Microsoft Word EnCase Forensic Version 11 User's Guide doc



Yüklə 2,21 Mb.
Pdf görüntüsü
səhifə100/111
tarix08.10.2017
ölçüsü2,21 Mb.
#4015
1   ...   96   97   98   99   100   101   102   103   ...   111

 

 

EnScript Analysis 



495

 

Mac Initialize Case locates OS X artifacts and bookmarks them. 



Partition Finder searches unused space to find deleted volume partitions. 

Recycle Bin Info Record Finder finds and parses FAT INFO and NTFS INFO2 files. 

Scan Registry scans the Windows registry and bookmarks artifacts. 

Time Window Analysis Module analyses selected events between specified dates. 

Windows Event Log Parser parses selected Windows event logs. 

Windows Initialize Case locates Windows artifacts and bookmarks them. 

WTMP ‐ UTMP Log File Parser parses WTMP, UTMP, WTMPX and UTMPX files on Unix 

systems. 

 

File Mounter 

File Mounter is an EnScript used to search for and mount compound files, including: 

 

DBX 


 

GZip 


 

PST 


 

TAR 


 

Thumbs.db 

 

Zip 


Searches can be by extension or signature, or both.  

Note: Mounting a number of large files simultaneously can cause your system to run out of memory. 

Note: Password protected files are not mounted. 


 

496 


EnCase Forensic Version 6.11 Userʹs Guide  

 

1.



 

Double‐click File Mounter 

2.

 

Select the method to find the files.  



 

3.

 



Select the desired file types and click OK. 

4.

 



To view progress, click the Console tab in the View panel.  

 

 



 

 

EnScript Analysis 



497

 

Compound Files 

The File Mounter EnScript program lets you mount all selected compound file types, leaving 

them mounted at the conclusion of the EnScript program investigation. 

Its main purpose is to let you catalog the contents of targeted compound files. This is a listing of 

items within the compound file, not the actual contents themselves. 

The EnScript program finds targeted files based on the Find Files By and Selected Files options. 

It then catalogs the file contents into a LogRecordClass bookmark and adds them to the LEF if 

you select that option. 

The program then performs a preliminary keyword search that stops after a single hit. After a 

hit, the file is placed into a list of files that are then mounted and completely searched. 

Results appear in the Search Hits tab display. 

 

Mounting Compound Files 

1.

 



Select the compound files to be mounted. 

2.

 



Select any desired additional options, such as: 

 

Make LEF 



 

Mount Persistent 

 

Search, and 



 

Find Files 

3.

 

Click OK



 

Index Case 

File indexing is part of the improved search engine. The index is a list of words in the evidence 

file with pointers to their occurrence in evidence. Because the index is smaller than the original 

evidence file it is optimized for quick searching. 

To learn more about case indexing, see the Analyzing and Searching (see ʺAnalyzing and 

Searching Filesʺ on page 327) sections. 

 


 

498 


EnCase Forensic Version 6.11 Userʹs Guide  

 

Scan Local Machine 

Scan Local Machine is an EnScript program used to run modules against a local machine. 

1.

 



Double‐click Scan Local Machine. 

It uses many of the same modules available in Case Processor. 

2.

 

Complete the options as desired and click Finish. Depending on the modules chosen, 



additional dialogs may appear open. Complete them as necessary. 

 

Note: Scan local machine searches the local examiner machine and does not search the evidence within 



the case. If you want to search the evidence in the case, use Case Processor. 

 

Webmail Parser 

Use the Webmail Parser to search the case for remnants of Web‐based email. 

 


 

 

EnScript Analysis 



499

 

EnScript Example Code 

In the EnScript tree in the Filter pane, the Examples folder contains example code. These 

programs can serve as a base for additional programming. 

The COM folder contains sample EnScript programs that use COM to provide integration with 

MS Windows and MS Office applications. See the EnScript Program User Manual for more 

information. 

The EnScript example programs include: 

 

Compound File Viewer 



 

Create Index Directory 

 

Enterprise – Using Entry Data 



 

Enterprise – Registry Operations 

 

Enterprise – Using Snapshot Data 



 

Find Valid IPs 

 

Index Buffer Reader 



Compound File Viewer parses compound files into their constituent parts for viewing. 

Create Index Directory generates a plain text file containing all words in an INDX file. 

FindValidIPs finds IP addresses. 

Index Buffer Reader parses information from an index buffer INDX file. 

 

COM Folder EnScript Code 

The COM folder contains sample EnScript code that uses the COM API as an integration point 

into various other applications like MS Office or the Windows File System. Programmers use 

these includes to create new EnScript programs. 

The COM folder contains these programs: 

 

Create Word Document 



 

File System 

 

Read Word Document 



 

Excel Create Workbook 

 

Outlook Read 



 


Yüklə 2,21 Mb.

Dostları ilə paylaş:
1   ...   96   97   98   99   100   101   102   103   ...   111



Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2024
rəhbərliyinə müraciət
    Ana səhifə
Psixologiya