计算机取证检查使用计算机生成的数据作为其重要来源。任何给定的计算机取证检查的目的都是要找到事实,并通过这些事实来尝试重现事件的真相。这些自动搜索技术用于确定收集的信息中是否存在给定类型的对象,例如黑客工具或特定类型的图片。
自动搜索技术有两种类型:手动浏览和自动浏览。
什么是手动浏览?
法证分析师将浏览已收集的信息,并在“手动浏览”中选择首选类型的对象。用于此浏览的工具是Watcher的类型。它接收数据对象(例如文件),对该文件进行解码,并以人类可读的格式返回结果。手动浏览既缓慢又耗时,因为大量调查需要收集大量数据。
什么是自动搜索?
Automated一词来自希腊语automatos,意思是“自己做事”。自动化的事情可以在没有人帮忙的情况下完成其应有的功能。自动搜索过程可直接访问另一方的自动化文件,而对搜索过程的响应是完全自动化的。
自动搜索的类型为:关键字搜索,正则表达式搜索,近似匹配搜索,自定义搜索,修改搜索。
- 关键词搜索 –
网络取证关键词搜索是用于从大量电子数据中查找证据的功能。在网络犯罪调查期间,将根据您在计算机取证工具中输入的关键字执行取证电子邮件搜索。关键字搜索由特定的关键字组成。它是一种广泛使用的简便技术,可加快手动浏览的速度。找到的数据对象的列表是关键字搜索的输出。但是,关键字搜索存在两个问题:错误肯定和错误否定。- (一世)。假阳性 :
关键字搜索给出所需的近似数据对象类型。因此,此输出可能会产生误报。误报表示即使对象包含指定的关键字,它们也不属于任何特定类型。取证分析师必须手动浏览关键字搜索数据对象以丢弃误报。 - (ii)。假阴性:
假阴性表示存在特定给定类型的对象,但搜索将其遗漏。如果搜索实用程序无法正确解释数据对象,则结果为假阴性。加密,压缩或搜索工具无法解释新数据的能力可能是导致这种情况发生的原因。
- (一世)。假阳性 :
- 正则表达式搜索–
正则表达式(Regex)是一种强大的方式,用于搜索基于文本的文件中的任何内容以查找具有可识别模式的数据。该搜索提供了比关键词更可表达的语言来描述感兴趣的对象。这是关键字搜索的扩展。这些还用于指定搜索电子邮件地址和精确类型的文件。要执行正则表达式搜索,请使用Encase工具。使用正则表达式不能完全描述所有类型的数据。正则表达式搜索还会导致误报和误报。 - 近似匹配搜索–
正则表达式搜索的扩展是近似匹配搜索。它使用匹配算法。近似匹配搜索算法允许在搜索关键字时出现字符不匹配的情况。它可以检测拼写错误的单词,从而导致单词不匹配并产生大量误报。 agrep用于近似匹配。 - 自定义搜索–
该工具使用启发式过程在收集的信息/数据中查找人员的全名。这些程序是为更复杂的搜索而编写的,例如来自新Technologies Inc.的FILTER_1工具,因为正则表达式的表达能力有限。这也遭受误报和误报。 - 搜索修改–
自过去指定瞬间以来已被修改的数据对象使用。像操作系统实用程序这样不经常修改的数据对象。通过将它们的当前哈希值与它们的预期哈希值进行比较来检测这些实用程序。搜索之前会建立一个预期的哈希库。