精通
英语
和
开源
,
擅长
开发
与
培训
,
胸怀四海
第一信赖
美国警察部门最经常使用的取证软件就是Encase。全球至少2000家法制机制应用。以前至少要用15个软件才能做取证工作,现在只用Encase就可以完成任务。Encase可以对嫌疑磁盘做按位流镜像,功能非常强大。
通过主界面可以了解到,Encase可以按项目管理取证,可以显示全部文件、查找结果、具体文件、文件册、磁盘、证据、报告和脚本等等。文件的具体信息也内容丰富,方便使用。
Encase是全球公认的可信可靠的计算机电子取证工具软件,Encase功能强大,这是其他取证工具所无法比拟的。EnCase软件被司法、政府、军队、公司监查等部门广泛采用,是高级调查人员的有力武器。
Encase被用来查找并管理计算机中的数据。通过EnCase,调查员可以轻松管理计算机中的大量证据,包括已经删除的文件、闲散文件以及未分配空间中的数据等等。作为一款如此强大的取证工具,Encase有着自己独特的优势。
EnCase v7是由Guidance在2011发布,EnCase v7相对于传统的v5、v6界面有了较大改变,一改以往的四格和多级Tab界面,而采用了单页面多窗口的“浏览器式”风格。
EnCase是目前使用最为广泛的计算机取证工具,不少于2000家的法律执行部门都在使用此软件。Encase提供了良好的基于Windows的界面,左边是case文件的目录结构,右边是用户访问目录的证据文件的列表。
EnCase是能调查Windows,Macintosh,Linux,Unix或DOS机器的硬盘,把硬盘中的文件镜像成只读的证据文件,这样可以防止调查人员修改数据而使其成为无效的证据。为了确定镜像数据与原始数据相同,EnCase会将计算机CRC校验码和MD5哈希值进行比较。 EnCase对硬盘驱动镜像后重新组织文件结构,采用了Windows GUI 显示文件的内容,允许调查员使用多个工具完成多个任务。
在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括file slack,未分配的空间和Windows交换分区(存有被删除的文件和其它潜在的证据)的数据。在显示文件方面,EnCase可以由多种标准如时间戳或文件扩展名来排序。此外,EnCase可以比较已知扩展名的文件签名,使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示,并可打印出来。
EnCase取证版已经成为计算机取证的行业标准工具,用于发现、分析、展示计算机犯罪证据。它被广泛地运用于法律机构、政府部门、商业集团、顾问咨询公司,为我们提供了强有力的途径,迅速、彻底地鉴定、查找和恢复计算机犯罪证据。
另外,在计算机取证过程中,相应的取证工具还有很多,常见的有tcpdump,Argus,NFR,EnCase,tcpwrapper,sniffers,honeypot,Tripwires,Network monitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。