最近使用 Oxygen Forensic® Detective 的用户可能已经注意到时间轴部分的工具栏上出现了一个名为“智能过滤器”的新工具。

此功能旨在通过提供各种直观的过滤器来提高调查的效率和洞察力。 调查人员现在可以使用以下智能过滤器缩小时间线搜索范围： 

• 显示所有提到过的联系人的信息。
• 显示所有提到过的联系人的信息，包括小组成员。
• 显示分享地理数据的联系人的所有信息。
• 显示在关键证据之前和之后发生的事件。
• 显示发生在关键证据之前和之后的时间范围内的事件。
• 显示在有地理坐标的事件之前和之后发生的事件。
• 显示在确定的时间范围内，发生在有地理坐标的事件之前和之后的事件。 

这些智能过滤器可以分为 3 个类别，它们侧重于 3 个不同的搜索条件——提及、地理数据和关键证据。 让我们仔细看看每一个。

提及

此类别包括两个智能过滤器：

• 显示来自提到的联系人的所有消息。
• 显示来自所有提及的联系人（包括群组成员）的消息。

选择它们后，调查人员将被要求输入他们正在搜索的单词或短语。 请记住，这些短语可能是犯罪分子使用的密码词、感兴趣的人的姓名，或者在本例中是毒品。

单击“应用”后，调查人员不仅会看到包含输入词的消息，还会看到包含相关人员姓名的整个对话。 从那里，调查员必须分析对话以确定该词是否被随意使用。

在我们的案例中，使用此过滤器有助于确定设备所有者与其某些联系人之间关系的性质，发现新的毒品交易链，以及一些操作细节。

地理数据

此类别包括以下智能过滤器：

• 显示来自共享地理数据的联系人的所有消息
• 使用地理坐标显示事件之前和之后发生的事件
• 使用地理坐标显示事件前后发生的时间范围内的事件。

选择最后两个选项后，调查人员将被要求输入要显示的事件数量或时间范围，具体取决于所选过滤器。

所有这些都以地理数据为中心，地理数据不仅本身很有价值，而且可以作为其他数据的有用补充。

在我们之前描述的药物案例中，选择“显示来自共享地理数据的联系人的所有消息”有助于识别将包裹留在某些位置然后与设备所有者共享包裹位置的药物快递员。通过分析消息，我们可以将假定的信使与其他联系人以及偶尔共享地理数据的人区分开来。

此类别中的最后两个智能过滤器在研究行为模式、检测偏差和检查设备所有者对异常事件的响应方面很有帮助。例如，在毒品案件中，应用此过滤器有助于确定在从快递员那里收到位置信息后，设备所有者总是呼叫一些身份不明的联系人。当包裹位置不是由实际的快递员而是由警察发送时，这种模式就被打破了。

当时不打电话的原因是什么？设备所有者是否收到了有关伏击的消息？如果是这样，如何？答案可以在下面找到，在具有地理坐标的数据之前发生的事件中。

关键证据

此类别包括以下智能过滤器：

• 显示关键证据之前和之后发生的事件
• 显示在关键证据之前和之后发生的时间范围内的事件

这些过滤器类似于地理数据类别中的最后两个过滤器。 选择它们后，调查人员将被要求输入要显示的事件数量或时间范围，具体取决于所选的过滤器。

但是，与以地理为中心的选项不同，这些选项需要调查人员在运行搜索之前审查设备数据，因为某些数据必须标记为关键证据才能运行此过滤器。在分析设备所有者对与案例相关的情况的反应时，这些过滤器非常有用。

假设一名员工为包含机密信息的文档拍照。他们声称它是供个人使用的，要在几小时后研究，并打算在之后将其删除。有问题的照片已经被调查人员标记为关键证据。应用过滤器后，发现了一个新证据：拍照后不久，设备所有者给其中一个联系人发了短信，“我们见面吧。我有你想要的。”这本身并不是证据，而是值得调查的线索。通过右键单击网格中的联系人，选择“显示联系人卡片”，然后打开“通信”选项卡，可以找到与该联系人的通信历史记录。事实证明，该联系人实际上是在勒索前面提到的员工并作为回报接收机密数据。

我们相信 Oxygen Forensic® Detective 中的新型智能过滤器将加快调查速度，使证据搜索更加高效和有效。 立即尝试此功能并与我们分享您的意见！