- fBI用户手册首页
- 第一章 FBI 软件简介
- 第二章 FBI 快速指南
- 第三章 FBI 视图说明
- 第四章 FBI 文件过滤
- 第五章 FBI 搜索查询
- 第六章 FBI 技术信息
- 第七章 FBI 升级信息
- 第八章 FBI 补充说明
FBI 应用方案视频演示:
世界最先进的多语种电子邮件数据分析软件
第五章 搜索查询
本说明中所有图片均出自fbi Desktop 完整版。
1、简单查询
最简单的搜索方式是直接输入所需查询的字词。输入单词后,fbi将找到证据数据中所有包含该单词的位置,包括文件属性和文件内容中的信息。
搜索单词不区分大小写, "joe", "Joe"
或 "JOE" 的搜索结果相同。
|
例如 | |
|
joe |
发现所包含有匹配单词 "joe"
的位置 |
使用通配符
单字通配符 "?" 号可用于除第一字符外的所有位置。如 "J?e" 用法正确,而"?oe" 则错误。
"?"
号可以代表单词中该位置的任何字符,包括空格。
|
例如 | |
|
nu? |
可以得到 "nuv", "num"
和
"nu"等搜索结果。 |
多字通配符 "*" 号可以用于除第一字符外的所有位置。 如 "B*ggs" 用法正确,而 "*ggs" 则错误。 "*"号可以代表语句中该位置的零或多个字符。
|
例如 | |
|
nu* |
可得到 "nunawading",
"nuix", "nu" , "numpages"等结果。 |
通配符混合使用 一个查询语句中,*号和 ? 号可以混合使用。
|
例如 | |
|
n?u* |
含义为:以 "n"为起始字母,第2字符是任意字符或没有;第3字符是 "u"
,后面可以是任意数量的字符。可以得到 "nsummary",
"neutral", "noun" 和
"nuix"等结果。 |
2、模糊查询
模糊查询需在搜索语句尾部添加 '~' 符号。
|
例如 | |
|
hot~ |
可得到"hot", "lot",
"hut", "hoc", "how", "shot", "got" 和
"pot"等结果。 |
3、逻辑运算(布尔运算)
与运算AND 可以对2个或2个以上的单词混合运算,包含这些单词的文件数据都将被搜索出来。与运算区分字符大小写: 搜索小写单词“and”时表示搜索该单词。
与运算可以配合其他查询方式,如通配符和模糊查询,共同使用。当输入多于1个单词时,系统默认对该短语进行AND 操作。"+" 号可代替AND运算符。
|
例如 | |
|
Joe
AND Bloggs |
搜索结果需同时包含 "Joe"
和
"Bloggs". |
|
Joe
Bloggs |
与上例结果相同。因为与运算是当前缺省运算。 |
|
Joe
+Bloggs |
与上例结果相同, + 号可代替 AND |
|
J*
AND Bloggs |
搜索结果包含"J" 为首字符的单词和
"Bloggs"完整字符。 |
|
Joe~
AND Bloggs |
搜索结果为 "Joe"
的模糊搜索结果和
"Bloggs"完整字符。 |
或运算OR
或运算可以对2个或2个以上的词混合运算,其中包含的任意1个词均可被搜索出来。或 运算像 与 运算一样,可与其他查询方式混合使用。
|
例如 | |
|
Joe
OR Bloggs |
搜索结果或者包含 "Joe"
,或者包含 "Bloggs"
。 |
NOT 非运算
非运算可以对2个或者2个以上的词混合运算,搜索结果将第1个单词找出来,但不包含第2个单词。非 运算可和其他查询方式混合使用。"-" 号可以代替NOT运算符。
|
例如 | |
|
Joe
NOT Bloggs |
搜索结果包含
"Joe",但不包含
"Bloggs"。 |
|
Joe
-Bloggs |
和上述结果相同, - 号代替 NOT。 |
混合运算
如果AND和OR在一个表达式中混用,则需使用( )括号。
|
例如 | |
|
(Joe
AND Bloggs) OR Smith |
搜索结果需同时包含 "Joe"
和
"Bloggs",或只包含
Smith。 (如此例可以发现包含 "Joe
Smith"的语句) |
|
Joe
AND (Bloggs OR Smith) |
搜索结果需同时包含Joe和 (Bloggs或者
Smith),结果不会发现 "Keith Smith",
但可以发现 "Joe
Bloggs"。 |
XOR 异或运算
fbi并不直接支持 XOR 运算。但是由于支持括号,因此可以达到相同的运算结果。
|
例如 | |
|
(Joe
NOT Bloggs) OR (Bloggs NOT Joe) |
搜索结果或者包含"Joe",或者包含 "Bloggs",
但不能同时出现这两个词。 |
4、搜索短语
如果希望搜索的是一个有空格的短句,如可在短句前后添加"双引号。
注: 使用双引号后,将无法使用通配符和其他功能符号,否则无法得到准确地搜索效果。一般情况下,特定功能符号如 "." 和 ":" 将自动从搜索词汇中删除,并视之为空格。因此,如果需要搜索包含这些符号的语句,必需使用短语查询方式,用”引号将搜索内容包含之中。
|
例如 | |
|
"Joe
Bloggs" |
搜索结果包含 "Joe
Bloggs",按照此排列顺序。 |
5、邻近查询
需要搜索单词之间相隔特定距离的短语,在搜索短语后面使用 ("~") 号。
|
例如 | |
|
"Joe
Bloggs"~2 |
搜索包含 "Joe
Bloggs"的语句,如 "Joe John
Bloggs"。 |
6、指定区域查询
对于单词搜索,如 "Joe", 将在文章内容或文件属性区域自动搜索。但也可以通过指定特定区域搜索数据信息。
指定搜索区域,需使用 ":"
冒号。例如,
"name:Wow",将只在文件属性的姓名区域中搜索 "Wow",而不在文件内容区域搜索。各种属性区域用法如下:
all
同时在属性区域和文本内容区域内搜索指定文本。注:缺省的搜索选项。
|
all:wow |
同时在属性和文本内容区域内搜索
"wow"。 |
|
wow |
与上例结果一致。 |
content
只在文件内容区域内搜索指定文本。
|
例如 | |
|
content:wow |
在文件内容中包含"wow"
的位置 |
name
在文件名区域搜索
注:可用于搜索电子邮件主题内的信息。此类信息被归入文件名区域。
|
例如 | |
|
name:"Check
this out" |
在文件名区域搜索短语"Check this out"
,同时搜索邮件主题。 |
mime-type 查找MIME 类型数据:
|
例如 | |
|
mime-type:message/rfc822 |
查找所有电子邮件数据。 |
|
mime-type:application/vnd.ms-outlook-note |
查找所有Outlook
邮件正文。 |
|
mime-type:application/vnd.ms-outlook-* |
查找所有Outlook数据项目。 |
|
mime-type:application/vnd.ms-* |
查找所有Office
文档,含其他微软程序生成的文件。 |
primary-mime-type
|
例如 | |
|
primary-mime-type:message |
查找通讯类信息,如电子邮件。 |
|
primary-mime-type:text |
查找文本类信息,如网页、RTF。 |
|
primary-mime-type:image |
查找图像格式文件。 |
|
primary-mime-type:application |
查找程序类、二进制文件。 |
sub-mime-type
搜索sub MIME 类型数据。这是MIME 的一部分。
|
例如 | |
|
sub-mime-type:vnd.ms-* |
搜索所有Microsoft
格式文件。 |
properties
搜索所有属性区域
|
例如 | |
|
properties:Bloggs |
搜索属性中包含Bloggs的信息。 |
|
properties:"Author:
Joe Bloggs" |
搜索属性中作者字段中包含"Joe Bloggs"
的信息。这种搜索非常精确,因为“:”号或其他特殊字符在过滤时常被忽略掉。 |
has-binary
测试文件中是否包含二进制数据。一般文件中很少包含二进制数据,通常表现为文件系统目录、邮件夹、压缩文件内的文件夹。参数只有0 或 1。参数1表示文件包含二进制数据。0表示不包含。
|
例如 | |
|
has-binary:1 |
搜索包含二进制数据的文件。 |
|
has-binary:0 |
搜索不包含二进制数据的文件。 |