-
Sexta-feira, 17 de maio de 2013
EnCase EnScript automatizar Internet provas Finder (IEF) para v7
& EnCase v6
Em um esforo para tentar facilitar o fluxo de trabalho dos
examinadores, tenho desenvolvido uma Internet provas
Finder EnScript para uso com EnCase v6 e v7. O objetivo do
presente EnScript tornar mais fcil para o examinador
iniciar uma pesquisa de artefato de dentro EnCase enquanto eles
podem analisar seu caso. IEF ser executado em
segundo plano e fornecer uma tela de status de pesquisa familiar
enquanto ele est pesquisando e o examinador pode
continuar a trabalhar em seu caso no EnCase.
Depois de concludo, os artefatos sero realizados em um processo
IEF, como se voc tivesse lanado IEF da maneira
tradicional. Alm disso, uma vez que o IEF concluiu a busca de
artefatos, o EnScript fornece a capacidade para copiar
as informaes de artefato encontrado no EnCase como registro de
dados ou em uma planilha do Excel para anlise
adicional.
Para instalar, basta Copie o "Finder.EnPack de provas de
Internet" para a pasta apropriada, dependendo da verso do
EnCase voc est usando. EnCase v6 o local tpico :
C:\Program Files\EnCase6\EnScript\
ou
C:\Program Files (x86)\EnCase6\EnScript\
EnCase v7, o local normalmente :
C:\Program Files\EnCase7\EnScript\
ou
C:\Program Files (x86)\EnCase7\EnScript\
Para executar no EnCase v7, escolha "-EnScript > Run" da
barra de menu superior, em seguida, selecione o EnScript
(EnPack), voc simplesmente copiado para essa pasta.
Para v6 EnCase, clique duas vezes sobre o "Internet provas
Finder" EnScript listado no painel de filtro (inferior
direito).
Uma vez que o EnScript executado, voc ser presenteado com o
seguinte dilogo:
A primeira opo equivale opo "Tipo de pesquisa" no IEF e padres
como "Full". No EnCase v7 EnScript, voc
apresentado com trs opes de exportao; Nenhum, EnCase registros
ou planilha Excel. Essas opes no existem
no EnCase v6 EnScript. "None" significa os dados encontrados
pelo IEF sero armazenados dentro de um arquivo caso
-
do IEF e sempre podem ser exibidos usando o IEF. A opo "Encerrar
Records" significa uma cpia dos dados
encontrados vai ser exportada do IEF e colocada dentro da aba
EnCase registros para o caso atual. A ltima opo de
"Planilha Excel" significa uma cpia dos dados encontrados ser
exportada do IEF e colocada dentro de uma planilha
Excel com cada tipo de artefato, obtendo sua prpria planilha. O
processo do IEF e dados so criados e armazenados
na pasta de exportao de padro do caso.
A prxima opo determina se voc quer o EnScript automaticamente
iniciar o Visualizador do IEF e carregar os
artefatos encontrados, assim voc pode imediatamente rev-las no
IEF.
A quarta opo determina os tipos de artefatos que voc quer IEF
para procurar.
Qualquer texto nas notas do processo automaticamente transferido
para IEF e entrou para o arquivo do caso do IEF.
Alm disso, o nmero de nome e evidncia de examinador (EnCase v7)
so automaticamente retirado as informaes
casos EnCase quando o caso foi inicialmente criado.
As duas opes finais especificam onde o IEF.EXE e IEFRV.So
arquivos EXE. Esses dois arquivos so necessrios
para iniciar o IEF no fundo e depois carregar os dados do caso,
se selecionado. Uma vez inseridos inicialmente, esta
informao continua a ser cada vez que voc executar o
EnScript.
Uma vez que voc clicar em "OK", voc apresentado com uma lista de
provas onde voc pode selecionar quais
elementos de prova que deseja processar.
Uma vez executado, IEF vai lanar no fundo e processar todos os
arquivos de provas que voc selecionou. Ser exibida
uma tela de status do IEF:
-
Se voc selecionou a opo para o Visualizador de relatrios do IEF
lanar, o caso ser automaticamente carregado e
exibido no relatrio visto uma vez completo.
Se voc escolheu a opo de exportao para os dados exportados em
registros EnCase, voc ver isso no painel de
prova no EnCase v7:
Clique em que LEF carregar os registros na guia registros do
EnCase:
-
Voc poder ento Visualizar os dados de artefato encontrados IEF
da mesma forma como voc Ver os outros dados
armazenados em estrutura de registros EnCase e construir
filtros/condies personalizadas para identificar artefatos
especficos. Voc pode sempre Ver os dados do IEF nativamente no
Visualizador de relatrios do IEF clicando duas
vezes o arquivo caso IEFv6 armazenado na pasta padro exportao do
caso.
Se voc escolheu a opo de exportao a "planilha Excel", Excel
(obrigatrio) ir automaticamente iniciar e exibir os
artefatos com cada categoria de artefato em uma planilha
separada. Por padro, que o arquivo XLS automaticamente
salvo na pasta padro exportao do caso juntamente com o processo
do IEF e outros associados a dados.
-
Como sempre, se voc tiver quaisquer comentrios, sugestes ou
perguntas,
pode contactar-me directamente em: lance (at)
magnetforensics.com
Fazer o download do IEF EnScript EnCase v6
Fazer o download do IEF EnScript EnCase v7
