Программно-аппаратные средства для криминалистического исследования компьютерных носителей информации "EnCase Forensic Edition"

EnCase Forensic Edition, версия 5.00, производства фирмы Guidance Software Inc. (США) - это программное обеспечение сбора и анализа компьютерных данных, работающее в среде Windows, предназначенное для криминалистического исследования компьютерных носителей информации и основанное на международных спецификациях и требованиях, предъявляемых к деятельности правоохранительных органов.

Основные стандартные характеристики EnCase Forensic Edition v.5.0

• Поиск и анализ информации в различных файловых системах: Windows (FAT12, FAT16, FAT32, NTFS), Linux, UNIX, Sun Solaris, BSD, Palm, Macintosh, CDFS, ISO 9660 и DVD-R.
• Оперативный (предварительный) неразрушающий просмотр содержимого жестких дисков исследуемого компьютера через параллельный порт, сетевую карту или устройство блокировки записи FastBloc для ускоренного выявления криминалистически значимой компьютерной информации.
• Обеспечение посекторного копирования с контролем подлинности и целостности исследуемой компьютерной информации для большинства существующих типов носителей данных: дискет, Zip- и Jaz-носители, магнитооптические носители, все IDE и SCSI диски.
• Оперативный доступ к данным на жестких дисках IDE в Windows с помощью устройств блокировки записи FastBloc Laboratory Edition (LE) по IDE интерфейсу или FastBloc Field Edition (FE) по USB 2.0 и IEEE-1394 интерфейсам.
• Обеспечение доступа к аппаратным и программным RAID-массивам.
• Просмотр файлов без изменения их содержимого и атрибутов, в том числе параметров времени.
• Выполнение поиска по ключевым словам по всем заданным носителям данных с использованием любого числа ключевых слов на логическом и физическом уровне, в том числе среди удаленной и остаточной информации. Полная поддержка кодировок Unicod и кириллицы.
• Выполнение углубленного поиска информации с помощью UNIX GREP-синтаксиса
• Сортировка файлов по заданным признакам, включая время (создания, модификации, удаления).
• Встроенный макроязык EnScript для создания фильтров и программ настройки EnCase и автоматизированного исследования криминалистически значимой компьютерной информации.
• Автоматическое распознавание любых графических файлов, содержащихся на носителе информации и просмотр их встроенными или внешними средствами визуализации графических данных.
• Просмотр составных файлов, таких как реестр Windows, Outlook e-mail, Zip файлы.
• Выявление и просмотр всех изменений с файлами в течение интересуемого промежутка времени с помощью графического временного редактора.
• Отображение просматриваемых файлов в текстовом или шестнадцатеричном (Hex) виде.
• Графическое отображение распределения информации на носителе данных (жестком диске) по секторам или кластерам, включая показ расположения любого файла или незанятого пространства.
• Выделение (пометка) интересуемых файлов или фрагментов и сохранение ссылок на них для дальнейших исследований и подготовки отчета (заключения эксперта).
• Экспортирование любой части исследуемого файла, выделенных файлов или всей папки (папок).
• Копирование и восстановление "зеркального" образа физического диска или образа раздела на другие (лабораторные) жесткие диски.
• Распознавание сигнатур выявленных файлов и возможность добавления своих собственных сигнатур.
• Просмотр содержимого файлов, создаваемых операционной системой, таких как файл свопинга, файл очереди принтера и файлов в Корзине.
• Построение библиотек значений хэш-функций криминалистически значимой компьютерной информации и ее автоматическое распознавание.
• Формирование отчета о выполненном исследовании (заключения эксперта) с фиксацией даты и времени проведенных действий (операций), возможность преобразования отчета в текстовый формат RTF и гипертекстовый документ HTML.
• Интуитивно понятный пользовательский интерфейс, похожий на Windows Explorer. Подготовка к выпуску локализованной (русской) версии EnCase.

Дополнительные программные средства для EnCase Forensic Edition v.5.00

EnCase Enterprise Professional Suite. The EE Professional Suite состоит из: EnCase Virtual File System (VFS) Server, EnCase Physical Disk Emulator (PDE) Server и EnCase Decryption Suite (EDS), которые описаны ниже:

EnCase Virtual File System (VFS) Server

Обеспечивает единую платформу для информации или доказательства с интуютивно понятным интерфейсом, что позволяет обеспечить доступ к информации не только техническому персоналу, но и иристам, финансистам, руководству. Обеспечивает доступ к информации по локальной сети (без возможности изменения). Сохраненная в EnCase информация полностью соответствует исследуемому образцу, включая все обычные файлы, удаленные файлы, , а также содержимое свободных областей. После монтирования информация доступна для любого приложения, включая Windows Explorer и другие Windows приложения, например анитивирусы, детекторы программ-шпионов и зашифрованных файлов, утилиты поиска ключевых слов и разделения больших файлов на части. Позволяет контролировать, кто с какой информацией работал с использованием VFS Server. Позволяет совместно использовать и обозревать доказательства с другими исследователями в локальной сети. Позволяет легко монтировать Windows RAIDS-массивы, восстановленные с помощью EnCase динамические диски, сжатые или зашифрованные NTFS-диски. Поддерживает следующие файловые системы:DOS (FAT 12/16/32, NTFS), Linux (EXT2, EXT3, Reiser), UNIX (Solaris UFS), Macintosh (HFS, HFS+), BSD (FFS), CD/DVD (Joliet, ISO 9660, UDF, DVD) и Palm (Palm OS).

EnCase Physical Disk Emulator (PDE) Server

Позволяет монтировать образы жестких дисков или CD дисков как доступные только для чтения (read-only) логические диски. Смонтированные таким образом логические диски доступны для программ сторонних разработчиков, в том числе использующих низкоуровневый доступ к данным (например, программ восстановления удаленной информации). В сочетании с прогаммой VMware, PDE позволяет исследователю полностью имитировать загрузку и функционирование исследуемого компьютера. PDE может монтировать как образы, распознаваемые Windows (DOS, FAT 12/16/32,NTFS), так и не распознаваемые - Linux (SuSE, Red Hat and Mandrake), Free BSD, и NetWare. В последнем случае необходимо либо осуществить с помощью Vmware загрузку с этих разделов, либо использовать дополнительные драйвера для просмотра их содержимого. К смонтированным с помощью PDE образам возможен доступ через локальную сеть.

EnCase Decryption Suite (EDS)

Дешифрует закодированные Microsoft Encrypting File System (EFS) файлы и папки, в том числе доменные аккаунты. Определяе пароли к файлам данных семейства программ Outlook (с расширением PST), за исключением Outlook 2003. Позволяет делать автоматическое дешифрование и просмотр защищенных областей реестра Windows.

Аппаратные средства: FastBloc FE

Устройство копирования жестких магнитных дисков «FastBlock IDE Field Edition (FE)» с интерфейсом USB 2.0. и IEEE-1394 производства корпорации «Guidance Software, Inc.» (США) реализует возможность быстрого копирования с блокировкой по записи жестких магнитных дисков IDE в операционных системах Windows 2000/XP под управлением специального программного обеспечения для криминалистического исследования компьютерных носителей информации.В комплектации содержатся все соединительные кабели для обеспечения «полевой» работы устройства. FastBloc FE - универсальный инструмент, поскольку поддерживает USB2 и FireWire интерфейсы. FastBloc FE поддерживает протокол ATA 6, и независимо от используемой системы позволяет исследователю работать с дисками свыше 128GB. FastBloc FE имеет скорость передачи информации до 60MB/S при использовании USB 2.0 интерфейса. FastBloc FE может также поддерживать одновременную работу и с остальными блоками, такими как FastBloc FE, LE, или FastBloc Classic. Это помогает экономить время и деньги, так как с помощью одной машины оператора можно осуществлять многократные исследования.

Характеристики FastBloc FE

• Поддерживает Операционные системы: Windows 9x, ME, 2000 and XP
• Максимальная скорость передачи данных: 3. 5GB/min
• Средняя скорость передачи данных: 1. 3GB/min
• Поддержка ATA-6: Да
• Свопинг (механизм подкачки в оперативную память недостающей страницы виртуальной памяти, затребованной программой): Да
• Одновременная работа: Да, если используется с другим FastBloc устройством
• Максимальная длина кабеля: 14.5 футов (FireWire) и 16 футов (USB) между FastBloc FE и контроллером
• Является внешним устройством
• Габариты: 4 " W x 3 " D x 1 " H
• Интерфейс: (2) FireWire порта и (1) USB Порт
• Возможно подключение и замена объектов без выключения компьютера (горячее подключение)
• Подключение любых IDE- дисков, (40-жильный, 44-жильный и 80- жильный кабели входят в комплект) соединение с жесткими дисками
• Условия использования: Может применяться как в лабораторных, так и в полевых условиях

Комплектация:

• FastBloc FE
• Руководство пользователя
• 40-жильный IDE провод для традиционных жестких дисков
• 80- жильный IDE провод для новых жестких дисков
• 44- жильный IDE провод для жестких дисков, применяемых в ноутбуках
• переходник для подключения жестких дисков, применяемых в ноутбуках к стандартному 40- или 80 - жильному IDE-проводу.
• кабель-переходник FireWire IEEE 1394 с 4 разъемов на 6 разъемов
• 6-жильный кабель FireWire
• Кабель электропитания для жестких дисков (5/12 Вольт)
• Блок питания
• Чемоданчик для переноски

Примечание

• работает с Windows 98 and ME, не сообщая о внешнем устройстве FastBloc
• FastBloc FE поддерживает USB 1.0 и 2.03
• поддерживает ATA 6 Стандарт
• скорость работы отвечает требованиям экспертов
• работа с защищенными дисками компьютера
• длины включенных кабелей приблизительны

Описание актуально на: 18.10.2007.

Для уточнения технических характеристик «Программно-аппаратные средства для криминалистического исследования компьютерных носителей информации "EnCase Forensic Edition"», а также для получения информации по наличию и условиям поставки Вы можете заполнить форму запроса ниже.

Внимание! Поставка оборудования осуществляется только юридическим лицами и только по безналичному расчёту.