1. 关于Guidance Software
Guidance Software Inc. 是全球知名的计算机取证厂商,成立于1997年,在纳斯达克上市(NASDAQ: GUID),总部设立在美国。其EnCase计算机取证系列产品在美国、欧洲等地的执法部门、司法机关及世界五百强(Fortune 500) 广泛使用,在美国联邦法院、地方法院收到认可,已成为业界标准。目前已销售超过40000套EnCase产品,每年培训的取证专业人员超过6000人。
2. EnCase产品线
- EnCase Forensic (计算机取证、手机取证): 执法部门计算机相关犯罪调查
- EnCase Portable(现场取证)
- Tableau Forensic (取证设备): 硬盘复制机(Forensic Duplicator)、电子证据只读锁(Forensic Bridge)等装备
- EnCase Endpoint Investigator(远程取证): 适用于企业内部反舞弊调查、合规调查、内审、稽核监察等
- EnCase eDiscovery(电子证据开示): 适用于企业应对海外的知识产权诉讼、337调查、海外反腐败调查等
- EnCase CyberSecurity:适用于企业终端及服务器的安全事件调查及应急响应
3. EnCase Forensic取证分析软件
EnCase Forensic是一款全球知名的综合电子数据取证分析软件,支持对计算机、手机终端存储的各类电子数据进行获取、搜索及分析。最新版本为EnCase Forensic v8,其功能与早期版本相比更加强大,操作流程更加简单,同时增加了现场筛查(Triage)功能,可快速对存储介质的数据进行快速预览、分析和提取数据。
主要功能:
- 支持对计算机、智能手机、移动存储介质的证据获取、取证分析及报告,采用同一个软件或相同软件操作风格。
- 支持FAT12/16/32,NTFS,exFAT,HFS,HFS+,UFS,ZFS,Ext2/3,Reiser,BSD FSS,FreeBSD FFS2,UFS2,NSS,NWFS,JFS,CDFS,Joliet,DVD,UDF,ISO 9660以及Palm等多种文件系统格式;
- 支持智能手机的分析,支持iOS、Android、黑莓、Windows Mobile等主流智能手机系统,提取手机中的各种基本信息(短信、联系人、通话记录等)及各种主流应用程序数据。
- 支持对计算机的本地磁盘或远程计算机磁盘进行证据获取,可以快速将嫌疑硬盘、文件夹或文件以及内存中的数据获取为镜像文件(Ex01、Lx01),支持采用AES工业级加密算法对证据文件进行高强度加密。
- 支持将目标计算机的磁盘或磁盘镜像文件虚拟为本地物理磁盘,并可结合动态仿真系统进行系统的仿真模拟,将目标计算机的操作系统模拟运行,以所见即所得的场景展示,用于电子犯罪现场重现、特定的案件调查(如木马动态分析、Web服务器取证、数据库取证)等应用。
- 支持RAID 0/1/5阵列重组,Windows及Linux LVM/LVM2等动态磁盘的解析;
- 支持Bitlocker、BitLocker ToGo、MacAfee SafeBoot、Checkpoint、Utimaco SafeGuard、WinMagic SecureDoc、GuardianEdge、Sophos SafeGuard、PGP等加密磁盘的实时解密,并解析文件系统(需提供密钥信息或密钥文件)。
- 支持使用高级脚本做二次开发,用户可以使用预置的脚本或自行根据需要编写脚本实现特定功能,脚本必须提供各种开发接口(类、函数、参考程序代码),同时接口编程文档必须提供。
- 内置强大的文件查看器,无需安装第三方软件(如Office, Acrboat),支持400多种文件的查看和预览,支持按时间线和日历方式进行查看;
- 内置150多种功能强大的过滤器和容器,便于快速数据筛选;支持“与”和“或”逻辑运算,对过滤器进行重新组合;
- 支持删除文件、删除分区、磁盘格式化、闲散区域数据、隐藏文件、打印缓存以及其它文件的恢复;
- 快速分析嫌疑计算机中的上网行为、聊天记录、电子邮件、文档、图片、地址薄以及其它200多种文件;
- 支持关键词实时搜索,且支持GREP语法进行高级搜索,以模糊匹配的方式对磁盘底层数据执行特定的数据信息的搜索(如手机号码、银行卡号、身份证号、电子邮件地址等)。
- 支持对逻辑文件及磁盘残留区等进行索引,实现对各类文档(Office文档, PDF,文本文件,网页)中内容的搜索。
- 支持苹果系统的取证分析,支持加载Mac OS X逻辑盘,支持应用程序进行解析。
- 灵活的报告输出功能,用户可根据自己的需要灵活制定模板;