文件內(nèi)容深度搜索方法和建議

建議以供參考。1、一鍵檢查的選擇模塊沒(méi)有分類(lèi)，讓人有點(diǎn)無(wú)所是從。有點(diǎn)常識(shí)的會(huì)慢慢選擇，可大多就是全選，導(dǎo)致檢查很慢，如果硬盤(pán)大，那就是個(gè)杯具。所以建議分為三類(lèi)，（1）信息收集（2）基本檢查（3）深度檢查;信息收集主要用于登記檢查用的，主要信息包適操作系統(tǒng)
類(lèi)型（如：Windows XP Sp1），系統(tǒng)安裝時(shí)間、硬盤(pán)型號(hào)，硬盤(pán)ID號(hào)，網(wǎng)絡(luò)IP，網(wǎng)卡MAC等信息�；�本檢查，就是包含能快速完成的檢查。當(dāng)然深度檢查就是包含所有深度檢查項(xiàng)。2、深度文件內(nèi)容檢查是個(gè)很有用的項(xiàng)，但是關(guān)鍵字只能設(shè)一個(gè)，太少了，我們現(xiàn)在用的檢查工具，可同時(shí)用多達(dá)幾十個(gè)的關(guān)鍵字進(jìn)行搜索，不知這個(gè)深度檢查，包不包適空閑扇區(qū)的檢查？3、報(bào)告應(yīng)能檢查結(jié)束自動(dòng)生成。另6.6版查不出我的硬盤(pán)信息。在6.3是可以的。


文件內(nèi)容深度搜索是查找硬盤(pán)是否存儲(chǔ)過(guò)被查關(guān)鍵字最徹底的軟件方法。
有一款軟件，叫X-Ways Forensics法證版，是計(jì)算機(jī)取證和數(shù)據(jù)恢復(fù)的利器。設(shè)計(jì)思路可供借鑒，即檢查功能的設(shè)計(jì)。
1、硬盤(pán)逐扇區(qū)搜索，完整包含已使用扇區(qū)、已使用扇區(qū)尾端的剩余扇區(qū)、磁盤(pán)空閑扇區(qū)。
2、可由用戶(hù)自己選擇搜索哪個(gè)分區(qū)：如C、D、E、F……�；蛘呤亲约哼x擇所搜索哪塊硬盤(pán)：如hd0、hd1、hd2……
3、檢查關(guān)鍵詞可支持多個(gè)詞匯同時(shí)查詢(xún)，支持邏輯“與”運(yùn)算、“或”運(yùn)算：如同時(shí)查找包含A、B、C詞匯的扇區(qū)，或者查找至少包含任何一個(gè)A、B、C詞匯的扇區(qū)。（文件扇區(qū)搜索好像支持“與”運(yùn)算本身就不太合理，“或”運(yùn)算用得比較多，就是同時(shí)可以支持查找?guī)资畟�(gè)詞匯）
4、中英文字符匹配，支持用戶(hù)自己選擇ASCII碼或Unicode碼。
5、最終顯示時(shí)，以列表方式，高亮標(biāo)出關(guān)鍵詞所在扇區(qū)。

另，普通文本搜索，因字處理軟件版本不斷更新，文件類(lèi)型建議由用戶(hù)自定義設(shè)置。主要包含：doc、dot、xls、xlt、ppt、pot、pps、docx、dotx、xlsx、xltx、pptx、potx、ppsx、rtf、txt、pdf、wps、et、dps……
普通文本搜索可借鑒微軟自帶的搜索功能，只要能包含各種隱藏屬性的文件，檢查關(guān)鍵詞可支持多個(gè)詞匯同時(shí)查詢(xún)，支持邏輯“與”運(yùn)算、“或”運(yùn)算。
普通文本搜索最終顯示時(shí)，以列表方式，高亮標(biāo)出關(guān)鍵詞文件。內(nèi)置簡(jiǎn)易文本瀏覽器，可直接查看。


另，普通文件搜索一般是搜索已存在的文件。
刪除文件的搜索，一般是列出已刪除的文件的文件名（FAT、NTFS），通過(guò)人為判斷文件名，從而確定某些文件，人為進(jìn)行數(shù)據(jù)恢復(fù)，再判斷。
或者是硬盤(pán)逐扇區(qū)關(guān)鍵詞搜索。
還有一種搜索方式，稱(chēng)為已刪除文件搜索，即對(duì)已刪除但數(shù)據(jù)未遭受覆蓋的文件，進(jìn)行類(lèi)似普通文件的搜索，通過(guò)用戶(hù)自定義的文件類(lèi)型和輸入的關(guān)鍵詞進(jìn)行已刪除文件的數(shù)據(jù)遍歷，最后顯示符合搜索條件的已刪除文件。在簡(jiǎn)易文本瀏覽器中，可直接查看。