EnCase v8.x

EnCase是數位鑑識領域中,非常有名的一套軟體,為Guidance Software公司生產, 該公司成立於1997年,開發團隊的成員多半是具有數位鑑識人員(專家)背景. EnCase支援各種作業系統及檔案系統,為國際間普遍被採用的專業電腦鑑識軟體。

  • Direct network preview for remote investigation capability
  • Evidence processor capable of processing data more than three times faster
  • Prioritized processing feature allowing faster evidence analysis
  • Integrated and robust smartphone capability


EnCase V8.x 鑑識軟體功能說明

1、支援之檔案系統                                                       
(1)Windows FAT12、FAT16、FAT32、NTFS、Macintosh HFS、HFS+、Sun Solaris UFS、Linux EXT2/3、Reiser、BSD FFS、Palm、TiVo Series One and Two、AIX JFS、CDFS、DVD、UDF和ISO 9660。
(2)支援影像及磁碟陣列(RAID)之分析(包含硬體與軟體磁碟陣列)。
(3)支援Windows 2000/XP/2003 Server動態磁碟(Dynamic Disk)。
(4)有能力預覽與獲得選擇的掌上型電腦(Palm)設備。
( 5 ) 有能力直接自智慧型手機或平板電腦擷取資料。
(6)有能力直譯(interpret)與分析VMware、DD和SafeBack v2 影像格式。
2、資料擷取方式
(1)處理全程必須為非侵入性(noninvasive)的資料擷取與檔案複製。
(2)擷取與複製之資料並須經過冗循環驗證(Cyclical Redundancy Checksum(CRC))與訊息摘要雜湊值(Message Digest 5(MD5))驗證。
3、分析功能
(1)支援自行選擇分析的種類。
(2)支援欄位排序功能,如時間戳記(包含檔案建立日期、上次存取時間、最後修改時間等)、檔案名稱、檔案簽章與副檔名、雜湊值、完整路徑、權限等。
(3)支援使用者自行定義篩選資料功能,並且可運用簡單邏輯條件(OR 或 AND)來建立複雜的查詢條件。
(4)支援以Windows瀏覽器瀏覽已刪除或未配置檔案。
(5)支援萬國碼(Unicode)。
(6)支援儲存媒體加密與硬碟加密。
(7)支援Active Directory資訊擷取(包含Active Directory 資料庫、使用者名稱、SID、電子郵件、最後登入者帳號、最後錯誤登入與密碼更改)。
(8)可自動重建已格式化的NTFS和FAT儲存媒體之架構。
(9)支援複合文件與檔案分析:包含Microsoft Office documents、Outlook PSTs、TAR、GZ、Thumbs.db and ZIP檔案,Encase可以自動顯示內部這些內部檔案、檔案架構、資料與解釋資料(metadata)。
(10)支援檔案簽章分析(File Signature Analysis)、雜湊函數分析(Hash Analysis)、內部註冊檔檢視。
4、支援在實體或邏輯儲存媒體中搜尋相關資訊的能力,包含:關鍵字搜尋、網際網路與電子郵件搜尋(搜尋儲存在電腦中的郵件格式,如:Hotmail、Outlook、LotusNotes、Yahoo、AOL、Netscape、mbox、Outlook Express和Internet Explorer、Mozilla、Opera和Safari的相關資訊)。
5、支援產生文件與報告功能,包含:
(1)自動產生報告:
A、列出案件內所有檔案與資料夾。
B、列出所有以瀏覽過的網站之URLs與相對應之資料和時間。
C、列出實體於邏輯磁區之細部硬碟資訊。
(2)支援以畫廊(Gallery View)方式整合圖片瀏覽功能。
(3)報表支援顯示檔案相關時間屬性。
(4)報表支援時區設定功能,可用來比較不同媒體之時區辨別。
6、支援Internet和Email調查,包含:
(1)支援發覺、分析、顯示與提供文件證明多種電子郵件格式,包含:Outlook PSTs/OSTs(’97-’03)、Outlook Express DBXs、Lotus Notes、webmail(例如:Yahoo、Hotmail、Netscape Mail、UNIX mbox、UNIX email applications等),並可顯示已刪除之電子郵件、註記及相關郵件日期資訊。
(2)支援Internet分析:包含Internet歷史資料可用關鍵字搜尋、Web快取資料分析、HTML頁面重建。
7、須提供EnCase Virtual File System(VFS)模組功能或同等品。
8、須提供EnCase Physical Disk Emulator(PDE)模組功能或同等品。
9、須提供FastBloc Software Edition(SE)模組功能或同等品。


 
more...

© 2015 鑒真數位 All Rights Reserved