UFED Logical Analyzer Gebruikershandleiding December 2014

UFED Logical Analyzer Gebruikershandleiding December 2014

Wettelijke kennisgevingen Copyright © 2014 Cellebrite Mobile Synchronization Ltd. Alle rechten voorbehouden. Deze handleiding wordt geleverd onderworpen aan de volgende voorwaarden en beperkingen: • Deze handleiding bevat informatie die eigendom is van Cellebrite Mobile Synchronization Ltd. Deze informatie wordt enkel en alleen gegeven met als de expliciet en correct gemachtigde gebruikers van de UFED Logical Analyzer bij te staan. • Geen onderdeel van deze inhoud mag worden gebruikt voor een ander doel, worden onthuld aan andere personen of firma's of op eender welke manier worden gereproduceerd, elektronisch of mechanisch, zonder voorafgaande uitdrukkelijke geschreven toestemming van Cellebrite Ltd. • De tekst en grafische inhoud zijn enkel bedoeld als illustratie en referentie. De specificaties waarop ze zijn gebaseerd zijn onderworpen aan wijziging zonder voorafgaande melding. • Informatie in dit document is onderworpen aan wijziging zonder voorafgaande melding. Bedrijfs- en individuele namen en gegevens die in de voorbeelden worden gebruikt, zijn fictief tenzij anders aangegeven.

Inhoud

3.3. Gegevens naar een pc uitlezen ................................ 32 3.4. Een projectsessie opslaan ............................................ 39 3.5. Een projectsessie laden ................................................. 40

Hoofdstuk 1: Inleiding ..................................... 7 Hoofdstuk 2: Installatie en activering .......... 9 2.1. De UFED Logical Analyzer installeren ....................10 2.1.1. Systeemvereisten .......................................................10 2.1.2. Software-installatie ...................................................11 2.1.3. De UFED Logical Analyzer activeren ..............19 2.1.4. De UFED Logical Analyzer met een softwarelicentie naar een andere pc verhuizen ..26 2.1.5. Connectiviteit met Windows Vista activeren.......................................................................................28

Hoofdstuk 3: Aan de slag ............................. 29 3.1. De UFED Logical Analyzer starten ...........................29 3.2. Een bestand voor analyse openen ..........................30

3.6. Een project sluiten ............................................................ 41 3.7. De UFED Logical Analyzer sluiten ........................... 41 3.8. Sneltoetsen ........................................................................... 42

Hoofdstuk 4: Oriëntatie naar de werkruimte ..................................................... 43 4.1. Projectstructuur.................................................................. 44 4.1.1. Werken in het gebied van de projectstructuur ...................................................................... 53 4.2. Gegevensweergave ......................................................... 54 4.2.1. Tabblad Welkom ....................................................... 56 4.2.2. Tabblad Extractiesamenvatting ....................... 58 4.2.3. Gegevenstabbladen ................................................ 60 4.3. Afbeeldingsbestanden bekijken .............................. 68 4.4. Videobestanden afspelen ............................................ 70

Inhoud Hoofdstuk 5: Informatie lokaliseren en analyseren ...................................................... 71 5.1. Informatie in een gegevenstabblad zoeken .....71

5 5.8.2. Een entiteitbladwijzer bewerken .................... 97 5.8.3. Een entiteitbladwijzer verwijderen ................ 97

5.2. De snelle filter gebruiken ..............................................71

Hoofdstuk 6: Gedecodeerde gegevens vertalen ........................................................... 99

5.3. De geavanceerde filter gebruiken ...........................74

6.1. De functie gebruiken ....................................................100

5.4. Informatie in alle geopende projecten zoeken................................................................................................75

6.2. Uw licentie updaten met de geselecteerde talen..................................................................................................100 6.2.1. Talen selecteren in MyCellebrite ...................101 6.2.2. Het vertaalpakket downloaden ......................106 6.2.3. De gedecodeerde gegevens vertalen .......108 6.2.4. Rapporten ....................................................................110

5.5. Tijdlijnweergave ..................................................................76 5.6. Conversatieweergave openen...................................79 5.7. Werken met watch lists ..................................................82 5.7.1. Een watch list aanmaken ......................................82 5.7.2. Een watch list bewerken .......................................87 5.7.3. Een watch list importeren ....................................88 5.7.4. Een watch list exporteren .....................................90 5.7.5. Een watch list verwijderen ...................................91 5.7.6. Een watch list uitvoeren ........................................92 5.8. Bladwijzerinformatie (entiteitbladwijzer) ............94 5.8.1. Een nieuwe entiteitbladwijzer aanmaken ..95

Hoofdstuk 7: Werken met projectanalyse. 113 Hoofdstuk 8: Scannen op malware .......... 117 8.1. De handtekeningendatabase updaten (online) ............................................................................................118 8.2. De handtekeningendatabase updaten vanaf een bestand (offline) ..............................................................120

6 Hoofdstuk 9: Een rapport genereren ...... 127 Hoofdstuk 10: Extracties uitvoeren ......... 139 10.1. Geavanceerde logische extractie uitvoeren 139 10.1.1. Geavanceerde logische extractie uitvoeren................................................................................... 140

Hoofdstuk 11: Camera- en screenshotbewijs ........................................ 151

12.4. Standaardinstellingen rapport .............................169 12.5. Instellingen opslaan ....................................................178 12.6. Instellingen laden .........................................................179 12.7. Projectinstellingen instellen ..................................179 12.7.1. Een verenigde tijdzone instellen voor het project................................................................................179 12.7.2. De case-informatie instellen ..........................183

Hoofdstuk 13: Referentie ........................... 187

Hoofdstuk 12: Instellingen ........................ 155

13.1. Menu Bestand.................................................................187

12.1. Algemene instellingen .............................................. 156

13.2. Menu Weergeven.........................................................188 13.2.1. Het traceervenster bekijken ...........................188

12.2. Gegevensbestanden .................................................. 159 12.2.1. Filtermethodes voor gegevensbestanden .......................................................... 161 12.2.2. Gegevensbestandsinstellingen beheren162 12.3. Bijkomende rapportvelden .................................... 165 12.3.1. Een nieuw rapportveld toevoegen ........... 166 12.3.2. Een rapportveld verwijderen ........................ 168 12.3.3. Een rapportveld bewerken ............................ 168

13.3. Menu extra........................................................................190 13.4. Menu extraheren ..........................................................191 13.5. Menu rapport ..................................................................191 13.6. Menu help.........................................................................192

Hoofdstuk 1: Inleiding

7

Hoofdstuk 1: Inleiding Welkom bij de UFED Logical Analyzer. De UFED Logical Analyzer is een applicatie die de volgende bestanden leest: UFED-bestanden (UFED-dumpbestanden *.ufd) en UFED-rapportbestanden (*.xml) die werden gecreëerd als deel van de logische extractie en UFED-rapportpakketten (*.ufdr) die werden gegenereerd vanaf geanalyseerde gegevens van een logische extractie door de UFED Logical Analyzer. De UFED Logical bestaat uit twee componenten: • Het UFED-apparaat met Logical-modules dat wordt gebruikt om logische extracties van mobiele apparaten of SIM-kaarten te creëren, die vervolgens op een USB-stick, een SD-geheugenkaart of rechtstreeks op uw pc kunnen worden opgeslagen. • De applicatie UFED Logical Analyzer die het voor onderzoekers mogelijk maakt om een grondige analyse van uitgelezen gegevens van een logische extractie te maken. De werking van de UFED Logical bestaat uit twee stappen: • Logische extractie door middel van de UFED-hardware • Analyse en rapportering door middel van de UFED Logical Analyzer

8 De UFED Logical Analyzer zorgt ervoor dat u UFED-rapporten kunt openen, uw eigen zoekopdrachten en analyse op de geanalyseerde informatie kunt uitvoeren en acties kunt uitvoeren zoals zoekopdrachten uitvoeren, rapporteren genereren, entiteitbladwijzers creëren enz.

Hoofdstuk 2: Installatie en activering

Hoofdstuk 2: Installatie en activering Dit hoofdstuk beschrijft het installatie- en activeringsproces van de UFED Logical Analyzer op uw pc.

9

10

2.1. De UFED Logical Analyzer installeren 2.1.1. Systeemvereisten PC

Windows-compatibele pc met een Pentium® IV- of compatibele processor die op 1.6 GHz of hoger draait

Besturingssysteem

Microsoft Windows XP 1 met SP3 of later Microsoft Windows Vista™, Windows 7 of Windows 8

Geheugen (RAM)

1

Besturingssysteem

Aanbevolen

Minimum

32 bit

4 GB

4 GB

64 bit

8GB

4 GB

Ruimtevereisten

500 MB vrije schijfruimte voor de installatie

Bijkomende vereisten

Microsoft® .Net versie 4.0 OPMERKING: Windows XP 64 bit vereist de installatie van een .Net 2.0 hotfix (NDP20-KB913384-X64.exe) van http://archive.msdn.microsoft.com/KB913384/Release/ProjectReleas es.aspx?ReleaseId=771

Vanaf 28 februari 2015 zal Windows XP niet langer worden ondersteund door de UFED Series.


Toestemmingen

11

Als u de applicatie wilt activeren met een hardwarelicentiesleutel (dongle) die door Cellebrite wordt bezorgd, moet u de beheersrechten over de computer hebben.

OPMERKING: Om de extractie naar een pc met besturingssysteem Windows Vista mogelijk te maken, moet u de procedure in Connectiviteit met Windows Vista activeren volgen (pagina 28).

2.1.2. Software-installatie 2.1.2.1. Een kopie van de UFED Logical Analyzer verkrijgen Een kopie van het recentste installatieprogramma van UFED Logical Analyzer kan op de volgende manieren worden verkregen: • Als download van de MyCellebrite-website. • Als download van de link die in de versie-informatie wordt aangegeven.

12 2.1.2.2. De UFED Logical Analyzer installeren OPMERKING: Alvorens u begint, moet u verzekeren dat de kabel U-441 niet op uw computer is aangesloten. 1) Dubbelklik op het setup-bestand.

Hoofdstuk 2: Installatie en activering 2) Selecteer de gewenste taal en klik op OK om door te gaan.

13

14 3) Klik op Volgende.

Hoofdstuk 2: Installatie en activering 4) Selecteer Ik ga akkoord, en klik op Volgende.

5) Indien gewenst, klikt u op Bladeren om een andere installatiemap in te stellen.

15

16 6) Klik op Volgende.

Hoofdstuk 2: Installatie en activering 7) Als u geen bureaubladpictrogram wenst, moet u het keuzevakje Een bureaubladpictogram aanmaken afvinken. 8) Klik op Volgende.

9) Klik op Installeren. De installatie begint.

17

18 OPMERKING: Als deel van het installatieproces wordt u mogelijk gevraagd om Microsoft .NET 3.5 Framework te downloaden en te installeren. Deze installatie vereist dat uw computer toegang tot het internet heeft.


19

10) Als u de applicatie wilt activeren met een hardwarelicentiesleutel (dongle) die door Cellebrite wordt bezorgt, selecteert u de optie Hasp-donglestuurprogramma's installeren. OPMERKING: U moet beheersrechten hebben om de HASP-donglestuurprogramma's te installeren. 11) Om de UFED Logical Analyzer aan het einde van de installatie te starten, selecteert u UFED Logical Analyzer starten. 12) Klik op Voltooien.

2.1.3. De UFED Logical Analyzer activeren Activeer de UFED Logical Analyzer op van de volgende manieren: • Met een licentiedongle • Met een softwarelicentie • Met een netwerkdongle

2.1.3.1. Melding van nieuwe versie Cellebrite zal u verwittigen als er nieuwere versie van uw software beschikbaar is. Als u internetverbinding hebt, ontvangt u deze melding van zodra de nieuwe versie beschikbaar is. Als u geen internetverbinding hebt, zal deze melding om de 3 maanden verschijnen.

20

2.1.3.2. Een licentiedongle gebruiken Gebruik de UFED-dongle die bij uw UFED-kit werd geleverd. De dongle bevat licenties voor alle aangekochte applicaties. Om de UFED Logical Analyzer met een dongle te gebruiken: 1) Sluit de dongle aan op een USB-poort van uw computer. De licentie wordt automatisch opgespoord. Als de dongle door het besturingssysteem wordt herkend, kan de applicatie de licentie lezen. 2) Start de UFED Logical Analyzer.

UFED-dongle

Gefeliciteerd, uw applicatie is nu klaar! Als er geen licentiedongle wordt gevonden: 1) Als u de applicatie voor het eerst start of als er geen licentiedongle wordt gevonden, verschijnt het venster Cellebrite Productlicentie.


21

2) Als u de dongle op een USB-poort van uw computer hebt aangesloten en het nog steeds niet werkt, neem dan contact op met Cellebrite via [email protected]. OPMERKING: De HASP-donglestuurprogramma's moeten worden geïnstalleerd om een hardwarelicentiesleutel te gebruiken. Als de stuurprogramma's niet tijdens het UFED-software-installatieproces werden geïnstalleerd, kunt u het installatieproces opnieuw starten en aan het einde van het proces 'Hasp-donglestuurprogramma's installeren' selecteren.

22 2.1.3.3. De applicatie gebruiken met een softwarelicentie Als u de applicatie voor het eerst opent, moet u de licentie activeren. Om de UFED Logical Analyzer met een softwarelicentie te gebruiken: 1) Ga naar de volgende link: https://my.cellebrite.com/logicalanalyzer 2) Meld aan met uw MyCellebrite-account. (Als u nog een account hebt, klik dan op Nu registreren, maak een gebruiker aan en ga vervolgens terug naar de vereiste UFED-applicatielink.) U wordt doorgestuurd naar het venster voor productactivering. 3) Klik om de applicatie te downloaden en sla ze op een pc op. 4) Selecteer het zip-bestand, klik op het installatiebestand en installeer de software door middel van de Setup-wizard. Start de pc opnieuw op indien dit wordt vereist. 5) Herhaal stap 1 om naar de applicatielink te gaan. 6) Als u UFED 4PC hebt gekocht, moet u in het vakje voor de Activeringsmethode de optie Activeringscode selecteren en als u UFED Touch hebt gekocht, moet u de optie UFED Touch/UFED Classic selecteren.

Activeringscod


23

7) Afhankelijk van het aangekochte product moet u als volgt verdergaan: •

UFED 4PC: In het veld voor de Activeringscode voert u de code in die bij uw UFED 4PC-kit werd meegeleverd.

•

UFED Touch: In het veld Serienummer kiezen moet u het UFED-serienummer kiezen dat wordt weergegeven op de UFED Touch-eenheid of in het scherm UFED Touch Licentieactivering.

8) Haal vervolgens uw Computer-ID op (sluit de pagina MyCellebrite niet terwijl u deze stap uitvoert). • •

Start de applicatie. Het scherm Cellebrite Productlicentie verschijnt. Klik op Kopïeren om het weergegeven Computer-ID in het venster te kopïeren.

9) Plak het gekopieerde Computer-ID vervolgens in de pagina MyCellebrite.

24 10) Klik op Nu downloaden! om uw applicatielicentiesleutel op uw computer te downloaden. De licentiesleutel zal ook naar uw geregistreerd e-mailadres van MyCellebrite worden gestuurd. 11) Klik in de applicatie op Licentiebestand laden in het venster Cellebrite Productlicentie. 12) Selecteer het Licentiebestand en klik op Openen. Er verschijnt een bericht om aan te geven dat de softwarelicentie succesvol werd geüpdatet.

13) Klik op Sluiten. Gefeliciteerd, uw applicatie is nu klaar!

2.1.3.4. Met een netwerkdongle De netwerkdongle is met het netwerk van uw organisatie verbonden en bevat licenties voor alle aangekochte applicaties. UFED-netwerkdongles

Om de UFED Logical Analyzer met een netwerkdongle te gebruiken: 14) Start de UFED-applicatie. Als de netwerkdongle met het netwerk is verbonden, wordt de applicatie gestart en kan de gebruiker onmiddellijk starten. Als de netwerkdongle wordt herkend, verschijnt het venster Cellebrite Productlicentie.


15) Klik op Netwerk. Het volgende venster verschijnt.

25

26 OPMERKING: Als er geen dongle op het netwerk wordt gevonden, moet u controleren of u internetverbinding hebt en of de dongle wel degelijk met het netwerk is verbonden. Klik vervolgens op Vernieuwen om opnieuw naar een netwerkdongle te zoeken. OPMERKING: De netwerkconfiguratie is standaard ingesteld op Broadcast. Indien vereist, kunt u de netwerkdongle manueel verbinden. Klik op Configureren om de netwerkconfiguratie te wijzigen in Specifieke host. Voer de naam (of het IP-adres) van de host en het poortnummer (1-5 cijfers) in. OPMERKING: Als er slechts een netwerkdongle wordt gevonden, wordt die automatisch geselecteerd. Als er meerdere netwerkdongles worden gevonden, selecteer dan de vereiste dongle uit de lijst en klik op Toepassen. Gefeliciteerd, uw applicatie is nu klaar!

2.1.4. De UFED Logical Analyzer met een softwarelicentie naar een andere pc verhuizen Als een installatie van de UFED Logical Analyzer met activering van een softwarelicentie naar een andere pc moet worden verhuisd, moet u de licentie eerst deactiveren (verwijderen). 1)

Ga in de UFED Logical Analyzer naar Help > Licentiedetails weergeven. Het scherm Cellebrite Productlicentie verschijnt.


27

2) Klik op Softwarelicentie deactiveren. Het scherm Deactivering Softwarelicentie verschijnt. 3) Klik op Kopiëren om het computer-ID te kopiëren. 4) Ga naar http://my.cellebrite.com/deactivation, en meld aan met uw MyCellebrite-account. Als u nog geen account hebt, klik dan op Nu registreren en maak een gebruiker aan. Ga vervolgens terug naar http://my.cellebrite.com/deactivation. U wordt doorgestuurd naar de Deactiveringswizard. 5) 6) 7) 8)

Plak het gekopieerde computer-ID en klik op Volgende. Klik op Downloaden en download het deactiveringsbestand op uw pc. Ga in de UFED Logical Analyzer naar Help > Licentiedetails weergeven. Klik op Deactiveringsbestand selecteren, en selecteer het deactiveringsbestand dat u in stap 6 hebt gedownload. Uw licentie wordt gedeactiveerd en de UFED Logical Analyzer creëert een deactiveringsbestand. Het venster Deactivering Softwarelicentie meldt u dat het deactiveringsbestand werd gecreëerd.

9) Ga terug naar de Deactiveringswizard op http://my.cellebrite.com/deactivation. 10) Klik op Bestand kiezen, en upload het deactiveringsbestand dat door de UFED Logical Analyzer werd gecreëerd. 11) Klik op Voltooien.

28 12) Om uw nieuwe licentie van UFED Logical Analyzer op te halen, gaat u naar http://my.cellebrite.com/logicalanalyzer, en volgt u de stappen voor licentieactivering. Voor meer informatie, zie De UFED Logical Analyzer activeren (pagina 19).

2.1.5. Connectiviteit met Windows Vista activeren Volg de volgende procedures om het voor de UFED-eenheid mogelijk te maken om verbinding te maken met pc's met het besturingssysteem Windows Vista. 1) Ga naar de map Drivers\cbrtucbl van de Cellebrite Physical Analyzer. 2) Dubbelklik op USB_Cable_DRV.exe. 3) Volg de instructies op het scherm.

Hoofdstuk 3: Aan de slag

29

Hoofdstuk 3: Aan de slag De UFED Logical Analyzer biedt krachtige voorstellings- en analysetoepassingen voor de uitgelezen apparaatgegevens en vereenvoudigt de navigatie door de gegevenstypes van het apparaat. De UFED Logical Analyzer helpt u bij de complexe taken zoals informatieverzameling, onderzoeken en de voorziening van wettelijk bewijs in de vorm van rapporten. De applicatie is ontworpen om de logische extractie van de UFED-eenheid op een duidelijke en beknopte manier te gebruiken waardoor onderzoekers krachtige zoektoepassingen kunnen gebruiken om relevante informatie te analyseren en te decoderen. Tot slot maakt de applicatie het mogelijk om rapporten van uw bevindingen te genereren en ze in verschillende bestandsformaten zoals UFDR, HTML, PDF, Excel (*.xlsx) en XML te exporteren.

3.1. De UFED Logical Analyzer starten De UFED Logical Analyzer kan op de volgende manieren worden gestart: • Dubbelklik op de snelkoppeling UFED Logical Analyzer op het bureaublad. • Selecteer Start > Programma's > Cellebrite Mobile Synchronization > UFED Logical Analyzer. Voor een overzicht van de werkruimte, zie Oriëntatie naar de werkruimte (pagina 43).

30

3.2. Een bestand voor analyse openen De UFED Logical Analyzer kan de volgende bestanden openen: UFD-bestand die door het UFED-apparaat met Logical-modules werden gecreëerd, XML-bestanden die door de UFED Physical Analyzer werden gecreëerd en UFDR-bestanden. 1)

Doe een van de volgende zaken: • •

Klik in het tabblad Welkom op Openen. Sleep het UFD-bestand in de UFED Logical Analyzer.

• •

Klik in de werkbalk van de applicatie op . Selecteer in het menu van de applicatie Bestand > Openen.


2) Doe een van de volgende zaken: • •

Blader naar de locatie van het bestand, selecteer het en klik op Openen. Sleep het bestand in de UFED Logical Analyzer.

Het gegevensanalyseproces begint en duur enkele seconden. Aan het einde van het proces wordt een nieuw project aan de Projectstructuur toegevoegd en verschijnt de Extractiesamenvatting in de gegevensweergave.

31

32

3.3. Gegevens naar een pc uitlezen 1)

Doe een van de volgende zaken: • •

Sluit de UFED-eenheid met een USB-naar-mini-USB-kabel aan op uw pc door gebruik te maken van de poort met aanduiding "pc" bovenop uw UFED-eenheid. Uw pc vraagt mogelijk om struurprogramma's te installeren (zie de handleiding van de UFED Touch). Sluit uw UFED-eenheid aan op uw pc door middel van de UFED-naar-pc-kabel (U-441) die is voorzien in de UFED Standaard- en versterkte kits. Uw pc vraagt mogelijk om struurprogramma's te installeren (zie de handleiding van de UFED Touch).

Afbeelding 1: UFED-naar-pc-kabel 2) Sluit het bronapparaat met de geschikte kabel aan op de linkse USB-poort van het UFED-apparaat.


33

3) Op de UFED-eenheid: a) Voer vanuit het Hoofdmenu, een van de volgende zaken uit:  

Voor een logische extractie selecteert u Logische extractie. Voor een bestandssysteemextractie selecteert u Bestandssysteemextractie.

b) Selecteer de fabrikant van het apparaat in het menu Model selecteren. c) Selecteer het model van het apparaat. 4) Klik op de pc op Start > UFED Logical Analyzer om de UFED Logical Analyzer te openen. De applicatie UFED Logical Analyzer wordt geopend. 5) Klik op het pictogram Gegevens van UFED lezen in

in de taakbalk van de applicatie.

34 Het venster UFED Downloader verschijnt.

6) Klik in het gebied Downloadpad op

en blader naar de gewenste locatie voor de extractie.

Tip: Klik op Doelmap openen om de inhoud van de geselecteerde doelmap weer te geven. 7) In het scherm Extractielocatie op de UFED Touch-eenheid selecteert u PC.


35

8) Volg de instructies in de UFED Touch-eenheid tot er wordt gevraagd om de downloadprocedure te starten. 9) In de UFED Logical Analyzer op de pc klikt u op Start in het venster van de UFED Downloader. De gegevensoverdracht van het apparaat naar de pc wordt gestart.

36 Tijdens het extractieproces wordt op de UFED-eenheid het scherm Extractie aan de gang weergegeven:


37

Op de UFED-eenheid wordt u gevraagd om de types multimedia te selecteren die in de extractie moeten worden opgenomen:

38 10) Zorg ervoor dat de mediatypes die u in de extractie wilt opnemen, zijn gemarkeerd met een . Om de extractie van een bepaald type multimedia te annuleren, klikt u op op de multimedianaam. 11) Klik op OK. Het extractieproces gaat verder. Na afloop verschijnt het venster Telefoonextractiesamenvatting op de UFED Touch-eenheid. In de UFED Logical Analyzer op de pc verschijnt het volgende bericht:

12) Klik op Ja. De extractie wordt in de UFED Logical Analyzer geopend en het scherm Extractiesamenvatting wordt weergegeven.


39

3.4. Een projectsessie opslaan Sla de projectsessie op om uw werk aan het project op te slaan zodat u de UFED Logical Analyzer kunt sluiten en uw sessie later opnieuw kunt starten. Het bestand van de opgeslagen sessie (.pas) bevat: • Gebruikersselectie in de tabellen Geanalyseerde gegevens en Gegevensbestanden • Entiteitbladwijzers • Watch List-resultaten • Geopende tabbladen • Gegenereerde rapporten • Instellingen verenigde tijdzone • Instellingen case-informatie Een projectsessie kan ook worden gecreëerd voor extracties die door toepassingen van een derde partij werden uitgevoerd. OPMERKING: Opgeslagen projectsessies bevatten geen gedefinieerde instellingen. Voor meer informatie over hoe u uw instellingen moet opslaan, zie Instellingen opslaan (pagina 178).

40 Om een projectsessie op te slaan: 1) Selecteer in het menu Bestand de optie Projectsessie opslaan. Het dialoogvenster Opslaan als verschijnt. 2) Blader naar de locatie waar u het bestand met de projectsessie wilt opslaan. 3) Om de bestandsnaam te wijzigen, moet u de automatisch toegekende naam in het vakje Bestandsnaam bewerken. OPMERKING: Kies dezelfde bestandsnaam om een vroegere sessie te overschrijven. 4) Klik op Opslaan.

3.5. Een projectsessie laden 1) 2) 3) 4)

Open in het tabblad Welkom het project waarin u wilt werken. Selecteer in het menu Bestand de optie Projectsessie laden. Ga in het dialoogvenster Openen naar het projectsessiebestand dat u wilt openen en selecteer het. Klik op Openen. De sessie wordt geopend.


3.6. Een project sluiten • Doe een van de volgende zaken: • •

Selecteer in het menu Bestand de optie Sluiten. Klik met de rechtermuisknop op de projectnaam en selecteer Sluiten.

3.7. De UFED Logical Analyzer sluiten • Selecteer in het menu Bestand de optie Afsluiten.

41

42

3.8. Sneltoetsen Ctrl+O

Een bestand openen

Ctrl+W

Een project sluiten

Ctrl+P

Projectinstellingen openen

Ctrl+I

iOS-wizard openen

Ctrl+T

Instellingen openen

Spatie

Selectievakjes aan- of afvinken

Ctrl+R

De rapportwizard openen

Ctrl+Tab

Wisselen tussen geopende tabbladen

Ctrl+Home

De cursor naar het begin van een tabel verplaatsen

Ctrl+End

De cursor naar het einde van een tabel verplaatsen

Ctrl+B

Een entiteitbladwijzer toevoegen

Ctrl+U

De UFED Downloader openen om te verbinden met UFED

Hoofdstuk 4: Oriëntatie naar de werkruimte

Hoofdstuk 4: Oriëntatie naar de werkruimte De werkruimte bevat twee grote gebieden; de projectstructuur en de gegevensweergave om uw workflow te stroomlijnen.

43

44 De werkruimte bevat de volgende componenten: 1) 2) 3) 4) 5)

De menubalk van de applicatie De taakbalk van de applicatie Projectstructuur Gegevensweergave Alle projectzoekvelden

4.1. Projectstructuur Het gebied van de Projectstructuur toont de volgende uitgelezen informatiestructuur van elk project dat voor de analyse is geopend: Structuuritem

Beschrijving

Extractiesamenvatting

• Dubbelklik op Extractiesamenvatting om een samenvatting van het project in de gegevensweergave te openen. Voor meer informatie, zie Tabblad Extractiesamenvatting (pagina 58).

Hoofdstuk 4: Oriëntatie naar de werkruimte Structuuritem

Beschrijving

Apparaatinfo

• Dubbelklik op Apparaatinfo om een tabblad in de gegevensweergave te openen. Het tabblad Apparaatinfo geeft een lijst met bestaande informatie en belangrijke identifiers voor het apparaat, zoals SIM-kaart en vergrendelingscodes van gebruikers, indien ondersteund. Het aantal categorieën en de hoeveelheid weergegeven informatie hangen af van het model en de fabrikant van het apparaat.

45

46 Structuuritem

Beschrijving

Geanalyseerde gegevens

Het structuuritem Geanalyseerde gegevens toont groepen van geanalyseerde gegevens die betrekking hebben op apparaatspecifieke functies zoals contactpersonen, sms-berichten, oproeplogboeken enz. De beschikbare en weergegeven informatie hangt af van de apparaatfuncties, de inhoud en de versie van de applicatie. Sms-berichten worden bijvoorbeeld gecategoriseerd in overeenstemming met de mappen die door de berichtenfunctie van het apparaat worden gebruikt, zoals Concepten, Inbox, Outbox, Verzonden enz. E-mailberichten worden gecategoriseerd volgens de account waarmee ze werden verzonden of ontvangen. Een ongecategoriseerde map geeft bevat berichten die niet konden worden gecategoriseerd in een van de gevonden accounts of accountmappen (Inbox, Outbox, Concepten enz). De volgende informatietypes worden mogelijk weergegeven in Geanalyseerde gegevens: • Persoonlijke informatie - Kalender, contactpersonen, nota's, oproeplogboeken, gebruikerswoordenboeken, gebruikersaccounts


47

Beschrijving • Berichtitems - Sms, mms, e-mail, instant, chat Het nummer tussen haakjes is het aantal items dat elke categorie bevat.

Gegevensbestanden

Het structuuritem Gegevensbestanden sorteert de uitgelezen gegevens in gebruikelijke of bekende bestandsformaten die door de apparaten en computers worden gebruikt, zoals afbeeldingen, video's, audio of tekstbestanden. In de Projectstructuur wordt de informatie in de volgende categorieën weergegeven: • Afbeeldingen - Bestanden die als afbeeldingsbestandsformaten werden herkend • Video's - Bestanden die als videobestandsformaten werden herkend • Audio - Bestanden die als audiobestandsformaten werden herkend

48 Structuuritem

Beschrijving • Tekst - Bestanden die als tekstbestandsformaten werden herkend • Databases - Gegevensstructuren die als databases werden herkend. • Applicaties - Bestanden die als applicatiebestanden werden herkend (zoals .apk, .jar, .dex, .so, .exe enz.) • Documenten - Bestanden die als documentbestandsformaten werden herkend (zoals .doc, .docx, pdf; xlsx, ppt enz.) U kunt bijkomende gegevensbestandsgroepen creëren. Voor meer informatie, zie Gegevensbestandsinstellingen beheren (pagina 162).


Beschrijving

Labels

Bepaalde bestandstypes worden in de uitgelezen gegevens geïdentificeerd en gelabeld. Er zijn acht standaardlabels: Applicaties, Audio, Configuraties, Databases, Documenten, Afbeeldingen, Tekst, en Video's.

Tijdlijn

• Dubbelklik op Tijdlijn om de apparaatgebeurtenissen in volgorde in de gegevensweergave te openen. Het tabblad Tijdlijn geeft de apparaatgebeurtenissen met tijdstempel zoals oproepen, sms- en mms-berichten enz., in chronologische volgorde weer.

49

50 Structuuritem

Beschrijving

Watch Lists

Watch Lists zijn lijsten met sleutelwoorden die u aanmaakt en vervolgens gebruikt om relevante gebeurtenissen en items in de uitgelezen gegevens te zoeken en te identificeren. • Open Watch lists voor de weergave van een lijst met watch lists die in de huidige sessie werden gebruikt. Voor meer informatie, zie Werken met watch lists (pagina 82).


Beschrijving

Entiteitbladwijzers

De aangemaakte entiteitbladwijzers worden in de sectie Entiteitbladwijzers van de projectstructuur beheerd. Het aantal entiteitbladwijzers in het project wordt tussen de haakjes naast de sectienaam weergegeven.

51

• Dubbelklik op Entiteitbladwijzers om de entiteitbladwijzers in een tabblad in de gegevensweergave weer te geven. • Dubbelklik op een entiteitbladwijzer om naar het item met bladwijzer in het geschikte weergavetabblad te gaan. Dubbelklik bijvoorbeeld op een entiteitbladwijzer naar een sms-bericht om een lijst met sms-berichten in een weergavetabblad Geanalyseerde gegevens te openen waarbij het item met de bladwijzer is gemarkeerd. Voor meer informatie, zie Bladwijzerinformatie (entiteitbladwijzer) (pagina 94).

52 Structuuritem

Beschrijving

Rapporten

Om een rapport te openen dat reeds werd gegenereerd voor het project: • Dubbelklik op het rapport in het structuuritem Rapporten. Het rapport worden geopend in de applicatie die overeenstemt met het rapportformaat. • Als er geen rapporten voor het project werden gegenereerd, dubbelklik dan op het structuuritem Rapporten om het dialoogvenster Rapport genereren te openen. Voor meer informatie over het genereren van het rapport, zie Een rapport genereren.


53

Structuuritem

Beschrijving

Projectanalyse

Het structuuritem Projectanalyse bezorgt u een vergelijkend analyseoverzicht. U kunt een tabblad Activiteitsanalyse openen dat een overzicht van alle activiteiten van het apparaat weergeeft of tabbladen openen die zich elk concentreren op de activiteiten van de telefoon, e-mail, WhatsApp, Skype, Gmail, en BlackBerry Messenger. Voor meer informatie, zie Projectinstellingen instellen (pagina 179).

4.1.1. Werken in het gebied van de projectstructuur Open de structuuritems om in te zoomen en specifieke informatie op te sporen: • Klik om de structuuritems open of dicht te vouwen. • Dubbelklik op een structuuritem om gedetailleerde informatie in de gegevensweergave te openen. • Klik op

bovenaan de projectstructuur om alle items in de structuur open te vouwen.

• Klik op

bovenaan de projectstructuur om alle items in de structuur dicht te vouwen.

54

4.2. Gegevensweergave Dubbelklik op een item om het in een tabblad weer te geven. Voor elk item wordt een nieuw tabblad geopend.


55

Er zijn vier tabbladtypes: • tabblad Welkom • tabblad Extractiesamenvatting • Gegevenstabbladen met subtabbladen met een specifieke weergave afhankelijk van de gegevens • tabblad Tijdlijn De gegevensweergave toont ook bijkomende vensters zoals het venster Traceren, de weergave Tijdlijn en Watch List-resultaten. Om een tabblad te sluiten • Doe een van de volgende zaken: • •

Klik op Klik op

bovenaan het tabblad. in de rechterbovenhoek van de gegevensweergave.

Om naar een specifiek tabblad te springen • Klik in de rechterbovenhoek van de gegevensweergave op in de lijst met geopende tabbladen.

, en selecteer het gewenste tabblad

56

4.2.1. Tabblad Welkom Het tabblad Welkom wordt automatisch weergegeven als de applicatie wordt gestart en geeft een lijst met recent geopende bestanden weer.


57

Elk bestand in de lijst wordt weergegeven als een omkaderde informatiegroep die de volgende items bevat: • Apparaatafbeelding - Een thumbnailafbeelding van het apparaat uit de bronnen van de applicatie, indien beschikbaar. Als er geen afbeelding beschikbaar is, wordt er een algemene placeholder gebruikt. • Bestandsnaam - De naam van het geopende bestand zonder de bestandsextensie. • Bestandspad - Het bestandssysteempad naar de locatie van het bestand. • Apparaatmodel - De geïdentificeerde fabrikant en model van het apparaat of BINAIR als het geopende bestand een binaire extractie was. • Casenaam - Als het rapport een casenaam heeft gekregen, wordt deze naam weergegeven. De naam kan in de projectinstellingen worden gedefinieerd. • Datum en tijdstip - De stempel met datum en tijdstip waarop het bestand het laatst werd geopend. • Link - Een rechtstreekse link naar het bestand in het systeem. • Recent item verwijderen - Klik om het item van het tabblad Welkom te verwijderen. U kunt het volgende doen: • Klik op een omkaderd item om de bestanden voor decodering te openen. • Klik op Bladeren om rechtstreeks naar het bijhorende bestand in het bestandssysteem te gaan. • Sluit het tabblad Welkom. Om het opnieuw te openen, gaat u naar Beeld > Welkom weergeven.

58

4.2.2. Tabblad Extractiesamenvatting Het tabblad Extractiesamenvatting wordt automatisch weergegeven wanneer u een nieuwe extractie voor analyse opent.


59

• Om het tabblad opnieuw te openen nadat u het hebt gesloten, dubbelklikt u op het structuuritem Extractiesamenvatting. Het tabblad Extractiesamenvatting kan de volgende informatie weergeven: • Extractie-info - Informatie met betrekking tot de apparaatextractie. Zoals: Begindatum/-tijd extractie Wanneer de extractie is begonnen en geëindigd. Einddatum/-tijd extractie Eenheidsidentifier

Het serienummer van het apparaat dat de extractie heeft uitgevoerd (bijv. UFED Touch), of een uniek ID als de extractie door een pc-applicatie werd uitgevoerd (bijv. UFED 4PC).

Eenheidsversie

UFED-softwareversie (bijv. 4.1.0.220)

Geselecteerde fabrikant

Fabrikant van het apparaat (bijv. Apple)

Naam van het Geselecteerde Apparaat

Apparaatnaam (bijv. iPhone 4)

Verbindingstype

Gebruikte kabel voor de extractie (bijv. Kabel nr. 100)

Extractietype

Type uitgevoerde extractie (bijv. Logisch)

Extractie-ID

Uniek ID voor elk extractietype

• Apparaatinfo - Een samenvatting van de specifieke apparaatinfo die uit het extractiebestand wordt gehaald. Zie item Apparaatinfo in de Projectstructuur (pagina 44).

60 • Apparaatinhoud - Geanalyseerde inhoud die in de volgende categorieën wordt onderverdeeld: •

•

Telefoongegevens - De types geanalyseerde apparaatgegevens die in de extractie worden gevonden zoals oproeplogboeken, contactpersonen, sms-berichten enz. Voor de volledige lijst van telefoongegevenstypes, zie item Geanalyseerde gegevens in de Projectstructuur (pagina 44). Gegevensbestanden - De types standaardgegevensbestanden die in de extractie worden gevonden zoals afbeeldingen, video's, audio en tekstbestanden. Zie Gegevensbestanden (pagina 159).

Om de relevante informatie in een nieuw tabblad in de gegevensweergave weer te geven: •

Klik op een van de structuuritems.

4.2.3. Gegevenstabbladen Gegevenstabbladen geven bestanden van een specifiek type weer (zoals oproeplogboeken, contactpersonen, sms-berichten enz.). Elk type gegevensbestand heeft meerdere gegevensweergavemodi: Afbeeldingsbestanden

Afbeeldingsweergave en Bestandsinfo

Videobestanden

Bestandsinfo

Hoofdstuk 4: Oriëntatie naar de werkruimte Audiobestanden

Bestandsinfo

Tekstbestanden

Bestandsinfo

Databases

Databaseweergave en Bestandsinfo

Documentbestanden

Bestandsinfo

61

Gegevenstabbladen tonen de gegevens in een reeks subtabbladen afhankelijk van het gegevenstype: • Tekstweergave - Weergave van tekstbestanden als tekst. • Tabelweergave - Een lijst van alle bestanden van een specifiek type (afbeeldingen, video's, audio, tekst enz.) die tijdens het gegevensanalyseproces werden gevonden. • Mapweergave - Weergave van de mappenstructuur van de gegevensbestandspaden in het gereconstrueerde bestandssysteem (enkel voor gegevensbestanden). • Afbeeldingsweergave - Weergave van de afbeelding. Zie Afbeeldingsbestanden bekijken (pagina 68). • Thumbnailweergave - Weergave van de afbeeldingen met thumbnail (enkel voor afbeeldingen). • Bestandsinfo - Weergave van informatie over het bestand.

62 4.2.3.1. Werken in gegevenstabbladen Items selecteren: Selecteer items in de gegevensweergave om ze op te nemen in een rapport dat u genereert. Standaard worden alle items geselecteerd. • Om meerdere items te selecteren, moet u de SHIFT- of CTRL-toets ingedrukt houden (opeenvolgende en niet-opeenvolgende selectie). • Als een item is geselecteerd, drukt u op de spatiebalk om het selectievakje aan- of af te vinken. Dit vakje geeft aan of het item in het rapport moet worden opgenomen of niet. • Om alle items tegelijkertijd te selecteren, moet u het vakje in de kolomheader (tabelweergave en tijdlijn) of het selectievakje Alles selecteren (thumbnail-weergave) aanvinken. Kolommen sorteren: Sorteer elke kolom in alfabetische of chronologische volgorde. • Klik op de kolomheader om de volgorde te wijzigen. De kolommen herschikken: Voor uw comfort kunt u de volgorde van de kolommen wijzigen. Uw voorkeur wordt gedurende de volledige sessie behouden. • Sleep de gewenste kolom naar de gewenste locatie.


63

Kolommen verbergen of tonen: • Klik met de rechtermuisknop op de kolomheader en selecteer de kolomnaam in de lijst. Meer informatie weergeven: Voor gegevenstabbladen met tekstuele informatie is het rechterpaneel standaard open om informatie over het geselecteerde item weer te geven. • Om het rechterpaneel te sluiten of te openen, klikt u op

.

Gegevens exporteren: 1) Om de gegevens in een specifiek tabblad te exporteren, klikt u in de taakbalk op de gewenste output: Excel , HTML , PDF , XML , KML (enkel locatiegegevens), or EML (enkel e-mailgegevens). Het dialoogvenster Exporteren verschijnt.

64 2) Doe een van de volgende zaken: •

Voer de locatie in waar u het rapport wilt opslaan.

•

Kik op

en zoek en selecteer de gewenste locatie.

3) Selecteer het selectievakje Vertalingen opnemen om vertaalde gegevens op te nemen. 4) Klik op OK. Het rapport wordt gegenereerd en er verschijnt een bericht dat vraagt of u het in software van een derde partij wilt openen. 5) Klik op Ja of Nee. Het bestand wordt geopend in de standaardsoftware van de derde partij. OPMERKING: Als er naar EML wordt geëxporteerd, wordt er voor elke e-mail een bestand gecreëerd.

4.2.3.2. Tekstweergave Weergave van de gegevens als tekst voor tekstgebaseerde gegevensbestanden.


4.2.3.3. Tabelweergave voor gegevensbestanden Voor gegevensbestanden toont de tabel de volgende informatie: Geeft aan of het item in het rapport moet worden opgenomen (aangevinkt) of niet (afgevinkt). #

Rijnummer. Geeft aan of het item een bladwijzer heeft. Geeft aan of het gegevensbestand werd verwijderd , of een onbekende status (“?” of wit documentpictogram) heeft.

65

66 Afbeelding

Een thumbnail van de afbeelding of een pictogram van het bestandstype. (Enkel afbeeldingsgegevensbestanden).

Naam

De bestandsnaam.

Pad

Het pad van het gegevensbestand.

Grootte

De grootte van het bestand.

Metagegevens

Aanvullende metagegevens van het gegevensbestand.

Gemaakt

De tijdstempel van de creatie van het gegevensbestand.

Gewijzigd

De tijdstempel van de wijziging van het gegevensbestand.

Geopend

De tijdstempel van de laatste opening van het gegevensbestand.

Bladwijzernota

Details van de bladwijzer.

Bovendien worden indicatoren weergegeven om bijlagen te tonen, video-oproepen aan te geven en zelfs de richting aan te geven.


67

4.2.3.4. Tabelweergave voor geanalyseerde gegevens Voor geanalyseerde gegevens toont het tabelweergavetabblad een lijst van alle gebeurtenissen van een specifiek type (oproeplogboeken, contactpersonen, sms-berichten enz.) die tijdens het gegevensanalyseproces werden gevonden.

68

4.3. Afbeeldingsbestanden bekijken 1)

Dubbelklik op een afbeelding in een gegevensweergavetabblad. Er wordt een nieuw tabblad met de afbeelding geopend. Het tabblad is in twee subtabbladen verdeeld; Afbeeldingsweergave en Bestandsinfo.


69

2) In het tabblad Afbeeldingsweergave kunt de afbeeldingsbedieningen gebruiken:

Als de foto is vergroot, kunt u de afbeelding navigeren. Draai de afbeelding de rechtsom of linksom. Zoom in en uit. U kunt de zoom ook aanpassen door middel van de schuiver. Pas de grootte aan aan het tabblad. Reset de zoom op 100 %. Verberg de afbeeldingsbedieningen. 3) Klik op het tabblad Bestandsinfo om de bestandsinformatie te bekijken. De Bestandsmetagegevenssectie omvat bijvoorbeeld informatie zoals de Vastleggingstijd (de datum en het tijdstip waarop de foto werd genomen).

70

4.4. Videobestanden afspelen Om de video binnen de UFED Logical Analyzer af te spelen: 1) Dubbelklik in de gegevenstabel op het mediabestand dat u wilt afspelen. Er wordt een nieuw tabblad voor het mediabestand geopend. 2) Klik op

.

Om de video in het standaardprogramma af te spelen: • Klik met de rechtermuisknop op het mediabestand en selecteer Openen met standaardprogramma.

Hoofdstuk 5: Informatie lokaliseren en analyseren

Hoofdstuk 5: Informatie lokaliseren en analyseren Deze sectie beschrijft hoe u de informatie in uw project kunt doorbladeren, doorzoeken, filteren, voorzien van een bladwijzer en beheren.

5.1. Informatie in een gegevenstabblad zoeken Zoek in de tabbladen Tabelweergave naar een specifiek item binnen de gegevenstabel. De zoekopdracht wordt uitgevoerd op alle gegevensinvoeren binnen de tabel. • Voer een string in het veld Zoeken in tabel in. De tabel wordt geüpdatet om enkel items met de ingevoerde string weer te geven.

5.2. De snelle filter gebruiken Gebruik de snelle filter om gegevens in de tabbladen Tabelweergave als volgt te filteren: Alles weergeven

Geeft alle items weer

Geselecteerde weergeven

Geeft items weer die zijn geselecteerd

71

72 Niet-geselecteerde weergeven

Geeft items weer die niet zijn geselecteerd

Verwijderd

Geeft verwijderde items weer

Alles weergeven

Geeft alle afbeeldingen weer

Afbeeldingen boven 30 kB weergeven

Geeft enkel kleine afbeeldingen boven 30 kB weer

Afbeeldingen boven 100 KB weergeven

Geeft enkel middelgrote afbeeldingen boven 100 kB weer

Afbeeldingen boven 500 KB weergeven

Geeft enkel grote afbeeldingen weer (500+ kB)

Afbeeldingen filteren (volgens extensie)

Klik om de filtering van bestandstypes in te schakelen

JPEG weergeven

Geeft JPG- of JPEG-bestanden weer


73

GIF weergeven

GIF-bestanden weergeven

BMP weergeven

Geeft BMP-bestanden weer

PNG weergeven

Geeft PNG-bestanden weer

Metagegevensfilter

Filter afbeeldings- en videobestanden op Metagegevens (Allemaal, Zonder metagegevens of Met metagegevens) en locatie (Allemaal, Met locatie of Zonder locatie).

Vastleggingstijdfilter

Filter afbeeldings- en videobestanden op vastleggingstijd. Standaard wordt het maximumbereik weergegeven en u kunt een specifiek datum- en tijdsbereik selecteren.

Vertalingsfilter

Filter vertaalde tekst om alle tekst, vertaalde tekst of onvertaalde tekst weer te geven.

OPMERKING: De taakbalkitems zijn contextgevoelig en verschijnen enkel als er relevante gegevens worden weergegeven.

74

5.3. De geavanceerde filter gebruiken Gebruik de geavanceerde filter om de lijst op basis van een combinatie van verschillende parameters te filteren. 1) Klik in de filtertaakbalk op Geavanceerd.

2) Klik op Veld toevoegen, en selecteer een veld uit de keuzelijst. De veldenlijst omvat de kolommen in het huidige gegevenstabblad. 3) Typ een string of tijdstempel in het vakje dat voor het geselecteerde veld verschijnt. Het tabblad toont enkel items die overeenstemmen met de filter. 4) Om bijkomende filters toe te voegen, moet u stappen 2 en 3 herhalen. Als u bijkomende filters in het Geavanceerd zoeken plaatst, komen de zoekresultaat overeen met alle opgegeven criteria. 5) Om de ingevoerde string te verwijderen, klikt u op

.

6) Om alle ingevoerde strings te verwijderen, klikt u op Alles verwijderen.

Hoofdstuk 5: Informatie lokaliseren en analyseren 7) Om de veldfilter te verwijderen, klikt u op

75

.

8) Om de geavanceerde filter te sluiten, klikt u op Geavanceerd.

5.4. Informatie in alle geopende projecten zoeken Gebruik het zoekveld Alle projecten in de taakbalk om informatie in alle geopende projecten te zoeken 1) Voer een string in het veld Alle projecten in. Onder het zoekveld Alle projecten verschijnt een lijst met overeenkomstige resultaten. De resultaten worden gesorteerd per geopend project. Binnen elk geopend project worden de resultaten gesorteerd op categorie volgens het type (sms, berichten, contactpersonen, bestanden enz.). Het aantal gevonden overeenkomstige resultaten in elk type categorie wordt eveneens weergegeven.

76 2) Klik op om de projecten open of dicht te vouwen. 3) Doe een van de volgende zaken: • •

Klik op naast de projectnaam om de resultaten van de zoekopdracht in die extractie te bekijken in een tabblad in de gegevensweergave. Selecteer Alles weergeven bovenaan de lijst van de snelle resultaten om een resultatentabblad met alle overeenkomstige zoekresultaten in de gegevensweergave weer te geven. De overeenkomstige string wordt in elk item in het rood gekleurd. Net als in de lijst van de snelle resultaten worden de resultaten in het resultatentabblad gesorteerd op type.

5.5. Tijdlijnweergave De tijdlijnweergave is een krachtig middel waarmee u gegevens in chronologische volgorde kunt analyseren, de volgorde van de gebeurtenissen kunt identificeren en verbindingen tussen deze gebeurtenissen kunt maken. De tijdlijnweergave heeft twee weergaven; tabel en grafiek.

Hoofdstuk 5: Informatie lokaliseren en analyseren In de tabelweergave worden de gebeurtenissen volgens datum en tijd in een tabel weergegeven.

77

78 • Klik op

om de gebeurtenissen op datum te groeperen of te degroeperen.

In de grafiekweergave worden de gebeurtenissen in een grafiek weergegeven waardoor u mogelijk belangrijke activiteitspieken snel kunt identificeren.

Hoofdstuk 5: Informatie lokaliseren en analyseren • Om voor- en achterwaarts in de tijdlijn te scrollen, moet u de knoppen

79 ,

,

en

gebruiken.

U kunt het detailniveau in de Grafiekweergave van de Tijdlijn verhogen of verlagen: • Om de tijdsresolutie te verhogen, klikt u op • Om de tijdsresolutie te verlagen, klikt u op

. .

Gebeurtenissen die binnen een korte tijdspanne voorkomen, worden gegroepeerd met vlaggen. • Klik op

om een ander tijdlijnweergavetabblad voor de groep gebeurtenissen te openen.

5.6. Conversatieweergave openen Communicatiegebaseerde gegevens, zoals oproeplogboeken, e-mail, sms- en mms-berichten enz., kunnen worden weergegeven in een conversatieweergave om eenvoudiger en beter in de coummunicatie tussen twee of meer partijen te zoeken. U kunt binnen een chat naar berichten zoeken, berichten selecteren om in een rapport op te nemen (standaard worden alle chatberichten opgenomen), de conversatie afdrukken of exporteren. Om de conversatieweergave te openen en te gebruiken: 1) In een communicatiegebaseerde gegevenstabel selecteert u een van de records. 2) Klik op

.

80 Er wordt een conversatietabblad geopend waarin verwante items als een conversatie tussen de versturende en ontvangende partijen van het geselecteerde item worden weergegeven.

Hoofdstuk 5: Informatie lokaliseren en analyseren 3) Om te vertalen of om vertaalde tekst te verwijderen, klikt u op vertalen of Alle vertalingen verwijderen. 4) Om de conversatie af te drukken, klikt u op

81 en selecteert u vervolgens Alles

.

5) Om een afdrukvoorbeeld te bekijken, klikt u op . 6) Om de conversatie te exporteren, klikt u op de gewenste output in de taakbalk van het conversatietabblad: Excel , HTML , PDF , XML , of Word . 7) Om de volgorde van de conversatie te wijzigen, klikt u op bericht eerst of Nieuwste bericht eerst. 8) Om berichten te filteren, voert u tekst in het zoekveld in.

en selecteert u vervolgens Oudste

9) Om bladwijzers toe te voegen of te bewerken, klikt u op . 10) Selecteer een selectievakje om specifieke berichten in het rapport op te nemen, (of selecteer alle berichten of geen berichten).

82

5.7. Werken met watch lists Doorzoek uw uitgelezen gegevens met een watch list van sleutelwoorden om belangrijke en relevante informatie te identificeren en te markeren. De zoekopdracht met de watch list kan ofwel automatisch worden geactiveerd ofwel manueel op geselecteerde gedecodeerde gegevens worden uitgevoerd.

5.7.1. Een watch list aanmaken 1) Doe een van de volgende zaken: • •

Klik in de taakbalk op . Selecteer in het menu Extra de optie Watch List Editor.

Hoofdstuk 5: Informatie lokaliseren en analyseren De Watch List Editor verschijnt.

83

84 2) Klik op

, en selecteer Nieuw.

3) Voer in het veld Naam Watch list een naam voor de watch list in.

Hoofdstuk 5: Informatie lokaliseren en analyseren 4) Om in te stellen dat de watch list de sleutelwoorden enkel in bepaalde gegevenstypes in het project zoekt, moet u op Zoeken in klikken en de gewenste gegevenstypes selecteren.

85

86 Als de watch list wordt uitgevoerd, worden enkel de geselecteerde gegevenstypes op overeenkomsten gecontroleerd. 5) Voer in het veld Beschrijving invoeren een algemene beschrijving voor de watch list in (optioneel). 6) Om in te stellen dat de watch list automatisch wordt uitgevoerd als u projecten opent, klikt u op Automatisch activeren. 7) Klik op Nieuw om een nieuw sleutelwoord toe te voegen. In de lijst met Sleutelwoorden verschijnt dan een nieuwe sleutelwoordrij. 8) Stel voor elk sleutelwoord het volgende naar keuze in: • •

Invoerwaarde: Voer het sleutelwoord in. Overeenkomstige hoofdletter: Selecteer om met de hoofdletter van het sleutelwoord overeen te stemmen. • Volledig woord: Selecteer om met het volledige sleutelwoord overeen te stemmen. • Kleur: Klik op en selecteer de kleur waarin u overeenstemmende sleutelwoorden wilt weergeven. 9) Doe een van de volgende zaken: • • •

Klik op Toepassen om de watch list op te slaan en houd de Watch List Editor geopend. Klik op OK om de watch list op te slaan en sluit de Watch List Editor. Klik op Annuleren om de Watch List Editor te sluiten zonder uw wijzigingen op te slaan.


87

5.7.2. Een watch list bewerken 1) Selecteer in de Watch List Editor de watch list die u wilt bewerken. 2) Bewerk de parameters en sleutelwoorden die u wilt wijzigen. 3) Om de lijst met sleutelwoorden te filteren om een specifiek sleutelwoord te lokaliseren, moet u het sleutelwoord in het veld Tekst invoeren om te filteren typen. 4) Om een sleutelwoord te bewerken, klikt u op het betreffende sleutelwoord in de lijst en brengt u de gewenste wijzigingen aan. 5) Om een sleutelwoord te verwijderen, klikt u op . 6) Doe een van de volgende zaken als u klaar bent met de wijzigingen: • • •

Klik op Toepassen om de watch list op te slaan en houd de Watch List Editor geopend. Klik op OK om de watch list op te slaan en sluit de Watch List Editor. Klik op Annuleren om de Watch List Editor te sluiten zonder uw wijzigingen op te slaan.

88

5.7.3. Een watch list importeren De export- en importfuncties zorgen ervoor dat u uw watch lists kunt delen en watch lists van uw collega's kunt otnvangen. Importeer bestaande watch lists (*.csv-bestanden) die werden opgeslagen met of werden aangemaakt door de UFED Logical Analyzer. U kunt ook een CSV-bestand met een lijst sleutelwoorden importeren, die vervolgens als sleutelwoorden van een watch list kunnen worden gebruikt. Deze optie zal de sleutelwoorden zonder enige formattering importeren en zal standaard alle gegevenstypes zoeken. 1) Klik in de hoofdtaakbalk op

.

De Watch List Editor verschijnt. 2) Klik op

, en selecteer Importeren.

3) Blader naar de locatie waar uw watch list is opgeslagen, selecteer het CSV-bestand en klik op Openen. De watch list verschijnt in de Watch List Editor. Hieronder vindt u een voorbeeld.


89

90

5.7.4. Een watch list exporteren Exporteer watch lists om de watch list op te slaan als een *.csv-bestand voor later gebruik, of om met anderen te delen. 1) Selecteer in de Watch List Editor de watch list die u wilt exporteren. 2) Klik op

.

Hoofdstuk 5: Informatie lokaliseren en analyseren 3) Blader naar de locatie waar u uw watch list wilt opslaan en klik op Map selecteren. 4) De watch list wordt geëxporteerd. Hij zal standaard worden opgeslagen als [naam van de watch list].csv.

5.7.5. Een watch list verwijderen 1) Selecteer in de Watch List Editor de watch list die u wilt verwijderen. 2) Klik op

.

3) Klik op Ja. De watch list wordt verwijderd.

91

92

5.7.6. Een watch list uitvoeren U kunt watch lists op geopende projecten uitvoeren.

5.7.6.1. Een watch list op specifieke projecten uitvoeren Als u een watch list vanaf de Watch List Editor uitvoert, kunt u kiezen welk watch lists moeten worden uitgevoerd en op welke projecten ze moeten worden uitgevoerd. 1) Klik in de taakbalk op uitvoeren. 2) Klik op

om de Watch List Editor te openen en selecteer de watch list u wilt

.

Er verschijnt een lijst met geopende projecten. 3) Selecteer de geopende projecten waarop u de zoekopdracht wilt uitvoeren. OPMERKING: Een vinkje het project.

geeft aan dat de geselecteerde watch list momenteel actief is voor


93

4) Klik op Toepassen. De UFED Logical Analyzer zoekt in de geselecteerde projecteren naar de sleutelwoorden. Als de zoekopdracht is voltooid, zullen de resultaten van de watch list in het structuuritem Watch Lists verschijnen. Als de watch list enkel aan specifieke informatietypes is toegekend (zie Een watch list aanmaken (pagina 82)), zullen enkel overeenstemmingen van deze types in de resultaten van de watch list verschijnen.

5.7.6.2. Een watch list op uw huidige project uitvoeren Als u een watch list vanaf de projectstructuur uitvoert, kunt u selecteren welke watch lists er op het huidige project moeten worden uitgevoerd. Als u meer dan een project hebt geopend, zullen de geselecteerde watch lists worden uitgevoerd op het project waarop u het laatst hebt geklikt in de projectstructuur. 1) Klik in de taakbalk op

.

Er verschijnt een lijst met watch lists. 2) Selecteer de watch lists die u op het huidige project wilt uitvoeren. OPMERKING: Een vinkje

geeft aan dat de watch list momenteel actief is voor het project.

94 3) Klik op Toepassen op het project dat in de projectstructuur is geselecteerd. OPMERKING: Als u in de taakbalk op klikt, kunt u de watch list(s) enkel uitvoeren op het project waarop u het laatst hebt geklikt in de projectstructuur. De UFED Logical Analyzer zoekt in de geselecteerde projecteren naar de sleutelwoorden. Als de zoekopdracht is voltooid, zullen de resultaten van de watch list in het structuuritem Watch Lists verschijnen. Als de watch list enkel aan specifieke informatietypes is toegekend (zie Een watch list aanmaken (pagina 82)), zullen enkel overeenstemming van deze types in de resultaten van de watch list verschijnen.

5.8. Bladwijzerinformatie (entiteitbladwijzer) Een entiteitbladwijzer is een snelle referentieaanwijzer die u op afzonderlijke items kunt creëren: • Een item van de Geanalyseerde gegevens zoals oproeplogboeken, een contactpersoon, e-mailbericht enz. Zie item Geanalyseerde gegevens in Projectstructuur (pagina 44). • Een item van de Gegevensbestanden zoals een afbeeldings-, een video-, een tekstbestand enz. Zie item Gegevensbestanden in Projectstructuur (pagina 44).


95

De aangemaakte entiteitbladwijzers worden in het structuuritem Entiteitbladwijzers beheerd. Het aantal entiteitbladwijzers in het project wordt tussen de haakjes naast de sectienaam weergegeven. • Dubbelklik op Entiteitbladwijzers om de entiteitbladwijzers in een tabblad in de gegevensweergave weer te geven. Geselecteerde entiteitbladwijzers worden opgenomen in de rapporten die u genereert. • Dubbelklik op een entiteitbladwijzer om naar het item met bladwijzer in het geschikte weergavetabblad te gaan. Dubbelklik bijvoorbeeld op een entiteitbladwijzer naar een sms-bericht om een lijst met sms-berichten in een weergavetabblad Geanalyseerde gegevens te openen waarbij het item met de bladwijzer is gemarkeerd. • Beweeg over een

om de naam en de beschrijving van een bladwijzer weer te geven.

• Om enkel de lijst met entiteitbladwijzers af te drukken of te exporteren, klikt u op de gewenste output in de taakbalk van het tabblad Entiteitbladwijzers: Excel , HTML , PDF , of XML

5.8.1. Een nieuwe entiteitbladwijzer aanmaken Entiteitbladwijzers kunnen worden toegevoegd aan items in de Tabelweergave. 1) Selecteer het item dat u een bladwijzer wilt geven. 2) Klik op

.

.

96 Het dialoogvenster Bladwijzer toevoegen/bewerken verschijnt.

3) Voer een naam en een beschrijving voor de nieuwe entiteitbladwijzer in en klik vervolgens op OK. Er wordt een nieuwe entiteitbladwijzer met referentie naar het geselecteerde item toegevoegd aan de lijst met entiteitbladwijzers van het project. Het itemrecord met bladwijzer wordt gemarkeerd met een .


5.8.2. Een entiteitbladwijzer bewerken 1) Selecteer een van de volgende zaken: • •

Een entiteitbladwijzerrecord uit de lijst met Entiteitbladwijzers in de projectstructuur. Een item met bladwijzer (gemarkeerd met ).

2) Klik op

in de taakbalk van de Tabelweergave.

Het dialoogvenster Bladwijzer toevoegen/bewerken verschijnt. 3) Bewerk de naam of de beschrijving en klik vervolgens op OK.

5.8.3. Een entiteitbladwijzer verwijderen 1)

Selecteer een van de volgende zaken: • •

Een entiteitbladwijzerrecord uit de lijst met Entiteitbladwijzers in de projectstructuur. Een item met bladwijzer (gemarkeerd met ).

2) Klik op

in de taakbalk van de Tabelweergave.

De bladwijzer wordt verwijderd.

97

98

Hoofdstuk 6: Gedecodeerde gegevens vertalen

99

Hoofdstuk 6: Gedecodeerde gegevens vertalen Vertaal de inhoud van uw extracties die in vreemde talen zijn opgesteld, zonder op een beschikbare vertaler te moeten wachten of programma's op het internet te moeten gebruiken. De Vertaalfunctie zorgt ervoor dat u gedecodeerde gegevens op aanvraag kunt vertalen zodat een onderzoeker de beschikbare informatie in een extractie kan begrijpen. De Vertaalfunctie is een offline vertaaloplossing waarvoor u geen internetverbinding nodig hebt. U kunt een, meerdere of alle tabelinvoeren voor vertaling selecteren. Zowel de originele als de vertaalde tekst kan in het rapport worden opgenomen. De lijst van de ondersteunde talen is de volgende: Chinees (Vereenvoudigd) Chinees (Traditioneel) Nederlands Duits Hebreeuws Italiaans Frans

Japans (vereist bijkomende betaling) Koreaans Pools Portugees Russisch Spaans Oekraïens

100

6.1. De functie gebruiken Om deze functie te gebruiken, moet u het volgende doen: • Update uw licentie met de geselecteerde talen • Download het vertaalpakket • Vertaal de gedecodeerde gegevens

6.2. Uw licentie updaten met de geselecteerde talen Op de pagina Mijn producten in MyCellebrite kunt u tot vijf talen gratis selecteren. Als er bijkomende talen worden vereist, kunt u het Basistalenpakket aankopen. U kunt een taal niet wijzigen nadat u hebt opgeslagen, maar u kunt bijkomende talen vragen. OPMERKING: Als u naar een andere taal dan Engels wilt vertalen, moet u ze eveneens selecteren. Nadat u uw productlicentie met de geselecteerde talen hebt geüpdatet, kunt u de volgende procedure gebruiken om de talen van de vertaallicentie te bekijken.


6.2.1. Talen selecteren in MyCellebrite Om talen te selecteren: 1) Meld aan op MyCellebrite en selecteer het tabblad Mijn Producten. Het volgende venster verschijnt.

2) Selecteer

en klik op Talen selecteren. Het volgende venster verschijnt.

101

102


103

3) Selecteer tot vijf talen en klik op Volgende. Het volgende venster verschijnt. Klik voor bijkomende talen op Meer talen nodig en vul het formulier in.

4) Klik op Opslaan. Het volgende venster verschijnt.

104

5) Update de licentie voor het product en download het talenpakket.

Hoofdstuk 6: Gedecodeerde gegevens vertalen Nadat u uw productlicentie met de geselecteerde talen hebt geüpdatet, kunt u de volgende procedure gebruiken om de talen van de vertaallicentie te bekijken.

Om de talen van de vertaallicentie te bekijken: • Selecteer Extra > Vertaling > Ondersteunde talen weergeven. Het volgende scherm verschijnt.

105

106

6.2.2. Het vertaalpakket downloaden U kunt het Vertaalpakket downloaden vanaf de applicatie of vanaf uw account op my.cellebrite.com. Het Vertaalpakket bevat een versienummer waardoor u de geïnstalleerde versie op de computer kunt traceren. Om het vertaalpakket te downloaden: 1) Selecteer Extra > Vertaling. 2) Selecteer een van de volgende opties: •

Vertaalpakket downloaden: downloadt het vertaalpakket (deze optie is niet beschikbaar als er geen internetverbinding aanwezig is). • Vertaalpakket vanaf een bestand installeren: installeert het vertaalpakket vanaf een bestand. Selecteer deze optie als er geen internetverbinding aanwezig is. 3) Volg de instructies op het scherm om het Vertaalpakket te installeren. OPMERKING: Om het Vertaalpakket te de-installeren, gaat u naar de pagina De-installeren van Windows en selecteert u het Vertaalpakket (Publisher: Cellebrite Mobile Synchronization) in de lijst.

Hoofdstuk 6: Gedecodeerde gegevens vertalen Om het versienummer van het vertaalpakket te bekijken: • Klik op Help > Over. Het volgende scherm verschijnt.

107

108

6.2.3. De gedecodeerde gegevens vertalen De doeltaal wordt standaard ingesteld op dezelfde taal als de taal van de interface. Indien nodig kunt u de doeltaal naar een andere taal wijzigen. Om de doeltaal te wijzigen: 1) Selecteer Extra > Instellingen. Het volgende scherm verschijnt.

2) Selecteer de doeltaal. Dit is de taal waarnaar u de tekst wilt vertalen. U kunt slechts een doeltaal selecteren. Om bijkomende doeltalen te vragen, selecteert u Meer talen ophalen. 3) Selecteer het selectievakje Doeltaal standaard weergeven om de vertalingen standaard weer te geven. Vink dit selectievakje af zodat de vertaling niet verschijnt als u tekst vertaalt. Om de vertaling weer te geven, selecteert u Vertaling weergeven.


109

Om gedecodeerde gegevens te vertalen: 1) Klik om de gegevens te selecteren die u wilt vertalen.

2) Klik op de knop klik op • •

of klik met de rechtermuisknop en selecteer Selectie vertalen of

en selecteer vervolgens een van de volgende opties:

Alles vertalen: Vertaal alle invoeren in de opgegeven weergave. Selectie vertalen: Vertaal enkel de geselecteerde tekst.

OPMERKING: Gebruik indien nodig de optie Vertaling verwijderen om de vertaalde tekst te verwijderen. De vertaalde tekst wordt aangegeven door een gele balk.

Om de originele tekst weer te geven: 3) Klik met de rechtermuisknop op de tekst en selecteer Bron weergeven of klik op de knop . De originele tekst wordt aangegeven door een grijze balk.

110 Om tekst te filteren: • Klik op • • •

en selecteer vervolgens een van de volgende opties:

Alles om alle tekst weer te geven. Vertaald om de vertaalde tekst weer te geven. Niet vertaald om de onvertaalde tekst weer te geven.

6.2.4. Rapporten Bij het aanmaken van rapporten of het exporteren van gegevens kunt u aangeven of de vertaalde tekst moet worden opgenomen of niet. Als u ervoor kiest om de vertaalde tekst in het rapport weer te geven, zal de samenvattingstabel een bijkomende invoer met de volgende naam bevatten: Doeltalen, met een lijst van de talen. De vertaalde inhoud verschijnt onder de originele tekst onder de titel: Vertaling. Voor meer informatie over rapporten, zie Een rapport genereren op pagina 127. Om de vertaalde tekst op te nemen in rapporten: 1) Ga naar Extra > Instellingen > Algemene instellingen > Standaardinstellingen rapporten. 2) Selecteer het selectievakje Vertaling opnemen.


111

Om de vertaalde tekst op te nemen in exportbestanden: 1) Klik op een Export-optie (

).

2) Selecteer het selectievakje Vertaling opnemen.

112

Hoofdstuk 7: Werken met projectanalyse

113

Hoofdstuk 7: Werken met projectanalyse Met de Projectanalyse kunt u de extractiegegevens in termen van het aantal communicatiegebeurtenissen tussen het apparaat en andere partijen, geïdentificeerd door het telefoonnummer of een andere gebruikersidentiteit (zoals een e-mailadres, Skype-account enz.), te bekijken. De analyse zorgt ervoor dat u communicatiepatronen tussen het apparaat en andere partijen eenvoudig en efficiënt kunt identificeren. Bijvoorbeeld: • Partijen waarmee het meest werd gecommuniceerd via alle communicatiemethodes • Partijen waarmee het meest werd gecommuniceerd via oproepen, sms- en mms-berichten Als de gebruiker van het apparaat een groot aantal oproepen, sms-berichten en e-mails heeft uitgewisseld met een bepaald contact, dan is het eenvoudig om het volume van deze communicatie te bekijken. De communicatiegebeurtenissen worden per volume per type gesorteerd. De volgende communicatiegebeurtenissen worden ondersteund: • Telefoons - Geeft een lijst van uitgaande, inkomende en gemiste oproepen en verzonden en ontvangen sms- en mms-berichten en concepten. • E-mails - Geeft een lijst van verzonden en ontvangen e-mails, concepten en e-mails van onbekende status.

114 • WhatsApp - Geeft een lijst van verzonden en ontvangen berichten en concepten. • Skype - Geeft een lijst van oproepen, sms-berichten en chatberichten. • BlackBerry Messenger - Geeft een lijst van chatberichten. De Projectanalyse wordt automatisch uitgevoerd als u een extractiebestand opent. Om de projectanalyse weer te geven: 1) Klik op naast het structuuritem Projectanalyse om de weergegeven analyseresultaten in het structuuritem Projectanalyse te bekijken. 2) Dubbelklik op het structuuritem Projectanalyse om een tabblad te openen dat de vijf meest voorkomende activiteiten per contactpersoon weergeeft. 3) Om een vergelijkend overzicht van alle communicatiegebeurtenissen te bekijken, dubbelklikt u op het structuuritem Activiteitsanalyse.

Hoofdstuk 7: Werken met projectanalyse De weergave wordt gesorteerd in aflopende volgorde op basis van het totaal aantal gebeurtenissen.

4) Om de gebeurtenissen per communicatie-identifier weer te geven, dubbelklikt u op het structuuritem van de gewenste identifier. 5) Klik op de kolomheader om de informatie in de kolom te sorteren. OPMERKING: De informatie van een projectanalyse kan in een rapport worden opgenomen. Voor meer informatie, zie Een rapport genereren.

115

116

Hoofdstuk 8: Scannen op malware

117

Hoofdstuk 8: Scannen op malware Voer een malwaredetectie op uw extractie uit om malware op te sporen. Als u op malware scant, gebruikt de UFED Physical Analyzer de laatst gebruikte handtekeningendatabase. Als u de malwarescanner voor het eerst gebruikt of als u de database wilt updaten alvorens te scannen, volg dan de stappen in De handtekeningendatabase updaten (online) (pagina 118). Als u op een computer zonder internetverbinding werkt, volg dan de stappen in De handtekeningendatabase updaten vanaf een bestand (offline) (pagina 120). 1) Selecteer Extra > Malwarescanner > Scannen op malware of klik op

.

118 2) Selecteer de bestandssystemen die u wilt scannen en klik op Scannen. De UFED Physical Analyzer scant het project op malware. De resultaten worden onder het structuuritem Malwarescanner weergegeven. 3) Dubbelklik op het structuuritem Malwarescanner om een tabblad met de gegevensweergave te openen. De weergegeven gegevens omvatten het malwaretype en informatie over de malware, zoals de naam. • Om de resultaten in een rapport op te nemen, selecteert u Geïnfecteerde bestanden in het gebied Gegevensset rapport.

8.1. De handtekeningendatabase updaten (online) Update de handtekeningendatabase vóór het eerste gebruik van de malwarescanner om de database aan te vullen en daarna om de handtekeningendatabase up-to-date te houden. OPMERKING: Van zodra de handtekeningendatabase is aangevuld, kunt u de malwarescanner activeren met de aanwezige database. Het wordt sterk aanbevolen om de handtekeningendatabase regelmatig te updaten om ze up-to-date te houden.


119

1) Selecteer in het menu Extra de optie Malwarescanner > Handtekeningendatabase updaten.

2) Klik op Updaten vanaf server. De database wordt aangevuld.

3) Klik op Sluiten. U kunt het project nu op malware scannen.

120

8.2. De handtekeningendatabase updaten vanaf een bestand (offline) Update de handtekeningendatabase vanaf een bestand als u op een computer zonder internetverbinding werkt. OPMERKING: Van zodra de handtekeningendatabase is aangevuld, kunt u de malwarescanner activeren met de aanwezige database. Het wordt sterk aanbevolen om de handtekeningendatabase regelmatig te updaten om ze up-to-date te houden. 1) In de hoofdmap UFED Physical Analyzer in Windows Verkenner kopieert u de map BitDefenderUpdater naar een extern opslagapparaat. 2) Draag de map BitDefenderUpdater over naar een computer met internetverbinding zonder proxyinstellingen. 3) Dubbelklik in de map BitDefenderUpdater op Malware Definitions Downloader.exe.


4) Selecteer het besturingssysteem van de computer waarop de UFED Physical Analyzer is geïnstalleerd. 5) Klik op Downloaden.

121

122

6) Klik op Ingesloten map openen. 7) Kopieer het bestand definitions.msd naar een extern apparaat en draagt het over naar de computer waarop de UFED Physical Analyzer is geïnstalleerd. 8) Klik op Sluiten om de Malware Definitions Downloader te sluiten. OPMERKING: Om uw workflow te stroomlijnen en tijd te besparen, wordt het aanbevolen om steeds dezelfde computer te gebruiken om het bestand definitions.msd te downloaden. Als u het bestand definitions.msd in de toekomst op deze computer downloadt, zal de Malware Definitions Downloader het bestand updaten in plaats van het volledige bestand te downloaden. Zorg ervoor dat het bestand definitions.msd niet van deze computer wordt verwijderd.


123

9) Selecteer in de UFED Physical Analyzer Extra > Malwarescanner > Handtekeningendatabase updaten.

10) Klik op Updaten vanaf bestand.

124

11) Blader naar het malwaredatabasebestand (*.msd) en klik op Openen. 12) Klik op Start.

Hoofdstuk 8: Scannen op malware De database wordt aangevuld.

13) Klik op Sluiten. U kunt het project nu op malware scannen.

125

126

Hoofdstuk 9: Een rapport genereren

127

Hoofdstuk 9: Een rapport genereren 1) U kunt een rapport van de informatie in het project genereren. De UFED Logical Analyzer heeft een rapportwizard om u door de verschillende stappen voor het aanmaken van een rapport te leiden. Doe een van de volgende zaken: • • •

Selecteer Rapport > Rapport genereren in het applicatiemenu. Klik op Rapport genereren in het tabblad Extractiesamenvatting. Dubbelklik op Rapporten in de projectstructuur.

128 Het scherm Rapport genereren verschijnt.

2) In het veld Bestandsnaam typt u de naam voor het nieuwe rapport dat u wilt aanmaken. 3) In het veld Opslaan selecteert u de map waarin u alle rapporten wilt aanmaken. Deze map kan voor rapporten worden gebruikt aangezien elk rapport een afzonderlijke submap zal bezetten. 4) In het veld Submap rapport typt u een naam voor de map waarin u alle geselecteerde rapporten wilt aanmaken. De standaardnaam is de huidige datum en tijd.


129

5) In het veld Project selecteert u de projecten die u in dit rapport wilt opnemen. Enkel projecten die reeds in de UFED Logical Analyzer zijn geopend, zijn beschikbaar voor de rapporten.

130 6) In het veld Formaat kiest u welke van de beschikbare formaten u voor het rapport wilt. Er kan meer dan een formaat worden gekozen en voor elk formaat zal er een rapport worden gegenereerd.


131

7) In de velden voor de case-informatie kunt u het volgende voorzien: • • • • • •

Casenummer Casenaam Bewijsnummer Naam onderzoeker Departement Locatie

OPMERKING: Standaardinstellingen voor deze velden. Zie De case-informatie instellen (pagina 183). Zie Bijkomende rapportvelden (pagina 165) en Standaardinstellingen rapport (pagina 169) voor andere standaardinstellingen. Bovendien zijn de laatste 10 waarden die in deze velden werden ingevuld, beschikbaar in de keuzelijst. 8) Uw formulier moet nu op dit voorbeeld lijken:

132


133

9) Selecteer in het volgende scherm de gegevens die in het rapport moeten worden opgenomen:

a) Extractie - geanalyseerde gegevens en gegevensbestanden die in het rapport moeten worden opgenomen. b) Onderzoeker - SHA-2 (256 bit) hash berekenenen MD5 (128 bit) hash berekenen Selecteer welke berekende MD5 en SHA256 hashsleutels er aan elk Gegevensbestand in het gegenereerde rapport moeten worden toegevoegd. De selectie geld voor het volledige rapport en is van toepassing op alle projecten binnen het rapport. TIP: Om het rapportgeneratieproces van grote projecten in te korten, kunt u deze opties beter niet selecteren.

134 c) Analyse - deze sectie verschijnt als er in het project een Analyse beschikbaar is. Selecteer de relevante anaylyse-items om ze in het rapport op te nemen. 10) Het scherm Beveiliging wordt weergegeven. Op PDF-, Word- en Excel-rapporten kan een wachtwoordbeveiliging worden geplaatst:

Kies het formaat en geef een wachtwoord in.


135

11) Selecteer Standaardsortering om de items in het gegenereerde rapport te sorteren volgens de standaardsortering die door Cellebrite is ingesteld voor alle types Geanalyseerde Gegevens en Gegevensbestanden of vink Standaardsortering af om de items te sorteren volgens het geselecteerde sorteerveld en de sorteervolgorde (oplopend of aflopend) die door de gebruiker werd ingesteld in de gegevensweergavetabellen.

136 12) Voor elk gekozen formaat voor dit rapport kunt u als volgt rapportparameters opgeven: a)

Word-, HTML- en PDF-rapporten: 

Modelcategorisering utischakelen - Selecteer om de afzondering uit te schakelen en een rapport te genereren waarin elk gegevensitem als enkele sectie zonder afzondering van subcategorieën wordt gegenereerd. Standaard wordt er een gecategoriseerd rapport gegenereerd waarin elke categorie in de gegevensitemgroep als een afzonderlijke sectie wordt gegenereerd. Bij het genereren van bijvoorbeeld een rapport met sms-berichten selecteert u het selectievakje om de sms-berichten als een enkele lijst te genereren of vinkt u het selectievakje af om ze voor elke categorie sms-berichten (Inbox, Outbox, Concepten enz.) in een afzonderlijke lijst onder te brengen.



Logoheader - Tekstgebied waarin u aangepaste tekst kunt invoeren en opmaken zodat die in de rapportheader voor het logo verschijnt. Logo - Klik op Afbeeldingsbestand selecterenom een logo toe te voegen zodat het in de rapportheader verschijnt. De ondersteunde bestandsformaten zijn de volgende: BMP, JPG, GIF, en PNG. Logovoettekst - Tekstgebied waarin u aangepaste tekst kunt invoeren en opmaken zodat die in de rapportvoettekst voor het logo verschijnt.



 

Totalen weergeven voor items die niet in het rapport staan - Voeg aan het rapport een kolom Totaal toe die het totaal aantal items die niet in het rapport werden opgenomen, aangeeft.

Hoofdstuk 9: Een rapport genereren 

     

137

Uitgebreide verwijderde status weergeven - Neem de status (Intact, Verwijderd, of Onbekend) van verwijderde items op in het gegenereerde rapport. Indien dit niet wordt geselecteerd, wordt de status van verwijderde items als Ja geregistreerd en wordt er voor de andere statussen niets aangegeven. Aantal lijnen voor e-mailpreview - Stel het maximum aantal lijnen van elk e-mailbericht voor het rapport in. Volledige e-mailkern weergeven - Geef de volledige berichtkern weer. Aantal berichten per chat - Stel het maximum aantal berichten per chatbericht voor het rapport in. Alle chatberichten weergegeven - Alle chatberichten in het rapport weergeven. Familie lettertype - Enkel voor PDF-rapporten. HTML-rapport splitsen - Enkel voor HTML-rapporten. Zorg ervoor dat elke sectie van het rapport op een nieuwe pagina begint.

b) Excel- (alle formaten) en ODS-rapport: • •

Het Excel-rapport is compatibel met OpenOffice - Selecteer om te verzekeren dat het Excel-rapport in OpenOffice kan worden geopend. Contactidentificatiegegevens genereren - Selecteer om aan het Excel-rapport een blad toe te voegen dat een lijst van unieke contacten op basis van type geeft.

138 c) XML- en UFED-rapportpakket: •

Er zijn GEEN bijkomende instellingen voor beide rapporten vereist. Als de verzochte rapportformaten enkel XML- en/of UFED-rapporten omvatten, dan is geen verdere input vereist. 13) Klik op Voltooien. OPMERKING: Voltooien is beschikbaar van zodra alle vereiste velden zijn ingevuld. Er wordt een geel waarschuwingspictogram weergegeven naast alle vereiste velden die nog niet zijn ingevuld. Als het rapport succesvol is gegenereerd, wordt u gevraagd om het gegenereerde rapportbestand te openen. Het bestand wordt geopend door middel van de bij het bestandsformaat horende applicatie die in het werkstation is geïnstalleerd. Van zodra er een rapport voor het project werd gegenereerd, kan het worden geopend via de sectie Rapporten in de projectstructuur. Dubbelklik op een gegenereerd rapport om het te openen in de bijhorende applicatie die in het werkstation is geïnstalleerd. Klik met de rechtermuisknop op een gegenereerd rapport om het rapportbestand te openen of selecteer Ingesloten map openen om door de bestanden en mappen van het rapport te bladeren.

Hoofdstuk 10: Extracties uitvoeren

139

Hoofdstuk 10: Extracties uitvoeren 10.1. Geavanceerde logische extractie uitvoeren Voer een geavanceerde logische extractie vanaf de UFED Logical Analyzer uit om meer informatie dan bij de logische extractie door middel van de UFED-eenheid uit te lezen. Voer een geavanceerde logische extractie vanaf de volgende apparaten uit: • iPhone 2G/3G/3GS/4/4s/5/5s/5c • iPad 1/2/3/4/mini • iPod Touch 1G/2G/3G/4G • iPod Nano 5G

140

10.1.1. Geavanceerde logische extractie uitvoeren 1) Selecteer Uitlezen > iOS-apparaatextractie of klik op 2) Klik op Geavanceerde logische extractie.

om iOS-apparaatextractie te starten.


141

3) Volg de weergegeven instructies om het iOS-apparaat in te schakelen en verbind het apparaat met uw computer en klik vervolgens op Volgende.

OPMERKING: Als het verbonden apparaat niet wordt herkend, koppel het apparaat dan los en sluit het aan op een USB-poort achteraan de pc.

142 Als het iOS-apparaat is vergrendeld, wordt het scherm Vergrendeld apparaat weergegeven. Als het .plist-bestand voor het vergrendelde apparaat beschikbaar is vanaf de pc van de apparaateigenaar, laadt u dit .plist-bestand in het scherm Vergrendeld apparaat en klikt u op Opnieuw proberen. Als het apparaat vergrendeld is en er geen .plist-bestand beschikbaar is, klikt u op Sluiten. OPMERKING: Om het .plist-bestand te gebruiken, moet u de UFED-applicatie als beheerder uitvoeren.


143

4) Kies een Methode voor de Geavanceerde logische extractie. Afhankelijk van het feit of het apparaat jailbroken en/of versleuteld is, zijn er verschillende extractiemethodes beschikbaar gemaakt. a) Methode 1 - Extractie van een uitgebreide reeks gegevens, inclusief sms- en mms-berichten, applicatiegegevens en locaties. Oproeplogboeken, e-mailkernen en bijlagen worden niet uitgelezen. Verlengde extractietijd. b) Methode 2 - Extractie van een reeks gegevens, inclusief oproeplogboeken, sms- en mms-berichten, applicatiegegevens en locaties. Dit decoderingsproces kan de invoer van het back-upwachtwoord van iTunes vereisen. c) Methode 3 - Extractie van de meest uitgebreide reeks gegevens, inclusief oproeplogboeken, sms- en mms-berichten, e-mails, applicatiegegevens en locaties.

Bovendien geeft de applicatie een specifieke aanbevolen methode per back-upconfiguratie van iTunes en jailbroken status aan.

144 Voor een jailbroken iOS-apparaat wordt dit scherm weergegeven -

Hoofdstuk 10: Extracties uitvoeren Voor een jailbroken versleuteld iOS-apparaat wordt dit scherm weergegeven -

145

146 Voor een niet-jailbroken versleuteld iOS-apparaat wordt dit scherm weergegeven -

Hoofdstuk 10: Extracties uitvoeren Voor een niet-jailbroken niet-versleuteld iOS-apparaat wordt dit scherm weergegeven -

147

148 OPMERKING: De extractietijd hangt af van de hoeveelheid gegevens op het iOS-apparaat en van de gekozen methode. Een extractie volgens Methode 2 vanaf een intens gebruikt apparaat kan verschillende UREN duren. 5) Kies de locatie om de uitgelezen gegevens op te slaan. Zorg ervoor dat er genoeg schijfruimte beschikbaar is op uw gekozen locatie. U kunt ze lokaal op de computer, op een verwijderbaar opslagapparaat of op een netwerklocatie opslaan.


149

6) Klik op Volgende om verder te gaan. 7) Er wordt een voortgangsbalk weergegeven. Wacht tot het extractieproces voltooid is.

OPMERKING: De duur hangt af van de extractiemethode, het model van het apparaat, de hoeveelheid gegevens op het apparaat, de computer die de extractie uitvoert en enkele andere parameters. De geavanceerde logische extractie wordt op de geselecteerde locatie opgeslagen als een *.UFD-bestand en een *.TAR-bestand.

150 Open de geavanceerde logische extractie in de UFED Logical Analyzer om alle uitgelezen informatie te bekijken. 8) Selecteer een van de volgende opties: • • • •

Openen in de UFED Analyzer – Laadt het extractiebestand in de UFED Logical Analyzer. Bestandslocatie openen – Opent de map die de extractiebestanden bevat. Terug naar start – Gaat terug naar het scherm van de extractiemethodes. Voltooien – de iOS-apparaatextractie.

Hoofdstuk 11: Camera- en screenshotbewijs

151

Hoofdstuk 11: Camera- en screenshotbewijs De UFED 4PC of UFED Touch in combinatie met de UFED-camera zorgt ervoor dat bewijs kunt verzamelen door foto's of video's van een apparaat te nemen. Een screenshotfunctie neemt rechtstreeks interne screenshots van een Blackberry, Android of iOS-apparaat. Deze opties kunnen handig zijn als aanvullend bewijs of wanneer er geen gegevens van een apparaat kunnen worden uitgelezen. Dit bewijs kan samen met de aantekeningen, categorieën en bladwijzers die door de onderzoeker werden toegevoegd, in de UFED Logical Analyzer worden weergegeven. Voor informatie over het vastleggen van camera- en screenshotbewijs, zie de handleidingen van de UFED 4PC of UFED Touch. Om camera- en screenshotbewijs te importeren: • Klik op het Evidence.ufd-bestand. Het Camerabewijs (foto's en video's) of Telefoonbewijs (screenshots) wordt als een nieuw project in de UFED Logical Analyzer geïmporteerd. Het bewijs omvat het Telefoonbewijs of Camerabewijs dat per categorie is verdeeld en entiteitbladwijzers en aantekeningen die tijdens de extractie werden toegevoegd. Hieronder vindt u een voorbeeld.

152

Hoofdstuk 11: Camera- en screenshotbewijs

153

Om het camera- en screenshotbewijs samen met de uitgelezen gegevens te importeren: •

Klik op het bestand EvidenceCollection.ufdx. Het Camerabewijs (foto's en video's), Telefoonbewijs (screenshots) en de uitgelezen gegevens worden als een enkel project in de UFED Logical Analyzer geïmporteerd. Het bewijs omvat het Telefoonbewijs en Camerabewijs en categorieën, entiteitbladwijzers en aantekeningen die tijdens de extractie werden toegevoegd. Hieronder vindt u een voorbeeld.

154 OPMERKING: Sleep het bestand EvidenceCollection.ufdx in de UFED Logical Analyzer om meerdere extracties te openen die voor een specifiek apparaat werden uitgevoerd. Dit betekent dat alle extracties in de map zullen worden geopend. Elke extractie (.ufd-bestand) in de map kan ook afzonderlijk worden geopend. Een voorbeeldmap met meerdere extracties en een UFDX-bestand wordt hieronder weergegeven.

Om camera- en screenshotbewijs met een extractietype te verbinden: Als u meerdere extractietypes en camerabewijs hebt, verschijnt het venster Bewijs verbinden met project.

• Selecteer de vereiste extractie en klik op Verbinden.

Hoofdstuk 12: Instellingen

155

Hoofdstuk 12: Instellingen Het venster Instellingen biedt een set functionele en gedragsbepalende opties die worden gebruikt om de functionaliteit en bruikbaarheid van de applicatie te controleren. De instellingen in het venster Instellingen zijn van toepassing op alle projecten die zijn geopend in de UFED Logical Analyzer. OPMERKING: Wijzigingen aan de instellingen gaan verloren wanneer u de UFED Logical Analyzer sluit. Om de configuratie van de instellingen te bewaren, zie Instellingen opslaan (pagina 178). • Om het venster Instellingen te openen, voert u een van de volgende stappen uit: • •

Selecteer Extra > Instellingen. Klik op .

Het venster Instellingen verschijnt.

156

12.1. Algemene instellingen Stel de algemene applicatie-instellingen in het tabblad Algemene instellingen in.


157

Om de interfacetaal van de UFED Logical Analyzer in te stellen: • Selecteer de gewenste taal in de lijst Taal. Om de doeltaal in te stellen: • Selecteer de Doeltaal. Dit is de taal waarnaar u de tekst wilt vertalen. U kunt slechts een Doeltaal selecteren. Om bijkomende doeltalen te vragen, selecteert u Meer talen ophalen. • Selecteer het selectievakje Doeltaal standaard weergeven om de vertalingen standaard weer te geven. Vink dit selectievakje af zodat de vertaling niet verschijnt als u tekst vertaalt. Om de vertaling weer te geven, selecteert u Vertaling weergeven. Om tijdstempels naar een bepaalde tijdzone te verschuiven: 1) Selecteer in de lijst met Instellingen tijdzone (UTC): • •

Originele UTC-waarde om tijdstempels weer te geven als opgenomen (zonder unificatie) Een van de tijdzones (UTC - 12:00 tot UTC +13:00) om door het netwerk gedefinieerde tijdstempels opnieuw te berekenen volgens de offset van de tijdzone. 2) Om de starten einddatum voor de zomertijd te wijzigen, klikt u op Zomertijd. Voor meer informatie over u hoe de instellingen voor de tijdzone moet wijzigen, zie Een verenigde tijdzone instellen voor het project (pagina 179). De codering en separator van geëxporteerde CSV-bestanden instellen: 1) In de zone Export selecteert u de gewenste coderingsoptie uit de lijst Codering. 2) Selecteer de gewenste separator in de lijst Separator.

158 Om de UFED Logical Analyzer zo in te stellen dat deze automatisch afbeeldingen verifieert bij het laden van een project: • Selecteer Afbeeldingen automatisch verifiëren bij het laden van een project. Om de UFED Logical Analyzer de mogelijkheid te laten aanbieden om een sessie te laden wanneer de overeenkomstige extractie wordt geopend: • Selecteer Voorstellen om een sessiebestand te herstellen wanneer de overeenkomstige dump wordt geladen. Alle entiteiten in alle weergaven standaard selecteren: • Selecteer Alle entiteiten standaard aanvinken. Geselecteerde entiteiten worden opgenomen in rapporten die u genereert. Om het vereiste aantal cijfers om een uniek telefoonnummer te bepalen: • Selecteer in de zone Analyse het gewenste aantal cijfers uit Vereiste aantal cijfers om een uniek telefoonnummer te bepalen.


12.2. Gegevensbestanden

159

160 De instellingen Gegevensbestanden bepalen de verschillende bestands- en tagging groepen onder de structuuritems Gegevensbestanden en Tags en de soorten bestanden die in elke groep worden gefilterd. Elk gegevensbestandrecord bevat de volgende instellingen: • Actief - Geeft aan of deze groep gegevensbestanden in de projectstructuur moet worden weergegeven (aangevinkt) of worden verborgen (uitgevinkt). • Omschrijving - Een omschrijvende naam voor het type gegevensbestanden die moet worden gebruikt als de groepsnaam onder structuuritem Gegevensbestanden. • Extensies - De bestandsextensies die moeten worden gebruikt om de gegevensbestanden van deze groep te filteren. • Handtekeningenfilter - De handtekeningen in de koptekst en/of voettekst die moeten worden gebruikt om de gegevensbestanden van deze groep te filteren. • Taggen als - De tagnaam die moet worden toegepast op het gegevensbestand en moet worden gebruikt om de bestanden onder Tags in de projectstructuur weer te geven.


161

12.2.1. Filtermethodes voor gegevensbestanden Groepen kunnen worden gefilterd met een of meer van de volgende methodes: • Handtekeningfilter Een handtekeningfilter is een definitie voor de koptekst en/of voettekst in het bestand, die moet worden doorzocht om een bestandstype te detecteren en het te koppelen aan een specifieke Gegevensbestand-groep. De koptekst en/of voettekst kan worden geconfigureerd in een gedefinieerd bereik van respectievelijk het begin en einde van het bestand door de offsetparameter te gebruiken. Bijvoorbeeld: een JPEG-afbeelding start met de koptekst FF D8 FF en eindigt met de voettekst FF D9. Het invoeren van deze informatie in de koptekst- en voettekstvelden van de handtekening creëert een handtekening die JPEG-afbeeldingen identificeert. • Extensiefilter Een extensiefilter is een lijst met de gebruikelijke bestandsextensies die worden geassocieerd met bestandsformaten die toebehoren aan de specifieke gegevensbestandgroep. De verschillende bestandsformaten voor afbeeldingen kunnen bijvoorbeeld worden gefilterd door de bestandsextensies *.jpg, *.jpeg, *.gif, *.png of *.bmp.

162

12.2.2. Gegevensbestandsinstellingen beheren Nieuwe types gegevensbestanden toevoegen en bestaande types gegevensbestanden bewerken en verwijderen.

12.2.2.1. Een nieuw type gegevensbestand toevoegen 1) Klik in de instellingen Gegevensbestanden op

.

Er wordt een nieuwe rij toegevoegd aan de lijst. 2) Selecteer Actief om het toegevoegde gegevenstype weer te geven in het structuuritem Gegevenstype. 3) Klik in het vak Omschrijving van de nieuwe rij en typ een beschrijving voor het bestandstype. 4) Indien van toepassing voert u, in het vak Extensies de bestandsextensies in die doorgaans worden gebruikt door uw type gegevensbestand, in het formaat *.xxx en gescheiden door een ;.


163

5) Indien van toepassing klikt u in het vak Handtekeningenfilter op volgende acties uit:

en voert u een van de

•

Klik op identificeert.

om een filterhandtekening toe te voegen die uw type gegevensbestand

•

Klik op

om een bestaande handtekeningenfilter te bewerken.

•

Klik op

om een handtekeningenfilter te verwijderen.

164 6) Indien van toepassing klikt u in het vak Taggen als en selecteert u een tagnaam uit de lijst. 7) Om de volgorde van de types gegevensbestanden te wijzigen, gebruikt u de pijltjes 8) Om de lijst met types gegevensbestanden die u hebt toegevoegd te wissen en alleen de standaardtypes over te houden, klikt u op Standaard herstellen.

.

12.2.2.2. Een bestaand gegevensbestandrecord bewerken 1) Klik op de rij van het type gegevensbestand dat u wilt bewerken. 2) Dubbelklik in de kolom en de rij die u wilt bewerken en update de bestaande instellingen zoals gewenst.

12.2.2.3. Een type gegevensbestand verwijderen 1) Klik op de rij van het type gegevensbestand dat u wilt verwijderen. 2) Klik op

.


12.3. Bijkomende rapportvelden

165

166 Optionele informatie is door de gebruiker gedefinieerde informatie die wordt gepresenteerd aan het begin van het rapport. Dit omvat doorgaans informatie over de zaak, de onderzoeker en organisatorische details. Elke optioneel informatierecord bestaat uit het volgende: Naam

De naam van het rapportveld.

Vereist

Geeft aan of het veld moet worden ingevuld om het rapport te genereren.

Type

De invoertypes - String of Lijst.

Standaardwaarde

Standaard inhoud.

U kunt nieuwe rapportvelden toevoegen en velden naar wens bewerken en verwijderen.

12.3.1. Een nieuw rapportveld toevoegen 1) Klik op Nieuw toevoegen. Er wordt een nieuwe rij toegevoegd aan de tabel. 2) In de kolom Naam voert u het naamlabel in dat moet worden weergegeven. 3) Selecteer Vereist als dit veld moet worden ingevuld opdat de gebruiker het rapport kan genereren.


167

4) In de lijst Type selecteert u een van de volgende: • String voor tekstinvoervelden • Lijst voor een specifieke lijst met opties 5) In het vak Standaardwaarde stelt u de standaard inhoud in: •

Voor type String typt u de standaardstring. Voor een string van meerdere regels, klikt u op , voert u de standaardstring in de Option Editor in en klikt u op Opslaan.

168 •

Voor type Lijst klikt u op en klikt u op Opslaan.

, voert u de lijstitems in met elk item op een afzonderlijke lijn

12.3.2. Een rapportveld verwijderen • Om een rapportveld te verwijderen, klikt u op

.

12.3.3. Een rapportveld bewerken • Om een rapportveld te bewerken, voert u stappen 2-5 uit van Een nieuw rapportveld toevoegen (pagina 166), en wijzigt u de parameters naargelang uw behoeften.


12.4. Standaardinstellingen rapport De Standaardinstellingen rapport stellen u in staat om de rapportweergave te bewerken.

169

170 OPMERKING: Scroll naar beneden om alle velden te bekijken. 1) In de lijst Rapporttype selecteert u het rapporttype dat u wilt bewerken. 2) Voor Excel-rapporten, stelt u het volgende in: • •

•

• • •

Standaardmap - voer het pad in naar de map waarin u de rapporten die u voor dit rapporttype genereert, wilt opslaan. Selecteer Standaardsortering om de items in het gegenereerde rapport te sorteren volgens de standaardsortering die door Cellebrite is ingesteld voor alle types Geanalyseerde Gegevens en Gegevensbestanden of vink Standaardsortering af om de items te sorteren volgens het geselecteerde sorteerveld en de sorteervolgorde (oplopend of aflopend) die door de gebruiker werd ingesteld in de gegevensweergavetabellen. SHA-2 (256 bit) hash berekenen en MD5 (128 bit) hash berekenen - Selecteer welke berekende MD5 en SHA256 hashsleutels er aan elk Gegevensbestand in het gegenereerde rapport moeten worden toegevoegd. Selecteer deze opties niet om de genereringsprocedure voor rapporten van grote projecten te verkorten. Vertalingen opnemen - Selecteer dit om vertaalde tekst op te nemen in het rapport. Placeholder voor niet-afdrukbare tekens - Stel de placeholder in om de niet-afdrukbare tekens te vervangen. Formaat uitvoerbestand - Stel het formaat voor het uitvoerbestand van de spreadsheet in op: * XLSX - Het huidige Excel-bestandsformaat. * XLS - Het oude Excel-bestandsformaat. * ODS - Het bestandsformaat van OpenOffice.


171

•

Het Excel-rapport is compatibel met OpenOffice - Selecteer om te verzekeren dat het Excel-rapport in OpenOffice kan worden geopend. • Contactidentificatiegegevens genereren - Selecteer om aan het Excel-rapport een blad toe te voegen dat een lijst van unieke contacten op basis van type geeft. 3) Voor HTML-rapporten, stelt u het volgende in: • •

•

• •

Standaardmap - voer het pad in naar de map waarin u de rapporten die u voor dit rapporttype genereert, wilt opslaan. Selecteer Standaardsortering om de items in het gegenereerde rapport te sorteren volgens de standaardsortering die door Cellebrite is ingesteld voor alle types Geanalyseerde Gegevens en Gegevensbestanden of vink Standaardsortering af om de items te sorteren volgens het geselecteerde sorteerveld en de sorteervolgorde (oplopend of aflopend) die door de gebruiker werd ingesteld in de gegevensweergavetabellen. SHA-2 (256 bit) hash berekenen en MD5 (128 bit) hash berekenen - Selecteer welke berekende MD5 en SHA256 hashsleutels er aan elk Gegevensbestand in het gegenereerde rapport moeten worden toegevoegd. Selecteer deze opties niet om de genereringsprocedure voor rapporten van grote projecten te verkorten. Vertalingen opnemen - Selecteer dit om vertaalde tekst op te nemen in het rapport. Modelcategorisering utischakelen - Selecteer om de afzondering uit te schakelen en een rapport te genereren waarin elk gegevensitem als enkele sectie zonder afzondering van subcategorieën wordt gegenereerd. Standaard wordt er een gecategoriseerd rapport gegenereerd waarin elke categorie in de gegevensitemgroep als een afzonderlijke sectie wordt gegenereerd. Bij het genereren van bijvoorbeeld een rapport met sms-berichten

172

• • • • •

• • • •

selecteert u het selectievakje om de sms-berichten als een enkele lijst te genereren of vinkt u het selectievakje af om ze voor elke categorie sms-berichten (Inbox, Outbox, Concepten enz.) in een afzonderlijke lijst onder te brengen. Logokoptekst - Tekstgebied waarin u aangepaste tekst kunt invoeren en opmaken zodat die in de rapportkoptekst voor het logo verschijnt. Logo - Klik op Afbeeldingsbestand selecteren om een logo toe te voegen zodat het in de rapportheader verschijnt. De ondersteunde bestandsformaten zijn de volgende: BMP, JPG, GIF, en PNG. Logovoettekst - Tekstgebied waarin u aangepaste tekst kunt invoeren en opmaken zodat die in de rapportvoettekst voor het logo verschijnt. Totalen weergeven voor items die niet in het rapport staan - Voeg aan het rapport een kolom Totaal toe die het totaal aantal items die niet in het rapport werden opgenomen, aangeeft. Uitgebreide verwijderde status weergeven - Neem de status (Intact, Verwijderd, of Onbekend) van verwijderde items op in het gegenereerde rapport. Indien dit niet wordt geselecteerd, wordt de status van verwijderde items als Ja geregistreerd en wordt er voor de andere statussen niets aangegeven. Aantal lijnen voor e-mailpreview - Stel het maximum aantal lijnen van elk e-mailbericht voor het rapport in. Volledige e-mailkern weergeven - Geef de volledige berichtkern weer. Aantal berichten per chat - Stel het maximum aantal regels per chatbericht voor het rapport in. Alle chatberichten weergegeven - Alle chatberichten in het rapport weergeven.


173

•

HTML-rapport opsplitsen - Zorg ervoor dat elke sectie van het rapport op een nieuwe pagina start. 4) Voor PFD-rapporten, stelt u het volgende in: • •

•

• •

Standaardmap - voer het pad in naar de map waarin u de rapporten die u voor dit rapporttype genereert, wilt opslaan. Selecteer Standaardsortering om de items in het gegenereerde rapport te sorteren volgens de standaardsortering die door Cellebrite is ingesteld voor alle types Geanalyseerde Gegevens en Gegevensbestanden of vink Standaardsortering af om de items te sorteren volgens het geselecteerde sorteerveld en de sorteervolgorde (oplopend of aflopend) die door de gebruiker werd ingesteld in de gegevensweergavetabellen. SHA-2 (256 bit) hash berekenen en MD5 (128 bit) hash berekenen - Selecteer welke berekende MD5 en SHA256 hashsleutels er aan elk Gegevensbestand in het gegenereerde rapport moeten worden toegevoegd. Selecteer deze opties niet om de genereringsprocedure voor rapporten van grote projecten te verkorten. Vertalingen opnemen - Selecteer dit om vertaalde tekst op te nemen in het rapport. Modelcategorisering uitschakelen - Selecteer om de afzondering uit te schakelen en een rapport te genereren waarin elk gegevensitem als enkele sectie zonder afzondering van subcategorieën wordt gegenereerd. Standaard wordt er een gecategoriseerd rapport gegenereerd waarin elke categorie in de gegevensitemgroep als een afzonderlijke sectie wordt gegenereerd. Bij het genereren van bijvoorbeeld een rapport met sms-berichten selecteert u het selectievakje om de sms-berichten als een enkele lijst te genereren of vinkt u

174

• • • • •

• • • •

het selectievakje af om ze voor elke categorie sms-berichten (Inbox, Outbox, Concepten enz.) in een afzonderlijke lijst onder te brengen. Logokoptekst - Tekstgebied waarin u aangepaste tekst kunt invoeren en opmaken zodat die in de rapportkoptekst voor het logo verschijnt. Logo - Klik op Afbeeldingsbestand selecteren om een logo toe te voegen zodat het in de rapportheader verschijnt. De ondersteunde bestandsformaten zijn de volgende: BMP, JPG, GIF, en PNG. Logovoettekst - Tekstgebied waarin u aangepaste tekst kunt invoeren en opmaken zodat die in de rapportvoettekst voor het logo verschijnt. Totalen weergeven voor items die niet in het rapport staan - Voeg aan het rapport een kolom Totaal toe die het totaal aantal items die niet in het rapport werden opgenomen, aangeeft. Uitgebreide verwijderde status weergeven - Neem de status (Intact, Verwijderd, of Onbekend) van verwijderde items op in het gegenereerde rapport. Indien dit niet wordt geselecteerd, wordt de status van verwijderde items als Ja geregistreerd en wordt er voor de andere statussen niets aangegeven. Aantal lijnen voor e-mailpreview - Stel het maximum aantal lijnen van elk e-mailbericht voor het rapport in. Volledige e-mailkern weergeven - Geef de volledige berichtkern weer. Aantal berichten per chat - Stel het maximum aantal regels per chatbericht voor het rapport in. Alle chatberichten weergegeven - Alle chatberichten in het rapport weergeven.


175

5) Voor UFED-rapporten, stelt u het volgende in: •

Standaardmap - voer het pad in naar de map waarin u de rapporten die u voor dit rapporttype genereert, wilt opslaan. • Selecteer Standaardsortering om de items in het gegenereerde rapport te sorteren volgens de standaardsortering die door Cellebrite is ingesteld voor alle types Geanalyseerde Gegevens en Gegevensbestanden of vink Standaardsortering af om de items te sorteren volgens het geselecteerde sorteerveld en de sorteervolgorde (oplopend of aflopend) die door de gebruiker werd ingesteld in de gegevensweergavetabellen. • SHA-2 (256 bit) hash berekenen en MD5 (128 bit) hash berekenen - Selecteer welke berekende MD5 en SHA256 hashsleutels er aan elk Gegevensbestand in het gegenereerde rapport moeten worden toegevoegd. Selecteer deze opties niet om de genereringsprocedure voor rapporten van grote projecten te verkorten. 6) Voor Word-rapporten, stelt u het volgende in: • •

Standaardmap - voer het pad in naar de map waarin u de rapporten die u voor dit rapporttype genereert, wilt opslaan. Selecteer Standaardsortering om de items in het gegenereerde rapport te sorteren volgens de standaardsortering die door Cellebrite is ingesteld voor alle types Geanalyseerde Gegevens en Gegevensbestanden of vink Standaardsortering af om de items te sorteren volgens het geselecteerde sorteerveld en de sorteervolgorde (oplopend of aflopend) die door de gebruiker werd ingesteld in de gegevensweergavetabellen.

176 •

• •

• • • •

SHA-2 (256 bit) hash berekenen en MD5 (128 bit) hash berekenen - Selecteer welke berekende MD5 en SHA256 hashsleutels er aan elk Gegevensbestand in het gegenereerde rapport moeten worden toegevoegd. Selecteer deze opties niet om de genereringsprocedure voor rapporten van grote projecten te verkorten. Vertalingen opnemen - Selecteer dit om vertaalde tekst op te nemen in het rapport. Modelcategorisering utischakelen - Selecteer om de afzondering uit te schakelen en een rapport te genereren waarin elk gegevensitem als enkele sectie zonder afzondering van subcategorieën wordt gegenereerd. Standaard wordt er een gecategoriseerd rapport gegenereerd waarin elke categorie in de gegevensitemgroep als een afzonderlijke sectie wordt gegenereerd. Bij het genereren van bijvoorbeeld een rapport met sms-berichten selecteert u het selectievakje om de sms-berichten als een enkele lijst te genereren of vinkt u het selectievakje af om ze voor elke categorie sms-berichten (Inbox, Outbox, Concepten enz.) in een afzonderlijke lijst onder te brengen. Logokoptekst - Tekstgebied waarin u aangepaste tekst kunt invoeren en opmaken zodat die in de rapportkoptekst voor het logo verschijnt. Logo - Klik op Afbeeldingsbestand selecteren om een logo toe te voegen zodat het in de rapportheader verschijnt. De ondersteunde bestandsformaten zijn de volgende: BMP, JPG, GIF, en PNG. Logovoettekst - Tekstgebied waarin u aangepaste tekst kunt invoeren en opmaken zodat die in de rapportvoettekst voor het logo verschijnt. Totalen weergeven voor items die niet in het rapport staan - Voeg aan het rapport een kolom Totaal toe die het totaal aantal items die niet in het rapport werden opgenomen, aangeeft.


177

•

Uitgebreide verwijderde status weergeven - Neem de status (Intact, Verwijderd, of Onbekend) van verwijderde items op in het gegenereerde rapport. Indien dit niet wordt geselecteerd, wordt de status van verwijderde items als Ja geregistreerd en wordt er voor de andere statussen niets aangegeven. • Aantal lijnen voor e-mailpreview - Stel het maximum aantal lijnen van elk e-mailbericht voor het rapport in. Het rapport omvat links naar tekstbestanden die de volledige e-mail bevatten. • Volledige e-mailkern weergeven - Stel dit in om de volledige berichtkern weer te geven. • Aantal berichten per chat - Stel het maximum aantal regels per chatbericht voor het rapport in. • Alle chatberichten weergegeven - Alle chatberichten in het rapport weergeven. 7) Voor XML-rapporten, stelt u het volgende in: • •

Standaardmap - voer het pad in naar de map waarin u de rapporten die u voor dit rapporttype genereert, wilt opslaan. Selecteer Standaardsortering om de items in het gegenereerde rapport te sorteren volgens de standaardsortering die door Cellebrite is ingesteld voor alle types Geanalyseerde Gegevens en Gegevensbestanden of vink Standaardsortering af om de items te sorteren volgens het geselecteerde sorteerveld en de sorteervolgorde (oplopend of aflopend) die door de gebruiker werd ingesteld in de gegevensweergavetabellen.

178 •

•

SHA-2 (256 bit) hash berekenen en MD5 (128 bit) hash berekenen - Selecteer welke berekende MD5 en SHA256 hashsleutels er aan elk Gegevensbestand in het gegenereerde rapport moeten worden toegevoegd. Selecteer deze opties niet om de genereringsprocedure voor rapporten van grote projecten te verkorten. Vertalingen opnemen - Selecteer dit om vertaalde tekst op te nemen in het rapport.

12.5. Instellingen opslaan Bewaar uw instellingen voor later gebruik of om ze te delen met een andere gebruiker. 1) Klik in het venster Instellingen op Configuratie opslaan. 2) In het venster Opslaan als bladert u naar de locatie waar u de configuratie van de instellingen wilt opslaan en klikt u op Opslaan. De instellingen worden opgeslagen als een Instellingsconfiguratiebestand van de UFED Logical Analyzer (*.cnf).


179

12.6. Instellingen laden Laad uw opgeslagen configuratie-instelling. 1) Klik in het venster Instellingen op Configuratie laden. 2) In het venster Openen bladert u naar de locatie waar uw configuratie-instelling is opgeslagen, selecteert u de configuratie (*.cnf) en klikt u op Openen. De instellingen worden toegepast in het venster Instellingen.

12.7. Projectinstellingen instellen Stel een verenigde tijdzone en case-informatie in voor elk project.

12.7.1. Een verenigde tijdzone instellen voor het project Tijdens het extraheren wordt er één tijdstempel per gebeurtenis geëxtraheerd. Voor uitgaande gebeurtenissen is de tijdstempel doorgaans afkomstig van een van de volgende bronnen: • Door de gebruiker gedefinieerde tijd van het apparaat (als de tijd van het apparaat manueel is ingesteld door de gebruiker: tijdstempels worden weergegeven zonder de verenigde tijdzone (UTC).

180 • Door het netwerk gedefinieerde tijd van het apparaat (als de tijd van het apparaat automatisch is ingesteld door het netwerk): tijdstempels worden weergegeven met de verenigde tijdzone (UTC). Voor inkomende gebeurtenissen is de tijdstempel doorgaans afkomstig van de door het netwerk gedefinieerde tijd (de tijdstempel die door het netwerk is toegewezen); tijdstempels worden weergegeven met de verenigde tijdzone (UTC). Door het netwerk gedefinieerde tijdstempels zijn afhankelijk van de tijdzone waarin de gebeurtenis zich voordeed. Pas een verenigde tijdzone toe op het project om alle door het netwerk gedefinieerde tijdstempels te herberekenen volgens de geselecteerde tijdzone om de gebeurtenissen te consolideren en ze vervolgens te bekijken in UFED Logical Analyzer. Een verenigde tijdzone toepassen op het project: 1) Doe een van de volgende zaken: •

Klik in het tabblad Samenvatting extractie van het project op Projectinstellingen.

Hoofdstuk 12: Instellingen •

Klik op

.

2) Selecteer in de lijst Instellingen tijdzone (UTC): • •

Originele UTC-waarde om tijdstempels weer te geven zoals geregistreerd (zonder vereniging) Een van de tijdzones (UTC - 12:00 tot UTC +13:00) om door het netwerk gedefinieerde tijdstempels opnieuw te berekenen volgens de offset van de tijdzone.

OPMERKING: Door de gebruiker gedefinieerde tijdstempels zijn niet opgenomen in deze herberekeningen en worden weergegeven zoals geregistreerd.

181

182 3) Om de starten einddatum voor de zomertijd te wijzigen, klikt u op Zomertijd.


183

a) Voor het jaar dat u wilt veranderen, gebruikt u de kalender om de starten einddatums te selecteren of de datums rechtstreeks aan te passen. U kunt de knop bepaalde jaren te verwijderen.

gebruiken om

b) Klik op Terug naar laatst opgeslagen gegevens om de tabel te resetten naar de laatste keer waarop u de gegevens hebt opgeslagen; klik op Terug naar originele gegevens om de tabel te herstellen naar de standaardinstellingen of klik op Opslaan om de tabel op te slaan met de wijzigingen die u hebt aangebracht. 4) Klik op OK. Het project wordt opnieuw berekend volgens de geselecteerde verenigde tijdzone en de nieuwe tijdzone wordt toegepast op de door het netwerk gedefinieerde tijdstempels. Tijdstempels van gebeurtenissen die worden weergegeven in vensters van de UFED Logical Analyzer en latere gegenereerde rapporten geven de geselecteerde verenigde tijdzone weer.

12.7.2. De case-informatie instellen De instellingen voor case-informatie worden opgeslagen met het project. Het case-nummer verschijnt met de geëxtraheerde informatie op het tabblad Welkom. 1) Doe een van de volgende zaken: • •

Klik in het tabblad Samenvatting extractie van het project op Projectinstellingen. Klik op .

184 2) Klik op Case-informatie.

3) Klik op Nieuw toevoegen. Sommige velden met case-informatie verschijnen standaard. 4) Stel de parameters in voor de standaard informatievelden: a) In de kolom Naam voert u de relevante informatie in (bijvoorbeeld case-nummer, naam of nota's). b) Selecteer Vereist als dit veld moet worden ingevuld.


185

c) In de lijst Type selecteert u een van de volgende:  

String voor tekstinvoervelden Lijst voor een specifieke lijst met opties

d) In het vak Standaardwaarde stelt u de standaard inhoud in: 

Voor type String typt u de standaardstring. Voor een string van meerdere regels, klikt u op , voert u de standaardstring in de Option Editor in en klikt u op OK.

Voor type Lijst klikt u op , voert u de lijstitems in met elk item op een afzonderlijke lijn en klikt u op OK. 5) Om meer informatievelden toe te voegen, klikt u op Nieuw toevoegen en herhaalt u stap 3. 

6) Om de aangepaste invoeren te verwijderen, klikt u op

.

7) Om de standaardinstellingen te herstellen, klikt u op Standaardinstellingen herstellen.

186

Hoofdstuk 13: Referentie

187

Hoofdstuk 13: Referentie 13.1. Menu Bestand Openen

Open een bestand voor analyse met de standaard analyseprocedure.

Recent

Geeft een lijst met recente projecten weer.

Sluiten

Sluit het momenteel actieve project.

Projectsessie opslaan

Slaat de actieve projectinformatie die door de gebruiker is gegenereerd op als een sessiebestand van de UFED Logical Analyzer (*.pas). Zie Een projectsessie opslaan.

Projectsessie laden

Laadt een sessiebestand van de UFED Logical Analyzer (*.pas) in een open project in de projectstructuur.

Afsluiten

Sluit de UFED Logical Analyzer en alle actieve sessies.

188

13.2. Menu Weergeven Toon welkomstscherm

Geeft het tabblad Welkom weer. Zie Tabblad Welkom (pagina 56).

Traceervenster

Toont/verbergt het traceerpaneel aan de onderkant van de gegevensweergave.

13.2.1. Het traceervenster bekijken Toont het traceervenster aan de onderkant van de gegevensweergave om een logboek te bekijken van de acties die tijdens uw sessie door u of door UFED Logical Analyzer zijn uitgevoerd zoals de activering van een plug-in. 1) Selecteer Traceervenster in het menu Weergave.


189

Het traceervenster verschijnt onder de gegevensweergave.

2) Om het logboek leeg te maken klikt u in het traceervenster op Alles verwijderen. 3) Om het traceervenster te sluiten, klikt u op . Het traceervenster kan worden verborgen of worden weergegeven. • Om het traceervenster vast te zetten, klikt u op

.

• Om het traceervenster weer los te maken, klikt u op

.

• Om het traceervester te bekijken wanneer het is verborgen, selecteert u of beweegt u de muis over het tabblad.

190

13.3. Menu extra Gegevens lezen van UFED

Maakt de extractie van gegevens rechtstreeks naar de computer mogelijk.

Watch List Editor

Opent de Watch List Editor waarin u uw watch lists kunt aanmaken, beheren en uitvoeren. Zie Werken met watch lists (pagina 82).

Malwarescanner

Opent het submenu Malwarescanner, waarin u een malwaredetectie kunt uitvoeren op uw geëxtraheerde bestanden en de handtekeningendatabase kunt updaten.

Vertaling

Download het vertaalpakket van het Internet, installeert het vertaalpakket vanuit een bestand of geeft de ondersteunde talen weer. Zie Gedecodeerde gegevens vertalen (pagina 99).

TomTom

Opent het submenu TomTom. Vanuit dit menu kunt u het TomTom-extractiebestand exporteren en het geretourneerde .xml-bestand importeren.

Instellingen

Opent het venster applicatie-instellingen. Zie Instellingen (pagina 151).

Projectinstellingen

Stel een verenigde tijdzone en case-informatie in voor elk project. Zie Insteling projectinstellingen (pagina 179).


191

13.4. Menu extraheren iOS-apparaatextractie

Start extractie vanaf een iOS-apparaat om iOS-apparaten te extraheren. Zie Geavanceerde logische extractie uitvoeren (pagina 139).

GPS / apparaat voor massaopslag Leest en bewaart gegevens van GPS-apparaten en apparaten voor massaopslag die via een USB-verbinding op het werkstation zijn extraheren aangesloten.

13.5. Menu rapport Rapport opstellen

Genereert een rapport met een samenvatting van alle informatie die is gevonden tijdens de analyseprocedure. Zie Een rapport genereren.

192

13.6. Menu help Ondersteunde applicaties

Geeft een lijst weer met de ondersteunde applicaties en goedgekeurde versies voor Android- en iOS-apparaat.

Handleiding

Opent de gebruikershandleiding in PDF-formaat.

Online Bing-mappen activeren

Activeert Bing-mappen zodat u locaties op een map kunt bekijken. Dit vereist internettoegang en een geldige licentie voor de UFED Logical Analyzer.

Demo UFED Link Analysis starten

Start de applicatie UFED Link Analysis

Licentiegegevens tonen

Geeft de licentiegegevens van de huidige software of hardware (dongle) weer en stelt u in staat om: Een nieuwe licentie te activeren of te laden (software of dongle) Informatie weer te geven over vorige dongles die op dit werkstation waren aangesloten Een softwarelicentie deactiveren Direct via e-mail toegang te krijgen tot Cellebrite ondersteuning en verkopen

Logbestanden zippen

Zipt logbestanden en opent de map waarin de gezipte logbestanden zijn opgeslagen.


193

Logbestanden met systeeminformatie zippen

Zipt de logbestanden en voegt gedetailleerde informatie toe over het bedieningssysteem, drivers, applicatiegegevens, gebeurtenislogboeken enz. Deze informatie kan worden gebruikt om problemen met rapporten op te lossen.

Info

Geeft informatie over de geïnstalleerde versie van de UFED Logical Analyzer.

194

Index

Index

A Aan de slag • 29

De handtekeningendatabase updaten (online) • 117, 118

Afbeeldingsbestanden bekijken • 61, 68

De handtekeningendatabase updaten vanaf een bestand (offline) • 117, 120

Afbeeldingsvastlegging • 151

De snelle filter gebruiken • 71

Algemene instellingen • 156

De softwarelicentie verhuizen • 26

B

De UFED Logical Analyzer activeren • 19, 28

Bijkomende rapportvelden • 131, 165

De UFED Logical Analyzer installeren • 10, 12

Bladwijzerinformatie • 51, 94

De UFED Logical Analyzer sluiten • 41

C

De UFED Logical Analyzer starten • 29

Connectiviteit met Windows Vista activeren • 28

Dongle • 20

Conversatieweergave • 79

E

D

Een bestaand gegevensbestandrecord bewerken • 164

De case-informatie instellen • 131, 183 De geavanceerde filter gebruiken • 74

Een bestand voor analyse openen • 30

196 Een entiteitbladwijzer bewerken • 97 Een entiteitbladwijzer verwijderen • 97

Een verenigde tijdzone instellen voor het project • 179 Een watch list aanmaken • 82, 93, 94

Een kopie van de UFED Logical Analyzer verkrijgen • 11

Een watch list bewerken • 87

Een nieuw rapportveld toevoegen • 166, 168

Een watch list exporteren • 90

Een nieuw type gegevensbestand toevoegen • 162

Een watch list importeren • 88

Een nieuwe entiteitbladwijzer aanmaken • 95 Een project sluiten • 41 Een projectsessie laden • 40 Een projectsessie opslaan • 39 Een Rapport genereren - Rapportwizard • 127 Een rapportveld bewerken • 168 Een rapportveld verwijderen • 168 Een type gegevensbestand verwijderen • 164

Een watch list op specifieke projecten uitvoeren • 92 Een watch list op uw huidige project uitvoeren • 93 Een watch list uitvoeren • 92 Een watch list verwijderen • 91 Extractie vanaf iOS-apparaten • 191 Extracties uitvoeren • 139

Index

F

Informatie in een gegevenstabblad zoeken • 71

Filtermethodes voor gegevensbestanden • 161

Informatie lokaliseren en analyseren • 71

G

Inleiding • 7

Geavanceerde logische extractie uitvoeren • 139, 140

Installatie en activering • 9

Gedecodeerde gegevens vertalen • 99 Gegevens naar een pc uitlezen • 32 Gegevensbestanden • 60, 159 Gegevensbestandsinstellingen beheren • 47, 162 Gegevenstabbladen • 60 Gegevensweergave • 54

H Het traceervenster bekijken • 188

I Informatie in alle geopende projecten zoeken • 75

Instellingen • 155, 190 Instellingen laden • 179 Instellingen opslaan • 39, 155, 178

M Melding van nieuwe versie • 19 Menu Bestand • 187 Menu extra • 190 Menu extraheren • 191 Menu help • 192 Menu rapport • 191

198 Menu Weergeven • 188

Software-installatie • 11

N

Softwarelicentie • 22

Networkdongle • 24

Standaardinstellingen rapport • 131, 169

O

Systeemvereisten • 10

Oriëntatie naar de werkruimte • 29, 43

T

P

Tabblad Extractiesamenvatting • 44, 58

Projectinstellingen instellen • 53, 179, 190

Tabblad Welkom • 56, 188

Projectstructuur • 44, 59, 60, 94

Tabelweergave voor geanalyseerde gegevens • 67

R

Tabelweergave voor gegevensbestanden • 65

Referentie • 187

S Scannen op malware • 117 screenshots • 151 Sneltoetsen • 42

Talen selecteren • 101 Tekstweergave • 64 Tijdlijnweergave • 76

U ufdx-bestand • 153, 154

Index

V Video- of audiobestanden afspelen • 70 Voorpagina • 1

W Werken in gegevenstabbladen • 62 Werken in het gebied van de Projectstructuur • 53 Werken met Projectanalyse • 113 Werken met watch lists • 50, 82, 190

Z Zomertijd • 157

UFED Logical Analyzer Gebruikershandleiding December 2014

Recommend Documents