EnCase Version 6.12 Modules Manual.español

WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIAPROGRAMACIÓN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS

SISTEMAS I/O AVANZADOS DE ALTO NIVEL

[email protected]

Traducido por Sykrayo España

https://sites.google.com/site/sykrayo/

EnCase versión 6.12Módulos Manual


Copyright © 1997-2008 Guidance Software, Inc. Todos los derechos reservados.

EnCase ®, EnScript ®, FastBloc ®, Guidance Software ® y ENCE ® son marcas comerciales registradas o marcas comerciales de GuidanceSoftware en los Estados Unidos y en otras jurisdicciones, y no pueden utilizarse sin el permiso previo y por escrito. Todas las demásmarcas y marcas pueden ser reclamados como propiedad de sus respectivos dueños. Los productos y nombres comerciales queaparecen en este manual pueden ser o no ser marcas registradas o derechos de autor de sus respectivos propietarios, y se utilizan sólopara identificación o explicación en beneficio del propietario, sin intención de infringir.

Ninguna parte de este documento puede ser copiada o reproducida sin el consentimiento escrito de Guidance Software, Inc. Losproductos y nombres comerciales que aparecen en este manual pueden ser o no ser marcas registradas o derechos de autor de susrespectivos propietarios, y se utilizan sólo para identificación o explicación en beneficio de los propietarios sin intención de infringir.Cualquier uso y reproducción de este material está sujeto a los términos del contrato de licencia entre usted y Orientación Software,Inc. excepción de lo establecido en el contrato de licencia o por disposición en contrario en las Secciones 107 y 108 de la Ley deDerecho de Autor 1976 Estados Unidos, ninguna parte de esta publicación puede ser reproducida, almacenada en sistemas derecuperación o transmitida en cualquier forma o por cualquier medio, ya sea electrónico, mecánico, fotocopia, grabación, escaneo o deotro tipo. Manuales de productos y la documentación son específicos de las versiones de software para el que están escritas. Para losmanuales anteriores u obsoletos, información de lanzamiento del producto, póngase en contacto con orientación Software, Inc. en:http://www.guidancesoftware.com. Especificaciones e información contenidas en este manual se suministra únicamente con finesinformativos y están sujetos a cambios en cualquier momento sin previo aviso.


http://www.guidancesoftware.com

Contenido

CAPÍTULO 1 Introducción 3

Introducción 4Requisitos mínimos recomendados 4Instalación de los módulos EnCase 5EnCase módulo de descifrado suite 7EnCase módulo Emulador de disco físico 7EnCase módulo de sistema de archivos virtual 8FastBloc SE 9Módulo de CD / DVD 9

CAPÍTULO 2 EnCase descifrado suite 11

Visión de conjunto 12EDS Características 12Matriz del producto 13Usando EDS 14Tab almacenamiento seguro 17Almacenamiento seguro Artículos 23Soporte SafeBoot Encryption (Encriptación de disco) ............................................................................................. . 23Utimaco SafeGuard Easy Encryption 26Soporte de cifrado BitLocker (Volume Encryption) ........................................... ............................................. 32WinMagic SecureDoc Soporte Encryption 34GuardianEdge cifrado del disco duro Conocido Limitación ................................................................................... 37Soporte CREDANT Encryption (Encriptación basada en archivo) .................................................................................... 37Soporte de cifrado CREDANT (Desconectado 41S / MIME Support Encryption 43NSF Soporte Encryption 49Lotus Notes admite el cifrado local 51Tecla Windows Arquitectura 56Diccionario Attack 56

CAPÍTULO 3 Emulador de disco físico 61

¿Cuál es el disco físico 62Usando Emulador de disco físico 62Terceros 67Arranque archivos de evidencia y Sistemas Live con VMware ....................................................................................... 68VMware / EnCase PDE 72PDE Solución de problemas 73

CAPÍTULO 4 Sistema de archivos virtual 75

¿Qué es VFS? 76Evidencia de montaje con VFS 76Desmontar el recurso compartido de red 84Acceso al Share 85


Terceros 86VFS servidor 8993

CAPÍTULO 5 FastBloc SE módulo 95

¿Qué es el Módulo SE FastBloc? 96Información general 96Instalación del Módulo SE FastBloc 97Utilizando el módulo SE FastBloc 98El almacenamiento en caché de disco 103103

CAPÍTULO 6 Módulo de CD / DVD 107

¿Qué es el módulo de CD / DVD? 108Grabación de archivos de prueba durante 108Grabación de archivos de evidencia lógica durante la adquisición ......................................................................................... 110Grabación de archivos e informes 110Quemar la evidencia existente y archivos de evidencia lógica .................................................................................... 114

Guidance Software 117

Aviso Legal 117Apoyar 117Servicio al cliente 122Foros 123Descargas 123Capacitación 123Servicios profesionales 123

Índice 125


CAPÍTULO 1

Introducción

Introducción

Requisitos mínimos recomendados

Instalación de los módulos EnCase

EnCase módulo de descifrado suite

EnCase módulo Emulador de disco físico

EnCase módulo de sistema de archivos virtual

FastBloc SE módulo

Módulo de CD / DVD


4 EnCase Version 6.12 Modules Manual

IntroducciónDesde la versión 4 del software de EnCase ®, Orientación ® Software ha proporcionado unavariedad de módulos de software que ponen poderosas herramientas de investigación adisposición de los investigadores forenses. Estos módulos son add-ons para el software, yrequieren la compra de certificados de www.guidancesoftware.com para activarlos.

Los siguientes módulos están disponibles para la versión 6.01:

EnCase descifrado Suite (EDS) Emulador de disco físico (PDE) Servidor virtual de archivos (VFS) FastBloc ® Software Edition (SE) Módulo de CD-DVD

Una breve descripción de los módulos siguientes, para más información sobre cómo configurar yutilizar cada uno de los módulos, por favor consulte los capítulos de este documento.

Requisitos mínimos recomendadosPara garantizar un rendimiento aceptable, máquinas que utilizan los módulos EnCase debencumplir los siguientes requisitos mínimos:

La versión actual del software EnCase (actualizaciones están disponibles en el sitio Web enhttp://www.guidancesoftware.com)

Procesador Pentium IV 1.4 GHz 1 GB de RAM Windows 2000, XP o 2003 Server Por lo menos 100 MB de espacio libre en disco duro

VFS Módulo Requisitos Específicos Al menos 100 Mb de infraestructura / s de red para VFS

FastBloc SE Módulo Requisitos EspecíficosUna de las siguientes tarjetas controladoras IDE (Escribe bloqueo de dispositivos IDE a bordo noson compatibles con el módulo SE FastBloc):

Promise Ultra133 TX2 Promise SATA150 TX2plus (sólo los adaptadores SATA son compatibles) Promise Ultra100 TX2 SIIG Ultra ATA/133 PCI SIIG Ultra ATA 100 PCI RAID Tekram Ultra ATA 100 RAID

Para escribir, bloquear puertos SCSI, Guidance Software ha probado y recomienda el siguientehardware:


www.guidancesoftware.com


Introduction 5

StarTech DRW150SCSIBK SCSI bahía de la unidad 29160 de Adaptec tarjeta controladora

CD-DVD Módulo Requisitos EspecíficosUna grabadora de CD / DVD debe estar instalado en el equipo forense. Estos quemadores soncompatibles:

AOPEN Plextor 712A ASUS 0402P Sony RU-710A Memorex DVD doble Toshiba R5372layer 16X w / USB bus Pioneer DVR-108

Instalación de los módulos EnCasePara activar uno de los módulos EnCase, debe tener una copia con licencia del software EnCase ycomprar los módulos correspondientes de Guidance Software. Instalación de los módulos secompleta a través de una de dos maneras:

Certificados programados en la clave de seguridad Los archivos de certificado para la clave de seguridad

Certificados programados en la clave de seguridadSi ha pedido EnCase software al mismo tiempo que ordenó los módulos, su clave de seguridad sepuede programar con los certificados correspondientes, y no se necesitan otros archivos.

Los archivos de certificado para la clave de seguridadSi ha solicitado módulos después de haber recibido su clave de seguridad v6, con lo que recibirá losarchivos de certificado que coinciden con su clave de seguridad. El certificado se activa el módulodentro del software EnCase comparando el número de serie de claves de seguridad con el IDcontenida en el certificado. Puesto que un certificado puede contener más de un identificador deseguridad, una organización puede presentar los IDs de varias claves de seguridad, y recibir uncertificado por módulo para todos los investigadores a utilizar.

Antes de pedir un certificado, determinar los números de identificación de clave de seguridad de lasiguiente manera:

1.Con una clave de seguridad en su lugar, abrir el programa EnCase

2.En la barra de menú superior, haga clic en Ayuda y seleccione Acerca de EnCase

3.El clave de seguridad ID (ID Dongle) aparece en la parte inferior del panel izquierdo



Este es el número que se necesita para dar a Servicio al Cliente al pedir elmódulos.

4.Cuando reciba el archivo de certificado de servicio al cliente, guarde el archivo cert para C: \Program

\ Archivos EnCase6 \ Certificados

Verificación de los módulos están instaladosPara comprobar los módulos que están instalados, haga lo siguiente:

1.En el menú Ayuda, seleccione Acerca de EnCase.

Módulos instalados 2.All se muestran en el panel derecho:


Introduction 7

Limitaciones del módulo de 64 bitsAl utilizar la versión de 64 bits del software EnCase, hay algunas limitaciones importantes enla funcionalidad:

EDS no se admite PDE no se admite VFS no se admite Se admite el módulo SE FastBloc, sin embargo, sólo adquisiciones USB son compatibles

Si usted tiene un equipo de 64 bits, puede instalar un sistema operativo de 32 bits y la versión de32 bits del software EnCase para remediar las limitaciones.

EnCase módulo de descifrado suiteEl módulo de EnCase descifrado Suite permite a los investigadores a descifrar archivos y carpetasprotegidos por varios métodos:

Sistema de cifrado de archivos de Microsoft ® (EFS) Protegidos por contraseña archivos PST de Microsoft Outlook Cifrada la información del Registro de Windows PC Encryption Guardian ® SafeBoot Encryption Utimaco SafeGuard Easy Encryption Cifrado de unidad BitLocker WinMagic SecureDoc Encryption GuardianEdge cifrado del disco duro Cifrado CREDANT S / MIME cifrado NSF Encryption Lotus Notes Encryption Local

El módulo de EDS apoya a nivel local y de dominio autentica a los usuarios la EFS Microsoft. Elmódulo funciona con los sistemas operativos capaces de cifrar los datos con EFS, incluyendoWindows2000 Professional, Windows 2000 Server, Windows XP Professional y Windows 2003 Server. ParaSistema operativo Windows 2000, los archivos de EFS y carpetas se puede descifrar automáticamentesiconfigurado correctamente en un dominio.

EnCase módulo Emulador de disco físicoEl emulador de disco físico puede montar cualquier evidencia EnCase apoyado como undispositivo físico emulado. Para obtener una lista de los formatos compatibles, consulte el manualdel usuario EnCase. Cualquier sistema de archivos compatible con Windows se puede examinar enWindows como un dispositivo físico conectado a la máquina. Si el sistema de archivos no escompatible con Windows (por ejemplo, ext2), el dispositivo seguirá apareciendo en la gestión dedisco.



PDE se puede utilizar en conjunción con VMware Estación de trabajo para arrancar EnCaseimágenes de los discos duros montados con PDE. Esto también proporciona a los investigadorescon la capacidad de compartir archivos de evidencia que se ha accedido remotamente.

Una vez montado, los medios de sólo lectura está disponible para las aplicaciones nativas, elExplorador de Windows, o cualquier herramienta forense utilidad de Windows de terceros oequipo que reconoce los dispositivos locales. Algunos de la funcionalidad proporcionada usandosoftware adicional incluye lo siguiente:

• Archivo talla utilidades • Detectores de esteganografía

• El software de exploración de virus • Indexadores Word

• Los detectores de spyware • software Undelete

• Detectores de Troya • software de detección de cifrado

EnCase módulo de sistema de archivos virtualEl módulo de Sistema de archivos virtual EnCase permite a los investigadores para montar laprueba informática como de sólo lectura unidad de red sin conexión para su examen a través delExplorador de Windows. En particular, esto permite a los investigadores muchas opciones en susexámenes, incluyendo el uso de herramientas de terceros con la evidencia atendida por el programaEnCase.

VFS permite al investigador visualizar los archivos en el Explorador de Windows que normalmenteno pueden acceder por el sistema operativo, como el montaje, borrada y artefactos a nivel desistema de archivos.

Todos los formatos de archivo de pruebas y la imagen de ordenador compatibles con el softwareEnCase se pueden montar con VFS. Para los formatos soportados, por favor consulte el Manualde usuario EnCase.

Vive la evidencia forense apoyado por VFS incluye

Vista previa de la máquina local de los medios extraíbles Vista previa de la máquina local a través del módulo SE FastBloc Vista previa de la máquina local a través FastBloc Classic, FE, y bloqueadores de hardwareLE Cross-over previsualización de cable de red Local previsualización Palm Pilot EnCase Enterprise Edition y el campo de la inteligencia Modelo previsualización red activa

La característica VFS Server permite a los investigadores a servir a la unidad de discovirtual montado a otros investigadores, agentes de casos, abogados, etc, en la red de árealocal para su revisión en el Explorador de Windows.


Introduction 9

FastBloc SE móduloFastBloc Software Edition ofrece una colección de utilidades de controladores de disco, como elmismo seguro objeto multimedia de vista previa y la adquisición de Windows a un archivo depruebas EnCase actualmente disponible de hardware FastBloc y limpieza y restauración de lasunidades conectadas a la tarjeta controladora PCI. IDE, SCSI, USB y FireWire unidadesconectadas al apoyados tarjetas controladoras PCI son escritura bloqueadacuando se configura como tal por el módulo. Limpiar y restaurar de las unidades conectadas alcontrolador también es posible, con los lógicos de restauración conservando el mismo valor hashcomo la unidad original. El módulo SE FastBloc también permite el acceso a las áreas de una unidadsospechosa en Windows (esta funcionalidad no está disponible utilizando un bloqueador deescritura de hardware con el programa EnCase en HPA y DCOWindows).

Módulo de CD / DVDCon este módulo el usuario puede escribir entradas, informes y otros datos seleccionados en un CDo DVD. Esto incluye la capacidad de seleccionar y grabar archivos de EnCase evidencia y archivosde evidencia lógica, o escribir a los medios de comunicación en la adquisición.



CAPÍTULO 2

EnCase descifrado suite

Visión de conjunto

EDS Características

Matriz del producto

Usando EDS

Tab almacenamiento seguro

Almacenamiento seguro Artículos

Soporte SafeBoot Encryption (Encriptación de disco)

Utimaco SafeGuard Easy Soporte Encryption

Soporte de cifrado BitLocker (cifrado de volumen)

WinMagic SecureDoc Soporte Encryption

GuardianEdge cifrado del disco duro Conocido Limitación

Soporte CREDANT Encryption (Encriptación basada enarchivo)

Soporte de cifrado CREDANT (Desconectado Escenario)

S / MIME Support Encryption

NSF Soporte Encryption

Lotus Notes admite el cifrado local

Tecla Windows Arquitectura

Diccionario Attack



Visión de conjuntoEnCase descifrado Suite (EDS) permite el descifrado de archivos y carpetas cifrados por losusuarios de dominio y usuarios locales, incluyendo:

De disco y cifrado de volumenMicrosoft BitLocker

GuardianEdge cifrado en cualquier lugar

GuardianEdge Plus

Utimaco SafeGuard Easy

McAfee SafeBoot El archivo cifrado basado en

Microsoft Sistema de cifrado de

archivos (EFS) CREDANT Mobile

Guardián Archivos montados

PST (Microsoft Outlook)

S / MIME de correo electrónico cifrado en archivos PST

NSF (Lotus Notes)

Almacenamiento protegido

(ntuser.dat) colmena

Seguridad

Active Directory 2003 (ntds.dit)

EDS Características

De disco y cifrado de volúmenesCuando se agrega un archivo de prueba (. E01) o un nuevo disco físico a un nuevo caso, el registro deinicio maestro(MBR) se comprueba con firmas conocidas para determinar si el disco respectivo es cifrada.

Si el disco está cifrado, EnCase pide las credenciales de usuario (consulte la matriz de productosen la página 13 para obtener una lista credenciales requeridas para productos de cifradoadmitidos).

Si se introducen las credenciales correctas, EnCase descifra el disco. No ataques a contraseñas son

compatibles. EDS apoya estos productos de cifrado de disco / volumen:

Microsoft BitLocker GuardianEdge cifrado en cualquier lugar Utimaco SafeGuard Easy McAfee SafeBoot


EnCase Decryption Suite 13

Encriptación basada en archivoEl cifrado se puede aplicar en el nivel de archivo o carpeta. Si los archivos o carpetas estánencriptadas, EnCase pide credenciales (ver tabla de productos en la página 13 para obtener una listacredenciales requeridas para productos de cifrado admitidos).

Si se introducen las credenciales correctas, EnCase descifra los archivos o

carpetas. EDS apoya estos productos de cifrado basados en archivos:

Microsoft Sistema de cifrado de archivos (EFS) CREDANT Mobile Guardián

Los archivos montadosEnCase puede revisar archivos montados y la búsqueda de datos cifrados. Si los archivosinstalados se cifran, EnCase solicita las credenciales del usuario (ver tabla de productos en lapágina 13 para obtener una lista credenciales requeridas para productos de cifrado admitidos).

Si se introducen las credenciales correctas, EnCase descifra los archivos montados. Estos tipos dearchivos montados son compatibles:

PST (Microsoft Outlook) NSF (Lotus Notes) Almacenamiento protegido (ntuser.dat) Seguridad colmena Active Directory 2003 (ntds.dit)

Matriz del productoLa siguiente tabla muestra los productos de cifrado compatibles con EDS y las credencialesnecesarias para dar con el fin de utilizarlos con EnCase.

Producto Contraseña

Usuario

Dominio Máquina Servidor

Camino

Otro

GuardianEdgeEncryption Plus

X X

GuardianEdgecifrado encualquierlugar

X X X

UtimacoSafeGuard Easy

X X

McAfeeSafeBoot

Online

X X X X Algoritmo

SafeBootDesconectado

X X Algoritmo



CREDANTMobileTutor

Online

X X MáquinaCREDANT

ID

X EscudoCREDANT

ID

MobileGuardiánDescone

ctado

X X

MicrosoftBitLocker

X Clave

MicrosoftSistema decifrado dearchivos

(EFS)

X Keys

Postal

X

Lotus correo X ArchivoID

S / MIME X PFX

Usando EDS

Analizar EFSEste comando examina un volumen de datos y los procesa. También puede ejecutar AnalizarEFS del almacenamiento seguro, en ese caso, se ejecuta consecutivamente en todos losvolúmenes en un caso.



1.Haga clic en el volumen que desea analizar y haga clic en Analizar las EFS en el menúdesplegable.

2.La primera Analizar muestra el diálogo EFS. Haga clic en Siguiente.



3.El segundo Analizar muestra el diálogo de EFS con los documentos y la configuración deruta y los campos de ruta del registro de población de forma predeterminada. Paraconfiguraciones del sistema inusuales, datos, discos y otros sistemas operativos estosvalores estarán en blanco. Usted puede modificarlos para señalar las carpetas de perfil deusuario y / o la ruta de registro.

4.Haga clic en Siguiente para iniciar la exploración.

5.Cuando haya finalizado la exploración, el cuadro de diálogo de estado EFS muestrainformación estadística sobre las teclas que se encuentran y se descifra y recuperacontraseñas de registro.



6.Cuando haya terminado de revisar el estado de EFS, haga clic en Finalizar.

Nota: Analizar EFS también pueden aparecer al Syskey y contraseña pantallas de discos derecuperación.

EFS de archivos y archivos de evidencia lógica (L01)Para descifrar un archivo cifrado EFS se necesita lo siguiente:

1.El módulo EDS EnCase

2.El juego $ EFS corriente. Esto es esencial, ya que contiene la clave de descifrado.

Juego 3.A cifrar la clave privada. Esto puede ser los agentes clave de recuperación o una clavede usuario.

4.file holgura puede ser necesaria si el tamaño del archivo no es un múltiplo de 16. Esto sedebe a que los archivos se descifran en trozos de 16 bytes.

Nota: Por ejemplo, un archivo de 17 bytes necesita 15 bytes de holgura conel fin de descifrar el último fragmento. De lo contrario, sólo múltiplos de 16 sedescifran.

En la versión 6.11 EnCase, los escenarios para archivos de evidencia lógicas son diferentes a lasversiones anteriores deEnCase:

1.El archivo está cifrado y la corriente $ EFS no se encuentra en la misma carpeta en la L01:el archivo no se puede descifrar.

2.El archivo está cifrado y la corriente $ EFS se encuentra en la misma carpeta: el archivo puedeser descifrado

(Excepto para el resto del archivo, si la hay).

3.El archivo se descifra y la corriente $ EFS no está presente: el archivo sigue siendo descifrado.

4.El archivo se descifra y la corriente $ EFS se encuentra en la misma carpeta: el archivose descifra dos veces.

Nota: La solución en el caso 4 es deshabilitar EFS o eliminar la clave privada del almacenamientoseguro.

Desde la versión 6.11 en adelante, todos los escenarios anteriores se manejan con gracia, porquela corriente de $ EFS se añade internamente.

Si el archivo está cifrado, la corriente de $ EFS se almacena de forma automática con elarchivo de metadatos. Si se descifra el archivo, la corriente de $ EFS no se almacena de forma automática, ya que

no se necesita. Esto no le impide el almacenamiento de la corriente por el ahorroespecíficamente a la LEF.

Nota: Si un archivo cifrado se descifra y se agrega, se indica y se muestra en el informe.

Tab almacenamiento seguroPara organizar los datos de seguridad se reunieron con Analice EFS, EnCase incluye una pestaña dealmacenamiento seguro, que muestra las contraseñas, claves y otros elementos analizados a partirde los archivos de sistema y registro.

Aunque la ficha está siempre presente en la interfaz, debe instalar el módulo EDS para que lamayoría de la funcionalidad.



Tab almacenamiento seguro y EFSPara rellenar la ficha Almacenamiento seguro:



1.Ejecute Analizar EFS (véase la página 14).

2.Seleccione la ficha de almacenamiento seguro.

3.Haga clic en un elemento en el árbol de almacenamiento seguro para ver su contenido.

Ingrese Artículos

Introduzca Syskey

Puede introducir información Syskey antes de ejecutar el asistente de Análisis de EFS, oposteriormente si el asistente se considerará ya completado.

1.Haga clic en la entrada de la raíz de almacenamiento seguro.

2.Seleccione Introduce elementos de la lista desplegable, seleccione la ficha Syskey Enter.

3.Seleccione la ubicación de la Syskey (por ejemplo, una ruta de archivo o un disquete) ointroduzca la contraseña manualmente.

4.Haga clic en Aceptar.



Usuario Contraseña

Si conoce la contraseña de los usuarios:


2.Seleccione Introduce elementos de la lista desplegable, seleccione la ficha contraseña deusuario.

3.Introduzca la contraseña.


Si el Syskey está protegido y que no conoce la contraseña, un ataque en el archivo SAM paracontraseñas de usuario no tendrá éxito. Esta es una situación poco frecuente. La mayoría de lasmáquinas de Windows no tendrán un Syskey protegida. EDS incluye una opción de ataque dediccionario para conseguir más allá de Syskey protegida. Puede obtener los archivos dediccionario de un número de fuentes. Para acceder a la configuración, haga clic en la raíz dealmacenamiento seguro y seleccione Diccionario Attack.

Durante el Analizar EFS de escaneo del registro, EnCase le avisa si el Syskey está protegido concontraseña, o se ha exportado a un disquete. En estos casos, la EFS Analizar asistente le pedirá queintroduzca la contraseña Syskey y / o insertar el disquete que contiene el Syskey o buscar laubicación del archivo de Syskey. El archivo de Syskey se llama startkey.key, y usted debeexaminar todos los disquetes recogidos en la escena de la presencia de este archivo. Si se recuperael archivo Syskey en un disquete, se puede copiar / sin borrar de EnCase a la máquina de examen,y se puede navegar a la startkey.key ubicación. Este proceso es el mismo que cuando seutiliza el disco de recuperación de contraseña.

Password Recovery Disk

Windows XP y 2003 Server permiten a los usuarios locales para crear un disco de recuperación quecontiene la contraseña cifrada. El disco está diseñado para permitir a los usuarios restablecer sucontraseña si la olvida, sinperder todos sus archivos cifrados EFS y otras credenciales de seguridad importantes. El archivo sellama userkey.psw, y usted debe examinar disquetes recuperados en el lugar de la presencia deeste archivo.

1.Con el disquete insertado o el archivo copiado a un disco duro, haga clic en la entrada de laraíz de

Almacenamiento seguro.



2.Seleccione Introduce elementos de la lista desplegable, a continuación, seleccione la fichaDisco de recuperación de contraseña.

3.Haga clic en el botón de opción, archivo o disquete, donde se encuentra el archivo.

4.Ingrese el camino o navegue hasta él y, a continuación, haga clic en Aceptar.

Archivo de clave privada

Si la contraseña de inicio de sesión no está disponible, se puede obtener la clave privada deadministradores de dominio (PFX). Esto también funciona para la clave de usuario. Para exportar yusar la clave:

1.As administrador de dominio, haga doble clic C: \ Windows \ system32 \certmgr.msc para iniciar la consola de administración de Microsoft.

2.Localice la carpeta de certificados que contiene el certificado de administradores de dominio.

3.Right clic en el certificado.

4.from menú Todas las tareas, haga clic en Exportar.

5.In el Asistente para exportación de certificados, haga clic en Siguiente.

6.Haga clic en Sí, exportar la clave privada y, a continuación, haga clic en Siguiente.

7.Accept el valor predeterminado para el formato de archivo de exportación, haga clic enSiguiente.

8.Seleccione una ruta y el nombre de la clave (Esto asigna una extensión PFX.), A continuación,haga clic en Siguiente.

9.When solicite, anote la contraseña introducida.

Nota: La contraseña no puede dejarse en blanco. Es necesariocuando se utiliza la tecla.

10. Haga clic en Siguiente. Una ventana de confirmación muestra detalles sobre la exportación.

11. Haga clic en Finalizar para completar la exportación.

12. Haga clic en la entrada de la raíz de almacenamiento seguro.

13. Seleccione Introducir elementos de la lista desplegable, a continuación, seleccione la pestañaArchivo de clave privada.



14. Introduzca la ruta o navegue hasta él.

15. Introduzca la contraseña en el siguiente indicador, a continuación, haga clic en Aceptar.

Una pantalla de estado confirma la finalización con éxito y se visualizará la clave privada enel seguroFicha Almacenamiento.

Introduzca Certificado correo

Puede introducir un certificado. PFX utilizar para descifrar mensajes de correo electrónico S / MIMEcifrados que se encuentran en los archivos PST.


2.Seleccione Introduce elementos de la lista desplegable, seleccione la ficha Correo CertificadoEnter.

3.Ingrese la ruta al archivo. Certificado PFX y la contraseña.


5.El. PFX cert se descifra y se guarda en lugar seguro.

Asociar seleccionadoPara asociar * nix usuarios con volúmenes:

1.Seleccione la ficha de almacenamiento seguro.

La casilla de verificación junto al elemento o elementos que desea asociar 2.Haga clic.

3.Right haga clic en un elemento activado.



Asociado 4.Seleccione Seleccionado en la lista desplegable.

5.Los muestra el diálogo Asociados.

6.Expand el árbol volúmenes y seleccione los volúmenes que desea asociar.




Almacenamiento seguro ArtículosEn la ficha Informe del panel de Vista que usted puede ver los detalles del elementoseleccionado actualmente en el almacenamiento seguro. Los puntos de vista de texto y Hexmuestran los datos brutos. Estos artículos tienen las siguientes propiedades:

Nombre Cifrado Tipo SubtipoContraseña ContraseñaEscriba

Los siguientes artículos son de interés:

Alias: Estos son identificadores de seguridad (SID) que apuntan a una o más entidades SID.Tienen unanombre y uncomentario.

Grupos: SID que apuntan a una o más entidades SID. Ellos tienen un nombre y un comentario.Se trata de grupos definidos como administradores e invitados.

Los usuarios SAM: Estos son usuarios locales. Los detalles aparecen en la ficha de informe

del panel de visualización. Contraseñas: ¿Encontró examinador y contraseñas adicionales

aparecen aquí.

Inicios de sesión neto: Son los usuarios locales. Los detalles aparecen en la ficha de informe

del panel de visualización. Nix Usuario / Grupo: Usuarios / grupos Unix

Lotus: Lotus Notes

Certificados de correo electrónico: Se utilizan para S / MIME descifrado y

verificación de la firma. Credenciales disco: key cache persistente de productos de

cifrado de disco / volumen

Llaves Maestras: Cada usuario con una clave privada tiene una llave maestra que loprotege. La clave maestra en sí está encriptada con un hash de la contraseña de Windowsdel usuario.

Claves Privadas: Utilizado en el descifrado dearchivos EFS

Internet Explorer (IE) contraseñas: Las contraseñas deIE 6

Secretos Política: Son secretos de LSA. Incluyen la contraseña por defecto y las contraseñasde los servicios. Algunos de estos secretos no son claves, pero los datos binarios colocadosallí por el sistema y las aplicaciones.

SAM Keys / claves Política / DPAPI / CERT: Para usointerno

Soporte SafeBoot Encryption (Encriptación de disco)EnCase proporciona una forma para que las veas SafeBoot discos duros cifrados durante una


EnCase Decryption Suite 25investigación. Esta función sólo está disponible para un usuario con una EDS cert habilitado.

Nota: Si no se encuentra ninguna EDS cert o los archivos DLL de integración no se ha instaladocorrectamente, el dispositivo físico se montará, pero la estructura de archivos de cifrado no puede seranalizado. Desde SafeBoot sobrescribe el MBR original solamente para el disco de arranque, siempreescuchar el disco de arranque y luego cualquier otro disco en una configuración de la máquina multi-disco.

1. Utilice el Asistente para agregar dispositivos paraagregar el dispositivo físico.



2.Cuando se le solicite, seleccione el algoritmo de cifrado adecuado de la lista, a continuación,introduzca un nombre de usuario, nombre del servidor, nombre de la máquina, y lacontraseña en el modo en línea.

La unidad cifrada SafeBoot se analiza.

El diálogo de conexión es similar. La casilla de verificación en línea está en blanco y sóloel nombre de la máquina, el campo Transferir bases de datos y algoritmos estándisponibles:

3.Guarde el caso una vez descifrado con éxito es completo. Las credenciales especificadas en elcuadro de diálogo se guardan en lugar seguro, eliminando la necesidad de ingresar denuevo.



Esta ilustración muestra los resultados de un descifrado con éxito. El panel Árbol muestrauna SafeBootcarpeta, el panel de la tabla contiene una lista de archivos descifrados, mientras que elpanel de texto muestra el contenido de un archivo descifrado.

4.El figura siguiente muestra los mismos archivos que aparecen cifrados.



Algoritmos de cifrado compatibles SafeBootEncierra función de descifrado SafeBoot apoya estos algoritmos de cifrado:

AES256 FIPS AES256 DES RC5 - 12 Rondas RC5 - 18 Rondas

Utimaco SafeGuard Easy Soporte EncryptionEnCase proporciona una forma para que las veas SafeGuard Easy discos duros cifrados (SGE)durante una investigación. Esta función sólo está disponible para un usuario con una EDS certhabilitado.

Nota: Si no se encuentra ninguna EDS cert o los archivos DLL de integración no se ha instaladocorrectamente, el dispositivo físico se montará, pero la estructura de archivos de cifrado no puede seranalizado. Desde SafeGuard Easy sobrescribe el MBR original, sólo para el disco de arranque, sólo el disco dearranque puede ser descifrado en EnCase.

1.Use el Asistente para Agregar dispositivo para agregar el dispositivo físico.

2.EnCase detecta el dispositivo y muestra el nombre de usuario y contraseña de diálogo.

3.Ingrese un nombre de usuario y contraseña en el modo en línea válida.


5.Once un descifrado con éxito es completo, salvo el caso. Las credenciales especificadasen el cuadro de diálogo se guardan en lugar seguro, eliminando la necesidad deingresar de nuevo.

Nota: Si la contraseña está vacía, se abre el asistente de desafío / respuesta. Para obtener másinformación, consulteUtimaco desafío / respuesta de Apoyo en la página 27.

Apoyado Utimaco SafeGuard Easy Algoritmos de cifradoEncierra Utimaco SafeGuard función de descifrado Fácil apoya estos algoritmos de cifrado:



AES192 AES256 DES 3DES

Utimaco desafío / respuesta de ApoyoUtimaco tiene un método alternativo para descifrar los datos usando un desafío / código derespuesta. Una vez que el código está autenticado, EnCase devuelve la clave y los datosadicionales (tales como los sectores cifrados) necesarias para descifrar los datos.

1.In el diálogo de credenciales SGE, introduzca un nombre de usuario pero deja la contraseñaen blanco.


Diálogo de respuesta de desafío 3.A muestra el código de desafío en azul. Mantenga estediálogo abierto mientras realiza los pasos siguientes.



4.Log sesión como administrador. En la página de Inicio de Windows, haga clic en TodosProgramas → → Utimaco SafeGuard Easy → Asistente código de respuesta.

5.Los Aparece el diálogo Bienvenido.



6.Haga clic en Siguiente para comenzar a generar una contraseña de un solo uso (OTP). Eldiálogo Cuenta Autorización muestra.

7.Haga clic en Siguiente. El cuadro de diálogo ID de usuario remoto muestra.

8.Ingrese el ID de usuario que se utilizó para obtener el código de desafío, a continuación, hagaclic en Siguiente.



Aparece el diálogo Código reto 9.El. Introduzca el código de desafío generado por EnCasedesde el paso 3.

10. Haga clic en Siguiente. El cuadro de diálogo Remote Command muestra.

11. Seleccione un tiempo de inicio de sesión, haga clic en Siguiente.



12. El cuadro de diálogo Resumen muestra el código de respuesta en azul.

13. En el cuadro de diálogo EnCase desde el paso 3, seleccione la longitud del código yescriba el código de respuesta para permitir el descifrado de los datos encriptadosseleccionado.

14. Haga clic en Aceptar.

15. En el cuadro de diálogo Resumen de la etapa 12, haga clic en Cerrar para cerrar elAsistente de código de respuesta fácil SafeGuard, o haga clic en Nuevo para generarun nuevo código de respuesta de un código de desafío diferente.



Utimaco SafeGuard Easy Encryption limitación conocidaUtimaco SafeGuard Easy trata de una máquina con múltiples unidades de disco duro como undisco duro que consiste en todos los sectores de todos los discos duros físicos.

Por el contrario, EnCase examina cada unidad de disco duro de forma individual. Esto crea unproblema:

SafeGuard Easy sobrescribe sólo el Master Boot Record (MBR) del disco de arranque Sólo el disco de arranque se detecta como encriptado y desencriptado (dadas las

credenciales correctas se introducen)

Esto significa EnCase apoyo a SafeGuard Easy está limitada a descifrar sólo el disco de arranque, yaque esta es la única unidad que detecta como encriptado mediante el examen de la RBM.

Soluciones provisionales

Hay dos soluciones para este problema. La primera solución:

1.Obtain ambos discos.

El disco interno de la celebración de la SafeGuard Easy

kernel (disco 1), es decir, el disco no sea de arranque externo

(disco 2)

2.Abra el kernel en el disco 1. A continuación, puede acceder al disco 2.

La segunda solución:

1.Obtain un archivo de copia de seguridad SafeGuard Enterprise (SGN) kernel del disco 1.

2.Restore disco 1 en un disco vacío.

3.Add el disco no sea de arranque como disco 2. La información en el kernel reciénrestaurada le da acceso al disco 2.

Soporte de cifrado BitLocker (cifrado de volumen)Microsofts BitLocker está disponible en Windows Vista Enterprise y Ultimate. Se cifra un volumenentero usando uno de los tres modos de almacenar la clave de cifrado:

Modo de funcionamiento transparente (requiere Trusted Platform Module [TPM]) Modo de autenticación de usuario (requiere TPM) El modo de memoria USB (no requiere TPM)

Cuando BitLocker está habilitado, se crea un archivo de gran tamaño que contiene todos sin asignarespacio (UAC), menos 6Gigabytes.

Llave de la recuperación y la contraseña de recuperación de archivos

La clave de recuperación es un archivo con un nombre GUID (por ejemplo, 67FA3445-29D7-4AB5-8D0F-7F69B88D1C04.BEK).

La recuperación de la contraseña es un Encryption Standard (AES) de 256 claves avanzada en texto


EnCase Decryption Suite 35sin formato (. TXT).



Estas teclas se corresponden con volumen GUID y clave Protector GUID y por lo general sealmacenan en una memoria flash extraíble.

Descifrar un dispositivo cifrado BitLocker Usando llave de la recuperación1.Add un dispositivo de cifrado BitLocker en EnCase utilizando Agregar dispositivo o caída yarrastre.

Aparece el diálogo Credenciales de BitLocker 2.Los.

Botón de opción Recovery Key 3.El está seleccionada por defecto. Busque la ubicación delarchivo. BEK

clave de recuperación.


Descifrar un dispositivo cifrado BitLocker Utilizando Password Recovery1.Add un dispositivo de cifrado BitLocker en EnCase utilizando Agregar dispositivo o caída yarrastre.



Aparece el diálogo Credenciales de BitLocker 2.Los.

3.Seleccione el botón de opción de recuperación de contraseña, introduzca la contraseña derecuperación.


Después de una autenticación exitosa, EnCase guarda las credenciales de almacenamiento seguro,por lo que no tiene que volver a entrar en la próxima vez que abra la caja guardada.

WinMagic SecureDoc Soporte EncryptionUsted puede acceder al disco duro de un sistema de cifrado con software SecureDoc. EnCase soportaSecureDoc versión 4.5 y superiores.



Hay tres maneras de agregar discos SecureDoc deEnCase:

Vista previa de la unidad de disco duro Utilice el Asistente para agregar dispositivos Arrastre los archivos de los datos probatorios en EnCase

Una vez que obtenga una vista previa de un disco de máquinas o abre un expediente deprueba, el Master Boot Record (MBR) se compara con firmas conocidas para determinar si eldisco está cifrado. La firma se SecureDoc trastornos musculoesqueléticos.

Cada usuario SecureDoc tiene un archivo de clave que puede contener varias claves cifradas conuna contraseña asociada con el archivo.

SecureDoc usuarios tienen ya sea administrador o privilegiosde usuario.

Los administradores pueden cifrar / descifrar unidades, restablecer contraseñas, añadir claves aun archivo de clave, etc Los usuarios sólo pueden cambiar sus contraseñas

Se proporciona un instalador para colocar estos archivosDLL de integración en% EnCase% \ Lib \ WinMagic \SecureDoc:

SDForensic.dll SDC.dll SDUser.dll

Nota: La integración es compatible con la versión de 32 bits de EnCase.

1.Cuando agregar un disco SecureDoc, Encajar solicita tres credenciales:

un. La ruta de acceso al archivo que contiene las claves de usuario (extensión. Dbk)

b. La contraseña asociada con el archivo de clave



c. La ruta a la carpeta del disco de emergencia correspondiente al disco físico enexamen

2.Para ingresar las credenciales, haga clic en Aceptar.

3.If las credenciales son correctas, EnCase descifra el disco y analiza la estructura del sistema dearchivos.

4.Cuando se guarda el caso, de los rangos de los sectores cifrado y el MBR originales seconservan en el archivo del caso de las unidades de preestreno, así como archivos deevidencia.

La vista del disco muestra la información codificada en el texto y Hex paneles de las

unidades encriptadas. La vista del disco muestra la información descifrada en el texto y Hex

paneles para unidades descifrados.

Adquirir el dispositivo

A la adquisición local de los resultados a nivel de dispositivos físicos en la adquisición detodos los volúmenes lógicos descifrados.

La adquisición de la empresa en los resultados a nivel de dispositivos físicos en laadquisición de todos los sectores en un estado encriptado.

Nota: Para obtener los datos descifrados, lleve a cabo una adquisición local en el resultado de la adquisiciónremota.

Nota: SecureDoc 4.5 no permite para permitir que el SCSI_PASS_THROUGH; debido a esto, los datos detodos los sectores se descifra por el controlador de filtro de SecureDoc durante una adquisición física.

Usted puede adquirir ya sea:

Todos los volúmenes lógicos mediante la adquisición a nivel físico Un volumen lógico individuo mediante la adquisición en el nivel lógico

La adquisición completado contiene los volúmenes descifrados. Usted no necesita unacontraseña para acceder a la estructura de archivos.



GuardianEdge cifrado del disco duro Conocido LimitaciónCon GuardianEdge cifrado de disco duro (GEHD) versión 8.6 y superiores, no puede utilizar lascredenciales de administrador de cliente para autenticar a una unidad física en EnCase.

Mientras que la adición de la unidad de disco duro física (en oposición a una lógica de adquisición),aparece una pantalla de autenticación. Si se introduce la cuenta del cliente administrador, lacontraseña y el dominio, la pantalla de autenticación aparece varias veces sin tener que pasar a lasiguiente etapa.

Debido GEHD tiene administradores de clientes sin dominio, es necesario utilizar un campopredeterminado para el dominio:

1.Asegúrese tiene el módulo EnCase descifrado Suite con soporte Tutor PC instalado(Ayuda → Acerca de EnCase).

2.In el campo Dominio, introduzca EA # DOMINIO como la cuenta deadministrador de clientes.

Para obtener más información, consulte el artículo de Knowledge Base 00002281 en el GuardianEdgeAtención al clientePortal (https://na4.salesforce.com/sserv/login.jsp?orgId=00D300000001ZQU).

Soporte CREDANT Encryption (Encriptación basada enarchivo)EnCase proporciona una forma de acceder a los datos CREDANT-cifrados en dispositivos Windows.

Nota: Usted puede obtener el instalador API CREDANT de Soporte Técnico CREDANT. Realice lainstalación, y luego comenzar el examen.

EnCase revisa sus archivos montados y busca datos CREDANT cifrados (archivo CredDB.CEF). Siencuentra estos datos, aparece un diálogo de inicio de sesión.



Diálogo 1.El rellena con un nombre conocido por usuario y contraseña, servidor, ID de lamáquina, y el Escudo CREDANT ID (SCID). Archivos CREDANT se procesan y sedescifran sin más interacción, ya que las credenciales son correctas.



El diálogo de conexión es similar. La casilla de verificación en línea está en blanco y el ID de lamáquina y los campos SCID no están disponibles.

2.Guarde el caso una vez descifrado con éxito es completo. Las credenciales especificadas en elcuadro de diálogo se guardan en lugar seguro, eliminando la necesidad de volver a entraren ellos.

La siguiente ilustración muestra los resultados de un descifrado con éxito:



El panel de árbol muestra una carpeta CREDANT El panel de tabla contiene una lista de archivos descifrados El panel de texto muestra el contenido de un archivo descifrado

La siguiente ilustración muestra los mismos archivos que aparecen sin cifrar.



Algoritmos de cifrado CREDANT compatiblesEncierra función de descifrado CREDANT apoya estos algoritmos de cifrado:

AES128 AES256 3DES Rijndael 128 Rijndael 256 Blowfish

Soporte de cifrado CREDANT (Desconectado Escenario)Si la máquina que se investigue no esté en la red con el servidor CREDANT, debe obtener las llavesCREDANT y almacenarlos en un lugar de fácil acceso a la máquina examinador.

Antes de comenzar:

Debe instalar el instalador Biblioteca CREDANT para ejecutar la utilidad de los archivos DLLcorrespondientes. Usted puede obtener el programa de instalación desde el soporte técnicoCREDANT.

Debe tener EnCase suite descifrado instalado en el dongle examinador que descifrará elDatos CREDANT cifrados.

Usted debe obtener la dirección del CREDANT Mobile guarda (CMG) servidor de dispositivos.

Usted debe obtener un nombre de usuario y una contraseña. El administrador CREDANT debetener privilegios de administrador forenses, según se especifica en la interfaz de Web Serverpara CMG CMG v5.4 y servidores posteriores. El administrador debe tener privilegios deadministrador de seguridad para el servidor v5.3.

Usted debe obtener los administradores de dominio de inicio de sesión (por CMG 6.0 yservidores posteriores solamente), el ID de la máquina para el dispositivo de destino (MUID),el Escudo CREDANT ID (SCID), el nombre de usuario que el material de claves está siendodescargado, y la contraseña utilizar para cifrar el archivo de salida. bin.

1.At un equipo que tiene la comunicación con el servidor CREDANT, ejecute elCEGetbundle.exe utilidad desde el símbolo del sistema de Windows. CEGetBundle.exees suministrada por CREDANT en el instalador Biblioteca CREDANT, que tambiéninstala las DLL necesarias para el descifrado. Copie el archivo DLL y MAC integraciónal dispositivo de destino también.

2.Supply los parámetros de la siguiente manera: CEGetBundle [-L] XURL-aAdminName-AAdminPwd [-

DAdminDomain] [-dDuid] [-sScid] [-unombreDeUsuario]-oOutputFile-oOutputFile-IOutputPwd

-L El modo tradicional de trabajar con pre 5.4 instalaciones de servidor

URL Dispositivo URL del servidor (porejemplo,https://xserver.credant.com:8081/xapi)

ADMINNAME Nombre de usuario Administrador

Adminpwd Contraseña de administrador



AdminDomain Administrador de dominio (opcional: Sólo es necesario siel servidor CMG está configurado para soportar múltiplesdominios)

MUID ID de la máquina para el dispositivo de destino (también conocidocomo el únicoID o nombre de host)

SCID Escudo CREDANT ID (también conocido como DCID oDispositivo ID)

Nombre de usuario Nombre del administrador forense

OutputFile Archivo para guardar el material clave en

OutputPwd Contraseña para cifrar el archivo de salida

He aquí un ejemplo de comando: cegetbundle-L-Xhttps :/ / CredantServer:8081/xapi - aAdministrator-Achangeit-dCredantWorkstation.Credant.local-sCI7M22CU - uAdministrator-oC: \ CredantUserKeys.bin-iChangeIt

3.Coloque el archivo. Bin descargado desde el servidor de CREDANT en un camino de accesodesde la máquina examinador. Abra EnCase y crear un caso nuevo o abrir uno existente.Debe tener EnCase suite descifrado instalado en el equipo examinador que descifra losdatos cifrados CREDANT.

Nota: En el modo tradicional, debe ejecutar esta utilidad para cada usuario específica parala investigación en el dispositivo de destino y especificar el mismo archivo de salida. Lasclaves para cada usuario se anexan a este archivo de salida.

4.Acquire un dispositivo con archivos cifrados CREDANT, o cargar un archivo de pruebas enel caso. El Ingrese muestra el diálogo Credenciales y le solicita sólo el nombre de usuario,contraseña, servidor de archivos sin conexión, el ID de la máquina, y el escudo CREDANTID Información del servidor / (SCID).

Nota: En el modo sin conexión, la única información que debe proporcionar es la contraseña y elservidor / fuera de líneaServidor de archivos (la ruta completa y el nombre del archivo. Bin descargado mediante la utilidadCEGetBundle.exe).

Cuando EnCase descifra archivos cifrados CREDANT, la información clave se coloca en elalmacenamiento seguro en EnCase, y se guarda con el caso. Usted no tiene que volver a introduciresta información.

Archivos CREDANT y archivos de evidencia lógica (L01)Para descifrar un archivo cifrado EFS se necesita lo siguiente:

1.El módulo EDS EnCase

Archivo CredDb.CEF 2.El residen en la carpeta. Esto es esencial, ya que contiene lainformación para llegar a la clave de descifrado.

En las versiones anteriores a 6.12 EnCase, hay diferentes escenarios de archivos de evidencia lógicade versiones anteriores de EnCase:

1.El archivo está cifrado y el archivo CredDB.CEF no se encuentra en la misma carpeta en laL01:

el archivo no se puede descifrar.

2.El archivo está cifrado y el archivo CredDB.CEF se encuentra en la misma carpeta: el archivose puede descifrar.

3.El archivo se descifra y el archivo CredDB.CEF falta: el archivo sigue siendo descifrado.



4.El archivo se descifra y la corriente CredDB.CEF se encuentra en la misma carpeta: elarchivo se descifra dos veces.

Nota: La solución en el caso 4 es cancelar el diálogo Credenciales CREDANT o eliminar elTeclas CREDANT del almacenamiento seguro.

Desde la versión 6.12 en adelante, todos los escenarios anteriores se manejan con gracia, porque elarchivo CredDB.CEF se añade internamente.

Si el archivo está cifrado, la corriente CredDB.CEF se almacena de forma automáticacon el archivo de metadatos.

Si se descifra el archivo, la corriente CredDB.CEF no se almacena de forma automática,ya que no se necesita. Esto no le impide el almacenamiento de la corriente por el ahorroespecíficamente a la LEF.

Nota: Si un archivo cifrado se descifra y se agrega, se indica y se muestra en el informe.

S / MIME Support EncryptionEl EnCase S / MIME Support Encryption proporciona la capacidad para descifrar S / MIMEmensajes de correo electrónico cifrados que se encuentran en los archivos PST. Correo electrónicoenviado o recibido con las extensiones de archivo. Pst, mbox y. Apoyo edb el S / MIME PKCS # 7estándar.

Debe tener certificados PFX PKCS 12 (standard) instalados antes del análisis. PST, EDB y MBOXcontenedores correo son compatibles.

Para descifrar S / MIME de los datos:

1.Abra o crear un caso y entrar de almacenamiento seguro.

2.Haga clic en una carpeta en el panel izquierdo.

Aparecerá un menúdesplegable.



3.Seleccione Introduce elementos.

El Enter abre la ventana Objetos.

4.Seleccione la ficha Certificado correo Intro.

Nota: El formato del certificado sólo es permitido. PFX.

5.Ingrese la ruta al certificado PFX y la contraseña y, a continuación, haga clic en Aceptar.

El PFX cert se descifra y se guarda en lugar seguro.

S / MIME descifrado y verificación de firma que sucede en el fondo.

Dada la contraseña correcta, el certificado se almacena en almacenamiento seguro en la carpetaCertificados E-Mail. Después de importar los certificados necesarios en el almacenamientoseguro, puede analizar los archivos contenedores de correo electrónico mediante la función deestructura de archivos Ver en la entrada View.



S / MIME Email contenidos de certificados se muestran así en almacenamiento seguro:



Cuando el análisis se ha completado con éxito y una lista de directorios muestra. En la ilustración,la carpeta tiene derecho smime.p7m (S / MIME de datos se presenta como un archivo adjunto decorreo electrónico). En vista de los comentarios, el texto del mensaje se muestra en el panel de texto,mientras que los mensajes de correo electrónico archivos adjuntos aparecen en el panel de la tabla.



Ver y trabajar con el contenido de la ficha Registros.

Solución de problemas de S / MIME descifrado ErrorSi no se puede descifrar, puede comparar ver las entradas con registros ven a tratar de encontrar elerror.



Entradas de vista:

Registros Vista:



Descifrar S / MIME mensajes de correo electrónico en un archivo deprueba creado en Windows VistaUsted no puede descifrar S / MIME mensajes de correo electrónico en un archivo de datos creado enWindows Vista utilizando un examinador instalado en Windows XP o versiones anteriores. Esto sedebe a CryptoAPI en Windows Vista (criptografía de nueva generación,o GNC) no es compatible con XP.

Así que si un archivo de datos creado en Vista contiene S / MIME mensajes de correo electrónico,debe realizar el examen para descifrarlos en un equipo con Windows Vista y, dado que loscertificados apropiados están disponibles.

NSF Soporte EncryptionEl cliente de correo electrónico Lotus Notes tiene seguridad incorporada en el producto. Notas fueel primer producto de software ampliamente adoptado para utilizar la criptografía de clave públicapara el cliente-servidor y servidor-servidor de autenticación y el cifrado de los datos, y sigue siendoel producto con la mayor base instalada de usuarios de PKI.

La suite puede descifrar documentos cifrados NSF EnCase ® y enviarlos a los destinatarios en elmismo servidor Domino.

Cada usuario del servidor tiene un archivo de IDque contiene un usuario:

clave privada de cifrado clave pública la contraseña información de recuperación de contraseña

También cuenta con un archivo NSF que representa la caja de los usuarios en formato 8.3 en laruta predeterminada <domino instalación folder \ data \ Mail \ <usuario>.nsf.

Recuperación decontraseñas NSFPara recuperar la contraseña de recuperación, debe tener derechos administrativos adecuadosen el servidor Domino.



1.Abra el servidor Domino.

2.Inicie sesión en que el administrador del servidor.

Aceptar 3.Click.

La lista de ID de contraseña.




La contraseña de recuperación muestra.

5.Haga clic en Aceptar y definir los usuarios autorizados para generar contraseñas derecuperación.

Lotus Notes admite el cifrado localEnCase puede descifrar un buzón de usuario de Lotus Notes locales (NSF sufijo de archivo). Elbuzón de correo local es una réplica del buzón cifrado correspondiente en el servidor Domino.

Cada usuario del servidor Domino tiene un archivo NSF correspondiente que representa que losusuarios de buzones en formato 8.3. La ruta predeterminada es <Domino Instalacióncarpeta> \ Data \ Mail \ <usuario>. Nsf. El cliente de Lotus Notes está configuradopara utilizar el buzón de correo local. La sincronización entre los buzones de correo locales y elservidor se produce de acuerdo con un programa de replicación determinado por el administradorde Domino.

Cifrado del correo local no es obligatorio, pero es aconsejable, ya que sin el cifrado de una personafamiliarizada con la estructura de archivos NSF podría leer el correo electrónico sin necesidad deLotus Notes.

Cifrado se produce a nivel de bloque.

Determinación de cifrado buzón localBusque en la cabecera (las primeras 0x400 bytes) en 0x282 offset. Si el byte es 0x1, el buzón decorreo es localmente encriptada.

Analizar un buzón local cifrado1.Obtain el archivo de ID correspondiente del servidor Domino. Todos los archivos de ID de

usuario se copian en el servidor, ya sea en el disco como un archivo o en el directorio deDomino como un archivo adjunto al correo electrónico.



2.Parse usando Vista Estructura de archivos, por lo que se introduce la llave privada dealmacenamiento seguro.

Bloque CifradoEl siguiente ejemplo muestra un bloque de cifrado en el offset 0x22000:

El algoritmo de descifrado utiliza una semilla que se basa en la semilla de base de la cabecera y eldesplazamiento del bloque.



Bloquear descifradoHe aquí un ejemplo de un objeto de mapa descifrado en el offset 0x22000:



Localmente cifrados NSF Analizar ResultadosA analizado correctamente NSF localmente encriptada tiene este aspecto a la vista de entrada:



Si el archivo de ID correspondiente no pueda analizarse correctamente, el almacenamiento segurono se rellena con los datos necesarios para analizar la NSF localmente encriptada, por lo que elvolumen de Lotus está vacía:



Tecla Windows ArquitecturaWindows tiene un elaborado mecanismo clave de protección. El Syskey protege la clave política, el SAMclaves, y otros. Estas teclas proteger los hashes de contraseñas de los usuarios.

En Windows 2000, sin embargo, la clave maestra está protegido por contraseña hash del usuariocon un mecanismo que se ralentiza cualquier ataque. La Llave maestra protege la clave privadadel usuario. Y la clave privada del usuario protege una clave dentro de la corriente $ EFS quepermite el descifrado del archivo cifrado EFS.

Diccionario AttackSoftware de aplicación de este método normalmente se utiliza un archivo de texto que contiene ungran número de contraseñas y frases. Cada uno se trató a su vez con la esperanza de que una de laspalabras o frases en el archivo será descifrar los datos en cuestión.

Un gran número de archivos de diccionario (a veces llamado listas de palabras) se encuentran en elInternet, o usted puede crear su propia lista. La creación de su propia lista puede ser preferible quela persona objeto de investigación tiene un interés particular, como el fútbol.

Existen utilidades gratuitas en Internet que puede utilizar para crear un diccionario de lascombinaciones de letras, números y caracteres con una longitud predefinida. Generator FreeWordlist (http://www.soft82.com/download/windows/free-Lista de palabras-generador /) es unejemplo.

EDS puede atacar las contraseñas de cuentas de usuario basados en NT y contraseñas deinicio de sesión de red en caché utilizando un ataque de diccionario.


http://www.soft82.com/download/windows/free-Lista


Built-in AttackLos temas específicos tienen contraseñas asociadas. Si no se recuperan automáticamente, puedeutilizar un mecanismo de prueba y error. Esto puede o no puede tener éxito.

Los elementos que pueden ser objeto de ataques Los usuarios locales Los usuarios de red que los usuarios inician sesión (en caché) Syskey (sólo modo de contraseña) Llave maestra, si SAM del usuario o dominio de caché no se puede acceder (debido

a la corrupción, la eliminación de la cuenta o la protección Syskey). Esto es muchomás lento que atacar a los usuarios / las Redes Locales

Ataque externo

Los usuarios locales pueden ser atacados con herramientas de terceros. Existen herramientas desoftware libre, y su rendimiento es mucho mayor que EnCase, ya que se pueden ejecutar en variosequipos al mismo tiempo y / o utilizar tablas de arco iris. EnCase puede exportar los hashes decontraseñas del usuario local en el formato pwdump que la mayoría de las herramientas de lectura.Esto se hace desde la lista de usuarios.



Lista de usuarios

La Lista de almacenamiento Secure usuario muestra usuarios locales, usuarios de dominio,Usuarios Nix, y / o Grupos de Nix del equipo local o un archivo de pruebas. La información talcomo:

Última fecha de inicio de sesión SID del usuario NT hash de Hash LanManager

También está asociada con cada cuenta

Ataque Integrado

Hay tres fuentes diferentes para las palabras que se probarán:

Contraseñas internos: Estos son los elementos de la contraseña en el almacenamiento seguro Diccionario de palabras: El diccionario es un archivo de texto que puede ser en ANSI-Latin1o UTF16.

Cada palabra tiene que estar en su propia línea (que puede contener cualquier carácter,incluidos los espacios).

La fuerza bruta: Genera automáticamente las palabras de un alfabeto con una longitud en unrango determinado

Hay cuatro "mutators" que se pueden aplicar:



Caso Toggle: Trata todas las variaciones mayúsculas / minúsculas Anexar Dígitos Dígitos de anexo Combinar palabras: Las palabras se combinan entre sí. Por ejemplo, si el diccionario

contiene las palabras viejas y perro, el resultado es estas cuatro palabras:perro

viejo

olddog

dogold

Ataque de fuerza bruta

Un ataque de fuerza bruta trabaja tratando de identificar una contraseña o frase de contraseñaprobando todas las combinaciones posibles de los caracteres de un alfabeto. Este alpahbet estáen el archivo de texto que apunta elruta alfabeto ". Este es un es un archivo de texto plano que pueden estar en ANSI-Latin1 o UTF16,donde la primera línea utiliza todos los personajes. Esto puede generar grandes cantidades depalabras para probar.

Un ejemplo de una ruta de alfabeto es "abcdefghijklmnopqrstuvwxyz01234567890-()".

Dependiendo de la configuración, un ataque de diccionario puede probar miles de

contraseñas contenidas en unarchivo de diccionario en un plazo de tiempo muy breve. Es habitual para tratar un ataque dediccionario y luego progresara un ataque de fuerza bruta si la contraseña (s) no se puede encontrar.

Todas las informaciones sobre la estructura / personaje posible longitud de la contraseñaayuda dramáticamente.




CAPÍTULO 3

Emulador de discofísico

¿Cuál es el emulador de disco físico?

Usando Emulador de disco físico

Herramientas de terceros

Arranque archivos de evidencia y Sistemas Live conVMware

VMware / EnCase PDE FAQs

PDE Solución de problemas




¿Cuál es el emulador de disco físico?El emulador módulo de disco físico (PDE) EnCase ® permite a los investigadores para montar laprueba informática como una unidad local para el examen a través del Explorador de Windows.El poder de esta característica es bien articulada en muchos foros. En particular, esto permite a losinvestigadores muchas opciones en sus exámenes, incluyendo el uso de herramientas de terceroscon la evidencia atendida por el programa EnCase.

Estamos comprometidos con la idea de ofrecer un producto integrado a nuestros clientes.Herramientas de terceros continúan siendo desarrollado para complementar las funciones básicasy características del programa EnCase, y fomentar su creación y uso. PDE permite el acceso deterceros a toda prueba informática y formatos de sistemas de archivos. El programa EnCasecontinúa su evolución para convertirse en un servidor de datos forenses, ya sea en un archivo deimagen, una vista previa de un equipo sin conexión o el disco duro, o una máquina de vivir en unared.

Formatos de archivo soportados por evidencia EnCase PDEEnCase PDE apoya el montaje de archivos individuales de imagen de los discos duros y CD, perono imágenes o vistas previas de los equipos forenses locales disco duro. Todos los formatos dearchivo de imagen y sistemas de archivos que son compatibles con el software EnCase se puedenmontar con PDE. Además, la siguiente vivo pruebas forenses ordenador está apoyada por la PDE:

Vista previa de la máquina local del CD Dispositivos previsualización de la máquina local de discos duros a través de pruebas

FastBloc ® LE FE y hardware con bloqueo Cable cruzado vista previa de la red de unidades de disco duro y CD Vista previa de puerto paralelo de discos duros y CDs EnCase Empresa e Inteligencia de Campo Model (FIM) viven previsualización de la red de

unidades de disco duro y CD

Usando Emulador de disco físicoNo, bajo ninguna circunstancia, intente utilizar PDE para montar EnCase imágenes o vistas previas de lasunidades de disco duro forenses locales. Windows le pantalla azul si detecta varias instancias de la mismaunidad. Utilice únicamente archivos de evidencia de otras máquinas.

A partir Emulador de disco físicoPara montar un dispositivo que utiliza el emulador de disco físico, debe agregar una imagen dedisco físico o lógico a un caso en los comentarios subpestaña bajo Cases. PDE sólo puede montardispositivos físicos o volúmenes. Sise selecciona un elemento de menú de un nivel no montable, la configuración de la PDE selimita en modo cliente.


Physical Disk Emulator 63

Usando PDE1.Haga clic en la unidad lógica o física, y seleccione Montar como disco emulada.

2.El Monte muestra el diálogo de disco como emulados.

Configuración del cliente PDEPDE asigna un puerto local la primera vez que se ejecuta PDE. A continuación, el número depuerto está desactivado y no se puede cambiar. Para asignar un número de puerto nuevo, cierrela sesión de Windows y reiniciar.

PDE no utiliza ninguna otra opción en la pestaña Información Server.



Para especificar las opciones de caché y el CD, haga clic en la pestaña Información del cliente.

Opciones de caché

Si se selecciona un dispositivo físico o volumen (no es un CD), decida si desea almacenar encaché datos. De forma predeterminada, el almacenamiento en caché está desactivado. Utilicela caché de escritura para que los programas necesitan tener acceso a los archivos en un modode lectura / escritura emulado.

Si la caché está habilitada, los cambios realizados por los programas se envían a un archivo decaché independientes especificadas en el sistema local.

1.To crear un nuevo archivo de caché de escritura de un archivo de prueba diferencialEnCase, desactive la casilla de verificación Deshabilitar el almacenamiento en caché.

2.Seleccione Crear nueva caché en el grupo Tipo de caché y especificar una ruta de caché deescritura.

3.Seleccione Utilizar caché existente y asegurar el archivo de caché de escritura existente seespecifica en el campo Ruta de caché de escritura.

Si decide utilizar una ruta de caché existente, asegúrese de usar un archivo de caché de escritura quese creó con la evidencia está montando actualmente.

El almacenamiento en caché es necesario para la PDE para funcionar con VMware. En este estado,Windows almacena en caché los archivos borrados y adiciones. Esto se utiliza para arrancar elcoche con VMware como se describe más adelante en esta sección. El almacenamiento en caché estambién necesaria para el montaje ciertos tipos de volumen.

[Espacio reservado para la pantalla]

Opciones de CD

Si se monta un CD, el CD sesión para ver la opción está activada para especificar qué sesión deun CD multisesión debe mostrar en Windows. La sesión por defecto es la última sesión del CDactivo, que es el que normalmente se ve por Windows.

1.To ver una sesión previa, seleccione eso aquí.

2.Haga clic en OK para continuar.



3.En caso aparece un mensaje diciendo que el software que está instalando no ha superado la deWindows

Prueba del logotipo, haga clic en Continuar.

Esto permite a Windows para agregar el archivo de pruebas como una unidad con su propialetra de unidad.

Si utiliza VMware, usted necesita el número de dispositivo físico.

Compruebe que el archivo de pruebas se ha montado con una letra de unidad por la navegación enWindowsExplorador. Con la letra de la unidad, se pueden aplicar las herramientas de terceros.

Cuando se crea la acción, el icono de compartir (mano) aparece en el dispositivo de la interfaz.

Montaje de dispositivos no son de WindowsLos dispositivos con los sistemas de archivos que no sean NTFS o FAT se pueden montar usandoPDE, sin embargo, el volumen no puede ser visto por Windows (aunque el dispositivo físicopuede verse en Administración de discos). El proceso para montar tal dispositivo es la mismaque la utilizada para montar un dispositivo de NTFS o FAT.

Acceso al disco local en el Explorador de WindowsDespués de montar el disco con PDE en la interfaz de EnCase, abra el Explorador de Windows. Elnuevo volumen se representa con un icono de disco duro, asignado una letra de volumen, y semarcó como un disco local.

Busque la unidad montada en el Explorador de Windows:

Para abrir los archivos ocultos, Habilitar Mostrar archivos y carpetas ocultos en elExplorador de Windows, seleccione Opciones de carpeta en el menú Herramientas

Para ver y suprime los archivos del sistema y los grupos asignados, o para montar elarchivo de datos utiliza el módulo de sistema de archivos virtual EnCase

Los archivos y carpetas en el dispositivo montado se puede acceder en Windows de la mismamanera como si el dispositivo fuera una unidad adicional, aunque los cambios se escribirán encaché (si está en uso) en lugar de al propio dispositivo.

Ahorro y desmontaje del disco emuladaSi el almacenamiento en caché de escritura está activada cuando se monta el dispositivo, puedeguardar los cambios virtuales realizados en el archivo de datos.

1.In la interfaz EnCase, haga clic en la unidad montada mediante PDE.

2.Seleccione Guardar estado del disco emulado.



La caché se guardará en la ruta especificada para la caché de escritura. Cada vez después de lospuños iniciales, un número de instancia se añade al archivo de caché. Estos archivos caché luegopuede usarse para volver a montar las pruebas en su estado guardado, pero hay que tener todoslos archivos de caché anteriores, ubicados en el mismo directorio.

Para terminar la emulación:

1.Haga doble clic en el indicador Emulador de disco físico parpadea en la parteinferior derecha de la ventana de la aplicación.

2.Haga clic en Sí en la ventana de Estado del tema de cancelar la emulación de disco.

Si la caché está habilitada cuando la creciente evidencia, esta pantalla muestra:

El propósito de la caché final es crear un archivo de prueba diferencial comprimido y combinado(*. D01) que contiene los datos de la caché. Con la opción de disco de estado emulada Guardarseleccionados, existen múltiples archivos de caché de la misma sesión de pruebas montado. Lacaché de último fusiona todos estos archivos. Si no hay necesidad de guardar el archivo final,seleccione Eliminar caché final.

Utilice el expediente de prueba diferencial para abrir el archivo de pruebas y ver el discoemulado con los cambios aplicados en caché.

Para aplicar los datos de la caché:

1.Haga clic en el dispositivo.

2.Seleccione Monte como disco emulada.

3.Haga clic en la ficha Información del Cliente.

4.Clear Desactivar la caché de casilla de verificación.

5.Seleccione Utilizar caché existente.

6.Browse en el campo Ruta de caché de escritura para encontrar el *. D01 archivo.

Después de que los montajes de disco, Windows Explorer refleja los cambios en caché.

Cuando se desmonta el dispositivo, una pantalla de estado indica si el disco se hadesmontado con éxito.



Cierre y cambiar el disco emuladaPara montar una unidad diferente, primero desmontar la unidad actualmente emulado como seha descrito anteriormente. A continuación, puede establecer un nuevo punto de montaje.

Asegúrese de pruebas desmonte que se sirve a través de PDE antes de salir. Un mensaje de aviso aparece si se intentacerrar el caso o el programa EnCase mientras que la evidencia se monta con PDE.

Archivos temporales de recordatorioEnCase Forensic, Enterprise y FIM permiten a los investigadores para redirigir los archivostemporales en una carpeta Temp / Trash en un disco duro secundario de más rápida limpiezadespués de un examen, y para evitar que los materiales confidenciales o de contrabando deser redirigido por Windows para la carpeta temp propios investigadores en la unidad delsistema operativo.

Al abrir un archivo montado con PDE en el Explorador de Windows con una herramienta deterceros, el sistema operativo Windows controla la creación de archivos temporales en la unidad delsistema operativo, y en caso necesario la limpieza post-examen es más laborioso.

Herramientas de tercerosLos investigadores con el Módulo de PDE puede utilizar el Explorador de Windows para examinarla estructura de la prueba informática. Ellos también pueden utilizar herramientas de terceroscapaces de solicitar e interpretar los datos desde el Explorador de Windows para examinar laspruebas fuera del programa EnCase. Software ® Orientación no certifica el rendimiento o laexactitud de los resultados obtenidos a través de las herramientas no desarrolladas por GuidanceSoftware.

Uso de las herramientas de tercerosLas herramientas y los espectadores de terceros disponibles para el investigador un examenforense son una gran expansión con EnCase PDE. Para utilizar una herramienta de otrofabricante, abra el archivo de la siguiente manera:

1.Haga doble clic en un archivo servida por PDE para que la petición el Explorador deWindows y recibir los datos del software EnCase.

2.Abra los datos con el programa asignado de acuerdo con la extensión de archivo.

Quick View Plus

Un programa de visualización popular es Quick View Plus, que permite al investigador verdocenas de formatos de archivo sin las aplicaciones nativas instaladas en el equipo de examen.

Escaneado de malware

Un uso común de EnCase PDE es montar la prueba informática para escanear en busca de virus,troyanos y otros programas maliciosos. En primer lugar, montar la unidad o el volumen del archivode pruebas a través de PDE.

En el Explorador de Windows, seleccione la unidad recién montada (en este caso, F :). Si unprograma antivirus está instalado y se integra con el Explorador de Windows, que puede serutilizado para escanear en busca de virus. El programa lee el disco emulado presentado alExplorador de Windows. El programa EnCase sirve a los datos que se solicitan a la del Exploradorde Windows y, a continuación, en el programa de exploración.



Arranque archivos de evidencia y Sistemas Live con VMware

Preparación inicialPara el emulador de disco físico para que funcione correctamente, VMware versión 4.5.1,construir 7568 o posterior es necesario. Para utilizar VMware para montar un archivo depruebas:

1.Determine el sistema operativo del expediente de prueba sujeto utilizando los siguientesmétodos:

un. Utilice el módulo de la caja inicialización de Windows desde el EnScript ProcesadorCase ® programar para determinar el sistema operativo.

b. Compruebe el contenido de la boot.ini archivo, que se encuentra en la raíz de lapartición.

c. Examinar la estructura de carpetas, teniendo en cuenta lo siguiente:

Windows 2000, XP y 2003 Server y todos utilizan la C: \ Documents and Settingscarpeta de perfiles de usuario y las carpetas.

Windows NT y 2000 utilizan el C: \ WINNT carpeta de la raíz del sistema.

Windows 9X, NT, XP y 2003 Server utilizan el C: \ Windows carpeta de la raíz delsistema.

2.Mount el disco físico que contiene el sistema operativo con emulador de disco físico.Asegúrese de habilitar el almacenamiento en caché

3.Determine qué número de disco físico se ha asignado mediante uno de estos métodos: Esta

información se proporciona cuando se monta el dispositivo.

Seleccione la opción Administración de discos, haga clic en Mi PC en Windows, acontinuación, seleccione Administrar.

En la actualidad existe un problema con VMware que prohíbe VMware se inicie una máquina virtual se encuentra en undisco físico que es precedida numéricamente por un SCSI, FireWire o USB. Para obtener los mejores resultados, asegúresede que sólo las unidades IDE están conectados a la máquina cuando decide montar como un disco emulado en la interfazde EnCase. Esto es fácil de comprobar en Administración de discos. Si se encuentra con un mensaje que dice: "Eldispositivo especificado no es un dispositivo de disco físico válida", es muy probable que como resultado de este problema.

No utilice PDE para montar unidades en un archivo de datos o la vista previa de la computadora local. DeWindows, especialmente XP, tendrá pantalla azul si detecta varias instancias de la misma unidad. Utiliceúnicamente archivos de evidencia de otras máquinas.

Asistente para nueva máquina virtualPara arrancar archivos de evidencia utilizando VMware:

1.Tras que haya reunido la información necesaria, el lanzamiento de VMware.

2.Seleccione nueva máquina virtual desde el menú Archivo.

3.At la pantalla Asistente para nueva máquina virtual, haga clic en Siguiente.



4.4. Seleccione Personalizado y haga clic en Siguiente.

5.Seleccione el botón de sistema operativo invitado apropiado.

6.Seleccione un sistema operativo desde el menú desplegable Versión para identificar laversión del sistema operativo instalado en el expediente de prueba, a continuación, enSiguiente.

7.In el nombre de la ventana de la máquina virtual, escriba un nombre de la máquina virtual.

Como opción, puede hacer clic en Examinar para cambiar la ubicación de los archivos deconfiguración VMwares.

8.Haga clic en Siguiente.



9.Assign la cantidad de memoria de VMware para utilizar, a continuación, haga clic enSiguiente.

10. Seleccione el tipo de red que desea utilizar, haga clic en Siguiente.

Selección No utilice una conexión de red, se recomienda en el caso de que exista algún tipode malware instalado en el equipo el archivo de datos se creó a partir.

11. Acepte el valor predeterminado en el cuadro Seleccione I / O Tipos Adaptador de diálogo,haga clic en Siguiente.

12. Seleccione Utilizar un disco físico (para usuarios avanzados).

No haga caso de los mensajes de advertencia siguientes.

13. Seleccione el disco que representa la unidad montada mediante PDE.

14. Acepte la configuración predeterminada de uso de disco completo, haga clic en Siguiente.

15. Utilice el archivo de disco predeterminado especificado en el cuadro de diálogo Especificararchivo de disco, a continuación, haga clic en Finalizar.



Si el archivo de disco no se reconoce como una máquina virtual, puede cambiar el nombredel archivo(Teniendo cuidado de dejar el . Vmdk extensión).

VMware vuelve a la pantalla principal, muestra la máquina virtual recién creada.

Inicie la máquina virtualInicie la máquina virtual VMware partida y realizar lo siguiente:

1.Haga clic en el vínculo para iniciar esta máquina virtual al lado de la flecha verde.

El archivo de datos está protegido contra escritura por el programa EnCase, pero PDEpermite una caché de escritura que interactúa con VMware como si estuviera montando undisco en modo lectura / escritura.

Cuando se inicia la máquina virtual, el sistema operativo se muestra como si el equipoforense se inicia la unidad. Se inicia en la misma manera que la máquina nativo.

2.As con el arranque de los discos duros restaurados, la máquina virtual puede requerir unnombre de usuario y contraseña para proceder.

3.Since pop-ups (como AOL Instant Messenger) puede causar problemas con loscontroladores, guardar el estado de la máquina virtual de forma regular.



VMware / EnCase PDE FAQs

Se puede vivir la evidencia puede arrancar con VMware?

Evidencia equipo de Live (nodos de red en el programa Empresa EnCase y CDs locales) puedeser montado con PDE, pero no se puede arrancar con VMware.

¿Qué versión de VMware debe utilizarse con EnCase PDE?

PDE / VMware es la integración con VMware versión 4.5 y superior.

¿Por qué no VMware reconocer un disco emulado (montado)?

Usted debe iniciar VMware después emular el disco con PDE, como VMware no reconocerá unaunidad física que se ha agregado desde que se inició. Además, VMware no arranca correctamentelos archivos de prueba que contienen Windows con un controlador IDE no predeterminada. Estees un problema conocido. Información adicional está disponible enhttp://www.vmware.com/support/kb/enduser/std_adp?p_faqid=36.

¿Qué debo hacer si veo el mensaje "El archivo especificado no es un disco virtual" después de ejecutarel nuevo VirtualAsistente Machine?

De vez en cuando después de la finalización de la nueva asistente de la máquina virtual enVMware, puede encontrarse un mensaje de error (El archivo especificado no es un disco virtual.).Este problema está relacionado con VMware, no el programa EnCase. Ejecución del Asistentepara nueva máquina virtual de nuevo por lo general resuelve este problema.

¿Cómo inicio una máquina VMware con mi archivo guardado diferencial EnCase?

Montar el disco con el archivo de caché existente.

¿Por qué VMware no reconoce algunos discos físicos?

Si su evidencia está montado con éxito, pero los estados de VMware que el disco físico que laimagen se monta en no es un disco físico válida, puede ser el resultado de un dispositivo no-IDE enun dispositivo físico más bajo que el disco emulado.

Windows XP sigue apareciendo ventanas sobre la instalación de los controladores cuando arranco.

El módulo de PDE EnCase instala los controladores GSI específicos IDE para ser cargado con el finde emular el disco como una unidad dentro de Windows con una letra de unidad asignada. Uncontrolador IDE virtual se crea que se puede ver en el Administrador de dispositivos. Si se permiteque Windows cargue los controladores IDE por defecto, el módulo no funcionará correctamente.Esto se puede evitar mediante la cancelación de la tentativa en la ventana emergente. Una vez quehan pasado por alto este mensaje, puede guardar el estado para que la próxima vez que se reinicie elsistema, Windows no intentará cargar los controladores de nuevo.


http://www.vmware.com/support/kb/enduser/std_adp


¿Cómo puedo reiniciar una sesión de VMware desde un estado guardado?

VMwares suspender y reanudar característica le permite guardar el estado actual de la máquinavirtual, a continuación, volver más tarde con la máquina virtual en el mismo estado en que estabacuando se detuvo. Una vez que se reanude y hacer trabajo adicional en la máquina virtual, no haymanera de volver al estado de la máquina virtual se encontraba en el momento en que fuesuspendido. Para preservar el estado de la máquina virtual para que pueda volver al mismo estadoen varias ocasiones, usted tendría que tomar una instantánea. Instruccionespara el uso de la instantánea están disponibles en el sitio web VMwares enhttp://www.vmware.com/support/ws45/doc/preserve_snapshot_ws.html. La velocidad de las operaciones de suspender y reanudardependela cantidad de datos ha cambiado, mientras que la máquina virtual ha estado funcionando. Engeneral, la primerasuspender la operación tarda un poco más que tarde suspender sus operaciones hacen. Cuando sesuspende un virtualmáquina, un archivo con un . VMSS se crea extensión. Este archivo contiene todo el estado de lovirtualmáquina. Al reanudar la máquina virtual, su estado se restaura desde el. VMSS archivo.

Para suspender una máquina virtual:

1.If su máquina virtual se ejecuta en modo de pantalla completa, volverá al modo de ventanapulsando

Ctrl + Alt.

2.Haga clic en Suspender en la barra de herramientas de VMware Workstation.

3.Cuando VMware Estación de trabajo se ha completado la operación de suspensión, que esseguro para salir de VMware

Estación de trabajo (Salir en el menú Archivo).

Reanudar una máquina virtual de la siguiente manera:

1.Inicie VMware Workstation y elegir una máquina virtual que se ha suspendido.

2.Haga clic en Reanudar en la barra de herramientas de VMware Workstation.

Tenga en cuenta que las aplicaciones que estaba ejecutando en el momento suspendido dela máquina virtual se están ejecutando y el contenido es el mismo que cuando se suspendela máquina virtual.

Adicional VMware para resolver problemas está disponible en su base de conocimientos enhttp://www.vmware.com/support/kb/enduser/std_alp.php?

PDE Solución de problemas

Emulador de disco físico no se encuentra dentro de los módulos cuando se accede AcercaEnCase en el menú Ayuda

Si está utilizando los archivos cert, compruebe que el certificado PDE se encuentraen el directorio Cert (típicamente C: \ Archivos de programa \ EnCase6\ Certificados).

Asegúrese de que la clave de seguridad está instalado y funciona correctamente (consultela barra de título para asegurar que el programa no está en el modo de adquisición).

Si está utilizando los archivos cert, compruebe el identificador de clave de seguridadpara asegurarse de que es el correcto para el que se emitió el certificado.


http://www.vmware.com/support/

http://www.vmware.com/support/kb/enduser/std_alp.php

74 EnCase Version 6.12 Modules ManualPuedo montar un dispositivo a nivel local, pero no puedo configurar un servidor local

Aunque existen menús para la operación del servidor PDE, actualmente no es funcional.



Se encontró un mensaje que indica que la PDE no puede quitar el dispositivo cuando se intentadesmontar el dispositivo montado

El mensaje de error puede producirse si Windows está accediendo a un archivo en eldispositivo montado (por ejemplo, el directorio se abre en el Explorador de Windows o unarchivo se abre con una aplicación de otro fabricante).Para resolver el problema, cierre todas las aplicaciones de Windows con el acceso adispositivo montado, a continuación, haga clic en Aceptar.

Se encontró un mensaje de error que indica que es necesario reiniciar el equipo, seguido de unaMensaje "conexión rechazada"

Este problema se debe a que el controlador de dispositivo no está publicado correctamente.La única manera de resolver este problema es cerrar todas las aplicaciones (incluyendo laaplicación EnCase) y reinicie el equipo forense. Usted no debe encontrar el error otra vezcuando se reinicia la máquina.

Si ninguno de estos pasos de solución de problemas se resuelve el problema, póngase en contactocon orientación técnica de softwareServicios.



CAPÍTULO 4

Sistema de archivosvirtual

¿Qué es VFS?

Evidencia de montaje con VFS

Desmontar el recurso compartido de red

Acceso al Share

Herramientas de terceros

VFS servidor

Solución de problemas




¿Qué es VFS?El módulo de sistema de archivos virtual (VFS) permite a los investigadores para montar la pruebainformática como de sólo lectura unidad de red, fuera de línea para su examen a través delExplorador de Windows. El valor de esta característica es que permite a los investigadores múltiplesopciones de examen, incluyendo el uso de herramientas de terceros con la evidencia servido por elEnCase ® programa.

Estamos comprometidos con la idea de ofrecer un producto integrado a nuestros clientes.Herramientas de terceros seguirán siendo desarrollado para complementar las funciones básicas ycaracterísticas del programa EnCase, y fomentar su creación y uso. VFS permite el acceso deterceros a toda prueba informática y los formatos del sistema de archivos compatible con elsoftware.

Para nuestros clientes que utilizan el programa EnCase Forensic, el módulo VFS tiene el poderañadido de que permite el uso de herramientas de terceros contra las unidades de discopreviamente a través de un dispositivo de FastBloc ® o un cable cruzado, incluyendo archivosborrados. Para los clientes que utilizan el programa Empresa EnCase, VFS permite el uso deherramientas de terceros contra las máquinas en vivo en la red utilizando las mejores prácticas, yaque el sistema operativo se pasa por alto.

Formatos de archivo soportados por evidencia VFS VFS soporta el montaje de los datos que son visibles en un caso. Todos los formatos de

archivo de imagen y sistemas de archivos que son compatibles con el software EnCasese pueden montar con VFS.

Evidencia de montaje con VFSEl módulo VFS es capaz de montar la prueba informática apoyado por el programa EnCasecomo una unidad de sólo lectura sin conexión de red en el Explorador de Windows. Puedemontar pruebas en uno de cuatro niveles, sin embargo, sólo un punto de montaje se puededesignar a la vez. Si desea cambiar el punto de montaje, es necesario desmontar las pruebas ymontaje en un nuevo nivel para incluir los dispositivos deseados.

Los niveles donde se puede montar pruebas son:

Nivel de caja: Montaje de la caja de nivel no es compatible con VFS Disco / dispositivo de nivel: Se monta un solo disco o dispositivo físico, con acceso a

todos los volúmenes en el disco o dispositivo El nivel de volumen: Se monta un solo volumen / partición en un disco físico Nivel de carpeta: El nivel más bajo se puede montar es en el nivel de carpeta

Este nivel de soporte es útil para examinar los archivos en las rutas que superen el límitede 264 caracteres de Windows en la ruta completa y el nombre de un archivo

Con la extensión del servidor, también puede montar pruebas para ser compartida con otrosinvestigadores a través de la red de área local. El servidor virtual del sistema de archivos sediscute más adelante en este manual.

Montaje de una sola unidad, dispositivo, volumen o carpetaSólo un punto de montaje se puede designar a la vez, para incluir otros datos, un punto demontaje debe ser seleccionado que está en una relación de padre a ambas áreas de datos que sevan montadas.


Virtual File System 77

Para montar una sola unidad o dispositivo en un expediente o un volumen o una carpeta en unaunidad, haga clic en la unidad o dispositivo y seleccione Montar como recurso compartido dered:

Opciones de montaje compartido de redEn la ficha Información de servidor de la Montaña como ventana Compartir Network, la mayorparte de la información del servidor está desactivada al establecer un servidor local. La únicaexcepción es el puerto local. VFS por defecto es establecer un servidor local, que es la opción que seutiliza cuando se utiliza VFS en el equipo local.

Desde VFS está aumentando la evidencia como una unidad compartida de red, un puerto local debeasignar. Para permitir la recuperación de errores en Windows, como un accidente durante el uso deherramientas de terceros como se describe más adelante en este manual, el servicio de VFS tiene unaduración de la vida de la sesión de Windows. Esto significa que el número de puerto se le puedeasignar la primera vez que el servicio VFS se ejecuta para montar pruebas. A continuación, elnúmero de puerto está en gris con el número de puerto asignado inmutable:

1.En la pestaña Información Server, configure el puerto local o utilizar la configuraciónpredeterminada.

2.Ajuste el Max. clientes autorizados, hasta el número máximo de clientes adquiridos para VFS.

Para asignar un número de puerto, la sesión de Windows debe ser cerrado, por ejemplo a través de unreinicio.

3.Haga clic en la ficha Información del cliente para establecer la letra del volumen que seasignará a la participación de la red en

Explorador de Windows.

Configuración predeterminada 4.El permite el Explorador de Windows para asignar lasiguiente letra del volumen disponible, o puede establecer cualquier otra letra queactualmente no asignado.


78 EnCase Version 6.12 Modules ManualAsignación de una letra volumen específico puede ser útil cuando se intenta reconstruirvirtualmente una unidad de red, como una base de datos:



Si en la actualidad ha asignado unidades de red o si deja de Windows asigna la letra deunidad, se toma unos segundos para consultar el sistema para encontrar una letra deunidad disponible

Si ha especificado una letra de volumen, y se encuentra disponible, elmontaje es prácticamente instantánea

Una ventana emergente de confirmación le informa de que el montaje se ha realizadocorrectamente, con la letra del volumen. El icono de la mano compartido aparece en el nivel que hadesignado como el punto de montaje de la unidad compartida.

Archivos compuestosMuchos archivos compuestos, incluyendo Microsoft Word, Excel, Outlook Express y archivos deOutlook, se pueden montar en la interfaz de EnCase. Para ello:

1.Haga clic en el archivo.

2.Seleccione Ver estructura de archivos.

En el siguiente ejemplo, el Microsoft Word . Doc archivos está montado. El dispositivo semonta con VFS a nivel de dispositivo.

3.Mount el caso, la unidad, el volumen o carpeta con VFS como para un solo caso, la unidad,etc, haga

hacer clic y seleccionar Montar como recurso compartido de red, como se describióanteriormente para los artículos individuales.



4.Vista el archivo montado como una carpeta en el Explorador de Windows, donde laestructura de archivo compuesto puede ser navegado.

VFS es un motor dinámico y servirá a los datos a medida que se presenta por el software

EnCase. Para ver el archivo del documento original de Word:

1.Cierre el archivo compuesto montado.

2.In el Explorador de Windows, actualice la pantalla utilizando la tecla F5.

Si ha elegido actualmente de datos en el archivo compuesto, informa de un mensaje deerror que los datos ya no está disponible, ya que estaba cerrado dentro del programaEnCase.

3.Seleccione la carpeta principal del archivo para ver y abrir el archivo.

Sistema de archivos cifradosArchivos descifrados se pueden ver dentro de Windows cuando se utiliza VFS en conjunto con elmódulo suite descifrado EnCase (EDS). Las pruebas que contiene los archivos descifrados ycarpetas se puede montar con VFS para ver los datos descifrados en el Explorador de Windows, ycon herramientas de terceros.

Para obtener información sobre cómo utilizar el módulo de EDS para descifrar EFS de archivos ycarpetas protegidos, consulte el capítulo Módulo de EDS de este documento.

RAIDRAID montado dentro del programa EnCase puede ser consultada en el Explorador de Windows.En el siguiente ejemplo, que un software RAID 5 formado por tres unidades fue montado y puestoa disposición para la navegación en el Explorador de Windows con VFS.

Archivos borradosEl módulo VFS permite a los investigadores ver los archivos eliminados y se sobrescribe en elExplorador de Windows.



Un investigador puede buscar un archivo en el Explorador de Windows para ver o analizar, peroconsidera que no es posible abrirlo. Si un archivo no se abre, revise los datos originales de lainterfaz EnCase para ver si el archivo es realmente válida y no está dañado o parcialmentesobrescrito.

Archivos internos y archivos del sistema de archivosLa aplicación EnCase organiza algunos datos en los dispositivos en archivos lógicos virtuales parapermitir una mejor organización y búsqueda. Los ejemplos incluyen Clusters no asignados y flojosde volumen en un volumen y área de disco sin usar en una unidad física. Archivos del sistema dearchivos ocultos también están disponibles, como el$ MFT, FAT o directorios tabla de inodos en NFTS, y * nix sistemas de archivos FAT.

RAM y disco SlackVFS sirve los archivos lógicos reales en los dispositivos junto con archivos lógicos virtuales queorganiza para los investigadores. Los archivos físicos no son atendidos, como el Explorador deWindows no interactuar con los datos del archivo correctamente si se sirve todo el archivo físico.Para los investigadores, esto significa que la memoria RAM (sector) de holgura y la unidad(grupo de archivos) holgura no se dispone de herramientas de terceros a través de VFS en elExplorador de Windows como un solo archivo. Hay, sin embargo, dos maneras de acceder a losdatos de la holgura con herramientas de terceros:

El primer método consiste en cargar un dispositivo sin necesidad de analizar el sistema de archivos:

1.Launch la aplicación EnCase.

2.Abra un nuevo caso.

3.Cargue el dispositivo haciendo clic en Agregar dispositivos.

4.Right clic en el dispositivo y seleccione Editar.

5.In la ventana de atributos del dispositivo, desactive la marca de la caja del sistema de archivosde lectura.



Cuando el dispositivo se carga en el programa EnCase, la partición y sistema de archivos no seleen e interpretan. Todo el dispositivo se puede montar con VFS y estar disponible para su examenen el Explorador de Windows como Zona de disco sin usar, incluyendo el espacio de holgura.

1.Another opción es copiar única área holgura de pruebas para el equipo de examen como unarchivo lógico:

2.Seleccione el dispositivo (s) que desea examinar el espacio de holgura.

3.Right clic en el archivo y seleccione Copiar / UnErase.

4.Seleccione el botón de radio seleccionado Todos los archivos debajo de y, a la fusión enun solo botón de archivo en Para, a continuación, haga clic en Siguiente.

5.In la sección Copia de la pantalla Opciones, seleccione RAM y disco Slack para copiar lamemoria RAM

holgura (también conocido como sector de holgura) y la holgura de disco (tambiénconocido como grupo de holgura).

6.Seleccione la opción correspondiente carácter de máscara de caracteres no ASCII, o deje elvalor predeterminado y haga clic en Siguiente.



7.Set la ruta de destino y el nombre del archivo que contiene la holgura, a continuación, hagaclic en Siguiente.

8.Haga clic en Aceptar en el cuadro de diálogo Copia de archivos que se muestra al final delproceso de copia.

El archivo que contiene la holgura de la evidencia ya está disponible para su examen por losservicios de terceros en la máquina examen local. En el siguiente ejemplo, el archivo estáabierto en WordPad.



Otros sistemas de archivosVFS puede montar sistemas de archivos que no sean las admite de forma nativa por Windows. Acontinuación se muestra un ejemplo de una unidad de Macintosh OS / X montado con VFS.

A continuación se muestra la representación de Windows de un volumen de Palm montada en VFS.

ext2, ext3, UFS, y otros sistemas de archivosUnix, Linux y BSD dispositivos se pueden montar en el Explorador de Windows con VFS. Unalimitación es la barra diagonal (/) que se utiliza en los sistemas de ficheros * nix. La barra invertidaes un carácter no válido en Windowsy No se puede mostrar la ruta completa para el Explorador de Windows. Por esta razón, la barradiagonal está representada por la alta-punto (∙).

En el siguiente ejemplo, la / (Root) partición está representada por la alta-punto. La / Homepartición está representado por · Casa.



En este ejemplo, el directorio / (raíz) de una estación de trabajo Solaris está montado y elnombre de la carpeta principal (el nombre de la partición) se muestra como el gran punto.

Windows tiene un límite de 264 caracteres en una ruta completa y el nombre del archivo. Esta limitación puede afectaralgunos exámenes en el Explorador de Windows, especialmente para los dispositivos de Unix y Linux. En esta situación,el investigador puede necesitar montar en el nivel de partición o carpeta.

Desmontar el recurso compartido de redPara desmontar el recurso compartido de red, haga lo siguiente:

1.Haga doble clic en la barra de rosca en la parte inferior derecha de la interfaz que lee archivosvirtual

Sistema, a continuación, haga clic en Sí.

2.In la confirmación de que la evidencia fue desmontado con éxito, seleccione cualquier estadode ahorro de opciones y haga clic en Aceptar.

Cambiar el punto de montajeSólo puede ver un punto de montaje a la vez. Para cambiar la ubicación del punto de montaje, debecerrar el punto de montaje actual y abrir una nueva.

Asegúrese de pruebas desmonte que se sirve a través de VFS antes de cerrar el programa EnCase. Un mensaje de avisoaparece si la caja o el programa EnCase se intenta que ser cerrado mientras que la evidencia se monta con VFS.



Acceso al Share

Uso de la interfaz EnCase

Unique Nombre de columna

Una columna de nombre único muestra en la vista Tabla del módulo VFS. La columna identifica elnombre de archivo determinado en un archivo servido del programa EnCase y se muestran en elExplorador de Windows a través de VFS. El nombre único supera la limitación de Windows de nopermitir que múltiples archivos a compartir el mismo nombre de archivo como hermanos en lamisma carpeta principal. La columna está vacía cuando la evidencia se monta por primera vez conVFS, pero se llena cuando se accede a la participación en el Explorador de Windows.

Cuando un investigador selecciona una carpeta en el Explorador de Windows, los datos sonservidos por el programa EnCase y se muestra en el Explorador de Windows. A medida que losdirectorios se navegan en el Explorador de Windows, los nombres de los archivos se rellenan en lacolumna Nombre de Steam, por lo que un investigador puede determinar qué archivo que él o ellaestá examinando. El programa EnCase añade un signo de número (#) al final de los nombres dearchivo duplicados dentro de la misma carpeta en el Explorador de Windows.

Con el Explorador de WindowsDespués de montar la unidad de red compartida con VFS, abra el Explorador de Windows. Lanueva acción se representa con un icono de unidad de red y asigna la letra del volumen apropiado.El nombre de la acción es gsisvr (De Orientación de Software ®, Inc. Server).

Varias operaciones son, pues, posible, incluyendo las siguientes:



Examinar el caso montado y dispositivos asociados en el Explorador de Windows Abrir archivos ocultos y eliminados si Mostrar archivos y carpetas ocultos está activada enWindows

Explorer mediante las Opciones de carpeta en el menú Herramientas

Utilice el visor de miniaturas en el Explorador de Windows para ver las imágenes en laforma vista por el usuario original

Herramientas de tercerosUsando VFS, los investigadores pueden examinar las pruebas fuera del programa EnCase mediantela utilización de herramientas de terceros capaces de solicitar e interpretar los datos desde elExplorador de Windows. Sin embargo, Guidance Software no certifica el rendimiento o la exactitudde los resultados obtenidos a través de las herramientas no desarrolladas por Guidance Software.

Escaneado de malwareUn uso común de VFS es montar evidencia equipo para escanear en busca de virus, troyanosy otros programas maliciosos:

1.Mount la evidencia a través de VFS de forma local en el equipo de examen, o de formaremota a través de VFS Server.

Puede montar la evidencia en el dispositivo, el volumen o niveles de carpetas que sedescribió anteriormente. El icono de la mano compartido indica el nivel del soporte delsistema de archivos virtual.



2.In el Explorador de Windows, seleccione la unidad de red desconectado gsisvr.

Software antivirus 3.Use para escanear el archivo.

En el siguiente ejemplo, el Buscar virus de Symantec AntiVirus está dirigido por la derechaclic en la unidad.

El software antivirus puede leer el sistema de archivos virtual presentado en el Explorador deWindows. Los datos solicitados es servida por el programa EnCase al Explorador de Windows y, acontinuación, en el programa de exploración. En este caso, se encontró que el virus MyDoom en laevidencia equipo montado con VFS.

Los informes de inspección y los registros generados por las herramientas de terceros puedenser revisadas e incluidas en el informe de investigación de los investigadores.

Otras herramientas y visoresLas herramientas y los espectadores de terceros disponibles para el investigador un examenforense son una gran expansión con VFS. Para usarlos, haga lo siguiente:

Haga doble clic en un archivo servida por VFS para abrir los datos con el programa asignadode acuerdo con la extensión de archivo.

Asignación de extensión de archivo a un programa

Para asignar un programa asociado a una extensión:

1.Seleccione Opciones de carpeta en el menú Herramientas del Explorador de Windows.



2.In la ventana Opciones de carpeta, haga clic en la ficha Tipos de archivo.

3.Seleccione la extensión deseada, y los detalles para la sección, se muestran el programadesignado para esa extensión.

En este ejemplo, archivos JPEG abierto con Adobe Photoshop CS.

4.Haga clic en el botón Cambiar.

Seleccione o busque el nuevo programa.

Archivos Unix o Linux

Algunos archivos, como los de Unix y Linux, no tienen las extensiones de archivo. Para verlos:

1.Haga clic en el archivo y seleccione Abrir.

2.In el Abrir con ventana, seleccione la aplicación que desee de la lista de programas y haga clicen

Aceptar.

3.En caso de que la aplicación no está en la lista, haga clic en Examinar para buscar el ejecutablede la aplicación, o permitir

Windows para buscar en Internet (si está conectado).

4.Haga Other si la aplicación correspondiente no está disponible.



WordPad puede abrir la mayoría de los archivos basados en texto para que pueda ver elcontenido. En el ejemploa continuación, un archivo de Linux se abre con WordPad en el Explorador de Windowsdesde un archivo de pruebas montado con VFS.

QuickView Plus

Otro programa de visión popular, QuickView Plus, se puede utilizar para ver docenas deformatos de archivo, sin las aplicaciones nativas instaladas en el equipo de examen.

Archivos temporales de recordatorioEl programa EnCase permite a los investigadores para redirigir los archivos temporales en unacarpeta Temp / Papelera en un disco duro secundario para la limpieza más rápida después de unexamen, y para evitar que los materiales confidenciales o de contrabando de ser redirigido porWindows para la carpeta temp propios investigadores en la unidad del sistema operativo .

Cuando un archivo montado con VFS en el Explorador de Windows se abre con una herramienta deterceros, el sistema operativo Windows controla la creación de archivos temporales en la unidad delsistema operativo. Recuerde revisar la carpeta temporal de Windows para realizar cualquierlimpieza necesaria después de la exploración.

VFS servidorEl módulo VFS tiene una extensión de servidor para que los investigadores pueden compartir laevidencia montada con otros investigadores de la red de área local / intranet a través de VFS. Laextensión permite a un número de clientes para montar el recurso compartido de red que entrega elservidor VFS a través de una conexión de redbajo estas condiciones:

Sólo el equipo que ejecuta el servidor VFS necesita una clave de seguridad insertado

Una clave de seguridad no es necesaria para conectar con el servidor VFS y acceder a losdatos que se sirve enExplorador de Windows.

La máquina cliente (s) debe tener el programa EnCase instalado para acceder a loscontroladores de cliente VFS, pero puede funcionar en el modo de adquisición

El número de clientes que pueden conectarse al servidor VFS depende del número deconexiones de servidor VFS comprados. Esta información está contenida en el CertificadoVFS o programado en la clave de seguridad.

Para determinar si el servidor VFS está habilitado y para ver el número de conexiones de clientedisponibles, haga lo siguiente:



Seleccione Acerca de EnCase en el menú Ayuda.

Si el módulo VFS no está en la lista, o el número de clientes no es suficiente, póngase en contactocon los clientesDe servicio para adquirir más clientes.

Configuración del servidorConfigurar el servidor de la siguiente manera:

1.En el equipo servidor VFS (con la clave de seguridad insertada), abra el programa EnCase.

2.Abra el expediente (s).

3.Seleccione el VFS apropiadas montan nivel de

puntos: Case

Drive /

Dispositivo

Carpeta

Volume

4.Right clic en el punto de montaje y seleccione Montar como recurso compartido de red.

Usted tiene la opción de crear un recurso compartido de red desde cualquiera de los casos,las unidades o carpetas dentro de ella. Esto le permite compartir sólo lo que es necesariopara los demás, sin dejar de tener acceso a los casos y los dispositivos que usted no deseacompartir.

5.Since este es el equipo servidor VFS, seleccione Establecer servidor local para la ubicación dela

Ficha Información Server.

6.Ingrese un número de puerto o use el valor predeterminado de 8177. La dirección IP delservidor está en gris ya que la dirección IP de los servidores es la asignada a la máquinadonde el montaje se lleva a cabo.

7.Note la dirección IP de la máquina del servidor para su uso con el cliente.

8.Set el número máximo de clientes que pueden conectarse al servidor, con el valor pordefecto es el máximo permitido por su certificado VFS Server.

Desde VFS está aumentando la evidencia como una unidad compartida de red, el puerto que sirvedebe ser asignado. Para permitir la recuperación de errores en Windows, como un accidentedurante el uso de herramientas de terceros, como se describe anteriormente, el servicio de VFStiene una duración de la vida de la sesión de Windows de ese puerto.


92 EnCase Version 6.12 Modules ManualEl servidor VFS también puede servir los datos de forma local a la máquina de investigadores.Tenga en cuenta que se utiliza una de las conexiones de servidor.



Restringir el acceso por dirección IPDe forma predeterminada, VFS Server está configurado para permitir el acceso desde todas lasdirecciones IP. Sin embargo, el método preferido es el de restringir el acceso por dirección IP. Paraespecificar un rango de máquinas, haga lo siguiente:

1.Seleccione Permitir rango de IP y especifique los valores de IP de alta y baja.

2.Seleccione Permitir IPs específicas.

3.Right clic en la casilla IPs mascotas.

4.Seleccione Nuevo e introduzca las direcciones IP.

Puede escribir varias direcciones IP mediante la repetición de esta acción. También puedeeditar o borrar IP existentedirecciones de IPs admiten botón derecho del ratón.

5.Seleccione la ficha Información del cliente.

Para montar también y ver la unidad compartida localmente, deje la cuota deMount cuadro local revisado y entrada de una Carta de volumen.



De forma predeterminada, el campo letra del volumen tiene un asterisco en ella, lo quesignifica que la próxima disponibleSe utilizará letra de unidad. Montaje de la participación a nivel local utiliza unade las conexiones del servidor VFS.

Si sólo están sirviendo a la cuota a los clientes remotos, compartir Mount clara a nivel local,y laVolumen Carta se pone gris, ya que la cuota se instala en el cliente remoto (s).

El servidor VFS monta la acción y permite conexiones en el puerto asignado. El icono de la manocompartido aparece en el punto de montaje VFS. Usted puede continuar su examen, mientras quese está compartiendo. El rendimiento depende del tamaño y tipo de las pruebas examinadas, lapotencia de procesamiento del servidor y máquinas de cliente, y el ancho de banda de la red.

Conexión de los ClientesPara conectar los clientes:

1.install el programa EnCase en el cliente.

2.Reboot la máquina después de la instalación de Windows para acceder a los controladores deVFS.

Al poner en marcha el programa EnCase, no es necesario disponer de una clave deseguridad presente.

3.Haga clic en Herramientas → Montar como recurso compartido de red.

4.En la ficha Información del servidor, escriba la dirección IP del servidor de la máquina VFSServer, e introduzca el número de puerto que el servidor está a la escucha.

5.En la pestaña Información del cliente, seleccione la letra de volumen para asignar lacuota, o aceptar la siguiente letra disponible.

Muestra el mensaje de confirmación.

En el equipo cliente, la participación está disponible en el Explorador de Windows, gsisvr conla letra de unidad asignada. La evidencia ordenador compartido puede ser examinado como seha descrito anteriormente.

Cierre de la conexiónCuando un investigador con una máquina cliente ha completado el examen de la unidadcompartida, o de otro investigador tiene que utilizar la conexión, haga doble clic en la barra deprogreso en la parte inferior derecha y seleccione Sí.

Una ventana de confirmación informa de que los datos se desmontó y se cierra la conexión y else elimina icono de mano común, lo que indica que el Explorador de Windows ha eliminado launidad compartida.El programa EnCase puede ser cerrado en el equipo cliente.

En la máquina servidor VFS, cuando todos los clientes están terminadas y han desmontado lacuota, cierre el servidor VFS haciendo doble clic en la barra de sistema de archivos virtual quedestella en la esquina inferior derecha de la ventana de la aplicación EnCase. Se le pedirá paradesmontar el expediente de prueba, después de lo cual se puede cerrar el programa EnCase.




Sistema de archivos virtual no aparece en módulos

Si está utilizando los archivos cert, compruebe que el certificado VFS se encuentra en eldirectorio Certificados adecuada (típicamente C: \ Archivos de programa \EnCase6 \ Certificados).

Asegúrese de que la clave de seguridad está instalado y funciona correctamente (consulte la barrade título para asegurarse de que el software no está en el modo de adquisición). No es necesariotener la clave de seguridad instalado en una máquina de la conexión a un servidor remoto de VFS.

Si está utilizando los archivos cert, el archivo del certificado que se expida por una clave deseguridad específica, compruebe el identificador de clave de seguridad para asegurarse de que esel correcto para el que se emitió el certificado.

Puedo montar un dispositivo a nivel local, pero no puedo configurar un servidor local

Seleccione Acerca de EnCase en el menú Herramientas y asegúrese de que el sistema de archivos delservidor virtual apareceEn Módulos. Si no aparece el servidor, es posible que el CERT mal instalada, o no hacertener acceso a la edición Server.

No puedo conectarme a un dispositivo montado en un servidor remoto VFS

Compruebe la dirección IP y número de puerto del servidor remoto. Si la dirección IP es correcta,haga ping a la dirección para garantizar la conectividad.

Asegúrese de que el dispositivo todavía está montado en el servidor remoto.

Compruebe cuántas máquinas están conectadas al servidor, y determinar cuántos clientes se lespermite conectarse a un servidor VFS seleccionando Acerca de EnCase en el menú Herramientas enla máquina que ejecuta el servidor VFS. Determinar el número de clientes que tienen permitido pormirar el número que aparece junto al módulo virtual del sistema de archivos del servidor.

Si ninguno de estos pasos de solución de problemas se resuelve el problema, póngase en contacto conorientación Software Servicios Técnicos.



CAPÍTULO 5

FastBloc SE módulo

¿Qué es el Módulo SE FastBloc?

Información general

Instalación del Módulo SE FastBloc

Utilizando el módulo SE FastBloc

El almacenamiento en caché de disco




¿Qué es el Módulo SE FastBloc?El módulo FastBloc ® SE (Software Edition) es una colección de herramientas del variadordiseñados para controlar las lecturas y escrituras en una unidad conectada a un ordenador a travésde USB, FireWire, SCSI, IDE, SATA y tarjetas controladoras para permitir la adquisición segura demedios sujetos de Windows a un archivo de pruebas EnCase ®. Además, un investigador puedeborrar dispositivos conectados a una tarjeta controladora que es controlado por el módulo de SEFastBloc, o restaurarlos manteniendo al mismo tiempo el valor hash del archivo lógico.

Cuando los módulos SE FastBloc escriba capacidad de bloqueo está activado, se asegura que nohay datos se escriben o se modifican en un dispositivo de escritura bloqueada. La escritura debloque USB, FireWire, dispositivos SCSI opción se utiliza para escribir bloques y proteger lasunidades conectadas.

En el pasado, la realización de un forense, la adquisición no invasiva de una unidad de disco durose realizó en DOS, o a través de un dispositivo de hardware de protección de escritura. Esto sehizo para controlar escribe por el sistema operativo a la unidad de sujeto. El módulo SE FastBlocelimina la necesidad de tener un bloqueador de escritura de hardware instalado en el equipoforense con el fin de adquirir EnCase archivos de evidencia de manera válida a efectos legales através de Windows.

Información general

HPA y DCO configurados los discos

Organiza Área Protegida

Los discos duros se pueden configurar con un Área Protegida Host (HPA). Está diseñado parapermitir que los vendedores para almacenar datos a salvo de acceso de los usuarios, diagnóstico oherramientas de copia de seguridad de MS Windows. Si está presente, los datos almacenados enesta área es inaccesible por el sistema operativo, el BIOS o en el propio disco.

El conocimiento de esta área y la capacidad de acceder a él son importantes, ya que existe elpotencial para un usuario sofisticado para ocultar los datos en el HPA. El módulo SE FastBloc vela HPA, si está presente, y el contenido oculto no se muestra. La integridad del disco se mantieneintacta en la vista previa y la adquisición de discos con HPA.

Device Configuration Overlay

La superposición de configuración de dispositivos (DCO), a veces llamada la superposición deconfiguración de disco, es similar a la HPA ha expuesto anteriormente. Es una característicaopcional dentro de la ATA y siguientes. estándar, y es apoyado por la mayoría de los discos duros.Al igual que el HPA, que también se puede utilizar para segmentar de una porción de la capacidadde la unidad de disco duro a la vista por el sistema operativo o el sistema de archivos, por logeneral para fines de diagnóstico o de restauración.

Contenido del DCO puede controlar el comportamiento de la unidad, y uno de los campos DCOcontrola elmax_sectors manejar datos. Por lo tanto, se puede utilizar para restringir artificialmente acceso ala unidad completa.

Arquitectura

Tanto el HPA y el ACA se encuentran normalmente en los extremos del disco duro. Si estápresente, el área de HPA se coloca en la unidad después de configurar el DCO. Esto le da a la


FastBloc SE Module 97unidad de los tres tipos de almacenamiento que se colocan uno tras otro en la unidad:



Normal HPA protegida DCO protegida

Anulación HPA y DCO ConfiguraciónLa funcionalidad de bloqueo de escritura del módulo de SE FastBloc está diseñado para evitar queescribe en un disco duro sospechoso durante la vista previa, el examen de la adquisición o eldispositivo para fines forenses. El módulo SE FastBloc permite EnCase software para reconocer losdiscos con las regiones HPA y DCO.

El módulo de SE FastBloc anula automáticamente la configuración HPA, lo que hace que la zonade HPA el disco duro visible para el investigador. Para hacer esto, se elimina temporalmente laconfiguración de HPA y luego los reemplaza, por lo que no hay alteraciones permanentes dedisco están hechos.

Si sólo una DCO está presente, se retira para permitir que el software EnCase para ver los datos. Sitanto HPA y DCO están presentes en un área al mismo tiempo, el módulo de primera FastBloc SEelimina el ajuste de HPA, a continuación, el ajuste de DCO. El HPA se elimina sólo si un área DCOHPA y existen simultáneamente.

ALERTA! Cuando el software EnCase encuentra un disco duro con un DCO definido o DCO y HPA,se debe eliminar de forma permanente las dos plantillas de imagen en toda la unidad. Basado enel diseño y las especificaciones publicadas de DCO y HPA, no hay manera conocida para accedera toda el área de datos sin hacer este cambio. Los investigadores deben tener en cuenta queaunque este cambio no afecta a los datos contenidos en el disco, se trata de un cambiopermanente en el variador de velocidad que no se ve afectada por apagar la unidad. Losinvestigadores podrían explicar esta anomalía en su documentación.

Instalación del Módulo SE FastBlocEl proceso para instalar el módulo comporta unos pasos más que los otros módulos.

1.Instale el módulo SE FastBloc que se enumeran en Instalación de los módulos EnCase en lapágina 5.

2.Shut la máquina forense.

3.Inserte uno de los controladores IDE enumerados en FastBloc SE Módulo Requisitosespecíficos en la página 4.

4.Gire en el equipo.

Instale los controladores que se incluyen con el controlador IDE.

En consonancia con las prácticas de informática forense de sonido, probar el módulo FastBloc SE con medios nopruebas para verificar la capacidad de bloqueo de escritura antes de utilizar el dispositivo con pruebas reales.


FastBloc SE Module 99

Utilizando el módulo SE FastBloc

Escribe Bloqueo IDE y SATA Controller CardsEl módulo SE FastBloc escribir bloques SATA tarjeta controladora PCI IDE. Ver FastBloc SEMódulo Requisitos específicos en la página 4 para obtener una lista de los soportados PCI IDEtarjetas controladoras. Para evitar exitosamente escribe o modificaciones a un dispositivo IDE, elcanal de control es bloqueado antes de escribir el dispositivo está conectado a la PC. Cuando elcanal está protegido con el conductor GSI, apague la máquina y conecte el dispositivo. En elreinicio, los permisos de escritura de Windows son revocados.

Para escribir bloquear una controladora IDE:

1.Launch el programa EnCase y seleccione Write-Block canal IDE en el menú Herramientas.

2.In el listado de canales IDE disponibles, azul-comprobar el canal de escribir bloque y haga clicen Aceptar.

3.A ventana emergente puede aparecer diciendo que el software no ha pasado del logotipo deWindows

pruebas.

4.Haga clic en Continuar para reemplazar el controlador instalado con el controlador de GSI.


100

EnCase Version 6.12 Modules Manual

5.Shut la máquina forense.

6.Attach el disco duro sospechosos al controlador seleccionado en el paso 2.

7.Restart el equipo forense.

El canal seleccionado es escribir bloqueado en el inicio del sistema.

Desactivación IDE Write Protection BloquearPara desactivar la protección del bloque de escritura:

1.Shut el equipo forense.

2.Retire el disco duro sospechosos.

3.Repeat los pasos 1 y 2 anteriores, deseleccionando el controlador de escritura protegida en elpaso 2.

4.Reboot la máquina forense.

Controlador GSI 5.El se reemplaza con el controlador de Windows predeterminada original.

Escribe Bloqueo de un dispositivo USB, FireWire o SCSIPara escribir bloquear un USB, FireWire o SCSI, las intersecciones de software EnCase la señalenviada a Windows cuando un dispositivo está conectado al ordenador. A continuación, se filtrael controlador para ese dispositivo, lo que permite la protección contra escritura.

Cuando se utiliza el módulo SE FastBloc en un dispositivo USB, FireWire o SCSI, hay dos modos,que protege tanto a proteger el dispositivo que se modifique o por escrito a:

Escribe Bloqueado: Un dispositivo bloqueado de escritura está protegido contraescritura o modificación de archivos cuando el dispositivo está conectado a un PC.

Los archivos borrados de o añadido al dispositivo aparece en Windows en suversión modificada, pero las modificaciones se guardan en una caché local, no en elpropio dispositivo. Este modo no le pide errores al intentar escribir en la unidad.

Escribe protegido: Un dispositivo de protección de escritura está protegido contra escrituraso las modificaciones cuando el dispositivo está conectado a un PC.

Si escribe o modificaciones hechas al dispositivo se intentan, Windows responde con unmensaje de error.

Eliminación de la protección de escritura entra en vigor en todos los dispositivos que están ohan estado conectados a laPC.

Para escribir bloquear un USB, FireWire o un dispositivo SCSI:

1.Asegúrese de que no hay dispositivos conectados.

2.Seleccione Write-bloque USB, Firewire, SCSI en el menú Herramientas.




3.Seleccione Write-Bloqueado en el diálogo.

4.Introduzca del USB, FireWire o SCSI.

Debido a que algunos dispositivos SCSI no son intercambiables en caliente inicial, es posible que deseeutilizar un soporte intercambiable en caliente para proteger el dispositivo, como el StarTechDRW150SCSIBK SCSI bahía de la unidad.

5.A ventana de confirmación aparece cuando el dispositivo está bloqueado con éxito.

6.Haga clic en Finalizar.

Verifique Escribe Bloquear

Usted puede confirmar el éxito de escritura de bloqueo del dispositivo en la vista previa deldispositivo en el programa EnCase:

1.Haga clic en el icono Nuevo en la barra de herramientas superior para abrir un nuevocaso y completar la información requerida.

2.Haga clic en el icono Agregar dispositivo.

3.Blue seleccione Unidades locales en el panel derecho, haga clic en Siguiente.

En la ventana Dispositivos Elegir, el dispositivo y el volumen (si existe) en el canal deescritura bloqueada tienen un cuadro verde alrededor del icono de la columna Nombre, yuna bala aparece en la escritura la columna Bloqueado para cada uno.

Extracción de bloqueo de escritura desde un dispositivo USB, FireWire o SCSI

Extracción del dispositivo USB, FireWire o SCSI

Para quitar un dispositivo USB, FireWire o SCSI:

1.Use la herramienta de extracción de hardware en la bandeja del sistema en la esquinainferior derecha de la barra de tareas para eliminar el dispositivo.



En Windows 2000, esta herramienta se llama Desconectar o expulsar hardware, en WindowsXP, con seguridadQuitar hardware.

2.Retire el dispositivo físicamente cuando el asistente ha confirmado una extracción segura.

Extracción Write-Block1.Seleccione Write-bloque USB, FireWire, SCSI de la unidad en el menú desplegableHerramientas.

2.Haga clic en Borrar todo en la ventana que se abre.

3.Haga clic en Sí en el mensaje para confirmar la eliminación de todos los USB, FireWire, SCSI yescritura

dispositivos bloqueados.

Al seleccionar Borrar Todos Elimina escribir el bloqueo y la protección contra escritura en todos los USB, FireWire ySCSIlos dispositivos previamente protegidos por el módulo SE FastBloc.

Ventana de confirmación 4.A muestra cuando el bloque de escritura se elimina correctamente.



5.Haga clic en Aceptar para finalizar la escritura de eliminación de bloques.

Vista previa de un dispositivo de escritura BloqueadoPara obtener una vista previa de un dispositivo de escritura bloqueada:

1.Write bloquear o proteger contra escritura el dispositivo adecuado siguiendo los pasosdescritos anteriormente en este manual.

2.Crear un nuevo caso en el programa EnCase.

3.Haga clic en Agregar dispositivo.

En el cuadro de diálogo Elegir dispositivos, una bala en la columna Bloqueado Escribirindica los medios de sujeción es escribir bloqueado. Dispositivos escriben bloqueado por elmódulo SE FastBloc también tienen un cuadro verde alrededor del icono ( ).

4.Blue comprobar un dispositivo bloqueado de escritura o volumen, a continuación, haga clic enSiguiente.

5.Haga clic en Finalizar en la pantalla Dispositivos de vista previa para comenzar la vista previade los medios de comunicación sometidos.

LimpiarEl módulo SE FastBloc permite borrar un dispositivo conectado a una de las apoyados tarjetas PCIIDE controlador mencionadas en FastBloc SE Módulo Requisitos específicos en la página 4.Limpiando se realiza de la misma manera que para las unidades conectadas directamente a la placabase. Ver el EnCase Herramientas capítulo Uso de el Manual de Usuarios EnCase instrucciones paralimpiar una unidad de uso de la interfaz EnCase.

RestauraciónEl módulo de SE FastBloc también permite la restauración de un expediente de prueba a undispositivo de tamaño o más grande conectado a una de las apoyados tarjetas PCI IDE controladormencionadas anteriormente similares. Restaurar un dispositivo de la misma manera que con lasunidades conectadas directamente a la placa base. Ver el EnCase Herramientas capítulo Uso de elManual de Usuarios EnCase para más detalles.



El almacenamiento en caché de discoCuando el módulo SE FastBloc se establece en escribir bloque, la escribe en realidad están siendoalmacenado en caché a los investigadores disco duro. Esto no ocurre con protección contraescritura, ya que Windows genera un error en lugar de permitir la aparición de la escritura quetenga lugar.

Escribe las pruebas de validación de bloques y almacenamiento en caché de discoNo utilice los discos duros pruebas para realizar pruebas de capacidad de bloqueo de escritura.Aunque Windows puede aparecer para permitir que las modificaciones de los medios de escriturabloqueada sujetos, esto en realidad no ocurre.

Disco almacenamiento en caché y vaciar la cachéPara vaciar la caché de escritura, reinicie el equipo o eliminar los medios de comunicación que esescribir bloqueado. Vista previa de la unidad con la interfaz de EnCase o navegar con elExplorador de Windows para comprobar que la caché vacía.


La opción de bloqueo de escritura no aparece en el menú Herramientas

Asegúrese de que el módulo se ha instalado como se describe en Instalación de los módulos EnCaseen la página 5.

Seleccione Acerca de EnCase en el menú Ayuda para verificar que el módulo SE FastBlocaparece en la ventana.

Verifique que la clave de seguridad está en la máquina. Si la clave de seguridad está fuera, o nofunciona correctamente, el programa EnCase estará en el modo de adquisición.

Si está utilizando los archivos cert, el archivo cert puede estar vinculada a una clave deseguridad diferente. Consulte a un administrador para determinar la clave deseguridad asociada y archivo cert.

Windows y el programa EnCase no reconoce el dispositivo conectado

Revise todas las conexiones de alimentación y de datos en el dispositivo.

Compruebe si el disco duro está girando tema. Si el dispositivo está conectado a través de unabahía de unidad de disco externa, apague el equipo e intente conectar el conector de alimentación(no el conector de datos) a un Molex ® cable de alimentación directamente desde el ordenador.Reinicie el equipo. Si la unidad comienza a girar, apagar el equipo de nuevo y cambiar los cables.

Si la unidad de sujeto no gira o hace ruidos extraños (zumbidos, chasquidos, etc), la unidadpuede ser defectuoso y es posible que no pueda adquirirlo por métodos normales.

Si la unidad objeto gira, compruebe los cables de datos. Es posible que desee probar con otro cablede 40 hilos si está utilizando un cable de 80 hilos.

Compruebe el puerto USB o FireWire para garantizar el correcto funcionamiento mediante lainserción de un buen dispositivo conocido. Asegúrese de que el puerto es reconocido en elAdministrador de dispositivos.



Windows detecta la unidad de materia, pero el programa EnCase no

Si usted puede ver la unidad física, pero no puede ver el contenido de la unidad, la interfaz deEnCase puede estar en modo de adquisición. Esto puede indicar que la clave de seguridad no se hainstalado o (si usted está utilizando los archivos cert) no está vinculado al archivo cert. Consulte laGuía del usuario de EnCase para obtener instrucciones sobre cómo instalar los controladores deseguridad clave.

Es posible que tenga una versión corrupta del programa EnCase. Si está utilizando los archivoscert, haga una copia de seguridad de todos sus archivos cert. Descargar e instalar la versión másreciente del software EnCase.

Asegúrese de seleccionar los dispositivos locales en lugar de archivos de evidencia cuando comienceel proceso de vista preliminar.

Si es posible, trate de adquirir en una máquina completamente diferente. Esto ayuda a identificar elproblema, ya que puede ser un conflicto de hardware o sistema operativo. Si está utilizando losarchivos cert, asegúrese de usar una clave de seguridad atada al archivo cert.

Adquisición toma demasiado tiempo

Si la adquisición se inició a una velocidad normal, y luego disminuyó rápidamente después de laadquisición, hay una buena probabilidad de que el programa EnCase ha encontrado sectoresdefectuosos en la unidad de materia. Debido a que el software hará varios intentos de lectura desectores defectuosos, el tiempo de adquisición puede aumentar.

Habilitar la compresión aumenta considerablemente el tiempo de adquisición.

Una adquisición completamente lento puede ser el resultado de un equipo más lento.

Si usted adquiere un soporte externo (es decir, los medios de almacenamiento es un disco duroexterno) las tasas de transferencia será significativamente más lento que con un disco duroconectado directamente.

Si la unidad de sujeto es un modelo más antiguo o más lento, la velocidad de adquisición es limitada.

Si el equipo forense tiene una unidad de almacenamiento mayor o menor, la adquisición estáfrenado por la unidades de velocidad de escritura lenta.

Si usted está adquiriendo una unidad nueva, trate de un cable de 80 hilos, ya que esto permite unrendimiento más rápido. Asegúrese de que elCable FireWire / USB esté bien conectado en ambos extremos.

Si FireWire no está disponible, utilice una conexión USB 2.0 (USB 2.0 es hasta 40 veces más rápidoque USB 1.0). Además, cuando se utiliza USB, limitar cualesquiera otras tareas intensivas de la CPUdurante la adquisición, ya que éstos contribuyen a una pérdida de velocidad de transferencia.

Usar puertos FireWire siempre que sea posible, ya que la interfaz es más rápido que USB.

Adquisición y verificación hash no coinciden

Puede haber un problema de integridad de los datos con el cable. Trate de usar un cable de 40 hilos,si usted está usando un 80 -cable de alambre, un cable IDE más corto, y / o un cable blindado IDE si es posible.

Trate de usar un USB o cable FireWire.



Hay diferentes valores hash cada vez que la unidad es ordenado

Esto indica una unidad defectuosa. Debido a que el número de errores de sectores aumenta cadavez, los valores de cambio de hash. Dado que la primera adquisición típicamente contiene el menornúmero de sectores defectuosos, utilizar ese archivo para el análisis.

Hay varios sectores defectuosos después de la adquisición

Esto puede indicar una unidad defectuosa. Asegúrese de que los cables estén bien conectados alcontrolador y la unidad.

Si la unidad de sujeto se encuentra en un recinto al intentar adquirirla, puede que se calientedurante la adquisición. Trate de extraer la unidad de la caja para mantener más fresco, lo quepuede reducir el número de errores de sectores.



CAPÍTULO 6

Módulo de CD / DVD

¿Qué es el módulo de CD / DVD?

Quemar archivos de evidencia durante la adquisición

Grabación de archivos de evidencia lógica durante laadquisición

Grabación de archivos e informes

Quemar la evidencia existente y archivos de evidencia lógica



¿Qué es el módulo de CD / DVD?Utilice el módulo de CD / DVD para grabar el siguiente en un CD o DVD:

Evidencia y lógica archivos de evidencia durante la adquisición Los archivos y carpetas, así como los informes emitidos por el programa EnCase ® Existentes archivos de evidencia y archivos de evidencia lógica

A menos que se especifique lo contrario, los archivos quemados mantener las siguientes propiedades(si están disponibles):

Nombre de entrada (ya sea de entrada o de informe) Fecha de la última escrita Fecha de disponibilidad Creado Tamaño de lógica

En consonancia con las prácticas de informática forense de sonido, probar el módulo de CD / DVD con los medios decomunicación no pruebas para verificar la instalación y funcionamiento antes de utilizarla con pruebas reales.

Quemar archivos de evidencia durante la adquisiciónEl proceso para la grabación de un archivo de datos en un medio extraíble en el momento deuna adquisición comienza con una vista previa:

1.Create un caso nuevo o abrir uno existente.

2.Add un dispositivo para la vista previa que se describe en la Guía de Usuarios EnCase.

3.Right haga clic en el icono del dispositivo en el árbol de la caja, a continuación, seleccioneAdquirir.

4.Cuando se llega a la pantalla de opciones, selecciona Grabar disco, a continuación, haga clicen Siguiente.


CD/DVD Module 109

Selección de información de CDPara seleccionar la información del CD, seleccione las opciones apropiadas de las opcionespreconfiguradas en el cuadro de diálogo Información del CD.

Joliet: Esto especifica el formato de la imagen a que se adhieran a la norma Joliet, quepermite nombres de entrada largos.

UDF: Esto especifica el formato de la imagen a que se adhieran a la norma UDF, que seutiliza principalmente para los DVD.

Burn: Esto da inicio a la quema de la imagen en el disco una vez que haga clic enFinalizar. Si la casilla no está seleccionada, la carpeta de archivo de la imagen se actualiza,pero no se quemó hasta iniciada por el usuario en la pestaña Entradas Archive. Un ISOtambién se crea para que el usuario se queme en cualquier momento con cualquierprograma.

Eliminar ISO Quemar después de: Esto borra la imagen ISO creada a partir de lacarpeta temporal creada con la opción Ruta de acceso una vez que se quema a losmedios de comunicación.

Editorial: Este campo opcional permite especificar el nombre de la persona que quema laimagen en el disco.

Preparador: Este campo opcional permite especificar el nombre de la persona quepreparó la imagen para la grabación.

Ruta de acceso: Este campo establece la ruta de la ubicación temporal de la imagen ISOantes de ser quemado.

Grabadoras de CD: Cualquier quemador de medios de comunicación reconocido por elsistema aparece en esta ventana. Seleccione el grabador de medios de su elección.

Si un quemador reconocido no está en la lista, la opción de quema está desactivado. Laimagen producida contiene el formato ISO9660 con Joliet seleccionada por defecto. Si seseleccionan formatos Joliet o UDF, más árboles se construyen para esos formatos.ISO9660 permite sólo nombres de ocho caracteres (antiguo DOS 8.3). Nombres más deocho caracteres se truncan a los cuatro primeros caracteres del nombre de archivo,seguido de cuatro números al azar.



ArdorCuando la adquisición inicial se haya completado, la pantalla de estado y la quema a que hancomenzado CD, indican mediante un hilo ardiente azul que aparece en la barra de tareas delos programas de EnCase.

Evidencia entradas se queman, siempre y cuando haya suficiente espacio a la izquierda en elmedio basado en el tamaño de segmento de conjunto. Si no hay lugar a la izquierda, se expulsael disco y aparece un mensaje que le indica que inserte otro disco.

Entradas evidencia se verifica en los medios extraíbles después de haber sido quemadas. Despuésse quema la entrada, una ventana de estado informa de los resultados de la escritura y laverificación.

Grabación de archivos de evidencia lógica durante laadquisiciónPara grabar un archivo de evidencia lógica durante la adquisición:

1.Preview el dispositivo.

2.En la ficha Entradas, seleccione las carpetas para el archivo de evidencia lógica.

3.Right ratón y seleccione Crear archivo de evidencia lógica.

4.In el cuadro de diálogo Archivo Evidencia Lógica Crear, seleccione Grabar disco, acontinuación, haga clic en Siguiente.

5.5. En el cuadro de diálogo CD de la información, seleccionar las opciones como se describióanteriormente.

Un subproceso independiente tiene una duración de la quema de las entradas de las pruebaslógicas, mientras que se crean. La quemadura de disco se produce cuando el primer segmentotermina adquiriendo. Para cancelar la grabación, haga doble clic en el mensaje de estado Burningazul en la barra de tareas inferior. Pruebas lógicas, como otras entradas pruebas, se verificadespués de quemarse. La ventana de estado en la parte final del proceso de verificación y presentael estado de la adquisición de las entradas quemados. Si no hay una habitación libre en un disco, eldisco se expulsa y se debe mostrar una confirmación para insertar otro disco.

Grabación de archivos e informes

Crear una nueva sesión de imagen


CD/DVD Module 111

Para crear una nueva sesión de la imagen:



1.Seleccione Archivos de almacenamiento en el menú desplegable View.

2.To crear una nueva sesión de imagen para la grabación de datos en un CD / DVD delas entradas o informes seleccionados, haga clic en la raíz de Archivos Archivo yseleccione Nueva Imagen.

Por defecto, el módulo coloca elementos almacenados en caché en C: \ Archivos de

programa \ EnCase6 \ Cache. Para cambiar la ruta raíz, haga clic en el elementoraíz, seleccione Cambiar ruta de root, y busque o cree una carpeta.

Un icono del disco aparece en el árbol, llamado discimage1. Imágenes posteriores creadosse denominandiscimage2, discimage3, etcétera

3.To imágenes de cambio de nombre, haga clic en la carpeta de imágenes (o pulse F2) yseleccione Cambiar nombre.

Una imagen en caché de este archivo se almacena en C: \ Archivos de programa

\ EnCase6 \ Cache con el nombre de la carpeta y . Cdi extensión.

Preparación de las entradas para la grabación dePara preparar las entradas para la grabación:

1.In la ficha Entradas, seleccione las entradas que se enviarán en un medio extraíble.

2.Haga clic en la carpeta deseada en el árbol de carpetas y seleccione Copiar o Copiar /UnErase para abrir las ventanas de opciones estándar de estas características.


CD/DVD Module 113

Utilice copiar carpetas para añadir las entradas seleccionadas en la carpeta, manteniendo lasentradas existentes.Los tamaños de archivo de las entradas seleccionadas conservan el tamaño lógicooriginal del archivo, pero no el tamaño físico.

Utilice Copia / Unerase para mantener la estructura sobre la base de las opcionesestablecidas en el menú de exportación, como el archivo lógico, todo el archivo físico,memoria RAM y disco Slack, etc



3.Right haga clic en el icono Archivos Archivo en la ventana Carpeta de destino y seleccioneNueva Imagen.

Por defecto, este isdiscimage1. Las carpetas creadas anteriormente son visibles en el destinoVentana de carpeta.

4.Seleccione la carpeta adecuada, haga clic en Finalizar.

5.Haga clic en Aceptar para agregar las entradas a la carpeta Archivos de Archivo.

6.To ver las entradas agregado, vaya a la pestaña Archivos Archivo y seleccione la carpetadonde se enviaron las entradas.

7.Right haga clic en la tabla y seleccione Actualizar.

Informes Preparación para la grabación dePara preparar un informe para la grabación:

1.Go informar de vista, ya sea en el panel de tabla o panel de vista.

2.Haga clic en el panel de informe y seleccione Exportar.

3.In el cuadro de diálogo Exportar informe, seleccione Grabar en disco.

4.Seleccione la salida apropiada formato, documento o página web.

5.Ingrese la ruta completa en el campo Ruta o busque la ubicación de exportación.

6.Seleccione una carpeta de destino.

Si las entradas que ya existen en la carpeta de destino, se agregan las entradas seleccionadaspara ellos.

7.Haga clic en Aceptar para agregar el informe a la carpeta discimage.

El informe que acaba de agregar se almacena en la pestaña Archivos Archivo y salvó el mundopara que pueda añadir o eliminar de ella en cualquier momento.


CD/DVD Module 115

Quemar las carpetas imagen creada en el discoAntes de grabar una imagen de disco, las entradas y los informes se pueden mover entre losvolúmenes de arrastrar y soltar desde una imagen a otra. Cada imagen puede tener su propioformato y las opciones de salida:

Para acceder a la ventana de opciones para ver o editar la configuración, haga clic derecho yseleccione un volumen

Editar. Para cambiar el nombre de un volumen haga clic

derecho y seleccione Cambiar nombre. Para grabar la

imagen en el disco:

1.Haga clic en la carpeta de imágenes y seleccione Grabar disco.

2.In la ficha Archivos Archive, las imágenes de disco aparecen con indicaciones que figuran enel panel de la tabla.

3.Seleccione las opciones apropiadas de las opciones preconfiguradas en el cuadro dediálogo Información del CD como se describe anteriormente.

Cuando se quema la imagen, una ventana de estado informa de los resultados de laescritura.

Quemar la evidencia existente y archivos de evidencia lógicaEnCase archivos de evidencia y archivos de evidencia lógica que ya están creados se puedengrabar en medios de comunicación de la interfaz de EnCase. Las excepciones a esta funcionalidadson:

Entradas individuales SafeBack Imágenes

Unidades previsualizarlos Imágenes VMware

Volúmenes montados Imágenes de Virtual PC

imágenes dd Los demás archivos queno evidencia

Para grabar un archivo de pruebas EnCase o Archivo evidencia lógica en un disco, en primerlugar, se debe agregar a la caja mediante los métodos estándar:

Arrastrar y soltar el archivo en la interfaz de EnCase Usando Agregar dispositivo

Para grabar un archivo de datos existente o evidencia lógica:

1.En la ficha Calidad, seleccione la subpestaña Dispositivos.

2.Haga clic en la tabla y seleccione la imagen que se quemó. Tenga en cuenta que sólo eldispositivo resaltado se quema, no seleccionado (azul a cuadros) equipos.



3.Right haga clic en el dispositivo y seleccione Grabar en disco.

4.Continúe como se describe en la selección de información de CD, en la página 109.


CD/DVD Module 117


Guidance SoftwareAviso LegalNinguna parte de este manual, incluyendo los productos y software descrito en ella, puede serreproducida, transmitida, transcrita, almacenada en un sistema de recuperación, o traducida acualquier idioma de cualquier forma o por cualquier medio, excepto la documentación conservadapor el comprador para copia de seguridad propósitos, sin la autorización expresa por escrito de laGuía Software, Inc. (GSI).

GSI PROPORCIONA ESTA PUBLICACIÓN TAL CUAL SIN GARANTÍA DE NINGÚN TIPO, YASEA EXPRESA O IMPLÍCITA, INCLUYENDO PERO NO LIMITADO A LAS GARANTÍAS OCONDICIONES IMPLÍCITAS DE COMERCIALIZACIÓN O IDONEIDAD PARA UNPROPÓSITO PARTICULAR. EN NINGÚN CASO, GSI, SUS DIRECTORES, OFICIALES,EMPLEADOS O AGENTES SERÁN RESPONSABLES POR CUALQUIER DAÑO INDIRECTO,ESPECIAL, INCIDENTAL O CONSECUENTE (INCLUYENDO DAÑOS POR PÉRDIDA DEBENEFICIOS, PÉRDIDA DE NEGOCIO, PÉRDIDA DE USO O DE DATOS, INTERRUPCIÓNDEL NEGOCIO Y LAS similares), INCLUSO SI GSI HA SIDO ADVERTIDO DE LAPOSIBILIDAD DE TALES DAÑOS DERIVADOS DE CUALQUIER DEFECTO O ERROR EN ESTEMANUAL O PRODUCTO.

CEIC, EnCase eDiscovery Suite EnCase Enterprise EnCase Enterprise AIRES, EnCase Forensic,ENCE, EnScript, FastBloc, Guidance Software, EnCase Neutrino, Snapshot y WaveShield sonmarcas comerciales o marcas comerciales propiedad de GSI en los Estados Unidos y en otrasjurisdicciones, y no mayo ser utilizados sin consentimiento previo por escrito. Todas las demásmarcas y marcas pueden ser reclamados como propiedad de sus respectivos dueños. Los productosy nombres comerciales que aparecen en este manual pueden ser o no ser marcas registradas oderechos de autor de sus respectivos propietarios, y se utilizan sólo para identificación oexplicación en el beneficio los propietarios, sin intención de infringir.

Manuales de productos y Documentación son específicos de las versiones de software para el queestán escritas. Para los manuales anteriores u obsoletos, información de lanzamiento del producto,póngase en contacto Guidance Software en http://www.guidancesoftware.com.

Especificaciones e información contenidas en este manual se suministra únicamente con finesinformativos y están sujetos a cambios en cualquier momento sin previo aviso.

ApoyarGuidance Software desarrolla soluciones que buscar, identificar, recuperar y entregar lainformación digital de manera válida a efectos legales y rentables. Desde nuestra fundación en 1997,hemos pasado a las investigaciones facilitadas por la red, y una amplia integración de la empresacon otras tecnologías de seguridad.

Esta sección proporciona información sobre nuestro apoyo a través de:





Manuales técnicos y notas de la versión Apoyo portal en la Web, incluyendo el acceso a las descargas Departamento de Soporte Técnico Departamento de Servicio al Cliente Foros Capacitación Servicios profesionales

Manuales Técnicos y Notas de la versiónGuidance Software ofrece manuales impresos para todas nuestras líneas de productos, así como lasversiones en PDF de actualizaciones provisionales y las notas de la versión, que describe las nuevascaracterísticas y problemas corregidos.

Damos la bienvenida a sus comentarios sobre la documentación. No dude en comunicarse connosotros [email protected] (mailto: [email protected]).

Soporte TécnicoGuidance Software ofrece una variedad de opciones de apoyo, incluyendo teléfono,correo electrónico, formularios de presentación en línea, de una al día la base deconocimientos, y un tablero de mensajes (foro técnico).

El soporte está disponible desde el domingo, 19:00 a viernes, 6:00 am Hora del Pacífico (Lunes, a las3:00 AM a sábado, 13:00 GMT). Se excluyen los días festivos en los Estados Unidos y el Reino Unidodurante las horas respectivas.

Teléfono / Correo Support

EE.UU. Información de contacto:

215 North Marengo AvenidaSuite 250Pasadena, CA 91101Teléfono: 1-626-229-9191, opción 4Fax: 626-229-9199

Reino Unido Información de contacto:

Thames central, 5th FloorHatfield carreteraSlough, Berkshire SL1 Unido 1QETeléfono: +44 (0) 1753552252, opción 4Fax: +44 (0) 1753552232

Números de teléfono gratuitos:

Alemania: 0-800-181-4625China: 10-800-130-0976Australia: 1-800-750-639Hong Kong: 800-96-4635Nueva Zelanda: 0-800-45-0523Japón: 00-531-13-0890


mailto:[email protected]



Soporte en línea

Guidance Software ofrece un portal de asistencia para nuestros usuarios registrados,proporcionando foros técnicos, una base de conocimientos, una base de datos de seguimiento defallos, y un formulario de solicitud en línea. El Portal le permite acceder a todas las cuestionesrelacionadas con el soporte de un sitio. Esto incluye:

Usuario, de productos, pruebas beta, y extranjeros foros lenguaje (las herramientas) Base de conocimientos Bug Tracker Servicios Técnicos Solicitud Descargas de versiones anteriores del software, drivers, etc Otros enlaces de interés

Aunque el soporte técnico está disponible por correo electrónico, usted recibirá más completa, elservicio más rápido cuando se utiliza el formulario de solicitud de soporte técnico en línea(https://support.guidancesoftware.com/node/381). Tenga en cuenta que todos los campos sonobligatorios, y llenarlos por completo reduce la cantidad de tiempo que se necesita para resolverun problema.

Si usted no tiene acceso al portal de soporte, por favor, utilice el formulario de inscripción Portal deSoporte(https://support.guidancesoftware.com/forum/register.php?do=signup).

Registro

El registro requiere que elija un nombre de usuario y contraseña únicos. Proporcione toda lainformación solicitada, incluyendo ID del dongle, teléfono, dirección de correo electrónico,organización, etc Esto nos ayuda a identificarlo como propietario registrado de EnCase.

Usted recibirá un correo electrónico dentro de las 24 horas. Tiene que seguir el enlace de ese correoelectrónico antes de que puedas publicar mensajes en los foros. Hasta que lo haga esto, usted notendrá permiso para publicar. Una vez que haya verificado su dirección de correo electrónico, ustedserá añadido a la lista de registro. Por favor, espere 24 horas hábiles para que su cuenta seaaprobada.

Una vez aprobado su registro, usted puede acceder al Portal de Soporte(https://support.guidancesoftware.com/). El Portal de Soporte ofrece un tutorial queoverviews brevemente el sitio.



Usuario, del producto y de lenguas extranjeras Foros

Para tener acceso a los foros, haga clic en la pestaña Forum(https://support.guidancesoftware.com/forum/) En elApoyo Portal.

Los foros permiten a los usuarios registrados enviar preguntas, intercambiar información ymantener conversaciones con Software de Orientación y de otros usuarios de la comunidad EnCase.Diferentes grupos de discusión están disponibles de la siguiente manera:

Grupos Idioma Extranjero

Francés Árabe Alemán Español Japonés Chino Coreano

Grupos Foro

Grupo de usuarios Consultor y Profesionales Forenses ordenador Problemas de hardware Foro EnScript

Grupos de productos específicos

EnCase Neutrino Empresa FIM eDiscovery

Estos grupos sólo están disponibles para clientes que hayan adquirido los respectivos

productos. Escriba un grupo haciendo clic en el nombre del grupo.

Publicar en un grupo

Para crear un nuevo mensaje, haga clic en el icono.

Haga clic en el icono para contestar a un mensaje, o utilice el icono de respuestarápida en la parte inferior de cada post.



BúsquedaLos foros contienen una acumulación de más de diez años de información. Utilice el

botón de búsqueda de palabras clave, o haga clic en Búsquedaavanzada para opciones de búsqueda específicos.

Bug Tracker

Utilice Bug Tracker para presentar y comprobar el estado y la prioridad del defecto presentado ysolicitudes de mejora. Se desglosa por producto, que muestra el número actual de errores / mejorasy errores comunes para cada producto. Para acceder al seguimiento de fallos, haga clic en el BugTracker (https://support.guidancesoftware.com/forum/project.php) En el portal de soporte.

Base de conocimientos

Usted puede encontrar las respuestas a las preguntas más frecuentes (FAQs) y otros productos útilesdocumentación de la base de conocimientos. También puede enviar sus propios artículos paraayudar a otros EnCaselos usuarios.

Para acceder a la base de conocimientos, haga clic en Base de conocimientos(https://support.guidancesoftware.com/directory) En el portal de soporte.

Desde aquí, se puede navegar, buscar y escribir artículos de Knowledge Base.

Online Formulario de Solicitud de Soporte Técnico

Utilice el formulario de solicitud de ayuda a un ingeniero de servicio técnico. Para acceder alformulario, haga clic en el formulario de solicitud(https://support.guidancesoftware.com/node/381) En el portal de soporte.



Otros enlaces útiles

La página de destino Portales de soporte contiene una sección de enlaces de interés, entre ellos:

Guidance Software Página Principal Centro de descargas para descargar software, hardware, manuales, discos de arranque,

artículos de soporte, etc Mi cuenta para registrar su Identificación del dongle para recibir al día el software porcorreo electrónico NVD (National Vulnerability Database) Información y Respuestas Guía del producto Matrix Versión para verificar la compatibilidad de las diferentesversiones de productos Recomendaciones de hardware para EnCase Forensic y EnCase Empresa Suscríbete a errores Públicas

Servicio al clienteEl Software Departamento de Servicios al Cliente de Orientación está compuesto por, personalaltamente capacitado capaz de resolver cualquier problema relacionado con su solicitud.

Horario e información de contacto se enumeran

a continuación. Teléfono: 626.229.9191

Fax: 626.229.9199

Email: [email protected] (mailto: [email protected])

Internet: http://www.guidancesoftware.com/support/cs_requestform.aspx

Horario: lunes a viernes de 6:00 am a 5:00 pm, hora del Pacífico




http://www.guidancesoftware.com/support/cs_requestform.aspx


ForosLos tablones de mensajes Guidance Software son recursos para la comunidad forense paraintercambiar ideas, hacer preguntas y dar respuestas. Los tablones de mensajes son un recursoinvaluable para el investigador forense.

Las discusiones van desde técnicas básicas de adquisición de un análisis en profundidad de losarchivos cifrados y más. Miles de usuarios experimentados y cualificados son registrados en lastablas, la revisión de mensajes cada día, y aportando su experiencia en todos los productos desoftware de orientación.

Más información acerca de los foros, incluida la información sobre cómo inscribirse en el tablónde anuncios, se encuentra en: http://www.guidancesoftware.com/support/messageboards.asp.

DescargasCuando usted recibe su producto, se registra en Guidance Software para recibir actualizaciones. Elregistro se encuentra en https :/ / www.guidancesoftware.com / myaccount / registration.aspx sitio.

Si tiene algún problema para registrar el producto, póngase en contacto con Servicio al Cliente(consulte la página 122). Si tiene problemas para descargar las actualizaciones una vezregistrados, póngase en contacto con soporte técnico (véase la página118).

CapacitaciónGuidance Software ofrece una variedad de cursos de formación profesional para el usuarioprincipiante, intermedio y avanzado de todas sus aplicaciones. Además de proporcionar una basesólida en nuestro software, también ofrecemos a nuestros estudiantes con las mejores prácticasaceptadas para la investigación, la generación de informes y la preservación de pruebas.

Guidance Software ofrece cursos para las fuerzas de seguridad, las organizacionesrelacionadas con la medicina forense y respuesta a incidentes y temas avanzados para todoslos usuarios.

Servicios profesionalesEl software de la División de Servicios de Orientación Profesional (PSD) combina líderesmundiales expertos en investigaciones informáticas con tecnología líder en el mundo forensepara ofrecer soluciones llave en mano para las investigaciones forenses.

Guidance Software ha combinado su tecnología líder de investigación de equipos con un equipode los investigadores más altamente capacitados y capaces en el mundo para ofrecerle solucionescompletas llave en mano para su negocio. Cuando se enfrentan a problemas de investigación quevan más allá de sus capacidades internas, nuestro grupo de servicios profesionales es capaz deresponder de forma remota o por entrar en el lugar para proporcionar la tecnología adecuada y elpersonal de investigaciones informáticas para el trabajo.


http://www.guidancesoftware.com/support/messageboards.asp

www.guidancesoftware.com


Investigaciones internas El robo de la propiedad intelectual Reconstrucción de intrusiones Demanda de despido injustificado

Conformidad Sarbanes-Oxley Evaluación de riesgos PII California SB 1386

eDiscovery Litigios pendientes Producción Responsive Forense preservación

Seguridad de la Información Compromiso de la integridad del sistema Revisión de la política El uso no autorizado Forense implementación del laboratorio


ÍndiceLaAcceso al disco local en el Explorador deWindows •

65Acceso al Share • 85Analizar EFS • 14, 18Asociada seleccionado • 21

BAntecedentes • 96Soporte de cifrado BitLocker (Volumen

Encryption) • 32Arranque archivos de evidencia y Sistemas Livecon

VMware • 68Inicie la máquina virtual • 71Incorporado • Ataque 57Quema • 110Grabación de archivos de prueba duranteAdquisición • 108Quemar la evidencia existente y la evidencialógica

Archivos • 114Grabación de archivos e informes • 110Grabación de archivos de evidencia lógicadurante la adquisición

• 110Quemar las carpetas imagen creada en disco •114

CMódulo de CD / DVD • 9, 107CD-DVD Módulo Requisitos específicos • 5Los archivos de certificado para la clave deseguridad • 5Certificados programados en la clave deseguridad • 5Cambiar el punto de montaje • 84Cierre y cambiar el disco emulado • 67Cierre de la conexión • 92Archivos compuestos • 78Configuración del cliente PDE • 63Configuración del servidor • 90Conexión de los Clientes • 92Crear una nueva sesión de imágenes • 110Soporte de cifrado CREDANT (basado en archivos

Encryption) • 37Soporte de cifrado CREDANT (DesconectadoEscenario) •

41Archivos CREDANT y archivos de evidencia lógica

(L01) •42

Servicio al Cliente • 122, 123



DBloquear descifrado • 53Descifrado de S / MIME mensajes de correoelectrónico en un archivo de prueba

Creado en Windows Vista • 49Archivos borrados • 79Determinación de cifrado buzón local • 51Diccionario Ataque • 56De disco y cifrado de volumen • 12Almacenamiento en caché de disco • 103Disco almacenamiento en caché y vaciar la caché• 103Desmontar el recurso compartido de red • 84Descargas • 123

EEDS Características • 12EFS de archivos y pruebas (L01) Archivos lógicos •17EnCase descifrado suite • 11EnCase descifrado suite • Módulo 7EnCase módulo Emulador de disco físico • 7EnCase módulo de sistema de archivos virtual • 8Bloque Cifrado • 52Sistema de cifrado de archivos • 79Ingrese Artículos • 18Formatos de archivo soportados por evidenciaEnCase PDE •

62Formatos de archivo soportados porevidencia VFS • 76 ext2, ext3, UFS, y otrossistemas de archivos • 83

FFastBloc SE • Módulo 9, 95FastBloc SE Módulo Requisitos específicos • 4,

97, 98, 102Encriptación basada en archivo • 13

TGuardianEdge cifrado del disco duro conocido

Limitación • 37Guidance Software • 117

HHPA y DCO configurados los discos • 96

YoPreparación inicial • 68Instalación de los módulos EnCase • 5, 97, 103Instalación del FastBloc SE • Módulo 97


Archivos internos y archivos del sistema dearchivos • 80Introducción • 3, 4

LAviso Legal • 117Localmente cifrados NSF Resultados Analizar •54Lotus Notes admite el cifrado local • 51

MMalware de escaneo • 86Foros • 123Requisitos mínimos recomendados • 4Mount Network Options Compartir • 77Los archivos montados • 13Montaje de una sola unidad, dispositivo,volumen, o

Folder • 76Evidencia de montaje con VFS • 76Montaje de dispositivos no son de Windows •65

NAsistente para nueva máquina virtual • 68Soporte de cifrado NSF • 49

OOtros sistemas de archivos • 83Otras herramientas y visores • 87Anulación HPA y DCO Configuración • 97Sinopsis • 12

PAnalizar un buzón local cifrado • 51PDE Solución de problemas • 73Emulador de disco físico • 61Preparación de las entradas para Burning • 111Los informes se preparan para Burning • 113Vista previa de un dispositivo bloqueado Write •102Matriz de Productos • 12, 13Servicios Profesionales • 123

R• RAID 79RAM y disco Slack • 80Recuperación de contraseñas de NSF • 49Extracción de bloqueo de escritura de un USB,FireWire o

Dispositivo SCSI •100

Restauración • 102Restringir el acceso por dirección IP • 91

SS / MIME Support Encryption • 43

Soporte SafeBoot Encryption (Encriptación dedisco) •

23


Ahorro y desmontaje del disco emulado • 65Asegure los elementos de almacenamiento • 23Tab almacenamiento seguro • 17Tab almacenamiento seguro y EFS • 17Selección de Información CD • 109, 115A partir Emulador de disco físico • 62Apoyo • 117Algoritmos de cifrado CREDANT compatibles • 41Algoritmos de cifrado SafeBoot compatibles • 26Apoyado Utimaco SafeGuard Easy Encryption

Algoritmos • 26

TManuales Técnicos y Notas de la versión • 118Asistencia técnica • 118, 123Archivos temporales Recordatorio • 67, 89Herramientas de terceros • 67, 86Capacitación • 123Solución de problemas • 93, 103Solución de problemas de S / MIME descifradoError • 47Desactivación IDE Write Protection Bloquear • 99

UUsando EDS • 14Usando Emulador de disco físico • 62Uso de la interfaz EnCase • 85Utilizando el módulo SE FastBloc • 98Uso de las herramientas de terceros • 67Con el Explorador de Windows • 85Utimaco desafío / respuesta de apoyo • 26, 27Utimaco SafeGuard Easy cifrado conocido

Limitación • 32Utimaco SafeGuard Easy admite el cifrado • 26

VVerificación de los módulos están instalados • 6VFS Módulo Requisitos específicos • 4VFS servidor • 89Sistema de archivos virtual • 75VMware / EnCase PDE Preguntas frecuentes • 72

W¿Qué es el módulo de CD / DVD? • 108¿Qué es el Módulo SE FastBloc? • 96¿Cuál es el emulador de disco físico? • 62¿Qué es VFS? • 76Tecla Windows Arquitectura • 56WinMagic SecureDoc Soporte cifrado • 34Barrido • 102Escribe las pruebas de validación de bloques yalmacenamiento en caché de disco •

103


Escribe Bloqueo de un dispositivo USB, FireWire o SCSI •99

Escribe Bloqueo IDE y SATA Controller Cards •98
