案件取证操作教程EnCase课件.ppt

利用EnCase调查案件的前期步骤 文件特征分析 要查看特征分析的结果，可在左边选择“Cases”标签，并全选案件所有文件，右边选择“Table”视图。将表格视图中的列按照“Name”、“File Ext”和“Signature”列依次排列显示 并按照第一级：特征；第二级：文件扩展名；第三级：文件名进行排序（用“SHIFT”+双击增加排序级别），如图 利用EnCase调查案件的前期步骤 文件特征分析 在文件特征列可以观察文件特征分析的结果，其特定表示如下： ! Bad Signature：在文件特征表中有列出该文件扩展名，但是案件中发现的文件的特征不符，且该文件特征也没有和已知的任何文件特征相匹配。这表明该文件头毁坏或者是发现了一种未知的文件格式，需要加入文件特征表。 利用EnCase调查案件的前期步骤 文件特征分析 在文件特征列可以观察文件特征分析的结果，其特定表示如下： *[Alias]：该文件的头存在于文件特征表中，但该文件的扩展名与文件特征表中对应的扩展名不符。这表明这是一个扩展名被重命名的文件。 Match：文件头与扩展名匹配。如果扩展名在文件特征表中没有头，只要该文件的头没有与文件特征表中的任何头对应，EnCase也会返回一个Match的标志。 Unknown：文件特征表中对该类文件（文件特征/扩展名）没有定义。 文件操作 计算机取证调查人员在将原始证据（计算机磁盘）镜像加载到新创建的案例中并进行初始化设置和文件特征分析之后，就需要深入分析镜像中的各种文件信息，这时就需要针对感兴趣的文件和信息进行各种操作。 文件操作 复制/反删除文件/书签/文件夹 EnCase具有逐字节地恢复和反删除文件的特性。 EnCase里许多操作需要选择一列文件。选择单个或数个文件时可以将Table视图里文件序号左边的选择框打钩。如果需要选择或取消某个目录\磁盘\案件中的全部文件和目录，就在左边目录树的相应位置将选择框打钩即可。 复制/反删除一组文件，首先选择需要的文件，然后右击选中文件，从弹出的菜单中选择“COPY/UNERASE”。选择需要的选项并点击“下一步”，从被选中的文件中选出要复制的部分如图 文件操作 复制/反删除文件/书签/文件夹 Logical File Only：仅逻辑文件，指示EnCase仅复制文件逻辑部分。文件碎片不会被复制； 文件操作 复制/反删除文件/书签/文件夹 Entire Physical File：全部物理文件，指示EnCase复制整个文件，也就将逻辑文件和文件碎片都复制； 文件操作 复制/反删除文件/书签/文件夹 RAM Disk Slack：RAM和磁盘碎片，磁盘碎片是在一个逻辑文件尾和它所在簇之间的磁盘可用空间。这个空间经常包含的信息由曾经存在于该簇的文件残余组成； 文件操作 复制/反删除文件/书签/文件夹 仅RAM碎片：RAM碎片，更准确地说是“扇区碎片”，是在逻辑区域和“文件碎片”之间的缓冲。 文件操作 复制/反删除文件/书签/文件夹 当设置好需要复制的内容后，点击“下一步”在弹出的对话框中选择文件复制的目标路径。 如果许多文件被合在一起成为一个单独的新文件，目标就会是一个文件路径。如果文件被逐个复制，目标路径将是一个文件夹。 在这个对话框中可以指定在复制/反删除文件时，将需要复制的文件分解成若干部分。利用这个功能可以将想复制/反删除整个未分配簇的文件分成640MB的“块”，从而可以刻录成光盘保存。当复制/反删除一个被删除文件时，EnCase在可能或必要时会自动恢复被删除的文件，然后进行和正常文件同样的处理。 文件操作 复制/反删除文件/书签/文件夹 利用和复制文件相似的方式可以复制书签，其步骤如下。 在书签目录树中选中需要复制的书签； 右击Table视图中的任意区域，选择标记选择的文件“TAG SELECTED FILES”命令； 切换至案件Cases标签视图，此时可以发现与所选书签相关的所有文件均已被选中； 右击其中一个被选中文件，选择“COPY/UNERASE”选项，随后进行与复制文件相似的操作。 文件操作 复制/反删除文件/书签/文件夹 要将整个文件夹复制到本地驱动器，可以在案件Cases标签视图中选择要复制的文件夹，并在右键菜单中选择“COPY FOLDERS”命令。执行该命令后，所选证据文件的全部内容都会被复制到存储硬盘驱动器上。 文件操作 在EnCase外部查看文件 EnCase本身支持多数通用文件的查看，但是在调查过程中仍然存在不少文件是EnCase不支持的，这个时候就需要借助于外部的第三方工具来查看文件，调查人员可以在EnCase里建立一个文件查看器以便其可将文件链接到正确的应用程序，具体操作如下： 在文件查看器File Views标签视图中的右键菜单中选择“NEW”命令