关于Encase 4

随着时代的发展，科技的发达，Encase版本也在不断地更新着。相对于老版本，EnCase 4的不少功能都得到了增强 。如下：

• 用户界面的增强： 支持使用Tab键快速切换和打开案件，可同时打开多个案件并方便其切换。
• 识别过滤器和文件排序：增强的过滤界面从EnScript标签页中分离，可以快速创建、停止和激活过滤器。
• EnScript开发界面的增强：EnScript开发界面的增强是因为EnScript不仅采用了新的界面，同时也采用了新的命令，这使EnScript变得更为强大，能访问用户界面中的任何区域并方便编辑和为代码排错。增强后的开发界面无需运行EnScript即可将其编译和保存。

EnCase 4 新特性

NTFS压缩：被EnCase自动解压缩，可进行“明文”分析； 被EnCase自动标记，可被快速识别

支持PST文件：完全的Unicode和高级语言支持本地语言；允许调查人员用创建原始数据时的语言来查看文档、输入关键词和查看关键词搜索结果。同EnCase 3查看复合文件一样可通过一个简单的菜单命令以明文方式查看PST文件。

组合过滤器查询：将简单过滤器组合成复杂过滤器

灵活时区支持和管理：解决了所分析的介质使用的时区设置与调查人员所用时区设置不同的情况；支持Unix文件系统

允许勘查人员为每一个证据文件指定时区设置；分析Unix和Linux系统二进制日志文件且不用在EnCase环境以外解码；对目标操作系统的时区设置使用GMT时差。

NTFS文件夹权限和文件所有权：SID可以和NT的注册表文件交叉参考，来查看用户和组与SID的对应关系，允许调查人员通过SID查看一个NTFS卷上所有文件/文件夹的所有权和权限 。

EnCase 4性能的提升

先进的搜索算法提升了搜索速度

新搜索算法使多关键词的搜索性能接近于单关键词的搜索。

EnCase 4高级磁盘支持

动态配置磁盘

动态磁盘是Win2000系统中的磁盘管理系统。EnCase 4读取动态磁盘分区结构并立刻将其配置，动态磁盘包括跨区、镜像、简单、条 带集和RAID-5卷。

EnCase 4 NTFS磁盘配置

NTFS4文件系统中，跨磁盘布局信息和分区类型不是记录在MBR中，而记录在 Windows NT注册表的键值中。EnCase 4.0可以读取这些附加的分区信息，并基于注册表中的信息来配置，如：striped，RAID 5，spanned，mirrored等。

小结

总之，Encase 4的出现确实带来了更多便捷的操作，让我们取证的同时变得更加简单和省时。尤其是Encase 4新特性和性能的提升使这款软件变得更加快捷和受人欢迎，也大大提升了Encase的易用性。