Статьи

Аналитика программы «Мобильный Криминалист Эксперт» впечатляет, и с каждым обновлением появляются все более удобные решения для исследователей. Всего пару месяцев назад мы знакомили вас с новым аналитическим инструментом «Матрица активности» и рассказывали про расширенные возможности объединения контактов. 

Что появилось в версии 1.5? 

В «Мобильный Криминалист Эксперт» 1.5 добавлены новый аналитический раздел «Статистика» и инструмент «Диаграмма активности», а также реализован поиск по содержимому бинарных файлов. Обо всем этом в нашей сегодняшней статье. 

Какие возможности скрывает в себе раздел «Статистика»?

В нем собрана информация о количественных показателях разных типов данных, диаграммы коммуникаций, графики активности использования устройства и другие статистически важные для исследования данные. 

Что можно найти в этом разделе? 

  • диаграмму активности; 
  • матрицу активности;
  • 10 последних коммуникаций;
  • топ 10 часто используемых приложений; 
  • топ 10 групп; 
  • количество разных типов файлов в извлечении;
  • показатели раздела «Важное»;
  • распределение тегов;
  • количество заметок;
  • результаты поиска по наборам хешей. 

"

На левой панели отображаются названия всех имеющихся блоков информации. При необходимости возможно скрыть один из блоков, кликнув по специальному символу справа от его названия в списке. 

Практически все элементы, в том числе заголовки блоков, являются гиперссылками в раздел-источник информации с фокусом на выбранном элементе или фильтрацией по нему.

Чем полезна «Диаграмма активности»?

«Диаграмма активности» — новый аналитический инструмент, который можно найти в разделе «Лента Событий». Он позволяет выявить, какие типы событий происходили на устройстве в определенный период времени.

События можно сгруппировать по следующим временным периодам: 

  • год;
  • месяц;
  • час;
  • минута;
  • секунда. 

Каждый тип действий, произошедших в заданный временной период, отображается в виде столбика диаграммы соответствующего цвета:

  • зеленый — звонки;
  • желтый — сообщения; 
  • красный — другое (все остальные события, происходящие на устройстве).

"

Для каждого извлечения высота столбцов отличается и зависит от количества событий, попадающих в исследуемый промежуток времени. В случае, если в определенный момент устройство или учетную запись не использовали, и, соответственно,  в извлечении отсутствуют события за данный период времени, он не будет отражен на диаграмме. 

Если направить курсор на выбранный отрезок времени, программа покажет общее количество событий. Дополнительно можно посмотреть количество определенного типа событий, наведя курсор на интересующий столбик диаграммы. Например, сообщения за июнь 2019 года. 

"

Для удобного восприятия каждый интервал сопровождается подробными временными сегментами. Например, над диаграммой с группировкой по секундам, имеющей хотя бы одно событие, отображаются поля: 

  • год; 
  • месяц;
  • день;
  • час;
  • минута.

Благодаря заголовкам также можно отфильтровать события по заданному временному периоду. Например, после выбора интересующего месяца, программа группирует события по дням только этого месяца. 

Также при наведении курсора мыши на любой из столбиков, рядом с ним появляется окно с последними 3 действиями, соответствующими типу и временному промежутку события. 

"

Для звонков в данном окне отображается иконка приложения, с помощью которого был совершен вызов, направление звонка, абонент, длительность телефонного разговора, время и дата.

Для сообщений — иконка приложения, направление, получатель, дата и время. 

Для типов данных, входящих в категорию «Другое» — информация, соответствующая определенному типу данных, либо информация о приложении.  

Пользовательские настройки диаграммы

При необходимости есть возможность сгруппировать данные по типам событий, а также скрыть информационные заголовки и подсказки по цветам столбиков диаграммы. Для этого требуется кликнуть левой кнопкой мыши по иконке настроек, находящейся в правом верхнем углу формы диаграммы. 

Более того, можно изменить масштаб диаграммы, передвигая деление по шкале в верхнем правом углу формы.

Работа с «Диаграммой активности»

  • просмотр активности за определенный промежуток времени

Интересующий период устанавливается в специальном календаре, справа от заголовка «Диаграмма активности». После его выбора диаграмма перестраивается с учетом указанных значений. Например, события с 1 января по 31 декабря 2018 года. 

"

  • просмотр последнего события определенного типа в общей хронологии

После клика левой кнопкой мыши по интересующему столбику диаграммы программа показывает последнее действие выбранного типа в общей ленте извлечения.  

"

  • просмотр определенного типа событий в заданный промежуток времени

Двойной клик по интересующему столбику диаграммы фильтрует все события в ленте по установленным параметрам. Значок зеленого треугольника в правом нижнем углу выбранного столбца оповещает о том, что фильтр применён, а остальные столбцы при этом меняют прозрачность. В верхней части диаграммы отображается, по какому диапазону времени и типу событий выполнена фильтрация.

"

  • сброс заданных параметров

Сброс всех параметров фильтрации осуществляется нажатием иконки крестика в правой верхней части диаграммы.

Поиск внутри бинарных файлов 

Реализована возможность «Поиска» по содержимому бинарных файлов. Для этого достаточно выбрать одну или несколько кодировок, в которых необходимо произвести анализ. 

"

Какие кодировки поддерживаются? 

  • ANSII;
  • UTF8;
  • Windows-1251;
  • UTF16 LE;
  • UTF16 BE;
  • UTF 32 LE;
  • UTF 32 BE.

Можно ли выбрать тип файлов, в содержимом которых проводится поиск? 

Да, для анализа доступны следующие типы файлов: 

  • медиафайлы;
  • базы данных;
  • документы; 
  • файлы формата PLIST;
  • файлы формата JSON;
  • архивы; 
  • приложения; 
  • другие.

Сегодня мы затронули только основные моменты, касающиеся новинок релиза версии 1.5. Раздел «Статистика», «Диаграмма активности» и возможность бинарного поиска файлов — сильные аналитические возможности, которые открывают новые горизонты для пользователей наших программных продуктов, ведь теперь аналитика стала еще удобнее и информативнее.