Você está na página 1de 5

Sexta-feira, 17 de maio de 2013

EnCase EnScript automatizar Internet provas Finder (IEF) para v7 & EnCase v6

Em um esforo para tentar facilitar o fluxo de trabalho dos examinadores, tenho desenvolvido uma Internet provas
Finder EnScript para uso com EnCase v6 e v7. O objetivo do presente EnScript tornar mais fcil para o examinador
iniciar uma pesquisa de artefato de dentro EnCase enquanto eles podem analisar seu caso. IEF ser executado em
segundo plano e fornecer uma tela de status de pesquisa familiar enquanto ele est pesquisando e o examinador pode
continuar a trabalhar em seu caso no EnCase.
Depois de concludo, os artefatos sero realizados em um processo IEF, como se voc tivesse lanado IEF da maneira
tradicional. Alm disso, uma vez que o IEF concluiu a busca de artefatos, o EnScript fornece a capacidade para copiar
as informaes de artefato encontrado no EnCase como registro de dados ou em uma planilha do Excel para anlise
adicional.
Para instalar, basta Copie o "Finder.EnPack de provas de Internet" para a pasta apropriada, dependendo da verso do
EnCase voc est usando. EnCase v6 o local tpico :
C:\Program Files\EnCase6\EnScript\
ou
C:\Program Files (x86)\EnCase6\EnScript\
EnCase v7, o local normalmente :
C:\Program Files\EnCase7\EnScript\
ou
C:\Program Files (x86)\EnCase7\EnScript\
Para executar no EnCase v7, escolha "-EnScript > Run" da barra de menu superior, em seguida, selecione o EnScript
(EnPack), voc simplesmente copiado para essa pasta.
Para v6 EnCase, clique duas vezes sobre o "Internet provas Finder" EnScript listado no painel de filtro (inferior direito).
Uma vez que o EnScript executado, voc ser presenteado com o seguinte dilogo:

A primeira opo equivale opo "Tipo de pesquisa" no IEF e padres como "Full". No EnCase v7 EnScript, voc
apresentado com trs opes de exportao; Nenhum, EnCase registros ou planilha Excel. Essas opes no existem
no EnCase v6 EnScript. "None" significa os dados encontrados pelo IEF sero armazenados dentro de um arquivo caso
do IEF e sempre podem ser exibidos usando o IEF. A opo "Encerrar Records" significa uma cpia dos dados
encontrados vai ser exportada do IEF e colocada dentro da aba EnCase registros para o caso atual. A ltima opo de
"Planilha Excel" significa uma cpia dos dados encontrados ser exportada do IEF e colocada dentro de uma planilha
Excel com cada tipo de artefato, obtendo sua prpria planilha. O processo do IEF e dados so criados e armazenados
na pasta de exportao de padro do caso.
A prxima opo determina se voc quer o EnScript automaticamente iniciar o Visualizador do IEF e carregar os
artefatos encontrados, assim voc pode imediatamente rev-las no IEF.
A quarta opo determina os tipos de artefatos que voc quer IEF para procurar.
Qualquer texto nas notas do processo automaticamente transferido para IEF e entrou para o arquivo do caso do IEF.
Alm disso, o nmero de nome e evidncia de examinador (EnCase v7) so automaticamente retirado as informaes
casos EnCase quando o caso foi inicialmente criado.
As duas opes finais especificam onde o IEF.EXE e IEFRV.So arquivos EXE. Esses dois arquivos so necessrios
para iniciar o IEF no fundo e depois carregar os dados do caso, se selecionado. Uma vez inseridos inicialmente, esta
informao continua a ser cada vez que voc executar o EnScript.
Uma vez que voc clicar em "OK", voc apresentado com uma lista de provas onde voc pode selecionar quais
elementos de prova que deseja processar.

Uma vez executado, IEF vai lanar no fundo e processar todos os arquivos de provas que voc selecionou. Ser exibida
uma tela de status do IEF:

Se voc selecionou a opo para o Visualizador de relatrios do IEF lanar, o caso ser automaticamente carregado e
exibido no relatrio visto uma vez completo.

Se voc escolheu a opo de exportao para os dados exportados em registros EnCase, voc ver isso no painel de
prova no EnCase v7:

Clique em que LEF carregar os registros na guia registros do EnCase:

Voc poder ento Visualizar os dados de artefato encontrados IEF da mesma forma como voc Ver os outros dados
armazenados em estrutura de registros EnCase e construir filtros/condies personalizadas para identificar artefatos
especficos. Voc pode sempre Ver os dados do IEF nativamente no Visualizador de relatrios do IEF clicando duas
vezes o arquivo caso IEFv6 armazenado na pasta padro exportao do caso.
Se voc escolheu a opo de exportao a "planilha Excel", Excel (obrigatrio) ir automaticamente iniciar e exibir os
artefatos com cada categoria de artefato em uma planilha separada. Por padro, que o arquivo XLS automaticamente
salvo na pasta padro exportao do caso juntamente com o processo do IEF e outros associados a dados.


Como sempre, se voc tiver quaisquer comentrios, sugestes ou perguntas,
pode contactar-me directamente em: lance (at) magnetforensics.com

Fazer o download do IEF EnScript EnCase v6
Fazer o download do IEF EnScript EnCase v7