Sei sulla pagina 1di 144

Traducido por Sykrayo Espaa

WEB ESPECIALIZADA EN SEGURIDAD DE REDES - SOFTWARE FORENSE Y CONTROL A DISTANCIA PROGRAMACIN EN LENGUAJES DE ALTO NIVEL - SOFTWARE POLICIAL Y BIOMETRICS SISTEMAS I/O AVANZADOS DE ALTO NIVEL sykrayo@hotmail.com

Traducido por Sykrayo Espaa

EnCase versin 6.12

Mdulos Manual

Traducido por Sykrayo Espaa

Copyright 1997-2008 Guidance Software, Inc. Todos los derechos reservados. EnCase , EnScript , FastBloc , Guidance Software y ENCE son marcas comerciales registradas o marcas comerciales de Guidance Software en los Estados Unidos y en otras jurisdicciones, y no pueden utilizarse sin el permiso previo y por escrito. Todas las dems marcas y marcas pueden ser reclamados como propiedad de sus respectivos dueos. Los productos y nombres comerciales que aparecen en este manual pueden ser o no ser marcas registradas o derechos de autor de sus respectivos propietarios, y se utilizan slo para identificacin o explicacin en beneficio del propietario, sin intencin de infringir. Ninguna parte de este documento puede ser copiada o reproducida sin el consentimiento escrito de Guidance Software, Inc. Los productos y nombres comerciales que aparecen en este manual pueden ser o no ser marcas registradas o derechos de autor de sus respectivos propietarios, y se utilizan slo para identificacin o explicacin en beneficio de los propietarios sin intencin de infringir. Cualquier uso y reproduccin de este material est sujeto a los trminos del contrato de licencia entre usted y Orientacin Software, Inc. excepcin de lo establecido en el contrato de licencia o por disposicin en contrario en las Secciones 107 y 108 de la Ley de Derecho de Autor 1976 Estados Unidos, ninguna parte de esta publicacin puede ser reproducida, almacenada en sistemas de recuperacin o transmitida en cualquier forma o por cualquier medio, ya sea electrnico, mecnico, fotocopia, grabacin, escaneo o de otro tipo. Manuales de productos y la documentacin son especficos de las versiones de software para el que estn escritas. Para los manuales anteriores u obsoletos, informacin de lanzamiento del producto, pngase en contacto con orientacin Software, Inc. en: http://www.guidancesoftware.com. Especificaciones e informacin contenidas en este manual se suministra nicamente con fines informativos y estn sujetos a cambios en cualquier momento sin previo aviso.

Traducido por Sykrayo Espaa

Contenido
CAPTULO 1 Introduccin
Introduccin 4 Requisitos mnimos recomendados 4 Instalacin de los mdulos EnCase 5 EnCase mdulo de descifrado suite 7 EnCase mdulo Emulador de disco fsico 7 EnCase mdulo de sistema de archivos virtual 8 FastBloc SE 9 Mdulo de CD / DVD 9

CAPTULO 2 EnCase descifrado suite

11

Visin de conjunto 12 EDS Caractersticas 12 Matriz del producto 13 Usando EDS 14 Tab almacenamiento seguro 17 Almacenamiento seguro Artculos 23 Soporte SafeBoot Encryption (Encriptacin de disco) ........................................... .................................................. . 23 Utimaco SafeGuard Easy Encryption 26 Soporte de cifrado BitLocker (Volume Encryption) ........................................... ............................................. 32 WinMagic SecureDoc Soporte Encryption 34 GuardianEdge cifrado del disco duro Conocido Limitacin ............................................ ....................................... 37 Soporte CREDANT Encryption (Encriptacin basada en archivo) ......................................... ........................................... 37 Soporte de cifrado CREDANT (Desconectado 41 S / MIME Support Encryption 43 NSF Soporte Encryption 49 Lotus Notes admite el cifrado local 51 Tecla Windows Arquitectura 56 Diccionario Attack 56

CAPTULO 3 Emulador de disco fsico


Cul es el disco fsico 62 Usando Emulador de disco fsico 62 Terceros 67 Arranque archivos de evidencia y Sistemas Live con VMware .......................................... ............................................. 68 VMware / EnCase PDE 72 PDE Solucin de problemas 73

61

CAPTULO 4 Sistema de archivos virtual


Qu es VFS? 76 Evidencia de montaje con VFS 76 Desmontar el recurso compartido de red 84 Acceso al Share 85

75

Traducido por Sykrayo Espaa

Terceros 86 VFS servidor 89 93

CAPTULO 5 FastBloc SE mdulo


Qu es el Mdulo SE FastBloc? 96 Informacin general 96 Instalacin del Mdulo SE FastBloc 97 Utilizando el mdulo SE FastBloc 98 El almacenamiento en cach de disco 103 103

95

CAPTULO 6 Mdulo de CD / DVD


Qu es el mdulo de CD / DVD? 108 Grabacin de archivos de prueba durante 108 Grabacin de archivos de evidencia lgica durante la adquisicin ............................................ ............................................. 110 Grabacin de archivos e informes 110 Quemar la evidencia existente y archivos de evidencia lgica ........................................... ......................................... 114

107

Guidance Software
Aviso Legal 117 Apoyar 117 Servicio al cliente 122 Foros 123 Descargas 123 Capacitacin 123 Servicios profesionales 123

117

ndice

125

Traducido por Sykrayo Espaa

CAPTULO 1

Introduccin
Introduccin Requisitos mnimos recomendados Instalacin de los mdulos EnCase EnCase mdulo de descifrado suite EnCase mdulo Emulador de disco fsico EnCase mdulo de sistema de archivos virtual FastBloc SE mdulo Mdulo de CD / DVD

Traducido por Sykrayo Espaa

EnCase Version 6.12 Modules Manual

Introduccin
Desde la versin 4 del software de EnCase , Orientacin Software ha proporcionado una variedad de mdulos de software que ponen poderosas herramientas de investigacin a disposicin de los investigadores forenses. Estos mdulos son add-ons para el software, y requieren la compra de certificados de www.guidancesoftware.com para activarlos. Los siguientes mdulos estn disponibles para la versin 6.01: EnCase descifrado Suite (EDS) Emulador de disco fsico (PDE) Servidor virtual de archivos (VFS) FastBloc Software Edition (SE) Mdulo de CD-DVD Una breve descripcin de los mdulos siguientes, para ms informacin sobre cmo configurar y utilizar cada uno de los mdulos, por favor consulte los captulos de este documento.

Requisitos mnimos recomendados


Para garantizar un rendimiento aceptable, mquinas que utilizan los mdulos EnCase deben cumplir los siguientes requisitos mnimos: La versin actual del software EnCase (actualizaciones estn disponibles en el sitio Web en http://www.guidancesoftware.com) Procesador Pentium IV 1.4 GHz 1 GB de RAM Windows 2000, XP o 2003 Server Por lo menos 100 MB de espacio libre en disco duro

VFS Mdulo Requisitos Especficos


Al menos 100 Mb de infraestructura / s de red para VFS

FastBloc SE Mdulo Requisitos Especficos


Una de las siguientes tarjetas controladoras IDE (Escribe bloqueo de dispositivos IDE a bordo no son compatibles con el mdulo SE FastBloc): Promise Ultra133 TX2 Promise SATA150 TX2plus (slo los adaptadores SATA son compatibles) Promise Ultra100 TX2 SIIG Ultra ATA/133 PCI SIIG Ultra ATA 100 PCI RAID Tekram Ultra ATA 100 RAID Para escribir, bloquear puertos SCSI, Guidance Software ha probado y recomienda el siguiente hardware:

Traducido por Sykrayo Espaa

Introduction StarTech DRW150SCSIBK SCSI baha de la unidad 29160 de Adaptec tarjeta controladora

CD-DVD Mdulo Requisitos Especficos


Una grabadora de CD / DVD debe estar instalado en el equipo forense. Estos quemadores son compatibles: AOPEN Plextor 712A ASUS 0402P Sony RU-710A Memorex DVD doble Toshiba R5372layer 16X w / USB bus Pioneer DVR-108

Instalacin de los mdulos EnCase


Para activar uno de los mdulos EnCase, debe tener una copia con licencia del software EnCase y comprar los mdulos correspondientes de Guidance Software. Instalacin de los mdulos se completa a travs de una de dos maneras: Certificados programados en la clave de seguridad Los archivos de certificado para la clave de seguridad

Certificados programados en la clave de seguridad


Si ha pedido EnCase software al mismo tiempo que orden los mdulos, su clave de seguridad se puede programar con los certificados correspondientes, y no se necesitan otros archivos.

Los archivos de certificado para la clave de seguridad


Si ha solicitado mdulos despus de haber recibido su clave de seguridad v6, con lo que recibir los archivos de certificado que coinciden con su clave de seguridad. El certificado se activa el mdulo dentro del software EnCase comparando el nmero de serie de claves de seguridad con el ID contenida en el certificado. Puesto que un certificado puede contener ms de un identificador de seguridad, una organizacin puede presentar los IDs de varias claves de seguridad, y recibir un certificado por mdulo para todos los investigadores a utilizar. Antes de pedir un certificado, determinar los nmeros de identificacin de clave de seguridad de la siguiente manera: 1.Con una clave de seguridad en su lugar, abrir el programa EnCase 2.En la barra de men superior, haga clic en Ayuda y seleccione Acerca de EnCase 3.El clave de seguridad ID (ID Dongle) aparece en la parte inferior del panel izquierdo

Traducido por Sykrayo Espaa

EnCase Version 6.12 Modules Manual Este es el nmero que se necesita para dar a Servicio al Cliente al pedir el mdulos.

4.Cuando reciba el archivo de certificado de servicio al cliente, guarde el archivo cert para C: \ Program \ Archivos EnCase6 \ Certificados

Verificacin de los mdulos estn instalados


Para comprobar los mdulos que estn instalados, haga lo siguiente: 1.En el men Ayuda, seleccione Acerca de EnCase. Mdulos instalados 2.All se muestran en el panel derecho:

Traducido por Sykrayo Espaa

Introduction

Limitaciones del mdulo de 64 bits


Al utilizar la versin de 64 bits del software EnCase, hay algunas limitaciones importantes en la funcionalidad: EDS no se admite PDE no se admite VFS no se admite Se admite el mdulo SE FastBloc, sin embargo, slo adquisiciones USB son compatibles Si usted tiene un equipo de 64 bits, puede instalar un sistema operativo de 32 bits y la versin de 32 bits del software EnCase para remediar las limitaciones.

EnCase mdulo de descifrado suite


El mdulo de EnCase descifrado Suite permite a los investigadores a descifrar archivos y carpetas protegidos por varios mtodos: Sistema de cifrado de archivos de Microsoft (EFS) Protegidos por contrasea archivos PST de Microsoft Outlook Cifrada la informacin del Registro de Windows PC Encryption Guardian SafeBoot Encryption Utimaco SafeGuard Easy Encryption Cifrado de unidad BitLocker WinMagic SecureDoc Encryption GuardianEdge cifrado del disco duro Cifrado CREDANT S / MIME cifrado NSF Encryption Lotus Notes Encryption Local El mdulo de EDS apoya a nivel local y de dominio autentica a los usuarios la EFS Microsoft. El mdulo funciona con los sistemas operativos capaces de cifrar los datos con EFS, incluyendo Windows 2000 Professional, Windows 2000 Server, Windows XP Professional y Windows 2003 Server. Para Sistema operativo Windows 2000, los archivos de EFS y carpetas se puede descifrar automticamente si configurado correctamente en un dominio.

EnCase mdulo Emulador de disco fsico


El emulador de disco fsico puede montar cualquier evidencia EnCase apoyado como un dispositivo fsico emulado. Para obtener una lista de los formatos compatibles, consulte el manual del usuario EnCase. Cualquier sistema de archivos compatible con Windows se puede examinar en Windows como un dispositivo fsico conectado a la mquina. Si el sistema de archivos no es compatible con Windows (por ejemplo, ext2), el dispositivo seguir apareciendo en la gestin de disco.

Traducido por Sykrayo Espaa

EnCase Version 6.12 Modules Manual PDE se puede utilizar en conjuncin con VMware Estacin de trabajo para arrancar EnCase imgenes de los discos duros montados con PDE. Esto tambin proporciona a los investigadores con la capacidad de compartir archivos de evidencia que se ha accedido remotamente. Una vez montado, los medios de slo lectura est disponible para las aplicaciones nativas, el Explorador de Windows, o cualquier herramienta forense utilidad de Windows de terceros o equipo que reconoce los dispositivos locales. Algunos de la funcionalidad proporcionada usando software adicional incluye lo siguiente: Archivo talla utilidades Detectores de esteganografa El software de exploracin de virus Indexadores Word Los detectores de spyware software Undelete Detectores de Troya software de deteccin de cifrado

EnCase mdulo de sistema de archivos virtual


El mdulo de Sistema de archivos virtual EnCase permite a los investigadores para montar la prueba informtica como de slo lectura unidad de red sin conexin para su examen a travs del Explorador de Windows. En particular, esto permite a los investigadores muchas opciones en sus exmenes, incluyendo el uso de herramientas de terceros con la evidencia atendida por el programa EnCase. VFS permite al investigador visualizar los archivos en el Explorador de Windows que normalmente no pueden acceder por el sistema operativo, como el montaje, borrada y artefactos a nivel de sistema de archivos. Todos los formatos de archivo de pruebas y la imagen de ordenador compatibles con el software EnCase se pueden montar con VFS. Para los formatos soportados, por favor consulte el Manual de usuario EnCase. Vive la evidencia forense apoyado por VFS incluye Vista previa de la mquina local de los medios extrables Vista previa de la mquina local a travs del mdulo SE FastBloc Vista previa de la mquina local a travs FastBloc Classic, FE, y bloqueadores de hardware LE Cross-over previsualizacin de cable de red Local previsualizacin Palm Pilot EnCase Enterprise Edition y el campo de la inteligencia Modelo previsualizacin red activa La caracterstica VFS Server permite a los investigadores a servir a la unidad de disco virtual montado a otros investigadores, agentes de casos, abogados, etc, en la red de rea local para su revisin en el Explorador de Windows.

Traducido por Sykrayo Espaa

Introduction

FastBloc SE mdulo
FastBloc Software Edition ofrece una coleccin de utilidades de controladores de disco, como el mismo seguro objeto multimedia de vista previa y la adquisicin de Windows a un archivo de pruebas EnCase actualmente disponible de hardware FastBloc y limpieza y restauracin de las unidades conectadas a la tarjeta controladora PCI. IDE, SCSI, USB y FireWire unidades conectadas al apoyados tarjetas controladoras PCI son escritura bloqueada cuando se configura como tal por el mdulo. Limpiar y restaurar de las unidades conectadas al controlador tambin es posible, con los lgicos de restauracin conservando el mismo valor hash como la unidad original. El mdulo SE FastBloc tambin permite el acceso a las reas de una unidad sospechosa en Windows (esta funcionalidad no est disponible utilizando un bloqueador de escritura de hardware con el programa EnCase en HPA y DCO Windows).

Mdulo de CD / DVD
Con este mdulo el usuario puede escribir entradas, informes y otros datos seleccionados en un CD o DVD. Esto incluye la capacidad de seleccionar y grabar archivos de EnCase evidencia y archivos de evidencia lgica, o escribir a los medios de comunicacin en la adquisicin.

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

CAPTULO 2

EnCase descifrado suite


Visin de conjunto EDS Caractersticas Matriz del producto Usando EDS Tab almacenamiento seguro Almacenamiento seguro Artculos Soporte SafeBoot Encryption (Encriptacin de disco) Utimaco SafeGuard Easy Soporte Encryption Soporte de cifrado BitLocker (cifrado de volumen) WinMagic SecureDoc Soporte Encryption GuardianEdge cifrado del disco duro Conocido Limitacin

Soporte CREDANT Encryption (Encriptacin basada en archivo) Soporte de cifrado CREDANT (Desconectado Escenario) S / MIME Support Encryption NSF Soporte Encryption Lotus Notes admite el cifrado local Tecla Windows Arquitectura Diccionario Attack

Traducido por Sykrayo Espaa

12

EnCase Version 6.12 Modules Manual

Visin de conjunto
EnCase descifrado Suite (EDS) permite el descifrado de archivos y carpetas cifrados por los usuarios de dominio y usuarios locales, incluyendo: De disco y cifrado de volumen Microsoft BitLocker GuardianEdge cifrado en cualquier lugar GuardianEdge Plus Utimaco SafeGuard Easy McAfee SafeBoot El archivo cifrado basado en Microsoft Sistema de cifrado de archivos (EFS) CREDANT Mobile Guardin Archivos montados PST (Microsoft Outlook) S / MIME de correo electrnico cifrado en archivos PST NSF (Lotus Notes) Almacenamiento protegido (ntuser.dat) colmena Seguridad Active Directory 2003 (ntds.dit)

EDS Caractersticas
De disco y cifrado de volmenes
Cuando se agrega un archivo de prueba (. E01) o un nuevo disco fsico a un nuevo caso, el registro de inicio maestro (MBR) se comprueba con firmas conocidas para determinar si el disco respectivo es cifrada. Si el disco est cifrado, EnCase pide las credenciales de usuario (consulte la matriz de productos en la pgina 13 para obtener una lista credenciales requeridas para productos de cifrado admitidos). Si se introducen las credenciales correctas, EnCase descifra el disco. No ataques a contraseas son compatibles. EDS apoya estos productos de cifrado de disco / volumen: Microsoft BitLocker GuardianEdge cifrado en cualquier lugar Utimaco SafeGuard Easy McAfee SafeBoot

Traducido por Sykrayo Espaa

EnCase Decryption Suite

13

Encriptacin basada en archivo


El cifrado se puede aplicar en el nivel de archivo o carpeta. Si los archivos o carpetas estn encriptadas, EnCase pide credenciales (ver tabla de productos en la pgina 13 para obtener una lista credenciales requeridas para productos de cifrado admitidos). Si se introducen las credenciales correctas, EnCase descifra los archivos o carpetas. EDS apoya estos productos de cifrado basados en archivos: Microsoft Sistema de cifrado de archivos (EFS) CREDANT Mobile Guardin

Los archivos montados


EnCase puede revisar archivos montados y la bsqueda de datos cifrados. Si los archivos instalados se cifran, EnCase solicita las credenciales del usuario (ver tabla de productos en la pgina 13 para obtener una lista credenciales requeridas para productos de cifrado admitidos). Si se introducen las credenciales correctas, EnCase descifra los archivos montados. Estos tipos de archivos montados son compatibles: PST (Microsoft Outlook) NSF (Lotus Notes) Almacenamiento protegido (ntuser.dat) Seguridad colmena Active Directory 2003 (ntds.dit)

Matriz del producto


La siguiente tabla muestra los productos de cifrado compatibles con EDS y las credenciales necesarias para dar con el fin de utilizarlos con EnCase. Producto
GuardianEdge Encryption Plus GuardianEdge cifrado en cualquier lugar Utimaco SafeGuard Easy McAfee SafeBoot Online SafeBoot Desconect ado

Contrase Usuar Dominio a io


X X

Mquina

Servido Cami r no

Otro

Algoritmo

Algoritmo

Traducido por Sykrayo Espaa

14

EnCase Version 6.12 Modules Manual


CREDANT Mobile Tutor Online Mobile Guardin Descone ctado Microsoft BitLocker Microsoft Sistema de cifrado de archivos (EFS) Post al Lotus correo S / MIME X X Mquina CREDANT ID X Escudo CREDANT ID

Clav e Keys

X X X Archivo ID PFX

Usando EDS
Analizar EFS
Este comando examina un volumen de datos y los procesa. Tambin puede ejecutar Analizar EFS del almacenamiento seguro, en ese caso, se ejecuta consecutivamente en todos los volmenes en un caso.

Traducido por Sykrayo Espaa

EnCase Decryption Suite 1.Haga clic en el volumen que desea analizar y haga clic en Analizar las EFS en el men desplegable.

15

2.La primera Analizar muestra el dilogo EFS. Haga clic en Siguiente.

Traducido por Sykrayo Espaa

16

EnCase Version 6.12 Modules Manual 3.El segundo Analizar muestra el dilogo de EFS con los documentos y la configuracin de ruta y los campos de ruta del registro de poblacin de forma predeterminada. Para configuraciones del sistema inusuales, datos, discos y otros sistemas operativos estos valores estarn en blanco. Usted puede modificarlos para sealar las carpetas de perfil de usuario y / o la ruta de registro.

4.Haga clic en Siguiente para iniciar la exploracin. 5.Cuando haya finalizado la exploracin, el cuadro de dilogo de estado EFS muestra informacin estadstica sobre las teclas que se encuentran y se descifra y recupera contraseas de registro.

Traducido por Sykrayo Espaa

EnCase Decryption Suite 6.Cuando haya terminado de revisar el estado de EFS, haga clic en Finalizar.
Nota: Analizar EFS tambin pueden aparecer al Syskey y contrasea pantallas de discos de recuperacin.

17

EFS de archivos y archivos de evidencia lgica (L01)


Para descifrar un archivo cifrado EFS se necesita lo siguiente: 1.El mdulo EDS EnCase 2.El juego $ EFS corriente. Esto es esencial, ya que contiene la clave de descifrado. Juego 3.A cifrar la clave privada. Esto puede ser los agentes clave de recuperacin o una clave de usuario. 4.file holgura puede ser necesaria si el tamao del archivo no es un mltiplo de 16. Esto se debe a que los archivos se descifran en trozos de 16 bytes.
Nota: Por ejemplo, un archivo de 17 bytes necesita 15 bytes de holgura con el fin de descifrar el ltimo fragmento. De lo contrario, slo mltiplos de 16 se descifran.

En la versin 6.11 EnCase, los escenarios para archivos de evidencia lgicas son diferentes a las versiones anteriores de EnCase: 1.El archivo est cifrado y la corriente $ EFS no se encuentra en la misma carpeta en la L01: el archivo no se puede descifrar. 2.El archivo est cifrado y la corriente $ EFS se encuentra en la misma carpeta: el archivo puede ser descifrado (Excepto para el resto del archivo, si la hay). 3.El archivo se descifra y la corriente $ EFS no est presente: el archivo sigue siendo descifrado. 4.El archivo se descifra y la corriente $ EFS se encuentra en la misma carpeta: el archivo se descifra dos veces.
Nota: La solucin en el caso 4 es deshabilitar EFS o eliminar la clave privada del almacenamiento seguro.

Desde la versin 6.11 en adelante, todos los escenarios anteriores se manejan con gracia, porque la corriente de $ EFS se aade internamente. Si el archivo est cifrado, la corriente de $ EFS se almacena de forma automtica con el archivo de metadatos. Si se descifra el archivo, la corriente de $ EFS no se almacena de forma automtica, ya que no se necesita. Esto no le impide el almacenamiento de la corriente por el ahorro especficamente a la LEF.
Nota: Si un archivo cifrado se descifra y se agrega, se indica y se muestra en el informe.

Tab almacenamiento seguro


Para organizar los datos de seguridad se reunieron con Analice EFS, EnCase incluye una pestaa de almacenamiento seguro, que muestra las contraseas, claves y otros elementos analizados a partir de los archivos de sistema y registro. Aunque la ficha est siempre presente en la interfaz, debe instalar el mdulo EDS para que la mayora de la funcionalidad.

Traducido por Sykrayo Espaa

18

Tab almacenamiento seguro y EFS

EnCase Version 6.12 Modules Manual

Para rellenar la ficha Almacenamiento seguro:

Traducido por Sykrayo Espaa

EnCase Decryption Suite 1.Ejecute Analizar EFS (vase la pgina 14). 2.Seleccione la ficha de almacenamiento seguro.

19

3.Haga clic en un elemento en el rbol de almacenamiento seguro para ver su contenido.

Ingrese Artculos
Introduzca Syskey
Puede introducir informacin Syskey antes de ejecutar el asistente de Anlisis de EFS, o posteriormente si el asistente se considerar ya completado. 1.Haga clic en la entrada de la raz de almacenamiento seguro. 2.Seleccione Introduce elementos de la lista desplegable, seleccione la ficha Syskey Enter. 3.Seleccione la ubicacin de la Syskey (por ejemplo, una ruta de archivo o un disquete) o introduzca la contrasea manualmente.

4.Haga clic en Aceptar.

Traducido por Sykrayo Espaa

20

EnCase Version 6.12 Modules Manual

Usuario Contrasea
Si conoce la contrasea de los usuarios: 1.Haga clic en la entrada de la raz de almacenamiento seguro. 2.Seleccione Introduce elementos de la lista desplegable, seleccione la ficha contrasea de usuario. 3.Introduzca la contrasea.

4.Haga clic en Aceptar. Si el Syskey est protegido y que no conoce la contrasea, un ataque en el archivo SAM para contraseas de usuario no tendr xito. Esta es una situacin poco frecuente. La mayora de las mquinas de Windows no tendrn un Syskey protegida. EDS incluye una opcin de ataque de diccionario para conseguir ms all de Syskey protegida. Puede obtener los archivos de diccionario de un nmero de fuentes. Para acceder a la configuracin, haga clic en la raz de almacenamiento seguro y seleccione Diccionario Attack. Durante el Analizar EFS de escaneo del registro, EnCase le avisa si el Syskey est protegido con contrasea, o se ha exportado a un disquete. En estos casos, la EFS Analizar asistente le pedir que introduzca la contrasea Syskey y / o insertar el disquete que contiene el Syskey o buscar la ubicacin del archivo de Syskey. El archivo de Syskey se llama startkey.key, y usted debe examinar todos los disquetes recogidos en la escena de la presencia de este archivo. Si se recupera el archivo Syskey en un disquete, se puede copiar / sin borrar de EnCase a la mquina de examen, y se puede navegar a la startkey.key ubicacin. Este proceso es el mismo que cuando se utiliza el disco de recuperacin de contrasea.

Password Recovery Disk


Windows XP y 2003 Server permiten a los usuarios locales para crear un disco de recuperacin que contiene la contrasea cifrada. El disco est diseado para permitir a los usuarios restablecer su contrasea si la olvida, sin perder todos sus archivos cifrados EFS y otras credenciales de seguridad importantes. El archivo se llama userkey.psw, y usted debe examinar disquetes recuperados en el lugar de la presencia de este archivo. 1.Con el disquete insertado o el archivo copiado a un disco duro, haga clic en la entrada de la raz de Almacenamient o seguro.

Traducido por Sykrayo Espaa

EnCase Decryption Suite 2.Seleccione Introduce elementos de la lista desplegable, a continuacin, seleccione la ficha Disco de recuperacin de contrasea.

21

3.Haga clic en el botn de opcin, archivo o disquete, donde se encuentra el archivo. 4.Ingrese el camino o navegue hasta l y, a continuacin, haga clic en Aceptar.

Archivo de clave privada


Si la contrasea de inicio de sesin no est disponible, se puede obtener la clave privada de administradores de dominio (PFX). Esto tambin funciona para la clave de usuario. Para exportar y usar la clave: 1.As administrador de dominio, haga doble clic C: \ Windows \ system32 \ certmgr.msc para iniciar la consola de administracin de Microsoft. 2.Localice la carpeta de certificados que contiene el certificado de administradores de dominio. 3.Right clic en el certificado. 4.from men Todas las tareas, haga clic en Exportar.

5.In el Asistente para exportacin de certificados, haga clic en Siguiente. 6.Haga clic en S, exportar la clave privada y, a continuacin, haga clic en Siguiente. 7.Accept el valor predeterminado para el formato de archivo de exportacin, haga clic en Siguiente. 8.Seleccione una ruta y el nombre de la clave (Esto asigna una extensin PFX.), A continuacin, haga clic en Siguiente. 9.When solicite, anote la contrasea introducida.
Nota: La contrasea no puede dejarse en blanco. Es necesario cuando se utiliza la tecla.

10. Haga clic en Siguiente. Una ventana de confirmacin muestra detalles sobre la exportacin. 11. Haga clic en Finalizar para completar la exportacin. 12. Haga clic en la entrada de la raz de almacenamiento seguro. 13. Seleccione Introducir elementos de la lista desplegable, a continuacin, seleccione la pestaa Archivo de clave privada.

Traducido por Sykrayo Espaa

22

EnCase Version 6.12 Modules Manual 14. Introduzca la ruta o navegue hasta l.

15. Introduzca la contrasea en el siguiente indicador, a continuacin, haga clic en Aceptar. Una pantalla de estado confirma la finalizacin con xito y se visualizar la clave privada en el seguro Ficha Almacenamiento.

Introduzca Certificado correo


Puede introducir un certificado. PFX utilizar para descifrar mensajes de correo electrnico S / MIME cifrados que se encuentran en los archivos PST. 1.Haga clic en la entrada de la raz de almacenamiento seguro. 2.Seleccione Introduce elementos de la lista desplegable, seleccione la ficha Correo Certificado Enter. 3.Ingrese la ruta al archivo. Certificado PFX y la contrasea.

4.Haga clic en Aceptar. 5.El. PFX cert se descifra y se guarda en lugar seguro.

Asociar seleccionado
Para asociar * nix usuarios con volmenes: 1.Seleccione la ficha de almacenamiento seguro. La casilla de verificacin junto al elemento o elementos que desea asociar 2.Haga clic. 3.Right haga clic en un elemento activado.

Traducido por Sykrayo Espaa

EnCase Decryption Suite Asociado 4.Seleccione Seleccionado en la lista desplegable.

23

5.Los muestra el dilogo Asociados.

6.Expand el rbol volmenes y seleccione los volmenes que desea asociar.

7.Haga clic en Aceptar.

Traducido por Sykrayo Espaa

24

EnCase Version 6.12 Modules Manual

Almacenamiento seguro Artculos


En la ficha Informe del panel de Vista que usted puede ver los detalles del elemento seleccionado actualmente en el almacenamiento seguro. Los puntos de vista de texto y Hex muestran los datos brutos. Estos artculos tienen las siguientes propiedades: Nombre Cifrado Tipo

Subtipo Contrasea Contrasea Escriba Los siguientes artculos son de inters: Alias: Estos son identificadores de seguridad (SID) que apuntan a una o ms entidades SID. Tienen una nombre y un comentario. Grupos: SID que apuntan a una o ms entidades SID. Ellos tienen un nombre y un comentario. Se trata de grupos definidos como administradores e invitados. Los usuarios SAM: Estos son usuarios locales. Los detalles aparecen en la ficha de informe del panel de visualizacin. Contraseas: Encontr examinador y contraseas adicionales aparecen aqu. Inicios de sesin neto: Son los usuarios locales. Los detalles aparecen en la ficha de informe del panel de visualizacin. Nix Usuario / Grupo: Usuarios / grupos Unix Lotus: Lotus Notes Certificados de correo electrnico: Se utilizan para S / MIME descifrado y verificacin de la firma. Credenciales disco: key cache persistente de productos de cifrado de disco / volumen Llaves Maestras: Cada usuario con una clave privada tiene una llave maestra que lo protege. La clave maestra en s est encriptada con un hash de la contrasea de Windows del usuario. Claves Privadas: Utilizado en el descifrado de archivos EFS Internet Explorer (IE) contraseas: Las contraseas de IE 6 Secretos Poltica: Son secretos de LSA. Incluyen la contrasea por defecto y las contraseas de los servicios. Algunos de estos secretos no son claves, pero los datos binarios colocados all por el sistema y las aplicaciones. SAM Keys / claves Poltica / DPAPI / CERT: Para uso interno

Soporte SafeBoot Encryption (Encriptacin de disco)


EnCase proporciona una forma para que las veas SafeBoot discos duros cifrados durante una

Traducido por Sykrayo Espaa

EnCase Decryption Suite investigacin. Esta funcin slo est disponible para un usuario con una EDS cert habilitado.
Nota: Si no se encuentra ninguna EDS cert o los archivos DLL de integracin no se ha instalado correctamente, el dispositivo fsico se montar, pero la estructura de archivos de cifrado no puede ser analizado. Desde SafeBoot sobrescribe el MBR original solamente para el disco de arranque, siempre escuchar el disco de arranque y luego cualquier otro disco en una configuracin de la mquina multi-disco.

25

1. Utilice el Asistente para agregar dispositivos para agregar el dispositivo fsico.

Traducido por Sykrayo Espaa

26

EnCase Version 6.12 Modules Manual 2.Cuando se le solicite, seleccione el algoritmo de cifrado adecuado de la lista, a continuacin, introduzca un nombre de usuario, nombre del servidor, nombre de la mquina, y la contrasea en el modo en lnea.

La unidad cifrada SafeBoot se analiza. El dilogo de conexin es similar. La casilla de verificacin en lnea est en blanco y slo el nombre de la mquina, el campo Transferir bases de datos y algoritmos estn disponibles:

3.Guarde el caso una vez descifrado con xito es completo. Las credenciales especificadas en el cuadro de dilogo se guardan en lugar seguro, eliminando la necesidad de ingresar de nuevo.

Traducido por Sykrayo Espaa

EnCase Decryption Suite

27

Esta ilustracin muestra los resultados de un descifrado con xito. El panel rbol muestra una SafeBoot carpeta, el panel de la tabla contiene una lista de archivos descifrados, mientras que el panel de texto muestra el contenido de un archivo descifrado.

4.El figura siguiente muestra los mismos archivos que aparecen cifrados.

Traducido por Sykrayo Espaa

28

EnCase Version 6.12 Modules Manual

Algoritmos de cifrado compatibles SafeBoot


Encierra funcin de descifrado SafeBoot apoya estos algoritmos de cifrado: AES256 FIPS AES256 DES RC5 - 12 Rondas RC5 - 18 Rondas

Utimaco SafeGuard Easy Soporte Encryption


EnCase proporciona una forma para que las veas SafeGuard Easy discos duros cifrados (SGE) durante una investigacin. Esta funcin slo est disponible para un usuario con una EDS cert habilitado.
Nota: Si no se encuentra ninguna EDS cert o los archivos DLL de integracin no se ha instalado correctamente, el dispositivo fsico se montar, pero la estructura de archivos de cifrado no puede ser analizado. Desde SafeGuard Easy sobrescribe el MBR original, slo para el disco de arranque, slo el disco de arranque puede ser descifrado en EnCase.

1.Use el Asistente para Agregar dispositivo para agregar el dispositivo fsico. 2.EnCase detecta el dispositivo y muestra el nombre de usuario y contrasea de dilogo.

3.Ingrese un nombre de usuario y contrasea en el modo en lnea vlida. 4.Haga clic en Aceptar. 5.Once un descifrado con xito es completo, salvo el caso. Las credenciales especificadas en el cuadro de dilogo se guardan en lugar seguro, eliminando la necesidad de ingresar de nuevo.
Nota: Si la contrasea est vaca, se abre el asistente de desafo / respuesta. Para obtener ms informacin, consulte Utimaco desafo / respuesta de Apoyo en la pgina 27.

Apoyado Utimaco SafeGuard Easy Algoritmos de cifrado


Encierra Utimaco SafeGuard funcin de descifrado Fcil apoya estos algoritmos de cifrado:

Traducido por Sykrayo Espaa

EnCase Decryption Suite AES192 AES256 DES 3DES

29

Utimaco desafo / respuesta de Apoyo


Utimaco tiene un mtodo alternativo para descifrar los datos usando un desafo / cdigo de respuesta. Una vez que el cdigo est autenticado, EnCase devuelve la clave y los datos adicionales (tales como los sectores cifrados) necesarias para descifrar los datos. 1.In el dilogo de credenciales SGE, introduzca un nombre de usuario pero deja la contrasea en blanco.

2.Haga clic en Aceptar. Dilogo de respuesta de desafo 3.A muestra el cdigo de desafo en azul. Mantenga este dilogo abierto mientras realiza los pasos siguientes.

Traducido por Sykrayo Espaa

30

EnCase Version 6.12 Modules Manual 4.Log sesin como administrador. En la pgina de Inicio de Windows, haga clic en Todos Programas Utimaco SafeGuard Easy Asistente cdigo de respuesta.

5.Los Aparece el dilogo Bienvenido.

Traducido por Sykrayo Espaa

EnCase Decryption Suite 6.Haga clic en Siguiente para comenzar a generar una contrasea de un solo uso (OTP). El dilogo Cuenta Autorizacin muestra.

31

7.Haga clic en Siguiente. El cuadro de dilogo ID de usuario remoto muestra.

8.Ingrese el ID de usuario que se utiliz para obtener el cdigo de desafo, a continuacin, haga clic en Siguiente.

Traducido por Sykrayo Espaa

32

EnCase Version 6.12 Modules Manual Aparece el dilogo Cdigo reto 9.El. Introduzca el cdigo de desafo generado por EnCase desde el paso 3.

10. Haga clic en Siguiente. El cuadro de dilogo Remote Command muestra.

11. Seleccione un tiempo de inicio de sesin, haga clic en Siguiente.

Traducido por Sykrayo Espaa

EnCase Decryption Suite 12. El cuadro de dilogo Resumen muestra el cdigo de respuesta en azul.

33

13. En el cuadro de dilogo EnCase desde el paso 3, seleccione la longitud del cdigo y escriba el cdigo de respuesta para permitir el descifrado de los datos encriptados seleccionado.

14. Haga clic en Aceptar. 15. En el cuadro de dilogo Resumen de la etapa 12, haga clic en Cerrar para cerrar el Asistente de cdigo de respuesta fcil SafeGuard, o haga clic en Nuevo para generar un nuevo cdigo de respuesta de un cdigo de desafo diferente.

Traducido por Sykrayo Espaa

34

EnCase Version 6.12 Modules Manual

Utimaco SafeGuard Easy Encryption limitacin conocida


Utimaco SafeGuard Easy trata de una mquina con mltiples unidades de disco duro como un disco duro que consiste en todos los sectores de todos los discos duros fsicos. Por el contrario, EnCase examina cada unidad de disco duro de forma individual. Esto crea un problema: SafeGuard Easy sobrescribe slo el Master Boot Record (MBR) del disco de arranque Slo el disco de arranque se detecta como encriptado y desencriptado (dadas las credenciales correctas se introducen) Esto significa EnCase apoyo a SafeGuard Easy est limitada a descifrar slo el disco de arranque, ya que esta es la nica unidad que detecta como encriptado mediante el examen de la RBM.

Soluciones provisionales
Hay dos soluciones para este problema. La primera solucin: 1.Obtain ambos discos. El disco interno de la celebracin de la SafeGuard Easy kernel (disco 1), es decir, el disco no sea de arranque externo (disco 2) 2.Abra el kernel en el disco 1. A continuacin, puede acceder al disco 2. La segunda solucin: 1.Obtain un archivo de copia de seguridad SafeGuard Enterprise (SGN) kernel del disco 1. 2.Restore disco 1 en un disco vaco. 3.Add el disco no sea de arranque como disco 2. La informacin en el kernel recin restaurada le da acceso al disco 2.

Soporte de cifrado BitLocker (cifrado de volumen)


Microsofts BitLocker est disponible en Windows Vista Enterprise y Ultimate. Se cifra un volumen entero usando uno de los tres modos de almacenar la clave de cifrado: Modo de funcionamiento transparente (requiere Trusted Platform Module [TPM]) Modo de autenticacin de usuario (requiere TPM) El modo de memoria USB (no requiere TPM) Cuando BitLocker est habilitado, se crea un archivo de gran tamao que contiene todos sin asignar espacio (UAC), menos 6 Gigabytes.

Llave de la recuperacin y la contrasea de recuperacin de archivos


La clave de recuperacin es un archivo con un nombre GUID (por ejemplo, 67FA3445-29D7-4AB58D0F7F69B88D1C04.BEK). La recuperacin de la contrasea es un Encryption Standard (AES) de 256 claves avanzada en texto

Traducido por Sykrayo Espaa

EnCase Decryption Suite sin formato (. TXT).

35

Traducido por Sykrayo Espaa

36

EnCase Version 6.12 Modules Manual Estas teclas se corresponden con volumen GUID y clave Protector GUID y por lo general se almacenan en una memoria flash extrable.

Descifrar un dispositivo cifrado BitLocker Usando llave de la recuperacin


1.Add un dispositivo de cifrado BitLocker en EnCase utilizando Agregar dispositivo o cada y arrastre. Aparece el dilogo Credenciales de BitLocker 2.Los.

Botn de opcin Recovery Key 3.El est seleccionada por defecto. Busque la ubicacin del archivo. BEK clave de recuperacin. 4.Haga clic en Aceptar.

Descifrar un dispositivo cifrado BitLocker Utilizando Password Recovery


1.Add un dispositivo de cifrado BitLocker en EnCase utilizando Agregar dispositivo o cada y arrastre.

Traducido por Sykrayo Espaa

EnCase Decryption Suite Aparece el dilogo Credenciales de BitLocker 2.Los.

37

3.Seleccione el botn de opcin de recuperacin de contrasea, introduzca la contrasea de recuperacin. 4.Haga clic en Aceptar. Despus de una autenticacin exitosa, EnCase guarda las credenciales de almacenamiento seguro, por lo que no tiene que volver a entrar en la prxima vez que abra la caja guardada.

WinMagic SecureDoc Soporte Encryption


Usted puede acceder al disco duro de un sistema de cifrado con software SecureDoc. EnCase soporta SecureDoc versin 4.5 y superiores.

Traducido por Sykrayo Espaa

38

EnCase Version 6.12 Modules Manual Hay tres maneras de agregar discos SecureDoc de EnCase: Vista previa de la unidad de disco duro Utilice el Asistente para agregar dispositivos Arrastre los archivos de los datos probatorios en EnCase Una vez que obtenga una vista previa de un disco de mquinas o abre un expediente de prueba, el Master Boot Record (MBR) se compara con firmas conocidas para determinar si el disco est cifrado. La firma se SecureDoc trastornos musculoesquelticos.

Cada usuario SecureDoc tiene un archivo de clave que puede contener varias claves cifradas con una contrasea asociada con el archivo. SecureDoc usuarios tienen ya sea administrador o privilegios de usuario. Los administradores pueden cifrar / descifrar unidades, restablecer contraseas, aadir claves a un archivo de clave, etc Los usuarios slo pueden cambiar sus contraseas Se proporciona un instalador para colocar estos archivos DLL de integracin en % EnCase% \ Lib \ WinMagic \ SecureDoc: SDForensic.dll SDC.dll SDUser.dll
Nota: La integracin es compatible con la versin de 32 bits de EnCase.

1.Cuando agregar un disco SecureDoc, Encajar solicita tres credenciales:

un. La ruta de acceso al archivo que contiene las claves de usuario (extensin. Dbk) b. La contrasea asociada con el archivo de clave

Traducido por Sykrayo Espaa

EnCase Decryption Suite

39

c. La ruta a la carpeta del disco de emergencia correspondiente al disco fsico en


examen

2.Para ingresar las credenciales, haga clic en Aceptar. 3.If las credenciales son correctas, EnCase descifra el disco y analiza la estructura del sistema de archivos. 4.Cuando se guarda el caso, de los rangos de los sectores cifrado y el MBR originales se conservan en el archivo del caso de las unidades de preestreno, as como archivos de evidencia. La vista del disco muestra la informacin codificada en el texto y Hex paneles de las unidades encriptadas. La vista del disco muestra la informacin descifrada en el texto y Hex paneles para unidades descifrados.

Adquirir el dispositivo
A la adquisicin local de los resultados a nivel de dispositivos fsicos en la adquisicin de todos los volmenes lgicos descifrados. La adquisicin de la empresa en los resultados a nivel de dispositivos fsicos en la adquisicin de todos los sectores en un estado encriptado.
Nota: Para obtener los datos descifrados, lleve a cabo una adquisicin local en el resultado de la adquisicin remota.

Nota: SecureDoc 4.5 no permite para permitir que el SCSI_PASS_THROUGH; debido a esto, los datos de todos los sectores se descifra por el controlador de filtro de SecureDoc durante una adquisicin fsica.

Usted puede adquirir ya sea: Todos los volmenes lgicos mediante la adquisicin a nivel fsico Un volumen lgico individuo mediante la adquisicin en el nivel lgico La adquisicin completado contiene los volmenes descifrados. Usted no necesita una contrasea para acceder a la estructura de archivos.

Traducido por Sykrayo Espaa

40

EnCase Version 6.12 Modules Manual

GuardianEdge cifrado del disco duro Conocido Limitacin


Con GuardianEdge cifrado de disco duro (GEHD) versin 8.6 y superiores, no puede utilizar las credenciales de administrador de cliente para autenticar a una unidad fsica en EnCase. Mientras que la adicin de la unidad de disco duro fsica (en oposicin a una lgica de adquisicin), aparece una pantalla de autenticacin. Si se introduce la cuenta del cliente administrador, la contrasea y el dominio, la pantalla de autenticacin aparece varias veces sin tener que pasar a la siguiente etapa. Debido GEHD tiene administradores de clientes sin dominio, es necesario utilizar un campo predeterminado para el dominio: 1.Asegrese tiene el mdulo EnCase descifrado Suite con soporte Tutor PC instalado (Ayuda Acerca de EnCase).

2.In el campo Dominio, introduzca EA # DOMINIO como la cuenta de administrador de clientes. Para obtener ms informacin, consulte el artculo de Knowledge Base 00002281 en el GuardianEdge Atencin al cliente Portal (https://na4.salesforce.com/sserv/login.jsp?orgId=00D300000001ZQU).

Soporte CREDANT Encryption (Encriptacin basada en archivo)


EnCase proporciona una forma de acceder a los datos CREDANT-cifrados en dispositivos Windows.
Nota: Usted puede obtener el instalador API CREDANT de Soporte Tcnico CREDANT. Realice la instalacin, y luego comenzar el examen.

EnCase revisa sus archivos montados y busca datos CREDANT cifrados (archivo CredDB.CEF). Si encuentra estos datos, aparece un dilogo de inicio de sesin.

Traducido por Sykrayo Espaa

EnCase Decryption Suite

41

Dilogo 1.El rellena con un nombre conocido por usuario y contrasea, servidor, ID de la mquina, y el Escudo CREDANT ID (SCID). Archivos CREDANT se procesan y se descifran sin ms interaccin, ya que las credenciales son correctas.

Traducido por Sykrayo Espaa

42

EnCase Version 6.12 Modules Manual El dilogo de conexin es similar. La casilla de verificacin en lnea est en blanco y el ID de la mquina y los campos SCID no estn disponibles.

2.Guarde el caso una vez descifrado con xito es completo. Las credenciales especificadas en el cuadro de dilogo se guardan en lugar seguro, eliminando la necesidad de volver a entrar en ellos. La siguiente ilustracin muestra los resultados de un descifrado con xito:

Traducido por Sykrayo Espaa

EnCase Decryption Suite El panel de rbol muestra una carpeta CREDANT El panel de tabla contiene una lista de archivos descifrados El panel de texto muestra el contenido de un archivo descifrado

43

La siguiente ilustracin muestra los mismos archivos que aparecen sin cifrar.

Traducido por Sykrayo Espaa

44

EnCase Version 6.12 Modules Manual

Algoritmos de cifrado CREDANT compatibles


Encierra funcin de descifrado CREDANT apoya estos algoritmos de cifrado: AES128 AES256 3DES Rijndael 128 Rijndael 256 Blowfish

Soporte de cifrado CREDANT (Desconectado Escenario)


Si la mquina que se investigue no est en la red con el servidor CREDANT, debe obtener las llaves CREDANT y almacenarlos en un lugar de fcil acceso a la mquina examinador. Antes de comenzar: Debe instalar el instalador Biblioteca CREDANT para ejecutar la utilidad de los archivos DLL correspondientes. Usted puede obtener el programa de instalacin desde el soporte tcnico CREDANT. Debe tener EnCase suite descifrado instalado en el dongle examinador que descifrar el Datos CREDANT cifrados. Usted debe obtener la direccin del CREDANT Mobile guarda (CMG) servidor de dispositivos. Usted debe obtener un nombre de usuario y una contrasea. El administrador CREDANT debe tener privilegios de administrador forenses, segn se especifica en la interfaz de Web Server para CMG CMG v5.4 y servidores posteriores. El administrador debe tener privilegios de administrador de seguridad para el servidor v5.3. Usted debe obtener los administradores de dominio de inicio de sesin (por CMG 6.0 y servidores posteriores solamente), el ID de la mquina para el dispositivo de destino (MUID), el Escudo CREDANT ID (SCID), el nombre de usuario que el material de claves est siendo descargado, y la contrasea utilizar para cifrar el archivo de salida. bin. 1.At un equipo que tiene la comunicacin con el servidor CREDANT, ejecute el CEGetbundle.exe utilidad desde el smbolo del sistema de Windows. CEGetBundle.exe es suministrada por CREDANT en el instalador Biblioteca CREDANT, que tambin instala las DLL necesarias para el descifrado. Copie el archivo DLL y MAC integracin al dispositivo de destino tambin. 2.Supply los parmetros de la siguiente manera: CEGetBundle [-L] XURL-aAdminNameAAdminPwd [DAdminDomain] [-dDuid] [-sScid] [-unombreDeUsuario]-oOutputFile-oOutputFileIOutputPwd
-L URL El modo tradicional de trabajar con pre 5.4 instalaciones de servidor Dispositivo URL del servidor (por ejemplo, https://xserver.credant.com:8081/xapi) Nombre de usuario Administrador Contrasea de administrador

ADMINNAME Adminpwd

Traducido por Sykrayo Espaa

EnCase Decryption Suite


AdminDomain Administrador de dominio (opcional: Slo es necesario si el servidor CMG est configurado para soportar mltiples dominios) ID de la mquina para el dispositivo de destino (tambin conocido como el nico ID o nombre de host) Escudo CREDANT ID (tambin conocido como DCID o Dispositivo ID) Nombre del administrador forense Archivo para guardar el material clave en Contrasea para cifrar el archivo de salida

45

MUID

SCID Nombre de usuario OutputFile OutputPwd

He aqu un ejemplo de comando: cegetbundle-L-Xhttps :/ / CredantServer: 8081/xapi aAdministrator-Achangeit-dCredantWorkstation.Credant.localsCI7M22CU - uAdministrator-oC: \ CredantUserKeys.bin-iChangeIt 3.Coloque el archivo. Bin descargado desde el servidor de CREDANT en un camino de acceso desde la mquina examinador. Abra EnCase y crear un caso nuevo o abrir uno existente. Debe tener EnCase suite descifrado instalado en el equipo examinador que descifra los datos cifrados CREDANT.
Nota: En el modo tradicional, debe ejecutar esta utilidad para cada usuario especfica para la investigacin en el dispositivo de destino y especificar el mismo archivo de salida. Las claves para cada usuario se anexan a este archivo de salida.

4.Acquire un dispositivo con archivos cifrados CREDANT, o cargar un archivo de pruebas en el caso. El Ingrese muestra el dilogo Credenciales y le solicita slo el nombre de usuario, contrasea, servidor de archivos sin conexin, el ID de la mquina, y el escudo CREDANT ID Informacin del servidor / (SCID).
Nota: En el modo sin conexin, la nica informacin que debe proporcionar es la contrasea y el servidor / fuera de lnea Servidor de archivos (la ruta completa y el nombre del archivo. Bin descargado mediante la utilidad CEGetBundle.exe).

Cuando EnCase descifra archivos cifrados CREDANT, la informacin clave se coloca en el almacenamiento seguro en EnCase, y se guarda con el caso. Usted no tiene que volver a introducir esta informacin.

Archivos CREDANT y archivos de evidencia lgica (L01)


Para descifrar un archivo cifrado EFS se necesita lo siguiente: 1.El mdulo EDS EnCase Archivo CredDb.CEF 2.El residen en la carpeta. Esto es esencial, ya que contiene la informacin para llegar a la clave de descifrado. En las versiones anteriores a 6.12 EnCase, hay diferentes escenarios de archivos de evidencia lgica de versiones anteriores de EnCase: 1.El archivo est cifrado y el archivo CredDB.CEF no se encuentra en la misma carpeta en la L01: el archivo no se puede descifrar. 2.El archivo est cifrado y el archivo CredDB.CEF se encuentra en la misma carpeta: el archivo se puede descifrar. 3.El archivo se descifra y el archivo CredDB.CEF falta: el archivo sigue siendo descifrado.

Traducido por Sykrayo Espaa

46

EnCase Version 6.12 Modules Manual 4.El archivo se descifra y la corriente CredDB.CEF se encuentra en la misma carpeta: el archivo se descifra dos veces.
Nota: La solucin en el caso 4 es cancelar el dilogo Credenciales CREDANT o eliminar el Teclas CREDANT del almacenamiento seguro.

Desde la versin 6.12 en adelante, todos los escenarios anteriores se manejan con gracia, porque el archivo CredDB.CEF se aade internamente. Si el archivo est cifrado, la corriente CredDB.CEF se almacena de forma automtica con el archivo de metadatos. Si se descifra el archivo, la corriente CredDB.CEF no se almacena de forma automtica, ya que no se necesita. Esto no le impide el almacenamiento de la corriente por el ahorro especficamente a la LEF.
Nota: Si un archivo cifrado se descifra y se agrega, se indica y se muestra en el informe.

S / MIME Support Encryption


El EnCase S / MIME Support Encryption proporciona la capacidad para descifrar S / MIME mensajes de correo electrnico cifrados que se encuentran en los archivos PST. Correo electrnico enviado o recibido con las extensiones de archivo. Pst, mbox y. Apoyo edb el S / MIME PKCS # 7 estndar. Debe tener certificados PFX PKCS 12 (standard) instalados antes del anlisis. PST, EDB y MBOX contenedores correo son compatibles. Para descifrar S / MIME de los datos: 1.Abra o crear un caso y entrar de almacenamiento seguro. 2.Haga clic en una carpeta en el panel izquierdo. Aparecer un men desplegable.

Traducido por Sykrayo Espaa

EnCase Decryption Suite 3.Seleccione Introduce elementos. El Enter abre la ventana Objetos.

47

4.Seleccione la ficha Certificado correo Intro.


Nota: El formato del certificado slo es permitido. PFX.

5.Ingrese la ruta al certificado PFX y la contrasea y, a continuacin, haga clic en Aceptar.

El PFX cert se descifra y se guarda en lugar seguro. S / MIME descifrado y verificacin de firma que sucede en el fondo. Dada la contrasea correcta, el certificado se almacena en almacenamiento seguro en la carpeta Certificados E-Mail. Despus de importar los certificados necesarios en el almacenamiento seguro, puede analizar los archivos contenedores de correo electrnico mediante la funcin de estructura de archivos Ver en la entrada View.

Traducido por Sykrayo Espaa

48

EnCase Version 6.12 Modules Manual S / MIME Email contenidos de certificados se muestran as en almacenamiento seguro:

Traducido por Sykrayo Espaa

EnCase Decryption Suite

49

Cuando el anlisis se ha completado con xito y una lista de directorios muestra. En la ilustracin, la carpeta tiene derecho smime.p7m (S / MIME de datos se presenta como un archivo adjunto de correo electrnico). En vista de los comentarios, el texto del mensaje se muestra en el panel de texto, mientras que los mensajes de correo electrnico archivos adjuntos aparecen en el panel de la tabla.

Traducido por Sykrayo Espaa

50

EnCase Version 6.12 Modules Manual Ver y trabajar con el contenido de la ficha Registros.

Solucin de problemas de S / MIME descifrado Error


Si no se puede descifrar, puede comparar ver las entradas con registros ven a tratar de encontrar el error.

Traducido por Sykrayo Espaa

EnCase Decryption Suite Entradas de vista:

51

Registros Vista:

Traducido por Sykrayo Espaa

52

EnCase Version 6.12 Modules Manual

Descifrar S / MIME mensajes de correo electrnico en un archivo de prueba creado en Windows Vista
Usted no puede descifrar S / MIME mensajes de correo electrnico en un archivo de datos creado en Windows Vista utilizando un examinador instalado en Windows XP o versiones anteriores. Esto se debe a CryptoAPI en Windows Vista (criptografa de nueva generacin, o GNC) no es compatible con XP. As que si un archivo de datos creado en Vista contiene S / MIME mensajes de correo electrnico, debe realizar el examen para descifrarlos en un equipo con Windows Vista y, dado que los certificados apropiados estn disponibles.

NSF Soporte Encryption


El cliente de correo electrnico Lotus Notes tiene seguridad incorporada en el producto. Notas fue el primer producto de software ampliamente adoptado para utilizar la criptografa de clave pblica para el cliente-servidor y servidor-servidor de autenticacin y el cifrado de los datos, y sigue siendo el producto con la mayor base instalada de usuarios de PKI. La suite puede descifrar documentos cifrados NSF EnCase y enviarlos a los destinatarios en el mismo servidor Domino. Cada usuario del servidor tiene un archivo de ID que contiene un usuario: clave privada de cifrado clave pblica la contrasea informacin de recuperacin de contrasea Tambin cuenta con un archivo NSF que representa la caja de los usuarios en formato 8.3 en la ruta predeterminada <domino instalacin folder \ data \ Mail \ <usuario>. nsf.

Recuperacin contraseas NSF

de

Para recuperar la contrasea de recuperacin, debe tener derechos administrativos adecuados en el servidor Domino.

Traducido por Sykrayo Espaa

EnCase Decryption Suite 1.Abra el servidor Domino.

53

2.Inicie sesin en que el administrador del servidor.

Aceptar 3.Click. La lista de ID de contrasea.

4.Haga clic en Aceptar.

Traducido por Sykrayo Espaa

54

EnCase Version 6.12 Modules Manual La contrasea de recuperacin muestra.

5.Haga clic en Aceptar y definir los usuarios autorizados para generar contraseas de recuperacin.

Lotus Notes admite el cifrado local


EnCase puede descifrar un buzn de usuario de Lotus Notes locales (NSF sufijo de archivo). El buzn de correo local es una rplica del buzn cifrado correspondiente en el servidor Domino. Cada usuario del servidor Domino tiene un archivo NSF correspondiente que representa que los usuarios de buzones en formato 8.3. La ruta predeterminada es <Domino Instalacin carpeta> \ Data \ Mail \ <usuario>. Nsf. El cliente de Lotus Notes est configurado para utilizar el buzn de correo local. La sincronizacin entre los buzones de correo locales y el servidor se produce de acuerdo con un programa de replicacin determinado por el administrador de Domino. Cifrado del correo local no es obligatorio, pero es aconsejable, ya que sin el cifrado de una persona familiarizada con la estructura de archivos NSF podra leer el correo electrnico sin necesidad de Lotus Notes. Cifrado se produce a nivel de bloque.

Determinacin de cifrado buzn local


Busque en la cabecera (las primeras 0x400 bytes) en 0x282 offset. Si el byte es 0x1, el buzn de correo es localmente encriptada.

Analizar un buzn local cifrado


1.Obtain el archivo de ID correspondiente del servidor Domino. Todos los archivos de ID de usuario se copian en el servidor, ya sea en el disco como un archivo o en el directorio de Domino como un archivo adjunto al correo electrnico.

Traducido por Sykrayo Espaa

EnCase Decryption Suite 2.Parse usando Vista Estructura de archivos, por lo que se introduce la llave privada de almacenamiento seguro.

55

Bloque Cifrado
El siguiente ejemplo muestra un bloque de cifrado en el offset 0x22000:

El algoritmo de descifrado utiliza una semilla que se basa en la semilla de base de la cabecera y el desplazamiento del bloque.

Traducido por Sykrayo Espaa

56

EnCase Version 6.12 Modules Manual

Bloquear descifrado
He aqu un ejemplo de un objeto de mapa descifrado en el offset 0x22000:

Traducido por Sykrayo Espaa

EnCase Decryption Suite

57

Localmente cifrados NSF Analizar Resultados


A analizado correctamente NSF localmente encriptada tiene este aspecto a la vista de entrada:

Traducido por Sykrayo Espaa

58

EnCase Version 6.12 Modules Manual Si el archivo de ID correspondiente no pueda analizarse correctamente, el almacenamiento seguro no se rellena con los datos necesarios para analizar la NSF localmente encriptada, por lo que el volumen de Lotus est vaca:

Traducido por Sykrayo Espaa

EnCase Decryption Suite

59

Tecla Windows Arquitectura


Windows tiene un elaborado mecanismo clave de proteccin. El Syskey protege la clave poltica, el SAM claves, y otros. Estas teclas proteger los hashes de contraseas de los usuarios.

En Windows 2000, sin embargo, la clave maestra est protegido por contrasea hash del usuario con un mecanismo que se ralentiza cualquier ataque. La Llave maestra protege la clave privada del usuario. Y la clave privada del usuario protege una clave dentro de la corriente $ EFS que permite el descifrado del archivo cifrado EFS.

Diccionario Attack
Software de aplicacin de este mtodo normalmente se utiliza un archivo de texto que contiene un gran nmero de contraseas y frases. Cada uno se trat a su vez con la esperanza de que una de las palabras o frases en el archivo ser descifrar los datos en cuestin. Un gran nmero de archivos de diccionario (a veces llamado listas de palabras) se encuentran en el Internet, o usted puede crear su propia lista. La creacin de su propia lista puede ser preferible que la persona objeto de investigacin tiene un inters particular, como el ftbol. Existen utilidades gratuitas en Internet que puede utilizar para crear un diccionario de las combinaciones de letras, nmeros y caracteres con una longitud predefinida. Generator Free Wordlist (http://www.soft82.com/download/windows/free-Lista de palabras-generador /) es un ejemplo. EDS puede atacar las contraseas de cuentas de usuario basados en NT y contraseas de inicio de sesin de red en cach utilizando un ataque de diccionario.

Traducido por Sykrayo Espaa

60

EnCase Version 6.12 Modules Manual

Built-in Attack
Los temas especficos tienen contraseas asociadas. Si no se recuperan automticamente, puede utilizar un mecanismo de prueba y error. Esto puede o no puede tener xito.

Los elementos que pueden ser objeto de ataques


Los usuarios locales Los usuarios de red que los usuarios inician sesin (en cach) Syskey (slo modo de contrasea) Llave maestra, si SAM del usuario o dominio de cach no se puede acceder (debido a la corrupcin, la eliminacin de la cuenta o la proteccin Syskey). Esto es mucho ms lento que atacar a los usuarios / las Redes Locales

Ataque externo
Los usuarios locales pueden ser atacados con herramientas de terceros. Existen herramientas de software libre, y su rendimiento es mucho mayor que EnCase, ya que se pueden ejecutar en varios equipos al mismo tiempo y / o utilizar tablas de arco iris. EnCase puede exportar los hashes de contraseas del usuario local en el formato pwdump que la mayora de las herramientas de lectura. Esto se hace desde la lista de usuarios.

Traducido por Sykrayo Espaa

EnCase Decryption Suite

61

Lista de usuarios

La Lista de almacenamiento Secure usuario muestra usuarios locales, usuarios de dominio, Usuarios Nix, y / o Grupos de Nix del equipo local o un archivo de pruebas. La informacin tal como: ltima fecha de inicio de sesin SID del usuario NT hash de Hash LanManager Tambin est asociada con cada cuenta

Ataque Integrado
Hay tres fuentes diferentes para las palabras que se probarn: Contraseas internos: Estos son los elementos de la contrasea en el almacenamiento seguro Diccionario de palabras: El diccionario es un archivo de texto que puede ser en ANSI-Latin1 o UTF16. Cada palabra tiene que estar en su propia lnea (que puede contener cualquier carcter, incluidos los espacios). La fuerza bruta: Genera automticamente las palabras de un alfabeto con una longitud en un rango determinado Hay cuatro "mutators" que se pueden aplicar:

Traducido por Sykrayo Espaa

62

EnCase Version 6.12 Modules Manual Caso Toggle: Trata todas las variaciones maysculas / minsculas Anexar Dgitos Dgitos de anexo Combinar palabras: Las palabras se combinan entre s. Por ejemplo, si el diccionario contiene las palabras viejas y perro, el resultado es estas cuatro palabras: perro viejo olddog dogold

Ataque de fuerza bruta


Un ataque de fuerza bruta trabaja tratando de identificar una contrasea o frase de contrasea probando todas las combinaciones posibles de los caracteres de un alfabeto. Este alpahbet est en el archivo de texto que apunta el ruta alfabeto ". Este es un es un archivo de texto plano que pueden estar en ANSI-Latin1 o UTF16, donde la primera lnea utiliza todos los personajes. Esto puede generar grandes cantidades de palabras para probar. Un ejemplo de una ruta de alfabeto es "abcdefghijklmnopqrstuvwxyz01234567890-()". Dependiendo de la configuracin, un ataque de diccionario puede probar miles de contraseas contenidas en un archivo de diccionario en un plazo de tiempo muy breve. Es habitual para tratar un ataque de diccionario y luego progresar a un ataque de fuerza bruta si la contrasea (s) no se puede encontrar. Todas las informaciones sobre la estructura / personaje posible longitud de la contrasea ayuda dramticamente.

Traducido por Sykrayo Espaa

EnCase Decryption Suite

63

Traducido por Sykrayo Espaa

CAPTULO 3

Emulador de disco fsico


Cul es el emulador de disco fsico? Usando Emulador de disco fsico Herramientas de terceros

Arranque archivos de evidencia y Sistemas Live con VMware VMware / EnCase PDE FAQs PDE Solucin de problemas

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

62

EnCase Version 6.12 Modules Manual

Cul es el emulador de disco fsico?


El emulador mdulo de disco fsico (PDE) EnCase permite a los investigadores para montar la prueba informtica como una unidad local para el examen a travs del Explorador de Windows. El poder de esta caracterstica es bien articulada en muchos foros. En particular, esto permite a los investigadores muchas opciones en sus exmenes, incluyendo el uso de herramientas de terceros con la evidencia atendida por el programa EnCase. Estamos comprometidos con la idea de ofrecer un producto integrado a nuestros clientes. Herramientas de terceros continan siendo desarrollado para complementar las funciones bsicas y caractersticas del programa EnCase, y fomentar su creacin y uso. PDE permite el acceso de terceros a toda prueba informtica y formatos de sistemas de archivos. El programa EnCase contina su evolucin para convertirse en un servidor de datos forenses, ya sea en un archivo de imagen, una vista previa de un equipo sin conexin o el disco duro, o una mquina de vivir en una red.

Formatos de archivo soportados por evidencia EnCase PDE


EnCase PDE apoya el montaje de archivos individuales de imagen de los discos duros y CD, pero no imgenes o vistas previas de los equipos forenses locales disco duro. Todos los formatos de archivo de imagen y sistemas de archivos que son compatibles con el software EnCase se pueden montar con PDE. Adems, la siguiente vivo pruebas forenses ordenador est apoyada por la PDE: Vista previa de la mquina local del CD Dispositivos previsualizacin de la mquina local de discos duros a travs de pruebas FastBloc LE FE y hardware con bloqueo Cable cruzado vista previa de la red de unidades de disco duro y CD Vista previa de puerto paralelo de discos duros y CDs EnCase Empresa e Inteligencia de Campo Model (FIM) viven previsualizacin de la red de unidades de disco duro y CD

Usando Emulador de disco fsico


No, bajo ninguna circunstancia, intente utilizar PDE para montar EnCase imgenes o vistas previas de las unidades de disco duro forenses locales. Windows le pantalla azul si detecta varias instancias de la misma unidad. Utilice nicamente archivos de evidencia de otras mquinas.

A partir Emulador de disco fsico


Para montar un dispositivo que utiliza el emulador de disco fsico, debe agregar una imagen de disco fsico o lgico a un caso en los comentarios subpestaa bajo Cases. PDE slo puede montar dispositivos fsicos o volmenes. Si se selecciona un elemento de men de un nivel no montable, la configuracin de la PDE se limita en modo cliente.

Traducido por Sykrayo Espaa

Physical Disk Emulator

63

Usando PDE
1.Haga clic en la unidad lgica o fsica, y seleccione Montar como disco emulada.

2.El Monte muestra el dilogo de disco como emulados.

Configuracin del cliente PDE


PDE asigna un puerto local la primera vez que se ejecuta PDE. A continuacin, el nmero de puerto est desactivado y no se puede cambiar. Para asignar un nmero de puerto nuevo, cierre la sesin de Windows y reiniciar. PDE no utiliza ninguna otra opcin en la pestaa Informacin Server.

Traducido por Sykrayo Espaa

64

EnCase Version 6.12 Modules Manual Para especificar las opciones de cach y el CD, haga clic en la pestaa Informacin del cliente.

Opciones de cach
Si se selecciona un dispositivo fsico o volumen (no es un CD), decida si desea almacenar en cach datos. De forma predeterminada, el almacenamiento en cach est desactivado. Utilice la cach de escritura para que los programas necesitan tener acceso a los archivos en un modo de lectura / escritura emulado. Si la cach est habilitada, los cambios realizados por los programas se envan a un archivo de cach independientes especificadas en el sistema local. 1.To crear un nuevo archivo de cach de escritura de un archivo de prueba diferencial EnCase, desactive la casilla de verificacin Deshabilitar el almacenamiento en cach. 2.Seleccione Crear nueva cach en el grupo Tipo de cach y especificar una ruta de cach de escritura. 3.Seleccione Utilizar cach existente y asegurar el archivo de cach de escritura existente se especifica en el campo Ruta de cach de escritura. Si decide utilizar una ruta de cach existente, asegrese de usar un archivo de cach de escritura que se cre con la evidencia est montando actualmente. El almacenamiento en cach es necesario para la PDE para funcionar con VMware. En este estado, Windows almacena en cach los archivos borrados y adiciones. Esto se utiliza para arrancar el coche con VMware como se describe ms adelante en esta seccin. El almacenamiento en cach es tambin necesaria para el montaje ciertos tipos de volumen. [Espacio reservado para la pantalla]

Opciones de CD
Si se monta un CD, el CD sesin para ver la opcin est activada para especificar qu sesin de un CD multisesin debe mostrar en Windows. La sesin por defecto es la ltima sesin del CD activo, que es el que normalmente se ve por Windows. 1.To ver una sesin previa, seleccione eso aqu. 2.Haga clic en OK para continuar.

Traducido por Sykrayo Espaa

Physical Disk Emulator

65

3.En caso aparece un mensaje diciendo que el software que est instalando no ha superado la de Windows Prueba del logotipo, haga clic en Continuar. Esto permite a Windows para agregar el archivo de pruebas como una unidad con su propia letra de unidad.

Si utiliza VMware, usted necesita el nmero de dispositivo fsico.

Compruebe que el archivo de pruebas se ha montado con una letra de unidad por la navegacin en Windows Explorador. Con la letra de la unidad, se pueden aplicar las herramientas de terceros. Cuando se crea la accin, el icono de compartir (mano) aparece en el dispositivo de la interfaz.

Montaje de dispositivos no son de Windows


Los dispositivos con los sistemas de archivos que no sean NTFS o FAT se pueden montar usando PDE, sin embargo, el volumen no puede ser visto por Windows (aunque el dispositivo fsico puede verse en Administracin de discos). El proceso para montar tal dispositivo es la misma que la utilizada para montar un dispositivo de NTFS o FAT.

Acceso al disco local en el Explorador de Windows


Despus de montar el disco con PDE en la interfaz de EnCase, abra el Explorador de Windows. El nuevo volumen se representa con un icono de disco duro, asignado una letra de volumen, y se marc como un disco local. Busque la unidad montada en el Explorador de Windows: Para abrir los archivos ocultos, Habilitar Mostrar archivos y carpetas ocultos en el Explorador de Windows, seleccione Opciones de carpeta en el men Herramientas Para ver y suprime los archivos del sistema y los grupos asignados, o para montar el archivo de datos utiliza el mdulo de sistema de archivos virtual EnCase Los archivos y carpetas en el dispositivo montado se puede acceder en Windows de la misma manera como si el dispositivo fuera una unidad adicional, aunque los cambios se escribirn en cach (si est en uso) en lugar de al propio dispositivo.

Ahorro y desmontaje del disco emulada


Si el almacenamiento en cach de escritura est activada cuando se monta el dispositivo, puede guardar los cambios virtuales realizados en el archivo de datos. 1.In la interfaz EnCase, haga clic en la unidad montada mediante PDE. 2.Seleccione Guardar estado del disco emulado.

Traducido por Sykrayo Espaa

66

EnCase Version 6.12 Modules Manual La cach se guardar en la ruta especificada para la cach de escritura. Cada vez despus de los puos iniciales, un nmero de instancia se aade al archivo de cach. Estos archivos cach luego puede usarse para volver a montar las pruebas en su estado guardado, pero hay que tener todos los archivos de cach anteriores, ubicados en el mismo directorio. Para terminar la emulacin: 1.Haga doble clic en el indicador Emulador de disco fsico parpadea en la parte inferior derecha de la ventana de la aplicacin. 2.Haga clic en S en la ventana de Estado del tema de cancelar la emulacin de disco.

Si la cach est habilitada cuando la creciente evidencia, esta pantalla muestra:

El propsito de la cach final es crear un archivo de prueba diferencial comprimido y combinado (*. D01) que contiene los datos de la cach. Con la opcin de disco de estado emulada Guardar seleccionados, existen mltiples archivos de cach de la misma sesin de pruebas montado. La cach de ltimo fusiona todos estos archivos. Si no hay necesidad de guardar el archivo final, seleccione Eliminar cach final. Utilice el expediente de prueba diferencial para abrir el archivo de pruebas y ver el disco emulado con los cambios aplicados en cach. Para aplicar los datos de la cach: 1.Haga clic en el dispositivo. 2.Seleccione Monte como disco emulada. 3.Haga clic en la ficha Informacin del Cliente. 4.Clear Desactivar la cach de casilla de verificacin. 5.Seleccione Utilizar cach existente. 6.Browse en el campo Ruta de cach de escritura para encontrar el *. D01 archivo. Despus de que los montajes de disco, Windows Explorer refleja los cambios en cach. Cuando se desmonta el dispositivo, una pantalla de estado indica si el disco se ha desmontado con xito.

Traducido por Sykrayo Espaa

Physical Disk Emulator

67

Cierre y cambiar el disco emulada


Para montar una unidad diferente, primero desmontar la unidad actualmente emulado como se ha descrito anteriormente. A continuacin, puede establecer un nuevo punto de montaje.
Asegrese de pruebas desmonte que se sirve a travs de PDE antes de salir. Un mensaje de aviso aparece si se intenta cerrar el caso o el programa EnCase mientras que la evidencia se monta con PDE.

Archivos temporales de recordatorio


EnCase Forensic, Enterprise y FIM permiten a los investigadores para redirigir los archivos temporales en una carpeta Temp / Trash en un disco duro secundario de ms rpida limpieza despus de un examen, y para evitar que los materiales confidenciales o de contrabando de ser redirigido por Windows para la carpeta temp propios investigadores en la unidad del sistema operativo. Al abrir un archivo montado con PDE en el Explorador de Windows con una herramienta de terceros, el sistema operativo Windows controla la creacin de archivos temporales en la unidad del sistema operativo, y en caso necesario la limpieza post-examen es ms laborioso.

Herramientas de terceros
Los investigadores con el Mdulo de PDE puede utilizar el Explorador de Windows para examinar la estructura de la prueba informtica. Ellos tambin pueden utilizar herramientas de terceros capaces de solicitar e interpretar los datos desde el Explorador de Windows para examinar las pruebas fuera del programa EnCase. Software Orientacin no certifica el rendimiento o la exactitud de los resultados obtenidos a travs de las herramientas no desarrolladas por Guidance Software.

Uso de las herramientas de terceros


Las herramientas y los espectadores de terceros disponibles para el investigador un examen forense son una gran expansin con EnCase PDE. Para utilizar una herramienta de otro fabricante, abra el archivo de la siguiente manera: 1.Haga doble clic en un archivo servida por PDE para que la peticin el Explorador de Windows y recibir los datos del software EnCase. 2.Abra los datos con el programa asignado de acuerdo con la extensin de archivo.

Quick View Plus


Un programa de visualizacin popular es Quick View Plus, que permite al investigador ver docenas de formatos de archivo sin las aplicaciones nativas instaladas en el equipo de examen.

Escaneado de malware
Un uso comn de EnCase PDE es montar la prueba informtica para escanear en busca de virus, troyanos y otros programas maliciosos. En primer lugar, montar la unidad o el volumen del archivo de pruebas a travs de PDE. En el Explorador de Windows, seleccione la unidad recin montada (en este caso, F :). Si un programa antivirus est instalado y se integra con el Explorador de Windows, que puede ser utilizado para escanear en busca de virus. El programa lee el disco emulado presentado al Explorador de Windows. El programa EnCase sirve a los datos que se solicitan a la del Explorador de Windows y, a continuacin, en el programa de exploracin.

Traducido por Sykrayo Espaa

68

EnCase Version 6.12 Modules Manual

Arranque archivos de evidencia y Sistemas Live con VMware


Preparacin inicial
Para el emulador de disco fsico para que funcione correctamente, VMware versin 4.5.1, construir 7568 o posterior es necesario. Para utilizar VMware para montar un archivo de pruebas: 1.Determine el sistema operativo del expediente de prueba sujeto utilizando los siguientes mtodos:

un. Utilice el mdulo de la caja inicializacin de Windows desde el EnScript Procesador


Case programar para determinar el sistema operativo.

b. Compruebe el contenido de la boot.ini archivo, que se encuentra en la raz de la


particin.

c. Examinar la estructura de carpetas, teniendo en cuenta lo siguiente:


Windows 2000, XP y 2003 Server y todos utilizan la C: \ Documents and Settings carpeta de perfiles de usuario y las carpetas. Windows NT y 2000 utilizan el C: \ WINNT carpeta de la raz del sistema. Windows 9X, NT, XP y 2003 Server utilizan el C: \ Windows carpeta de la raz del sistema. 2.Mount el disco fsico que contiene el sistema operativo con emulador de disco fsico. Asegrese de habilitar el almacenamiento en cach 3.Determine qu nmero de disco fsico se ha asignado mediante uno de estos mtodos: Esta informacin se proporciona cuando se monta el dispositivo. Seleccione la opcin Administracin de discos, haga clic en Mi PC en Windows, a continuacin, seleccione Administrar.
En la actualidad existe un problema con VMware que prohbe VMware se inicie una mquina virtual se encuentra en un disco fsico que es precedida numricamente por un SCSI, FireWire o USB. Para obtener los mejores resultados, asegrese de que slo las unidades IDE estn conectados a la mquina cuando decide montar como un disco emulado en la interfaz de EnCase. Esto es fcil de comprobar en Administracin de discos. Si se encuentra con un mensaje que dice: "El dispositivo especificado no es un dispositivo de disco fsico vlida", es muy probable que como resultado de este problema. No utilice PDE para montar unidades en un archivo de datos o la vista previa de la computadora local. De Windows, especialmente XP, tendr pantalla azul si detecta varias instancias de la misma unidad. Utilice nicamente archivos de evidencia de otras mquinas.

Asistente para nueva mquina virtual


Para arrancar archivos de evidencia utilizando VMware: 1.Tras que haya reunido la informacin necesaria, el lanzamiento de VMware. 2.Seleccione nueva mquina virtual desde el men Archivo. 3.At la pantalla Asistente para nueva mquina virtual, haga clic en Siguiente.

Traducido por Sykrayo Espaa

Physical Disk Emulator 4.4. Seleccione Personalizado y haga clic en Siguiente.

69

5.Seleccione el botn de sistema operativo invitado apropiado.

6.Seleccione un sistema operativo desde el men desplegable Versin para identificar la versin del sistema operativo instalado en el expediente de prueba, a continuacin, en Siguiente. 7.In el nombre de la ventana de la mquina virtual, escriba un nombre de la mquina virtual.

Como opcin, puede hacer clic en Examinar para cambiar la ubicacin de los archivos de configuracin VMwares. 8.Haga clic en Siguiente.

Traducido por Sykrayo Espaa

70

EnCase Version 6.12 Modules Manual 9.Assign la cantidad de memoria de VMware para utilizar, a continuacin, haga clic en Siguiente.

10. Seleccione el tipo de red que desea utilizar, haga clic en Siguiente. Seleccin No utilice una conexin de red, se recomienda en el caso de que exista algn tipo de malware instalado en el equipo el archivo de datos se cre a partir.

11. Acepte el valor predeterminado en el cuadro Seleccione I / O Tipos Adaptador de dilogo, haga clic en Siguiente.

12. Seleccione Utilizar un disco fsico (para usuarios avanzados). No haga caso de los mensajes de advertencia siguientes. 13. Seleccione el disco que representa la unidad montada mediante PDE. 14. Acepte la configuracin predeterminada de uso de disco completo, haga clic en Siguiente. 15. Utilice el archivo de disco predeterminado especificado en el cuadro de dilogo Especificar archivo de disco, a continuacin, haga clic en Finalizar.

Traducido por Sykrayo Espaa

Physical Disk Emulator

71

Si el archivo de disco no se reconoce como una mquina virtual, puede cambiar el nombre del archivo (Teniendo cuidado de dejar el . Vmdk extensin).

VMware vuelve a la pantalla principal, muestra la mquina virtual recin creada.

Inicie la mquina virtual


Inicie la mquina virtual VMware partida y realizar lo siguiente: 1.Haga clic en el vnculo para iniciar esta mquina virtual al lado de la flecha verde. El archivo de datos est protegido contra escritura por el programa EnCase, pero PDE permite una cach de escritura que interacta con VMware como si estuviera montando un disco en modo lectura / escritura.

Cuando se inicia la mquina virtual, el sistema operativo se muestra como si el equipo forense se inicia la unidad. Se inicia en la misma manera que la mquina nativo. 2.As con el arranque de los discos duros restaurados, la mquina virtual puede requerir un nombre de usuario y contrasea para proceder. 3.Since pop-ups (como AOL Instant Messenger) puede causar problemas con los controladores, guardar el estado de la mquina virtual de forma regular.

Traducido por Sykrayo Espaa

72

EnCase Version 6.12 Modules Manual

VMware / EnCase PDE FAQs


Se puede vivir la evidencia puede arrancar con VMware?
Evidencia equipo de Live (nodos de red en el programa Empresa EnCase y CDs locales) puede ser montado con PDE, pero no se puede arrancar con VMware.

Qu versin de VMware debe utilizarse con EnCase PDE?


PDE / VMware es la integracin con VMware versin 4.5 y superior.

Por qu no VMware reconocer un disco emulado (montado)?


Usted debe iniciar VMware despus emular el disco con PDE, como VMware no reconocer una unidad fsica que se ha agregado desde que se inici. Adems, VMware no arranca correctamente los archivos de prueba que contienen Windows con un controlador IDE no predeterminada. Este es un problema conocido. Informacin adicional est disponible en http://www.vmware.com/support/kb/enduser/std_adp?p_faqid=36.

Qu debo hacer si veo el mensaje "El archivo especificado no es un disco virtual" despus de ejecutar el nuevo Virtual Asistente Machine?
De vez en cuando despus de la finalizacin de la nueva asistente de la mquina virtual en VMware, puede encontrarse un mensaje de error (El archivo especificado no es un disco virtual.). Este problema est relacionado con VMware, no el programa EnCase. Ejecucin del Asistente para nueva mquina virtual de nuevo por lo general resuelve este problema.

Cmo inicio una mquina VMware con mi archivo guardado diferencial EnCase?
Montar el disco con el archivo de cach existente.

Por qu VMware no reconoce algunos discos fsicos?


Si su evidencia est montado con xito, pero los estados de VMware que el disco fsico que la imagen se monta en no es un disco fsico vlida, puede ser el resultado de un dispositivo no-IDE en un dispositivo fsico ms bajo que el disco emulado.

Windows XP sigue apareciendo ventanas sobre la instalacin de los controladores cuando arranco.
El mdulo de PDE EnCase instala los controladores GSI especficos IDE para ser cargado con el fin de emular el disco como una unidad dentro de Windows con una letra de unidad asignada. Un controlador IDE virtual se crea que se puede ver en el Administrador de dispositivos. Si se permite que Windows cargue los controladores IDE por defecto, el mdulo no funcionar correctamente. Esto se puede evitar mediante la cancelacin de la tentativa en la ventana emergente. Una vez que han pasado por alto este mensaje, puede guardar el estado para que la prxima vez que se reinicie el sistema, Windows no intentar cargar los controladores de nuevo.

Traducido por Sykrayo Espaa

Physical Disk Emulator

73

Cmo puedo reiniciar una sesin de VMware desde un estado guardado?


VMwares suspender y reanudar caracterstica le permite guardar el estado actual de la mquina virtual, a continuacin, volver ms tarde con la mquina virtual en el mismo estado en que estaba cuando se detuvo. Una vez que se reanude y hacer trabajo adicional en la mquina virtual, no hay manera de volver al estado de la mquina virtual se encontraba en el momento en que fue suspendido. Para preservar el estado de la mquina virtual para que pueda volver al mismo estado en varias ocasiones, usted tendra que tomar una instantnea. Instrucciones para el uso de la instantnea estn disponibles en el sitio web VMwares en http://www.vmware.com/support/ ws45/doc/preserve_snapshot_ws.html. La velocidad de las operaciones de suspender y reanudar depende la cantidad de datos ha cambiado, mientras que la mquina virtual ha estado funcionando. En general, la primera suspender la operacin tarda un poco ms que tarde suspender sus operaciones hacen. Cuando se suspende un virtual mquina, un archivo con un . VMSS se crea extensin. Este archivo contiene todo el estado de lo virtual mquina. Al reanudar la mquina virtual, su estado se restaura desde el. VMSS archivo. Para suspender una mquina virtual: 1.If su mquina virtual se ejecuta en modo de pantalla completa, volver al modo de ventana pulsando Ctrl + Alt. 2.Haga clic en Suspender en la barra de herramientas de VMware Workstation. 3.Cuando VMware Estacin de trabajo se ha completado la operacin de suspensin, que es seguro para salir de VMware Estacin de trabajo (Salir en el men Archivo). Reanudar una mquina virtual de la siguiente manera: 1.Inicie VMware Workstation y elegir una mquina virtual que se ha suspendido. 2.Haga clic en Reanudar en la barra de herramientas de VMware Workstation. Tenga en cuenta que las aplicaciones que estaba ejecutando en el momento suspendido de la mquina virtual se estn ejecutando y el contenido es el mismo que cuando se suspende la mquina virtual. Adicional VMware para resolver problemas est disponible en su base de conocimientos en http://www.vmware.com/support/kb/enduser/std_alp.php?

PDE Solucin de problemas


Emulador de disco fsico no se encuentra dentro de los mdulos cuando se accede Acerca EnCase en el men Ayuda
Si est utilizando los archivos cert, compruebe que el certificado PDE se encuentra en el directorio Cert (tpicamente C: \ Archivos de programa \ EnCase6 \ Certificados). Asegrese de que la clave de seguridad est instalado y funciona correctamente (consulte la barra de ttulo para asegurar que el programa no est en el modo de adquisicin). Si est utilizando los archivos cert, compruebe el identificador de clave de seguridad para asegurarse de que es el correcto para el que se emiti el certificado.

Traducido por Sykrayo Espaa

74

EnCase Version 6.12 Modules Manual

Puedo montar un dispositivo a nivel local, pero no puedo configurar un servidor local
Aunque existen mens para la operacin del servidor PDE, actualmente no es funcional.

Traducido por Sykrayo Espaa

Physical Disk Emulator

75

Se encontr un mensaje que indica que la PDE no puede quitar el dispositivo cuando se intenta desmontar el dispositivo montado
El mensaje de error puede producirse si Windows est accediendo a un archivo en el dispositivo montado (por ejemplo, el directorio se abre en el Explorador de Windows o un archivo se abre con una aplicacin de otro fabricante). Para resolver el problema, cierre todas las aplicaciones de Windows con el acceso a dispositivo montado, a continuacin, haga clic en Aceptar.

Se encontr un mensaje de error que indica que es necesario reiniciar el equipo, seguido de una Mensaje "conexin rechazada"
Este problema se debe a que el controlador de dispositivo no est publicado correctamente. La nica manera de resolver este problema es cerrar todas las aplicaciones (incluyendo la aplicacin EnCase) y reinicie el equipo forense. Usted no debe encontrar el error otra vez cuando se reinicia la mquina.
Si ninguno de estos pasos de solucin de problemas se resuelve el problema, pngase en contacto con orientacin tcnica de software Servicios.

Traducido por Sykrayo Espaa

76

EnCase Version 6.12 Modules Manual

CAPTULO 4

Sistema de archivos virtual


Qu es VFS? Evidencia de montaje con VFS Desmontar el recurso compartido de red Acceso al Share Herramientas de terceros VFS servidor Solucin de problemas

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

76

EnCase Version 6.12 Modules Manual

Qu es VFS?
El mdulo de sistema de archivos virtual (VFS) permite a los investigadores para montar la prueba informtica como de slo lectura unidad de red, fuera de lnea para su examen a travs del Explorador de Windows. El valor de esta caracterstica es que permite a los investigadores mltiples opciones de examen, incluyendo el uso de herramientas de terceros con la evidencia servido por el EnCase programa. Estamos comprometidos con la idea de ofrecer un producto integrado a nuestros clientes. Herramientas de terceros seguirn siendo desarrollado para complementar las funciones bsicas y caractersticas del programa EnCase, y fomentar su creacin y uso. VFS permite el acceso de terceros a toda prueba informtica y los formatos del sistema de archivos compatible con el software. Para nuestros clientes que utilizan el programa EnCase Forensic, el mdulo VFS tiene el poder aadido de que permite el uso de herramientas de terceros contra las unidades de disco previamente a travs de un dispositivo de FastBloc o un cable cruzado, incluyendo archivos borrados. Para los clientes que utilizan el programa Empresa EnCase, VFS permite el uso de herramientas de terceros contra las mquinas en vivo en la red utilizando las mejores prcticas, ya que el sistema operativo se pasa por alto.

Formatos de archivo soportados por evidencia VFS


VFS soporta el montaje de los datos que son visibles en un caso. Todos los formatos de archivo de imagen y sistemas de archivos que son compatibles con el software EnCase se pueden montar con VFS.

Evidencia de montaje con VFS


El mdulo VFS es capaz de montar la prueba informtica apoyado por el programa EnCase como una unidad de slo lectura sin conexin de red en el Explorador de Windows. Puede montar pruebas en uno de cuatro niveles, sin embargo, slo un punto de montaje se puede designar a la vez. Si desea cambiar el punto de montaje, es necesario desmontar las pruebas y montaje en un nuevo nivel para incluir los dispositivos deseados. Los niveles donde se puede montar pruebas son: Nivel de caja: Montaje de la caja de nivel no es compatible con VFS Disco / dispositivo de nivel: Se monta un solo disco o dispositivo fsico, con acceso a todos los volmenes en el disco o dispositivo El nivel de volumen: Se monta un solo volumen / particin en un disco fsico Nivel de carpeta: El nivel ms bajo se puede montar es en el nivel de carpeta Este nivel de soporte es til para examinar los archivos en las rutas que superen el lmite de 264 caracteres de Windows en la ruta completa y el nombre de un archivo Con la extensin del servidor, tambin puede montar pruebas para ser compartida con otros investigadores a travs de la red de rea local. El servidor virtual del sistema de archivos se discute ms adelante en este manual.

Montaje de una sola unidad, dispositivo, volumen o carpeta


Slo un punto de montaje se puede designar a la vez, para incluir otros datos, un punto de montaje debe ser seleccionado que est en una relacin de padre a ambas reas de datos que se van montadas.

Traducido por Sykrayo Espaa

Virtual File System Para montar una sola unidad o dispositivo en un expediente o un volumen o una carpeta en una unidad, haga clic en la unidad o dispositivo y seleccione Montar como recurso compartido de red:

77

Opciones de montaje compartido de red


En la ficha Informacin de servidor de la Montaa como ventana Compartir Network, la mayor parte de la informacin del servidor est desactivada al establecer un servidor local. La nica excepcin es el puerto local. VFS por defecto es establecer un servidor local, que es la opcin que se utiliza cuando se utiliza VFS en el equipo local. Desde VFS est aumentando la evidencia como una unidad compartida de red, un puerto local debe asignar. Para permitir la recuperacin de errores en Windows, como un accidente durante el uso de herramientas de terceros como se describe ms adelante en este manual, el servicio de VFS tiene una duracin de la vida de la sesin de Windows. Esto significa que el nmero de puerto se le puede asignar la primera vez que el servicio VFS se ejecuta para montar pruebas. A continuacin, el nmero de puerto est en gris con el nmero de puerto asignado inmutable: 1.En la pestaa Informacin Server, configure el puerto local o utilizar la configuracin predeterminada. 2.Ajuste el Max. clientes autorizados, hasta el nmero mximo de clientes adquiridos para VFS.
Para asignar un nmero de puerto, la sesin de Windows debe ser cerrado, por ejemplo a travs de un reinicio.

3.Haga clic en la ficha Informacin del cliente para establecer la letra del volumen que se asignar a la participacin de la red en Explorador de Windows.

Configuracin predeterminada 4.El permite el Explorador de Windows para asignar la siguiente letra del volumen disponible, o puede establecer cualquier otra letra que actualmente no asignado.

Traducido por Sykrayo Espaa

78

EnCase Version 6.12 Modules Manual Asignacin de una letra volumen especfico puede ser til cuando se intenta reconstruir virtualmente una unidad de red, como una base de datos:

Traducido por Sykrayo Espaa

Virtual File System

79

Si en la actualidad ha asignado unidades de red o si deja de Windows asigna la letra de unidad, se toma unos segundos para consultar el sistema para encontrar una letra de unidad disponible Si ha especificado una letra de volumen, y se encuentra disponible, el montaje es prcticamente instantnea Una ventana emergente de confirmacin le informa de que el montaje se ha realizado correctamente, con la letra del volumen. El icono de la mano compartido aparece en el nivel que ha designado como el punto de montaje de la unidad compartida.

Archivos compuestos
Muchos archivos compuestos, incluyendo Microsoft Word, Excel, Outlook Express y archivos de Outlook, se pueden montar en la interfaz de EnCase. Para ello: 1.Haga clic en el archivo. 2.Seleccione Ver estructura de archivos. En el siguiente ejemplo, el Microsoft Word . Doc archivos est montado. El dispositivo se monta con VFS a nivel de dispositivo.

3.Mount el caso, la unidad, el volumen o carpeta con VFS como para un solo caso, la unidad, etc, haga hacer clic y seleccionar Montar como recurso compartido de red, como se describi anteriormente para los artculos individuales.

Traducido por Sykrayo Espaa

80

EnCase Version 6.12 Modules Manual 4.Vista el archivo montado como una carpeta en el Explorador de Windows, donde la estructura de archivo compuesto puede ser navegado.

VFS es un motor dinmico y servir a los datos a medida que se presenta por el software EnCase. Para ver el archivo del documento original de Word: 1.Cierre el archivo compuesto montado. 2.In el Explorador de Windows, actualice la pantalla utilizando la tecla F5. Si ha elegido actualmente de datos en el archivo compuesto, informa de un mensaje de error que los datos ya no est disponible, ya que estaba cerrado dentro del programa EnCase. 3.Seleccione la carpeta principal del archivo para ver y abrir el archivo.

Sistema de archivos cifrados


Archivos descifrados se pueden ver dentro de Windows cuando se utiliza VFS en conjunto con el mdulo suite descifrado EnCase (EDS). Las pruebas que contiene los archivos descifrados y carpetas se puede montar con VFS para ver los datos descifrados en el Explorador de Windows, y con herramientas de terceros. Para obtener informacin sobre cmo utilizar el mdulo de EDS para descifrar EFS de archivos y carpetas protegidos, consulte el captulo Mdulo de EDS de este documento.

RAID
RAID montado dentro del programa EnCase puede ser consultada en el Explorador de Windows. En el siguiente ejemplo, que un software RAID 5 formado por tres unidades fue montado y puesto a disposicin para la navegacin en el Explorador de Windows con VFS.

Archivos borrados
El mdulo VFS permite a los investigadores ver los archivos eliminados y se sobrescribe en el Explorador de Windows.

Traducido por Sykrayo Espaa

Virtual File System Un investigador puede buscar un archivo en el Explorador de Windows para ver o analizar, pero considera que no es posible abrirlo. Si un archivo no se abre, revise los datos originales de la interfaz EnCase para ver si el archivo es realmente vlida y no est daado o parcialmente sobrescrito.

81

Archivos internos y archivos del sistema de archivos


La aplicacin EnCase organiza algunos datos en los dispositivos en archivos lgicos virtuales para permitir una mejor organizacin y bsqueda. Los ejemplos incluyen Clusters no asignados y flojos de volumen en un volumen y rea de disco sin usar en una unidad fsica. Archivos del sistema de archivos ocultos tambin estn disponibles, como el $ MFT, FAT o directorios tabla de inodos en NFTS, y * nix sistemas de archivos FAT.

RAM y disco Slack


VFS sirve los archivos lgicos reales en los dispositivos junto con archivos lgicos virtuales que organiza para los investigadores. Los archivos fsicos no son atendidos, como el Explorador de Windows no interactuar con los datos del archivo correctamente si se sirve todo el archivo fsico. Para los investigadores, esto significa que la memoria RAM (sector) de holgura y la unidad (grupo de archivos) holgura no se dispone de herramientas de terceros a travs de VFS en el Explorador de Windows como un solo archivo. Hay, sin embargo, dos maneras de acceder a los datos de la holgura con herramientas de terceros: El primer mtodo consiste en cargar un dispositivo sin necesidad de analizar el sistema de archivos: 1.Launch la aplicacin EnCase. 2.Abra un nuevo caso. 3.Cargue el dispositivo haciendo clic en Agregar dispositivos. 4.Right clic en el dispositivo y seleccione Editar. 5.In la ventana de atributos del dispositivo, desactive la marca de la caja del sistema de archivos de lectura.

Traducido por Sykrayo Espaa

82

EnCase Version 6.12 Modules Manual Cuando el dispositivo se carga en el programa EnCase, la particin y sistema de archivos no se leen e interpretan. Todo el dispositivo se puede montar con VFS y estar disponible para su examen en el Explorador de Windows como Zona de disco sin usar, incluyendo el espacio de holgura.

1.Another opcin es copiar nica rea holgura de pruebas para el equipo de examen como un archivo lgico: 2.Seleccione el dispositivo (s) que desea examinar el espacio de holgura. 3.Right clic en el archivo y seleccione Copiar / UnErase.

4.Seleccione el botn de radio seleccionado Todos los archivos debajo de y, a la fusin en un solo botn de archivo en Para, a continuacin, haga clic en Siguiente.

5.In la seccin Copia de la pantalla Opciones, seleccione RAM y disco Slack para copiar la memoria RAM holgura (tambin conocido como sector de holgura) y la holgura de disco (tambin conocido como grupo de holgura). 6.Seleccione la opcin correspondiente carcter de mscara de caracteres no ASCII, o deje el valor predeterminado y haga clic en Siguiente.

Traducido por Sykrayo Espaa

Virtual File System

83

7.Set la ruta de destino y el nombre del archivo que contiene la holgura, a continuacin, haga clic en Siguiente.

8.Haga clic en Aceptar en el cuadro de dilogo Copia de archivos que se muestra al final del proceso de copia.

El archivo que contiene la holgura de la evidencia ya est disponible para su examen por los servicios de terceros en la mquina examen local. En el siguiente ejemplo, el archivo est abierto en WordPad.

Traducido por Sykrayo Espaa

84

EnCase Version 6.12 Modules Manual

Otros sistemas de archivos


VFS puede montar sistemas de archivos que no sean las admite de forma nativa por Windows. A continuacin se muestra un ejemplo de una unidad de Macintosh OS / X montado con VFS.

A continuacin se muestra la representacin de Windows de un volumen de Palm montada en VFS.

ext2, ext3, UFS, y otros sistemas de archivos


Unix, Linux y BSD dispositivos se pueden montar en el Explorador de Windows con VFS. Una limitacin es la barra diagonal (/) que se utiliza en los sistemas de ficheros * nix. La barra invertida es un carcter no vlido en Windows y No se puede mostrar la ruta completa para el Explorador de Windows. Por esta razn, la barra diagonal est representada por la alta-punto (). En el siguiente ejemplo, la / (Root) particin est representada por la alta-punto. La / Home particin est representado por Casa.

Traducido por Sykrayo Espaa

Virtual File System En este ejemplo, el directorio / (raz) de una estacin de trabajo Solaris est montado y el nombre de la carpeta principal (el nombre de la particin) se muestra como el gran punto.

85

Windows tiene un lmite de 264 caracteres en una ruta completa y el nombre del archivo. Esta limitacin puede afectar algunos exmenes en el Explorador de Windows, especialmente para los dispositivos de Unix y Linux. En esta situacin, el investigador puede necesitar montar en el nivel de particin o carpeta.

Desmontar el recurso compartido de red


Para desmontar el recurso compartido de red, haga lo siguiente: 1.Haga doble clic en la barra de rosca en la parte inferior derecha de la interfaz que lee archivos virtual Sistema, a continuacin, haga clic en S.

2.In la confirmacin de que la evidencia fue desmontado con xito, seleccione cualquier estado de ahorro de opciones y haga clic en Aceptar.

Cambiar el punto de montaje


Slo puede ver un punto de montaje a la vez. Para cambiar la ubicacin del punto de montaje, debe cerrar el punto de montaje actual y abrir una nueva.
Asegrese de pruebas desmonte que se sirve a travs de VFS antes de cerrar el programa EnCase. Un mensaje de aviso aparece si la caja o el programa EnCase se intenta que ser cerrado mientras que la evidencia se monta con VFS.

Traducido por Sykrayo Espaa

86

EnCase Version 6.12 Modules Manual

Acceso al Share
Uso de la interfaz EnCase
Unique Nombre de columna
Una columna de nombre nico muestra en la vista Tabla del mdulo VFS. La columna identifica el nombre de archivo determinado en un archivo servido del programa EnCase y se muestran en el Explorador de Windows a travs de VFS. El nombre nico supera la limitacin de Windows de no permitir que mltiples archivos a compartir el mismo nombre de archivo como hermanos en la misma carpeta principal. La columna est vaca cuando la evidencia se monta por primera vez con VFS, pero se llena cuando se accede a la participacin en el Explorador de Windows. Cuando un investigador selecciona una carpeta en el Explorador de Windows, los datos son servidos por el programa EnCase y se muestra en el Explorador de Windows. A medida que los directorios se navegan en el Explorador de Windows, los nombres de los archivos se rellenan en la columna Nombre de Steam, por lo que un investigador puede determinar qu archivo que l o ella est examinando. El programa EnCase aade un signo de nmero (#) al final de los nombres de archivo duplicados dentro de la misma carpeta en el Explorador de Windows.

Con el Explorador de Windows


Despus de montar la unidad de red compartida con VFS, abra el Explorador de Windows. La nueva accin se representa con un icono de unidad de red y asigna la letra del volumen apropiado. El nombre de la accin es gsisvr (De Orientacin de Software , Inc. Server).

Varias operaciones son, pues, posible, incluyendo las siguientes:

Traducido por Sykrayo Espaa

Virtual File System Examinar el caso montado y dispositivos asociados en el Explorador de Windows

87

Abrir archivos ocultos y eliminados si Mostrar archivos y carpetas ocultos est activada en Windows Explorer mediante las Opciones de carpeta en el men Herramientas

Utilice el visor de miniaturas en el Explorador de Windows para ver las imgenes en la forma vista por el usuario original

Herramientas de terceros
Usando VFS, los investigadores pueden examinar las pruebas fuera del programa EnCase mediante la utilizacin de herramientas de terceros capaces de solicitar e interpretar los datos desde el Explorador de Windows. Sin embargo, Guidance Software no certifica el rendimiento o la exactitud de los resultados obtenidos a travs de las herramientas no desarrolladas por Guidance Software.

Escaneado de malware
Un uso comn de VFS es montar evidencia equipo para escanear en busca de virus, troyanos y otros programas maliciosos: 1.Mount la evidencia a travs de VFS de forma local en el equipo de examen, o de forma remota a travs de VFS Server. Puede montar la evidencia en el dispositivo, el volumen o niveles de carpetas que se describi anteriormente. El icono de la mano compartido indica el nivel del soporte del sistema de archivos virtual.

Traducido por Sykrayo Espaa

88

EnCase Version 6.12 Modules Manual 2.In el Explorador de Windows, seleccione la unidad de red desconectado gsisvr. Software antivirus 3.Use para escanear el archivo. En el siguiente ejemplo, el Buscar virus de Symantec AntiVirus est dirigido por la derecha clic en la unidad.

El software antivirus puede leer el sistema de archivos virtual presentado en el Explorador de Windows. Los datos solicitados es servida por el programa EnCase al Explorador de Windows y, a continuacin, en el programa de exploracin. En este caso, se encontr que el virus MyDoom en la evidencia equipo montado con VFS.

Los informes de inspeccin y los registros generados por las herramientas de terceros pueden ser revisadas e incluidas en el informe de investigacin de los investigadores.

Otras herramientas y visores


Las herramientas y los espectadores de terceros disponibles para el investigador un examen forense son una gran expansin con VFS. Para usarlos, haga lo siguiente: Haga doble clic en un archivo servida por VFS para abrir los datos con el programa asignado de acuerdo con la extensin de archivo.

Asignacin de extensin de archivo a un programa


Para asignar un programa asociado a una extensin: 1.Seleccione Opciones de carpeta en el men Herramientas del Explorador de Windows.

Traducido por Sykrayo Espaa

Virtual File System 2.In la ventana Opciones de carpeta, haga clic en la ficha Tipos de archivo. 3.Seleccione la extensin deseada, y los detalles para la seccin, se muestran el programa designado para esa extensin. En este ejemplo, archivos JPEG abierto con Adobe Photoshop CS. 4.Haga clic en el botn Cambiar.

89

Seleccione o busque el nuevo programa.

Archivos Unix o Linux


Algunos archivos, como los de Unix y Linux, no tienen las extensiones de archivo. Para verlos: 1.Haga clic en el archivo y seleccione Abrir. 2.In el Abrir con ventana, seleccione la aplicacin que desee de la lista de programas y haga clic en Aceptar. 3.En caso de que la aplicacin no est en la lista, haga clic en Examinar para buscar el ejecutable de la aplicacin, o permitir Windows para buscar en Internet (si est conectado). 4.Haga Other si la aplicacin correspondiente no est disponible.

Traducido por Sykrayo Espaa

90

EnCase Version 6.12 Modules Manual WordPad puede abrir la mayora de los archivos basados en texto para que pueda ver el contenido. En el ejemplo a continuacin, un archivo de Linux se abre con WordPad en el Explorador de Windows desde un archivo de pruebas montado con VFS.

QuickView Plus
Otro programa de visin popular, QuickView Plus, se puede utilizar para ver docenas de formatos de archivo, sin las aplicaciones nativas instaladas en el equipo de examen.

Archivos temporales de recordatorio


El programa EnCase permite a los investigadores para redirigir los archivos temporales en una carpeta Temp / Papelera en un disco duro secundario para la limpieza ms rpida despus de un examen, y para evitar que los materiales confidenciales o de contrabando de ser redirigido por Windows para la carpeta temp propios investigadores en la unidad del sistema operativo . Cuando un archivo montado con VFS en el Explorador de Windows se abre con una herramienta de terceros, el sistema operativo Windows controla la creacin de archivos temporales en la unidad del sistema operativo. Recuerde revisar la carpeta temporal de Windows para realizar cualquier limpieza necesaria despus de la exploracin.

VFS servidor
El mdulo VFS tiene una extensin de servidor para que los investigadores pueden compartir la evidencia montada con otros investigadores de la red de rea local / intranet a travs de VFS. La extensin permite a un nmero de clientes para montar el recurso compartido de red que entrega el servidor VFS a travs de una conexin de red bajo estas condiciones: Slo el equipo que ejecuta el servidor VFS necesita una clave de seguridad insertado Una clave de seguridad no es necesaria para conectar con el servidor VFS y acceder a los datos que se sirve en Explorador de Windows. La mquina cliente (s) debe tener el programa EnCase instalado para acceder a los controladores de cliente VFS, pero puede funcionar en el modo de adquisicin El nmero de clientes que pueden conectarse al servidor VFS depende del nmero de conexiones de servidor VFS comprados. Esta informacin est contenida en el Certificado VFS o programado en la clave de seguridad. Para determinar si el servidor VFS est habilitado y para ver el nmero de conexiones de cliente disponibles, haga lo siguiente:

Traducido por Sykrayo Espaa

Virtual File System Seleccione Acerca de EnCase en el men Ayuda.

91

Si el mdulo VFS no est en la lista, o el nmero de clientes no es suficiente, pngase en contacto con los clientes De servicio para adquirir ms clientes.

Configuracin del servidor


Configurar el servidor de la siguiente manera: 1.En el equipo servidor VFS (con la clave de seguridad insertada), abra el programa EnCase. 2.Abra el expediente (s). 3.Seleccione el VFS apropiadas montan nivel de puntos: Case Drive / Dispositivo Carpeta Volume 4.Right clic en el punto de montaje y seleccione Montar como recurso compartido de red. Usted tiene la opcin de crear un recurso compartido de red desde cualquiera de los casos, las unidades o carpetas dentro de ella. Esto le permite compartir slo lo que es necesario para los dems, sin dejar de tener acceso a los casos y los dispositivos que usted no desea compartir. 5.Since este es el equipo servidor VFS, seleccione Establecer servidor local para la ubicacin de la Ficha Informacin Server.

6.Ingrese un nmero de puerto o use el valor predeterminado de 8177. La direccin IP del servidor est en gris ya que la direccin IP de los servidores es la asignada a la mquina donde el montaje se lleva a cabo. 7.Note la direccin IP de la mquina del servidor para su uso con el cliente. 8.Set el nmero mximo de clientes que pueden conectarse al servidor, con el valor por defecto es el mximo permitido por su certificado VFS Server. Desde VFS est aumentando la evidencia como una unidad compartida de red, el puerto que sirve debe ser asignado. Para permitir la recuperacin de errores en Windows, como un accidente durante el uso de herramientas de terceros, como se describe anteriormente, el servicio de VFS tiene una duracin de la vida de la sesin de Windows de ese puerto.

Traducido por Sykrayo Espaa

92

EnCase Version 6.12 Modules Manual El servidor VFS tambin puede servir los datos de forma local a la mquina de investigadores. Tenga en cuenta que se utiliza una de las conexiones de servidor.

Traducido por Sykrayo Espaa

Virtual File System

93

Restringir el acceso por direccin IP


De forma predeterminada, VFS Server est configurado para permitir el acceso desde todas las direcciones IP. Sin embargo, el mtodo preferido es el de restringir el acceso por direccin IP. Para especificar un rango de mquinas, haga lo siguiente: 1.Seleccione Permitir rango de IP y especifique los valores de IP de alta y baja.

2.Seleccione Permitir IPs especficas. 3.Right clic en la casilla IPs mascotas. 4.Seleccione Nuevo e introduzca las direcciones IP. Puede escribir varias direcciones IP mediante la repeticin de esta accin. Tambin puede editar o borrar IP existente direcciones de IPs admiten botn derecho del ratn.

5.Seleccione la ficha Informacin del cliente. Para montar tambin y ver la unidad compartida localmente, deje la cuota de Mount cuadro local revisado y entrada de una Carta de volumen.

Traducido por Sykrayo Espaa

94

EnCase Version 6.12 Modules Manual De forma predeterminada, el campo letra del volumen tiene un asterisco en ella, lo que significa que la prxima disponible Se utilizar letra de unidad. Montaje de la participacin a nivel local utiliza una de las conexiones del servidor VFS. Si slo estn sirviendo a la cuota a los clientes remotos, compartir Mount clara a nivel local, y la Volumen Carta se pone gris, ya que la cuota se instala en el cliente remoto (s). El servidor VFS monta la accin y permite conexiones en el puerto asignado. El icono de la mano compartido aparece en el punto de montaje VFS. Usted puede continuar su examen, mientras que se est compartiendo. El rendimiento depende del tamao y tipo de las pruebas examinadas, la potencia de procesamiento del servidor y mquinas de cliente, y el ancho de banda de la red.

Conexin de los Clientes


Para conectar los clientes: 1.install el programa EnCase en el cliente. 2.Reboot la mquina despus de la instalacin de Windows para acceder a los controladores de VFS. Al poner en marcha el programa EnCase, no es necesario disponer de una clave de seguridad presente. 3.Haga clic en Herramientas Montar como recurso compartido de red. 4.En la ficha Informacin del servidor, escriba la direccin IP del servidor de la mquina VFS Server, e introduzca el nmero de puerto que el servidor est a la escucha. 5.En la pestaa Informacin del cliente, seleccione la letra de volumen para asignar la cuota, o aceptar la siguiente letra disponible. Muestra el mensaje de confirmacin. En el equipo cliente, la participacin est disponible en el Explorador de Windows, gsisvr con la letra de unidad asignada. La evidencia ordenador compartido puede ser examinado como se ha descrito anteriormente.

Cierre de la conexin
Cuando un investigador con una mquina cliente ha completado el examen de la unidad compartida, o de otro investigador tiene que utilizar la conexin, haga doble clic en la barra de progreso en la parte inferior derecha y seleccione S. Una ventana de confirmacin informa de que los datos se desmont y se cierra la conexin y el se elimina icono de mano comn, lo que indica que el Explorador de Windows ha eliminado la unidad compartida. El programa EnCase puede ser cerrado en el equipo cliente. En la mquina servidor VFS, cuando todos los clientes estn terminadas y han desmontado la cuota, cierre el servidor VFS haciendo doble clic en la barra de sistema de archivos virtual que destella en la esquina inferior derecha de la ventana de la aplicacin EnCase. Se le pedir para desmontar el expediente de prueba, despus de lo cual se puede cerrar el programa EnCase.

Traducido por Sykrayo Espaa

Virtual File System

95

Solucin de problemas
Sistema de archivos virtual no aparece en mdulos
Si est utilizando los archivos cert, compruebe que el certificado VFS se encuentra en el directorio Certificados adecuada (tpicamente C: \ Archivos de programa \ EnCase6 \ Certificados). Asegrese de que la clave de seguridad est instalado y funciona correctamente (consulte la barra de ttulo para asegurarse de que el software no est en el modo de adquisicin). No es necesario tener la clave de seguridad instalado en una mquina de la conexin a un servidor remoto de VFS. Si est utilizando los archivos cert, el archivo del certificado que se expida por una clave de seguridad especfica, compruebe el identificador de clave de seguridad para asegurarse de que es el correcto para el que se emiti el certificado.

Puedo montar un dispositivo a nivel local, pero no puedo configurar un servidor local
Seleccione Acerca de EnCase en el men Herramientas y asegrese de que el sistema de archivos del servidor virtual aparece En Mdulos. Si no aparece el servidor, es posible que el CERT mal instalada, o no hacer tener acceso a la edicin Server.

No puedo conectarme a un dispositivo montado en un servidor remoto VFS


Compruebe la direccin IP y nmero de puerto del servidor remoto. Si la direccin IP es correcta, haga ping a la direccin para garantizar la conectividad. Asegrese de que el dispositivo todava est montado en el servidor remoto. Compruebe cuntas mquinas estn conectadas al servidor, y determinar cuntos clientes se les permite conectarse a un servidor VFS seleccionando Acerca de EnCase en el men Herramientas en la mquina que ejecuta el servidor VFS. Determinar el nmero de clientes que tienen permitido por mirar el nmero que aparece junto al mdulo virtual del sistema de archivos del servidor.
Si ninguno de estos pasos de solucin de problemas se resuelve el problema, pngase en contacto con orientacin Software Servicios Tcnicos.

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

CAPTULO 5

FastBloc SE mdulo
Qu es el Mdulo SE FastBloc? Informacin general Instalacin del Mdulo SE FastBloc Utilizando el mdulo SE FastBloc El almacenamiento en cach de disco Solucin de problemas

Traducido por Sykrayo Espaa

96

EnCase Version 6.12 Modules Manual

Qu es el Mdulo SE FastBloc?
El mdulo FastBloc SE (Software Edition) es una coleccin de herramientas del variador diseados para controlar las lecturas y escrituras en una unidad conectada a un ordenador a travs de USB, FireWire, SCSI, IDE, SATA y tarjetas controladoras para permitir la adquisicin segura de medios sujetos de Windows a un archivo de pruebas EnCase . Adems, un investigador puede borrar dispositivos conectados a una tarjeta controladora que es controlado por el mdulo de SE FastBloc, o restaurarlos manteniendo al mismo tiempo el valor hash del archivo lgico. Cuando los mdulos SE FastBloc escriba capacidad de bloqueo est activado, se asegura que no hay datos se escriben o se modifican en un dispositivo de escritura bloqueada. La escritura de bloque USB, FireWire, dispositivos SCSI opcin se utiliza para escribir bloques y proteger las unidades conectadas. En el pasado, la realizacin de un forense, la adquisicin no invasiva de una unidad de disco duro se realiz en DOS, o a travs de un dispositivo de hardware de proteccin de escritura. Esto se hizo para controlar escribe por el sistema operativo a la unidad de sujeto. El mdulo SE FastBloc elimina la necesidad de tener un bloqueador de escritura de hardware instalado en el equipo forense con el fin de adquirir EnCase archivos de evidencia de manera vlida a efectos legales a travs de Windows.

Informacin general
HPA y DCO configurados los discos
Organiza rea Protegida
Los discos duros se pueden configurar con un rea Protegida Host (HPA). Est diseado para permitir que los vendedores para almacenar datos a salvo de acceso de los usuarios, diagnstico o herramientas de copia de seguridad de MS Windows. Si est presente, los datos almacenados en esta rea es inaccesible por el sistema operativo, el BIOS o en el propio disco. El conocimiento de esta rea y la capacidad de acceder a l son importantes, ya que existe el potencial para un usuario sofisticado para ocultar los datos en el HPA. El mdulo SE FastBloc ve la HPA, si est presente, y el contenido oculto no se muestra. La integridad del disco se mantiene intacta en la vista previa y la adquisicin de discos con HPA.

Device Configuration Overlay


La superposicin de configuracin de dispositivos (DCO), a veces llamada la superposicin de configuracin de disco, es similar a la HPA ha expuesto anteriormente. Es una caracterstica opcional dentro de la ATA y siguientes. estndar, y es apoyado por la mayora de los discos duros. Al igual que el HPA, que tambin se puede utilizar para segmentar de una porcin de la capacidad de la unidad de disco duro a la vista por el sistema operativo o el sistema de archivos, por lo general para fines de diagnstico o de restauracin. Contenido del DCO puede controlar el comportamiento de la unidad, y uno de los campos DCO controla el max_sectors manejar datos. Por lo tanto, se puede utilizar para restringir artificialmente acceso a la unidad completa.

Arquitectura
Tanto el HPA y el ACA se encuentran normalmente en los extremos del disco duro. Si est presente, el rea de HPA se coloca en la unidad despus de configurar el DCO. Esto le da a la

Traducido por Sykrayo Espaa

FastBloc SE Module unidad de los tres tipos de almacenamiento que se colocan uno tras otro en la unidad:

97

Traducido por Sykrayo Espaa

98

EnCase Version 6.12 Modules Manual Normal HPA protegida DCO protegida

Anulacin HPA y DCO Configuracin


La funcionalidad de bloqueo de escritura del mdulo de SE FastBloc est diseado para evitar que escribe en un disco duro sospechoso durante la vista previa, el examen de la adquisicin o el dispositivo para fines forenses. El mdulo SE FastBloc permite EnCase software para reconocer los discos con las regiones HPA y DCO. El mdulo de SE FastBloc anula automticamente la configuracin HPA, lo que hace que la zona de HPA el disco duro visible para el investigador. Para hacer esto, se elimina temporalmente la configuracin de HPA y luego los reemplaza, por lo que no hay alteraciones permanentes de disco estn hechos. Si slo una DCO est presente, se retira para permitir que el software EnCase para ver los datos. Si tanto HPA y DCO estn presentes en un rea al mismo tiempo, el mdulo de primera FastBloc SE elimina el ajuste de HPA, a continuacin, el ajuste de DCO. El HPA se elimina slo si un rea DCO HPA y existen simultneamente.
ALERTA! Cuando el software EnCase encuentra un disco duro con un DCO definido o DCO y HPA, se debe eliminar de forma permanente las dos plantillas de imagen en toda la unidad. Basado en el diseo y las especificaciones publicadas de DCO y HPA, no hay manera conocida para acceder a toda el rea de datos sin hacer este cambio. Los investigadores deben tener en cuenta que aunque este cambio no afecta a los datos contenidos en el disco, se trata de un cambio permanente en el variador de velocidad que no se ve afectada por apagar la unidad. Los investigadores podran explicar esta anomala en su documentacin.

Instalacin del Mdulo SE FastBloc


El proceso para instalar el mdulo comporta unos pasos ms que los otros mdulos. 1.Instale el mdulo SE FastBloc que se enumeran en Instalacin de los mdulos EnCase en la pgina 5. 2.Shut la mquina forense. 3.Inserte uno de los controladores IDE enumerados en FastBloc SE Mdulo Requisitos especficos en la pgina 4. 4.Gire en el equipo. Instale los controladores que se incluyen con el controlador IDE.
En consonancia con las prcticas de informtica forense de sonido, probar el mdulo FastBloc SE con medios no pruebas para verificar la capacidad de bloqueo de escritura antes de utilizar el dispositivo con pruebas reales.

Traducido por Sykrayo Espaa

FastBloc SE Module

99

Utilizando el mdulo SE FastBloc


Escribe Bloqueo IDE y SATA Controller Cards
El mdulo SE FastBloc escribir bloques SATA tarjeta controladora PCI IDE. Ver FastBloc SE Mdulo Requisitos especficos en la pgina 4 para obtener una lista de los soportados PCI IDE tarjetas controladoras. Para evitar exitosamente escribe o modificaciones a un dispositivo IDE, el canal de control es bloqueado antes de escribir el dispositivo est conectado a la PC. Cuando el canal est protegido con el conductor GSI, apague la mquina y conecte el dispositivo. En el reinicio, los permisos de escritura de Windows son revocados. Para escribir bloquear una controladora IDE: 1.Launch el programa EnCase y seleccione Write-Block canal IDE en el men Herramientas.

2.In el listado de canales IDE disponibles, azul-comprobar el canal de escribir bloque y haga clic en Aceptar.

3.A ventana emergente puede aparecer diciendo que el software no ha pasado del logotipo de Windows pruebas.

4.Haga clic en Continuar para reemplazar el controlador instalado con el controlador de GSI.

Traducido por Sykrayo Espaa

10 0

EnCase Version 6.12 Modules Manual 5.Shut la mquina forense. 6.Attach el disco duro sospechosos al controlador seleccionado en el paso 2. 7.Restart el equipo forense. El canal seleccionado es escribir bloqueado en el inicio del sistema.

Desactivacin IDE Write Protection Bloquear


Para desactivar la proteccin del bloque de escritura: 1.Shut el equipo forense. 2.Retire el disco duro sospechosos. 3.Repeat los pasos 1 y 2 anteriores, deseleccionando el controlador de escritura protegida en el paso 2. 4.Reboot la mquina forense. Controlador GSI 5.El se reemplaza con el controlador de Windows predeterminada original.

Escribe Bloqueo de un dispositivo USB, FireWire o SCSI


Para escribir bloquear un USB, FireWire o SCSI, las intersecciones de software EnCase la seal enviada a Windows cuando un dispositivo est conectado al ordenador. A continuacin, se filtra el controlador para ese dispositivo, lo que permite la proteccin contra escritura. Cuando se utiliza el mdulo SE FastBloc en un dispositivo USB, FireWire o SCSI, hay dos modos, que protege tanto a proteger el dispositivo que se modifique o por escrito a: Escribe Bloqueado: Un dispositivo bloqueado de escritura est protegido contra escritura o modificacin de archivos cuando el dispositivo est conectado a un PC. Los archivos borrados de o aadido al dispositivo aparece en Windows en su versin modificada, pero las modificaciones se guardan en una cach local, no en el propio dispositivo. Este modo no le pide errores al intentar escribir en la unidad. Escribe protegido: Un dispositivo de proteccin de escritura est protegido contra escrituras o las modificaciones cuando el dispositivo est conectado a un PC. Si escribe o modificaciones hechas al dispositivo se intentan, Windows responde con un mensaje de error. Eliminacin de la proteccin de escritura entra en vigor en todos los dispositivos que estn o han estado conectados a la PC. Para escribir bloquear un USB, FireWire o un dispositivo SCSI: 1.Asegrese de que no hay dispositivos conectados. 2.Seleccione Write-bloque USB, Firewire, SCSI en el men Herramientas.

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

100

EnCase Version 6.12 Modules Manual 3.Seleccione Write-Bloqueado en el dilogo. 4.Introduzca del USB, FireWire o SCSI.
Debido a que algunos dispositivos SCSI no son intercambiables en caliente inicial, es posible que desee utilizar un soporte intercambiable en caliente para proteger el dispositivo, como el StarTech DRW150SCSIBK SCSI baha de la unidad.

5.A ventana de confirmacin aparece cuando el dispositivo est bloqueado con xito. 6.Haga clic en Finalizar.

Verifique Escribe Bloquear


Usted puede confirmar el xito de escritura de bloqueo del dispositivo en la vista previa del dispositivo en el programa EnCase: 1.Haga clic en el icono Nuevo en la barra de herramientas superior para abrir un nuevo caso y completar la informacin requerida. 2.Haga clic en el icono Agregar dispositivo. 3.Blue seleccione Unidades locales en el panel derecho, haga clic en Siguiente. En la ventana Dispositivos Elegir, el dispositivo y el volumen (si existe) en el canal de escritura bloqueada tienen un cuadro verde alrededor del icono de la columna Nombre, y una bala aparece en la escritura la columna Bloqueado para cada uno.

Extraccin de bloqueo de escritura desde un dispositivo USB, FireWire o SCSI


Extraccin del dispositivo USB, FireWire o SCSI
Para quitar un dispositivo USB, FireWire o SCSI: 1.Use la herramienta de extraccin de hardware en la bandeja del sistema en la esquina inferior derecha de la barra de tareas para eliminar el dispositivo.

Traducido por Sykrayo Espaa

FastBloc SE Module

101

En Windows 2000, esta herramienta se llama Desconectar o expulsar hardware, en Windows XP, con seguridad Quitar hardware.

2.Retire el dispositivo fsicamente cuando el asistente ha confirmado una extraccin segura.

Extraccin Write-Block
1.Seleccione Write-bloque USB, FireWire, SCSI de la unidad en el men desplegable Herramientas.

2.Haga clic en Borrar todo en la ventana que se abre.

3.Haga clic en S en el mensaje para confirmar la eliminacin de todos los USB, FireWire, SCSI y escritura dispositivos bloqueados.

Al seleccionar Borrar Todos Elimina escribir el bloqueo y la proteccin contra escritura en todos los USB, FireWire y SCSI los dispositivos previamente protegidos por el mdulo SE FastBloc.

Ventana de confirmacin 4.A muestra cuando el bloque de escritura se elimina correctamente.

Traducido por Sykrayo Espaa

102

EnCase Version 6.12 Modules Manual 5.Haga clic en Aceptar para finalizar la escritura de eliminacin de bloques.

Vista previa de un dispositivo de escritura Bloqueado


Para obtener una vista previa de un dispositivo de escritura bloqueada: 1.Write bloquear o proteger contra escritura el dispositivo adecuado siguiendo los pasos descritos anteriormente en este manual. 2.Crear un nuevo caso en el programa EnCase. 3.Haga clic en Agregar dispositivo. En el cuadro de dilogo Elegir dispositivos, una bala en la columna Bloqueado Escribir indica los medios de sujecin es escribir bloqueado. Dispositivos escriben bloqueado por el mdulo SE FastBloc tambin tienen un cuadro verde alrededor del icono ( ). 4.Blue comprobar un dispositivo bloqueado de escritura o volumen, a continuacin, haga clic en Siguiente. 5.Haga clic en Finalizar en la pantalla Dispositivos de vista previa para comenzar la vista previa de los medios de comunicacin sometidos.

Limpiar
El mdulo SE FastBloc permite borrar un dispositivo conectado a una de las apoyados tarjetas PCI IDE controlador mencionadas en FastBloc SE Mdulo Requisitos especficos en la pgina 4. Limpiando se realiza de la misma manera que para las unidades conectadas directamente a la placa base. Ver el EnCase Herramientas captulo Uso de el Manual de Usuarios EnCase instrucciones para limpiar una unidad de uso de la interfaz EnCase.

Restauracin
El mdulo de SE FastBloc tambin permite la restauracin de un expediente de prueba a un dispositivo de tamao o ms grande conectado a una de las apoyados tarjetas PCI IDE controlador mencionadas anteriormente similares. Restaurar un dispositivo de la misma manera que con las unidades conectadas directamente a la placa base. Ver el EnCase Herramientas captulo Uso de el Manual de Usuarios EnCase para ms detalles.

Traducido por Sykrayo Espaa

FastBloc SE Module

103

El almacenamiento en cach de disco


Cuando el mdulo SE FastBloc se establece en escribir bloque, la escribe en realidad estn siendo almacenado en cach a los investigadores disco duro. Esto no ocurre con proteccin contra escritura, ya que Windows genera un error en lugar de permitir la aparicin de la escritura que tenga lugar.

Escribe las pruebas de validacin de bloques y almacenamiento en cach de disco


No utilice los discos duros pruebas para realizar pruebas de capacidad de bloqueo de escritura. Aunque Windows puede aparecer para permitir que las modificaciones de los medios de escritura bloqueada sujetos, esto en realidad no ocurre.

Disco almacenamiento en cach y vaciar la cach


Para vaciar la cach de escritura, reinicie el equipo o eliminar los medios de comunicacin que es escribir bloqueado. Vista previa de la unidad con la interfaz de EnCase o navegar con el Explorador de Windows para comprobar que la cach vaca.

Solucin de problemas
La opcin de bloqueo de escritura no aparece en el men Herramientas
Asegrese de que el mdulo se ha instalado como se describe en Instalacin de los mdulos EnCase en la pgina 5. Seleccione Acerca de EnCase en el men Ayuda para verificar que el mdulo SE FastBloc aparece en la ventana. Verifique que la clave de seguridad est en la mquina. Si la clave de seguridad est fuera, o no funciona correctamente, el programa EnCase estar en el modo de adquisicin. Si est utilizando los archivos cert, el archivo cert puede estar vinculada a una clave de seguridad diferente. Consulte a un administrador para determinar la clave de seguridad asociada y archivo cert.

Windows y el programa EnCase no reconoce el dispositivo conectado


Revise todas las conexiones de alimentacin y de datos en el dispositivo. Compruebe si el disco duro est girando tema. Si el dispositivo est conectado a travs de una baha de unidad de disco externa, apague el equipo e intente conectar el conector de alimentacin (no el conector de datos) a un Molex cable de alimentacin directamente desde el ordenador. Reinicie el equipo. Si la unidad comienza a girar, apagar el equipo de nuevo y cambiar los cables. Si la unidad de sujeto no gira o hace ruidos extraos (zumbidos, chasquidos, etc), la unidad puede ser defectuoso y es posible que no pueda adquirirlo por mtodos normales. Si la unidad objeto gira, compruebe los cables de datos. Es posible que desee probar con otro cable de 40 hilos si est utilizando un cable de 80 hilos. Compruebe el puerto USB o FireWire para garantizar el correcto funcionamiento mediante la insercin de un buen dispositivo conocido. Asegrese de que el puerto es reconocido en el Administrador de dispositivos.

Traducido por Sykrayo Espaa

104

EnCase Version 6.12 Modules Manual

Windows detecta la unidad de materia, pero el programa EnCase no


Si usted puede ver la unidad fsica, pero no puede ver el contenido de la unidad, la interfaz de EnCase puede estar en modo de adquisicin. Esto puede indicar que la clave de seguridad no se ha instalado o (si usted est utilizando los archivos cert) no est vinculado al archivo cert. Consulte la Gua del usuario de EnCase para obtener instrucciones sobre cmo instalar los controladores de seguridad clave. Es posible que tenga una versin corrupta del programa EnCase. Si est utilizando los archivos cert, haga una copia de seguridad de todos sus archivos cert. Descargar e instalar la versin ms reciente del software EnCase. Asegrese de seleccionar los dispositivos locales en lugar de archivos de evidencia cuando comience el proceso de vista preliminar. Si es posible, trate de adquirir en una mquina completamente diferente. Esto ayuda a identificar el problema, ya que puede ser un conflicto de hardware o sistema operativo. Si est utilizando los archivos cert, asegrese de usar una clave de seguridad atada al archivo cert.

Adquisicin toma demasiado tiempo


Si la adquisicin se inici a una velocidad normal, y luego disminuy rpidamente despus de la adquisicin, hay una buena probabilidad de que el programa EnCase ha encontrado sectores defectuosos en la unidad de materia. Debido a que el software har varios intentos de lectura de sectores defectuosos, el tiempo de adquisicin puede aumentar. Habilitar la compresin aumenta considerablemente el tiempo de adquisicin. Una adquisicin completamente lento puede ser el resultado de un equipo ms lento. Si usted adquiere un soporte externo (es decir, los medios de almacenamiento es un disco duro externo) las tasas de transferencia ser significativamente ms lento que con un disco duro conectado directamente. Si la unidad de sujeto es un modelo ms antiguo o ms lento, la velocidad de adquisicin es limitada. Si el equipo forense tiene una unidad de almacenamiento mayor o menor, la adquisicin est frenado por la unidades de velocidad de escritura lenta. Si usted est adquiriendo una unidad nueva, trate de un cable de 80 hilos, ya que esto permite un rendimiento ms rpido. Asegrese de que el Cable FireWire / USB est bien conectado en ambos extremos. Si FireWire no est disponible, utilice una conexin USB 2.0 (USB 2.0 es hasta 40 veces ms rpido que USB 1.0). Adems, cuando se utiliza USB, limitar cualesquiera otras tareas intensivas de la CPU durante la adquisicin, ya que stos contribuyen a una prdida de velocidad de transferencia. Usar puertos FireWire siempre que sea posible, ya que la interfaz es ms rpido que USB.

Adquisicin y verificacin hash no coinciden


Puede haber un problema de integridad de los datos con el cable. Trate de usar un cable de 40 hilos, si usted est usando un 80 cable de alambre, un cable IDE ms corto, y / o un cable blindado IDE si es posible. Trate de usar un USB o cable FireWire.

Traducido por Sykrayo Espaa

FastBloc SE Module

105

Hay diferentes valores hash cada vez que la unidad es ordenado


Esto indica una unidad defectuosa. Debido a que el nmero de errores de sectores aumenta cada vez, los valores de cambio de hash. Dado que la primera adquisicin tpicamente contiene el menor nmero de sectores defectuosos, utilizar ese archivo para el anlisis.

Hay varios sectores defectuosos despus de la adquisicin


Esto puede indicar una unidad defectuosa. Asegrese de que los cables estn bien conectados al controlador y la unidad. Si la unidad de sujeto se encuentra en un recinto al intentar adquirirla, puede que se caliente durante la adquisicin. Trate de extraer la unidad de la caja para mantener ms fresco, lo que puede reducir el nmero de errores de sectores.

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

CAPTULO 6

Mdulo de CD / DVD
Qu es el mdulo de CD / DVD? Quemar archivos de evidencia durante la adquisicin

Grabacin de archivos de evidencia lgica durante la adquisicin Grabacin de archivos e informes Quemar la evidencia existente y archivos de evidencia lgica

Traducido por Sykrayo Espaa

108

EnCase Version 6.12 Modules Manual

Qu es el mdulo de CD / DVD?
Utilice el mdulo de CD / DVD para grabar el siguiente en un CD o DVD: Evidencia y lgica archivos de evidencia durante la adquisicin Los archivos y carpetas, as como los informes emitidos por el programa EnCase Existentes archivos de evidencia y archivos de evidencia lgica A menos que se especifique lo contrario, los archivos quemados mantener las siguientes propiedades (si estn disponibles): Nombre de entrada (ya sea de entrada o de informe) Fecha de la ltima escrita Fecha de disponibilidad Creado Tamao de lgica
En consonancia con las prcticas de informtica forense de sonido, probar el mdulo de CD / DVD con los medios de comunicacin no pruebas para verificar la instalacin y funcionamiento antes de utilizarla con pruebas reales.

Quemar archivos de evidencia durante la adquisicin


El proceso para la grabacin de un archivo de datos en un medio extrable en el momento de una adquisicin comienza con una vista previa: 1.Create un caso nuevo o abrir uno existente. 2.Add un dispositivo para la vista previa que se describe en la Gua de Usuarios EnCase. 3.Right haga clic en el icono del dispositivo en el rbol de la caja, a continuacin, seleccione Adquirir. 4.Cuando se llega a la pantalla de opciones, selecciona Grabar disco, a continuacin, haga clic en Siguiente.

Traducido por Sykrayo Espaa

CD/DVD Module

109

Seleccin de informacin de CD
Para seleccionar la informacin del CD, seleccione las opciones apropiadas de las opciones preconfiguradas en el cuadro de dilogo Informacin del CD.

Joliet: Esto especifica el formato de la imagen a que se adhieran a la norma Joliet, que permite nombres de entrada largos. UDF: Esto especifica el formato de la imagen a que se adhieran a la norma UDF, que se utiliza principalmente para los DVD. Burn: Esto da inicio a la quema de la imagen en el disco una vez que haga clic en Finalizar. Si la casilla no est seleccionada, la carpeta de archivo de la imagen se actualiza, pero no se quem hasta iniciada por el usuario en la pestaa Entradas Archive. Un ISO tambin se crea para que el usuario se queme en cualquier momento con cualquier programa. Eliminar ISO Quemar despus de: Esto borra la imagen ISO creada a partir de la carpeta temporal creada con la opcin Ruta de acceso una vez que se quema a los medios de comunicacin. Editorial: Este campo opcional permite especificar el nombre de la persona que quema la imagen en el disco. Preparador: Este campo opcional permite especificar el nombre de la persona que prepar la imagen para la grabacin. Ruta de acceso: Este campo establece la ruta de la ubicacin temporal de la imagen ISO antes de ser quemado. Grabadoras de CD: Cualquier quemador de medios de comunicacin reconocido por el sistema aparece en esta ventana. Seleccione el grabador de medios de su eleccin. Si un quemador reconocido no est en la lista, la opcin de quema est desactivado. La imagen producida contiene el formato ISO9660 con Joliet seleccionada por defecto. Si se seleccionan formatos Joliet o UDF, ms rboles se construyen para esos formatos. ISO9660 permite slo nombres de ocho caracteres (antiguo DOS 8.3). Nombres ms de ocho caracteres se truncan a los cuatro primeros caracteres del nombre de archivo, seguido de cuatro nmeros al azar.

Traducido por Sykrayo Espaa

110

EnCase Version 6.12 Modules Manual

Ardor
Cuando la adquisicin inicial se haya completado, la pantalla de estado y la quema a que han comenzado CD, indican mediante un hilo ardiente azul que aparece en la barra de tareas de los programas de EnCase. Evidencia entradas se queman, siempre y cuando haya suficiente espacio a la izquierda en el medio basado en el tamao de segmento de conjunto. Si no hay lugar a la izquierda, se expulsa el disco y aparece un mensaje que le indica que inserte otro disco. Entradas evidencia se verifica en los medios extrables despus de haber sido quemadas. Despus se quema la entrada, una ventana de estado informa de los resultados de la escritura y la verificacin.

Grabacin de archivos de evidencia lgica durante la adquisicin


Para grabar un archivo de evidencia lgica durante la adquisicin: 1.Preview el dispositivo. 2.En la ficha Entradas, seleccione las carpetas para el archivo de evidencia lgica. 3.Right ratn y seleccione Crear archivo de evidencia lgica. 4.In el cuadro de dilogo Archivo Evidencia Lgica Crear, seleccione Grabar disco, a continuacin, haga clic en Siguiente. 5.5. En el cuadro de dilogo CD de la informacin, seleccionar las opciones como se describi anteriormente.

Un subproceso independiente tiene una duracin de la quema de las entradas de las pruebas lgicas, mientras que se crean. La quemadura de disco se produce cuando el primer segmento termina adquiriendo. Para cancelar la grabacin, haga doble clic en el mensaje de estado Burning azul en la barra de tareas inferior. Pruebas lgicas, como otras entradas pruebas, se verifica despus de quemarse. La ventana de estado en la parte final del proceso de verificacin y presenta el estado de la adquisicin de las entradas quemados. Si no hay una habitacin libre en un disco, el disco se expulsa y se debe mostrar una confirmacin para insertar otro disco.

Grabacin de archivos e informes


Crear una nueva sesin de imagen

Traducido por Sykrayo Espaa

CD/DVD Module Para crear una nueva sesin de la imagen:

111

Traducido por Sykrayo Espaa

112

EnCase Version 6.12 Modules Manual 1.Seleccione Archivos de almacenamiento en el men desplegable View. 2.To crear una nueva sesin de imagen para la grabacin de datos en un CD / DVD de las entradas o informes seleccionados, haga clic en la raz de Archivos Archivo y seleccione Nueva Imagen. Por defecto, el mdulo coloca elementos almacenados en cach en C: \ Archivos de programa \ EnCase6 \ Cache. Para cambiar la ruta raz, haga clic en el elemento raz, seleccione Cambiar ruta de root, y busque o cree una carpeta.

Un icono del disco aparece en el rbol, llamado discimage1. Imgenes posteriores creados se denominan discimage2, discimage3, etctera 3.To imgenes de cambio de nombre, haga clic en la carpeta de imgenes (o pulse F2) y seleccione Cambiar nombre. Una imagen en cach de este archivo se almacena en C: \ Archivos de programa \ EnCase6 \ Cache con el nombre de la carpeta y . Cdi extensin.

Preparacin de las entradas para la grabacin de


Para preparar las entradas para la grabacin: 1.In la ficha Entradas, seleccione las entradas que se enviarn en un medio extrable. 2.Haga clic en la carpeta deseada en el rbol de carpetas y seleccione Copiar o Copiar / UnErase para abrir las ventanas de opciones estndar de estas caractersticas.

Traducido por Sykrayo Espaa

CD/DVD Module

113

Utilice copiar carpetas para aadir las entradas seleccionadas en la carpeta, manteniendo las entradas existentes. Los tamaos de archivo de las entradas seleccionadas conservan el tamao lgico original del archivo, pero no el tamao fsico.

Utilice Copia / Unerase para mantener la estructura sobre la base de las opciones establecidas en el men de exportacin, como el archivo lgico, todo el archivo fsico, memoria RAM y disco Slack, etc

Traducido por Sykrayo Espaa

114

EnCase Version 6.12 Modules Manual 3.Right haga clic en el icono Archivos Archivo en la ventana Carpeta de destino y seleccione Nueva Imagen. Por defecto, este isdiscimage1. Las carpetas creadas anteriormente son visibles en el destino Ventana de carpeta. 4.Seleccione la carpeta adecuada, haga clic en Finalizar. 5.Haga clic en Aceptar para agregar las entradas a la carpeta Archivos de Archivo. 6.To ver las entradas agregado, vaya a la pestaa Archivos Archivo y seleccione la carpeta donde se enviaron las entradas. 7.Right haga clic en la tabla y seleccione Actualizar.

Informes Preparacin para la grabacin de


Para preparar un informe para la grabacin: 1.Go informar de vista, ya sea en el panel de tabla o panel de vista. 2.Haga clic en el panel de informe y seleccione Exportar.

3.In el cuadro de dilogo Exportar informe, seleccione Grabar en disco. 4.Seleccione la salida apropiada formato, documento o pgina web. 5.Ingrese la ruta completa en el campo Ruta o busque la ubicacin de exportacin. 6.Seleccione una carpeta de destino. Si las entradas que ya existen en la carpeta de destino, se agregan las entradas seleccionadas para ellos. 7.Haga clic en Aceptar para agregar el informe a la carpeta discimage. El informe que acaba de agregar se almacena en la pestaa Archivos Archivo y salv el mundo para que pueda aadir o eliminar de ella en cualquier momento.

Traducido por Sykrayo Espaa

CD/DVD Module

115

Quemar las carpetas imagen creada en el disco


Antes de grabar una imagen de disco, las entradas y los informes se pueden mover entre los volmenes de arrastrar y soltar desde una imagen a otra. Cada imagen puede tener su propio formato y las opciones de salida: Para acceder a la ventana de opciones para ver o editar la configuracin, haga clic derecho y seleccione un volumen Editar. Para cambiar el nombre de un volumen haga clic derecho y seleccione Cambiar nombre. Para grabar la imagen en el disco: 1.Haga clic en la carpeta de imgenes y seleccione Grabar disco. 2.In la ficha Archivos Archive, las imgenes de disco aparecen con indicaciones que figuran en el panel de la tabla.

3.Seleccione las opciones apropiadas de las opciones preconfiguradas en el cuadro de dilogo Informacin del CD como se describe anteriormente. Cuando se quema la imagen, una ventana de estado informa de los resultados de la escritura.

Quemar la evidencia existente y archivos de evidencia lgica


EnCase archivos de evidencia y archivos de evidencia lgica que ya estn creados se pueden grabar en medios de comunicacin de la interfaz de EnCase. Las excepciones a esta funcionalidad son: Entradas individuales SafeBack Imgenes

Unidades previsualizarlos Imgenes VMware Volmenes montados imgenes dd Imgenes de Virtual PC Los dems archivos que no evidencia

Para grabar un archivo de pruebas EnCase o Archivo evidencia lgica en un disco, en primer lugar, se debe agregar a la caja mediante los mtodos estndar: Arrastrar y soltar el archivo en la interfaz de EnCase Usando Agregar dispositivo Para grabar un archivo de datos existente o evidencia lgica: 1.En la ficha Calidad, seleccione la subpestaa Dispositivos. 2.Haga clic en la tabla y seleccione la imagen que se quem. Tenga en cuenta que slo el dispositivo resaltado se quema, no seleccionado (azul a cuadros) equipos.

Traducido por Sykrayo Espaa

116

EnCase Version 6.12 Modules Manual 3.Right haga clic en el dispositivo y seleccione Grabar en disco.

4.Contine como se describe en la seleccin de informacin de CD, en la pgina 109.

Traducido por Sykrayo Espaa

CD/DVD Module

117

Traducido por Sykrayo Espaa

Guidance Software
Aviso Legal
Ninguna parte de este manual, incluyendo los productos y software descrito en ella, puede ser reproducida, transmitida, transcrita, almacenada en un sistema de recuperacin, o traducida a cualquier idioma de cualquier forma o por cualquier medio, excepto la documentacin conservada por el comprador para copia de seguridad propsitos, sin la autorizacin expresa por escrito de la Gua Software, Inc. (GSI). GSI PROPORCIONA ESTA PUBLICACIN TAL CUAL SIN GARANTA DE NINGN TIPO, YA SEA EXPRESA O IMPLCITA, INCLUYENDO PERO NO LIMITADO A LAS GARANTAS O CONDICIONES IMPLCITAS DE COMERCIALIZACIN O IDONEIDAD PARA UN PROPSITO PARTICULAR. EN NINGN CASO, GSI, SUS DIRECTORES, OFICIALES, EMPLEADOS O AGENTES SERN RESPONSABLES POR CUALQUIER DAO INDIRECTO, ESPECIAL, INCIDENTAL O CONSECUENTE (INCLUYENDO DAOS POR PRDIDA DE BENEFICIOS, PRDIDA DE NEGOCIO, PRDIDA DE USO O DE DATOS, INTERRUPCIN DEL NEGOCIO Y LAS similares), INCLUSO SI GSI HA SIDO ADVERTIDO DE LA POSIBILIDAD DE TALES DAOS DERIVADOS DE CUALQUIER DEFECTO O ERROR EN ESTE MANUAL O PRODUCTO. CEIC, EnCase eDiscovery Suite EnCase Enterprise EnCase Enterprise AIRES, EnCase Forensic, ENCE, EnScript, FastBloc, Guidance Software, EnCase Neutrino, Snapshot y WaveShield son marcas comerciales o marcas comerciales propiedad de GSI en los Estados Unidos y en otras jurisdicciones, y no mayo ser utilizados sin consentimiento previo por escrito. Todas las dems marcas y marcas pueden ser reclamados como propiedad de sus respectivos dueos. Los productos y nombres comerciales que aparecen en este manual pueden ser o no ser marcas registradas o derechos de autor de sus respectivos propietarios, y se utilizan slo para identificacin o explicacin en el beneficio los propietarios, sin intencin de infringir. Manuales de productos y Documentacin son especficos de las versiones de software para el que estn escritas. Para los manuales anteriores u obsoletos, informacin de lanzamiento del producto, pngase en contacto Guidance Software en http://www.guidancesoftware.com. Especificaciones e informacin contenidas en este manual se suministra nicamente con fines informativos y estn sujetos a cambios en cualquier momento sin previo aviso.

Apoyar
Guidance Software desarrolla soluciones que buscar, identificar, recuperar y entregar la informacin digital de manera vlida a efectos legales y rentables. Desde nuestra fundacin en 1997, hemos pasado a las investigaciones facilitadas por la red, y una amplia integracin de la empresa con otras tecnologas de seguridad. Esta seccin proporciona informacin sobre nuestro apoyo a travs de:

Traducido por Sykrayo Espaa

Traducido por Sykrayo Espaa

118

EnCase Version 6.12 Modules Manual Manuales tcnicos y notas de la versin Apoyo portal en la Web, incluyendo el acceso a las descargas Departamento de Soporte Tcnico Departamento de Servicio al Cliente Foros Capacitacin Servicios profesionales

Manuales Tcnicos y Notas de la versin


Guidance Software ofrece manuales impresos para todas nuestras lneas de productos, as como las versiones en PDF de actualizaciones provisionales y las notas de la versin, que describe las nuevas caractersticas y problemas corregidos. Damos la bienvenida a sus comentarios sobre la documentacin. No dude en comunicarse con nosotros al documentation@guidancesoftware.com (mailto: documentation@guidancesoftware.com).

Soporte Tcnico
Guidance Software ofrece una variedad de opciones de apoyo, incluyendo telfono, correo electrnico, formularios de presentacin en lnea, de una al da la base de conocimientos, y un tablero de mensajes (foro tcnico). El soporte est disponible desde el domingo, 19:00 a viernes, 6:00 am Hora del Pacfico (Lunes, a las 3:00 AM a sbado, 13:00 GMT). Se excluyen los das festivos en los Estados Unidos y el Reino Unido durante las horas respectivas.

Telfono / Correo Support


EE.UU. Informacin de contacto: 215 North Marengo Avenida Suite 250 Pasadena, CA 91101 Telfono: 1-626-229-9191, opcin 4 Fax: 626-229-9199 Reino Unido Informacin de contacto: Thames central, 5th Floor Hatfield carretera Slough, Berkshire SL1 Unido 1QE Telfono: +44 (0) 1753552252, opcin 4 Fax: +44 (0) 1753552232 Nmeros de telfono gratuitos: Alemania: 0-800-181-4625 China: 10-800-130-0976 Australia: 1-800-750-639 Hong Kong: 800-96-4635 Nueva Zelanda: 0-800-45-0523 Japn: 00-531-13-0890

Traducido por Sykrayo Espaa

Guidance Software

119

Soporte en lnea
Guidance Software ofrece un portal de asistencia para nuestros usuarios registrados, proporcionando foros tcnicos, una base de conocimientos, una base de datos de seguimiento de fallos, y un formulario de solicitud en lnea. El Portal le permite acceder a todas las cuestiones relacionadas con el soporte de un sitio. Esto incluye: Usuario, de productos, pruebas beta, y extranjeros foros lenguaje (las herramientas) Base de conocimientos Bug Tracker Servicios Tcnicos Solicitud Descargas de versiones anteriores del software, drivers, etc Otros enlaces de inters Aunque el soporte tcnico est disponible por correo electrnico, usted recibir ms completa, el servicio ms rpido cuando se utiliza el formulario de solicitud de soporte tcnico en lnea (https://support.guidancesoftware.com/node/381). Tenga en cuenta que todos los campos son obligatorios, y llenarlos por completo reduce la cantidad de tiempo que se necesita para resolver un problema. Si usted no tiene acceso al portal de soporte, por favor, utilice el formulario de inscripcin Portal de Soporte (https://support.guidancesoftware.com/forum/register.php?do=signup).

Registro
El registro requiere que elija un nombre de usuario y contrasea nicos. Proporcione toda la informacin solicitada, incluyendo ID del dongle, telfono, direccin de correo electrnico, organizacin, etc Esto nos ayuda a identificarlo como propietario registrado de EnCase. Usted recibir un correo electrnico dentro de las 24 horas. Tiene que seguir el enlace de ese correo electrnico antes de que puedas publicar mensajes en los foros. Hasta que lo haga esto, usted no tendr permiso para publicar. Una vez que haya verificado su direccin de correo electrnico, usted ser aadido a la lista de registro. Por favor, espere 24 horas hbiles para que su cuenta sea aprobada. Una vez aprobado su registro, usted puede acceder al Portal de Soporte (https://support.guidancesoftware.com/). El Portal de Soporte ofrece un tutorial que overviews brevemente el sitio.

Traducido por Sykrayo Espaa

120

EnCase Version 6.12 Modules Manual

Usuario, del producto y de lenguas extranjeras Foros


Para tener acceso a los foros, haga clic en la pestaa Forum (https://support.guidancesoftware.com/forum/) En el Apoyo Portal.

Los foros permiten a los usuarios registrados enviar preguntas, intercambiar informacin y mantener conversaciones con Software de Orientacin y de otros usuarios de la comunidad EnCase. Diferentes grupos de discusin estn disponibles de la siguiente manera: Grupos Idioma Extranjero Francs rabe Alemn Espaol Japons Chino Coreano Grupos Foro Grupo de usuarios Consultor y Profesionales Forenses ordenador Problemas de hardware Foro EnScript Grupos de productos especficos EnCase Neutrino Empresa FIM eDiscovery Estos grupos slo estn disponibles para clientes que hayan adquirido los respectivos productos. Escriba un grupo haciendo clic en el nombre del grupo.

Publicar en un grupo
Para crear un nuevo mensaje, haga clic en el icono.

Haga clic en el icono para contestar a un mensaje, o utilice el icono de respuesta rpida en la parte inferior de cada post.

Traducido por Sykrayo Espaa

Guidance Software

121

Bsqueda
Los foros contienen una acumulacin de ms de diez aos de informacin. Utilice el botn de bsqueda de palabras clave, o haga clic en Bsqueda avanzada para opciones de bsqueda especficos.

Bug Tracker
Utilice Bug Tracker para presentar y comprobar el estado y la prioridad del defecto presentado y solicitudes de mejora. Se desglosa por producto, que muestra el nmero actual de errores / mejoras y errores comunes para cada producto. Para acceder al seguimiento de fallos, haga clic en el Bug Tracker (https://support.guidancesoftware.com/forum/project.php) En el portal de soporte.

Base de conocimientos
Usted puede encontrar las respuestas a las preguntas ms frecuentes (FAQs) y otros productos tiles documentacin de la base de conocimientos. Tambin puede enviar sus propios artculos para ayudar a otros EnCase los usuarios. Para acceder a la base de conocimientos, haga clic en Base de conocimientos (https://support.guidancesoftware.com/directory) En el portal de soporte.

Desde aqu, se puede navegar, buscar y escribir artculos de Knowledge Base.

Online Formulario de Solicitud de Soporte Tcnico


Utilice el formulario de solicitud de ayuda a un ingeniero de servicio tcnico. Para acceder al formulario, haga clic en el formulario de solicitud (https://support.guidancesoftware.com/node/381) En el portal de soporte.

Traducido por Sykrayo Espaa

122

EnCase Version 6.12 Modules Manual

Otros enlaces tiles

La pgina de destino Portales de soporte contiene una seccin de enlaces de inters, entre ellos: Guidance Software Pgina Principal Centro de descargas para descargar software, hardware, manuales, discos de arranque, artculos de soporte, etc Mi cuenta para registrar su Identificacin del dongle para recibir al da el software por correo electrnico NVD (National Vulnerability Database) Informacin y Respuestas Gua del producto Matrix Versin para verificar la compatibilidad de las diferentes versiones de productos Recomendaciones de hardware para EnCase Forensic y EnCase Empresa Suscrbete a errores Pblicas

Servicio al cliente
El Software Departamento de Servicios al Cliente de Orientacin est compuesto por, personal altamente capacitado capaz de resolver cualquier problema relacionado con su solicitud. Horario e informacin de contacto se enumeran a continuacin. Telfono: 626.229.9191 Fax: 626.229.9199 Email: customerservice@guidancesoftware.com (mailto: customerservice@guidancesoftware.com) Internet: http://www.guidancesoftware.com/support/cs_requestform.aspx Horario: lunes a viernes de 6:00 am a 5:00 pm, hora del Pacfico

Traducido por Sykrayo Espaa

Guidance Software

123

Foros
Los tablones de mensajes Guidance Software son recursos para la comunidad forense para intercambiar ideas, hacer preguntas y dar respuestas. Los tablones de mensajes son un recurso invaluable para el investigador forense. Las discusiones van desde tcnicas bsicas de adquisicin de un anlisis en profundidad de los archivos cifrados y ms. Miles de usuarios experimentados y cualificados son registrados en las tablas, la revisin de mensajes cada da, y aportando su experiencia en todos los productos de software de orientacin. Ms informacin acerca de los foros, incluida la informacin sobre cmo inscribirse en el tabln de anuncios, se encuentra en: http://www.guidancesoftware.com/support/messageboards.asp.

Descargas
Cuando usted recibe su producto, se registra en Guidance Software para recibir actualizaciones. El registro se encuentra en https :/ / www.guidancesoftware.com / myaccount / registration.aspx sitio. Si tiene algn problema para registrar el producto, pngase en contacto con Servicio al Cliente (consulte la pgina 122). Si tiene problemas para descargar las actualizaciones una vez registrados, pngase en contacto con soporte tcnico (vase la pgina 118).

Capacitacin
Guidance Software ofrece una variedad de cursos de formacin profesional para el usuario principiante, intermedio y avanzado de todas sus aplicaciones. Adems de proporcionar una base slida en nuestro software, tambin ofrecemos a nuestros estudiantes con las mejores prcticas aceptadas para la investigacin, la generacin de informes y la preservacin de pruebas. Guidance Software ofrece cursos para las fuerzas de seguridad, las organizaciones relacionadas con la medicina forense y respuesta a incidentes y temas avanzados para todos los usuarios.

Servicios profesionales
El software de la Divisin de Servicios de Orientacin Profesional (PSD) combina lderes mundiales expertos en investigaciones informticas con tecnologa lder en el mundo forense para ofrecer soluciones llave en mano para las investigaciones forenses. Guidance Software ha combinado su tecnologa lder de investigacin de equipos con un equipo de los investigadores ms altamente capacitados y capaces en el mundo para ofrecerle soluciones completas llave en mano para su negocio. Cuando se enfrentan a problemas de investigacin que van ms all de sus capacidades internas, nuestro grupo de servicios profesionales es capaz de responder de forma remota o por entrar en el lugar para proporcionar la tecnologa adecuada y el personal de investigaciones informticas para el trabajo.

Traducido por Sykrayo Espaa

124

EnCase Version 6.12 Modules Manual

Investigaciones internas
El robo de la propiedad intelectual Reconstruccin de intrusiones Demanda de despido injustificado

Conformidad
Sarbanes-Oxley Evaluacin de riesgos PII California SB 1386

eDiscovery
Litigios pendientes Produccin Responsive Forense preservacin

Seguridad de la Informacin
Compromiso de la integridad del sistema Revisin de la poltica El uso no autorizado Forense implementacin del laboratorio

Traducido por Sykrayo Espaa

ndice
La
Acceso al disco local en el Explorador de Windows 65 Acceso al Share 85 Analizar EFS 14, 18 Asociada seleccionado 21 (L01) 42 Servicio al Cliente 122, 123

B
Antecedentes 96 Soporte de cifrado BitLocker (Volumen Encryption) 32 Arranque archivos de evidencia y Sistemas Live con VMware 68 Inicie la mquina virtual 71 Incorporado Ataque 57 Quema 110 Grabacin de archivos de prueba durante Adquisicin 108 Quemar la evidencia existente y la evidencia lgica Archivos 114 Grabacin de archivos e informes 110 Grabacin de archivos de evidencia lgica durante la adquisicin 110 Quemar las carpetas imagen creada en disco 114

C
Mdulo de CD / DVD 9, 107 CD-DVD Mdulo Requisitos especficos 5 Los archivos de certificado para la clave de seguridad 5 Certificados programados en la clave de seguridad 5 Cambiar el punto de montaje 84 Cierre y cambiar el disco emulado 67 Cierre de la conexin 92 Archivos compuestos 78 Configuracin del cliente PDE 63 Configuracin del servidor 90 Conexin de los Clientes 92 Crear una nueva sesin de imgenes 110 Soporte de cifrado CREDANT (basado en archivos Encryption) 37 Soporte de cifrado CREDANT (Desconectado Escenario) 41 Archivos CREDANT y archivos de evidencia lgica

Traducido por Sykrayo Espaa

126

EnCase Version 6.12 Modules Manual

D
Bloquear descifrado 53 Descifrado de S / MIME mensajes de correo electrnico en un archivo de prueba Creado en Windows Vista 49 Archivos borrados 79 Determinacin de cifrado buzn local 51 Diccionario Ataque 56 De disco y cifrado de volumen 12 Almacenamiento en cach de disco 103 Disco almacenamiento en cach y vaciar la cach 103 Desmontar el recurso compartido de red 84 Descargas 123

E
EDS Caractersticas 12 EFS de archivos y pruebas (L01) Archivos lgicos 17 EnCase descifrado suite 11 EnCase descifrado suite Mdulo 7 EnCase mdulo Emulador de disco fsico 7 EnCase mdulo de sistema de archivos virtual 8 Bloque Cifrado 52 Sistema de cifrado de archivos 79 Ingrese Artculos 18 Formatos de archivo soportados por evidencia EnCase PDE 62 Formatos de archivo soportados por evidencia VFS 76 ext2, ext3, UFS, y otros sistemas de archivos 83

F
FastBloc SE Mdulo 9, 95 FastBloc SE Mdulo Requisitos especficos 4, 97, 98, 102 Encriptacin basada en archivo 13

T
GuardianEdge cifrado del disco duro conocido Limitacin 37 Guidance Software 117

H
HPA y DCO configurados los discos 96

Yo
Preparacin inicial 68 Instalacin de los mdulos EnCase 5, 97, 103 Instalacin del FastBloc SE Mdulo 97

Traducido por Sykrayo Espaa

Archivos internos y archivos del sistema de archivos 80 Introduccin 3, 4

Soporte SafeBoot Encryption (Encriptacin de disco) 23

L
Aviso Legal 117 Localmente cifrados NSF Resultados Analizar 54 Lotus Notes admite el cifrado local 51

M
Malware de escaneo 86 Foros 123 Requisitos mnimos recomendados 4 Mount Network Options Compartir 77 Los archivos montados 13 Montaje de una sola unidad, dispositivo, volumen, o Folder 76 Evidencia de montaje con VFS 76 Montaje de dispositivos no son de Windows 65

N
Asistente para nueva mquina virtual 68 Soporte de cifrado NSF 49

O
Otros sistemas de archivos 83 Otras herramientas y visores 87 Anulacin HPA y DCO Configuracin 97 Sinopsis 12

P
Analizar un buzn local cifrado 51 PDE Solucin de problemas 73 Emulador de disco fsico 61 Preparacin de las entradas para Burning 111 Los informes se preparan para Burning 113 Vista previa de un dispositivo bloqueado Write 102 Matriz de Productos 12, 13 Servicios Profesionales 123

R
RAID 79 RAM y disco Slack 80 Recuperacin de contraseas de NSF 49 Extraccin de bloqueo de escritura de un USB, FireWire o Dispositivo SCSI 100 Restauracin 102 Restringir el acceso por direccin IP 91

S
S / MIME Support Encryption 43

Traducido por Sykrayo Espaa

Ahorro y desmontaje del disco emulado 65 Asegure los elementos de almacenamiento 23 Tab almacenamiento seguro 17 Tab almacenamiento seguro y EFS 17 Seleccin de Informacin CD 109, 115 A partir Emulador de disco fsico 62 Apoyo 117 Algoritmos de cifrado CREDANT compatibles 41 Algoritmos de cifrado SafeBoot compatibles 26 Apoyado Utimaco SafeGuard Easy Encryption Algoritmos 26

T
Manuales Tcnicos y Notas de la versin 118 Asistencia tcnica 118, 123 Archivos temporales Recordatorio 67, 89 Herramientas de terceros 67, 86 Capacitacin 123 Solucin de problemas 93, 103 Solucin de problemas de S / MIME descifrado Error 47 Desactivacin IDE Write Protection Bloquear 99

U
Usando EDS 14 Usando Emulador de disco fsico 62 Uso de la interfaz EnCase 85 Utilizando el mdulo SE FastBloc 98 Uso de las herramientas de terceros 67 Con el Explorador de Windows 85 Utimaco desafo / respuesta de apoyo 26, 27 Utimaco SafeGuard Easy cifrado conocido Limitacin 32 Utimaco SafeGuard Easy admite el cifrado 26

V
Verificacin de los mdulos estn instalados 6 VFS Mdulo Requisitos especficos 4 VFS servidor 89 Sistema de archivos virtual 75 VMware / EnCase PDE Preguntas frecuentes 72

W
Qu es el mdulo de CD / DVD? 108 Qu es el Mdulo SE FastBloc? 96 Cul es el emulador de disco fsico? 62 Qu es VFS? 76 Tecla Windows Arquitectura 56 WinMagic SecureDoc Soporte cifrado 34 Barrido 102 Escribe las pruebas de validacin de bloques y almacenamiento en cach de disco 103

Traducido por Sykrayo Espaa

Escribe Bloqueo de un dispositivo USB, FireWire o SCSI 99 Escribe Bloqueo IDE y SATA Controller Cards 98