輸出格式：ExcelHTMLPDFXMLKML(僅限于位置數(shù)據(jù))或EML(僅限于電子郵件數(shù)據(jù))將顯示“導出”框執(zhí)行以下操作之一：n輸入希望用于保存報告的路徑。n單擊并瀏覽到希望使用的位置并加以選擇選擇包括翻譯復選框以包含翻譯后的數(shù)據(jù)。單擊確定將生成報告，并且出現(xiàn)一則消息，詢問您是否要在第軟件中將其打開單擊是或否文件將在默認的第軟件中打開導出到EML數(shù)據(jù)文件的表格視圖指示項目是否包含在所生成的報告中。包含時則為選中狀態(tài)，指示項目是否包含在所生成的報告中。包含時則為選中狀態(tài)，未包含時則未選中。書簽的詳細信息。指示附件的源應用程序，以及是否發(fā)送或接收。數(shù)據(jù)文件的時間戳。上一次數(shù)據(jù)文件的修改時間戳。數(shù)據(jù)文件的創(chuàng)建時間戳。數(shù)據(jù)文件的其他元數(shù)據(jù)。文件的大小。小文件系統(tǒng)中數(shù)據(jù)文件的根路徑。徑文件的名稱。稱圖像的縮略圖，或者對應于文件類型的圖標(僅限于圖像文件)。像表示數(shù)據(jù)文件是否包含附件。指示數(shù)據(jù)文件是已經(jīng)刪除 還是狀態(tài)未知("?"或白色的文檔圖標)。指示項目是否帶有書簽。此外還有用于顯示附件、指示是否為通話以及用于顯示方向的各種指示符n雙擊一個項目記錄(表中的行)可以打開“Hex查看器”選項卡，其中顯示所選文件的十六進制數(shù)據(jù)。已分析數(shù)據(jù)的表格視圖對于已分析的數(shù)據(jù)，表格視圖選項卡中將列出在數(shù)據(jù)分析過程中找到的屬于特定類型的所有項目(、聯(lián)系人、S消息等)。文件夾視圖n選則文件夾復選框可以選中該文件夾中的所有項目(包括子文件夾)。選中的項目將包含在所生成的報告中。選中某個項目時，會同時在數(shù)據(jù)顯示區(qū)域的所有選項卡中將其選中。n單擊可在數(shù)據(jù)顯示區(qū)域內(nèi)新建一個選項卡在其中打開此文件夾將顯示以下的文件夾信息：n在提取出的文件系統(tǒng)中的文件夾名稱。n該文件夾下選中的項目數(shù)(帶括號的紅色字樣)n該文件夾下項目的總數(shù)(黑色)數(shù)據(jù)庫視圖n在“文件系統(tǒng)”樹項目中打開一個.db數(shù)據(jù)庫視圖顯示了在提取信息中找到的數(shù)據(jù)庫文件的內(nèi)容。數(shù)據(jù)庫視圖由以下各部分組成：數(shù)據(jù)庫表格的列表。表格名稱旁帶括號的數(shù)字表示該數(shù)據(jù)庫表格內(nèi)的記錄數(shù)。在左列中選擇一個表格，其中的記錄就會在右列中顯示出來。記錄顯示區(qū)域中列出所選數(shù)據(jù)庫表格中的數(shù)據(jù)記錄。使用搜索字段來過濾所顯示的記錄。單擊 可以將選中的數(shù)據(jù)庫記錄導出為CSV文件十六進制視圖在項目樹中打開的每個二進制項目都會新建一個“十六進制視圖”選項卡。舉例而言，打開某個盤的鏡像時，就只會打開一個“十六進制視圖”選項卡。而打開一個二進制項目，如鏡像文件時，除了“十六進制視圖”選項卡，可能還會有其他選項卡?！笆M制視圖”選項卡包含如下組成部分：十六進制視圖選項卡n地址列：使用十六進制或十進制數(shù)值表示的信息列編號，顯示十六進制以及ASCII數(shù)據(jù)表示區(qū)域中每一行的起始地址。n十六進制數(shù)據(jù)視圖列：所選項目的十六進制數(shù)據(jù)nASCII表示視圖列：ASCII將鼠標置于“十六進制視圖”中的數(shù)據(jù)上方時，會自動顯示一個信息框。信息框中顯示指向已分析數(shù)據(jù)項目(如項目樹中的文件和文件夾)的(指針)，以及與所指向的數(shù)據(jù)相關聯(lián)的搜索結(jié)果。十六進制視圖工具欄單擊可將整個內(nèi)存提取內(nèi)容保存為一個本地的文件夾。將“十六進制視圖”選項卡中當前選中的內(nèi)容到剪貼板。顯示“查找”框，在所顯示的十六進制顯示面板中搜索出現(xiàn)指定信息的所有位置。顯示“查找”框，其中顯示上次搜索時使用的搜索參數(shù)添加為當前在十六進制顯示面板中選中的內(nèi)容添加書簽。將偏移值重新定向到十六進制顯示面板內(nèi)容中的特定地址處。切換是否在光標位置顯示浮動的信息框。切換是否顯示左側(cè)的地址列。切換是否顯示右側(cè)的ASCII表示列分析信息選項卡在“十六進制視圖”選項卡下方的是“分析信息”選項卡，其中顯示了以下與所顯示的十六進制數(shù)據(jù)直接相關的信息：n-各種對數(shù)值的解讀(如81632和64位)、各種字符串編碼、日期與時間格式等，這些內(nèi)容是針對十六進制視圖中選中的數(shù)據(jù)實時計算得出的。請參閱使用數(shù)值選項卡對頁。n-在顯示的十六進制數(shù)據(jù)中添加的列表。請參閱正在使用十六進制(在本頁218)。n突出顯-列出在所顯示的十六進制數(shù)據(jù)中標記為突出顯示的內(nèi)容區(qū)段。突出顯示結(jié)果的數(shù)量顯示在該選項卡名稱旁邊的括號中。請參閱使用“突出顯示”選項卡(對頁)n搜索-顯示在所顯示的十六進制數(shù)據(jù)中進行搜索的結(jié)果。每次執(zhí)行搜索時，都會打開您可以根據(jù)自己的喜好重新安排“分析信息”選項卡的顯示方式：n雙擊某個部分的標題條，可以將整個部分顯示為一個浮動的面板。雙擊該浮動面板的標題條，可以將其重新?？炕啬J的位置(即“十六進制視圖”選項卡的底部)。n雙擊任何選項卡的名稱，可以將其顯示為一個浮動的面板。雙擊該浮動面板的標題n將該浮動面板的名稱拖動到顯示的任何一個?？可?，可以將其?？康健笆M制視圖”選項卡上的相應位置。使用“數(shù)值”選項卡實時地根據(jù)各種編碼類型來對原始數(shù)據(jù)進行，并在“數(shù)值”列表中將其展開顯示。要數(shù)值選項卡，請單擊十六進制視圖選項卡底部的數(shù)值選項卡在十六進制內(nèi)容中選擇一個數(shù)據(jù)片段。要顯示后的數(shù)據(jù)，請滾動到希望使用的編碼方式，然后單擊展開顯示。某些編碼選項(如16位)有次一級的編碼類型。您可以單擊 來完全展開或折疊所有編碼類型使用“”選項卡突出顯示選項卡列出了在所顯示的十六進制數(shù)據(jù)中突出顯示的內(nèi)容區(qū)段。每個區(qū)段都代表著已分析的數(shù)據(jù)在十六進制數(shù)據(jù)中所處的位置。使用突出顯示選項卡，您就可以在十六進制數(shù)據(jù)中定位特定類型的已分析數(shù)據(jù)。突出顯示結(jié)果的數(shù)量顯示在該選項卡名稱旁邊的括號中。要突出顯示選項卡，請單擊十六進制視圖選項卡底部的突出顯示選項卡在項目樹中，單擊某個已分析的數(shù)據(jù)文件夾(例如聯(lián)系人)所選文件夾的位置就會在十六進制視圖選項卡中突出顯示出來，同時組成該文件夾的數(shù)據(jù)區(qū)塊也會在突出顯示選項卡中列出?！啊边x項卡“文件信息”選項卡顯示了有關數(shù)據(jù)文件的如下信息：nFAT包括其他屬性的文件分配表。n日期和時間-數(shù)據(jù)文件的創(chuàng)建、修改和最后一次的時間戳n一般-n數(shù)據(jù)文件在十六進制數(shù)據(jù)中的偏移地址。nEXIF由照相機記錄下并嵌入其中的EXIF信息(如果存在)n文件元圖像的常規(guī)信息(捕獲時間、分辨率、大小和顏色深度)查看圖像文件雙擊數(shù)據(jù)顯示選項卡中的圖像。此時將打開一個新的選項卡，其中包含該圖像。該選項卡進一步分為兩個子選項卡：圖像視圖和文件信息。在圖像視圖圖像放大顯示時，單擊可以在圖像中導航。順時針和逆時針旋轉(zhuǎn)圖像。縮放以適合選項卡大小。將縮放重置為100%。隱藏圖像控件。單擊文件信息選項卡可查看文件的信息。例如“文件元數(shù)據(jù)”部分中包括了捕獲時間等播放文在數(shù)據(jù)表格中，雙擊希望的文件。將打開一個新選項卡來該文件。單擊縮略圖上的圖標。下面顯示了一個示例要在默認的程序 n右鍵單擊文件并選擇使用默認的程序打開66尋找和分析信息在數(shù)據(jù)選項卡中搜索信息在表格視圖選項卡中搜索數(shù)據(jù)表格中的某個特定項目。該搜索將針對表格中的所有數(shù)據(jù)條目執(zhí)行。n在表搜索框中輸入任意字符串。使用快速過濾器功能使用快速過濾器工具，可以按照如下方式對表格視圖選項卡中的數(shù)據(jù)進行過濾顯示自帶或非系統(tǒng)圖像。過濾設備附帶或應用程序安裝時加入的圖像。默認過濾所有系統(tǒng)圖像。您可以在設置>數(shù)據(jù)文件下更改此設置。僅選定的僅顯示已選定的項目。僅未選定僅顯示未選定的項目。僅顯示已刪除的項目。顯示所有圖像顯示所有圖像。此過濾器會覆蓋使用以下三個過濾條件的過濾器：顯示大于30KB的圖像、大于100KB的圖像和大于500KB的圖像。顯示大于30僅顯示30KB以上的小圖像顯示大于100KB以上的中等圖像顯示大于100KB以上的大圖像過濾圖像展名單擊以啟用文件類型過濾：JPEGGIFBMP或PNG顯示JPGJPEG文件。GIF文件。BMP文件。PNG文件。按照元數(shù)據(jù)(“全部”“不帶有元數(shù)據(jù)”或“具有元數(shù)據(jù)”)和位置(“全部”“具有位置”或“不帶有位置”)對圖像和文件進行過濾。按照捕獲時間對圖像和文件進行過濾。默認顯示最大范圍，您可以選擇一個具體的日期和時間范圍。翻譯過濾對的文本進行過濾，選擇是顯示全部文本、文本還是未翻譯文本。過濾提取的相關項，這在使用多個提取功能時非常有用(請參閱分析多個提取在本頁)所有顯示所有項，僅重復信息僅顯示包含重復信息(重復項或冗余信息)僅非重復信息僅顯示不包含重復信息的項，以及僅包含其他數(shù)據(jù)的項僅顯示包含其他信息的項。打開顯示項目和相關消息 選項卡在表格視圖中打 中的所有消息過濾帶有附件的數(shù)據(jù)文件?！叭俊边m用于所有數(shù)據(jù)文件，“附件”適用于含附件的數(shù)據(jù)文件，“無附件”適用于不含附件的數(shù)據(jù)文件。附件過濾已發(fā)送或已收到的過濾器附件?！叭俊边m用于所有附件，“已發(fā)送”適用于已發(fā)送的附件，“已收到”適用于已收到的附件，“未知”適用于未知附件。附件來源應用按附件的來源應用程序進行過濾。將列出提取中的所有應用程序。選擇要顯示的應用程序并單擊完成。標記所選項目。從所選項目中刪除打開管理窗口。打向 向?qū)б越QL查詢，并將數(shù)據(jù)庫字段映射到UFEDPhysicalyzer模型。將當前視圖導出到ExcelHTMLPDFXMLWord位置過濾過濾地圖上顯示的位置。檢索所選位置的物理地址。通過拍攝/記錄、創(chuàng)建、修改、或刪除的時間，或者通過相機生產(chǎn)商或型號對所選圖像或進行分組。刪除所有過濾刪除所有應用的過濾器。使用高級過濾器在任何分析數(shù)據(jù)或數(shù)據(jù)文件窗口中，列出的結(jié)果將按列過濾。單擊相關列標題以查看過濾器和排序選項。下面顯示了一個示例。當選擇過濾器時，僅顯示相關結(jié)果。在所有打開的項目中搜索信息中的所有可用于在所有打開的項目中搜索信息。在所有項目框中鍵入任意字符串。將在所有項目搜索字段下顯示匹配結(jié)果的列表。這些結(jié)果將按所屬的打開項目排序。而在每個打開的項目中，結(jié)果將按照類別()排列。同時還會顯示每個類別下找到的匹配結(jié)果的數(shù)目。單擊可以折疊或展開項目執(zhí)行以下操作之一：n單擊項目名稱旁的可以在數(shù)據(jù)顯示區(qū)域的選項卡中查看搜索結(jié)果在提取內(nèi)容中n選擇快速結(jié)果列表頂部的全部顯示可以在數(shù)據(jù)顯示區(qū)域中打開一個結(jié)果選項卡，其中列出所有匹配的搜索結(jié)果。各項目中與搜索相匹配的字符串將以紅色顯示。直到關閉應用程序前您最近的搜索活動(20次搜索)，包括已保存的所有項目搜索和表搜索。瀏覽文件系統(tǒng)FDyscl yzr能夠重新構建設備的文件系統(tǒng)以形成一個樹形結(jié)構，并將其顯示出來。在樹中的文件系統(tǒng)項目中，單擊每個節(jié)點旁的或繼續(xù)在文件系統(tǒng)中深化以瀏覽其內(nèi)容。n-在文件系統(tǒng)中找到的現(xiàn)有的文n-在文件系統(tǒng)中找到的已刪除的文件數(shù)對該文件顯示的信息選項卡數(shù)量取決于文件的類型。例如，對于未知文件，可能只會顯示十六進制視圖和文件信息選項卡；而對于JPEG圖像，則可能還會顯示圖像視圖和元數(shù)據(jù)十六進制視圖是默認的視圖。有關使用十六進制視圖的詳細信息，請參閱十六進制視圖(在本頁74)和使用十六進制數(shù)據(jù)(在本頁195)當數(shù)據(jù)顯示區(qū)域中顯示了某個鏡像的十六進制提取內(nèi)容時，單擊樹中文件系統(tǒng)項目下的某個文件，可以在數(shù)據(jù)顯示區(qū)域的十六進制數(shù)據(jù)中將該文件對應的數(shù)據(jù)部分突出顯示出來。時間線視圖時間線視圖是一個功能強大的工具，您可以通過它來按照時間順序分析數(shù)據(jù)，識別事件發(fā)生的順序，找出它們之間的聯(lián)系。n單擊可以按照日期對事件進行分組或取消分組在圖形視圖中，事件顯示在一個圖形中，這樣您就可以快速識別出可能會感的活動激增情況。n要在時間線內(nèi)向前或向后滾動請使 、、和按鈕您可以提高或降低時間線視圖中的細節(jié)等級：n要提高時間解析度，請單擊。n要降低時間解析度，請單擊。此時發(fā)生間隔較短的事件就會被標記為一組。n單擊可以打開包含該組事件的新時間線視圖視像、電子郵件、S和彩信消息等這些與通訊交流有關的數(shù)據(jù)可以通過一個對話形式的布局顯示出來，這樣就可以更好地雙方或多方之間的交流?？梢运阉髁奶熘械南?，選擇要包含在報告內(nèi)的消息(默認將包含所有聊天消息)以及打印或?qū)С鰞?nèi)容。單擊將打開一個選項卡，其中以所選項目發(fā)送方和接收方之間的形式顯示相關的項目。如需翻譯或刪除的文本請單擊 然后選擇翻譯全部翻譯選定的項或刪除全部翻譯。要打 請單擊要查看打印預覽請單擊要導出，請 選項卡的中單擊希望使用的輸出格式ExcelHTML XML或Word要更改的順序請單擊然后選擇舊消息最前或新消息最前在搜索框中輸入文本來對消息進行過濾。如需添加或編輯請單擊選中復選框?qū)⑻囟ǖ南趫蟾嬷?也可以選中或取消選中全部消息)使用觀察列表針對提取出的數(shù)據(jù)運行一個包含的觀察列表，可以識別其中重要的相關信息并將其突出顯示出來。創(chuàng)建觀察列表執(zhí)行以下操作之一：n單擊中的n選擇工具菜單中的觀察列表編輯器“觀察列表編輯器”將會出現(xiàn)。單擊并選擇新建將顯示如下的窗口在觀察列表名稱框中輸入觀察列表的名稱。要將觀察列表設為僅在項目的特定數(shù)據(jù)類型中查找，請單擊查找范圍，然后選擇希望使用的數(shù)據(jù)類型。在輸入說明框中輸入觀察列表的一般性說明可選)要將觀察列表設置為打開項目時自動運行，請單擊自動激活單擊新建可以添加新的。此時會在“”列表中出現(xiàn)一個新的行。對于每個，可以根據(jù)需要設置以下內(nèi)容n輸入值：輸入n匹配大小寫：選中以在匹配時區(qū)分大小寫n整個：選中以匹配整個n顏色：單擊并選擇在顯示匹配的時希望使用的顏色執(zhí)行以下操作之一：n單擊應用以保存觀察列表并保持“觀察列表編輯器”n單擊確定以保存觀察列表并關閉“觀察列表編輯器”n單擊取消以關閉“觀察列表編輯器”編輯觀察列表在“觀察列表編輯器”中選擇希望編輯的觀察列表。編輯希望更改的觀察列表參數(shù)和要對觀察列表進行過濾以找到某個特定的，請在輸入文本以進行過濾框中鍵入該。要編輯某個，請在列表中單擊相應的并進行需要的更改要刪除某個請單擊n單擊應用以保存觀察列表并保持“觀察列表編輯器”n單擊確定以保存觀察列表并關閉“觀察列表編輯器”n單擊取消以關閉“觀察列表編輯器”導入觀察列表通過導出和導入功能，您可以和同事共享您的觀察列表，或使用從他們那里收到的觀察列表。您可以導入使用FDyscl yzr保存或創(chuàng)建的現(xiàn)有觀察列表(.csv文件)。您也可以導入每行單獨包含各個的CSV文件如此導入時將不帶有任何格單擊主中的“觀察列表編輯器”將會出現(xiàn)單擊并選擇導入瀏覽到保存了觀察列表的位置，選中CSV文件，然后單擊打開。觀察列表將會出現(xiàn)在“觀察列表編輯器”中。下面顯示了一個示例。導出觀察列表導出觀察列表時，會將其保存為*.csv文件以便以后使用或與他人共享。在“觀察列表編輯器”中選擇希望導出的觀察列表。單擊瀏覽到希望保存觀察列表的位置，然后單擊選擇文件夾觀察列表即被導出。默認情況下會采用[觀察列表名稱].csv的名稱保存。刪除觀察列表在“觀察列表編輯器”中選擇希望刪除的觀察列表。單擊將顯示如下的窗口單擊是。觀察列表即被刪除。運行觀察列表您可以在打開的項目上運行觀察列表。在特定的項目上運行觀察列表通過觀察列表編輯器運行觀察列表時，您可以選擇要運行的觀察列表以及運行它們的項目。單擊中的以打開“觀察列表編輯器”，然后選擇要運行的觀察列表單擊將會顯示一個列表列出打開的項目選擇希望運行搜索的項目。對鉤標記表示選中的觀察列表在該項目上目前處于活動狀態(tài)。單擊應用UFEDPhysical yzer將在選中的項目中搜索。完成后將在觀察列表樹項目中顯示觀察列表的結(jié)果。如果觀察列表只適用于特定類型的信息(請參閱創(chuàng)建觀察列表(在本頁91))，則觀察列表結(jié)果中將只包含這些類型的匹配結(jié)果。在當前項目上運行觀察列表通過項目樹運行觀察列表時，您可以選擇要在當前處理的項目上運行的觀察列表。多個打開的項目，所選的觀察列表將在項目樹中最后一個被單擊過的項目上運行。單 中的將會列出所有的觀察列表選擇希望在當前處理的項目上運行的觀察列表。對鉤標記表示該觀察列表在項目上目前處于活動狀態(tài)。單擊項目樹中當前所關注項目上的應用單擊 中的時只能在項目樹中最后一次單擊的項目上運行觀察列表UFEDPhysical yzer將在選中的項目中搜索。完成后將在觀察