簡介
Encase是Guidance Software公司研發的取證產品,該公司成立於1997年。Encase的開發團隊多半擁有計算機取證學專家的背景。該工具擁有強大的腳本功能,支持二次開發。可增強取證分析的針對性,使個人技能得到較大程度的發揮,是政府執法機構常用的取證工具,也被廣泛的運用與司法、軍隊、公司監察等部門。Encase分為單機版和企業版,本文重點討論的是企業版即Encase Enterprise Edition。Encase企業版是世界上第一個可以有效執行遠程企業緊急事件回響、審計、和發現任務的軟體。計算機緊急事件回響工作組和計算機調查員可以利用該軟體即時通過區域網路或廣域網識別、瀏覽、獲取和分析遠程的電子媒介。En-case企業版與Encase單機版軟體(以Encase forensics software著稱)都基於同樣的代碼和功能。Encase企業版從本質來說就是核心的Encase單機產品,但其採用了高度兼容的網路啟動模式,另外基於實際考慮,在內部增加了相應的安全策略及功能增強的資料庫 。
Encase是美國加利福尼亞州一家公司—Guidance Software提供的一款套用世界領先技術用於計算機犯罪調查取證的司法軟體。其包含可執行軟體和一個加密狗,加密狗中包含許可協定或公司遠程更新程式,提供軟體的更新升級服務,對著作權的有效保護起到了重要的作用,主要分為企業版、法政版、智慧型版等版本。本文研究所用到的是法政版Encase forensic edition。
Encase是一款專業的國際上主流計算機犯罪數據分析取證軟體。主要套用於執法部門、政府部門、軍隊和法務部門。它的使用排名位居第一,是行業的標準。中國大陸的使用率達到99%以上,北美超過500家、世界至少超過2000家的執法機關和鑑定部門在使用它,可見其使用的廣泛性及市場占有率。Encase做為一款專業化的計算機取證軟體在我國的網路警察的的取證工作中發揮了較大的作用,是當前最富有調查能力的軟體,其具有特色的功能就是腳本開發功能,通過腳本的開發能夠擴充Encase的功能,將網路民警在具體實踐中總結出來的取證技術套用到Encase中。
Encase是基於Windows平台按照法律實施人員的需求和規範的的基礎上用C編寫的用於數據獲取和分析容量大約為1M的程式。Encase提供了簡單的方法來管理大量計算機介質的調查並記錄查找結果。隨著計算機和其他數字證據在破案的過程中越來越重要,取證實驗室中需要處理的數字證據越來越多,司法取證工具幫助成功破獲許多當地室內犯罪—兒童色情、家庭暴力、折磨虐待、麻醉催眠、賭博和確認小偷一在不遺漏有價值的計算機證據的同時大大減少了調查員破獲一個案件的時間。Encase司法取證工具由犯罪司法專家參與開發,因此在法庭上得到認可 。
特點
Encase的主要特點就是保持證據的原始性,Encase完全是非破壞性的,對證據硬碟操作時不改變其中的數據,使其具有著法律效力。它能夠調查Windows,Macintosh,Anux,Unix或Dos機器的硬碟,把硬碟中的檔案鏡像或將證據檔案設為唯讀。這樣可以防止調查人員修改數據而使其成為無效的證據。此外,任何大小的硬碟可以被壓縮和存儲在可移動的介質上,使你可以隨身攜帶。甚至被刪除檔案、隱藏和被改名了的檔案也可以用Encase方便快捷的定位。
強大的處理能力為用戶節省寶貴時間:調查員能夠在Encase獲取硬碟或其他數字媒介的同時查看數據。一旦鏡像檔案創建完成,調查員就可以同時進行搜尋和分析多塊硬碟和其他數字證據,使用關鍵字搜尋、Hash值分析、檔案簽名分析、特殊檔案過濾器和複合過濾器。Encase對硬碟驅動鏡像後重新組織檔案結構,採用Windows GUI顯示檔案的內容。允許調查員使用多個工具完成多個任務。解決了之前對計算機系統的調查,記錄調查,複製證據管理過程冗長的矛盾。
司法有效獲取:Encase取提供了行業最有效的媒介獲取方式,對數據的獲取方式多樣、靈活、方便。通過二進制模式複製原始硬碟或媒介,這種複製時物理級別的複製,並非僅僅是邏輯層的複製。通過計算哈希值〔驗證相關鏡像檔案,確保數據的完整性。另外,計算CRC校驗值確定證據是否被改變。這種方式已通過驗證並經受了法庭上的多次考驗。
可擴充的靈活性滿足調查員的需求:Encase內嵌Enscript編程器,程式語言基於Java和C++。用戶可以定製Scripts進行搜尋並分析特殊文檔類型。
新的64位版本:改進的性能、增強的多執行緒和更有效利用記憶體的能力。Encase司法取證工具通過查看所有相關檔案,包括“己刪除”檔案,檔案碎片和未分配空間,幫助調查員輕鬆管理大量的計算機證據。支持同時搜尋和分析不同的檔案系統,可以查看Windows註冊表、Outlook電子郵件檔案及其附屬檔案和Zip檔案等複合檔案,對感興趣的檔案、區塊或圖像檔案做書籤方便將來參考,並自動在最後生成的報告中包括所有書籤。對整個案件使用任意多個搜尋條件進行關鍵字搜尋。·
功能
概括地說,Encase具有三大功能 :
獲取證據功能—將目標存儲介質固定
預覽和獲取是Encase的功能之一,主要特點是獲取目標盤時可以避免對目標盤的擦寫,保持原數據盤的完成性,遵循電子取證的最基本原則。獲取的數據是逐個位元組的物理獲取,而非邏輯上的獲取,為了保證數據的完整性,還提供了MD5的哈希值校驗,確保拷貝的數據與原數據的一致性。
Encase的獲取方式靈活多樣,包括DOS下的獲取、網路交叉電纜獲取、並口電纜獲取、FASTBLOC獲取、驅動器對驅動器獲取及對PDA和各種移動存儲介質的獲取等方式。可以應對各種複雜的取證環境。但是操作起來需要遵循一定的原則,講究一定的操作方法。所有有著很強的原則性和技術性。
獲取的前期需要創建DOS啟動盤或網路啟動盤。DOS版的Encase在獲取的過程中有著非常重要的地位,幾乎貫穿著取證過程始末。其中有一項功能是將計算機設定成伺服器模式,這是網路獲取和並口獲取方式的必要前提。
預覽和獲取可以節省取證時間,提高取證效率。預覽到證據盤的有用檔案再進行獲取,讓獲取更有針對性,改進了原來的冗餘的全盤獲取。
分析功能—多樣化的手段,便於挖掘證據
在獲取證據盤的基礎上再進行進一步的分析證據是Encase的核心功能,主要由恢復刪除檔案、檔案簽名驗證、解析複合檔案、強勁的搜尋引擎、殘留區的搜尋和內置的腳本開發平台等部分構成。如圖所示。
在分析證據前,Encase前期對一些全局設定做了必要的設定,如時區設定、恢復檔案、簽名分析、哈希分析、創建和導入哈希集等工作,這些工作不僅不會浪費調查時間,反而有利案件分析效率的提高。
時區設定:由於一些案件的的資料來源於不同的時區,通過全局的時間的設定,將時間統一成格林統治時間或統一轉換成某一時區,避免的調查人員人工的換算時區時間容易出現錯誤。
檔案恢復:在偵破案件時,目標盤中被刪除的檔案和未分配的簇中遺留下的痕跡往往是計算機犯罪勘查的重點,Encase因此在分析數據前期考慮把檔案恢復最為一個必要的重要環節。進而達到有的放矢的目標。
檔案簽名驗證:目前有數以千計的檔案類型,一些已被標準化。國際標準化組織工和國際電氣通信聯盟、通信標準化部門一正在致力於標準化各種類型的電子數據。像JPEG這樣典型的圖形檔案格式就已被這兩個組織標準化了。當檔案類型被標準化之後,程式可以通過辨別的簽名或頭部信息來識別檔案。檔案頭與特定的檔案擴展名是關聯的。
檔案擴展名指的的是檔案名稱中“.”之後的字元。它們揭示了檔案所代表的數據類型。如檔案名稱中包含.TXT的擴展名,則預示著該檔案的類型是文本。許多程式是依賴擴展名來反映相應的數據類型的。比如,Windows是靠檔案擴展名關聯特定的應用程式的。
把檔案的真實類型隱藏起來的一種方法是重命名檔案和擴展名。大多數圖形程式都無法正確的識別一個使用錯誤擴展名(.DLL)的JPEG檔案,因此,很有必要比較檔案的簽名和它的擴展名來辨別是否是被修改。Encase是在後台執行簽名分析功能的。
哈希分析:Encase的哈希值計算,讓調查人員為每個檔案建立一個“數字指紋”—哈希值,從實際上講,每個檔案的哈希值是唯一的,一個檔案的哈希值只會與它的副本檔案的哈希值相等,Encase採用MD5算法創建哈希值,因此任意兩個檔案的哈希值相等的幾率約等於0。Encase可以先創建哈希庫,然後用它與來待檢檔案的哈希值作比較,看是否包含在哈希庫當中。哈希值由檔案的內容決定的,與檔案的名字無關。因此,即便檔案名稱被更改,Encase仍可以通過哈希庫中的哈希值作對比將它找出來。哈希值的特性可以用來鑑別那些內容己知而且檢查人員不用關心的檔案,如作業系統檔案和通用的應用程式。也可以鑑別那些被關心的應用程式。如已知的木馬、RootKits、未授權的應用程式等。通過比對可以過濾掉一些不關心的檔案,進一步的壓縮搜尋的範圍,提高鎖定目標的效率。
強勁的搜尋引擎和殘留區搜尋:強大搜尋引擎是Encase的特色之一,Encase的搜尋功能可以定位於任何物理介質或邏輯介質中的證據信息,關鍵字保存於Encase全局目錄下的一個初始化檔案里,Encase可以從頭到尾逐個位元組地查找Encase的每個介質和邏輯檔案。Encase V5可以支持外語關鍵字搜尋。這可以使調查人員進行外語關鍵字查找,對於阿拉伯語的關鍵字可以用阿拉伯的字元進行搜尋,對於日語關鍵字使用日語字元進行搜尋,命中的關鍵字將會按指定的格式進行查看。其搜尋範圍不僅局限於磁碟的邏輯區,還可以是邏輯區間的部分和未分配的簇。
解析複合文檔:Encase的一個非常強大的功能就是查看證據檔案當中複合檔案的組成成分,複合檔案。
內置開發平台:Encase提供了一個專用於Enscripts腳本開發的環境,Enscripts是一個專用於Encase環境的程式語言和應用程式接口。儘管ANSIC++和標準的JAVA的表達式的兼容,但是Enscripts只是擁有其特徵的一個子集,換言之,Enscripts使用C++一樣的操作符和通用的語法,但是,類和函式是不同的。Enscripts允許調查人員和程式設計師可以利用開發工具進行自動取證工作。它們可以被編譯,也可以與其它調查人員共享。有編程背景,並且理解面向對象的程式設計對開發Enscripts很有幫助。可以根據工作的實際需求,開發出一些強大實用的腳本程式,這也是Encase的強大功能體現。
生成報告—方便地將分析結果變成一份報告
法庭檢查的最後階段是提交裁決,應該用一種易於理解的可讀形式來組織,並展示給特定的觀眾。調查人員就應該考慮如何規範和展示報告。Encase的設計幫助檢查人員以一定的組織方式加註標簽和輸出裁決,以報告在檢查完成以後迅速產生。Encase提供了幾種方法產生最終報告。一些調查者在字處理程式內部將最終的報告分成幾個子報告,用一個總結性的目錄指示讀者來看內容。另外一些調查者將這些報告刻錄到光碟中,使用超級連線方式連線子報告和支持報告的證據文檔及檔案。Encase給調查者定製和組織最終報告的內容提供了很大的靈活性。