Ch a p t e r   1 0   -   E v i d e n c e   M o d u l e 
131 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Figure 111, GetData UDP Network Server 
The server enters ͞waiting͟ mode for the connection from Forensic Explorer.  
Note: It may be necessary to configure firewall settings on the remote computer to 
enable remote access to the GetData UDP Network Server. 
CONNECTING TO THE GETDATA UDP NETWORK SERVER 
To connect to the GetData UDP Network Server, follow ͞Adding a Device͟ in paragraph 
10.4.1 above. In the Device Selection window, click on the Network button. The 
following screen appears: 
Pdf keywords metadata - add, remove, update PDF metadata in C#.net, ASP.NET, MVC, Ajax, WinForms, WPF
Allow C# Developers to Read, Add, Edit, Update and Delete PDF Metadata
edit pdf metadata online; online pdf metadata viewer
Pdf keywords metadata - VB.NET PDF metadata library: add, remove, update PDF metadata in vb.net, ASP.NET, MVC, Ajax, WinForms, WPF
Enable VB.NET Users to Read, Write, Edit, Delete and Update PDF Document Metadata
pdf metadata reader; pdf metadata viewer
132 | Page 
Ch a p t e r   1 0   -   E v i d e n c e   M o d u l e  
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
Figure 112, Forensic Explorer Remote Server Connect Settings 
Server IP Address: 
Enter the IP address of the remote computer as displayed in 
the Server IP filed of the GetData UDP Network Server. 
Port: 
Ensure the Port number uses the same port as the GetData 
UDP Network Server. 
Click the Connect button to view the available physical and logical devices on the 
remote computer. Select the required device and click OK. 
The selected device should now appear under the Networked section of the Device 
Selection window, as show in Figure 113 below: 
C# PDF Library SDK to view, edit, convert, process PDF file for C#
PDF SDK for .NET allows you to read, add, edit, update, and delete PDF file metadata, like Title, Subject, Author, Creator, Producer, Keywords, etc.
modify pdf metadata; pdf metadata editor online
How to C#: Basic SDK Concept of XDoc.PDF for .NET
XDoc.PDF for .NET supports editing PDF document metadata, like Title, Subject, Author, Creator, Producer, Keywords, Created Date, and Last Modified Date.
rename pdf files from metadata; pdf remove metadata
Ch a p t e r   1 0   -   E v i d e n c e   M o d u l e 
133 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Figure 113, Device Selection window showing a UDP connected network device 
Click OK to begin processing of the drive. 
10.4.3
ADDING A FORENSIC IMAGE FILE 
To add an image file to a case: 
1.
Create a preview (see 10.1), a new case (see 10.2), or open an existing case 
(see 10.3); 
2.
In the Evidence module, click the ͞Add Image͟ button. (If the Add Image 
button is inactive, click on the case name in the evidence window to activate 
the buttons).  
Note: Due to the low level processing requirements of most forensic 
investigations (e.g. sector level keyword searches, indexing, etc.) it is 
recommended that image files be located on a high speed device, such as a 
local hard drive (minimum USB2 speed). 
3.
Click OK to add the forensic image. The Evidence Processing Options window 
will open. See section 10.5 below. 
10.4.4
ADDING A REGISTRY FILE 
To add a registry file to a new case: 
1.
Create a preview (see 10.1), a new case (see 10.2), or open an existing case 
(see 10.3); 
VB.NET PDF: Basic SDK Concept of XDoc.PDF
XDoc.PDF for .NET supports editing PDF document metadata, like Title, Subject, Author, Creator, Producer, Keywords, Created Date, and Last Modified Date.
pdf metadata viewer online; remove metadata from pdf online
.NET PDF SDK - Description of All PDF Processing Control Feastures
PDF Metadata Edit. Support editing PDF document metadata: Title, Subject, Author, Creator, Producer, Keywords, Created Date, and Last Modified Date;
read pdf metadata; acrobat pdf additional metadata
134 | Page 
Ch a p t e r   1 0   -   E v i d e n c e   M o d u l e  
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
2.
In the Evidence module, click the ͞Add File͟ button. (If the Add File button is 
inactive, click on the case name in the evidence window to activate the 
buttons). This will open the add file window.  
3.
Select the registry file and click OK. The Evidence Processing Options window 
will open. See section 10.5 below. 
Note: A registry file can also be added from the File System module. Locate the 
registry file, right-click and select Send to > Registry from the drop down menu. See 
15.2 for more information. 
10.4.5
ADDING A FILE 
To add a file to a case: 
1.
Create a preview (see 10.1), a new case (see 10.2), or open an existing case 
(see 10.3); 
2.
In the Evidence module, click the ͞Add File͟ button. (If the Add File button is 
inactive, click on the case name in the evidence window to activate the 
buttons).  
3.
Click OK to add the file. The Evidence Processing Options window will open. 
See section 10.5 below. The file will be added to the File System module. 
Ch a p t e r   1 0   -   E v i d e n c e   M o d u l e 
135 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
10.5
EVIDENCE PROCESSOR 
The Evidence Processor window opens when evidence (a device, image or file) is 
added in the Evidence module. The Evidence Processor window has two functions: 
1.
To configure the processing options that will automatically take place when 
the evidence is added;  
Note: Evidence processing tasks, such as file carving, do not have to be 
automatically run. They can be individually run later in the case.  
and; 
2.
To enable the forensic investigator to modify dates and times in the evidence 
relative to the time zone in which the evidence is situated or was acquired. 
Note: Time zone settings can be configured or adjusted later in the case from 
the File System module. See Chapter 20 - Date and Time, for more 
information. 
10.5.1
PROCESSOR TASKS 
Forensic Explorer determines the type of evidence added (e.g. device, forensic image, 
registry file, or other file) and displays a default tasks list according to the file type. 
Figure 114, Evidence Processing Options (showing options for a forensic image or device) 
The Tasks window enables the investigator to configure specific tasks (such as hashing, 
signature analysis and file carving) that will automatically take place when evidence is 
added. Whilst is it possible to perform these functions independently at a later time, 
the processing window enables the investigator to batch these tasks at the start of the 
case.   
136 | Page 
Ch a p t e r   1 0   -   E v i d e n c e   M o d u l e  
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
The task window uses the following icons: 
Parent / Child: Indicates a parent / child relationship between tasks. A parent 
tasks must be completed before a child task can commence. 
Process in Parallel: Identifies that the tasks listed in the immediate sub folder 
will process concurrently in separate threads. 
A task: Indicates a task that can be enabled or disabled. 
Task options: Identifies that settings for the task must be configured if it is 
enabled. 
DEFAULT TASKS 
The default settings in the Evidence Processing window when adding a device or an 
image file is to read and display existing file systems. : 
Search for Known MBRs 
A Master Boot Record (MBR) is the very first sector on a hard drive. It 
contains the startup information for the computer and the partition table, 
detailing how the computer is organized. 
Search for File Systems 
Once an MBR is identified, Forensic Explorer then locates and identifies 
known file systems (i.e. FAT, NTFS, and HFS). The file and folder structure can 
then be read and populated in the File System module. 
If these default tasks are not enabled, the device or forensic image file will be loaded 
as raw data with no file or folder structure. 
OTHER TASKS 
Triage Registry 
Triage Registry is an inbuilt function of Forensic Explorer to automatically detect and 
process Windows registry files. The process is divided into two parts: 
1.
Detect registry files in a Windows file system and automatically send those 
files to the Registry module; then 
2.
Process the registry files in the Registry module to identify and bookmark 
common items of interest. This includes registry keys such as: registered 
owner; default Windows user name, Windows product ID and name, OS 
installation date, etc. 
Items identified are bookmarked and can be seen in the Bookmarks module under the 
path: My Bookmarks\Triage\Registry\. These bookmarks are used to automatically 
generate reports. 
Ch a p t e r   1 0   -   E v i d e n c e   M o d u l e 
137 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Verify Device Hashes 
The ͞verify device hashes͟ task calculates a hash/s (MD5, SHA1, or SHA256) for the 
added device or forensic image.  
If the forensic was created with EnCase®, the calculated hash/s can be compared with 
the acquisition hash stored within the forensic image to show that it has not been 
altered. The result of the hash is written into the evidence tab of the Evidence module 
(as shown in Figure 115 below): 
Figure 115, Evidence module, Evidence tab, device hash 
A device hash can also be calculated at any time using the Verify Devices script. This 
script can be run either from the ͞Analysis Scripts͟ button in the File System module, 
or directly from the Scripts module. See 21.4  for more information. 
Signature Analysis 
Signature analysis is the process of identifying a file by its header rather than by other 
means. For example, identifying a file by its signature is a more accurate method of 
classification than using the file extension (e.g. .jpg), as the extension can easily be 
altered.  
The signature analysis task can only take place subsequent to the identification of a 
file system. For this reason, it is a sub-task of ͞Search for FileSystems͟ (as shown in 
Figure 114 above). 
Signature analysis can also be independently run in the File System module. Learn 
more about signature analysis in Chapter 22. 
File Carve 
File carving is the identification and extraction of file types from unallocated clusters 
using file signatures. 
File carving can only take place subsequent to the identification of a file system. For 
this reason, it is a sub-task of ͞Search for FileSystems͟ (as shown in Figure 114 above). 
138 | Page 
Ch a p t e r   1 0   -   E v i d e n c e   M o d u l e  
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
File carving can also be independently run in the File System module. Learn more 
about file carving in section 23.4. 
Extract Metadata 
Extract Metadata is used to collect internal file data and make the information 
available in columns. For example, for a digital photo, metadata can include camera 
Make and Model, and the GPS coordinates of the photo. 
The Extract Metadata option runs a script located in the Scripts module in the path 
\File System\Metadata to columns\Extract Metadata.pas. Once the data has been 
extracted, the metadata columns can be added to a list view. 
PROCESSES LIST 
When task are run in Forensic Explorer its progress is detailed in the ͞Processes͟ list. 
This list is accessed globally from any Forensic Explorer Module by clicking on the 
͞Processes͟ tab in the bottom right hand corner of the main program screen.  
10.5.2
ADJUST TIME ZONE 
File date and times can be adjusted for each piece of evidence as it is added to a case. 
File date and times are adjusted according to the time zone from which the device or 
forensic image originates. 
The default setting is to process the image according to Local Time, that is, the time 
zone setting on the forensic analysis computer. If the device or forensic image 
originates from the same time zone as the forensic analysis computer, then usually no 
adjustment is required. 
If the device or forensic image is collected from a different time zone, change the Time 
Zone setting to the source location in order to display file date and times according to 
that location. 
Note: Dealing with date and time issues in computer forensics is complex. Additional 
date and time adjustments can be made from the File System module once the 
evidence has been added. Refer to Chapter 20 for further information. 
Ch a p t e r   1 0   -   E v i d e n c e   M o d u l e 
139 | Page 
Copyright GetData Forensics Pty Ltd 2010 - 2014, All rights reserved. 
Figure 116, Adjust time zone information when adding evidence 
10.6
ADDING ADDITIONAL EVIDENCE TO A CASE 
Once added, a device, image, or registry file will appear in the ͞Evidence͟ field of the 
Evidence module, as shown in Figure 117 below: 
Figure 117, Evidence module, Evidence list 
To add an additional device, image or file: 
1.
lick on the case name (e.g. ͞ ase: Test Case 3͟ above) to activate the add 
buttons; 
2.
Repeat the process described above. 
140 | Page 
Ch a p t e r   1 0   -   E v i d e n c e   M o d u l e  
Copyright GetData Forensics Pty Ltd 2010 - 2015, All rights reserved.
10.7
SAVING A CASE 
To save a preview, or save changes to an open case, click the Save button in the 
Evidence module: 
Figure 118, Evidence module, save button 
Or; 
In the Forensic Explorer drop down menu, select ͞Save  ase͟: 
Figure 119, Save Case 
A case should be saved frequently to ensure that any changes since the last save are 
not lost. 
10.7.1
SAVING OR CLOSING A PREVIEW 
Each preview is assigned a unique working folder using a Global Unique Identifier 
(GUID) in the following path: 
C:\Users\Graham\Documents\Forensic Explorer\Previews\{GUID - e.g. 
8709A41C-38B6-4F9E-BA18-633B394721C5} 
When the investigator has finished the preview, analysis conducted during the 
preview may be: 
1.
Saved as a new case (see ͞saving a case͟ below). When a preview is saved 
the contents of the GUID working folder is transferred into the new case 
folder and the GUID folder is destroyed.  
2.
Closed and not saved (see ͞closing a case͟ below). When the case is closed 
and not saved, or when Forensic Explorer is opened or closed, the preview 
GUID folder is destroyed. 
Documents you may be interested
Documents you may be interested