EnCase
EnCase 是什么?
EnCaseEnCase 是 OpenText(原 Guidance Software)推出的商用数字取证产品系列,自上世纪 90 年代末以来广泛应用于执法和企业调查领域。
EnCase 是历史最悠久、最具规模的商用数字取证平台之一。该产品最初由 Guidance Software 自 1998 年起开发,2017 年被 OpenText 收购。EnCase 覆盖完整的 DFIR 工作流,包括 EnCase Forensic(分析)、EnCase Endpoint Investigator(企业远程取证采集)、EnCase Endpoint Security(DFIR/EDR)以及 EnCase eDiscovery。该产品率先推出并普及了取证磁盘镜像的 Expert Witness Format (E01/Ex01),已成为业界事实标准。EnCase 通常被法庭采纳,常与 FTK 以及 Autopsy、The Sleuth Kit 等开源工具配合或对比使用。OpenText 还维护 EnCE 认证,用于评定经培训的从业人员。
● 示例
- 01
调查员使用 EnCase Forensic 将公司笔记本电脑做成 E01 镜像并生成可呈堂的报告。
- 02
事件响应团队使用 EnCase Endpoint Investigator 对 200 台终端进行远程企业级取证采集。
● 常见问题
EnCase 是什么?
EnCase 是 OpenText(原 Guidance Software)推出的商用数字取证产品系列,自上世纪 90 年代末以来广泛应用于执法和企业调查领域。 它属于网络安全的 取证与应急响应 分类。
EnCase 是什么意思?
EnCase 是 OpenText(原 Guidance Software)推出的商用数字取证产品系列,自上世纪 90 年代末以来广泛应用于执法和企业调查领域。
EnCase 是如何工作的?
EnCase 是历史最悠久、最具规模的商用数字取证平台之一。该产品最初由 Guidance Software 自 1998 年起开发,2017 年被 OpenText 收购。EnCase 覆盖完整的 DFIR 工作流,包括 EnCase Forensic(分析)、EnCase Endpoint Investigator(企业远程取证采集)、EnCase Endpoint Security(DFIR/EDR)以及 EnCase eDiscovery。该产品率先推出并普及了取证磁盘镜像的 Expert Witness Format (E01/Ex01),已成为业界事实标准。EnCase 通常被法庭采纳,常与 FTK 以及 Autopsy、The Sleuth Kit 等开源工具配合或对比使用。OpenText 还维护 EnCE 认证,用于评定经培训的从业人员。
如何防御 EnCase?
针对 EnCase 的防御通常结合技术控制与运营实践,详见上方完整定义。
EnCase 还有哪些其他名称?
常见的别称包括: EnCase Forensic, OpenText EnCase, Guidance Software EnCase。
● 相关术语
- forensics-ir№ 426
取证镜像
对存储介质进行逐位复制并以加密哈希校验,用于取证分析与可采纳的法律证据。
- forensics-ir№ 162
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
- forensics-ir№ 436
FTK
Forensic Toolkit(FTK)是由 AccessData 开发、现归 Exterro 所有的商用数字取证套件,用于获取、索引和分析计算机证据。
- forensics-ir№ 078
Autopsy
由 Brian Carrier 与 Basis Technology 主导开发的开源数字取证平台,为 The Sleuth Kit 提供图形界面并附带丰富的分析模块。
- forensics-ir№ 1142
The Sleuth Kit
由 Brian Carrier 维护的开源取证库及命令行工具集,用于对磁盘镜像和文件系统进行底层分析。
- forensics-ir№ 425
取证哈希验证
对取证镜像与原始介质计算并比对加密哈希(通常为 MD5 和 SHA-256),以证明证据完整性的实务做法。
● 参见
- № 428取证工具包