Компьютерно-техническая экспертиза

Encase

Как использовать Case Processor (Encase Forensic).

Иногда меня спрашивают: чем мне нравится Encase Forensic? Я всегда отвечаю, что для меня Encase Forensic – как Ответчик из рассказа Роберта Шекли «Правильный вопрос». Она может решить те экспертные задачи, о которых мы даже не задумываемся, пока они не встанут перед нами. В этом легко убедиться достаточно только отойти от исследования привычных Windows компьютеров. Вряд ли другой софт предложит эксперту что-то большее, чем шестнадцатеричный просмотрщик. Но, только не Encase Forensic. Encase поможет вам. Нужно только задать ей правильный вопрос.

Для того чтобы эксперт не тратил время, запуская последовательно рутинные, поисковые задачи (индексирование текста, поиск по ключевым словам, парсинг артефактов  операционной системы), в Encase Forensic реализован в  Case Processor. Достаточно настроить поисковые задачи, которые вам нужны в рамках одного дела, задать условия (например, создать миниатюры для всех графических файлов) и запустить их на исполнение. После чего можно заниматься своими делами пока Encase обработает данные дела. Так как данное действие (обработка данных) является ресурсоемким, Guidance Software предусмотрело возможность  запуска Case Processor на отдельном компьютере (сервере). Для обработки данных на отдельном компьютере (сервере), вам понадобится дополнительный ключ (dongle), который необходимо запросить в Guidance Software. В отличии от основного ключа, этот ключ имеет пластиковый корпус.

 

Рис. 1. Типы ключей Case Processor (слева) и Encase Forensic (справа).

В данной статье, мы рассмотрим использование Case Processor на локальном компьютере.

 После добавления образов или носителей в дело, необходимо нажать кнопку «Process» (также, Case Processor можно запустить через EnSrip: «EnSript» - «Case Processor»).

Рис. 2. Кнопка «Process».

При этом, откроется окно «Case Processor Options», в котором надо задать критерии поиска.

Рис. 3. Окно « Case Processor Options».

 

К выбору опций в «Case Processor Options» нужно подходить осторожно. Если вы выберете много опций, или опции, требующие значительные вычислительные мощности, то процесс обработки данных может занять чересчур много времени.

Если вы выберете какую-то опцию, то справа, вы увидите ее описание:

 

Рис. 4. Описание модуля  «System Info Parser».

Если кликнуть два раза по названию модуля, то откроется окно с дополнительными настройками.

Рис. 5. Дополнительные настройки модуля «System Info Parser».

После нажатия кнопки «ОК», начнется процесс обработки данных, прогресс которого отображается в правом  нижнем углу окна программы Encase. Также, прогресс обработки данных может быть просмотрен в отдельной вкладке «Processor Manager»: «View» - «Processor Manager».

Рис. 6. Вкладка «Processor Manager».

После окончания обработки данных, необходимо запустить EnScript – «Case Analyzer». В открывшемся окне скрипта «Case Analyzer», нужно дважды кликнуть на надписи «Case». При этом запуститься процесс добавления обработанных данных в отчет.

Рис. 7. Добавление данных в отчет.

В открывшемся, после окончания работы EnScript окне, выбираем те данные, которые нам нужны и нажимаем кнопку «Save Report».

Рис. 8. Окно EnScript «Case Analyzer».

После этого, нажав на кнопку «Manage Saved Reports» откроется окно «Customize Report», в котором возможно осуществить окончательную настройку отчета и осуществить его просмотр.

Рис. 9. Окно «Customize Report» EnScript «Case Analyzer».

Кликнув кнопку «View Report» можно просмотреть получившийся отчет.

Рис. 10. Фрагмент отчета.

 

Если на окне «Analysis Report Preview» кликнуть правой клавишей мыши, то в выпадающем меню будет опция сохранения отчета в отдельный файл.

Оценить статью: