i2 应用技巧-手机取证短信后-短信分析

数据准备：可从我前面发送的测试数据中获取。Microsoft Excel表中SMS短信提取数据表格，第一行清晰的英文列标题包括

Timestamp/Date & Time、

Subject Phone Number（目标设备号码）

Destination Phone Number

Direction（Incoming或Outgoing）

Type（SMS或iMessage）、

SMS Content/Text（短信内容）。

数据来自数字取证设备的Excel提取文件小样本。这张表格是基础，严格要求包含以下关键列：日期/时间戳（Timestamp）、目标设备电话号码（Subject Phone Number）、目标电话号码（Destination Phone Number）、方向性（Direction：Incoming/Outgoing）、消息类型（Type：SMS/iMessage）和完整短信内容（SMS Text/Content）。真实案件数据量远大于此样本，但导入流程完全一致。分析师必须确保时间戳格式正确，这是后续时间线排序的核心。

i2 Analyst’s Notebook（简称i2 ANB）是IBM i2系列专业情报分析软件，主要服务于执法、反恐和犯罪调查。它通过实体（Entities，如电话号码）、链接（Links）和事件框架（Event Frame）实现可视化关联分析。本教程正是解决评论区常见痛点：如何将SMS短信导入并在时间线上清晰展示消息内容与收发方向。

i2 Analyst Notebook软件主界面，Home标签页激活，Import工具下拉菜单展开，鼠标指向“Import from File”选项，左侧工具栏可见，右侧空白图表区域准备导入，

配图2：启动导入向导
Home功能区开始：点击Import工具 → 选择Import from File。打开文件选择对话框后，选中SMS Excel文件并点击Open。随后弹出规格对话框，选择“Create new specification”并确认OK。这一步严格遵循i2 ANB标准导入流程，避免覆盖已有规格。强调，此操作是所有后续向导的基础。

向导窗口显示“Extract column headers from Row 1”复选框已勾选，Next按钮高亮，左侧显示源数据预览列标题，右侧向导进度条。

配图3：向导文件设置与列标题提取
进入Import Specification Wizard后，第一步勾选“Extract column headers from Row 1”，确保软件自动识别Excel第一行标题。视频严谨提醒：若数据无标题行，必须手动映射，否则实体和属性无法正确分配。点击Next跳过数据修改步骤（本演示无需清洗）。

Import Specification Wizard“Layout Design”页面，“Sequence of telephone calls”模板被选中，预览区显示两个电话实体通过链接连接，Next按钮高亮。

配图4：选择基础布局
向导进入布局设计阶段，选择“Sequence of telephone calls”作为基础模板（适合电话/短信时间线）。视频解释：此模板默认生成两个电话实体和链接，但需修改以容纳SMS内容——这就是Event Frame的核心价值。

添加Event Frame修改布局截图：i2 ANB布局编辑器中，两个Phone实体之间新增Event Frame（事件框），默认直连链接已被删除，新箭头链接从Phone1拖到Event Frame、再从Event Frame拖到Phone2，Add Entity下拉菜单显示“Event Frame”选项。

配图5：修改布局添加Event Frame
关键创新步骤：点击Add Entity → 选择Event Frame，拖放到图表区；删除默认直连链接；重新建立两条链接（Subject Phone → Event Frame → Destination Phone）。Manny严谨演示：Event Frame专门用于承载短信文本、时间和类型，避免短信内容“丢失”在简单链接中。这是实现“短信在时间线上可视化”的核心设计。

字段映射与Event Frame属性配置：i2 ANB向导属性面板，左侧Excel列列表，右侧实体属性：Subject Phone拖到第一个Phone Identity、Destination Phone拖到第二个、Record ID拖到Event Frame Identity、Text Message图标选中、Type列拖到Label、Timestamp同时拖到Date和Time、SMS Content拖到Description，Control into设为Yes。

配图6：实体与事件框属性映射
拖拽操作详解：

• Subject Phone列 → 第一个Phone实体Identity（确定主体身份）

• Destination Phone列 → 第二个Phone实体Identity

• Record ID → Event Frame Identity

• Type列 → Event Frame Label（显示SMS/iMessage）

• Timestamp列 → Date + Time（确保时间线排序）

• SMS Content → Description（完整消息文本显示在框内）

• Control into: Yes（强制时间顺序）

图标选择“Text Message”使事件框直观易辨。

链接方向性配置：Link Direction属性对话框打开，Single Column选中Direction列，规则设置显示Outgoing箭头向外、Incoming箭头向内，上下两条链接分别配置

配图7：配置链接方向性（后续向导步骤）
选中上方链接，点击Direction字段省略号 → Single Column → 选择Direction列，设置规则：Outgoing时箭头从主体指向事件框，Incoming时反向。这确保收发关系在图表上一目了然，是情报分析中判断通信模式的严谨要求。

精确重现导入后初始图表结果截图：i2 Analyst Notebook图表区显示多个电话实体通过Event Frame连接，每条Event Frame包含时间戳、SMS图标、标签和完整短信文本预览，链接带方向箭头，原始导入状态，高分辨率、清晰实体和文字。

配图8：导入完成初始图表（向导结束）
点击Import后生成原始时间线。Event Frame清晰显示每条短信内容、时间和图标。

提醒：此时图表可能连线杂乱，需后续优化。

i2 ANB图表中所有链接已直线化、无zig-zag绕线，电话实体和Event Frame排列整齐，Ctrl+A全选后Combine Properties面板可见，Segment Wiring设为Not Diverted，

配图9：清理连线（Post-import第一步）
Ctrl+A全选 → Combine Properties → Links → Segment Wiring设为“Not Diverted”。

说明：这消除“绕线”视觉干扰，使图表专业干净，符合情报报告标准。

i2 Analyst Notebook时间线视图，SMS事件按时间分组（Grouped Theme Line），组间距已调整为5cm，垂直/水平主题线清晰，事件框按小时或日分组排列，Range功能区Layout Setup面板可见。

配图10：应用分组主题线布局（Range功能区）
Range → Theme Line Layouts → Grouped Theme Line → Group by Time。Layout Setup中将组间距从10cm减至5cm（视频示例）。这将大量SMS按时间桶分组，便于宏观观察通信峰值。

配图11：激活Time Bar与事件高亮（View功能区）
启用Time Bar，聚焦关键时间（如周日11AM抢劫事件窗口）。主体电话设为红色粗框；从Palette拖入Box实体（Robbery类型），包围对应时间组，并关闭Box标签。

配图12：最终优化时间线全景
完整图表展示短信往来全貌：方向箭头、完整内容、时间分组、高亮重点。特别提醒：保存Import Specification（本例命名为“SMS Message Demo 2”）后，下次同格式文件导入仅需1-2分钟——极大提升分析师效率。

总实战应用建议

本文严谨、实用，完整记录了从原始Excel到专业时间线图表的每一步操作。核心价值在于：Event Frame + 方向性链接 + 分组主题线 + Time Bar的组合，使SMS数据从“枯燥表格”变为“可立即分析的情报资产”。在真实案件中，可快速定位嫌疑人通信峰值、关联共犯，或与其它证据（如CDR通话记录）叠加分析。

建议：

• 时间戳格式务必统一。

• 大数据量时先小样本测试规格。

• 结合i2官方ELP模型（Entity-Link-Property）进一步丰富属性。

• 保存规格复用是本文最大实用提示。

如喜欢请点赞分享关注我。我继续努力💪！