世界最先进的多语种电子邮件数据分析软件

 

 

 

 

 

 

 

                                                  第四章   文件过滤

 

本说明中所有图片均出自fbi Desktop 完整版。
 
fbi 提供了多种过滤方式，用于提高数据搜索的便捷性。目前，可以通过文件类型、注释、分类、时间、哈希库、关键字库、肤色图片等方式过滤。可同时使用多个过滤器进行组合查询，操作结果为“AND”与操作。

指定过滤某文件类型。如选择 "image/jpeg" ，只过滤 JPEG 图像；选择"image/*" ，将过滤出所有图像文件。

 
允许调查员根据添加的注释信息过滤文件。输入注释信息不分大小写，不输入任何信息将显示所有包含注释的文件。选择“不包含”将显示所有没有注释的文件。

允许通过自定义的分类过滤文件。可以选择某一分类过滤，如不选择分类，将显示所有已添加分类的文件。

 
通过邮件发送时间过滤。搜索结果将包含在指定时间段内的电子邮件及其附件。点击旁边的日历选择日期。如第一栏中输入“2006年9月7日”，第二栏中不输入日期，则表示显示该日期之后发送的所有邮件和数据。输入的日期以本机时区设置。

可根据哈希库中的MD5值来过滤案例中的文件。fbi自身二进制哈希库扩展名为*.hash，保存在digests目录下。该文件可以直接拷贝至其他安装有fbi计算机中的相应目录下。此外，支持导入NSRL RDS哈希库、iLook、HashKeeper和纯文本格式MD5值。

注：制作当前案例所有文件MD5哈希集的方法：在案件设置|显示|文本视图中，将显示内容仅设置为MD5 Digest，选择所有显示出MD5值，通过Ctrl+A复制到“记事本”中，保存为纯文本格式。

    导入MD5值至哈希库：在 |文件-软件设置|哈希库列表| 中，将已保存的纯文本格式哈希集添加至fbi中即可。