当前版本：v7
更新日期：2011-10-31
语言：英语中文
官方网站：

EnCase是一款司法分析软件。EnCase 是高级调查人员的有力武器。

EnCase—调查大变革

功能特点

所有EnCase v7引入的新功能，都是基于一个目的： 提高调查人员的工作效率。 为了达到这个目的，EnCase v7采用了一套全新的取证流程。 在新流程里，用户能够使常用的取证任务自动化运行，完成复杂的搜索，定位相关对象，并以空前的速度导出美观的报告。 该流程可以满足任何机构的需求。 这个变化是革命性的，它将彻底变革取证调查的实现方式。

EnCase v7的数字取证新方法

1) 证据获取—要获取司法有效的证据，关键在于获取证据的方法。 EnCase能够确保，调查人员所获取的证据是完整的。 所有使用EnCase获取的证据，都将存储为EnCase所认可，也是被业界广泛信任的证据容器的标准文件格式（E01和LEF）中。 在EnCase v7中，用户可以对新的证据文件格式（Ex01和LEFx）直接进行加密，这为原本就在业界广受信任的证据格式再添了一级安全保护。

2) 证据处理—随着单个案件证据量的增加，调查人员也需求更加快速、可靠的证据处理能力来保证他们顺利高效的完成取证工作。 在EnCase v7中，证据处理器能够帮助用户自动化完成常用的取证任务，保证后期取证工作的顺利进行。 这个高度可配置的处理器能够适应任何调查人员的需要。 调查人员还可添加自定义的EnScript到处理器中，而不必分别检查每一个EnScript的结果。 现在，通过简单易用的界面，调查人员可以对宝贵的EnScript结果建立索引，进行全局搜索，或查看某一特定Encript的所有证据。

3) 深度取证分析—EnCase以其独有的挖掘潜在证据的能力而闻名。 在EnCase v7中，深度取证分析功能再次得到加强。 现在，EnCase已具备对EXT4和HFSX文件系统、Office 2010文件、Checkpoint/Pointsec加密文件、以及iOS物理镜像的分析能力。 此外，对电子邮件的取证能力在EnCase v7中也有大跨步提升。 新的电子邮件取证平台使得调查人员能够像查看收件箱一样简单的进行取证工作。 通过简单的界面，以及对电子邮件交流记录和相关信息的分析功能，EnCase v7使调查人员能够进行有史以来最快、最简洁有效的电子邮件取证调查。

 

4) 取证结果汇编—好的报告对于案件来说至关重要。 在EnCase v7中，报告功能得到了显著提高。 通过使用自定义模板，调查人员能够为每一个案件定制美观、易读、专业的报告。 EnCase v7提供简单可配置的报告功能，调查人员可以为任何读者、或基于任何用途打造专门的模板。 配置好的模板可以被套用到任意案例中，这确保了报告的质量，以及同一调查人员所有案例的报告间的一致性。

5) 案例归档—为了保证调查人员不会遗漏未来可能会被再次利用的任何信息，EnCase v7设置了案例归档功能。 当案例完成时，调查人员只需点击几下鼠标，便可将证据、结果和报告完好无损的归档。

报告

硬盘

导出LEF证据文件

可移动存储介质

平板电脑

智能手机

 

 

EnCase v7新特点一览

 

 

 

获取

 

支持平板电脑和智能手机 可从运行以下操作系统的设备中获取数据：

 

Apple iOS

 

Blackberry

 

Palm OS

 

Google Android

 

Nokia Symbian

 

Windows Mobile

 

 

 

传统证据加密：EnCase v7支持对证据文件直接进行AES-256强度的加密。

 

强化证据加密：基于备受信任的E01和LEF格式，新一代Ex01和LEFX证据文件格式提供更优异的性能和更强的数据管理能力。

 

Processing

 

EnCase证据处理器：自动化运行常用任务，为后期取证工作提供证据基础。这些任务包括：

 

 

文件夹恢复

文件签名解析

受保护文件解析

哈希检验 (MD5 和 SHA-1)

扩展压缩文件

查找电子邮件 (PST, NSF, DBX, EDB, AOL, MBOX)

查找上网记录 (IE, Firefox, Safari)

关键词搜索

索引

 

EnScript模块处理：EnCase v7将以下模块集成到了EnScript处理器中：

 

系统信息解析模块

即时通讯解析模块 (AOL, MSN, Yahoo)

文件恢复模块

个人信息提取模块 (CC, Phone Numbers, Email, SSN)

Windows事件日志分析模块

Windows操作记录解析模块

Unix登录信息解析模块

Linux系统日志解析模块

 

 

自定义EnScript模块处理：EnCase证据处理器新增自定义EnScript功能。

 

新的索引引擎：进一步能满足调查人员对多语种检索的需求。

 

 

 

深度取证分析

 

新文件：新支持以下以下文件系统和文件类型

 

EXT4

HSFX

Microsoft Office 2010

iOS物理镜像 (iPad, iPhone, iPod)

 

新加密：新支持对Checkpoint/Pointsec的完整磁盘加密。对现有加密产品的支持进一步加强。

新电子邮件调查平台： 现在，电子邮件调查就像查看收件箱一样简单。新增查看电子邮件互发记录和相关信息的功能，便于发现邮件的背景，找出所有与案件相关的人员。

标记：可对包括哈希记录在内的任何文件添加自定义标记，便于他人审阅导出的文件。

一体化搜索：易用、灵活、强大的搜索界面支持对整个案例进行索引和关键词搜索。调查人员可为单个搜索添加标记。

 

报告

 

自定义模板：创建自定义报告模板，为每一个案例导出风格一致的报告。

排版：为报告的每一章节提供可选的版式，为不同的读者定制不同的展现方式。

简易导出设置：可导出以下任何一种格式的报告

 

文本文件

RTF (用Microsoft Office打开)

HTML

XML

PDF

 

内置智能手机报告： 预设的智能手机报告，可以显示从智能装置中获取的证据的详细信息。 Report includes ability to export KML data.

EnCase v7标志着数字取证科学发展迈入了一个新的阶段。 这里只列举了其众多改进和新功能中的一小部分。调查人员可以自己在EnCase v7中体验它的强大功能。