EnCase常见问题(FAQ)集锦
美亚信息安全学院徐志强
摘要:本文主要是笔者在为EnCase用户提供技术支持过程中遇到的一些常见问题的解决方案或经验小结,同时也希望能给予大家一些启发。
关键字:EnCase 常见问题获取加密狗索引 RAID SHA-1 包Package 证书
1. EnCase是否支持原始数据镜像(Raw Image/DD)?
支持。操作步骤为从菜单中选择“文件(File)”->”添加原始数据镜像(Add Raw Image)”。EnCaseV6早期的中文版存在该菜单选项翻译不正确的情况。
注意:添加原始数据镜像(Raw Image)/DD镜像时,如果是多个分卷,那么应按照分卷的顺序添加,否则会导致无法正确识别原始数据镜像中的数据。
2. Encase加密狗及软件版本有哪些?
A) 加密狗版本
Guidance Software采用以列厂商Aladdin的加密狗来保护EnCase各种版本的软件。EnCaseV4采用HASP加密狗,EnCaseV5/V6采用HASP HL 加密狗,部分加密狗采用带有时钟芯片的HASP HL加密狗(黑),可以设定加密狗过期日期。EnCase加密狗中可根据不同需求写入各种授权信息,包括EnCase默认不附带的模块(PDE、VFS、FastBloc SE、EDS和CD/DVD)。
通常常见的EnCase加密狗版本:商用版(EF)、执法版(LE)、培训版(Training)、认证版(EnCE考试专用)、企业版(SAFE)、FIM版、NAS版,因此运行EnCase 后,在窗口左侧的标题文字各不相同,如“EnCase Forensic(EnCase 取证)”,“EnCase Law Enforcement(EnCase法律执行)”,“EnCase Certification (EnCase 认证)”,“EnCase Training (EnCase培训)”等。
在中国大陆销售EnCase版本(非企业版)的主要有:商用版(Commercial Edition)和执法版(Law Enforcement Edition)
B) 软件版本
根据加密狗及系统平台的不同版本,EnCase软件也有不同的安装包版本。
系统平台划分:基本分为Win32位和Win64位版本
一般命名规则为:软件类别+Setup (32/64位版本标识)+软件版本+语言版本EF:EnCase Forensic (商用版)
EF_LE:EnCase Forensic Law Enforcement (执法版)
EE:EnCase Enterprise (企业版)
Chinese_Simplex:简体中文版本
Setup(x64):含有(x64)代表该软件适合安装在64位操作系统平台
常见安装包名称如下:
EF_Setup_612_
EF_Setup(x64)_612_
EF_LE_Setup_612_
EF_LE_Setup(x64)_612_
EF_Setup_612_
EF_Setup_
EF_Setup_(x64)_
EF_LE_Setup_
EF_LE_Setup_(x64)_
EE_SAFE-NAS_Setup_
EE_SAFE-NAS_Setup_(x64)_
3. EnCase支持哪些文件系统?
EnCase目前是支持最多文件系统类型的取证分析软件,笔者根据EnCase的最新相关用户手册及资料,做了整理,截至撰写本文此时,EnCase 支持以下文件系统(最新版本v6.14):
●Windows: FAT12/FA T16/FA T32/exFA T/NTFS
●Linux: EXT2/EXT3/ Resiser/LVM2
●Macintosh: HFS/HFS+/ZFS
●AIX: JFS/JFS2/LVM8
●Solaris: SUN ZFS/UFS SUN
字符串长度web●BSD:FFS2/UFS2
●Novel: NWFS
●HPUX: VxFS
●SCO Unix: SYSV
●TiV o:TiVo1/TiVo2/
●光盘文件系统:ISO9660/Joliet/UDF
●Palm
更详细的信息,请参考Guidance Software知识库(Knowledge Base)中的文档(Snapshot File Systems),目前该文档尚未更新一些v6.14最新支持的文件系统。
Snapshot File Systems (support.guidancesoftware/node/46)
4. 为什么运行EnCase后,出现“No V6 证书”提示?
打开EnCase后提示中文“No V6证书”或英文“No V6 Cert”,导致出现此情况的可能原因有:
●安装的版本为EnCaseV6,插入的加密狗却为V5加密狗;如果您是
通过V5升级到V6,那么需将升级证书的文件(*.cert)复制到
\Program Files\EnCase6\Certs目录。如果已经不到cert升级文
件,请联系经销商或通过EnCase软件中的“帮助”中的“注册”
进行产品注册,并获取更新程序及证书,也可参照常见问题8。
●EnCase主程序文件可能受损(感染病毒或文件损坏等原因),可重新
安装程序解决;
5. EnCase在使用过程中频繁出现“加密狗已移除”
EnCaseV5刚开始使用时很正常,然而经过一些时间后频繁发现EnCase主程序的左侧标题文字包含“加密狗已移除”,加密狗等不再闪烁,此时,软件也无法正常工作。建议用户安装加密狗最新驱动后,该问题不再出现,因此可能与加密狗驱动有一定关系。如此方法不能解决,请联系美亚柏科400技术支持。
6. EnCaseV5升级到V6,如何安装证书?
关闭EnCaseV6程序,将证书文件复制到\Program Files\EnCase6\Certs目录,重新运行EnCase。
7. 如何注册EnCaseV6
EnCase的注册不是必须,注册最主要的用途是获取EnCase相关资料。通过注册,可以获取到EnCase软件最新版本、用户手册、版本更新文档及相关证书文件。方法有两种,如下:
第一种:
直接访问Guidance Software(www.guidancesoftware或ase),选择“Customer Center”,“Product Registration”,输入加密狗编号进行注册,填写正确的,以便能收到,通过中提供的链接即可下载相关资料。
注意:注册次数不限,可填写不同邮件地址或个人信息来注册。
第二种:第一次运行EnCasev6时,直接注册或运行EnCaseV6程序,从菜单“帮助”中选择“注册EnCase”
在选择“注册EnCase”后就会调用默认浏览器打开一个浏览器窗口。点击“Register Now”按钮,就会连接到Guidance Software官方站点。
选择“Chinese (Simplified)”才能下载到中文和英文版本的资料,包括程序、用户手册、最新版本功能变化(Release Notes)及模块证书或升级证书文件。
注意:通过选择“SEND REGISTRATION”提交后,大约要等5分钟左右会收到邮件。该邮件有可能会被当成垃圾邮件,因此记得检查“垃圾箱”或“垃圾邮件”等邮件文件夹。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论