信息犯罪与电子取证：计算机取证软件工具——EnCase

一次性付费进群， 永久会员，长期免费索取资料。

▼

EnCase是美国纳斯达克上市企业Guidance Software公司的取证产品，是全球众多执法部门和IT安全专业人士广泛使用的计算机取证软件。EnCase软件用于有效保证电子数据证据的完整性、可信性、准确性，已在美国联邦法院、地方法院广泛得到认可。全球政府机构和100强中 65%的企业正在使用 EnCase Enterprise开展内部信息安全、舞弊事件调查与取证。

EnCase软件是一款能对电子数据证据进行搜索、查看、调查、分析和 告的功能强大的取证工具，灵活性较高，支持二次开发。EnCase目前分为EnCase Forensic（法证版）、EnCase Enterprise（企业版）、EnCase eDiscovery、EnCase Endpoint Security及EnCase Analytics等版本。

此外，EnCase v7还支持各种高级取证分析功能，其内置智能手机分析模块，支持iOS、Android、黑莓、Windows Mobile等主流智能手机系统，提取手机中的各种基本信息（短信、联系人、通话记录等）及各种主流应用程序数据；内置的PDE模块支持将目标计算机的磁盘或磁盘镜像文件虚拟为本地物理磁盘；内置的EDS模块支持对Bitlocker、BitLockerToGo、SafeBoot、Checkpoint、SafeGuard、PGP等加密磁盘的实时解密，并解析文件系统（需提供密钥信息或密钥文件）；支持使用高级脚本（Ens）做二次开发，用户可以使用预置的脚本或自行根据需要编写脚本实现特定功能。

以下简单介绍EnCase v7的主要功能。

（1）基本操作——新建案例及添加证据

EnCase法证版在进行分析前要求新建一个案例，然后添加待分析的存储介质或证据文件，才可进一步对电子数据证据进行查看、搜索及分析。

① 启动EnCase程序，选择“新建案例”，选择模板#1 Basic（基本模板），并填写案件名称、案件编 、调查员、案例数据存储位置、证据缓存位置及数据备份位置等信息。

② 选择“添加证据”，自动切换到一个新的“添加证据”的标签页，然后根据需要选择证据类型。证据类型分为本地设备、证据文件、原始数据镜像（Raw Image）、智能手机（Smart Phone）、 络预览（Network Preview）及交叉预览（Crossover Preview）。

（2）基本操作——证据查看

① 添加所选择的证据文件，完成后可以看到该证据文件的相关元数据信息，包括证据获取日期、制作证据文件的软件名称及版本、证据文件中原始硬盘数据的MD5及SHA-1散列值等。

② 右击证据文件所在的设备名称，选择“设置保护在内的文件夹（Set Include）”，整个硬盘所有文件夹列表前的不规则形状的按钮变为绿色，该操作的作用是将硬盘中所有文件以列表方式显示在右侧的“列表”窗格，方便进行文件的查看、排序等操作。图1是利用Encase v7选择某个证据文件所在的设备名称zhang san disk后，对该设备所表示的磁盘中的证据文件进行显示、查看和排序操作后的结果。

图1 Encase添加证据文件及显示查看和排序窗口

（3）基本操作——基于文件属性的文件快速查找

EnCase v7软件支持通过内置的过滤器（Filters）和条件（Conditions）对文件的属性信息进行搜索，满足条件或过滤器设定的文件可单独列出，通过该功能可以实现对文件名、文件扩展名、创建时间、修改时间、最后修改文件、文件大小等属性信息进行高效比对搜索，找出符合条件的项目。

过滤器与条件的功能相同，但它们在使用操作上有些差异。EnCase内置了13个过滤器，可以直接选择进行使用，如果过滤器满足不了调查员的要求，调查员可以通过创建新的过滤器来实现，过滤器需要编写En代码才能完成。“条件”默认没有内置，要求调查员自行编写条件表达式来实现文件查找，条件的创建很简单，只需要学习如何设置及条件之间的逻辑关系即可完成，无需编写En代码，“条件”创建后也可以重复使用或者在不同使用者之间共享。

① 使用过滤器（Filters）快速查找文件

首先在左侧窗格中的设备名、指定分区或文件夹，右击“设置包含在内的文件夹(Set Include)”，将要过滤的项目全部显示在右侧窗格的“列表”中。然后选择“过滤器”，挑选内置的过滤器，并单击即可执行。使用“过滤器”的相关操作示例结果如图2所示。

图2 EnCase过滤器窗口（1）

选择其中一个过滤器后，可以进一步设置过滤选项，这里以默认过滤器目标（入口）、过滤器范围（当前视图）为默认参数，并选择“确定”。如图3所示。

图3 EnCase过滤器窗口（2）

② 使用条件(Conditions)快速查找文件

“条件”是EnCase软件中一个比较灵活的文件过滤模块。调查员通过定制自己所需的条件，即可实现对各类文件属性的快速查找，从而找到与案件相关的证据。

选择【条件】，在路径中直接修改条件的文件名称，再单击窗口中的【新建】，选择“特性”中的“文件扩展名”，选择操作符“匹配”，输入其对应的值。操作符中“匹配”和“查找”均支持输入多个值，每行输入一个值即可。“特性(Properties)”实际上是列表中对象的相关属性，“匹配(Match)”相当于多个“等于(Equal to)”，而“查找(Find)”相当于多个“包括(Contains)”。如图4所示。

图4 EnCase条件过滤窗口

（4）证据处理

EnCase v7取证软件调整了取证分析流程，实现了大部分的取证分析，集中通过Evidence Processor（证据处理器）完成。因此，在EnCase软件中，对证据处理通常都直接选择证据处理器来执行数据分析。

（5） 告

EnCase v7提供强大且灵活的 告工具，它可以提供重要功能，确保制作和共享 告时不会错过任何重要注释、书签或其他重要信息。其功能包括：根据调查目的和目标受众的差异，详细显示不同的信息内容和方式；根据 告和分析需要将信息导出为各类文件格式；将相关证据、调查员注释、书签、搜索结果、搜索条件、图片、日期等纳入 告，并可将其导出为RTF、PDF或HTML格式以便于向第三方、管理部门和同事分发。

▲

– The end –