アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

5.04aの問題点

この検索方法では、検索するキーワードとして指定された文字列が、それぞれのコードページへ変換されて(おそらく16進形式で)検索されていると思われます。これは、CPCONV で文字列を 16進数へ変換し、16進数形式のパターンで検索することと基本的には同じになります。
しかし、CPCONV で変換したパターンでは検索できるのに、EnCase で入力したパターンでは検索できないケースが EFE 5.04a では発生します。
勘のよい方はすでにお気づきかと思いますが、ISO-2022系ではエスケープシーケンスが存在しますので、EFE 5.04a がやっている単純に文字部分のみをバイト列に置き換えただけではパターンが一致しなくなり、文字の組み合わせによってヒットする場合としない場合が発生してしまいます。>5.04a
最初に例示しているような、CP932 とかの単純な文字列検索であれば 5.04a の検索機能で基本的には問題ないと個人的には理解していますが、詳しくは明日の調査技術ゼミで解説します(笑)
いずれにせよ、調査員が文字コードを意識して使わないと検索がヒットしてくれませんのでご注意ください。
一応、BlackHat Japan の資料を作るなかで発見した、検索の不具合?については GIS のメッセージボードで 4件ほど報告してありますので、いますぐ情報が必要な方はそちら参照か明日直接聞いてくださいということで(^^;;
あ、BlackHat Japan でデモしたのを一件まだ報告してなかった...orz
ちなみに、時間がなくて EnCase 以外のツールでこの辺りの検索がどうなるのかはまったくテストしていません(笑)*1

*1:Unicode 表示の問題についてはBHJでデモした通り、現時点ではどのファイルシステムフォレンジック専用ツールであっても表示をそのまま信用しないほうがよいわけです