안녕하세요^^ 도깬리 포렌식스입니다.
오늘은 인덱스(색인)에 대해서 알아 볼려고 합니다. 사실 인덱스 분석은 매우 훌륭한 분석기법임에도 불구하고 키워드 분석에 비해 상대적으로 많이 사용하지는 않습니다. 한번 만들어 두기만 하면 매우 빠르게 찾고자 하는 데이터를 검색할 수 있는데도 말이죠. 우리나라 사람들은 성격이 많이 급하잖아요. 인덱스를 만드는데 수일이 걸릴 때도 있어서 그걸 못 기다리는 거죠^^. 이제 시작해볼까요.
인덱스 검색 옵션 개요
모든 키워드 또는 특정 키워드 검색하는 방법
기본적으로 모든 키워드를 포함하는 아이템을 검색한다.
예) George Washington à George와 Washington을 검색
OR 오퍼레이터
키워드 중 하나만 검색한다.
예) George OR Washington
AND 오퍼레이터
키워드 둘다 검색한다.
예) George AND Washington
서로 가까이에 있는 키워드를 검색하는 방법
w/ 오퍼레이터
2 개의 키워드가 서로 몇 개의 단어 안에 있는 것을 검색한다.
예) George w/3 Washington
pre/ 오퍼레이터
첫번째 키워드가 두번째 키워드의 몇 개의 단어앞에 있는 것을 검색한다.
예) George pre/3 Washington
pre/1 오퍼레이터
따옴표를 사용하여 정확한 구를 검색 가능
예) “George Washington” 또는 George pre/1 Washigton
검색 쿼리를 그룹화하는 방법
괄호를 사용하여 검색 쿼리를 함께 그룹으로 묶을 수 있다.
예) (George and Washington) 또는 (Abraham and Lincoln)
원하는 만큼 삽입어구를 포함할 수 있다.
예) (George and (Washington or Bush))
George와 Washington 또는 Bush를 포함하는 모든 아이템을 검색하라는 조건식이다.
괄호를 사용해서 Boolean 논리 쿼리(AND, OR)에 proximity 쿼리(pre/, w/)를 포함시킬 수 있다.
예) Delaware and (George pre/3 Washington)
lWashington 앞에 3개의 단어에 George를 포함하는 모든 아이템을 검색하라는 조건식이다.
문서 필드에서 키워드를 검색하는 방법
꺽쇠 ([ ]) 기호를 사용하여 검색 필드를 제한할 수 있다.
[Display Name]
파일명만 검색한다.
[Path]
파일경로만 검색한다.
[Category]
파일유형별을 검색한다.
[File Type Tag]
파일타입을 검색한다.
[Description]
엔트리의 상태를 검색한다.
데이터 필드나 데이터 속성 검색하는 방법
원하는 날짜나 날짜 기간 검색하기
[Created]#2004#
[Created]#2004-11-19#
[Created]#2004-02-03…2004-02-17#
[Created]#2004-02-03…#
[Created]#...2004-02-07#
숫자 속성 검색하기
[Logicalsize]#1034#
[Logicalsize]#1000…3000#
[Logicalsize]#...3000#
[Logicalsize]#1000…#
대소문자를 구별하여 단어 검색하기
<C>
대소문자 구별
<C->
대소문자 구별 안함
문자 기호를 사용한 패턴 검색하기
? (물음표)
한 개의 문자에 어떤 문자가 와도 검색 가능하다.
예) c?t : cat, cot, cut은 검색이 가능하나, caught는 검색이 안됨
* (별표)
모든 개수의 문자가 와도 검색이 가능하다.
예) ind* : indecisive, indignant, Indiana 모두 검색이 가능하다.
Stemming
~ (물결)
특정 리스트에서 단어를 stem 하려면 ~<s: 키워드, 키워드, 키워드> 조건식을 사용한다.
감사합니다. 오늘도 즐거운 하루 되세요.
"좋아요"와 "구독하기"는 힘이 됩니다.
참고문서 : EnCase Computer Forensics (1)
'EnCase' 카테고리의 다른 글
| [EnCase] RAW 검색 (Keywords 검색) 하기 (0) | 2022.01.30 |
|---|---|
| [EnCase] 인덱스 검색 (2) (0) | 2022.01.29 |
| [EnCase] EnCase의 검색 기능 소개 (0) | 2022.01.27 |
| [EnCase] EnCase의 분석 기능 (Evidence Processing) (0) | 2022.01.26 |
| [EnCase] EnCase Processing 준비하기 (0) | 2022.01.25 |