@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Autopsy 4.4.0 におけるキーワード検索(二つのタブ)

Autopsy には「ストリング」と「インデクス化されたテキスト」と二つのタブが存在する。
PDF や DOCX ファイルなどの場合、ストリングとインデックス化されたテキストではそれぞれ異なるテキストデータが表示される。

下記画像では、PDFファイルを処理した後、それぞれのタブで文字列を確認している。


例)ストリングの出力結果

f:id:hideakii:20170814140915p:plain

例)インデックス化されたテキスト

f:id:hideakii:20170814140929p:plain

キーワード検索は、「インデックス化されたテキスト」を対象に行われるので、例えば「ストリング」のタブでのみ表示されている文字列は、キーワード検索から探す事はできない。(上記図であれば、ストリングで表示されている文字列 PDF-1.7 を検索してもヒットしない)
例えば、不明ファイルとして処理された場合は、「ストリング」と「インデックス化されたテキスト」は同じ内容になっているので、ある意味「ストリング」の文字列を対象にキーワード検索を行う事ができる。

「インデックス化されたテキスト」ではなく、「ストリング」で抽出された文字列を対象にキーワード検索を実施した方がよいケースとしては、どの様な場合が想定されますか?