第一种信息是与被搜索或检查数字证据内容或者属性相关的信息,这种预测信息所搜索的结果与需要获取的数字证据存在一定关联关系。通常,需获取的数字证据是搜索结果的一个子集。
第二种信息是与被搜索或检查数字证据内容密切相关的信息,且该信息与该数字证据具有较好的对应关系。这种预测信息所搜索的结果与需要获取的数字证据存在较强的对应关系,能比较准确地搜索出需要的数字证据。
第三种信息与被搜索或检查数字证据的所有内容存在密切联系的信息,该信息与该数字证据一般具有较好的一一对应关系。将虚拟犯罪现场相关数据信息转化为需要比对的信息,便能搜索需要获取的数字证据,且搜索的准确度较高。
第四种信息与被搜索数字证据的内容或者属性存在间接的联系,通过该信息的获取,可以间接地确定需要搜索的数字证据的具体位置,或者可以确定搜索数字证据所使用的预测信息。
按照四种不同信息所使用的搜索技术依次可以称为基于字符串的搜索技术、基于特征码的搜索技术、基于数字指纹的搜索技术、基于痕迹信息的搜索技术。
1.基于字符串的搜索技术
如果事先能够确定数字证据包含的部分内容,可以将该信息作为检索条件从现场中检索符合条件的所有数字证据。例如,利用文件名、文件创建时间、文件修改时间、文件内容中所包含的字符串等信息。这些信息一般由字符串组成,将不同字符串根据不同的条件进行组合检索的技术为基于字符串的搜索技术。这里的字符串可以是二进制字符、ASCII字符、Unicode字符、MIME字符、…等等。
在虚拟犯罪现场中搜索数字证据时,该方法是最常用的方法之一。根据收集的场所又可进一步划分为存储介质中搜索、文件系统中搜索、应用系统中搜索等多种方法。在存储介质中搜索数字证据时,一般根据给定的字符串组合条件情况,从存储介质的开始到结尾,依次将字符串组合条件与介质中数据依次进行匹配,如果符合匹配条件,则将匹配所得的信息进行记录,最后将记录的信息提供给调查人员进行进一步分析和判断。文件系统中字符串匹配与存储介质中字符串匹配方法类似,唯一不同的是检索时需要在所在操作系统平台支持的一个或几个文件系统框架下进行,这表明有些隐藏的数据、文件系统中被删除的数据、被覆盖的残留数据、不能被系统识别的其它数据等均不能通过该方法检索出来。应用系统中字符串匹配指的是通过应用系统提供的检索功能进行字符串匹配或数据检索。通常,应用系统将要使用的所有数据存储在数据库中。需要数据时,再通过数据库提供的标准查询语句进行检索。因此,最常见的应用系统中字符串匹配是数据库中字符串的匹配。在数据库检索中,通过提供一种结构化的查询语言供数据库使用者进行检索数据。这种查询语言可以通过将复杂的条件表达式找到满足特定条件的数据库记录信息。
