搜索
案件取证操作EnCase的使用软件介绍EnCase是目前使用最为广泛的计算机取证工具,国内多数执法部门使用它。虽然版本一直在更新,功能(特别是对大数据的搜索功能)越来越强大,但是其基本界面和操作没有太大的变化。有不少资深取证分析师为EnCase开发了针对不同目的脚本应用。现以Tom使用EnCase4.20调查Adam为例,介绍EnCase的基本使用。创建新案件并添加证据磁盘Tom首先在EnCase菜单使用“File-New…”创建一个新案件,并在弹出对话框中填入案件编号、调查者、本案件默认输出目录以及本案件默认临时文件目录(如果Tom需要使用外部软件查看文件,文件就会复制或恢复到临时目录中,案件关闭时,EnCase会自动删除临时目录中的内容),如图创建新案件并添加证据磁盘在向一个案件添加证据文件之前,调查员必须知道证据文件是在本地还是在局域网的别的计算机中。假设Tom已经将证据文件拷贝到本地,于是打开EnCase菜单使用“File-AddDevice…”,在随之弹出的添加证据对话框中右击左边Devices目录树的“EvidenceFiles”目录,在弹出选项中选择“New…”,如图创建新案件并添加证据磁盘选择本地的证据文件存储目录“AdamImage”,确定后添加证据对话框中出现该目录,且在右边栏中出现证据取证镜像文件“Adam_1”,选择该文件并点击“下一步”按钮,如图创建新案件并添加证据磁盘在随后出现的设备选择对话框的右边栏中选择该镜像设备,并点击“下一步”,如图创建新案件并添加证据磁盘随后出现确认对话框中点击“完成”按钮,将证据镜像添加到案件中,如图创建新案件并添加证据磁盘将一个证据文件添加到新案件中后,EnCase将会开始校验该证据文件的完整性。EnCase读位于该证据内部的数据并生成内部数据的MD5。EnCase窗口右下角会出现一个闪烁的蓝色工具条显示正在校验。(双击闪烁的校验工具条可取消校验。)只有在校验程序结束后保存了案件,EnCase才会保存该证据文件的校验。如果案件没有保存就退出了,那么以后每次载入该证据文件时校验程序都会启动。在校验完成后取证调查人员选择保存案件,EnCase将在报告中显示确认信息和获得的MD5散列值。EnCase界面简介EnCase具有功能较强的综合取证分析界面。在典型的EnCase案件标签视图中,每个案件都包含在Cases标签下的一个案件文件夹里。可以同时打开多个案件。在案件中可以显示的标签视图有驱动器、书签、文件签名、文件类型、关键词等等。可以点击工具栏中“视图”的下拉菜单中选择需要使用的标签清单。要关闭这些标签视图时,可以点击标签和“标签”栏左边的“×”。EnCase界面简介“所有文件”选中按钮“所有文件”选中按钮是界面左边目录树栏的复选框旁的多边形,被选中时按钮会变为绿色。选中后的右边的视图里显示左边所选文件夹或介质中所选文件夹及其子文件夹中的所有文件。也就是说,如果点击EnCase中任意文件夹的“所有文件”按钮(且列表视图是活动的),那么就可以在右边列表视图里查看该文件夹中的所有文件(包含子文件夹),如图EnCase界面简介案件Cases标签视图Tom可以通过选择“View-Cases”进入案件标签视图。在案件标签视图中,可以运用类似Windows资源管理器的界面浏览证据文件。这样的视图使得操纵不同案件、不同证据文件、不同逻辑卷以及在左边的不同目录成为可能。右边的窗口中,显示出左边所选目标的所有文件夹和文件。如果右边的一个文件是被选中(突出显示)的话,就可以在下面的活动子标签里的对该文件进行“预览”。如图EnCase界面简介书签Bookmarks标签视图Tom可以通过选择“View-Bookmarks”进入案件标签视图。书签标签视图包含标记了的证据。Bookmarks可以是被标记了的文件、图像、文本片段等等。被标记的项目将被放在调查员Tom指定的文件夹中。书签标签可以在表格视图、图片集视图(被标记的映像)和时间线视图中的显示书签。EnCase界面简介设备Devices标签视图Tom可通过选择“View-Devices”进入设备标签视图。设备标签包含有关原始证据介质获取的信息,例如证据采集注解、证据采集者姓名、采集和校验的散列值,等等。计算机磁盘的结构也能够从这个标签进行简要浏览,如图EnCase界面简介文件类型FILETYPES标签视图Tom可通过选择在菜单中选择“View-FileTypes”访问文件类型标签视图。文件类型标签包含关于所有文件类型以及与之相关的查看器信息如图EnCase允许用户浏览文件类型、添加文件类型、编辑文件类型、删除文件类型以及将文件查看器与文件类型匹配。EnCase已经有许多文件类型匹配它适用的应用程序,用来正确地访问文件。同时EnCase允许调查员添加新的或未被EnCase识别的文件类型的查看器。EnCase界面简介文件特征FileSignatures标签视图Tom可通过选择在菜单中选择“View-FileSignatures”访问文件特征标签视图。文件特征是与文件类型关联的唯一十六进制头特征。例如,一个工业标准JPG图片必须以这样一个十六进制头特征开始:\xFF\xD8\xFF[\xFE\xE0]\x00,如图。通过这个标签视图,文件特征就可以被浏览、添加、编辑和删除。EnCase界面简介文件查看器FileViews标签视图Tom可通过选择在菜单中选择“View-FileViews”访问文件查看器标签。文件查看器是调查员在EnCase中建立的应用,这样就可以在文件类型和文件浏览器之间建立关联。EnCase默认可浏览不同文件类型,如JPG、TXT文件等等。但是,有相当一部分文件类型EnCase无法正确显示。调查员就需要在文件类型和文件查看器之间建立连接。通过这个标签,可以添加、编辑和删除文件查看器。EnCase界面简介关键词Keywords标签视图Tom可通过选择在菜单中选择“View-Keywords”访问关键词标签,如图。关键词是取证调查人员用来搜索一个或多个案件中的感兴趣信息的条件。它们可以是单词、词组或十六进制的字符串。输入的关键词可区分大小写,以GREP、Unicode、UTF7和UTF8等等格式输入。关键词被作为一个初始化文件保存在EnCase目录里。关键词搜索同时执行逻辑搜索和物理搜索,即EnCase不但能从头到尾对每个条件逐个字节搜索,且可根据条件同时搜索每个逻辑文件。EnCase界面简介搜索命中SearchHits标签视图Tom可通过选择在菜单中选择“View-SearchHits”访问搜索结果标签视图,搜索结果通过置于搜索结果标签中的关键词搜索生成。每个关键词都会导致在“搜索结果”标签下创建一个同名文件夹。关键词搜索结果则会被放置到相应的文件夹中。EnCase界面简介安全标识SecurityIDs标签视图Tom可通过选择在菜单中选择“View-SecurityIDs”访问安全标识标签视图NTFS文件系统上的每个文件和文件夹都有一个所有者、组以及一套权限。由于这个信息保存在NTFS4和NTFS5中的形式是不同的,因此EnCase从每个文件和文件夹提取出安全信息。EnCase还提取出Unix系统和Linux系统上的所有者、组以及权限设置。EnCase可以列出所有者、组以及由所有者或组编制的权限。EnCase界面简介安全标识SecurityIDs标签视图安全标识标签里会默认创建三个文件夹:Windows、Nix(Unix和LinuxIDs)以及安全标识(SecurityIDs)。这些文件夹使得组织结构更有条理,不过每个文件夹都可包含任意类型的ID。如果调查人员Tom需要创建一个新的安全标识(SID),可以右击目标文件夹并选择NEW会弹出一个对话框,列出姓名、SID、组、安全类型以及组成员。如图EnCase界面简介安全标识SecurityIDs标签视图ID:用户希望解析的SID。Windows安全标识(SID)的格式是“S-x-x-x[-x-x-x-x]”,NixSID则是整数,如1000;Name:包含发现关联SID时将被解析的姓名;Unix:单选框可表明定义何种类型的SID,选中为Nix,未选中则为Windows;EnCase界面简介安全标识SecurityIDs标签视图Group:是一个在SID属于Nix同时代表为一个组时必须选择的单选框按钮。NixIDs不是唯一的,且用户ID和组ID可能相同;GroupMembers:可定义来帮助建立组织架构(主要针对Nix)。点击鼠标右键,选择组成员框里的“New”来指定一个对应于当前安全ID的成员。EnCase界面简介文本样式TextStyles标签视图Tom可通过选择在菜单中选择“View-TextStyles”访问文本样式标签视图文本样式是通过不同的设置,按照调查人员的要求浏览代码页,例如改变颜色和文本行长度等等。EnCase带有几种默认的文本样式,也可添加更多样式。可点击鼠标右键在显示菜单里选择相应命令或点击工具条上的按钮来添加、编辑和从标签中删除文件样式。EnCase界面简介脚本Scripts标签视图Tom可通过选择在菜单中选择“View-Scripts”访问脚本标签视图如图脚本标签视图是可对EnScript进行复查和编码的地方。EnScript是被设计用来使取证过程自动化的小程序或宏。从搜索到创建书签再到将信息放入报告,EnScript能访问并且操作EnCase界面上几乎所有的区域。EnScript可以说是EnCase工具的高级应用,调查人员可将众多通用的取证调查操作(如搜索注册表关键字、初始化提取Windows系统环境信息、搜索日志文件关键信息等等)按照脚本编写的格式在该标签视图中进行添加、编辑以及删除操作。EnCase界面简介EnScript类型EnScriptTypes标签视图Tom可通过选择在菜单中选择“View-EnScriptTypes”访问EnScript类型标签视图EnScript类型标签是一个包含各种EnScript语言的参考源。右边的窗口依次显示每个函数的参数。EnCase界面简介列表视图Tom可通过选择在右边视图栏上部的“Table”标签,使得右边栏中显示列表视图,在大多数的标签栏视图中,右边的视图栏默认采用列表视图的方式如图EnCase界面简介列表视图列表视图包含特定项的所有属性。调查员可以根据任意可用的列来给文件排序。要根据某一列进行排序,可双击该列的标题。若要以多个列的方式组合排序,可按下SHIFT键并双击需要组合排序的列标题(最多可进行5重排序)。在列表视图里常用的命令有:复制/恢复、标记突出显示的文件或选择(选中为蓝色的)文件,或发送文件到指定的视图。EnCase界面简介列表视图在列表视图中,通常含有文件名、文件扩展名、过滤器、文件创建时间等多种对内容特征的描述EnCase界面简介列表视图文件名(Name):文件名是证据文件中文件的名称。在文件旁有一个图标显示文件的状态。•该文件已被删除,但可能被恢复。如果该文件类型有相关联的浏览器,用复制/恢复命令就可对其查看。文件名仍然完好,起始的头数据仍然存在;•被删除文件的起始的头被覆盖,部分文件信息仍存在。EnCase将恢复所能恢复的数据;EnCase界面简介列表视图文件名(Name):文件名是证据文件中文件的名称。在文件旁有一个图标显示文件的状态。•一个不再存在的文件。文件名已被覆盖,起始簇指针已不存在。EnCase能够读出该文件的目录入口,但文件本身已丢失。EnCase仍会提供该文件的关键信息(如创建日期、最后访问和改写日期等),以及该文件名在文件系统中曾经存在的全部路径;•该图标标识一个文件夹曾经某个名字存在,但现在该文件夹下已没有文件信息;•该图标标识文件硬连接,即超过一个文件名与同一个节点有连接。E