Encase
Encase是Guidance Software公司研发的取证产品,该公司成立于1997年。Encase的开发团队多半拥有计算机取证学专家的背景。该工具拥有强大的脚本功能,支持二次开发。可增强取证分析的针对性,使个人技能得到较大程度的发挥,是政府执法机构常用的取证工具,也被广泛的运用与司法、军队、公司监察等部门。
基本信息
- 中文名
Encase软件
- 外文名
Encase
- 学科
计算机软件
- 特点
强大的处理能力、司法有效获取
- 功能
获取证据功能、分析功能等
- 应用
证据取证
简介
Encase是Guidance Software公司研发的取证产品,该公司成立于1997年。Encase的开发团队多半拥有计算机取证学专家的背景。该工具拥有强大的脚本功能,支持二次开发。可增强取证分析的针对性,使个人技能得到较大程度的发挥,是政府执法机构常用的取证工具,也被广泛的运用与司法、军队、公司监察等部门。Encase分为单机版和企业版,本文重点讨论的是企业版即Encase Enterprise Edition。Encase企业版是世界上第一个可以有效执行远程企业紧急事件响应、审计、和发现任务的软件。计算机紧急事件响应工作组和计算机调查员可以利用该软件即时通过局域网或广域网识别、浏览、获取和分析远程的电子媒介。En-case企业版与Encase单机版软件(以Encase forensics software著称)都基于同样的代码和功能。Encase企业版从本质来说就是核心的Encase单机产品,但其采用了高度兼容的网络启动模式,另外基于实际考虑,在内部增加了相应的安全策略及功能增强的数据库1。
Encase是美国加利福尼亚州一家公司—Guidance Software提供的一款应用世界领先技术用于计算机犯罪调查取证的司法软件。其包含可执行软件和一个加密狗,加密狗中包含许可协议或公司远程更新程序,提供软件的更新升级服务,对版权的有效保护起到了重要的作用,主要分为企业版、法政版、智能版等版本。本文研究所用到的是法政版Encase forensic edition。
Encase是一款专业的国际上主流计算机犯罪数据分析取证软件。主要应用于执法部门、政府部门、军队和司法部门。它的使用排名位居第一,是行业的标准。中国大陆的使用率达到99%以上,北美超过500家、世界至少超过2000家的执法机关和鉴定部门在使用它,可见其使用的广泛性及市场占有率。Encase做为一款专业化的计算机取证软件在我国的网络警察的的取证工作中发挥了较大的作用,是当前最富有调查能力的软件,其具有特色的功能就是脚本开发功能,通过脚本的开发能够扩充Encase的功能,将网络民警在具体实践中总结出来的取证技术应用到Encase中。
Encase是基于Windows平台按照法律实施人员的需求和规范的的基础上用C编写的用于数据获取和分析容量大约为1M的程序。Encase提供了简单的方法来管理大量计算机介质的调查并记录查找结果。随着计算机和其他数字证据在破案的过程中越来越重要,取证实验室中需要处理的数字证据越来越多,司法取证工具帮助成功破获许多当地室内犯罪—儿童色情、家庭暴力、折磨虐待、麻醉催眠、赌博和确认小偷一在不遗漏有价值的计算机证据的同时大大减少了调查员破获一个案件的时间。Encase司法取证工具由犯罪司法专家参与开发,因此在法庭上得到认可2。
特点
Encase的主要特点就是保持证据的原始性,Encase完全是非破坏性的,对证据硬盘操作时不改变其中的数据,使其具有着法律效力。它能够调查Windows,Macintosh,Anux,Unix或Dos机器的硬盘,把硬盘中的文件镜像或将证据文件设为只读。这样可以防止调查人员修改数据而使其成为无效的证据。此外,任何大小的硬盘可以被压缩和存储在可移动的介质上,使你可以随身携带。甚至被删除文件、隐藏和被改名了的文件也可以用Encase方便快捷的定位。
强大的处理能力为用户节省宝贵时间:调查员能够在Encase获取硬盘或其他数字媒介的同时查看数据。一旦镜像文件创建完成,调查员就可以同时进行搜索和分析多块硬盘和其他数字证据,使用关键词搜索、Hash值分析、文件签名分析、特殊文件过滤器和复合过滤器。Encase对硬盘驱动镜像后重新组织文件结构,采用Windows GUI显示文件的内容。允许调查员使用多个工具完成多个任务。解决了之前对计算机系统的调查,记录调查,复制证据管理过程冗长的矛盾。
司法有效获取:Encase取提供了行业最有效的媒介获取方式,对数据的获取方式多样、灵活、方便。通过二进制模式复制原始硬盘或媒介,这种复制时物理级别的复制,并非仅仅是逻辑层的复制。通过计算哈希值〔验证相关镜像文件,确保数据的完整性。另外,计算CRC校验值确定证据是否被改变。这种方式已通过验证并经受了法庭上的多次考验。
可扩充的灵活性满足调查员的需求:Encase内嵌Enscript编程器,编程语言基于Java和C++。用户可以定制Scripts进行搜索并分析特殊文档类型。
新的64位版本:改进的性能、增强的多线程和更有效利用内存的能力。Encase司法取证工具通过查看所有相关文件,包括“己删除”文件,文件碎片和未分配空间,帮助调查员轻松管理大量的计算机证据。支持同时搜索和分析不同的文件系统,可以查看Windows注册表、Outlook电子邮件文件及其附件和Zip文件等复合文件,对感兴趣的文件、文件段或图像文件做书签方便将来参考,并自动在最后生成的报告中包括所有书签。对整个案件使用任意多个搜索条件进行关键词搜索。·
功能
概括地说,Encase具有三大功能2:
获取证据功能将目标存储介质固定
预览和获取是Encase的功能之一,主要特点是获取目标盘时可以避免对目标盘的擦写,保持原数据盘的完成性,遵循电子取证的最基本原则。获取的数据是逐个字节的物理获取,而非逻辑上的获取,为了保证数据的完整性,还提供了MD5的哈希值校验,确保拷贝的数据与原数据的一致性。
Encase的获取方式灵活多样,包括DOS下的获取、网络交叉电缆获取、并口电缆获取、FASTBLOC获取、驱动器对驱动器获取及对PDA和各种移动存储介质的获取等方式。可以应对各种复杂的取证环境。但是操作起来需要遵循一定的原则,讲究一定的操作方法。所有有着很强的原则性和技术性。
获取的前期需要创建DOS启动盘或网络启动盘。DOS版的Encase在获取的过程中有着非常重要的地位,几乎贯穿着取证过程始末。其中有一项功能是将计算机设置成服务器模式,这是网络获取和并口获取方式的必要前提。
预览和获取可以节省取证时间,提高取证效率。预览到证据盘的有用文件再进行获取,让获取更有针对性,改进了原来的冗余的全盘获取。