案件取证操作教程EnCase.ppt-道客多多

资源描述

1、EnCase的使用,软件介绍,EnCase是目前使用最为广泛的计算机取证工具，国内多数执法部门使用它。虽然版本一直在更新，功能（特别是对大数据的搜索功能）越来越强大，但是其基本界面和操作没有太大的变化。有不少资深取证分析师为EnCase开发了针对不同目的脚本应用。现以Tom使用EnCase 4.20调查Adam为例，介绍EnCase的基本使用。,创建新案件并添加证据磁盘,Tom首先在EnCase菜单使用“File-New”创建一个新案件，并在弹出对话框中填入案件编号、调查者、本案件默认输出目录以及本案件默认临时文件目录（如果Tom需要使用外部软件查看文件，文件就会复制或恢复到临时目录中，案件

2、关闭时，EnCase会自动删除临时目录中的内容），如图,创建新案件并添加证据磁盘,在向一个案件添加证据文件之前，调查员必须知道证据文件是在本地还是在局域网的别的计算机中。假设Tom已经将证据文件拷贝到本地，于是打开EnCase菜单使用“File-Add Device”，在随之弹出的添加证据对话框中右击左边Devices目录树的“Evidence Files”目录，在弹出选项中选择“New”，如图,创建新案件并添加证据磁盘,选择本地的证据文件存储目录“Adam Image”，确定后添加证据对话框中出现该目录，且在右边栏中出现证据取证镜像文件“Adam_1”，选择该文件并点击“下一步”按钮，如图,

3、创建新案件并添加证据磁盘,在随后出现的设备选择对话框的右边栏中选择该镜像设备，并点击“下一步”，如图,创建新案件并添加证据磁盘,随后出现确认对话框中点击“完成”按钮，将证据镜像添加到案件中，如图,创建新案件并添加证据磁盘,将一个证据文件添加到新案件中后，EnCase将会开始校验该证据文件的完整性。EnCase读位于该证据内部的数据并生成内部数据的MD5。EnCase窗口右下角会出现一个闪烁的蓝色工具条显示正在校验。（双击闪烁的校验工具条可取消校验。）只有在校验程序结束后保存了案件，EnCase才会保存该证据文件的校验。如果案件没有保存就退出了，那么以后每次载入该证据文件时校验程序都会启动。在

4、校验完成后取证调查人员选择保存案件，EnCase将在报告中显示确认信息和获得的MD5散列值。,EnCase界面简介,EnCase具有功能较强的综合取证分析界面。在典型的EnCase案件标签视图中，每个案件都包含在Cases标签下的一个案件文件夹里。可以同时打开多个案件。在案件中可以显示的标签视图有驱动器、书签、文件签名、文件类型、关键词等等。可以点击工具栏中“视图”的下拉菜单中选择需要使用的标签清单。要关闭这些标签视图时，可以点击标签和“标签”栏左边的“”。,EnCase界面简介,“所有文件”选中按钮 “所有文件”选中按钮是界面左边目录树栏的复选框旁的多边形，被选中时按钮会变为绿色。选中后的

5、右边的视图里显示左边所选文件夹或介质中所选文件夹及其子文件夹中的所有文件。也就是说，如果点击EnCase中任意文件夹的“所有文件”按钮（且列表视图是活动的），那么就可以在右边列表视图里查看该文件夹中的所有文件（包含子文件夹），如图,EnCase界面简介,案件Cases标签视图 Tom可以通过选择“View-Cases”进入案件标签视图。在案件标签视图中，可以运用类似Windows资源管理器的界面浏览证据文件。这样的视图使得操纵不同案件、不同证据文件、不同逻辑卷以及在左边的不同目录成为可能。右边的窗口中，显示出左边所选目标的所有文件夹和文件。如果右边的一个文件是被选中（突出显示）的话，就可以在下

6、面的活动子标签里的对该文件进行“预览”。如图,EnCase界面简介,书签Bookmarks标签视图 Tom可以通过选择“View- Bookmarks”进入案件标签视图。书签标签视图包含标记了的证据。Bookmarks可以是被标记了的文件、图像、文本片段等等。被标记的项目将被放在调查员Tom指定的文件夹中。书签标签可以在表格视图、图片集视图（被标记的映像）和时间线视图中的显示书签。,EnCase界面简介,设备Devices标签视图 Tom可通过选择“View-Devices”进入设备标签视图。设备标签包含有关原始证据介质获取的信息，例如证据采集注解、证据采集者姓名、采集和校验的散列值，等等。计

7、算机磁盘的结构也能够从这个标签进行简要浏览，如图,EnCase界面简介,文件类型FILE TYPES标签视图 Tom可通过选择在菜单中选择“View- File Types”访问文件类型标签视图。文件类型标签包含关于所有文件类型以及与之相关的查看器信息如图 EnCase允许用户浏览文件类型、添加文件类型、编辑文件类型、删除文件类型以及将文件查看器与文件类型匹配。 EnCase已经有许多文件类型匹配它适用的应用程序，用来正确地访问文件。同时EnCase允许调查员添加新的或未被EnCase识别的文件类型的查看器。,EnCase界面简介,文件特征File Signatures标签视图 Tom可通过选

8、择在菜单中选择“View-File Signatures”访问文件特征标签视图。文件特征是与文件类型关联的唯一十六进制头特征。例如，一个工业标准JPG图片必须以这样一个十六进制头特征开始：xFFxD8xFFxFExE0x00，如图。通过这个标签视图，文件特征就可以被浏览、添加、编辑和删除。,EnCase界面简介,文件查看器File Views标签视图 Tom可通过选择在菜单中选择“View-File Views”访问文件查看器标签。文件查看器是调查员在EnCase中建立的应用，这样就可以在文件类型和文件浏览器之间建立关联。 EnCase默认可浏览不同文件类型，如JPG、TXT文件等等。

9、但是，有相当一部分文件类型EnCase无法正确显示。调查员就需要在文件类型和文件查看器之间建立连接。通过这个标签，可以添加、编辑和删除文件查看器。,EnCase界面简介,关键词Keywords标签视图 Tom可通过选择在菜单中选择“View-Keywords”访问关键词标签，如图。关键词是取证调查人员用来搜索一个或多个案件中的感兴趣信息的条件。它们可以是单词、词组或十六进制的字符串。输入的关键词可区分大小写，以GREP、Unicode、UTF7和UTF8等等格式输入。关键词被作为一个初始化文件保存在EnCase目录里。关键词搜索同时执行逻辑搜索和物理搜索，即EnCase不但能从头到尾对每

10、个条件逐个字节搜索，且可根据条件同时搜索每个逻辑文件。,EnCase界面简介,搜索命中Search Hits标签视图 Tom可通过选择在菜单中选择“View-Search Hits”访问搜索结果标签视图，搜索结果通过置于搜索结果标签中的关键词搜索生成。每个关键词都会导致在“搜索结果”标签下创建一个同名文件夹。关键词搜索结果则会被放置到相应的文件夹中。,EnCase界面简介,安全标识Security IDs标签视图 Tom可通过选择在菜单中选择“View-Security IDs”访问安全标识标签视图 NTFS文件系统上的每个文件和文件夹都有一个所有者、组以及一套权限。由于这个信息保存在NTF

11、S4和NTFS5中的形式是不同的，因此EnCase从每个文件和文件夹提取出安全信息。 EnCase还提取出Unix系统和Linux系统上的所有者、组以及权限设置。 EnCase可以列出所有者、组以及由所有者或组编制的权限。,EnCase界面简介,安全标识Security IDs标签视图安全标识标签里会默认创建三个文件夹：Windows、Nix（Unix和Linux IDs）以及安全标识（Security IDs）。这些文件夹使得组织结构更有条理，不过每个文件夹都可包含任意类型的ID。如果调查人员Tom需要创建一个新的安全标识（SID），可以右击目标文件夹并选择NEW会弹出一个对话框，列出姓

12、名、SID、组、安全类型以及组成员。如图,EnCase界面简介,安全标识Security IDs标签视图 ID：用户希望解析的SID。Windows安全标识（SID）的格式是“S-x-x-x-x-x-x-x”，Nix SID则是整数，如1000； Name：包含发现关联SID时将被解析的姓名； Unix：单选框可表明定义何种类型的SID，选中为Nix，未选中则为Windows；,EnCase界面简介,安全标识Security IDs标签视图 Group：是一个在SID属于Nix同时代表为一个组时必须选择的单选框按钮。Nix IDs不是唯一的，且用户ID和组ID可能相同； Group Membe

13、rs：可定义来帮助建立组织架构（主要针对Nix）。点击鼠标右键，选择组成员框里的“New”来指定一个对应于当前安全ID的成员。,EnCase界面简介,文本样式Text Styles标签视图 Tom可通过选择在菜单中选择“View-Text Styles”访问文本样式标签视图文本样式是通过不同的设置，按照调查人员的要求浏览代码页，例如改变颜色和文本行长度等等。 EnCase带有几种默认的文本样式，也可添加更多样式。可点击鼠标右键在显示菜单里选择相应命令或点击工具条上的按钮来添加、编辑和从标签中删除文件样式。,EnCase界面简介,脚本Scripts标签视图 Tom可通过选择在菜单中选择“Vie

14、w-Scripts”访问脚本标签视图如图脚本标签视图是可对EnScript进行复查和编码的地方。EnScript是被设计用来使取证过程自动化的小程序或宏。从搜索到创建书签再到将信息放入报告，EnScript能访问并且操作EnCase界面上几乎所有的区域。 EnScript可以说是EnCase工具的高级应用，调查人员可将众多通用的取证调查操作（如搜索注册表关键字、初始化提取Windows系统环境信息、搜索日志文件关键信息等等）按照脚本编写的格式在该标签视图中进行添加、编辑以及删除操作。,EnCase界面简介,EnScript类型EnScript Types标签视图 Tom可通过选择在菜单中选

15、择“View-EnScript Types”访问EnScript类型标签视图 EnScript类型标签是一个包含各种EnScript语言的参考源。右边的窗口依次显示每个函数的参数。,EnCase界面简介,列表视图 Tom可通过选择在右边视图栏上部的“Table”标签，使得右边栏中显示列表视图，在大多数的标签栏视图中，右边的视图栏默认采用列表视图的方式如图,EnCase界面简介,列表视图列表视图包含特定项的所有属性。调查员可以根据任意可用的列来给文件排序。要根据某一列进行排序，可双击该列的标题。若要以多个列的方式组合排序，可按下键并双击需要组合排序的列标题（最多可进行5重排序）。在列表视图里

16、常用的命令有：复制/恢复、标记突出显示的文件或选择（选中为蓝色的）文件，或发送文件到指定的视图。,EnCase界面简介,列表视图在列表视图中，通常含有文件名、文件扩展名、过滤器、文件创建时间等多种对内容特征的描述,EnCase界面简介,列表视图文件名（Name）：文件名是证据文件中文件的名称。在文件旁有一个图标显示文件的状态。该文件已被删除，但可能被恢复。如果该文件类型有相关联的浏览器，用复制/恢复命令就可对其查看。文件名仍然完好，起始的头数据仍然存在；被删除文件的起始的头被覆盖，部分文件信息仍存在。EnCase将恢复所能恢复的数据；,EnCase界面简介,列表视图文件名（Name）

17、：文件名是证据文件中文件的名称。在文件旁有一个图标显示文件的状态。一个不再存在的文件。文件名已被覆盖，起始簇指针已不存在。EnCase能够读出该文件的目录入口，但文件本身已丢失。EnCase仍会提供该文件的关键信息（如创建日期、最后访问和改写日期等），以及该文件名在文件系统中曾经存在的全部路径；该图标标识一个文件夹曾经某个名字存在，但现在该文件夹下已没有文件信息；该图标标识文件硬连接，即超过一个文件名与同一个节点有连接。EnCase将把数据分离到名为“Hard Link Data #”的文件中。,EnCase界面简介,列表视图过滤器（Filter）：过滤器列显示与该行中的文件相符的过滤

18、器。例如若一个双重过滤查询被执行：条件是“在2012年10月被访问的文件”和“大小超过500K的图片”，那么2012年10月被访问的文件会显示在一个过滤器显示器中，大小超过500K的图片会显示在另一个显示器中，而符合这两个条件的文件会在两个过滤器中都被打上框。,EnCase界面简介,列表视图文件扩展名（File Ext）：文件扩展名列显示文件的扩展名。如果一个文件被人为修改扩展名（如一个JPG图片被重命名为Excel表格文件），该列就会报告修改后的扩展名，而不是真实扩展名。但文件头信息将仍被保持完整且在运行特征分析时调查人员会发现文件特征的不匹配。,EnCase界面简介,列表视图文件

19、类型（File Type）：该列显示文件为何种类型。最初EnCase从文件扩展名生成该信息。在调查员执行了文件特征分析后，该信息就由文件头所指示的文件特征来生成真正的文件类型。,EnCase界面简介,列表视图文件特征（Signature）：特征列中按文件头显示文件，而不是按照文件扩展名。如果头和文件扩展名不“匹配”，调查人员就会在列中看到一个“！Bad Signature”的消息。特征列只在运行特征分析后显示。,EnCase界面简介,列表视图描述（Description）：给出关于文件名旁的图标是什么的简短描述或说明。是否已删除（Is Deleted）：如果文件被删除，但在回收箱

20、中仍未被清空，那么此列中就会有一个日期和时间。最后访问时间（Last Access）：显示最后访问某文件的日期。文件创建时间（File Created）：特定文件被创建到某位置时的记录。,EnCase界面简介,列表视图最后写入时间（Last Written）：显示某文件最近一次被打开、编辑并保存的日期和时间。如果一个文件被打开后没有修改，该列不会更新。入口修改时间（Entry Modified）：修改的入口列与NTFS和Linux文件系统有关，它提供文件入口的指针以及该指针所包含的内容（例如文件的大小）。如果一个文件被改变但大小不变，那么修改的入口列不会改变。但如果文件大小改变那么该列

21、将会改变。逻辑大小（Logical Size）：指按字节计算一个文件实际大小。,EnCase界面简介,列表视图物理大小（Physical Size）：物理大小是文件的簇大小。例如在Win 98 SE中，簇是4096字节，所以任何一个逻辑大小小于4096的文件通常物理大小是4096字节。开始区域（Start Extend）：指案件中每个文件的起始簇。显示的格式是证据文件号、逻辑驱动器符，然后是簇编号。例如，一个文件的起始区域是2E424803，表示该文件在第三个证据文件（从0开始计数），位于证据文件的逻辑驱动器E的第424803簇。证据文件（Evidence File）：显示该文件位于哪

22、个证据文件中。,EnCase界面简介,列表视图文件标识符（File Identifier）：文件表的索引，在NTFS中使用。文件标识符号存储在主文件表中，是分配给文件或文件夹的唯一号码。 HASH值（Hash Value）：HASH值列显示案件中每个文件的HASH值。执行计算HASH值命令可以生成该信息。 Hash集（Hash Set）：显示一个文件所属的Hash集。如果没有创建或导入Hash集，该列为空。 HASH类（Hash Category）：显示一个文件所属的HASH类。如果尚未创建或导入任何HASH集，那么该列中就无数据。如果已创建或输入HASH集，那就可以在该列找到“KNOWN”

23、和“NOTEABLE”标记。,EnCase界面简介,列表视图全路径（Full path）：显示文件在证据文件中的地址。短文件名（Short name）：在8.3格式的DOS文件命名体系中，文件的名字。源路径（Original Path）：显示源于回收箱中被删除文件的信息，指出被删除文件最初来自何处。对于被分配（非删除）文件，该列为空；对于回收箱中的文件，该列显示它们被删前来自何处；对于被删除/覆盖的文件，该列显示被覆盖后的文件名。,EnCase界面简介,图片集Gallery视图 Tom可通过选择在右边视图栏上部的“Gallery”标签，使得右边栏中显示图片集视图如图。图片集视图是一

24、种浏览保存在主体介质上所有图片的快捷方法。调查人员可以通过图片集视图，访问在突出显示的文件夹、列或整个案件中所有的图片，从而为某些类别的案件（如淫秽信息传播案件等）的证据搜索提供方便。,EnCase界面简介,图片集Gallery视图在图片集中，调查人员可以标记特定的图片文件，从而在报告中显示它们（右击要标记的图片，在弹出框中选择将选中的图片加入书签）。在初始案件分析时，图片集视图以文件扩展名为基础显示文件。但是如果调查人员已经进行了文件特征分析，那么那些本身确实是图片的文件，就会在图片集视图中显示。例如若一个JPG文件被嫌疑人重命名为DLL文件，那么在载入原始证据的初始状态，EnCase无

25、法在图片集视图中显示该文件，但是如果调查人员进行了文件特征分析，那么一旦文件特征分析认出该文件是图片文件，仅仅是文件扩展名被修改，那么图片集视图中就会出现该图片文件的信息。,EnCase界面简介,时间线Timeline视图 Tom可通过选择在右边视图栏上部的“Timeline”标签，使得右边栏中显示时间线视图如图。时间线视图的主要功能是查看文件创建、修改和最后访问的时间，可以将时间视图根据情况放大到逐秒时间线，也可缩小到逐月时间线。在时间线视图上方有5个选择框，可以通过它们快捷地过滤当前想看的文件活动：创建文件、修改文件、访问文件和删除文件等。,EnCase界面简介,时间线Timeline视

26、图在时间线视图里有5种不同颜色标记的方块：浅灰色方块表示文件最近被访问的日期/时间戳；中度灰色方块表示文件最近被改写的日期/时间戳；深灰色方块表示文件被创建的日期/时间戳；蓝色方块表示文件的选择框被选中；红色方块表示文件被突出显示。,EnCase界面简介,报告Report视图 Tom可通过选择在右边视图栏上部的“Report”标签，使得右边栏中显示报告视图如图。报告视图报告在左边窗口中选择的当前文件夹/列的信息，例如日期和时间戳、文件权限等等。在书签标签视图中，报告视图为调查员在调查中已标记的所有证据提供文件管理。报告是对案件中所有书签的自动编辑。,EnCase界面简介,子标签在

27、EnCase界面的下方，是按照调查人员的要求，显示某个特定文件、标签、磁盘或脚本等的相关参数和信息，在这个信息栏的上部存在着一系列方便人员操作和查看的子标签选项。,EnCase界面简介,子标签 “Lock”选择框：用来在滚动显示文件时锁定已选择窗口。例如在滚动显示窗口右上角的文件时，要查看文件在磁盘上的物理地址，点击磁盘视图，选择“Lock”框，再滚动显示文件。每个被选的文件都会显示磁盘视图，而不需回到文件的默认视图； “Text”子标签：以文本方式显示查看上方右边界面中当前所选文件的内容； “Hex”子标签：以十六进制方式显示查看上方右边界面中当前所选文件的内容；,EnCase界面简介,子标

28、签 “Picture”子标签：以图形方式显示查看上方右边界面中当前所选文件的内容，如果文件不是图形文件，那么图片标签就会变灰。EnCase能显示GIF、JPG、BMP和TIFF等常用的图形文件，某些不常见的图形类型文件则需用第三方浏览器来查看； “Disk”子标签：证据文件扇区的图解。对表格视图中被选的每个文件，磁盘标签都会显示它在证据文件中的物理地址； “Report”子标签：用报告格式显示当前所选文件的属性；,EnCase界面简介,子标签 “Filter”子标签：使调查员能够快速方便地创建编辑过滤器。过滤器运行时，列表视图中将显示适合过滤标准的文件； “Queries”混合过滤查询标签：将

29、综合过滤器的功能，建立多条件查询的过滤器，减少操作文件所需的时间； “Console”控制台标签：显示EnScripts在执行时发送到控制台标签的输出结果。,EnCase界面简介,物理扇区/簇信息在“Lock”框右边的一行文字显示了原始证据的物理扇区和簇信息。每次调查员点击新数据（如在磁盘视图里点击扇区）时，该行显示当前所选扇区和簇的物理扇区/簇信息。其中 PS：物理扇区； LS：逻辑扇区（PS数减去63）； CL：簇； SO：扇区偏移量。当前所选扇区/簇所在位置的扇区内的偏移量； FO：文件偏移量。当前所选扇区/簇所在位置的当前突出显示文件内的偏量； LE：长度。显示当前突出选定的字节数。

30、,利用EnCase调查案件的前期步骤,在引导案例中，Tom利用EnCase创建了新案件，并将其获取的原始证据磁盘镜像加载到新案件中后，需要在具体取证调查前执行一些前期的设置，并获取证据存在磁盘的环境信息（初始化信息）。下面将描述EnCase在调查初始阶段可使用的一些特性设置和操作。这些操作对于无论是响应一个紧急事件、执行一个电子恢复请求，还是对工作站进行详细审查，都将节省调查时间并有助于确保正确显示属于该案件的所有数据。,利用EnCase调查案件的前期步骤,时区设置同一个案件中介质常常来自不同的时区，这就使得比较不同事件的时间变得很困难。EnCase允许调查员对案件中每个介质块单独设置时区

31、而不依赖于系统的时区设置。当一个新时区被指派时，基于GMT的文件系统中的日期和时间（如NTFS）将相应调整，而以本地时间保存日期和时间的文件系统（如FAT16和FAT32）则不会在指派新时区后显示调整后的时间。在本地时间系统上设置时区在处理案件时非常重要，使EnCase知道该系统最初是在什么时区工作。,利用EnCase调查案件的前期步骤,时区设置修改某一介质块的时区设置时，右击目标介质并在弹出的菜单中选择修改时区设置（Modify Time Zone Settings），从而出现时区调整对话框如图,利用EnCase调查案件的前期步骤,时区设置时区设置可以通过改变右边的选项来进一步定制。

32、如果调查员选择不对任何介质指定时区设置，EnCase将默认选择来自进行调查的计算机上当前Windows注册表设置的日期和时间戳。如果调查员有意对多个机器上交叉发生的活动时间进行比较，EnCase还提供使用户显示同一个案件中相关的所有日期的功能。这样的功能需要修改案件级的时区设置，即右击目标案件，在弹出的菜单中选择修改时间设置，缺省状态是，“convert all dates to correspond to one time zone”选项框未被选择。选择该选项及需要应用的时区，可将时间调整到一个标准时差。,利用EnCase调查案件的前期步骤,恢复文件夹在原始证据镜像的驱动器上进行任何进一

33、步的深入分析之前，调查人员应当首先进行文件恢复操作。恢复文件夹命令只在证据文件卷被选择时才可用。调查人员可以右CASES标签，选择RECOVER FOLDERS命令，执行完成后一个标注为“已恢复文件夹”（FAT系列）或“Lost Files”（NTFS、UFS及EXT分区）的灰色文件夹会出现在“Case”视图中。,利用EnCase调查案件的前期步骤,恢复文件夹对于FAT系列分区，其每个文件夹/目录都有“.和”入口，这些目录告诉文件系统它自身和其父目录的目录入口在哪里。EnCase搜索未分配的簇、查找这些特征并恢复那些被删除的文件夹，而这些文件夹的目录入口已被父目录覆盖，但目录中的内容尚未被覆

34、盖。由于被删除文件夹的名字在源目录中已被重写，EnCase无法恢复，但会恢复这些文件夹中的所有内容（文件及子文件夹）。这是一个非常重要的命令，特别是在被格式化的驱动器上。该命令能够快速方便地恢复一个被格式化驱动器上的大部分信息。,利用EnCase调查案件的前期步骤,恢复文件夹对于NTFS、UFS及EXT分区上那些被删除的没有父目录的文件和文件夹，EnCase采用与FAT系列不同的方式恢复。在NTFS的主文件表（MFT）中，文件夹中文件注明属于一个“父”文件夹，而其中的文件则是那个文件夹的“子”。如果一个用户先删除了这些文件，接着删除了文件夹，再创建一个新文件夹，最初的那个被删除的文件夹就会

35、丢失。MFT中新的文件夹入口覆盖了被删除文件夹的入口。MFT中最初的“父”文件夹及其入口就被覆盖并丢失，而“子”并没有被覆盖且入口也仍然在MFT中。 EnCase解析MFT并发现那些仍然在列的文件，只是没有了父目录。所有这些文件被恢复存放到灰色的“Lost Files”文件夹。在UFS和EXT文件系统中，处理方式类似。,利用EnCase调查案件的前期步骤,初始化案件在新建案件之后，EnCase提供一个有很有实用价值的EnScript脚本Initialize Case EnScript（初始化案件脚本）。初始化案件脚本自动操作大量常规费时的任务，能够为调查员节约不少调查时间。初始化案件脚本检

36、查并报告：文件完整性、驱动器结构、分区、卷信息、Windows版本和注册表信息、Windows时区设置和当前活动时差、Windows网络设置、Windows最后一次关机时间、Window用户、安装的软件、安装的硬件、doc和html以及txt文件、映射驱动器信息等。,利用EnCase调查案件的前期步骤,初始化案件在本章案例中，Tom在脚本Scripts标签视图中的“Examples”目录中找到“Initialize Case(v4)”，双击该脚本后在工具栏中出现“Run”图标，点击该图标，开始运行初始化脚本，如图,利用EnCase调查案件的前期步骤,初始化案件在随后出现的一系列调查者信息和

37、初始化设置信息的对话框中填入合适的信息后，该脚本开始运行。运行完成后在书签Bookmarks标签视图中，出现相应的分析结果报告标签，对初始化案件的分析结果进行报告。如图,利用EnCase调查案件的前期步骤,文件特征分析文件扩展名是在文件名中位于“.”后的3到4位字符。它们显示文件代表的数据类型。如果一个文件扩展名是.TXT，就认为数据类型是“文本”。在Windows里就是利用文件扩展名将文件类型与相关的应用关联起来。被调查者将文件的真实本质隐藏起来的一种策略就是人为修改文件的扩展名。如将一个JPEG文件修改为“.dll”扩展名，大多数的程序就无法识别出它是一个图片文件。因此对于调查者，将每

38、个文件特征与其扩展名进行比较，鉴别出那些被故意更改了扩展名的文件是必要的。这种功能在EnCase中就是文件特征分析。,利用EnCase调查案件的前期步骤,文件特征分析特征分析是搜索功能的一部分。点击工具栏上的“Search”按钮就可弹出搜索框，如图,利用EnCase调查案件的前期步骤,文件特征分析在对话框里仅选择“Verify file signature”（验证文件特征）选项。点击“START”，特征分析就会在后台运行直至完成。,利用EnCase调查案件的前期步骤,文件特征分析要查看特征分析的结果，可在左边选择“Cases”标签，并全选案件所有文件，右边选择“Table”视图。将表格视

39、图中的列按照“Name”、“File Ext”和“Signature”列依次排列显示并按照第一级：特征；第二级：文件扩展名；第三级：文件名进行排序（用“SHIFT”+双击增加排序级别），如图,利用EnCase调查案件的前期步骤,文件特征分析在文件特征列可以观察文件特征分析的结果，其特定表示如下： ! Bad Signature：在文件特征表中有列出该文件扩展名，但是案件中发现的文件的特征不符，且该文件特征也没有和已知的任何文件特征相匹配。这表明该文件头毁坏或者是发现了一种未知的文件格式，需要加入文件特征表。,利用EnCase调查案件的前期步骤,文件特征分析在文件特征列可以观察文件特征分析

40、的结果，其特定表示如下： *Alias：该文件的头存在于文件特征表中，但该文件的扩展名与文件特征表中对应的扩展名不符。这表明这是一个扩展名被重命名的文件。 Match：文件头与扩展名匹配。如果扩展名在文件特征表中没有头，只要该文件的头没有与文件特征表中的任何头对应，EnCase也会返回一个Match的标志。 Unknown：文件特征表中对该类文件（文件特征/扩展名）没有定义。,文件操作,计算机取证调查人员在将原始证据（计算机磁盘）镜像加载到新创建的案例中并进行初始化设置和文件特征分析之后，就需要深入分析镜像中的各种文件信息，这时就需要针对感兴趣的文件和信息进行各种操作。,文件操作,复制/反删除

41、文件/书签/文件夹 EnCase具有逐字节地恢复和反删除文件的特性。 EnCase里许多操作需要选择一列文件。选择单个或数个文件时可以将Table视图里文件序号左边的选择框打钩。如果需要选择或取消某个目录磁盘案件中的全部文件和目录，就在左边目录树的相应位置将选择框打钩即可。复制/反删除一组文件，首先选择需要的文件，然后右击选中文件，从弹出的菜单中选择“COPY/UNERASE”。选择需要的选项并点击“下一步”，从被选中的文件中选出要复制的部分如图,文件操作,复制/反删除文件/书签/文件夹 Logical File Only：仅逻辑文件，指示EnCase仅复制文件逻辑部分。文件碎片不会被复制；

42、,文件操作,复制/反删除文件/书签/文件夹 Entire Physical File：全部物理文件，指示EnCase复制整个文件，也就将逻辑文件和文件碎片都复制；,文件操作,复制/反删除文件/书签/文件夹 RAM & Disk Slack：RAM和磁盘碎片，磁盘碎片是在一个逻辑文件尾和它所在簇之间的磁盘可用空间。这个空间经常包含的信息由曾经存在于该簇的文件残余组成；,文件操作,复制/反删除文件/书签/文件夹仅RAM碎片：RAM碎片，更准确地说是“扇区碎片”，是在逻辑区域和“文件碎片”之间的缓冲。,文件操作,复制/反删除文件/书签/文件夹当设置好需要复制的内容后，点击“下一步”在弹出的对话框

43、中选择文件复制的目标路径。如果许多文件被合在一起成为一个单独的新文件，目标就会是一个文件路径。如果文件被逐个复制，目标路径将是一个文件夹。在这个对话框中可以指定在复制/反删除文件时，将需要复制的文件分解成若干部分。利用这个功能可以将想复制/反删除整个未分配簇的文件分成640MB的“块”，从而可以刻录成光盘保存。当复制/反删除一个被删除文件时，EnCase在可能或必要时会自动恢复被删除的文件，然后进行和正常文件同样的处理。,文件操作,复制/反删除文件/书签/文件夹利用和复制文件相似的方式可以复制书签，其步骤如下。在书签目录树中选中需要复制的书签；右击Table视图中的任意区域，选择标记

44、选择的文件“TAG SELECTED FILES”命令；切换至案件Cases标签视图，此时可以发现与所选书签相关的所有文件均已被选中；右击其中一个被选中文件，选择“COPY/UNERASE”选项，随后进行与复制文件相似的操作。,文件操作,复制/反删除文件/书签/文件夹要将整个文件夹复制到本地驱动器，可以在案件Cases标签视图中选择要复制的文件夹，并在右键菜单中选择“COPY FOLDERS”命令。执行该命令后，所选证据文件的全部内容都会被复制到存储硬盘驱动器上。,文件操作,在EnCase外部查看文件 EnCase本身支持多数通用文件的查看，但是在调查过程中仍然存在不少文件是EnCase

45、不支持的，这个时候就需要借助于外部的第三方工具来查看文件，调查人员可以在EnCase里建立一个文件查看器以便其可将文件链接到正确的应用程序，具体操作如下：在文件查看器File Views标签视图中的右键菜单中选择“NEW”命令；在弹出对话框中，填入特定信息：第三方工具的名称、路径，以及执行时需要的命令行（通常可以不填），再点击“OK”确认即可。,文件操作,在EnCase外部查看文件 EnCase默认已将许多文件扩展名匹配到可正确访问文件的应用程序。但在调查中始终会出现一些新的扩展名，或者需要新方式来访问的一类扩展名的文件。这中情况下，调查人员可以在文件类型标签栏添加文件扩展名并匹配到正确的

46、查看工具，具体操作如下：在文件类型File Types标签视图中的右键菜单中选择“NEW”命令；在弹出对话框中，键入要求的信息：工具描述、关联的扩展名，选择用来打开这类扩展名文件的工具，再点击“OK”确认即可。,文件操作,有关文件操作的疑问为什么有些被删除的文件第一个字母是“？”，而有的文件没有？如果一个文件有一个长文件名（任何非大写字母8.3规则的名字），DOS对该文件存储两套条目。一套包含等同的短8.3名字（通常在结尾会有一个“”），另一套包含的是长名字。文件被删除时，8.3名的第一个字符被替换成一个十六进制的E5（设置“？”是为了使其可读），但长名的第一个字符则被保存。如果长名的

47、第一个字符存在，EnCase就会用其来替换短名条目中的“？”。,文件操作,有关文件操作的疑问当调查人员复制了一个完整的文件夹时，这个文件夹中被删除的文件也一同被复制吗？答案是肯定的。如果不需要复制已经被删除的文件（通常都是需要复制的），调查人员可通过选择整个文件夹，然后取消选择不需复制的文件，再在文件夹复制对话框中选定“仅复制被选文件”。,文件操作,有关文件操作的疑问 EnCase可以完全恢复一个被删除文件吗？不一定。被删除的文件可能不能被彻底恢复或只能恢复其中的部分。有可能一个被删除的文件剩下的只有目录条目。有时一些数据可以被恢复，但并非是文件的原始内容。,文件操作,有关文件操作的疑问

48、调查中怎样选择一个案例中的所有文件？在Cases标签中，选定任意文件夹就选定了其中的所有文件和文件夹。要选定Case中所有的文件和文件夹，只要选定树形顶端的“Case”。再次点选它将取消所有选择。要选定表格视图中一个域的项，选定第一项，按住“SHIFT”键不放并选定最后一项即可。选定一个文件夹中的多个文件但不是所有文件，在选定每个文件的同时，按下“CTRL”键。,关键词搜索,计算机取证调查人员在对原始证据进行分析时，为了在海量的数据信息中寻找与案件有关的信息和证据，就需要进行关键词搜索，而对搜索关键词的设置和应用，决定了调查是否高效和全面。 EnCase的搜索功能可以定位当前打开案件中

49、的物理或逻辑介质上任何地方的信息。关键词被整体保存在EnCase目录里的一个初始化文件中。 EnCase能在每个介质里从头到尾逐字节地搜索每个关键词条件，并针对该条件搜索每个逻辑文件。关键词搜索设置是在关键词Keywords标签视图中进行的。,关键词搜索,关键词可以对系统中的所有案件进行访问。调查人员通常将常用的关键词进行正确地分组，以便在需要的时候方便地定位，并且在需要的时候在关键词Keywords标签视图中针对这些分组文件夹进行操作。要创建一个群组，可以右击文件夹要创建的位置，选择“NEW FOLDER”。双击该文件夹即可给其指定的名字。,关键词搜索,维护关键词在关键词标签视图中，鼠标右击准备添加关键词的关键词文件夹并从弹出的右键菜单中选择“NEW”即出现新建关键词对话框，如图,关键词搜索,维护关键词在新建关键词对话框中的搜索表达式“Search expression”栏中输入需要搜索的关键词，并在“Name”栏中为本搜索取一个名字，并在下面的搜索方式选项中进行相应的选择，后点击“确定”即可。,关键词搜索,维护关键词新建关键词对话框中的选择项如下 Case sensitive：按照“Search expression”栏中指定的大小写进行关键词搜索；,关键词搜索,维护关键词新建关键词对话框中的选择项如下 GREP：关键词使用正则表达式的方式搜索；,

展开阅读全文