Наборы инструментов, помогающие при судебном анализе
Когда мы щелкнем на одном из файлов, перечисленных на индексной странице отчета об истории обращений к интернету, то увидим каждый экземпляр URL, который открывался интересующим нас Web-броузером. Ниже приводятся два примера интересных ссылок, которые посещались в этом деле.
Два других полезных сценария восстанавливают записи INFO2 и графические файлы, записанные в форматах JPG, GIF и EMF. Записи INFO2 являются файлами, которые содержат информацию о файлах, удаленных в Recycle Bin (Корзина) в операционных системах Windows. Они могут помочь подтвердить время удаления и содержимое файлов, которые пользователь преднамеренно удалил. Графические файлы в форматах JPG и GIF обычно используются на Web-страницах. Фрагменты этих Web-страниц, включая контрабанду (например, порнографию) могут все еще существовать на диске. Файлы EMF-формата представляют собой задания по выводу на печать в операционных системах Windows; любые напечатанные файлы могут быть найдены, чтобы помочь вам в доказательстве вашего дела. Эти сценарии размещают результаты в папке Bookmarks (Закладки), в папках с названиями Recovered Recycle Bin Records (Восстановленная корзина) и Recovered Graphics Files (Восстановленные графические файлы), соответственно. Сам язык программирования не является темой этой книги, поэтому для получения дополнительной информации вы должны проконсультироваться на онлайновых ресурсах, предусмотренных для скриптов EScripts на сайте http://www.encase.com. Следующий образец экрана показывает результаты открытия графического файла с помощью скрипта EScripts.
Ранее мы обсуждали способность EnCase создавать сигнатуру каждому файлу в зависимости от его расширения и содержания. Так как EnCase не может рассматривать (изначально) каждый существующий файл, можно связать внешнее средство просмотра с различными типами файлов. Новое внешнее средство просмотра можно установить, выбрав Tools (Сервис), а затем Signatures (Сигнатуры). Появится экран File Signature (Сигнатуры файлов).
В этом месте вы можете рассматривать "верительные грамоты" для всех идентифицируемых типов сигнатур. На вкладке Viewers (Средства просмотра) вы можете добавлять различные средства просмотра типа Quickview Plus (который подробно обсуждается в лекции "Средства просмотра файлов и редакторы общего назначения" ). После того, как было добавлено средство просмотра, всякий раз, когда вы сталкиваетесь с файлом, который хотите рассмотреть с помощью внешнего средства просмотра, щелкнете на файле правой кнопкой мыши, выберите Send To (Отправить) и выберите средство просмотра, которое вы установили.
EnCase поддерживает несколько режимов просмотра. Представление Gallery (Коллекция) отображает все графические файлы в каталоге. Представление Table (Таблица) дает подробный список файлов, который включает такие атрибуты, как метки даты и времени, размер файла и так далее. Представление Timeline (Временной график) показывает диаграмму временных меток создания, изменения и доступа для выбранных файлов.
