用户手册等多个文件ufed physical analyzer v41user

1、法律© 2014 Cellebrite Mobile Synchronization本手册的提供应遵循下列条件与限制：.，保留所利。·本手册归属于 Cellebrite Mobile Synchronization. 的专有。此类仅用于辅助明确声的 UFED Physical Analyzer 用户。明并适当·未获 Cellebrite或公司或以. 明确的事先（机械或，手册任意部分的内容均不得挪作他用、透露给其他个人形式）进行。··手册中的文本和图形说明与参考之用。这些内容所依据的规范更改，恕不另行通知。文档内容为虚构。更改，恕不另行通知。除非

2、另行注明，否则示例中使用的企业和个人的名称及数据均5目录第 3 章: 入门393.1. 启动 UFED Physical Analyzer393.2. Link Analysis 演示403.3. 打开提取内容进行分析403.4. 在高级模式下打开提取内容43目录第 1 章: 简介.1.3.概述11物理提取12数据分析..3.以高级模式打开 UFED 提取文件43以高级模式打开非 UFED 提取文件54保存 .ufd 文件 66第 2 章: 安装和激活172.1. 安装 UFED Physical Analyzer.3.7.3

3、.8.3.9.保存项目会话66加载项目会话67关闭项目68关闭 UFED Physical Analyzer68键盘快捷方式6...系统需求18安装19激活 UFED Physical Analyzer27证的 UFED Physical将使用Analyzer移动到另一台 PC34第 4 章: 工作空间简介714.1. 项目树722.1.5. 启用与 Windows Vista 的连接37 64.1.1. 使用项目树区域824.2. 数据显示区域834.2.1. “欢迎”选项卡8....8.7

4、.5.9. 为5.9.1. 5.9.2. ...0.4.编辑观察列表131导入观察列表132导出观察列表134删除观察列表135运行观察列表136查找观察列表138添加书签（实体书签）138创建新的实体书签139编辑实体书签141删除实体书签141位置142关于位置数据142查看必应上的位置144标记与窗口146检索地址1484.2.2. “提取摘要”选项卡874.2.3. 数据选项卡89第 5 章:. 113.113寻找和分析....在数据选项卡中搜索使用快速过滤器功能11

5、4使用高级过滤器117在所有打开的项目中搜索118浏览文件系统119时间线视图120视图123使用观察列表1265.8.1. 创建观察列表1267目录第 6 章: 翻译解码出的数据150.2. 对10.2.1.前提条件187执行物理提取188执行高级逻辑提取20.使用本功能152更新证以包含所选择的语言152GPS执行提取214中的数或大容量GPS 或大容量...在 MyCellebrite 中选择语言153翻译包158翻译解码出的数据160报告162据217第 11 章: 高级功能2211

6、1.1. 使用 TomTom221第 7 章:第 8 章:使用项目分析1651.1.2.导出 TomTom 文件222导入 TomTom 文件223. 167扫描8.1. 更新特征码数据库（在线）1688.2. 从文件更新特征码数据库（离线）17011.2. 雕复图像2251.2.2.扫描雕复的图像225使用雕复的图像228第 9 章: 生成报告17711.3. 验证 Hash 值229第 10 章: 执行提取18710.1. 对 iOS执行提取187 8第 12 章: 使用十六进制数据23112.1. 在十六进制数据和已解码数据中搜索信息23412.4.3.

7、删除书签285.12.7.解码原始数据285查看十六进制数据.2872.1.9.搜索字符串236搜索字节241搜索日期246在十六进制内容中寻找特定类型的数据288第 13 章: 相机和截图证据289第 14 章: 高级解码29314.1. 管理链293ICCID 号251搜索搜索 SMS 号256搜索正则表(GREP)2604.1.5.构建新的链295编辑现有的链297管理的链300删除链306链说明30

8、6搜索 SMS 文本字符串265搜索模式270搜索代码和275.12.4.浏览十六进制提取内容280使用偏移跳转到文件中的不同位置280使用书签28114.2. 插件31014.2.1. 管理插件31014.2.2. 运行特定的插件31312.4.1. 添加书签28212.4.2. 编辑书签2859目录..Shell315..报告默认值335后链插件设置343保存设置344加载设置344使用导出文件系统316使用 Android使用 Android解锁图形雕复插件316解锁雕复插件31715.10. 设定

9、项目设置34515.10.1. 设置项目的世界协调时区345第 15 章: 设置31915.1. 常规设置32015.2. 数据文件32315.10.2. 设置案例.348第 16 章: 参考35116.1. “文件”菜单35116.2. “视图”菜单35216.2.1. 查看跟踪窗口35216.3. “工具”菜单35416.4. “提取”菜单3555.2.2.数据文件过滤324管理数据文件设置32515.3. Hex 查看器设置32815.4. 模式设置33015.5. 额外的报告字段335.5.3.添加新的报告字段332编辑报告字段334删除

10、报告字段33416.5. “”菜单35516.6. “插件”菜单356 1016.7. “报告”菜单35616.8. “帮助”菜单357第 1 章: 简介11第 1 章: 简介1.1. 概述UFED 由以下三个部件组成：·UFED Touch 或 UFED 单元用于实现从移动、SIM、文件系统以及物理卡或是 PC 上。进行逻辑、保存到 USB 闪存驱动器、SD的提取，然后将所提取·UFED Physical Analyzer 应用程序通过高级的解码、分析和报告功能对内存中的内容进行次的展示。UFED Physical Analyzer 可以解码由 UFED Touch 或

11、UFED Classic 单元创建的各种类型的提取内容。·Phone Detective 应用程序则能通过的物理属性帮助调查。快速对其进行识别，从而避免因为需要启动而导致其锁死的UFED 的工作流程如下两个步骤：··提取 - 使用 UFED Touch 或 UFED 单元进行物理、文件系统、逻辑、使用 UFED Physical Analyzer 执行解码、分析和报告和的提取 121.2. 物理提取执行物理提取时，UFED 使用高级的提取来为移动使用的每个闪存或地址范围创的操作系统，直建一个单独的十六进制提取文件。与逻辑提取不同，物理提取将绕过接获取内部闪存中的数

12、据。的内存数据将和解码。捉到十六进制的提取文件中，以便以后用 UFED Physical Analyzer 加以所创建的物理提取如 SMS、会包含由操作系统分配的内存空间，其中可能含有已删除的数据，、条目、图片、和用户。物理提取提供了移动闪存的逐字节拷贝。对物理提取进行解码不仅能取出完数据，还能取出隐藏或者已经删除的数据。可以恢复文件和未分配空间中的已删除数据 1。UFED Physical Analyzer 提供的高级生成算法可以恢复 SQLite，从而揭示出未分配空间中额外的已删除数据。所揭示的已删除数据量取决于上的具体数据。解码出的数据将和已分析的数据一起显示在同样的列表中。举例而言，来

13、自未分配空间的已删除 SMS 将和其他 SMS一起显示在同一个列表中。1未分配的空间指媒体分区上没有用于保存活动文件的群集。其中可能含有已经从文件分区中删除，但未从物理磁盘上移除的文件片段。1章: 简介13第在未分配空间中进行数据生成可以带来以下的好处：·······市面上最好最快的已删除数据恢复解决方案。以更少的时间恢复的已删除数据。可以揭示出以前无法发现的已删除数据。自动去除了误报的重复项，因此得到的数据质量更高。自动启动：不需要手动启动。支持多种内容类型，例如：SMS、彩信、呼叫、邮件以及应用程序数据 2。从未分配空间

14、中解码出的数据，人、同一个视图：可以在同一个视图内安排所有的数据， 还可以添加时间线。2应用程序：Kik、Messenger、等。 141.3. 数据分析UFED Physical Analyzer 供调查对所提取的数据执行深入的分析并生成报告。UFED Physical Analyzer 的主要功能如下：·解码提取内容并生成内存内容的分层视图···提供十六进制文件的详尽视图重新构建的文件系统人列表、SMS等解码各种分析得出的数据类型，如：息（IMSI、ICCID、用户代码）和应用程序消息、信···对 iOS提供数据文件的视

15、图，图像、数据库等当前数据和已删除的数据揭示和 GPS的（如果可用）执行功能强大的提取···直观并且友用户界面，用于浏览提取出的强大的分析和搜索工具···即时搜索所有的项目内容基于多个参数的高级搜索功能即时搜索数据表内容第 1章: 简介15······观察列表功能，用于根据预定义的数值列表来突出显示时间线功能，用于在单个时间顺序视图中显示通过移动项目分析工具，提供全面的活动分析执行的所有扫描器，用于识别中的基于各种参数（如字符串、字节、数字、日期）搜索十六进制(RegEx)

16、查找特定数据字符串可以使用正则表···为特定内存位置添加书签以便将关键区域编入索引，从而供以后查看使用插件···报告··外壳命令执行数据分析添加或删除插件使用 管理链脚本语言自行编写插件·生成各种格式的报告报告自定义和个性化（徽标、表头等） 16第 2 章: 安装和激活17第 2 章: 安装和激活本章叙述了在 PC 上安装 UFED Physical Analyzer 并激活的过程。 182.1. 安装 UFED Physical Analyzer2.1.1. 系统需求3从 2015 年 2 月 28 日

17、起，UFED系列将不再支持 Windows XP。PC带有 Pentium® IV 或与其兼容，并且主频为 1.6 GHz 或更高的处理器，同时与 Windows 兼容的 PC操作系统Microsoft Windows XP3 SP3 或更高版本Microsoft Windows Vista、Windows 7 或 Windows 8内存 (RAM)操作系统推荐最小32 位4GB4GB64 位8GB4GB空间需求500 MB 可用磁盘空间，用于安装其他需求Microsoft® .Net 4.0 版备注：在 Windows XP 64 位版上，需要安装 .Net 2.0 的一

18、个修补程序 (NDP20-KB913384-X64.exe)，可从ases.aspx?ReleaseId=771 处获取第 2 章: 安装和激活19备注：如希望通过运行 Windows Vista 操作系统的 PC 执行提取，请按照启用与 Windows Vista的连接（第 37 页）中的程序操作。2.1.2.安装. 获取 UFED Physical Analyzer 的副本可以从以下来源获得 UFED Physical Analyzer 安装程序的最新副本：···UFED Physical Analyzer从 MyCellebrite的 CD。用

19、说明中提供的链接。权限如果想要使用由 Cellebrite 提供的硬件钥（硬件装置）来激活应用程序，就必须拥有该计算机的管理员权限。 . 安装 UFED Physical Analyzer备注：开始之前，请没有将U-441线连接到计算机。1)双击安装文件。2)选择所需语言，然后确定继续。第 2章: 安装和激活213)。 224) 选择我接受协议，然后。第 2章: 安装和激活235) 如果需要，可以浏览来设置不同的安装文件夹。6)。 247) 如果不希望有桌面图标，请清除创建桌面图标复选框。8)。第 2章: 安装和激活259)安装。安装过程开始。 26并安装 Microsoft

20、 .NET 3.5 Framework。这是安装过备注：在安装过程中，可能会提示您Internet。程的一部分，并且要求您的计算机能第 2 章: 安装和激活2710) 选择是，请立即重新启动计算机并完成。您的计算机将重启，此时 UFED Physical Analyzer已安装完毕。2.1.3. 激活 UFED Physical Analyzer中的一种激活 UFED Physical Analyzer： 证硬件保护装置证用以下···使用使用使用网络硬件保护装置备注：检查您的 UFED 套件以确定应当使用的激活。. 新版本通知有新版本的可用时，Cel

21、lebrite 会进行通知。如果已连接到 Internet，就会在有新版本可用时收到该通知。如果未连接到 Internet，则会每 3显示一次通知。 2. 使用证硬件保护装置使用随 UFED 套件提供的 UFED 硬件保护装置。硬件保护装置中包含了所购买的全部应用程序的证。要通过硬件保护装置使用 UFED Physical Analyzer：1)将硬件保护装置连接到计算机上的 USB 端口。系统将会自动找到许UFED 硬件保护装置可证。操作系统识别出硬件保护装置后，应用程序便可以启动 UFED Physical Analyzer。的应用程序现已准备就绪！证。2)如果没有找到包含

22、证的硬件保护装置：1) 首次启动时或是未找到证硬件保护装置时，将显示 Cellebrite窗口。第 2章: 安装和激活292) 如果已经将硬件保护装置连接到计算机上的support。USB 端口，但仍然无法工作，请钥，必须先安装 HASP 硬件保护装置驱动程序。如果在 UFED 软备注：要使用硬件件的安装过程中没有安装驱动程序，您可以再次运行安装过程并在过程结束时选择安装 HASP 硬件保护装置驱动程序。 30. 通过证使用应用程序首次打开应用程序时必须激活证。证使用 UFED Physical Analyzer： 以下链接：用您的 MyCellebrite 帐户登录。要通过1)

23、2)立即激活并创建一个用户，然后返回到所需的 UFED 应用程序链接。）（如果没有帐户，请您将被引导至激活窗口。3)4)5)6)应用程序并将文件保存到 PC。解压缩 zip 文件，安装文件并通过安装向导安装。重新启动 PC（如果需要）。重复步骤 1 以转到应用程序链接。如果购买的是 UFED 4PC，请在“激活请选择 UFED Touch/UFED Classic。”框中选择激活代码 ，如果购买的是 UFED Touch，激活代码第 2章: 安装和激活317)视所购买的而定，继续如下的步骤：··UFED 4PC：在“激活代码”字段中输入在 UFED 4PC 套件中提供的激活

24、代码。UFED Touch：在“选择序列号”字段中，选择在 UFED Touch或UFED Touch的“证激活”屏幕上显示的 UFED序列号。8)然后获取计算机 ID（执行此步操作时关闭 MyCellebrite”窗口。页面）：··启动应用程序。将显示“Cellebrite窗口中显示的计算机 ID。以9)在 MyCellebrite的计算机 ID。上，粘贴所10)到 PC。该立即以将应用程序的钥文件钥会同时发送到您的 MyCellebrite邮件地址。 3211)12)，“Cellebrite”窗口中的加载在应用选择证文件。更新证文件，然后打开。将显示一条消息，指示。13

25、)关闭。的应用程序现已准备就绪！. 使用网络硬件保护装置网络硬件保护装置连接到组织的网络，并且包含了所购买的全部应用程序的证。UFED 网络硬件保护装要通过网络保护装置使用 UFED Physical Analyzer：1) 启动 UFED 应用程序。如果网络硬件保护装置已经连网，则应用程序将正常启动，用户可以立即开始工作。如果未能识别出网络硬件保护装置，则会显示“Cellebrite”窗口。第 2章: 安装和激活332)网络。将显示如下的窗口。 34备注：如果未能找到网络中的硬件保护装置，请确保已经连接到 Internet，并且硬件保护装置的网络连接正常。然后刷新重新搜索网络硬

26、件保护装置。备注：在默认情况下，网络将采用“广播”配置。如果需要，可以手动连接到网络硬件保护装 置。配置将网络配置更改为特定的主机。输入主机名（或 IP 地址）以及端（1 - 5 位数字）。备注： 如果只有一个网络硬件保护装置，就会自动选中它。但如果有多个网络硬件保护装置，就需要从列表中选择所需要的硬件保护装置，然后的应用程序现已准备就绪！应用。2.1.4. 将使用如果需要将通过停用（删除）计算机上的示执行。证的 UFED Physical Analyzer移动到另一台 PC证激活的 UFED Physical Analyzer 安装副本移动到另一台 PC，必须先证。不同版本证的停用过程也不同

27、，请遵照应用的指第 2 章: 安装和激活3. 停用版本 2 的证1) 在 UFED Physical Analyzer 中，转至帮助> 显示证详情。将显示“Cellebrite”窗口。2)停用证。证停用”窗口。将显示“3)生成停用文件。UFED Physical Analyzer 便已停用。4) 要获取新的 UFED Physical Analyzer证，请转至并遵照页）。证激活的步骤执行。有关详细，证激活（第 30请参阅使用. 停用版本 5 的证1) 在 UFED Physical Analyzer 中，转至帮助 > 显示证详情。将显示“证停用”窗口

28、。证。证停用”窗口。2)停用将显示“ 363)4)计算机 ID。以并用您的 MyCellebrite并创建一个用户。然后返回到。转至帐户登录。如果没有帐户，请立即您将被引导至“停用向导”。5)6)7)8)的计算机 ID，然后粘贴所。到 PC 上。中，转至帮助并将停用文件在 UFED Physical Analyzer> 显示证详情。选择停用文件，然后选择在第 6的停用文件。您的被停用，同时 UFED Physical Analyzer 会创建一个停用文件。“证停用”窗口将通知您已经创建了一个停用文件。9)10)11)12)返回 MyCellebrite 上的“停用向导”。选择文件，然后将

29、 UFED Physical Analyzer 创建的停用文件上传。完成。要获取新的 UFED Physical Analyzer证，请转至并遵照证激活的步骤执行。有关详细，证激活（第 30 页）。请参阅使用第 2 章: 安装和激活372.1.5. 启用与 Windows Vista 的连接执行以下程序后，UFED 单元将可以与运行 Windows Vista 操作系统的 PC 连接。转至 Cellebrite Physical Analyzer 的 Driverscbrtucbl 文件夹。双击 USB_Cable_DRV.exe。按照屏幕上的说明操作。1)2)3) 38第 3章: 入门393

30、 章: 入门第UFED Physical Analyzer 提供了强大的解码和分析工具用于处理提取出的数据，同时它还简化了在的数据结构中进行浏览的操作。UFED Physical Analyzer 可以在复杂的情报收集和调查研究工作中为您提供帮助，并能提供报告形式的法律证据。该应用程序的设计是对由 UFED 单元提取出的内存内容加以利用，并以清晰简明的形式展示设备的十六进制提取内容、文件系统和分析得出的数据，从而使调查可以通过强大的搜索工具来出相关的。该应用程序还能生成各种格式的调查结果报告，如 HTML、PDF、Excel (*.xlsx) 和 XML，从而提供完整的功能。3.1. 启动 U

31、FED Physical Analyzer中的一种启动 UFED Physical Analyzer：用以下··双击桌面上的 UFED Physical Analyzer 快捷方式。选择开始 > 程序 > Cellebrite Mobile Synchronization > UFED Physical Analyzer。 40请参阅工作空间简介（第 70 页）以从总体上了解工作空间。3.2. Link Analysis 演示打开 UFED Physical Analyzer时，您可以选择在 UFED Link Analysis 中查看一个示例项目。UFE

32、D Link Analysis彩信以及其他演示中包含了预先加载的示例内容。其中包含了 3 个报告，带有图像、SMS、片段的示例。所加载的 3 名个人以各种方式互相关联。演示中设置了一些个人详细和数据过滤器，并且打开了地图选项卡并创建了一条时间线。所有这些都是为了向您展示一个简单的 Link Analysis 项目。3.3. 打开提取内容进行分析UFED Physical Analyzer 可以打开由 UFED XML 文件，以及 UFDR 文件、UFD 文件和创建的文件和由 UFED Physical Analyzer 创建的URP 文件（这些文件是由 UFED Report Manager

33、应用程序创建）。在“高级”模式下，UFED Physical Analyzer 还可以打开镜像文件。有关详细请参阅在高级模式下打开提取内容（第 43 页）。1) 如果将数据提取到了一个可移动驱动器上，那么请将包含所提取数据的 USB 闪存驱动器或 SD 卡连接到 PC 上。，第 3 章: 入门41备注：可以将提取内容的文件夹直接从可移动媒体到 PC 上以加快处理速度。2) 执行以下操作之一：····欢迎选项卡上的打开。UFD 文件拖放到 UFED Physical Analyzer 中。应用程序工具栏上的。应用程序菜单中的文件 > 打开。将 423

34、)4)浏览到提取出的数据所处的位置并将其打开。选择所支持格式的提取内容：··UFED 转储 (*.ufd) 文件二进制文件 (*.bin)。由另一个应用程序通过高级的打开功能生成的原始二进制文件或十六进制提取内容。请参阅在高级模式下打开提取内容（第 43 页）诺基亚 PM (*.pm)黑莓备份文件 (*.ipd)黑莓备份文件 (*.bbb)索尼爱立信 GDFS (*.gdfs, *.bin) TomTom CFG (*.cfg)UFED 报告 (*.xml) - 由 UFED 单元生成的逻辑报告，以及由 UFED Physical Analyzer创建的 XML 报告UFE

35、D Report Manager (*.urp, *.ucp) - 由 Report Manager 创建的 UFED 报告包/UFED内容包UFED 报告包 (*.ufdr)········备注：在默认情况下，“打开”框将显示 *.ufd 文件，即所提取数据的文件。5)打开。数据分析过程（项目分析）将开始，并且可能会持续数分钟的时间。过程结束后，系统会在项目加入一个新的项目，并且在数据显示区域中显示提取摘要。第 3 章: 入门43备注：在 UFED Physical Analyzer 未打开时，可以通过双击提取目

36、录中的 *.ufd提取内容。此时将打开 UFED Physical Analyzer 并开始数据分析过程。文件来快速打开3.4. 在高级模式下打开提取内容“打开（高级）”功能可用于指定有两种可用于打开主项目的数据提取和解码过程中使用的选项。供选择：··选择 UFED 提取内容 - 您可以指定如何解码 UFED 提取文件 (*.ufd)。开始（无 .ufd 文件） - 用于对并非由 UFED 单元生成的物理提取内容或文件系统开始进行解码。3.4.1. 以高级模式打开 UFED 提取文件标准的打开过程会启动根据 *.ufd 文件中的和厂商而设置的解码过程。而使用选择 UFED

37、的提取则可以跳过标准的打开过程，并可以指定自定义的过程或是指定如未知的进行。 44要使用“打开（高级）”功能在 UFED 提取的数据上创建新的项目：1) 选择文件 > 打开（高级）或。“打开（高级）”框将打开，供您设置在新的项目中如所提取数据执行解码的过程。第 3 章: 入门452)3)UFED 提取内容。框中，选择要处理的 *.ufd 文件并选择在“打开”框的·确定。更改为“高级定制”，其中显示根据所选中的 *.ufd 文件检测到的如下的厂商名称和型号。：-··- 自动分配给该选中的链的标准解码链。二进制转储 - *.ufd 文件所的二进制提取内容镜像。

38、464) 根据如下小节中所述对打开文件的选项进行自定义。5)完成。. 指定不同的您可以通过将选中的替换为另一种来指定一个完全不同的解码过程。1)切换。第 3 章: 入门472)3)在选择列表中，选择希望使用的。执行以下操作之一来过滤所显示的：··左侧面板上厂商列表中的厂商在快速过滤器字段中输入返回“高级定制”面板。的厂商或型号来过滤所显示的4). 更改解码链所谓链，是指一组以特定的顺序组合起来的插件，用于对提取出的数据执行解码。应用程序所支持列表中的每一种配有一个预定义的解码链。备注：除插件外，链中还可能包含其他的链，这样就可以更方便地在一个链中

39、使用一组预定的插件。，请参阅高级解码（第 293 页）和插件（第 310 页）。有关解码链和插件的详细 48要选择不同的链：1)切换链。将打开“切换链”框，其中显示分配给该的默认链。第 3章: 入门49备注：一种可能分配有多个链，但其中只有一个可以设置为默认的链。2)在链的列表中，用以下中的一种选择希望使用的链：··§§§选择当前部分下的厂商名称，显示分配给同一厂商的的链。在该列表的链部分中：选择链，在您构建的自定义链中进行选择。选择所有链，在包含所有预定义链的列表中选择。使用“快速过滤器”字段来过滤所显示的列表项目。3)选择适用的链，然后选择

40、以返回“高级定制”面板。所选中的链就会取代默认的链。 50要编辑当前的链：1)编辑。将打开当前链的链结构框，显示该链。第 3章: 入门512)要将某个组件添加到该链：a)添加链/插件。b) 在组件库中，选择以下项目之一：§§§：特定的整个链。链：特定的预定义链。插件：特定的插件。 52备注：在和链中选中的项目将作为链组件添加到链中。3)4)5)以添加组件。要将某个组件从链的列表中删除，请确定以返回“高级定制”面板。该组件项目右侧的 x，然后是确认。自定义的链就会取代默认的链。要保存自定义链：完成对链的自定义后，您可以使用选中的链部分中的另存为或保存按钮来保存对链进

41、行的更改， 以便以后使用。备注：保存按钮只可用于保存对链中保存的已解锁用户定义链进行的自定义。有关用户定，请参阅管理链（第 293 页）。义链的详细1)保存以用当前链替换用户定义的链，或者另存为将当前链另存为新链。保存。2) 如果了另存为，请输入新链的名称，然后第 3章: 入门53新链将添加到包含应用程序自定义链的示出来。链列表中，并且所保存的链将作为选中的链显. 添加二进制转储您可以添加从其他来源得到的其他二进制转储文件。· 要添加二进制转储文件，请二进制转储区域中的或添加二进制以一个单独组转储，然后选择希望添加的二进制提取文件。所添加的每个二进制转储成部分的形式显示

42、在框的二进制转储部分中。· 要删除某个二进制转储，请将鼠标悬停在其上时显示的。 5. 添加文件系统转储您可以将收到的文件系统转储添加到项目中，文件系统转储可以是 ZIP 存档的形式，也可以是包含文件系统提取内容文件的文件夹形式。·Zip 文件或文件夹，然后选择希望添加的 ZIP 存档或文要添加文件系统提取内容，请件夹。备注：您只能添加一个文件系统提取内容。尝试添加多个时，无论前一次添加的文件系统转ZIP 存档还是文件，都会被删除。·要删除文件系统提取内容，请将鼠标悬停在其上时显示的 。3.4.2. 以高级模式打开非 UFED 提取文件收到并非由 U

43、FED 单元生成的二进制或文件系统提取内容时，或者没有与其对应的 *.ufd 文件时，可以使用“打开（高级）”功能定义如何解码这些内容以用于新的项目。1) 选择文件 > 打开（高级）或。第 3 章: 入门55“打开（高级）”框将打开，供您设置在新的项目中如所提取数据执行解码的过程。 562) 开始（无 UFD 文件）选项提供了两个可用于开始建立新项目的起始点：·- 选择对数据提取内容进行解码时使用的特定定义。如果选择的厂开始（第 56 页）。商和型号已知，则可以使用此选项。请参阅通过选择·空项目 - 提供一个空的高级定制面板，供您设置过程参数和数据。如果没有任何有关及

44、/或其厂商的，并且希望构建一个自定义的解码过程，就可以使用此选项。请参阅通过空项目开始（第 59 页）。. 通过选择开始根据一个已知创建用于数据提取内容的新项目。1) 在“打开（高级）”窗口中选择。第 3章: 入门572) 在选择列表中，选择希望使用的。3) 使用左侧的厂商列表来按厂商过滤所显示的，还可以使用快速过滤器字段来根据任何字符串过滤所显示的。 584)。“高级定制”面板中将显示所选中的名称和默认解码链。·····（第 46 页）。要选择另一种要选择另一个，请参阅指定不同的链，请参阅选择不同的链（第 48 页）。析链，请参

45、阅编辑当前的链（第 50 页）。要自行定要添加二进制提取内容，请参阅添加二进制转储（第 53 页）。要添加文件系统提取内容，请参阅添加文件系统转储（第 54 页）。完成。5)第 3 章: 入门5. 通过空项目开始1)在“打开（高级）”窗口中空项目。（第 46 页）。2)要选择，请参阅指定不同的 603)4)5)6)7)链，请参阅选择不同的链（第 48 页）。析链，请参阅编辑当前的链（第 50 页）。要选择另一个要自行定要添加二进制提取内容，请参阅添加二进制转储（第 53 页）。要添加文件系统提取内容，请参阅添加文件系统转储（第 54 页）。完成。. JTAG 提取

46、JTAG（Joint Test Action Group，联合测试工作组）是一种高级的数据提取，取证检验者需要连接到的测试端口以获取完整的物理镜像。这样检验者就可以解锁并于内存上的原始数据。JTAG 是一种非破坏性的，通过它，有机会对受到部分更改或损坏、数据端口不可用（或者连接断开）或者由于其他无法以其他取证工具解锁的中的数据进行。UFED Physical Analyzer 将 JTAG 的解码过程自动化，这样您就不再需要手动解码 JTAG 提取内容中的大量原始数据，以此节省时间。下表显示了列出了部分支持的例子：第 3 章: 入门61厂商型号CasioC711 GzOne Boulder C

47、751 GzOne RavineHTCA7272 Desire Z Google Nexus OneM860 AscendAscend Y300 (Android)Kyocera CDMAS2100S2300 Torino (CommonCents)LMALX-290VS-740 AllyNokiaLumia 520Lumia 920PantechRazzle TXT8030VW (Verizon Wireless) Renue P6030Samsung GSMSGH-i337 Galaxy S4SGH-i437 Galaxy ExpressSanyo CDMASCP-2700 JunoT-M

48、obileTouch Pro 2 62请参阅 UFED Phone Detective 移动应用或ufed-supported-devices 以查看支持 JTAG 提取的最新列表。获得物理内存之后，便可以将其载入 UFED Physical Analyzer 进行解码。您将在加载链时收到所有的数据，过程和正常的提取一样。通过此UFED JTAGJTAG 提取和 UFED 提取的主要不同点在于提取内容中“空闲”位置的所在。所谓“空闲”是指提取内容中数据块的元数据。它可以位于提取内容中的多个位置。在正常提取过程中，它位于各数据块的末尾。而在 JTAG 提取过程中，它位于整个提取内容的末尾。要使用

49、 JTAG 解码数据提取内容：1) 在“打开（高级）”窗口中2) 在快速过滤器字段中输入选择。的厂商或型号，或者左侧厂商列表中的厂商，以对所显示的进行过滤。ZTE GSMZ221第 3章: 入门63备注：如果所需不支持 JTAG，可以在“快速过滤器”字段中输入“jtag”以选择一个通用的JTAG3)选择所需。并。将显示如下窗口。 644)选择解码并。不同上的可选也不同。将显示如下的窗口。第 3章:65入门5)要添加二进制转储文件，请二进制转储区域中的或添加二进制转储，然以一个单独组成部分的后选择希望添加的二进制提取文件。所添加的每个二进制转储形式显示在完成。框的二进制转储部分中。6) 663.

50、4.3. 保存 .ufd 文件在设置“打开（高级）”参数的任何阶段，都可以通过框右上角的保存 UFD 来保存一个了所选二进制提取内容和的 *.ufd 文件，以便以后使用。下次需要解码同一个文件时，就可以使用保存的 UFD 文件来通过打开或打开（高级）功能将其打开。3.5. 保存项目会话保存项目会话将保存您在项目上进行的工作，这样就可以关闭 UFED Physical Analyzer 并在以后重新开始该会话。保存的会话文件 (.pas) 中包含以：····用户在“分析数据”和“数据文件”表格中选择的内容十六进制内容的书签实体书签观察列表的结果第 3章: 入门67· 打开的选项卡· 生成的报告处理第工具执行的提取时，也可以创建项目会话。保存设置的详细，请参阅保存设置备注：保存的项目会话中