法安网

法安网内容检索

当前位置:首页 > 专题报道 > 电子取证 >

dtSearch工具在U盘电子取证技术中的应用

时间:2019-09-12 09:47:20   来源:中国人民公安大学

[法安导读]    当前,电子信息科学技术蓬勃发展,广泛应用于我们生活的方方面面,计算机在人们工作与生活中的地位越来越重要,与电子信息技术有关的案件也

  当前,电子信息科学技术蓬勃发展,广泛应用于我们生活的方方面面,计算机在人们工作与生活中的地位越来越重要,与电子信息技术有关的案件也纷至沓来。 为了能够有效适应电子信息技术的快速发展,在判定或处置各类纠纷和刑事案件活动过程中,一种新的证据形式, 即计算机及其相关外围设备(包括网络媒体)中存在的电子证据,逐渐演变为新的诉讼证据之一。 与传统证据和取证方法相比,电子证据本身和取证过程有许多新的特点,对计算机科学、法律等领域都带来了新的挑战。

dtSearch工具在U盘电子取证技术中的应用

       一、电子取证工具

  (一)硬件工具

  电子取证的硬件主要指硬盘数据的擦除、 可疑硬盘数据的克隆、某些网络监控器和取证接口机器转换装置等。国内外电子取证硬件工具主要有硬盘克隆机、便携式取证机、通用取证接口套件、网络计算机取证系统、分布式密码破解系统、硬盘只读锁等产品。 国外计算机取证产品较国内要丰富得多,其中美国最具代表性,包括Logicube、AccessData、Guidence、ICS,NTI等在内的知名专业公司的产品各具特色,种类繁多。近年来国内硬盘取证与克隆系列产品有相当的发展,已处于国际第一梯队,包括厦门美亚柏科的便携式取证机、深圳中科新业公司的网络电子取证系统、中科院金元龙脉网络安全公司的相关产品、上海金诺网安的计算机犯罪勘查取证箱、台湾慧全公司的DD 2212和DD 2128等。

  (二)软件工具

  电子取证相关软件的分类主要包括证据分析工具、文件浏览器、CD-ROM工具、 反删除工具、文本搜索工具等。目前国际上比较主流的电子取证软件包括:ForensicToolkit、The Coronner's Toolkit、Encase、Forensic X等.我国近年以来,对电子取证技术越来越重视,也开始开展计算机取证软件工具的研发,加大投入力度,其中比较典型的是厦门美亚柏科信息股份有限公司研发的电子数据司法鉴定审计监管系统。为了满足相关软件开发商与安全厂商的要求,我国安天实验室的AGBE SDK、北大青鸟的电子证据鉴定系统都在持续加大研发力度,金元龙脉和金诺网安公司也各自研发带有自己特色的电子取证软件产品。

  本文实验主要针对U盘中的文档或者相关数据进行搜索、查找和定位。目前市面上有少文本捜索工具,包括dtSearch、everything、quicksearch、 string finder、xserch,scavin等.其中,everything、quicksearch、xsearch只支持对文件名进行搜索,不能对文档内容进行搜索,搜索范围比较狭窄;scavin同样只支持对文件名进行搜索,而且只支持NTFS文件系统,不支持at32文件系统;string finder小巧灵活,不仅可以对文件名进行搜索,而且支持全文搜索,但是其不具备模糊查询、近义查询等功能。 dtSearch是dtSearch Corp公司开发的一款产品。dtSearch Corp是一家专注于文本搜索功能的软件公司,现在提供的软件服务包括企业桌面搜索、局域网和互联网抓取和搜索,以及为开发者提供的捜索引擎服务,可支持几十种常见文档类型,支持中文检索。dtSearch是目前功能最强大的一款文本搜索工具,不仅能够对文件名进行捜索,而且支持全文搜索,同时具备多种检索功能,支持多种检索类型,检索速度快,范围广,支持多种系统和环境,因而本文采取dtSearch工具进行实验。 本实验中使用的dtSearch产品版本为dtSearch 7.78(Build 8215)。

  二、使用dtSearch

  在U盘进行文本检索的实例

  (一)实验环境

  Windows 7 ultimate Edition

  dtSearch Desktop with Spider 7.78(Build 8215)

  (二)实验内容

  1.建立索引

  打开dtSearch desktop后,点击菜单栏Index-create Index按钮,创建一个新的索引。

  创建索引后可以按照提示添加文件和文件夹,索引中可以添加一个或多个文件及文件夹。 可以在所选的文件夹范围内使用Filename filters进行筛选。

  点击Start Indexing,开始对所选文件夹范围内的文件内容创建索引,根据所选择文件夹范围大小,创建索引过程需要耗费不等的时间。 索引完成后关闭窗口。

  2.更新索引

  当索引范围内文件有变化或增加删除时,需要更新索引,以免造成检索结果失去实时性。在主界面中点击index-update index选项,在update index框中选择要更新的索引,勾选左侧的“Index new or modified documents”以及“Remove deleted documents from index”,这样就可以将文件夹内文件的增加删除和修改更新到索引结构中。另外,在主界面中点击index index manager可以打开索引管理器,点击schedule index可以设置自动更新索引。

  3.通过索引进行检索

  可以在主界面快捷功能一栏中点击Search按钮(或按ctrl+s快捷键),打开搜索对话栏,如图3所示。

  右上角中列出了用户所创建的所有索引,用户可以选择一个或多个进行搜索。左上角中列出了被用户选择的所有索引中的单词或文字列表,可以双击单词添加到查找框中。
       4.检索选项

  Search features中包括了可以选择的检索选项:

  (1)Stemming 词根检索

  勾选后可以检索出与Search request中所列单词词根相同的结果,比如检索applies时,同样会检索到apply、

  applying和applied.

  (2)Synonym searching同义词检索

  勾选后进行检索时包括了包含与Search request中单词同义的词的检索结果,其中包含了Synonyms(同义词)、Related words(相关词汇)和User synonyms(用户同义词)三个选项。 这个功能使用了同义词词典。点击thesaurus按钮可以浏览整个同义词词典。

  (3)Phonic searching同(近)声词检索

  勾选后可以检索出与Search request中所列单词读音相同的结果,如Smith和Smythe。

  (4)Fuzzy searching模糊搜索

  勾选后可以检索出与Search request中所列单词只相差几个字母的结果,可以选择不同的模糊程度(0~10)。比如当模糊程度为4时,当检索alphabet时可能会找到alphaqet或alpkaqet.

  5.检索类型

  (1)Any words

  使用引号来包括住检索词汇,在单词前加“+”号表示单词同时出现,“-”号表示除去包含该单词的结果。

  (2)All words

  Search request中出现的所有单词都必须出现在检索结果中。

  (3)Boolean search

  检索的条件为一组关系表达式,单词之间用and、or等连接词连接。

  (4)更多检索选项

  点击More search options选项卡,可以对更多检索选项进行设置。 由于在使用过程中较不常用,此处不再赘述。

  (三)实验主要结果

  1.创建索引

  由于dtSearch在检索中使用了索引结构,在查找过程中所消耗的时间远小于创建索引所用的时间,几乎可以忽略,因此首先对不同大小的数据集创建索引的过程进行记录。

  
        2.检索

  在testlndex1索引中查找“test01”单词,不开启任何特殊查询,生成检索报告。

  Fuzziness(模糊程度)越高,检索所得结果数越多,但所得结果的准确率越低,即与检索词间的关联性越低。 在实际使用场景中可以根据需要选择不同的Fuzzinesso。

  当选择Phonic searching时,检索结果数为1725条,结果中除了检索到test外,还有text、txt等单词。

  当选择stemming和Synonym searching时,结果数量没有发生变化。

  (四)对实验结果的分析

  根据上述分析和实验,dtSearch工具显示了其在U盘各类存储数据中,对文档类文件进行搜索的强大功能。dtSearch能够对大量数据建立索引,完整地将需要查找范围内的各种文本格式文档按照一定的顺序建立索引,这样提前建立的数据结构大大提高了在正式查找过程中的速度。建立索引后,可以以文件形式存储在硬盘中,方便将来多次检索。 在正式检索过程中,由于已经建立了以字符为键值的索引结构,每次查找的时间几乎为0,这对于一些复杂案情的取证来说尤为重要。 在检索时,dtSearch提供了各种辅助检索的功能,如模糊查询、近义词查询、同音词查询等,并且可以针对案情需要进行一定的定制,如增加同音词词典等。 这些功能在一些特定场景下可以发挥极大的作用,并且弥补了索引查询结构不善于在进行区间查询的缺点。 每次的检索结果可以清晰地显示结果数、检索结果所在文件及其位置,以及该文档中该检索结果所在位置的上下文,能够迅速、准确地了解到检索结果相关的信息,也便于在检索结果数量大时较为迅速地判断最有用的一部分结果,这样的特点满足了了解案情及迅速破案的需要。另外,每次的检索结果可以在硬盘中保仔为一个检索报告文件,用来备份以及实现检索历史的复现。当然,dtSearch也有一定的缺点,比如每次文件发生更新时,索引结构就需要更新,如果没有配置自动更新的话,相关负责人员还需要时刻关注数据是否在建立索引后发生了変化,以保证检索结果的准确性和实时性。总体上,dtSearch能够迅速、及时、准确地找到索引目标所在名个位置以及相关前后文,索引类型与功能丰富,极大提高了文本检索的速度和质量。

  三、结语

  虽然计算机犯罪的科技含量正在持续提高,但或多或少仍会在各种设备或存储装置中留下痕迹,尤其是在如今,人们与各种电子设备联系紧密,交互频繁,形形色色的数据和信息广泛存在于各种电子设备之中,一旦有违法犯罪行为发生,可以对有关电子设备进行取证,搜索和查找与违法犯罪有关的信息与数据,以维护社会秩序和保障公私财产安全。 但是面对数量极其庞大的数据与信息,单单依靠盲目投入大量的人力、物力,财力是远远不够的,必须加强电子取证工具的研发,推广和应用,提高有关部门的工作效率。U盘电子取证是对电子取证技术进行研究的一个突破口,基于dtSearch的U盘电子取证技术研究以文档类文件为切入点展开了详细的探索与研究。

作者:段晨杰

编辑:广汉

声明:

本网站图片,文字之类版权申明,因为网站可以由注册用户自行上传图片或文字,本网站无法鉴别所上传图片或文字的知识版权,如果侵犯,请及时通知我们,本网站将在第一时间及时删除。

征稿启事

  • 投稿信箱:195024562@qq.com

品牌推荐更多>>