Blog

Produktmerkmale

Keywords mit Magnet AXIOM verwenden

Keywords sind ein wesentlicher Bestandteil vieler kriminaltechnischer Ermittlung. Die Erstellung von Keyword-Listen sollte zwar nicht den ganzen Umfang einer Ermittlung ausmachen, aber die richtige Schlagwortliste kann Ermittlern helfen, schnell zu den für ihren Fall relevanten Beweisen zu gelangen.

Mit Magnet AXIOM können die Ermittler vor oder nach der Bearbeitung eines Falles mehrere verschiedene Keyword-Suchen durchführen. Werfen wir einen Blick auf einige der verfügbaren Optionen.

Keywords in AXIOM-Process

Die Ermittler haben in der Regel Keywords, die sie zu Beginn ihrer Ermittlung mit den Beweisen abgleichen wollen. In AXIOM können einzelne Keywords und Listen vor der Bearbeitung geladen werden. Sobald Sie Ihre Beweise geladen haben, besteht die erste Verarbeitungsoption darin, Keywords hinzuzufügen.

keywords-1

Sie können Keyword-Listen hinzufügen, indem Sie auf den Link „KEYWORD-LISTE HINZUFÜGEN“ klicken und dann AXIOM entweder auf eine zeilengetrennte Textdatei oder eine .kws-Datei verweisen (.kws ist ein einfaches Format, mit dem Sie Regexe oder andere Keywords unter Beibehaltung ihrer Einstellungen speichern können – eine .txt-Datei funktioniert ebenfalls) Die Liste wird geladen und bleibt über alle Fälle in AXIOM hinweg bestehen. Sie können die Liste entweder in Ihren Fall einbeziehen, indem Sie das Kästchen „Aktiviert“ ankreuzen, oder es deaktivieren, wenn Sie die Liste nicht in Ihre Suche einbeziehen möchten.

Sie können auch einzelne Keywords hinzufügen, indem Sie unten auf „KEYWORD HINZUFÜGEN“ klicken, wodurch Sie ein einzelnes Keyword oder eine Regex zum Fall hinzufügen können. Einzelne Keywords sind nicht von Fall zu Fall übertragbar.

Regex/GREP

Sie können auch Regexe erstellen, um nach allgemeinen Zeichenfolgen zu suchen, die für Ihre Ermittlung wichtig sein könnten. Wenn Sie einen Regex als Keyword hinzufügen, stellen Sie sicher, dass Sie das Kästchen “Regex/GREP” markieren, damit AXIOM weiß, dass es sich um einen Regex und nicht um eine normale Zeichenkette handelt.

AXIOM verwendet das .NET-Regex-Schema. Je nachdem, wie Ihre Regexe erstellt wurden, müssen Sie sie möglicherweise geringfügig bearbeiten, um sie an das .NET-Format anzupassen. Weitere Informationen zu den .NET-Regexen finden Sie hier: https://msdn.microsoft.com/en-us/library/hs600312(v=vs.110).aspx

Hier finden Sie eine Liste der von uns häufig verwendeten Regexe. Sie können diese verwenden oder Ihre eigenen erstellen:

Visa Credit Card 4[0-9]{12}(?:[0-9]{3})?

MasterCard Credit Card 5[1-5][0-9]{14}

American Express Credit Card 3[47][0-9]{13}

Diners Club Credit Card 3(?:0[0-5]|[68][0-9])[0-9]{11}

Discover Credit Card 6(?:011|5[0-9]{2})[0-9]{12}

JCB Credit Card (?:2131|1800|35\d{3})\d{11}

Nordamerikanische Telefonnummern ((\(\d{3}\) ?)|(\d{3}-))?\d{3}-\d{4}

E-Mail-Adresse [\w-]+(?:\.[\w-]+)*@(?:[\w-]+\.)+[a-zA-Z]{2,7}

Webadresse (((ht|f)tp(s)?://)|www.){1}([\w-]+\.)+[\w-]+(/[\w- ./?%&=]*)?

IPv4 Adresse (25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[0-9]{1,2})(\.(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[0-9]{1,2})){3}

Daten (?:\d{1,2}([\/\\-])\d{1,2}\1\d {4}|\d{4}([\/\\-])\d{1,2}\2\d{1,2})

Artefakt- vs. All Content-Keyword-Suche

Zusätzlich zu den String-/Regex-Optionen haben Sie auch die Möglichkeit, zwischen der Suche nach „Artefakten“ und „Alle Inhalte“ zu wählen.

Die „Artefakt“-Suche ist die schnellere der beiden Optionen und durchsucht alles, was bei der Verarbeitung als Artefakt erfasst wird, einschließlich Chats, Dokumente, E-Mails usw. Dies ist eine gute Option, wenn der Großteil dessen, was Sie durchsuchen möchten, als eines unserer Artefakte enthalten ist.

Die „All Content“-Suche ist eine tiefere Suche über den gesamten Datenträger, ähnlich wie andere forensische Tools ihre Suche durchführen. Es kümmert sich nicht darum, ob das Keyword in einem bestimmten Artefakt oder Bereich des Datenträgers gefunden wird, sondern sucht einfach nach der Zeichenkette in dem gewählten Kodierungstyp und identifiziert alle Übereinstimmungen. Wenn Sie die Suche „Alle Inhalte“ auswählen, können Sie wählen, welche Kodierungstypen Sie einbeziehen möchten – beginnend mit einer einfachen ASCII-Suche, aber auch UTF-7, UTF-8, UTF-16, UTF-32 für die gesamte Liste oder einzelne Stichwörter.

keywords-2

Diese Art der Suche kann etwas länger dauern, je nachdem, wie viele Keywords Sie eingegeben haben und wie viele Kodierungsarten Sie angekreuzt haben; stellen Sie sich also auf längere Bearbeitungszeiten ein.

Sowohl die Suche nach „Artefakten“ als auch die Suche nach „Allen Inhalte“ haben ihre Vor- und Nachteile. Die Suche nach Artefakten ist viel schneller und umfasst auch Inhalte von Anwendungen oder Daten, die möglicherweise verschlüsselt sind. Wenn AXIOM weiß, wie der Inhalt zu entschlüsseln ist, werden diese Keywords bei der Suche nach Artefakt-Keywords gefunden, aber möglicherweise nicht bei der Suche nach dem gesamten Inhalt durch andere Tools. Wenn das Keyword jedoch in Daten gefunden wird, die kein Artefakt sind oder von AXIOM nicht erkannt werden, wird es bei einer Artefaktsuche nicht berücksichtigt. Im Gegensatz dazu dauert die Suche nach „Alle Inhalte“ viel länger, da sie die gesamte Festplatte nach jedem Keyword in jedem ausgewählten Codierungstyp durchsucht, aber sie findet zusätzliche Keywords, die nicht in einem Artefakt gefunden wurden. Beide Recherchen haben ihren Wert und Nutzen in einem bestimmten Fall – es ist Sache des Ermittlers zu wissen, wann er welche Recherche in bestimmten Szenarien verwenden sollte.

Wenn Sie nach Abschluss der Verarbeitung zusätzliche Suchvorgänge durchführen möchten, können Sie mit AXIOM Examine während der Analyse zusätzliche Keywords eingeben.

Keywords in AXIOM Examine

Artefakt-Keywords anzeigen

Wenn Sie Ihren Fall mit aktivierter Artefakt-Keyword-Suche bearbeitet haben, können Sie diese Keywords im Artefakt-Explorer anzeigen, indem Sie den Filter Keywords in der oberen Leiste aufrufen, das Dropdown-Menü auswählen und entweder die von Ihnen geladene Keywords-Liste oder die einzelnen Keywords, die Sie anzeigen möchten, auswählen.

keywords-3

Wenn Sie diese auswählen, wird ein Filter angewendet, der Ihnen nur die Artefakte anzeigt, die mit den von Ihnen ausgewählten Keywords übereinstimmen. Die Daten, die den Kriterien entsprechen, werden entweder in den Metadaten oder im Inhalt der Datei hervorgehoben.

Anzeigen aller Inhalts-/Dateisystem-Keywords

Wenn Sie während der Bearbeitung eine Suche nach „Alle Inhalte“ durchgeführt haben, werden Ihre Keywords etwas anders angezeigt. Da viele dieser Keywords möglicherweise in keinem Artefakt enthalten sind, wird in der linken Spalte eine neue Artefaktkategorie mit der Bezeichnung „Keywords-Schnipsel“ erstellt. Wählen Sie das Keyword oder die Gruppe von Keywords, nach denen Sie suchen möchten, und es werden alle übereinstimmenden Keywords zusammen mit einem Datenausschnitt vor und nach dem übereinstimmenden Keyword angezeigt. Sie erhalten auch die Art der Kodierung, für die ein Treffer erzielt wurde, und den Ort, an dem das Keyword gefunden wurde.

keywords-4

Suche nach zusätzlichen Keywords

Vielleicht hat Ihre ursprüngliche Suche nicht die gewünschten Ergebnisse geliefert, oder Sie haben zusätzliche Keywords erhalten, nachdem Sie die Bearbeitung bereits abgeschlossen haben, und möchten diese nachträglich hinzufügen.

Wenn Sie nur ein oder zwei Keywords suchen möchten, können Sie mit einer Schnellsuche über die Keywords-Suchleiste oben rechts auf Ihrem Bildschirm alle Artefakte (einschließlich Inhalte dieser Artefakte wie Dokumente, Chats und E-Mails) schnell nach Ihrem passenden Keyword durchsuchen und einen Filter anwenden, um nur die Treffer anzuzeigen. Alle Übereinstimmungen in den Metadaten oder im Inhalt des Artefakts werden hervorgehoben, um Ihnen den passenden Treffer schnell anzuzeigen.

Wenn Sie mehr als ein paar Keywords haben, sollten Sie eine Keyword-Liste hinzufügen. Gehen Sie dazu auf den Keyword-Filter am oberen Rand des Bildschirms und wählen Sie „Keyword-Liste importieren“. Sie können dann auf eine Keyword-Datei verweisen, z. B. eine zeilengetrennte Textdatei, wie wir es oben beim Laden in AXIOM Process getan haben. Diese Keywords werden in allen Artefakten gesucht und zu Ihren anderen Listen und Keywords hinzugefügt, die Sie zuvor gesucht haben.

Keywordsuche im Dateisystem-Explorer

Schließlich können Sie auch vom Dateisystem-Explorer aus nach Keywords suchen, indem Sie das gleiche Feld in der oberen rechten Ecke wie im Artefakt-Explorer verwenden.

keywords-5

Zurzeit umfasst diese Suche nur Dateipfade, d. h. sie ist zwar recht schnell, führt aber keine binäre Suche in Dateien durch. Wir arbeiten daran, weitere Funktionen für die Durchführung zusätzlicher binärer Suchen von hier aus hinzuzufügen, aber im Moment müssen Sie die Beweise erneut verarbeiten und die Option “Alle Inhalte” verwenden, um zusätzliche Stichwortsuchen durchzuführen.

Noch Fragen? Sie erreichen mich unter jamie.mcquaid@magnetforensics.com.

Jamie McQuaid

Verwandte Ressourcen

Blog

Blog

Analyse von Graykey-Bildern mit Axiom: Neue Ergänzungen der KnowledgeC-Datenbankartefakte

In den letzten Versionen von Magnet Axiom haben wir neue Artefakte hinzugefügt, die auf iOS-Dateisystem-Images zu finden sind, vor allem wenn Ermittler Zugriff auf Tools wie GrayKey haben. Mit der

June 23, 2022 • Etwa 3 Minuten Lesedauer
Blog

Blog

Analytik in Magnet Axiom

Die Analytikwerkzeuge von Magnet Axiom sollen fallrelevante Beweise automatisch zutage fördern, sodass Sie Einblicke und Informationen schnell und einfach erlangen. Mit Tools wie dem Media Explorer, Cloud Insights Dashboard, Connections

June 22, 2022 • Etwa 7 Minuten Lesedauer
Blog

Blog

Magnet OUTRIDER 2.0: Vergleich der Scan-Geschwindigkeit, Feature-Deep-Dive und mehr

Befassen wir uns mit den Leistungssteigerungen, die Kunden sehen, sowie mit den neuen Artefakten und Funktionen, die in dieser Version enthalten sind.

June 6, 2022 • Etwa 4 Minuten Lesedauer
Ressourcen-Center Startseite
Holo, transparent letter M

Subscribe today to hear directly from Magnet Forensics on the latest product updates, industry trends, and company news.

Beginnen Sie noch heute mit der Modernisierung Ihrer digitalen Ermittlungen.

Nach oben