EnCase:计算机取证的得力工具
1. 引言
计算机取证是一个近年来迅速兴起且广受欢迎的领域。随着其热度的提升,越来越多的取证软硬件工具应运而生。其中,EnCase 被许多人视为计算机取证领域的行业标准软件,执法部门、政府机构以及众多高校都将 EnCase 法医版作为事实上的取证工具。
2. 证据文件
在计算机取证中,证据文件是使用法医软件(如 EnCase)将数据转换为特殊图像格式的产物。创建证据文件的主要目的是获取嫌疑人媒体的副本,避免对原始媒体造成污染。因为若直接调查原始媒体,精明的律师可能会辩称调查人员篡改了媒体以诬陷其客户。
证据文件的获取方式有多种:
-DOS 启动盘:使用法医级干净的 DOS 启动盘进入 DOS 环境来获取图像。
-Linux 启动盘:引导至 Linux 实时 CD(如 KNOPPIX 或 Helix),并结合 LinEn(Linux EnCase)工具。
-硬件写保护设备:使用 FastBloc 等硬件写保护设备,结合 EnCase 在 Windows 环境下获取图像。
-网络获取:EnCase 企业版支持通过网络安全地获取嫌疑人驱动器的图像。
证据文件的格式通常以 .E## 为扩展名,编号从 E01 到 E99,之后采用字母编号(如 EAA)。要打开和读取证据文件,需要使用法医软件(如 EnCase),若文件在获取时设置了密码,还需输入密码。
为确保文件完整性,EnCase 会
