Guidance 將於今年年底之前發佈EnCase v7,今日拿到了v7測試版本,下面對新功能進行簡要介紹並截圖說明。
(Version 7.0.20.13)
2. 關聯Hash Library:新的散列庫功能允許用戶指定一個Primary和一個Secondary散列庫,方便在調查時使用多個散列集以及針對特定案件指定特定散列集。
3. 添加案例部分,界面進行了較大改進,把原來的Source樹形結構+Sessions、物理內存、進程內存三個複選框改為了嚮導式選擇,並提供DCO支持。
4. 獲取:新的證據文件界面如下,如需對加載驅動器進行獲取,則需要進行Evidence Process,這也是v7的一個新功能,將簽名校驗、哈希計算等整合在「案例處理器」中(案例處理器後述),個人認為這是EnCase 「FTK化」的標誌之一
5. 新證據文件格式Ex01:Guidance秉承了他們只要更新版本就會有大改動的「優良傳統」,此次推出了Ex01格式,官方解釋是由於E01已不能夠滿 足新版本EnCase的需求,且v7很多功能都需要新的證據文件格式配合(如Indexing),新的Ex01較E01的主要改變在於,內部數據塊全部加 密,加密方式為AES,同時,原有的壓縮選項由三項改為兩項「啟用」和「禁用」,證據文件散列自校驗支持MD5、SHA-1以及MD5+SHA-1。
6. 證據文件處理器:Evidence Processor,新功能,整合了Recover Folders、文件簽名分析、查找加密文件(與Passware合作)、散列分析、展開符合文件、查找電子郵件、查找互聯網信息、關鍵字搜索(值得一提 的新功能,不需建立全局關鍵詞或者案例關鍵詞,直接輸入關鍵詞便可進行查找,便於初期分析)、索引(值得一提,全新的索引引擎,可以添加Noise File,並且支持在殘留區和未分配空間索引,Guidance開發經理號稱這個是他們自己開發的一項與眾不同的技術)。
需注意的是,v7的Evidence Processor是支持多線程處理的。
在v7中,報告功能得到了極大增強,用戶可以定製自己的模板,Guidance甚至允許用戶直接使用代碼編輯報告模板(相似於html代碼,使用非常簡單)
另外,v7中,EnScript語言也進行了一些改動,在此不再贅述。
總之,EnCase v7功能上的改動很大,後續使用感受擇日再發。
轉自 http://www.cnblogs.com/ysun/archive/2011/05/23/2054580.html
(Version 7.0.20.13)
新用戶界面
EnCase v7相對於傳統的v5、v6界面有了較大改變,一改以往的四格和多級Tab界面,而採用了單頁面多窗口的「瀏覽器式」風格,估計會讓很多v6用戶感到極不適應。
新建案例窗口,案例信息採用模板方式,調查人員可根據自己需要定製案例信息模板
主界面窗口
添加證據界面,新版本將Neutrino整合,可直接添加智能手機,這也是v7的一大新功能。
Entries部分,之前的多級標籤式結構已經變為單級標籤+前後頁面導航
新功能和改進
1. 新的案例信息界面(見上節)2. 關聯Hash Library:新的散列庫功能允許用戶指定一個Primary和一個Secondary散列庫,方便在調查時使用多個散列集以及針對特定案件指定特定散列集。
3. 添加案例部分,界面進行了較大改進,把原來的Source樹形結構+Sessions、物理內存、進程內存三個複選框改為了嚮導式選擇,並提供DCO支持。
4. 獲取:新的證據文件界面如下,如需對加載驅動器進行獲取,則需要進行Evidence Process,這也是v7的一個新功能,將簽名校驗、哈希計算等整合在「案例處理器」中(案例處理器後述),個人認為這是EnCase 「FTK化」的標誌之一
Evidence Processor
獲取選項,可以看到新的證據文件格式Ex01
5. 新證據文件格式Ex01:Guidance秉承了他們只要更新版本就會有大改動的「優良傳統」,此次推出了Ex01格式,官方解釋是由於E01已不能夠滿 足新版本EnCase的需求,且v7很多功能都需要新的證據文件格式配合(如Indexing),新的Ex01較E01的主要改變在於,內部數據塊全部加 密,加密方式為AES,同時,原有的壓縮選項由三項改為兩項「啟用」和「禁用」,證據文件散列自校驗支持MD5、SHA-1以及MD5+SHA-1。
6. 證據文件處理器:Evidence Processor,新功能,整合了Recover Folders、文件簽名分析、查找加密文件(與Passware合作)、散列分析、展開符合文件、查找電子郵件、查找互聯網信息、關鍵字搜索(值得一提 的新功能,不需建立全局關鍵詞或者案例關鍵詞,直接輸入關鍵詞便可進行查找,便於初期分析)、索引(值得一提,全新的索引引擎,可以添加Noise File,並且支持在殘留區和未分配空間索引,Guidance開發經理號稱這個是他們自己開發的一項與眾不同的技術)。
需注意的是,v7的Evidence Processor是支持多線程處理的。
Evidence Processor 中的索引選項
7. 智能手機支持:雖說相對於Oxygen和Paraben還具有一定差距,但畢竟EnCase不是Cell Phone Forensic軟件,所以能提供這樣的功能客觀地說已經比較難得,不過這部分在最終發佈時可能還會採取單獨的模塊銷售。智能手機報告生成器,可自動對添加的手機證據文件生成報告,值得一提的是,可以把手機(或GPS)當中的地理位置信息或包含地理位置信息的圖片直接生成為kmz, 可使用Google Earth直接打開查看,非常方便
Tag,"FTK化"的又一典型標誌
8. 報告在v7中,報告功能得到了極大增強,用戶可以定製自己的模板,Guidance甚至允許用戶直接使用代碼編輯報告模板(相似於html代碼,使用非常簡單)
報告模板代碼編輯頁面
可隨時預覽的報告
9. 打包,v7允許用戶將案例、證據文件、Primary&Secondary Cache打包保存或轉移,(//這應該是EnCase轉向網絡調查方向的一個標誌),可供用戶選擇的有副本、存檔和自定義模式。另外,v7中,EnScript語言也進行了一些改動,在此不再贅述。
總之,EnCase v7功能上的改動很大,後續使用感受擇日再發。
轉自 http://www.cnblogs.com/ysun/archive/2011/05/23/2054580.html
0 意見: