Documentation utilisateur Autopsy  4.19.1
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
Recherche par mot-clé ad hoc

Table des matières

Aperçu

Les fonctionnalités de recherche par mot-clé ad hoc vous permettent d'exécuter des recheches de mot-clé unique ou des listes de mots-clés sur toutes les images d'un cas. Les deux options sont situées en haut à droite de la fenêtre principale d'Autopsy.

keyword-search-ad-hoc.PNG

Le module Keyword Search (Recherches par mots clés) doit être sélectionné lors de l'acquisition avant d'effectuer une recherche par mot-clé ad hoc. Si vous ne souhaitez rechercher aucune des listes de mots clés existantes, vous pouvez tout désélectionner pour simplement indexer les fichiers pour une recherche ultérieure.

Créer des mots-clés

Les sections suivantes donneront une description de chaque type de mot-clé, puis montreront un exemple de texte et comment différents termes de recherche fonctionneront avec lui.

Exact match (correspondance exacte)

"Exact match" doit être utilisé dans les cas où le terme de recherche est censé être toujours entouré de caractères autres que des mots (généralement des espaces ou des signes de ponctuation). Les espaces/ponctuations sont autorisés dans le terme de recherche et la casse est ignorée.

The quick reddish-brown fox jumps over the lazy dog.

Substring match (correspondance de sous-chaîne de caractères)

"Substring match" doit être utilisé lorsque le terme de recherche n'est qu'une partie d'un mot, ou pour permettre différentes fins de mot. Les majuscules sont ignorées, mais les espaces et autres signes de ponctuation ne peuvent pas apparaître dans le terme de la recherche.

The quick reddish-brown fox jumps over the lazy dog.

Regex match (correspondance des expressions régulières)

"Regex match" peut être utilisé pour rechercher un modèle spécifique. Les expressions régulières sont prises en charge à l'aide de la Syntaxe de Lucene Regex qui est documentée ici: https://www.elastic.co/guide/en/elasticsearch/reference/1.6/query-dsl-regexp-query.html#regexp-syntax. Des caractères génériques sont automatiquement ajoutés au début et à la fin des expressions régulières pour garantir que toutes les correspondances soient trouvées. De plus, les hits résultants sont divisés sur des limites de séparateur communes (par exemple, espace, nouvelle ligne, deux-points, point d'exclamation, etc...) pour rendre le hit de mot-clé résultant plus facile à mettre en évidence. Depuis Autopsy 4.9, les recherches regex ne sont plus sensibles à la casse. Cela inclut les caractères littéraux et les classes de caractères.

Remarque: Depuis Autopsy 4.4, les caractères de limite ("^" et "$") ne fonctionnent plus comme limites de mot. Auparavant, une recherche sur "^[0-9]{5}$" renvoyait toutes les chaînes de cinq chiffres entourées d'un certain type de caractères autres que des mots. Par exemple, "Le nombre 12345 est .." correspondait, alors que "123456789 personnes" ne correspondait pas. C'était parce que l'expression régulière avait été comparée à chaque "mot" du document. Dans les versions plus récentes, le texte n'est pas divisé en mots en interne, de sorte que ce type de recherche ne fonctionne plus. Pour obtenir des résultats similaires, remplacez les caractères de délimitation avec les caractères spécifiques qui doivent représenter un saut de mot. Par exemple, "^[0-9]{5}$" pourrait devenir "[ \.\-\,][0-9]{5}[ \.\-\,]".

Il y a une certaine validation de l'expression régulière, mais il est préférable de tester sur une image d'exemple pour vous assurer que vos expressions régulières sont correctes et fonctionnent comme prévu. Un moyen simple de tester consiste à créer un exemple de fichier texte auquel votre expression doit correspondre, en l'intégrant en tant qu'Ensemble de fichiers logiques puis en exécutant la requête regex.

In the year 1885 in an article titled Current Notes, the quick brown fox first jumped over the lazy dog.

Autres notes

Mots clés intégrés

Le module Keyword Search (Recherches par mots clés) a plusieurs recherches intégrées qui ne peuvent pas être modifiées. Ceux qui sont les plus sujets aux faux positifs ("IP Address" et "Phone Number") exigent que le texte correspondant soit entouré de caractères de délimitation, tels que des espaces ou certaines ponctuations. Par example:

Si vous souhaitez remplacer ce comportement par défaut:

Texte non latin

En général, les trois types de recherche par mot-clé fonctionnent comme prévu, mais la fonctionnalité n'a pas été testée de manière approfondie avec tous les jeux de caractères. Par exemple, les recherches peuvent ne plus être insensibles à la casse. Comme avec le regex ci-dessus, nous vous suggérons de tester sur un exemple de fichier.

Keyword Search (Recherche par mot clé)

Il est possible de rechercher rapidement des mots clés individuels ou des expressions régulières à l'aide de l'assistant de recherche dans la zone de texte. Vous pouvez sélectionner les correspondances "Exact Match", "Substring Match" et "Regular Expression". Voir la section précédente Créer des mots-clés pour plus d'informations sur chaque type de mot-clé. La recherche peut être limitée à certaines sources de données uniquement en cochant la case située en bas, puis en mettant en surbrillance les sources de données dans lesquelles effectuer la recherche. Plusieurs sources de données peuvent être sélectionnées en utilisant les touches Maj+clic gauche ou Ctrl+clic gauche. La case "Save search results" détermine si les résultats de la recherche seront enregistrés dans la base de données du cas.

keyword-search-bar.PNG

Les résultats apparaitront dans une visionneuse de résultats distincte pour chaque recherche exécutée. Si la case "Save search results" a été cochée, les résultats seront également enregistrés dans l'arborescence comme indiqué dans la capture d'écran ci-dessous.

keyword-search-hits.PNG

Keyword Lists (Listes de mots-clés)

En plus d'être sélectionnées lors de l'acquisition, les listes de mots-clés peuvent également être exécutées via le bouton "Keyword Lists". Pour plus d'informations sur la configuration de ces listes de mots clés, consultez la section Onglet "Lists" de la documentation du module d'acquisition.

Les listes créées à l'aide de la boîte de dialogue "Keyword Search Configuration" peuvent être recherchées manuellement par l'utilisateur en appuyant sur le bouton "Keyword Lists" et en cochant les cases correspondant aux listes à rechercher. La recherche peut être limitée à certaines sources de données uniquement en cochant la case située en bas, puis en mettant en surbrillance les sources de données dans lesquelles effectuer la recherche. Plusieurs sources de données peuvent être sélectionnées en utilisant les touches Maj+clic gauche ou Ctrl+clic gauche. Une fois que tout a été configuré, appuyez sur "Search" pour lancer la recherche. La case à cocher "Save search results" détermine si les résultats de la recherche seront enregistrés dans la base de données du cas.

keyword-search-list.PNG

Si la case "Save search results" a été cochée, les résultats de la recherche de la liste de mots-clés seront affichés dans l'arborescence, comme indiqué ci-dessous.

keyword-search-list-results.PNG

Effectuer des recherches ad hoc lors de l'acquisition

Les recherches ad hoc sont destinées à être utilisées une fois l'acquisition terminée, mais peuvent être utilisées dans une capacité limitée pendant que l'acquisition est en cours.

Une recherche Keyword Search (Recherche par mot clé) manuelle pour des mots-clés individuels ou des expressions régulières peut être exécutée pendant l'acquisition, en utilisant l'index actuel. Notez cependant que vous risquez de manquer certains résultats si l'index n'a pas encore été renseigné intégralement. Autopsy vous permet d'effectuer la recherche sur un index incomplet afin de récupérer quelques résultats préliminaires en temps réel.

Pendant l'acquisition, la recherche manuelle normale utilisant des Keyword Lists (Listes de mots-clés) se comporte différemment une fois l'acquisition terminée. Une liste sélectionnée peut être ajoutée au processus d'acquisition et elle sera recherchée en arrière-plan à la place.

La plupart des fonctionnalités de gestion des mots clés sont désactivées lors de l'acquisition. Vous ne pouvez pas modifier les listes de mots clés, mais vous pouvez créer de nouvelles listes (mais pas y ajouter des éléments), copier et exporter des listes existantes.


Copyright © 2012-2021 Basis Technology. Généré le Mardi 27 Juin 2023
Cette documentation est sous licence Creative Commons Attribution-Share Alike 3.0 United States License.