Heute traf bei uns im Büro das Update auf EnCase 6 ein. Jawoll ja, wir nutzen gelegentlich auch EnCase. Über eine Mehr-Werkzeug-Strategie hatte ich ja schon an anderer Stelle geschrieben. Folgende neue Features (die ein Update lohnen) sind in EnCase 6 enthalten:
- Case Indexer: Dieses Feature ist ein must have! Access Data FTK hat es schon seit langem, X-Ways Forensics seit dem letzten Major Upgrade auch und es verkürzt die Analysephase immens! Wie gut und vor allem stabil der Indexer bei EnCase funktionert, wird der Test zeigen.
- 64 Bit Support: Unterstützung von großen Dateien und mehr RAM auf 64 Bit Systemen. 32 Bit Versionen gibt es natürlich auch noch.
- Native File Viewer: Auch hier zieht EnCase nach. FTK und X-Ways Forensics hatten dies schon lange: einen integrierten Viewer für gängige Dateiformate (vor allem Office- und Grafikformate).
- neue Email-Formate: MS Exchange 2000/2003 EDBs und Lotus Notes NSFs Version 5, 6, 6.5 und 7 werden jetzt direkt von EnCase unterstützt.
- weitere Dateisysteme: Es werden in EnCase 6 nun auch folgende Dateisysteme unterstützt:
- FreeBSD’s Fast File System 2 (FFS2)
- FreeBSD’s UFS2
- Novell NWFS
- Novell ZSS
- Festplattencaching für Mailanalyse: Um den schnelleren Zugriff auf große Mailfiles zu ermöglichen, wird ein Cachingverfahren eingeführt.
- weitere Appleformate: Es werden weiter Dateiformate von Apple unterstützt:
- Apple Pic Ax Secure Graphic File
- Apple DMG
- GZIP-Unterstützung: Gzip (zlib) Unterstützung ist in EnCase 6 eingebaut, allerdings kein bzip
- Auslesen der Datenträgerseriennummer: Soll wohl mit Acquisitions von älteren EnCase-Versionen nicht gehen, also nur in Verwendung mit EnCase6.
Ein ausführlicher Testbericht folgt in Kürze. Bis wir die Software an unseren Testimages selbst ausprobieren, hier ein Screenshot vom Hersteller:
…also auf den „ausführlichen Testbericht“ bin ich dann doch auch gespannt… Arbeite mittlerweile mit der Version 6.7.3.1 und werde den Verdacht nicht los, dass ich immer noch Beta-Tester für Guidance-Software bin. Vor allem das Indexing ist meiner Erfahrung nach in der Praxis kaum praktikabel (Memory allocation error!).
Sie haben Recht. Sie haben Recht. Sie haben Recht. Ich bin im Verzug. Mit der Ankündigung von FTK 2.0 werde ich beide aktuellen Versionen miteinander vergleichen. Jetzt habe ich erst mal die Mail-Recherche Lösung von Kroll in der Mache und dann schreibe ich über EnCase.
Zum Thema Index: Ich sollte eine Umfrage starten, bei welchem Anwender in einem halbwegs normal großen Case bis zum Ende durchläuft. 😉