案件取证操作教程EnCase.ppt

案件取证操作EnCase的使用软件介绍nEnCase是目前使用最为广泛的计算机取证工具，国内多数执法部门使用它虽然版本一直在更新，功能（特别是对大数据的搜索功能）越来越强大，但是其基本界面和操作没有太大的变化n有不少资深取证分析师为EnCase开发了针对不同目的脚本应用现以Tom使用EnCase 4.20调查Adam为例，介绍EnCase的基本使用创建新案件并添加证据磁盘nTom首先在EnCase菜单使用“File->New…”创建一个新案件，并在弹出对话框中填入案件编号、调查者、本案件默认输出目录以及本案件默认临时文件目录（如果Tom需要使用外部软件查看文件，文件就会复制或恢复到临时目录中，案件关闭时，EnCase会自动删除临时目录中的内容），如图创建新案件并添加证据磁盘n在向一个案件添加证据文件之前，调查员必须知道证据文件是在本地还是在局域网的别的计算机中假设Tom已经将证据文件拷贝到本地，于是打开EnCase菜单使用“File->Add Device…”，在随之弹出的添加证据对话框中右击左边Devices目录树的“Evidence Files”目录，在弹出选项中选择“New…”，如图创建新案件并添加证据磁盘n选择本地的证据文件存储目录“Adam Image”，确定后添加证据对话框中出现该目录，且在右边栏中出现证据取证镜像文件“Adam_1”，选择该文件并点击“下一步”按钮，如图创建新案件并添加证据磁盘n在随后出现的设备选择对话框的右边栏中选择该镜像设备，并点击“下一步”，如图创建新案件并添加证据磁盘n随后出现确认对话框中点击“完成”按钮，将证据镜像添加到案件中，如图创建新案件并添加证据磁盘n将一个证据文件添加到新案件中后，EnCase将会开始校验该证据文件的完整性。

EnCase读位于该证据内部的数据并生成内部数据的MD5EnCase窗口右下角会出现一个闪烁的蓝色工具条显示正在校验双击闪烁的校验工具条可取消校验n只有在校验程序结束后保存了案件，EnCase才会保存该证据文件的校验如果案件没有保存就退出了，那么以后每次载入该证据文件时校验程序都会启动在校验完成后取证调查人员选择保存案件，EnCase将在报告中显示确认信息和获得的MD5散列值EnCase界面简介nEnCase具有功能较强的综合取证分析界面在典型的EnCase案件标签视图中，每个案件都包含在Cases标签下的一个案件文件夹里可以同时打开多个案件在案件中可以显示的标签视图有驱动器、书签、文件签名、文件类型、关键词等等n可以点击工具栏中“视图”的下拉菜单中选择需要使用的标签清单要关闭这些标签视图时，可以点击标签和“标签”栏左边的“×”EnCase界面简介n“所有文件”选中按钮Ø“所有文件”选中按钮是界面左边目录树栏的复选框旁的多边形，被选中时按钮会变为绿色选中后的右边的视图里显示左边所选文件夹或介质中所选文件夹及其子文件夹中的所有文件也就是说，如果点击EnCase中任意文件夹的“所有文件”按钮（且列表视图是活动的），那么就可以在右边列表视图里查看该文件夹中的所有文件（包含子文件夹），如图EnCase界面简介n案件Cases标签视图ØTom可以通过选择“View->Cases”进入案件标签视图。

在案件标签视图中，可以运用类似Windows资源管理器的界面浏览证据文件这样的视图使得操纵不同案件、不同证据文件、不同逻辑卷以及在左边的不同目录成为可能右边的窗口中，显示出左边所选目标的所有文件夹和文件如果右边的一个文件是被选中（突出显示）的话，就可以在下面的活动子标签里的对该文件进行“预览”如图EnCase界面简介n书签Bookmarks标签视图ØTom可以通过选择“View-> Bookmarks”进入案件标签视图书签标签视图包含标记了的证据Bookmarks可以是被标记了的文件、图像、文本片段等等被标记的项目将被放在调查员Tom指定的文件夹中书签标签可以在表格视图、图片集视图（被标记的映像）和时间线视图中的显示书签EnCase界面简介n设备Devices标签视图ØTom可通过选择“View->Devices”进入设备标签视图设备标签包含有关原始证据介质获取的信息，例如证据采集注解、证据采集者姓名、采集和校验的散列值，等等计算机磁盘的结构也能够从这个标签进行简要浏览，如图EnCase界面简介n文件类型FILE TYPES标签视图ØTom可通过选择在菜单中选择“View-> File Types”访问文件类型标签视图。

文件类型标签包含关于所有文件类型以及与之相关的查看器信息如图ØEnCase允许用户浏览文件类型、添加文件类型、编辑文件类型、删除文件类型以及将文件查看器与文件类型匹配ØEnCase已经有许多文件类型匹配它适用的应用程序，用来正确地访问文件同时EnCase允许调查员添加新的或未被EnCase识别的文件类型的查看器EnCase界面简介n文件特征File Signatures标签视图ØTom可通过选择在菜单中选择“View->File Signatures”访问文件特征标签视图Ø文件特征是与文件类型关联的唯一十六进制头特征Ø例如，一个工业标准JPG图片必须以这样一个十六进制头特征开始：\xFF\xD8\xFF[\xFE\xE0]\x00，如图Ø通过这个标签视图，文件特征就可以被浏览、添加、编辑和删除EnCase界面简介n文件查看器File Views标签视图ØTom可通过选择在菜单中选择“View->File Views”访问文件查看器标签Ø文件查看器是调查员在EnCase中建立的应用，这样就可以在文件类型和文件浏览器之间建立关联ØEnCase默认可浏览不同文件类型，如JPG、TXT文件等等。

但是，有相当一部分文件类型EnCase无法正确显示Ø调查员就需要在文件类型和文件查看器之间建立连接通过这个标签，可以添加、编辑和删除文件查看器EnCase界面简介n关键词Keywords标签视图ØTom可通过选择在菜单中选择“View->Keywords”访问关键词标签，如图Ø关键词是取证调查人员用来搜索一个或多个案件中的感兴趣信息的条件它们可以是单词、词组或十六进制的字符串输入的关键词可区分大小写，以GREP、Unicode、UTF7和UTF8等等格式输入Ø关键词被作为一个初始化文件保存在EnCase目录里关键词搜索同时执行逻辑搜索和物理搜索，即EnCase不但能从头到尾对每个条件逐个字节搜索，且可根据条件同时搜索每个逻辑文件EnCase界面简介n搜索命中Search Hits标签视图ØTom可通过选择在菜单中选择“View->Search Hits”访问搜索结果标签视图，搜索结果通过置于搜索结果标签中的关键词搜索生成Ø每个关键词都会导致在“搜索结果”标签下创建一个同名文件夹关键词搜索结果则会被放置到相应的文件夹中EnCase界面简介n安全标识Security IDs标签视图ØTom可通过选择在菜单中选择“View->Security IDs”访问安全标识标签视图ØNTFS文件系统上的每个文件和文件夹都有一个所有者、组以及一套权限。

由于这个信息保存在NTFS4和NTFS5中的形式是不同的，因此EnCase从每个文件和文件夹提取出安全信息ØEnCase还提取出Unix系统和Linux系统上的所有者、组以及权限设置ØEnCase可以列出所有者、组以及由所有者或组编制的权限EnCase界面简介n安全标识Security IDs标签视图Ø安全标识标签里会默认创建三个文件夹：Windows、Nix（Unix和Linux IDs）以及安全标识（Security IDs）这些文件夹使得组织结构更有条理，不过每个文件夹都可包含任意类型的IDØ如果调查人员Tom需要创建一个新的安全标识（SID），可以右击目标文件夹并选择NEW会弹出一个对话框，列出姓名、SID、组、安全类型以及组成员如图EnCase界面简介n安全标识Security IDs标签视图ØID：用户希望解析的SIDWindows安全标识（SID）的格式是“S-x-x-x[-x-x-x-x]”，Nix SID则是整数，如1000；ØName：包含发现关联SID时将被解析的姓名；ØUnix：单选框可表明定义何种类型的SID，选中为Nix，未选中则为Windows；EnCase界面简介n安全标识Security IDs标签视图ØGroup：是一个在SID属于Nix同时代表为一个组时必须选择的单选框按钮。

Nix IDs不是唯一的，且用户ID和组ID可能相同；ØGroup Members：可定义来帮助建立组织架构（主要针对Nix）点击鼠标右键，选择组成员框里的“New”来指定一个对应于当前安全ID的成员EnCase界面简介n文本样式Text Styles标签视图ØTom可通过选择在菜单中选择“View->Text Styles”访问文本样式标签视图Ø文本样式是通过不同的设置，按照调查人员的要求浏览代码页，例如改变颜色和文本行长度等等ØEnCase带有几种默认的文本样式，也可添加更多样式可点击鼠标右键在显示菜单里选择相应命令或点击工具条上的按钮来添加、编辑和从标签中删除文件样式EnCase界面简介n脚本Scripts标签视图ØTom可通过选择在菜单中选择“View->Scripts”访问脚本标签视图如图Ø脚本标签视图是可对EnScript进行复查和编码的地方EnScript是被设计用来使取证过程自动化的小程序或宏Ø从搜索到创建书签再到将信息放入报告，EnScript能访问并且操作EnCase界面上几乎所有的区域ØEnScript可以说是EnCase工具的高级应用，调查人员可将众多通用的取证调查操作（如搜索注册表关键字、初始化提取Windows系统环境信息、搜索日志文件关键信息等等）按照脚本编写的格式在该标签视图中进行添加、编辑以及删除操作。

EnCase界面简介nEnScript类型EnScript Types标签视图ØTom可通过选择在菜单中选择“View->EnScript Types”访问EnScript类型标签视图ØEnScript类型标签是一个包含各种EnScript语言的参考源右边的窗口依次显示每个函数的参数EnCase界面简介n列表视图ØTom可通过选择在右边视图栏上部的“Table”标签，使得右边栏中显示列表视图，在大多数的标签栏视图中，右边的视图栏默认采用列表视图的方式如图EnCase界面简介n列表视图Ø列表视图包含特定项的所有属性调查员可以根据任意可用的列来给文件排序要根据某一列进行排序，可双击该列的标题若要以多个列的方式组合排序，可按下键并双击需要组合排序的列标题（最多可进行5重排序）Ø在列表视图里常用的命令有：复制/恢复、标记突出显示的文件或选择（选中为蓝色的）文件，或发送文件到指定的视图EnCase界面简介n列表视图Ø在列表视图中，通常含有文件名、文件扩展名、过滤器、文件创建时间等多种对内容特征的描述EnCase界面简介n列表视图Ø文件名（Name）：文件名是证据文件中文件的名称。

在文件旁有一个图标显示文件的状态•该文件已被删除，但可能被恢复如果该文件类型有相关联的浏览器，用复制/恢复命令就可对其查看文件名仍然完好，起始的头数据仍然存在；•被删除文件的起始的头被覆盖，部分文件信息仍存在EnCase将恢复所能恢复的数据；EnCase界面简介n列表视图Ø文件名（Name）：文件名是证据文件中文件的名称在文件旁有一个图标显示文件的状态•一个不再存在的文件文件名已被覆盖，起始簇指针已不存在EnCase能够读出该文件的目录入口，但文件本身已丢失EnCase仍会提供该文件的关键信息（如创建日期、最后访问和改写日期等），以及该文件名在文件系统中曾经存在的全部路径；•该图标标识一个文件夹曾经某个名字存在，但现在该文件夹下已没有文件信息；•该图标标识文件硬连接，即超过一个文件名与同一个节点有连接EnCase将把数据分离到名为“Hard Link Data #”的文件中EnCase界面简介n列表视图Ø过滤器（Filter）：过滤器列显示与该行中的文件相符的过滤器•例如若一个双重过滤查询被执行：条件是“在2012年10月被访问的文件”和“大小超过500K的图片”，那么2012年10月被访问的文件会显示在一个过滤器显示器中，大小超过500K的图片会显示在另一个显示器中，而符合这两个条件的文件会在两个过滤器中都被打上框。

EnCase界面简介n列表视图Ø文件扩展名（File Ext）：文件扩展名列显示文件的扩展名•如果一个文件被人为修改扩展名（如一个JPG图片被重命名为Excel表格文件），该列就会报告修改后的扩展名，而不是真实扩展名•但文件头信息将仍被保持完整且在运行特征分析时调查人员会发现文件特征的不匹配EnCase界面简介n列表视图Ø文件类型（File Type）：该列显示文件为何种类型•最初EnCase从文件扩展名生成该信息•在调查员执行了文件特征分析后，该信息就由文件头所指示的文件特征来生成真正的文件类型EnCase界面简介n列表视图Ø文件特征（Signature）：特征列中按文件头显示文件，而不是按照文件扩展名•如果头和文件扩展名不“匹配”，调查人员就会在列中看到一个“！Bad Signature”的消息•特征列只在运行特征分析后显示EnCase界面简介n列表视图Ø描述（Description）：给出关于文件名旁的图标是什么的简短描述或说明Ø是否已删除（Is Deleted）：如果文件被删除，但在回收箱中仍未被清空，那么此列中就会有一个日期和时间Ø最后访问时间（Last Access）：显示最后访问某文件的日期。

Ø文件创建时间（File Created）：特定文件被创建到某位置时的记录EnCase界面简介n列表视图Ø最后写入时间（Last Written）：显示某文件最近一次被打开、编辑并保存的日期和时间如果一个文件被打开后没有修改，该列不会更新Ø入口修改时间（Entry Modified）：修改的入口列与NTFS和Linux文件系统有关，它提供文件入口的指针以及该指针所包含的内容（例如文件的大小）如果一个文件被改变但大小不变，那么修改的入口列不会改变但如果文件大小改变那么该列将会改变Ø逻辑大小（Logical Size）：指按字节计算一个文件实际大小EnCase界面简介n列表视图Ø物理大小（Physical Size）：物理大小是文件的簇大小例如在Win 98 SE中，簇是4096字节，所以任何一个逻辑大小小于4096的文件通常物理大小是4096字节Ø开始区域（Start Extend）：指案件中每个文件的起始簇显示的格式是证据文件号、逻辑驱动器符，然后是簇编号例如，一个文件的起始区域是2E424803，表示该文件在第三个证据文件（从0开始计数），位于证据文件的逻辑驱动器E的第424803簇。

Ø证据文件（Evidence File）：显示该文件位于哪个证据文件中EnCase界面简介n列表视图Ø文件标识符（File Identifier）：文件表的索引，在NTFS中使用文件标识符号存储在主文件表中，是分配给文件或文件夹的唯一号码ØHASH值（Hash Value）：HASH值列显示案件中每个文件的HASH值执行计算HASH值命令可以生成该信息ØHash集（Hash Set）：显示一个文件所属的Hash集如果没有创建或导入Hash集，该列为空ØHASH类（Hash Category）：显示一个文件所属的HASH类如果尚未创建或导入任何HASH集，那么该列中就无数据如果已创建或输入HASH集，那就可以在该列找到“KNOWN”和“NOTEABLE”标记EnCase界面简介n列表视图Ø全路径（Full path）：显示文件在证据文件中的地址Ø短文件名（Short name）：在8.3格式的DOS文件命名体系中，文件的名字Ø源路径（Original Path）：显示源于回收箱中被删除文件的信息，指出被删除文件最初来自何处•对于被分配（非删除）文件，该列为空；•对于回收箱中的文件，该列显示它们被删前来自何处；•对于被删除/覆盖的文件，该列显示被覆盖后的文件名。

EnCase界面简介n图片集Gallery视图ØTom可通过选择在右边视图栏上部的“Gallery”标签，使得右边栏中显示图片集视图如图图片集视图是一种浏览保存在主体介质上所有图片的快捷方法调查人员可以通过图片集视图，访问在突出显示的文件夹、列或整个案件中所有的图片，从而为某些类别的案件（如淫秽信息传播案件等）的证据搜索提供方便EnCase界面简介n图片集Gallery视图Ø在图片集中，调查人员可以标记特定的图片文件，从而在报告中显示它们（右击要标记的图片，在弹出框中选择将选中的图片加入书签）Ø在初始案件分析时，图片集视图以文件扩展名为基础显示文件但是如果调查人员已经进行了文件特征分析，那么那些本身确实是图片的文件，就会在图片集视图中显示例如若一个JPG文件被嫌疑人重命名为DLL文件，那么在载入原始证据的初始状态，EnCase无法在图片集视图中显示该文件，但是如果调查人员进行了文件特征分析，那么一旦文件特征分析认出该文件是图片文件，仅仅是文件扩展名被修改，那么图片集视图中就会出现该图片文件的信息EnCase界面简介n时间线Timeline视图ØTom可通过选择在右边视图栏上部的“Timeline”标签，使得右边栏中显示时间线视图如图。

时间线视图的主要功能是查看文件创建、修改和最后访问的时间，可以将时间视图根据情况放大到逐秒时间线，也可缩小到逐月时间线Ø在时间线视图上方有5个选择框，可以通过它们快捷地过滤当前想看的文件活动：创建文件、修改文件、访问文件和删除文件等EnCase界面简介n时间线Timeline视图Ø在时间线视图里有5种不同颜色标记的方块：•浅灰色方块表示文件最近被访问的日期/时间戳；•中度灰色方块表示文件最近被改写的日期/时间戳；•深灰色方块表示文件被创建的日期/时间戳；•蓝色方块表示文件的选择框被选中；•红色方块表示文件被突出显示EnCase界面简介n报告Report视图ØTom可通过选择在右边视图栏上部的“Report”标签，使得右边栏中显示报告视图如图报告视图报告在左边窗口中选择的当前文件夹/列的信息，例如日期和时间戳、文件权限等等在书签标签视图中，报告视图为调查员在调查中已标记的所有证据提供文件管理报告是对案件中所有书签的自动编辑EnCase界面简介n子标签Ø在EnCase界面的下方，是按照调查人员的要求，显示某个特定文件、标签、磁盘或脚本等的相关参数和信息，在这个信息栏的上部存在着一系列方便人员操作和查看的子标签选项。

EnCase界面简介n子标签Ø“Lock”选择框：用来在滚动显示文件时锁定已选择窗口例如在滚动显示窗口右上角的文件时，要查看文件在磁盘上的物理地址，点击磁盘视图，选择“Lock”框，再滚动显示文件每个被选的文件都会显示磁盘视图，而不需回到文件的默认视图；Ø“Text”子标签：以文本方式显示查看上方右边界面中当前所选文件的内容；Ø“Hex”子标签：以十六进制方式显示查看上方右边界面中当前所选文件的内容；EnCase界面简介n子标签Ø“Picture”子标签：以图形方式显示查看上方右边界面中当前所选文件的内容，如果文件不是图形文件，那么图片标签就会变灰EnCase能显示GIF、JPG、BMP和TIFF等常用的图形文件，某些不常见的图形类型文件则需用第三方浏览器来查看；Ø“Disk”子标签：证据文件扇区的图解对表格视图中被选的每个文件，磁盘标签都会显示它在证据文件中的物理地址；Ø“Report”子标签：用报告格式显示当前所选文件的属性；EnCase界面简介n子标签Ø“Filter”子标签：使调查员能够快速方便地创建编辑过滤器过滤器运行时，列表视图中将显示适合过滤标准的文件；Ø“Queries”混合过滤查询标签：将综合过滤器的功能，建立多条件查询的过滤器，减少操作文件所需的时间；Ø“Console”控制台标签：显示EnScripts在执行时发送到控制台标签的输出结果。

EnCase界面简介n物理扇区/簇信息Ø在“Lock”框右边的一行文字显示了原始证据的物理扇区和簇信息每次调查员点击新数据（如在磁盘视图里点击扇区）时，该行显示当前所选扇区和簇的物理扇区/簇信息其中•PS：物理扇区；•LS：逻辑扇区（PS数减去63）；•CL：簇；•SO：扇区偏移量当前所选扇区/簇所在位置的扇区内的偏移量；•FO：文件偏移量当前所选扇区/簇所在位置的当前突出显示文件内的偏量；•LE：长度显示当前突出选定的字节数利用EnCase调查案件的前期步骤n在引导案例中，Tom利用EnCase创建了新案件，并将其获取的原始证据磁盘镜像加载到新案件中后，需要在具体取证调查前执行一些前期的设置，并获取证据存在磁盘的环境信息（初始化信息）n下面将描述EnCase在调查初始阶段可使用的一些特性设置和操作这些操作对于无论是响应一个紧急事件、执行一个电子恢复请求，还是对工作站进行详细审查，都将节省调查时间并有助于确保正确显示属于该案件的所有数据利用EnCase调查案件的前期步骤n时区设置Ø同一个案件中介质常常来自不同的时区，这就使得比较不同事件的时间变得很困难EnCase允许调查员对案件中每个介质块单独设置时区而不依赖于系统的时区设置。

Ø当一个新时区被指派时，基于GMT的文件系统中的日期和时间（如NTFS）将相应调整，而以本地时间保存日期和时间的文件系统（如FAT16和FAT32）则不会在指派新时区后显示调整后的时间Ø在本地时间系统上设置时区在处理案件时非常重要，使EnCase知道该系统最初是在什么时区工作利用EnCase调查案件的前期步骤n时区设置Ø修改某一介质块的时区设置时，右击目标介质并在弹出的菜单中选择修改时区设置（Modify Time Zone Settings…），从而出现时区调整对话框如图利用EnCase调查案件的前期步骤n时区设置Ø时区设置可以通过改变右边的选项来进一步定制如果调查员选择不对任何介质指定时区设置，EnCase将默认选择来自进行调查的计算机上当前Windows注册表设置的日期和时间戳Ø如果调查员有意对多个机器上交叉发生的活动时间进行比较，EnCase还提供使用户显示同一个案件中相关的所有日期的功能这样的功能需要修改案件级的时区设置，即右击目标案件，在弹出的菜单中选择修改时间设置，缺省状态是，“convert all dates to correspond to one time zone”选项框未被选择。

选择该选项及需要应用的时区，可将时间调整到一个标准时差利用EnCase调查案件的前期步骤n恢复文件夹Ø在原始证据镜像的驱动器上进行任何进一步的深入分析之前，调查人员应当首先进行文件恢复操作恢复文件夹命令只在证据文件卷被选择时才可用调查人员可以右CASES标签，选择RECOVER FOLDERS命令，执行完成后一个标注为“已恢复文件夹”（FAT系列）或“Lost Files”（NTFS、UFS及EXT分区）的灰色文件夹会出现在“Case”视图中利用EnCase调查案件的前期步骤n恢复文件夹Ø对于FAT系列分区，其每个文件夹/目录都有“.和..”入口，这些目录告诉文件系统它自身和其父目录的目录入口在哪里EnCase搜索未分配的簇、查找这些特征并恢复那些被删除的文件夹，而这些文件夹的目录入口已被父目录覆盖，但目录中的内容尚未被覆盖由于被删除文件夹的名字在源目录中已被重写，EnCase无法恢复，但会恢复这些文件夹中的所有内容（文件及子文件夹）这是一个非常重要的命令，特别是在被格式化的驱动器上该命令能够快速方便地恢复一个被格式化驱动器上的大部分信息利用EnCase调查案件的前期步骤n恢复文件夹Ø对于NTFS、UFS及EXT分区上那些被删除的没有父目录的文件和文件夹，EnCase采用与FAT系列不同的方式恢复。

Ø在NTFS的主文件表（MFT）中，文件夹中文件注明属于一个“父”文件夹，而其中的文件则是那个文件夹的“子”如果一个用户先删除了这些文件，接着删除了文件夹，再创建一个新文件夹，最初的那个被删除的文件夹就会丢失MFT中新的文件夹入口覆盖了被删除文件夹的入口MFT中最初的“父”文件夹及其入口就被覆盖并丢失，而“子”并没有被覆盖且入口也仍然在MFT中ØEnCase解析MFT并发现那些仍然在列的文件，只是没有了父目录所有这些文件被恢复存放到灰色的“Lost Files”文件夹在UFS和EXT文件系统中，处理方式类似利用EnCase调查案件的前期步骤n初始化案件Ø在新建案件之后，EnCase提供一个有很有实用价值的EnScript脚本——Initialize Case EnScript（初始化案件脚本）初始化案件脚本自动操作大量常规费时的任务，能够为调查员节约不少调查时间Ø初始化案件脚本检查并报告：文件完整性、驱动器结构、分区、卷信息、Windows版本和注册表信息、Windows时区设置和当前活动时差、Windows网络设置、Windows最后一次关机时间、Window用户、安装的软件、安装的硬件、doc和html以及txt文件、映射驱动器信息等。

利用EnCase调查案件的前期步骤n初始化案件Ø在本章案例中，Tom在脚本Scripts标签视图中的“Examples”目录中找到“Initialize Case(v4)”，双击该脚本后在工具栏中出现“Run”图标，点击该图标，开始运行初始化脚本，如图利用EnCase调查案件的前期步骤n初始化案件Ø在随后出现的一系列调查者信息和初始化设置信息的对话框中填入合适的信息后，该脚本开始运行运行完成后在书签Bookmarks标签视图中，出现相应的分析结果报告标签，对初始化案件的分析结果进行报告如图利用EnCase调查案件的前期步骤n文件特征分析Ø文件扩展名是在文件名中位于“.”后的3到4位字符它们显示文件代表的数据类型如果一个文件扩展名是.TXT，就认为数据类型是“文本”在Windows里就是利用文件扩展名将文件类型与相关的应用关联起来Ø被调查者将文件的真实本质隐藏起来的一种策略就是人为修改文件的扩展名如将一个JPEG文件修改为“.dll”扩展名，大多数的程序就无法识别出它是一个图片文件因此对于调查者，将每个文件特征与其扩展名进行比较，鉴别出那些被故意更改了扩展名的文件是必要的这种功能在EnCase中就是文件特征分析。

利用EnCase调查案件的前期步骤n文件特征分析Ø特征分析是搜索功能的一部分点击工具栏上的“Search”按钮就可弹出搜索框，如图利用EnCase调查案件的前期步骤n文件特征分析Ø在对话框里仅选择“Verify file signature”（验证文件特征）选项点击“START”，特征分析就会在后台运行直至完成利用EnCase调查案件的前期步骤n文件特征分析Ø要查看特征分析的结果，可在左边选择“Cases”标签，并全选案件所有文件，右边选择“Table”视图将表格视图中的列按照“Name”、“File Ext”和“Signature”列依次排列显示Ø并按照第一级：特征；第二级：文件扩展名；第三级：文件名进行排序（用“SHIFT”+双击增加排序级别），如图利用EnCase调查案件的前期步骤n文件特征分析Ø在文件特征列可以观察文件特征分析的结果，其特定表示如下：•! Bad Signature：在文件特征表中有列出该文件扩展名，但是案件中发现的文件的特征不符，且该文件特征也没有和已知的任何文件特征相匹配这表明该文件头毁坏或者是发现了一种未知的文件格式，需要加入文件特征表利用EnCase调查案件的前期步骤n文件特征分析Ø在文件特征列可以观察文件特征分析的结果，其特定表示如下：•*[Alias]：该文件的头存在于文件特征表中，但该文件的扩展名与文件特征表中对应的扩展名不符。

这表明这是一个扩展名被重命名的文件•Match：文件头与扩展名匹配如果扩展名在文件特征表中没有头，只要该文件的头没有与文件特征表中的任何头对应，EnCase也会返回一个Match的标志•Unknown：文件特征表中对该类文件（文件特征/扩展名）没有定义文件操作n计算机取证调查人员在将原始证据（计算机磁盘）镜像加载到新创建的案例中并进行初始化设置和文件特征分析之后，就需要深入分析镜像中的各种文件信息，这时就需要针对感兴趣的文件和信息进行各种操作文件操作n复制/反删除文件/书签/文件夹ØEnCase具有逐字节地恢复和反删除文件的特性ØEnCase里许多操作需要选择一列文件选择单个或数个文件时可以将Table视图里文件序号左边的选择框打钩如果需要选择或取消某个目录\磁盘\案件中的全部文件和目录，就在左边目录树的相应位置将选择框打钩即可Ø复制/反删除一组文件，首先选择需要的文件，然后右击选中文件，从弹出的菜单中选择“COPY/UNERASE”选择需要的选项并点击“下一步”，从被选中的文件中选出要复制的部分如图文件操作n复制/反删除文件/书签/文件夹ØLogical File Only：仅逻辑文件，指示EnCase仅复制文件逻辑部分。

文件碎片不会被复制；文件操作n复制/反删除文件/书签/文件夹ØEntire Physical File：全部物理文件，指示EnCase复制整个文件，也就将逻辑文件和文件碎片都复制； 文件操作n复制/反删除文件/书签/文件夹ØRAM & Disk Slack：RAM和磁盘碎片，磁盘碎片是在一个逻辑文件尾和它所在簇之间的磁盘可用空间这个空间经常包含的信息由曾经存在于该簇的文件残余组成； 文件操作n复制/反删除文件/书签/文件夹Ø仅RAM碎片：RAM碎片，更准确地说是“扇区碎片”，是在逻辑区域和“文件碎片”之间的缓冲文件操作n复制/反删除文件/书签/文件夹Ø当设置好需要复制的内容后，点击“下一步”在弹出的对话框中选择文件复制的目标路径Ø如果许多文件被合在一起成为一个单独的新文件，目标就会是一个文件路径如果文件被逐个复制，目标路径将是一个文件夹Ø在这个对话框中可以指定在复制/反删除文件时，将需要复制的文件分解成若干部分利用这个功能可以将想复制/反删除整个未分配簇的文件分成640MB的“块”，从而可以刻录成光盘保存当复制/反删除一个被删除文件时，EnCase在可能或必要时会自动恢复被删除的文件，然后进行和正常文件同样的处理。

文件操作n复制/反删除文件/书签/文件夹Ø利用和复制文件相似的方式可以复制书签，其步骤如下•在书签目录树中选中需要复制的书签；•右击Table视图中的任意区域，选择标记选择的文件“TAG SELECTED FILES”命令；•切换至案件Cases标签视图，此时可以发现与所选书签相关的所有文件均已被选中；•右击其中一个被选中文件，选择“COPY/UNERASE”选项，随后进行与复制文件相似的操作文件操作n复制/反删除文件/书签/文件夹Ø要将整个文件夹复制到本地驱动器，可以在案件Cases标签视图中选择要复制的文件夹，并在右键菜单中选择“COPY FOLDERS”命令执行该命令后，所选证据文件的全部内容都会被复制到存储硬盘驱动器上文件操作n在EnCase外部查看文件ØEnCase本身支持多数通用文件的查看，但是在调查过程中仍然存在不少文件是EnCase不支持的，这个时候就需要借助于外部的第三方工具来查看文件，调查人员可以在EnCase里建立一个文件查看器以便其可将文件链接到正确的应用程序，具体操作如下：•在文件查看器File Views标签视图中的右键菜单中选择“NEW”命令；•在弹出对话框中，填入特定信息：第三方工具的名称、路径，以及执行时需要的命令行（通常可以不填），再点击“OK”确认即可。

文件操作n在EnCase外部查看文件ØEnCase默认已将许多文件扩展名匹配到可正确访问文件的应用程序但在调查中始终会出现一些新的扩展名，或者需要新方式来访问的一类扩展名的文件这中情况下，调查人员可以在文件类型标签栏添加文件扩展名并匹配到正确的查看工具，具体操作如下：•在文件类型File Types标签视图中的右键菜单中选择“NEW”命令；•在弹出对话框中，键入要求的信息：工具描述、关联的扩展名，选择用来打开这类扩展名文件的工具，再点击“OK”确认即可文件操作n有关文件操作的疑问Ø为什么有些被删除的文件第一个字母是“？”，而有的文件没有？•如果一个文件有一个长文件名（任何非大写字母8.3规则的名字），DOS对该文件存储两套条目一套包含等同的短8.3名字（通常在结尾会有一个“~”），另一套包含的是长名字文件被删除时，8.3名的第一个字符被替换成一个十六进制的E5（设置“？”是为了使其可读），但长名的第一个字符则被保存如果长名的第一个字符存在，EnCase就会用其来替换短名条目中的“？”文件操作n有关文件操作的疑问Ø当调查人员复制了一个完整的文件夹时，这个文件夹中被删除的文件也一同被复制吗？•答案是肯定的。

如果不需要复制已经被删除的文件（通常都是需要复制的），调查人员可通过选择整个文件夹，然后取消选择不需复制的文件，再在文件夹复制对话框中选定“仅复制被选文件”文件操作n有关文件操作的疑问ØEnCase可以完全恢复一个被删除文件吗？ •不一定被删除的文件可能不能被彻底恢复或只能恢复其中的部分有可能一个被删除的文件剩下的只有目录条目有时一些数据可以被恢复，但并非是文件的原始内容文件操作n有关文件操作的疑问Ø调查中怎样选择一个案例中的所有文件？ •在Cases标签中，选定任意文件夹就选定了其中的所有文件和文件夹要选定Case中所有的文件和文件夹，只要选定树形顶端的“Case”再次点选它将取消所有选择•要选定表格视图中一个域的项，选定第一项，按住“SHIFT”键不放并选定最后一项即可•选定一个文件夹中的多个文件但不是所有文件，在选定每个文件的同时，按下“CTRL”键关键词搜索n计算机取证调查人员在对原始证据进行分析时，为了在海量的数据信息中寻找与案件有关的信息和证据，就需要进行关键词搜索，而对搜索关键词的设置和应用，决定了调查是否高效和全面nEnCase的搜索功能可以定位当前打开案件中的物理或逻辑介质上任何地方的信息。

关键词被整体保存在EnCase目录里的一个初始化文件中nEnCase能在每个介质里从头到尾逐字节地搜索每个关键词条件，并针对该条件搜索每个逻辑文件关键词搜索设置是在关键词Keywords标签视图中进行的关键词搜索n关键词可以对系统中的所有案件进行访问调查人员通常将常用的关键词进行正确地分组，以便在需要的时候方便地定位，并且在需要的时候在关键词Keywords标签视图中针对这些分组文件夹进行操作n要创建一个群组，可以右击文件夹要创建的位置，选择“NEW FOLDER”双击该文件夹即可给其指定的名字关键词搜索n维护关键词Ø在关键词标签视图中，鼠标右击准备添加关键词的关键词文件夹并从弹出的右键菜单中选择“NEW”即出现新建关键词对话框，如图关键词搜索n维护关键词Ø在新建关键词对话框中的搜索表达式“Search expression”栏中输入需要搜索的关键词，并在“Name”栏中为本搜索取一个名字，并在下面的搜索方式选项中进行相应的选择，后点击“确定”即可关键词搜索n维护关键词Ø新建关键词对话框中的选择项如下•Case sensitive：按照“Search expression”栏中指定的大小写进行关键词搜索；关键词搜索n维护关键词Ø新建关键词对话框中的选择项如下•GREP：关键词使用正则表达式的方式搜索；关键词搜索n维护关键词Ø新建关键词对话框中的选择项如下•RTL Reading：按照从右到左的顺序搜索关键词。

例如若键入关键词“Arabic keyword”并指定该关键词为RTL reading，EnCase就显示该表达式的结果为 “drowyek cibarA”；•Active Code-Page：采用多种语言输入关键词Active Code-Page”选项必须选择以特定的语言输入关键词而默认的编码页为“Latin I”，即针对英语字符；关键词搜索n维护关键词Ø新建关键词对话框中的选择项如下•Unicode：仅用Unicode的方式搜索关键词Unicode是一个许多通用的软件应用程序和操作系统都支持的字符集在多语言的办公或商业设备中，Unicode作为通用字符集的重要性是不容忽视的；•Big-Endian Unicode：非Intel的PC数据格式化配置与Little Endian相反，该配置中操作系统先用最重要的数字定位数据；关键词搜索n维护关键词Ø新建关键词对话框中的选择项如下•UTF-8：采用UTF-8的方式搜索为了满足面向字节和基于ASCII码系统，UTF-8已经被Unicode Standard定义UTF-8中每个字符都被显示为一个等于4个字节的序列，其中第一个字节表示字节的数，依次往后是一个多字节的序列，这是考虑到有效的行解析。

UTF-8在通过Internet协议的数据传输中和Web内容中被普遍使用；•UTF-7：采用UTF-7的方式搜索UTF-7是一种过时的编码方式，通常在搜索时间久远的内容时才会用到关键词搜索n维护关键词ØEnCase可以使用非英语语言定义和搜索关键词，并且关键词搜索的结果也可以需要的语言显示这样的功能需要在新建关键词对话框中的“Code Page”标签页进行相应的选择，如图关键词搜索n维护关键词Ø在EnCase中，可以通过导出和导入关键词的功能，与其他调查员共享关键词列表，也可以向另一个案例文件导出或从中导入关键词完成导出和导入功能可以在关键词标签页的右键菜单中选择“EXPORT”或“IMPORT”关键词导出时是以文本文件的格式输出，并且可以和编码信息一同输出关键词导入时以文本文件（TXT）形式导入关键词搜索n维护关键词Ø在案例调查时也可以采用添加关键词列表的方式来导入多个关键词，添加关键词列表对话框可以在关键词标签页的右键菜单中选择“ADD KEYWORD LIST”来打开Ø当案例调查是有较多关键词需要搜索时，调查人员可以按关键词的属性或搜索目的等性质进行分类和组织也即可以通过创建关键词文件夹（右键菜单中选择“NEW FOLDER”）的方式来分类相似属性的关键词。

对于关键词的移动可以采用拖曳等方式关键词搜索n使用关键词搜索Ø由于调查一个案件时加载的原始证据信息数据极多，即使仅仅针对一个硬盘镜像进行搜索，也将面对海量的数据，为了提高案件调查取证的效率，调查人员在使用关键词开始搜索之前需要考虑搜索的范围，决定是否搜索整个Case、整个驱动器或仅仅搜索单文件夹等Ø例如当需要搜索可能在未分配空间的一个文件头信息时，就应当只选中对该未分配空间（而不是整个案件）进行搜索Ø进行搜索时，调查人员可以点击工具栏的“SEARCH”按钮打开搜索对话框，如图关键词搜索n使用关键词搜索Ø在执行一次搜索时，可以根据几个不同的选项进行选择搜索进行中，每个选项可能生成截然不同的结果关键词搜索n使用关键词搜索ØSelected Files Only：仅搜索被选择的文件（被“蓝色标记选中”的文件），选项下的指示框显示当前被选中的文件数； 关键词搜索n使用关键词搜索ØSearch each file for keywords：在每个文件中搜索关键词，如果该选项框没有选中，即禁用关键词搜索，而是运行文件特征分析或HASH分析；关键词搜索n使用关键词搜索ØVerify file signatures：校验文件签名，即依次对所有文件或被选文件进行文件特征分析。

关键词搜索n使用关键词搜索ØCompute hash value：计算HASH，即对被选文件进行HASH分析；关键词搜索n使用关键词搜索ØSearch file slack：搜索文件闲置空间，即搜索存在于逻辑文件尾与各自的物理文件尾之间的闲置空间；ØSearch only slack area of files in Hash Library：仅搜索HASH文件库中已知文件的碎片区域；关键词搜索n使用关键词搜索ØSelected keywords only：仅搜索被选中的关键词关键词搜索n使用关键词搜索Ø当调查人员确定了搜索选项后，点击“START”按钮即开始搜索，搜索过程通常较为漫长，当搜索完成后EnCase会弹出一个弹出框，对本次搜索情况进行简介Ø当搜索完成后，调查人员可以在搜索命中标签视图中查看搜索结果每个关键词都在搜索命中标签下创建一个同名文件夹关键词结果将被放在与之对应的文件夹中，如图关键词搜索n使用关键词搜索Ø关键词搜索的结果默认是未标记的，如果调查人员认为搜索结果中某些文件有价值，可以标记这些查询结果，突出显示相关子标签中所要的数据并创建一个“Highlighted Data”书签。

Ø要取消一次关键词搜索，可以通过双击EnCase界面右下角的蓝色状态条书签的使用n计算机取证调查人员在对原始证据进行分析时，通常会选中并保存其感兴趣的文件夹、文件或文件的一部分以便于进一步分析、参考和证据提取在EnCase中，通过书签功能来完成这样的标记在案件取证和分析中任何存在数据和文件夹的地方都可以做书签所有的书签都保存在书签文件中，对于每个案件都有自身的书签文件通过书签标签视图，取证调查人员可以方便地查看书签n在EnCase中共有四种书签：书签的使用n在EnCase中共有四种书签：ØHighlighted Data Bookmark：选中的数据书签，通过在一个标签视图的窗口中选中数据而创建这是调查人员可完全定制的书签•选中数据的书签，也称为数据片书签（sweeping bookmark）或文本段书签（text fragment bookmark），可用来显示一大片的文本•这种书签通过在下面的窗体中点选并拖动鼠标选中文本或十六进制数据来创建要选择一片数据，在第一个字符上点击鼠标左键并按住，拖动鼠标至数据末端使其高亮选中通过在选中区域点击鼠标右键然后从右键菜单中选择“BOOKMARK DATA”来完成书签，如图书签的使用n在EnCase中共有四种书签：ØNotes Bookmark：注释书签，用于允许用户在报告中加入额外注释，不属于证据书签。

•注释书签给调查者在报告中添加注释的时候提供了灵活性这种书签有一个仅保留用于注释文本的区域，可支持一千个字符•当调查人员需要添加注释时，在左边的窗体中，于需添加注释的文件夹上点击右键，然后从右键菜单中选择添加注释“ADD NOTE…”，在弹出的“New Note”窗口中，输入需在注释中添加的文本并应用格式选项，选中“SHOW IN REPORT”选项框使注释能够出现在报告视图中注释书签可被复制并置于调查报告的任何地方书签的使用n在EnCase中共有四种书签：ØFolder Information Bookmark：文件夹信息书签，用于对文件夹的树目录结构或者特定介质的设备信息制作的书签这种书签选项常常包含有设备信息 •文件夹信息书签用于标记文件夹结构或者设备通过对文件夹结构做书签，文件夹的整个目录结构就可显示在报告中或用于以后分析中•独立设备、卷和物理磁盘也可以做书签以便在最终报告中显示重要的设备细节信息书签的使用n在EnCase中共有四种书签：ØFolder Information Bookmark：文件夹信息书签，用于对文件夹的树目录结构或者特定介质的设备信息制作的书签这种书签选项常常包含有设备信息。

•文件夹信息书签在标记包含未授权文档，图片和应用软件的目录时很有用同样也是显示案件中介质类型详细信息的常用方法•当调查人员要对一个文件夹做书签时，在案件标签视图中的文件夹上点击右键，并从右键菜单中选择“BOOKMARK FOLDER STRUCTURE”，如图书签的使用n在EnCase中共有四种书签：ØFolder Information Bookmark：文件夹信息书签，用于对文件夹的树目录结构或者特定介质的设备信息制作的书签这种书签选项常常包含有设备信息 •在弹出的“Add Folder Bookmark”窗口中，选择“INCLUDE DEVICE INFORMATION”选项，即可在报告中显示文件夹所在卷的详细信息COLUMNS”栏将把目录结构分成指定的列数并在右边目的文件夹栏中选择将书签置于最终报告的什么地方，点击“OK”即可创建该书签书签的使用n在EnCase中共有四种书签：ØFile Group Bookmark：文件组书签，这种书签针对一组所选文件（或一个特定文件）进行关注 •文件组书签可以关注一组文件，也可以关注单个特定文件这种书签用来把包含当前案件中重要信息的组与组内其它文件都相关的文件区别开来。

该书签对一组文件本身进行关注，而不是针对文件的内容制作书签，这样关于该组文件的详细信息就可以在报告中显示•当调查人员需要对一组文件添加书签时，选中案件标签视图中的一组特定文件，然后在右键菜单中选择“BOOKMARK FILES”（对选中文件加书签），如图在弹出的窗口中，可选择存储到现有书签文件夹或新建书签文件夹中，且指定存储文件组的位置书签的使用n通常随着调查的深入进行，会在书签标签视图中，产生多个由地调查人员制作的不同书签如图，且这些书签均可在报告中进行显示提交报告n取证调查的最后阶段是将调查所得制作成报告，并以可理解的易读格式组织和提交nEnCase具有帮助调查员以有组织的方式对调查所得制作书签和进行输出的功能，并且可以将最终的调查报告在调查完成后立即生成提交报告nEnCase主要提供了两种生成最终报告的方式Ø一种是利用字处理程序的格式将最终报告分类成一系列的子报告，并以一个摘要报告文档总览报告的内容；Ø另一种则有助于调查员创建可以烧录到光盘的无纸报告，这种形式使用了子报告和支持文档并以HTML超链接形式形成总览概要提交报告n在书签Bookmarks标签视图中，在左边窗体中可以选择将最终报告所需的各种书签文件夹和书签采用拖拽的方式进行整理，在需要在报告中输出的“Bookmark”文件夹上的右键菜单选择“EDIT”。

可以弹出书签文件夹编辑对话框，在这个对话框中，调查人员可以利用“Comment”栏，在报告中插入注释该对话框还有一个重要的功能就是定制报告的格式n在下方的“Fields”栏中通过双击一个项目可将其移动到“Format”栏中这样就会在报告中显示这些属性，如图如果调查者没有对一个书签文件夹设置属性，那么这个文件夹将会继承其父文件夹的属性设置提交报告n在对报告格式等进行设置后，可以在报告视图中点击右键，并在菜单中选择“EXPORT”来输出报告报告的输出可以采用“Document”和“Web Page”两种形式，如图提交报告nDocument：采用RTF文本格式，如果报告以RTF文本格式文件输出，文件就可以很容易的被如Microsoft Word之类的字处理程序编辑对那些可能需要自定义报告的调查员来说，这一格式是很好的选择而通常，为了满足相应的地区对报告格式的要求，调查人员都要对输出的报告进行一些编辑nWeb Page：采用超文本标记语言HTML格式，如果报告以HTML格式的文件输出，可以创建快捷和简便导航整个报告的超链接，其局限性是在所见即所得环境中编辑此类报告时，需要HTML编辑程序提交报告n当调查人员选择使用HTML格式输出报告时，EnCase将会从证据文件中拷贝/反删除书签中的图像至报告输出文件夹，并建立四个HTML文件：Ø调查员在“Export Report”对话框中命名的HTML报告，即图的“FinalReport.html”；Øgallery.html：包含了输出文件的缩略图浏览的；Øtoc.html：包含了由调查员创建和命名的“整个报告”的超链接的目录和“gallery.html”文件中由“Exporting”创建的“Gallery”（图库）的超链接目录；ØFrame View.html：它创建了其它三个文件的帧视图，并为在顶端和下面帧中显示的整个报告和图库都加了目录。

提交报告n当调查人员选择使用HTML格式输出报告时，EnCase将会从证据文件中拷贝/反删除书签中的图像至报告输出文件夹，并建立四个HTML文件：ØFrame View.html文件是查看结果必须打开的文件，同样也是光盘上概要报告中文本链接的文件双击Frame View.html文件即可打开浏览器显示调查员创建和命名的完整报告，如图Ø如果点击“Gallery”超链接，就会在打开“gallery.html”文件，并显示从EnCase证据文件中拷贝/反删除的图像缩略图。