ES EF v6.1 User Manual

Guidance Software, Inc. 2007

EnCase Forensic Version 6.1UserManual

Table of Contents

1 Preface .......................................................................................................................

2 What's New in EnCase Enterprise Version 6 ...................................

3 Installation of Examiner .................................................................................

4 Installation of LinEn ..........................................................................................

5 Navigating the EnCase Interface ..............................................................

6 Case Management .............................................................................................

7 Network Management ...................................................................................

8 Working with Evidence ..................................................................................

9 Viewing File Content ........................................................................................

10 Analyzing and Searching Files .................................................................

11 Bookmarking Items ........................................................................................

12 Reporting ..............................................................................................................

13 Working with Foreign Languages .........................................................

14 EnScript Analysis ..............................................................................................

15 Using Tools inside of EnCase ...................................................................

16 Glossary .................................................................................................................

PrefacioNotificacin legal ................................................. 1

Introduccin .......................................................... 1

Acerca del manual ............................................. 2

Acerca de Guidance Software ........................ 3Datos de la empresa ...................................... 4

Acerca de los servicios profesionales .......... 4

Acerca de la capacitacin ................................ 7

Recursos de ayuda ............................................ 8Asistencia tcnica .......................................... 9Servicio de atencin al cliente .................... 11Paneles de mensajes .................................. 11Descargas ..................................................... 11

Notificacin legalEnCase, EnScript, FastBloc, Neutrino, GuidanceSoftware y EnCE sonmarcas comerciales registradaso marcas comerciales propiedad de Guidance Softwareen Estados Unidos y otras jurisdicciones y no se podrnutilizar sin previo permiso por escrito. Sus respectivospropietarios podrn reclamar la propiedad del resto delas marcas. Los productos y nombres corporativos queaparecen en este manual pueden ser marcas comercialesregistradas o derechos de copyright de sus respectivasempresas y se utilizarn slo con fines identificativos oexplicativos en beneficio de los propietarios sin intencinde cometer infraccin.Cualquier uso y duplicacin de este material est sujetoa los trminos del acuerdo de licencia entre usted yGuidance Software. Ninguna parte de esta publicacinse podr reproducir, almacenar en sistemas dereproduccin o comunicar de ninguna forma ni por ningnmedio, ya sea electrnico, mecnico, mediante fotocopia,grabacin, escner o cualquier otro, excepto lo que estestipulado en el acuerdo de licencia o segn las secciones107 y 108 de la Ley de propiedad intelectual de EE. UU.de 1976.La documentacin y los manuales de productos sonespecficos de las versiones del software para los que secrearon. Si desea obtener los manuales anteriores o noactualizados o informacin sobre la publicacin deproductos, pngase en contacto con Guidance Softwareen http://www.guidancesoftware.com.Las especificaciones e informacin que se incluyen eneste manual son slo para uso informativo y estn sujetosa cambios en cualquier momento sin previo aviso.

Copyright 2006 Guidance Software, Inc. May Not Be Copied or Reproduced Without the Written Permission of Guidance Software, Inc

1Prefacio

Introduccin(Note:)Gracias por adquirir la aplicacin EnCase. Ahora disponede la tecnologa lder en el mundo para el anlisisinformtico. Las aplicaciones EnCase son solucionesvalidadas por tribunales, utilizadas por agenciasencargadas del cumplimiento de la ley, agenciasgubernamentales e investigadores corporativos de todoel mundo.Guidance Software es conocido por ser lder mundialen soluciones de investigacin informtica y empresarial.Esta aplicacin es slo una de las muchas herramientasa disposicin de gobiernos, organizaciones corporativasy agencias encargadas del cumplimiento de la ley en todoel mundo.La serie de soluciones Guidance Software proporcionauna infraestructura de investigacin empresarial quepermite a las corporaciones, agencias encargadas delcumplimiento de la ley y agencias gubernamentales llevara cabo investigaciones digitales eficaces, responder conrapidez a las solicitudes de descubrimiento electrnico yotras necesidades de la recopilacin de datos a granescala, adems de desempear acciones decisivas comorespuesta a ataques externos.Los productos EnCase han cambiado el mundo de lainvestigacin al proporcionar una respuesta inmediata yun anlisis forense integral de la informacin almacenadaen cualquier lugar de un equipo informtico. Los productosEnCase son plataformas escalables que se integranperfectamente en el sistema existente para crear unainfraestructura de investigacin.


Prefacio2

Acerca del manual(Note:)Este manual se divide en captulos quemuestran, detallany explican las numerosas caractersticas, opciones,instrucciones, terminologa y otra informacin tcnicaimportante sobre el programa.Este libro est diseado para investigadores forensesque no conozcan el producto. No le ensear todo lo quenecesita saber sobre un tema ni las distintas maneras derealizar una misma tarea. En su lugar, incluye y analizalos numerosos componentes de este producto y ofreceinstrucciones paso a paso para utilizar cada uno de ellos.Si es un nuevo usuario o si est actualizando una versinanterior, debe leer este libro en primer lugar.El software EnCase es una herramienta muy poderosapara ubicar, ver, examinar, analizar y realizar informessobre evidencias digitales. Si desea convertirse en unusuario experto, necesitar invertir tiempo en elaprendizaje y la compresin del funcionamiento de estaherramienta. Existe informacin disponible en ladocumentacin y la ayuda en lnea, independientementede su nivel de experiencia.Le recomendamos que aumente sus conocimientos enlas clases de formacin, segn su nivel de experienciacon los anlisis forenses informticos. Le recomendamosencarecidamente que instale, configure y trabaje con elentorno operativo y este software, que utilizar para susinvestigaciones. No existe nadamejor que el conocimientoy la experiencia propia cuando se trata de comprenderlos entresijos de este producto.Este manual es lo ms completo y detallado posible. Sinembargo, no puede sustituir a las clases de formacin deGuidance Software. Para conocer por completo lametodologa de EnCase y las mejores prcticas de laindustria, todos los usuarios deben asistir a una denuestras numerosas clases de formacin.


3Prefacio

Acerca de Guidance SoftwareGuidance Software se fund con un objetivo claro:desarrollar soluciones de bsqueda, identificacin,recuperacin y suministro de informacin digital de unamanera rentable y slida desde el punto de vista forense.Desde nuestra fundacin en 1997, nos hemos dedicadoa las investigaciones por red, la integracin empresarialcon otras tecnologas de seguridad y adems ahoracontamos con funciones de recopilacin y bsquedamuypotentes para el descubrimiento electrnico y otrasinvestigaciones. No nos hemos desviado de nuestracompetencia principal y seguimos siendo ampliamentereconocidos por nuestra calidad y vala.

Datos de la empresa(Note:)Fundada: 1997Oficina central de la empresa: Pasadena, CaliforniaOficinas en el mundo y centros de formacin: Pasadena, California Washington, D.C. Londres, Reino Unido San Francisco, California Nueva York, Nueva York Houston, Texas Chicago, Illinois Ciudad de Mxico, Mxico So Paulo, Brasil Singapur


Prefacio4

Acerca de los serviciosprofesionalesLa divisin de servicios profesionales (PSD) de GuidanceSoftware combina a los mejores expertos del mundo eninvestigaciones informticas con la tecnologa forenselder en el mundo para ofrecer soluciones integrales a lasinvestigaciones forenses.Guidance Software ha combinado su tecnologa deinvestigacin informtica lder en la industria con losinvestigadores ms capacitados y experimentados delmundo para ofrecer soluciones integrales para suempresa. Cuando deba afrontar problemas deinvestigacin que superen sus capacidades internas,nuestro grupo de servicios profesionales le permitir estara la altura, ya sea de manera remota o in situ paraproporcionarle la tecnologa adecuada y el personalespecializado en investigaciones informticas para latarea.Investigaciones internas Robo de propiedad intelectual Reconstruccin de intrusiones Acciones legales por despido injustificadoCumplimiento Sarbanes-Oxley Evaluacin de riesgos de la informacin personal

identificable California SB 1386Descubrimiento electrnico Litigio pendiente Produccin con capacidad de respuesta Preservacin forenseSeguridad de la informacin Peligro de la integridad del sistema Revisin de polticas Uso no autorizado Implementacin de laboratorio forense


5Prefacio

El equipo de investigacin y desarrollo de GuidanceSoftware trabaja estrechamente con la divisin deservicios profesionales para crear las capacidadestecnolgicas futuras de EnCase Enterprise. Comocolaboradores en el desarrollo de nuestros productosEnCase y como usuarios de EnCase en el mundo real,los investigadores de PSD saben ms sobre el softwareEnCase que cualquier otra persona en la industria. Suconocimiento sobre el software EnCase les permitesolucionar problemas con mayor rapidez y de una formamucho ms econmica que nuestros competidores,personalizando las soluciones segn las necesidades decada organizacin. Adems, nuestros miembros de PSD,provenientes de las reas de cumplimiento de la ley,inteligencia militar y seguridad corporativa, poseen unaexperiencia inigualable con informacin clasificada,preservacin de evidencias y testimonios judiciales.Ningn otro servicio de investigaciones informticas puedecompararse con nuestra pericia y alcance global.


Prefacio6

Los miembros deben obtener la certificacin EnCEdurante los 6 meses posteriores a su ingreso en elequipo.

Varios de nuestros investigadores poseenantecedentes de inteligencia militar y federal, ycuentan con las autorizaciones necesarias paraprestar servicios a agencias federalesgubernamentales.

Contamos con nuestro propio laboratorio forenseinformtico de ltima generacin y una sala deevidencias segura.

Todos los investigadores de PSD estn cualificadospara prestar testimonio en calidad de expertos en lostribunales.

PSD presta servicios a organizaciones globales entodo el mundo.

PSD ha proporcionado opiniones tanto en casosjudiciales nacionales como internacionales.

Disponemos de la capacidad de implementar unacantidad ilimitada de software y hardware duranteincidentes complejos, lo que nos permite realizarinvestigaciones de cualquier magnitud.

Guidance Software cuenta con abogados en suequipo que mantienen a PSD al da con respecto alos acontecimientos legales en las reas deinvestigaciones informticas y descubrimientoelectrnico.

Prestamos servicios a compaas en todo el mundo.


7Prefacio

Acerca de la capacitacinGuidance Software ofrece diversos cursos profesionespara usuarios principiantes, intermedios y avanzados detodas las aplicaciones EnCase. Adems de ofrecer unabase slida sobre nuestro software, tambin enseamosa nuestros estudiantes las mejores prcticas aceptadasde investigacin, generacin de informes y preservacinde evidencias.Guidance Software ofrece temas avanzados a todos losusuarios de la aplicacin EnCase y cursos a agenciasencargadas del cumplimiento de la ley y organizacionesresponsables de anlisis forenses y respuestas aincidentes.


Prefacio8

Recursos de ayuda(Note:)Guidance Software proporciona diversas alternativas paralos usuarios que necesitan asistencia. El primero y msimportante es este manual.Lea este manual atentamente para comprender elproducto y su uso. Antes de adquirir evidencias activas,ejecute varias adquisiciones modelo y pruebe distintosprocesos para analizar archivos.Guidance Software tambin ofrece asistencia en nuestrositio Web a travs de un sistema en lnea y un panel demensajes donde los investigadores forenses puedenpublicar preguntas y respuestas sobre distintos aspectosde la investigacin forense.

Asistencia tcnica(Note:)El departamento de servicios tcnicos de Guidancesoftware est formado por un equipo de expertosespecializados en el software EnCase y capaces deresolver cualquier problema que los usuarios puedanencontrar.Como parte del compromiso de excelencia de GuidanceSoftware, somos conscientes de la importancia de unaasistencia tcnica eficaz y a tiempo. Por tanto, todos losusuarios registrados en el programa, recibirn asistenciatcnica gratuita, actualizaciones demantenimiento y otrosservicios diseados para mejorar la experiencia.Esta gua es una completa presentacin de nuestroproducto, por lo que es posible que no encuentre lasrespuestas a preguntas tcnicas. Si esto sucede ynecesita ayuda, pngase en contacto con los serviciostcnicos.En las tablas que aparecen a continuacin, se muestrainformacin de localizacin, horarios e informacin decontacto.


9Prefacio

Amrica

Europa, frica y Oriente Medio

Asia y Costa del Pacfico


Prefacio10

Servicio de atencin al clienteEl departamento de atencin al cliente de GuidanceSoftware est formado por un equipo cordial y altamenteespecializado, capaz de resolver cualquier problemarelativo a su pedido.A continuacin se indican los horarios y la informacinde contacto:Telfono: 626-229-9191 ext.564Fax: 626.229.9199Correo electrnico:[email protected] Web:http://www.guidancesoftware.com/support/cs_requestform.aspxHorario: De lunes a viernes, de 6.00 a 17.00 (Hora de lacosta del Pacfico)Servicio de atencin al cliente: 626-229-9191 ext.564

Paneles de mensajes(Note:)Los paneles de mensajes de Guidance Software sonrecursos que la comunidad de analistas forensesinformticos utiliza para intercambiar ideas, formularpreguntas y ofrecer respuestas. Los paneles demensajesson recursos de incalculable valor para los investigadoresforenses.Los comentarios abarcan desde tcnicas de adquisicinbsicas hasta anlisis en profundidad de archivos cifrados,entre otros. Miles de usuarios capacitados yexperimentados se registran en los paneles, revisan loscomentarios todos los das y ofrecen su experiencia sobretodos los productos de Guidance Software.Slo los usuarios registrados en productos EnCasepueden acceder a los paneles de mensajes.Si desea obtener ms informacin sobre los paneles demensajes y sobre cmo unirse a un panel de mensajes,consulte:http://www.guidancesoftware.com/support/messageboards.asp.

Descargas(


11Prefacio

Note:)Cuando haya recibido el producto, regstrese enGuidanceSoftware para recibir actualizaciones. La pgina deregistro se encuentra en:https://www.guidancesoftware.com/myaccount/registration.aspx.Si tiene algn problema al registrar su producto, pngaseen contacto con el servicio de atencin al cliente.Si tiene algn problema al descargar las actualizacionesuna vez que se haya registrado, pngase en contacto conel servicio de asistencia tcnica.


Prefacio12

Novedades de laversin 6

Compatibilidad con Outside In ...................... 1ndice de texto ................................................ 1Compatibilidad con EnCase de 64 bits ........ 2Visualizacin de archivos EDB de Exchange............................................................................ 2

Desinstalar y volver a instalar opciones ...... 3Compatibilidad con sistemas de archivosnuevos ............................................................. 4Compatibilidad con documentos de Office encoreano ............................................................ 4Compatibilidad adicional para formatos dearchivo MAC ................................................... 5Nmero de serie del disco duro ................... 5Registro de productos EnCase ..................... 5

Panel de registros .................................. 6Opciones de bsqueda simplificada .... 7Bsqueda mejorada de una pgina decdigos en un idioma extranjero ........... 7Anlisis de NTFS mejorado .................. 8Se han movido los ID de seguridad alpanel de almacenamiento seguro ....... 8Proporcionar un destino alternativo durantelas adquisiciones .................................... 9Mostrar una lista de valores hash incluidosen conjuntos hash .................................. 9Cambios en la licencia de LinEn .......... 9Compatibilidad de archivos del caso ....1 0

Caractersticas eliminadas ............................ 10

Compatibilidad con Outside In(Note: EnCase versin 6 cuenta como novedad con la integracin dela tecnologa Outside In de Stellent Inc. La extraccin de texto ylos visores de Outside In son dos nuevas y potentes herramientaspara el investigador de EnCase.)Para poder acceder a la funcin Outside In, los usuariosdebern instalar los visores de archivos cuando instalenel componente Examiner de EnCase.Cuando se instalen los visores Outside In, el investigadortendr acceso a los nuevos paneles de transcripcin ydocumentos en el panel de visualizacin. El panel dedocumentos permite a los investigadores ver el contenidode los archivos como si los estuvieran visualizando en laaplicacin que se cre para los tipos de archivocompatibles. Esto significa que los archivos de MicrosoftExcel mostrarn el contenido de las celdas y losinvestigadores podrn desplazarse por las pginas de losarchivos PDF de Adobe Acrobat como si los estuvieranvisualizando de forma nativa. El investigador podr crearmarcadores e imprimir dentro del panel de documentos.El panel de transcripcin contiene el texto que se haextrado con la tecnologa Outside In. La extraccin detexto implica la supresin del ruido del archivo, como elformato y los metadatos, de manera que slo se mostrarel contenido de texto que, por lo general, est visible enese tipo de archivos. El motor de indizacin, por logeneral, indiza la extraccin de texto en el panel detranscripcin para realizar bsquedas. El investigadorpodr marcar dentro del panel de transcripcin. Si secrean marcadores o aciertos de bsqueda en el panel detranscripcin o de documentos, debern aparecerresaltados en ambos paneles.

ndice de texto(Note: La versin 6 incluye la nueva posibilidad de crear y consultarndices para aumentar la velocidad de bsqueda.)


1Novedades de la versin 6

El motor de indizacin de EnCase es totalmentecompatible con Unicode y ofrece la posibilidad de buscartexto extrado de los archivos y espacio sin asignarmediante Outside In. Para crear ndices, se utiliza unelemento del men de herramientas que abre una interfazsencilla; esta interfaz permite al investigador especificarlos archivos que se deben indizar. Una vez que se hayacreado el ndice, el investigador podr construir unaconsulta con las condiciones de EnCase. La flexibilidadde las condiciones permite que se creen consultas tantocomplejas como sencillas.Si desea obtener ms informacin sobre consultas alndice y el poder de las condiciones, consulte la seccinde indizacin de este manual.Los resultados de las consultas del ndice se muestranen un panel de aciertos nuevo en el panel de filtros. Losaciertos de bsqueda que se encuentran en la extraccinde texto de Outside In aparecern en los paneles detranscripcin y documentos. Los usuarios podrn marcarlos aciertos del ndice con el fin de realizar informes.

Compatibilidad con EnCase de 64 bits(Note: Los productos EnCase ahora son compatibles con los sistemasoperativos Windows de 64 bits.)Para realizar la instalacin en equipos de 64 bits, esnecesario disponer de archivos de compatibilidad yaplicaciones de instalacin independientes.El investigador podr marcar dentro del panel detranscripcin. Si se crean marcadores o aciertos debsqueda en los paneles de transcripcin o documentos,debern aparecer resaltados en ambos paneles .

Visualizacin de archivos EDB deExchange(Note: Ahora se puede analizar Microsoft Exchange 2000 y 2003 conla opcin de visualizacin de la estructura de archivos para un archivoEDB.)


Novedades de la versin 62

Se extraen los mensajes de correo electrnico borrados,los contactos, los mensajes de correo electrnico y losbuzones de Exchange para que el investigador puedaanalizarlos. Si un servidor Exchange se encuentra activodurante la adquisicin, el investigador deber transferirlos registros de transacciones a la base de datos yrestaurar la base de datos a un estado limpio antes derealizar el anlisis.El programa de rutas de acceso deMicrosoft se encuentraen el directorio BIN del servidor Exchange y se puedeutilizar para facilitar los procesos de reparacin yrecuperacin de la base de datos Exchange a un estadolimpio.Para facilitar el proceso de limpieza de los archivos EDBde Exchange, el usuario deber disponer de las carpetasMDBdate y BIN.

Desinstalar y volver a instalar opciones(Note:)



Las aplicaciones de instalacin de EnCase se hanmodificado para permitir que el usuario pueda volver ainstalar y desinstalar opciones. Si vuelve a ejecutar laaplicacin de instalacin de EnCase, el usuario podrelegir entre volver a instalar el componente Examiner deEnCase en el directorio de instalacin existente, odesinstalarlo. Si selecciona la opcin para volver ainstalarlo, los archivos de aplicacin de EnCase existentesy los archivos del programa EnScript proporcionadospor Guidance Software se sobrescribirn. Los archivosde configuracin modificados por el usuario y loscomponentes de EnScript creados por el usuario semantendrn. Si los investigadores deciden desinstalar elcomponente Examiner de EnCase, pueden utilizar laopcin para agregar o quitar programas del panel decontrol o pueden volver a ejecutar la aplicacin deinstalacin y seleccionar la opcin para desinstalar. Sidesinstala el componente Examiner de EnCase, seeliminarn todos los archivos de aplicacin y las entradasde registro. Los archivos de configuracin del usuario, losarchivos EnScript, los archivos de copia de seguridad yotros archivos de usuario permanecern en el directoriode instalacin de EnCase.Los investigadores podrn disponer de varias versionesde Examiner de EnCase instaladas en el mismo equipo.

Compatibilidad con sistemas de archivosnuevos(Note:)El componente Examiner de EnCase ahora tambin puedeleer el sistema de archivos NWFS de Novell y los sistemasde archivos NSS. Adems, es posible analizar UFS2 deFreeBSD, tambin denominado FFS2, mediante elcomponente Examiner de EnCase. Esto permite alinvestigador previsualizar, adquirir y realizar anlisis enestos sistemas de archivos de la misma manera que conotros sistemas de archivos.

Compatibilidad con documentos de Officeen coreano(



Note: EnCase Con Examiner versin 6 ahora es posible analizardocumentos de Office en coreano con una extensin HWP o GULmediante la visualizacin de la estructura de archivos. Es posibleanalizar documentos Office del procesador de textos Hangul deHaansoft con una extensin HWP en el idioma nativo sin dll externos.Los archivos JungUm con extensin GUL slo se pueden analizarsi tiene instalado el programa JungUm.)

Compatibilidad adicional para formatos dearchivo MAC(Note: El componente Examiner de EnCase ahora tambin puedeleer los archivos de imgenes de disco de Mac con extensin DMG.Estos archivos se pueden agregar de la misma manera que losarchivos de evidencia de EnCase. Para ello, introdzcalos en elcampo para aadir dispositivos o arrstrelos y sultelos en elcomponente Examiner de EnCase. Adems, se ha aadido unafuncin que permite aceptar archivos gzip de MAC y versiones CPIOde archivos comprimidos PAX de MAC. Las versiones anteriores deEnCase eran compatibles con archivos PAX de MAC en formato tar.El componente Examiner de EnCase no es compatible actualmentecon los formatos adc y bzip.)

Nmero de serie del disco duro(Note: La tabla de dispositivos del panel de tabla contiene una columnanmero de serie, que contiene el nmero de serie del disco duro deldispositivo seleccionado. El dispositivo seleccionado se haprevisualizado y adquirido.)Para recuperar el nmero de serie del disco duro, stedebe leer una unidad conectada a travs de una tarjetacomplementaria.

Registro de productos EnCase(Note: Cuando un investigador instale Examiner de EnCase, se lepedir que se registre. Al registrarse, los investigadores tendrnacceso a informacin de actualizacin de versiones y descargas deversiones, entre otras ventajas.)



Al investigador se le proporcionar un enlace cuando sele pida que se registre, pero los usuarios tambin podrnacceder al sitio Web, que se encuentra en la direccinque se muestra a continuacin:https://www.guidancesoftware.com/myaccount/registration.aspxsi el equipo en el que se ha instalado Examiner deEnCase no dispone de acceso a Internet. Al investigadorslo se le pedirn una vez las claves de seguridad queutilizan.El investigador se puede registrar en cualquier momentosi selecciona la opcin de registro EnCase del men deherramientas.

Panel de registros(Note: El panel de registros sustituye los paneles de WebCache, delhistorial de Internet y del correo electrnico en versiones anterioresde Examiner de EnCase. Los archivos de correo electrnico comoPST, DBX y EDB que se hayan analizado se incluirn en la tabla deregistros del panel de tabla.)Los archivos adjuntos a los mensajes de correoelectrnico se muestran ahora como elementossecundarios del mensaje de correo electrnico, en lugarde en una subficha separada.



Las bsquedas de historial de Internet y de correoelectrnico ejecutadas a travs del cuadro de dilogo debsqueda se incluyen en el panel de registros. Losusuarios pueden buscar y marcar elementos en el panelde registros. Adems, el usuario puede modificar laspropiedades que aparecen en la tabla con la caractersticapara mostrar columnas que se encuentra en el panel detabla. Las propiedades ms comunes de Internet y delcorreo electrnico se mostrarn en la tabla de formapredeterminada. Examiner de EnCase utiliza ahora unamemoria cach de disco temporal que ayuda a mostrarlos registros cuando realiza operaciones de visualizacinde estructura de archivos que requieren una gran cantidadde memoria. Esto mejora la posibilidad de analizararchivos EDB y PST de gran tamao. Para localizarinformacin de campo adicional, resalte la columna decampo adicional y el panel de detalles del panel devisualizacin activar y desplegar una lista de laspropiedades de entradas y valores asociados.Ahora se puede acceder al anlisis de correo Web atravs de una herramienta de EnScript en lugar demediante una bsqueda del historial de Internet/correoelectrnico.

Opciones de bsqueda simplificada(Note: Todas las opciones de bsqueda se han combinado ahora enun cuadro de dilogo, lo que permite a Examiner de EnCaseoptimizar las bsquedas y reducir el nmero de pasos que losusuarios deben seguir para realizar bsquedas y anlisis de archivos.Antes, se acceda a la posibilidad de realizar una bsqueda de correoelectrnico o historial de Internet a travs de un botn de la barra deherramientas. Esa funcin se ha movido al cuadro de dilogo debsqueda, al que se accede a travs del botn de bsqueda de labarra de herramientas. El usuario tiene la opcin de buscar el panelde entradas o de registros. Si se seleccionan los paneles de entradasy registros para la bsqueda, Examiner de EnCase realizarbsquedas en los archivos del historial de Internet y del correoelectrnico que se hayan recuperado.)

Bsqueda mejorada de una pgina de cdigos en unidioma extranjero(Note: El motor de bsqueda de EnCase se ha mejorado paragestionar de un modo ms efectivo las bsquedas de pginas decdigos en un idioma extranjero como el japons, as como pginasde cdigos escritos de derecha a izquierda. El cuadro de dilogo de



bsqueda contiene ahora una opcin para identificar pginas decdigos. La funcin para identificar pginas de cdigos permite alcomponente Examiner de EnCase intentar detectar de formaautomtica la pgina de cdigos de un archivo y asociarla. Si elarchivo utiliza texto Unicode, el investigador deber asociar el visorde archivos correspondiente.)La pgina de cdigos asociada se podr ver en unacolumna de pginas de cdigos nueva en la ficha deentradas.Una vez que se haya determinado la pgina de cdigos,se puede bloquear un archivo con el botn de alternanciade la pgina de cdigos que se encuentra junto al cuadroDixon.

Anlisis de NTFS mejorado(Note: Se han realizado mejoras en la velocidad y en la eficacia delanalizador NTFS en el componente Examiner de EnCase .)El motor de anlisis de NTFS ahora maneja volmenescon entradas de MFT muy grandes. Adems, de estosvolmenes se recupera la informacin nueva que semuestra a continuacin: Tamao inicializado Enlaces permanentes ID de objetos Propiedades de Windows para archivos Entrada de asignacin de mapa de bits MFT Manejo de cadenas cifradas y comprimidas Cadenas en la papelera de reciclaje Texto de informe adicional para nmero de serie

extendido Se muestra el atributo de archivo que no es de ndice Se podr atribuir un algoritmo hash a todos los

archivos excepto a los archivos de sistema NTFS Puntos de reanlisis Puntos de enlace Enlaces simblicos Archivos LNK

Se han movido los ID de seguridad al panel dealmacenamiento seguro(Note: La posibilidad de agregar grupos y usuarios *nix, as comogrupos y usuarios Windows, se encuentra ahora en el panel dealmacenamiento seguro.



)Para acceder a las listas de grupos y usuarios de los IDde seguridad, haga clic con el botn derecho en la carpetaraz de almacenamiento seguro y elija una lista de usuario.Para asociar usuarios y grupos a volmenes en el panelde almacenamiento seguro, seleccione un usuario, hagaclic con el botn derecho y elija asociar al elementoseleccionado.

Proporcionar un destino alternativo durante lasadquisiciones(Note: Los investigador de EnCase ahora tienen la posibilidad deespecificar una ubicacin alternativa en el momento de realizar laadquisicin si la primera ruta de adquisicin se llena. En versionesanteriores, el componente Examiner de EnCase slo poda realizaradquisiciones en una ubicacin especificada y preguntaba al usuariosi se quedaba sin espacio suficiente. La versin 6 permite al usuarioespecificar una ubicacin alternativa en el cuadro de dilogo deadquisicin. Si la ubicacin original se queda sin espacio, laadquisicin contina realizndose en la ubicacin alternativa.)Si la ubicacin alternativa se queda sin espacio, se pediral usuario que especifique otra ruta.Esta caracterstica es compatible con LinEn, Fastblocy Examiner de EnCase.

Mostrar una lista de valores hash incluidos enconjuntos hash(Note: El panel de conjuntos hash se ha modificado para incluir unalista de los valores hash incluidos en un conjunto hash. Una nuevasubficha de elementos hash mostrar los valores hash incluidos enel conjunto hash. El usuario puede eliminar los valores hash de unconjunto hash si los elimina de la subficha de elementos hash. Todaeliminacin realizada en los conjuntos hash que ya estn incluidosen la biblioteca hash no surtir efecto cuando se identifiquen losarchivos a los que se les ha aplicado el algoritmo hash hasta que sevuelva a crear la biblioteca hash.)Para ver los elementos hash, los usuarios puedenseleccionar la columna de elementos hash y ver el panelde detalles en el panel de parte inferior.

Cambios en la licencia de LinEn(Note: Las entidades no comerciales ahora pueden utilizar y distribuirLinEn de manera gratuita segn el nuevo acuerdo de licencia que



se incluye en el programa LinEn. Si desea obtener ms detalles,revise el acuerdo de licencia.)

Compatibilidad de archivos del caso(Note: Los archivos de caso de EnCase versin 6 presentan unformato distinto al de los archivos de caso de las versiones anterioresde EnCase. Los archivos de caso de la versin 5 tambin se abrirncon EnCase versin 6, pero los resultados de las bsquedas delhistorial de Internet y de WebCache, as como los marcadorescorrespondientes, no se abrirn. Adems, no se incluirn losmarcadores de correo electrnico de versiones anteriores. El correoelectrnico que se haya analizado se volver a analizar y a colocaren la ficha de registros.)Los archivos de caso anteriores que se abran con laversin 6 seguirn presentando el formato de la versin5, a menos que el investigador guarde el caso como unarchivo de caso de la versin 6.



Caractersticas eliminadas(Note: Las opciones de visualizacin de archivos eliminados, deexclusin y visualizacin de archivos excluidos se han eliminado detodos los paneles excepto del panel de aciertos de bsqueda. Se haeliminado la compatibilidad con la versin DOS de EnCase(EN.EXE).)



Instalacin de EnCaseForensicIntroduccin a la instalacin de Examiner ....1

Requisitos mnimos ........................................ 1Instalacin de EnCase Enterprise ............... 1

Archivos instalados ................................ 5Desinstalacin de EnCase ............................ 6Desinstalacin de EnCase ............................ 6Reinstalacin de Examiner ........................... 8

Instalacin de claves de seguridad ............... 8

Resolucin de problemas relacionados con lasclaves de seguridad ........................................... 9

Obtencin de actualizaciones ....................... 10

Cuadro de dilogo Opciones ........................ 11Panel Opciones del caso del cuadro de dilogoOpciones ....................................................... 13Panel Global del cuadro de dilogo Opciones.......................................................................... 14

Panel Color del cuadro de dilogo Opciones.......................................................................... 17

Panel Fuentes del cuadro de dilogo Opciones.......................................................................... 17

Panel EnScript del cuadro de dilogo Opciones.......................................................................... 18

Opciones de ruta de almacenamiento ....... 19

Configuracin de la aplicacin EnCase ..... 20

Configuracin de la aplicacin EnCase ..... 20

Cmo compartir archivos de inicio .............. 21

Cmo compartir archivos de inicio .............. 21

Introduccin a la instalacin deExaminer(Note: El programa de instalacin de EnCase copia el programa ysus controladores en el equipo del usuario final e inicializa loscontroladores y los servicios con el sistema operativo.)El investigador puede seleccionar dnde se instalarEnCase Examiner.Si elige un directorio donde ya existe EnCase,sobrescribir versiones existentes anteriores del software,incluidos archivos de programa, registros y controladores.El programa de instalacin proporciona ayuda al usuariosi se producen situaciones que interfieren con lainstalacin.

Requisitos mnimos(Note: Para obtener el mximo rendimiento, los equipos de examendebern configurarse al menos con el siguiente hardware y software:) Una clave de seguridad (dongle) de EnCase Certificados para todos los mdulos adquiridos ) Una versin actual de Examiner de EnCase Procesador Pentium IV a 1,4 GHz o superior Un GB de RAM Windows 2000, XP Professional 2003 Server 55 MB de espacio libre en el disco duroEl programa admite sistemas de 64 bits. Para utilizar laversin de 64 bits de cualquier producto EnCase, elequipo Examiner deber disponer de una versin deWindows de 64 bits instalada.No se admiten procesadores Intel Itanium.La versin 6.01 de este software no admite mdulos PDE,VFS o EFS con la versin de 64 bits.FastBloc SE slo admite la interfaz USB con la versinde 64 bits.

Instalacin de EnCase Enterprise(Note: Para realizar la instalacin, inserte el CD en un reproductor yespere a que se ejecute el inicio automtico.


1Instalacin de EnCase Forensic

)Cuando comience la instalacin y aparezca el asistente,


Instalacin de EnCase Forensic2

Asistente de instalacin1. Indique la ruta de instalacin correcta o acepte el

valor predeterminado.2. Haga clic en la opcin Siguiente.

Acuerdo de licencia

3. Lea y acepte el acuerdo de licencia de EnCase.4. Haga clic en la opcin Siguiente.

Asistente de instalacin de ayuda



5. Haga clic en la opcin Siguiente.

Configuracin finalizada

6. Haga clic en la opcin de finalizacin cuando elasistente indique que se ha completado la instalacin.

La opcin de instalacin de ayuda est activada de formapredeterminada y no se puede desactivar.

Icono de escritorio EnCase

La instalacin est completa. Para iniciar una sesinEnCase:1. Haga doble clic en el icono de escritorio.

Archivos instalados(



Note: Durante la instalacin, el programa se copia a s mismo y unarecopilacin de archivos asociados en el directorio de destino.)El programa de instalacin incluye un icono de inicio enel escritorio. Adems, en la carpeta de destino se instalanvarias carpetas y archivos durante la instalacin.Carpeta de destino Setup.exe En.Exe ReadMe.rtf New.chm EnCase.exe Enhkey.dllCarpeta Certs EnCase.PCertCarpeta Config AppDescriptors.ini FileSignatures.ini FileTypes.ini Keywords.ini Profiles.ini TextStyles.iniCarpeta de un componente EnScript forense File Mounter (Montador de archivos) Case Processor (Procesador de casos) Index Case (Indizacin de casos) Scan Local Machine (Explorar equipo local) Webmail Parser (Analizador de correo Web)

Desinstalacin de EnCase(Note: El programa de desinstalacin slo funciona en versionesidnticas del software. La instalacin de actualizaciones de unaversin ya existente o de versiones o revisiones completamentenuevas sobrescribe automticamente el software instalado.)Realice copias de seguridad de los archivos de caso yevidencia antes de modificar cualquier software instaladoen un equipo de anlisis. Tambin se requiere unaactualizacin del programa.Cierre todas las versiones del programa EnCase que seencuentren en ejecucin, introduzca el soporte deinstalacin del software y espere a que el programa deinstalacin se conecte.



1. Abra el Panel de control de Windows y seleccioneCambiar o quitar programas.

2. Introduzca la ubicacin del software en el campo dela ruta de instalacin. La ruta predeterminada esC:\Archivos de programa\Encase6; haga clic enSiguiente.Se mostrar un cuadro de dilogo de seleccin.

Seleccione la opcin de desinstalacin.

3. Seleccione la opcin de desinstalacin y, acontinuacin, haga clic en Siguiente.Se mostrar el progreso de esta operacin en elcuadro de dilogo.

4. Haga clic en la opcin para finalizar cuando aparezcala notificacin de finalizacin.De esta forma se desinstala el software.

Las carpetas y archivos personales como certificados,ubicaciones de almacenamiento y copias de seguridadpermanecern intactos.



Reinstalacin de Examiner(Note: El proceso de reinstalacin actualiza algunos archivos yconfiguraciones y constituye una variante del programa de instalacin.)Este proceso crea un nuevo archivo de registro y vuelvea instalar los elementos siguientes: Archivos de aplicacin Claves de registro Archivos de usuario que no existanEl proceso de reinstalacin no sobrescribe los archivosde usuario ya existentes.



Instalacin de claves deseguridad(Note: La clave de seguridad se utiliza para acceder a la aplicacinEnCase. Esta clave de seguridad se programa de forma nica paraun usuario y le permite el uso del software. La instalacin de la clavede seguridad es un proceso sencillo.)Si no ha instalado los controladores de clave de seguridaddurante la instalacin del programa, instlelos tras eliminarla clave de seguridad del equipo.Para instalar las claves de seguridad1. Inserte el CD-ROM de instalacin.2. Si est activa la opcin de ejecucin automtica,

aparece la pantalla inicial.3. Haga clic en el enlace de controladores de clave de

seguridad.4. Cuando aparezca el asistente de instalacin HASP,

haga clic en Siguiente.5. Haga clic en la opcin Siguiente cuando aparezca el

resumen.6. Haga clic en la opcin para finalizar cuando se haya

completado la instalacin.7. Apague el equipo, inserte la clave de seguridad y

arranque el programa.Si la clave de seguridad se inserta antes de hacer clic enla opcin de finalizacin, la aplicacin se inicia en modode adquisicin y desactiva la posibilidad de previsualizary ver la estructura de archivos, aunque permite laadquisicin de evidencias. Para solucionar esta condicin,vuelva a instalar el controlar sin la clave de seguridad.



Resolucin de problemasrelacionados con las claves deseguridad(Note: La instalacin no suele presentar problema alguno.)No obstante, si surgiera algn problema relacionado conla instalacin, dirjase a la pgina de resolucin deproblemas de nuestro sitio Web en la direccinhttp://www.guidancesoftware.com.Una vez en ella, desplcese hasta el panel de mensajespara buscar informacin relacionada con su problema.



Obtencin de actualizaciones(Note: La versin 6 es la versin ms reciente y actualizada delpaquete de software. No obstante, regularmente se publicanactualizaciones basadas en funciones nuevas y mejoradas.)Para proteger su cadena de custodia y asegurarse deque las actualizaciones ms recientes se encuentreninstaladas, es importante que el programa instalado estactualizado.Si desea obtener ms informacin sobre cmo obteneractualizaciones de software, consulte Descargas.



Cuadro de dilogo Opciones(Note:)El cuadro de dilogo Opciones permite configurar laaplicacin EnCase segn se desee.



Cuadro de dilogo Opciones

El cuadro de dilogo Opciones contiene los siguientespaneles: Panel Opciones del caso Panel Global Panel NAS Panel Fuentes Panel Programas EnScript Panel Ruta de almacenamiento Panel EmpresaCada panel proporciona las configuracionescorrespondientes. El panel Opciones del caso slo semuestra cuando est abierto un caso.

Panel Opciones del caso del cuadro dedilogo Opciones(Note: El panel Opciones del caso del cuadro de dilogo Opcionescontiene configuracin que se aplica al caso abierto.



)El panel Opciones del caso del cuadro dedilogo Opciones

Nombre contiene el nombre del caso asociado con lasopciones del caso configuradas en este panel. El nombrede caso se utiliza como nombre de archivopredeterminado al guardar el caso. Cuando se guarda elarchivo, se puede cambiar el nombre.Nombre del examinador contiene el nombre del usuarioque acta como investigador.Carpeta de exportacin predeterminada contiene la rutay el nombre de la carpeta donde se exportan los archivos.Carpeta temporal contiene la ruta y el nombre de lacarpeta donde se crean los archivos temporales.Carpeta de ndice contiene el archivo de ndice de losarchivos o coleccin de archivos indizados.

Panel Global del cuadro de dilogoOpciones(



Note: El panel Global del cuadro de dilogo Opciones contieneconfiguracin que se aplica de forma global a la aplicacin EnCase.)

Panel Global del cuadro de dilogoOpciones

Minutos de almacenamiento automtico (0= ninguno)contiene el nmero de minutos que constituye el intervaloentre almacenamientos automticos de los archivos delcaso. Los datos guardados automticamente se escribenen archivos *.CBAK.Utilizar la papelera de reciclaje para casos determina silos archivos de copia de seguridad se mueven a lapapelera de reciclaje y no se sobrescriben cuando seguarda automticamente el archivo.Activar visor de imgenes determina si se utilizar el visorde imgenes con grficos de formato adecuado.Activar visualizacin de imgenes ART y PNG determinasi se muestran los archivos de imagen ART y PNG. Siestos archivos estn daados, pueden provocar el fallodel programa, por lo que esta configuracin permite limitarel impacto de los archivos ART y PNG daados.



Indicar archivos perdidos determina si los clsteresperdidos se consideran como espacio sin asignar. Estoreduce el tiempo necesario para acceder al archivo deevidencia. Cuando se activa, todos los clsteres perdidosaparecen en el panel de disco como clsteres sin asignar.Habilitar las imgenes en documento/vista determina silas imgenes se muestran con tecnologa Outside In enel panel de documentacin del panel de visualizacin.Tiempo de espera de imgenes no vlidas (segundos)contiene la cantidad de tiempo que el programa intentaleer un archivo de imagen daado antes de anular laaccin. Cuando finaliza el tiempo de lectura, el archivodaado se enva a la memoria cach y no se vuelve aintentar su lectura.Formato de fecha contiene configuraciones relacionadascon el formato de fecha que se utiliza en la aplicacin.MM/DD/AA determina si se utiliza el formato de fechaMM/DD/AA.DD/MM/AA determina si se utiliza el formato de fechaDD/MM/AA.Otro permite especificar un formato de fecha propio.Da actual contiene la fecha actual con el formato de fechaseleccionado.Formato de hora contiene configuraciones relacionadascon el formato de hora que se utiliza en la aplicacin. .12:00:00PM determina si se utiliza un reloj de 12 horascomo base del formato de hora.24:00:00 determina si se utiliza un reloj de 24 horas comobase del formato de hora.Otro permite especificar un formato de hora propio.Hora actual contiene la hora actual con el formato de horaseleccionado.Mostrar verdadero contiene el smbolo utilizado paraindicar un valor verdadero en las columnas de tablamostradas en el panel de tabla del panel de tabla.Mostrar falso contiene el smbolo utilizado para indicarun valor falso en las columnas de tabla mostradas en elpanel de tabla del panel de tabla.Archivos de copia de seguridad contiene el nmeromximo de archivos almacenados como archivos de copiade seguridad cuando se guarda un caso.Pgina de cdigos predeterminada contiene el nmerode la pgina de cdigos utilizada para mostrar texto.



Registro de depuracin contiene las configuraciones quedeterminan dnde se registra la depuracin.

Panel Color del cuadro de dilogoOpciones(Note: Este panel permite asociar colores con diferentes elementosdel caso.)

Panel Color del cuadro de dilogoOpciones

Colores predeterminados contiene una lista de loselementos del caso que se pueden asociar con un color.Si se hace doble clic en un elemento de la lista, se abreel cuadro de dilogo de paleta de colores, donde se puedeelegir un color y asociar con el elemento del casoseleccionado.

Panel Fuentes del cuadro de dilogoOpciones(



Note: Este panel permite asociar fuentes con diferentes elementosdel caso.)

Panel Fuentes del cuadro de dilogoOpciones

Fuentes predeterminadas contiene una lista de loselementos del caso que se pueden asociar con unafuente. Si se hace doble clic en un elemento de la lista,se abre el cuadro de dilogo de fuentes, donde se puedeelegir una fuente y asociar con el elemento del casoseleccionado. La fuente se puede definir en trminos defuente, estilo de fuente, tamao y secuencia de comandos.El atributo de secuencia de comandos permite seleccionarel conjunto de caracteres utilizado.

Panel EnScript del cuadro de dilogoOpciones(Note: Este panel permite especificar la ubicacin de la biblioteca dearchivos de inclusin que utilizan los programas EnScript.)



Panel EnScript del cuadro de dilogoOpciones

Ruta de inclusin contiene la ruta y el nombre de lacarpeta donde se encuentra la biblioteca de archivos deinclusin.

Opciones de ruta de almacenamiento(Note: Las rutas de almacenamiento definen la ubicacin en la quese almacenan la carpeta de ndice, el filtro de la cach de registro,la carpeta de copia de seguridad base y los archivos .INI que utilizaEnCase para establecer la configuracin global.)



Opciones de ruta de almacenamiento

Los valores predeterminados se definen y muestran enel grfico. Para cambiar las carpetas de ndice, cach ycopia de seguridad, introduzca una ruta nueva odesplcese hasta la carpeta que desee y seleccinela.Es posible cambiar la ubicacin de la carpeta .INI ydeterminar si es posible o no escribir en ella al hacer dobleclic en una fila e introducir los cambios deseados.



Configuracin de la aplicacinEnCase(Note: Es posible configurar y utilizar diversos aspectos de laaplicacin EnCase cada vez que se abre la aplicacin.)Para poder configurar la aplicacin, es necesario que stase encuentre abierta. Es posible configurarla en cualquiermomento, con independencia de que haya un caso abiertoo no. Cuando hay un caso abierto, se muestra el panelde opciones de los casos en el cuadro de dilogo deopciones.Para configurar la aplicacin:1. Haga clic en Herramientas Opciones .

Se abrir el cuadro de dilogo de opciones.2. Haga clic en el panel que desee y cambie la

configuracin segn sea necesario; a continuacin,haga clic en Aceptar.Algunos de los cambios introducidos en laconfiguracin de las opciones se aplican la prximavez que se abra la aplicacin, mientras que otros seaplican inmediatamente.



Cmo compartir archivos deinicio(Note: Los investigadores asociados a una investigacin puedencompartir elementos personalizados y archivos de inicio. Cada unode estos archivos INI se completa con los elementos personalizadosque el investigador introduce en su bsqueda de evidencias. Losarchivos de firma y palabra clave pueden resultar de especial inters.Estos elementos de los casos se comparten al compartir los archivosINI.)Para compartir archivos .ini, es necesario que la aplicacinest instalada en los equipos de los destinatarios.Para compartir archivos de inicio:1. Haga clic en Herramientas Opciones Ruta de

almacenamiento.Se mostrar el panel de rutas de almacenamientodel cuadro de dilogo de opciones.

2. Haga doble clic en la fila que contenga el archivo INIque desee.En el cuadro de dilogo Editar se muestra la ruta del mismo.

3. Para desplazarse hasta el archivo INI, copie la ruta,pguela en el Explorador de Windows y, acontinuacin, copie el archivo y distribyalo comodesee.



Instalacin de LinEnUtilidad LinEn de EnCase ................................ 1

Obtencin de una distribucin Linux ............ 1

Configuracin de LinEn .................................... 2Configuracin de LinEn en SUSE ................ 3Configuracin de LinEn en SUSE ................ 3Configuracin de LinEn en Red Hat ............ 4Configuracin de LinEn en Red Hat ............ 4

Creacin de un disco de inicio de LinEn ..... 4

Creacin de un disco de inicio de LinEn ..... 4

Instalacin para una adquisicin mediantecable de disco ...................................................... 6

Visualizacin de la licencia de LinEn ........... 7

Visualizacin de la licencia de LinEn ........... 7

Utilidad LinEn de EnCase(Note:)La utilidad LinEn de EnCase proporciona un medio paraadquirir evidencias de una unidad objeto con una de lassiguientes combinaciones: Un cable de paso y un disco de arranque LinEn en

ejecucin en la mquina objeto Un cable de disco duro conectado a una unidad

objeto en ejecucin en el equipo forense iniciado enLinux

Un cable de disco duro conectado a una unidadobjeto en ejecucin en el equipo objeto iniciado conun disco de arranque LinEn

Se puede adquirir cualquier disco duro que reconozcaLinux. Cuando se adquiere el dispositivo, se le puedeaplicar el algoritmo hash.LinEn depende de la distribucin Linux donde estinstalado. La configuracin de LinEn vara en funcin dela distribucin instalada.


1Instalacin de LinEn

Obtencin de una distribucinLinuxLos distribuidores de Linux proporcionan las distribucionesLinux. En el caso de distribuciones Linux relacionadascon LinEn, obtenga una distribucin de uno de lossiguientes distribuidores: Para obtener la ltima distribucin SUSE, dirjase a

http://www.novell.com/linux/ Para obtener la ltima distribucin Red Hat, dirjase

a http://www.redhat.com/ Para obtener la ltima distribucin Knoppix, dirjase

a http://knoppix.com/Si pretende utilizar un disco de inicio, necesitar unadistribucin "live", como Knoppix, para crear un disco deinicio. Si tiene previsto utilizar LinEn en su equipo forense,se recomienda utilizar SUSE o Red Hat.


Instalacin de LinEn2

Configuracin de LinEn(Note:)Antes de poder ejecutar LinEn en una distribucin "live"o Linux estndar, es necesario configurarlo. Debido a lanaturaleza de Linux y sus distribuciones, slo se incluyeinformacin relativa a las siguientes distribucionesestndar: SUSE 9.1 Red Hat KnoppixEl proceso descrito es un proceso de configuracin idealque ejecuta eficazmente la aplicacin LinEn de unamanera slida desde el punto de vista forense.Numerosas distribuciones proporcionan la funcin autofscomo un medio de montar automticamente cualquierelemento conectado al sistema Linux. Es imprescindibleque autofs se encuentre deshabilitada para evitar elmontaje automtico.Para que las adquisiciones de LinEn sean slidas desdeel punto de vista forense, es necesario que la funcinautofs se encuentre deshabilitada.

Configuracin de LinEn en SUSEAntes de poder configurar LinEn en SUSE, es necesarioque SUSE ya se ejecute en el equipo Linux delinvestigador.Para configurar LinEn en SUSE1. Copie el ejecutable de LinEn que se encuentra en la

ruta C:\Program Files\EnCasedel equipo Windowsdel investigador en el directorio que desee del equipoLinux del investigador, /usr/local/encase.

2. Escriba chmod 777 /usr/local/encase/linen.3. Ejecute Men principal/Sistema/Configuracin/Yast.4. Abra el editor de nivel de ejecucin.5. Asegrese de que la funcin autofs no se encuentre

seleccionada ni activada.



Configuracin de LinEn en Red HatAntes de poder configurar LinEn en Red Hat, es necesarioque Red Hat ya se ejecute en el equipo Linux delinvestigador.Para configurar LinEn en Red Hat1. Copie el ejecutable de LinEn que se encuentra en la

ruta C:\Program Files\EnCasedel equipo Windowsdel investigador en el directorio que desee del equipoLinux del investigador, /usr/local/encase.

2. Escriba chmod 777 /linen.3. Ejecute Men principal/Configuracin del

sistema/Configuracin del servidor. .4. Asegrese de que la funcin autofs se encuentre

deshabilitada.5. Inicie Linux en el modo de consola.6. Edite el nivel de ejecucin de inicio; para ello,

modifique /etc/inittab.7. Busque la lnea id:5:initdefault: y cambie el valor 5

por 3.De esta forma se cambia la opcin de inicio de modoque Linux se inicie en el modo de consola en lugarde hacerlo con la interfaz grfica del usuario (GUI).



Creacin de un disco de iniciode LinEn(Note:)Para poder crear un disco de inicio de LinEn, es necesariohaber obtenido una imagen ISO de la distribucin Linux"live" que desee utilizar como, por ejemplo, Knoppix.Knoppix es una de las distribuciones "live" ms utilizadas.Asegrese de que la distribucin "live" no monta de formaautomtica los dispositivos detectados.Para crear un disco de inicio de LinEn:1. A travs de la aplicacin EnCase del equipo del

investigador, haga clic en Herramientas Crear discode inicio.Se mostrar la pgina de seleccin de destino delasistente para la creacin de discos de inicio.

2. Haga clic en Imagen ISO y, a continuacin, enSiguiente.Se mostrar la pgina de opciones de formato delasistente para la creacin de discos de inicio.

3. Proporcione el nombre de archivo y la ruta de laimagen ISO descargada con anterioridad; tambinpuede hacer clic en la opcin para modificar la tablade inicio y hacer clic en Siguiente.Se mostrar la pgina de copia de archivos delasistente para la creacin de discos de inicio.

4. Haga clic con el botn derecho en el panel derechode la pgina de copia de archivos y haga clic enNuevo.Se mostrar el explorador de archivos.

5. Introduzca o seleccione la ruta del ejecutable deLinEn, que normalmente se encuentra en c:\programfiles\encase, haga clic en Aceptar y, a continuacin,en Finalizado.Se mostrar una barra con el progreso de la creacinde la imagen ISO en la pgina de copia de archivos.Una vez creado el archivo ISOmodificado, se cerrarel asistente.

6. Grabe el archivo ISO en un CD/DVD vaco medianteel software de grabacin de CD que desee. Paraobtener ayuda sobre cmo realizar esta tarea,



consulte las instrucciones que acompaaban alsoftware.

De esta forma dispone de un disco de inicio que permiteejecutar Linux y LinEn durante la adquisicin deldispositivo Linux objeto.



Instalacin para unaadquisicin mediante cable dedisco(Note:)Cuando no es posible adquirir una unidad objeto desdeel equipo objeto a travs de una adquisicin mediantecable cruzado, es posible adquirir la unidad objeto a travsde un cable de disco. La adquisicin mediante cable dedisco se puede realizar mediante uno de los mtodossiguientes: La ejecucin de un disco de inicio de LinEn en el

equipo forense. La ejecucin de la utilidad LinEn desde Linux sin el

disco de inicio de LinEn en el equipo forense. La ejecucin de un disco de inicio de LinEn en el

equipo objeto.



Visualizacin de la licencia deLinEn(Note: La licencia de la versin de LinEn se puede mostrar en laaplicacin.)Para poder ver la licencia de LinEn, es necesario queesta aplicacin se encuentre en ejecucin y que la pginaprincipal est abierta.



Visualizacin de la licencia deLinEn

Para ver la licencia de LinEn:1. Pulse la tecla L.

Se mostrar la licencia.2. Pulse Intro.

Se mostrar la pantalla principal de LinEn.



Desplazamiento por lainterfaz de EnCaseLa ventana principal ........................................... 1

Panel de rbol ................................................ 4Panel de tabla ................................................. 5Panel de visualizacin ................................... 5Panel de filtros ................................................ 6

Desplazamiento entre paneles ....................... 6

Mens .................................................................... 8Men de archivo ............................................. 9Men Editar ................................................... 10Men de visualizacin ................................. 10

Seleccin del men Subfichas de casos.................................................................. 11

Seleccin de mens en el panel de tabla.................................................................. 12

Seleccin de mens en el panel devisualizacin .......................................... 12Seleccin de mens en el panel de filtros.................................................................. 13

Men de herramientas ................................. 14Submen GSI ....................................... 14Wipe Drive (Borrar unidad) ................. 15Wipe Drive (Borrar unidad) ................. 15Verificacin de archivos de evidencia ....1 8

Verificacin de archivos de evidencia ....1 8

Creacin de un disco de inicio ............ 19Creacin de un disco de inicio ............ 19Opciones ............................................... 19Opciones ............................................... 19

Men de ayuda ............................................. 20

Copia y recuperacin ...................................... 21

Copia y recuperacin ...................................... 21

Ajuste automtico ............................................. 23

Modificacin del panel de rbol .................... 24Elementos incluidos en el conjunto ............ 26Inclusin de subcarpetas ............................ 28Inclusin de carpetas nicas ...................... 29

Expandir/Contraer ........................................ 30Expandir todo ................................................ 33Contraer todo ................................................ 34Seleccin de elementos .............................. 34

Cuadro Dixon ........................................ 37Carpetas nuevas .......................................... 38

Modificacin del panel de tabla .................... 38Excluir .................................................... 40Eliminar .................................................. 41

Eliminacin de archivos ............... 42Eliminacin de archivos ............... 42

Ordenacin ................................................... 43Ordenacin por columnas ................... 44Cmo agregar orden ............................ 44Ordenacin de selecciones ................. 45Cmo agregar selecciones a unaordenacin ............................................. 45

Filtros ............................................................. 46Condiciones .................................................. 48Consultas ...................................................... 48Consultas ...................................................... 48Panel de galera ........................................... 50

Visualizacin de menos columnas ..... 50Visualizacin de ms columnas ......... 50Visualizacin de ms filas ................... 51Visualizacin de menos filas ............... 51

Panel de lnea de tiempo ............................ 51

Panel de cdigo ................................................ 52

Modificacin del panel de visualizacin ..... 53El panel de texto ........................................... 54El panel de formato hexadecimal ............... 54Vista de imagen del panel de visualizacin ....5 5

El panel de informes .................................... 55El panel de documentos .............................. 57Panel de transcripcin ................................. 57Panel de salida ............................................. 57El panel de consola ...................................... 57Panel de detalles .......................................... 58Bloquear ........................................................ 58Copia ............................................................. 58Ir a .................................................................. 59

Buscar ........................................................... 59

La ventana principal(Note: Desplcese por la interfaz de usuario del programa a travsde los mens, las barras de herramientas y los paneles. Adems delas herramientas de desplazamiento, la interfaz incluye paneles quecontienen informacin. La informacin aparece y cambia en funcindel panel que est seleccionado.)La interfaz grfica de usuario (GUI) est diseada paraorganizar demodoms efectivo las funciones del softwareEnCase. Cada men y submen se relaciona con unaimagen de la pgina principal. A continuacin se muestrauna vista de la ventana principal con un caso abierto.


1Desplazamiento por la interfaz de EnCase

Componentes de la interfaz

1. Fichas2. Barra de men3. Panel de rbol4. Barra de panel5. Panel de tabla6. Panel de filtros7. Panel de visualizacinAdems de los mens y las fichas, la interfaz est divididaenlos paneles de acoplamiento individuales Ver yRestablecer vista en la ventana principal.. Encima de cada panel, hay fichas.Si se abre un caso y se seleccionan fichas, la interfazcambia.


Desplazamiento por la interfaz de EnCase2

Interfaz completa

El tamao de la ventana principal se puede modificar.Para ello, arrastre la esquina inferior derecha de cadapanel hasta obtener el tamao deseado. Para mover eltamao de los paneles, mueva el separador y ajuste eltamao.Los paneles dependen unos de otros. El panel de rbolcontrola el panel de tabla, que, a su vez, conduce losdatos al panel de visualizacin. El panel de filtros contienefiltros, condiciones y consultas que controlan el panel detabla.En la imagen que aparece anteriormente, se muestra elpanel de formato hexadecimal del panel de visualizacin.Se trata de una vista nica que divide el panel devisualizacin en dos partes. Un panel de formatohexadecimal a la izquierda y un panel de texto a laderecha. En la parte inferior, una ventana de informacinmuestra los elementos siguientes: El archivo actual y su ruta completa segn el formato:

\\\\nombre dearchivo.

El sector fsico (PS) de la ubicacin en la que seencuentra dentro del dispositivo fsico,independientemente de las particiones lgicas.

El sector lgico (LS) de la ubicacin en la que seencuentra dentro de la particin lgica.

El nmero de clster (CL) le proporciona el nmerode clster que est visualizando.



La desviacin de sector (SO) le proporciona laubicacin del elemento visualizado en ese momento,expresado como el nmero de sectores a partir delinicio del clster.

La desviacin de archivo (SO) le proporciona laubicacin del elemento visualizado en ese momento,expresado como el nmero de bytes a partir del iniciodel archivo.

La longitud (LE) del elemento concreto que estvisualizando. Si resalta un fragmento de texto, stele proporcionar la longitud, expresada en el nmerode caracteres.

Panel de rbol(Note: Una estructura de rbol es una forma de representargrficamente la naturaleza jerrquica de una estructura.)

Un panel de rbol

El nodo inicial se suele denominar raz. Un nodo es el nodo primario de otro si se encuentra

en un nivel superior de la jerarqua y est msprximo al nodo raz.

Los nodos "hermanos" o secundarios comparten elmismo nodo primario.

Un nodo relacionado con todos los nodos de nivelinferior se denomina "ascendiente".



Panel de tabla(Note: Una tabla es un modo de comunicacin visual que asigna laestructura lgica de un conjunto de datos en una matriz jerrquica.Los datos tabulares son datos discretos.)El panel de tabla es una tabla unidimensional con formatosimilar al de una lista o tabla de contenido con unajerarqua nica.Los contenidos de este panel cambian en funcin delpanel seleccionado.El grfico muestra una tabla de entradas de archivo.Aparecern otras vistas cuando se pulsen las opcionesde casos, marcadores, SAFE o pgina principal.

Vista tpica del panel de tabla

Panel de visualizacin(Note: El panel de visualizacin contiene presentaciones de archivos.El contenido de este panel cambia en funcin del tipo de archivo quese est visualizando. Un documento de procesador de textos o detexto aparece de una nica manera, mientras que un archivo grficopuedemostrar contenido ASCII o una presentacin real de la imagen.)



Una vista hexadecimal de un archivo JPG

Panel de filtros(Note: Segn el panel seleccionado, el panel de filtros mostrar unalista de programas EnScript, aciertos de bsqueda, filtros,condiciones, consultas y estilos de texto.)

Panel de filtros

El resto de paneles, filtros y consultas otorgan acceso ala creacin estas herramientas.



Desplazamiento entre paneles(Note: Los paneles reducen la forma en que los datos se muestranen pantalla.)Aunque los botones y fichas de la interfaz del programapuedan parecer botones, no lo son. Se trata en realidadde encabezados de paneles similares a las tarjetas dendice con lengeta. En la primera imagen se representaeste concepto.



Similitud con las tarjetas dendice

En esta ilustracin semuestran seleccionados los panelesde casos, entradas y pgina principal. Debido a lanaturaleza jerrquica de los paneles, cada una de las filassuperiores de los paneles controla la visualizacin de lasfilas situadas bajo ella. En este caso, el panel de pginaprincipal situado en la parte inferior controla toda lavisualizacin del panel.

La seleccin de otro panel no slo afecta al contenido delpanel, sino que con frecuencia cambia el nmero y elcontenido de las filas inferiores del mismo.



Mens(Note: La navegacin bsica se lleva a cabo mediante el menprincipal.)La interfaz grfica de usuario (GUI) est diseada paraconseguir la mejor organizacin de las funciones deEnCase. El men principal contiene estas opciones: Archivo Editar Ver Herramientas AyudaA su vez, cada elemento de menu incluye selecciones y,en muchos casos, submens adicionales.

Men de archivo

Men de archivo sin ningn caso abierto

Men de archivo con un caso abierto



Las opciones del men de archivo realizan las siguientesoperaciones:Nuevo: crea un caso nuevo.Guardar: guarda el caso.Guardar todoguarda el aso y los filtros o condicionescreados.Imprimir: imprime el contenido del panel seleccionado.Configuracin de impresoracontrola los parmetros de laimpresora.Agregar dispositivoabre el asistente para agregardispositivos, que permite previsualizar y adquirir undispositivo.Agregar imagen sin procesarse utiliza para agregararchivos de imagen sin procesar.Salircierra el programa. Si existen cambios sin guardar,la aplicacin solicita que se guarden.

Men Editar(Note: A continuacin se muestra un men de edicin expandido.)

Vista del men Editar

Men de visualizacin(Note: A continuacin semuestra unmen de visualizacin expandido.Independientemente del estado del caso, este men no vara.)



Men de visualizacin expandido

Seleccin del men Subfichas de casos(Note: La seleccin Subfichas de casos incluye mens.)

Men Subfichas de casos y Subfichas de entradas

El men Subfichas de casosmuestra lasmismas entradasque aparecen al seleccionar Casos.



Seleccin de mens en el panel de tabla(Note: Aqu se muestra una vista del men del panel de tabla y sucontenido.)

Men del panel de tabla

El men incluye las mismas entradas que la opcin detabla.

Seleccin de mens en el panel de visualizacin(Note: A continuacin se muestra una vista de la subficha del panelde visualizacin.)



Subficha del panel de visualizacin

En la subficha del mens se muestran las mismasentradas que en el panel de visualizacin.

Conjunto de fichas del panel de visualizacin

Seleccin de mens en el panel de filtros(Note: A continuacin se muestra una vista del men del panel defiltros:)

Subficha del panel de filtros



El men desplegable muestra las mismas entradas queen el panel de filtros.

Conjunto de fichas del panel de filtros

Men de herramientas(Note: El men de herramientas se encuentra en la barra de men,en la parte superior de la interfaz de usuario de EnCase. Incluyecomandos para ejecutar determinados programas de utilidades para,por ejemplo, borrar una unidad o crear un disco de inicio.)Haga clic en la ficha de herramientas para mostrar elmen de herramientas

Visualizacin bsica del men deherramientas

Submen GSI(Note:)



El submen GSI contiene comandos de menproporcionados por programas EnScript. Los programasEnScript se encuentran en la carpeta principal del rbolde EnScript en el panel EnScript del panel de filtros. Estosprogramas EnScript pueden tener como autor un usuario.Si puede escribir programas EnScript, puede utilizarcomandos de men..

Comandos del submen GSI y programas EnScriptque proporcionan la funcionalidad de comandosrelacionada

Wipe Drive (Borrar unidad)(Note: Advertencia! Este procedimiento borra completamente elmedio y sobrescribe su contenido con un carcter hexadecimal.Tenga precaucin al ejecutar Wipe Drive (Borrar unidad).)Ejecute la utilidadWipe Drive (Borrar unidad) para eliminarel rastro de cualquier archivo de evidencia de una unidadde almacenamiento.



Para borrar completamente una unidad:1. Haga clic en la opcin Wipe Drive (Borrar unidad)

del men de herramientas.Se mostrar una ventana de seleccin de unidades.

2. Seleccione las opciones iniciales y haga clic enSiguiente.Se mostrar una pantalla de seleccin dedispositivos.

3. Seleccione el dispositivo que desee borrarcompletamente y, a continuacin, haga clic enSiguiente.Se mostrar una pantalla de opciones. En estapgina hay otras dos opciones. La opcin deverificacin de sectores borrados se encuentraactivada de forma predeterminada y el carcter deborrado hexadecimal es 00. Cuando esta casilla seencuentra activada, el programa Wipe Drive (Borrarunidad) lee todos los sectores para asegurarse de



que los datos se han sobrescrito completamente conel carcter de borrado. Es posible introducir cualquiervalor hexadecimal en el campo correspondiente alcarcter de borrado.

4. Haga clic en la opcin para finalizar.Se mostrar el cuadro de dilogo demensajes sobreunidades.

5. En Continuar, responda afirmativamente y haga clicen Aceptar.Se mostrar el cuadro de dilogo de estado de WipeDrive (Borrar unidad).

La unidad se borrar y sobrescribir completamente conla cadena hexadecimal introducida en el paso anterior.Semostrar una ventana de estado con informacin sobreel disco y la operacin.



Ventana de visualizacin de estado de Wipe Drive(Borrar unidad)

Para utilizar esta unidad de nuevo, es necesario volver aformatearla.

Verificacin de archivos de evidencia(Note: La funcin de verificacin de archivos de evidencia compruebalos valores del control de redundancia cclica (CRC) de los archivosseleccionados. Se trata de una forma de garantizar que no se hayaalterado la evidencia de ninguna manera.)Para poder verificar uno o ms archivos de evidencia, esnecesario haberlos adquirido.1. Haga clic en Herramientas > Verificar archivos de

evidencia.Se mostrar el explorador de archivoscorrespondiente al proceso de verificacin dearchivos de evidencia.



2. Seleccione uno o ms archivos de evidencia y hagaclic en Abrir.Una vez verificados los archivos, se muestra uninforme de estado.

Creacin de un disco de inicio(Note:)Ha obtenido una copia de una distribucin Linux.Consulte Creacin de un disco de inicio de LinEn.

Opciones(Note: El cuadro de dilogo de opciones permite a los usuariospersonalizar el software.)



Consulte el captulo El cuadro de dilogo de opcionespara obtener informacin detallada al respecto.

Men de ayuda(Note: A continuacin se muestra una vista expandida del men deayuda. Es el mismo tanto si existe un caso abierto como si no.)

Men de ayuda

La opcin de novedadesmuestra un archivo de ayudaCHM de novedades.La opcin de ayuda de EnScript abre un archivo de ayudaCHM de EnScript.La opcin de registro de EnCase abre un formulario deregistro del programa.La opcin de informacin acerca de EnCase muestra uncuadro de dilogo con datos sobre las versiones y losmdulos EnCase.La ayuda muestra ayuda del programa EnCase.



Acerca del cuadro de dilogo EnCase



Copia y recuperacin(Note: El comando de copia y recuperacin recupera byte a bytearchivos borrados.)Para iniciar el comando de copia y recuperacin:1. Haga clic en Editar Copia y recuperacin .2. Seleccione el archivo o los archivos que desee

copiar.3. Seleccione si cada uno de los archivos se mostrar

en un archivo diferente o, si por el contrario, sefusionarn todos ellos en un nico archivo.

4. Introduzca un carcter de sustitucin para lasentradas borradas de la tabla de asignacin dearchivos. El carcter predeterminado es el guin bajo(_).

5. Haga clic en la opcin Siguiente.6. Para determinar los elementos que se copiarn y

recuperarn, realice el procedimiento siguiente:Si slo se van a copiar y recuperar los archivoslgicos, haga clic en Slo archivos lgicos.Si se va a copiar y recuperar el archivo fsicocompleto, haga clic en Todo el archivo fsico.Si se va a copiar y recuperar la memoria RAM y elespacio muerto del disco, haga clic en RAM y espaciomuerto.Si slo se va a copiar y recuperar el espacio muertode la memoria RAM, haga clic en Slo espaciomuerto de la RAM.

7. Para determinar la mscara que se aplicar a losnombres de archivo del contenido copiado yrecuperado, realice el procedimiento siguiente:Si no se va a aplicar ninguna mscara, haga clic enNinguna.Si no se va a enmascarar ningn carcter que nosea ASCII, haga clic en No escribir caracteres queno sean ASCII.Si se van a reemplazar los caracteres que no seanASCII con un punto, haga clic en Reemplazar loscaracteres que no sean ASCII con un punto.

8. Si se van a incluir los errores, haga clic enSeleccionar Mostrar errores y, a continuacin, hagaclic en Siguiente.



9. Si se va a utilizar una carpeta de destino diferente a/Export, seleccione la carpeta de destino que desee.

10. Haga clic en la opcin para finalizar.De esta forma, se ejecuta la operacin de copia yrecuperacin.

Copyright 20

Documents

ES EF v6.1 User Manual