Kontextmenü des Falldatenfensters
Einige der Befehle:
Teilbaum exportieren: Dieser Kontextmenübefehl im Falldatenfenster erlaubt es, eine pseudographische Darstellung des gewählten Teilbaums als Unicode-Textdatei auszugeben, die am besten mit einer Schriftart mit fixer Zeichenbreite einzusehen ist. Der exportierte Baum repräsentiert Unterverzeichnisse in ihrem aktuellen Zustand (aus- oder eingeklappt). Der Menübefehl ist für Asservate verfügbar und auch für Verzeichnisse, sofern Sie die Strg-Taste beim Anklicken eines Verzeichnisses im Fallbaum mit der rechten Maustaste gedrückt halten. Denken Sie daran, wenn Sie einen Teilbaum komplett rekursiv ausklappen möchten, können Sie dazu die Wurzel dieses Teilbaums anklicken und die Multiplikationstaste auf dem Nummernblock der Tastatur drücken.
Externe Dateien anhängen: This command allows to attach external files as child objects to their original counterparts (after decrypting, translation, convertion, OCRing, ...) in multiple evidence objects at the same time automatically if they are named after the unique ID of the original files. (The filename extension is ignored.) You can name the files after the unique ID when you copy them off the image with the Recover/Copy command, and you do not need to preserve the path, as the unique ID already fully identifies the file. Useful if you wish to apply external tools to the copied files which have problems with overlong paths, if you wish to bring back the result into the volume snapshot.
When attaching external files (e.g. after decrypting, converting, translating, ...), you are given four options:
1) the attached file can become a child object of the original file
or
2) the attached file can become a sibling of the original file (shown next to it, in the same directory)
or
3) the attached file can replace the original file (original file no longer present)
or
4) the attached file can replace the original file, and the original file can become a child object of the new file if still needed.
You can select the attachment method separately for ordinary files and e-mail attachments. The three latter methods are particularly useful for e-mail attachments because only direct child objects of .eml files are embeddedd in the parent .eml file when recovering/copying those .eml files. So if you would like to have the decrypted/converted/translated version of an attachment embedded in the .eml file, that version should not become grandchild object as in previous versions. If you want original and new version both to be embedded, make them siblings. If you do not need the original version embedded, replace it completely or preserve it only as a child object of the new version (i.e. grandchild of the .eml file).
The attached files adopt the classification of the original files, e.g. as extracted e-mail messages or OLE2 objects. If the original files have no special classification, the attached files will be simply marked as attached files.
Datei-Export zur Analyse: Dieser Menübefehl im Falldatenfenster kann auf den gesamten Fall und von dort aus auf ausgewählte Asservate oder auf das aktive Asservat angewandt werden. Er bedient die Schnittstelle zur externen Analyse von Dateien durch automatisierte Tools.
Es gibt auch für Verzeichnisse ein Kontextmenü. Dieses erscheint beim Rechtsklick in Abhängigkeit von den Einstellungen in den Allg. Optionen und vom Gedrückthalten der Umschalttaste. Andernfalls führt ein Rechtsklick auf ein Verzeichnis zu dessen rekursiver Erkundung.