數位證據搜尋

數位證據的搜尋是所有鑑識分析中非常重要的一環,一般搜尋的方式可使用兩種方式: 第一種為 Linear Search 的方式將輸入的關鍵字轉成適當的編碼方式來進行整個磁碟資料的比對搜尋,此方法可有效找出所有貯存在硬碟 Unallocate 區或 file slack 未使用區段的資訊,但每次搜尋均要花相同的時間且關鍵字的輸入必需要考慮各種表達方式才能精準找到重要的資訊或避免找到太多無關連的資訊,而第二種搜尋的方式則可針對整顆硬碟以斷詞或斷句的方法來將每個關鍵字建立索引資料,其時間的花費將只在第一次建立索引的時間,建立完成索引之後則每次搜尋的速度均會非常的快速 ,但其缺點在於斷詞及斷字的組合性判斷及資料在 Unallocate 區或 File slack 區域的索引建立方式。

 

 

 

 

more...