精通
英语
和
开源
,
擅长
开发
与
培训
,
胸怀四海
第一信赖
精通
英语
和
开源
,
擅长
开发
与
培训
,
胸怀四海
第一信赖
下面我们将讲述创建新案件的方法和如何添加、验证证据文件。
1. 首先安装并启动Encase。
2. 点击“NEW”按钮来创建新案件,并输入信息如:案件描述、调查员的姓名。
3. 要注意文件夹是不是临时文件夹、在哪个盘。
首先,调查员可以设置脚本(EnScripts)访问存储系统的权限级别。脚本本质上是可以被恶意编码并对其存储硬盘驱动器产生负面影响的小程序。若是EnScripts被共享,就有可能导致一个不熟悉的脚本给存储系统带来问题。 脚本安全限制了脚本对本地文件系统的访问。调查员可以决定是否允许脚本读取本地文件的写入、内容或删除本地文件,决定是否允许脚本创建文件夹。
并且调查员还可以改变EnCase界面不同区域的字体、字体大小、手迹和风格。
在添加证据文件前,调查员必须知道证据文件是在局域网上还是在本地。
1. 文件中出现解压错误,文件可能被破坏,这时就要重新获取目标驱动器。
2. 添加证据文件的时候EnCase好象被‘冻结’了。任务管理器显示EnCase‘没有响应'。这种情形可能会在证据文件特别大时发生,但EnCase不是冻结而是在做大量的运算,需要耐心等待才行。
3. EnCase报告无法找到E02或EXX。只有同时装配证据的所有证据文件“块”,EnCase才能添加一个证据文件。把所有证据文件复制到硬盘驱动器的某个位置中。如果这些文件没有和第一个文件一样被放在同一文件夹内,EnCase将弹出对话框寻找其他剩余部分的位置。
4. 检查文件校验和错误。存有证据文件的介质无故损坏通常是因为该点的证据文件头受损。EnCase将无法识别并在添加案件时拒绝。要修复这种问题只能更换不同的源介质。建议对所有信息进行备份。
5. 无法读取从绝对扇区开始的64个扇区…… 这种情况通常表明证据文件目录结构中的一个文件指针指向EnCase无法获取磁盘区域。这是BIOS错误报告磁盘物理容量导致的故障。一种检查BIOS是否错报磁盘容量的方法是进入EnCase报告并检查驱动器的扇区结构。解决方法是在装有主体硬盘驱动器的电脑中手工输入Cylinders-Heads-Sectors信息,并重新获取整个驱动器而不要让BIOS自动检测CHS信息。另一种可能是存储计算机的BIOS不支持超过8位数的硬盘驱动器。最后,若CHS信息正确却仍然收到那些错误信息则说明你破坏了EnCase正在解释的信息,使文件指针指向不存在的区域,这种情况下要点击“OK”越过错误消息并检查证据文件。