Académique Documents
Professionnel Documents
Culture Documents
WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA PROGRAMACIN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS SISTEMAS I/O AVANZADOS DE ALTO NIVEL sykrayo@hotmail.com
Mdulos Manual
Copyright 1997-2008 Guidance Software, Inc. Todos los derechos reservados. EnCase , EnScript , FastBloc , Guidance Software y ENCE son marcas comerciales registradas o marcas comerciales de Guidance Software en los Estados Unidos y en otras jurisdicciones, y no pueden utilizarse sin el permiso previo y por escrito. Todas las dems marcas y marcas pueden ser reclamados como propiedad de sus respectivos dueos. Los productos y nombres comerciales que aparecen en este manual pueden ser o no ser marcas registradas o derechos de autor de sus respectivos propietarios, y se utilizan slo para identificacin o explicacin en beneficio del propietario, sin intencin de infringir. Ninguna parte de este documento puede ser copiada o reproducida sin el consentimiento escrito de Guidance Software, Inc. Los productos y nombres comerciales que aparecen en este manual pueden ser o no ser marcas registradas o derechos de autor de sus respectivos propietarios, y se utilizan slo para identificacin o explicacin en beneficio de los propietarios sin intencin de infringir. Cualquier uso y reproduccin de este material est sujeto a los trminos del contrato de licencia entre usted y Orientacin Software, Inc. excepcin de lo establecido en el contrato de licencia o por disposicin en contrario en las Secciones 107 y 108 de la Ley de Derecho de Autor 1976 Estados Unidos, ninguna parte de esta publicacin puede ser reproducida, almacenada en sistemas de recuperacin o transmitida en cualquier forma o por cualquier medio, ya sea electrnico, mecnico, fotocopia, grabacin, escaneo o de otro tipo. Manuales de productos y la documentacin son especficos de las versiones de software para el que estn escritas. Para los manuales anteriores u obsoletos, informacin de lanzamiento del producto, pngase en contacto con orientacin Software, Inc. en: http://www.guidancesoftware.com. Especificaciones e informacin contenidas en este manual se suministra nicamente con fines informativos y estn sujetos a cambios en cualquier momento sin previo aviso.
Contenido
CAPTULO 1 Introduccin
Introduccin 4 Requisitos mnimos recomendados 4 Instalacin de los mdulos EnCase 5 EnCase mdulo de descifrado suite 7 EnCase mdulo Emulador de disco fsico 7 EnCase mdulo de sistema de archivos virtual 8 FastBloc SE 9 Mdulo de CD / DVD 9
11
Visin de conjunto 12 EDS Caractersticas 12 Matriz del producto 13 Usando EDS 14 Tab almacenamiento seguro 17 Almacenamiento seguro Artculos 23 Soporte SafeBoot Encryption (Encriptacin de disco) ........................................... .................................................. . 23 Utimaco SafeGuard Easy Encryption 26 Soporte de cifrado BitLocker (Volume Encryption) ........................................... ............................................. 32 WinMagic SecureDoc Soporte Encryption 34 GuardianEdge cifrado del disco duro Conocido Limitacin ............................................ ....................................... 37 Soporte CREDANT Encryption (Encriptacin basada en archivo) ......................................... ........................................... 37 Soporte de cifrado CREDANT (Desconectado 41 S / MIME Support Encryption 43 NSF Soporte Encryption 49 Lotus Notes admite el cifrado local 51 Tecla Windows Arquitectura 56 Diccionario Attack 56
61
75
95
107
Guidance Software
Aviso Legal 117 Apoyar 117 Servicio al cliente 122 Foros 123 Descargas 123 Capacitacin 123 Servicios profesionales 123
117
ndice
125
CAPTULO 1
Introduccin
Introduccin Requisitos mnimos recomendados Instalacin de los mdulos EnCase EnCase mdulo de descifrado suite EnCase mdulo Emulador de disco fsico EnCase mdulo de sistema de archivos virtual FastBloc SE mdulo Mdulo de CD / DVD
Introduccin
Desde la versin 4 del software de EnCase , Orientacin Software ha proporcionado una variedad de mdulos de software que ponen poderosas herramientas de investigacin a disposicin de los investigadores forenses. Estos mdulos son add-ons para el software, y requieren la compra de certificados de www.guidancesoftware.com para activarlos. Los siguientes mdulos estn disponibles para la versin 6.01: EnCase descifrado Suite (EDS) Emulador de disco fsico (PDE) Servidor virtual de archivos (VFS) FastBloc Software Edition (SE) Mdulo de CD-DVD Una breve descripcin de los mdulos siguientes, para ms informacin sobre cmo configurar y utilizar cada uno de los mdulos, por favor consulte los captulos de este documento.
Introduction StarTech DRW150SCSIBK SCSI baha de la unidad 29160 de Adaptec tarjeta controladora
EnCase Version 6.12 Modules Manual Este es el nmero que se necesita para dar a Servicio al Cliente al pedir el mdulos.
4.Cuando reciba el archivo de certificado de servicio al cliente, guarde el archivo cert para C: \ Program \ Archivos EnCase6 \ Certificados
Introduction
EnCase Version 6.12 Modules Manual PDE se puede utilizar en conjuncin con VMware Estacin de trabajo para arrancar EnCase imgenes de los discos duros montados con PDE. Esto tambin proporciona a los investigadores con la capacidad de compartir archivos de evidencia que se ha accedido remotamente. Una vez montado, los medios de slo lectura est disponible para las aplicaciones nativas, el Explorador de Windows, o cualquier herramienta forense utilidad de Windows de terceros o equipo que reconoce los dispositivos locales. Algunos de la funcionalidad proporcionada usando software adicional incluye lo siguiente: Archivo talla utilidades Detectores de esteganografa El software de exploracin de virus Indexadores Word Los detectores de spyware software Undelete Detectores de Troya software de deteccin de cifrado
Introduction
FastBloc SE mdulo
FastBloc Software Edition ofrece una coleccin de utilidades de controladores de disco, como el mismo seguro objeto multimedia de vista previa y la adquisicin de Windows a un archivo de pruebas EnCase actualmente disponible de hardware FastBloc y limpieza y restauracin de las unidades conectadas a la tarjeta controladora PCI. IDE, SCSI, USB y FireWire unidades conectadas al apoyados tarjetas controladoras PCI son escritura bloqueada cuando se configura como tal por el mdulo. Limpiar y restaurar de las unidades conectadas al controlador tambin es posible, con los lgicos de restauracin conservando el mismo valor hash como la unidad original. El mdulo SE FastBloc tambin permite el acceso a las reas de una unidad sospechosa en Windows (esta funcionalidad no est disponible utilizando un bloqueador de escritura de hardware con el programa EnCase en HPA y DCO Windows).
Mdulo de CD / DVD
Con este mdulo el usuario puede escribir entradas, informes y otros datos seleccionados en un CD o DVD. Esto incluye la capacidad de seleccionar y grabar archivos de EnCase evidencia y archivos de evidencia lgica, o escribir a los medios de comunicacin en la adquisicin.
CAPTULO 2
Soporte CREDANT Encryption (Encriptacin basada en archivo) Soporte de cifrado CREDANT (Desconectado Escenario) S / MIME Support Encryption NSF Soporte Encryption Lotus Notes admite el cifrado local Tecla Windows Arquitectura Diccionario Attack
12
Visin de conjunto
EnCase descifrado Suite (EDS) permite el descifrado de archivos y carpetas cifrados por los usuarios de dominio y usuarios locales, incluyendo: De disco y cifrado de volumen Microsoft BitLocker GuardianEdge cifrado en cualquier lugar GuardianEdge Plus Utimaco SafeGuard Easy McAfee SafeBoot El archivo cifrado basado en Microsoft Sistema de cifrado de archivos (EFS) CREDANT Mobile Guardin Archivos montados PST (Microsoft Outlook) S / MIME de correo electrnico cifrado en archivos PST NSF (Lotus Notes) Almacenamiento protegido (ntuser.dat) colmena Seguridad Active Directory 2003 (ntds.dit)
EDS Caractersticas
De disco y cifrado de volmenes
Cuando se agrega un archivo de prueba (. E01) o un nuevo disco fsico a un nuevo caso, el registro de inicio maestro (MBR) se comprueba con firmas conocidas para determinar si el disco respectivo es cifrada. Si el disco est cifrado, EnCase pide las credenciales de usuario (consulte la matriz de productos en la pgina 13 para obtener una lista credenciales requeridas para productos de cifrado admitidos). Si se introducen las credenciales correctas, EnCase descifra el disco. No ataques a contraseas son compatibles. EDS apoya estos productos de cifrado de disco / volumen: Microsoft BitLocker GuardianEdge cifrado en cualquier lugar Utimaco SafeGuard Easy McAfee SafeBoot
13
Mquina
Servido Cami r no
Otro
Algoritmo
Algoritmo
14
Clav e Keys
X X X Archivo ID PFX
Usando EDS
Analizar EFS
Este comando examina un volumen de datos y los procesa. Tambin puede ejecutar Analizar EFS del almacenamiento seguro, en ese caso, se ejecuta consecutivamente en todos los volmenes en un caso.
EnCase Decryption Suite 1.Haga clic en el volumen que desea analizar y haga clic en Analizar las EFS en el men desplegable.
15
16
EnCase Version 6.12 Modules Manual 3.El segundo Analizar muestra el dilogo de EFS con los documentos y la configuracin de ruta y los campos de ruta del registro de poblacin de forma predeterminada. Para configuraciones del sistema inusuales, datos, discos y otros sistemas operativos estos valores estarn en blanco. Usted puede modificarlos para sealar las carpetas de perfil de usuario y / o la ruta de registro.
4.Haga clic en Siguiente para iniciar la exploracin. 5.Cuando haya finalizado la exploracin, el cuadro de dilogo de estado EFS muestra informacin estadstica sobre las teclas que se encuentran y se descifra y recupera contraseas de registro.
EnCase Decryption Suite 6.Cuando haya terminado de revisar el estado de EFS, haga clic en Finalizar.
Nota: Analizar EFS tambin pueden aparecer al Syskey y contrasea pantallas de discos de recuperacin.
17
En la versin 6.11 EnCase, los escenarios para archivos de evidencia lgicas son diferentes a las versiones anteriores de EnCase: 1.El archivo est cifrado y la corriente $ EFS no se encuentra en la misma carpeta en la L01: el archivo no se puede descifrar. 2.El archivo est cifrado y la corriente $ EFS se encuentra en la misma carpeta: el archivo puede ser descifrado (Excepto para el resto del archivo, si la hay). 3.El archivo se descifra y la corriente $ EFS no est presente: el archivo sigue siendo descifrado. 4.El archivo se descifra y la corriente $ EFS se encuentra en la misma carpeta: el archivo se descifra dos veces.
Nota: La solucin en el caso 4 es deshabilitar EFS o eliminar la clave privada del almacenamiento seguro.
Desde la versin 6.11 en adelante, todos los escenarios anteriores se manejan con gracia, porque la corriente de $ EFS se aade internamente. Si el archivo est cifrado, la corriente de $ EFS se almacena de forma automtica con el archivo de metadatos. Si se descifra el archivo, la corriente de $ EFS no se almacena de forma automtica, ya que no se necesita. Esto no le impide el almacenamiento de la corriente por el ahorro especficamente a la LEF.
Nota: Si un archivo cifrado se descifra y se agrega, se indica y se muestra en el informe.
18
EnCase Decryption Suite 1.Ejecute Analizar EFS (vase la pgina 14). 2.Seleccione la ficha de almacenamiento seguro.
19
Ingrese Artculos
Introduzca Syskey
Puede introducir informacin Syskey antes de ejecutar el asistente de Anlisis de EFS, o posteriormente si el asistente se considerar ya completado. 1.Haga clic en la entrada de la raz de almacenamiento seguro. 2.Seleccione Introduce elementos de la lista desplegable, seleccione la ficha Syskey Enter. 3.Seleccione la ubicacin de la Syskey (por ejemplo, una ruta de archivo o un disquete) o introduzca la contrasea manualmente.
20
Usuario Contrasea
Si conoce la contrasea de los usuarios: 1.Haga clic en la entrada de la raz de almacenamiento seguro. 2.Seleccione Introduce elementos de la lista desplegable, seleccione la ficha contrasea de usuario. 3.Introduzca la contrasea.
4.Haga clic en Aceptar. Si el Syskey est protegido y que no conoce la contrasea, un ataque en el archivo SAM para contraseas de usuario no tendr xito. Esta es una situacin poco frecuente. La mayora de las mquinas de Windows no tendrn un Syskey protegida. EDS incluye una opcin de ataque de diccionario para conseguir ms all de Syskey protegida. Puede obtener los archivos de diccionario de un nmero de fuentes. Para acceder a la configuracin, haga clic en la raz de almacenamiento seguro y seleccione Diccionario Attack. Durante el Analizar EFS de escaneo del registro, EnCase le avisa si el Syskey est protegido con contrasea, o se ha exportado a un disquete. En estos casos, la EFS Analizar asistente le pedir que introduzca la contrasea Syskey y / o insertar el disquete que contiene el Syskey o buscar la ubicacin del archivo de Syskey. El archivo de Syskey se llama startkey.key, y usted debe examinar todos los disquetes recogidos en la escena de la presencia de este archivo. Si se recupera el archivo Syskey en un disquete, se puede copiar / sin borrar de EnCase a la mquina de examen, y se puede navegar a la startkey.key ubicacin. Este proceso es el mismo que cuando se utiliza el disco de recuperacin de contrasea.
EnCase Decryption Suite 2.Seleccione Introduce elementos de la lista desplegable, a continuacin, seleccione la ficha Disco de recuperacin de contrasea.
21
3.Haga clic en el botn de opcin, archivo o disquete, donde se encuentra el archivo. 4.Ingrese el camino o navegue hasta l y, a continuacin, haga clic en Aceptar.
5.In el Asistente para exportacin de certificados, haga clic en Siguiente. 6.Haga clic en S, exportar la clave privada y, a continuacin, haga clic en Siguiente. 7.Accept el valor predeterminado para el formato de archivo de exportacin, haga clic en Siguiente. 8.Seleccione una ruta y el nombre de la clave (Esto asigna una extensin PFX.), A continuacin, haga clic en Siguiente. 9.When solicite, anote la contrasea introducida.
Nota: La contrasea no puede dejarse en blanco. Es necesario cuando se utiliza la tecla.
10. Haga clic en Siguiente. Una ventana de confirmacin muestra detalles sobre la exportacin. 11. Haga clic en Finalizar para completar la exportacin. 12. Haga clic en la entrada de la raz de almacenamiento seguro. 13. Seleccione Introducir elementos de la lista desplegable, a continuacin, seleccione la pestaa Archivo de clave privada.
22
EnCase Version 6.12 Modules Manual 14. Introduzca la ruta o navegue hasta l.
15. Introduzca la contrasea en el siguiente indicador, a continuacin, haga clic en Aceptar. Una pantalla de estado confirma la finalizacin con xito y se visualizar la clave privada en el seguro Ficha Almacenamiento.
4.Haga clic en Aceptar. 5.El. PFX cert se descifra y se guarda en lugar seguro.
Asociar seleccionado
Para asociar * nix usuarios con volmenes: 1.Seleccione la ficha de almacenamiento seguro. La casilla de verificacin junto al elemento o elementos que desea asociar 2.Haga clic. 3.Right haga clic en un elemento activado.
23
24
Subtipo Contrasea Contrasea Escriba Los siguientes artculos son de inters: Alias: Estos son identificadores de seguridad (SID) que apuntan a una o ms entidades SID. Tienen una nombre y un comentario. Grupos: SID que apuntan a una o ms entidades SID. Ellos tienen un nombre y un comentario. Se trata de grupos definidos como administradores e invitados. Los usuarios SAM: Estos son usuarios locales. Los detalles aparecen en la ficha de informe del panel de visualizacin. Contraseas: Encontr examinador y contraseas adicionales aparecen aqu. Inicios de sesin neto: Son los usuarios locales. Los detalles aparecen en la ficha de informe del panel de visualizacin. Nix Usuario / Grupo: Usuarios / grupos Unix Lotus: Lotus Notes Certificados de correo electrnico: Se utilizan para S / MIME descifrado y verificacin de la firma. Credenciales disco: key cache persistente de productos de cifrado de disco / volumen Llaves Maestras: Cada usuario con una clave privada tiene una llave maestra que lo protege. La clave maestra en s est encriptada con un hash de la contrasea de Windows del usuario. Claves Privadas: Utilizado en el descifrado de archivos EFS Internet Explorer (IE) contraseas: Las contraseas de IE 6 Secretos Poltica: Son secretos de LSA. Incluyen la contrasea por defecto y las contraseas de los servicios. Algunos de estos secretos no son claves, pero los datos binarios colocados all por el sistema y las aplicaciones. SAM Keys / claves Poltica / DPAPI / CERT: Para uso interno
EnCase Decryption Suite investigacin. Esta funcin slo est disponible para un usuario con una EDS cert habilitado.
Nota: Si no se encuentra ninguna EDS cert o los archivos DLL de integracin no se ha instalado correctamente, el dispositivo fsico se montar, pero la estructura de archivos de cifrado no puede ser analizado. Desde SafeBoot sobrescribe el MBR original solamente para el disco de arranque, siempre escuchar el disco de arranque y luego cualquier otro disco en una configuracin de la mquina multi-disco.
25
26
EnCase Version 6.12 Modules Manual 2.Cuando se le solicite, seleccione el algoritmo de cifrado adecuado de la lista, a continuacin, introduzca un nombre de usuario, nombre del servidor, nombre de la mquina, y la contrasea en el modo en lnea.
La unidad cifrada SafeBoot se analiza. El dilogo de conexin es similar. La casilla de verificacin en lnea est en blanco y slo el nombre de la mquina, el campo Transferir bases de datos y algoritmos estn disponibles:
3.Guarde el caso una vez descifrado con xito es completo. Las credenciales especificadas en el cuadro de dilogo se guardan en lugar seguro, eliminando la necesidad de ingresar de nuevo.
27
Esta ilustracin muestra los resultados de un descifrado con xito. El panel rbol muestra una SafeBoot carpeta, el panel de la tabla contiene una lista de archivos descifrados, mientras que el panel de texto muestra el contenido de un archivo descifrado.
4.El figura siguiente muestra los mismos archivos que aparecen cifrados.
28
1.Use el Asistente para Agregar dispositivo para agregar el dispositivo fsico. 2.EnCase detecta el dispositivo y muestra el nombre de usuario y contrasea de dilogo.
3.Ingrese un nombre de usuario y contrasea en el modo en lnea vlida. 4.Haga clic en Aceptar. 5.Once un descifrado con xito es completo, salvo el caso. Las credenciales especificadas en el cuadro de dilogo se guardan en lugar seguro, eliminando la necesidad de ingresar de nuevo.
Nota: Si la contrasea est vaca, se abre el asistente de desafo / respuesta. Para obtener ms informacin, consulte Utimaco desafo / respuesta de Apoyo en la pgina 27.
29
2.Haga clic en Aceptar. Dilogo de respuesta de desafo 3.A muestra el cdigo de desafo en azul. Mantenga este dilogo abierto mientras realiza los pasos siguientes.
30
EnCase Version 6.12 Modules Manual 4.Log sesin como administrador. En la pgina de Inicio de Windows, haga clic en Todos Programas Utimaco SafeGuard Easy Asistente cdigo de respuesta.
EnCase Decryption Suite 6.Haga clic en Siguiente para comenzar a generar una contrasea de un solo uso (OTP). El dilogo Cuenta Autorizacin muestra.
31
8.Ingrese el ID de usuario que se utiliz para obtener el cdigo de desafo, a continuacin, haga clic en Siguiente.
32
EnCase Version 6.12 Modules Manual Aparece el dilogo Cdigo reto 9.El. Introduzca el cdigo de desafo generado por EnCase desde el paso 3.
EnCase Decryption Suite 12. El cuadro de dilogo Resumen muestra el cdigo de respuesta en azul.
33
13. En el cuadro de dilogo EnCase desde el paso 3, seleccione la longitud del cdigo y escriba el cdigo de respuesta para permitir el descifrado de los datos encriptados seleccionado.
14. Haga clic en Aceptar. 15. En el cuadro de dilogo Resumen de la etapa 12, haga clic en Cerrar para cerrar el Asistente de cdigo de respuesta fcil SafeGuard, o haga clic en Nuevo para generar un nuevo cdigo de respuesta de un cdigo de desafo diferente.
34
Soluciones provisionales
Hay dos soluciones para este problema. La primera solucin: 1.Obtain ambos discos. El disco interno de la celebracin de la SafeGuard Easy kernel (disco 1), es decir, el disco no sea de arranque externo (disco 2) 2.Abra el kernel en el disco 1. A continuacin, puede acceder al disco 2. La segunda solucin: 1.Obtain un archivo de copia de seguridad SafeGuard Enterprise (SGN) kernel del disco 1. 2.Restore disco 1 en un disco vaco. 3.Add el disco no sea de arranque como disco 2. La informacin en el kernel recin restaurada le da acceso al disco 2.
35
36
EnCase Version 6.12 Modules Manual Estas teclas se corresponden con volumen GUID y clave Protector GUID y por lo general se almacenan en una memoria flash extrable.
Botn de opcin Recovery Key 3.El est seleccionada por defecto. Busque la ubicacin del archivo. BEK clave de recuperacin. 4.Haga clic en Aceptar.
37
3.Seleccione el botn de opcin de recuperacin de contrasea, introduzca la contrasea de recuperacin. 4.Haga clic en Aceptar. Despus de una autenticacin exitosa, EnCase guarda las credenciales de almacenamiento seguro, por lo que no tiene que volver a entrar en la prxima vez que abra la caja guardada.
38
EnCase Version 6.12 Modules Manual Hay tres maneras de agregar discos SecureDoc de EnCase: Vista previa de la unidad de disco duro Utilice el Asistente para agregar dispositivos Arrastre los archivos de los datos probatorios en EnCase Una vez que obtenga una vista previa de un disco de mquinas o abre un expediente de prueba, el Master Boot Record (MBR) se compara con firmas conocidas para determinar si el disco est cifrado. La firma se SecureDoc trastornos musculoesquelticos.
Cada usuario SecureDoc tiene un archivo de clave que puede contener varias claves cifradas con una contrasea asociada con el archivo. SecureDoc usuarios tienen ya sea administrador o privilegios de usuario. Los administradores pueden cifrar / descifrar unidades, restablecer contraseas, aadir claves a un archivo de clave, etc Los usuarios slo pueden cambiar sus contraseas Se proporciona un instalador para colocar estos archivos DLL de integracin en % EnCase% \ Lib \ WinMagic \ SecureDoc: SDForensic.dll SDC.dll SDUser.dll
Nota: La integracin es compatible con la versin de 32 bits de EnCase.
un. La ruta de acceso al archivo que contiene las claves de usuario (extensin. Dbk) b. La contrasea asociada con el archivo de clave
39
2.Para ingresar las credenciales, haga clic en Aceptar. 3.If las credenciales son correctas, EnCase descifra el disco y analiza la estructura del sistema de archivos. 4.Cuando se guarda el caso, de los rangos de los sectores cifrado y el MBR originales se conservan en el archivo del caso de las unidades de preestreno, as como archivos de evidencia. La vista del disco muestra la informacin codificada en el texto y Hex paneles de las unidades encriptadas. La vista del disco muestra la informacin descifrada en el texto y Hex paneles para unidades descifrados.
Adquirir el dispositivo
A la adquisicin local de los resultados a nivel de dispositivos fsicos en la adquisicin de todos los volmenes lgicos descifrados. La adquisicin de la empresa en los resultados a nivel de dispositivos fsicos en la adquisicin de todos los sectores en un estado encriptado.
Nota: Para obtener los datos descifrados, lleve a cabo una adquisicin local en el resultado de la adquisicin remota.
Nota: SecureDoc 4.5 no permite para permitir que el SCSI_PASS_THROUGH; debido a esto, los datos de todos los sectores se descifra por el controlador de filtro de SecureDoc durante una adquisicin fsica.
Usted puede adquirir ya sea: Todos los volmenes lgicos mediante la adquisicin a nivel fsico Un volumen lgico individuo mediante la adquisicin en el nivel lgico La adquisicin completado contiene los volmenes descifrados. Usted no necesita una contrasea para acceder a la estructura de archivos.
40
2.In el campo Dominio, introduzca EA # DOMINIO como la cuenta de administrador de clientes. Para obtener ms informacin, consulte el artculo de Knowledge Base 00002281 en el GuardianEdge Atencin al cliente Portal (https://na4.salesforce.com/sserv/login.jsp?orgId=00D300000001ZQU).
EnCase revisa sus archivos montados y busca datos CREDANT cifrados (archivo CredDB.CEF). Si encuentra estos datos, aparece un dilogo de inicio de sesin.
41
Dilogo 1.El rellena con un nombre conocido por usuario y contrasea, servidor, ID de la mquina, y el Escudo CREDANT ID (SCID). Archivos CREDANT se procesan y se descifran sin ms interaccin, ya que las credenciales son correctas.
42
EnCase Version 6.12 Modules Manual El dilogo de conexin es similar. La casilla de verificacin en lnea est en blanco y el ID de la mquina y los campos SCID no estn disponibles.
2.Guarde el caso una vez descifrado con xito es completo. Las credenciales especificadas en el cuadro de dilogo se guardan en lugar seguro, eliminando la necesidad de volver a entrar en ellos. La siguiente ilustracin muestra los resultados de un descifrado con xito:
EnCase Decryption Suite El panel de rbol muestra una carpeta CREDANT El panel de tabla contiene una lista de archivos descifrados El panel de texto muestra el contenido de un archivo descifrado
43
La siguiente ilustracin muestra los mismos archivos que aparecen sin cifrar.
44
ADMINNAME Adminpwd
45
MUID
He aqu un ejemplo de comando: cegetbundle-L-Xhttps :/ / CredantServer: 8081/xapi aAdministrator-Achangeit-dCredantWorkstation.Credant.localsCI7M22CU - uAdministrator-oC: \ CredantUserKeys.bin-iChangeIt 3.Coloque el archivo. Bin descargado desde el servidor de CREDANT en un camino de acceso desde la mquina examinador. Abra EnCase y crear un caso nuevo o abrir uno existente. Debe tener EnCase suite descifrado instalado en el equipo examinador que descifra los datos cifrados CREDANT.
Nota: En el modo tradicional, debe ejecutar esta utilidad para cada usuario especfica para la investigacin en el dispositivo de destino y especificar el mismo archivo de salida. Las claves para cada usuario se anexan a este archivo de salida.
4.Acquire un dispositivo con archivos cifrados CREDANT, o cargar un archivo de pruebas en el caso. El Ingrese muestra el dilogo Credenciales y le solicita slo el nombre de usuario, contrasea, servidor de archivos sin conexin, el ID de la mquina, y el escudo CREDANT ID Informacin del servidor / (SCID).
Nota: En el modo sin conexin, la nica informacin que debe proporcionar es la contrasea y el servidor / fuera de lnea Servidor de archivos (la ruta completa y el nombre del archivo. Bin descargado mediante la utilidad CEGetBundle.exe).
Cuando EnCase descifra archivos cifrados CREDANT, la informacin clave se coloca en el almacenamiento seguro en EnCase, y se guarda con el caso. Usted no tiene que volver a introducir esta informacin.
46
EnCase Version 6.12 Modules Manual 4.El archivo se descifra y la corriente CredDB.CEF se encuentra en la misma carpeta: el archivo se descifra dos veces.
Nota: La solucin en el caso 4 es cancelar el dilogo Credenciales CREDANT o eliminar el Teclas CREDANT del almacenamiento seguro.
Desde la versin 6.12 en adelante, todos los escenarios anteriores se manejan con gracia, porque el archivo CredDB.CEF se aade internamente. Si el archivo est cifrado, la corriente CredDB.CEF se almacena de forma automtica con el archivo de metadatos. Si se descifra el archivo, la corriente CredDB.CEF no se almacena de forma automtica, ya que no se necesita. Esto no le impide el almacenamiento de la corriente por el ahorro especficamente a la LEF.
Nota: Si un archivo cifrado se descifra y se agrega, se indica y se muestra en el informe.
EnCase Decryption Suite 3.Seleccione Introduce elementos. El Enter abre la ventana Objetos.
47
El PFX cert se descifra y se guarda en lugar seguro. S / MIME descifrado y verificacin de firma que sucede en el fondo. Dada la contrasea correcta, el certificado se almacena en almacenamiento seguro en la carpeta Certificados E-Mail. Despus de importar los certificados necesarios en el almacenamiento seguro, puede analizar los archivos contenedores de correo electrnico mediante la funcin de estructura de archivos Ver en la entrada View.
48
EnCase Version 6.12 Modules Manual S / MIME Email contenidos de certificados se muestran as en almacenamiento seguro:
49
Cuando el anlisis se ha completado con xito y una lista de directorios muestra. En la ilustracin, la carpeta tiene derecho smime.p7m (S / MIME de datos se presenta como un archivo adjunto de correo electrnico). En vista de los comentarios, el texto del mensaje se muestra en el panel de texto, mientras que los mensajes de correo electrnico archivos adjuntos aparecen en el panel de la tabla.
50
EnCase Version 6.12 Modules Manual Ver y trabajar con el contenido de la ficha Registros.
51
Registros Vista:
52
Descifrar S / MIME mensajes de correo electrnico en un archivo de prueba creado en Windows Vista
Usted no puede descifrar S / MIME mensajes de correo electrnico en un archivo de datos creado en Windows Vista utilizando un examinador instalado en Windows XP o versiones anteriores. Esto se debe a CryptoAPI en Windows Vista (criptografa de nueva generacin, o GNC) no es compatible con XP. As que si un archivo de datos creado en Vista contiene S / MIME mensajes de correo electrnico, debe realizar el examen para descifrarlos en un equipo con Windows Vista y, dado que los certificados apropiados estn disponibles.
de
Para recuperar la contrasea de recuperacin, debe tener derechos administrativos adecuados en el servidor Domino.
53
54
5.Haga clic en Aceptar y definir los usuarios autorizados para generar contraseas de recuperacin.
EnCase Decryption Suite 2.Parse usando Vista Estructura de archivos, por lo que se introduce la llave privada de almacenamiento seguro.
55
Bloque Cifrado
El siguiente ejemplo muestra un bloque de cifrado en el offset 0x22000:
El algoritmo de descifrado utiliza una semilla que se basa en la semilla de base de la cabecera y el desplazamiento del bloque.
56
Bloquear descifrado
He aqu un ejemplo de un objeto de mapa descifrado en el offset 0x22000:
57
58
EnCase Version 6.12 Modules Manual Si el archivo de ID correspondiente no pueda analizarse correctamente, el almacenamiento seguro no se rellena con los datos necesarios para analizar la NSF localmente encriptada, por lo que el volumen de Lotus est vaca:
59
En Windows 2000, sin embargo, la clave maestra est protegido por contrasea hash del usuario con un mecanismo que se ralentiza cualquier ataque. La Llave maestra protege la clave privada del usuario. Y la clave privada del usuario protege una clave dentro de la corriente $ EFS que permite el descifrado del archivo cifrado EFS.
Diccionario Attack
Software de aplicacin de este mtodo normalmente se utiliza un archivo de texto que contiene un gran nmero de contraseas y frases. Cada uno se trat a su vez con la esperanza de que una de las palabras o frases en el archivo ser descifrar los datos en cuestin. Un gran nmero de archivos de diccionario (a veces llamado listas de palabras) se encuentran en el Internet, o usted puede crear su propia lista. La creacin de su propia lista puede ser preferible que la persona objeto de investigacin tiene un inters particular, como el ftbol. Existen utilidades gratuitas en Internet que puede utilizar para crear un diccionario de las combinaciones de letras, nmeros y caracteres con una longitud predefinida. Generator Free Wordlist (http://www.soft82.com/download/windows/free-Lista de palabras-generador /) es un ejemplo. EDS puede atacar las contraseas de cuentas de usuario basados en NT y contraseas de inicio de sesin de red en cach utilizando un ataque de diccionario.
60
Built-in Attack
Los temas especficos tienen contraseas asociadas. Si no se recuperan automticamente, puede utilizar un mecanismo de prueba y error. Esto puede o no puede tener xito.
Ataque externo
Los usuarios locales pueden ser atacados con herramientas de terceros. Existen herramientas de software libre, y su rendimiento es mucho mayor que EnCase, ya que se pueden ejecutar en varios equipos al mismo tiempo y / o utilizar tablas de arco iris. EnCase puede exportar los hashes de contraseas del usuario local en el formato pwdump que la mayora de las herramientas de lectura. Esto se hace desde la lista de usuarios.
61
Lista de usuarios
La Lista de almacenamiento Secure usuario muestra usuarios locales, usuarios de dominio, Usuarios Nix, y / o Grupos de Nix del equipo local o un archivo de pruebas. La informacin tal como: ltima fecha de inicio de sesin SID del usuario NT hash de Hash LanManager Tambin est asociada con cada cuenta
Ataque Integrado
Hay tres fuentes diferentes para las palabras que se probarn: Contraseas internos: Estos son los elementos de la contrasea en el almacenamiento seguro Diccionario de palabras: El diccionario es un archivo de texto que puede ser en ANSI-Latin1 o UTF16. Cada palabra tiene que estar en su propia lnea (que puede contener cualquier carcter, incluidos los espacios). La fuerza bruta: Genera automticamente las palabras de un alfabeto con una longitud en un rango determinado Hay cuatro "mutators" que se pueden aplicar:
62
EnCase Version 6.12 Modules Manual Caso Toggle: Trata todas las variaciones maysculas / minsculas Anexar Dgitos Dgitos de anexo Combinar palabras: Las palabras se combinan entre s. Por ejemplo, si el diccionario contiene las palabras viejas y perro, el resultado es estas cuatro palabras: perro viejo olddog dogold
63
CAPTULO 3
Arranque archivos de evidencia y Sistemas Live con VMware VMware / EnCase PDE FAQs PDE Solucin de problemas
62
63
Usando PDE
1.Haga clic en la unidad lgica o fsica, y seleccione Montar como disco emulada.
64
EnCase Version 6.12 Modules Manual Para especificar las opciones de cach y el CD, haga clic en la pestaa Informacin del cliente.
Opciones de cach
Si se selecciona un dispositivo fsico o volumen (no es un CD), decida si desea almacenar en cach datos. De forma predeterminada, el almacenamiento en cach est desactivado. Utilice la cach de escritura para que los programas necesitan tener acceso a los archivos en un modo de lectura / escritura emulado. Si la cach est habilitada, los cambios realizados por los programas se envan a un archivo de cach independientes especificadas en el sistema local. 1.To crear un nuevo archivo de cach de escritura de un archivo de prueba diferencial EnCase, desactive la casilla de verificacin Deshabilitar el almacenamiento en cach. 2.Seleccione Crear nueva cach en el grupo Tipo de cach y especificar una ruta de cach de escritura. 3.Seleccione Utilizar cach existente y asegurar el archivo de cach de escritura existente se especifica en el campo Ruta de cach de escritura. Si decide utilizar una ruta de cach existente, asegrese de usar un archivo de cach de escritura que se cre con la evidencia est montando actualmente. El almacenamiento en cach es necesario para la PDE para funcionar con VMware. En este estado, Windows almacena en cach los archivos borrados y adiciones. Esto se utiliza para arrancar el coche con VMware como se describe ms adelante en esta seccin. El almacenamiento en cach es tambin necesaria para el montaje ciertos tipos de volumen. [Espacio reservado para la pantalla]
Opciones de CD
Si se monta un CD, el CD sesin para ver la opcin est activada para especificar qu sesin de un CD multisesin debe mostrar en Windows. La sesin por defecto es la ltima sesin del CD activo, que es el que normalmente se ve por Windows. 1.To ver una sesin previa, seleccione eso aqu. 2.Haga clic en OK para continuar.
65
3.En caso aparece un mensaje diciendo que el software que est instalando no ha superado la de Windows Prueba del logotipo, haga clic en Continuar. Esto permite a Windows para agregar el archivo de pruebas como una unidad con su propia letra de unidad.
Compruebe que el archivo de pruebas se ha montado con una letra de unidad por la navegacin en Windows Explorador. Con la letra de la unidad, se pueden aplicar las herramientas de terceros. Cuando se crea la accin, el icono de compartir (mano) aparece en el dispositivo de la interfaz.
66
EnCase Version 6.12 Modules Manual La cach se guardar en la ruta especificada para la cach de escritura. Cada vez despus de los puos iniciales, un nmero de instancia se aade al archivo de cach. Estos archivos cach luego puede usarse para volver a montar las pruebas en su estado guardado, pero hay que tener todos los archivos de cach anteriores, ubicados en el mismo directorio. Para terminar la emulacin: 1.Haga doble clic en el indicador Emulador de disco fsico parpadea en la parte inferior derecha de la ventana de la aplicacin. 2.Haga clic en S en la ventana de Estado del tema de cancelar la emulacin de disco.
El propsito de la cach final es crear un archivo de prueba diferencial comprimido y combinado (*. D01) que contiene los datos de la cach. Con la opcin de disco de estado emulada Guardar seleccionados, existen mltiples archivos de cach de la misma sesin de pruebas montado. La cach de ltimo fusiona todos estos archivos. Si no hay necesidad de guardar el archivo final, seleccione Eliminar cach final. Utilice el expediente de prueba diferencial para abrir el archivo de pruebas y ver el disco emulado con los cambios aplicados en cach. Para aplicar los datos de la cach: 1.Haga clic en el dispositivo. 2.Seleccione Monte como disco emulada. 3.Haga clic en la ficha Informacin del Cliente. 4.Clear Desactivar la cach de casilla de verificacin. 5.Seleccione Utilizar cach existente. 6.Browse en el campo Ruta de cach de escritura para encontrar el *. D01 archivo. Despus de que los montajes de disco, Windows Explorer refleja los cambios en cach. Cuando se desmonta el dispositivo, una pantalla de estado indica si el disco se ha desmontado con xito.
67
Herramientas de terceros
Los investigadores con el Mdulo de PDE puede utilizar el Explorador de Windows para examinar la estructura de la prueba informtica. Ellos tambin pueden utilizar herramientas de terceros capaces de solicitar e interpretar los datos desde el Explorador de Windows para examinar las pruebas fuera del programa EnCase. Software Orientacin no certifica el rendimiento o la exactitud de los resultados obtenidos a travs de las herramientas no desarrolladas por Guidance Software.
Escaneado de malware
Un uso comn de EnCase PDE es montar la prueba informtica para escanear en busca de virus, troyanos y otros programas maliciosos. En primer lugar, montar la unidad o el volumen del archivo de pruebas a travs de PDE. En el Explorador de Windows, seleccione la unidad recin montada (en este caso, F :). Si un programa antivirus est instalado y se integra con el Explorador de Windows, que puede ser utilizado para escanear en busca de virus. El programa lee el disco emulado presentado al Explorador de Windows. El programa EnCase sirve a los datos que se solicitan a la del Explorador de Windows y, a continuacin, en el programa de exploracin.
68
69
6.Seleccione un sistema operativo desde el men desplegable Versin para identificar la versin del sistema operativo instalado en el expediente de prueba, a continuacin, en Siguiente. 7.In el nombre de la ventana de la mquina virtual, escriba un nombre de la mquina virtual.
Como opcin, puede hacer clic en Examinar para cambiar la ubicacin de los archivos de configuracin VMwares. 8.Haga clic en Siguiente.
70
EnCase Version 6.12 Modules Manual 9.Assign la cantidad de memoria de VMware para utilizar, a continuacin, haga clic en Siguiente.
10. Seleccione el tipo de red que desea utilizar, haga clic en Siguiente. Seleccin No utilice una conexin de red, se recomienda en el caso de que exista algn tipo de malware instalado en el equipo el archivo de datos se cre a partir.
11. Acepte el valor predeterminado en el cuadro Seleccione I / O Tipos Adaptador de dilogo, haga clic en Siguiente.
12. Seleccione Utilizar un disco fsico (para usuarios avanzados). No haga caso de los mensajes de advertencia siguientes. 13. Seleccione el disco que representa la unidad montada mediante PDE. 14. Acepte la configuracin predeterminada de uso de disco completo, haga clic en Siguiente. 15. Utilice el archivo de disco predeterminado especificado en el cuadro de dilogo Especificar archivo de disco, a continuacin, haga clic en Finalizar.
71
Si el archivo de disco no se reconoce como una mquina virtual, puede cambiar el nombre del archivo (Teniendo cuidado de dejar el . Vmdk extensin).
Cuando se inicia la mquina virtual, el sistema operativo se muestra como si el equipo forense se inicia la unidad. Se inicia en la misma manera que la mquina nativo. 2.As con el arranque de los discos duros restaurados, la mquina virtual puede requerir un nombre de usuario y contrasea para proceder. 3.Since pop-ups (como AOL Instant Messenger) puede causar problemas con los controladores, guardar el estado de la mquina virtual de forma regular.
72
Qu debo hacer si veo el mensaje "El archivo especificado no es un disco virtual" despus de ejecutar el nuevo Virtual Asistente Machine?
De vez en cuando despus de la finalizacin de la nueva asistente de la mquina virtual en VMware, puede encontrarse un mensaje de error (El archivo especificado no es un disco virtual.). Este problema est relacionado con VMware, no el programa EnCase. Ejecucin del Asistente para nueva mquina virtual de nuevo por lo general resuelve este problema.
Cmo inicio una mquina VMware con mi archivo guardado diferencial EnCase?
Montar el disco con el archivo de cach existente.
Windows XP sigue apareciendo ventanas sobre la instalacin de los controladores cuando arranco.
El mdulo de PDE EnCase instala los controladores GSI especficos IDE para ser cargado con el fin de emular el disco como una unidad dentro de Windows con una letra de unidad asignada. Un controlador IDE virtual se crea que se puede ver en el Administrador de dispositivos. Si se permite que Windows cargue los controladores IDE por defecto, el mdulo no funcionar correctamente. Esto se puede evitar mediante la cancelacin de la tentativa en la ventana emergente. Una vez que han pasado por alto este mensaje, puede guardar el estado para que la prxima vez que se reinicie el sistema, Windows no intentar cargar los controladores de nuevo.
73
74
Puedo montar un dispositivo a nivel local, pero no puedo configurar un servidor local
Aunque existen mens para la operacin del servidor PDE, actualmente no es funcional.
75
Se encontr un mensaje que indica que la PDE no puede quitar el dispositivo cuando se intenta desmontar el dispositivo montado
El mensaje de error puede producirse si Windows est accediendo a un archivo en el dispositivo montado (por ejemplo, el directorio se abre en el Explorador de Windows o un archivo se abre con una aplicacin de otro fabricante). Para resolver el problema, cierre todas las aplicaciones de Windows con el acceso a dispositivo montado, a continuacin, haga clic en Aceptar.
Se encontr un mensaje de error que indica que es necesario reiniciar el equipo, seguido de una Mensaje "conexin rechazada"
Este problema se debe a que el controlador de dispositivo no est publicado correctamente. La nica manera de resolver este problema es cerrar todas las aplicaciones (incluyendo la aplicacin EnCase) y reinicie el equipo forense. Usted no debe encontrar el error otra vez cuando se reinicia la mquina.
Si ninguno de estos pasos de solucin de problemas se resuelve el problema, pngase en contacto con orientacin tcnica de software Servicios.
76
CAPTULO 4
76
Qu es VFS?
El mdulo de sistema de archivos virtual (VFS) permite a los investigadores para montar la prueba informtica como de slo lectura unidad de red, fuera de lnea para su examen a travs del Explorador de Windows. El valor de esta caracterstica es que permite a los investigadores mltiples opciones de examen, incluyendo el uso de herramientas de terceros con la evidencia servido por el EnCase programa. Estamos comprometidos con la idea de ofrecer un producto integrado a nuestros clientes. Herramientas de terceros seguirn siendo desarrollado para complementar las funciones bsicas y caractersticas del programa EnCase, y fomentar su creacin y uso. VFS permite el acceso de terceros a toda prueba informtica y los formatos del sistema de archivos compatible con el software. Para nuestros clientes que utilizan el programa EnCase Forensic, el mdulo VFS tiene el poder aadido de que permite el uso de herramientas de terceros contra las unidades de disco previamente a travs de un dispositivo de FastBloc o un cable cruzado, incluyendo archivos borrados. Para los clientes que utilizan el programa Empresa EnCase, VFS permite el uso de herramientas de terceros contra las mquinas en vivo en la red utilizando las mejores prcticas, ya que el sistema operativo se pasa por alto.
Virtual File System Para montar una sola unidad o dispositivo en un expediente o un volumen o una carpeta en una unidad, haga clic en la unidad o dispositivo y seleccione Montar como recurso compartido de red:
77
3.Haga clic en la ficha Informacin del cliente para establecer la letra del volumen que se asignar a la participacin de la red en Explorador de Windows.
Configuracin predeterminada 4.El permite el Explorador de Windows para asignar la siguiente letra del volumen disponible, o puede establecer cualquier otra letra que actualmente no asignado.
78
EnCase Version 6.12 Modules Manual Asignacin de una letra volumen especfico puede ser til cuando se intenta reconstruir virtualmente una unidad de red, como una base de datos:
79
Si en la actualidad ha asignado unidades de red o si deja de Windows asigna la letra de unidad, se toma unos segundos para consultar el sistema para encontrar una letra de unidad disponible Si ha especificado una letra de volumen, y se encuentra disponible, el montaje es prcticamente instantnea Una ventana emergente de confirmacin le informa de que el montaje se ha realizado correctamente, con la letra del volumen. El icono de la mano compartido aparece en el nivel que ha designado como el punto de montaje de la unidad compartida.
Archivos compuestos
Muchos archivos compuestos, incluyendo Microsoft Word, Excel, Outlook Express y archivos de Outlook, se pueden montar en la interfaz de EnCase. Para ello: 1.Haga clic en el archivo. 2.Seleccione Ver estructura de archivos. En el siguiente ejemplo, el Microsoft Word . Doc archivos est montado. El dispositivo se monta con VFS a nivel de dispositivo.
3.Mount el caso, la unidad, el volumen o carpeta con VFS como para un solo caso, la unidad, etc, haga hacer clic y seleccionar Montar como recurso compartido de red, como se describi anteriormente para los artculos individuales.
80
EnCase Version 6.12 Modules Manual 4.Vista el archivo montado como una carpeta en el Explorador de Windows, donde la estructura de archivo compuesto puede ser navegado.
VFS es un motor dinmico y servir a los datos a medida que se presenta por el software EnCase. Para ver el archivo del documento original de Word: 1.Cierre el archivo compuesto montado. 2.In el Explorador de Windows, actualice la pantalla utilizando la tecla F5. Si ha elegido actualmente de datos en el archivo compuesto, informa de un mensaje de error que los datos ya no est disponible, ya que estaba cerrado dentro del programa EnCase. 3.Seleccione la carpeta principal del archivo para ver y abrir el archivo.
RAID
RAID montado dentro del programa EnCase puede ser consultada en el Explorador de Windows. En el siguiente ejemplo, que un software RAID 5 formado por tres unidades fue montado y puesto a disposicin para la navegacin en el Explorador de Windows con VFS.
Archivos borrados
El mdulo VFS permite a los investigadores ver los archivos eliminados y se sobrescribe en el Explorador de Windows.
Virtual File System Un investigador puede buscar un archivo en el Explorador de Windows para ver o analizar, pero considera que no es posible abrirlo. Si un archivo no se abre, revise los datos originales de la interfaz EnCase para ver si el archivo es realmente vlida y no est daado o parcialmente sobrescrito.
81
82
EnCase Version 6.12 Modules Manual Cuando el dispositivo se carga en el programa EnCase, la particin y sistema de archivos no se leen e interpretan. Todo el dispositivo se puede montar con VFS y estar disponible para su examen en el Explorador de Windows como Zona de disco sin usar, incluyendo el espacio de holgura.
1.Another opcin es copiar nica rea holgura de pruebas para el equipo de examen como un archivo lgico: 2.Seleccione el dispositivo (s) que desea examinar el espacio de holgura. 3.Right clic en el archivo y seleccione Copiar / UnErase.
4.Seleccione el botn de radio seleccionado Todos los archivos debajo de y, a la fusin en un solo botn de archivo en Para, a continuacin, haga clic en Siguiente.
5.In la seccin Copia de la pantalla Opciones, seleccione RAM y disco Slack para copiar la memoria RAM holgura (tambin conocido como sector de holgura) y la holgura de disco (tambin conocido como grupo de holgura). 6.Seleccione la opcin correspondiente carcter de mscara de caracteres no ASCII, o deje el valor predeterminado y haga clic en Siguiente.
83
7.Set la ruta de destino y el nombre del archivo que contiene la holgura, a continuacin, haga clic en Siguiente.
8.Haga clic en Aceptar en el cuadro de dilogo Copia de archivos que se muestra al final del proceso de copia.
El archivo que contiene la holgura de la evidencia ya est disponible para su examen por los servicios de terceros en la mquina examen local. En el siguiente ejemplo, el archivo est abierto en WordPad.
84
Virtual File System En este ejemplo, el directorio / (raz) de una estacin de trabajo Solaris est montado y el nombre de la carpeta principal (el nombre de la particin) se muestra como el gran punto.
85
Windows tiene un lmite de 264 caracteres en una ruta completa y el nombre del archivo. Esta limitacin puede afectar algunos exmenes en el Explorador de Windows, especialmente para los dispositivos de Unix y Linux. En esta situacin, el investigador puede necesitar montar en el nivel de particin o carpeta.
2.In la confirmacin de que la evidencia fue desmontado con xito, seleccione cualquier estado de ahorro de opciones y haga clic en Aceptar.
86
Acceso al Share
Uso de la interfaz EnCase
Unique Nombre de columna
Una columna de nombre nico muestra en la vista Tabla del mdulo VFS. La columna identifica el nombre de archivo determinado en un archivo servido del programa EnCase y se muestran en el Explorador de Windows a travs de VFS. El nombre nico supera la limitacin de Windows de no permitir que mltiples archivos a compartir el mismo nombre de archivo como hermanos en la misma carpeta principal. La columna est vaca cuando la evidencia se monta por primera vez con VFS, pero se llena cuando se accede a la participacin en el Explorador de Windows. Cuando un investigador selecciona una carpeta en el Explorador de Windows, los datos son servidos por el programa EnCase y se muestra en el Explorador de Windows. A medida que los directorios se navegan en el Explorador de Windows, los nombres de los archivos se rellenan en la columna Nombre de Steam, por lo que un investigador puede determinar qu archivo que l o ella est examinando. El programa EnCase aade un signo de nmero (#) al final de los nombres de archivo duplicados dentro de la misma carpeta en el Explorador de Windows.
Virtual File System Examinar el caso montado y dispositivos asociados en el Explorador de Windows
87
Abrir archivos ocultos y eliminados si Mostrar archivos y carpetas ocultos est activada en Windows Explorer mediante las Opciones de carpeta en el men Herramientas
Utilice el visor de miniaturas en el Explorador de Windows para ver las imgenes en la forma vista por el usuario original
Herramientas de terceros
Usando VFS, los investigadores pueden examinar las pruebas fuera del programa EnCase mediante la utilizacin de herramientas de terceros capaces de solicitar e interpretar los datos desde el Explorador de Windows. Sin embargo, Guidance Software no certifica el rendimiento o la exactitud de los resultados obtenidos a travs de las herramientas no desarrolladas por Guidance Software.
Escaneado de malware
Un uso comn de VFS es montar evidencia equipo para escanear en busca de virus, troyanos y otros programas maliciosos: 1.Mount la evidencia a travs de VFS de forma local en el equipo de examen, o de forma remota a travs de VFS Server. Puede montar la evidencia en el dispositivo, el volumen o niveles de carpetas que se describi anteriormente. El icono de la mano compartido indica el nivel del soporte del sistema de archivos virtual.
88
EnCase Version 6.12 Modules Manual 2.In el Explorador de Windows, seleccione la unidad de red desconectado gsisvr. Software antivirus 3.Use para escanear el archivo. En el siguiente ejemplo, el Buscar virus de Symantec AntiVirus est dirigido por la derecha clic en la unidad.
El software antivirus puede leer el sistema de archivos virtual presentado en el Explorador de Windows. Los datos solicitados es servida por el programa EnCase al Explorador de Windows y, a continuacin, en el programa de exploracin. En este caso, se encontr que el virus MyDoom en la evidencia equipo montado con VFS.
Los informes de inspeccin y los registros generados por las herramientas de terceros pueden ser revisadas e incluidas en el informe de investigacin de los investigadores.
Virtual File System 2.In la ventana Opciones de carpeta, haga clic en la ficha Tipos de archivo. 3.Seleccione la extensin deseada, y los detalles para la seccin, se muestran el programa designado para esa extensin. En este ejemplo, archivos JPEG abierto con Adobe Photoshop CS. 4.Haga clic en el botn Cambiar.
89
90
EnCase Version 6.12 Modules Manual WordPad puede abrir la mayora de los archivos basados en texto para que pueda ver el contenido. En el ejemplo a continuacin, un archivo de Linux se abre con WordPad en el Explorador de Windows desde un archivo de pruebas montado con VFS.
QuickView Plus
Otro programa de visin popular, QuickView Plus, se puede utilizar para ver docenas de formatos de archivo, sin las aplicaciones nativas instaladas en el equipo de examen.
VFS servidor
El mdulo VFS tiene una extensin de servidor para que los investigadores pueden compartir la evidencia montada con otros investigadores de la red de rea local / intranet a travs de VFS. La extensin permite a un nmero de clientes para montar el recurso compartido de red que entrega el servidor VFS a travs de una conexin de red bajo estas condiciones: Slo el equipo que ejecuta el servidor VFS necesita una clave de seguridad insertado Una clave de seguridad no es necesaria para conectar con el servidor VFS y acceder a los datos que se sirve en Explorador de Windows. La mquina cliente (s) debe tener el programa EnCase instalado para acceder a los controladores de cliente VFS, pero puede funcionar en el modo de adquisicin El nmero de clientes que pueden conectarse al servidor VFS depende del nmero de conexiones de servidor VFS comprados. Esta informacin est contenida en el Certificado VFS o programado en la clave de seguridad. Para determinar si el servidor VFS est habilitado y para ver el nmero de conexiones de cliente disponibles, haga lo siguiente:
91
Si el mdulo VFS no est en la lista, o el nmero de clientes no es suficiente, pngase en contacto con los clientes De servicio para adquirir ms clientes.
6.Ingrese un nmero de puerto o use el valor predeterminado de 8177. La direccin IP del servidor est en gris ya que la direccin IP de los servidores es la asignada a la mquina donde el montaje se lleva a cabo. 7.Note la direccin IP de la mquina del servidor para su uso con el cliente. 8.Set el nmero mximo de clientes que pueden conectarse al servidor, con el valor por defecto es el mximo permitido por su certificado VFS Server. Desde VFS est aumentando la evidencia como una unidad compartida de red, el puerto que sirve debe ser asignado. Para permitir la recuperacin de errores en Windows, como un accidente durante el uso de herramientas de terceros, como se describe anteriormente, el servicio de VFS tiene una duracin de la vida de la sesin de Windows de ese puerto.
92
EnCase Version 6.12 Modules Manual El servidor VFS tambin puede servir los datos de forma local a la mquina de investigadores. Tenga en cuenta que se utiliza una de las conexiones de servidor.
93
2.Seleccione Permitir IPs especficas. 3.Right clic en la casilla IPs mascotas. 4.Seleccione Nuevo e introduzca las direcciones IP. Puede escribir varias direcciones IP mediante la repeticin de esta accin. Tambin puede editar o borrar IP existente direcciones de IPs admiten botn derecho del ratn.
5.Seleccione la ficha Informacin del cliente. Para montar tambin y ver la unidad compartida localmente, deje la cuota de Mount cuadro local revisado y entrada de una Carta de volumen.
94
EnCase Version 6.12 Modules Manual De forma predeterminada, el campo letra del volumen tiene un asterisco en ella, lo que significa que la prxima disponible Se utilizar letra de unidad. Montaje de la participacin a nivel local utiliza una de las conexiones del servidor VFS. Si slo estn sirviendo a la cuota a los clientes remotos, compartir Mount clara a nivel local, y la Volumen Carta se pone gris, ya que la cuota se instala en el cliente remoto (s). El servidor VFS monta la accin y permite conexiones en el puerto asignado. El icono de la mano compartido aparece en el punto de montaje VFS. Usted puede continuar su examen, mientras que se est compartiendo. El rendimiento depende del tamao y tipo de las pruebas examinadas, la potencia de procesamiento del servidor y mquinas de cliente, y el ancho de banda de la red.
Cierre de la conexin
Cuando un investigador con una mquina cliente ha completado el examen de la unidad compartida, o de otro investigador tiene que utilizar la conexin, haga doble clic en la barra de progreso en la parte inferior derecha y seleccione S. Una ventana de confirmacin informa de que los datos se desmont y se cierra la conexin y el se elimina icono de mano comn, lo que indica que el Explorador de Windows ha eliminado la unidad compartida. El programa EnCase puede ser cerrado en el equipo cliente. En la mquina servidor VFS, cuando todos los clientes estn terminadas y han desmontado la cuota, cierre el servidor VFS haciendo doble clic en la barra de sistema de archivos virtual que destella en la esquina inferior derecha de la ventana de la aplicacin EnCase. Se le pedir para desmontar el expediente de prueba, despus de lo cual se puede cerrar el programa EnCase.
95
Solucin de problemas
Sistema de archivos virtual no aparece en mdulos
Si est utilizando los archivos cert, compruebe que el certificado VFS se encuentra en el directorio Certificados adecuada (tpicamente C: \ Archivos de programa \ EnCase6 \ Certificados). Asegrese de que la clave de seguridad est instalado y funciona correctamente (consulte la barra de ttulo para asegurarse de que el software no est en el modo de adquisicin). No es necesario tener la clave de seguridad instalado en una mquina de la conexin a un servidor remoto de VFS. Si est utilizando los archivos cert, el archivo del certificado que se expida por una clave de seguridad especfica, compruebe el identificador de clave de seguridad para asegurarse de que es el correcto para el que se emiti el certificado.
Puedo montar un dispositivo a nivel local, pero no puedo configurar un servidor local
Seleccione Acerca de EnCase en el men Herramientas y asegrese de que el sistema de archivos del servidor virtual aparece En Mdulos. Si no aparece el servidor, es posible que el CERT mal instalada, o no hacer tener acceso a la edicin Server.
CAPTULO 5
FastBloc SE mdulo
Qu es el Mdulo SE FastBloc? Informacin general Instalacin del Mdulo SE FastBloc Utilizando el mdulo SE FastBloc El almacenamiento en cach de disco Solucin de problemas
96
Qu es el Mdulo SE FastBloc?
El mdulo FastBloc SE (Software Edition) es una coleccin de herramientas del variador diseados para controlar las lecturas y escrituras en una unidad conectada a un ordenador a travs de USB, FireWire, SCSI, IDE, SATA y tarjetas controladoras para permitir la adquisicin segura de medios sujetos de Windows a un archivo de pruebas EnCase . Adems, un investigador puede borrar dispositivos conectados a una tarjeta controladora que es controlado por el mdulo de SE FastBloc, o restaurarlos manteniendo al mismo tiempo el valor hash del archivo lgico. Cuando los mdulos SE FastBloc escriba capacidad de bloqueo est activado, se asegura que no hay datos se escriben o se modifican en un dispositivo de escritura bloqueada. La escritura de bloque USB, FireWire, dispositivos SCSI opcin se utiliza para escribir bloques y proteger las unidades conectadas. En el pasado, la realizacin de un forense, la adquisicin no invasiva de una unidad de disco duro se realiz en DOS, o a travs de un dispositivo de hardware de proteccin de escritura. Esto se hizo para controlar escribe por el sistema operativo a la unidad de sujeto. El mdulo SE FastBloc elimina la necesidad de tener un bloqueador de escritura de hardware instalado en el equipo forense con el fin de adquirir EnCase archivos de evidencia de manera vlida a efectos legales a travs de Windows.
Informacin general
HPA y DCO configurados los discos
Organiza rea Protegida
Los discos duros se pueden configurar con un rea Protegida Host (HPA). Est diseado para permitir que los vendedores para almacenar datos a salvo de acceso de los usuarios, diagnstico o herramientas de copia de seguridad de MS Windows. Si est presente, los datos almacenados en esta rea es inaccesible por el sistema operativo, el BIOS o en el propio disco. El conocimiento de esta rea y la capacidad de acceder a l son importantes, ya que existe el potencial para un usuario sofisticado para ocultar los datos en el HPA. El mdulo SE FastBloc ve la HPA, si est presente, y el contenido oculto no se muestra. La integridad del disco se mantiene intacta en la vista previa y la adquisicin de discos con HPA.
Arquitectura
Tanto el HPA y el ACA se encuentran normalmente en los extremos del disco duro. Si est presente, el rea de HPA se coloca en la unidad despus de configurar el DCO. Esto le da a la
FastBloc SE Module unidad de los tres tipos de almacenamiento que se colocan uno tras otro en la unidad:
97
98
EnCase Version 6.12 Modules Manual Normal HPA protegida DCO protegida
FastBloc SE Module
99
2.In el listado de canales IDE disponibles, azul-comprobar el canal de escribir bloque y haga clic en Aceptar.
3.A ventana emergente puede aparecer diciendo que el software no ha pasado del logotipo de Windows pruebas.
4.Haga clic en Continuar para reemplazar el controlador instalado con el controlador de GSI.
10 0
EnCase Version 6.12 Modules Manual 5.Shut la mquina forense. 6.Attach el disco duro sospechosos al controlador seleccionado en el paso 2. 7.Restart el equipo forense. El canal seleccionado es escribir bloqueado en el inicio del sistema.
100
EnCase Version 6.12 Modules Manual 3.Seleccione Write-Bloqueado en el dilogo. 4.Introduzca del USB, FireWire o SCSI.
Debido a que algunos dispositivos SCSI no son intercambiables en caliente inicial, es posible que desee utilizar un soporte intercambiable en caliente para proteger el dispositivo, como el StarTech DRW150SCSIBK SCSI baha de la unidad.
5.A ventana de confirmacin aparece cuando el dispositivo est bloqueado con xito. 6.Haga clic en Finalizar.
FastBloc SE Module
101
En Windows 2000, esta herramienta se llama Desconectar o expulsar hardware, en Windows XP, con seguridad Quitar hardware.
Extraccin Write-Block
1.Seleccione Write-bloque USB, FireWire, SCSI de la unidad en el men desplegable Herramientas.
3.Haga clic en S en el mensaje para confirmar la eliminacin de todos los USB, FireWire, SCSI y escritura dispositivos bloqueados.
Al seleccionar Borrar Todos Elimina escribir el bloqueo y la proteccin contra escritura en todos los USB, FireWire y SCSI los dispositivos previamente protegidos por el mdulo SE FastBloc.
102
EnCase Version 6.12 Modules Manual 5.Haga clic en Aceptar para finalizar la escritura de eliminacin de bloques.
Limpiar
El mdulo SE FastBloc permite borrar un dispositivo conectado a una de las apoyados tarjetas PCI IDE controlador mencionadas en FastBloc SE Mdulo Requisitos especficos en la pgina 4. Limpiando se realiza de la misma manera que para las unidades conectadas directamente a la placa base. Ver el EnCase Herramientas captulo Uso de el Manual de Usuarios EnCase instrucciones para limpiar una unidad de uso de la interfaz EnCase.
Restauracin
El mdulo de SE FastBloc tambin permite la restauracin de un expediente de prueba a un dispositivo de tamao o ms grande conectado a una de las apoyados tarjetas PCI IDE controlador mencionadas anteriormente similares. Restaurar un dispositivo de la misma manera que con las unidades conectadas directamente a la placa base. Ver el EnCase Herramientas captulo Uso de el Manual de Usuarios EnCase para ms detalles.
FastBloc SE Module
103
Solucin de problemas
La opcin de bloqueo de escritura no aparece en el men Herramientas
Asegrese de que el mdulo se ha instalado como se describe en Instalacin de los mdulos EnCase en la pgina 5. Seleccione Acerca de EnCase en el men Ayuda para verificar que el mdulo SE FastBloc aparece en la ventana. Verifique que la clave de seguridad est en la mquina. Si la clave de seguridad est fuera, o no funciona correctamente, el programa EnCase estar en el modo de adquisicin. Si est utilizando los archivos cert, el archivo cert puede estar vinculada a una clave de seguridad diferente. Consulte a un administrador para determinar la clave de seguridad asociada y archivo cert.
104
FastBloc SE Module
105
CAPTULO 6
Mdulo de CD / DVD
Qu es el mdulo de CD / DVD? Quemar archivos de evidencia durante la adquisicin
Grabacin de archivos de evidencia lgica durante la adquisicin Grabacin de archivos e informes Quemar la evidencia existente y archivos de evidencia lgica
108
Qu es el mdulo de CD / DVD?
Utilice el mdulo de CD / DVD para grabar el siguiente en un CD o DVD: Evidencia y lgica archivos de evidencia durante la adquisicin Los archivos y carpetas, as como los informes emitidos por el programa EnCase Existentes archivos de evidencia y archivos de evidencia lgica A menos que se especifique lo contrario, los archivos quemados mantener las siguientes propiedades (si estn disponibles): Nombre de entrada (ya sea de entrada o de informe) Fecha de la ltima escrita Fecha de disponibilidad Creado Tamao de lgica
En consonancia con las prcticas de informtica forense de sonido, probar el mdulo de CD / DVD con los medios de comunicacin no pruebas para verificar la instalacin y funcionamiento antes de utilizarla con pruebas reales.
CD/DVD Module
109
Seleccin de informacin de CD
Para seleccionar la informacin del CD, seleccione las opciones apropiadas de las opciones preconfiguradas en el cuadro de dilogo Informacin del CD.
Joliet: Esto especifica el formato de la imagen a que se adhieran a la norma Joliet, que permite nombres de entrada largos. UDF: Esto especifica el formato de la imagen a que se adhieran a la norma UDF, que se utiliza principalmente para los DVD. Burn: Esto da inicio a la quema de la imagen en el disco una vez que haga clic en Finalizar. Si la casilla no est seleccionada, la carpeta de archivo de la imagen se actualiza, pero no se quem hasta iniciada por el usuario en la pestaa Entradas Archive. Un ISO tambin se crea para que el usuario se queme en cualquier momento con cualquier programa. Eliminar ISO Quemar despus de: Esto borra la imagen ISO creada a partir de la carpeta temporal creada con la opcin Ruta de acceso una vez que se quema a los medios de comunicacin. Editorial: Este campo opcional permite especificar el nombre de la persona que quema la imagen en el disco. Preparador: Este campo opcional permite especificar el nombre de la persona que prepar la imagen para la grabacin. Ruta de acceso: Este campo establece la ruta de la ubicacin temporal de la imagen ISO antes de ser quemado. Grabadoras de CD: Cualquier quemador de medios de comunicacin reconocido por el sistema aparece en esta ventana. Seleccione el grabador de medios de su eleccin. Si un quemador reconocido no est en la lista, la opcin de quema est desactivado. La imagen producida contiene el formato ISO9660 con Joliet seleccionada por defecto. Si se seleccionan formatos Joliet o UDF, ms rboles se construyen para esos formatos. ISO9660 permite slo nombres de ocho caracteres (antiguo DOS 8.3). Nombres ms de ocho caracteres se truncan a los cuatro primeros caracteres del nombre de archivo, seguido de cuatro nmeros al azar.
110
Ardor
Cuando la adquisicin inicial se haya completado, la pantalla de estado y la quema a que han comenzado CD, indican mediante un hilo ardiente azul que aparece en la barra de tareas de los programas de EnCase. Evidencia entradas se queman, siempre y cuando haya suficiente espacio a la izquierda en el medio basado en el tamao de segmento de conjunto. Si no hay lugar a la izquierda, se expulsa el disco y aparece un mensaje que le indica que inserte otro disco. Entradas evidencia se verifica en los medios extrables despus de haber sido quemadas. Despus se quema la entrada, una ventana de estado informa de los resultados de la escritura y la verificacin.
Un subproceso independiente tiene una duracin de la quema de las entradas de las pruebas lgicas, mientras que se crean. La quemadura de disco se produce cuando el primer segmento termina adquiriendo. Para cancelar la grabacin, haga doble clic en el mensaje de estado Burning azul en la barra de tareas inferior. Pruebas lgicas, como otras entradas pruebas, se verifica despus de quemarse. La ventana de estado en la parte final del proceso de verificacin y presenta el estado de la adquisicin de las entradas quemados. Si no hay una habitacin libre en un disco, el disco se expulsa y se debe mostrar una confirmacin para insertar otro disco.
111
112
EnCase Version 6.12 Modules Manual 1.Seleccione Archivos de almacenamiento en el men desplegable View. 2.To crear una nueva sesin de imagen para la grabacin de datos en un CD / DVD de las entradas o informes seleccionados, haga clic en la raz de Archivos Archivo y seleccione Nueva Imagen. Por defecto, el mdulo coloca elementos almacenados en cach en C: \ Archivos de programa \ EnCase6 \ Cache. Para cambiar la ruta raz, haga clic en el elemento raz, seleccione Cambiar ruta de root, y busque o cree una carpeta.
Un icono del disco aparece en el rbol, llamado discimage1. Imgenes posteriores creados se denominan discimage2, discimage3, etctera 3.To imgenes de cambio de nombre, haga clic en la carpeta de imgenes (o pulse F2) y seleccione Cambiar nombre. Una imagen en cach de este archivo se almacena en C: \ Archivos de programa \ EnCase6 \ Cache con el nombre de la carpeta y . Cdi extensin.
CD/DVD Module
113
Utilice copiar carpetas para aadir las entradas seleccionadas en la carpeta, manteniendo las entradas existentes. Los tamaos de archivo de las entradas seleccionadas conservan el tamao lgico original del archivo, pero no el tamao fsico.
Utilice Copia / Unerase para mantener la estructura sobre la base de las opciones establecidas en el men de exportacin, como el archivo lgico, todo el archivo fsico, memoria RAM y disco Slack, etc
114
EnCase Version 6.12 Modules Manual 3.Right haga clic en el icono Archivos Archivo en la ventana Carpeta de destino y seleccione Nueva Imagen. Por defecto, este isdiscimage1. Las carpetas creadas anteriormente son visibles en el destino Ventana de carpeta. 4.Seleccione la carpeta adecuada, haga clic en Finalizar. 5.Haga clic en Aceptar para agregar las entradas a la carpeta Archivos de Archivo. 6.To ver las entradas agregado, vaya a la pestaa Archivos Archivo y seleccione la carpeta donde se enviaron las entradas. 7.Right haga clic en la tabla y seleccione Actualizar.
3.In el cuadro de dilogo Exportar informe, seleccione Grabar en disco. 4.Seleccione la salida apropiada formato, documento o pgina web. 5.Ingrese la ruta completa en el campo Ruta o busque la ubicacin de exportacin. 6.Seleccione una carpeta de destino. Si las entradas que ya existen en la carpeta de destino, se agregan las entradas seleccionadas para ellos. 7.Haga clic en Aceptar para agregar el informe a la carpeta discimage. El informe que acaba de agregar se almacena en la pestaa Archivos Archivo y salv el mundo para que pueda aadir o eliminar de ella en cualquier momento.
CD/DVD Module
115
3.Seleccione las opciones apropiadas de las opciones preconfiguradas en el cuadro de dilogo Informacin del CD como se describe anteriormente. Cuando se quema la imagen, una ventana de estado informa de los resultados de la escritura.
Unidades previsualizarlos Imgenes VMware Volmenes montados imgenes dd Imgenes de Virtual PC Los dems archivos que no evidencia
Para grabar un archivo de pruebas EnCase o Archivo evidencia lgica en un disco, en primer lugar, se debe agregar a la caja mediante los mtodos estndar: Arrastrar y soltar el archivo en la interfaz de EnCase Usando Agregar dispositivo Para grabar un archivo de datos existente o evidencia lgica: 1.En la ficha Calidad, seleccione la subpestaa Dispositivos. 2.Haga clic en la tabla y seleccione la imagen que se quem. Tenga en cuenta que slo el dispositivo resaltado se quema, no seleccionado (azul a cuadros) equipos.
116
EnCase Version 6.12 Modules Manual 3.Right haga clic en el dispositivo y seleccione Grabar en disco.
CD/DVD Module
117
Guidance Software
Aviso Legal
Ninguna parte de este manual, incluyendo los productos y software descrito en ella, puede ser reproducida, transmitida, transcrita, almacenada en un sistema de recuperacin, o traducida a cualquier idioma de cualquier forma o por cualquier medio, excepto la documentacin conservada por el comprador para copia de seguridad propsitos, sin la autorizacin expresa por escrito de la Gua Software, Inc. (GSI). GSI PROPORCIONA ESTA PUBLICACIN TAL CUAL SIN GARANTA DE NINGN TIPO, YA SEA EXPRESA O IMPLCITA, INCLUYENDO PERO NO LIMITADO A LAS GARANTAS O CONDICIONES IMPLCITAS DE COMERCIALIZACIN O IDONEIDAD PARA UN PROPSITO PARTICULAR. EN NINGN CASO, GSI, SUS DIRECTORES, OFICIALES, EMPLEADOS O AGENTES SERN RESPONSABLES POR CUALQUIER DAO INDIRECTO, ESPECIAL, INCIDENTAL O CONSECUENTE (INCLUYENDO DAOS POR PRDIDA DE BENEFICIOS, PRDIDA DE NEGOCIO, PRDIDA DE USO O DE DATOS, INTERRUPCIN DEL NEGOCIO Y LAS similares), INCLUSO SI GSI HA SIDO ADVERTIDO DE LA POSIBILIDAD DE TALES DAOS DERIVADOS DE CUALQUIER DEFECTO O ERROR EN ESTE MANUAL O PRODUCTO. CEIC, EnCase eDiscovery Suite EnCase Enterprise EnCase Enterprise AIRES, EnCase Forensic, ENCE, EnScript, FastBloc, Guidance Software, EnCase Neutrino, Snapshot y WaveShield son marcas comerciales o marcas comerciales propiedad de GSI en los Estados Unidos y en otras jurisdicciones, y no mayo ser utilizados sin consentimiento previo por escrito. Todas las dems marcas y marcas pueden ser reclamados como propiedad de sus respectivos dueos. Los productos y nombres comerciales que aparecen en este manual pueden ser o no ser marcas registradas o derechos de autor de sus respectivos propietarios, y se utilizan slo para identificacin o explicacin en el beneficio los propietarios, sin intencin de infringir. Manuales de productos y Documentacin son especficos de las versiones de software para el que estn escritas. Para los manuales anteriores u obsoletos, informacin de lanzamiento del producto, pngase en contacto Guidance Software en http://www.guidancesoftware.com. Especificaciones e informacin contenidas en este manual se suministra nicamente con fines informativos y estn sujetos a cambios en cualquier momento sin previo aviso.
Apoyar
Guidance Software desarrolla soluciones que buscar, identificar, recuperar y entregar la informacin digital de manera vlida a efectos legales y rentables. Desde nuestra fundacin en 1997, hemos pasado a las investigaciones facilitadas por la red, y una amplia integracin de la empresa con otras tecnologas de seguridad. Esta seccin proporciona informacin sobre nuestro apoyo a travs de:
118
EnCase Version 6.12 Modules Manual Manuales tcnicos y notas de la versin Apoyo portal en la Web, incluyendo el acceso a las descargas Departamento de Soporte Tcnico Departamento de Servicio al Cliente Foros Capacitacin Servicios profesionales
Soporte Tcnico
Guidance Software ofrece una variedad de opciones de apoyo, incluyendo telfono, correo electrnico, formularios de presentacin en lnea, de una al da la base de conocimientos, y un tablero de mensajes (foro tcnico). El soporte est disponible desde el domingo, 19:00 a viernes, 6:00 am Hora del Pacfico (Lunes, a las 3:00 AM a sbado, 13:00 GMT). Se excluyen los das festivos en los Estados Unidos y el Reino Unido durante las horas respectivas.
Guidance Software
119
Soporte en lnea
Guidance Software ofrece un portal de asistencia para nuestros usuarios registrados, proporcionando foros tcnicos, una base de conocimientos, una base de datos de seguimiento de fallos, y un formulario de solicitud en lnea. El Portal le permite acceder a todas las cuestiones relacionadas con el soporte de un sitio. Esto incluye: Usuario, de productos, pruebas beta, y extranjeros foros lenguaje (las herramientas) Base de conocimientos Bug Tracker Servicios Tcnicos Solicitud Descargas de versiones anteriores del software, drivers, etc Otros enlaces de inters Aunque el soporte tcnico est disponible por correo electrnico, usted recibir ms completa, el servicio ms rpido cuando se utiliza el formulario de solicitud de soporte tcnico en lnea (https://support.guidancesoftware.com/node/381). Tenga en cuenta que todos los campos son obligatorios, y llenarlos por completo reduce la cantidad de tiempo que se necesita para resolver un problema. Si usted no tiene acceso al portal de soporte, por favor, utilice el formulario de inscripcin Portal de Soporte (https://support.guidancesoftware.com/forum/register.php?do=signup).
Registro
El registro requiere que elija un nombre de usuario y contrasea nicos. Proporcione toda la informacin solicitada, incluyendo ID del dongle, telfono, direccin de correo electrnico, organizacin, etc Esto nos ayuda a identificarlo como propietario registrado de EnCase. Usted recibir un correo electrnico dentro de las 24 horas. Tiene que seguir el enlace de ese correo electrnico antes de que puedas publicar mensajes en los foros. Hasta que lo haga esto, usted no tendr permiso para publicar. Una vez que haya verificado su direccin de correo electrnico, usted ser aadido a la lista de registro. Por favor, espere 24 horas hbiles para que su cuenta sea aprobada. Una vez aprobado su registro, usted puede acceder al Portal de Soporte (https://support.guidancesoftware.com/). El Portal de Soporte ofrece un tutorial que overviews brevemente el sitio.
120
Los foros permiten a los usuarios registrados enviar preguntas, intercambiar informacin y mantener conversaciones con Software de Orientacin y de otros usuarios de la comunidad EnCase. Diferentes grupos de discusin estn disponibles de la siguiente manera: Grupos Idioma Extranjero Francs rabe Alemn Espaol Japons Chino Coreano Grupos Foro Grupo de usuarios Consultor y Profesionales Forenses ordenador Problemas de hardware Foro EnScript Grupos de productos especficos EnCase Neutrino Empresa FIM eDiscovery Estos grupos slo estn disponibles para clientes que hayan adquirido los respectivos productos. Escriba un grupo haciendo clic en el nombre del grupo.
Publicar en un grupo
Para crear un nuevo mensaje, haga clic en el icono.
Haga clic en el icono para contestar a un mensaje, o utilice el icono de respuesta rpida en la parte inferior de cada post.
Guidance Software
121
Bsqueda
Los foros contienen una acumulacin de ms de diez aos de informacin. Utilice el botn de bsqueda de palabras clave, o haga clic en Bsqueda avanzada para opciones de bsqueda especficos.
Bug Tracker
Utilice Bug Tracker para presentar y comprobar el estado y la prioridad del defecto presentado y solicitudes de mejora. Se desglosa por producto, que muestra el nmero actual de errores / mejoras y errores comunes para cada producto. Para acceder al seguimiento de fallos, haga clic en el Bug Tracker (https://support.guidancesoftware.com/forum/project.php) En el portal de soporte.
Base de conocimientos
Usted puede encontrar las respuestas a las preguntas ms frecuentes (FAQs) y otros productos tiles documentacin de la base de conocimientos. Tambin puede enviar sus propios artculos para ayudar a otros EnCase los usuarios. Para acceder a la base de conocimientos, haga clic en Base de conocimientos (https://support.guidancesoftware.com/directory) En el portal de soporte.
122
La pgina de destino Portales de soporte contiene una seccin de enlaces de inters, entre ellos: Guidance Software Pgina Principal Centro de descargas para descargar software, hardware, manuales, discos de arranque, artculos de soporte, etc Mi cuenta para registrar su Identificacin del dongle para recibir al da el software por correo electrnico NVD (National Vulnerability Database) Informacin y Respuestas Gua del producto Matrix Versin para verificar la compatibilidad de las diferentes versiones de productos Recomendaciones de hardware para EnCase Forensic y EnCase Empresa Suscrbete a errores Pblicas
Servicio al cliente
El Software Departamento de Servicios al Cliente de Orientacin est compuesto por, personal altamente capacitado capaz de resolver cualquier problema relacionado con su solicitud. Horario e informacin de contacto se enumeran a continuacin. Telfono: 626.229.9191 Fax: 626.229.9199 Email: customerservice@guidancesoftware.com (mailto: customerservice@guidancesoftware.com) Internet: http://www.guidancesoftware.com/support/cs_requestform.aspx Horario: lunes a viernes de 6:00 am a 5:00 pm, hora del Pacfico
Guidance Software
123
Foros
Los tablones de mensajes Guidance Software son recursos para la comunidad forense para intercambiar ideas, hacer preguntas y dar respuestas. Los tablones de mensajes son un recurso invaluable para el investigador forense. Las discusiones van desde tcnicas bsicas de adquisicin de un anlisis en profundidad de los archivos cifrados y ms. Miles de usuarios experimentados y cualificados son registrados en las tablas, la revisin de mensajes cada da, y aportando su experiencia en todos los productos de software de orientacin. Ms informacin acerca de los foros, incluida la informacin sobre cmo inscribirse en el tabln de anuncios, se encuentra en: http://www.guidancesoftware.com/support/messageboards.asp.
Descargas
Cuando usted recibe su producto, se registra en Guidance Software para recibir actualizaciones. El registro se encuentra en https :/ / www.guidancesoftware.com / myaccount / registration.aspx sitio. Si tiene algn problema para registrar el producto, pngase en contacto con Servicio al Cliente (consulte la pgina 122). Si tiene problemas para descargar las actualizaciones una vez registrados, pngase en contacto con soporte tcnico (vase la pgina 118).
Capacitacin
Guidance Software ofrece una variedad de cursos de formacin profesional para el usuario principiante, intermedio y avanzado de todas sus aplicaciones. Adems de proporcionar una base slida en nuestro software, tambin ofrecemos a nuestros estudiantes con las mejores prcticas aceptadas para la investigacin, la generacin de informes y la preservacin de pruebas. Guidance Software ofrece cursos para las fuerzas de seguridad, las organizaciones relacionadas con la medicina forense y respuesta a incidentes y temas avanzados para todos los usuarios.
Servicios profesionales
El software de la Divisin de Servicios de Orientacin Profesional (PSD) combina lderes mundiales expertos en investigaciones informticas con tecnologa lder en el mundo forense para ofrecer soluciones llave en mano para las investigaciones forenses. Guidance Software ha combinado su tecnologa lder de investigacin de equipos con un equipo de los investigadores ms altamente capacitados y capaces en el mundo para ofrecerle soluciones completas llave en mano para su negocio. Cuando se enfrentan a problemas de investigacin que van ms all de sus capacidades internas, nuestro grupo de servicios profesionales es capaz de responder de forma remota o por entrar en el lugar para proporcionar la tecnologa adecuada y el personal de investigaciones informticas para el trabajo.
124
Investigaciones internas
El robo de la propiedad intelectual Reconstruccin de intrusiones Demanda de despido injustificado
Conformidad
Sarbanes-Oxley Evaluacin de riesgos PII California SB 1386
eDiscovery
Litigios pendientes Produccin Responsive Forense preservacin
Seguridad de la Informacin
Compromiso de la integridad del sistema Revisin de la poltica El uso no autorizado Forense implementacin del laboratorio
ndice
La
Acceso al disco local en el Explorador de Windows 65 Acceso al Share 85 Analizar EFS 14, 18 Asociada seleccionado 21 (L01) 42 Servicio al Cliente 122, 123
B
Antecedentes 96 Soporte de cifrado BitLocker (Volumen Encryption) 32 Arranque archivos de evidencia y Sistemas Live con VMware 68 Inicie la mquina virtual 71 Incorporado Ataque 57 Quema 110 Grabacin de archivos de prueba durante Adquisicin 108 Quemar la evidencia existente y la evidencia lgica Archivos 114 Grabacin de archivos e informes 110 Grabacin de archivos de evidencia lgica durante la adquisicin 110 Quemar las carpetas imagen creada en disco 114
C
Mdulo de CD / DVD 9, 107 CD-DVD Mdulo Requisitos especficos 5 Los archivos de certificado para la clave de seguridad 5 Certificados programados en la clave de seguridad 5 Cambiar el punto de montaje 84 Cierre y cambiar el disco emulado 67 Cierre de la conexin 92 Archivos compuestos 78 Configuracin del cliente PDE 63 Configuracin del servidor 90 Conexin de los Clientes 92 Crear una nueva sesin de imgenes 110 Soporte de cifrado CREDANT (basado en archivos Encryption) 37 Soporte de cifrado CREDANT (Desconectado Escenario) 41 Archivos CREDANT y archivos de evidencia lgica
126
D
Bloquear descifrado 53 Descifrado de S / MIME mensajes de correo electrnico en un archivo de prueba Creado en Windows Vista 49 Archivos borrados 79 Determinacin de cifrado buzn local 51 Diccionario Ataque 56 De disco y cifrado de volumen 12 Almacenamiento en cach de disco 103 Disco almacenamiento en cach y vaciar la cach 103 Desmontar el recurso compartido de red 84 Descargas 123
E
EDS Caractersticas 12 EFS de archivos y pruebas (L01) Archivos lgicos 17 EnCase descifrado suite 11 EnCase descifrado suite Mdulo 7 EnCase mdulo Emulador de disco fsico 7 EnCase mdulo de sistema de archivos virtual 8 Bloque Cifrado 52 Sistema de cifrado de archivos 79 Ingrese Artculos 18 Formatos de archivo soportados por evidencia EnCase PDE 62 Formatos de archivo soportados por evidencia VFS 76 ext2, ext3, UFS, y otros sistemas de archivos 83
F
FastBloc SE Mdulo 9, 95 FastBloc SE Mdulo Requisitos especficos 4, 97, 98, 102 Encriptacin basada en archivo 13
T
GuardianEdge cifrado del disco duro conocido Limitacin 37 Guidance Software 117
H
HPA y DCO configurados los discos 96
Yo
Preparacin inicial 68 Instalacin de los mdulos EnCase 5, 97, 103 Instalacin del FastBloc SE Mdulo 97
L
Aviso Legal 117 Localmente cifrados NSF Resultados Analizar 54 Lotus Notes admite el cifrado local 51
M
Malware de escaneo 86 Foros 123 Requisitos mnimos recomendados 4 Mount Network Options Compartir 77 Los archivos montados 13 Montaje de una sola unidad, dispositivo, volumen, o Folder 76 Evidencia de montaje con VFS 76 Montaje de dispositivos no son de Windows 65
N
Asistente para nueva mquina virtual 68 Soporte de cifrado NSF 49
O
Otros sistemas de archivos 83 Otras herramientas y visores 87 Anulacin HPA y DCO Configuracin 97 Sinopsis 12
P
Analizar un buzn local cifrado 51 PDE Solucin de problemas 73 Emulador de disco fsico 61 Preparacin de las entradas para Burning 111 Los informes se preparan para Burning 113 Vista previa de un dispositivo bloqueado Write 102 Matriz de Productos 12, 13 Servicios Profesionales 123
R
RAID 79 RAM y disco Slack 80 Recuperacin de contraseas de NSF 49 Extraccin de bloqueo de escritura de un USB, FireWire o Dispositivo SCSI 100 Restauracin 102 Restringir el acceso por direccin IP 91
S
S / MIME Support Encryption 43
Ahorro y desmontaje del disco emulado 65 Asegure los elementos de almacenamiento 23 Tab almacenamiento seguro 17 Tab almacenamiento seguro y EFS 17 Seleccin de Informacin CD 109, 115 A partir Emulador de disco fsico 62 Apoyo 117 Algoritmos de cifrado CREDANT compatibles 41 Algoritmos de cifrado SafeBoot compatibles 26 Apoyado Utimaco SafeGuard Easy Encryption Algoritmos 26
T
Manuales Tcnicos y Notas de la versin 118 Asistencia tcnica 118, 123 Archivos temporales Recordatorio 67, 89 Herramientas de terceros 67, 86 Capacitacin 123 Solucin de problemas 93, 103 Solucin de problemas de S / MIME descifrado Error 47 Desactivacin IDE Write Protection Bloquear 99
U
Usando EDS 14 Usando Emulador de disco fsico 62 Uso de la interfaz EnCase 85 Utilizando el mdulo SE FastBloc 98 Uso de las herramientas de terceros 67 Con el Explorador de Windows 85 Utimaco desafo / respuesta de apoyo 26, 27 Utimaco SafeGuard Easy cifrado conocido Limitacin 32 Utimaco SafeGuard Easy admite el cifrado 26
V
Verificacin de los mdulos estn instalados 6 VFS Mdulo Requisitos especficos 4 VFS servidor 89 Sistema de archivos virtual 75 VMware / EnCase PDE Preguntas frecuentes 72
W
Qu es el mdulo de CD / DVD? 108 Qu es el Mdulo SE FastBloc? 96 Cul es el emulador de disco fsico? 62 Qu es VFS? 76 Tecla Windows Arquitectura 56 WinMagic SecureDoc Soporte cifrado 34 Barrido 102 Escribe las pruebas de validacin de bloques y almacenamiento en cach de disco 103
Escribe Bloqueo de un dispositivo USB, FireWire o SCSI 99 Escribe Bloqueo IDE y SATA Controller Cards 98