Forensics Investigation
Using
EnCase
Module 12

Được thiết kế bởi các nhà điều tra tội phạm mạng. Trình bày bởi các Chuyên gia


S E C U R I T Y

N E W S

Cầu nối khoảng cách giữa Bảo mật Vật lý và
Thông tin
Hầu hết những người làm công việc bảo mật đều không coi thông tin
bảo mật nằm trong phạm vi trách nhiệm của họ, nhưng Joseph Shaw,
một nhà điều tra mối đe dọa cấp cao cho MetaNet LLC, nói rằng cần có
nhiều sức mạnh tổng hợp giữa hai lĩnh vực này.
Shaw gần đây đã được một công ty thuê để điều tra một khả năng vi
phạm an ninh nội bộ. Một nhân viên đến sau giờ làm việc để làm công
việc hợp pháp, nhưng lại đưa một người không được phép vào, chỉ để
giúp anh ta bắt kịp công việc. Shaw đã sử dụng nhiều loại thông tin từ
các công nghệ bảo mật vật lý, chẳng hạn như video khô khan trong
nhật ký kiểm soát truy cập giám sát, cũng như thơng tin kỹ thuật số từ
máy tính của nghi phạm.
Shaw có thể xác định chính xác thời điểm người đó bước vào tịa nhà,
anh ta đã ở đó bao lâu và chính xác anh ta đã làm việc gì. Bằng cách
sử dụng phần mềm pháp y mã hóa từ phần mềm hướng dẫn, Shaw có
thể xác định cá nhân đang làm gì và trong khi xác định hoạt động của
anh ta là hợp pháp, nhân viên vẫn bị chấm dứt hợp đồng vì khơng tn
theo giao thức. Bằng cách tiến hành cuộc điều tra chính thức, cơng ty

đã tiết kiệm được một khoản tiền đáng kể do không phải thông báo cho
khách hàng về vi phạm bảo mật, điều này cũng có thể gây tổn hại đến
uy tín của họ.


Một sở cảnh sát ở một thị trấn nhỏ phía nam California nhận được
một cuộc gọi báo cáo về một vụ cướp vào ban đêm trong một bãi
đậu xe hẻo lánh. Nghi phạm lấy ví của nạn nhân khi cơ đang lên xe.
Các nhân viên bắt đầu giám sát bãi đậu xe. 48 giờ sau, nghi phạm
cố gắng tấn công một lần nữa và bị bắt. Việc bắt giữ anh ta đã tịch
thu được một chiếc máy tính.
Bằng cách sử dụng EnCase. Theo pháp y, các nhà điều tra đã tìm
thấy thơng tin trong ổ cứng của nghi phạm dẫn đến bằng chứng về
một loạt vụ cướp, vi phạm ma túy và vũ khí liên quan đến băng
đảng và bằng chứng mới quan trọng liên quan đến một số vụ việc
liên quan đến băng đảng trong khu vực. Cảnh sát có thể thêm
nhiều tội danh vào tội cướp ban đầu, với các bản án dài hơn do luật
băng đảng cứng rắn của bang. Bằng cách sử dụng thơng tin tình
báo có thể hành động được thu thập từ ổ cứng, cảnh sát có thể bắt
thêm đối tượng với nhiều tội danh vượt xa hành vi giật ví.


Module Objectives
 • Tổng quan về encase
forensic
 • Encase forensics modules
 • Cài đặt encase forensic
 • Cấu hình vỏ bọc
 • Giao diện mã hóa
 • Tổng quan về cấu trúc


 • Xác minh hồ sơ bằng chứng
 • Bộ xử lý nguồn
 • Thiết lập các tùy trường hợp tùy chọn
 • Xem nội dung tập tin
 • Tạo nhiều loại dấu trang khác nhau

 • Quản lý hồ sơ

 • Tạo báo cáo bằng cách sử dụng tab
báo cáo

 • Thêm 1 thiết bị

 • Xuất một báo cáo

 • Mua 1 thiết bị



Nội dung được cấp phép chính thức do
EnCase cung cấp cho EC-Council


Overview of EnCase Forensic
Encase forensic cung cấp cho các nhà điều tra một cơng cụ
duy nhất có khả năng tiến hành các cuộc điều tra quy mô lớn
và phức tạp từ đầu đến cuối

Thu thập dữ liệu theo cách thức rõ ràng bằng cách sử dụng

phần mềm

Cho phép các nhà điều tra thu thập bằng chứng có thể hành
động từ hoạt động internet, phiên trò chuyện, email, tài liệu,
đồ họa, sổ địa chỉ và hơn một trăm định dạng tệp bổ sung
Tiết kiệm thời gian phân tích bằng cách tự động hóa các tác
vụ thường xuyên và phức tạp với các mô-đun chỉ số được xây
dựng trước, chẳng hạn như phân tích trường hợp khởi tạo và
nhật ký sự kiện
Khơi phục bằng chứng kỹ thuật số nằm trong các tệp đã xóa,
đĩa đã định dạng, hốn đổi và khơng gian trùng, tệp ẩn, cuộn
giấy in và hơn thế nữa


Tìm bằng chứng quan
trọng bằng cách sử dụng
khả năng tìm kiếm nâng
cao để xác định dữ liệu

Khôi phục tệp và phân
vùng, phát hiện tệp đã
xóa bằng cách phân tích
cú pháp nhật ký sự kiện,
phân tích chữ ký tệp và
phân tích hàm băm

Xem hàng trăm định dạng tệp ở
dạng gốc, trình xem sổ đăng ký
tích hợp, trình xem ảnh tích hợp,
xem kết quả trên dòng thời

gian/lịch

Lưu giữ dữ liệu ở định
dạng tệp bằng chứng với
một hồ sơ vượt trội về sự
chấp nhận của tòa án

Lấy dữ liệu từ đĩa hoặc RAM, hình
ảnh, email, internet, lịch sử web
và bộ nhớ cache, tệp nén, tệp
sao lưu, tệp được mã hóa, máy
trạm, máy chủ và hơn thế nữa


Xuất báo cáo với danh sách tất cả các tệp và thư mục cùng
với danh sách chi tiết các URL với ngày và thời gian truy cập
Phát hiện và giải mã các khối lượng được mã hóa bằng cách
sử dụng Bitlocker windows7
Giải mã bất kỳ tệp đính kèm được mã hóa RMS nào vào một
email khơng được mã hóa trong một bước duy nhất

Dễ dàng quản lý khối lượng lớn bằng chứng số
Chuyển trực tiếp hồ sơ chứng cứ cho cơ quan thực thi pháp
luật hoặc đại diện hợp pháp khi cần thiết
Các tùy chọn xem xét cho phép những người không phải điều
tra viên, chẳng hạn như luật sư, xem xét bằng chứng một cách
dễ dàng


EnCase Forensic

Platform
Đầu
vào

Phân
tích

Đầu ra


 EnCase cung cấp nhiều mô-đun phần mềm khác nhau cung cấp các
công cụ điều tra mạnh mẽ cho các nhà điều tra pháp y xử lý
 Các mô-đun này là tiện ích bổ sung cho phần mềm và yêu cầu mua
chứng chỉ từ www.guidancesoftware.com để kích hoạt chúng
 Mơ-đun EnCase Forensic:
Mô-đun này cho phép
người dùng miền giải mã
các tệp và thư mục được
mã hóa, bao gồm mã hóa
đĩa, mã hóa ổ đĩa và mã
hóa dựa trên tệp

Mơ-đun này cho phép các
nhà điều tra gắn bằng
chứng máy tính làm ổ đĩa
cục bộ để kiểm tra thông
qua Windows Explorer

Mô-đun này cho phép các
nhà điều tra gắn bằng

chứng máy tính dưới
dạng ổ đĩa mạng ngoại
tuyến, chỉ đọc để kiểm
tra thông qua Windows
Explorer


EnCase Forensics
Modules
Phiên bản phần mềm
Fastbloc (SE)
 Mô-đun này là một tập
hợp các công cụ điều
khiển ổ đĩa
 Được thiết kế để kiểm
soát việc đọc và ghi vào
ổ đĩa được gắn vào máy
tính thơng qua USB,
FireWire, SCSI, IDE và
thẻ điều khiển SATA để
cho phép thu thập an
toàn các phương tiện
chủ đề từ cửa sổ để mã
hóa tệp bằng chứng

CD-DVD module
 Mơ-đun thí nghiệm được
sử dụng để ghi nội dung
sau vào CD hoặc DVD:


Tệp, thư mục và
báo cáo từ chương
trình mã hóa
 Các
tệp
bằng
chứng hiện có và
tệp bằng chứng
logic
 Hồ sơ bằng chứng
và
bằng
chứng
lơgic
trong
q
trình thu nhận



Yêu cầu phần mềm EnCase
 Khóa bảo mật EnCase
 Chứng chỉ cho tất cả các mô-đun
đã mua
 Phiên bản hiện tại của trình kiểm
tra EnCase
 Bộ xử lý mới nhất và chất lượng
nhất
 1GB RAM
 100MB dung lượng ổ cứng trống


Yêu cầu cụ thể của mô-đun
VFS
o Cơ sở hạ tầng mạng tối
thiểu 100Mb / s

Yêu cầu cụ thể của mô-đun FastBloc SE
 Một trong những thẻ điều khiển IDE sau
• Promise Ultra133 Tx2
• Promise SATA TX2plus
• Promise Ultra100 TX2
• SIIG Ultra ATA/133PCI
• SIIG Ultra ATA 100 PCI RAID

Yêu cầu cụ thể của mô-đun
CD-DVD
Ổ ghi CD / DVC hỗ trợ AOPEN, PLEXTOR
712A, ASUS 0402P, Sony RU-710A,
Memorex DVD double, Toshiba R5372layer
16X w / USB bus và Pioneer DVR-108

Lưu ý: Bộ xử lý Intel itanium không được hỗ trợ. FastBloc SE chỉ hỗ trợ giao diện USB với phiên
bản 64-bit


 Chèn đĩa CD / DVD mã hóa và đợi tự
động khởi động lại
 Trong trình hướng dẫn cài đặt, hãy
nhập đường dẫn cài đặt hoặc chấp
nhận mặc định, sau đó bấm tiếp theo

 Đọc và chấp nhận thỏa thuận cấp
phép EnCase Forensic kèm theo
 Khi quá trình cài đặt kết thúc, màn
hình hồn tất thiết lập sẽ hiển thị, hãy
nhấp vào kết thúc


Trong quá trình cài đặt, chương trình sẽ tự sao chép và tập hợp các tệp được liên kết vào thư mục đích

Thư mục cấu hình

Thư mục chứng nhận
o

EnCase.pcert

o

AppDescriptors.ini

o

FileSignatures.ii

o

FileTypes.ini

o


Filters.ini and Keywords.ini

o

Profiles.ini

o

textStyles.ini

Thành phần thư mục

Thư mục lưu trữ

o

Case Processor.EnScript

o

o

File Mounter.EnScript

Case Report.ini

o

o


Index Case.EnScript

DifferentialReport.ini

o

o

Scan Local

SweepEnterpriseWEbRepor

Machine.EnScript
o

Webmail Parser.EnScript

t.ini
o

Compromise Assessment
Module.ini


Chứng chỉ được lập trình trên
khóa bảo mật:

• Nếu bạn đặt mua phần mềm
và mơ-đun Encase cùng lúc,
thì khóa bảo mật của bạn sẽ

được lập trình với các chứng
chỉ thích hợp và khơng cần tệp
nào khác

Cài đặt các mơ-đun được
hồn thành thơng qua
một trong hai cách

Tệp chứng chỉ cho khóa bảo
mật của bạn:
• Nếu bạn đã đặt hàng các mơđun sau khi nhận được khóa bảo
mật kèm theo thì bạn sẽ nhận
được các tệp chứng chỉ khớp với
khóa bảo mật của mình
• Giữ tệp chứng chỉ đã nhận
trong C: \ProgramFiles\Encase6\
Certs


Configuring EnCase


Bạn có thể định cấu hình các khía cạnh khác nhau của Encase theo nhu cầu hoặc sở
thích của mình



Các cài đặt này được sử dụng mỗi khi bạn khởi động Encase




Nhấp vào Cơng cụ -> Tùy chọn



Trong trình hướng dẫn Tùy chọn, hãy nhấp vào tab mong muốn và thay đổi cài đặt nếu
cần



Các tab trình hướng dẫn tùy chọn:


•
•

Tab tùy chọn trường hợp
chứa các cài đặt áp dụng
cho trường hợp đang mở
Nó hiển thị thơng tin về
trường hợp mở như tên, tên
người kiểm tra, thư mục
xuất mặc định, thư mục tạm
thời và thư mục chỉ mục


Tab chung của hộp thoại tùy chọn chứa
các cài đặt áp dụng cho mọi trường hợp

Đặt tất cả các thông số như định dạng

ngày, định dạng thời gian, tự động lưu,
v.v.