| Россия, Москва, Московский Государственный Открытый Университет, 2007 |
Инспектор
Вы можете этот курс.
Опубликован: 20.02.2007 | Уровень: специалист | Доступ: платный
Лекция 22:
Наборы инструментов, помогающие при судебном анализе
EnCase
EnCase представляет собой широко используемый набор инструментов судебного анализа. Его используют многие следователи правоохранительных органов. Он также широко используется в финансовых учреждениях, оказывая помощь при внутренних расследованиях. EnCase, подобно набору Forensic Toolkit приспособлен для аналитиков, которые не углубляются в знание деталей, касающиеся жестких дисков и структур данных операционной системы. Кроме того, EnCase включает в себя как инструментальные средства получения данных, так и средства их анализа, превращая его в самодостаточный комплект для успешного завершения почти любого расследования. EnCase - коммерческий набор инструментов и стоит (приблизительно) от $2000 до $4000, в зависимости от того, являетесь ли вы представителем правоохранительных органов или коммерческим клиентом. Чтобы использовать аналитическую часть комплекта, для EnCase, подобно FTK, требуется защитная заглушка (dongle).
Примечание. Руководство пользователя EnCase включает общий судебный учебник для начинающих, который необходимо прочесть прежде, чем вы начнете пользоваться этим инструментом.
EnCase может анализировать почти все популярные файловые системы, включая NTFS, FAT32 и EXT2. Это делает его очень разносторонним инструментом для организаций, пользующихся различными платформами. EnCase можно приобрести на сайте http://www.encase.com компании Guidance Software.
Реализация
EnCase имеет графический интерфейс пользователя и не требует командных строк. Запуская EnCase, вы щелкаете на кнопке New (Создать), расположенной в верхней части инструментальной панели, для создания нового дела. Затем EnCase просит вас указать каталоги для экспорта документов и хранения любых временных файлов. Мы настоятельно рекомендуем, чтобы вы изменили заданные по умолчанию каталоги на уникальные каталоги, предназначенные для текущего дела, над которым вы работаете. Это позволит хранить отдельно данные от разных дел, улучшая, таким образом, целостность документов.
Как только дело создано, сохраните файл дела. Это можно сделать, используя опцию Save (Сохранить), расположенную на инструментальной панели.
После того, как вы сохранили файл дела в первый раз, пришло время добавить к нему ваши улики. Щелкните на кнопке Add (Добавить), находящейся на инструментальной панели. Затем введите соответствующую информацию.
Когда вы загрузите файл улик в первый раз, EnCase будет пытаться проверить данные, добавленные к делу. Важно понять, что файл улик инструмента EnCase использует собственный формат. Когда копируются данные, информация о контрольной сумме сохраняется непосредственно в файле улик инструмента EnCase. В процессе проверки целостности вычисляются контрольные суммы в файле улик и помечаются любые данные, которые были изменены. Во время этого процесса аналитик может выполнять анализ на уже загруженных уликах, однако задачи будут выполняться немного медленнее, чем они выполняются, когда процесс загрузки уже завершен.
Когда процесс проверки завершен, результаты отображаются на экране истории улик. Вы можете рассматривать специфику загруженных файлов улик, выбирая Case (Дело) в верхнем левом углу и рассматривая вкладку Evidence (улики) внизу окна EnCase. Каждая строка представляет загруженный файл улик, и информация, касающаяся проверки контрольной суммы, отображается для ссылки на нее в будущем.
Прокрутите экран вправо, чтобы увидеть больше информации.
Кроме того, EnCase (версия 3) может открывать файлы изображений, созданные инструментом dd. Так как файлы изображений, созданные с dd, может получить почти любой человек, то такие дополнительные функциональные возможности увеличивают мощь EnCase.
Первое действие, которое обычно необходимо выполнить с загруженными уликами в EnCase - это проверить контрольную сумму и соответствие сигнатур всех обнаруженных логических файлов. Это можно сделать, щелкнув на Search (Поиск) на инструментальной панели EnCase, чтобы отобразить экран Search.
Как правило, нужно выбирать опции The Entire Case (Все дело), Verify File Signatures (Проверка сигнатур файлов) и Compute Hash Value (Вычисление хэш-значения). С этими параметрами настройки будут вычислены хэш-значения для каждого файла в деле. Кроме того, EnCase исследует верхние (header) и нижние (footer) колонтитулы каждого файла и назначает сигнатуру файла. Например, документы Microsoft Office содержат известные верхние и нижние колонтитулы, и в этом процессе будет назначена сигнатура "Microsoft Word Document" к файлу file.txt, если будет обнаружен верхний колонтитул. Это очень полезно в случае, если сюжет дела содержит переименование расширений файлов, чтобы ввести в заблуждение следователя.
На следующем экране показаны контрольные суммы MD5, вычисленные для произвольных файлов в уликах, которые мы добавили к нашему делу в начале этого раздела. Они отображаются под заголовком столбца с названием Hash Value (Хэш-значение).
Второе действие, которое нужно начать, как только улики будут добавлены к делу, состоит в восстановлении папок, которые были удалены с диска. Для этого вы должны искать по всему диску комбинации "." и "..", которые представляют входы в каталог. Как только EnCase их найдет, он поместит эти папки в папку с названием Recovered Folders (Восстановленные папки), расположенную под теми дисками, в которых они были обнаружены. Чтобы запустить этот процесс, щелкните правой кнопкой мыши на диске и выберите Recover Folders (Восстановление папок). Процесс запустится, обновляя свое состояние на панели заголовка.
Другая функция EnCase обеспечивает возможность создания сценариев, которые могут быть выполнены над уликами для любого дела. Щелкните на кнопке EScript на инструментальной панели, чтобы начать процесс. Компания Guidance Software связало несколько примеров скриптов с заданной по умолчанию инсталляцией инструмента EnCase. Одним из чрезвычайно полезных сценариев является сценарий Internet History (История обращения к интернету). Этот сценарий находит все файлы index.dat, оставленные позади программы Internet Explorer, которые содержат историю поиска в интернете. (Дальнейшее обсуждение файлов index.dat см. в лекции "Инструментальные средства, помогающие реконструировать деятельность, связанную с интернетом" ) Дополнительные сценарии можно найти через пользовательский форум Web-сайта EnCase (http://www.encase.com).
Когда сценарий, который вы хотите выполнить, загружен, щелкнете правой кнопкой мыши на названии сценария и выберите Run Script (Выполнить сценарий). Если вы выбирете сценарий Internet History, вас попросят указать каталог, в котором вы хотите сохранять сообщения. В нашем примере мы выбрали каталог C:\Evid\Export\. Как только выполнение сценария закончится, мы можем указать каталог C:\Evid\Export и дважды щелкнуть на файле index.htm. Этот файл будет содержать индексную страницу для отчета, как показано ниже.
Сергей Хлюкин