Le visualiseur de preuves EnCase – OpenText Blogs

OpenText™ EnCase™ Forensique est l’une des plates-formes d’investigation numérique les plus anciennes du marché. Il a été le principal outil de choix pour de nombreuses enquêtes et a une longue expérience de résistance aux contre-interrogatoires devant les cours de justice et les tribunaux.

Dans ce dernier blog « Trucs et astuces EnCase Forensics », nous allons expliquer comment la fonctionnalité Review Package peut aider un examinateur médico-légal dans ses enquêtes. Cette fonctionnalité de longue date permet aux examinateurs d’extraire et de regrouper les preuves de manière sécurisée, ce qui permet aux enquêteurs ou aux équipes de spécialistes d’examiner les preuves spécifiques à chaque cas, sans nécessiter de licences supplémentaires ni de frais généraux. Récemment, EnCase a intégré une option de package d’examen plus solide et plus résiliente.

L’examen des preuves dans une enquête médico-légale est normalement effectué indépendamment de l’environnement EnCase principal, sans être distrait par les autres détails de l’affaire. Les examinateurs utiliseraient généralement leur domaine de connaissances spécialisé ou leur intimité avec un cas et/ou des suspects pour baliser soit le contenu qui est pertinent pour l’enquête, soit pour exclure les éléments qui n’ont pas d’importance. Tout ce qui est visible dans l’environnement de cas EnCase peut être conditionné de cette manière et peut inclure, mais sans s’y limiter, du contenu photo et vidéo, des documents juridiques, des fichiers dans une plage de dates ou des éléments similaires qui nécessiteraient potentiellement un effort d’analyse supplémentaire pour déterminer la pertinence. . Après avoir créé un ensemble de ces éléments et l’examen ultérieur de leur contenu, les données examinées sont réimportées dans Encase, pour faciliter d’autres lignes d’analyse et les rapports ultérieurs.

Pour exporter des données pertinentes à des fins d’examen externe, l’examinateur sélectionnerait des éléments parmi les éléments de preuve, puis choisirait Forfait d’examen -> Exporter dans la barre de menu supérieure.

La boîte de dialogue résultante présente à l’examinateur d’autres options pour exporter les informations de marquage, ainsi que des balises par défaut ou personnalisées pour accompagner les données exportées.

Les versions précédentes du package de révision pouvaient être ouvertes à l’aide d’un navigateur Web. Celui-ci a maintenant été remplacé par le format de confiance EnCase Logical Evidence File (Lx01) offrant une meilleure intégrité des données et une sécurité renforcée.

Une fois que le conteneur Logical Evidence a été créé, l’examinateur peut souhaiter rendre disponible le programme d’installation EnCase Evidence Viewer, qui fait partie d’une installation standard d’EnCase. L’exécutable d’installation se trouve sous :

%Program Files%\EnCase22\Lib\EnCaseEvidenceViewer

Après l’installation par l’examinateur, EnCase Evidence Viewer offre un environnement sécurisé pour charger le conteneur de preuves et parcourir les données sans nécessiter de licence EnCase. Pour faciliter le balisage du contenu, le réviseur peut choisir d’utiliser l’une des balises exportées ou même créer de nouvelles balises personnalisées à la volée.

Une fois le processus de révision terminé, le package révisé peut être enregistré en tant que fichier d’importation à ingérer, avec toutes les balises personnalisées, dans EnCase pour un traitement et un rapport ultérieurs. Les options de sortie alternatives permettent des formats de fichiers tels que des valeurs séparées par des virgules (CSV) ou des valeurs séparées par des tabulations (TSV), ce qui rend cette fonctionnalité vraiment polyvalente.

En bref, la fonction Review Package offre un moyen sécurisé de mettre facilement les données requises à disposition pour un examen externe. L’EnCase Evidence Viewer permet à l’examinateur de mener l’examen de manière claire et précise, grâce à l’interface utilisateur intuitive.

Vous souhaitez en savoir plus sur la criminalistique numérique, la sécurité et l’eDiscovery à l’aide d’EnCase ? Veuillez consulter notre offres en classe, virtuelles et à la demande.

Auteur: Jasper Rowe est consultant principal en formation chez OpenText Learning Services, division de la sécurité au Royaume-Uni. Il a toujours été un ardent défenseur de la réussite des clients utilisant les produits EnCase.