http://wiki.huihoo.com/wiki/?action=history&feed=atom&title=%E7%94%A8%E6%88%B7%E8%AE%A8%E8%AE%BA%3AKijs
用户讨论:Kijs - 版本历史
2026-05-15T16:17:24Z
本wiki的该页面的版本历史
MediaWiki 1.19.2
http://wiki.huihoo.com/wiki/?title=%E7%94%A8%E6%88%B7%E8%AE%A8%E8%AE%BA:Kijs&diff=4285&oldid=prev
2006年8月6日 (日) 10:02 Kijs
2006-08-06T10:02:16Z
<p></p>
<table class='diff diff-contentalign-left'>
<col class='diff-marker' />
<col class='diff-content' />
<col class='diff-marker' />
<col class='diff-content' />
<tr valign='top'>
<td colspan='2' style="background-color: white; color:black;">←上一版本</td>
<td colspan='2' style="background-color: white; color:black;">2006年8月6日 (日) 10:02的版本</td>
</tr><tr><td colspan="2" class="diff-lineno">第1行:</td>
<td colspan="2" class="diff-lineno">第1行:</td></tr>
<tr><td class='diff-marker'>−</td><td style="background: #ffa; color:black; font-size: smaller;"><div><del style="color: red; font-weight: bold; text-decoration: none;">EnCase </del></div></td><td colspan="2"> </td></tr>
<tr><td class='diff-marker'> </td><td style="background: #eee; color:black; font-size: smaller;"></td><td class='diff-marker'> </td><td style="background: #eee; color:black; font-size: smaller;"></td></tr>
<tr><td class='diff-marker'>−</td><td style="background: #ffa; color:black; font-size: smaller;"><div><del style="color: red; font-weight: bold; text-decoration: none;">在计算机取证过程中,相应的取证工具必不可少,常见的有tcpdump,Argus,NFR,EnCase,tcpwrapper,sniffers,honeypot,Tripwires,Network monitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的去律执行部门在使用它。EnCase是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Anux,Unix或DOS机器的硬盘,把硬盘中的文件镜像或只读的证据文件。这样可以防止调查人员修改数居而使其成为无效的证据。为了确定镜像数据与原的数据相同。EnCase会与计算机CRC校验码和MD5台希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构,采用Windows GUI显示文件的内容。允许调查员使用多个工具完成多个任务。  </del></div></td><td colspan="2"> </td></tr>
<tr><td class='diff-marker'>−</td><td style="background: #ffa; color:black; font-size: smaller;"><div><del style="color: red; font-weight: bold; text-decoration: none;"> 在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括file slack.未分配的空司和Windows交换分区(存有被删除的文件和其它潜生的证据)的数据。在显示文件方面,EnCase可以由多种标准,如时间戳或文件扩展名来排序。此外.EnCase可以比较已知扩展名的文件签名。使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示,并可打印出来。</del></div></td><td colspan="2"> </td></tr>
</table>
Kijs
http://wiki.huihoo.com/wiki/?title=%E7%94%A8%E6%88%B7%E8%AE%A8%E8%AE%BA:Kijs&diff=4283&oldid=prev
2006年8月6日 (日) 09:59 Kijs
2006-08-06T09:59:13Z
<p></p>
<p><b>新页面</b></p><div>EnCase <br />
<br />
在计算机取证过程中,相应的取证工具必不可少,常见的有tcpdump,Argus,NFR,EnCase,tcpwrapper,sniffers,honeypot,Tripwires,Network monitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的去律执行部门在使用它。EnCase是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Anux,Unix或DOS机器的硬盘,把硬盘中的文件镜像或只读的证据文件。这样可以防止调查人员修改数居而使其成为无效的证据。为了确定镜像数据与原的数据相同。EnCase会与计算机CRC校验码和MD5台希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构,采用Windows GUI显示文件的内容。允许调查员使用多个工具完成多个任务。 <br />
在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括file slack.未分配的空司和Windows交换分区(存有被删除的文件和其它潜生的证据)的数据。在显示文件方面,EnCase可以由多种标准,如时间戳或文件扩展名来排序。此外.EnCase可以比较已知扩展名的文件签名。使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示,并可打印出来。</div>
Kijs