1、法律 2014 Cellebrite Mobile Synchronization本手冊的提供應遵循下列條件與限制：.，保留所利。本手冊歸屬于用戶。Cellebrite. 的專有。此類僅用于輔助明確并適當的 UFED 4PC未獲 Cellebrite或公司或以. 明確的事先（機械或，手冊任意部分的內容均不得挪作他用、透露給其他個人形式）進行。手冊中的文本和圖形說明與參考之用。這些內容所依據的規范更改，恕不另行通知。文檔內容為虛構。更改，恕不另行通知。除非另行注明，否則示例中使用的企業和個人的名稱及數據均警告：UFED 4PC 只應與隨此提供的AC/DC 適配器配合使用。警告：USB、以太網以及

2、目標和來源連接器只應連接到 CE 核準的根據 IEC/EN 60065標準）。警告：確保與其他除了電源適配器）之間的所有外部連接處于室內且具備 SELV（安全超低電壓，不超過 42.4 V 峰值或 60 VDC）。FCC 警告：該符合 FCC 規則的第 15 部分。其運行應遵守以下兩項條件：1) 該不得造成有害的干擾2) 該必須能夠接受所收到的任何干擾，可能造成運行狀況不符合期望的干擾.2.2.使用硬件保護裝置29目錄證32使用2.3. 使用 UFED 4PC352 ...3.5.打開 UFED 4PC35主屏幕35搜索功能40自動檢測4

3、3應用程序任務欄47第 1 章: 簡介91.1. 概述91.2. 系統需求111.3. UFED 4PC1.4. UFED 4PC1.4.1. UFED的提取類型和工具12附件16適配器17第 3 章: 邏輯提取493.1. 執行邏輯提取501.4.2. 使用數據線和連接端181.5. 支持的...3.1.5.連接移動51選擇內存52選擇內容類型53進行提取57所提取數據的文件夾601.6. Cellebrite 的頻道21第 2 章: 入門.安裝 UFED 4PC23激活證29 6第 4 章:提取61提取61的文件夾67.677

4、.2. 捕獲圖像997.3. 捕捉屏幕截圖1.4.3.執行 所提取禁用第 8 章:功能1158.1. SIM 數據提取1....3.執行 SIM 數據提取116所提取 SIM 數據的文件夾125.125現有的 SIM ID126手動輸入 SIM 數據133第 5 章: 文件系統提取735.1. 執行文件系統提取735.2. 文件系統提取文件夾805.3. Android 備份81創建 GSM 測試.142第 6 章: 物理提取876.1. 執行物理提取876.2. 物理提取文件夾95第 9 章:工具1479.1.9.

5、.4.藍牙掃描149切換到 CDMA 離線模式152測試 Peek/Poke 功能154激活 TomTom 行程日志157第 7 章: 捕獲圖像和截圖977.1. UFED 攝像頭987.1.1. 目錄987目錄.9.7.Windows Mobile 客戶端158Android 客戶端158Odin 模式15810.6.1. 權限管理187卸載卸載第 1111.1.章: 特殊線纜197加電線纜197第 10 章: 設置15910.1. 常規設置160.用于 UFED用于 UFED適配器的 USB 延長線199適配器的 USB 電力增強線19910.

6、..10.1.4.管理自定義列表161更改應用程序的界面語言167提取客戶端170更改提取位置171第 12章:合規性201第 13章:附錄20310.2. 報告設置17210.2.1. 管理報告字段175.10.5.系統設置178證設置181版本詳細18310.5.1. 更新和版本18410.6. 用戶權限185 8第 1 章: 簡介9第 1 章: 簡介UFED 4PC 是一款能夠幫助、證據的的、情報、公司安全和應用程序。這些。證據出示等領域的從各種、平板電腦、便攜式 GPS移動中出重要 產晶片組以及用1.1. 概述通過 UFED 4PC，您

7、將可以：以物理提取、文件系統提取以及邏輯提取來取出中的數據和。實際的功能取購買的 UFED 4PC：是 UFED 4PC Logical還是 UFED 4PC Ultimate。決條目、文本消息 (SMS)、圖片、從多種移動中提取各類重要的數據，如、等。、音頻文件、ESN IMEI、ICCID和 IMSIApple iOS、BlackBerry、Android、Symbian、Microsoft可以從系統中提取數據，Mobile 和 Palm OS。SIM ID，這樣就可以在提取失的情況。數據的同時阻止該移動。也可用于丟 10 從移動中提取數據時，可以通過使用數據線的連接（如串行連接或 USB

8、），也可以通過藍牙無線連接。連接端與數據線套件中包含了四種主要的數據線，以及多種連接端。提取出的數據可以保存，然后用于生成清晰明確的報告。Cellebrite 所掌握的行業相關專業知識實現了的可靠性和易用性，同時還確保了對移動設備提供的最大范圍的支持，其中了新型號在市場上推出之前便提供的相應更新。第 1 章: 簡介111.2. 系統需求PC帶有 Pentium IV 或與其兼容，并且主頻為 1.6 GHz 或更高的處理器，同時與Windows 兼容的 PC操作系統Microsoft Windows XP SP3 或更高版本Microsoft Windows Vista、Windows 7 或

9、Windows 8運行于 MAC 上的 Microsoft Windows 7 Boot Camp內存 (RAM)操作系統建議配置最低配置32 位4GB4GB64 位8GB4GB空間需求500 MB 可用磁盤空間，用于安裝其他需求Microsoft .Net 4.0 版處理器USB 3.0組，Renesas、Intel權限如果想要使用由 Cellebrite 提供的硬件鑰（硬件裝置）來激活應用程序，就必須擁有該計算機的管理員權限。 12的是同時運行 UFED 4PC和 Physical Analyzer應用程序的 PC，這是因為備注： 該規格Physical Analyzer 的解碼操作需要較

10、高的規格。如果是只運行 UFED 4PCPC，則只需于 ATOM 的組（或等效硬件）即可。備注： 如希望通過運行 Windows Vista Vista 的連接”中的程序操作。操作系統的 PC 執行提取，請按照“啟用與 Windows1.3. UFED 4PC 的提取類型和工具UFED 4PC 包含了一系列數據提取類型，可以通過“選擇提取類型”屏幕進行。類型：是 UFED 4PC Logical 還是 UFED 4PC Ultimate。備注：可用的提取功能取決購買的第 1章:13簡介1-1：UFED 4PC表的功能提取類型：邏輯提取（第 49頁）條目、SMS 文本消息、邏輯提取可用于提取各種

11、類型的數據。其中、彩信、郵件、日歷、多媒體文件（圖像、等）以及其他類型。SIM 數據提取（第 115 頁）SIM 數據提取可用于提取 SIM 或 U中的。功能UFED 4PC LogicalUFED 4PC Ultimate邏輯提取是是SIM 數據提取是是提取是是是是文件系統提取否是物理提取否是捕獲圖像/截圖可選是 14文件系統提取（第 73 頁） 文件系統提取用于對來源移動提取（第 61 頁）的內存進行完整的系統提取。提取用于將來源移動（第 125 頁）的直接提取并顯示在獲取的屏幕上。SIM ID上的 SIM ID到一張 UFED SIM ID 存取卡上。用于將一張物理提取（第 87 頁）物

12、理提取使用先進的來提取移動閃存中每一比特內容的物理鏡像，未分配的空間。與傳統的邏輯提取過程不同，物理提取將繞過移動的操作系統，直接提取內部閃存中的數據。未分配的空間中可能包含已刪除的項目，如 SMS、訊錄條目、圖片以及和音頻文件。捕獲圖像和截圖（第 97 頁）、通使用 UFED 攝像頭捕捉的圖片（或捕獲圖像和截圖）。也可以直接捕捉所連接的內部截圖。所有類型提取的結果都可以根據需要保存到 PC 或者可移動的中。第 1章: 簡介15在“選擇提取類型”屏幕上還提供了工具（第147頁）菜單選項卡，其內容如下：藍牙掃描切換到 CDMA 離線模式Odin測試激活模式Peek/Poke 功能TomTom 行

13、程日志Windows Mobile 客戶端Android 客戶端卸載卸載 161.4. UFED 4PC 附件UFED 4PC套件包含了連接數據線和連接端，用于將移動連接到UFED 4PC。圖 1：UFED 4PC 的數據線和連接端UFED 4PC Ultimate 套件包含了用于進行邏輯提取、文件系統提取和物理提取的連接端和數據線。UFED 4PC Logical 套件則只包含了用于進行邏輯提取的連接端和數據線。第 1 章: 簡介171.4.1. UFED適配器UFED 4PC適配器，用于連接到 PC的 USB套件包含了一個接口上。適配器上有如下的連接器，用于連接來源： USB 端口 RJ4

14、5 端口 18每個連接器都配有一個 LED，用于在提取期間提示連接器的可用性，它可以閃爍以指示用于連的位置。此外還有用于指示電源和藍牙連接的 LED。接來源備注：有些在提取時必須使用 UFED適配器。1.4.2. 使用數據線和連接端數據線和連接端組包含各種適配數據線（數據線的數量取決購買的 UFED和套件）。每條數據線都帶有一個字母和一個名稱，例如：A適配器 - USB。圖 2：單數據線第 1章: 簡介19為方便識別，所有連接端都帶有編碼顏色和編號，其中顏色代表生產商。圖 3：UFED Touch 連接端（示例） 20在每次提取之前，會在“選擇內容類型”屏幕的來源區域中指示所需的數據線和連接端

15、號以及顏色。圖 4：通知的放大顯示BB 8700f使用帶有黑色連接端 T-80 的A 數據線來源第 1 章: 簡介211.5. 支持的要了解 UFED 4PC：支持哪些移動，以及每種移動上支持哪些數據提取功能，請參考以1)隨每次 UFED版本升級提供的 UFED Supported Phone List 文件。該MicrosoftExcel 文件包含兩個工作表：UFED Logical 表列出了邏輯提取功能支持的移動。UFED Physical 表列出了物理提取、文件系統提取以及UFED Phone Detective（僅限于邏輯提取功能所支持的提取功能支持的移動）。2)3)Cellebrit

16、e：1.6. Cellebrite 的為了方便您參考，我們在頻道上提供了若干展示常用工作流程和操作過程的有用。 22第 2 章: 入門23第 2 章: 入門2.1. 安裝 UFED 4PC1) 打開 UFED 4PC 安裝向導。UFED 4PC 的安裝向導屏幕會出現。 242)。協議”屏幕會出現。“第 2 章: 入門253) 選擇“我接受協議”，然后“選擇目標位置”屏幕會出現。 264) 選擇要在其中安裝應用程序的文件夾，然后“選擇其他任務”屏幕會出現。繼續。第 2 章: 入門275) 選擇希望安裝向導執行的其他任務，然后“安裝準備就緒”屏幕會出現。 286)安裝。7)選擇是，請立即重新啟動計

17、算機并完成以重啟計算機。證（第 29 頁）。現在就需要激活證以使用 UFED 4PC。請參閱激活第 2 章: 入門292.2. 激活證首次打開UFED 4PC 時必須激活證。用以下中的一種激活證：UFED 4PCUFED 4PC使用隨使用隨提供的硬件保護裝置。提供的 PC 激活代碼以一個證。2.2.1. 使用硬件保護裝置使用隨 UFED 4PC 套件提供的 UFED 硬件保護裝置。硬件保護裝置中可能含有用于多個 UFED的。要通過硬件保護裝置使用 UFED 4PC：1) 啟動 UFED 4PC 應用程序。首次啟動時或是未找到證硬件保護裝置時，將顯示一個“UFED 激活”窗口。UFED 硬件保護

18、裝置 302) 在“選擇證類型”區域，確認選中了硬件保護裝置選項。第 2章:31入門3)將隨 UFED 4PC 套件提供的硬件保護裝置連接到計算機上的 USB 端口。證。此時將顯示一則消息，告知您重新啟動 UFED 4PC系統將會自動找到應用程序。4)確定。的 UFED 4PC應用程序現已準備就緒。 322.2.2. 使用使用隨 UFED 4PC證。證套件提供的 PC 激活代碼以一個證使用 UFED 4PC：要通過1)，用您的 MyCellebrite轉至帳戶登錄。（如果沒有帳戶，請激活代碼立即并創建一個用戶。然后返回到。）您將被引導至“UFED 4PC激活”窗口。2)3)UFED 4PC 并

19、按照安裝說明操作。啟動 UFED 4PC 應用程序。首次啟動時或是未找到證時，將顯示一個“UFED激活”窗口。第 2章:33入門4)5)6)在“選擇證類型”區域中，選擇。以窗口中顯示的計算機 ID。頁面上的“激活代碼”字段中，輸入在 UFED 4PC 套件中在提供的代碼。 347)在計算機 ID字段中粘貼步驟 5 中的計算機 ID。8)9)生成立即MyCellebrite在 UFED 4PC證。將會出現一個框。！以應用程序的鑰。該鑰會同時發送到您的郵件地址。應用程序的“UFED10)11)證激活”窗口中，用文件激活。證文件并選中它。此時將顯示一則消息，告知您重新啟動 UFED 4PC找到應用程

20、序。12)確定。的 UFED 4PC 應用程序現已準備就緒。第 2 章: 入門352.3. 使用 UFED 4PC2.3.1. 打開 UFED 4PC 雙擊 UFED 4PC 圖標以打開應用程序。2.3.2. 主屏幕UFED 4PC 中的所有提取功能都會受所操作的廠商和型號影響。UFED 4PC 將首先要求用戶選擇所操作的廠商和型號。然后 UFED 4PC 才能確定在這臺特定的上可以使用哪些功能，并向用戶展示這些相關的功能。可能提供的功能有：邏輯提取（第提取（第4961頁）頁）文件系統提取（第 73 頁）物理提取（第 87 頁）捕獲圖像和截圖（第 97 頁） 36此外還有使用工具（第工具或14

21、7 頁）功能的選項。（第 125 頁）和 SIM 數據提取（第 115 頁）在主屏幕上，用戶將看到選擇廠商屏幕，用于選擇的廠商。第 2 章: 入門37 38選擇了廠商后，用戶將看到選擇型號屏幕，用于選擇的具體型號。第 2 章: 入門39選擇好廠商和型號后，UFED 4PC 將決定對于此廠商和型號組合可以提供哪些提取功能，并按如下所示展示這些功能： 402.3.3. 搜索功能要在移動上執行搜索：1) 開始鍵入廠商名稱。每鍵入一個字母，廠商的列表就會縮減，以匹配所輸入的內容。所鍵入的字母會顯示在“搜索”字段中。第 2 章: 入門41的例子中，搜索標準是 sa，因此顯示了與該屏幕上會顯示各種廠商供您

22、選擇。在標準匹配的廠商。2) 選擇廠商。 42選擇型號屏幕會出現。第 2 章: 入門433) 開始鍵入型號。所鍵入的字母會顯示在“搜索”字段中。屏幕上會顯示匹配的型號供您選擇。4) 從列表中選擇的型號。2.3.4. 自動檢測要使用自動檢測功能來尋找移動：1) 將移動連接到 UFED 4PC 裝置上。 442)自動檢測。3) 如果未連接，便會顯示正在等待連接的提示，此時請連接。第 2 章: 入門454) 如果系統無法識別所連接的，便會顯示一則消息，提示您手動選擇。 46如果找到了多個匹配的選項，便會出現“選擇自動檢測的型號”屏幕。5) 選擇相應的型號。第 2 章: 入門472.3.5. 應用程序

23、任務欄應用程序任務欄位于屏幕頂部。表 2-1：應用程序任務欄圖標及說明圖標說明返回到主屏幕。顯示“設置”屏幕，用于對的設置進行定義。 48第 3章: 邏輯提取493 章: 邏輯提取第、SMS 文本消邏輯提取功能用于從來源中提取各種類型的數據，如、等），然后根據需要將其保存到 PC 或可移動息、日歷上。以及多媒體文件（圖像、除此之外，它還能提取出以下 Android 應用中的數據：Messenger、Google+、Chat!、Skype、Viber、Yahoo messenger、TigerText、Dropbox、QIP、Kik Messenger、Evernote、Kakao Talk、I

24、CQ 和 Vkontakte。從 Android 應用中提取出的數據可以使用 UFED Logical Analyzer 加以分析（但是這些數據包含在 UFED HTML 和 XML 報告中）。商和型號。所支持的數據類型由 UFED備注： 可以提取出的數據類型取決于來源的Phone Detective 列出，也包含在 Microsoft Excel 格式的 UFED Supported Phone List 文件中。 503.1. 執行邏輯提取要對移動執行邏輯提取： 在主屏幕上選擇廠商和型號，然后邏輯提取。第 3 章: 邏輯提取513.1.1. 連接移動備注：只有在多個連接選項的情況下，才會顯

25、示下面的屏幕。，在型號選擇屏幕中請使用通用選項。備注：對于Apple 從所顯示的選項中選擇連接類型。 523.1.2. 選擇內存數據提取操作可以可以只選擇一個內存。不同的內存、內存卡或是內存進行。可以選擇所有的內存，也的內存類型也可能不同。如果只有一種內存可供選擇，此屏幕就顯示。第 3 章: 邏輯提取53要選擇上的某個內存：1)2)3)在默認情況下，會選中內存選擇框。如果需要，可以取消對它的選擇。根據需要選擇任何其他內存選項。繼續操作。“選擇提取位置”屏幕會出現。3.1.3. 選擇內容類型將列出多個內容類型。其中的類型分三種顯示方式：默認選中的類型 -可以選中的類型 -不可以使用的類型帶有對勾

26、符號。不帶有對勾符號。- 帶有交叉符號。 54要選擇內容類型：1) 選擇在從提取的中需要包含的其他內容類型。2) 選擇全選可選中所有可用的類型。第 3 章:55邏輯提取備注：只有所選支持的內容類型才可供選擇。不支持的內容類型帶有交叉符號。3)繼續操作。4) 要更改目標路徑：a)更改目標路徑。 56b)c)d)在“瀏覽查找文件夾”框中瀏覽到想要保存提取內容的位置。選擇想要使用的位置，或者確定。新建文件夾來自行創建目標文件夾。目標路徑即設置完畢。“正在等待”屏幕會出現。第 3 章: 邏輯提取573.1.4. 進行提取在提取過程進行期間，會先顯示來源上的進度條，然后顯示目標上的進度條。 58提取過程

27、完成后，會在需要的情況下顯示來源說明屏幕（是否顯示取決于的型號）。第 3章:59邏輯提取1)2)按照說明將移動繼續。的設置恢復為正確的設置。“提取摘要”屏幕會出現。UFED Analyzer 打開可以在3)UFED Physical/Logical Analyzer使用中打開提取內容，單擊其他提取以添加當前的其他提取類型，完成以結束過程并返回主屏幕。 603.1.5. 所提取數據的文件夾數據提取過程結束時，提取出的數據將保您選擇的位置中。備注： 所提取數據文件夾的名稱為：UFED 加上所選的名稱、IMEI/MEID和提取日期。例如 UFED Nokia GSM 3710 fold 356935

28、030349119 2011_06_11 (001)。所提取數據的文件夾中包含以：名為 Audio（音頻）、Images（圖像）、Ringtones（鈴聲）和件夾，其中包含對應類型的媒體文件。（）的文HTML 和 XMLUFED Manager報告文件（每種內容類型有一個 HTML 報告）。格式的文件，提取提取出的(*.clog)、)、彩信 (*.MMS)(*.pbb)、SMS 消息與即時消息 (*.IM) 數據。(*.sms) 以及日歷 (*.cal) UFD 文件。郵件 (*.含有項目的數據類型生成 UFED Manager 文件。備注： 只會UFED Logical Analyzer 和

29、 UFED Physical Analyzer 都可以用于查看 XML文件。第 4 章:61提取第 4 章:提取“提取”功能可用于提取的。4.1. 執行要提取移動提取中的：1) 在主屏幕上選擇廠商和型號，然后提取。 622) “選擇提取位置”屏幕會出現。第 4章:63提取3)要更改目標路徑：a)更改目標路徑。b)c)d)在“瀏覽查找文件夾”框中瀏覽到想要保存提取內容的位置。選擇想要使用的位置，或者新建文件夾來自行創建目標文件夾。確定。 64目標路徑即設置完畢。4)正在等待屏幕會出現。第 4章:65提取5)6)直接連接到 PC，或通過UFED將來源適配器連接。繼續。“進行提取”屏幕會出現。提取過

30、程結束時，提取出的將顯示在屏幕中。 667)繼續可以顯示提取過程的摘要。8)要結束過程并返回主屏幕，請確定。第 4 章:67提取4.2. 所提取的文件夾提取過程結束時，提取出的的文本文件中。將保數據提取過程中選擇的位置下名為 Passwords.txt備注： 該文本文件位于一個文件夾中，文件夾的名稱為 Password日期。例如 Passwords Iden i9 2011_06_11 (001)。加上所選名稱以及提取4.3. 禁用您可以禁用以下Samsung 機型中的：SamsunMASPH-M820 Galaxy Prevail (Android) SGH-T499 Dart (Andro

31、id)SGH-T589 Gravity Smart (Android) SGH-i857 Doubletime (Android)GT-i5500 Europa Galaxy 5 (Android) GT-i5510 Galaxy (Android)GT-S5570 Galaxy Mini (Android)GT-S5660 Galaxy Gio (Android)SamsungGSM SamsungGSM SamsungGSM SamsungGSM SamsungGSM SamsungGSMSamsungGSM 68SamsunMASPH-M820 Galaxy Prevail (Andro

32、id) GT-S5670L (Android)GT-S5830 Ace (Android)SamsungGSMSamsungGSM用 UFED 4PC 禁用這些型號上的時，實際上 UFED 4PC 禁用的是啟用了這些的代碼。組合，以及型號連接到 UFED每種型號上的過程都略有不同，具體取決于鎖定的4PC 的方式。1) 在主屏幕上選擇廠商和型號，然后刪除。“正在等待”屏幕會出現。第 4章:69提取2) 按照提供的說明操作，然后繼續。中止并重復該程序。確保使用的是正確的 USB 數據線。備注：如果未能解鎖會出現以下屏幕。，則 703)繼續并按照屏幕上的說明操作。會出現以下屏幕。第 4章:71提取4

33、)繼續。會出現以下屏幕。5)完成。 72第 5 章: 文件系統提取73第 5 章: 文件系統提取文件系統提取功能用于對執行全面的系統提取。5.1. 執行文件系統提取1) 在主屏幕上選擇廠商和型號，然后文件系統提取。 742) “選擇提取位置”屏幕會出現。第 5 章: 文件系統提取753) 要更改目標路徑：a)更改目標路徑。 76b)c)d)在“瀏覽查找文件夾”框中瀏覽到想要保存提取內容的位置。選擇想要使用的位置，或者確定。新建文件夾來自行創建目標文件夾。目標路徑即設置完畢。4)第 5章: 文件系統提取77“正在等待”屏幕會出現。5) 根據屏幕上的選擇適合該移動的正確數據線和連接端。 786)7

34、)根據說明更改設置。連接UFED。適配器上的端口開始閃爍，直到連接完畢。8)繼續。“進行提取”屏幕會出現。第 5章: 文件系統提取79在提取過程進行期間，會先顯示來源上的進度條，然后顯示目標上的進度條。備注：對于 QCP 和 Samsung MTK，將顯示提取過程預計會占用的時間。提取過程完成時，“文件系統提取摘要”屏幕會出現。9) 要結束過程并返回主屏幕，請確定（完成）。 805.2. 文件系統提取文件夾文件系統提取過程結束時，提取出的數據將保統提取”）。您之前選擇的位置中（請參閱“執行文件系備注：所提取數據文件夾的名稱為：FileSystemDump 加上所選的型號和名稱，再加上提取操作的

35、日期。例如 FileSystemDump Nokia GSM Nokia 2626 2014_03_12 (001)所提取數據的文件夾中包含以：文件系統的壓縮存檔，其中包含的文件和文件夾以提取時相同的結構。包含系統提取的 UFD 文件，供 UFED Physical Analyzer 應用程序使用。PM 文件。以用 UFED Physical Analyzer 查看。文件系統的提取第 5 章: 文件系統提取815.3. Android 備份Android備份功能用于同所連接的 Android通信并提取該中的數據。可以提取出的數的具體特征。Android 備份功能支持 4.1及更新版本的 And

36、roid據類型取決于。Android 備份所提供的數據可能會少于其他（例如 ADB）未，因此只應在其他文件系統（例如 Android 的版本不受支持）時使用。能獲得或者該上無法使用其他文件系統有兩種提取： 無共享：提取位于 有共享：提取位于存卡上的數據（上的所有應用程序（本機和非本機）。上的所有應用程序（本機和非本機）以及來自內部器和內圖像、等）。該需要額外的提取時間。如果該不，則應嘗試使用“無共享”。要使用 Android 備份功能提取數據：與 PDA。1) 在“選擇廠商”屏幕中智能 82將顯示如下的窗口。第 5 章:83文件系統提取2)Android。將顯示如下的窗口。 843)文件系統提

37、取。將顯示如下的窗口。4)Android 備份 無共享或 Android 備份 有共享。將顯示一條消息，表示 Android 備份模式將根據繼續。的具體特征提取數據。5)6)選擇目標路徑并“進行提取”屏幕會出現。第 5章: 文件系統提取85提取過程完成時，“文件系統提取摘要”屏幕會出現。7) 要結束過程并返回主屏幕，請確定（完成）。 86第 6 章: 物理提取87第 6 章: 物理提取物理提取功能用于生成來源PC 上。中每一比特內容的物理鏡像，并將其保可移動或6.1. 執行物理提取1) 在主屏幕上選擇廠商和型號，然后物理提取。 882) “選擇提取位置”屏幕會出現。第 6章: 物理提取893)

38、要更改目標路徑：a)更改目標路徑。b)c)d)在“瀏覽查找文件夾”框中瀏覽到想要保存提取內容的位置。選擇想要使用的位置，或者確定。目標路徑即設置完畢。新建文件夾來自行創建目標文件夾。 904)。出現的可能是“正在等待”屏幕，也可能是“正在等待適配器”屏幕，這取決于是否需要使用 UFED適配器。第 6章: 物理提取915)執行以下操作之一：直接連接到 PC：根據屏幕上的指示選擇適合該移動根據說明更改設置。如果將如果對的正確數據線和連接端。連接到 PC。執行提取需要使用 UFED將適配器：UFED適配器連接到 PC 的 USB 端口。將UFED適配器上的來源端口開始閃爍。連接到 UFED將適配器上

39、。6)繼續。 92“進行提取”屏幕會出現。在提取過程進行期間，會先顯示來源上的進度條，然后顯示目標上的進度條。備注： 對于以下，將顯示提取過程預計會占用的時間：備注： Blackberry、Nokia BB5、QCP（SamM550、LgEmergency、LgP0）、Android（和 SPF）、SpTrum、Samsung GSM（MTK、LGInfinion 和 BCM2133）以及 Palm。第 6章: 物理提取93提取過程完成時，“物理提取摘要”屏幕會出現。7) 執行以下操作之一：要在 UFED Physical Analyzer 中打開提取內容，請用 UFED Analyzer 打

40、開。要結束過程并返回主屏幕，請確定（完成）。 94如果系統無法連接到，便會出現“提取摘要”屏幕，其中帶有一條錯誤消息。8) 按照屏幕上的說明操作。9)重試。第 6 章: 物理提取956.2. 物理提取文件夾物理提取過程結束時，提取出的數據將保行物理提取”中的步驟 5。您之前為物理提取過程選擇的位置下。請參閱“執備注：所提取數據文件夾的名稱為：Physical 加上所選的名稱，再加上提取操作的日期。例如 Physical Samsung GSM SGH-A711 2011_06_12 (001)。所提取數據的文件夾中包含以：內存的二進制文件。包含系統提取的 UFD 文件，供 UFED Physi

41、cal Analyzer 應用程序使用。可以用 UFED Physical Analyzer 查看。是雙擊 UDF 文件，或者通過圖提取形界面將其打開。 96第 7章: 捕獲圖像和截圖977 章: 捕獲圖像和截圖第UFED 攝像頭可以通過拍攝的圖片或來收集證據（請參閱第 99 頁上的捕獲圖像）。而截圖功能則可以直接截取 Blackberry、Android 或 iOS的內部截圖（請參閱第 110 頁上的捕捉屏幕截圖）。這兩個選擇都可以用來提供補充性質的證據，或者用于無法從提取在 UFED Physical/數據的情況。您可以向圖像和Logical Analyzer 中顯示。添加備注、類別和書簽

42、，這些內容所收集到的證據可以在單獨的自定義報告中顯示，也可以和提取出的一起顯示。報告中將文件名鏈接、文件大小、包含關于、連接類型、UFED 版本和序列號的。圖像日期和時間、MD5 文件夾下的格式保存于名為以及 SHA256 HASH。圖像將以 PNG的格式保存于名為 Snapshots 的將以 AVI文件名、文件大小、日期和時間以及指向該文件的鏈接。s 的文件夾下。 987.1. UFED 攝像頭UFED 攝像頭是以一個附加的形式提供，由 UFED 4PC 進行。所有必需的驅動程序都隨應用程序一起預先安裝完畢。UFED 攝像頭一個用于調節高度和角度的攝像頭支架，一的墊板，以及一個用于防止在拍攝

43、時出現眩光的防眩光板。攝像頭通過 USB 端個用于放置口連接到計算機上。7.1.1. 目錄部件數量防眩光板1攝像頭1攝像頭包1攝像頭墊板1攝像頭支架1第 7 章: 捕獲圖像和截圖997.2. 捕獲圖像拍攝的圖片或時，有兩種可供選擇。將圖像作為所選的一個其他提取內容，或者在不指定的情況下拍攝。要捕獲特定的圖像或：1) 在主屏幕上選擇廠商和型號，然后捕獲圖像。“選擇提取位置”屏幕會出現。 1002) 如果需要，可以更改目標路徑以選擇另一個保存位置。將在此位置下創建一個用于提圖像（快照）、UFD 文件、索引文件和報告文件。取內容的文件夾，其中第 7 章:101捕獲圖像和截圖3)。未偵測到任何攝像頭時

44、，將顯示如下屏幕。 1024) 將 UFED 攝像頭連接到計算機上的 USB 端口。將顯示“捕獲圖像”窗口。第 7 章: 捕獲圖像和截圖1035)執行以下操作之一：開始錄制，停止錄制。拍攝圖片。更改默認的類別。在 UFED Physical/Logical 中顯示圖像和會使用到這些類別。時圖像或可以添加備注、書簽（ ）、類別（）或者刪除文件（ ）。返回實時視圖。備注：圖片或，然后再最左側屏幕中的圖片或，即可對圖片或執行旋轉操作，或者制按鈕所錄制的。此時便可以使用旋轉按鈕。請參閱下面的示例。或控 1046)“確定”，然后將顯示“捕獲圖像摘要”窗口。以繼續。第 7 章:105捕獲圖像和截圖7)使用

45、 UFED Analyzer打開可以在 UFED Physical/Logical Analyzer 中打開提取內容其他提取以添加當前的其他提取類型，完成以結束過程并返回主屏幕。 106要在未連接的情況下捕捉圖像：1)主屏幕中的。“選擇提取位置”屏幕會出現。第 7 章: 捕獲圖像和截圖1072) 如果需要，可以更改目標路徑以選擇另一個保存位置。3)。將顯示“捕獲圖像”窗口。 108請參閱第 103 頁了解有關該屏幕上所提供選項的。第 7章:109捕獲圖像和截圖4)繼續操作。將顯示“捕獲圖像摘要”窗口。使用 UFED Analyzer 打開可以在5)UFED Physical/Logical A

46、nalyzer 中打開提取內容其他提取內容以捕捉其他的或圖片，完成以結束過程并返回主屏幕。 1107.3. 捕捉屏幕截圖截圖功能可以直接截取 Blackberry、Android 或 iOS的內部截圖。要捕捉的截圖：1) 在主屏幕上選擇廠商和型號，然后捕捉屏幕截圖。“選擇提取位置”屏幕會出現。第 7章:111捕獲圖像和截圖2) 如果需要，可以更改目標路徑以選擇另一個保存位置。3)。“正在等待”屏幕會出現。 1124) 按照說明連接。5)繼續。第 7 章: 捕獲圖像和截圖113將顯示“捕獲屏幕截圖”窗口。 114請參閱第 103 頁了解有關該屏幕上截圖選項的。將顯示“捕獲屏幕截圖摘要”窗口。使用 U