第二选项，用于设定大于一定容量的文件，如可查找大于3.4KB的文件。 两个选项同时使用，用于设定一定容量大小之间的文件。 四、按文件时间过滤

创建时间：当前磁盘中的文件和目录的创建时间。 修改时间：当前磁盘中文件和目录最后修改后的时间。 访问时间：但前磁盘中文件和目录的最后读取或访问的时间。

记录更新时间：NTFS或Linux文件系统中，文件和目录的最后修改时间。这是包含于文件元数据中的文件系统数据结构。

删除时间：Linux系统下文件和目录的删除时间。 四、按文件属性过滤

A = 文档 R = 只读 H = 隐含 S = 系统 P = 连接点

C = 文件系统级压缩

c = ZIP, RAR等文件中压缩 E = 文件系统级加密

e = ZIP, RAR中加密文件 e? = 可能是压缩或加密的

第六章 搜索

同步搜索，允许用户指定一个搜索关键词列表文件，每行设定一个搜索关键词。所发现的搜索关键词被保存在搜索列表中，或位置管理器中。同步搜索能够以“物理搜索”和“逻辑搜索”两种方式进行。物理搜索，通过扇区方式进行；逻辑搜索，通过文件方式进行。相比而言，逻辑搜索功能更强大，更彻底。

数据搜索时，可以同时使用Unicode (UCS-2LE)和代码页方式对相同的词汇全面搜索。当前Windows系统默认代码页，被标记有星号，且被缺省采用。如美国和西欧的计算机，通常默认代码页为1252 ANSI Latin I。Microsoft Windows使用ANSI代码页。苹果Macintosh使用MAC代码页。OEM表示DOS和Windows命令行中使用的代码页。如果搜索词汇无法转换为当前使用的代码页，搜索时将会出现提示信息。

一、选定搜索文件

将所有文件展开，或通过过滤选择所需搜索的文件。

1、在特定文件中搜索，须首先选择文件，并添加标记。之后，可以使用在标记数据中搜索。如在所有文件中搜索，无需选择文件。直接选择在所有数据中搜索。 2、点击同步搜索

3、输入关键词。每行一个关键词，支持空格。 4、输入关键字，选择字符编码

如果需要搜索Unicode字符，则需将Unicode (UCS-2LE)选中。如果对PDF等文件中的数据进行搜索，还需选择“解码文件中的文本”。对非Unicode文本进行搜索，需使用代码页。对不同语种字符进行搜索，需将代码页设置为相应语种。繁体中文代码页为950，日文为932，韩文为949。 5、设定其他选项

如果只需要发现包含有关键词的文件，则可将“每个文件显示1个搜索结果”选中，以提高搜索速度。

通过选定证据项中搜索，可以在当前案例中多个磁盘或镜像文件中进行搜索。 二、查看搜索结果

搜索结束后，显示所有包含关键词的搜索结果。本例中共有5个关键词，173个搜索命中结果。双击每一个关键词，可以查看该关键词的搜索结果。搜索结果保存在案例文件中。再次打开案例文件，搜索结果依然保存。通过DEL键，可以删除该关键词及结搜索果。