preloader

Telegram-plane Instagram Linkedin
Phone

Telegram-plane Instagram Linkedin
Phone
منو

نرم‌افزار EnCase، ابزار بازرسی امنیت

نرم افزار EnCase چیست

نرم‌افزار EnCase یک ابزار تجاری توسعه یافته توسط  Guidance است که در سال 1998 به بازار معرفی شد.  عاملیت آن شامل Disk Imaging، بررسی و آنالیز داده بوده و یکی از ویژگی­‌های مهم آن بازیابی داده پس از بررسی Unallocated Spaces است. همانطور که اشاره شد Unallocated Spaces می­‌تواند شامل اطلاعات مرتبط با بازرسی امنیت باشد. یک CFS که از EnCase استفاده می‌کند، یک بازرسی امنیت را با به دست آوردن و تصویرسازی وسیله ذخیره­‌سازی بشروع می‌کند. EnCase به فایل image نتیجه به عنوان یک فایل مدرک یا Evidence File اشاره می‌­کند. فایل مدرک یک bit-stream image از وسیله ذخیره­‌سازی است. سپس نرم­‌افزار، درستی image و اصل وسیله ذخیره­‌سازی که از MD5 استفاده کرده را بررسی می­‌کند. اطلاعات حیاتی مثل آخرین دسترسی، زمان ایجاد و… توسط این ابزار تأمین می­‌شود.

رویه کلی

رویه­ های پردازش استاندارد زیر در تجهیزات ثابت و پرتابل استفاده شده است. انتخاب اینکه کدام رویه از نظر بازرس فارنزیک مناسب است، با متصدی Case مشورت می‌شود. تصمیم در مورد تکنیک­‌های مورد استفاده به واقعیت Case، اطلاعات ارائه شده توسط بازرس امنیت، به نحوه گردآوری اطلاعات و تجربه بازرس بستگی دارد. دو نمونه بازرسی امنیت سایبری به این دلایل دقیقاً شبیه نیستند.

ابزار EnCase به ما اجازه می‌­دهد که به طور مستقیم کامپیوتر و سیستم مظنون یا اصطلاحاً زامبی را به کامپیوتر پردازش مدرک از طریق یک کابل مودم متصل کنیم. سپس یک image از آن ایجاد کرده و بررسی را به طور مستقیم روی فایل­های مظنون انجام ندهیم تا هیچگونه خدشه‌ای به اصل فایل(ها) وارد نشود و از هر نوع تغییرات پیشگیری کنیم. همچنین می­توانیم هارد دیسک را از ماشین هدف حذف کنیم و آن را در ماشین پردازش مدرک قرار دهیم. این کار یک drive to drive image به ما می­‌دهد.

از ابزار EnCase برای دیدن فایل‌­ها بدون تغییر در محتوای آنها یا timestamp استفاده می­‌کنیم. EnCase امکان جستجوی سریع یک هارد دیسک با کلمات کلیدی، کم کردن زمان بررسی، جلوگیری از دسترسی به فایل­‌های کامپیوتر که هدف بررسی نیستند را توسط قابلیت جستجوی خاص، به ما می‌­دهد. برنامه همچنین اجازه مشاهده فایل‌های حذف شده را به صورت خودکار، دیدن قسمت­‌هایی از اطلاعات در Slack (جایی که بیت­‌های فایل پاک شده قرار می­‌گیرند تا رونویسی شود) و bookmark کردن فایل­‌های جالب را می­‌دهد.

EnCase به ما امکان دیدن فایل­های گرافیکی در یک دید کوچک که می­توان به آسانی کپی شود یا از CD-ROM برداشته شود را می­دهد. اجازه چاپ یک گزارش قالب­دار که محتوای Case، تاریخ، زمان، بازرسان درگیر و اطلاعات روی سیستم کامپیوتر هست را می­دهد.

ساختمان یک Case

EnCase می­تواند از انواع مختلف وسائل تشکیل شود، بطوریکه بتوان به عنوان یک واحد جستجو شود:

درایور سخت فلاپی، بخش­های فایل و دیسک­های فشرده برای نگهداری Case سازماندهی شده
ایجاد یک فولدر جدید برای هر Case
قرار دادن همه فایل­های مدرک و فایل­های Case در فولدر برای نگهدادری آنها با یکدیگر

کارشناس یا بازرس فارنزیک با EnCase چه کار می­تواند انجام دهد؟

  • تعیین اینکه یک سیستم کامپیوتری شامل مدرک یا Evidence است یا خیر و اینکه آیا در محدوده بررسی­مان است یا خیر.
  • مشاهده فایل­ها بدون تغییر فایل یا timestamp
  • کسب کردن، تصدیق کردن و ساخت یک Case خارج از رایج­ترین وسیله خواندن: Zip و Jaz
  • انجام یک جستجوی اساسی از کلمات کلیدی تمام Case با استفاده از هر تعدادی کلمه کلیدی
  • انجام جستجوی پیشرفته با استفاده از دستورالعمل Unix Grep
  • مرتب کردن فایل­ها مطابق با هر تعداد فیلد مثل timestamp
  • نشان­دار کردن فایل­های جالب و بخش­هایی از فایل و ذخیره آنها برای جستجوی بعدی
  • Export کردن هر قسمت فایل، هر فایل انتخاب شده یا حتی تمامی درخت­های فولدر با Case
  • برگرداندن تمام حجم دیسک به حالت اصلی خودش
  • تشخیص دادن و تصدیق کردن امضای فایل و اضافه کردن به امضای داشته
  • بازیافت صفحات ثابت و چاپ شده فقط هنگامیکه که آنها از چاپگر بیرون می­آیند.
  • آماده کردن مدرک کامپیوتری برای ارائه به دادگاه
  • مشاهده یک دفعه تمام نمونه
  • چاپ یک گزارش قالب­دار که محتوای Case، تاریحخ و زمان را نشان می­دهد.
  • یک نقشه گرافیکی که تشخیص منابع در دیسک توسط کلاستر یا خدشه نشان می­دهد. مثل طرح هر فایل
  • دسترسی به مشاهده جستجو که هر جستجو با نتیجه را نشان می­دهد.
  • دیدن فایل­های گرافیکی در یک دید کوچک که می­تواند به آسانی کپی یا از CD-ROM برداشته شود.
  • دسترسی به جدول bookmark برای نشان دادن لیستی از هر bookmark که بازرس ایجاد کرده برای رجوع آسان و ارائه مدرک پیدا شده

ویژگی ها

ویژگی­های نرم ­افزار EnCase

  • خواندن همه وسائل برداشتنی و درایو سخت Windows و Dos
  • مراقبت از پسورد هر قسمت مدرک برای کنترل زنجیره حافظت
  • ذخیره یک تصویر لحظه­ای از دیسک برای فایل مدرک مثل فضای دیسک Unallocated و مخفی
  • ترکیب فایل­های مدرک برای ایجاد Case که بتوان به صورت واحد جستجو کرد.
  • مشاهده فایل­ها بدون تغییر در محتوای آن یا timestamp
  • مشاهده، جستجو، فیلتر کردن و مرتب کردن هر فایل از هر دیسک و کامپیوتر در Case، دیدن نتیجه به صورت گرافیکی روی صفحه
  • Graphical Allocation Map یک دیسک را کلاستر به کلاست نشان می­دهد.
  • خاصیت جستجوی قدرتمند مثل GREP Keywords و Background Search
  • گزارش قالب­دار همه اطلاعات مرتبط را نشان می­دهد.
  • آنالیز خودکار: SweepCase به کارشناسان فارنزیک اجازه می­دهد که به طور خودکار آنالیز را انتخاب کنند.
  • چندین فیلد مرتب­سازی: کارشناسان فارنزیک می­توانند مطابق با 30 فیلد مرتب­سازی را انجام دهند و مثل همه 4 مهر زمانی یا timestamp (زمان ایجاد فایل، آخرین دسترسی، آخرین نوشتن، آخرین تغییر)، نام فایل و امضای فایل.
  • وضعیت فیلترها: فیلترها اجازه م­دهند که اندازه نمایش اطلاعات براساس معیبار تعیین شده کاربر کاهش یابد. EnCase بیش از 150 فیلتر دارد، از فایل­های حذف شده تا اسناد word مراقب شده با پسورد.
  • پرسش یا Query: کارشناسان فارنزیک برای ایجاد Queryهای پیچیده می­تانند فیلترها را با استفاده از منطق OR یا AND ترکیب کنند.
  • مشاهده فایل­های حذف شده و داده­های Unallocated در متن: EnCase یک نوع Windows Explorer برای داده Unallocated و حذف شده ارائه می­دهد. این شامل: Swap، File Slack، Print Spooler و Fileها می­باشد.
  • حمایت زبان بین ­اللملی: ابزار EnCase بر روی هر زبانی که از Unicode پشتیبانی می­کند، می­تواند search کند و نمایش دهد.
  • بررسی Link File: این فرآیند همه فرم­های Link Fileها (Allocated و Unallocated) را می­خواند و نتیجه را برای آنالیز سریع و آسان decode می­کند.
  • آنالیز سخت­ افزار: ابزار EnCase می­تواند به طور خودکار از فایل­های رجیستری و پیکربندی برای شناسایی انواع سخت­افزار نصب شده روی ماشین هدف، جمع­آوری کند.
  • آنالیز hash: ابزار EnCase به طور خودکار مقدار hash برای همه فایل­ها در Case، می­تواند ایجاد کند.
  • پیدا کردن فایل: این ویژگی به طور خودکار از صفحه فایل، فایل­های انتخاب شده، کلاسترهای Unallocated جستجو می­کند.

گزارشات EnCase

ابزار EnCase پس از انجام فارنزیک قادر به تولید اسناد و گزارشات مربوط به در فرمت­های زیر می­باشد:

  • Templateهای قابلیت سفارشی سازی
  • Text
  • RTF
  • HTML
  • XML
  • PDF
  • گزارش برای Smartphoneها

منابع
Loading...
همه ویدیوها
همه مقالات

درباره شرکت

محصولات

خدمات

مقالات و منابع

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

تهران - بلوار كشاورز، خيابان شهيد نادري پائين‌تر از خيابان ايتاليا، پلاك ۲ واحد ۵۰۵

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن پردازان کویر میباشد.

برای دیدن مطالبی که دنبال آن هستید تایپ کنید.
درخواست دمو
درخواست مشاوره
درخواست قیمت