アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

『〜』の検索

正しく理解できてないかもしれませんが、『〜』という文字を Unicode から CP20932 へ変換すると変換がエラーになるそうです。(逆方向は問題なし)
へぇエラーになるんだぁ・・・ですまそうと思ったのですが、よく考えると検索をミスる危険性があるんですかね。
推測で書きますが、EnCase は文字列検索*1を行う際、入力(登録)された文字列を Unicode から指定されたコードページ(例えば 20932)へ変換して検索してるんぢゃないでしょうかね?
もし、Unicode から 20932 へ変換した際にエラーが発生し、文字列が正しく検索されなかったりすると見落としが発生するかもしれません。手元の EnCase 4.19a日本語版ではそんな動作になっている気がする。*2
ま、そいうの考えるのややこしいので16進(\xFF)で検索しちゃったほうが楽かなぁと思っていたりするのですが、文字コードが色々あるし、注意点もあるのでそんなに簡単ぢゃないですね(^^;;
jstrings とか umqさん作のツール(画像)は、日本語を検索したいアクセス探偵には必須ツールでしょう(笑)

*1:コードページを指定して文字列検索を行う場合、16進指定でgrepするなら影響なし

*2:8/24付けで日本語版4.19aがダウンロードできるようなったそうで、試しに入れてみたのですが英語な画面に慣れているので違和感がありますね