EnCase
Что такое EnCase?
EnCaseEnCase — это семейство коммерческих продуктов цифровой форензики от OpenText (изначально Guidance Software), широко используемое правоохранительными органами и корпоративными исследователями с конца 1990-х годов.
EnCase — одна из старейших и наиболее зрелых коммерческих платформ цифровой форензики. Изначально разработана Guidance Software с 1998 года и в 2017 году приобретена OpenText. EnCase покрывает весь DFIR-цикл: EnCase Forensic (анализ), EnCase Endpoint Investigator (удалённый корпоративный сбор), EnCase Endpoint Security (DFIR/EDR) и EnCase eDiscovery. Продукт ввёл и популяризовал формат Expert Witness Format (E01/Ex01) для форензических образов дисков, ставший фактическим отраслевым стандартом. EnCase регулярно принимается судами и часто рассматривается как аналог FTK и таких открытых инструментов, как Autopsy и The Sleuth Kit. OpenText также поддерживает сертификацию EnCE для подготовленных специалистов.
● Примеры
- 01
Эксперт снимает образ корпоративного ноутбука в формате E01 с помощью EnCase Forensic и готовит отчёт, пригодный для суда.
- 02
Команда реагирования на инциденты выполняет удалённый сбор данных с 200 эндпоинтов с помощью EnCase Endpoint Investigator.
● Частые вопросы
Что такое EnCase?
EnCase — это семейство коммерческих продуктов цифровой форензики от OpenText (изначально Guidance Software), широко используемое правоохранительными органами и корпоративными исследователями с конца 1990-х годов. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает EnCase?
EnCase — это семейство коммерческих продуктов цифровой форензики от OpenText (изначально Guidance Software), широко используемое правоохранительными органами и корпоративными исследователями с конца 1990-х годов.
Как работает EnCase?
EnCase — одна из старейших и наиболее зрелых коммерческих платформ цифровой форензики. Изначально разработана Guidance Software с 1998 года и в 2017 году приобретена OpenText. EnCase покрывает весь DFIR-цикл: EnCase Forensic (анализ), EnCase Endpoint Investigator (удалённый корпоративный сбор), EnCase Endpoint Security (DFIR/EDR) и EnCase eDiscovery. Продукт ввёл и популяризовал формат Expert Witness Format (E01/Ex01) для форензических образов дисков, ставший фактическим отраслевым стандартом. EnCase регулярно принимается судами и часто рассматривается как аналог FTK и таких открытых инструментов, как Autopsy и The Sleuth Kit. OpenText также поддерживает сертификацию EnCE для подготовленных специалистов.
Как защититься от EnCase?
Защита от EnCase обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия EnCase?
Распространённые альтернативные названия: EnCase Forensic, OpenText EnCase, Guidance Software EnCase.
● Связанные термины
- forensics-ir№ 426
Криминалистическое снятие образа
Побитовая копия носителя информации, проверенная криминалистическими хешами, для криминалистического анализа и допустимая в качестве доказательства.
- forensics-ir№ 162
Цепочка хранения доказательств
Хронологически задокументированный след всех лиц, мест и действий, влиявших на доказательство от изъятия до окончательного распоряжения им.
- forensics-ir№ 436
FTK
Forensic Toolkit (FTK) — коммерческий пакет для цифровой форензики, разработанный AccessData и теперь принадлежащий Exterro, используемый для сбора, индексации и анализа компьютерных доказательств.
- forensics-ir№ 078
Autopsy
Открытая платформа цифровой форензики, разрабатываемая Брайаном Каррьером и Basis Technology, предоставляющая графический интерфейс к The Sleuth Kit и обширный набор аналитических модулей.
- forensics-ir№ 1142
The Sleuth Kit
Открытая библиотека и набор утилит командной строки для низкоуровневого анализа образов дисков и файловых систем, сопровождаемые Брайаном Каррьером.
- forensics-ir№ 425
Форензическая верификация хеша
Практика вычисления и сравнения криптографических хешей (обычно MD5 и SHA-256) форензических образов и исходных носителей для доказательства целостности доказательств.