EnCase Forensic是一款全球知名的綜合電子數(shù)據(jù)取證分析軟件,是美國Guidance Software的拳頭產(chǎn)品之一,支持對計算機(jī)、手機(jī)終端存儲的各類電子數(shù)據(jù)進(jìn)行獲取、搜索及分析。最新版本為EnCase Forensic v8,其功能與早期版本相比更加強(qiáng)大,操作流程更加簡單,同時增加了現(xiàn)場篩查(Triage)功能,可快速對存儲介質(zhì)的數(shù)據(jù)進(jìn)行快速預(yù)覽、分析和提取數(shù)據(jù)。
Guidance Software Inc. 是全球知名的計算機(jī)取證廠商,成立于1997年,在納斯達(dá)克上市(NASDAQ: GUID),總部設(shè)立在美國。其EnCase計算機(jī)取證系列產(chǎn)品在美國、歐洲等地的執(zhí)法部門、司法機(jī)關(guān)及世界五百強(qiáng)(Fortune 500) 廣泛使用,在美國聯(lián)邦法院、地方法院收到認(rèn)可,已成為業(yè)界標(biāo)準(zhǔn)。目前已銷售超過40000套EnCase產(chǎn)品,每年培訓(xùn)的取證專業(yè)人員超過6000人。
EnCase Forensic主要功能
- 支持對計算機(jī)、智能手機(jī)、移動存儲介質(zhì)的證據(jù)獲取、取證分析及報告,采用同一個軟件或相同軟件操作風(fēng)格。
- 支持FAT12/16/32,NTFS,exFAT,HFS,HFS+,UFS,ZFS,Ext2/3,Reiser,BSD FSS,F(xiàn)reeBSD FFS2,UFS2,NSS,NWFS,JFS,CDFS,Joliet,DVD,UDF,ISO 9660以及Palm等多種文件系統(tǒng)格式;
- 支持智能手機(jī)的分析,支持iOS、Android、黑莓、Windows Mobile等主流智能手機(jī)系統(tǒng),提取手機(jī)中的各種基本信息(短信、聯(lián)系人、通話記錄等)及各種主流應(yīng)用程序數(shù)據(jù)。
- 支持對計算機(jī)的本地磁盤或遠(yuǎn)程計算機(jī)磁盤進(jìn)行證據(jù)獲取,可以快速將嫌疑硬盤、文件夾或文件以及內(nèi)存中的數(shù)據(jù)獲取為鏡像文件(Ex01、Lx01),支持采用AES工業(yè)級加密算法對證據(jù)文件進(jìn)行高強(qiáng)度加密。
- 支持將目標(biāo)計算機(jī)的磁盤或磁盤鏡像文件虛擬為本地物理磁盤,并可結(jié)合動態(tài)仿真系統(tǒng)進(jìn)行系統(tǒng)的仿真模擬,將目標(biāo)計算機(jī)的操作系統(tǒng)模擬運(yùn)行,以所見即所得的場景展示,用于電子犯罪現(xiàn)場重現(xiàn)、特定的案件調(diào)查(如木馬動態(tài)分析、Web服務(wù)器取證、數(shù)據(jù)庫取證)等應(yīng)用。
- 支持RAID 0/1/5陣列重組,Windows及Linux LVM/LVM2等動態(tài)磁盤的解析;
- 支持Bitlocker、BitLocker ToGo、MacAfee SafeBoot、Checkpoint、Utimaco SafeGuard、WinMagic SecureDoc、GuardianEdge、Sophos SafeGuard、PGP等加密磁盤的實(shí)時解密,并解析文件系統(tǒng)(需提供密鑰信息或密鑰文件)。
- 支持使用高級腳本做二次開發(fā),用戶可以使用預(yù)置的腳本或自行根據(jù)需要編寫腳本實(shí)現(xiàn)特定功能,腳本必須提供各種開發(fā)接口(類、函數(shù)、參考程序代碼),同時接口編程文檔必須提供。
- 內(nèi)置強(qiáng)大的文件查看器,無需安裝第三方軟件(如Office, Acrboat),支持400多種文件的查看和預(yù)覽,支持按時間線和日歷方式進(jìn)行查看;
- 內(nèi)置150多種功能強(qiáng)大的過濾器和容器,便于快速數(shù)據(jù)篩選;支持“與”和“或”邏輯運(yùn)算,對過濾器進(jìn)行重新組合;
- 支持刪除文件、刪除分區(qū)、磁盤格式化、閑散區(qū)域數(shù)據(jù)、隱藏文件、打印緩存以及其它文件的恢復(fù);
- 快速分析嫌疑計算機(jī)中的上網(wǎng)行為、聊天記錄、電子郵件、文檔、圖片、地址薄以及其它200多種文件;
- 支持關(guān)鍵詞實(shí)時搜索,且支持GREP語法進(jìn)行高級搜索,以模糊匹配的方式對磁盤底層數(shù)據(jù)執(zhí)行特定的數(shù)據(jù)信息的搜索(如手機(jī)號碼、銀行卡號、身份證號、電子郵件地址等)。
- 支持對邏輯文件及磁盤殘留區(qū)等進(jìn)行索引,實(shí)現(xiàn)對各類文檔(Office文檔, PDF,文本文件,網(wǎng)頁)中內(nèi)容的搜索。
- 支持蘋果系統(tǒng)的取證分析,支持加載Mac OS X邏輯盤,支持應(yīng)用程序進(jìn)行解析。
- 靈活的報告輸出功能,用戶可根據(jù)自己的需要靈活制定模板;
EnCase產(chǎn)品線
- EnCase Forensic? (計算機(jī)取證、手機(jī)取證): 執(zhí)法部門計算機(jī)相關(guān)犯罪調(diào)查
- EnCase Portable(現(xiàn)場取證)
- Tableau Forensic (取證設(shè)備): 硬盤復(fù)制機(jī)(Forensic Duplicator)、電子證據(jù)只讀鎖(Forensic Bridge)等裝備
- EnCase Endpoint Investigator(遠(yuǎn)程取證): 適用于企業(yè)內(nèi)部反舞弊調(diào)查、合規(guī)調(diào)查、內(nèi)審、稽核監(jiān)察等
- EnCase eDiscovery(電子證據(jù)開示): 適用于企業(yè)應(yīng)對海外的知識產(chǎn)權(quán)訴訟、337調(diào)查、海外反腐敗調(diào)查等
- EnCase CyberSecurity:適用于企業(yè)終端及服務(wù)器的安全事件調(diào)查及應(yīng)急響應(yīng)