|
 EnCase
Edición Forense
El Estándar en Computación Forense
El estándar a nivel
mundial en computación forense: Utilizado por más de 12.000 investigadores
y profesionales de la seguridad.
La policía, el gobierno, los militares y los investigadores corporativos
confían en EnCase Edición Forense para ejecutar exámenes
informáticos delicados y conclusivos. Guiados por nuestras relaciones
con investigadores en el mundo entero, El programa EnCase ha sido optimizado
para manejar la complejidad cada vez mayor de las configuraciones y capacidades
informáticas. El programa EnCase soporta un amplio rango de sistemas
operativos, archivos y periféricos que son el desafío de los investigadores
forenses diariamente. Como una herramienta seleccionada por la policía,
el programa EnCase ha soportado numerosos desafíos en las cortes de justicia,
demostrando su confiabilidad y exactitud. Recientemente, el Instituto Nacional
para Estándares y Tecnología (NIST) concluyó que EnCase
Imaging Engine (motor de creación de imágenes de discos) opera
con mínimos defectos. Ninguna otra solución de computación
forense tiene este record de credibilidad, otorgado por sus usuarios, agencias
independientes y cortes de justicia. EnCase software fue premiado con el prestigioso
premio eWEEK por la excelencia y un grado de 5 estrellas en SC Magazine.
Alto rendimiento
de procesamiento y confiabilidad
La clave para computación
forense es la capacidad de adquirir y analizar datos rápidamente. EnCase
Edición Forense V4 le permite a los investigadores manejar fácilmente
largos volúmenes de evidencia computacional, la visualización
de todos archivos relevantes, incluyendo aquellos eliminados y el espacio no
utilizado. La incomparable funcionalidad del programa de EnCase permite a los
investigadores llevar satisfactoriamente el proceso completo de investigación
computacional, incluyendo reportes personalizados de búsquedas y sus
ubicaciones.
Adquisiciones forenses confiables
El programa EnCase ejecuta
adquisiciones de medios produciendo un duplicado binario exacto de los datos
del medio original. EnCase verifica este duplicado generando valores de hash
MD5 en ambos medios (el original y el archivo imagen o "archivo de evidencia").
Adicionalmente, a cada 64 sectores de la evidencia se le asigna un valor CRC.
Estos valores CRC son verificados cada vez que la evidencia es accesada.
Flexibilidad extrema:
EnScript
EnScript es un macro lenguaje
de programación incluido en el programa EnCase. Emulando características
de Java y C++, EnScript le permite al investigador construir scripts personalizados
para necesidades específicas de la investigación y/o automatización
de tareas rutinarias complejas. Mediante la automatización de cualquier
tarea investigativa, EnScript no solamente puede salvar días de investigación,
si no semanas del tiempo de análisis.
Características
de EnCase Edición Forense
Múltiple
administración de casos
La característica
de múltiple administración de casos del programa EnCase, permite
a los investigadores ejecutar simultáneamente múltiples casos
hacia diferentes objetivos con diversos medios.
Soporte unicode
Cuando un usuario visualiza
un documento creado en un lenguaje diferente, el programa EnCase puede desplegar
los caracteres correctamente. Esta es una característica que le permite
al programa EnCase buscar palabras claves y desplegar los resultados en cualquier
lenguaje.
Configuración
dinámica de discos
El programa EnCase soporta
las siguientes configuraciones dinámicas de discos: Spanned, Mirrored,
Striped, RAID 5 y básico. Con el ingreso de un mínimo de información,
por parte del investigador, el programa EnCase puede detectar automáticamente
la configuración de los discos y conectar todas las particiones, mientras
que se conservan intactas las áreas libres y de arranque para futuras
búsquedas.
Búsqueda
y análisis: palabras claves, búsqueda de hash y firmas, y filtros
EnCase Edición
Forense V4 le permite a los investigadores analizar y pre visualizar simultáneamente
múltiples bloques de datos adquiridos. Los investigadores pueden utilizar
búsquedas globales de palabras claves, análisis de hash, análisis
de firmas de archivos y filtros específicos de archivos para analizar
rápidamente la evidencia.
Opciones de adquisición
múltiple
Al igual que existen muchas
formas de medios digitales, existen muchas otras formas de adquisición
de medios. EnCase incluye cables para puertos paralelos y cable de red cruzado
para Windows y DOS. Ambos métodos permiten al programa "escribir
bloques" para ser colocados en el medio sospechoso, asegurando que el medio
original no sea alterado.
Sistemas de archivos
(file systems) interpretados por EnCase
Los siguientes sistemas
de archivos son actualmente soportados por EnCase Edición Forense Versión
4: FAT12 (disco flexible), FAT16, FAT32, NTFS, HFS, HFS+, Sun Solaris UFS, EXT2/3,
Reiser, BSD FFS, Palm, CDFS, Joliet, UDF e ISO 9660.
Soporte para correo
electrónico PST
El programa EnCase soporta
archivos PST que tengan cifrado compresible y cifrado completo, obviando el
archivo de contraseñas PST.
Visor de galería
El visor de galería
provee un método simple para visualizar rápidamente todas las
imágenes en el archivo de evidencia. La galería despliega imágenes
BMP, JPGs, GIFs y TIFFs.
Visor de escala
de tiempo
El visor de escala de tiempo
le permite a los investigadores visualizar gráficamente toda la actividad
de en un estilo de calendario, ilustrando los atributos del archivo, por ejemplo:
cuándo el archivo fue creado, última vez accesado o escrito. El
visor de escala de tiempo puede mostrar escalas desde días hasta años,
sirviendo como una herramienta invaluable para mirar todos los patrones de actividad
de archivos.
Visor de reportes
Los reportes pueden ser
generados sobre cualquier archivo, carpeta, volumen, disco físico o el
caso completo. Los reportes incluyen información referente a la adquisición
de datos, geometría del disco, estructuras de carpetas, marcadores de
archivos e imágenes. Los investigadores pueden exportar los reportes
a formato RTF o HTML.
EnCase módulo
del sistema de archivos de cifrado (Encrypting File System . EFS)
El módulo de EFS
de EnCase provee la capacidad de descifrar carpetas y archivos del sistema de
archivos cifrados (EFS), para usuarios locales autenticados.
EnCase módulo
del sistema de archivos virtuales (Virtual File System . VFS)
El módulo de VFS
de EnCase permite a los examinadores montar la evidencia de un computador en
modo de lectura únicamente y fuera de la red, permitiendo la examinación
adicional de la evidencia usando el explorador de windows y herramientas de
terceros.
Módulo del
servidor de autenticación en red (Network Authentication Server . NAS)
El servidor de autenticación
en red provee una completa flexibilidad en el licenciamiento del programa EnCase.
NAS permite licenciar el programa EnCase de tres formas: Local en el computador
del examinador, remotamente con servicios de terminal y a través de red
usando el administrador de licencias (License Manager).
Acerca de Guidance
Software
Guidance Software es el
líder en computación forense y soluciones de respuesta a incidentes.
Fundado en 1997 y ubicado en Pasadena, CA. Guidance Software tiene oficinas
y centros de capacitación en California, Virginia y el Reino Unido. Más
de 12.000 investigadores corporativos y del gobierno confían en el programa
EnCase, mientras que más de 3.500 investigadores atienden a las capacitaciones
anuales sobre metodología en forenses. Aceptado por numerosas cortes
judiciales y honrado con el premio a la excelencia de eWEEK y el premio anual
de SC Magazine, el programa EnCase es considerado como la herramienta estándar
en computación forense. Para mayor información, visite el web
site de Guidance Software en www.guidancesoftware.com.
Acerca de Internet
Solutions
Internet Solutions es
una compañía de servicios e integración de soluciones de
prevención, detección y reacción en Seguridad Informática,
proporcionando confidencialidad, integridad, disponibilidad, autenticación
y no repudio en la información. Para mayor información, visite
el web site de Internet Solutions en www.internet-solutions.com.co ó
escriba a info@internet-solutions.com.co
.La
clave para computación forense es la capacidad de adquirir y analizar
datos rápidamente.
| 
