【文件属性】：
文件名称：常用搜索工具-infor企业资产管理（infor eam）解决方案概览
文件大小：7.41MB
文件格式：PDF
更新时间：2021-06-22 06:37:53
日志分析 2.3 常用搜索工具 UNIX 环境下的搜索工具主要包括 UNIX 系统自带的 grep 之类的内容搜索命令和 find 之 类的文件搜索命令，以及一些提供了丰富搜索功能的外部综合性取证分析工具，例如 Forensix、TCT（The Coroner’s Toolkit）等工具。在离线调查取证中，这些工具可以单独使 用，也可以配合使用，从而更好地实现调查数据的范围缩小和可用证据数据的定位。 2.3.1 特殊文件处理 像 grep、find 等 UNIX 系统自带搜索工具通常只能鉴别现存的包含纯文本字符串的文 件，对于那些被压缩、被加密或被删除的特殊文件，无法单独通过这些简单搜索技术找到相 关内容。为保证搜索结果的有效性和准确性，我们应该在开始内容搜索前对这些文件进行相 应的处理（解压缩、解密、恢复文件等）。 对于比较特殊的情况，例如特定图像和视频、音频的处理，由于此类二进制形式的信息 不具有文本易识别的特征，普通搜索工具无法对其内容进行直接搜索，但调查人员可以通过 文件名特征来进行间接搜索。例如，可以利用对指定的文件名后缀（.bmp、.avi、.mp3）进