案件取证操作教程EnCase.

EnCase界面简介
搜索命中Search Hits标签视图 Tom可通过选择在菜单中选择“View->Search Hits” 访问搜索结果标签视图，搜索结果通过置于搜索结果标 签中的关键词搜索生成。 每个关键词都会导致在“搜索结果”标签下创建一个同 名文件夹。关键词搜索结果则会被放置到相应的文件夹 中。
创建新案件并添加证据磁盘
选择本地的证据文件存储目录“Adam Image”，确定后添加证据对话框中出现该 目录，且在右边栏中出现证据取证镜像文件 “Adam_1”，选择该文件并点击“下一步” 按钮，如图
创建新案件并添加证据磁盘
在随后出现的设备选择对话框的右边栏中选 择该镜像设备，并点击“下一步”，如图
EnCase界面简介
文件特征File Signatures标签视图 Tom可通过选择在菜单中选择“View->File Signatures”访问文件特征标签视图。 文件特征是与文件类型关联的唯一十六进制头特征。 例如，一个工业标准JPG图片必须以这样一个十六进制 头特征开始：\xFF\xD8\xFF[\xFE\xE0]\x00，如图。 通过这个标签视图，文件特征就可以被浏览、添加、编 辑和删除。
创建新案件并添加证据磁盘
Tom首先在EnCase菜单使用“File>New…”创建一个新案件，并在弹出对话 框中填入案件编号、调查者、本案件默认输 出目录以及本案件默认临时文件目录（如果 Tom需要使用外部软件查看文件，文件就会 复制或恢复到临时目录中，案件关闭时， EnCase会自动删除临时目录中的内容）， 如图
文件类型FILE TYPES标签视图 Tom可通过选择在菜单中选择“View-> File Types” 访问文件类型标签视图。文件类型标签包含关于所有文 件类型以及与之相关的查看器信息如图 EnCase允许用户浏览文件类型、添加文件类型、编辑 文件类型、删除文件类型以及将文件查看器与文件类型 匹配。 EnCase已经有许多文件类型匹配它适用的应用程序， 用来正确地访问文件。同时EnCase允许调查员添加新 的或未被EnCase识别的文件类型的查看器。
EnCase界面简介
安全标识Security IDs标签视图 安全标识标签里会默认创建三个文件夹：Windows、 Nix（Unix和Linux IDs）以及安全标识（Security IDs）。这些文件夹使得组织结构更有条理，不过每个 文件夹都可包含任意类型的ID。 如果调查人员Tom需要创建一个新的安全标识（SID）， 可以右击目标文件夹并选择NEW会弹出一个对话框， 列出姓名、SID、组、安全类型以及组成员。如图
EnCase界面简介
文本样式Text Styles标签视图 Tom可通过选择在菜单中选择“View->Text Styles” 访问文本样式标签视图 文本样式是通过不同的设置，按照调查人员的要求浏览 代码页，例如改变颜色和文本行长度等等。 EnCase带有几种默认的文本样式，也可添加更多样式。 可点击鼠标右键在显示菜单里选择相应命令或点击工具 条上的按钮来添加、编辑和从标签中删除文件样式。
EnCase界面简介
列表视图 Tom可通过选择在右边视图栏上部的“Table”标签， 使得右边栏中显示列表视图，在大多数的标签栏视图中， 右边的视图栏默认采用列表视图的方式如图
EnCase界面简介
列表视图 列表视图包含特定项的所有属性。调查员可以根据任意 可用的列来给文件排序。要根据某一列进行排序，可双 击该列的标题。若要以多个列的方式组合排序，可按下 <SHIFT>键并双击需要组合排序的列标题（最多可进 行5重排序）。 在列表视图里常用的命令有：复制/恢复、标记突出显 示的文件或选择（选中为蓝色的）文件，或发送文件到 指定的视图。
案件取证操作
EnCase的使用
软件介绍
EnCase是目前使用最为广泛的计算机取证 工具，国内多数执法部门使用它。虽然版本 一直在更新，功能（特别是对大数据的搜索 功能）越来越强大，但是其基本界面和操作 没有太大的变化。 有不少资深取证分析师为EnCase开发了针 对不同目的脚本应用。现以Tom使用 EnCase 4.20调查Adam为例，介绍 EnCase的基本使用。
创建新案件并添加证据磁盘
在向一个案件添加证据文件之前，调查员必 须知道证据文件是在本地还是在局域网的别 的计算机中。假设Tom已经将证据文件拷贝 到本地，于是打开EnCase菜单使用“File>Add Device…”，在随之弹出的添加证据 对话框中右击左边Devices目录树的 “Evidence Files”目录，在弹出选项中选 择“New…”，如图
EnCasቤተ መጻሕፍቲ ባይዱ界面简介
安全标识Security IDs标签视图 Tom可通过选择在菜单中选择“View->Security IDs” 访问安全标识标签视图 NTFS文件系统上的每个文件和文件夹都有一个所有者、 组以及一套权限。由于这个信息保存在NTFS4和 NTFS5中的形式是不同的，因此EnCase从每个文件和 文件夹提取出安全信息。 EnCase还提取出Unix系统和Linux系统上的所有者、 组以及权限设置。 EnCase可以列出所有者、组以及由所有者或组编制的 权限。
创建新案件并添加证据磁盘
随后出现确认对话框中点击“完成”按钮， 将证据镜像添加到案件中，如图
创建新案件并添加证据磁盘
将一个证据文件添加到新案件中后，EnCase将会开始 校验该证据文件的完整性。EnCase读位于该证据内部 的数据并生成内部数据的MD5。EnCase窗口右下角会 出现一个闪烁的蓝色工具条显示正在校验。（双击闪烁 的校验工具条可取消校验。） 只有在校验程序结束后保存了案件，EnCase才会保存 该证据文件的校验。如果案件没有保存就退出了，那么 以后每次载入该证据文件时校验程序都会启动。在校验 完成后取证调查人员选择保存案件，EnCase将在报告 中显示确认信息和获得的MD5散列值。
EnCase界面简介
案件Cases标签视图 Tom可以通过选择“View->Cases”进入案件标签视 图。在案件标签视图中，可以运用类似Windows资源 管理器的界面浏览证据文件。这样的视图使得操纵不同 案件、不同证据文件、不同逻辑卷以及在左边的不同目 录成为可能。右边的窗口中，显示出左边所选目标的所 有文件夹和文件。如果右边的一个文件是被选中（突出 显示）的话，就可以在下面的活动子标签里的对该文件 进行“预览”。如图
EnCase界面简介
文件查看器File Views标签视图 Tom可通过选择在菜单中选择“View->File Views” 访问文件查看器标签。 文件查看器是调查员在EnCase中建立的应用，这样就 可以在文件类型和文件浏览器之间建立关联。 EnCase默认可浏览不同文件类型，如JPG、TXT文件 等等。但是，有相当一部分文件类型EnCase无法正确 显示。 调查员就需要在文件类型和文件查看器之间建立连接。 通过这个标签，可以添加、编辑和删除文件查看器。
EnCase界面简介
脚本Scripts标签视图 Tom可通过选择在菜单中选择“View->Scripts”访 问脚本标签视图如图 脚本标签视图是可对EnScript进行复查和编码的地方。 EnScript是被设计用来使取证过程自动化的小程序或 宏。 从搜索到创建书签再到将信息放入报告，EnScript能 访问并且操作EnCase界面上几乎所有的区域。 EnScript可以说是EnCase工具的高级应用，调查人员 可将众多通用的取证调查操作（如搜索注册表关键字、 初始化提取Windows系统环境信息、搜索日志文件关 键信息等等）按照脚本编写的格式在该标签视图中进行 添加、编辑以及删除操作。
EnCase界面简介
安全标识Security IDs标 签视图 ID：用户希望解析的SID。 Windows安全标识（SID） 的格式是“S-x-x-x[-xx-x-x]”，Nix SID则是 整数，如1000； Name：包含发现关联 SID时将被解析的姓名； Unix：单选框可表明定义 何种类型的SID，选中为 Nix，未选中则为 Windows；
EnCase界面简介
关键词Keywords标签视图 Tom可通过选择在菜单中选择“View->Keywords” 访问关键词标签，如图。 关键词是取证调查人员用来搜索一个或多个案件中的感 兴趣信息的条件。它们可以是单词、词组或十六进制的 字符串。输入的关键词可区分大小写，以GREP、 Unicode、UTF7和UTF8等等格式输入。 关键词被作为一个初始化文件保存在EnCase目录里。 关键词搜索同时执行逻辑搜索和物理搜索，即EnCase 不但能从头到尾对每个条件逐个字节搜索，且可根据条 件同时搜索每个逻辑文件。
EnCase界面简介
书签Bookmarks标签视图 Tom可以通过选择“View-> Bookmarks”进入案件 标签视图。书签标签视图包含标记了的证据。 Bookmarks可以是被标记了的文件、图像、文本片段 等等。被标记的项目将被放在调查员Tom指定的文件 夹中。书签标签可以在表格视图、图片集视图（被标记 的映像）和时间线视图中的显示书签。
EnCase界面简介
“所有文件”选中按钮 “所有文件”选中按钮是界面左边目录树栏的复选框旁 的多边形，被选中时按钮会变为绿色。选中后的右边的 视图里显示左边所选文件夹或介质中所选文件夹及其子 文件夹中的所有文件。也就是说，如果点击EnCase中 任意文件夹的“所有文件”按钮（且列表视图是活动 的），那么就可以在右边列表视图里查看该文件夹中的 所有文件（包含子文件夹），如图
EnCase界面简介
列表视图 在列表视图中，通常含有文件名、文件扩展名、过滤器、 文件创建时间等多种对内容特征的描述
EnCase界面简介
列表视图 文件名（Name）：文件名是证据文件中文件的名称。 在文件旁有一个图标显示文件的状态。 • 该文件已被删除，但可能被恢复。如果该文件类型有相 关联的浏览器，用复制/恢复命令就可对其查看。文件 名仍然完好，起始的头数据仍然存在； • 被删除文件的起始的头被覆盖，部分文件信息仍存在。 EnCase将恢复所能恢复的数据；
EnCase界面简介
安全标识Security IDs标 签视图 Group：是一个在SID属 于Nix同时代表为一个组 时必须选择的单选框按钮。 Nix IDs不是唯一的，且 用户ID和组ID可能相同； Group Members：可定 义来帮助建立组织架构 （主要针对Nix）。点击 鼠标右键，选择组成员框 里的“New”来指定一个 对应于当前安全ID的成员。
如图专业文档创建新案件并添加证据磁盘?选择本地的证据文件存储目录adamimage确定后添加证据对话框中出现该目录且在右边栏中出现证据取证镜像文件adam1选择该文件并点击下一步按钮如图专业文档创建新案件并添加证据磁盘?在随后出现的设备选择对话框的右边栏中选择该镜像设备并点击下一步如图专业文档创建新案件并添加证据磁盘?随后出现确认对话框中点击完成按钮将证据镜像添加到案件中如图专业文档创建新案件并添加证据磁盘?将一个证据文件添加到新案件中后encase将会开始校验该证据文件的完整性
EnCase界面简介
EnScript类型EnScript Types标签视图 Tom可通过选择在菜单中选择“View->EnScript Types”访问EnScript类型标签视图 EnScript类型标签是一个包含各种EnScript语言的参 考源。右边的窗口依次显示每个函数的参数。
EnCase界面简介
EnCase具有功能较强的综合取证分析界面。在典型的 EnCase案件标签视图中，每个案件都包含在Cases标 签下的一个案件文件夹里。可以同时打开多个案件。在 案件中可以显示的标签视图有驱动器、书签、文件签名、 文件类型、关键词等等。 可以点击工具栏中“视图”的下拉菜单中选择需要使用 的标签清单。要关闭这些标签视图时，可以点击标签和 “标签”栏左边的“×”。
EnCase界面简介
设备Devices标签视图 Tom可通过选择“View->Devices”进入设备标签视 图。设备标签包含有关原始证据介质获取的信息，例如 证据采集注解、证据采集者姓名、采集和校验的散列值， 等等。计算机磁盘的结构也能够从这个标签进行简要浏 览，如图
EnCase界面简介