标准Encase特性

正如我们所知道的一样，Encase应用广泛、功能强大，它的特性也是非常多且实用的，标准的Encase给我们带来了方便，下面本文中将把Encase的特性一一列举出来，以供大家产考学习。

在Windows平台上将物理磁盘镜像恢复到新硬盘上。

同时分析和搜索不同文件系统，包括LINUX，Sun Solaris， Palm，Macintosh，FAT12，FAT16，FAT32，NTFS，CDFS，ISO 9660和DVD-R。

EnScript宏语言可创建强大的程序和过滤器，从而定制你的EnCase，并使用先进技术自动分析案件中所有的数据。

图片集视图会自动识别并用缩略图的方式将图片显示，这样可以方便的将图片标记或拷贝至CD-R上。

通过网卡、并口或FastBloc以非写入的预览方式浏览计算机，可以快速确定调查范围内计算机是不是包含证据。

导入或生成特定的文件Hash集。

对特殊介质进行鉴别、获取和创建案件。可读取Zip、Jaz驱动器、光磁介质、软盘、SCSI硬盘和IDE。

在Dos环境下获取硬盘，在Windows环境下通过FastBloc获取硬盘查看文件而不会修改时间戳、Hash值或文件内容。

对整个案件使用多个搜索条件来进行关键词搜索。

查看复合文件：Zip文件、Outlook电子邮件文件及它的附件和Windows注册表。

用强大的图形时间线视图查看案件中一切文件的相关时间戳 。

对感兴趣的文件段、图像文件或文件做书签以便以后参考，并自动在最后生成的报告中包括所有的书签。

案件中的任意文件，都将以图形方式显示磁盘簇或扇区分配。

Hex/Text视图将显示任意文件的内容。

用户界面类似于Windows的资源管理器，易于理解和操作。

用强大的UNIX GREP语法来进行高级搜索。

搜索结果将自动高亮显示并归档。

文件排序提升到5个不同的标准，其中包括时间戳。

导出文件的整个目录树、选中的文件或任意部分。

恢复磁盘和卷镜像到其它的硬盘上 。

去识别和验证文件特征，这样可以添加自定义签名。

浏览系统中特殊文件：松散文件、打印假脱机文件、回收站中的文件和交换文件。

构建已经存在的文件Hash库，以便EnCase可以自动识别这些文件。

格式化的报表显示了案件的相关调查人员、日期、时间及内容。

Encase is defined as to completely cover, surround or enclose. When your iPad is completely covered and enclosed by its case, this is an example of a time when you encase the iPad.completely covered in mud, this is an example of a time when you encase your feet in mud.当你的iPad是完全覆盖，并通过其封闭的情况下，这是当你包住iPad的时间一个例子。当你的脚在泥土完全覆盖，这是当你包住你的脚泥时的例子。