Fermer

novembre 30, 2022

Connaître vos outils

Connaître vos outils


OpenText ™ EnCase médico-légal est l’une des plates-formes d’investigation numérique les plus anciennes du marché. Il a été le principal outil de choix pour de nombreuses enquêtes et a résisté aux contre-interrogatoires devant les cours de justice et les tribunaux. La plate-forme EnCase a évolué pour inclure de nombreuses nouvelles fonctionnalités, notamment le « processeur de preuves ». Cela offre à un examinateur les options pour traiter les artefacts d’un cas qui peuvent inclure Internet, le courrier électronique, la recherche de fichiers protégés, le montage de fichiers composés et l’indexation comme certaines des options disponibles.

En ce qui concerne la réalisation d’un examen numérique d’un appareil saisi, les experts en criminalistique numérique ont toujours eu un contrôle granulaire sur ce qu’ils font et quand ils choisissent de le faire. Les outils EnCase à la disposition de l’examinateur incluent la recherche par mot-clé brut et indexé, qui fournit une analyse de signature de fichier pour aider à valider l’identité de divers types de fichiers comme étant ce qu’ils sont censés être. L’interprétation des structures de fichiers composés telles que les ruches de registre et les fichiers compressés archivés expose leur structure interne et leur contenu. Une telle identification et interprétation sont effectuées à l’aide des fonctionnalités de base et également avec le support de nombreux EnScripts personnalisés qui sont disponibles auprès de Centre d’applications EnCase et les divers filtres et conditions EnCase, qui font partie d’une installation standard d’Encase.

Pour aider les examinateurs, en particulier ceux qui sont nouveaux dans le domaine des examens médico-légaux numériques avec EnCase, mais qui s’applique également aux examinateurs expérimentés, EnCase fournit une méthode alternative permettant aux examinateurs d’accéder aux outils et fonctionnalités qu’ils utilisent couramment ou qu’ils considèrent comme importants dans la préparation de cas et l’examen, qui s’appelle ‘Pathways’.

Alors, que sont les Pathways ? Pathways fournit les moyens d’accéder aux options, conditions, filtres ou EnScripts personnalisés du processeur de preuves individuels, organisés dans un ordre qui représente un flux de travail d’options permettant à un examinateur de configurer, préparer et examiner un cas. Nonobstant l’utilité d’un flux de travail établi, cela fournit une collection de certains outils EnCase qui peuvent être appelés sans nécessairement avoir à changer d’onglet, mais facilement accessibles à partir d’un menu déroulant. Laissez-nous explorer ce qui est disponible par défaut et voyons comment créer votre propre parcours personnalisé.

Pour accéder à un Pathway, un examinateur peut y accéder à partir de l’écran d’accueil d’EnCase ou à partir de l’élément de menu Pathway de niveau supérieur, qui est toujours visible à partir de l’onglet dans lequel vous travaillez.

Accéder à Pathways à partir de l’écran d’accueil d’EnCase
Accès à l’élément de menu déroulant Pathway

En choisissant entre l’option Enquête complète ou Aperçu/Triage, l’examinateur se verra présenter les étapes de création et de préparation d’un dossier pour examen ou triage. Ceci est ensuite suivi par l’option d’ajouter des preuves. L’examinateur remarquera que les options concernant le lecteur d’audit, la détermination du fuseau horaire et l’application d’une bibliothèque de hachage ne sont pas accessibles. Ceci est prévu car jusqu’à ce que vous ajoutiez des preuves au cas, ces options n’ont rien sur quoi fonctionner.

Options de création d’un nouveau dossier

Une fois les étapes préliminaires de création d’un cas, d’ajout de preuves, d’audit de l’espace disque, de détermination du fuseau horaire et éventuellement d’association d’une bibliothèque de hachage au cas, l’examinateur se voit présenter une liste d’options pour l’aider à trouver les données qu’il recherche. . En cliquant sur le point d’interrogation, vous obtiendrez des informations supplémentaires sur chacun des éléments répertoriés.

Options de traitement et de recherche
Aide sur les options de traitement et de recherche

Pour qu’un examinateur puisse créer son propre parcours personnalisé, représentant un flux de travail ou une collection d’options de processeur de preuves fréquemment utilisées, d’inscriptions, de conditions et de filtres, il peut choisir « Créer nouveau » dans le menu Chemins pour commencer à créer le flux de travail. Ils peuvent également créer des flux de travail adaptés aux types d’examens effectués ou constituer une collection de ressources couramment utilisées. Quelle que soit la raison, l’utilisation de Pathways permet de gagner du temps en évitant de devoir se rappeler où se trouvent des ressources particulières ou, pour les nouveaux examinateurs, de se rappeler où se trouvent les différentes options.

Création d’un parcours personnalisé

Pathways n’introduit pas de nouvelles fonctionnalités en tant que telles, mais exploite un moyen d’accéder à certaines options préférées. Beaucoup de « que dois-je faire ensuite? » ou ‘Où puis-je trouver cette option ?’ sont contenus dans les voies d’investigation complète ou de prévisualisation/triage par défaut qui font partie d’une installation EnCase standard. De plus, un examinateur a la possibilité de créer son propre parcours personnalisé pour répondre à des options spécifiques et à un flux de travail rationalisé.

L’équipe de formation qualifiée du service d’apprentissage EnCase possède des années d’expérience des produits, des services et de la formation EnCase Forensic and Security. Voir la liste complète des Cours EnCase. Pour plus d’information veuillez contacter EnCasetraining@opentext.com

Auteur: Bill Thompson est directeur du conseil en formation chez OpenText Learning Services, division de la sécurité au Royaume-Uni. Il est un ardent défenseur de s’assurer que les clients tirent le meilleur parti de leur investissement dans les produits EnCase.




Source link