|
Zaawansowany i automatyczny processing (przygotowanie) spraw
EnCase Forensic v7 oferuje użytkownikom możliwość wyboru najczęściej używanych funkcjonalności, wliczając w to używane skrypty EnScript, automatycznie kiedy nowe źródło jest dodawane do sprawy. Eliminuje to uciążliwe powtarzanie tych samych kroków za każdym razem. Teraz śledczy szybko otrzymuje dane wynikowe, umożliwiając tym samym prowadzenie poszukiwania elektronicznego materiału dowodowego.
Społeczność użytkowników EnCase wspiera się w swoich działaniach. Na portalu wsparcia technicznego i blogach użytkowników można znaleźć gotowe skrypty, pobrać je i dodać przy konfiguracji ustawień danej analizy. Aktywna współpraca użytkowników jest jedną z przewag nad innymi produktami tego typu.
Projektując nowy interfejs i mechanizm przygotowania spraw kierowano się aspektem szybkiego dotarcia do kluczowych informacji. Dlatego też wprowadzono następujące zasady:
1. Automatyzacja zadań
Najczęściej używane zadania można dodać już przy zakładaniu nowej sprawy (np. odzyskaj dane, sprawdź sygnatury, porównaj hashe, znajdź email, znajdź cashe internetowy), co pozwala zredukować czas oraz eliminować przeszukiwanie dysku za każdym razem z inna funkcjonalnością
Dostępne są:
- Recover Folders
- File Signature Analysis
- Protected File Analysis
- Hash Analysis (MD5 and SHA-1)
- Expand compound files
- Find Email (PST, NSF, DBX, EDB, AOL, MBOX)
- Find Internet Artifacts (IE, Firefox, Safari)
- Search for (xxx).
2. Wzory (template) przygotowania sprawy
Obecnie dostępna jest pełna customizacja processingu. Użytkownik może założyć różne wzory spraw związane z różnymi dochodzeniami (np. incident response, fraud, fałszerstwo, przestępczość obyczajowa czy inne) bez potrzeby wybierania przy każdej podobnej nowych ustawień.
3. Dodawanie skryptów (własne zadania) do processingu sprawy
Znacznie ułatwia i przyspiesza to pracę śledczych, bo nie ma potrzeby uruchamiania ich osobno. Skrypty mogą dotyczyć np. parsingu informacji systemowych, wyszukania określonych zapytań logicznych, logów systemowych czy innych zadań.
4. Zoptymalizowany silnik indeksowania
Uzyskanie zestawu słów kluczowych jest teraz szybkie i efektowne.
Nowy, intuicyjny i uproszczony interfejs
EnCase Forensic v7 został zaprojektowany tak, żeby wykonywać zadania związane z akwizycją danych, analizowaniem dowodów i tworzeniem raportów w prosty i łatwy sposób. Mając do dyspozycji nowy interfejs oparty na tzw. tab (zakładkach podobnie jak w przeglądarkach internetowych) oraz linkach do uprzednio skonfigurowanych funkcjonalności, śledczy odnajdzie to czego szuka znacznie szybciej. Jest to szczególnie efektywne w przypadku osób, dla których analizy śledcze nie stanowią podstawowego zakresu obowiązków i są wykonywane incydentalnie.
W wersji 7 wiele zadań, które dotychczas analityk śledczy wykonywał „ręcznie” zautomatyzowano. Następuje pełen proces processingu sprawy i jej zaindeksowanie, zanim śledczy przystąpi do działania, a to oparte jest na wzorach, wcześniej skonfigurowanych pod użytkownika. To zupełnie nowe podejście związane z nawigacją w oknie programu, processingiem, wyszukiwaniem, akwizycją danych i ich późniejszą obróbką.
Zintegrowany mechanizm wyszukiwania
W oparciu o zaawansowany silnik indeksowania używany w sieciowych rozwiązaniach EnCase eDiscovery i EnCase Cybersecurity stworzono nowy mechanizm indeksowania w wersji 7 EnCase Forensic. Daje on możliwość przeszukiwania rezultatów wśród wielu rodzajów danych (pliki, emaile, archiwa komunikatorów, smartphony itd.) z jednej lokalizacji tworząc jeden raport.
Podgląd e-mail "the Way You Need it", czyli tak jak chciała społeczność użytkowników
Widok emaili został całkowicie przebudowany i jego wygląd oraz funkcjonalności są teraz zbliżone do tych, jakie dają popularne programy e-mail (np. MS Outlook). Dodatkowo EnCase Forensic v7 zawiera mechanizm śledzenia emaili i znajdowania powiązanych wiadomości umożliwiając śledczym zrozumieć kontekst e-maili co ma szczególnie istotne znaczenie z punktu widzenia analizy.
Zintegrowana akwizycja telefonów typu smartphone
Obecny trend w aparatach telefonicznych spowodował, że rynek jest wręcz zalewany telefonami typu smartphone. Dowody, które zawierają mogą być kluczowe dla całego dochodzenia. W obecnej wersji EnCase Forensic te istotne dane mogą być pobierane w sposób wyjątkowo prosty. Śledczy może prowadzić akwizycję takich urządzeń jak: Apple (iOS) iPhone & iPad, RIM Blackberry, HP Palm OS, Nokia Symbian, Windows Mobile i Google Android. Funkcjonalność integruje się z prowadzoną sprawą np. z dysku dowodowego.
Szybki dostęp do danych sprawy
W EnCase Forensic v7 zoptymalizowano metodę zarządzania sprawami ("case"). Użytkownik nie musi już czekać na inicjalizację sprawy. Dodatkowo, w związku z tym umożliwia to szybszy processing i wzrost wydajności. Wygodę pracy i przejrzystość umożliwia nawigacja z użyciem zakładek.
Zoptymalizowano również użycie pamięci i obecnie więcej danych sprawy zapisywanych jest na dysku komputera niż przechowywanych w pamięci RAM co znacznie przyspiesza pracę. EnCase Forensic v7 daje również możliwość szyfrowania danych wynikowych. Wprowadzono nowe formaty plików (LEFx - encrypted Logical Evidence File oraz Ex01 - encrypted Evidence).
Rozszerzono zakres wsparcia dla systemów operacyjnych (smartphone) i systemów zapisów plików oraz samych plików (EXT4, HSFX, Microsoft Office 2010, iOS Physical Images).
Zoptymalizowane skrypty EnScript
Zaawansowani użytkownicy EnCase doceniają możliwość dopasowania produktu do ich potrzeb za pomocą języka skryptowego EnScript. W wersji 7 język skryptowy został zoptymalizowany dla lepszej wydajności i wsparcia większej liczby systemów operacyjnych (artefakty Windows 7). Skrypty mogą być zaimplementowane podczas dodawania źródła do sprawy, a wyniki dodawane są do indeksu (processing), nie muszą być uruchamiane z osobna. Następuje również bezproblemowa integracja z innymi źródłami w sprawie. Od razu dostępne są następujące skrypty:
- System Info Parser
- IM Parser (AOL, MSN, Yahoo)
- File Carver
- Personal Information (CC, Phone Numbers, Email, SSN)
- Windows Event Log Parser
- Windows Artifact Parser
- Unix Login
- Linux Syslog Parser
Raportowanie
Obecnie możliwość dopasowania raportu wewnątrz programu znacznie ułatwia ich generowanie. Mało tego, istnieje możliwość stworzenia wzorów raportów do różnych spraw i ich zachowanie co znacznie usprawnia pracę. Raport może być eksportowany do: text, RTF (otwieralny w Microsoft Office), HTML, XML, PDF.
|
