Forense en medios digitales

EnCase Edición Forense

El Estándar en Computación Forense

El estándar a nivel mundial en computación forense: Utilizado por más de 12.000 investigadores y profesionales de la seguridad.

La policía, el gobierno, los militares y los investigadores corporativos confían en EnCase Edición Forense para ejecutar exámenes informáticos delicados y conclusivos. Guiados por nuestras relaciones con investigadores en el mundo entero, El programa EnCase ha sido optimizado para manejar la complejidad cada vez mayor de las configuraciones y capacidades informáticas. El programa EnCase soporta un amplio rango de sistemas operativos, archivos y periféricos que son el desafío de los investigadores forenses diariamente. Como una herramienta seleccionada por la policía, el programa EnCase ha soportado numerosos desafíos en las cortes de justicia, demostrando su confiabilidad y exactitud. Recientemente, el Instituto Nacional para Estándares y Tecnología (NIST) concluyó que EnCase Imaging Engine (motor de creación de imágenes de discos) opera con mínimos defectos. Ninguna otra solución de computación forense tiene este record de credibilidad, otorgado por sus usuarios, agencias independientes y cortes de justicia. EnCase software fue premiado con el prestigioso premio eWEEK por la excelencia y un grado de 5 estrellas en SC Magazine.

Alto rendimiento de procesamiento y confiabilidad

La clave para computación forense es la capacidad de adquirir y analizar datos rápidamente. EnCase Edición Forense V4 le permite a los investigadores manejar fácilmente largos volúmenes de evidencia computacional, la visualización de todos archivos relevantes, incluyendo aquellos eliminados y el espacio no utilizado. La incomparable funcionalidad del programa de EnCase permite a los investigadores llevar satisfactoriamente el proceso completo de investigación computacional, incluyendo reportes personalizados de búsquedas y sus ubicaciones.

Adquisiciones forenses confiables

El programa EnCase ejecuta adquisiciones de medios produciendo un duplicado binario exacto de los datos del medio original. EnCase verifica este duplicado generando valores de hash MD5 en ambos medios (el original y el archivo imagen o “archivo de evidencia”). Adicionalmente, a cada 64 sectores de la evidencia se le asigna un valor CRC. Estos valores CRC son verificados cada vez que la evidencia es accesada.

Flexibilidad extrema: EnScript

EnScript es un macro lenguaje de programación incluido en el programa EnCase. Emulando características de Java y C++, EnScript le permite al investigador construir scripts personalizados para necesidades específicas de la investigación y/o automatización de tareas rutinarias complejas. Mediante la automatización de cualquier tarea investigativa, EnScript no solamente puede salvar días de investigación, si no semanas del tiempo de análisis.

Características de EnCase Edición Forense

Múltiple administración de casos

La característica de múltiple administración de casos del programa EnCase, permite a los investigadores ejecutar simultáneamente múltiples casos hacia diferentes objetivos con diversos medios.

Soporte unicode

Cuando un usuario visualiza un documento creado en un lenguaje diferente, el programa EnCase puede desplegar los caracteres correctamente. Esta es una característica que le permite al programa EnCase buscar palabras claves y desplegar los resultados en cualquier lenguaje.

Configuración dinámica de discos

El programa EnCase soporta las siguientes configuraciones dinámicas de discos: Spanned, Mirrored, Striped, RAID 5 y básico. Con el ingreso de un mínimo de información, por parte del investigador, el programa EnCase puede detectar automáticamente la configuración de los discos y conectar todas las particiones, mientras que se conservan intactas las áreas libres y de arranque para futuras búsquedas.

Búsqueda y análisis: palabras claves, búsqueda de hash y firmas, y filtros

EnCase Edición Forense V4 le permite a los investigadores analizar y pre visualizar simultáneamente múltiples bloques de datos adquiridos. Los investigadores pueden utilizar búsquedas globales de palabras claves, análisis de hash, análisis de firmas de archivos y filtros específicos de archivos para analizar rápidamente la evidencia.

Opciones de adquisición múltiple

Al igual que existen muchas formas de medios digitales, existen muchas otras formas de adquisición de medios. EnCase incluye cables para puertos paralelos y cable de red cruzado para Windows y DOS. Ambos métodos permiten al programa “escribir bloques” para ser colocados en el medio sospechoso, asegurando que el medio original no sea alterado.

Sistemas de archivos (file systems) interpretados por EnCase

Los siguientes sistemas de archivos son actualmente soportados por EnCase Edición Forense Versión 4: FAT12 (disco flexible), FAT16, FAT32, NTFS, HFS, HFS+, Sun Solaris UFS, EXT2/3, Reiser, BSD FFS, Palm, CDFS, Joliet, UDF e ISO 9660.

Soporte para correo electrónico PST

El programa EnCase soporta archivos PST que tengan cifrado compresible y cifrado completo, obviando el archivo de contraseñas PST.

Visor de galería

El visor de galería provee un método simple para visualizar rápidamente todas las imágenes en el archivo de evidencia. La galería despliega imágenes BMP, JPGs, GIFs y TIFFs.

Visor de escala de tiempo

El visor de escala de tiempo le permite a los investigadores visualizar gráficamente toda la actividad de en un estilo de calendario, ilustrando los atributos del archivo, por ejemplo: cuándo el archivo fue creado, última vez accesado o escrito. El visor de escala de tiempo puede mostrar escalas desde días hasta años, sirviendo como una herramienta invaluable para mirar todos los patrones de actividad de archivos.

Visor de reportes

Los reportes pueden ser generados sobre cualquier archivo, carpeta, volumen, disco físico o el caso completo. Los reportes incluyen información referente a la adquisición de datos, geometría del disco, estructuras de carpetas, marcadores de archivos e imágenes. Los investigadores pueden exportar los reportes a formato RTF o HTML.

EnCase módulo del sistema de archivos de cifrado (Encrypting File System . EFS)

El módulo de EFS de EnCase provee la capacidad de descifrar carpetas y archivos del sistema de archivos cifrados (EFS), para usuarios locales autenticados.

EnCase módulo del sistema de archivos virtuales (Virtual File System . VFS)

El módulo de VFS de EnCase permite a los examinadores montar la evidencia de un computador en modo de lectura únicamente y fuera de la red, permitiendo la examinación adicional de la evidencia usando el explorador de windows y herramientas de terceros.

Módulo del servidor de autenticación en red (Network Authentication Server . NAS)

El servidor de autenticación en red provee una completa flexibilidad en el licenciamiento del programa EnCase. NAS permite licenciar el programa EnCase de tres formas: Local en el computador del examinador, remotamente con servicios de terminal y a través de red usando el administrador de licencias (License Manager).

Acerca de Guidance Software

Guidance Software es el líder en computación forense y soluciones de respuesta a incidentes. Fundado en 1997 y ubicado en Pasadena, CA. Guidance Software tiene oficinas y centros de capacitación en California, Virginia y el Reino Unido. Más de 12.000 investigadores corporativos y del gobierno confían en el programa EnCase, mientras que más de 3.500 investigadores atienden a las capacitaciones anuales sobre metodología en forenses. Aceptado por numerosas cortes judiciales y honrado con el premio a la excelencia de eWEEK y el premio anual de SC Magazine, el programa EnCase es considerado como la herramienta estándar en computación forense. Para mayor información, visite el web site de Guidance Software en www.guidancesoftware.com.

La clave para computación forense es la capacidad de adquirir y analizar datos rápidamente.

Fuente: Internet Solutions