EnCase Forensic Software (I)

Sistemas operativos y sistemas de archivos

Las dos características principales que hacen de EnCase una herramienta software única son la variedad de sistemas operativos y sistemas de archivos que admite. Para cada sistema operativo existen varios sistemas de archivos que pueden utilizarse en un equipo. El sistema operativo y el sistema de archivos son elementos distintos pero tienen una estrecha relación en cuanto a cómo almacenan la información y cómo el sistema operativo interactúa con el sistema de archivos. La capacidad de analizar con profundidad un amplio rango de sistemas operativos y sistemas de ficheros es un componente crítico en las investigaciones. EnCase tiene la capacidad de analizar todos los sistemas de archivos, para los cuales se ha desarrollado un Servlet (actualmente Windows, Linux, Solaris, AIX y OSX; está en camino el soporte de más sistemas). Además, EnCase puede interpretar otros sistemas de archivos para los cuales actualmente no existe un Servlet desarrollado.

• Sistemas Operativos: Windows 95/98/NT/2000/XP/2003 Server, Linux Kernel 2.4 y superiors, Solaris 8/9 en 32 y 64 bits, AIX, OSX.
• Sistemas de archivos: FAT12/16/32, NTFS, EXT2/3 (Linux), Reiser(Linux), UFS (Sun Solaris), AIX Journaling File System (JFS y jfs), LVM8, FFS (OpenBSD, NetBSD y FreeBSD), Palm, HFS, HFS+ (Macintosh), CDFS, ISO 9660, UDF, DVD y TiVo 1 y 2.
• En exclusiva soporta la realización de imágenes y el análisis de RAID, de tipo software y hardware. El análisis forense de RAID es casi imposible fuera del entorno de EnCase.
• Soporte para discos dinámicos de Windows 2000/XP/2003 Server.
• Capacidad para previsualizar dispositivos Palm.
• Capacidad para interpretar y analizar VMware, Microsoft Virtual PC, e imágenes de DD y Safeback v2.

Adquisición

El proceso de adquisición de EnCase comienza con la creación de una imagen completa (bitstream) del dispositivo a analizar de una forma no invasiva. El archivo de evidencia que genera EnCase es un duplicado exacto de los datos en el momento de la adquisición. Durante el proceso de adquisición, los bits de la imagen son verificados de forma continua con bloques de CRCs, que son calculados simultáneamente a la adquisición. Cuando el proceso de adquisición se ha completado se realiza un segundo tipo de verificación mediante un hash MD5 sobre todo el conjunto de datos, y se presenta como parte de la validación del archivo de evidencia del dispositivo analizado.

• Adquisición granulada: se tiene un mayor control sobre la forma en la que se realiza la adquisición de datos.
• Errores: Normalmente, cuando se encuentra un error al leer un disco duro, el bloque entero de datos que contenía el error se ponía a cero. Con la herramienta EnCase Forensic se puede especificar el número de sectores que se ponen a cero cuando se encuentra un error.
• Bloques adquiridos: Se puede definir la cantidad de datos que se obtienen durante el proceso de adquisición, asegurando la rapidez de dicho proceso.
• Interrupción del proceso: se puede continuar con la adquisición de un sistema basado en Windows desde el punto en el que se interrumpió, no teniendo que volver a realizar el proceso de adquisición desde el principio.
• Archivos lógicos de evidencias: Se puede hacer una adquisición selectiva de los archivos y carpetas que se deseen, sin necesidad de realizar una adquisición completa del disco. Las evidencias lógicas preservan los archivos originales en la misma forma en la que existían en el dispositivo e incluyen una rica variedad de información adicional como el nombre del archivo, la extensión, la fecha de último acceso, creación, fecha de última modificación, tamaño lógico, tamaño físico, hash MD5, permisos, comienzo y ubicación original del archivo.

Herramienta EnCase LinEn

La herramienta LinEn es una versión Linux de la herramienta de adquisición de EnCase basada en DOS. A la vez que realiza las mismas funciones básicas que la herramienta DOS, admite sistemas que no son Windows, discos duros extremadamente grandes y mejora la velocidad de adquisición.