网络分析专家论坛 netexpert's Archiver

sxssfm 发表于 2006-11-20 00:36

计算机取证工具

以EnCase做为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的法律执行部门在使用它。它提供良好的基于windows的界面(如图二),左边是case文件的目录结构,右边是用户访问目录的证据文件的列表。

EnCase是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Linux,Unix或DOS机器的硬盘,把硬盘中的文件镜像成只读的证据文件,这样可以防止调查人员修改数据而使其成为无效的证据。为了确定镜像数据与原始数据相同,EnCase会计算机CRC校验码和MD5哈希值进行比较。 EnCase对硬盘驱动镜像后重新组织文件结构,采用Windows GUI显示文件的内容,允许调查员使用多个工具完成多个任务。

在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括file slack,未分配的空间和Windows交换分区(存有被删除的文件和其它潜在的证据)的数据。在显示文件方面,EnCase可以由多种标准如时间戳或文件扩展名来排序。此外,EnCase可以比较已知扩展名的文件签名,使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用html或文本方式显示,并可打印出来。

[[i] 本帖最后由 sxssfm 于 2006-11-22 12:18 编辑 [/i]]

benteng302 发表于 2006-11-21 17:48

回复 #1 sxssfm 的帖子

谢谢楼主的分享。

xia_shou 发表于 2006-11-21 21:56

回复 #1 sxssfm 的帖子

试用以下,谢谢了
:loveliness:

sxssfm 发表于 2006-11-22 12:18

这么好的工具,怎么没分顶呀?

tiantianup 发表于 2006-11-25 14:16

恩,不错。

linanyuan 发表于 2006-11-25 17:50

好象真的很正常哟!!!!

王王 发表于 2006-11-27 09:42

用来检查计算机?好东动

nmglicong 发表于 2006-11-27 09:55

下来看看了

catwork 发表于 2006-11-27 12:45

谢谢楼主分享!~

szcthw 发表于 2006-11-27 18:28

好东西呀`~先下载了收藏

daidai393 发表于 2006-11-28 11:10

下来看看,谢谢楼主

linlei1980 发表于 2006-11-28 13:46

有什么用处呢?

xjalvin 发表于 2006-12-2 02:56

谢谢拉。

helin.zhang 发表于 2006-12-2 11:52

回复 #13 xjalvin 的帖子

参考
[url]http://www.netexpert.cn/thread-12378-1-1.html[/url]

gotoner 发表于 2006-12-25 16:27

日后很有可能要用到,先收藏,多谢分享了!

jovicisco 发表于 2006-12-26 19:29

谢谢楼主分享!

redcloud 发表于 2006-12-28 15:55

哇晒,下来用用看。感谢楼主

h2291 发表于 2007-1-18 12:01

感谢楼主

ahagowo 发表于 2007-1-19 07:54

先谢谢了,呆会儿用用看,效果如何

charisma2005 发表于 2007-1-23 09:57

谢谢楼主了,辛苦了

netuu 发表于 2007-1-26 21:55

收了 ,谢谢楼主

shuiruyan999 发表于 2007-2-12 14:42

好东西呀`~先下载了收藏

wilsonyu 发表于 2007-2-12 18:52

下来用用.

sxssfm 发表于 2007-3-2 15:57

好久没来了,想念大家了,报个到。我爱网络分析专家论坛!我的QQ:3597791

PurpleStorm 发表于 2007-3-5 09:04

不错 zhichi

zjx760303 发表于 2007-3-5 10:30

好东西,ding

newshow 发表于 2007-6-14 15:46

狠狠的顶你的肺

matlabwu 发表于 2007-6-14 17:04

本来exe就不一定可执行,txt就未必是文本,这只是一些表面现象而已。

zhaojun 发表于 2007-6-14 17:35

不让经典坠落!

jackbill 发表于 2007-6-18 10:39

赞头像:P

半夜鸡叫 发表于 2007-6-20 11:33

谢谢分享!

decwang 发表于 2007-6-20 14:08

Demo 版,是不是有点太破了3

kingx2002 发表于 2007-6-22 11:12

下来看看,谢谢楼主

yam1982 发表于 2007-7-6 21:37

用了看看,谢谢

sym119 发表于 2007-8-13 12:51

真不错啊

micc0 发表于 2008-2-11 00:57

:) 3qy

ancannon 发表于 2008-2-23 16:37

幸苦了  太好了

xzq3125 发表于 2008-3-5 12:45

顶顶顶顶顶顶顶顶顶顶顶顶

yhny 发表于 2008-3-8 13:03

我还是下载不了 啊

yangsunny 发表于 2008-3-11 18:23

我顶一个

有先见之明啊,以后可能会用到

页: [1] 2

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.