アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

異なるコードページの一括検索

私信でご質問いただいたのですが、GSI のメッセージボードを読まれてない方もいらっしゃるようなので、こちらにも貼っておきます。それと、この検索方法の問題点についても後述したいと思います。調査技術ゼミのネタなので詳しくは明日なのですが...

EnCase 5.04 以降では、キーワード検索において、複数の文字コードを同時に検索できることがわかりましたのでそのメモです。

例えば、「日本」という漢字を Shift_JIS(932)、EUC-JP(51932) の両方で検索したい場合には以下の手順になります。

  1. キーワードの Search exporession に「日本」を登録
  2. Active Code-Page のチェックボックスを“外す”
  3. Code Page タブに切り替えて、932 と 51932 をブルーチェック
  4. 検索を実行する

これで複数のコードページ(文字コード)を一度の検索で実行することができます。 <注意事項1>
手順2の段階で、Active Code-Page のチェックボックスを外さないと、日本語版 Windows 上では SHift_JIS(932)のみが検索され、Code Page タブでブルーチェックした項目は検索されません。<注意事項2>
手順3の段階で、EnCase は入力されている検索文字列が有効なコードページを Valid カラムで表示します。Valid の項目が真であれば、キーワードをそのコードページで検索できます。
なお、複数のコードページを選択する場合には、ハイライトではなく、ブルーチェックする必要がある点に注意してください。<注意事項3>
検索ヒットのテーブルビューで、Preview と Hit Text の項目は異なるコードページが混在することになり文字が化けたように表示されます。
また、検索ヒット位置のハイライト表示は、ずれて表示されます。<注意事項4>
EFE 4.x で同じことが可能かどうかはテストしていません。