EnCase

EnCase

在计算机取证过程中，相应的取证工具必不可少，常见的有tcpdump，Argus，NFR，EnCase，tcpwrapper，sniffers，honeypot，Tripwires，Network monitor，镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。EnCase是目前使用最为广泛的计算机取证工具，至少超过2000家的去律执行部门在使用它。EnCase是用C++编写的容量大约为1M的程序，它能调查Windows，Macintosh，Anux，Unix或DOS机器的硬盘，把硬盘中的文件镜像或只读的证据文件。这样可以防止调查人员修改数居而使其成为无效的证据。为了确定镜像数据与原的数据相同。EnCase会与计算机CRC校验码和MD5台希值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构，采用Windows GUI显示文件的内容。允许调查员使用多个工具完成多个任务。 　　在检查一个硬盘驱动时，EnCase深入操作系统底层查看所有的数据——包括file slack．未分配的空司和Windows交换分区（存有被删除的文件和其它潜生的证据)的数据。在显示文件方面，EnCase可以由多种标准，如时间戳或文件扩展名来排序。此外．EnCase可以比较已知扩展名的文件签名。使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示，并可打印出来。