Encase
advertisement
Основы EnCase® Forensic Часть 2: Установка программы, интерфейс Encase, добавление исследуемого объекта в дело, навигация по делу. Общие сведения о Encase Окно приветствия мастера установки Общие сведения о Encase Лицензионное соглашение Общие сведения о Encase ! Если вы впервые устанавливаете программное обеспечение EnCase®, извлеките все электронные защитные ключи и поставьте флажок рядом с параметром «Установить драйверы» (“Install CodeMeter Drivers”), чтобы установить или обновить драйверы, необходимые для электронных ключей EnCase®. Общие сведения о Encase Дополнительны параметры установки Общие сведения о Encase Сообщение об успешном завершении установки Общие сведения о Encase Общие сведения о Encase На следующем этапе необходимо установить файлы сертификата. Если у вас есть файлы сертификата, скопируйте их в папку «Certs». Путь к этой папке по умолчанию: C:\Program Files\EnCase7\Certs Общие сведения о Encase Общие сведения о Encase Если файла сертификата нет – ссылка на его скачивание придет в письме после регистрации ключа: Certs How to Install Encase® Certificate Files How to Install Encase® EnLicense Files SC2005010.cert Общие сведения о Encase Запуск Encase. Общие сведения о Encase Регистрация EnCase Forensic 7 Общие сведения о Encase Общие сведения о Encase Encase Общие сведения о Encase Новое дело Общие сведения о Encase Создание нового дела Общие сведения о Encase Информация о деле для отчета Общие сведения о Encase Если позднее необходимо обновить параметры диалогового окна «Опции дела» (“Case Options”), используйте соответствующий пункт в меню «Дело» (“Case”). Общие сведения о Encase Общие сведения о Encase ! Нельзя изменить информацию в полях «Имя» (“Name”) или «Полный путь к делу» (“Full Case Path”); эта информация предоставляется только для справок и доступна только для чтения. Общие сведения о Encase Опции дела Общие сведения о Encase Начальная страница дела Общие сведения о Encase Обратите внимание, что в папке дела создается несколько дополнительных папок: «CorruptPictures» – содержит изображения, поврежденные во время процесса создания миниатюр; «Email» – папка обработки электронной почты; «Export» – папка по умолчанию для экспорта исследуемых данных; «Results» – содержит результаты запросов по индексу; «Tags» – папка для хранения сведений о тегах; «Temp» – папка временных файлов по умолчанию, используемая при просмотре файлов. Общие сведения о Encase Папки дела по умолчанию Общие сведения о Encase Папки «CorruptPictures» и «Results» будут созданы посредством Evidence Processor. Общие сведения о Encase Общие параметры конфигурации доступны в диалоговом окне «Опции» (“Options”) Общие сведения о Encase В диалоговом окне «Опции» (“Options”) можно изменить основные параметры конфигурации EnCase. Вкладка «Общие» (“Global”) позволяет изменять различные функции, в том числе параметры функции автоматического сохранения и параметры времени ожидания. Вкладка «Время» (“Date”) позволяет задавать формат для отметок даты и времени. Общие сведения о Encase Вкладка «Сервер проверки подлинности в сети» (“NAS”) содержит все параметры, необходимые для проверки подлинности электронного ключа EnCase® в сети, если он подключен к серверу, а не к локальному компьютеру. Вкладка «Цвета» (“Colors”) предоставляет возможность задавать параметры цветовой схемы для различных элементов интерфейса EnCase®. Общие сведения о Encase Вкладка «Шрифты» (“Fonts”) позволяет изменять экранные шрифты, используемые обычно для поддержки иностранных языков. Вкладка «Общие файлы» (“Shared Files”) предоставляет возможность указывать пути к местам хранения пользовательских данных и данных приложения, а также к папкам кэша и исследуемых данных. Общие сведения о Encase Вкладка «Отладка» (“Debug”) используется пользователями EnCase, которые столкнулись со случаями аварийного завершения работы и зависания приложения, и специалистами из отдела обслуживания клиентов, чтобы определить характер проблемы. Общие сведения о Encase Диалоговое окно «Опции» (“Options”) Общие сведения о Encase Возможности хэширования EnCase 7 содержит несколько новых и расширенных возможностей хэширования: благодаря универсальному интерфейсу пользователя для управления хэшзначениями можно создавать наборы и библиотеки хэшей, импортировать и экспортировать библиотеки хэшей, выполнять запрос по наборам хэшей и просматривать наборы или отдельные элементы хэшей; Общие сведения о Encase библиотеки хэшей могут содержать несколько наборов, каждый из которых можно включать или отключать; можно создавать любое количество библиотек или наборов хэшей; если хэш-значение принадлежит нескольким наборам, будет составлен отчет о каждом совпадении; Общие сведения о Encase в каждом деле можно использовать до двух различных библиотек хэшей одновременно; некоторые хэш-значения можно сохранять в отдельной папке, не помещая их в отдельный набор или отдельную библиотеку хэшей (например, вам, возможно, потребуется сохранить хэшзначение элемента для последующего использования, не добавляя его в набор или библиотеку хэшей). Общие сведения о Encase Управление библиотекой хэшей Общие сведения о Encase Ссылка «Библиотеки хэшей» (“Hash Libraries”) Общие сведения о Encase Добавление исследуемого объекта в дело Общие сведения о Encase Ссылка «Добавить исследуемый объект» (“Add Evidence”) Общие сведения о Encase Окно «Добавить исследуемый объект» (“Add Evidence”) Общие сведения о Encase Интерфейс диалогового окна «Добавить локальное устройство» (“Add Local Device”) в EnCase 7 Общие сведения о Encase Интерфейс диалогового окна «Клонировать данные смартфона» (“Acquire Smartphone”) в EnCase 7. Общие сведения о Encase «Добавить устройство, подключенное через сетевой кабель «компьютер-компьютер»» (“Add Crossover Preview”) – Для клонирования данных через сетевой кабель «компьютер-компьютер» необходим как исследуемый компьютер, так и компьютер эксперта. Такой тип клонирования сводит на нет необходимость аппаратного устройства блокирования записи. Он предпочтителен в ситуациях, когда физический доступ к встроенному носителю исследуемого компьютера затруднен или не возможен. Общие сведения о Encase Добавление файла исследуемых данных. Общие сведения о Encase Вкладка исследуемые объекты. Общие сведения о Encase Открытие выбранных исследуемых объектов Общие сведения о Encase Удаление выбранных исследуемых объектов Общие сведения о Encase Навигация по делу. Общие сведения о Encase После загрузки исследуемого объекта откроется вкладка «Исследуемые объекты» (“Evidence”) в режиме просмотра «Дерево- таблица» (“TreeTable”), знакомом пользователям программы EnCase®. Общие сведения о Encase Экран просмотра вкладки «Исследуемые объекты» (“Evidence”) разделен на три части: панель древовидного представления объектов (левая панель, «TREE»); панель табличного представления объектов (правая панель, «TABLE»); панель просмотра (нижняя панель, «VIEW»). Общие сведения о Encase Общие сведения о Encase Можно изменить разделение экрана с помощью кнопки «Режим разделения» (“Split Mode”) и выбрать предпочтительное расположение панелей в зависимости от проводимого расследования. Общие сведения о Encase Общие сведения о Encase Режим «Таблица» (“Table”) – панель табличного представления вверху и панель просмотра внизу (без панели древовидного представления объектов). Общие сведения о Encase Режим «Дерево-таблица» (“TreeTable”) – режим просмотра по умолчанию: панель древовидного представления слева, панель табличного представления справа, панель просмотра внизу; традиционный режим просмотра в EnCase®. Общие сведения о Encase Режим «Traeble» – панель табличного представления (с возможностью просмотра структуры папок в столбце «Имя» (“Name”)) вверху, панель просмотра внизу. Общие сведения о Encase Режим «Дерево» (“Tree”) – панель древовидного представления слева и панель просмотра справа (без панели табличного представления объектов). Общие сведения о Encase Панель древовидного представления / вкладка «Исследуемые объекты» (“Evidence”) В EnCase 7 используется три способа для выделения отдельных файлов или папок. Эти способы редназначены для разных целей: Общие сведения о Encase Выделение папки мышью приводит к тому, что содержащиеся в этой папке элементы отображаются в панели табличного представления (этот способ используется только для просмотра информации). Общие сведения о Encase Функция «Установить вложенные папки» (“Set Included Folders”) показывает в панели табличного представления все элементы, файлы и папки, содержащиеся в выделенной папке и всех ее подпапках. Она имеет преимущество перед опцией выделения. Активируется щелчком по значку многоугольника, который находится рядом со стрелкой дерева папки, в панели древовидного представления во вкладке «Исследуемые объекты» (“Evidence”) с установленным режимом «Просмотр (Элемент)» (“Viewing (Entry)”) или в любых других вкладках, отображающих похожую структуру папок. Общие сведения о Encase Отметка флажком или способ выбора для последующих действий предназначается для обозначения файлов или папок, над которыми будут выполняться операции анализа, например, поиск по ключевым словам. Эту функцию можно реализовать в различных вкладках. Она активируется щелчком по значку квадрата рядом с именем элемента в любой вкладке. Общие сведения о Encase Элементы, отмеченные флажком, и кнопка «Выбрано» (“Selected”) Общие сведения о Encase Функция отметки флажком предназначена для выбора файлов и папок, для которых необходимо выполнить определенные операции, в частности поиск, копирование или экспорт (количество выбранных элементов будет показано в кнопке «Выбрано» (“Selected”)). При активированной функции «Установить вложенные папки» (“Set Included Folders”) выбор элементов флажком не повлияет на количество файлов или папок, отображаемых в панели табличного представления. Общие сведения о Encase Пользователи предыдущих версий EnCase привыкли щелкать правой кнопкой мыши по объекту в панели древовидного представления, чтобы открыть контекстное меню с различными опциями. Эта функция отсутствует в EnCase 7. Теперь пользователю доступно раскрывающееся меню в правом верхнем углу строки меню. Общие сведения о Encase Новое раскрывающееся меню в EnCase 7 Общие сведения о Encase Вкладка «Галерея» (“Gallery”) показывает изображения в виде миниатюр. Эти изображения показываются (по умолчанию) на основе их расширений. Общие сведения о Encase Вкладка «Галерея» (“Gallery”) Общие сведения о Encase Во вкладке «Временная шкала» (“Timeline”) показаны различные типы даты и времени. Область просмотра можно увеличить (команда «Более высокое разрешение» (“Higher Resolution”)), чтобы показывать содержимое по секундам, или уменьшить (команда «Более низкое разрешение» (“Lower Resolution”)), чтобы показывать содержимое по годам. Общие сведения о Encase Общие сведения о Encase Режим «Просмотр накопителя» (“Disk view”) позволяет просматривать файлы и папки исходя из того, где эти данные находятся на носителе. Можно просматривать расположение кластеров или секторов и фрагменты файлов. Общие сведения о Encase Общие сведения о Encase Общие сведения о Encase DOC-файл в панели просмотра Общие сведения о Encase DOCX-файл в панели просмотра Общие сведения о Encase Во вкладке «Разрешения» (“Permissions”) показаны разрешения безопасности для файла, в том числе имя и идентификатор безопасности (SID) пользователя, имеющего разрешение на чтение, изменение и выполнение файла. Общие сведения о Encase Вкладка «Разрешения» (“Permissions”) Общие сведения о Encase Вкладка «Изображение» (“Picture”) Общие сведения о Encase Просмотр изображения в шестнадцатеричном виде Общие сведения о Encase Пользователь должен знать свое текущее размещение в деле, особенно при документировании местонахождения важных данных, найденных в свободном пространстве. Строка состояния, которая находится в нижней части окна программы, предоставит эту информацию. Общие сведения о Encase Общие сведения о Encase Аббревиатуры имеют следующие значения: PS – номер физического сектора; LS – номер логического сектора; CL – номер кластера; SO – смещение в секторе (расстояние в байтах от начала сектора); FO – смещение в файле (расстояние в байтах от начала файла); LE – длина (количество байтов в выделенной области).
