Guidance 将于今年年底之前发布EnCase v7,今日拿到了v7测试版本,下面对新功能进行简要介绍并截图说明。
(Version 7.0.20.13)
新用户界面
EnCase v7相对于传统的v5、v6界面有了较大改变,一改以往的四格和多级Tab界面,而采用了单页面多窗口的“浏览器式”风格,估计会让很多v6用户感到极不适应。
新建案例窗口,案例信息采用模板方式,调查人员可根据自己需要定制案例信息模板
主界面窗口
添加证据界面,新版本将Neutrino整合,可直接添加智能手机,这也是v7的一大新功能。
Entries部分,之前的多级标签式结构已经变为单级标签+前后页面导航
新功能和改进
1. 新的案例信息界面(见上节)
2. 关联Hash Library:新的散列库功能允许用户指定一个Primary和一个Secondary散列库,方便在调查时使用多个散列集以及针对特定案件指定特定散列集。
3. 添加案例部分,界面进行了较大改进,把原来的Source树形结构+Sessions、物理内存、进程内存三个复选框改为了向导式选择,并提供DCO支持。
4. 获取:新的证据文件界面如下,如需对加载驱动器进行获取,则需要进行Evidence Process,这也是v7的一个新功能,将签名校验、哈希计算等整合在“案例处理器”中(案例处理器后述),个人认为这是EnCase “FTK化”的标志之一
Evidence Processor
获取选项,可以看到新的证据文件格式Ex01
5. 新证据文件格式Ex01:Guidance秉承了他们只要更新版本就会有大改动的“优良传统”,此次推出了Ex01格式,官方解释是由于E01已不能够满足新版本EnCase的需求,且v7很多功能都需要新的证据文件格式配合(如Indexing),新的Ex01较E01的主要改变在于,内部数据块全部加密,加密方式为AES,同时,原有的压缩选项由三项改为两项“启用”和“禁用”,证据文件散列自校验支持MD5、SHA-1以及MD5+SHA-1。
6. 证据文件处理器:Evidence Processor,新功能,整合了Recover Folders、文件签名分析、查找加密文件(与Passware合作)、散列分析、展开符合文件、查找电子邮件、查找互联网信息、关键字搜索(值得一提的新功能,不需建立全局关键词或者案例关键词,直接输入关键词便可进行查找,便于初期分析)、索引(值得一提,全新的索引引擎,可以添加Noise File,并且支持在残留区和未分配空间索引,Guidance开发经理号称这个是他们自己开发的一项与众不同的技术)。
需注意的是,v7的Evidence Processor是支持多线程处理的。
Evidence Processor 中的索引选项
7. 智能手机支持:虽说相对于Oxygen和Paraben还具有一定差距,但毕竟EnCase不是Cell Phone Forensic软件,所以能提供这样的功能客观地说已经比较难得,不过这部分在最终发布时可能还会采取单独的模块销售。
智能手机报告生成器,可自动对添加的手机证据文件生成报告,值得一提的是,可以把手机(或GPS)当中的地理位置信息或包含地理位置信息的图片直接生成为kmz, 可使用Google Earth直接打开查看,非常方便
Tag,"FTK化"的又一典型标志
8. 报告
在v7中,报告功能得到了极大增强,用户可以定制自己的模板,Guidance甚至允许用户直接使用代码编辑报告模板(相似于html代码,使用非常简单)
报告模板代码编辑页面
可随时预览的报告
9. 打包,v7允许用户将案例、证据文件、Primary&Secondary Cache打包保存或转移,(//这应该是EnCase转向网络调查方向的一个标志),可供用户选择的有副本、存档和自定义模式。
另外,v7中,EnScript语言也进行了一些改动,在此不再赘述。
总之,EnCase v7功能上的改动很大,后续使用感受择日再发。