Encase

Основы
EnCase® Forensic
Часть 2: Установка программы,
интерфейс Encase, добавление
исследуемого объекта в дело,
навигация по делу.
Общие сведения о Encase
Окно
приветствия
мастера
установки
Общие сведения о Encase
Лицензионное
соглашение
Общие сведения о Encase
!
Если вы впервые устанавливаете
программное обеспечение
EnCase®, извлеките все
электронные защитные ключи и
поставьте флажок рядом с
параметром «Установить
драйверы» (“Install CodeMeter
Drivers”), чтобы установить или
обновить драйверы, необходимые
для электронных ключей EnCase®.
Общие сведения о Encase
Дополнительны
параметры
установки
Общие сведения о Encase
Сообщение об
успешном
завершении
установки
Общие сведения о Encase
Общие сведения о Encase
На следующем этапе необходимо
установить файлы сертификата.
Если у вас есть файлы
сертификата, скопируйте их в папку
«Certs». Путь к этой папке по
умолчанию: C:\Program
Files\EnCase7\Certs
Общие сведения о Encase
Общие сведения о Encase
Если файла сертификата нет –
ссылка на его скачивание придет в
письме после регистрации ключа:
Certs
How to Install Encase® Certificate Files
How to Install Encase® EnLicense Files
SC2005010.cert
Общие сведения о Encase
Запуск Encase.
Общие сведения о Encase
Регистрация EnCase Forensic 7
Общие сведения о Encase
Общие сведения о Encase
Encase
Общие сведения о Encase
Новое дело
Общие сведения о Encase
Создание нового дела
Общие сведения о Encase
Информация о деле для отчета
Общие сведения о Encase
Если позднее необходимо обновить
параметры диалогового окна
«Опции дела» (“Case Options”),
используйте соответствующий
пункт в меню «Дело» (“Case”).
Общие сведения о Encase
Общие сведения о Encase
!
Нельзя изменить информацию
в полях «Имя» (“Name”) или
«Полный путь к делу» (“Full
Case Path”); эта информация
предоставляется только для
справок и доступна только для
чтения.
Общие сведения о Encase
Опции дела
Общие сведения о Encase
Начальная страница дела
Общие сведения о Encase
Обратите внимание, что в папке дела создается
несколько дополнительных папок:
 «CorruptPictures» – содержит изображения,
поврежденные во время процесса создания
миниатюр;
 «Email» – папка обработки электронной почты;
 «Export» – папка по умолчанию для экспорта
исследуемых данных;
 «Results» – содержит результаты запросов по
индексу;
 «Tags» – папка для хранения сведений о тегах;
 «Temp» – папка временных файлов по умолчанию,
используемая при просмотре файлов.
Общие сведения о Encase
Папки дела по умолчанию
Общие сведения о Encase
Папки «CorruptPictures» и «Results»
будут созданы посредством
Evidence Processor.
Общие сведения о Encase
Общие параметры конфигурации доступны в
диалоговом окне «Опции» (“Options”)
Общие сведения о Encase
В диалоговом окне «Опции» (“Options”)
можно изменить основные параметры
конфигурации EnCase.
 Вкладка «Общие» (“Global”) позволяет
изменять различные функции, в том числе
параметры функции автоматического
сохранения и параметры времени
ожидания.
 Вкладка «Время» (“Date”) позволяет
задавать формат для отметок даты и
времени.
Общие сведения о Encase
Вкладка «Сервер проверки подлинности
в сети» (“NAS”) содержит все параметры,
необходимые для проверки подлинности
электронного ключа EnCase® в сети, если
он подключен к серверу, а не к локальному
компьютеру.
 Вкладка «Цвета» (“Colors”) предоставляет
возможность задавать параметры цветовой
схемы для различных элементов
интерфейса EnCase®.

Общие сведения о Encase

Вкладка «Шрифты» (“Fonts”)
позволяет изменять экранные
шрифты, используемые обычно для
поддержки иностранных языков.

Вкладка «Общие файлы» (“Shared Files”)
предоставляет возможность указывать пути
к местам хранения пользовательских
данных и данных приложения, а также к
папкам кэша и исследуемых данных.
Общие сведения о Encase

Вкладка «Отладка» (“Debug”) используется
пользователями EnCase, которые
столкнулись со случаями аварийного
завершения работы и зависания
приложения, и специалистами из отдела
обслуживания клиентов, чтобы определить
характер проблемы.
Общие сведения о Encase
Диалоговое окно «Опции» (“Options”)
Общие сведения о Encase
Возможности хэширования
EnCase 7 содержит несколько новых и
расширенных возможностей хэширования:
 благодаря универсальному интерфейсу
пользователя для управления хэшзначениями можно создавать наборы и
библиотеки хэшей,
 импортировать и экспортировать
библиотеки хэшей, выполнять запрос по
наборам хэшей и просматривать наборы
или отдельные элементы хэшей;
Общие сведения о Encase
библиотеки хэшей могут содержать
несколько наборов, каждый из
которых можно включать или
отключать;
 можно создавать любое количество
библиотек или наборов хэшей;
 если хэш-значение принадлежит
нескольким наборам, будет составлен
отчет о каждом совпадении;

Общие сведения о Encase
в каждом деле можно использовать до двух
различных библиотек хэшей одновременно;
 некоторые хэш-значения можно сохранять в
отдельной папке, не помещая их в
отдельный набор или отдельную
библиотеку хэшей (например, вам,
возможно, потребуется сохранить хэшзначение элемента для последующего
использования, не добавляя его в набор
или библиотеку хэшей).

Общие сведения о Encase
Управление библиотекой хэшей
Общие сведения о Encase
Ссылка «Библиотеки хэшей» (“Hash Libraries”)
Общие сведения о Encase
Добавление исследуемого объекта в
дело
Общие сведения о Encase
Ссылка «Добавить исследуемый объект» (“Add Evidence”)
Общие сведения о Encase
Окно «Добавить исследуемый объект» (“Add Evidence”)
Общие сведения о Encase
Интерфейс диалогового окна «Добавить локальное
устройство» (“Add Local Device”) в EnCase 7
Общие сведения о Encase
Интерфейс диалогового окна
«Клонировать данные
смартфона» (“Acquire
Smartphone”) в EnCase 7.
Общие сведения о Encase
«Добавить устройство, подключенное через
сетевой кабель «компьютер-компьютер»» (“Add
Crossover Preview”) – Для клонирования данных
через сетевой кабель «компьютер-компьютер»
необходим как исследуемый компьютер, так и
компьютер эксперта.
Такой тип клонирования сводит на нет
необходимость аппаратного устройства
блокирования записи. Он предпочтителен в
ситуациях, когда физический доступ к встроенному
носителю исследуемого компьютера затруднен или
не возможен.
Общие сведения о Encase
Добавление
файла
исследуемых
данных.
Общие сведения о Encase
Вкладка исследуемые объекты.
Общие сведения о Encase
Открытие выбранных исследуемых объектов
Общие сведения о Encase
Удаление выбранных исследуемых объектов
Общие сведения о Encase
Навигация по делу.
Общие сведения о Encase
После загрузки исследуемого объекта
откроется вкладка «Исследуемые
объекты» (“Evidence”) в режиме
просмотра «Дерево- таблица» (“TreeTable”), знакомом пользователям
программы EnCase®.
Общие сведения о Encase
Экран просмотра вкладки
«Исследуемые объекты»
(“Evidence”) разделен на три части:
 панель древовидного представления
объектов (левая панель, «TREE»);
 панель табличного представления
объектов (правая панель, «TABLE»);
 панель просмотра (нижняя панель,
«VIEW»).
Общие сведения о Encase
Общие сведения о Encase
Можно изменить разделение экрана с
помощью кнопки «Режим
разделения» (“Split Mode”) и выбрать
предпочтительное расположение
панелей в зависимости от
проводимого расследования.
Общие сведения о Encase
Общие сведения о Encase

Режим «Таблица» (“Table”) – панель
табличного представления вверху и
панель просмотра внизу (без панели
древовидного представления
объектов).
Общие сведения о Encase

Режим «Дерево-таблица» (“TreeTable”) – режим просмотра по
умолчанию: панель древовидного
представления слева, панель
табличного представления справа,
панель просмотра внизу;
традиционный режим просмотра в
EnCase®.
Общие сведения о Encase

Режим «Traeble» – панель табличного
представления (с возможностью
просмотра структуры папок в столбце
«Имя» (“Name”)) вверху, панель
просмотра внизу.
Общие сведения о Encase

Режим «Дерево» (“Tree”) – панель
древовидного представления слева и
панель просмотра справа (без панели
табличного представления объектов).
Общие сведения о Encase
Панель древовидного
представления / вкладка
«Исследуемые объекты»
(“Evidence”)
В EnCase 7 используется три способа
для выделения отдельных файлов
или папок. Эти способы редназначены
для разных целей:
Общие сведения о Encase

Выделение папки мышью приводит к
тому, что содержащиеся в этой папке
элементы отображаются в панели
табличного представления (этот
способ используется только для
просмотра информации).
Общие сведения о Encase

Функция «Установить вложенные папки» (“Set
Included Folders”) показывает в панели табличного
представления все элементы, файлы и папки,
содержащиеся в выделенной папке и всех ее
подпапках. Она имеет преимущество перед опцией
выделения. Активируется щелчком по значку
многоугольника, который находится рядом со
стрелкой дерева папки, в панели древовидного
представления во вкладке «Исследуемые
объекты» (“Evidence”) с установленным режимом
«Просмотр (Элемент)» (“Viewing (Entry)”) или в
любых других вкладках, отображающих похожую
структуру папок.
Общие сведения о Encase

Отметка флажком или способ выбора для
последующих действий предназначается
для обозначения файлов или папок, над
которыми будут выполняться операции
анализа, например, поиск по ключевым
словам. Эту функцию можно реализовать в
различных вкладках. Она активируется
щелчком по значку квадрата рядом с
именем элемента в любой вкладке.
Общие сведения о Encase
Элементы, отмеченные флажком, и кнопка
«Выбрано» (“Selected”)
Общие сведения о Encase
Функция отметки флажком предназначена для
выбора файлов и папок, для которых необходимо
выполнить определенные операции, в частности
поиск, копирование или экспорт (количество
выбранных элементов будет показано в кнопке
«Выбрано» (“Selected”)). При активированной
функции «Установить вложенные папки» (“Set
Included Folders”) выбор элементов флажком не
повлияет на количество файлов или папок,
отображаемых в панели табличного
представления.
Общие сведения о Encase
Пользователи предыдущих версий
EnCase привыкли щелкать правой
кнопкой мыши по объекту в панели
древовидного представления,
чтобы открыть контекстное меню с
различными опциями. Эта функция
отсутствует в EnCase 7. Теперь
пользователю доступно
раскрывающееся меню в правом
верхнем углу строки меню.
Общие сведения о Encase
Новое раскрывающееся меню в EnCase 7
Общие сведения о Encase
Вкладка «Галерея» (“Gallery”)
показывает изображения в виде
миниатюр. Эти изображения
показываются (по умолчанию) на
основе их расширений.
Общие сведения о Encase
Вкладка «Галерея» (“Gallery”)
Общие сведения о Encase
Во вкладке «Временная шкала»
(“Timeline”) показаны различные типы даты
и времени. Область просмотра можно
увеличить (команда «Более высокое
разрешение» (“Higher Resolution”)), чтобы
показывать содержимое по секундам, или
уменьшить (команда «Более низкое
разрешение» (“Lower Resolution”)), чтобы
показывать содержимое по годам.
Общие сведения о Encase
Общие сведения о Encase
Режим «Просмотр накопителя»
(“Disk view”) позволяет просматривать
файлы и папки исходя из того, где эти
данные находятся на носителе. Можно
просматривать расположение
кластеров или секторов и фрагменты
файлов.
Общие сведения о Encase
Общие сведения о Encase
Общие сведения о Encase
DOC-файл в панели просмотра
Общие сведения о Encase
DOCX-файл в панели просмотра
Общие сведения о Encase
Во вкладке «Разрешения»
(“Permissions”) показаны разрешения
безопасности для файла, в том числе
имя и идентификатор безопасности
(SID) пользователя, имеющего
разрешение на чтение, изменение и
выполнение файла.
Общие сведения о Encase
Вкладка «Разрешения» (“Permissions”)
Общие сведения о Encase
Вкладка «Изображение» (“Picture”)
Общие сведения о Encase
Просмотр изображения в шестнадцатеричном виде
Общие сведения о Encase
Пользователь должен знать свое
текущее размещение в деле,
особенно при документировании
местонахождения важных данных,
найденных в свободном пространстве.
Строка состояния, которая находится
в нижней части окна программы,
предоставит эту информацию.
Общие сведения о Encase
Общие сведения о Encase
Аббревиатуры имеют следующие значения:
 PS – номер физического сектора;
 LS – номер логического сектора;
 CL – номер кластера;
 SO – смещение в секторе (расстояние в
байтах от начала сектора);
 FO – смещение в файле (расстояние в
байтах от начала файла);
 LE – длина (количество байтов в
выделенной области).