Наборы инструментов, помогающие при судебном анализе
Представление Report (Отчет) перечисляет детали файла улик, который содержит данные. Любой файл или фрагмент файла, который следователь отметил, выбрав правой кнопкой мыши селектор Bookmark (Закладка), появится в отчете (если только он не был специально опущен). Если вы щелкнете правой кнопкой мыши в пределах отчета, то сможете экспортировать его в формате RTF, чтобы можно было вырезать и вставлять в вашу следовательскую документацию подходящие данные.
Другой функцией, часто использующейся аналитиками, является функция поиска по ключевым словам, которая позволяет аналитику отыскать номера кредитных карточек, контрабандный материал или другую информацию. EnCase обеспечивает механизм для выполнения этой задачи в фоновом режиме, так что аналитик может возвратиться к работе. Теперь в нашем примере мы хотим добавить новое ключевое слово для поиска. Мы будем искать в уликах ключевые слова Kevin Johnson. Ключевое слово можно добавить, щелкнув на вкладке Keywords (Ключевые слова) в верхнем левом углу экрана. Щелкните правой кнопкой мыши на Keywords и добавьте новое ключевое слово в диалоговом окне New Keyword (Новое ключевое слово).
Возможно, вы захотите выбрать опцию Unicode при поиске улик, полученных с компьютера Windows, потому что иначе ключевые слова могут быть пропущены в файловой системе, которая поддерживает эти функциональные возможности.
Функция быстрого просмотра ( grep ) поддерживает сложные ключевые слова. Вы можете разработать строку для быстрого просмотра ключевых слов, чтобы найти номера кредитных карточек, например, такую ####-####-####-####.
Чтобы начать поиск, щелкните на OK. Во время поиска вы будете видеть индикатор прогресса в верхней части поля состояния. Результаты будут помещены на вкладку Bookmarks в папке Search (Поиск).
Результаты включают файл (если есть файл), в котором расположено ключевое слово и некоторые данные, расположенные до и после ключевого слова в уликах. Затем вы можете рассматривать этот файл так, как вы рассматривали бы любой другой файл. Теперь мы прокрутим экран направо, чтобы показать другие поля.
Выбрав определенный файл, показанный на иллюстрации, мы переключимся назад на вкладку Case (Дело), расположенную в левом верхнем углу, и сможем полностью увидеть файл, который содержал ключевое слово. Разумно было бы для дальнейшего анализа скопировать этот файл на диск. Этот конкретный, выбранный нами файл, является почтовым контейнером; поэтому, мы хотим скопировать его на наш локальный диск и проанализировать его, используя инструментальные средства, описанные в лекции "Инструментальные средства, помогающие реконструировать деятельность, связанную с интернетом" . Чтобы скопировать файлы (или папки), отметьте соответствующие флажки. Мы выбрали весь каталог почтового контейнера. Щелкните правой кнопкой мыши на этих файлах и выберите Copy Folders (Копировать папки).
В результате этого действия появляется новое диалоговое окно, которое просит указать место, куда нужно копировать выбранные файлы и папки.
В данном случае, мы выберем каталог C:\Evid\Export в качестве папки-адресата для экспорта интересующих нас файлов (теперь вы знаете, почему мы предложили вам использовать разные каталоги для экспорта файлов из разных дел!). Затем мы щелкнем на Begin Copying (Начать копирование); когда процесс завершится, интересующие нас файлы будут доступны для дальнейшего просмотра на локальном компьютере.
Другая полезная функция, которую предоставляет EnCase аналитику, заключается в способности использовать хэш-таблицы. Хэш-таблицы содержат контрольные суммы MD5 для многих известных файлов, типа системных, которые можно быстро идентифицировать. Они помогут уменьшить количество файлов, которые аналитик должен исследовать, потому что известные файлы не нужно исследовать. Хэш-таблицы могут также использоваться для поиска известной контрабанды или инструментальных средств взлома. Результаты хэш-анализа появятся в Hash Category (Хэш-категория) в представлении, дающем детальную информацию о файлах.