第六章   搜索

本说明中所有图片均出自X-ways Forensics 13.8 版。
 
同步搜索，允许用户指定一个搜索关键词列表文件，每行设定一个搜索关键词。所发现的搜索关键词被保存在搜索列表中，或位置管理器中。同步搜索能够以“物理搜索”和“逻辑搜索”两种方式进行。物理搜索，通过扇区方式进行；逻辑搜索，通过文件方式进行。相比而言，逻辑搜索功能更强大，更彻底。

数据搜索时，可以同时使用Unicode (UCS-2LE)和代码页方式对相同的词汇全面搜索。当前Windows系统默认代码页，被标记有星号，且被缺省采用。如美国和西欧的计算机，通常默认代码页为1252 ANSI Latin I。Microsoft Windows使用ANSI代码页。苹果Macintosh使用MAC代码页。OEM表示DOS和Windows命令行中使用的代码页。如果搜索词汇无法转换为当前使用的代码页，搜索时将会出现提示信息。

一、选定搜索文件

    将所有文件展开，或通过过滤选择所需搜索的文件。

    1、在特定文件中搜索，须首先选择文件，并添加标记。之后，可以使用在标记数据中搜索。如在所有文件中搜索，无需选择文件。直接选择在所有数据中搜索。

    2、点击同步搜索

    3、输入关键词。每行一个关键词，支持空格。

    4、输入关键字，选择字符编码

    如果需要搜索Unicode字符，则需将Unicode (UCS-2LE)选中。如果对PDF等文件中的数据进行搜索，还需选择“解码文件中的文本”。对非Unicode文本进行搜索，需使用代码页。对不同语种字符进行搜索，需将代码页设置为相应语种。繁体中文代码页为950，日文为932，韩文为949。

    5、设定其他选项

    如果只需要发现包含有关键词的文件，则可将“每个文件显示1个搜索结果”选中，以提高搜索速度。

    通过选定证据项中搜索，可以在当前案例中多个磁盘或镜像文件中进行搜索。

    二、查看搜索结果

    搜索结束后，显示所有包含关键词的搜索结果。本例中共有5个关键词，173个搜索命中结果。双击每一个关键词，可以查看该关键词的搜索结果。搜索结果保存在案例文件中。再次打开案例文件，搜索结果依然保存。通过DEL键，可以删除该关键词及结搜索果。

    可以通过搜索结果栏，预览所搜索的关键词上下文内容。

    描述栏，可以查看搜索方式及编码方式。有Unicode、代码页和Decoded三种。

    点击相关文件，可以通过预览方式察看文件内容。

    对于文件的操作，与文件浏览器操作方式类似。通过鼠标右键菜单，可以进行标记、复制、注释等操作。如果需要在案件报告里包含文件内容中的重要信息，可以复制这些信息，全部粘贴到注释中即可。