了解電子證據(jù)司法鑒定和電子證據(jù)保全的程序掌握撰寫計(jì)算機(jī)調(diào)查取證報(bào)告的一般準(zhǔn)則掌握利用EnCaseForensic深入分析原始證據(jù)的方法掌握利用X-WaysForensics深入分析原始證據(jù)的方法學(xué)習(xí)目標(biāo)在項(xiàng)目一的案例中，某公司主管Alice懷疑部門經(jīng)理Adam對(duì)公司有侵權(quán)行為，因此委托計(jì)算機(jī)取證調(diào)查人員Tom進(jìn)行調(diào)查。Tom通過對(duì)案件的初步調(diào)查和取證，獲得了Adam的辦公計(jì)算機(jī)磁盤的取證鏡像備份，并封存了該磁盤。Tom如何利用已經(jīng)獲得的原始證據(jù)進(jìn)行深入的計(jì)算機(jī)取證調(diào)查的分析呢？項(xiàng)目說明項(xiàng)目任務(wù)考慮到不同的計(jì)算機(jī)取證分析工具有著不同的側(cè)重點(diǎn)和優(yōu)勢(shì)，因此決定利用兩種目前較為流行的計(jì)算機(jī)取證分析工具對(duì)原始證據(jù)進(jìn)行深入分析。鑒于此Tom應(yīng)當(dāng)完成兩個(gè)任務(wù)：利用EnCaseForensic對(duì)原始證據(jù)進(jìn)行深入分析；利用X-WaysForensics對(duì)原始證據(jù)進(jìn)行深入分析。電子證據(jù)司法鑒定電子證據(jù)鑒定是由專門鑒定機(jī)構(gòu)的鑒定人或具有專門知識(shí)的人，對(duì)計(jì)算機(jī)設(shè)備、通信設(shè)備、網(wǎng)絡(luò)設(shè)備、數(shù)控設(shè)備、視聽設(shè)備、廣電設(shè)備等各種存儲(chǔ)介質(zhì)及其所存儲(chǔ)的數(shù)據(jù)，按照一定的技術(shù)規(guī)程，運(yùn)用專業(yè)知識(shí)、特定儀器設(shè)備和技術(shù)方法，進(jìn)行檢查、驗(yàn)證、發(fā)現(xiàn)、提取、解釋、分析、鑒別、判定并出具鑒定結(jié)論的過程。電子證據(jù)鑒定的主體是專門的鑒定人或具有專門知識(shí)的人，需要具備進(jìn)行電子證據(jù)鑒定的資質(zhì)和能力；鑒定對(duì)象是計(jì)算機(jī)設(shè)備等各類存儲(chǔ)介質(zhì)和所存儲(chǔ)的數(shù)據(jù)?；A(chǔ)知識(shí)電子證據(jù)司法鑒定電子證據(jù)司法鑒定的程序委托受理鑒定實(shí)施出具鑒定文書返還送檢物品基礎(chǔ)知識(shí)電子證據(jù)保全電子證據(jù)保全是指用一定的形式將電子證據(jù)固定下來，并妥善保管，以便司法人員或律師分析、認(rèn)定案件事實(shí)時(shí)使用?；A(chǔ)知識(shí)電子證據(jù)保全電子證據(jù)保全的程序原則雙重固定原則無損固定原則全面固定原則基礎(chǔ)知識(shí)調(diào)查取證報(bào)告取證報(bào)告的書寫準(zhǔn)則其觀點(diǎn)、推論或結(jié)論是基于計(jì)算機(jī)相關(guān)領(lǐng)域的專業(yè)知識(shí)技術(shù)，而不是來自一般證人普通經(jīng)驗(yàn)；能證明自己在計(jì)算機(jī)相關(guān)專業(yè)領(lǐng)域是有資格作為一名真正的專家；專家證人必須符合邏輯地證明其觀點(diǎn)、推論或結(jié)論；專家證人能描述出支撐其觀點(diǎn)、推論或結(jié)論的數(shù)據(jù)事實(shí)。基礎(chǔ)知識(shí)Tom為了對(duì)這些原始證據(jù)進(jìn)行深入的分析，從而獲取具體的證據(jù)，以便為撰寫取證報(bào)告做準(zhǔn)備，Tom需要利用取證實(shí)驗(yàn)室的分析工具進(jìn)行具體的分析。由于取證實(shí)驗(yàn)室計(jì)算機(jī)安裝的是Win7操作系統(tǒng)環(huán)境，且考慮到充分調(diào)查的需要，因此Tom決定采用EnCaseForensic和X-WaysForensics兩種分析工具對(duì)已獲取的原始證據(jù)取證鏡像進(jìn)行深入分析項(xiàng)目分析任務(wù)一：利用EnCaseForensic進(jìn)行分析項(xiàng)目實(shí)施軟件介紹EnCase是目前使用最為廣泛的計(jì)算機(jī)取證工具，國內(nèi)多數(shù)執(zhí)法部門使用它。雖然版本一直在更新，功能（特別是對(duì)大數(shù)據(jù)的搜索功能）越來越強(qiáng)大，但是其基本界面和操作沒有太大的變化。有不少資深取證分析師為EnCase開發(fā)了針對(duì)不同目的腳本應(yīng)用?，F(xiàn)以Tom使用EnCase4.20調(diào)查Adam為例，介紹EnCase的基本使用。創(chuàng)建新案件并添加證據(jù)磁盤Tom首先在EnCase菜單使用“File->New…”創(chuàng)建一個(gè)新案件，并在彈出對(duì)話框中填入案件編號(hào)、調(diào)查者、本案件默認(rèn)輸出目錄以及本案件默認(rèn)臨時(shí)文件目錄（如果Tom需要使用外部軟件查看文件，文件就會(huì)復(fù)制或恢復(fù)到臨時(shí)目錄中，案件關(guān)閉時(shí)，EnCase會(huì)自動(dòng)刪除臨時(shí)目錄中的內(nèi)容），如圖創(chuàng)建新案件并添加證據(jù)磁盤在向一個(gè)案件添加證據(jù)文件之前，調(diào)查員必須知道證據(jù)文件是在本地還是在局域網(wǎng)的別的計(jì)算機(jī)中。假設(shè)Tom已經(jīng)將證據(jù)文件拷貝到本地，于是打開EnCase菜單使用“File->AddDevice…”，在隨之彈出的添加證據(jù)對(duì)話框中右擊左邊Devices目錄樹的“EvidenceFiles”目錄，在彈出選項(xiàng)中選擇“New…”，如圖創(chuàng)建新案件并添加證據(jù)磁盤選擇本地的證據(jù)文件存儲(chǔ)目錄“AdamImage”，確定后添加證據(jù)對(duì)話框中出現(xiàn)該目錄，且在右邊欄中出現(xiàn)證據(jù)取證鏡像文件“Adam_1”，選擇該文件并點(diǎn)擊“下一步”按鈕，如圖創(chuàng)建新案件并添加證據(jù)磁盤在隨后出現(xiàn)的設(shè)備選擇對(duì)話框的右邊欄中選擇該鏡像設(shè)備，并點(diǎn)擊“下一步”，如圖創(chuàng)建新案件并添加證據(jù)磁盤隨后出現(xiàn)確認(rèn)對(duì)話框中點(diǎn)擊“完成”按鈕，將證據(jù)鏡像添加到案件中，如圖創(chuàng)建新案件并添加證據(jù)磁盤將一個(gè)證據(jù)文件添加到新案件中后，EnCase將會(huì)開始校驗(yàn)該證據(jù)文件的完整性。EnCase讀位于該證據(jù)內(nèi)部的數(shù)據(jù)并生成內(nèi)部數(shù)據(jù)的MD5。EnCase窗口右下角會(huì)出現(xiàn)一個(gè)閃爍的藍(lán)色工具條顯示正在校驗(yàn)。（雙擊閃爍的校驗(yàn)工具條可取消校驗(yàn)。）只有在校驗(yàn)程序結(jié)束后保存了案件，EnCase才會(huì)保存該證據(jù)文件的校驗(yàn)。如果案件沒有保存就退出了，那么以后每次載入該證據(jù)文件時(shí)校驗(yàn)程序都會(huì)啟動(dòng)。在校驗(yàn)完成后取證調(diào)查人員選擇保存案件，EnCase將在報(bào)告中顯示確認(rèn)信息和獲得的MD5散列值。EnCase界面簡介EnCase具有功能較強(qiáng)的綜合取證分析界面。在典型的EnCase案件標(biāo)簽視圖中，每個(gè)案件都包含在Cases標(biāo)簽下的一個(gè)案件文件夾里?？梢酝瑫r(shí)打開多個(gè)案件。在案件中可以顯示的標(biāo)簽視圖有驅(qū)動(dòng)器、書簽、文件簽名、文件類型、關(guān)鍵詞等等?？梢渣c(diǎn)擊工具欄中“視圖”的下拉菜單中選擇需要使用的標(biāo)簽清單。要關(guān)閉這些標(biāo)簽視圖時(shí)，可以點(diǎn)擊標(biāo)簽和“標(biāo)簽”欄左邊的“×”。EnCase界面簡介“所有文件”選中按鈕“所有文件”選中按鈕是界面左邊目錄樹欄的復(fù)選框旁的多邊形，被選中時(shí)按鈕會(huì)變?yōu)榫G色。選中后的右邊的視圖里顯示左邊所選文件夾或介質(zhì)中所選文件夾及其子文件夾中的所有文件。也就是說，如果點(diǎn)擊EnCase中任意文件夾的“所有文件”按鈕（且列表視圖是活動(dòng)的），那么就可以在右邊列表視圖里查看該文件夾中的所有文件（包含子文件夾），如圖EnCase界面簡介案件Cases標(biāo)簽視圖Tom可以通過選擇“View->Cases”進(jìn)入案件標(biāo)簽視圖。在案件標(biāo)簽視圖中，可以運(yùn)用類似Windows資源管理器的界面瀏覽證據(jù)文件。這樣的視圖使得操縱不同案件、不同證據(jù)文件、不同邏輯卷以及在左邊的不同目錄成為可能。右邊的窗口中，顯示出左邊所選目標(biāo)的所有文件夾和文件。如果右邊的一個(gè)文件是被選中（突出顯示）的話，就可以在下面的活動(dòng)子標(biāo)簽里的對(duì)該文件進(jìn)行“預(yù)覽”。如圖EnCase界面簡介書簽Bookmarks標(biāo)簽視圖Tom可以通過選擇“View->Bookmarks”進(jìn)入案件標(biāo)簽視圖。書簽標(biāo)簽視圖包含標(biāo)記了的證據(jù)。Bookmarks可以是被標(biāo)記了的文件、圖像、文本片段等等。被標(biāo)記的項(xiàng)目將被放在調(diào)查員Tom指定的文件夾中。書簽標(biāo)簽可以在表格視圖、圖片集視圖（被標(biāo)記的映像）和時(shí)間線視圖中的顯示書簽。EnCase界面簡介設(shè)備Devices標(biāo)簽視圖Tom可通過選擇“View->Devices”進(jìn)入設(shè)備標(biāo)簽視圖。設(shè)備標(biāo)簽包含有關(guān)原始證據(jù)介質(zhì)獲取的信息，例如證據(jù)采集注解、證據(jù)采集者姓名、采集和校驗(yàn)的散列值，等等。計(jì)算機(jī)磁盤的結(jié)構(gòu)也能夠從這個(gè)標(biāo)簽進(jìn)行簡要瀏覽，如圖EnCase界面簡介文件類型FILETYPES標(biāo)簽視圖Tom可通過選擇在菜單中選擇“View->FileTypes”訪問文件類型標(biāo)簽視圖。文件類型標(biāo)簽包含關(guān)于所有文件類型以及與之相關(guān)的查看器信息如圖EnCase允許用戶瀏覽文件類型、添加文件類型、編輯文件類型、刪除文件類型以及將文件查看器與文件類型匹配。EnCase已經(jīng)有許多文件類型匹配它適用的應(yīng)用程序，用來正確地訪問文件。同時(shí)EnCase允許調(diào)查員添加新的或未被EnCase識(shí)別的文件類型的查看器。EnCase界面簡介文件特征FileSignatures標(biāo)簽視圖Tom可通過選擇在菜單中選擇“View->FileSignatures”訪問文件特征標(biāo)簽視圖。文件特征是與文件類型關(guān)聯(lián)的唯一十六進(jìn)制頭特征。例如，一個(gè)工業(yè)標(biāo)準(zhǔn)JPG圖片必須以這樣一個(gè)十六進(jìn)制頭特征開始：\xFF\xD8\xFF[\xFE\xE0]\x00，如圖。通過這個(gè)標(biāo)簽視圖，文件特征就可以被瀏覽、添加、編輯和刪除。EnCase界面簡介文件查看器FileViews標(biāo)簽視圖Tom可通過選擇在菜單中選擇“View->FileViews”訪問文件查看器標(biāo)簽。文件查看器是調(diào)查員在EnCase中建立的應(yīng)用，這樣就可以在文件類型和文件瀏覽器之間建立關(guān)聯(lián)。EnCase默認(rèn)可瀏覽不同文件類型，如JPG、TXT文件等等。但是，有相當(dāng)一部分文件類型EnCase無法正確顯示。調(diào)查員就需要在文件類型和文件查看器之間建立連接。通過這個(gè)標(biāo)簽，可以添加、編輯和刪除文件查看器。EnCase界面簡介關(guān)鍵詞Keywords標(biāo)簽視圖Tom可通過選擇在菜單中選擇“View->Keywords”訪問關(guān)鍵詞標(biāo)簽，如圖。關(guān)鍵詞是取證調(diào)查人員用來搜索一個(gè)或多個(gè)案件中的感興趣信息的條件。它們可以是單詞、詞組或十六進(jìn)制的字符串。輸入的關(guān)鍵詞可區(qū)分大小寫，以GREP、Unicode、UTF7和UTF8等等格式輸入。關(guān)鍵詞被作為一個(gè)初始化文件保存在EnCase目錄里。關(guān)鍵詞搜索同時(shí)執(zhí)行邏輯搜索和物理搜索，即EnCase不但能從頭到尾對(duì)每個(gè)條件逐個(gè)字節(jié)搜索，且可根據(jù)條件同時(shí)搜索每個(gè)邏輯文件。EnCase界面簡介搜索命中SearchHits標(biāo)簽視圖Tom可通過選擇在菜單中選擇“View->SearchHits”訪問搜索結(jié)果標(biāo)簽視圖，搜索結(jié)果通過置于搜索結(jié)果標(biāo)簽中的關(guān)鍵詞搜索生成。每個(gè)關(guān)鍵詞都會(huì)導(dǎo)致在“搜索結(jié)果”標(biāo)簽下創(chuàng)建一個(gè)同名文件夾。關(guān)鍵詞搜索結(jié)果則會(huì)被放置到相應(yīng)的文件夾中。EnCase界面簡介安全標(biāo)識(shí)SecurityIDs標(biāo)簽視圖Tom可通過選擇在菜單中選擇“View->SecurityIDs”訪問安全標(biāo)識(shí)標(biāo)簽視圖NTFS文件系統(tǒng)上的每個(gè)文件和文件夾都有一個(gè)所有者、組以及一套權(quán)限。由于這個(gè)信息保存在NTFS4和NTFS5中的形式是不同的，因此EnCase從每個(gè)文件和文件夾提取出安全信息。EnCase還提取出Unix系統(tǒng)和Linux系統(tǒng)上的所有者、組以及權(quán)限設(shè)置。EnCase可以列出所有者、組以及由所有者或組編制的權(quán)限。EnCase界面簡介安全標(biāo)識(shí)SecurityIDs標(biāo)簽視圖安全標(biāo)識(shí)標(biāo)簽里會(huì)默認(rèn)創(chuàng)建三個(gè)文件夾：Windows、Nix（Unix和LinuxIDs）以及安全標(biāo)識(shí)（SecurityIDs）。這些文件夾使得組織結(jié)構(gòu)更有條理，不過每個(gè)文件夾都可包含任意類型的ID。如果調(diào)查人員Tom需要?jiǎng)?chuàng)建一個(gè)新的安全標(biāo)識(shí)（SID），可以右擊目標(biāo)文件夾并選擇NEW會(huì)彈出一個(gè)對(duì)話框，列出姓名、SID、組、安全類型以及組成員。如圖EnCase界面簡介安全標(biāo)識(shí)SecurityIDs標(biāo)簽視圖ID：用戶希望解析的SID。Windows安全標(biāo)識(shí)（SID）的格式是“S-x-x-x[-x-x-x-x]”，NixSID則是整數(shù)，如1000；Name：包含發(fā)現(xiàn)關(guān)聯(lián)SID時(shí)將被解析的姓名；Unix：單選框可表明定義何種類型的SID，選中為Nix，未選中則為Windows；EnCase界面簡介安全標(biāo)識(shí)SecurityIDs標(biāo)簽視圖Group：是一個(gè)在SID屬于Nix同時(shí)代表為一個(gè)組時(shí)必須選擇的單選框按鈕。NixIDs不是唯一的，且用戶ID和組ID可能相同；GroupMembers：可定義來幫助建立組織架構(gòu)（主要針對(duì)Nix）。點(diǎn)擊鼠標(biāo)右鍵，選擇組成員框里的“New”來指定一個(gè)對(duì)應(yīng)于當(dāng)前安全I(xiàn)D的成員。EnCase界面簡介文本樣式TextStyles標(biāo)簽視圖Tom可通過選擇在菜單中選擇“View->TextStyles”訪問文本樣式標(biāo)簽視圖文本樣式是通過不同的設(shè)置，按照調(diào)查人員的要求瀏覽代碼頁，例如改變顏色和文本行長度等等。EnCase帶有幾種默認(rèn)的文本樣式，也可添加更多樣式。可點(diǎn)擊鼠標(biāo)右鍵在顯示菜單里選擇相應(yīng)命令或點(diǎn)擊工具條上的按鈕來添加、編輯和從標(biāo)簽中刪除文件樣式。EnCase界面簡介腳本Scripts標(biāo)簽視圖Tom可通過選擇在菜單中選擇“View->Scripts”訪問腳本標(biāo)簽視圖如圖腳本標(biāo)簽視圖是可對(duì)EnScript進(jìn)行復(fù)查和編碼的地方。EnScript是被設(shè)計(jì)用來使取證過程自動(dòng)化的小程序或宏。從搜索到創(chuàng)建書簽再到將信息放入報(bào)告，EnScript能訪問并且操作EnCase界面上幾乎所有的區(qū)域。EnScript可以說是EnCase工具的高級(jí)應(yīng)用，調(diào)查人員可將眾多通用的取證調(diào)查操作（如搜索注冊(cè)表關(guān)鍵字、初始化提取Windows系統(tǒng)環(huán)境信息、搜索日志文件關(guān)鍵信息等等）按照腳本編寫的格式在該標(biāo)簽視圖中進(jìn)行添加、編輯以及刪除操作。EnCase界面簡介EnScript類型EnScriptTypes標(biāo)簽視圖Tom可通過選擇在菜單中選擇“View->EnScriptTypes”訪問EnScript類型標(biāo)簽視圖EnScript類型標(biāo)簽是一個(gè)包含各種EnScript語言的參考源。右邊的窗口依次顯示每個(gè)函數(shù)的參數(shù)。EnCase界面簡介列表視圖Tom可通過選擇在右邊視圖欄上部的“Table”標(biāo)簽，使得右邊欄中顯示列表視圖，在大多數(shù)的標(biāo)簽欄視圖中，右邊的視圖欄默認(rèn)采用列表視圖的方式如圖EnCase界面簡介列表視圖列表視圖包含特定項(xiàng)的所有屬性。調(diào)查員可以根據(jù)任意可用的列來給文件排序。要根據(jù)某一列進(jìn)行排序，可雙擊該列的標(biāo)題。若要以多個(gè)列的方式組合排序，可按下<SHIFT>鍵并雙擊需要組合排序的列標(biāo)題（最多可進(jìn)行5重排序）。在列表視圖里常用的命令有：復(fù)制/恢復(fù)、標(biāo)記突出顯示的文件或選擇（選中為藍(lán)色的）文件，或發(fā)送文件到指定的視圖。EnCase界面簡介列表視圖在列表視圖中，通常含有文件名、文件擴(kuò)展名、過濾器、文件創(chuàng)建時(shí)間等多種對(duì)內(nèi)容特征的描述EnCase界面簡介列表視圖文件名（Name）：文件名是證據(jù)文件中文件的名稱。在文件旁有一個(gè)圖標(biāo)顯示文件的狀態(tài)。該文件已被刪除，但可能被恢復(fù)。如果該文件類型有相關(guān)聯(lián)的瀏覽器，用復(fù)制/恢復(fù)命令就可對(duì)其查看。文件名仍然完好，起始的頭數(shù)據(jù)仍然存在；被刪除文件的起始的頭被覆蓋，部分文件信息仍存在。EnCase將恢復(fù)所能恢復(fù)的數(shù)據(jù)；EnCase界面簡介列表視圖文件名（Name）：文件名是證據(jù)文件中文件的名稱。在文件旁有一個(gè)圖標(biāo)顯示文件的狀態(tài)。一個(gè)不再存在的文件。文件名已被覆蓋，起始簇指針已不存在。EnCase能夠讀出該文件的目錄入口，但文件本身已丟失。EnCase仍會(huì)提供該文件的關(guān)鍵信息（如創(chuàng)建日期、最后訪問和改寫日期等），以及該文件名在文件系統(tǒng)中曾經(jīng)存在的全部路徑；該圖標(biāo)標(biāo)識(shí)一個(gè)文件夾曾經(jīng)某個(gè)名字存在，但現(xiàn)在該文件夾下已沒有文件信息；該圖標(biāo)標(biāo)識(shí)文件硬連接，即超過一個(gè)文件名與同一個(gè)節(jié)點(diǎn)有連接。EnCase將把數(shù)據(jù)分離到名為“HardLinkData#”的文件中。EnCase界面簡介列表視圖過濾器（Filter）：過濾器列顯示與該行中的文件相符的過濾器。例如若一個(gè)雙重過濾查詢被執(zhí)行：條件是“在2012年10月被訪問的文件”和“大小超過500K的圖片”，那么2012年10月被訪問的文件會(huì)顯示在一個(gè)過濾器顯示器中，大小超過500K的圖片會(huì)顯示在另一個(gè)顯示器中，而符合這兩個(gè)條件的文件會(huì)在兩個(gè)過濾器中都被打上框。EnCase界面簡介列表視圖文件擴(kuò)展名（FileExt）：文件擴(kuò)展名列顯示文件的擴(kuò)展名。如果一個(gè)文件被人為修改擴(kuò)展名（如一個(gè)JPG圖片被重命名為Excel表格文件），該列就會(huì)報(bào)告修改后的擴(kuò)展名，而不是真實(shí)擴(kuò)展名。但文件頭信息將仍被保持完整且在運(yùn)行特征分析時(shí)調(diào)查人員會(huì)發(fā)現(xiàn)文件特征的不匹配。EnCase界面簡介列表視圖文件類型（FileType）：該列顯示文件為何種類型。最初EnCase從文件擴(kuò)展名生成該信息。在調(diào)查員執(zhí)行了文件特征分析后，該信息就由文件頭所指示的文件特征來生成真正的文件類型。EnCase界面簡介列表視圖文件特征（Signature）：特征列中按文件頭顯示文件，而不是按照文件擴(kuò)展名。如果頭和文件擴(kuò)展名不“匹配”，調(diào)查人員就會(huì)在列中看到一個(gè)“！BadSignature”的消息。特征列只在運(yùn)行特征分析后顯示。EnCase界面簡介列表視圖描述（Description）：給出關(guān)于文件名旁的圖標(biāo)是什么的簡短描述或說明。是否已刪除（IsDeleted）：如果文件被刪除，但在回收箱中仍未被清空，那么此列中就會(huì)有一個(gè)日期和時(shí)間。最后訪問時(shí)間（LastAccess）：顯示最后訪問某文件的日期。文件創(chuàng)建時(shí)間（FileCreated）：特定文件被創(chuàng)建到某位置時(shí)的記錄。EnCase界面簡介列表視圖最后寫入時(shí)間（LastWritten）：顯示某文件最近一次被打開、編輯并保存的日期和時(shí)間。如果一個(gè)文件被打開后沒有修改，該列不會(huì)更新。入口修改時(shí)間（EntryModified）：修改的入口列與NTFS和Linux文件系統(tǒng)有關(guān)，它提供文件入口的指針以及該指針?biāo)膬?nèi)容（例如文件的大小）。如果一個(gè)文件被改變但大小不變，那么修改的入口列不會(huì)改變。但如果文件大小改變那么該列將會(huì)改變。邏輯大小（LogicalSize）：指按字節(jié)計(jì)算一個(gè)文件實(shí)際大小。EnCase界面簡介列表視圖物理大小（PhysicalSize）：物理大小是文件的簇大小。例如在Win98SE中，簇是4096字節(jié)，所以任何一個(gè)邏輯大小小于4096的文件通常物理大小是4096字節(jié)。開始區(qū)域（StartExtend）：指案件中每個(gè)文件的起始簇。顯示的格式是證據(jù)文件號(hào)、邏輯驅(qū)動(dòng)器符，然后是簇編號(hào)。例如，一個(gè)文件的起始區(qū)域是2E424803，表示該文件在第三個(gè)證據(jù)文件（從0開始計(jì)數(shù)），位于證據(jù)文件的邏輯驅(qū)動(dòng)器E的第424803簇。證據(jù)文件（EvidenceFile）：顯示該文件位于哪個(gè)證據(jù)文件中。EnCase界面簡介列表視圖文件標(biāo)識(shí)符（FileIdentifier）：文件表的索引，在NTFS中使用。文件標(biāo)識(shí)符號(hào)存儲(chǔ)在主文件表中，是分配給文件或文件夾的唯一號(hào)碼。HASH值（HashValue）：HASH值列顯示案件中每個(gè)文件的HASH值。執(zhí)行計(jì)算HASH值命令可以生成該信息。Hash集（HashSet）：顯示一個(gè)文件所屬的Hash集。如果沒有創(chuàng)建或?qū)際ash集，該列為空。HASH類（HashCategory）：顯示一個(gè)文件所屬的HASH類。如果尚未創(chuàng)建或?qū)肴魏蜨ASH集，那么該列中就無數(shù)據(jù)。如果已創(chuàng)建或輸入HASH集，那就可以在該列找到“KNOWN”和“NOTEABLE”標(biāo)記。EnCase界面簡介列表視圖全路徑（Fullpath）：顯示文件在證據(jù)文件中的地址。短文件名（Shortname）：在8.3格式的DOS文件命名體系中，文件的名字。源路徑（OriginalPath）：顯示源于回收箱中被刪除文件的信息，指出被刪除文件最初來自何處。對(duì)于被分配（非刪除）文件，該列為空；對(duì)于回收箱中的文件，該列顯示它們被刪前來自何處；對(duì)于被刪除/覆蓋的文件，該列顯示被覆蓋后的文件名。EnCase界面簡介圖片集Gallery視圖Tom可通過選擇在右邊視圖欄上部的“Gallery”標(biāo)簽，使得右邊欄中顯示圖片集視圖如圖。圖片集視圖是一種瀏覽保存在主體介質(zhì)上所有圖片的快捷方法。調(diào)查人員可以通過圖片集視圖，訪問在突出顯示的文件夾、列或整個(gè)案件中所有的圖片，從而為某些類別的案件（如淫穢信息傳播案件等）的證據(jù)搜索提供方便。EnCase界面簡介圖片集Gallery視圖在圖片集中，調(diào)查人員可以標(biāo)記特定的圖片文件，從而在報(bào)告中顯示它們（右擊要標(biāo)記的圖片，在彈出框中選擇將選中的圖片加入書簽）。在初始案件分析時(shí)，圖片集視圖以文件擴(kuò)展名為基礎(chǔ)顯示文件。但是如果調(diào)查人員已經(jīng)進(jìn)行了文件特征分析，那么那些本身確實(shí)是圖片的文件，就會(huì)在圖片集視圖中顯示。例如若一個(gè)JPG文件被嫌疑人重命名為DLL文件，那么在載入原始證據(jù)的初始狀態(tài)，EnCase無法在圖片集視圖中顯示該文件，但是如果調(diào)查人員進(jìn)行了文件特征分析，那么一旦文件特征分析認(rèn)出該文件是圖片文件，僅僅是文件擴(kuò)展名被修改，那么圖片集視圖中就會(huì)出現(xiàn)該圖片文件的信息。EnCase界面簡介時(shí)間線Timeline視圖Tom可通過選擇在右邊視圖欄上部的“Timeline”標(biāo)簽，使得右邊欄中顯示時(shí)間線視圖如圖。時(shí)間線視圖的主要功能是查看文件創(chuàng)建、修改和最后訪問的時(shí)間，可以將時(shí)間視圖根據(jù)情況放大到逐秒時(shí)間線，也可縮小到逐月時(shí)間線。在時(shí)間線視圖上方有5個(gè)選擇框，可以通過它們快捷地過濾當(dāng)前想看的文件活動(dòng)：創(chuàng)建文件、修改文件、訪問文件和刪除文件等。EnCase界面簡介時(shí)間線Timeline視圖在時(shí)間線視圖里有5種不同顏色標(biāo)記的方塊：淺灰色方塊表示文件最近被訪問的日期/時(shí)間戳；中度灰色方塊表示文件最近被改寫的日期/時(shí)間戳；深灰色方塊表示文件被創(chuàng)建的日期/時(shí)間戳；藍(lán)色方塊表示文件的選擇框被選中；紅色方塊表示文件被突出顯示。EnCase界面簡介報(bào)告Report視圖Tom可通過選擇在右邊視圖欄上部的“Report”標(biāo)簽，使得右邊欄中顯示報(bào)告視圖如圖。報(bào)告視圖報(bào)告在左邊窗口中選擇的當(dāng)前文件夾/列的信息，例如日期和時(shí)間戳、文件權(quán)限等等。在書簽標(biāo)簽視圖中，報(bào)告視圖為調(diào)查員在調(diào)查中已標(biāo)記的所有證據(jù)提供文件管理。報(bào)告是對(duì)案件中所有書簽的自動(dòng)編輯。EnCase界面簡介子標(biāo)簽在EnCase界面的下方，是按照調(diào)查人員的要求，顯示某個(gè)特定文件、標(biāo)簽、磁盤或腳本等的相關(guān)參數(shù)和信息，在這個(gè)信息欄的上部存在著一系列方便人員操作和查看的子標(biāo)簽選項(xiàng)。EnCase界面簡介子標(biāo)簽“Lock”選擇框：用來在滾動(dòng)顯示文件時(shí)鎖定已選擇窗口。例如在滾動(dòng)顯示窗口右上角的文件時(shí)，要查看文件在磁盤上的物理地址，點(diǎn)擊磁盤視圖，選擇“Lock”框，再滾動(dòng)顯示文件。每個(gè)被選的文件都會(huì)顯示磁盤視圖，而不需回到文件的默認(rèn)視圖；“Text”子標(biāo)簽：以文本方式顯示查看上方右邊界面中當(dāng)前所選文件的內(nèi)容；“Hex”子標(biāo)簽：以十六進(jìn)制方式顯示查看上方右邊界面中當(dāng)前所選文件的內(nèi)容；EnCase界面簡介子標(biāo)簽“Picture”子標(biāo)簽：以圖形方式顯示查看上方右邊界面中當(dāng)前所選文件的內(nèi)容，如果文件不是圖形文件，那么圖片標(biāo)簽就會(huì)變灰。EnCase能顯示GIF、JPG、BMP和TIFF等常用的圖形文件，某些不常見的圖形類型文件則需用第三方瀏覽器來查看；“Disk”子標(biāo)簽：證據(jù)文件扇區(qū)的圖解。對(duì)表格視圖中被選的每個(gè)文件，磁盤標(biāo)簽都會(huì)顯示它在證據(jù)文件中的物理地址；“Report”子標(biāo)簽：用報(bào)告格式顯示當(dāng)前所選文件的屬性；EnCase界面簡介子標(biāo)簽“Filter”子標(biāo)簽：使調(diào)查員能夠快速方便地創(chuàng)建編輯過濾器。過濾器運(yùn)行時(shí)，列表視圖中將顯示適合過濾標(biāo)準(zhǔn)的文件；“Queries”混合過濾查詢標(biāo)簽：將綜合過濾器的功能，建立多條件查詢的過濾器，減少操作文件所需的時(shí)間；“Console”控制臺(tái)標(biāo)簽：顯示EnScripts在執(zhí)行時(shí)發(fā)送到控制臺(tái)標(biāo)簽的輸出結(jié)果。EnCase界面簡介物理扇區(qū)/簇信息在“Lock”框右邊的一行文字顯示了原始證據(jù)的物理扇區(qū)和簇信息。每次調(diào)查員點(diǎn)擊新數(shù)據(jù)（如在磁盤視圖里點(diǎn)擊扇區(qū)）時(shí)，該行顯示當(dāng)前所選扇區(qū)和簇的物理扇區(qū)/簇信息。其中PS：物理扇區(qū)；LS：邏輯扇區(qū)（PS數(shù)減去63）；CL：簇；SO：扇區(qū)偏移量。當(dāng)前所選扇區(qū)/簇所在位置的扇區(qū)內(nèi)的偏移量；FO：文件偏移量。當(dāng)前所選扇區(qū)/簇所在位置的當(dāng)前突出顯示文件內(nèi)的偏量；LE：長度。顯示當(dāng)前突出選定的字節(jié)數(shù)。利用EnCase調(diào)查案件的前期步驟在引導(dǎo)案例中，Tom利用EnCase創(chuàng)建了新案件，并將其獲取的原始證據(jù)磁盤鏡像加載到新案件中后，需要在具體取證調(diào)查前執(zhí)行一些前期的設(shè)置，并獲取證據(jù)存在磁盤的環(huán)境信息（初始化信息）。下面將描述EnCase在調(diào)查初始階段可使用的一些特性設(shè)置和操作。這些操作對(duì)于無論是響應(yīng)一個(gè)緊急事件、執(zhí)行一個(gè)電子恢復(fù)請(qǐng)求，還是對(duì)工作站進(jìn)行詳細(xì)審查，都將節(jié)省調(diào)查時(shí)間并有助于確保正確顯示屬于該案件的所有數(shù)據(jù)。利用EnCase調(diào)查案件的前期步驟時(shí)區(qū)設(shè)置同一個(gè)案件中介質(zhì)常常來自不同的時(shí)區(qū)，這就使得比較不同事件的時(shí)間變得很困難。EnCase允許調(diào)查員對(duì)案件中每個(gè)介質(zhì)塊單獨(dú)設(shè)置時(shí)區(qū)而不依賴于系統(tǒng)的時(shí)區(qū)設(shè)置。當(dāng)一個(gè)新時(shí)區(qū)被指派時(shí)，基于GMT的文件系統(tǒng)中的日期和時(shí)間（如NTFS）將相應(yīng)調(diào)整，而以本地時(shí)間保存日期和時(shí)間的文件系統(tǒng)（如FAT16和FAT32）則不會(huì)在指派新時(shí)區(qū)后顯示調(diào)整后的時(shí)間。在本地時(shí)間系統(tǒng)上設(shè)置時(shí)區(qū)在處理案件時(shí)非常重要，使EnCase知道該系統(tǒng)最初是在什么時(shí)區(qū)工作。利用EnCase調(diào)查案件的前期步驟時(shí)區(qū)設(shè)置修改某一介質(zhì)塊的時(shí)區(qū)設(shè)置時(shí)，右擊目標(biāo)介質(zhì)并在彈出的菜單中選擇修改時(shí)區(qū)設(shè)置（ModifyTimeZoneSettings…），從而出現(xiàn)時(shí)區(qū)調(diào)整對(duì)話框如圖利用EnCase調(diào)查案件的前期步驟時(shí)區(qū)設(shè)置時(shí)區(qū)設(shè)置可以通過改變右邊的選項(xiàng)來進(jìn)一步定制。如果調(diào)查員選擇不對(duì)任何介質(zhì)指定時(shí)區(qū)設(shè)置，EnCase將默認(rèn)選擇來自進(jìn)行調(diào)查的計(jì)算機(jī)上當(dāng)前Windows注冊(cè)表設(shè)置的日期和時(shí)間戳。如果調(diào)查員有意對(duì)多個(gè)機(jī)器上交叉發(fā)生的活動(dòng)時(shí)間進(jìn)行比較，EnCase還提供使用戶顯示同一個(gè)案件中相關(guān)的所有日期的功能。這樣的功能需要修改案件級(jí)的時(shí)區(qū)設(shè)置，即右擊目標(biāo)案件，在彈出的菜單中選擇修改時(shí)間設(shè)置，缺省狀態(tài)是，“convertalldatestocorrespondtoonetimezone”選項(xiàng)框未被選擇。選擇該選項(xiàng)及需要應(yīng)用的時(shí)區(qū)，可將時(shí)間調(diào)整到一個(gè)標(biāo)準(zhǔn)時(shí)差。利用EnCase調(diào)查案件的前期步驟恢復(fù)文件夾在原始證據(jù)鏡像的驅(qū)動(dòng)器上進(jìn)行任何進(jìn)一步的深入分析之前，調(diào)查人員應(yīng)當(dāng)首先進(jìn)行文件恢復(fù)操作。恢復(fù)文件夾命令只在證據(jù)文件卷被選擇時(shí)才可用。調(diào)查人員可以右CASES標(biāo)簽，選擇RECOVERFOLDERS命令，執(zhí)行完成后一個(gè)標(biāo)注為“已恢復(fù)文件夾”（FAT系列）或“LostFiles”（NTFS、UFS及EXT分區(qū)）的灰色文件夾會(huì)出現(xiàn)在“Case”視圖中。利用EnCase調(diào)查案件的前期步驟恢復(fù)文件夾對(duì)于FAT系列分區(qū)，其每個(gè)文件夾/目錄都有“.和..”入口，這些目錄告訴文件系統(tǒng)它自身和其父目錄的目錄入口在哪里。EnCase搜索未分配的簇、查找這些特征并恢復(fù)那些被刪除的文件夾，而這些文件夾的目錄入口已被父目錄覆蓋，但目錄中的內(nèi)容尚未被覆蓋。由于被刪除文件夾的名字在源目錄中已被重寫，EnCase無法恢復(fù)，但會(huì)恢復(fù)這些文件夾中的所有內(nèi)容（文件及子文件夾）。這是一個(gè)非常重要的命令，特別是在被格式化的驅(qū)動(dòng)器上。該命令能夠快速方便地恢復(fù)一個(gè)被格式化驅(qū)動(dòng)器上的大部分信息。利用EnCase調(diào)查案件的前期步驟恢復(fù)文件夾對(duì)于NTFS、UFS及EXT分區(qū)上那些被刪除的沒有父目錄的文件和文件夾，EnCase采用與FAT系列不同的方式恢復(fù)。在NTFS的主文件表（MFT）中，文件夾中文件注明屬于一個(gè)“父”文件夾，而其中的文件則是那個(gè)文件夾的“子”。如果一個(gè)用戶先刪除了這些文件，接著刪除了文件夾，再創(chuàng)建一個(gè)新文件夾，最初的那個(gè)被刪除的文件夾就會(huì)丟失。MFT中新的文件夾入口覆蓋了被刪除文件夾的入口。MFT中最初的“父”文件夾及其入口就被覆蓋并丟失，而“子”并沒有被覆蓋且入口也仍然在MFT中。EnCase解析MFT并發(fā)現(xiàn)那些仍然在列的文件，只是沒有了父目錄。所有這些文件被恢復(fù)存放到灰色的“LostFiles”文件夾。在UFS和EXT文件系統(tǒng)中，處理方式類似。利用EnCase調(diào)查案件的前期步驟初始化案件在新建案件之后，EnCase提供一個(gè)有很有實(shí)用價(jià)值的EnScript腳本——InitializeCaseEnScript（初始化案件腳本）。初始化案件腳本自動(dòng)操作大量常規(guī)費(fèi)時(shí)的任務(wù)，能夠?yàn)檎{(diào)查員節(jié)約不少調(diào)查時(shí)間。初始化案件腳本檢查并報(bào)告：文件完整性、驅(qū)動(dòng)器結(jié)構(gòu)、分區(qū)、卷信息、Windows版本和注冊(cè)表信息、Windows時(shí)區(qū)設(shè)置和當(dāng)前活動(dòng)時(shí)差、Windows網(wǎng)絡(luò)設(shè)置、Windows最后一次關(guān)機(jī)時(shí)間、Window用戶、安裝的軟件、安裝的硬件、doc和html以及txt文件、映射驅(qū)動(dòng)器信息等。利用EnCase調(diào)查案件的前期步驟初始化案件在本章案例中，Tom在腳本Scripts標(biāo)簽視圖中的“Examples”目錄中找到“InitializeCase(v4)”，雙擊該腳本后在工具欄中出現(xiàn)“Run”圖標(biāo)，點(diǎn)擊該圖標(biāo)，開始運(yùn)行初始化腳本，如圖利用EnCase調(diào)查案件的前期步驟初始化案件在隨后出現(xiàn)的一系列調(diào)查者信息和初始化設(shè)置信息的對(duì)話框中填入合適的信息后，該腳本開始運(yùn)行。運(yùn)行完成后在書簽Bookmarks標(biāo)簽視圖中，出現(xiàn)相應(yīng)的分析結(jié)果報(bào)告標(biāo)簽，對(duì)初始化案件的分析結(jié)果進(jìn)行報(bào)告。如圖利用EnCase調(diào)查案件的前期步驟文件特征分析文件擴(kuò)展名是在文件名中位于“.”后的3到4位字符。它們顯示文件代表的數(shù)據(jù)類型。如果一個(gè)文件擴(kuò)展名是.TXT，就認(rèn)為數(shù)據(jù)類型是“文本”。在Windows里就是利用文件擴(kuò)展名將文件類型與相關(guān)的應(yīng)用關(guān)聯(lián)起來。被調(diào)查者將文件的真實(shí)本質(zhì)隱藏起來的一種策略就是人為修改文件的擴(kuò)展名。如將一個(gè)JPEG文件修改為“.dll”擴(kuò)展名，大多數(shù)的程序就無法識(shí)別出它是一個(gè)圖片文件。因此對(duì)于調(diào)查者，將每個(gè)文件特征與其擴(kuò)展名進(jìn)行比較，鑒別出那些被故意更改了擴(kuò)展名的文件是必要的。這種功能在EnCase中就是文件特征分析。利用EnCase調(diào)查案件的前期步驟文件特征分析特征分析是搜索功能的一部分。點(diǎn)擊工具欄上的“Search”按鈕就可彈出搜索框，如圖利用EnCase調(diào)查案件的前期步驟文件特征分析在對(duì)話框里僅選擇“Verifyfilesignature”（驗(yàn)證文件特征）選項(xiàng)。點(diǎn)擊“START”，特征分析就會(huì)在后臺(tái)運(yùn)行直至完成。利用EnCase調(diào)查案件的前期步驟文件特征分析要查看特征分析的結(jié)果，可在左邊選擇“Cases”標(biāo)簽，并全選案件所有文件，右邊選擇“Table”視圖。將表格視圖中的列按照“Name”、“FileExt”和“Signature”列依次排列顯示并按照第一級(jí)：特征；第二級(jí)：文件擴(kuò)展名；第三級(jí)：文件名進(jìn)行排序（用“SHIFT”+雙擊增加排序級(jí)別），如圖利用EnCase調(diào)查案件的前期步驟文件特征分析在文件特征列可以觀察文件特征分析的結(jié)果，其特定表示如下：!BadSignature：在文件特征表中有列出該文件擴(kuò)展名，但是案件中發(fā)現(xiàn)的文件的特征不符，且該文件特征也沒有和已知的任何文件特征相匹配。這表明該文件頭毀壞或者是發(fā)現(xiàn)了一種未知的文件格式，需要加入文件特征表。利用EnCase調(diào)查案件的前期步驟文件特征分析在文件特征列可以觀察文件特征分析的結(jié)果，其特定表示如下：*[Alias]：該文件的頭存在于文件特征表中，但該文件的擴(kuò)展名與文件特征表中對(duì)應(yīng)的擴(kuò)展名不符。這表明這是一個(gè)擴(kuò)展名被重命名的文件。Match：文件頭與擴(kuò)展名匹配。如果擴(kuò)展名在文件特征表中沒有頭，只要該文件的頭沒有與文件特征表中的任何頭對(duì)應(yīng)，EnCase也會(huì)返回一個(gè)Match的標(biāo)志。Unknown：文件特征表中對(duì)該類文件（文件特征/擴(kuò)展名）沒有定義。文件操作計(jì)算機(jī)取證調(diào)查人員在將原始證據(jù)（計(jì)算機(jī)磁盤）鏡像加載到新創(chuàng)建的案例中并進(jìn)行初始化設(shè)置和文件特征分析之后，就需要深入分析鏡像中的各種文件信息，這時(shí)就需要針對(duì)感興趣的文件和信息進(jìn)行各種操作。文件操作復(fù)制/反刪除文件/書簽/文件夾EnCase具有逐字節(jié)地恢復(fù)和反刪除文件的特性。EnCase里許多操作需要選擇一列文件。選擇單個(gè)或數(shù)個(gè)文件時(shí)可以將Table視圖里文件序號(hào)左邊的選擇框打鉤。如果需要選擇或取消某個(gè)目錄\磁盤\案件中的全部文件和目錄，就在左邊目錄樹的相應(yīng)位置將選擇框打鉤即可。復(fù)制/反刪除一組文件，首先選擇需要的文件，然后右擊選中文件，從彈出的菜單中選擇“COPY/UNERASE”。選擇需要的選項(xiàng)并點(diǎn)擊“下一步”，從被選中的文件中選出要復(fù)制的部分如圖文件操作復(fù)制/反刪除文件/書簽/文件夾LogicalFileOnly：僅邏輯文件，指示EnCase僅復(fù)制文件邏輯部分。文件碎片不會(huì)被復(fù)制；文件操作復(fù)制/反刪除文件/書簽/文件夾EntirePhysicalFile：全部物理文件，指示EnCase復(fù)制整個(gè)文件，也就將邏輯文件和文件碎片都復(fù)制；文件操作復(fù)制/反刪除文件/書簽/文件夾RAM&DiskSlack：RAM和磁盤碎片，磁盤碎片是在一個(gè)邏輯文件尾和它所在簇之間的磁盤可用空間。這個(gè)空間經(jīng)常包含的信息由曾經(jīng)存在于該簇的文件殘余組成；文件操作復(fù)制/反刪除文件/書簽/文件夾僅RAM碎片：RAM碎片，更準(zhǔn)確地說是“扇區(qū)碎片”，是在邏輯區(qū)域和“文件碎片”之間的緩沖。文件操作復(fù)制/反刪除文件/書簽/文件夾當(dāng)設(shè)置好需要復(fù)制的內(nèi)容后，點(diǎn)擊“下一步”在彈出的對(duì)話框中選擇文件復(fù)制的目標(biāo)路徑。如果許多文件被合在一起成為一個(gè)單獨(dú)的新文件，目標(biāo)就會(huì)是一個(gè)文件路徑。如果文件被逐個(gè)復(fù)制，目標(biāo)路徑將是一個(gè)文件夾。在這個(gè)對(duì)話框中可以指定在復(fù)制/反刪除文件時(shí)，將需要復(fù)制的文件分解成若干部分。利用這個(gè)功能可以將想復(fù)制/反刪除整個(gè)未分配簇的文件分成640MB的“塊”，從而可以刻錄成光盤保存。當(dāng)復(fù)制/反刪除一個(gè)被刪除文件時(shí)，EnCase在可能或必要時(shí)會(huì)自動(dòng)恢復(fù)被刪除的文件，然后進(jìn)行和正常文件同樣的處理。文件操作復(fù)制/反刪除文件/書簽/文件夾利用和復(fù)制文件相似的方式可以復(fù)制書簽，其步驟如下。在書簽?zāi)夸洏渲羞x中需要復(fù)制的書簽；右擊Table視圖中的任意區(qū)域，選擇標(biāo)記選擇的文件“TAGSELECTEDFILES”命令；切換至案件Cases標(biāo)簽視圖，此時(shí)可以發(fā)現(xiàn)與所選書簽相關(guān)的所有文件均已被選中；右擊其中一個(gè)被選中文件，選擇“COPY/UNERASE”選項(xiàng)，隨后進(jìn)行與復(fù)制文件相似的操作。文件操作復(fù)制/反刪除文件/書簽/文件夾要將整個(gè)文件夾復(fù)制到本地驅(qū)動(dòng)器，可以在案件Cases標(biāo)簽視圖中選擇要復(fù)制的文件夾，并在右鍵菜單中選擇“COPYFOLDERS”命令。執(zhí)行該命令后，所選證據(jù)文件的全部內(nèi)容都會(huì)被復(fù)制到存儲(chǔ)硬盤驅(qū)動(dòng)器上。文件操作在EnCase外部查看文件EnCase本身支持多數(shù)通用文件的查看，但是在調(diào)查過程中仍然存在不少文件是EnCase不支持的，這個(gè)時(shí)候就需要借助于外部的第三方工具來查看文件，調(diào)查人員可以在EnCase里建立一個(gè)文件查看器以便其可將文件鏈接到正確的應(yīng)用程序，具體操作如下：在文件查看器FileViews標(biāo)簽視圖中的右鍵菜單中選擇“NEW”命令；在彈出對(duì)話框中，填入特定信息：第三方工具的名稱、路徑，以及執(zhí)行時(shí)需要的命令行（通常可以不填），再點(diǎn)擊“OK”確認(rèn)即可。文件操作在EnCase外部查看文件EnCase默認(rèn)已將許多文件擴(kuò)展名匹配到可正確訪問文件的應(yīng)用程序。但在調(diào)查中始終會(huì)出現(xiàn)一些新的擴(kuò)展名，或者需要新方式來訪問的一類擴(kuò)展名的文件。這中情況下，調(diào)查人員可以在文件類型標(biāo)簽欄添加文件擴(kuò)展名并匹配到正確的查看工具，具體操作如下：在文件類型FileTypes標(biāo)簽視圖中的右鍵菜單中選擇“NEW”命令；在彈出對(duì)話框中，鍵入要求的信息：工具描述、關(guān)聯(lián)的擴(kuò)展名，選擇用來打開這類擴(kuò)展名文件的工具，再點(diǎn)擊“OK”確認(rèn)即可。文件操作有關(guān)文件操作的疑問為什么有些被刪除的文件第一個(gè)字母是“？”，而有的文件沒有？如果一個(gè)文件有一個(gè)長文件名（任何非大寫字母8.3規(guī)則的名字），DOS對(duì)該文件存儲(chǔ)兩套條目。一套包含等同的短8.3名字（通常在結(jié)尾會(huì)有一個(gè)“~”），另一套包含的是長名字。文件被刪除時(shí)，8.3名的第一個(gè)字符被替換成一個(gè)十六進(jìn)制的E5（設(shè)置“？”是為了使其可讀），但長名的第一個(gè)字符則被保存。如果長名的第一個(gè)字符存在，EnCase就會(huì)用其來替換短名條目中的“？”。文件操作有關(guān)文件操作的疑問當(dāng)調(diào)查人員復(fù)制了一個(gè)完整的文件夾時(shí)，這個(gè)文件夾中被刪除的文件也一同被復(fù)制嗎？答案是肯定的。如果不需要復(fù)制已經(jīng)被刪除的文件（通常都是需要復(fù)制的），調(diào)查人員可通過選擇整個(gè)文件夾，然后取消選擇不需復(fù)制的文件，再在文件夾復(fù)制對(duì)話框中選定“僅復(fù)制被選文件”。文件操作有關(guān)文件操作的疑問EnCase可以完全恢復(fù)一個(gè)被刪除文件嗎？不一定。被刪除的文件可能不能被徹底恢復(fù)或只能恢復(fù)其中的部分。有可能一個(gè)被刪除的文件剩下的只有目錄條目。有時(shí)一些數(shù)據(jù)可以被恢復(fù)，但并非是文件的原始內(nèi)容。文件操作有關(guān)文件操作的疑問調(diào)查中怎樣選擇一個(gè)案例中的所有文件？在Cases標(biāo)簽中，選定任意文件夾就選定了其中的所有文件和文件夾。要選定Case中所有的文件和文件夾，只要選定樹形頂端的“Case”。再次點(diǎn)選它將取消所有選擇。要選定表格視圖中一個(gè)域的項(xiàng)，選定第一項(xiàng)，按住“SHIFT”鍵不放并選定最后一項(xiàng)即可。選定一個(gè)文件夾中的多個(gè)文件但不是所有文件，在選定每個(gè)文件的同時(shí)，按下“CTRL”鍵。關(guān)鍵詞搜索計(jì)算機(jī)取證調(diào)查人員在對(duì)原始證據(jù)進(jìn)行分析時(shí)，為了在海量的數(shù)據(jù)信息中尋找與案件有關(guān)的信息和證據(jù)，就需要進(jìn)行關(guān)鍵詞搜索，而對(duì)搜索關(guān)鍵詞的設(shè)置和應(yīng)用，決定了調(diào)查是否高效和全面。EnCase的搜索功能可以定位當(dāng)前打開案件中的物理或邏輯介質(zhì)上任何地方的信息。關(guān)鍵詞被整體保存在EnCase目錄里的一個(gè)初始化文件中。EnCase能在每個(gè)介質(zhì)里從頭到尾逐字節(jié)地搜索每個(gè)關(guān)鍵詞條件，并針對(duì)該條件搜索每個(gè)邏輯文件。關(guān)鍵詞搜索設(shè)置是在關(guān)鍵詞Keywords標(biāo)簽視圖中進(jìn)行的。關(guān)鍵詞搜索關(guān)鍵詞可以對(duì)系統(tǒng)中的所有案件進(jìn)行訪問。調(diào)查人員通常將常用的關(guān)鍵詞進(jìn)行正確地分組，以便在需要的時(shí)候方便地定位，并且在需要的時(shí)候在關(guān)鍵詞Keywords標(biāo)簽視圖中針對(duì)這些分組文件夾進(jìn)行操作。要?jiǎng)?chuàng)建一個(gè)群組，可以右擊文件夾要?jiǎng)?chuàng)建的位置，選擇“NEWFOLDER”。雙擊該文件夾即可給其指定的名字。關(guān)鍵詞搜索維護(hù)關(guān)鍵詞在關(guān)鍵詞標(biāo)簽視圖中，鼠標(biāo)右擊準(zhǔn)備添加關(guān)鍵詞的關(guān)鍵詞文件夾并從彈出的右鍵菜單中選擇“NEW”即出現(xiàn)新建關(guān)鍵詞對(duì)話框，如圖關(guān)鍵詞搜索維護(hù)關(guān)鍵詞在新建關(guān)鍵詞對(duì)話框中的搜索表達(dá)式“Searchexpression”欄中輸入需要搜索的關(guān)鍵詞，并在“Name”欄中為本搜索取一個(gè)名字，并在下面的搜索方式選項(xiàng)中進(jìn)行相應(yīng)的選擇，后點(diǎn)擊“確定”即可。關(guān)鍵詞搜索維護(hù)關(guān)鍵詞新建關(guān)鍵詞對(duì)話框中的選擇項(xiàng)如下Casesensitive：按照“Searchexpression”欄中指定的大小寫進(jìn)行關(guān)鍵詞搜索；關(guān)鍵詞搜索維護(hù)關(guān)鍵詞新建關(guān)鍵詞對(duì)話框中的選擇項(xiàng)如下GREP：關(guān)鍵詞使用正則表達(dá)式的方式搜索；關(guān)鍵詞搜索維護(hù)關(guān)鍵詞新建關(guān)鍵詞對(duì)話框中的選擇項(xiàng)如下RTLReading：按照從右到左的順序搜索關(guān)鍵詞。例如若鍵入關(guān)鍵詞“Arabickeyword”并指定該關(guān)鍵詞為RTLreading，EnCase就顯示該表達(dá)式的結(jié)果為“drowyekcibarA”；ActiveCode：采用多種語言輸入關(guān)鍵詞?！癆ctiveCode”選項(xiàng)必須選擇以特定的語言輸入關(guān)鍵詞。而默認(rèn)的編碼頁為“LatinI”，即針對(duì)英語字符；關(guān)鍵詞搜索維護(hù)關(guān)鍵詞新建關(guān)鍵詞對(duì)話框中的選擇項(xiàng)如下Unicode：僅用Unicode的方式搜索關(guān)鍵詞。Unicode是一個(gè)許多通用的軟件應(yīng)用程序和操作系統(tǒng)都支持的字符集。在多語言的辦公或商業(yè)設(shè)備中，Unicode作為通用字符集的重要性是不容忽視的；Big-EndianUnicode：非Intel的PC數(shù)據(jù)格式化配置。與LittleEndian相反，該配置中操作系統(tǒng)先用最重要的數(shù)字定位數(shù)據(jù)；關(guān)鍵詞搜索維護(hù)關(guān)鍵詞新建關(guān)鍵詞對(duì)話框中的選擇項(xiàng)如下UTF-8：采用UTF-8的方式搜索。為了滿足面向字節(jié)和基于ASCII碼系統(tǒng)，UTF-8已經(jīng)被UnicodeStandard定義。UTF-8中每個(gè)字符都被顯示為一個(gè)等于4個(gè)字節(jié)的序列，其中第一個(gè)字節(jié)表示字節(jié)的數(shù)，依次往后是一個(gè)多字節(jié)的序列，這是考慮到有效的行解析。UTF-8在通過Internet協(xié)議的數(shù)據(jù)傳輸中和Web內(nèi)容中被普遍使用；UTF-7：采用UTF-7的方式搜索。UTF-7是一種過時(shí)的編碼方式，通常在搜索時(shí)間久遠(yuǎn)的內(nèi)容時(shí)才會(huì)用到。關(guān)鍵詞搜索維護(hù)關(guān)鍵詞EnCase可以使用非英語語言定義和搜索關(guān)鍵詞，并且關(guān)鍵詞搜索的結(jié)果也可以需要的語言顯示。這樣的功能需要在新建關(guān)鍵詞對(duì)話框中的“CodePage”標(biāo)簽頁進(jìn)行相應(yīng)的選擇，如圖關(guān)鍵詞搜索維護(hù)關(guān)鍵詞在EnCase中，可以通過導(dǎo)出和導(dǎo)入關(guān)鍵詞的功能，與其他調(diào)查員共享關(guān)鍵詞列表，也可以向另一個(gè)案例文件導(dǎo)出或從中導(dǎo)入關(guān)鍵詞。完成導(dǎo)出和導(dǎo)入功能可以在關(guān)鍵詞標(biāo)簽頁的右鍵菜單中選擇“EXPORT”或“IMPORT”。關(guān)鍵詞導(dǎo)出時(shí)是以文本文件的格式輸出，并且可以和編碼信息一同輸出。關(guān)鍵詞導(dǎo)入時(shí)以文本文件（TXT）形式導(dǎo)入。關(guān)鍵詞搜索維護(hù)關(guān)鍵詞在案例調(diào)查時(shí)也可以采用添加關(guān)鍵詞列表的方式來導(dǎo)入多個(gè)關(guān)鍵詞，添加關(guān)鍵詞列表對(duì)話框可以在關(guān)鍵詞標(biāo)簽頁的右鍵菜單中選擇“ADDKEYWORDLIST”來打開。當(dāng)案例調(diào)查是有較多關(guān)鍵詞需要搜索時(shí)，調(diào)查人員可以按關(guān)鍵詞的屬性或搜索目的等性質(zhì)進(jìn)行分類和組織。也即可以通過創(chuàng)建關(guān)鍵詞文件夾（右鍵菜單中選擇“NEWFOLDER”）的方式來分類相似屬性的關(guān)鍵詞。對(duì)于關(guān)鍵詞的移動(dòng)可以采用拖曳等方式。關(guān)鍵詞搜索使用關(guān)鍵詞搜索由于調(diào)查一個(gè)案件時(shí)加載的原始證據(jù)信息數(shù)據(jù)極多，即使僅僅針對(duì)一個(gè)硬盤鏡像進(jìn)行搜索，也將面對(duì)海量的數(shù)據(jù)，為了提高案件調(diào)查取證的效率，調(diào)查人員在使用關(guān)鍵詞開始搜索之前需要考慮搜索的范圍，決定是否搜索整個(gè)Case、整個(gè)驅(qū)動(dòng)器或僅僅搜索單文件夾等。例如當(dāng)需要搜索可能在未分配空間的一個(gè)文件頭信息時(shí)，就應(yīng)當(dāng)只選中對(duì)該未分配空間（而不是整個(gè)案件）進(jìn)行搜索。進(jìn)行搜索時(shí)，調(diào)查人員可以點(diǎn)擊工具欄的“SEARCH”按鈕打開搜索對(duì)話框，如圖關(guān)鍵詞搜索使用關(guān)鍵詞搜索在執(zhí)行一次搜索時(shí)，可以根據(jù)幾個(gè)不同的選項(xiàng)進(jìn)行選擇。搜索進(jìn)行中，每個(gè)選項(xiàng)可能生成截然不同的結(jié)果。關(guān)鍵詞搜索使用關(guān)鍵詞搜索SelectedFilesOnly：僅搜索被選擇的文件（被“藍(lán)色標(biāo)記選中”的文件），選項(xiàng)下的指示框顯示當(dāng)前被選中的文件數(shù)；關(guān)鍵詞搜索使用關(guān)鍵詞搜索Searcheachfileforkeywords：在每個(gè)文件中搜索關(guān)鍵詞，如果該選項(xiàng)框沒有選中，即禁用關(guān)鍵詞搜索，而是運(yùn)行文件特征分析或HASH分析；關(guān)鍵詞搜索使用關(guān)鍵詞搜索Verifyfilesignatures：校驗(yàn)文件簽名，即依次對(duì)所有文件或被選文件進(jìn)行文件特征分析。關(guān)鍵詞搜索使用關(guān)鍵詞搜索Computehashvalue：計(jì)算HASH，即對(duì)被選文件進(jìn)行HASH分析；關(guān)鍵詞搜索使用關(guān)鍵詞搜索Searchfileslack：搜索文件閑置空間，即搜索存在于邏輯文件尾與各自的物理文件尾之間的閑置空間；SearchonlyslackareaoffilesinHashLibrary：僅搜索HASH文件庫中已知文件的碎片區(qū)域；關(guān)鍵詞搜索使用關(guān)鍵詞搜索Selectedkeywordsonly：僅搜索被選中的關(guān)鍵詞。關(guān)鍵詞搜索使用關(guān)鍵詞搜索當(dāng)調(diào)查人員確定了搜索選項(xiàng)后，點(diǎn)擊“START”按鈕即開始搜索，搜索過程通常較為漫長，當(dāng)搜索完成后EnCase會(huì)彈出一個(gè)彈出框，對(duì)本次搜索情況進(jìn)行簡介。當(dāng)搜索完成后，調(diào)查人員可以在搜索命中標(biāo)簽視圖中查看搜索結(jié)果。每個(gè)關(guān)鍵詞都在搜索命中標(biāo)簽下創(chuàng)建一個(gè)同名文件夾。關(guān)鍵詞結(jié)果將被放在與之對(duì)應(yīng)的文件夾中，如圖關(guān)鍵詞搜索使用關(guān)鍵詞搜索關(guān)鍵詞搜索的結(jié)果默認(rèn)是未標(biāo)記的，如果調(diào)查人員認(rèn)為搜索結(jié)果中某些文件有價(jià)值，可以標(biāo)記這些查詢結(jié)果，突出顯示相關(guān)子標(biāo)簽中所要的數(shù)據(jù)并創(chuàng)建一個(gè)“HighlightedData”書簽。要取消一次關(guān)鍵詞搜索，可以通過雙擊EnCase界面右下角的藍(lán)色狀態(tài)條。書簽的使用計(jì)算機(jī)取證調(diào)查人員在對(duì)原始證據(jù)進(jìn)行分析時(shí)，通常會(huì)選中并保存其感興趣的文件夾、文件或文件的一部分以便于進(jìn)一步分析、參考和證據(jù)提取。在EnCase中，通過書簽功能來完成這樣的標(biāo)記。在案件取證和分析中任何存在數(shù)據(jù)和文件夾的地方都可以做書簽。所有的書簽都保存在書簽文件中，對(duì)于每個(gè)案件都有自身的書簽文件。通過書簽標(biāo)簽視圖，取證調(diào)查人員可以方便地查看書簽。在EnCase中共有四種書簽：書簽的使用在EnCase中共有四種書簽：HighlightedDataBookmark：選中的數(shù)據(jù)書簽，通過在一個(gè)標(biāo)簽視圖的窗口中選中數(shù)據(jù)而創(chuàng)建。這是調(diào)查人員可完全定制的書簽。選中數(shù)據(jù)的書簽，也稱為數(shù)據(jù)片書簽（sweepingbookmark）或文本段書簽（textfragmentbookmark），可用來顯示一大片的文本。這種書簽通過在下面的窗體中點(diǎn)選并拖動(dòng)鼠標(biāo)選中文本或十六進(jìn)制數(shù)據(jù)來創(chuàng)建。要選擇一片數(shù)據(jù)，在第一個(gè)字符上點(diǎn)擊鼠標(biāo)左鍵并按住，拖動(dòng)鼠標(biāo)至數(shù)據(jù)末端使其高亮選中。通過在選中區(qū)域點(diǎn)擊鼠標(biāo)右鍵然后從右鍵菜單中選擇“BOOKMARKDATA”來完成書簽，如圖書簽的使用在EnCase中共有四種書簽：NotesBookmark：注釋書簽，用于允許用戶在報(bào)告中加入額外注釋，不屬于證據(jù)書簽。注釋書簽給調(diào)查者在報(bào)告中添加注釋的時(shí)候提供了靈活性。這種書簽有一個(gè)僅保留用于注釋文本的區(qū)域，可支持一千個(gè)字符。當(dāng)調(diào)查人員需要添加注釋時(shí)，在左邊的窗體中，于需添加注釋的文件夾上點(diǎn)擊右鍵，然后從右鍵菜單中選擇添加注釋“ADDNOTE…”，在彈出的“NewNote”窗口中，輸入需在注釋中添加的文本并應(yīng)用格式選項(xiàng)，選中“SHOWINREPORT”選項(xiàng)框使注釋能夠出現(xiàn)在報(bào)告視圖中。注釋書簽可被復(fù)制并置于調(diào)查報(bào)告的任何地方。書簽的使用在EnCase中共有四種書簽：FolderInformationBookmark：文件夾信息書簽，用于對(duì)文件夾的樹目錄結(jié)構(gòu)或者特定介質(zhì)的設(shè)備信息制作的書簽。這種書簽選項(xiàng)常常包含有設(shè)備信息。文件夾信息書簽用于標(biāo)記文件夾結(jié)構(gòu)或者設(shè)備。通過對(duì)文件夾結(jié)構(gòu)做書簽，文件夾的整個(gè)目錄結(jié)構(gòu)就可顯示在報(bào)告中或用于以后分析中。獨(dú)立設(shè)備、卷和物理磁盤也可以做書簽以便在最終報(bào)告中顯示重要的設(shè)備細(xì)節(jié)信息。書簽的使用在EnCase中共有四種書簽：FolderInformationBookmark：文件夾信息書簽，用于對(duì)文件夾的樹目錄結(jié)構(gòu)或者特定介質(zhì)的設(shè)備信息制作的書簽。這種書簽選項(xiàng)常常包含有設(shè)備信息。文件夾信息書簽在標(biāo)記包含未授權(quán)文檔，圖片和應(yīng)用軟件的目錄時(shí)很有用。同樣也是顯示案件中介質(zhì)類型詳細(xì)信息的常用方法。當(dāng)調(diào)查人員要對(duì)一個(gè)文件夾做書簽時(shí)，在案件標(biāo)簽視圖中的文件夾上點(diǎn)擊右鍵，并從右鍵菜單中選擇“BOOKMARKFOLDERSTRUCTURE”，如圖書簽的使用在EnCase中共有四種書簽：FolderInformationBookmark：文件夾信息書簽，用于對(duì)文件夾的樹目錄結(jié)構(gòu)或者特定介質(zhì)的設(shè)備信息制作的書簽。這種書簽選項(xiàng)常常包含有設(shè)備信息。在彈出的“AddFolderBookmark”窗口中，選擇“INCLUDEDEVICEINFORMATION”選項(xiàng)，即可在報(bào)告中顯示文件夾所在卷的詳細(xì)信息。“COLUMNS”欄將把目錄結(jié)構(gòu)分成指定的列數(shù)。并在右邊目的文件夾欄中選擇將書簽置于最終報(bào)告的什么地方，點(diǎn)擊“OK”即可創(chuàng)建該書簽。書簽的使用在EnCase中共有四種書簽：FileGroupBookmark：文件組書簽，這種書簽針對(duì)一組所選文件（或一個(gè)特定文件）進(jìn)行關(guān)注。文件組書簽可以關(guān)注一組文件，也可以關(guān)注單個(gè)特定文件。這種書簽用來把包含當(dāng)前案件中重要信息的組與組內(nèi)其它文件都相關(guān)的文件區(qū)別開來。該書簽對(duì)一組文件本身進(jìn)行關(guān)注，而不是針對(duì)文件的內(nèi)容制作書簽，這樣關(guān)于該組文件的詳細(xì)信息就可以在報(bào)告中顯示。當(dāng)調(diào)查人員需要對(duì)一組文件添加書簽時(shí)，選中案件標(biāo)簽視圖中的一組特定文件，然后在右鍵菜單中選擇“BOOKMARKFILES”（對(duì)選中文件加書簽），如圖。在彈出的窗口中，可選擇存儲(chǔ)到現(xiàn)有書簽文件夾或新建書簽文件夾中，且指定存儲(chǔ)文件組的位置。書簽的使用通常隨著調(diào)查的深入進(jìn)行，會(huì)在書簽標(biāo)簽視圖中，產(chǎn)生多個(gè)由地調(diào)查人員制作的不同書簽如圖，且這些書簽均可在報(bào)告中進(jìn)行顯示。提交報(bào)告取證調(diào)查的最后階段是將調(diào)查所得制作成報(bào)告，并以可理解的易讀格式組織和提交。EnCase具有幫助調(diào)查員以有組織的方式對(duì)調(diào)查所得制作書簽和進(jìn)行輸出的功能，并且可以將最終的調(diào)查報(bào)告在調(diào)查完成后立即生成。提交報(bào)告EnCase主要提供了兩種生成最終報(bào)告的方式。一種是利用字處理程序的格式將最終報(bào)告分類成一系列的子報(bào)告，并以一個(gè)摘要報(bào)告文檔總覽報(bào)告的內(nèi)容；另一種則有助于調(diào)查員創(chuàng)建可以燒錄到光盤的無紙報(bào)告，這種形式使用了子報(bào)告和支持文檔并以HTML超鏈接形式形成總覽概要。提交報(bào)告在書簽Bookmarks標(biāo)簽視圖中，在左邊窗體中可以選擇將最終報(bào)告所需的各種書簽文件夾和書簽采用拖拽的方式進(jìn)行整理，在需要在報(bào)告中輸出的“Bookmark”文件夾上的右鍵菜單選擇“EDIT”。可以彈出書簽文件夾編輯對(duì)話框，在這個(gè)對(duì)話框中，調(diào)查人員可以利用“Comment”欄，在報(bào)告中插入注釋。該對(duì)話框還有一個(gè)重要的功能就是定制報(bào)告的格式。在下方的“Fields”欄中通過雙擊一個(gè)項(xiàng)目可將其移動(dòng)到“Format”欄中。這樣就會(huì)在報(bào)告中顯示這些屬性，如圖。如果調(diào)查者沒有對(duì)一個(gè)書簽文件夾設(shè)置屬性，那么這個(gè)文件夾將會(huì)繼承其父文件夾的屬性設(shè)置。提交報(bào)告在對(duì)報(bào)告格式等進(jìn)行設(shè)置后，可以在報(bào)告視圖中點(diǎn)擊右鍵，并在菜單中選擇“EXPORT”來輸出報(bào)告。報(bào)告的輸出可以采用“Document”和“WebPage”兩種形式，如圖提交報(bào)告Document：采用RTF文本格式，如果報(bào)告以RTF文本格式文件輸出，文件就可以很容易的被如MicrosoftWord之類的字處理程序編輯。對(duì)那些可能需要自定義報(bào)告的調(diào)查員來說，這一格式是很好的選擇。而通常，為了滿足相應(yīng)的地區(qū)對(duì)報(bào)告格式的要求，調(diào)查人員都要對(duì)輸出的報(bào)告進(jìn)行一些編輯。WebPage：采用超文本標(biāo)記語言HTML格式，如果報(bào)告以HTML格式的文件輸出，可以創(chuàng)建快捷和簡便導(dǎo)航整個(gè)報(bào)告的超鏈接，其局限性是在所見即所得環(huán)境中編輯此類報(bào)告時(shí)，需要HTML編輯程序。提交報(bào)告當(dāng)調(diào)查人員選擇使用HTML格式輸出報(bào)告時(shí)，EnCase將會(huì)從證據(jù)文件中拷貝/反刪除書簽中的圖像至報(bào)告輸出文件夾，并建立四個(gè)HTML文件：調(diào)查員在“ExportReport”對(duì)話框中命名的HTML報(bào)告，即圖的“FinalReport.html”；gallery.html：包含了輸出文件的縮略圖瀏覽的；toc.html：包含了由調(diào)查員創(chuàng)建和命名的“整個(gè)報(bào)告”的超鏈接的目錄和“gallery.html”文件中由“Exporting”創(chuàng)建的“Gallery”（圖庫）的超鏈接目錄；FrameView.html：它創(chuàng)建了其它三個(gè)文件的幀視圖，并為在頂端和下面幀中顯示的整個(gè)報(bào)告和圖庫都加了目錄。提交報(bào)告當(dāng)調(diào)查人員選擇使用HTML格式輸出報(bào)告時(shí)，EnCase將會(huì)從證據(jù)文件中拷貝/反刪除書簽中的圖像至報(bào)告輸出文件夾，并建立四個(gè)HTML文件：FrameView.html文件是查看結(jié)果必須打開的文件，同樣也是光盤上概要報(bào)告中文本鏈接的文件。雙擊FrameView.html文件即可打開瀏覽器顯示調(diào)查員創(chuàng)建和命名的完整報(bào)告，如圖。如果點(diǎn)擊“Gallery”超鏈接，就會(huì)在打開“gallery.html”文件，并顯示從EnCase證據(jù)文件中拷貝/反刪除的圖像縮略圖。任務(wù)二：利用X-WaysForensics進(jìn)行分析項(xiàng)目實(shí)施軟件介紹X-WaysForensics是WinHex軟件法政版，也是一款應(yīng)用較為廣泛的，運(yùn)行與Windows環(huán)境的取證分析軟件。以下以本課案例說明Tom利用該軟件進(jìn)行取證分析的常用操作。環(huán)境設(shè)置X-wayForensics軟件可以通過setup.exe安裝配置后使用，也可以通過運(yùn)行xwforensics.exe直接使用。具體使用方法可根據(jù)用戶習(xí)慣來選擇。但通常來說，直接運(yùn)行最為方便。通常，取證調(diào)查人員在使用X-WaysForensics時(shí)需要對(duì)工作環(huán)境按照自己的工作習(xí)慣和要求進(jìn)行一些設(shè)置。環(huán)境設(shè)置軟件使用中，保存有X-wayForensics軟件臨時(shí)文件和案例文件的分區(qū)將作為默認(rèn)的數(shù)據(jù)輸出路徑，即只有該分區(qū)被允許寫入數(shù)據(jù)。因此，在選擇X-wayForensics軟件使用分區(qū)時(shí)，需要考慮好下一步數(shù)據(jù)分析的實(shí)際情況。建議選擇容量較大，數(shù)據(jù)較少的分區(qū)。環(huán)境設(shè)置使用軟件前，調(diào)查人員Tom通常需要預(yù)先建立“cases”、“temp”、“images”和“scripts”四個(gè)文件夾，分別用于保存案例文件、臨時(shí)文件、鏡像文件和腳本文件，并在軟件設(shè)置中對(duì)該四個(gè)文件夾的路徑進(jìn)行指定。環(huán)境設(shè)置使用X-waysForensics進(jìn)行各項(xiàng)操作之前，首先需要進(jìn)行設(shè)置。點(diǎn)擊菜單中的“Options->General…”鍵，即可顯示常規(guī)設(shè)置對(duì)話窗。環(huán)境設(shè)置在該對(duì)話框中有5個(gè)重要的軟件工作目錄需要設(shè)置：保存臨時(shí)文件的目錄：默認(rèn)保存臨時(shí)文件至C:\DocumentsandSettings\sprite\LocalSettings\Temp。為便于管理臨時(shí)文件，通常為其新創(chuàng)建一個(gè)temp文件夾，本例中Tom將其指定為E:\X-Ways\temp；環(huán)境設(shè)置在該對(duì)話框中有5個(gè)重要的軟件工作目錄需要設(shè)置：保存鏡像和備份文件的目錄：設(shè)置默認(rèn)保存鏡像文件和備份文件至C:\DocumentsandSettings\sprite\LocalSettings\Temp。為將來方便地調(diào)用和管理鏡像文件，通常需要為其新創(chuàng)建一個(gè)images文件夾，本例中Tom將其指定為E:\X-Ways\images；環(huán)境設(shè)置在該對(duì)話框中有5個(gè)重要的軟件工作目錄需要設(shè)置：保存案件和方案的目錄：默認(rèn)保存為X-waysForensics的當(dāng)前目錄下，由于調(diào)查人員創(chuàng)建的案件越多，這些案例文件保存在當(dāng)前目錄下就會(huì)越混亂，不易查找，因此，Tom為其新創(chuàng)建一個(gè)案例文件夾，并指定為E:\X-Ways\cases；環(huán)境設(shè)置在該對(duì)話框中有5個(gè)重要的軟件工作目錄需要設(shè)置：保存腳本的目錄：默認(rèn)保存在X-waysForensics的當(dāng)前目錄下，基于便于管理的原因，Tom將其指定為E:\X-Ways\scripts；保存哈希庫的目錄：默認(rèn)哈希庫文件位置為E:\xway\HashDB。此目錄可由X-waysForensics自動(dòng)創(chuàng)建和管理，也可通過調(diào)查人員指定，本例中Tom將其指定為E:\X-Ways\HashDB。環(huán)境設(shè)置環(huán)境設(shè)置注：如果在固定計(jì)算機(jī)中安裝使用X-waysForensics，通過上述設(shè)置即可使用。如果在移動(dòng)硬盤中使用X-waysForensics，請(qǐng)確定路徑設(shè)置正確，并將上述路徑指向移動(dòng)硬盤中的相應(yīng)目錄。如果在光盤中使用X-waysForensics，則一定要將路徑指向移動(dòng)硬盤中的相應(yīng)目錄。。創(chuàng)建案件Tom啟動(dòng)X-WaysForensics，并在CaseData欄的菜單中選擇“File->CreateNewCase”。創(chuàng)建案件Tom在隨后出現(xiàn)的案件數(shù)據(jù)對(duì)話框中，輸入案件編號(hào)、案件描述、調(diào)查員、機(jī)構(gòu)地址等輔助信息（案件名稱應(yīng)使用英文或數(shù)字，以避免案例日志和報(bào)告中無法出現(xiàn)屏幕快照?qǐng)D片的情況）。創(chuàng)建案件為保障數(shù)據(jù)分析中顯示的時(shí)間正確，Tom點(diǎn)擊“Displaytimezone…”按鈕，并在隨后出現(xiàn)的時(shí)區(qū)選擇對(duì)話框中選擇正確的時(shí)區(qū)。（案件創(chuàng)建日期將由X-waysForensics依據(jù)系統(tǒng)時(shí)鐘自動(dòng)創(chuàng)建，因此創(chuàng)建案例前應(yīng)確保當(dāng)前取證工作計(jì)算機(jī)系統(tǒng)時(shí)間設(shè)置的準(zhǔn)確）。創(chuàng)建案件新案例創(chuàng)建完成后，在CaseData欄出現(xiàn)了剛剛創(chuàng)建的案例。利用X-Ways進(jìn)行取證復(fù)制Tom在CaseData欄中選擇“File->AddMedium”，添加所需獲取Adam辦公計(jì)算機(jī)硬盤。利用X-Ways進(jìn)行取證復(fù)制在隨后出現(xiàn)的磁盤介質(zhì)選擇對(duì)話框中選擇需要復(fù)制的源物理磁盤。利用X-Ways進(jìn)行取證復(fù)制磁盤加載后，出現(xiàn)該磁盤的結(jié)構(gòu)分析。利用X-Ways進(jìn)行取證復(fù)制Tom在加載了源物理磁盤后，在X-WaysForesics的菜單中選擇“File->CreateDiskImage…”，進(jìn)行制作該源磁盤的取證復(fù)制鏡像。利用X-Ways進(jìn)行取證復(fù)制隨后Tom在磁盤鏡像創(chuàng)建對(duì)話框中選擇鏡像文件格式為“E01”、確定鏡像文件名和存放路徑、鏡像描述、計(jì)算Hash碼的格式“SHA-1”以及鏡像文件長度等信息。利用X-Ways進(jìn)行取證復(fù)制在點(diǎn)擊“Ok”后，X-WaysForensics開始為Adam的辦公計(jì)算機(jī)磁盤制作取證備份鏡像。利用X-Ways進(jìn)行取證復(fù)制鏡像制作完成后出現(xiàn)提醒對(duì)話框。并且出現(xiàn)該鏡像Hash碼的計(jì)算結(jié)果利用X-Ways進(jìn)行取證復(fù)制在該鏡像的目的文件夾中，存儲(chǔ)了分卷的Adam辦公計(jì)算機(jī)磁盤的取證鏡像。添加原始證據(jù)取證分析的原始證據(jù)可能是一個(gè)物理的計(jì)算機(jī)磁盤、U盤、各種存儲(chǔ)卡以及它們的取證鏡像等等。在本例中Tom需要將業(yè)已獲取的Adam辦公計(jì)算機(jī)磁盤的取證鏡像添加進(jìn)案例中。添加原始證據(jù)需要添加原始證據(jù)時(shí)，可選擇CaseDate欄菜單中的“File”按鈕“AddMedium…”：通常用以向案例中添加物理磁盤驅(qū)動(dòng)器；“AddImage…”：向案例中添加磁盤鏡像文件；“AddFile…”：向案例中添加單個(gè)文件。由于Tom已經(jīng)制作了Adam辦公計(jì)算機(jī)磁盤的取證鏡像，因此選擇“AddImage…”，并選擇好鏡像文件，添加到案例中。驗(yàn)證原始證據(jù)添加原始證據(jù)后，首先需要確保證據(jù)沒有被改變，即需要驗(yàn)證證據(jù)。雙擊添加的鏡像，驗(yàn)證鏡像中的指紋是否正確。基本界面和操作剛加入案件的磁盤鏡像，沒有磁盤文件目錄樹，如果需要顯示驅(qū)動(dòng)器下所有文件，應(yīng)在右邊視圖欄的上方，使用鼠標(biāo)右擊磁盤鏡像圖標(biāo)，選擇右鍵菜單中的“AddAllPartitionsToCase”展開目錄基本界面和操作若調(diào)查時(shí)僅需要顯示出某個(gè)目錄下的所有文件，則選中需要瀏覽的目錄或驅(qū)動(dòng)器，然后點(diǎn)擊文件瀏覽工作區(qū)下方的顯示所有文件的按鈕?；窘缑婧筒僮鬟^濾漏斗：當(dāng)工作區(qū)左上角出現(xiàn)藍(lán)色的漏斗時(shí)，表示目前應(yīng)用了過濾文件的設(shè)置，點(diǎn)擊該漏斗可以調(diào)出文件過濾對(duì)話框?qū)^濾條件進(jìn)行修改?；窘缑婧筒僮鞔翱谖募?shù)量：位于右上角，表示當(dāng)前窗口顯示出的文件數(shù)量及總計(jì)文件數(shù)量。本例中，由于應(yīng)用了過濾操作，窗口右上角數(shù)字含義為：應(yīng)用過濾后，有16份文件符合過濾要求，有46份文件被過濾掉。如果沒有使用過濾，此處僅顯示文件總數(shù)量，即62份文件?；窘缑婧筒僮鬟x擇文件數(shù)量：位于右下角，表示當(dāng)前窗口選擇的文件數(shù)量及容量。本例中，選擇了3份文件，總計(jì)容量31.3MB。基本界面和操作文件標(biāo)記：文件名稱前面的小方框?yàn)闃?biāo)記選框?？梢允止槲募鹨惶砑訕?biāo)記，也可以通過右鍵菜單中的“Tag”命令為所選文件添加標(biāo)記。過濾文件根據(jù)案件性質(zhì)，通過設(shè)置適合的過濾器對(duì)文件進(jìn)行過濾，從而提高調(diào)查效率，是調(diào)查分析人員的基本技能。在X-waysForensics中，通過點(diǎn)擊過濾漏斗（如果未出現(xiàn)藍(lán)色漏斗圖標(biāo)可以點(diǎn)擊文件瀏覽工作區(qū)左上角的“/”圖標(biāo)）可以打開過濾器設(shè)置對(duì)話框。過濾文件在過濾器設(shè)置對(duì)話框的右邊列出了一系列常用的過濾和顯示項(xiàng)，對(duì)于每一項(xiàng)均設(shè)置有一個(gè)輸入欄，如果其中的數(shù)字為0，就表示不顯示該欄目，而如果其中的數(shù)字>0，則表示顯示該欄目，并且按照該欄中的數(shù)字來設(shè)置實(shí)際顯示的寬度。通常，如果需顯示未列出的欄目，可將該欄目數(shù)值從0更改為50進(jìn)行暫時(shí)的設(shè)定，之后可利用鼠標(biāo)將相應(yīng)的欄目調(diào)整至滿意寬度。過濾文件在對(duì)話框右邊的系列項(xiàng)目中，有部分項(xiàng)目的最右邊具有漏斗按鈕，當(dāng)某個(gè)或某些漏斗按鈕處于按下狀態(tài)并變?yōu)樗{(lán)色時(shí)，表明對(duì)應(yīng)的項(xiàng)已經(jīng)設(shè)置了過濾條件。調(diào)查者可以點(diǎn)擊漏斗按鈕來設(shè)置和組織單項(xiàng)或復(fù)合的過濾條件。過濾文件例如Tom點(diǎn)擊“Filename”欄對(duì)應(yīng)的漏斗按鈕，就調(diào)出文件名過濾對(duì)話框。Tom可以在該對(duì)話框中設(shè)置文件名過濾條件，并點(diǎn)擊“Activate”按鈕激活該過濾條件。圖例說明在文件瀏覽工作區(qū)中，會(huì)有一些不同的文件及圖標(biāo)顯示方式，具體含義可點(diǎn)擊工作區(qū)下方的“Legend”按鈕，調(diào)出圖例說明隨時(shí)進(jìn)行察看。圖例說明其中較為常見和重要的圖例和符號(hào)如下：文件/文件夾圖標(biāo)：：現(xiàn)有目錄；：為分析需要虛擬出的目錄；：已刪除的目錄，通?？沙晒謴?fù)；：已刪除的目錄，未發(fā)現(xiàn)首簇；：根目錄；圖例說明其中較為常見和重要的圖例和符號(hào)如下：文件/文件夾圖標(biāo)：：現(xiàn)存在的文件；：為分析需要虛擬出的文件；：已刪除的文件，通常可成功恢復(fù)；：已刪除的文件，未發(fā)現(xiàn)首簇；圖例說明其中較為常見和重要的圖例和符號(hào)如下：文件屬性符號(hào)：A：文檔R：只讀H：隱含S：系統(tǒng)C：文件系統(tǒng)級(jí)壓縮c：壓縮文件圖例說明其中較為常見和重要的圖例和符號(hào)如下：文件屬性符號(hào)：E：文件系統(tǒng)級(jí)加密e：壓縮文