jueves, 16 de julio de 2009

Herramienta Forense EnCase

EnCase es una grandísima herramienta utilizada para la informática forense. Es la más utilizada y líder en el mercado para esta utilidad.







Sus características más importantes son:

  • Copiando Comprimido de Discos Fuentes: Permite crear copias comprimidas de los discos origen usando un estándar sin pérdida (loss-less). Los archivos comprimidos que obtendremos como resultados pueden ser buscados, analizados, y verificados de la misma manera que los archivos originales. Esta técnica nos ahorra mucho tiempo permitiendo mantener varios casos ya que podemos trabajar en paralelo y ahorrar espacio en el HDD donde estemos analizando las pruebas.
  • Búsqueda y Análisis de Múltiples partes de archivos adquiridos: Esto permite al informático buscar y analizar varias partes de la evidencia. Muchos investigadores utilizan varios discos duros, discos extraibles, etc. Esta utilidad nos permite buscar todos los datos involucrados en un caso en un mismo paso. Estos datos se clasifican, si está comprimida o no, y podemos colocarla en un HDD y examinarla en paralelo. En varios casos, la información valiosa puede ser ensamblada en un hdd, servidor de red...
  • Diferente Capacidad de Almacenamiento: Los datos pueden ser colocados en diferentes unidades como HDD IDE, SATA, SCSI, ZIP y JAZZ. Los archivos que pertenecen a la evidencia pueden ser comprimidos o guardados en CD-ROM manteniendo su integridad forense intacta, pudiendo ser estos mismos archivos utilizados desde el mismo CD-ROM.
  • Varios Campos de Ordenamiento, Incluyendo Estampillas de tiempo: Esto permite ordenar los archivos de acuerdo a diferentes campos incluyendo las tres estampillas de tiempo (cuando se creó, último acceso, última escritura), nombres de los archivos, firma de los archivos y extensiones.
  • Análisis Compuesto del Documento: Permite recuperar archivos internos y meta-datos con la opción de montar directorios como un sistema virtual para la visualización de la estructura de estos directorios y sus archivos, incluyendo el slack interno y los datos del espacio unallocated.
  • Búsqueda Automática y Análisis de archivos de tipo ZIP y Attachments de E-Mail.
  • Firmas de archivos, Identificación y Análisis: La mayoría de las gráficas y de los archivos de texto comunes contiene una pequeña cantidad de bytes en el comienzo del sector los cuales constituyen una firma del archivo. Podemos verificar esta firma para cada archivo con una lista de firmas conocidas con extensiones de archivos. Si un sospechoso ha escondido un archivo o lo ha renombrado, detectaremos automáticamente la identidad del archivo.
  • Análisis Electrónico Del Rastro De Intervención: Herramientas para documentar y reparar información como Sellos de fecha, de hora, registro de accesos, etc.
  • Soporte de Múltiples Sistemas de Archivo: Reconstruye los sistemas de archivos forenses en DOS, Windows (todas las versiones), Macintosh (MFS,HFS,HFS+), Linux (Sun, Open BSD), CD-ROM y los sistemas de archivos DVD-R.
  • Vista de archivos y otros datos en el espacio Unallocated: Provee de una interfaz similar al explorador de Windows y una vista del HDD de origen, también permite ver los archivos borrados y todos los datos en el espacio Unallocated. También muestra el Slack File con un color rojo, permitiendo saber cuando fué creado cualquier archivo que sobreescribió ese espacio.
  • Integración de Reportes: Realiza un análisis y una búsqueda de resultados, en donde se muestra los comentarios del investigador, imágenes recuperadas, favoritos, criterios de búsqueda, etc.
  • Visualizador Integrado de imágenes con Galería: Nos permite una vista completamente integrada que localiza automáticamente , extrae y despliega muchos archivos como .gif y .jpg del disco. Seleccionando "Vista de Galería" se despliegan muchos formatos de imágenes, incluyendo las imagenes que han sido eliminadas.

Información y Desarrollado por:
http://www.guidancesoftware.com/

Información:
http://www.encase.co.za/support/index.shtm

No hay comentarios: