Microsoft Word EnCase Forensic Version 11 User's Guide doc

 

490 

EnCase Forensic Version 6.11 Userʹs Guide  

 

Sweep Enterprise 

The Sweep Enterprise EnScript program: 

Collects data from some named subset of the network tree 

 

Saves the bookmarked data 

 

Optionally create snapshots 

 

Runs modules to extract data as bookmarks or exported files 

If you plan to run modules, you must log on and open a case. 

if you choose to deploy a servlet, both the Windows servlet and Linux servlets must be available 

on your machine. The Linux servlet must be available even if you do not have any Linux 

machines. See the EnCase Enterprise Administrator Manual for the paths to the servlets on your 

SAFE machine. 

To run the Sweep Enterprise EnScript program: 

1.

 

Double‐click on the Sweep Enterprise object in the EnScript tree on the Filters Pane.  

The Case Options page of the Sweep Enterprise wizard appears. 

2.

 

If you need to change your user, or SAFE: 

a.

 

Click Change Safe.  

The User page of the Logon wizard appears. 

b.

 

Select the user, enter a password (if required), then click Next.  

The SAFEs page of the Logon wizard appears. 

c.

 

Select the SAFE, then click Finish. 

3.

 

If you need to change your Role: 

a.

 

Click Change Role.  

The Role dialog appears. 

b.

 

Select the desired role and click OK.  

The Node to Sweep page of the Sweep Enterprise wizard appears. 

4.

 

If you need to change the machines swept (those that appear in Machines) click Network 

Tree, navigate to the appropriate subtree or machine and click OK.  

The appropriate IP addresses appear in Machines.  

5.

 

Review the available modules listed in Case Processor Modules in Forensic EnScript 

Programs, then select the desired modules to run, if any, from the Modules List.  

 

 

EnScript Analysis 

491

 

The Sweep Options page of the Sweep Enterprise wizard appears. 

6.

 

If servlets need to be deployed on the machines to be swept: 

a.

 

Click Servlet Options.  

The Servlet Options dialog appears. 

b.

 

Click Deploy Servlet.  

You can now change the settings. 

c.

 

If the username and password must be updated, enter this information in Update 

Machineʹs Username/Password, and click Update. 

d.

 

If machines in the subtree to be swept already have servlets deployed, should not 

have servlets deployed, or should not be swept, enter the IP address of the 

machine in Machine, and click Exclude. 

7.

 

If the paths to the servlets on your machine must be changed, enter or browse to the 

appropriate paths. 

8.

 

Click OK.  

Sweep Enterprise runs and the results appear in the Bookmark table on the Bookmark 

Home panel. 

 

Forensic EnScript Code 

To view EnScript programs in the EnScript panel of the Tree pane, click View > EnScript. 

To view EnScript components in the Filter pane, click EnScripts to display the EnScript panel. 

Open a folder from the EnScript object to see available scripts listed in the Table pane.  

 

To run a script, double click it in the table. 

 

 

492 

EnCase Forensic Version 6.11 Userʹs Guide  

 

Case Processor 

Use Case Processor to run one or more EnScript modules against an open case.  

To run Case Processor, double‐click the program name. A Case Processor wizard appears with 

the name of the open case.  

 

1.

 

Enter a Bookmark Folder Name. 

2.

 

Enter a Folder Comment (optional). 

3.

 

Export Path populates with the default export path. 

4.

 

Click Next to display the module selection wizard. 

 

 

EnScript Analysis 

493

 

5.

 

Make the desired selections and click Finish. 

 

 

 

494 

EnCase Forensic Version 6.11 Userʹs Guide  

 

Case Processor Modules 

Each module available in Case Processor provides different information: 

$Logfile Parser parses specific information from the $Logfile. 

Active Directory Information Parser provides information about a directory in selected formats. 

AOL IM Information provides data from AOL Instant Messenger data. 

App Descriptor Utility creates app descriptor sets stored globally in the appdescriptors.ini file. 

Compromise Assessment Module examines machines for a compromise such as a hack or virus. 

Consecutive Sectors searches consecutive sectors filled with the same character, which 

characterizes attempts to wipe a drive. 

Credit Card Finder searches an entire case for credit card numbers. 

E‐Mail Address Finder locates email addresses via a GREP search and bookmarks them. 

EDS Registry Parser parses EDS Registry entries. 

EXIF Viewer searches selected files for the EXIF tag and bookmarks them. 

File Finder searches for and bookmarks selected file types. 

File Report gathers file information on all or selected folders. 

Find Protected Files searches a file system for files that are encrypted or require a password to 

open them. 

HTML Carver searches all or selected files for keywords in HTML documents and bookmarks 

them. 

IM Archive Parser searches Instant Messenger log files. 

Kazaa Log Parser searches a case for Kazaa DBB and DAT files. 

Link File Parser parses all or selected LCK files and retrieves selected information. 

Linux Initialize Case locates Linux artifacts and bookmarks them. 

Linux Syslog Parser parses Linux syslog entries and exports the data to a local drive as Excel or 

HTML.