Программно-аппаратные средства для криминалистического исследования компьютерных носителей информации "EnCase Forensic Edition"
EnCase Forensic Edition, версия 5.00, производства фирмы Guidance Software Inc. (США) - это программное обеспечение сбора и анализа компьютерных данных, работающее в среде Windows, предназначенное для криминалистического исследования компьютерных носителей информации и основанное на международных спецификациях и требованиях, предъявляемых к деятельности правоохранительных органов.
Основные стандартные характеристики EnCase Forensic Edition v.5.0
- Поиск и анализ информации в различных файловых системах: Windows (FAT12, FAT16, FAT32, NTFS), Linux, UNIX, Sun Solaris, BSD, Palm, Macintosh, CDFS, ISO 9660 и DVD-R.
- Оперативный (предварительный) неразрушающий просмотр содержимого жестких дисков исследуемого компьютера через параллельный порт, сетевую карту или устройство блокировки записи FastBloc для ускоренного выявления криминалистически значимой компьютерной информации.
- Обеспечение посекторного копирования с контролем подлинности и целостности исследуемой компьютерной информации для большинства существующих типов носителей данных: дискет, Zip- и Jaz-носители, магнитооптические носители, все IDE и SCSI диски.
- Оперативный доступ к данным на жестких дисках IDE в Windows с помощью устройств блокировки записи FastBloc Laboratory Edition (LE) по IDE интерфейсу или FastBloc Field Edition (FE) по USB 2.0 и IEEE-1394 интерфейсам.
- Обеспечение доступа к аппаратным и программным RAID-массивам.
- Просмотр файлов без изменения их содержимого и атрибутов, в том числе параметров времени.
- Выполнение поиска по ключевым словам по всем заданным носителям данных с использованием любого числа ключевых слов на логическом и физическом уровне, в том числе среди удаленной и остаточной информации. Полная поддержка кодировок Unicod и кириллицы.
- Выполнение углубленного поиска информации с помощью UNIX GREP-синтаксиса
- Сортировка файлов по заданным признакам, включая время (создания, модификации, удаления).
- Встроенный макроязык EnScript для создания фильтров и программ настройки EnCase и автоматизированного исследования криминалистически значимой компьютерной информации.
- Автоматическое распознавание любых графических файлов, содержащихся на носителе информации и просмотр их встроенными или внешними средствами визуализации графических данных.
- Просмотр составных файлов, таких как реестр Windows, Outlook e-mail, Zip файлы.
- Выявление и просмотр всех изменений с файлами в течение интересуемого промежутка времени с помощью графического временного редактора.
- Отображение просматриваемых файлов в текстовом или шестнадцатеричном (Hex) виде.
- Графическое отображение распределения информации на носителе данных (жестком диске) по секторам или кластерам, включая показ расположения любого файла или незанятого пространства.
- Выделение (пометка) интересуемых файлов или фрагментов и сохранение ссылок на них для дальнейших исследований и подготовки отчета (заключения эксперта).
- Экспортирование любой части исследуемого файла, выделенных файлов или всей папки (папок).
- Копирование и восстановление "зеркального" образа физического диска или образа раздела на другие (лабораторные) жесткие диски.
- Распознавание сигнатур выявленных файлов и возможность добавления своих собственных сигнатур.
- Просмотр содержимого файлов, создаваемых операционной системой, таких как файл свопинга, файл очереди принтера и файлов в Корзине.
- Построение библиотек значений хэш-функций криминалистически значимой компьютерной информации и ее автоматическое распознавание.
- Формирование отчета о выполненном исследовании (заключения эксперта) с фиксацией даты и времени проведенных действий (операций), возможность преобразования отчета в текстовый формат RTF и гипертекстовый документ HTML.
- Интуитивно понятный пользовательский интерфейс, похожий на Windows Explorer. Подготовка к выпуску локализованной (русской) версии EnCase.
Дополнительные программные средства для EnCase Forensic Edition v.5.00
EnCase Enterprise Professional Suite. The EE Professional Suite состоит из: EnCase Virtual File System (VFS) Server, EnCase Physical Disk Emulator (PDE) Server и EnCase Decryption Suite (EDS), которые описаны ниже:
EnCase Virtual File System (VFS) Server
Обеспечивает единую платформу для информации или доказательства с интуютивно понятным интерфейсом, что позволяет обеспечить доступ к информации не только техническому персоналу, но и иристам, финансистам, руководству. Обеспечивает доступ к информации по локальной сети (без возможности изменения). Сохраненная в EnCase информация полностью соответствует исследуемому образцу, включая все обычные файлы, удаленные файлы, , а также содержимое свободных областей. После монтирования информация доступна для любого приложения, включая Windows Explorer и другие Windows приложения, например анитивирусы, детекторы программ-шпионов и зашифрованных файлов, утилиты поиска ключевых слов и разделения больших файлов на части. Позволяет контролировать, кто с какой информацией работал с использованием VFS Server. Позволяет совместно использовать и обозревать доказательства с другими исследователями в локальной сети. Позволяет легко монтировать Windows RAIDS-массивы, восстановленные с помощью EnCase динамические диски, сжатые или зашифрованные NTFS-диски. Поддерживает следующие файловые системы:DOS (FAT 12/16/32, NTFS), Linux (EXT2, EXT3, Reiser), UNIX (Solaris UFS), Macintosh (HFS, HFS+), BSD (FFS), CD/DVD (Joliet, ISO 9660, UDF, DVD) и Palm (Palm OS).
EnCase Physical Disk Emulator (PDE) Server
Позволяет монтировать образы жестких дисков или CD дисков как доступные только для чтения (read-only) логические диски. Смонтированные таким образом логические диски доступны для программ сторонних разработчиков, в том числе использующих низкоуровневый доступ к данным (например, программ восстановления удаленной информации). В сочетании с прогаммой VMware, PDE позволяет исследователю полностью имитировать загрузку и функционирование исследуемого компьютера. PDE может монтировать как образы, распознаваемые Windows (DOS, FAT 12/16/32,NTFS), так и не распознаваемые - Linux (SuSE, Red Hat and Mandrake), Free BSD, и NetWare. В последнем случае необходимо либо осуществить с помощью Vmware загрузку с этих разделов, либо использовать дополнительные драйвера для просмотра их содержимого. К смонтированным с помощью PDE образам возможен доступ через локальную сеть.
EnCase Decryption Suite (EDS)
Дешифрует закодированные Microsoft Encrypting File System (EFS) файлы и папки, в том числе доменные аккаунты. Определяе пароли к файлам данных семейства программ Outlook (с расширением PST), за исключением Outlook 2003. Позволяет делать автоматическое дешифрование и просмотр защищенных областей реестра Windows.
Аппаратные средства: FastBloc FE
Устройство копирования жестких магнитных дисков «FastBlock IDE Field Edition (FE)» с интерфейсом USB 2.0. и IEEE-1394 производства корпорации «Guidance Software, Inc.» (США) реализует возможность быстрого копирования с блокировкой по записи жестких магнитных дисков IDE в операционных системах Windows 2000/XP под управлением специального программного обеспечения для криминалистического исследования компьютерных носителей информации.В комплектации содержатся все соединительные кабели для обеспечения «полевой» работы устройства. FastBloc FE - универсальный инструмент, поскольку поддерживает USB2 и FireWire интерфейсы. FastBloc FE поддерживает протокол ATA 6, и независимо от используемой системы позволяет исследователю работать с дисками свыше 128GB. FastBloc FE имеет скорость передачи информации до 60MB/S при использовании USB 2.0 интерфейса. FastBloc FE может также поддерживать одновременную работу и с остальными блоками, такими как FastBloc FE, LE, или FastBloc Classic. Это помогает экономить время и деньги, так как с помощью одной машины оператора можно осуществлять многократные исследования.
Характеристики FastBloc FE
- Поддерживает Операционные системы: Windows 9x, ME, 2000 and XP
- Максимальная скорость передачи данных: 3. 5GB/min
- Средняя скорость передачи данных: 1. 3GB/min
- Поддержка ATA-6: Да
- Свопинг (механизм подкачки в оперативную память недостающей страницы виртуальной памяти, затребованной программой): Да
- Одновременная работа: Да, если используется с другим FastBloc устройством
- Максимальная длина кабеля: 14.5 футов (FireWire) и 16 футов (USB) между FastBloc FE и контроллером
- Является внешним устройством
- Габариты: 4 " W x 3 " D x 1 " H
- Интерфейс: (2) FireWire порта и (1) USB Порт
- Возможно подключение и замена объектов без выключения компьютера (горячее подключение)
- Подключение любых IDE- дисков, (40-жильный, 44-жильный и 80- жильный кабели входят в комплект) соединение с жесткими дисками
- Условия использования: Может применяться как в лабораторных, так и в полевых условиях
Комплектация:
- FastBloc FE
- Руководство пользователя
- 40-жильный IDE провод для традиционных жестких дисков
- 80- жильный IDE провод для новых жестких дисков
- 44- жильный IDE провод для жестких дисков, применяемых в ноутбуках
- переходник для подключения жестких дисков, применяемых в ноутбуках к стандартному 40- или 80 - жильному IDE-проводу.
- кабель-переходник FireWire IEEE 1394 с 4 разъемов на 6 разъемов
- 6-жильный кабель FireWire
- Кабель электропитания для жестких дисков (5/12 Вольт)
- Блок питания
- Чемоданчик для переноски
Примечание
- работает с Windows 98 and ME, не сообщая о внешнем устройстве FastBloc
- FastBloc FE поддерживает USB 1.0 и 2.03
- поддерживает ATA 6 Стандарт
- скорость работы отвечает требованиям экспертов
- работа с защищенными дисками компьютера
- длины включенных кабелей приблизительны
Описание актуально на: 18.10.2007.
Для уточнения технических характеристик «Программно-аппаратные средства для криминалистического исследования компьютерных носителей информации "EnCase Forensic Edition"», а также для получения информации по наличию и условиям поставки Вы можете заполнить форму запроса ниже.
Внимание! Поставка оборудования осуществляется только юридическим лицами и только по безналичному расчёту.