Слайд 1 - computer-forensics
advertisement
Основы EnCase® Forensic Часть 1: Общие сведения. Общие сведения о Encase Encase – специализированное программное обеспечение, предназначенное для исследования ЭВМ и компьютерных носителей информации, разрабатываемое Guidance Software Inc. c 1997 года. Общие сведения о Encase В настоящее время продано более 50 000 копий программы. Encase широко применяется военными, правоохранительными органами и в гражданской сфере для расследования инцидентов. Является признанным мировым стандартом ПО, используемым при производстве расследований. Общие сведения о Encase Версии программы: Encase Forensic – локальная версия программы. Encase Law Enforcement – локальная версия программы для правоохранительных органов. Encase Portable – усеченная версия программы Encase для «полевых» исследований. Общие сведения о Encase FIM – сетевая версия программы для правоохранительных органов; Encase Enterprise – сетевая версия программы; EnCase Command Center (EnCase eDiscovery и EnCase Cybersecurity) – версия программы для расследования инцидентов в компьютерных сетях. Общие сведения о Encase Программа EnCase 7 предоставляет эксперту инструмент для проведения крупномасштабных и сложных расследований в полном объеме. Её отличительными особенностями являются углубленный анализ, поддержка работы с электронной почтой и информацией, полученной из Интернета, а также мощный обработчик макросов. Общие сведения о Encase С помощью EnCase 7 можно: клонировать данные в соответствии со стандартами криминалистики, используя программное обеспечение, которое пользуется безупречной репутацией в судах во всем мире; исследовать и анализировать данные различных платформ (Windows, Linux, AIX, OS X, Solaris и т. д.), используя один инструмент; Общие сведения о Encase находить скрытую, замаскированную и удаленную информацию; легко управлять большими объемами данных и просматривать все имеющие отношению к делу, в том числе удаленные, файлы, «зазоры» файлов и свободное пространство накопителя; передавать файлы исследуемых данных непосредственно правоохранительным органам или юридическим представителям в случае необходимости; Общие сведения о Encase предоставлять возможность другим лицам, например адвокатам (следователям, судьям, прокурорам), легко просматривать исследуемые данные; быстро подготавливать отчет, используя соответствующие функции. Общие сведения о Encase ОСНОВНЫЕ УСОВЕРШЕНСТВОВАНИЯ В ENCASE v.7: Открытие дел происходит значительно быстрее. Файловая система, электронная почта и другие составные структуры теперь кэшируются на накопитель, поэтому вы больше не ограничены доступным объемом памяти при просмотре большого количества данных. Общие сведения о Encase EnCase 7 сможет добавлять эти элементы в память по мере необходимости во время выполнения поиска и просмотра данных в деле. Теперь можно помечать файлы с помощью пользовательских тегов, чтобы запомнить важные сведения о файлах. Эти тэги можно позднее использовать для фильтрации данных и создания отчетов. Общие сведения о Encase Оптимизированы некоторые элементы конфигурации; например, были объединены таблицы типов файлов, сигнатур файлов и программ просмотра файлов. Параметры конфигурации теперь доступны в той области интерфейса, в которой работает пользователь; например, параметры текстовых стилей встроены в саму панель просмотра текста. Общие сведения о Encase Параметры конфигурации программы EnCase 7 были отделены от параметров пользователя. Это позволяет обновлять файлы конфигурации программы, не затрагивая пользовательских конфигурационных данных. Компонент Evidence Processor помогает автоматизировать вашу работу при подготовке к расследованию. Общие сведения о Encase Просмотр электронной почты и работа с ней стали легче в EnCase 7. Функция поиска обладает более мощными возможностями и имеет новый механизм индексирования. Добавлены новые шаблоны для создания настраиваемых отчетов. Добавлена поддержка смартфонов. Поддерживаются новые файловые системы и типы файлов. Общие сведения о Encase Основам работы с Encase обучают на курсах Guidance Software: http://www.guidancesoftware.com/com puter-forensics-training-courses.htm Часть учебных курсов Guidance Software можно пройти on-line: http://www.encaseondemand.com Общие сведения о Encase Курсы Forensic Series: First Responder Training with EnCase® Forensic, Tableau and EnCase® Portable EnCase® Computer Forensics I EnCase® Computer Forensics II EnCase® v7 Transition EnCase® Advanced Computer Forensics Общие сведения о Encase Курсы Expert Series: EnCase® Advanced Internet Examinations EnCase® EnScript® Programming EnCase® Network Intrusion Investigations EnCase® Examination of NTFS EnCase® Macintosh-Linux Examinations и т.д. Общие сведения о Encase Курсы являются последовательными. За прохождение каждого курса обучаемому начисляются баллы. При наборе определенного числа баллов, обучаемый допускается к сдаче экзамена – «Сертифицированный пользователь Encase» (EnCE). Общие сведения о Encase ! Сертификат EnCE признается судами многих стран. Его обладатель считается компетентным в области проведения компьютерных экспертиз и исследований. Общие сведения о Encase В России нет специалистов, прошедших полную серию курсов Guidance Software. Информация отдельных курсов Guidance Software находится в каталоге «Тренинги от GSI». Общие сведения о Encase Encase Модули Макросы Enscript Общие сведения о Encase ! Модули и макросы Enscript, в расширении функциональности Encase, играют ту же роль, что и пакеты программ, специализированные и прикладные утилиты в среде Windows. Общие сведения о Encase Модули Encase: EnCase® Smartphone Examiner EnCase ® Virtual File System (VFS) EnCase® Physical Disk Emulator (PDE) EnCase® Decryption Suite FastBloc ® Software Edition (SE) Общие сведения о Encase EnCase® Smartphone Examiner предназначен для сотрудников правоохранительных органов и аналитиков по вопросам информационной безопасности, которые с помощью данного модуля получают возможность проводить оценку и экспертно-криминалистический сбор данных из смартфонов и планшетных устройств, таких как iPhone и IPad, HP Palm, Nokia, Blackberry, устройств с ОС Android и т.д. Сотрудники отдела безопасности получают возможность обрабатывать и анализировать данные устройства наряду с другими типами цифровых устройств в рамках любого продукта Guidance Software EnCase ®. Общие сведения о Encase EnCase ® Virtual File System (VFS) Легко устанавливается и позволяет проводить анализ информации в формате "только для чтения" за пределами среды EnCase ® Forensic. Дает следователям или адвокатам, экспертам стороны защиты, прокурорам и другим лицам, которые не являются пользователями EnCase ® Forensic рассматривать и анализировать собранные улики сторонними средствами без возможности изменения исходных данных. Поддерживает множество файловых систем производит анализ RAID массивов, зашифрованных разделов и архивов. Общие сведения о Encase EnCase® Physical Disk Emulator (PDE) Монтирует образ скопированного жесткого диска или компакт-диска в режиме "только для чтения", что позволяет использовать сторонние инструменты для дополнительного анализа собранных улик, например использования программ восстановления паролей или поиска стенографии. Также предоставляет платформу для рассмотрении электронных доказательств в привычном для обычного пользователя формате. PDE может монтировать диски из нескольких файловых систем, хотя их содержимое может быть не распознано в Windows. Общие сведения о Encase EnCase® Decryption Suite Инструмент для расшифровки дисков, томов, файлов и каталогов. Возможности дешифрации: Microsoft BitLocker, Microsoft BitLocker, GuardianEdge Encryption Plus / Encryption Anywhere /Hard Disk Encryption, Utimaco SafeGuard Easy, McAfee SafeBoot, WinMagic SecureDoc Full Disk Encryption, PGP Whole Disk Encryption, Microsoft Encrypting File System (EFS), CREDANT Mobile Guardian, PST (Microsoft Outlook), S/MIME encrypted email in PST files, NSF (Lotus Notes), Protected Storage (ntuser.dat), Security Hive, Active Directory 2003 (ntds.dit) и другие. Общие сведения о Encase FastBloc® Software Edition (SE) Быстрое, надежное и универсальное решение для безопасного извлечения информации из любой части жёсткого диска - даже той, которая хранится не на уровне операционной системы. Plug-N-Play поддержка дисков IDE, флеш-накопителей, внешней памяти USB и Firewire, FastBloc ® SE поддерживает широкий спектр известных контролеров дисков IDE/SATA, а также SCSI карт. Общие сведения о Encase ! Описанные выше модули Encase входят в состав дистрибутива и не требуют дополнительного приобретения. Общие сведения о Encase Общие сведения о Encase Основная проблема Encase в России: отсутствие адекватной русскоязычной поддержки. Общие сведения о Encase Модуль «NEUTRINO»: программноаппаратный комплекс, входящий в состав Encase, предназначенный для клонирования и анализа дампов памяти мобильных телефонов и SIM-карт (в настоящее время не поставляется). Общие сведения о Encase Модуль «NEUTRINO». Общие сведения о Encase Модуль «NEUTRINO». Общие сведения о Encase Макрос Enscript – возможность решать специфическую задачу пользователя (группы пользователей) с использованием интерфейса Encase. Общие сведения о Encase Enscript’s: Поставляются в составе дистрибутива Encase; Разрабатываются Guidance Software на заказ; Разрабатываются сторонними разработчиками. Общие сведения о Encase Общие сведения о Encase Общие сведения о Encase Общие сведения о Encase Общие сведения о Encase Enscript's сторонних разработчиков http://www.geoffblack.com/forensics/ http://www.siquest.ca/index.asp http://www.forensickb.com http://e-crime.on.ca http://www.lancemueller.com/blog/ http://forensiczone.blogspot.com Общие сведения о Encase Скрипт Belkasoft (для поиска файлов - журналов работы программ обмена короткими сообщениями) http://forensic.belkasoft.com/en/bfia/en/ Encase_Integration.asp Общие сведения о Encase Программы (интеграция через Enscript), расширяющие возможности Encase: Image-Seeker for EnCase® (ISE) http://www.ltutech.com/ Mercury http://www.microforensics.com/pages /mercury.php Общие сведения о Encase Новый рабочий процесс в EnCase 7 Общие сведения о Encase В связи с многочисленными обращениями пользователей на медленную работу Evidence Processor фирма Guidance Software стала предоставлять пользователям временный ключ (полимерный). Общие сведения о Encase Временный ключ предназначен только для функционирования Evidence Processor. Также, появилась усеченная версия Encase - EnCase® Processor, предназначенная для запуска только Evidence Processor. Общие сведения о Encase Общие сведения о Encase Запрос на получение временного ключа для Evidence Processor отправляется по адресу: http://www.guidancesoftware.com/enc aseprocessor.aspx В форме поле «Организация» (необходимо указать при регистрации): Investigative Committee of Rus Общие сведения о Encase Общие сведения о Encase Регистрация основного ключа производится по адресу: https://www.guidancesoftware.com/m yaccount/registration.aspx Общие сведения о Encase Дистрибутив для основного ключа: EnCase® Forensic 7.05 Installer EnCase Forensic 7.05 Setup - English EnCase Forensic 7.05 Setup (x64) English Общие сведения о Encase Дистрибутив для дополнительного ключа: EnCase® Processor EnCase Processor 7.05 Setup English EnCase Processor 7.05 Setup (x64) English Общие сведения о Encase Общие сведения о Encase Общие сведения о Encase Общие сведения о Encase Общие сведения о Encase
