EnCase Forensic Software (III)

Idiomas

Soporta decodificación de datos Unicode y puede visualizar y buscar cualquier idioma permitido por Unicode. Esto permite la visualización de datos en el idioma original.

Volúmenes encriptados y encriptación de discos

Puede analizar y adquirir volúmenes montados que estén encriptados, como PGP y DriveCrypt, permitiendo el acceso total a los datos que estén protegidos por encriptación, como SafeBoot.

Examen de archivos de link

Permite la lectura de todas las formas de archivos de link (.lnk) y decodifica los resultados para su posterior análisis. De esta forma se puede detectar si existen datos que han sido copiados en una unidad externa o qué tipos de datos se han utilizado recientemente por un sospechoso.

Directorios activos

Extrae información de la base de datos de directorios activos (NTDS.DIT) y localiza el nombre de usuario, SID, directorio “home”, dirección de correo electrónico, última sesión, última sesión fallida y el siguiente cambio de contraseña previsto.

Análisis de hardware

Examina de forma automática el registro del sistema y los archivos de configuración para identificar los distintos tipos de hardware instalados, incluyendo tarjetas NIC, dispositivos FireWire, lápices de memoria, dispositivos IDE y otra información hardware.

Recuperación de carpetas

Reconstruye de forma automática la estructura de volúmenes FAT y NTFS que hubieran sido formateados.

Análisis de archivos de eventos y logs

Proporciona la forma para que sea fácil analizar y realizar búsquedas en archivos de log y de eventos del sistema.

Análisis de enlaces simbólicos

Proporciona acceso y análisis de información de los enlaces simbólicos para el análisis de sistemas basados en UNIX.

Análisis de documentos creados

Los archivos de Office, pst, tar, gz, thumbs.db y zip almacenan archivos internos y metadatos que pueden contener información valios. EnCase muestra automáticamente todos los datos relacionados con estos archivos, como los archivos internos, los metadatos, estructuras de archivos, etc. Se pueden realizar búsquedas en ellos y extraerlos de varias formas distintas.

Análisis de firmas de archivos

Se puede verificar la firma de cada archivo que EnCase encuentra para identificar si la extensión ha sido modificada.

Hash

Puede crear valores hash para cada archivo que se desee.

Visor de Registro integrado

Proporciona un visor del registro del sistema organizado en una estructura de archivos y carpetas, para analizar las claves del registro y sus valores.

Visor de archivos externos

EnCase puede ser manejado de tal forma que permite utilizar programas externos a EnCase para visualizar o reproducir tipos de archivos que no soporta (Avi, mp3) y otros tipos.

Análisis de VMware

Analiza archivos de datos (.wmdk). Realiza la interpretación de archivos de datos y recompone la estructura lógica y física del disco duro virtual, incluyendo los datos no ubicados, lo que permite un análisis exhaustivo de este tipo de sistemas.

Archivos individuales

Se puede analizar de forma eficaz archivos lógicos que contengan varios archivos externos. Puede ocurrir que archivos importantes se encuentren en servidores compartidos, archivos perdidos en un lápiz de memoria, en un CD o en un PST.

Buscador de archivos

Permite buscar automáticamente sobre archivos de páginas, clusters, archivos seleccionados o casos enteros, buscando por archivos predefinidos o elegidos por el usuario. Esta herramienta es especial pues es capaz de buscar información en las cabeceras y, en muchas ocasiones, en los pies de archivo.