Encase

地位描述

美国警察部门最经常使用的取证软件就是Encase。全球至少2000家法制机制应用。以前至少要用15个软件才能做取证工作，现在只用Encase就可以完成任务。Encase可以对嫌疑磁盘做按位流镜像，功能非常强大。

主界面

通过主界面可以了解到，Encase可以按项目管理取证，可以显示全部文件、查找结果、具体文件、文件册、磁盘、证据、报告和脚本等等。文件的具体信息也内容丰富，方便使用。

简介

 Encase是全球公认的可信可靠的计算机电子取证工具软件，Encase功能强大，这是其他取证工具所无法比拟的。EnCase软件被司法、政府、军队、公司监查等部门广泛采用，是高级调查人员的有力武器。

Encase被用来查找并管理计算机中的数据。通过EnCase，调查员可以轻松管理计算机中的大量证据，包括已经删除的文件、闲散文件以及未分配空间中的数据等等。作为一款如此强大的取证工具，Encase有着自己独特的优势。

产品特点

• 使用方便，可以获取各种系统的镜像文件 
• 自动生成详细报告，以RTF或HTML形式导出 
• 方便的图片查看器，支持ATR，BMP，GIF，JPG，PNG和TIFF等多种格式 
• 扩展时间标签，可以查看文件的创建时间，最近访问或修改时间等活动 
• 支持各种文件系统，如FAT16，FAT32，NTFS，Macintosh HFS，HSF+，Sun Solaris UFS，Linux EXT2/3，Reiser，BSD FFS，Palm，TiVo Series OneTwo，AIX JFS，CDFS，Joliet，DVD，UDF和ISO 9660等 
• 支持RAID磁盘阵列 
• 支持多种邮件格式，如Outlook，Outlook Express，Yahoo，Hotmail，Netscape Mail和MBOX，还支持AOL 6.0，7.0，8.0，9.0和PFCs等 
• 支持多种浏览器格式，如IE，Mozilla Firefox，Opera和Apple Safari等
• 使用方便，可以获取各种系统的镜像文件 
• 支持多种浏览器格式，如IE，Mozilla Firefox，Opera jiaoshou is a big sb

历史

EnCase v7是由Guidance在2011发布，EnCase v7相对于传统的v5、v6界面有了较大改变，一改以往的四格和多级Tab界面，而采用了单页面多窗口的“浏览器式”风格。

相关内容

EnCase是目前使用最为广泛的计算机取证工具，不少于2000家的法律执行部门都在使用此软件。Encase提供了良好的基于Windows的界面，左边是case文件的目录结构，右边是用户访问目录的证据文件的列表。

EnCase是能调查Windows，Macintosh，Linux，Unix或DOS机器的硬盘，把硬盘中的文件镜像成只读的证据文件，这样可以防止调查人员修改数据而使其成为无效的证据。为了确定镜像数据与原始数据相同，EnCase会将计算机CRC校验码和MD5哈希值进行比较。 EnCase对硬盘驱动镜像后重新组织文件结构，采用了Windows GUI 显示文件的内容，允许调查员使用多个工具完成多个任务。

在检查一个硬盘驱动时，EnCase深入操作系统底层查看所有的数据——包括file slack，未分配的空间和Windows交换分区(存有被删除的文件和其它潜在的证据)的数据。在显示文件方面，EnCase可以由多种标准如时间戳或文件扩展名来排序。此外，EnCase可以比较已知扩展名的文件签名，使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示，并可打印出来。

EnCase取证版已经成为计算机取证的行业标准工具，用于发现、分析、展示计算机犯罪证据。它被广泛地运用于法律机构、政府部门、商业集团、顾问咨询公司，为我们提供了强有力的途径，迅速、彻底地鉴定、查找和恢复计算机犯罪证据。

另外，在计算机取证过程中，相应的取证工具还有很多，常见的有tcpdump，Argus，NFR，EnCase，tcpwrapper，sniffers，honeypot，Tripwires，Network monitor，镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。