encase v 4.2 美国FBI计算机取证首选产品
很经典的一个取证软件,送给那些想学习取证的人。这是最后一个不需要硬件的破解版本了,虽然是英文版,但是能够学习比什么都强。V4.2后需要硬件加密狗,但是相应的,功能也不可同日而语。希望大家喜欢。价格贵点,但是也是费心了,是国外网站找的,内附英文说明书。以EnCase做为一个计算机取证技术的案例来分析。EnCase是目前使用最为广泛的计算机取证工具,至少超过2000家的法律执行部门在使用它。它提供良好的基于windows的界面,左边是case文件的目录结构,右边是用户访问目录的证据文件的列表。
EnCase是用C++编写的容量大约为1M的程序,它能调查Windows,Macintosh,Linux,Unix或DOS机器的硬盘,把硬盘中的文件镜像成只读的证据文件,这样可以防止调查人员修改数据而使其成为无效的证据。为了确定镜像数据与原始数据相同,EnCase会计算机CRC校验码和 MD5哈希值进行比较。 EnCase对硬盘驱动镜像后重新组织文件结构,采用Windows GUI显示文件的内容,允许调查员使用多个工具完成多个任务。
在检查一个硬盘驱动时,EnCase深入操作系统底层查看所有的数据——包括file slack,未分配的空间和Windows交换分区(存有被删除的文件和其它潜在的证据)的数据。在显示文件方面,EnCase可以由多种标准如时间戳或文件扩展名来排序。此外,EnCase可以比较已知扩展名的文件签名,使得调查人员能确定用户是否通过改变文件扩展名来隐藏证据。对调查结果可以采用 html或文本方式显示,并可打印出来。 太贵了,被黑啦! 一点也不贵。 是不是真的可以下载下来看看了 下载,了解下,虽然英文比较困难。 我的分不够呀! 灌水可以下吗? 我也只能这么做了 还差好多分哟 我现在有多少分