ES EF v6.1 User Manual

Guidance Software, Inc.
2007
EnCase Forensic Version 6.1 User Manual
Table of Contents
1 Preface
....................................................................................................................... ...................................
2 What's New in EnCase Enterprise Version 6 3 Installation of Examiner 4 Installation of LinEn 6 Case Management
.................................................................................
.......................................................................................... ..............................................................
5 Navigating the EnCase Interface 7 Network Management 8 Working with Evidence 9 Viewing File Content 11 Bookmarking Items 12 Reporting
............................................................................................. ................................................................................... ..................................................................................
........................................................................................ .................................................................
10 Analyzing and Searching Files
........................................................................................
.............................................................................................................. .........................................................
13 Working with Foreign Languages 14 EnScript Analysis 16 Glossary 15 Using Tools inside of EnCase
.............................................................................................. ...................................................................
.................................................................................................................
Prefacio
Notificacin legal ................................................. 1 Introduccin .......................................................... 1 Acerca del manual ............................................. 2 Acerca de Guidance Software ........................ 3
Datos de la empresa ...................................... 4
Acerca de los servicios profesionales .......... 4 Acerca de la capacitacin ................................ 7 Recursos de ayuda ............................................ 8
Asistencia tcnica .......................................... 9 Servicio de atencin al cliente .................... 11 Paneles de mensajes .................................. 11 Descargas ..................................................... 11
Prefacio
Notificacin legal
EnCase, EnScript, FastBloc, Neutrino, Guidance Software y EnCE son marcas comerciales registradas o marcas comerciales propiedad de Guidance Software en Estados Unidos y otras jurisdicciones y no se podrn utilizar sin previo permiso por escrito. Sus respectivos propietarios podrn reclamar la propiedad del resto de las marcas. Los productos y nombres corporativos que aparecen en este manual pueden ser marcas comerciales registradas o derechos de copyright de sus respectivas empresas y se utilizarn slo con fines identificativos o explicativos en beneficio de los propietarios sin intencin de cometer infraccin. Cualquier uso y duplicacin de este material est sujeto a los trminos del acuerdo de licencia entre usted y Guidance Software. Ninguna parte de esta publicacin se podr reproducir, almacenar en sistemas de reproduccin o comunicar de ninguna forma ni por ningn medio, ya sea electrnico, mecnico, mediante fotocopia, grabacin, escner o cualquier otro, excepto lo que est estipulado en el acuerdo de licencia o segn las secciones 107 y 108 de la Ley de propiedad intelectual de EE. UU. de 1976. La documentacin y los manuales de productos son especficos de las versiones del software para los que se crearon. Si desea obtener los manuales anteriores o no actualizados o informacin sobre la publicacin de productos, pngase en contacto con Guidance Software en http://www.guidancesoftware.com. Las especificaciones e informacin que se incluyen en este manual son slo para uso informativo y estn sujetos a cambios en cualquier momento sin previo aviso.
Copyright 2006 Guidance Software, Inc. May Not Be Copied or Reproduced Without the Written Permission of Guidance Software, Inc
Prefacio
Introduccin
(
Note:
) Gracias por adquirir la aplicacin EnCase. Ahora dispone de la tecnologa lder en el mundo para el anlisis informtico. Las aplicaciones EnCase son soluciones validadas por tribunales, utilizadas por agencias encargadas del cumplimiento de la ley, agencias gubernamentales e investigadores corporativos de todo el mundo. Guidance Software es conocido por ser lder mundial en soluciones de investigacin informtica y empresarial. Esta aplicacin es slo una de las muchas herramientas a disposicin de gobiernos, organizaciones corporativas y agencias encargadas del cumplimiento de la ley en todo el mundo. La serie de soluciones Guidance Software proporciona una infraestructura de investigacin empresarial que permite a las corporaciones, agencias encargadas del cumplimiento de la ley y agencias gubernamentales llevar a cabo investigaciones digitales eficaces, responder con rapidez a las solicitudes de descubrimiento electrnico y otras necesidades de la recopilacin de datos a gran escala, adems de desempear acciones decisivas como respuesta a ataques externos. Los productos EnCase han cambiado el mundo de la investigacin al proporcionar una respuesta inmediata y un anlisis forense integral de la informacin almacenada en cualquier lugar de un equipo informtico. Los productos EnCase son plataformas escalables que se integran perfectamente en el sistema existente para crear una infraestructura de investigacin.
Prefacio
Acerca del manual

(
Note:
) Este manual se divide en captulos que muestran, detallan y explican las numerosas caractersticas, opciones, instrucciones, terminologa y otra informacin tcnica importante sobre el programa. Este libro est diseado para investigadores forenses que no conozcan el producto. No le ensear todo lo que necesita saber sobre un tema ni las distintas maneras de realizar una misma tarea. En su lugar, incluye y analiza los numerosos componentes de este producto y ofrece instrucciones paso a paso para utilizar cada uno de ellos. Si es un nuevo usuario o si est actualizando una versin anterior, debe leer este libro en primer lugar. El software EnCase es una herramienta muy poderosa para ubicar, ver, examinar, analizar y realizar informes sobre evidencias digitales. Si desea convertirse en un usuario experto, necesitar invertir tiempo en el aprendizaje y la compresin del funcionamiento de esta herramienta. Existe informacin disponible en la documentacin y la ayuda en lnea, independientemente de su nivel de experiencia. Le recomendamos que aumente sus conocimientos en las clases de formacin, segn su nivel de experiencia con los anlisis forenses informticos. Le recomendamos encarecidamente que instale, configure y trabaje con el entorno operativo y este software, que utilizar para sus investigaciones. No existe nada mejor que el conocimiento y la experiencia propia cuando se trata de comprender los entresijos de este producto. Este manual es lo ms completo y detallado posible. Sin embargo, no puede sustituir a las clases de formacin de Guidance Software. Para conocer por completo la metodologa de EnCase y las mejores prcticas de la industria, todos los usuarios deben asistir a una de nuestras numerosas clases de formacin.
Prefacio
Acerca de Guidance Software

Guidance Software se fund con un objetivo claro: desarrollar soluciones de bsqueda, identificacin, recuperacin y suministro de informacin digital de una manera rentable y slida desde el punto de vista forense. Desde nuestra fundacin en 1997, nos hemos dedicado a las investigaciones por red, la integracin empresarial con otras tecnologas de seguridad y adems ahora contamos con funciones de recopilacin y bsqueda muy potentes para el descubrimiento electrnico y otras investigaciones. No nos hemos desviado de nuestra competencia principal y seguimos siendo ampliamente reconocidos por nuestra calidad y vala.
Datos de la empresa
(
Note:
) Fundada: 1997 Oficina central de la empresa: Pasadena, California Oficinas en el mundo y centros de formacin: Pasadena, California Washington, D.C. Londres, Reino Unido San Francisco, California Nueva York, Nueva York Houston, Texas Chicago, Illinois Ciudad de Mxico, Mxico So Paulo, Brasil Singapur
Prefacio
Acerca de los servicios profesionales

La divisin de servicios profesionales (PSD) de Guidance Software combina a los mejores expertos del mundo en investigaciones informticas con la tecnologa forense lder en el mundo para ofrecer soluciones integrales a las investigaciones forenses. Guidance Software ha combinado su tecnologa de investigacin informtica lder en la industria con los investigadores ms capacitados y experimentados del mundo para ofrecer soluciones integrales para su empresa. Cuando deba afrontar problemas de investigacin que superen sus capacidades internas, nuestro grupo de servicios profesionales le permitir estar a la altura, ya sea de manera remota o in situ para proporcionarle la tecnologa adecuada y el personal especializado en investigaciones informticas para la tarea. Investigaciones internas Robo de propiedad intelectual Reconstruccin de intrusiones Acciones legales por despido injustificado Cumplimiento Sarbanes-Oxley Evaluacin de riesgos de la informacin personal identificable California SB 1386 Descubrimiento electrnico Litigio pendiente Produccin con capacidad de respuesta Preservacin forense Seguridad de la informacin Peligro de la integridad del sistema Revisin de polticas Uso no autorizado Implementacin de laboratorio forense
Prefacio
El equipo de investigacin y desarrollo de Guidance Software trabaja estrechamente con la divisin de servicios profesionales para crear las capacidades tecnolgicas futuras de EnCase Enterprise. Como colaboradores en el desarrollo de nuestros productos EnCase y como usuarios de EnCase en el mundo real, los investigadores de PSD saben ms sobre el software EnCase que cualquier otra persona en la industria. Su conocimiento sobre el software EnCase les permite solucionar problemas con mayor rapidez y de una forma mucho ms econmica que nuestros competidores, personalizando las soluciones segn las necesidades de cada organizacin. Adems, nuestros miembros de PSD, provenientes de las reas de cumplimiento de la ley, inteligencia militar y seguridad corporativa, poseen una experiencia inigualable con informacin clasificada, preservacin de evidencias y testimonios judiciales. Ningn otro servicio de investigaciones informticas puede compararse con nuestra pericia y alcance global.
Prefacio
Los miembros deben obtener la certificacin EnCE durante los 6 meses posteriores a su ingreso en el equipo. Varios de nuestros investigadores poseen antecedentes de inteligencia militar y federal, y cuentan con las autorizaciones necesarias para prestar servicios a agencias federales gubernamentales. Contamos con nuestro propio laboratorio forense informtico de ltima generacin y una sala de evidencias segura. Todos los investigadores de PSD estn cualificados para prestar testimonio en calidad de expertos en los tribunales. PSD presta servicios a organizaciones globales en todo el mundo. PSD ha proporcionado opiniones tanto en casos judiciales nacionales como internacionales. Disponemos de la capacidad de implementar una cantidad ilimitada de software y hardware durante incidentes complejos, lo que nos permite realizar investigaciones de cualquier magnitud. Guidance Software cuenta con abogados en su equipo que mantienen a PSD al da con respecto a los acontecimientos legales en las reas de investigaciones informticas y descubrimiento electrnico. Prestamos servicios a compaas en todo el mundo.
Prefacio
Acerca de la capacitacin
Guidance Software ofrece diversos cursos profesiones para usuarios principiantes, intermedios y avanzados de todas las aplicaciones EnCase. Adems de ofrecer una base slida sobre nuestro software, tambin enseamos a nuestros estudiantes las mejores prcticas aceptadas de investigacin, generacin de informes y preservacin de evidencias. Guidance Software ofrece temas avanzados a todos los usuarios de la aplicacin EnCase y cursos a agencias encargadas del cumplimiento de la ley y organizaciones responsables de anlisis forenses y respuestas a incidentes.
Prefacio
Recursos de ayuda
(
Note:
) Guidance Software proporciona diversas alternativas para los usuarios que necesitan asistencia. El primero y ms importante es este manual. Lea este manual atentamente para comprender el producto y su uso. Antes de adquirir evidencias activas, ejecute varias adquisiciones modelo y pruebe distintos procesos para analizar archivos. Guidance Software tambin ofrece asistencia en nuestro sitio Web a travs de un sistema en lnea y un panel de mensajes donde los investigadores forenses pueden publicar preguntas y respuestas sobre distintos aspectos de la investigacin forense.
Asistencia tcnica
(
Note:
) El departamento de servicios tcnicos de Guidance software est formado por un equipo de expertos especializados en el software EnCase y capaces de resolver cualquier problema que los usuarios puedan encontrar. Como parte del compromiso de excelencia de Guidance Software, somos conscientes de la importancia de una asistencia tcnica eficaz y a tiempo. Por tanto, todos los usuarios registrados en el programa, recibirn asistencia tcnica gratuita, actualizaciones de mantenimiento y otros servicios diseados para mejorar la experiencia. Esta gua es una completa presentacin de nuestro producto, por lo que es posible que no encuentre las respuestas a preguntas tcnicas. Si esto sucede y necesita ayuda, pngase en contacto con los servicios tcnicos. En las tablas que aparecen a continuacin, se muestra informacin de localizacin, horarios e informacin de contacto.
10
Prefacio
Amrica
Europa, frica y Oriente Medio
Asia y Costa del Pacfico
Prefacio
11
Servicio de atencin al cliente

El departamento de atencin al cliente de Guidance Software est formado por un equipo cordial y altamente especializado, capaz de resolver cualquier problema relativo a su pedido. A continuacin se indican los horarios y la informacin de contacto: Telfono: 626-229-9191 ext.564 Fax: 626.229.9199 Correo electrnico: customerservice@guidancesoftware.com Sito Web: http://www.guidancesoftware.com/support/cs_requestform.aspx Horario: De lunes a viernes, de 6.00 a 17.00 (Hora de la costa del Pacfico) Servicio de atencin al cliente: 626-229-9191 ext.564
Paneles de mensajes
(
Note:
) Los paneles de mensajes de Guidance Software son recursos que la comunidad de analistas forenses informticos utiliza para intercambiar ideas, formular preguntas y ofrecer respuestas. Los paneles de mensajes son recursos de incalculable valor para los investigadores forenses. Los comentarios abarcan desde tcnicas de adquisicin bsicas hasta anlisis en profundidad de archivos cifrados, entre otros. Miles de usuarios capacitados y experimentados se registran en los paneles, revisan los comentarios todos los das y ofrecen su experiencia sobre todos los productos de Guidance Software. Slo los usuarios registrados en productos EnCase pueden acceder a los paneles de mensajes. Si desea obtener ms informacin sobre los paneles de mensajes y sobre cmo unirse a un panel de mensajes, consulte: http://www.guidancesoftware.com/support/messageboards.asp.
Descargas
(
12
Prefacio
Note:
) Cuando haya recibido el producto, regstrese en Guidance Software para recibir actualizaciones. La pgina de registro se encuentra en: https://www.guidancesoftware.com/myaccount/registration.aspx. Si tiene algn problema al registrar su producto, pngase en contacto con el servicio de atencin al cliente. Si tiene algn problema al descargar las actualizaciones una vez que se haya registrado, pngase en contacto con el servicio de asistencia tcnica.
Novedades de la versin 6
Compatibilidad con Outside In ...................... 1 ndice de texto ................................................ 1 Compatibilidad con EnCase de 64 bits ........ 2 Visualizacin de archivos EDB de Exchange
............................................................................ 2
Desinstalar y volver a instalar opciones ...... 3 Compatibilidad con sistemas de archivos nuevos ............................................................. 4 Compatibilidad con documentos de Office en coreano ............................................................ 4 Compatibilidad adicional para formatos de archivo MAC ................................................... 5 Nmero de serie del disco duro ................... 5 Registro de productos EnCase ..................... 5 Panel de registros .................................. 6 Opciones de bsqueda simplificada .... 7 Bsqueda mejorada de una pgina de cdigos en un idioma extranjero ........... 7 Anlisis de NTFS mejorado .................. 8 Se han movido los ID de seguridad al panel de almacenamiento seguro ....... 8 Proporcionar un destino alternativo durante las adquisiciones .................................... 9 Mostrar una lista de valores hash incluidos en conjuntos hash .................................. 9 Cambios en la licencia de LinEn .......... 9 Compatibilidad de archivos del caso ....
1 0
Caractersticas eliminadas ............................ 10
Compatibilidad con Outside In

(
Note: EnCase versin 6 cuenta como novedad con la integracin de la tecnologa Outside In de Stellent Inc. La extraccin de texto y los visores de Outside In son dos nuevas y potentes herramientas para el investigador de EnCase.
) Para poder acceder a la funcin Outside In, los usuarios debern instalar los visores de archivos cuando instalen el componente Examiner de EnCase. Cuando se instalen los visores Outside In, el investigador tendr acceso a los nuevos paneles de transcripcin y documentos en el panel de visualizacin. El panel de documentos permite a los investigadores ver el contenido de los archivos como si los estuvieran visualizando en la aplicacin que se cre para los tipos de archivo compatibles. Esto significa que los archivos de Microsoft Excel mostrarn el contenido de las celdas y los investigadores podrn desplazarse por las pginas de los archivos PDF de Adobe Acrobat como si los estuvieran visualizando de forma nativa. El investigador podr crear marcadores e imprimir dentro del panel de documentos. El panel de transcripcin contiene el texto que se ha extrado con la tecnologa Outside In. La extraccin de texto implica la supresin del ruido del archivo, como el formato y los metadatos, de manera que slo se mostrar el contenido de texto que, por lo general, est visible en ese tipo de archivos. El motor de indizacin, por lo general, indiza la extraccin de texto en el panel de transcripcin para realizar bsquedas. El investigador podr marcar dentro del panel de transcripcin. Si se crean marcadores o aciertos de bsqueda en el panel de transcripcin o de documentos, debern aparecer resaltados en ambos paneles.
ndice de texto
(
Note: La versin 6 incluye la nueva posibilidad de crear y consultar ndices para aumentar la velocidad de bsqueda.
El motor de indizacin de EnCase es totalmente compatible con Unicode y ofrece la posibilidad de buscar texto extrado de los archivos y espacio sin asignar mediante Outside In. Para crear ndices, se utiliza un elemento del men de herramientas que abre una interfaz sencilla; esta interfaz permite al investigador especificar los archivos que se deben indizar. Una vez que se haya creado el ndice, el investigador podr construir una consulta con las condiciones de EnCase. La flexibilidad de las condiciones permite que se creen consultas tanto complejas como sencillas. Si desea obtener ms informacin sobre consultas al ndice y el poder de las condiciones, consulte la seccin de indizacin de este manual. Los resultados de las consultas del ndice se muestran en un panel de aciertos nuevo en el panel de filtros. Los aciertos de bsqueda que se encuentran en la extraccin de texto de Outside In aparecern en los paneles de transcripcin y documentos. Los usuarios podrn marcar los aciertos del ndice con el fin de realizar informes.
Compatibilidad con EnCase de 64 bits

(
Note: Los productos EnCase ahora son compatibles con los sistemas operativos Windows de 64 bits.
) Para realizar la instalacin en equipos de 64 bits, es necesario disponer de archivos de compatibilidad y aplicaciones de instalacin independientes. El investigador podr marcar dentro del panel de transcripcin. Si se crean marcadores o aciertos de bsqueda en los paneles de transcripcin o documentos, debern aparecer resaltados en ambos paneles .
Visualizacin de archivos EDB de Exchange

(
Note: Ahora se puede analizar Microsoft Exchange 2000 y 2003 con la opcin de visualizacin de la estructura de archivos para un archivo EDB.
Se extraen los mensajes de correo electrnico borrados, los contactos, los mensajes de correo electrnico y los buzones de Exchange para que el investigador pueda analizarlos. Si un servidor Exchange se encuentra activo durante la adquisicin, el investigador deber transferir los registros de transacciones a la base de datos y restaurar la base de datos a un estado limpio antes de realizar el anlisis. El programa de rutas de acceso de Microsoft se encuentra en el directorio BIN del servidor Exchange y se puede utilizar para facilitar los procesos de reparacin y recuperacin de la base de datos Exchange a un estado limpio. Para facilitar el proceso de limpieza de los archivos EDB de Exchange, el usuario deber disponer de las carpetas MDBdate y BIN.
Desinstalar y volver a instalar opciones

(
Note:
Las aplicaciones de instalacin de EnCase se han modificado para permitir que el usuario pueda volver a instalar y desinstalar opciones. Si vuelve a ejecutar la aplicacin de instalacin de EnCase, el usuario podr elegir entre volver a instalar el componente Examiner de EnCase en el directorio de instalacin existente, o desinstalarlo. Si selecciona la opcin para volver a instalarlo, los archivos de aplicacin de EnCase existentes y los archivos del programa EnScript proporcionados por Guidance Software se sobrescribirn. Los archivos de configuracin modificados por el usuario y los componentes de EnScript creados por el usuario se mantendrn. Si los investigadores deciden desinstalar el componente Examiner de EnCase, pueden utilizar la opcin para agregar o quitar programas del panel de control o pueden volver a ejecutar la aplicacin de instalacin y seleccionar la opcin para desinstalar. Si desinstala el componente Examiner de EnCase, se eliminarn todos los archivos de aplicacin y las entradas de registro. Los archivos de configuracin del usuario, los archivos EnScript, los archivos de copia de seguridad y otros archivos de usuario permanecern en el directorio de instalacin de EnCase. Los investigadores podrn disponer de varias versiones de Examiner de EnCase instaladas en el mismo equipo.
Compatibilidad con sistemas de archivos nuevos

(
Note:
) El componente Examiner de EnCase ahora tambin puede leer el sistema de archivos NWFS de Novell y los sistemas de archivos NSS. Adems, es posible analizar UFS2 de FreeBSD, tambin denominado FFS2, mediante el componente Examiner de EnCase. Esto permite al investigador previsualizar, adquirir y realizar anlisis en estos sistemas de archivos de la misma manera que con otros sistemas de archivos.
Compatibilidad con documentos de Office en coreano

(
Note: EnCase Con Examiner versin 6 ahora es posible analizar documentos de Office en coreano con una extensin HWP o GUL mediante la visualizacin de la estructura de archivos. Es posible analizar documentos Office del procesador de textos Hangul de Haansoft con una extensin HWP en el idioma nativo sin dll externos. Los archivos JungUm con extensin GUL slo se pueden analizar si tiene instalado el programa JungUm.
Compatibilidad adicional para formatos de archivo MAC

(
Note: El componente Examiner de EnCase ahora tambin puede leer los archivos de imgenes de disco de Mac con extensin DMG. Estos archivos se pueden agregar de la misma manera que los archivos de evidencia de EnCase. Para ello, introdzcalos en el campo para aadir dispositivos o arrstrelos y sultelos en el componente Examiner de EnCase. Adems, se ha aadido una funcin que permite aceptar archivos gzip de MAC y versiones CPIO de archivos comprimidos PAX de MAC. Las versiones anteriores de EnCase eran compatibles con archivos PAX de MAC en formato tar. El componente Examiner de EnCase no es compatible actualmente con los formatos adc y bzip.
Nmero de serie del disco duro

(
Note: La tabla de dispositivos del panel de tabla contiene una columna nmero de serie, que contiene el nmero de serie del disco duro del dispositivo seleccionado. El dispositivo seleccionado se ha previsualizado y adquirido.
) Para recuperar el nmero de serie del disco duro, ste debe leer una unidad conectada a travs de una tarjeta complementaria.
Registro de productos EnCase

(
Note: Cuando un investigador instale Examiner de EnCase, se le pedir que se registre. Al registrarse, los investigadores tendrn acceso a informacin de actualizacin de versiones y descargas de versiones, entre otras ventajas.
Al investigador se le proporcionar un enlace cuando se le pida que se registre, pero los usuarios tambin podrn acceder al sitio Web, que se encuentra en la direccin que se muestra a continuacin: https://www.guidancesoftware.com/myaccount/registration.aspx si el equipo en el que se ha instalado Examiner de EnCase no dispone de acceso a Internet. Al investigador slo se le pedirn una vez las claves de seguridad que utilizan. El investigador se puede registrar en cualquier momento si selecciona la opcin de registro EnCase del men de herramientas.
Panel de registros
(
Note: El panel de registros sustituye los paneles de WebCache, del historial de Internet y del correo electrnico en versiones anteriores de Examiner de EnCase. Los archivos de correo electrnico como PST, DBX y EDB que se hayan analizado se incluirn en la tabla de registros del panel de tabla.
) Los archivos adjuntos a los mensajes de correo electrnico se muestran ahora como elementos secundarios del mensaje de correo electrnico, en lugar de en una subficha separada.
Las bsquedas de historial de Internet y de correo electrnico ejecutadas a travs del cuadro de dilogo de bsqueda se incluyen en el panel de registros. Los usuarios pueden buscar y marcar elementos en el panel de registros. Adems, el usuario puede modificar las propiedades que aparecen en la tabla con la caracterstica para mostrar columnas que se encuentra en el panel de tabla. Las propiedades ms comunes de Internet y del correo electrnico se mostrarn en la tabla de forma predeterminada. Examiner de EnCase utiliza ahora una memoria cach de disco temporal que ayuda a mostrar los registros cuando realiza operaciones de visualizacin de estructura de archivos que requieren una gran cantidad de memoria. Esto mejora la posibilidad de analizar archivos EDB y PST de gran tamao. Para localizar informacin de campo adicional, resalte la columna de campo adicional y el panel de detalles del panel de visualizacin activar y desplegar una lista de las propiedades de entradas y valores asociados. Ahora se puede acceder al anlisis de correo Web a travs de una herramienta de EnScript en lugar de mediante una bsqueda del historial de Internet/correo electrnico.
Opciones de bsqueda simplificada

(
Note: Todas las opciones de bsqueda se han combinado ahora en un cuadro de dilogo, lo que permite a Examiner de EnCase optimizar las bsquedas y reducir el nmero de pasos que los usuarios deben seguir para realizar bsquedas y anlisis de archivos. Antes, se acceda a la posibilidad de realizar una bsqueda de correo electrnico o historial de Internet a travs de un botn de la barra de herramientas. Esa funcin se ha movido al cuadro de dilogo de bsqueda, al que se accede a travs del botn de bsqueda de la barra de herramientas. El usuario tiene la opcin de buscar el panel de entradas o de registros. Si se seleccionan los paneles de entradas y registros para la bsqueda, Examiner de EnCase realizar bsquedas en los archivos del historial de Internet y del correo electrnico que se hayan recuperado.
Bsqueda mejorada de una pgina de cdigos en un idioma extranjero

(
Note: El motor de bsqueda de EnCase se ha mejorado para gestionar de un modo ms efectivo las bsquedas de pginas de cdigos en un idioma extranjero como el japons, as como pginas de cdigos escritos de derecha a izquierda. El cuadro de dilogo de
bsqueda contiene ahora una opcin para identificar pginas de cdigos. La funcin para identificar pginas de cdigos permite al componente Examiner de EnCase intentar detectar de forma automtica la pgina de cdigos de un archivo y asociarla. Si el archivo utiliza texto Unicode, el investigador deber asociar el visor de archivos correspondiente.
) La pgina de cdigos asociada se podr ver en una columna de pginas de cdigos nueva en la ficha de entradas. Una vez que se haya determinado la pgina de cdigos, se puede bloquear un archivo con el botn de alternancia de la pgina de cdigos que se encuentra junto al cuadro Dixon.
Anlisis de NTFS mejorado

(
Note: Se han realizado mejoras en la velocidad y en la eficacia del analizador NTFS en el componente Examiner de EnCase .
) El motor de anlisis de NTFS ahora maneja volmenes con entradas de MFT muy grandes. Adems, de estos volmenes se recupera la informacin nueva que se muestra a continuacin: Tamao inicializado Enlaces permanentes ID de objetos Propiedades de Windows para archivos Entrada de asignacin de mapa de bits MFT Manejo de cadenas cifradas y comprimidas Cadenas en la papelera de reciclaje Texto de informe adicional para nmero de serie extendido Se muestra el atributo de archivo que no es de ndice Se podr atribuir un algoritmo hash a todos los archivos excepto a los archivos de sistema NTFS Puntos de reanlisis Puntos de enlace Enlaces simblicos Archivos LNK
Se han movido los ID de seguridad al panel de almacenamiento seguro

(
Note: La posibilidad de agregar grupos y usuarios *nix, as como grupos y usuarios Windows, se encuentra ahora en el panel de almacenamiento seguro.
) Para acceder a las listas de grupos y usuarios de los ID de seguridad, haga clic con el botn derecho en la carpeta raz de almacenamiento seguro y elija una lista de usuario. Para asociar usuarios y grupos a volmenes en el panel de almacenamiento seguro, seleccione un usuario, haga clic con el botn derecho y elija asociar al elemento seleccionado.
Proporcionar un destino alternativo durante las adquisiciones

(
Note: Los investigador de EnCase ahora tienen la posibilidad de especificar una ubicacin alternativa en el momento de realizar la adquisicin si la primera ruta de adquisicin se llena. En versiones anteriores, el componente Examiner de EnCase slo poda realizar adquisiciones en una ubicacin especificada y preguntaba al usuario si se quedaba sin espacio suficiente. La versin 6 permite al usuario especificar una ubicacin alternativa en el cuadro de dilogo de adquisicin. Si la ubicacin original se queda sin espacio, la adquisicin contina realizndose en la ubicacin alternativa.
) Si la ubicacin alternativa se queda sin espacio, se pedir al usuario que especifique otra ruta. Esta caracterstica es compatible con LinEn, Fastbloc y Examiner de EnCase.
Mostrar una lista de valores hash incluidos en conjuntos hash

(
Note: El panel de conjuntos hash se ha modificado para incluir una lista de los valores hash incluidos en un conjunto hash. Una nueva subficha de elementos hash mostrar los valores hash incluidos en el conjunto hash. El usuario puede eliminar los valores hash de un conjunto hash si los elimina de la subficha de elementos hash. Toda eliminacin realizada en los conjuntos hash que ya estn incluidos en la biblioteca hash no surtir efecto cuando se identifiquen los archivos a los que se les ha aplicado el algoritmo hash hasta que se vuelva a crear la biblioteca hash.
) Para ver los elementos hash, los usuarios pueden seleccionar la columna de elementos hash y ver el panel de detalles en el panel de parte inferior.
Cambios en la licencia de LinEn

(
Note: Las entidades no comerciales ahora pueden utilizar y distribuir LinEn de manera gratuita segn el nuevo acuerdo de licencia que
10
se incluye en el programa LinEn. Si desea obtener ms detalles, revise el acuerdo de licencia.
Compatibilidad de archivos del caso

(
Note: Los archivos de caso de EnCase versin 6 presentan un formato distinto al de los archivos de caso de las versiones anteriores de EnCase. Los archivos de caso de la versin 5 tambin se abrirn con EnCase versin 6, pero los resultados de las bsquedas del historial de Internet y de WebCache, as como los marcadores correspondientes, no se abrirn. Adems, no se incluirn los marcadores de correo electrnico de versiones anteriores. El correo electrnico que se haya analizado se volver a analizar y a colocar en la ficha de registros.
) Los archivos de caso anteriores que se abran con la versin 6 seguirn presentando el formato de la versin 5, a menos que el investigador guarde el caso como un archivo de caso de la versin 6.
11
Caractersticas eliminadas
(
Note: Las opciones de visualizacin de archivos eliminados, de exclusin y visualizacin de archivos excluidos se han eliminado de todos los paneles excepto del panel de aciertos de bsqueda. Se ha eliminado la compatibilidad con la versin DOS de EnCase (EN.EXE).
Instalacin de EnCase Forensic

Introduccin a la instalacin de Examiner ....
1
Requisitos mnimos ........................................ 1 Instalacin de EnCase Enterprise ............... 1 Archivos instalados ................................ 5 Desinstalacin de EnCase ............................ 6 Desinstalacin de EnCase ............................ 6 Reinstalacin de Examiner ........................... 8
Instalacin de claves de seguridad ............... 8 Resolucin de problemas relacionados con las claves de seguridad ........................................... 9 Obtencin de actualizaciones ....................... 10 Cuadro de dilogo Opciones ........................ 11
Panel Opciones del caso del cuadro de dilogo Opciones ....................................................... 13 Panel Global del cuadro de dilogo Opciones
.......................................................................... 14
Panel Color del cuadro de dilogo Opciones

.......................................................................... 17
Panel Fuentes del cuadro de dilogo Opciones

.......................................................................... 17
Panel EnScript del cuadro de dilogo Opciones

.......................................................................... 18
Opciones de ruta de almacenamiento ....... 19
Configuracin de la aplicacin EnCase ..... 20 Configuracin de la aplicacin EnCase ..... 20 Cmo compartir archivos de inicio .............. 21 Cmo compartir archivos de inicio .............. 21
Introduccin a la instalacin de Examiner

(
Note: El programa de instalacin de EnCase copia el programa y sus controladores en el equipo del usuario final e inicializa los controladores y los servicios con el sistema operativo.
) El investigador puede seleccionar dnde se instalar EnCase Examiner. Si elige un directorio donde ya existe EnCase, sobrescribir versiones existentes anteriores del software, incluidos archivos de programa, registros y controladores. El programa de instalacin proporciona ayuda al usuario si se producen situaciones que interfieren con la instalacin.
Requisitos mnimos
(
Note: Para obtener el mximo rendimiento, los equipos de examen debern configurarse al menos con el siguiente hardware y software:
) Una clave de seguridad (dongle) de EnCase Certificados para todos los mdulos adquiridos ) Una versin actual de Examiner de EnCase Procesador Pentium IV a 1,4 GHz o superior Un GB de RAM Windows 2000, XP Professional 2003 Server 55 MB de espacio libre en el disco duro El programa admite sistemas de 64 bits. Para utilizar la versin de 64 bits de cualquier producto EnCase, el equipo Examiner deber disponer de una versin de Windows de 64 bits instalada. No se admiten procesadores Intel Itanium. La versin 6.01 de este software no admite mdulos PDE, VFS o EFS con la versin de 64 bits. FastBloc SE slo admite la interfaz USB con la versin de 64 bits.
Instalacin de EnCase Enterprise

(
Note: Para realizar la instalacin, inserte el CD en un reproductor y espere a que se ejecute el inicio automtico.
) Cuando comience la instalacin y aparezca el asistente,
Asistente de instalacin
1. 2. Indique la ruta de instalacin correcta o acepte el valor predeterminado. Haga clic en la opcin Siguiente.
Acuerdo de licencia
3. 4.
Lea y acepte el acuerdo de licencia de EnCase. Haga clic en la opcin Siguiente.
Asistente de instalacin de ayuda
5.
Haga clic en la opcin Siguiente.
Configuracin finalizada
6.
Haga clic en la opcin de finalizacin cuando el asistente indique que se ha completado la instalacin. La opcin de instalacin de ayuda est activada de forma predeterminada y no se puede desactivar.
Icono de escritorio EnCase
La instalacin est completa. Para iniciar una sesin EnCase: 1. Haga doble clic en el icono de escritorio.
Archivos instalados
(
Note: Durante la instalacin, el programa se copia a s mismo y una recopilacin de archivos asociados en el directorio de destino.
) El programa de instalacin incluye un icono de inicio en el escritorio. Adems, en la carpeta de destino se instalan varias carpetas y archivos durante la instalacin. Carpeta de destino Setup.exe En.Exe ReadMe.rtf New.chm EnCase.exe Enhkey.dll Carpeta Certs EnCase.PCert Carpeta Config AppDescriptors.ini FileSignatures.ini FileTypes.ini Keywords.ini Profiles.ini TextStyles.ini Carpeta de un componente EnScript forense File Mounter (Montador de archivos) Case Processor (Procesador de casos) Index Case (Indizacin de casos) Scan Local Machine (Explorar equipo local) Webmail Parser (Analizador de correo Web)
Desinstalacin de EnCase
(
Note: El programa de desinstalacin slo funciona en versiones idnticas del software. La instalacin de actualizaciones de una versin ya existente o de versiones o revisiones completamente nuevas sobrescribe automticamente el software instalado.
) Realice copias de seguridad de los archivos de caso y evidencia antes de modificar cualquier software instalado en un equipo de anlisis. Tambin se requiere una actualizacin del programa. Cierre todas las versiones del programa EnCase que se encuentren en ejecucin, introduzca el soporte de instalacin del software y espere a que el programa de instalacin se conecte.
1. 2.
Abra el Panel de control de Windows y seleccione Cambiar o quitar programas. Introduzca la ubicacin del software en el campo de la ruta de instalacin. La ruta predeterminada es C:\Archivos de programa\Encase6; haga clic en Siguiente. Se mostrar un cuadro de dilogo de seleccin.
Seleccione la opcin de desinstalacin.
3.
Seleccione la opcin de desinstalacin y, a continuacin, haga clic en Siguiente. Se mostrar el progreso de esta operacin en el cuadro de dilogo. 4. Haga clic en la opcin para finalizar cuando aparezca la notificacin de finalizacin. De esta forma se desinstala el software. Las carpetas y archivos personales como certificados, ubicaciones de almacenamiento y copias de seguridad permanecern intactos.
Reinstalacin de Examiner
(
Note: El proceso de reinstalacin actualiza algunos archivos y configuraciones y constituye una variante del programa de instalacin.
) Este proceso crea un nuevo archivo de registro y vuelve a instalar los elementos siguientes: Archivos de aplicacin Claves de registro Archivos de usuario que no existan El proceso de reinstalacin no sobrescribe los archivos de usuario ya existentes.
Instalacin de claves de seguridad

(
Note: La clave de seguridad se utiliza para acceder a la aplicacin EnCase. Esta clave de seguridad se programa de forma nica para un usuario y le permite el uso del software. La instalacin de la clave de seguridad es un proceso sencillo.
) Si no ha instalado los controladores de clave de seguridad durante la instalacin del programa, instlelos tras eliminar la clave de seguridad del equipo. Para instalar las claves de seguridad 1. Inserte el CD-ROM de instalacin. 2. Si est activa la opcin de ejecucin automtica, aparece la pantalla inicial. 3. Haga clic en el enlace de controladores de clave de seguridad. 4. Cuando aparezca el asistente de instalacin HASP, haga clic en Siguiente. 5. Haga clic en la opcin Siguiente cuando aparezca el resumen. 6. Haga clic en la opcin para finalizar cuando se haya completado la instalacin. 7. Apague el equipo, inserte la clave de seguridad y arranque el programa. Si la clave de seguridad se inserta antes de hacer clic en la opcin de finalizacin, la aplicacin se inicia en modo de adquisicin y desactiva la posibilidad de previsualizar y ver la estructura de archivos, aunque permite la adquisicin de evidencias. Para solucionar esta condicin, vuelva a instalar el controlar sin la clave de seguridad.
10
Resolucin de problemas relacionados con las claves de seguridad

(
Note: La instalacin no suele presentar problema alguno.
) No obstante, si surgiera algn problema relacionado con la instalacin, dirjase a la pgina de resolucin de problemas de nuestro sitio Web en la direccin http://www.guidancesoftware.com. Una vez en ella, desplcese hasta el panel de mensajes para buscar informacin relacionada con su problema.
11
Obtencin de actualizaciones
(
Note: La versin 6 es la versin ms reciente y actualizada del paquete de software. No obstante, regularmente se publican actualizaciones basadas en funciones nuevas y mejoradas.
) Para proteger su cadena de custodia y asegurarse de que las actualizaciones ms recientes se encuentren instaladas, es importante que el programa instalado est actualizado. Si desea obtener ms informacin sobre cmo obtener actualizaciones de software, consulte Descargas.
12
Cuadro de dilogo Opciones

(
Note:
) El cuadro de dilogo Opciones permite configurar la aplicacin EnCase segn se desee.
13
Cuadro de dilogo Opciones
El cuadro de dilogo Opciones contiene los siguientes paneles: Panel Opciones del caso Panel Global Panel NAS Panel Fuentes Panel Programas EnScript Panel Ruta de almacenamiento Panel Empresa Cada panel proporciona las configuraciones correspondientes. El panel Opciones del caso slo se muestra cuando est abierto un caso.
Panel Opciones del caso del cuadro de dilogo Opciones

(
Note: El panel Opciones del caso del cuadro de dilogo Opciones contiene configuracin que se aplica al caso abierto.
14
El panel Opciones del caso del cuadro de dilogo Opciones
Nombre contiene el nombre del caso asociado con las opciones del caso configuradas en este panel. El nombre de caso se utiliza como nombre de archivo predeterminado al guardar el caso. Cuando se guarda el archivo, se puede cambiar el nombre. Nombre del examinador contiene el nombre del usuario que acta como investigador. Carpeta de exportacin predeterminada contiene la ruta y el nombre de la carpeta donde se exportan los archivos. Carpeta temporal contiene la ruta y el nombre de la carpeta donde se crean los archivos temporales. Carpeta de ndice contiene el archivo de ndice de los archivos o coleccin de archivos indizados.
Panel Global del cuadro de dilogo Opciones

(
15
Note: El panel Global del cuadro de dilogo Opciones contiene configuracin que se aplica de forma global a la aplicacin EnCase.
Minutos de almacenamiento automtico (0= ninguno) contiene el nmero de minutos que constituye el intervalo entre almacenamientos automticos de los archivos del caso. Los datos guardados automticamente se escriben en archivos *.CBAK. Utilizar la papelera de reciclaje para casos determina si los archivos de copia de seguridad se mueven a la papelera de reciclaje y no se sobrescriben cuando se guarda automticamente el archivo. Activar visor de imgenes determina si se utilizar el visor de imgenes con grficos de formato adecuado. Activar visualizacin de imgenes ART y PNG determina si se muestran los archivos de imagen ART y PNG. Si estos archivos estn daados, pueden provocar el fallo del programa, por lo que esta configuracin permite limitar el impacto de los archivos ART y PNG daados.
16
Indicar archivos perdidos determina si los clsteres perdidos se consideran como espacio sin asignar. Esto reduce el tiempo necesario para acceder al archivo de evidencia. Cuando se activa, todos los clsteres perdidos aparecen en el panel de disco como clsteres sin asignar. Habilitar las imgenes en documento/vista determina si las imgenes se muestran con tecnologa Outside In en el panel de documentacin del panel de visualizacin. Tiempo de espera de imgenes no vlidas (segundos) contiene la cantidad de tiempo que el programa intenta leer un archivo de imagen daado antes de anular la accin. Cuando finaliza el tiempo de lectura, el archivo daado se enva a la memoria cach y no se vuelve a intentar su lectura. Formato de fecha contiene configuraciones relacionadas con el formato de fecha que se utiliza en la aplicacin. MM/DD/AA determina si se utiliza el formato de fecha MM/DD/AA. DD/MM/AA determina si se utiliza el formato de fecha DD/MM/AA. Otro permite especificar un formato de fecha propio. Da actual contiene la fecha actual con el formato de fecha seleccionado. Formato de hora contiene configuraciones relacionadas con el formato de hora que se utiliza en la aplicacin. . 12:00:00PM determina si se utiliza un reloj de 12 horas como base del formato de hora. 24:00:00 determina si se utiliza un reloj de 24 horas como base del formato de hora. Otro permite especificar un formato de hora propio. Hora actual contiene la hora actual con el formato de hora seleccionado. Mostrar verdadero contiene el smbolo utilizado para indicar un valor verdadero en las columnas de tabla mostradas en el panel de tabla del panel de tabla. Mostrar falso contiene el smbolo utilizado para indicar un valor falso en las columnas de tabla mostradas en el panel de tabla del panel de tabla. Archivos de copia de seguridad contiene el nmero mximo de archivos almacenados como archivos de copia de seguridad cuando se guarda un caso. Pgina de cdigos predeterminada contiene el nmero de la pgina de cdigos utilizada para mostrar texto.
17
Registro de depuracin contiene las configuraciones que determinan dnde se registra la depuracin.

(
Note: Este panel permite asociar colores con diferentes elementos del caso.
Colores predeterminados contiene una lista de los elementos del caso que se pueden asociar con un color. Si se hace doble clic en un elemento de la lista, se abre el cuadro de dilogo de paleta de colores, donde se puede elegir un color y asociar con el elemento del caso seleccionado.

(
18
Note: Este panel permite asociar fuentes con diferentes elementos del caso.
Fuentes predeterminadas contiene una lista de los elementos del caso que se pueden asociar con una fuente. Si se hace doble clic en un elemento de la lista, se abre el cuadro de dilogo de fuentes, donde se puede elegir una fuente y asociar con el elemento del caso seleccionado. La fuente se puede definir en trminos de fuente, estilo de fuente, tamao y secuencia de comandos. El atributo de secuencia de comandos permite seleccionar el conjunto de caracteres utilizado.

(
Note: Este panel permite especificar la ubicacin de la biblioteca de archivos de inclusin que utilizan los programas EnScript.
19
Ruta de inclusin contiene la ruta y el nombre de la carpeta donde se encuentra la biblioteca de archivos de inclusin.
Opciones de ruta de almacenamiento

(
Note: Las rutas de almacenamiento definen la ubicacin en la que se almacenan la carpeta de ndice, el filtro de la cach de registro, la carpeta de copia de seguridad base y los archivos .INI que utiliza EnCase para establecer la configuracin global.
20
Opciones de ruta de almacenamiento
Los valores predeterminados se definen y muestran en el grfico. Para cambiar las carpetas de ndice, cach y copia de seguridad, introduzca una ruta nueva o desplcese hasta la carpeta que desee y seleccinela. Es posible cambiar la ubicacin de la carpeta .INI y determinar si es posible o no escribir en ella al hacer doble clic en una fila e introducir los cambios deseados.
21
Configuracin de la aplicacin EnCase

(
Note: Es posible configurar y utilizar diversos aspectos de la aplicacin EnCase cada vez que se abre la aplicacin.
) Para poder configurar la aplicacin, es necesario que sta se encuentre abierta. Es posible configurarla en cualquier momento, con independencia de que haya un caso abierto o no. Cuando hay un caso abierto, se muestra el panel de opciones de los casos en el cuadro de dilogo de opciones. Para configurar la aplicacin: 1. Haga clic en Herramientas Opciones . Se abrir el cuadro de dilogo de opciones. 2. Haga clic en el panel que desee y cambie la configuracin segn sea necesario; a continuacin, haga clic en Aceptar. Algunos de los cambios introducidos en la configuracin de las opciones se aplican la prxima vez que se abra la aplicacin, mientras que otros se aplican inmediatamente.
22
Cmo compartir archivos de inicio

(
Note: Los investigadores asociados a una investigacin pueden compartir elementos personalizados y archivos de inicio. Cada uno de estos archivos INI se completa con los elementos personalizados que el investigador introduce en su bsqueda de evidencias. Los archivos de firma y palabra clave pueden resultar de especial inters. Estos elementos de los casos se comparten al compartir los archivos INI.
) Para compartir archivos .ini, es necesario que la aplicacin est instalada en los equipos de los destinatarios. Para compartir archivos de inicio: 1. Haga clic en Herramientas Opciones Ruta de almacenamiento. Se mostrar el panel de rutas de almacenamiento del cuadro de dilogo de opciones. 2. Haga doble clic en la fila que contenga el archivo INI que desee. En el cuadro de dilogo Editar <nombre del archivo .ini> se muestra la ruta del mismo. 3. Para desplazarse hasta el archivo INI, copie la ruta, pguela en el Explorador de Windows y, a continuacin, copie el archivo y distribyalo como desee.
Instalacin de LinEn
Utilidad LinEn de EnCase ................................ 1 Obtencin de una distribucin Linux ............ 1 Configuracin de LinEn .................................... 2
Configuracin de LinEn en SUSE ................ 3 Configuracin de LinEn en SUSE ................ 3 Configuracin de LinEn en Red Hat ............ 4 Configuracin de LinEn en Red Hat ............ 4
Creacin de un disco de inicio de LinEn ..... 4 Creacin de un disco de inicio de LinEn ..... 4 Instalacin para una adquisicin mediante cable de disco ...................................................... 6 Visualizacin de la licencia de LinEn ........... 7 Visualizacin de la licencia de LinEn ........... 7
Instalacin de LinEn
Utilidad LinEn de EnCase

(
Note:
) La utilidad LinEn de EnCase proporciona un medio para adquirir evidencias de una unidad objeto con una de las siguientes combinaciones: Un cable de paso y un disco de arranque LinEn en ejecucin en la mquina objeto Un cable de disco duro conectado a una unidad objeto en ejecucin en el equipo forense iniciado en Linux Un cable de disco duro conectado a una unidad objeto en ejecucin en el equipo objeto iniciado con un disco de arranque LinEn Se puede adquirir cualquier disco duro que reconozca Linux. Cuando se adquiere el dispositivo, se le puede aplicar el algoritmo hash. LinEn depende de la distribucin Linux donde est instalado. La configuracin de LinEn vara en funcin de la distribucin instalada.
Instalacin de LinEn
Obtencin de una distribucin Linux

Los distribuidores de Linux proporcionan las distribuciones Linux. En el caso de distribuciones Linux relacionadas con LinEn, obtenga una distribucin de uno de los siguientes distribuidores: Para obtener la ltima distribucin SUSE, dirjase a http://www.novell.com/linux/ Para obtener la ltima distribucin Red Hat, dirjase a http://www.redhat.com/ Para obtener la ltima distribucin Knoppix, dirjase a http://knoppix.com/ Si pretende utilizar un disco de inicio, necesitar una distribucin "live", como Knoppix, para crear un disco de inicio. Si tiene previsto utilizar LinEn en su equipo forense, se recomienda utilizar SUSE o Red Hat.
Instalacin de LinEn
Configuracin de LinEn
(
Note:
) Antes de poder ejecutar LinEn en una distribucin "live" o Linux estndar, es necesario configurarlo. Debido a la naturaleza de Linux y sus distribuciones, slo se incluye informacin relativa a las siguientes distribuciones estndar: SUSE 9.1 Red Hat Knoppix El proceso descrito es un proceso de configuracin ideal que ejecuta eficazmente la aplicacin LinEn de una manera slida desde el punto de vista forense. Numerosas distribuciones proporcionan la funcin autofs como un medio de montar automticamente cualquier elemento conectado al sistema Linux. Es imprescindible que autofs se encuentre deshabilitada para evitar el montaje automtico. Para que las adquisiciones de LinEn sean slidas desde el punto de vista forense, es necesario que la funcin autofs se encuentre deshabilitada.
Configuracin de LinEn en SUSE

Antes de poder configurar LinEn en SUSE, es necesario que SUSE ya se ejecute en el equipo Linux del investigador. Para configurar LinEn en SUSE 1. Copie el ejecutable de LinEn que se encuentra en la ruta C:\Program Files\EnCasedel equipo Windows del investigador en el directorio que desee del equipo Linux del investigador, /usr/local/encase. 2. Escriba chmod 777 /usr/local/encase/linen. 3. Ejecute Men principal/Sistema/Configuracin/Yast. 4. Abra el editor de nivel de ejecucin. 5. Asegrese de que la funcin autofs no se encuentre seleccionada ni activada.
Instalacin de LinEn
Configuracin de LinEn en Red Hat

Antes de poder configurar LinEn en Red Hat, es necesario que Red Hat ya se ejecute en el equipo Linux del investigador. Para configurar LinEn en Red Hat 1. Copie el ejecutable de LinEn que se encuentra en la ruta C:\Program Files\EnCasedel equipo Windows del investigador en el directorio que desee del equipo Linux del investigador, /usr/local/encase. 2. Escriba chmod 777 <ruta>/linen. 3. Ejecute Men principal/Configuracin del sistema/Configuracin del servidor. . 4. Asegrese de que la funcin autofs se encuentre deshabilitada. 5. Inicie Linux en el modo de consola. 6. Edite el nivel de ejecucin de inicio; para ello, modifique /etc/inittab. 7. Busque la lnea id:5:initdefault: y cambie el valor 5 por 3. De esta forma se cambia la opcin de inicio de modo que Linux se inicie en el modo de consola en lugar de hacerlo con la interfaz grfica del usuario (GUI).
Instalacin de LinEn
Creacin de un disco de inicio de LinEn

(
Note:
) Para poder crear un disco de inicio de LinEn, es necesario haber obtenido una imagen ISO de la distribucin Linux "live" que desee utilizar como, por ejemplo, Knoppix. Knoppix es una de las distribuciones "live" ms utilizadas. Asegrese de que la distribucin "live" no monta de forma automtica los dispositivos detectados. Para crear un disco de inicio de LinEn: 1. A travs de la aplicacin EnCase del equipo del investigador, haga clic en Herramientas Crear disco de inicio. Se mostrar la pgina de seleccin de destino del asistente para la creacin de discos de inicio. 2. Haga clic en Imagen ISO y, a continuacin, en Siguiente. Se mostrar la pgina de opciones de formato del asistente para la creacin de discos de inicio. 3. Proporcione el nombre de archivo y la ruta de la imagen ISO descargada con anterioridad; tambin puede hacer clic en la opcin para modificar la tabla de inicio y hacer clic en Siguiente. Se mostrar la pgina de copia de archivos del asistente para la creacin de discos de inicio. 4. Haga clic con el botn derecho en el panel derecho de la pgina de copia de archivos y haga clic en Nuevo. Se mostrar el explorador de archivos. 5. Introduzca o seleccione la ruta del ejecutable de LinEn, que normalmente se encuentra en c:\program files\encase, haga clic en Aceptar y, a continuacin, en Finalizado. Se mostrar una barra con el progreso de la creacin de la imagen ISO en la pgina de copia de archivos. Una vez creado el archivo ISO modificado, se cerrar el asistente. 6. Grabe el archivo ISO en un CD/DVD vaco mediante el software de grabacin de CD que desee. Para obtener ayuda sobre cmo realizar esta tarea,
Instalacin de LinEn
consulte las instrucciones que acompaaban al software. De esta forma dispone de un disco de inicio que permite ejecutar Linux y LinEn durante la adquisicin del dispositivo Linux objeto.
Instalacin de LinEn
Instalacin para una adquisicin mediante cable de disco

(
Note:
) Cuando no es posible adquirir una unidad objeto desde el equipo objeto a travs de una adquisicin mediante cable cruzado, es posible adquirir la unidad objeto a travs de un cable de disco. La adquisicin mediante cable de disco se puede realizar mediante uno de los mtodos siguientes: La ejecucin de un disco de inicio de LinEn en el equipo forense. La ejecucin de la utilidad LinEn desde Linux sin el disco de inicio de LinEn en el equipo forense. La ejecucin de un disco de inicio de LinEn en el equipo objeto.
Instalacin de LinEn
Visualizacin de la licencia de LinEn

(
Note: La licencia de la versin de LinEn se puede mostrar en la aplicacin.
) Para poder ver la licencia de LinEn, es necesario que esta aplicacin se encuentre en ejecucin y que la pgina principal est abierta.
Instalacin de LinEn
Visualizacin de la licencia de LinEn
Para ver la licencia de LinEn: 1. Pulse la tecla L. Se mostrar la licencia. 2. Pulse Intro. Se mostrar la pantalla principal de LinEn.
Desplazamiento por la interfaz de EnCase

La ventana principal ........................................... 1
Panel de rbol ................................................ 4 Panel de tabla ................................................. 5 Panel de visualizacin ................................... 5 Panel de filtros ................................................ 6
Desplazamiento entre paneles ....................... 6 Mens .................................................................... 8

Men de archivo ............................................. 9 Men Editar ................................................... 10 Men de visualizacin ................................. 10 Seleccin del men Subfichas de casos
.................................................................. 11
Seleccin de mens en el panel de tabla

.................................................................. 12
Seleccin de mens en el panel de visualizacin .......................................... 12 Seleccin de mens en el panel de filtros

.................................................................. 13
Men de herramientas ................................. 14 Submen GSI ....................................... 14 Wipe Drive (Borrar unidad) ................. 15 Wipe Drive (Borrar unidad) ................. 15 Verificacin de archivos de evidencia ....
1 1 8 8
Verificacin de archivos de evidencia .... Creacin de un disco de inicio ............ 19 Creacin de un disco de inicio ............ 19 Opciones ............................................... 19 Opciones ............................................... 19 Men de ayuda ............................................. 20
Copia y recuperacin ...................................... 21 Copia y recuperacin ...................................... 21 Ajuste automtico ............................................. 23 Modificacin del panel de rbol .................... 24
Elementos incluidos en el conjunto ............ 26 Inclusin de subcarpetas ............................ 28 Inclusin de carpetas nicas ...................... 29
Expandir/Contraer ........................................ 30 Expandir todo ................................................ 33 Contraer todo ................................................ 34 Seleccin de elementos .............................. 34 Cuadro Dixon ........................................ 37 Carpetas nuevas .......................................... 38
Modificacin del panel de tabla .................... 38

Excluir .................................................... 40 Eliminar .................................................. 41 Eliminacin de archivos ............... 42 Eliminacin de archivos ............... 42 Ordenacin ................................................... 43 Ordenacin por columnas ................... 44 Cmo agregar orden ............................ 44 Ordenacin de selecciones ................. 45 Cmo agregar selecciones a una ordenacin ............................................. 45 Filtros ............................................................. 46 Condiciones .................................................. 48 Consultas ...................................................... 48 Consultas ...................................................... 48 Panel de galera ........................................... 50 Visualizacin de menos columnas ..... 50 Visualizacin de ms columnas ......... 50 Visualizacin de ms filas ................... 51 Visualizacin de menos filas ............... 51 Panel de lnea de tiempo ............................ 51
Panel de cdigo ................................................ 52 Modificacin del panel de visualizacin ..... 53

El panel de texto ........................................... 54 El panel de formato hexadecimal ............... 54 Vista de imagen del panel de visualizacin ....
5 5
El panel de informes .................................... 55 El panel de documentos .............................. 57 Panel de transcripcin ................................. 57 Panel de salida ............................................. 57 El panel de consola ...................................... 57 Panel de detalles .......................................... 58 Bloquear ........................................................ 58 Copia ............................................................. 58 Ir a .................................................................. 59
Buscar ........................................................... 59
La ventana principal
(
Note: Desplcese por la interfaz de usuario del programa a travs de los mens, las barras de herramientas y los paneles. Adems de las herramientas de desplazamiento, la interfaz incluye paneles que contienen informacin. La informacin aparece y cambia en funcin del panel que est seleccionado.
) La interfaz grfica de usuario (GUI) est diseada para organizar de modo ms efectivo las funciones del software EnCase. Cada men y submen se relaciona con una imagen de la pgina principal. A continuacin se muestra una vista de la ventana principal con un caso abierto.
Componentes de la interfaz
1. Fichas 2. Barra de men 3. Panel de rbol 4. Barra de panel 5. Panel de tabla 6. Panel de filtros 7. Panel de visualizacin Adems de los mens y las fichas, la interfaz est dividida en los paneles de acoplamiento individuales Ver y Restablecer vista en la ventana principal. . Encima de cada panel, hay fichas. Si se abre un caso y se seleccionan fichas, la interfaz cambia.
Interfaz completa
El tamao de la ventana principal se puede modificar. Para ello, arrastre la esquina inferior derecha de cada panel hasta obtener el tamao deseado. Para mover el tamao de los paneles, mueva el separador y ajuste el tamao. Los paneles dependen unos de otros. El panel de rbol controla el panel de tabla, que, a su vez, conduce los datos al panel de visualizacin. El panel de filtros contiene filtros, condiciones y consultas que controlan el panel de tabla. En la imagen que aparece anteriormente, se muestra el panel de formato hexadecimal del panel de visualizacin. Se trata de una vista nica que divide el panel de visualizacin en dos partes. Un panel de formato hexadecimal a la izquierda y un panel de texto a la derecha. En la parte inferior, una ventana de informacin muestra los elementos siguientes: El archivo actual y su ruta completa segn el formato: <nombre de caso>\<nombre de dispositivo>\<nombre de volumen>\<estructura de directorio>\nombre de archivo. El sector fsico (PS) de la ubicacin en la que se encuentra dentro del dispositivo fsico, independientemente de las particiones lgicas. El sector lgico (LS) de la ubicacin en la que se encuentra dentro de la particin lgica. El nmero de clster (CL) le proporciona el nmero de clster que est visualizando.
La desviacin de sector (SO) le proporciona la ubicacin del elemento visualizado en ese momento, expresado como el nmero de sectores a partir del inicio del clster. La desviacin de archivo (SO) le proporciona la ubicacin del elemento visualizado en ese momento, expresado como el nmero de bytes a partir del inicio del archivo. La longitud (LE) del elemento concreto que est visualizando. Si resalta un fragmento de texto, ste le proporcionar la longitud, expresada en el nmero de caracteres.
Panel de rbol
(
Note: Una estructura de rbol es una forma de representar grficamente la naturaleza jerrquica de una estructura.
Un panel de rbol
El nodo inicial se suele denominar raz. Un nodo es el nodo primario de otro si se encuentra en un nivel superior de la jerarqua y est ms prximo al nodo raz. Los nodos "hermanos" o secundarios comparten el mismo nodo primario. Un nodo relacionado con todos los nodos de nivel inferior se denomina "ascendiente".
Panel de tabla
(
Note: Una tabla es un modo de comunicacin visual que asigna la estructura lgica de un conjunto de datos en una matriz jerrquica. Los datos tabulares son datos discretos.
) El panel de tabla es una tabla unidimensional con formato similar al de una lista o tabla de contenido con una jerarqua nica. Los contenidos de este panel cambian en funcin del panel seleccionado. El grfico muestra una tabla de entradas de archivo. Aparecern otras vistas cuando se pulsen las opciones de casos, marcadores, SAFE o pgina principal.
Vista tpica del panel de tabla
Panel de visualizacin
(
Note: El panel de visualizacin contiene presentaciones de archivos. El contenido de este panel cambia en funcin del tipo de archivo que se est visualizando. Un documento de procesador de textos o de texto aparece de una nica manera, mientras que un archivo grfico puede mostrar contenido ASCII o una presentacin real de la imagen.
Una vista hexadecimal de un archivo JPG
Panel de filtros
(
Note: Segn el panel seleccionado, el panel de filtros mostrar una lista de programas EnScript, aciertos de bsqueda, filtros, condiciones, consultas y estilos de texto.
Panel de filtros
El resto de paneles, filtros y consultas otorgan acceso a la creacin estas herramientas.
Desplazamiento entre paneles

(
Note: Los paneles reducen la forma en que los datos se muestran en pantalla.
) Aunque los botones y fichas de la interfaz del programa puedan parecer botones, no lo son. Se trata en realidad de encabezados de paneles similares a las tarjetas de ndice con lengeta. En la primera imagen se representa este concepto.
Similitud con las tarjetas de ndice
En esta ilustracin se muestran seleccionados los paneles de casos, entradas y pgina principal. Debido a la naturaleza jerrquica de los paneles, cada una de las filas superiores de los paneles controla la visualizacin de las filas situadas bajo ella. En este caso, el panel de pgina principal situado en la parte inferior controla toda la visualizacin del panel.
La seleccin de otro panel no slo afecta al contenido del panel, sino que con frecuencia cambia el nmero y el contenido de las filas inferiores del mismo.
Mens
(
Note: La navegacin bsica se lleva a cabo mediante el men principal.
) La interfaz grfica de usuario (GUI) est diseada para conseguir la mejor organizacin de las funciones de EnCase. El men principal contiene estas opciones: Archivo Editar Ver Herramientas Ayuda A su vez, cada elemento de menu incluye selecciones y, en muchos casos, submens adicionales.
Men de archivo Men de archivo sin ningn caso abierto
Men de archivo con un caso abierto
10
Las opciones del men de archivo realizan las siguientes operaciones: Nuevo: crea un caso nuevo. Guardar: guarda el caso. Guardar todoguarda el aso y los filtros o condiciones creados. Imprimir: imprime el contenido del panel seleccionado. Configuracin de impresoracontrola los parmetros de la impresora. Agregar dispositivoabre el asistente para agregar dispositivos, que permite previsualizar y adquirir un dispositivo. Agregar imagen sin procesarse utiliza para agregar archivos de imagen sin procesar. Salircierra el programa. Si existen cambios sin guardar, la aplicacin solicita que se guarden.
Men Editar
(
Note: A continuacin se muestra un men de edicin expandido.
Vista del men Editar
Men de visualizacin
(
Note: A continuacin se muestra un men de visualizacin expandido. Independientemente del estado del caso, este men no vara.
11
Men de visualizacin expandido
Seleccin del men Subfichas de casos

(
Note: La seleccin Subfichas de casos incluye mens.
Men Subfichas de casos y Subfichas de entradas
El men Subfichas de casos muestra las mismas entradas que aparecen al seleccionar Casos.
12
Seleccin de mens en el panel de tabla

(
Note: Aqu se muestra una vista del men del panel de tabla y su contenido.
Men del panel de tabla
El men incluye las mismas entradas que la opcin de tabla.
Seleccin de mens en el panel de visualizacin

(
Note: A continuacin se muestra una vista de la subficha del panel de visualizacin.
13
Subficha del panel de visualizacin
En la subficha del mens se muestran las mismas entradas que en el panel de visualizacin.
Conjunto de fichas del panel de visualizacin
Seleccin de mens en el panel de filtros

(
Note: A continuacin se muestra una vista del men del panel de filtros:
Subficha del panel de filtros
14
El men desplegable muestra las mismas entradas que en el panel de filtros.
Conjunto de fichas del panel de filtros
Men de herramientas
(
Note: El men de herramientas se encuentra en la barra de men, en la parte superior de la interfaz de usuario de EnCase. Incluye comandos para ejecutar determinados programas de utilidades para, por ejemplo, borrar una unidad o crear un disco de inicio.
) Haga clic en la ficha de herramientas para mostrar el men de herramientas
Visualizacin bsica del men de herramientas
Submen GSI
(
Note:
15
El submen GSI contiene comandos de men proporcionados por programas EnScript. Los programas EnScript se encuentran en la carpeta principal del rbol de EnScript en el panel EnScript del panel de filtros. Estos programas EnScript pueden tener como autor un usuario. Si puede escribir programas EnScript, puede utilizar comandos de men. .
Comandos del submen GSI y programas EnScript que proporcionan la funcionalidad de comandos relacionada
Wipe Drive (Borrar unidad)

(
Note: Advertencia! Este procedimiento borra completamente el medio y sobrescribe su contenido con un carcter hexadecimal. Tenga precaucin al ejecutar Wipe Drive (Borrar unidad).
) Ejecute la utilidad Wipe Drive (Borrar unidad) para eliminar el rastro de cualquier archivo de evidencia de una unidad de almacenamiento.
16
Para borrar completamente una unidad: 1. Haga clic en la opcin Wipe Drive (Borrar unidad) del men de herramientas. Se mostrar una ventana de seleccin de unidades.
2.
Seleccione las opciones iniciales y haga clic en Siguiente. Se mostrar una pantalla de seleccin de dispositivos.
3.
Seleccione el dispositivo que desee borrar completamente y, a continuacin, haga clic en Siguiente. Se mostrar una pantalla de opciones. En esta pgina hay otras dos opciones. La opcin de verificacin de sectores borrados se encuentra activada de forma predeterminada y el carcter de borrado hexadecimal es 00. Cuando esta casilla se encuentra activada, el programa Wipe Drive (Borrar unidad) lee todos los sectores para asegurarse de
17
que los datos se han sobrescrito completamente con el carcter de borrado. Es posible introducir cualquier valor hexadecimal en el campo correspondiente al carcter de borrado.
4.
Haga clic en la opcin para finalizar. Se mostrar el cuadro de dilogo de mensajes sobre unidades.
5.
En Continuar, responda afirmativamente y haga clic en Aceptar. Se mostrar el cuadro de dilogo de estado de Wipe Drive (Borrar unidad). La unidad se borrar y sobrescribir completamente con la cadena hexadecimal introducida en el paso anterior. Se mostrar una ventana de estado con informacin sobre el disco y la operacin.
18
Ventana de visualizacin de estado de Wipe Drive (Borrar unidad)
Para utilizar esta unidad de nuevo, es necesario volver a formatearla.
Verificacin de archivos de evidencia

(
Note: La funcin de verificacin de archivos de evidencia comprueba los valores del control de redundancia cclica (CRC) de los archivos seleccionados. Se trata de una forma de garantizar que no se haya alterado la evidencia de ninguna manera.
) Para poder verificar uno o ms archivos de evidencia, es necesario haberlos adquirido. 1. Haga clic en Herramientas > Verificar archivos de evidencia. Se mostrar el explorador de archivos correspondiente al proceso de verificacin de archivos de evidencia.
19
2.
Seleccione uno o ms archivos de evidencia y haga clic en Abrir. Una vez verificados los archivos, se muestra un informe de estado.
Creacin de un disco de inicio

(
Note:
) Ha obtenido una copia de una distribucin Linux. Consulte Creacin de un disco de inicio de LinEn.
Opciones
(
Note: El cuadro de dilogo de opciones permite a los usuarios personalizar el software.
20
Consulte el captulo El cuadro de dilogo de opciones para obtener informacin detallada al respecto.
Men de ayuda
(
Note: A continuacin se muestra una vista expandida del men de ayuda. Es el mismo tanto si existe un caso abierto como si no.
Men de ayuda
La opcin de novedadesmuestra un archivo de ayuda CHM de novedades. La opcin de ayuda de EnScript abre un archivo de ayuda CHM de EnScript. La opcin de registro de EnCase abre un formulario de registro del programa. La opcin de informacin acerca de EnCase muestra un cuadro de dilogo con datos sobre las versiones y los mdulos EnCase. La ayuda muestra ayuda del programa EnCase.
21
Acerca del cuadro de dilogo EnCase
22
Copia y recuperacin
(
Note: El comando de copia y recuperacin recupera byte a byte archivos borrados.
) Para iniciar el comando de copia y recuperacin: 1. Haga clic en Editar Copia y recuperacin . 2. Seleccione el archivo o los archivos que desee copiar. 3. Seleccione si cada uno de los archivos se mostrar en un archivo diferente o, si por el contrario, se fusionarn todos ellos en un nico archivo. 4. Introduzca un carcter de sustitucin para las entradas borradas de la tabla de asignacin de archivos. El carcter predeterminado es el guin bajo (_). 5. Haga clic en la opcin Siguiente. 6. Para determinar los elementos que se copiarn y recuperarn, realice el procedimiento siguiente: Si slo se van a copiar y recuperar los archivos lgicos, haga clic en Slo archivos lgicos. Si se va a copiar y recuperar el archivo fsico completo, haga clic en Todo el archivo fsico. Si se va a copiar y recuperar la memoria RAM y el espacio muerto del disco, haga clic en RAM y espacio muerto. Si slo se va a copiar y recuperar el espacio muerto de la memoria RAM, haga clic en Slo espacio muerto de la RAM. 7. Para determinar la mscara que se aplicar a los nombres de archivo del contenido copiado y recuperado, realice el procedimiento siguiente: Si no se va a aplicar ninguna mscara, haga clic en Ninguna. Si no se va a enmascarar ningn carcter que no sea ASCII, haga clic en No escribir caracteres que no sean ASCII. Si se van a reemplazar los caracteres que no sean ASCII con un punto, haga clic en Reemplazar los caracteres que no sean ASCII con un punto. 8. Si se van a incluir los errores, haga clic en Seleccionar Mostrar errores y, a continuacin, haga clic en Siguiente.
23
9.
Si se va a utilizar una carpeta de destino diferente a /Export, seleccione la carpeta de destino que desee. 10. Haga clic en la opcin para finalizar. De esta forma, se ejecuta la operacin de copia y recuperacin.
24
Ajuste automtico
El tamao de cada panel de la interfaz de EnCase se puede modificar de forma independiente. Existen dos mtodos para utilizar la opcin de ajuste automtico. El primer mtodo slo controla el panel de rbol. Haga clic en la opcin de vista ajuste automtico . As el ajuste automtico slo se aplica al panel de rbol. El segundo mtodo se puede utilizar en cualquier panel. Haga clic con el botn derecho y seleccione la opcin de ajuste automtico. ste es el contenido nicamente del panel seleccionado. En cambio, la visualizacin y desactivacin de la visualizacin de ajuste automtico oculta los paneles que no se ajustan a la configuracin del panel.
25
Modificacin del panel de rbol

(
Note: El panel de rbol presenta una vista estructurada en un rbol de todas las evidencias recopiladas.
) Fjese en que algunas carpetas presentan un signo + junto a ellas. Al hacer clic en este signo se abre la carpeta y se muestra su contenido.
26
Vista ampliada de la carpeta Documents and Settings
En el grfico anterior, se ha ampliado la carpeta Documents and Settings para mostrar las cinco carpetas contenidas en ella. Fjese tambin en que ahora, el smbolo situado junto a la carpeta abierta es un signo que indica que la carpeta est ampliada.
Elementos incluidos en el conjunto

(
Note: El icono pentagonal se denomina interruptor de elementos incluidos en el conjunto. La casilla de verificacin es una casilla de seleccin de contenido. Estas opciones funcionan de forma conjunta con la vista del panel de tabla.
27
La seleccin de la opcin de elementos incluidos en el conjunto permite seleccionar y visualizar todo el contenido de una carpeta. Esto incluye la visualizacin de todos los archivos y carpetas contenidos en las carpetas incluidas y que dependan de ellas. Este icono se utiliza exclusivamente para la visualizacin de contenido en el panel de tabla y no para seleccionar archivos o carpetas con el fin de trabajar con ellos.
Carpeta Documents and Settings abierta
Cuando la opcin de elementos incluidos en el conjunto se encuentra seleccionada, todo el contenido de la carpeta se muestra en el panel de tabla. Si se desplaza hacia abajo, podr visualizar carpetas, subcarpetas, subcarpetas anidadas, enlaces, archivos en formato .gif, documentos .html, etc.
28
Documents and Settings con la opcin de elementos incluidos en el conjunto activada
Inclusin de subcarpetas
(
Note: Utilice el cuadro de seleccin situado a la derecha del icono de elementos incluidos para seleccionar archivos y carpetas en los que efectuar una operacin de anlisis.
) La activacin del cuadro de seleccin Documents and Settings, como en el grfico, selecciona todas las carpetas de Documents and Settings. Adems, se seleccionan todos los archivos y subcarpetas inferiores. Ahora, si se ejecuta un proceso, se interacta con los datos marcados.
29
Carpeta Documents and Settings marcada en azul
Inclusin de carpetas nicas

(
Note: Se puede abrir una nica carpeta para mostrar su contenido.
) Para abrir una carpeta individual, haga doble clic en ella. Al abrir una carpeta de este modo, el rbol se expande y aparecen subcarpetas en el panel de rbol. El panel de rbol de la derecha muestra el contenido de la carpeta principal.
30
Archivo nico abierto
El grfico muestra la carpeta de Bob Hunter seleccionada y abierta. El panel izquierdo, panel de rbol, muestra el contenido de subcarpetas en tanto que el panel de tabla de la derecha muestra las subcarpetas y los archivos individuales incluidos en la carpeta de Bob Hunter.
Expandir/Contraer
(
Note: El panel de rbol se modifica mediante la seleccin de expansin o contraccin en el men de edicin.
31
Panel de rbol con una carpeta de Bob Hunter expandida
El panel anterior muestra la carpeta de Bob Hunter expandida. Para contraerla, realice una de las tareas siguientes: Haga clic con el botn derecho en la carpeta y elija el icono de expansin o contraccin. Haga clic en el icono de expansin y contraccin. Con la carpeta resaltada, pulse la barra espaciadora.
32
Editar > Expandir/Contraer
El nuevo panel de rbol es similar al siguiente:
Panel de rbol y carpeta de Bob Hunter tras la contraccin
33
Puede ejecutar esta misma funcin si pulsa la barra espaciadora.
Expandir todo
(
Note: La interfaz permite expandir el panel de rbol completo con un clic de men.
) S el panel de rbol completo est contrado o si existen una o varias carpetas abiertas, se puede expandir el rbol completo para mostrar todo el contenido del archivo de evidencia.
Men de edicin con la opcin para expandir todo seleccionada
Abra el men de edicin y haga clic en la opcin para expandir todo y mostrar todo el contenido de evidencia.
Panel de tabla completo expandido
34
Contraer todo
EnCase Examiner permite contraer un panel de rbol completo con un clic de men. Si todo el panel de rbol est expandido, o bien una o varias carpetas, el rbol se contrae al instante. Para contraer toda la tabla, abra el men de edicin y haga clic en la opcin para contraer todo.
Men de edicin con la opcin para contraer todo seleccionada
El panel de tabla se contrae y slo muestra la entrada raz.
Vista de rbol totalmente contrado
Seleccin de elementos
(
Note: En el panel de rbol hay una casilla de seleccin junto a cada elemento. En funcin de cmo y dnde se seleccione la casilla, se seleccionan diferentes archivos.
35
Los archivos seleccionados se seleccionan en el nivel en el que se seleccionan. El primer nivel de archivos situado justo debajo de la seleccin se muestra en el panel derecho. En la ilustracin siguiente se han seleccionado el nivel raz, el de entradas, y todas las carpetas y volmenes situados bajo l. En el panel derecho se muestran los contenidos de primer nivel. Las ilustraciones de esta seccin muestran los archivos abiertos en la columna de la izquierda. Si las carpetas no s expanden, mantienen su apariencia y se seleccionan en un segundo plano. Se mostrar la columna de la derecha.
Seleccin del nivel superior
Cuando se selecciona una carpeta de nivel inferior, todo el contenido incluido en ella se selecciona en la parte izquierda, mientras que ste se muestra en la parte derecha. Tenga en cuenta tambin que, si se selecciona una carpeta de nivel inferior, se seleccionan tambin las correspondientes carpetas primarias.
36
Seleccin de segundo nivel
Seleccin de tercer nivel
En la imagen anterior, se ha seleccionado la carpeta Agent. En la columna de la izquierda se muestran las subcarpetas y archivos seleccionados.
37
En el grfico siguiente se muestran seleccionados los archivos de la columna de la derecha. Estos archivos se incluyen en la carpeta All_COD , que es una subcarpeta de Agent y Archivos de programa. Archivos de programa es, a su vez, una carpeta secundaria de C, Hunter XP y Entries.
Carpeta All_COD seleccionada
Cuadro Dixon
(
Note: El cuadro Dixon muestra cuntos archivos estn seleccionados y cuntos existen en la seleccin.
38
Si no existen archivos seleccionados de un caso abierto, el cuadro presenta el siguiente aspecto:
Aqu existen cero archivos seleccionados de 191. En esta imagen, se han seleccionado tres de los mismos 191 archivos totales.
El cuadro Dixon se encuentra en el panel situado sobre el panel de informes. Consiste en una casilla de verificacin con dos nmeros separados por un guin. El primer entero es el nmero de archivos seleccionados y el segundo refleja el nmero total de archivos del caso. Para anular rpidamente la seleccin de todos los archivos de un caso, haga clic en el cuadro Dixon para que el primer nmero sea 0.
Carpetas nuevas
(
Note: Las carpetas son los contenedores en los que se ubican los resultados de los anlisis y las evidencias.
) Para crear carpetas nuevas, coloque el cursor en un panel, haga clic con el botn derecho y seleccione la opcin correspondiente para crear una carpeta nueva.
39
Modificacin del panel de tabla

El panel de tabla presenta informacin sobre el contenido de los archivos y carpetas seleccionados.
40
Visualizacin bsica en dos paneles de EnCase
El contenido del panel de tabla cambia al seleccionar diferentes elementos en el panel de rbol y al hacer clic en los archivos en el panel de tabla.
Excluir
(
Note: La opcin de exclusin oculta uno o ms resultados de bsqueda, pero no los elimina del caso.
41
Men contextual del panel de tabla con la opcin de exclusin seleccionada
Los resultados de bsqueda excluidos se indican mediante el smbolo internacional Not. En el grfico siguiente, el archivo setuplog.txt no est excluido, en tanto que s lo estn los archivos de las fichas 15, 16 y 17.
Archivos excluidos e incluidos
Eliminar
(
Note: Esta opcin elimina los resultados de bsqueda actualmente seleccionados.
42
Cuando se utilizan resultados de bsqueda, la opcin de eliminacin se considera una eliminacin parcial, ya que el usuario puede anular la eliminacin de un resultado de bsqueda mientras no se cierre el caso. Si una palabra clave sigue eliminada al cerrar el caso, el resultado se elimina de forma permanente. En otros paneles, sin embargo, la anulacin de la eliminacin slo funciona con la ltima seleccin eliminada. La opcin de eliminacin no borra el archivo del archivo de evidencia, slo elimina un archivo de evidencia del caso. Eliminacin de archivos (
Note: Los archivos se eliminan de forma semipermanente mientras el archivo se encuentra abierto. Una vez cerrado un archivo, los resultados de la bsqueda eliminados se eliminan de forma permanente de la pantalla y el informe.
) Ejecute y consulte una bsqueda de palabras clave. Este proceso es similar al de exclusin de archivos. En el panel de tabla, consulte el informe de aciertos de bsqueda antes de excluirlos del informe. 1. Seleccione los archivos que se van a excluir, haga clic con el botn derecho en la vista y seleccione Eliminar o Eliminar todos los archivos seleccionados.
43
A seleccionar esta ltima opcin, se mostrar un segundo cuadro de dilogo de opciones.
2.
Seleccione la opcin correspondiente y haga clic en Aceptar. Los archivos seleccionados se eliminarn temporalmente. El informe muestra los resultados concatenados.
Ordenacin
(
Note: El proceso de ordenacin organiza en orden alfabtico las filas de la columna a la que se aplique. El programa puede ordenar las filas en orden alfabtico ascendente o descendente, as como aplicar el proceso de ordenacin a un mximo de cinco niveles. No obstante,
44
slo es posible realizar el proceso de ordenacin desde el panel de tabla.
) Muestre algunos datos en el panel de tabla. Para abrir el men de ordenacin, haga clic con el botn derecho en el encabezado de columna de la tabla del panel de tabla.
Submen de ordenacin del men contextual
Ordenacin por columnas

(
Note: Los datos alfanumricos se muestran en orden numrico o alfabtico, ascendente o descendente. En el caso de que haya simultneamente entradas alfabticas y numricas, se muestran primero los archivos numricos.
) Para ordenar una sola columna, realice el procedimiento siguiente: El submen de orden ofrece opciones adicionales para ordenar las columnas. Haga clic en Orden ascendente o pulse Ctrl + Q para ordenar una columna por orden alfabtico o numrico. Haga clic en Orden descendente o pulse Ctrl + Mays + Q para ordenar una columna por orden alfabtico o numrico inverso.
Cmo agregar orden

(
Note: Para ofrecer una ordenacin ms precisa, se pueden crear varias subordenaciones. Existen diferentes mtodos para agregar ordenaciones secundarias adicionales:
45
Pulse la tecla Mays mientras hace doble clic en una columna para agregar ordenaciones adicionales. El submen de orden ofrece opciones adicionales para ordenar las columnas. Haga clic en la opcin para agregar ordenacin o pulse Ctrl + A para agregar una ordenacin consecutiva a una ordenacin alfanumrica normal. Haga clic en la opcin para agregar ordenacin o pulse Ctrl + Mays+ A para agregar una ordenacin consecutiva en orden inverso a una columna con orden alfanumrico inverso.
Ordenacin de selecciones
(
Note: Es posible ordenar exclusivamente los archivos seleccionados.
Submen de orden
Para ordenar un conjunto de archivos especficos, realice el procedimiento siguiente: 1. Seleccinelos en el panel de tabla. 2. Haga clic con el botn derecho en el panel de tabla. 3. Haga clic en la opcin para ordenar selecciones para ordenar los archivos seleccionados en orden alfabtico descendente. 4. Haga clic en la opcin para ordenar selecciones (orden inverso) para ordenar los archivos seleccionados en orden alfabtico ascendente.
Cmo agregar selecciones a una ordenacin

(
Note: Utilice esta caracterstica para agregar datos adicionales a la ordenacin.
46
Submen de orden
Para ordenar una serie de archivos individuales: 1. Ordene los datos de tabla. 2. Seleccione algunos archivos adicionales. 3. Acceda al men de orden. 4. Haga clic en la opcin para agregar selecciones a la ordenacin de forma que los archivos seleccionados se ordenen con un criterio alfanumrico. 5. Haga clic en la opcin para agregar selecciones a una ordenacin (orden inverso) para ordenar los archivos segn un criterio alfanumrico inverso. .
Filtros
(
Note: Los filtros constituyen potentes herramientas del panel de filtros que afectan a los datos que se visualizan en el panel de tabla.
) Existen diferentes tipos de filtros disponibles, en funcin del panel elegido en el panel de rbol. Por ejemplo, los filtros disponibles para los resultados de bsqueda son diferentes de los disponibles para las entradas. Existen varios filtros predefinidos disponibles para filtrar elementos de poco o ningn inters. Los filtros no eliminan los elementos del caso, slo los ocultan en el panel de tabla. A menudo esto reduce el nmero de filas mostradas. El panel de filtros permite a los investigadores ejecutar, crear, editar o eliminar filtros, condiciones y consultas. El panel de condiciones permite al usuario generar filtros mediante la especificacin de parmetros.
47
Panel de filtros
Para interactuar con los filtros, coloque el cursor en el panel de filtros y haga clic con el botn derecho. Aparece el submen de filtros.
Submen del panel de filtros
La opcin Nuevo permite crear filtros basados en condiciones predefinidas que se pueden seleccionar mediante el men. Los filtros creados se encuentran en un archivo de inicializacin (C:\Program Files\EnCase6\Config\filters.ini). De esta forma, se guardan globalmente en el programa EnCase.
48
Condiciones
(
Note: Las condiciones son similares a los filtros: limitan el contenido del panel de tabla.
) Existen varias condiciones creadas y, al igual que los filtros, varan segn el panel de rbol elegido. La primera figura que aparece a continuacin muestra la visualizacin cuando se selecciona el panel de condiciones.
Lista de condiciones
Consultas
(
Note: Las consultas permiten cambiar la informacin visible mediante la combinacin de filtros y condiciones en un elemento maestro llamado consulta. Una consulta tiene dos componentes, una parte visible y otra lgica. La parte visible afecta al texto y su color, y se utiliza para sealar las coincidencias mediante condiciones y filtros seleccionados por el usuario. La parte lgica controla las filas que se ocultan en el panel de tabla.
) Es posible construir una consulta con los mismos filtros y condiciones en las secciones de visualizacin y lgica, o bien hacer que sean diferentes. Una desventaja es que la parte lgica tiene prioridad, de modo que si no coinciden los filtros y condiciones utilizados en la seccin lgica con los de una fila, sta se ocultar aunque coincida con la seccin de visualizacin. La parte lgica controla las filas que se ocultan en el panel de tabla.
49
Para crear una consulta, realice el procedimiento siguiente: 1. Introduzca un nombre en el campo. 2. En el panel de configuracin de visualizacin de elementos mostrados, haga clic con el botn derecho en el panel derecho y seleccione un elemento nuevo. Seleccione un filtro o una condicin. Seleccione el filtro o condicin que desee de la lista. En el campo de texto, escriba el texto que desee. ste es el texto que se mostrar en la columna de filtro del panel de tabla cuando un archivo cumpla este criterio. Cambie el elemento correspondiente al color; para ello, haga clic en la opcin de color del texto o marco, a continuacin, haga doble clic en los colores de fondo y primer plano y, por ltimo, haga clic en Aceptar. 3. En el cuadro de dilogo de nueva visualizacin, realice el procedimiento siguiente y haga clic en Aceptar: Los filtros y condiciones aqu mostrados no ocultarn las filas que no cumplan los requisitos de los filtros seleccionados. La seleccin de estas opciones simplemente establece la forma en la que se muestran las coincidencias en la interfaz. 4. Repita el paso 4 tantas veces como sea necesario. 5. En el panel de condiciones para la visualizacin de elementos, haga clic con el botn derecho en la opcin de combinaciones y seleccione Nuevo. 6. En el cuadro de dilogo de nueva combinacin, seleccione filtro o condicin, a continuacin seleccione el filtro o condicin que desee de la lista y, por ltimo, haga clic en Aceptar. No es necesario que introduzca aqu los mismos filtros y condiciones introducidos en el panel de configuracin de visualizacin de elementos mostrados. 7. Repita el paso 7 tantas veces como sea necesario. sta es la lgica para ocultar filas. Si, por ejemplo, un elemento coincide con un filtro del panel de configuracin de visualizacin de elementos mostrados, aunque no coincida con la parte lgica del panel de condiciones de elementos mostrados, la fila no se mostrar.
50
8.
La lgica predeterminada de las condiciones consiste en agregarles el parmetro AND. Para aplicarles el parmetro OR, haga clic con el botn derecho en Combinaciones Cambiar lgica . 9. Haga clic en Aceptar. Otras operaciones, incluidas las de exportacin e importacin, son similares a las de filtros y condiciones.
Panel de galera
(
Note: El panel de galera proporciona un mtodo rpido y sencillo para ver imgenes almacenadas en el medio objeto. El alcance de los archivos que se muestran en el panel de galera de la vista de tabla se determina mediante la seleccin efectuada en el panel de rbol. Por ejemplo, para ver imgenes de todo el caso, active la opcin de elementos incluidos en la raz del rbol del caso.
) En la galera se pueden asignar marcadores a las imgenes de la misma forma que en el panel de tabla. Si todava no se ha ejecutado el anlisis de firma, la vista de galera muestra los archivos basndose en su extensin de archivo publicada. Por ejemplo, si un archivo JPG se cambia a DLL, no aparece en la galera hasta que se haya ejecutado un anlisis de firma. Por este motivo, se recomienda ejecutar un anlisis de firma antes de realizar un anlisis en el panel de galera. Consulte la seccin sobre anlisis de firma de este manual para obtener ms instrucciones sobre la ejecucin de un anlisis de firma.
Visualizacin de menos columnas

(
Note: Para ver menos imgenes en la galera, se reduce el nmero de columnas mostradas.
) 1. Haga clic con el botn derecho en la galera. 2. Seleccione la opcin de men Menos columnas. Se oculta la columna situada en el extremo derecho.
Visualizacin de ms columnas
(
Note: Para ver ms imgenes en la galera, se aumenta el nmero de columnas mostradas.
) Para agregar columnas, realice el procedimiento siguiente: 1. Haga clic con el botn derecho en la galera.
51
2.
Seleccione Ms columnas.
Visualizacin de ms filas
(
Note: Para ver ms imgenes en la galera, se aumenta el nmero de filas mostradas.
) Para agregar una fila, realice el procedimiento siguiente: 1. Haga clic con el botn derecho en el panel de galera. 2. Seleccione Ms filas.
Visualizacin de menos filas

(
Note: Para ver menos imgenes en la galera, se reduce el nmero de filas mostradas.
) Para eliminar filas, realice el procedimiento siguiente: 1. Haga clic con el botn derecho en la galera. 2. Seleccione Menos filas.
Panel de lnea de tiempo

(
Note: La lnea de tiempo constituye un excelente recurso a la hora de buscar patrones en la creacin, edicin y horas de acceso de los archivos.
) La informacin de la lnea de tiempo se puede mostrar por aos y detallarla hasta mostrarla por segundos; para ello, basta con seleccionar la opcin adecuada.
Panel de lnea de tiempo
52
Las casillas de seleccin situadas sobre el calendario permiten filtrar de forma rpida y sencilla el tipo de marca de fecha y hora que se mostrar: escritura, acceso, modificacin, eliminacin y adquisicin de archivos.
Opciones de visualizacin de la lnea de tiempo
Si se anula la seleccin de una o ms de estas casillas se modifica la lnea de tiempo.
53
Panel de cdigo
(
Note: En el panel de cdigo se pueden editar los programas, filtros, condiciones y consultas EnScript.
) Para editar estas entidades, seleccinelas y elija las opciones Nuevo o Editar origen.
Utilice el editor de texto que aparece para crear o modificar el cdigo.
54
Modificacin del panel de visualizacin

(
Note: El panel de visualizacin proporciona una funcionalidad especfica para la visualizacin de los elementos seleccionados en el panel de tabla.
El panel de texto
(
Note: La ficha de texto del panel de visualizacin muestra el archivo seleccionado como texto ASCII.
Representacin textual de un archivo JPG
El panel de formato hexadecimal

(
Note: El panel de formato hexadecimal muestra una vista dividida con texto en formato hexadecimal a la izquierda y en ASCII a la derecha.
55
Panel de formato hexadecimal de un archivo JPG
Vista de imagen del panel de visualizacin

(
Note: El panel de imagen del panel de visualizacin muestra el contenido de un archivo de imagen.
Panel de visualizacin con el panel de imagen seleccionado
El panel de informes
(
Note: El panel de informes muestra un informe completo en el panel de visualizacin.
56
Panel de informes en el panel de visualizacin
57
El panel de documentos
(
Note: El panel de documentos del panel de visualizacin emplea tecnologa Outside In de Stellent para mostrar texto en su formato nativo.
) La tecnologa de visualizacin Outside In de Stellent proporciona a los desarrolladores de software de aplicaciones una alta fidelidad en la visualizacin de documentos sin necesidad de emplear aplicaciones nativas, as como la funcionalidad necesaria para copiar, pegar, imprimir y anotar archivos en ms de 390 formatos de archivos para las plataformas Unix y Windows. Los tipos de archivos compatibles con Outside In se muestran en el sitio Web de Stellent en la direccin http:/www.stelent.com/stelent3/groups/mkt/documents/contributorformcontent/p88010270.pdf .
Panel de transcripcin
(
Note: El panel de transcripcin emplea la tecnologa Outside In de Stellent para extraer texto de entre el ruido del archivo.
) La tecnologa Outside In muestra contenido textual sin formato extrado del formato nativo de texto con formato. Esto resulta de especial utilidad a la hora de crear marcadores de barrido en el interior de documentos que normalmente no se almacenan como texto sin formato (un archivo XLS, por ejemplo).
Panel de salida
(
Note:
) El panel de salida muestra los resultados de las operaciones efectuadas por los diversos programas EnScript.
El panel de consola
(
Note:
58
El panel de consola permite mostrar los mensajes de estado al ejecutar los programas EnScript.
Panel de detalles
(
Note: El panel de detalles proporciona informacin adicional sobre un archivo. La extensin del archivo y los registros son reas donde hacer clic en el panel de detalles puede proporcionar resultados.
) Para ver la extensin del archivo: 1. Abra un caso y muestre su contenido. 2. Desplcese a la columna de extensin del archivo en el panel de tabla y haga clic en la opcin de extensin de archivo de alguna fila. 3. Haga clic en el panel de detalles del panel de informes para ver la extensin del archivo. El grfico muestra las ocho primeras extensiones de archivo de algn elemento de evidencia.
Bloquear
(
Note: El panel de visualizacin depende del archivo seleccionado en el panel de tabla.
) Por lo general, la interfaz determina el mejor panel para mostrar el contenido del archivo. Para bloquear el panel seleccionado actualmente e impedir que cambie al cambiar los archivos, haga clic en la opcin de bloqueo.
Copia
(
Note: Los datos que se muestran en los paneles de texto y formato hexadecimal se pueden copiar. Tambin se puede copiar RTF de un informe, de forma que se pueda pegar en un programa externo que acepte entrada RTF.
59
En cualquiera de los dos paneles, seleccione el texto, haga clic con el botn derecho y seleccione la opcin de copia.
Ir a
(
Note: Esta opcin se utiliza para indicar dnde se desplazar el cursor en el panel de visualizacin.
) Para pasar a una ubicacin de un archivo: 1. Haga clic con el botn derecho en el panel de visualizacin. 2. Seleccione la opcin de ir a. 3. Indique el desfase de archivo en el otro campo y haga clic en Aceptar. La opcin de ir a tambin puede interpretar texto seleccionado mediante Little-Endian o Big-Endian. Para interpretar texto seleccionado: 1. Resalte texto en el panel de visualizacin. 2. Haga clic con el botn derecho en el panel de visualizacin y elija la opcin de ir a. 3. Haga clic en Little-Endian para ver la representacin en Little-Endian. 4. Haga clic en Big-Endian para ver la representacin en Big-Endian.
Buscar
(
Note: La opcin de bsqueda funciona en la mayora de los paneles del panel de visualizacin. Se utiliza para localizar cadenas en los datos.
) Para buscar una cadena, realice el procedimiento siguiente: 1. Muestre la vista de rbol. 2. Haga clic con el botn derecho en el panel de visualizacin.
60
Men de bsqueda con expresin de bsqueda
3. 4.
Haga clic en la opcin de bsqueda. Introduzca una cadena en el campo de expresin. Para utilizar una expresin GREP, active la opcin GREP. 5. Seleccione las opciones de documento completo, desde la posicin del cursor o seleccin actual. 6. Si lo desea, seleccione la opcin de distincin de maysculas y minsculas. 7. Elija si desea que los resultados aparezcan en el panel de salida. 8. Haga clic en Aceptar. Se localiza la expresin indicada.
Administracin del caso

Descripcin general de la estructura del caso
................................................................................... 1
Administracin del caso ................................ 1 Administracin simultnea de casos ....

2
Indizacin de un caso ............................ 2 Formato de archivo de caso ......................... 3 Copia de seguridad del caso ........................ 3 El cuadro de dilogo de opciones ................ 4
Asistente de caso nuevo .................................. 6

Adicin de dispositivos .................................. 8 Opciones de zona horaria para los archivos de evidencia ......................................................... 8 Modificacin de zonas horarias .......... 10 Notas generales sobre la zona horaria
.......................................................... 10 Ejemplo de zona horaria ...... 10
Opciones de zona horaria para los archivos de caso ............................................................... 11 Carpeta de exportacin ............................... 12 Carpeta temporal ......................................... 12 Panel Global del cuadro de dilogo Opciones
.......................................................................... 13
Cmo guardar nuevos casos ........................ 15

Guardar ......................................................... 17 Guardar todo ................................................. 17 Guardar como ............................................... 18
Apertura de un caso ........................................ 18 Cerrar caso ......................................................... 19
Descripcin general de la estructura del caso

(
Note: La estructura bsica de un caso de evidencias consta de tres partes: el archivo de evidencia, el archivo de caso y los archivos de configuracin del programa EnCase.
) El archivo de caso es un archivo que contiene informacin especfica sobre un caso. El archivo de caso contiene indicadores a uno o varios archivos de evidencia o dispositivos previsualizados, marcadores, resultados de bsquedas, rdenes, resultados de anlisis hash e informes de anlisis de firma. Se deber crear un archivo de caso antes de poder previsualizar cualquier medio o analizar los archivos de evidencia. De hecho, una de las caractersticas ms potentes del programa consiste en la posibilidad de organizar tipos de medios distintos, de manera que se puedan buscar como una unidad en lugar de hacerlo de forma individual.

(
Note: Antes de iniciar una investigacin, se debe considerar la manera en que se acceder al caso una vez se haya creado.
) Por ejemplo, es posible que ms de un investigador necesite ver la informacin. Para ello, se pueden colocar los archivos de evidencia en un servidor central. Slo una persona podr ver el archivo de caso al mismo tiempo. Si se crean carpetas de evidencia y de exportacin temporales, se podrn separar y controlar los archivos. En la carpeta temporal se guardan los archivos transitorios que se crean durante la investigacin. En la carpeta de exportacin se guardan los datos copiados del archivo de evidencia. El investigador puede crear una carpeta de evidencias para almacenar las evidencias. Las carpetas de exportacin y temporal se crean cuando se crea un caso.
Administracin simultnea de casos

(
Note: Este programa puede abrir ms de un caso a la vez. Todos los casos aparecen en el panel de tabla. Cada caso se analiza de forma totalmente independiente de los dems.
Dos casos abiertos simultneamente
Para cambiar el anlisis de un caso a otro, realice las siguientes operaciones: 1. Haga clic en Ver Subfichas de casos Pgina principal . 2. Seleccione un caso para su anlisis en el panel de tabla del panel de tabla. La apertura de varios casos simultneamente simplifica las funciones de anlisis de comparacin de casos, como la bsqueda de palabras clave, la revisin de resultados de bsqueda, etc. La columna de dispositivo de la tabla indica cuntos dispositivos estn asociados con el caso de la columna de nombre. Para consultar los dispositivos asociados con un caso determinado, resalte el caso en el panel de rbol y, a continuacin, haga clic en la subficha de entradas situada bajo Casos.
Indizacin de un caso
(
Note: La administracin de los archivos de ndice asociados con los archivos de evidencia de un caso constituye una parte importante de la administracin del caso.
) En la seccin Indizacin de casos de este manual se puede encontrar completa informacin sobre la indizacin.
Formato de archivo de caso

La versin 6 ofrece un formato de archivo de caso nuevo. Como consecuencia, los archivos de caso creados en la versin 6 no se abrirn con versiones anteriores. Sin embargo, la versin 6 es compatible con casos creados con la versin 5. Si se abre un archivo de caso de la versin 5 con la versin 6, se podr guardar como un archivo de caso de la versin 5 o de la versin 6. Esta opcin aparece cuando se selecciona la opcin de men Archivo Guardar como . Por ejemplo, se crea un caso con la versin 5 y, a continuacin, se abre y se trabaja con la versin 6. Para seleccionar la versin en la que desea guardar el archivo: 1. Seleccione la opcin Archivo Guardar como.
2.
Expanda el campo de tipo Guardar como y realice una seleccin. Archivo de caso guarda el archivo como versin 6. Archivo de caso versin 5 guarda el archivo en versin 5. Copia de seguridad de archivo de caso guarda el archivo como un archivo de copia de seguridad de la versin 6.
Copia de seguridad del caso

(
Note: De forma predeterminada, se guarda una copia de seguridad del archivo de caso cada 10 minutos.
) De forma predeterminada, los archivos de copia de seguridad (.cbak) se guardan en C:\Archivos de programa\EnCase\Backup. Con la excepcin de la extensin, este archivo utiliza el mismo nombre que el archivo primario. Para cambiar el tiempo de almacenamiento predeterminado: 1. Haga clic en Herramientas Opciones Global . 2. Cambie el nmero en el campo de texto de almacenamiento automtico. Si selecciona 0, desactiva la funcin de almacenamiento automtico. No se recomienda utilizar este valor.
El cuadro de dilogo de opciones

(
Note: El men de opciones permite a los usuarios personalizar el software.
) Para acceder al men, en la barra de herramientas, seleccione Casos Opciones . Se mostrar un cuadro de dilogo con fichas. Se muestran los paneles global, de colores, fuentes, EnScript y rutas de almacenamiento. Cuando un caso est abierto, se muestra una ficha ms (opciones de caso), la cual permite definir los valores predeterminados del consiguiente nombre de caso, nombre de examinador y la ubicacin de la carpeta temporal y de exportacin.
Para establecer las opciones, haga clic en el men Herramientas Opciones y complete el cuadro de dilogo que se muestra a continuacin.
Seleccin del men Herramientas Opciones
El cuadro de dilogo que se abre tiene la apariencia siguiente:
Cuadro de dilogo de opciones
Los campos de la carpeta de opciones de la ilustracin muestran los valores predeterminados. Este cuadro de dilogo incluye diversas fichas. Todos los campos del panel de opciones de caso son obligatorios. Nombre corresponde al nombre del caso. Nombre de examinador es el nombre del investigador. Carpeta de exportacin predeterminada es la ubicacin a la que se envan los datos exportados. Carpeta temporal es la ubicacin a la que se envan los datos temporales. Carpeta de ndice es la ubicacin de los ndices de los casos.
Asistente de caso nuevo

El asistente de caso nuevo captura la configuracin de las funciones y el caso. Un caso se asocia a una funcin especfica. El administrador establece las funciones. El asistente de caso nuevo consta de dos pginas: La pgina de funciones La pgina de opciones de caso
El asistente de caso nuevo
Adicin de dispositivos
(
Note: Una vez abierto un caso, agregue las evidencias de acuerdo con la informacin proporcionada en la seccin sobre el uso de evidencias.
Opciones de zona horaria para los archivos de evidencia

(
Note: Con frecuencia, los medios de un caso tienen su origen en diferentes zonas horarias. Esto puede dificultar la comparacin temporal de diferentes eventos. El software EnCase Forensic permite configurar la zona horaria de cada uno de los medios con independencia de la zona horaria del sistema del resto de medios del caso.
Si lo desea, el usuario puede visualizar todas las fechas de acuerdo con una sola zona horaria. Para establecer las opciones de zona horaria, haga clic con el botn derecho en el archivo que desee y, a continuacin, haga clic en la configuracin de modificacin de zona horaria situada en el men desplegable. Al asignar una nueva zona horaria, se ajustan las fechas y las horas de los sistemas de archivos basados en la hora del meridiano de Greenwich (GMT), como NTFS. No se ajustarn los sistemas de archivos que guardan las fechas y las horas de acuerdo con la hora local, como ocurre con FAT16 y FAT32. En relacin al horario de verano, el software comprueba la fecha de una entrada, determina si se le aplica el cambio de horario de verano o no, y muestra la hora ajustada. Para ignorar esta configuracin estacional, desactvela en el cuadro de dilogo de configuracin del horario de verano. Seleccione la zona horaria del medio (hora del Pacfico en la imagen) en la parte izquierda. La configuracin del registro se lee en el equipo de investigacin y se muestra a la derecha. Si no se especifica ninguna configuracin de zona horaria, el software deduce las marcas de fecha y hora a partir de la configuracin actual del registro de Windows del equipo de investigacin.
Cuadro de dilogo de propiedades de fecha y hora
Al seleccionar una zona horaria en la que el horario de verano no se aplica automticamente se desactiva la configuracin de la derecha.
10
Modificacin de zonas horarias

(
Note: Tenga en cuenta esta informacin a la hora de modificar las zonas horarias.
) Notas generales sobre la zona horaria Las horas de FAT, HFS y CDFS no se asocian con una zona horaria cuando se almacenan en un equipo de destino. El investigador asigna una zona horaria a la evidencia en el nivel de dispositivo. Esta asignacin no cambia las fechas mostradas, excepto si se establece una hora de caso diferente de la hora del dispositivo. Las horas de NTFS y HFS+ se asocian con la hora del meridiano de Greenwich (GMT) cuando se almacenan en un equipo de destino. Establezca las zonas horarias del dispositivo en primer lugar. De esta forma se asocia una zona horaria con las horas de FAT almacenadas y, en NTFS, se muestra el desfase correcto con respecto a GMT. De forma predeterminada, todas las zonas horarias se establecen como la zona horaria del equipo del examinador. La modificacin de la zona horaria del caso para convertir todas las horas a una zona horaria cambia las horas de FAT, HFS y CDFS si la zona horaria del dispositivo es diferente de la zona del caso. Todas las horas de NTFS y HFS+ se ajustan al desfase GMT del caso si se aplica la opcin de convertir todas las horas. En el nivel de caso, la configuracin de horario de verano, acta de la siguiente manera: Si se selecciona la opcin de estndar, no se realiza ningn cambio en las horas. Si se selecciona el horario de verano, se agrega una hora a todas las horas visualizadas, independientemente del momento del aos. La fecha en el reloj de sistema del investigador en el horario estndar o de verano no tiene ningn efecto en las horas mostradas. El equipo de destino cuenta con un sistema HFS en Nueva York (GMT -5).
Ejemplo de zona horaria
11
El archivo se crea a las 3 de la tarde. La hora de almacenamiento en el equipo es 3 p.m. Se crea una imagen de la unidad y el investigador anota que el equipo mostraba la hora local correcta. Un investigador de California abre el archivo de evidencia. El programa EnCase asigna inicialmente una zona horaria al nivel de dispositivo de GMT -8, ya que sta es la configuracin de zona horaria del equipo del investigador en la costa oeste. Las horas todava muestran 3 p.m., ya que el software EnCase sabe que la hora de almacenamiento es 3 p.m. y que la zona horaria local del examinador es GMT -8.
Opciones de zona horaria para los archivos de caso

(
Note:
) Abra un caso y muestre su contenido. 1. Haga clic en Ver Subfichas de casos Pgina principal . Se mostrar una lista de casos abiertos en el panel de tabla. 2. En este panel, seleccione un caso, haga clic con el botn derecho y elija la opcin de modificacin de la configuracin de hora. Se mostrar el cuadro de dilogo de configuracin de hora del caso.
12
Cuadro de dilogo de configuracin de hora del caso
3. Seleccione las opciones que desee. En la seccin de opciones de zona horaria y las correspondientes subsecciones encontrar ms datos sobre la configuracin de zona horaria.
Carpeta de exportacin
(
Note: La carpeta de exportacin proporciona una ubicacin de destino general donde se guardan los datos copiados de la carpeta de evidencias.
) La carpeta de exportacin se crea de forma predeterminada en la ubicacin del programa, pero el ususrio puede introducir la ruta que desee.
Carpeta temporal
(
Note: La carpeta temporal mantiene los archivos temporales organizados.
13
Las carpetas temporales permiten separar y controlar los archivos temporales que se hayan creado en el transcurso de una investigacin. En la carpeta de destino general se guardan los datos copiados del archivo de evidencia. La carpeta temporal se crea de forma predeterminada en la ubicacin del programa EnCase, pero puede introducir la ruta que desee.

(
Note: El panel Global del cuadro de dilogo Opciones contiene configuracin que se aplica de forma global a la aplicacin EnCase.
Minutos de almacenamiento automtico (0= ninguno) contiene el nmero de minutos que constituye el intervalo entre almacenamientos automticos de los archivos del caso. Los datos guardados automticamente se escriben en archivos *.CBAK.
14
Utilizar la papelera de reciclaje para casos determina si los archivos de copia de seguridad se mueven a la papelera de reciclaje y no se sobrescriben cuando se guarda automticamente el archivo. Activar visor de imgenes determina si se utilizar el visor de imgenes con grficos de formato adecuado. Activar visualizacin de imgenes ART y PNG determina si se muestran los archivos de imagen ART y PNG. Si estos archivos estn daados, pueden provocar el fallo del programa, por lo que esta configuracin permite limitar el impacto de los archivos ART y PNG daados. Indicar archivos perdidos determina si los clsteres perdidos se consideran como espacio sin asignar. Esto reduce el tiempo necesario para acceder al archivo de evidencia. Cuando se activa, todos los clsteres perdidos aparecen en el panel de disco como clsteres sin asignar. Habilitar las imgenes en documento/vista determina si las imgenes se muestran con tecnologa Outside In en el panel de documentacin del panel de visualizacin. Tiempo de espera de imgenes no vlidas (segundos) contiene la cantidad de tiempo que el programa intenta leer un archivo de imagen daado antes de anular la accin. Cuando finaliza el tiempo de lectura, el archivo daado se enva a la memoria cach y no se vuelve a intentar su lectura. Formato de fecha contiene configuraciones relacionadas con el formato de fecha que se utiliza en la aplicacin. MM/DD/AA determina si se utiliza el formato de fecha MM/DD/AA. DD/MM/AA determina si se utiliza el formato de fecha DD/MM/AA. Otro permite especificar un formato de fecha propio. Da actual contiene la fecha actual con el formato de fecha seleccionado. Formato de hora contiene configuraciones relacionadas con el formato de hora que se utiliza en la aplicacin. . 12:00:00PM determina si se utiliza un reloj de 12 horas como base del formato de hora. 24:00:00 determina si se utiliza un reloj de 24 horas como base del formato de hora. Otro permite especificar un formato de hora propio. Hora actual contiene la hora actual con el formato de hora seleccionado.
15
Mostrar verdadero contiene el smbolo utilizado para indicar un valor verdadero en las columnas de tabla mostradas en el panel de tabla del panel de tabla. Mostrar falso contiene el smbolo utilizado para indicar un valor falso en las columnas de tabla mostradas en el panel de tabla del panel de tabla. Archivos de copia de seguridad contiene el nmero mximo de archivos almacenados como archivos de copia de seguridad cuando se guarda un caso. Pgina de cdigos predeterminada contiene el nmero de la pgina de cdigos utilizada para mostrar texto. Registro de depuracin contiene las configuraciones que determinan dnde se registra la depuracin.
16
Cmo guardar nuevos casos

(
Note: Durante una investigacin, se recomienda guardar los casos con frecuencia. Debido a que durante una investigacin se introducen cambios y se recopilan datos, stos se debern guardar en las ubicaciones adecuadas. La funcin de guardado permite hacer esto.
) Para guardar un caso, seleccione Archivo Guardar .
17
Men Guardar con las opciones Guardar como y Guardar todo
Se recomienda guardar regularmente la informacin de un caso.
Guardar
Para guardar un caso, seleccione Archivo Guardar . Cuando se muestre el cuadro de dilogo correspondiente, desplcese hasta la ubicacin que desee, introduzca un nombre en el campo de nombre de archivo y haga clic en Guardar.
Guardar todo
(
Note: Esta funcin permite guardar la totalidad de los casos abiertos y las preferencias, condiciones y filtros.
) Para guardar un caso, seleccione Archivo Guardar todo . Cuando se muestre el cuadro de dilogo correspondiente, desplcese hasta la ubicacin que desee, introduzca un nombre en el campo de nombre de archivo y haga clic en Guardar.
18
Guardar como
(
Note: Esta funcin permite guardar un caso con un nombre diferente, as como guardarlo en un formato de archivo de caso de la versin 5 6.
) Para guardar un caso, seleccione Archivo Guardar como . Cuando se muestre el cuadro de dilogo correspondiente, desplcese hasta la ubicacin que desee, introduzca un nombre en el campo de nombre de archivo y haga clic en Guardar. Para poder trabajar en el caso con la versin 5, seleccione Archivo Case versin 5 (*.case) en el men desplegable Guardar como tipo.
19
Apertura de un caso
(
Note: Abra un caso guardado para continuar con su anlisis o revisarlo.
) 1.
Para abrir un caso, seleccione primero Archivo Abrir . En algunas ocasiones, puede que se muestre el caso deseado en el rea de archivos recientes situada en la parte inferior del men, donde tambin es posible seleccionarlo.
2.
Desplcese hasta el caso y haga clic en Abrir, o bien seleccinelo en la lista de archivos recientes. Tambin puede hacer doble clic en un archivo de caso en el Explorador de Windows para abrirlo.
20
Cerrar caso
(
Note: Cierre los casos cuando no est trabajando en ellos para preservar su integridad.
) 1. 2. 3.
Guarde el caso abierto. En la vista de rbol, site el cursor en un caso abierto. Haga clic en la opcin de cerrar.
Haga clic en S para cerrar el caso. La opcin de cierre tambin est disponible en el men contextual.
Trabajo con evidencias

Tipos de entradas .......................................... 1 Archivos de evidencia EnCase ............. 1 Archivos de evidencia lgica ................. 1 Archivos de imagen sin procesar ......... 2 Archivos nicos ....................................... 2
Sistemas de archivos y sistemas operativos compatibles .......................................................... 2 Pasos previos a la adquisicin del contenido de un dispositivo ................................................. 3 Pasos previos a la adquisicin del contenido de un dispositivo ................................................. 3
Asistente para agregar dispositivos ............. 4 Pgina de orgenes de las sesiones de asistente para agregar dispositivos ...... 4 Pgina de seleccin de dispositivos del asistente para agregar dispositivos ...... 7 Pgina de previsualizacin de dispositivos del asistente para agregar dispositivos ...
9
Adicin de un dispositivo ............................. 10 Adicin de un dispositivo ............................. 10 Finalizacin de la pgina de orgenes ....
1 1 1 1
Finalizacin de la pgina de orgenes .... Finalizacin de la pgina de orgenes de las sesiones .......................................... 12 Finalizacin de la pgina de orgenes de las sesiones .......................................... 12 Finalizacin de la pgina de seleccin de dispositivos ............................................ 13 Finalizacin de la pgina de seleccin de dispositivos ............................................ 13 Finalizacin de la pgina de previsualizacin de dispositivos ......... 13 Finalizacin de la pgina de previsualizacin de dispositivos ......... 13
Previsualizacin ................................................ 14
Indicadores de dispositivo activo y FastBloc
.......................................................................... 15
Previsualizacin del contenido de un dispositivo

.......................................................................... 16

.......................................................................... 16
Adquisicin ......................................................... 16
Tipos de adquisiciones ................................ 17 Adquisicin general .............................. 18 Asistente de adquisiciones .......... 18 La pgina de acciones posteriores a la adquisicin del asistente de adquisiciones ... 18 Pgina de bsqueda del asistente de adquisiciones ....
2 0
Pgina de opciones del asistente de adquisiciones ................... 23 Cuadro de dilogo de resultados de adquisicin .................................... 24 Cmo abrir el asistente de adquisiciones ................................ 25 Cmo abrir el asistente de adquisiciones ................................ 25 Especificacin y ejecucin de una adquisicin .................................... 26 Especificacin y ejecucin de una adquisicin .................................... 26 Finalizacin de la pgina de acciones posteriores a la adquisicin del asistente de adquisiciones ......................... 28 Finalizacin de la pgina de acciones posteriores a la adquisicin del asistente de adquisiciones ......................... 28 Finalizacin de la pgina de bsqueda del asistente de adquisiciones ......................... 29 Finalizacin de la pgina de bsqueda del asistente de adquisiciones ......................... 29 Finalizacin de la pgina de opciones del asistente de adquisiciones ......................... 31 Finalizacin de la pgina de opciones del asistente de adquisiciones ......................... 31 Cancelacin de una adquisicin ....
3 3 2 2
Cancelacin de una adquisicin .... Adquisicin de una unidad local ......... 33
Adquisicin de una unidad local ......... 33 Utilizacin de un protector de escritura

.......................................................... 33
Adquisiciones basadas en Windows con protectores de escritura FastBloc ................. 33 Adquisicin en Windows sin un protector de escritura FastBloc
.................................................. 34
Adquisiciones basadas en Windows con un protector de escritura distinto de FastBloc ....

3 5
Adquisicin de un dispositivo Palm Pilot

.................................................................. 35

.................................................................. 35 Salida del modo de consola ........ 37 Tiempos de adquisicin .............. 38
Adquisicin de unidades no locales .... 38 Adquisiciones de unidad a unidad mediante LinEn ............................. 38 Adquisiciones de unidad a unidad mediante LinEn ............................. 38 Cundo utilizar un cable de paso ....
4 0
Realizacin de una adquisicin o previsualizacin mediante cable cruzado ................................. 40 Realizacin de una adquisicin o previsualizacin mediante cable cruzado ................................. 40 Anlisis hash de la unidad objeto mediante LinEn ............................. 42 Anlisis hash de la unidad objeto mediante LinEn ............................. 42 Adquisicin de un disco que se ejecuta en modo ATA directo ...... 43 Adquisicin de un disco que se ejecuta en modo ATA directo ...... 43 Adquisicin de configuraciones de disco
.................................................................. 43 RAID de software ......................... 44
Windows NT: configuraciones de disco de software .................. 44 Disco dinmico ...................... 46 Configuracin de disco de hardware
.......................................................... 47
Conjunto de configuracin del disco adquirido como una unidad

.................................................. 47
Configuraciones de disco adquiridas como unidades diferentes ............................... 48 Para adquirir una configuracin de disco como un disco ....... 49 Para adquirir una configuracin de disco como un disco ....... 49 Para adquirir una configuracin de disco como un disco ....... 49 Validacin de paridad en una matriz RAID-5 ........................ 49 RAID -10 ................................ 49 Adquisicin de imgenes de PC virtual ...
4 9
Compatibilidad con archivos de CD-DVD Inspector ................................................ 50 Adquisicin de imgenes de SlySoft CloneCD ................................................ 50 Adquisicin de un volumen DriveSpace
.................................................................. 51
Adquisicin de un volumen DriveSpace

.................................................................. 51
Nueva adquisicin de evidencias ............... 51 Nueva adquisicin de un archivo de evidencia ............................................... 52 Nueva adquisicin de un archivo de evidencia ............................................... 52 Adicin de archivos de evidencia sin procesar
.......................................................................... 53
Adicin de archivos de evidencia sin procesar

.......................................................................... 53
Archivos de evidencia lgica ......................... 54

Asistente Crear archivo de evidencia lgica ...
5 5
Pgina de orgenes del asistente Crear archivo de evidencia lgica ................ 56 Pgina Resultados de Crear archivo de evidencia lgica .................................... 57 Creacin de un archivo de evidencia lgica ...
5 5 9 9
Creacin de un archivo de evidencia lgica ...
Recuperacin de carpetas ............................. 59
Recuperacin de carpetas en volmenes FAT

.......................................................................... 60
Recuperacin de carpetas NTFS ............... 61 Recuperacin de particiones UFS y EXT2/3

.......................................................................... 63
Recuperacin de carpetas de una unidad formateada .................................................... 64
Recuperacin de particiones ........................ 64

Cmo agregar particiones ........................... 65
Restauracin de evidencias .......................... 67

Diferencias entre las restauraciones fsica y lgica ............................................................. 68 Preparacin del medio de destino ...... 69 Restauracin fsica ............................... 69 Restauracin lgica .............................. 73 Arranque de la unidad de disco duro restaurada ............................................. 74 El disco restaurado no arranca .... 75
Tipos de entradas
(
Note: Las entradas son archivos de evidencia y otros tipos de archivos que contienen evidencia digital una vez que se han agregado los archivos a un caso.
) Existen cuatro clases de evidencias que contienen archivos compatibles con las aplicaciones EnCase: Archivos de evidencia EnCase (E01) Archivos de evidencia lgica (LEF/L01) Imgenes sin procesar Archivos nicos, incluidos directorios Estos archivos se adquieren o bien se agregan a un caso. Antes de agregar evidencia digital a un caso, se debe previsualizar.
Archivos de evidencia EnCase

(
Note: Los archivos de evidencia EnCase (E01) incluyen el contenido de un dispositivo adquirido y proporcionan la base para el posterior anlisis.
) Los archivos de evidencia Encase integran metadatos de investigacin, el valor hash del dispositivo y el contenido de un dispositivo adquirido. Esta integracin simplifica la manipulacin de evidencias y los esfuerzos de investigacin, ya que conserva juntos el valor hash del dispositivo y su contenido y simplifica el esfuerzo necesario para verificar que la evidencia no ha cambiado desde su recopilacin en un dispositivo objeto. Al arrastrar y soltar un archivo E01 en la interfaz de EnCase, el archivo se agrega al caso actualmente abierto.
Archivos de evidencia lgica

(
Note:
) Los archivos de evidencia lgica (LEF/L01) se crean a partir de archivos resultado de una previsualizacin o de archivos de evidencia existentes. Habitualmente se crean despus de que el anlisis de evidencia localice alguna evidencia digna de mencin. Cuando se verifican los archivos LEF, el valor hash almacenado del archivo se compara con el valor hash actual de las entradas.
Si el valor hash del contenido actual no coincide con el almacenado, mostrar un asterisco a continuacin. Si no se haba almacenado ningn contenido para la entrada al crear el archivo LEF, pero se haba almacenado un valor hash, el valor hash no se comparar con el valor del archivo vaco. Si no se haba almacenado ningn valor hash para la entrada al crear el archivo LEF, no se realizar ninguna comparacin y no se incluir un nuevo valor hash.
Archivos de imagen sin procesar

(
Note: Los archivos de imagen sin procesar contienen una recopilacin de archivos pero les falta la integracin de metadatos y valores hash de compresin que proporciona el archivo de evidencia EnCase.
) Para adquirir archivos de imagen sin procesar, se deben agregar a un caso. Generalmente se utiliza el comando dd de Linux para generar archivos de imagen sin procesar. Estos archivos se pueden adquirir despus de agregarlos a un caso. Durante la adquisicin, se puede calcular el valor hash y comprimir un archivo de imagen sin procesar. Una vez adquirido, el archivo de imagen sin procesar se incorpora a un archivo de evidencia EnCase.
Archivos nicos
(
Note: Despus de seleccionar la opcin de activacin de archivos nicos, se pueden agregar archivos individuales al caso.
) En un caso se puede agregar cualquier tipo de archivo compatible con una aplicacin EnCase. Esto se puede llevar a cabo con la interfaz o mediante una operacin arrastrar y soltar. Cuando se agregan archivos, aparecen en el panel de visualizacin. Tambin se puede agregar a un caso una carpeta con archivos. Esto slo se puede llevar a cabo mediante una operacin arrastrar y soltar. Cuando se agregan carpetas, stas aparecen en el rbol de entradas y en la tabla de entradas. Los archivos individuales de la carpeta slo aparecern en la tabla de entradas.
Sistemas de archivos y sistemas operativos compatibles

(
Note:
) Las aplicaciones EnCase organizan la evidencia digital en un caso asociado. La evidencia digital se previsualiza y, posiblemente, se adquiere. Una vez que la evidencia digital se ha adquirido o agregado a un caso, se puede analizar. En esta versin se ha agregado compatibilidad con el sistema de archivos Novell, el sistema de archivos UFS2, los archivos de imagen DMG de Mac y un analizador NTFS actualizado. La compatibilidad con DOS se ha eliminado, ya que la adquisicin entre unidades debe efectuarse ahora con la utilidad LinEn.
Pasos previos a la adquisicin del contenido de un dispositivo

(
Note: Para poder adquirir el contenido de un dispositivo, es necesario agregar el dispositivo y previsualizar el contenido del mismo.
) Para poder empezar a agregar, previsualizar o adquirir el contenido de un dispositivo, es necesario que el caso asociado al dispositivo se encuentre abierto. Para adquirir el contenido de un dispositivo: 1. Agregue el dispositivo mediante el asistente para agregar dispositivos. 2. En la ventana principal de EnCase, previsualice el contenido del dispositivo. De esta forma ya est preparado para adquirir el contenido del dispositivo como un archivo de evidencia EnCase del caso que se encuentre abierto.
Asistente para agregar dispositivos

(
Note: El asistente para agregar dispositivos se utiliza para agregar un dispositivo para una adquisicin posterior.
) El asistente para agregar dispositivos consta de las siguientes pginas: Pgina de orgenes Pgina de orgenes de las sesiones (opcional) Pgina de seleccin de dispositivos Pgina de previsualizacin de dispositivos Es necesario que un caso est abierto antes de poder abrir el asistente para agregar dispositivos.
El asistente para agregar dispositivos
Pgina de orgenes de las sesiones de asistente para agregar dispositivos

(
Note: Cuando la opcin de sesiones est activa, se pueden agregar archivos de evidencia al rbol de orgenes. Los archivos de evidencia se pueden agregar mediante el cuadro de dilogo para agregar lista de texto o mediante el explorador para agregar archivos de evidencia.
Pgina de orgenes de sesiones del asistente para agregar dispositivos
Sesiones: al hacer clic en Siguiente, permite abrir la pgina de orgenes de las sesiones del asistente para agregar dispositivo. Agregar lista de texto: permite abrir el cuadro de dilogo para agregar lista de texto, que contiene una lista con las rutas a los archivos de evidencia que se van a agregar por lotes al rbol de orgenes. Agregar archivos de evidencia: permite abrir el explorador para agregar archivos de evidencia, donde podr introducir la ruta y el nombre de archivo para poder agregar los archivos de evidencia individualmente al rbol de orgenes. Este explorador de archivos permite agregar los siguientes tipos de archivos: Archivo de evidencia (.E01) Archivo SafeBack (.001) Archivo VMware (.VMDK) Archivo de evidencia lgica (.L01) Archivo de PC virtual (.VHD) Archivo fantasma (.GHO) rbol de orgenes: permite organizar las carpetas utilizadas para almacenar los archivos de evidencia agregados como listas de lotes de archivos o archivos individuales. Las carpetas de este rbol se pueden organizar jerrquicamente como desee.
Objeto raz de orgenes: contiene las carpetas predeterminadas y las carpetas agregadas por el usuario que organiza los archivos de evidencia, tanto las agregadas como las que estn por agregar al rbol de orgenes. Los comandos del men contextual de este objeto permiten Agregar una nueva carpeta como elemento secundario. Expandir o contraer el rbol de subordinados. Los objetos secundarios de este objeto que aparezcan en el rbol, aparecern como entradas en el panel de tabla. Para organizar jerrquicamente los elementos secundarios de este objeto, arrastre y suelte las carpetas una dentro de otra. Seleccin actual: Este objeto es un elemento secundario predeterminado del objeto raz de orgenes. Contiene todos los archivos de evidencia agregados al rbol de orgenes durante la sesin o invocacin actual del asistente para agregar dispositivos. La prxima vez que se abra el asistente para agregar dispositivos, los archivos de evidencia que aparecan aqu se movern a la carpeta ltima seleccin, y esta carpeta quedar vaca. El men contextual de este objeto permite Eliminar este objeto. Cambiar el nombre de este objeto. Agregar una nueva carpeta como elemento secundario. Expandir o contraer el rbol de subordinados. Los objetos secundarios de este objeto que aparezcan en el rbol, aparecern como entradas en el panel de tabla. Para organizar jerrquicamente los elementos secundarios de este objeto, arrastre y suelte las carpetas una dentro de otra.
ltima seleccin es un elemento secundario predeterminado del objeto raz de orgenes. Contiene todos los archivos de evidencia agregados al rbol de orgenes durante la sesin o invocacin anterior del asistente para agregar dispositivos. La prxima vez que se abra al asistente para agregar dispositivos, los archivos de evidencia que aparecan en la carpeta de seleccin actual se movern a esta carpeta, y todos los archivos de evidencia anteriores se eliminarn de la carpeta. Los archivos de evidencia agregados se seguirn utilizando como orgenes hasta que se eliminen individualmente, independientemente de si aparecen o no en las carpetas de seleccin. Los comandos del men contextual de este objeto permiten Eliminar este objeto. Cambiar el nombre de este objeto. Agregar una nueva carpeta como elemento secundario. Expandir o contraer el rbol de subordinados. Los objetos secundarios de este objeto que aparezcan en el rbol, aparecern como entradas en el panel de tabla. Para organizar jerrquicamente los elementos secundarios de este objeto, arrastre y suelte las carpetas una dentro de otra. El panel de tabla muestra los elementos secundarios del objeto seleccionado actualmente en el rbol de orgenes como entradas de la tabla. Los comandos del men contextual de este objeto permiten: Copiar una entrada para utilizarla en otro sitio; la entrada copiada no se puede pegar en la tabla Eliminar una entrada Cambiar el nombre o editar una entrada Desplazarse al objeto principal del objeto que contiene la entrada.
Pgina de seleccin de dispositivos del asistente para agregar dispositivos

(
Note: Una vez definidos los dispositivos locales, se selecciona un subconjunto de los dispositivos definidos para poder agregarlos a un caso.
La pgina de seleccin de dispositivos del asistente para agregar dispositivos
El rbol de dispositivos organiza las definiciones de dispositivos que se agregarn al caso. El objeto raz de dispositivos contiene las carpetas predeterminadas que reflejan los tipos de dispositivos definidos por el momento en el proceso para agregar dispositivos. Los comandos del men contextual de este objeto determinan qu objetos aparecern en el rbol de orgenes. Las entradas aparecern en el panel de tabla cuando el objeto est seleccionado. El objeto de unidades locales contiene el conjunto actual de instancias secundarias del tipo de dispositivo de unidades locales que aparecen como entradas en el panel de tabla. Los comandos del men contextual de este objeto determinan qu objetos aparecern en el rbol de orgenes. Las entradas aparecern en el panel de tabla cuando el objeto est seleccionado. El panel de tabla muestra los elementos secundarios del objeto seleccionado actualmente en el rbol de orgenes como entradas de la tabla. Los comandos del men contextual de este objeto permiten:
Alternar el valor de la columna para leer el sistema de archivos. Copiar una entrada para utilizarla en otro sitio, ya que la entrada copiada no se puede pegar en la tabla. Seleccionar una entrada. Editar una entrada. Desplazarse al objeto principal del objeto que contiene la entrada. La columna de seleccin de dispositivos contiene una casilla de verificacin para cada fila, que se utiliza para seleccionar el dispositivo asociado a la fila. Una vez seleccionado, el dispositivo se agrega al caso tras hacer clic en Siguiente. Si la columna para leer el sistema de archivos no est seleccionada, el sistema de archivos se lee como un archivo sin formato desde el 0 hasta el ltimo sector. Se perdern los archivos, las carpetas y cualquier otra estructura del sistema de archivos.
Pgina de previsualizacin de dispositivos del asistente para agregar dispositivos

(
Note: En esta pgina aparece una lista de los dispositivos elegidos para ser agregados por el asistente para agregar dispositivos.
La pgina de previsualizacin de dispositivos del asistente para agregar dispositivos
El panel de tabla muestra una lista de los dispositivos que se van a agregar tras hacer clic en Siguiente.
10
En las filas de las entradas de la tabla aparecen los detalles del dispositivo definido en dicha fila. En el men contextual de cada fila existen comandos que permiten: Alternar la configuracin de lectura del sistema de archivos de la entrada para la que se ha abierto el men contextual. Copiar la entrada. Editar la entrada, incluido el valor de lectura del sistema de archivos. La mejor forma de seleccionar o activar la lectura del sistema de archivos es a travs del comando de edicin. Si se anula la seleccin de la columna para leer el sistema de archivos, el sistema de archivos se lee como un archivo sin formato desde el 0 hasta el ltimo sector. Se perdern los archivos, las carpetas y cualquier otra estructura del sistema de archivos.
Adicin de un dispositivo
(
Note: Los dispositivos agregados mediante el asistente para agregar dispositivos determinan el tipo de adquisicin que se va a realizar. El principal determinante es el tipo de dispositivo definido en la pgina de orgenes del asistente para agregar dispositivos. El proceso de adicin de un dispositivo vara una vez seleccionado el tipo de dispositivo.
) Es necesario que haya un caso abierto para poder agregar dispositivos al mismo. Cuando un caso se encuentra abierto, se muestra el botn para agregar dispositivos en la barra de paneles de la ventana principal. Para agregar un dispositivo: 1. Haga clic en Agregar dispositivo. Se mostrar la pgina de orgenes del asistente para agregar dispositivos. En el rbol de orgenes, el objeto Local se encuentra seleccionado y los tipos de dispositivos locales se muestran en el panel de tabla. 2. Complete la pgina de orgenes del asistente para agregar dispositivos de acuerdo con sus necesidades y haga clic en Siguiente. Si se ha activado la opcin de sesiones en la pgina de orgenes del asistente para agregar dispositivos, se mostrar la pgina de orgenes de las sesiones de este asistente. En caso contrario, se mostrar la pgina de seleccin de dispositivos.
11
3.
Si se ha activado la opcin de sesiones en la pgina de orgenes, complete la pgina de orgenes de las sesiones del asistente para agregar dispositivos y haga clic en Siguiente. Se mostrar la pgina de seleccin de dispositivos. 4. Complete la pgina de seleccin de dispositivos del asistente para agregar dispositivos de acuerdo con sus necesidades y haga clic en Siguiente. Se mostrar la pgina de previsualizacin de dispositivos. 5. Complete la pgina de previsualizacin de dispositivos de acuerdo con sus necesidades y haga clic en Siguiente. Los dispositivos definidos y seleccionados en el asistente para agregar dispositivos se agregan al caso abierto en la actualidad. De esta forma, es posible previsualizar y adquirir los dispositivos agregados al caso.
Finalizacin de la pgina de orgenes

(
Note: La pgina de orgenes del asistente para agregar dispositivos permite determinar los tipos de dispositivos agregados al caso, as como los archivos de evidencia agregados al caso.
) Para poder completar la pgina de orgenes, es necesario que haya un caso abierto y que se muestre la pgina de orgenes del asistente para agregar dispositivos. Para realizar una adquisicin local, consulte Adquisicin de una unidad local. Para realizar la adquisicin de una Palm Pilot, consulte Adquisicin de un dispositivo Palm Pilot. Para realizar una adquisicin de red mediante cable cruzado, consulte Adquisiciones de unidad a unidad mediante LinEn. Para completar la pgina de orgenes del asistente para agregar dispositivos: 1. Si se va a adquirir o previsualizar una unidad local, con el objeto Local seleccionado en el rbol de orgenes, haga clic en la casilla de seleccin correspondiente a las unidades locales del panel de tabla. 2. Si se va a adquirir o previsualizar un dispositivo Palm Pilot, con el objeto Local seleccionado en el rbol de orgenes, conecte la Palm Pilot, active el modo de consola y, a continuacin, en el panel de tabla, haga
12
3.
4.
5.
clic en la casilla de seleccin correspondiente a la Palm Pilot. Si se va a adquirir o previsualizar una red mediante cable cruzado, con el objeto Local seleccionado en el rbol de orgenes, inicie la adquisicin de la conexin cruzada mediante LinEn y, en el momento adecuado, establezca la conexin cruzada y, en el panel de tabla, haga clic en la casilla de seleccin correspondiente a la adquisicin de red cruzada. Si se van a agregar archivos de evidencia al archivo de caso, seleccione la opcin de sesiones. Se mostrar la pgina de orgenes de las sesiones despus de hacer clic en Siguiente. Haga clic en la opcin Siguiente. Si se ha seleccionado la opcin de sesiones, se mostrar la pgina de orgenes de las sesiones; en caso contrario, se mostrar la pgina de seleccin de dispositivos.
Finalizacin de la pgina de orgenes de las sesiones

(
Note: Una vez completada la pgina de orgenes del asistente para agregar dispositivos, se mostrar la pgina de orgenes de las sesiones.
) Para poder realizar esta tarea, es necesario que se haya abierto un caso, que un dispositivo se encuentre en pleno proceso de adicin al mismo y que la opcin de sesiones se haya seleccionado en la pgina de orgenes del asistente para agregar dispositivos. Para completar la pgina de orgenes de las sesiones del asistente para agregar dispositivos, realice el procedimiento siguiente: 1. Realice cualquiera de las operaciones siguientes de acuerdo con sus necesidades. En el Explorador de Windows, seleccione un archivo de evidencia y sultelo en esta pgina. Para agregar una lista de archivos de evidencia, realice el procedimiento siguiente: 1. Haga clic en Agregar lista de texto. 2. Introduzca la ruta y el nombre de archivo de todos los archivos de evidencia que se agregarn mediante el uso de la lista. 3. Haga clic en Aceptar.
13
Para agregar un solo archivo de evidencia a travs del explorador de archivos, realice el procedimiento siguiente: 1. Haga clic en Agregar archivo de evidencia. 2. Desplcese hasta la ubicacin, o bien introduzca la ruta y el nombre del archivo de evidencia que se agregar. 1. Haga clic en Aceptar. 2. Realice una de las tareas siguientes: Si es necesario agregar ms dispositivos, desactive la opcin de sesiones. Si se han agregado todos los dispositivos, haga clic en Siguiente. Si se ha desactivado la opcin de sesiones, se mostrar la pgina de seleccin de dispositivos; en caso contrario, se mostrar la pgina de orgenes.
Finalizacin de la pgina de seleccin de dispositivos

(
Note: En esta pgina se muestran los dispositivos definidos que se pueden agregar al caso mediante el asistente para agregar dispositivos.
) En este momento de la fase de adquisicin, ya se han agregado los dispositivos de origen al asistente para agregar dispositivos. Para seleccionar el subconjunto de dispositivos que se agregarn: 1. Con un objeto de entidad seleccionado en el panel de rbol, active o desactive en el panel de tabla la casilla de verificacin de la columna de seleccin de dispositivos correspondiente a cada uno de los orgenes mostrados para seleccionar los orgenes que se agregarn al caso. 2. Haga clic en la opcin Siguiente. Se mostrar la pgina de previsualizacin de dispositivos del asistente para agregar dispositivos.
Finalizacin de la pgina de previsualizacin de dispositivos

(
Note: En esta pgina slo se muestran los dispositivos seleccionados de entre todos los definidos inicialmente.
) Se ha seleccionado un subconjunto de archivos de evidencia y dispositivos definidos para agregarlos al caso.
14
Para verificar que la lista de dispositivos que se va a agregar es correcta, realice el procedimiento siguiente: 1. Revise todas las filas del panel de tabla y, si es necesario modificar los atributos de los dispositivos, realice el procedimiento siguiente: 1. Haga clic con el botn derecho en la fila que contenga el dispositivo cuyos atributos desee cambiar y, a continuacin, haga clic en Editar. Se mostrar el cuadro de dilogo de atributos de dispositivo. 2. Introduzca los cambios que desee. 2. Si se va a adquirir el dispositivo como un archivo sin formato, desactive Leer sistema de archivos. 3. Haga clic en Aceptar. Los cambios introducidos en el cuadro de dilogo de atributos de dispositivo se mostrarn en el panel de tabla. 4. Si la lista de dispositivos que se va a agregar es correcta y completa, haga clic en Siguiente; en caso contrario, haga clic en Atrs y revise los valores segn sea necesario. De esta forma, se agregan al caso los dispositivos definidos en el asistente para agregar dispositivos.
15
Previsualizacin
(
Note: Antes de una investigacin se lleva a cabo la previsualizacin; as, el investigador puede determinar si debe adquirir el dispositivo. La previsualizacin no es opcional, aunque el investigador determina su alcance. Durante una previsualizacin, el contenido del dispositivo se puede analizar de la misma forma que si se hubiese adquirido.
) Un dispositivo de proteccin de escritura, como el protector de escritura FastBloc, impedir el cambio del dispositivo objeto. Si no se dispone de un dispositivo de proteccin de escritura, resulta til la previsualizacin con un cable de red de paso. Gracias a la previsualizacin, el investigador no tiene que esperar a que finalice una investigacin para realizar un examen preliminar. Mientras se previsualiza, se pueden ejecutar bsquedas de palabra clave, crear marcadores, realizar operaciones de copia y recuperacin as como otras funciones de anlisis. Estos resultados de bsqueda y marcadores se pueden grabar en un archivo de caso; sin embargo, cada vez que se abre el caso, el medio objeto debe conectarse fsicamente al equipo del investigador.
Indicadores de dispositivo activo y FastBloc

(
Note: En el panel de entradas del panel de tabla y en la pgina de dispositivos de previsualizacin del asistente para agregar dispositivos, los indicadores grficos marcan los dispositivos previsualizados o bloqueados con Fast Bloc u otro dispositivo de proteccin de escritura.
) El smbolo de un tringulo azul en la esquina inferior derecha del icono del dispositivo indica que se trata de un dispositivo previsualizado. Un cuadrado azul en torno al icono del dispositivo indica que ste est protegido contra escritura por FastBloc.
16
Dispositivos previsualizados y protegidos contra escritura por FastBloc

(
Note:
) Una vez que se han agregado los archivos de evidencia y los dispositivos al archivo de caso, es posible previsualizar los dispositivos antes de su adquisicin. Cuando se escribe inicialmente un archivo en un CD multisesin, se le asigna un desfase. Cuando se modifica ese mismo archivo, se vuelve a escribir en el CD como un nuevo archivo en la nueva sesin, pero con el mismo desfase. A todas las revisiones que se realicen del archivo inicial se les asigna el mismo desfase. Es posible ver el archivo y sus revisiones. Dado que el desfase se utiliza para asociar marcadores a la entidad marcada, los marcadores de contenido de los CD multisesin vuelven a montar el primer archivo que se encuentre con este desfase al volver a abrir el caso. El dispositivo que incluya el contenido que se desea previsualizar se ha agregado al caso. Para previsualizar el contenido de un dispositivo agregado al caso abierto en la actualidad: 1. En el panel de rbol o en el panel de tabla de la ventana principal, fjese en el icono del dispositivo previsualizado para comprobar si est activo o bloqueado contra escritura. 2. Ejecute cualquier anlisis de evidencia necesario para determinar si se debe adquirir un dispositivo. 3. Adquiera el dispositivo una vez que se haya determinado la necesidad de hacerlo.
17
Adquisicin
(
Note: Despus de agregar un dispositivo, se puede adquirir su contenido. Adems de la adquisicin, se pueden agregar al caso los archivos de evidencia EnCase y los archivos de evidencia sin procesar. Los archivos de evidencia sin procesar se pueden volver a adquirir; de esta forma se convierten en archivos de evidencia EnCase completos, con metadatos y valores hash. Tambin se pueden adquirir Palm Pilots. Asimismo, la utilidad LinEn proporciona la capacidad para realizar un cruce de redes. EnCase Enterprise Field Intelligence Model en colaboracin con LinEn se puede utilizar para realizar adquisiciones entre discos. Tambin se pueden agregar los archivos de evidencia EnCase que se originan en otros casos.
) En esta seccin se tratarn todas estas adquisiciones.
Tipos de adquisiciones
(
Note: Existen varios tipos de adquisiciones que permiten crear archivos de evidencia EnCase (E01) y asociar estos archivos al caso que se encuentra abierto actualmente. Existen varios tipos adicionales de archivos de evidencias digitales asociados al caso que se encuentra abierto actualmente que no implican adquisiciones, excepto cuando se vuelve a realizar una adquisicin. En este caso, existen archivos de evidencia lgica (LEF) que se han creado, por lo general, durante una previsualizacin.
) Las fuentes locales para las adquisiciones crean archivos E01. Las fuentes locales incluyen los siguientes elementos Unidades locales (con un protector contra escritura) Palm Pilot Cruce de redes (LinEn) Dispositivos locales (LinEn de disco a disco) Los archivos de evidencia se agregan a travs de la interfaz. Los archivos de evidencia implicados incluyen aqullos creados a partir de una adquisicin LinEn de disco a disco. Los archivos de evidencia que se han creado inicialmente para otros casos se pueden agregar tambin al caso que se encuentra abierto actualmente. Para realizar una adquisicin de cruce de redes se necesita tanto la aplicacin EnCase como LinEn. Las adquisiciones LinEn de disco a disco permiten crear archivos de evidencia de manera segura en el entorno Linux sin necesidad de un protector contra escritura.
18
Si arrastra y suelta un archivo, ste se agregar como un nico archivo en lugar de como un archivo de evidencia. Si arrastra y suelta un archivo de evidencia, ste se agregar al caso como un archivo de evidencia. Las adquisiciones tpicas de EnCase consisten en la adquisicin de una unidad local con Windows y un protector de escritura FastBloc.
Adquisicin general
(
Note:
) La adquisicin general es la adquisicin del dispositivo local mediante Windows y un protector de escritura FastBloc. Asistente de adquisiciones (
Note:
) El asistente de adquisiciones se utiliza para realizar adquisiciones. Antes de que se pueda realizar una adquisicin del contenido de un dispositivo, es necesario agregar el dispositivo al caso mediante el asistente para agregar dispositivos. El asistente de adquisicin captura las especificaciones para la adquisicin. En el asistente aparecen las siguientes pginas: Pgina de acciones posteriores a la adquisicin Pgina de bsqueda (opcional) Pgina de opciones Los detalles del uso de estas pginas se explican en sus temas individuales. El asistente de adquisiciones
La pgina de acciones posteriores a la adquisicin del asistente de adquisiciones
(
Note: La pgina de acciones posteriores a la adquisicin del asistente de adquisiciones se utiliza para facilitar la adquisicin de discos
19
sucesivos; para activar el anlisis de firma, hash y bsqueda para que inicie automticamente una vez que se haya completado la adquisicin; para determinar qu le ocurre a la nueva imagen; y para reiniciar la adquisicin cancelada.
)
La pgina de acciones posteriores a la adquisicin del asistente de adquisiciones.
La opcin de adquisicin de otro disco permite al investigador trabajar con una serie de adquisiciones, por lo general, contenido de disquetes, sin agregar un nuevo dispositivo para cada adquisicin. Si se selecciona, la opcin de reemplazo de dispositivo de origen se desactiva, y se activa el anlisis de firma, hash y bsqueda. La opcin de anlisis de firma, hash y bsqueda abre la pgina de bsqueda del asistente de adquisiciones, donde se define el anlisis de firma, hash y bsqueda, tras hacer clic en Siguiente. Los controles de nuevo grupo de archivos de imagen de este grupo determinan cmo se va a guardar la recin adquirida imagen. El reemplazo del dispositivo de origen es la opcin predeterminada. La opcin de no agregar hace que la imagen recin adquirida no se agregue al caso que se encuentra abierto actualmente. La opcin de agregar al caso agrega la imagen recin adquirida al archivo de caso asociado al dispositivo, desde el que se tom la imagen. La opcin de reemplazo de dispositivo de origen agrega la imagen recin adquirida al caso y elimina el dispositivo previsualizado, desde el que se hizo la adquisicin. La opcin de reinicio de adquisicin permite al investigador reiniciar una adquisicin cancelada. Si la adquisicin se interrumpe, pero no se cancela, dicha adquisicin no se podr reiniciar. Si se selecciona, el archivo de evidencia existente y su botn de exploracin asociado se activarn, por lo que el archivo que contiene los datos de la adquisicin cancelada se podr utilizar durante la adquisicin actual para acelerar la adquisicin, y as el conjunto incompleto que contiene el archivo cancelado se podr reemplazar por un conjunto que contenga todos los datos.
20
El archivo de evidencia existente contiene la ruta y el nombre del archivo de evidencia cuya adquisicin se cancel durante una adquisicin anterior. El archivo de evidencia existente ser reemplazado por la adquisicin que se est llevando a cabo. El explorador de archivos de evidencia existentes abre el explorador del sistema de archivos de Windows para capturar la ruta y el nombre del archivo de evidencia existente.
Pgina de bsqueda del asistente de adquisiciones
(
Note:
) La pgina de bsqueda del asistente de adquisiciones se utiliza para realizar las acciones que se especifican a continuacin como parte del proceso de adquisicin: realizar bsquedas en todo el caso, definir una bsqueda de palabras clave, definir una bsqueda de correo electrnico, calcular valores hash, verificar firmas de archivos, identificar pginas de cdigos y realizar bsquedas en el historial de Internet. A la larga, estas bsquedas y estos anlisis aumentan el tiempo necesario para realizar la adquisicin. En el caso de adquisiciones largas, estas bsquedas se pueden realizar de forma independiente desde la adquisicin una vez que la adquisicin se ha completado.
21
La pgina de bsqueda del asistente de adquisiciones
Buscar en todo el caso determina si la bsqueda se va a realizar en todas las entradas del caso, en lugar de slo en el contenido del dispositivo que se va a adquirir. Opciones de bsqueda con palabras clave contiene los controles utilizados para definir una bsqueda de palabras clave que se llevar a cabo mientras se adquiere el contenido del dispositivo. Buscar cada entrada para las palabras clave determina si se buscarn las palabras clave en cada archivo o carpeta del caso. Esta opcin tambin activa la opcin para buscar en el espacio muerto de los archivos, la opcin para utilizar tamao inicializado, la opcin para restaurar archivos antes de buscar y la opcin para buscar slo en el espacio muerto de los archivos de la biblioteca hash. Buscar cada registro para las palabras clave busca las palabras clave en todos los elementos de la ficha de registros (correo electrnico, cach de Internet, historial de Internet). Esta bsqueda es ms lenta. Esta opcin tambin activa slo las palabras clave seleccionadas.
22
Slo las palabras clave seleccionadas limita el nmero de palabras clave utilizadas durante la bsqueda de palabras clave al nmero de palabras clave seleccionado que aparece en el nmero de palabras clave. Buscar en el espacio muerto de los archivos determina si el espacio muerto de los archivos se incluir en la bsqueda de palabras clave. Utilizar tamao inicializado determina si se va a utilizar el tamao inicializado del dispositivo durante la bsqueda de palabras clave. Restaurar archivos antes de buscar determina si los archivos eliminados se restaurarn antes de realizar la bsqueda de palabras clave en ellos. Buscar slo en el espacio muerto de los archivos de la biblioteca hash determina si se realizarn bsquedas en los espacios muertos de los archivos incluidos en la biblioteca hash. Opciones de hash contiene los controles utilizados para calcular los valores hash. Calcular valor hash determina si se calcular un valor hash. Volver a calcular valor hash determina si se volver a calcular un valor hash. Si se vuelven a calcular los valores hash, se volver a calcular aunque los valores hash ya estn presentes. Opciones de bsqueda de correo electrnico contiene los controles utilizados para definir una bsqueda de correo electrnico que se llevar a cabo mientras se adquiere el contenido del dispositivo. Buscar correo electrnico determina si se realizar una bsqueda de correo electrnico. Esta opcin tambin activa los controles que determinan el tipo de correo electrnico que se buscar. Elementos eliminados recuperados determina si se recuperar el correo electrnico eliminado que permanece en el archivo PST desde la ltima operacin compacta. Outlook (PST) incluye los archivos .pst en la bsqueda. Outlook Express (DBX) incluye los archivos .dbx en la bsqueda. Exchange (EDB) incluye los archivos .edb en la bsqueda. Lotus (NSF) incluye los archivos .nsf en la bsqueda. AOL incluye los archivos de correo electrnico de AOL en la bsqueda.
23
MBOX incluye los archivos de correo electrnico de MBOX en la bsqueda. Opciones adicionales contiene controles que determinan qu anlisis adicional se realizar en el contenido que se va a adquirir durante la adquisicin. Verificar firmas de archivos determina si las firmas de archivo se verificarn durante la adquisicin. Identificar pginas de cdigos determina si se realizar un intento de identificar las pginas de cdigos durante la adquisicin. Si se activa esta opcin, el software intentar determinar la pgina de cdigos de cada archivo, y guardar las pginas de cdigos para utilizarlas ms adelante en el panel de visualizacin cuando aparezca el contenido del archivo. Buscar historial de Internet determina si los archivos de historial de Internet se buscarn durante la adquisicin.
Pgina de opciones del asistente de adquisiciones
(
Note: La pgina de opciones del asistente de adquisiciones define los metadatos y los distintos aspectos de la imagen generada por la adquisicin, que constituye el archivo de evidencia EnCase producido por la adquisicin.
)
La pgina de opciones del asistente de adquisiciones
24
El nombre contiene el nombre del archivo de evidencia EnCase que contendr la imagen resultante de la adquisicin del dispositivo subyacente. El nmero de evidencia contiene el nmero asignado por el investigador al archivo de evidencia EnCase producido por la adquisicin que se va a definir. Las notas contienen las notas del investigador en relacin con este archivo de evidencia EnCase. El tamao de segmento de archivo determina el tamao de segmento de los archivos de evidencia. Resulta til para controlar el tamao de los archivos de evidencia. El sector de inicio determina el primer sector del contenido que desea adquirir. El sector de detencin determina el ltimo sector del contenido que desea adquirir. La contrasea determina si el archivo de evidencia EnCase estar protegido mediante contrasea y qu contrasea se utilizar en caso de utilizar dicha proteccin. Si introduce una contrasea, se activar la opcin de confirmacin de contrasea. Esta contrasea no se puede restablecer. El tamao de bloque determina el tamao de bloque del contenido para el que se estn calculando los valores CRC. La granularidad de error determina la parte del bloque que se eliminar si se encuentra un error. La granularidad de error ser como mximo el mismo valor que el tamao de bloque, o una fraccin par del tamao de bloque. La nueva adquisicin rpida permite realizar una nueva adquisicin rpidamente para cambiar el tamao de segmento de archivo, o aplicar o eliminar una contrasea. La lectura anticipada lee el contenido adquirido, de tal modo que los valores CRC o los errores que se pueden producir errores antes de la adquisicin del bloque se pueden calcular o se les puede aplica el algoritmo hash. La ruta de salida determina la ruta o el nombre de archivo donde se escribe el archivo de evidencia EnCase resultante de la adquisicin. La ruta alternativa contiene, la ruta y el nombre de archivo de un volumen de destino alternativo donde se almacenar el archivo de evidencia EnCase si la primera ubicacin se queda sin espacio en disco. Cuadro de dilogo de resultados de adquisicin (
25
Note: Este cuadro de dilogo aparece mientras se est realizando una adquisicin.
) El cuadro de dilogo de resultados de adquisicin
La consola enva los mensajes de estado que aparecen en el cuadro de dilogo al panel de consola de la vista. La nota escribe el contenido del mensaje de estado en una nota de marcador que contiene el dispositivo y el archivo de evidencia EnCase que se va a adquirir. El registro agrega los mensajes de estado que aparecen a un registro de marcador. Cmo abrir el asistente de adquisiciones (
Note: Inicia el proceso de crear un archivo de evidencia de EnScript.
) El caso asociado con el archivo de evidencia EnCase debe estar abierto antes de adquirir un archivo de evidencia EnCase. El dispositivo desde el cual se adquiere el contenido deber estar ya agregado al caso.
26
Cmo abrir el asistente de adquisiciones
Para abrir el asistente de adquisiciones: 1. Para acceder al rbol de entradas, en el panel de rbol, haga clic en Casos Entradas Pgina principal . El rbol de entradas se muestra en el panel de rbol. 2. En el rbol de entradas, resalte el dispositivo que desee. 3. Haga clic con el botn derecho en el objeto del dispositivo resaltado. Se mostrar el men contextual de dispositivos. 4. Haga clic en la opcin de adquisicin. Se mostrar el asistente de adquisiciones. Para continuar con el proceso de creacin de un archivo de evidencia EnCase, utilice el asistente de adquisiciones para completar las especificaciones necesarias al respecto. Especificacin y ejecucin de una adquisicin (
Note: Completa el proceso de crear un archivo de evidencia de EnScript.
) Se mostrar la pgina de acciones posteriores a la adquisicin del asistente de adquisiciones.
27
El asistente de adquisiciones
Para especificar y ejecutar la adquisicin: 1. En funcin de sus necesidades, cambie la configuracin predeterminada de la pgina de acciones posteriores a la adquisicin del asistente de adquisiciones segn lo descrito en Finalizacin de la pgina de acciones posteriores a la adquisicin del asistente de adquisiciones y, a continuacin, haga clic en Siguiente. Si se ha seleccionado la opcin de anlisis de firma, hash y bsqueda se mostrar la pgina de bsqueda del asistente de adquisiciones. En caso contrario, se mostrar la pgina de opciones de este asistente. 2. Si se muestra la pgina de bsqueda, cambie la configuracin predeterminada de esta pgina de acuerdo con sus necesidades y tal y como se describe en Finalizacin de la pgina de bsqueda del asistente de adquisiciones y, a continuacin, haga clic en Siguiente. Se mostrar la pgina de opciones del asistente de adquisiciones. 3. En funcin de sus necesidades, cambie la configuracin predeterminada de la pgina de opciones segn lo descrito en Finalizacin de la pgina de opciones del asistente de adquisiciones y, a continuacin, haga clic en Finalizado. La adquisicin se realiza una vez que se haya iniciado. A continuacin, si el archivo se va a guardar en el caso, se verifican los controles de redundancia cclica (CRC, por sus siglas en ingls) y se realiza cualquier proceso posterior a la adquisicin. El estado de los subprocesos para la adquisicin, verificacin y posprocesamiento se muestra durante la ejecucin de los procesos. Una vez completados los procesos, se muestra el cuadro de dilogo de resultados. La adquisicin se puede cancelar durante su ejecucin; consulte Cancelacin y adquisiciones para obtener ms informacin. Una vez completada la adquisicin,
28
existe la posibilidad de visualizar los resultados de la misma. El archivo de evidencia que incluye tanto el contenido del dispositivo como los metadatos asociados a l se guarda de acuerdo con las especificaciones de la seccin correspondiente al nuevo archivo de evidencia de la pgina de acciones posteriores a la adquisicin del asistente de adquisiciones.
Finalizacin de la pgina de acciones posteriores a la adquisicin del asistente de adquisiciones
(
Note: Esta pgina del asistente de adquisiciones especifica las acciones realizadas una vez adquirido el contenido pero antes de que finalice el proceso de adquisicin.
) Para poder completar la pgina de acciones posteriores a la adquisicin, el asistente de adquisiciones deber estar abierto y se deber mostrar la pgina de acciones posteriores a la adquisicin.
La pgina de acciones posteriores a la adquisicin del asistente de adquisiciones
Para definir las acciones que se deben realizar tras la adquisicin: 1. Si se van a adquirir ms discos despus de esta adquisicin, seleccione la opcin para adquirir otro disco.
29
Al adquirir otro disco, la imagen asociada al mismo se agregar al caso y el valor de nuevo archivo de imagen reflejar este hecho. 2. Si se van a realizar bsquedas en el contenido adquirido, se le va a aplicar un valor hash o se van a buscar firmas en l, seleccione la opcin de anlisis de firma, hash y bsqueda. Si se ha seleccionado la opcin de anlisis de firma, hash y bsqueda, al hacer clic en Siguiente, se mostrar la pgina de bsqueda del asistente de adquisiciones. 3. En la seccin correspondiente a nuevo archivo de imagen, haga clic en la disposicin adecuada del archivo que contiene la imagen adquirida. 4. Si se va a reiniciar una adquisicin cancelada, realice el procedimiento siguiente: 1. Seleccione la opcin para reiniciar adquisicin. 2. Desplcese hasta la ubicacin, o bien introduzca la ruta y el nombre del archivo de evidencia de EnCase que contiene la adquisicin parcial que desee reiniciar. 5. Haga clic en la opcin Siguiente. Si se ha activado la opcin de anlisis de firma, hash y bsqueda se mostrar la pgina de bsqueda del asistente de adquisiciones, en caso contrario, se mostrar la pgina de opciones.
Finalizacin de la pgina de bsqueda del asistente de adquisiciones
(
Note: En esta pgina se definen las bsquedas, los algoritmos hash y los anlisis adicionales realizados como parte de la adquisicin una vez se ha adquirido el contenido.
) Para poder completar la pgina de bsqueda, es necesario que sta se muestre en el asistente de adquisiciones.
30
Pgina de bsqueda del asistente de adquisiciones
Para definir el proceso de anlisis que se realizar como parte de la adquisicin: 1. Realice el procedimiento siguiente segn sea necesario: Para buscar todo el contenido de dispositivos asociados con el caso, y no slo el contenido del dispositivo en fase de adquisicin, haga clic en Buscar en todo el caso. Para realizar una bsqueda de palabras clave, haga clic en los controles correspondientes de Opciones de bsqueda con palabras clave. Para realizar una bsqueda de correo electrnico, haga clic en los controles correspondientes de Opciones de bsqueda del correo electrnico. Para calcular o volver a calcular valores hash, haga clic en los controles correspondientes de Opciones de hash. Para verificar las firmas de archivos, en Opciones adicionales, haga clic en Verificar firmas de archivos. Para identificar las pginas de cdigos, en Opciones adicionales, haga clic en Identificar pginas de cdigos.
31
Para buscar en los archivos del historial de Internet, en Opciones adicionales, haga clic en Buscar historial de Internet. 2. Haga clic en la opcin Siguiente. Se mostrar la pgina de opciones del asistente de adquisiciones.
Finalizacin de la pgina de opciones del asistente de adquisiciones
(
Note: Esta pgina del asistente de adquisiciones especifica la forma en que se generara el archivo de evidencia de EnCase durante la adquisicin, y la disposicin del mismo una vez completada la adquisicin.
) Para poder completar la pgina de opciones, es necesario que sta se muestre en el asistente de adquisiciones.
La pgina de opciones del asistente de adquisiciones
Para definir la forma en que se genera y muestra el archivo de evidencia de EnCase: 1. Acepte los valores predeterminados, o bien introduzca o seleccione otros valores. 2. Proporcione un Nmero de evidencia y Notas. 3. Si an no se ha solicitado un valor hash y desea utilizar uno, haga clic en la opcin de generacin de hash de imagen. 4. Si puede que le falte espacio de almacenamiento a la hora de guardar el dispositivo adquirido,
32
especifique una ubicacin de almacenamiento adicional; para ello desplcese hasta ella o bien introduzca una ruta y un nombre de archivo en el campo de ruta alternativa. 5. Haga clic en la opcin para finalizar. Se iniciar la adquisicin y se mostrar la lnea de estado de subprocesos en la esquina inferior derecha de la ventana principal, que incluye el estado del subproceso encargado de la adquisicin. La adquisicin se puede cancelar mientras se procesa; consulte Cancelacin de una adquisicin para obtener ms informacin. 6. Cuando el cuadro de dilogo de resultados de la adquisicin muestre el estado de "finalizado", seleccione Consola, Nota, o bien Registro y, a continuacin, haga clic en Aceptar. Se cerrar el cuadro de dilogo de resultados de la adquisicin. De esta forma se completa la adquisicin. Cancelacin de una adquisicin (
Note: Es posible cancelar una adquisicin durante su ejecucin. Una vez cancelada una adquisicin, es posible reiniciarla. No obstante, si la adquisicin se cierra sin haber sido cancelada, no ser posible reiniciarla.
) Una adquisicin se encuentra en ejecucin. Cancelacin de una adquisicin
Para cancelar una adquisicin en ejecucin: 1. En la esquina inferior derecha de la ventana principal, haga doble clic en la lnea de estado de subprocesos. Se mostrar el cuadro de dilogo de estado de subprocesos. 2. Haga clic en S. En el cuadro de dilogo de resultados de la adquisicin se mostrar el estado de "cancelada". 3. Haga clic en Aceptar.
33
De esta forma se cancela la adquisicin. Una vez cancelada es posible reiniciarla con posterioridad.
Adquisicin de una unidad local

(
Note:
) La unidad local que se va a adquirir se ha agregado al caso. Para adquirir una unidad local: 1. Para evitar que el equipo local cambie durante el proceso de adquisicin de contenido, utilice un protector de escritura, tal y como se describe en Uso de un protector de escritura; a continuacin, verifique que el dispositivo en fase de adquisicin se muestra en el panel de rbol o en el panel de tabla como protegido contra escritura, de acuerdo con los descrito en Indicadores de FastBloc y dispositivo activo. 2. Realice la adquisicin segn lo descrito en Especificacin y ejecucin de una adquisicin. De esta forma se adquiere la unidad. Utilizacin de un protector de escritura (
Note:
) Utilice un protector de escritura al adquirir un dispositivo, segn se describe en las siguientes secciones: Adquisiciones basadas en Windows con protectores de escritura FastBloc Adquisicin en Windows sin FastBloc Adquisiciones basadas en Windows con un protector de escritura distinto de FastBloc
Adquisiciones basadas en Windows con protectores de escritura FastBloc
(
Note:
) EnCase Enterprise Field Intelligence Model v6.0 es compatible con los siguientes protectores de escritura: FastBloc LE FastBloc FE FastBloc 2 LE FastBloc 2 FE
34
Protectores de escritura FastBloc
Las investigaciones informticas requieren un mtodo rpido y fiable de adquisicin de evidencia digital. FastBloc Lab Edition (LE) y FastBloc Field Edition (FE) (a partir de ahora indicados como FastBloc) son dispositivos de proteccin de escritura de hardware que permiten la adquisicin segura de medios objeto en Windows para un archivo de evidencia EnCase. Antes del desarrollo de FastBloc, las adquisiciones no invasivas slo se llevaban a cabo en molestos entornos de lnea de comandos. Las versiones de hardware de FastBloc no son productos autnomos. Cuando se conectan a un equipo y a una unidad de disco duro objeto, permiten a los investigadores previsualizar o adquirir datos de forma rpida y segura en un entorno Windows. La unidad es ligera, independiente y porttil para permitir una fcil adquisicin en campo, con verificacin in situ inmediatamente despus de la adquisicin. FastBloc SE es una versin de software de este producto.
Adquisicin en Windows sin un protector de escritura FastBloc
(
Note:
) No debe adquirir nunca unidades de disco duro en Windows sin FastBloc, ya que Windows escribe en cualquier unidad de disco duro local que pueda ver. Por ejemplo, Windows incluir un archivo Papelera de reciclaje en cada unidad de disco duro que detecte y cambiar la fecha y hora de ltimo acceso de estas unidades. Los medios en los que Windows no puede escribir pueden adquirirse de forma segura desde Windows, como las unidades de CD-ROM, los disquetes protegidos contra escritura y las unidades USB protegidas contra escritura.
35
Adquisiciones basadas en Windows con un protector de escritura distinto de FastBloc
(
Note:
) Las aplicaciones EnCase no pueden reconocer la presencia de protectores de escritura de unidad de disco duro distintos de FastBloc. Por este motivo, EnCase indicar que la unidad de disco duro objeto no est protegida cuando puede estarlo. Se recomienda a los usuarios de protectores de escritura distintos de FastBloc que prueben el equipo y se familiaricen con sus posibilidades.

(
Note:
) El dispositivo Palm Pilot an no se ha agregado al caso. El equipo de anlisis se ha iniciado en Windows y la aplicacin EnCase se encuentra en ejecucin. Para adquirir un dispositivo Palm Pilot: 1. Coloque la PDA de Handsprings o Palm Pilot en la base de sincronizacin y conecte el cable de la misma a un puerto USB o serie del equipo de anlisis. 2. Encienda la PDA y active el modo de consola; en la parte izquierda del rea de escritura Graffiti, emplee el lpiz (stylus) para escribir una "L" minscula y en cursiva seguida de dos puntos y, en la parte derecha del rea de Graffiti, escriba un "2". De esta forma, se activa el modo de consola en la PDA.
Palm Pilot en el modo de consola
36
3.
En la pgina de orgenes del asistente para agregar dispositivos, realice el procedimiento siguiente: 1. En el panel de rbol, haga clic en Local. 2. En el panel de tabla, haga clic en la casilla de seleccin correspondiente a la Palm Pilot. 3. Si se van a adquirir otros dispositivos durante esta misma fase de adquisicin, prosiga con la definicin de dispositivos segn lo descrito en Finalizacin de la pgina de orgenes, o bien haga clic en Siguiente. Se mostrar la pgina de seleccin de dispositivos del asistente para agregar dispositivos.
Asistente para agregar dispositivos: pgina de orgenes y pgina de seleccin de dispositivos
4.
En el panel de tabla de la pgina de seleccin de dispositivos, seleccione la entrada correspondiente
37
5.
6.
al dispositivo Palm Pilot, as como la de cualquier otro dispositivo que se desee adquirir durante esta fase de adquisicin y, a continuacin, haga clic en Siguiente. Se mostrar la pgina de previsualizacin de dispositivos del asistente para agregar dispositivos. En el panel de tabla de la pgina de previsualizacin de dispositivos, seleccione la entrada correspondiente al dispositivo Palm Pilot, as como la de cualquier otro dispositivo que se desee adquirir durante esta fase de adquisicin y, a continuacin, haga clic en la opcin para finalizar. En el panel Casos Entrada Pgina principal de la ventana principal, se mostrar el dispositivo Palm Pilot que se va a adquirir en el rbol de entradas. Haga clic con el botn derecho en el objeto Palm Pilot del rbol de entradas y, a continuacin, haga clic en la opcin de adquisicin. Se mostrar la pgina de acciones posteriores a la adquisicin del asistente de adquisiciones.
Asistente de adquisiciones correspondiente a la adquisicin de una Palm Pilot
7.
Prosiga con el proceso de adquisicin desde el paso 1 de Especificacin y ejecucin de una adquisicin. Una vez completada la adquisicin, se cerrar el cuadro de dilogo de resultados de la adquisicin. Salida del modo de consola (
Note:
38
Para salir del modo de consola en un Palm Pilot, debe realizar un reinicio parcial en l. Si se apaga y se enciende de nuevo el Palm Pilot, no se abandona el modo de consola; permanecer en este modo provocar que la batera se agote antes de lo habitual. Para salir del modo de consola 1. Localice el pequeo orificio en la parte posterior del Palm Pilot con la etiqueta RESET. 2. Presione con la punta de un bolgrafo en el orificio. Tiempos de adquisicin (
Note:
) La previsualizacin inicial de un PDA Palm Pilot serie puede resultar lenta, ya que los puertos serie estndar transfieren datos a una velocidad mxima de 115 kbps. La previsualizacin y adquisicin de un Palm Pilot Vx, por ejemplo, tarda entre 30 y 40 minutos. Los Palm Pilot por USB sern ms rpidos; en pruebas de adquisicin, un m500 de 12 MB tard cuatro minutos en la previsualizacin y 16 minutos en la adquisicin. Sin embargo, tras la primera bsqueda de palabra clave en un dispositivo previsualizado, todos los dems procesos que accedan al archivo de evidencia sern rpidos, ya que el archivo de evidencia completo estar almacenado en la memoria cach.
Adquisicin de unidades no locales

(
Note:
) La adquisicin de unidades no locales implica a LinEn, que puede adquirir estas unidades mediante la realizacin de una adquisicin entre discos o de una adquisicin de paso en la red. Adems de las adquisiciones, LinEn puede generar un algoritmo hash de una unidad objeto y puede adquirir discos mediante el modo Direct ATA. Cuando se utiliza LinEn para adquirir un disco mediante una adquisicin entre discos, el archivo de evidencia EnCase resultante se debe agregar al caso con el asistente para agregar dispositivo. Adquisiciones de unidad a unidad mediante LinEn (
39
Note: Una vez configurado LinEn, ejectelo, elija la opcin de adquisicin y, a continuacin, seleccione la unidad que se va a adquirir y la ruta de almacenamiento. Si lo desea, tambin puede proporcionar metadatos adicionales.
) LinEn se ha configurado de acuerdo con lo descrito en la seccin Configuracin de LinEn y la opcin autofs se encuentra deshabilitada (desactivada). El investigador ha identificado la unidad objeto que se va a adquirir y la unidad de almacenamiento en la que se almacenar el archivo de evidencia adquirido. 1. Si no se ha montado la particin de almacenamiento FAT32 que se va a adquirir, mntela. 2. Desplcese hasta la carpeta en la que se encuentra la utilidad LinEn y escriba "./linen" en la consola para ejecutarla. Se mostrar la pantalla principal de LinEn. Pantalla principal de LinEn
3.
Seleccione la opcin de adquisicin. Se mostrar la pantalla de adquisicin. Pantalla de adquisicin de dispositivos de LinEn
4.
Seleccione la unidad fsica o particin lgica que desee adquirir. Se mostrar el cuadro de dilogo de adquisicin de dispositivos correspondiente a la <unidad>.
40
5.
6.
7. 8.
En el caso de los elementos de datos solicitados en el cuadro de dilogo de adquisicin, acepte los valores predeterminados proporcionados, o bien introduzca un valor o seleccione alguna de las alternativas, tal y como se describe en la seccin Especificacin y ejecucin de una adquisicin y, a continuacin, pulse Intro. En el cuadro de dilogo de adquisicin de dispositivos se solicitarn ms valores de datos hasta que se hayan introducido o seleccionado todos los elementos de datos. A continuacin, se mostrar el cuadro de dilogo de creacin de archivo. Una vez completa la adquisicin, haga clic en Aceptar. Se mostrar la ventana principal de LinEn. De esta forma se adquiere el objeto y se almacena en la unidad de almacenamiento. Conecte la unidad de almacenamiento al equipo del investigador. Agregue el archivo de evidencia EnCase a travs de la pgina de orgenes de las sesiones del asistente para agregar dispositivos, tal y como se describe en Finalizacin de la pgina de orgenes de las sesiones.
Cundo utilizar un cable de paso (

Note:
) Los cables de paso se utilizan al realizar una adquisicin desde un porttil, una matriz RAID o unidades que no reconoce el equipo host. El cable de paso tambin permite realizar una previsualizacin.
Realizacin de una adquisicin o previsualizacin mediante cable cruzado
Dispone de un disco de inicio de LinEn.
41
El investigador ha identificado la unidad objeto que se va a adquirir. Para realizar una adquisicin mediante cable cruzado: 1. Inicie el equipo objeto con el disco de inicio de LinEn. 2. Conecte el equipo forense al equipo objeto mediante un cable cruzado. 3. En Linux, asegrese de que el equipo objeto tenga una direccin IP asignada y una tarjeta de interfaz de red (NIC) correctamente cargada; para ello, introduzca ifconfig eth0 y, si no se ha asignado ninguna direccin IP, asigne una mediante la introduccin de ifconfig eth0 10.0.0.1 netmask 255.0.0.0 e introduzca ifconfig eth0 para comprobar de nuevo la asignacin de la direccin IP. 4. Desplcese hasta la carpeta en la que se encuentra la utilidad LinEn y escriba "./linen" en la consola para ejecutarla. Se mostrar la pantalla principal de LinEn. 5. Seleccione Servidor y pulse Intro. Se mostrar un mensaje en el que se indica que se espera el establecimiento de la conexin.
Pantalla del servidor de red de la pantalla de Linux principal
6. 7.
Especifique la direccin IP 10.0.0.1 en el equipo forense correspondiente al equipo objeto. Inicie la aplicacin EnCase en el equipo forense.
Inicio de la aplicacin EnCase, apertura de un caso y adicin de un dispositivo de red mediante cable cruzado
8. 9.
Cree un caso nuevo o abra uno ya existente. Haga clic con el botn derecho en el objeto de dispositivos y haga clic en Agregar dispositivo.
42
10. Seleccione la opcin de adquisicin de red cruzada y haga clic en Siguiente. 11. Seleccione la particin lgica o disco fsico que se va a adquirir o previsualizar y haga clic en Siguiente. 12. Haga clic en la opcin para finalizar. Se previsualizar el contenido del dispositivo seleccionado al que se ha accedido a travs de una conexin de red cruzada. Para adquirir el contenido, realice una adquisicin, tal y como se describe en Especificacin y ejecucin de una adquisicin. Anlisis hash de la unidad objeto mediante LinEn (
Note: Esta operacin permite al investigador conocer el valor hash de la unidad.
) LinEn se ha configurado de acuerdo con lo descrito en las secciones sobre configuracin y la opcin autofs se encuentra deshabilitada. El investigador ha identificado la unidad objeto cuyo valor hash se desea conocer. Para realizar un anlisis hash mediante LinEn. 1. Desplcese hasta la carpeta en la que se encuentra la utilidad LinEn y escriba "./linen" en la consola para ejecutarla. Se mostrar la pantalla principal de LinEn. 2. Seleccione Hash. Se abrir el cuadro de dilogo de hash. 3. Seleccione una unidad y pulse Aceptar. Se abrir el cuadro de dilogo de sector inicial. 4. Acepte la configuracin predeterminada, o bien introduzca los valores que desee para el sector inicial y, a continuacin, haga clic en Aceptar. Se abrir el cuadro de dilogo de sector final. 5. Acepte la configuracin predeterminada, o bien introduzca los valores que desee para el sector final y, a continuacin, haga clic en Aceptar. Se abrir el cuadro de dilogo de resultados de hash. 6. Si desea escribir el resultado del anlisis hash en un archivo, haga clic en S. Si se va a aguardar el valor hash en un archivo, se mostrar el cuadro de dilogo correspondiente; en caso contrario, se mostrar la pantalla principal de LinEn. 7. Introduzca la ruta y el nombre del archivo que incluir el valor hash y, a continuacin, haga clic en Aceptar.
43
Se guardar el valor hash y se mostrar la pantalla principal de LinEn. Se calcular un valor hash para los sectores seleccionados del archivo seleccionado. Si lo desea, es posible guardar este valor hash en un archivo. Adquisicin de un disco que se ejecuta en modo ATA directo (
Note: Si la distribucin Linux admite el modo ATA, se mostrar una opcin de modo. Es necesario definir el modo antes de adquirir el disco. Es posible adquirir un disco ATA a travs del mtodo "de unidad a unidad". El modo ATA resulta de utilidad en aquellos casos en los que la unidad de evidencia tiene reas protegidas mediante host (HPA) o capas de configuracin de dispositivo (DCO). Slo el modo ATA directo puede acceder y adquirir estas reas.
) LinEn se ha configurado de acuerdo con lo descrito en la seccin Configuracin de LinEn y la opcin autofs se encuentra deshabilitada (desactivada). Linux se ejecuta en el modo ATA directo. Para adquirir un disco que se ejecuta en modo ATA directo: 1. Si no se ha montado la particin de almacenamiento FAT32 que se va a adquirir, mntela. 2. Desplcese hasta la carpeta en la que se encuentra la utilidad LinEn y escriba ./linen en la consola para ejecutarla. Se mostrar la pantalla principal de LinEn. 3. Seleccione la opcin de modo y, a continuacin, seleccione el modo ATA directo. De esta forma, es posible adquirir el disco que se ejecuta en dicho modo ATA. 4. Contine con la adquisicin "de unidad a unidad" en el paso 3 de "Adquisiciones de unidad a unidad mediante LinEn.
Adquisicin de configuraciones de disco

(
Note:
44
Guidance Software utiliza el trmino configuracin de disco en lugar de RAID. Una configuracin de disco de software se controla mediante el software del sistema operativo, en tanto que una configuracin de disco de hardware se controla mediante una tarjeta de controlador. En una configuracin de disco de software, la informacin correspondiente a la disposicin de las particiones en los discos se encuentra en el registro o al final del disco, en funcin del sistema operativo utilizado para generar el conjunto; en una configuracin de disco de hardware, se almacena en el sistema BIOS de la tarjeta de controlador. Con ambos mtodos se pueden crear 6 tipos de configuracin de disco: distribuida, reflejada, seccionada, RAID-5, RAID-10 y bsica.
Configuraciones de disco
RAID de software (
Note:
) Las aplicaciones EnCase son compatibles con las siguientes matrices RAID de software: Windows NT; consulte Windows NT - Configuracin de disco de software Windows 2000; consulte Discos dinmicos Windows XP; consulte Discos dinmicos Windows 2003 Server; consulte Discos dinmicos
Windows NT: configuraciones de disco de software
(
Note:
45
En un sistema de archivos Windows NT, es posible utilizar el sistema operativo para crear diferentes tipos de configuraciones de disco en varias unidades. Las configuraciones de disco posibles son distribuida, reflejada, seccionada, RAID 5 y bsica. La informacin que detalla los tipos de particiones y el diseo especfico en varios discos se incluye en el registro del sistema operativo utilizado para crear la configuracin de disco. Las aplicaciones EnCase pueden leer esta informacin de registro y resolver la configuracin basndose en la clave. A continuacin, la aplicacin puede montar de forma virtual la configuracin de disco de software en el caso EnCase. A continuacin se indican mtodos de obtencin de la clave de registro: Adquisicin de la unidad Copia de seguridad de la unidad Adquiera la unidad que incluye el sistema operativo. Es probable que esta unidad sea parte del conjunto de configuracin de disco pero, en caso de que no lo sea (por ejemplo, si la configuracin de disco se utiliza nicamente para el almacenamiento), adquiera la unidad del sistema operativo y agrguela al caso junto con las unidades del conjunto de configuracin de disco. Para crear un disco de copia de seguridad en el equipo objeto, utilice el Administrador de discos de Windows y seleccione la opcin de copia de seguridad en Particin . De esta forma crear un disco de copia de seguridad de la informacin de configuracin de disco en un disquete. A continuacin, puede copiar el archivo en la aplicacin EnCase mediante la opcin de archivos nicos o bien adquirir el disquete y agregarlo al caso. El caso tambin debe disponer de las unidades del conjunto de configuracin de disco agregadas. Esta situacin slo funciona si se trabaja con un clon restaurado de un equipo objeto. Tambin es posible encontrar un disco de copia de seguridad del registro en la ubicacin. Haga clic con el botn derecho en el archivo de evidencia que contiene la clave y seleccione la opcin de exploracin de configuracin de disco. En este punto, la aplicacin intentar generar los dispositivos virtuales con la informacin de la clave de registro.
46
Exploracin de la configuracin de disco
El investigador debe tener acceso a la clave de registro para reconstruir de forma automtica el conjunto de configuracin de disco.
Disco dinmico
(
Note:
) Disco dinmico es una configuracin de disco disponible en Windows 2000, Windows XP y Windows 2003 Server. La informacin correspondiente a la generacin de la configuracin se encuentra al final del disco y no en una clave del registro. Por tanto, cada disco fsico de esta configuracin contiene la informacin necesaria para reconstruir la configuracin original. Las aplicaciones EnCase leen la estructura de particin del disco dinmico y resuelven las configuraciones basndose en la informacin extrada. Para regenerar una configuracin de disco dinmico, agregue los dispositivos fsicos incluidos en el conjunto al caso y, en la ficha de casos, haga clic con el botn derecho en uno de los dispositivos y elija la opcin de exploracin de la configuracin de disco.
47
Si las configuraciones de disco resultantes no parecen correctas, se pueden editar manualmente mediante el comando de edicin de la ficha de dispositivos. Configuracin de disco de hardware (
Note:
) Las configuraciones de disco de hardware se pueden adquirir Como una unidad Como unidades diferentes Se pueden adquirir tanto Raid-5 como Raid-10.
Conjunto de configuracin del disco adquirido como una unidad
(
Note:
) A diferencia de las configuraciones de disco de software, las controladas por hardware contienen la informacin de configuracin necesaria en el sistema BIOS de la tarjeta. Puesto que la configuracin del disco est controlada por hardware, EnCase no puede reconstruir las configuraciones a partir de los discos fsicos. Sin embargo, dado que la informacin adecuada para reconstruir el conjunto est incluida en el controlador, el equipo (con la tarjeta de controlador) ver de hecho una configuracin de disco de hardware como una unidad (virtual), independientemente de si el conjunto consta de dos o ms unidades. Por tanto, si el investigador adquiere el conjunto en su entorno nativo, la configuracin de disco se puede adquirir como una unidad, la opcin ms sencilla. El mejor mtodo para realizar esta adquisicin consiste en realizar una adquisicin mediante un cable de paso en red. El disco de arranque de LinEn para el equipo objeto deber contar con controladores Linux para la tarjeta de controlador RAID correspondiente. Para adquirir el conjunto 1. Conserve la configuracin de disco intacta en su entorno nativo. 2. Arranque el equipo objeto con un disco de arranque de red EnCase. 3. Inicie la utilidad LinEn. El sistema BIOS interpreta la configuracin de disco como una unidad, de forma que las aplicaciones
48
EnCase harn lo mismo. El investigador ver la configuracin de disco como una unidad. 4. Adquiera la configuracin de disco como lo hara normalmente en una unidad de disco duro nica en funcin del medio de adquisicin. La adquisicin por puerto paralelo, por cable de paso de red o entre unidades de un conjunto de configuracin de disco de hardware es sencilla, siempre que el conjunto se adquiera como una unidad. Si las unidades fsicas se han adquirido por separado o no se han podido adquirir en el entorno nativo, las aplicaciones EnCase permiten editar el conjunto de hardware de forma manual.
Configuraciones de disco adquiridas como unidades diferentes
(
Note:
) En ocasiones no es posible realizar la adquisicin de la configuracin de disco de hardware como una unidad o bien el mtodo de ensamblaje de una configuracin de disco de software parece incorrecto. Para editar una configuracin de disco, se precisan varios elementos de informacin: el tamao de seccin, el sector inicial y la longitud por disco fsico, as como si la separacin es diestra o no. Estos datos se pueden recopilar del sistema BIOS de la tarjeta de controlador para un conjunto de hardware, o del registro para conjuntos de software. Para generar la configuracin de disco
Adquisicin de una configuracin de disco como unidades diferentes
Cuando una matriz RAID-5 se compone de tres o ms discos y falta uno de ellos o est daado, la aplicacin todava puede reconstruir el disco virtual mediante la informacin de paridad de los otros discos de la configuracin, que se detectar y se aplicar automticamente durante la reconstruccin de las configuraciones de disco de hardware con el comando de exploracin de la configuracin del disco.
49
Cuando se reconstruye una matriz RAID a partir de los dos primeros discos, los resultados de la validacin de la paridad carecen de sentido, ya que se crea la paridad para generar el disco que falta.
Para adquirir una configuracin de disco como un disco
Para adquirir un conjunto de configuracin de disco como un disco 1. Agregue los archivos de evidencia a un caso. 2. Ver Subfichas de casos Dispositivos. 3. Haga clic con el botn derecho en una fila de archivo de evidencia y seleccione la opcin de edicin de configuracin de disco. Aparece el cuadro de dilogo de configuracin de disco. 4. En el cuadro de dilogo de configuracin de disco, en la configuracin correspondiente, haga clic con el botn derecho y haga clic en Nuevo. 5. Indique el sector de inicio y el tamao de la configuracin de disco seleccionada y haga clic en Aceptar.
Validacin de paridad en una matriz RAID-5
(
Note:
) El comando de validacin de paridad comprueba la paridad de los discos fsicos utilizados para ensamblar la matriz RAID-5. Por tanto, si la matriz RAID-5 se ha generado sin un disco, esta caracterstica no funciona. Para comprobar la paridad En el panel de casos, haga clic con el botn derecho en el icono del volumen RAID 5 y, a continuacin, haga clic en la opcin de validacin de paridad. El estado del proceso de validacin se muestra en la lnea de estado del subproceso, en la parte inferior derecha de la ventana principal de EnCase.
RAID -10
(
Note:
) Las matrices RAID-10 requieren al menos 4 unidades, implementadas como una matriz seccionada de matrices RAID-1.
Adquisicin de imgenes de PC virtual

(
50
Note:
) Microsoft Virtual PC 2004 permite a un usuario ejecutar varios sistemas operativos basados en PC de forma simultnea en una estacin de trabajo. Los usuarios guardan imgenes de estos PC virtuales de forma similar a VMware. Las aplicaciones EnCase tratan las imgenes de Microsoft Virtual PC 2004 como dispositivos que se enviarn a la misma investigacin como dispositivos fsicos. Virtual PC puede crear archivos sin procesar y dispersos; ambos son compatibles de forma transparente con las aplicaciones EnCase. Los archivos de Virtual PC se agregan mediante el cuadro de dilogo para agregar dispositivos. Desde el cuadro de dilogo, desplcese a la carpeta que contiene archivos de Virtual PC (*.vhd) y agrguelos como archivos de evidencia EnCase.
Compatibilidad con archivos de CD-DVD Inspector

(
Note:
) Las aplicaciones EnCase son compatibles con los archivos de visualizacin creados con CD/DVD Inspector, un producto de terceros. Trate estos archivos como archivos nicos al agregarlos, como archivos comprimidos, y como archivos compuestos al utilizar el visor de archivos. Los archivos nicos se arrastran a la aplicacin.
Adquisicin de imgenes de SlySoft CloneCD

(
Note:
) Las aplicaciones EnCase permiten a los usuarios agregar a un caso imgenes de CD-ROM sin procesar que se hayan creado con SlySoft CloneCD. Al agregar estas imgenes, los usuarios pueden especificar los bytes del sector previo, los bytes del sector posterior y el byte de inicio de la imagen.
51
Adquisicin de un volumen DriveSpace

Los volmenes DriveSpace slo son reconocidos como tales tras ser adquiridos y montados en un caso. En el equipo de almacenamiento, monte el archivo DriveSpace como un volumen y, a continuacin, adquiralo de nuevo para ver la estructura de directorios y los archivos. Para adquirir un volumen DriveSpace 1. En el equipo forense en el que copiar y recuperar el volumen DriveSpace debe existir una particin FAT16. Si no existe, crela. Las particiones FAT16 slo se pueden crear con un sistema operativo FAT16 (como Windows 95). 2. Ejecute FDISK para crear una particin, salga, reinicie el equipo y formatee la particin FAT16 con format.exe. 3. Cree una imagen del volumen DriveSpace. 4. Agregue el archivo de evidencia a un nuevo caso y busque un archivo de nombre DBLSPACE.000 o DRVSPACE.000. 5. Haga clic con el botn derecho en el archivo y cpielo o recuprelo en la particin FAT16 del equipo de almacenamiento. 6. En Windows 98, haga clic en Inicio y seleccione Todos los programas Accesorios Herramientas del sistema DriveSpace 7. Inicie DriveSpace. 8. Seleccione la particin FAT16 que contiene el archivo .000 comprimido. 9. Seleccione la opcin de montaje avanzado . 10. Seleccione DRVSPACE.000 y haga clic en Aceptar, anotando la letra de unidad asignada. El archivo de volumen comprimido (.000) de la unidad anterior se ver ahora como carpetas y archivos en un nuevo volumen lgico. 11. Adquiera este nuevo volumen. 12. Cree el archivo de evidencia y agrguelo al caso. Ahora se puede visualizar la unidad comprimida.
Nueva adquisicin de evidencias

(
Note:
52
Cuando se dispone de un archivo de evidencia sin procesar, originado fuera de una aplicacin EnCase, la nueva adquisicin supone de la creacin de un archivo de evidencia EnCase que incluye el contenido del archivo de evidencia sin procesar. Los archivos de evidencia EnCase se pueden desplazar a un caso incluso si se han adquirido en otra ubicacin. Esto no requiere realizar una nueva adquisicin. Slo es necesario arrastrar los archivos desde el Explorador de Windows y soltarlos en la pgina de orgenes de sesiones del asistente para agregar dispositivos. Tambin puede volver a adquirir un archivo de evidencia EnCase existente para cambiar la configuracin de compresin o el tamao del segmento del archivo.
Nueva adquisicin de un archivo de evidencia

La aplicacin EnCase est abierta, el archivo requerido se ha incluido en este caso y el caso se ha abierto.
Asistente de adquisiciones durante una nueva adquisicin
Para realizar una nueva adquisicin de un archivo de evidencia: 1. En el panel de rbol, haga clic en Casos Entradas Pgina principal . El rbol de entradas se muestra en el panel de rbol. 2. Haga clic con el botn derecho en el dispositivo que desea adquirir de nuevo y, a continuacin, haga clic en la opcin de adquisicin. Se mostrar la pgina de acciones posteriores a la adquisicin del asistente de adquisiciones. 3. Realice la adquisicin, tal y como se describe en Especificacin y ejecucin de una adquisicin prestando especial atencin a la disposicin del archivo mediante los controles de nuevo archivo de imagen de la pgina de acciones posteriores a la
53
adquisicin del asistente de adquisiciones y la opcin de nueva adquisicin rpida de la pgina de opciones del asistente de adquisiciones. Se ha vuelto adquirir el archivo de evidencia.
Adicin de archivos de evidencia sin procesar

(
Note: La readquisicin de un archivo de evidencia sin procesar incrusta el archivo que contiene la imagen del contenido de un dispositivo con los metadatos del caso y, opcionalmente, el valor hash de dicha imagen.
) Dispone de un archivo de imagen sin procesar al que puede acceder desde el equipo forense y hay un caso abierto en la aplicacin EnCase.
Adicin de un archivo de imagen sin procesar
Para adquirir un archivo de evidencia sin procesar: 1. En el panel de rbol, haga clic en Casos. Entradas Pgina principal. El rbol de entradas se muestra en el panel de rbol. 2. Haga clic en Archivo Agregar imagen sin procesar . Se mostrar el cuadro de dilogo de adicin de imgenes sin procesar. 3. Arrastre las imgenes sin procesar que se van a adquirir. Las imgenes sin procesar que se van a agregar se muestran en la lista de archivos componentes. 4. Acepte los valores predeterminados del cuadro de dilogo de adicin de imagen sin procesar, o bien cmbielos de acuerdo con sus preferencias y, a continuacin, haga clic en Aceptar.
54
Se mostrar un objeto de imagen de disco en el rbol de entradas, que se encuentra en el panel de rbol Casos-Entradas-Pgina principal.
55
Archivos de evidencia lgica

(
Note: Un archivo de evidencia lgica (LEF) contiene una recopilacin de archivos individuales que por lo general se copian de un equipo objeto al previsualizarlo.
) A medida que se examina la evidencia digital, parte de la evidencia resultar ms significativa para la finalidad de la investigacin. Durante el anlisis del archivo de evidencia EnCase, se realizan varias bsquedas para localizar estos archivos significativos. La copia de estos archivos significativos en un archivo de evidencia lgica proporciona un mtodo para acceder a ellos sin necesidad de acceder al gran volumen de evidencia digital incluido en un archivo de evidencia EnCase. Al arrastrar y soltar un archivo LEF en la interfaz de EnCase, el archivo se agrega al caso actualmente abierto.
Asistente Crear archivo de evidencia lgica

(
Note:
) El asistente Crear archivo de evidencia lgica se utiliza para crear archivos de evidencia lgica asociados con el caso abierto. Antes de crear un archivo de evidencia lgica, es necesario abrir el caso asociado con l y seleccionar los archivos asociados que se desean adquirir. El asistente Crear archivo de evidencia lgica consta de las siguientes pginas: Pgina de orgenes Pgina Resultados
56
Asistente Crear archivo de evidencia lgica
Pgina de orgenes del asistente Crear archivo de evidencia lgica

(
Note: La pgina de orgenes del asistente Crear archivo de evidencia lgica se utiliza para especificar los archivos origen que conforman el archivo de evidencia lgica que se crea.
Pgina de orgenes del asistente Crear archivo de evidencia lgica
57
Origen contiene el nombre del dispositivo primario que contiene el o los archivos que incluir el archivo de evidencia lgica. Archivos contiene el nmero de archivos y el tamao total del archivo o de los archivos que incluir el archivo de evidencia lgica. Carpeta de destino en archivo de evidencia contiene el nombre de la carpeta donde se incluirn los archivos que comprende del archivo de evidencia lgica. Incluir el contenido de los archivos: cuando est desactivada, el archivo de evidencia lgica slo conoce el nombre de archivo y, al abrir el archivo de evidencia lgica, no se muestran datos en el panel de visualizacin. Archivos hash determina si se aplica el algoritmo hash a los archivos que componen el archivo de evidencia lgica al incluirse en l. Agregar a archivo de evidencia existente determina si los archivos que comprendern el archivo de evidencia lgica se agregan a un archivo de evidencia existente. Si este control est activado, aparece Ruta del archivo de evidencia. Bloquear archivo al finalizar determina si el archivo de evidencia lgica se bloquea tras su creacin. Ruta del archivo de evidencia contiene la ruta y el nombre del archivo de evidencia lgica al que se agregarn los archivos seleccionados.
Pgina Resultados de Crear archivo de evidencia lgica

(
Note: La pgina Resultados del asistente Crear archivo de evidencia lgica se utiliza para especificar los metadatos y atributos de salida del archivo de evidencia lgica que se va a crear.
58
Pgina Resultados de Crear archivo de evidencia lgica
Nombre contiene el nombre del archivo de evidencia lgica que se va a crear. Nmero de evidencia contiene el nmero de evidencia del investigador para el archivo de evidencia lgica que se va a crear. Tamao de segmento de archivo contiene el tamao del segmento del archivo de evidencia lgica que se va a crear. Compresin contiene los controles que determinan la compresin que se utiliza al crear el archivo de evidencia lgica. Ninguna indica que no se utiliza ninguna compresin al crear el archivo de evidencia lgica. Buena: la compresin buena se utiliza para crear un archivo de evidencia lgica con un tamao menor que si no se utiliza compresin, pero mayor que al establecer la mejor compresin. Mejor: cuando se establece, la opcin mejor se utiliza para crear un archivo de evidencia lgica con un tamao menor que al utilizar la opcin de compresin buena. Ruta de salida contiene la ruta y el nombre del archivo de evidencia lgica que se va a crear.
59
Creacin de un archivo de evidencia lgica

El caso asociado con el archivo de evidencia lgica que se va a crear deber estar abierto en la aplicacin EnCase.
Creacin de un archivo de evidencia lgica
Para crear un archivo de evidencia lgica: 1. En el panel de rbol, haga clic en Casos Entradas Pgina principal . El rbol de entradas se muestra en el panel de rbol. 2. Seleccione los archivos y carpetas que se asociarn al archivo de evidencia lgica. 3. Haga clic con el botn derecho en el objeto primario del rbol de entradas y, a continuacin, haga clic en la opcin para crear archivo de evidencia lgica. Se mostrar la pgina de orgenes del asistente para crear un archivo de evidencia lgica. 4. Acepte la configuracin predeterminada, o bien introduzca los valores que desee y, a continuacin, haga clic en Siguiente. Se mostrar la pgina de resultados del asistente para crear un archivo de evidencia lgica. 5. Introduzca los valores correspondientes e introduzca la ruta y el nombre de archivo, o bien desplcese hasta l, del archivo de evidencia lgica que se va a crear y, a continuacin, haga clic en Siguiente. En el cuadro de dilogo de resultados se mostrar el estado de "completo".
60
Recuperacin de carpetas
(
Note:
) Se pueden recuperar los siguientes tipos de carpetas: Carpetas en volmenes FAT, segn se describe en Recuperacin de carpetas en volmenes FAT Carpetas NTFS, segn se describe en Recuperacin de carpetas NTFS Particiones UFS y EXT2/3, segn se describe en Recuperacin de volmenes UFS y EXT2/3
Recuperacin de carpetas en volmenes FAT

(
Note:
) Tras agregar un archivo de evidencia a un caso, ejecute la recuperacin de carpetas en todas las particiones FAT; para ello, haga clic con el botn derecho en cada dispositivo y seleccione la opcin de recuperacin de carpetas. En las siguientes secciones se trata la recuperacin de carpetas en NTFS y otros tipos de particin. Este comando busca en los clsteres sin asignar de una particin FAT especfica la firma punto, doble punto de una carpeta eliminada; cuando la firma coincide, las aplicaciones EnCase pueden volver a generar los archivos y carpetas incluidos en la carpeta eliminada.
Recuperacin de carpetas
61
Recuperacin de carpetas NTFS

(
Note:
) Las aplicaciones EnCase pueden recuperar archivos y carpetas NTFS de clsteres sin asignar y seguir analizando los registros de la tabla maestra de archivos (MFT) para buscar archivos sin carpetas primarias. Esto resulta particularmente til cuando se ha vuelto a formatear una unidad o cuando la tabla MFT est daada. Los archivos perdidos recuperados se incluyen en la carpeta virtual gris de carpetas recuperadas, en la raz de la particin NTFS. Para recuperar carpetas de una particin NTFS, haga clic con el botn derecho en el volumen y seleccione la opcin de recuperacin de carpetas. El cuadro de mensaje de recuperacin de carpetas se abre para confirmar los deseos del usuario de explorar el volumen para buscar carpetas. Elija Aceptar para iniciar la bsqueda de carpetas NTFS o Cancelar para cancelar la solicitud.
Cuadro de mensajes de recuperacin de carpetas
La aplicacin inicia la bsqueda de registros de la tabla MFT en los clsteres sin asignar. En la esquina inferior derecha, una barra de progreso indica el nmero de registros de la tabla MFT encontrados y el tiempo aproximado necesario para completar la bsqueda.
Lnea de estado del subproceso de recuperacin
62
Una vez que la aplicacin localiza los registro de tabla MFT en los clsteres sin asignar, aparece un mensaje que muestra el nmero de entradas encontradas. Se realiza un anlisis de resultados duplicados o falsos, de forma que el nmero de entradas que aparece en el mensaje puede ser inferior al indicado durante la recuperacin. Si se hace clic en Aceptar, la aplicacin resuelve los registros de tabla MFT recuperados como datos en el volumen e intenta reconstruir la estructura de carpetas con las carpetas y archivos secundarios bajo las carpetas primarias. Este proceso puede llevar bastante tiempo; sin embargo, el resultado ser muy beneficioso en los exmenes de los volmenes NTFS.
Cuadro de mensaje de recuperacin
Dado que la reconstruccin de la estructura de carpetas puede llevar mucho tiempo y es posible que los usuarios opten por un acceso ms rpido a los archivos recuperados, si las entradas de la tabla MFT recuperadas en el espacio sin asignar son NTFS4, el usuario tendr la posibilidad de procesar las entradas para localizar relaciones primario/secundario o de incluir todas las entradas recuperadas en la carpeta de archivos recuperados de forma inmediata sin ninguna estructura de carpetas. Este cuadro de dilogo incluye el nmero de pases necesarios para ordenar las entradas. Este nmero puede ser alto; sin embargo, la mayora de los pases se procesarn al instante. La longitud de tiempo necesario para procesar un grupo determinado slo depende del nmero de registros incluidos en l. Este cambio no afecta a las entradas NTFS5 recuperadas; estas entradas se procesarn tan rpido como antes. Si el usuario decide procesar las entradas para detectar la estructura de carpetas, la barra de progreso indicar el pase, del nmero total necesario, se est ejecutando actualmente. La estructura de carpetas recuperada se incluye en la carpeta virtual de archivos recuperados.
63
Carpetas NTFS recuperadas
Recuperacin de particiones UFS y EXT2/3

(
Note:
) Las aplicaciones EnCase utilizan un mtodo diferente para la recuperacin de carpetas y archivos eliminados que no cuentan con elementos primarios en las particiones UFS y EXT2/3. Cuando previsualice un equipo o agregue un archivo de evidencia que contiene una de estas particiones al caso, advertir que se agrega automticamente una carpeta gris de archivos perdidos al rbol del panel de entradas como un elemento secundario de cada particin. En la tabla maestra de archivos (MFT ) de NTFS, todos los archivos y las carpetas estn marcados como archivo o carpeta y como pertenecientes a un elemento primario. Los archivos de una carpeta son los elementos secundarios de dicha carpeta. Si un usuario elimina en primer lugar los archivos, a continuacin la carpeta y crea una nueva carpeta, se pueden perder los archivos eliminados originalmente. La entrada de la nueva carpeta en la tabla MFT sobrescribe la entrada de la carpeta eliminada. La carpeta primaria original y su entrada en la tabla MFT se sobrescriben y desaparecen. Sus elementos secundarios, sin embargo, no se han sobrescrito y sus entradas siguen en la tabla MFT. Al igual que en NTFS, en las particiones UFS y EXT2/3, la aplicacin analiza la tabla MFT y localiza estos archivos que todava estn incluidos pero no disponen de directorio primario. Todos estos archivos se recuperan y se incluyen en la carpeta gris de archivos perdidos.
64
Recuperacin de carpetas de una unidad formateada

(
Note:
) Si el archivo de evidencia muestra un volumen lgico pero no incluye una estructura de directorios, es posible que la unidad de disco duro se haya formateado. Si se trata de un sistema basado en FAT, las aplicaciones EnCase pueden recuperar la estructura de directorios original. Haga clic con el botn derecho en cada volumen lgico y elija la opcin de recuperacin de carpetas. De esta manera se buscar en la unidad y se recuperarn las carpetas, subcarpetas y archivos de estas carpetas si esta informacin sigue disponible. En ocasiones, se puede encontrar un dispositivo que contenga un sistema de archivos incompatible con la aplicacin EnCase. En este caso, el rbol de entradas muestra el icono de dispositivo pero la tabla de entradas slo muestra clsteres sin asignar. Si bien no existe manera alguna de ver la estructura de archivos, es posible que se puedan ejecutar bsquedas de texto en los clsteres sin asignar.
65
Recuperacin de particiones
(
Note:
) En ocasiones, se formatea un dispositivo o se ejecuta un comando FDISK en l para intentar destruir evidencias. En realidad, estas acciones en la unidad de disco duro no eliminan datos. El formato elimina la estructura que indica dnde se encuentran las carpetas y los archivos en el disco. La ejecucin del comando FDISK en un disco elimina la informacin de particin de la unidad. Las aplicaciones EnCase pueden volver a generar la informacin de particiones y la estructura de directorios y carpetas.
Cmo agregar particiones

(
Note:
) Una unidad de disco duro formateada o en la que se ha ejecutado el comando FDISK se debe adquirir con los procedimientos normales. Cuando estos archivos de evidencia se agregan a un caso Una unidad formateada mostrar volmenes lgicos en EnCase, pero cada volumen slo incluir una entrada de clsteres sin asignar en la tabla. Una unidad en la que se haya ejecutado el comando FDISK no mostrar informacin de volumen lgico. La unidad completa se mostrar como un rea de disco sin utilizar en la tabla.
66
Cmo agregar particiones
Para reestructurar estas partes del disco 1. En el panel de filtros, expanda EnScripts Ejemplos . 2. Haga doble clic en Case Processor (Procesador de casos). 3. Marque el caso en el que trabaja y haga clic en Siguiente. 4. Indique un nombre de Carpeta de marcadores y, opcionalmente, un Comentario de carpeta. 5. Localice y marque Partition Finder Module en la lista Mdulos.
67
6. 7.
8.
9. 10.
11. 12.
13.
Haga clic en la opcin para finalizar. Se ejecuta el programa EnScript. Cuando se haya ejecutado el programa EnScript, en el panel de rbol, haga clic en la opcin de marcadores. En el rbol, haga clic en la opcin de establecimiento de elementos incluidos para mostrar todos los marcadores que haya localizado el programa EnScript. Observe el tipo y tamao de la particin en el comentario. Resalte la entrada en el panel de rbol y, a continuacin, seleccione Disco. En el panel de la ficha Disco, el cursor aparece en el sector marcado; haga clic con el botn derecho y seleccione Agregar particin. La pantalla para agregar particin detecta los sectores y el tipo de particin automticamente y rellena los campos. Haga clic en Aceptar para restaurar la particin. Para ver el contenido de la particin que acaba de agregar, en el panel de rbol, haga clic en la opcin de entradas. La nueva particin aparece bajo el dispositivo en el que se ha ejecutado el programa EnScript Sweep Case. Si la unidad contaba con varias particiones, en el panel de rbol haga clic en la opcin de marcadores y repita el proceso desde el paso 9.
68
Restauracin de evidencias
(
Note:
) Las aplicaciones EnCase permiten a un investigador restaurar archivos de evidencia en medios preparados. La restauracin de archivos de evidencia en medios tericamente permite al investigador arrancar el medio restaurado y ver el entorno informtico del objeto sin modificar la evidencia original. Sin embargo, la restauracin de medios puede suponer todo un reto. Lea este captulo detenidamente antes de intentar realizar una restauracin. NO arranque la unidad objeto. No arranque la unidad de disco duro forense con la unidad objeto conectada. No es necesario total el medio original para nada. Recuerde, todava constituye una evidencia.
Diferencias entre las restauraciones fsica y lgica

(
Note:
) EnCase permite al investigador restaurar un volumen lgico o una unidad fsica. Un volumen lgico es un volumen que no contiene un registro maestro de arranque (MBR) ni el espacio de disco no utilizado. Un volumen fsico contiene el registro maestro de arranque y espacio de disco no utilizado. El espacio de disco no utilizado, sin embargo, no suele permitir el acceso al usuario. En la mayora de las ocasiones, cuando se accede a temas de descubrimiento, se debe realizar una restauracin fsica, no lgica. Las restauraciones lgicas son menos deseables, ya que no se pueden verificar como copia exacta del medio objeto. Cuando se restaura una unidad con fines de arranque del equipo objeto, una restauracin fsica es la opcin correcta.
69
Tanto si restaura una unidad fsica o lgicamente, restaure los archivos de evidencia a una unidad ligeramente mayor en capacidad que la unidad de disco duro objeto original. Por ejemplo, si restaura una imagen de unidad de disco duro de 2 GB, restaure la imagen a una unidad de disco duro de 2 a 4 GB. La restauracin de un medio a una unidad sustancialmente mayor que el medio objeto puede impedir el arranque del clon restaurado y posiblemente provocar el fracaso de la finalidad de la restauracin.
Preparacin del medio de destino

(
Note:
) La preparacin del medio de destino en el que se va a restaurar la imagen resulta esencial para una restauracin slida desde el punto de vista forense. El medio de destino se debe limpiar. En restauraciones lgicas, se debe ejecutar el comando FDISK en el medio de destino. En las restauraciones lgicas, se deben crear particiones y se debe formatear el medio de destino con el mismo tipo de sistema de archivos que el volumen que se va a restaurar (por ejemplo, FAT32 en FAT32, NTFS en NTFS, etc.). En las restauraciones fsicas, no ejecute el comando FDISK, no cree particiones ni formatee la unidad de disco duro. Lo que debe hacer es iniciar la aplicacin EnCase y restaurar la imagen fsicamente en el medio de destino.
Restauracin fsica
(
Note:
70
La restauracin de una unidad fsica implica que la aplicacin copiar todo, sector a sector, a la unidad de destino preparada, creando as una copia exacta de la unidad objeto. La unidad de destino debe ser mayor que la unidad de disco duro objeto. Cuando la restauracin finaliza, proporciona los valores hash y verifica que la unidad de laboratorio es una copia exacta de la unidad objeto. Si ejecuta un algoritmo hash MD5 independiente y separado de la unidad de laboratorio, debe asegurarse de calcular el valor hash en el nmero exacto de sectores incluido en la unidad sospechosa, de forma que el algoritmo hash MD5 sea preciso. No se puede restaurar en la unidad 0. Si el medio de destino preparado es la unidad 0, se deber agregar otra unidad al sistema, como maestra, para almacenar la imagen restaurada. Los sectores restaurados tambin se pueden verificar para confirmar que de hecho se trata de una copia sector a sector del medio objeto original. En ocasiones est disponible la configuracin de conversin de geometra de la unidad y en otras no. Esto depende por completo de la geometra de la unidad original en comparacin con la unidad de restauracin. Cada unidad se define mediante una informacin de geometra de unidad CHS (cilindros-cabezales-sectores) especfica. Si los cabezales y los sectores de la imagen de la unidad original son idnticos a la unidad de restauracin de destino, las unidades se consideran del mismo tipo y la configuracin de conversin de geometra de la unidad no estar disponible. Si las unidades de origen y destino son de tipos diferentes, es decir, si la configuracin de cabezales y sectores es distinta, la configuracin de conversin de geometra de unidad estar disponible.
71
Restauracin de una unidad fsica
Para restaurar una unidad fsica de disco duro con la aplicacin EnCase 1. Instale una unidad de restauracin estril en el equipo forense, mediante una conexin distinta de IDE 0. Las aplicaciones EnCase no pueden restaurar una unidad fsica con IDE 0. Asegrese de que la unidad de restauracin prevista es al menos del mismo tamao (preferiblemente mayor) que la unidad original de la que se ha obtenido la imagen, de forma que los datos restaurados nunca sobrescriban todos los sectores de la unidad de disco duro de destino. Las aplicaciones EnCase pueden limpiar los sectores restantes de la unidad de disco duro de destino despus de restaurar los datos reales del archivo de evidencia. Se recomienda limpiar los sectores restantes. 2. Observe la unidad adquirida en el panel de informes y anote la geometra precisa de la unidad fsica de la imagen forense desde la que realiza la restauracin, incluidos los cilindros, cabezales y sectores. Anote el valor hash de la adquisicin para su posterior comparacin con la unidad restaurada. 3. En el rbol de entradas, en el panel de rbol, haga clic con el botn derecho en el disco fsico que desea utilizar como origen y seleccione la opcin de restauracin. 4. Seleccione la unidad de destino donde se restaurar el disco fsico en la lista de posibles dispositivos de destino y haga clic en Siguiente. 5. Seleccione la unidad donde restaurar la imagen y haga clic en Siguiente.
72
6.
Si se muestra la opcin de conversin de geometra de unidad seleccinela y, a continuacin, haga clic en Finalizar. 7. Para confirmar la restauracin en la unidad indicada, introduzca S en Continuar y, a continuacin, paga iniciar la restauracin fsica, haga clic en S. Cuando finaliza la restauracin, un mensaje de verificacin muestra informacin como los errores de lectura y escritura y los valores hash del archivo de evidencia y de la unidad restaurada. Los valores hash deben coincidir. Si los valores hash de la restauracin no coinciden, restaure de nuevo el archivo de evidencia. Para obtener un resultado correcto, es posible que sea necesario cambiar el medio de destino. 8. Cuando est restaurada la unidad, extraiga fsicamente el cable de alimentacin del equipo. 9. Conecte la unidad restaurada con la configuracin ms prxima a la original posible (por ejemplo, si la unidad estaba originalmente en el canal IDE 0 del equipo original, instlela ah). Esto ayudar al equipo a asignar las letras de unidad originales y conseguir as la asignacin correcta de los archivos .lnk y otros. 10. En unidades antiguas con un tamao inferior a 8,4 GB, es posible que deba reiniciar con un disquete de arranque mnimo EnCase; durante la secuencia de arranque, establezca los parmetros CHS de la unidad de restauracin en el CMOS con la geometra fsica de la unidad original, que anot anteriormente. El establecimiento de la geometra de la unidad fsica probablemente requerir sobrescribir la geometra de unidad detectada de forma automtica. 11. Utilice LinEn para calcular el valor hash de la unidad restaurada y comprelo con el valor hash de la adquisicin para garantizar su integridad. 12. Si desea arrancar la unidad, utilice un disco de arranque mnimo EnCase con FDISK copiado en l. Ejecute FDISK/MBR; ahora debe ser posible arrancar el disco restaurado. Debe ser consciente de que, tan pronto como lo arranque, se modificarn los datos subyacentes. Tenga en cuenta que se pueden producir diferencias en funcin de si se restaura un sistema de archivos NTFS o FAT32 y de si la unidad restaurada se arranca en la plataforma de hardware original donde se adquiri la unidad. Las aplicaciones EnCase realizan la restauracin con uno de los mtodos siguientes:
73
Sin FastBloc SE Con FastBloc SE La restauracin sin FastBloc SE se debe realizar por medio de la capa ASPI, dado que las unidades de disco de Windows 2000, XP y 2003 no permiten un acceso directo al disco. ASPI presenta un problema con el redondeo de los ltimos sectores que no caben en el ltimo cilindro de una unidad. ste es el motivo por el que, aunque todos los sectores son visibles cuando se lee la unidad, es posible que falte un pequeo nmero de sectores al intentar escribir. sta es una limitacin de Windows/ASPI u no de EnCase. Debido a ella, es posible que sea necesario utilizar una unidad ligeramente mayor al realizar la restauracin. Si ha adquirido el mdulo FastBloc SE, puede restaurar en una unidad controlada por FastBloc SE. Se recomienda restaurar con FastBloc SE, ya que este mdulo sustituye los controladores de Windows y permite un acceso directo al disco; de esta manera se evita la capa ASPI y sus problemas asociados. FastBloc SE puede escribir directamente en el disco, por lo que se puede restaurar en una unidad del mismo tamao. Los fabricantes de unidades tambin sealan que, aunque las unidades pueden parecer idnticas, una vez creadas las particiones es posible que no tengan la misma capacidad. Si es posible, deben utilizarse unidades del mismo lote, de forma que se lea la misma capacidad en ambas (compruebe la fecha en la etiqueta de la unidad). Las unidades de disco duro anteriores pueden contar con 2 platos, en tanto que la nueva versin puede tener slo uno, con la unidad de plato nico sin tantos bytes disponibles.
Restauracin lgica
(
Note:
) Los medios son de distintos tipos en funcin de la informacin CHS (cilindros-cabezales-sectores). El mismo tipo puede tener diferente configuracin de "cilindros", pero su informacin de cabezales y sectores (HS en CHS) ser la misma. Si la informacin de cabezales-sectores es diferente, el tipo de medio es distinto y se utiliza otra unidad de disco duro de restauracin de destino. Un volumen lgico debe restaurarse en un volumen del mismo tamao, o mayor, y del mismo tipo.
74
Para preparar una restauracin lgica, el medio de destino se debe limpiar, se deje ejecutar en l el comando FDISK, se deben crear las particiones y se debe formatear. La unidad de destino se debe formatear con el mismo tipo de sistema de archivos que el volumen que se va a restaurar (por ejemplo, FAT32 en FAT32, NTFS en NTFS, etc.). El procedimiento de restauracin de un volumen lgico es idntico al de un dispositivo fsico. En el caso del volumen lgico, en la vista de caso, haga clic con el botn derecho en el volumen y seleccione la opcin de restauracin. Cuando finaliza la restauracin lgica, se muestra un mensaje de confirmacin. El equipo se debe reiniciar para permitir el reconocimiento del volumen restaurado. Observe que el volumen restaurado slo contiene la informacin incluida en la particin seleccionada.
Arranque de la unidad de disco duro restaurada

(
Note:
) Despus de que la operacin de restauracin haya finalizado sin errores, elimine la unidad de disco duro de destino del sistema de almacenamiento e inclyala en un sistema de prueba. Conecte la alimentacin. El sistema de prueba debe iniciarse exactamente como el equipo objeto, en funcin del sistema operativo que ste ejecutaba. Existen distintas dificultades que se pueden producir en esta fase de la investigacin. La ms habitual es que no arranque el clon de la unidad objeto. Antes de intentar algo ms, compruebe el disco restaurado con FDISK y asegrese de que est establecido como unidad activa. Si no es as, establezca la unidad como activa (con la utilidad FDISK); esto debera permitir su arranque. Para efectuar el arranque de la unidad de disco duro restaurada 1. Asegrese de que la unidad de restauracin prevista es al menos del mismo tamao que el original del que se ha obtenido la imagen. 2. Instale una unidad de restauracin estril en el equipo forense, mediante una conexin distinta de IDE 0. EnCase no puede restaurar una unidad fsica con IDE 0.
75
3.
Cree una nica particin en la unidad de restauracin, pero no la formatee. 4. Con el panel de informes, anote la geometra del disco de la imagen forense de la unidad desde la que realiza la restauracin, de forma que la geometra fsica utilizada sea correcta. 5. Restaure la imagen forense de la unidad fsica en la unidad de restauracin con el parmetro de restauracin de unidad. 6. Para activar la unidad restaurada en Windows, haga clic con el botn derecho en Mi PC y seleccione Administrar Administracin de discos y, a continuacin, haga clic con el botn derecho en la unidad restaurada y seleccione Marcar particin como activa. 7. Apague el equipo y conecte la unidad restaurada con la configuracin ms prxima a la original posible. Esto ayudar al equipo a asignar las letras de unidad originales y conseguir as que los archivos .lnk y otros funcionen mejor. 8. Reinicie y establezca la configuracin de CHS de la unidad de restauracin en el CMOS con la geometra fsica de la unidad original, sobrescribiendo la geometra detectada automticamente si es necesario. Ahora debe ser posible arrancar el disco restaurado. El disco restaurado no arranca (
Note:
) Es posible que la informacin de cilindros-cabezales-sectores (CHS) en el registro maestro de arranque (MBR) de la imagen no coincida con la informacin CHS de la unidad de disco duro real. Restablezca la informacin CHS a partir del registro maestro de arranque. Arranque con un disco de arranque DOS y, en el smbolo de sistema A:\>, escriba FDISK /MBR (sin las comillas) para restablecer el registro maestro de arranque.
76
Verifique que el registro maestro de arranque dispone del archivo io.sys correcto. Ejecute de nuevo SYS en la unidad de arranque con la versin sys correcta. Por ejemplo, si el objeto tena Windows 95B, se debe ejecutar un comando sys en la unidad de disco duro desde un disco de arranque creado con Windows 95B. En el smbolo de sistema A:\>, escriba SYS C:.
Visualizacin de contenido de archivo

Introduccin a la copia y recuperacin de archivos y carpetas ........................................ 1 Funciones de copia y recuperacin ............. 1 Asistente de copia y recuperacin ....... 1 Pgina Seleccin de archivos del Asistente de copia y recuperacin ....
2
Pgina Opciones del Asistente de copia y recuperacin ...................... 4 Pgina Destino del Asistente de copia y recuperacin ................................ 6 Cuadro de dilogo Copiar carpetas ..... 8 Copia y recuperacin de archivos ................ 9 Copia y recuperacin de archivos ................ 9 Finalizacin de la pgina de seleccin de archivos del asistente de copia y recuperacin ......................................... 11 Finalizacin de la pgina de seleccin de archivos del asistente de copia y recuperacin ......................................... 11 Finalizacin de la pgina de opciones del asistente de copia y recuperacin ..... 12 Finalizacin de la pgina de opciones del asistente de copia y recuperacin ..... 12 Finalizacin de la pgina de destino del asistente de copia y recuperacin ..... 12 Finalizacin de la pgina de destino del asistente de copia y recuperacin ..... 12 Copia y recuperacin de marcadores ........ 13 Copia y recuperacin de marcadores ........ 13 Copia de carpetas ........................................ 14 Copia de carpetas ........................................ 14
Visores de archivos ......................................... 15

Caractersticas de visor de archivos .......... 16 Cuadro de dilogo Nuevo visor de archivos
.................................................................. 16
Cuadro de dilogo Tipo de archivo de visor

.................................................................. 17
Panel de visualizacin .................................... 18 Visualizacin de archivos compuestos ...... 19
Visualizacin de la estructura de archivos ....

2 2 0 0
Visualizacin de la estructura de archivos .... Visualizacin de archivos de registro ........ 21 Visualizacin de archivos de registro ........ 21 Visualizacin de archivos OLE ................... 22 Visualizacin de archivos OLE ................... 22 Visualizacin de archivos comprimidos ..... 23 Visualizacin de archivos comprimidos ..... 23 Visualizacin de archivos de Lotus Notes ....
2 2 2 2 4 4 5 5
Visualizacin de archivos de Lotus Notes .... Visualizacin de archivos de MS Exchange ... Visualizacin de archivos de MS Exchange ... Visualizacin de correo electrnico de Outlook Express .......................................................... 25 Visualizacin de correo electrnico de Outlook Express .......................................................... 25 Visualizacin de correo electrnico de MS Outlook .......................................................... 27 Visualizacin de correo electrnico de MS Outlook .......................................................... 27 Visualizacin de archivos Thumbs.db de Windows ........................................................ 29 Visualizacin de archivos Thumbs.db de Windows ........................................................ 29 Visualizacin de documentos de Office en hangul (coreano) .......................................... 30 Visualizacin de documentos de Office en hangul (coreano) .......................................... 30
Visualizacin de archivos codificados mediante Base64 y UUE ................................................... 30 Visualizacin de archivos codificados mediante Base64 y UUE ................................................... 30 Archivos NTFS comprimidos ........................ 33 Panel de galera ................................................ 34
Marcado de una imagen .............................. 36 Marcado de una imagen .............................. 36 Borrado de la cach de imgenes no vlidas
.......................................................................... 37
Borrado de la cach de imgenes no vlidas

.......................................................................... 37
Introduccin a la copia y recuperacin de archivos y carpetas

EnCase Enterprise Forensic Field Intelligence Model incluye una funcin para recuperar los archivos byte a byte. Esta funcin se denomina Copia y recuperacin. El examinador puede utilizar la funcin de recuperacin para que los archivos eliminados se puedan ver en Windows. Los archivos eliminados en un volumen FAT incluyen un carcter hexadecimal \xE5 al principio. Las aplicaciones EnCase permiten reemplazar este carcter por cualquier carcter que elija. De forma predeterminada, se utiliza el carcter de guin bajo (_). El Asistente de copia y recuperacin proporciona parmetros para recuperar el archivo y para establecer el carcter que se utiliza como sustituto del carcter de archivo eliminado.
Funciones de copia y recuperacin

(
Note:
) Las aplicaciones EnCase proporcionan las siguientes funciones de copia y recuperacin: Asistente de copia y recuperacin Cuadro de dilogo Copiar carpetas La funcin de copia y recuperacin no conserva la estructura de carpetas en tanto que la funcin Copiar carpetas s lo hace.
Asistente de copia y recuperacin

El Asistente de copia y recuperacin se utiliza para especificar qu archivos se recuperan, cmo se recuperan y dnde se guardan despus de la recuperacin.
Asistente de copia y recuperacin
El Asistente de copia y recuperacin consta de La pgina Seleccin de archivos La pgina Opciones La pgina Destino Pgina Seleccin de archivos del Asistente de copia y recuperacin (
Note:
) La pgina Seleccin de archivos del Asistente de copia y recuperacin indica si se copian o recuperan un nico archivo o un conjunto de archivos seleccionados. Adems, aqu se establece el carcter que se utilizar para sustituir el carcter que utilizan los volmenes FAT para indicar archivos eliminados.
Pgina Seleccin de archivos del Asistente de copia y recuperacin
De contiene la configuracin que determina si se copiarn y recuperarn uno o varios archivos. Archivo resaltado: si no existen archivos seleccionados en el panel de tabla, se activa este parmetro, ya que siempre existe al menos un archivo resaltado en el panel de tabla. El archivo resaltado se copiar y recuperar. Todos los archivos seleccionados: si existen varios archivos seleccionados en el panel de tabla, se puede seleccionar este parmetro. Al seleccionarlo, se puede copiar y recuperar el archivo resaltado o bien los archivos seleccionados. A contiene la configuracin para determinar cmo se generar la salida de varios archivos; este parmetro slo es relevante si se han seleccionado varios archivos para su copia y recuperacin. Archivos diferentes determina si el resultado de cada archivo que se copia y recupera se generar en su propio archivo. Fusionar en un archivo determina si la salida de todos los archivos seleccionados se fusionar en un nico archivo.
Reemplazar el primer carcter de los archivos FAT eliminados por determina qu carcter se utilizar para reemplazar el primer carcter del nombre de los archivos eliminados en el sistema de archivos FAT. Estado: esta lnea indica si se copiarn y recuperarn uno o varios archivos. Pgina Opciones del Asistente de copia y recuperacin (
Note:
) La pgina Opciones del Asistente de copia y recuperacin determina la amplitud del archivo de evidencia que se copia, si los caracteres distintos de ASCII encontrados aparecern en el archivo o archivos de salida, si los caracteres distintos de ASCII se reemplazarn por puntos en el archivo o archivos de salida y si errores en los archivos detendrn la operacin y esperarn la entrada del usuario. La configuracin de esta pgina implica al espacio muerto de RAM. El espacio muerto de RAM es el bfer entre el rea lgica y el inicio del espacio muerto del archivo. En ocasiones el espacio muerto de RAM se menciona como espacio muerto de sector.
Pgina Opciones del Asistente de copia y recuperacin
Copiar copia la configuracin que determina la amplitud del contenido del archivo de evidencia que se va a copiar. Slo archivo lgico: cuando se selecciona, la operacin de copia y recuperacin slo se lleva a cabo en el archivo lgico, lo que no incluye el espacio muerto del archivo. Archivo fsico completo: cuando se selecciona, la operacin de copia y recuperacin se realiza en el archivo fsico completo, que incluye el archivo lgico y el espacio muerto del archivo. RAM y espacio muerto del disco: cuando se selecciona, la operacin de copia y recuperacin se realiza tanto en la memoria RAM como en el espacio muerto del disco. Slo espacio muerto de RAM: cuando se selecciona, la operacin de copia y recuperacin slo se realiza en el espacio muerto de la memoria RAM. Mscara de caracteres contiene la configuracin que determinar los caracteres que se escriben en el archivo o los archivos creados por la operacin de copia y recuperacin. Ninguna: cuando se selecciona, no se aplica ninguna mscara a los caracteres (es decir, no se omite ningn carcter) en los nombres de los archivos resultantes.
No escribir caracteres distintos de ASCII: cuando se selecciona, se aplica una mscara a los caracteres distintos de ASCII (es decir, se omiten) en los nombres de los archivos resultantes. Se utilizan todos los caracteres excepto los caracteres distintos de ASCII. Reemplazar caracteres distintos de ASCII por PUNTO: cuando se selecciona, los caracteres distintos de ASCII se reemplazan por puntos en los nombres de los archivos resultantes. Mostrar errores: si esta opcin est seleccionada, la aplicacin consulta al usuario cuando se producen errores. Esto impide la ejecucin desatendida de la operacin de copia y recuperacin. Pgina Destino del Asistente de copia y recuperacin (
Note:
) La pgina Destino del Asistente de copia y recuperacin determina dnde se guardarn los resultados de la operacin de copia y recuperacin, cuntos archivos se crearn si un archivo de salida presenta un tamao demasiado grande, si se utilizar el tamao inicializado y la carpeta de destino que contendr el resultado de la operacin de copia y recuperacin.
Pgina Destino del Asistente de copia y recuperacin
Copiar muestra el nmero de archivos que se van a copiar y recuperar, as como el nmero total de bytes que ocupan el o los archivos que se crean con la operacin de copia y recuperacin. Ruta contiene la ruta y el nombre de archivo, en el sistema de archivos del equipo del investigador, del archivo o los archivos que crea la operacin de copia y recuperacin. Dividir archivos por encima de contiene la longitud mxima, que no puede ser superior a 2.000 MB, de los archivos que crea la operacin de copia y recuperacin. Si el nmero total de bytes que ocupa un archivo de salida supera este valor, la salida adicional se dirige a un nuevo archivo y contina en l. Utilizar tamao inicializado determina si slo se buscar el tamao inicializado de una entidad, como oposicin al tamao lgico, valor predeterminado, o el tamao fsico. Esta configuracin slo est activa en sistemas de archivos NTFS. Cuando se escribe un archivo NTFS, el tamao inicializado puede ser menor que el tamao lgico, en cuyo caso se aplican ceros al espacio posterior al tamao inicializado.
Cuadro de dilogo Copiar carpetas

(
Note:
) Este cuadro de dilogo se utiliza para copiar carpetas completas seleccionadas en el panel de rbol y conservar la estructura de carpetas.
Cuadro de dilogo Copiar carpetas
Origen muestra la carpeta Entities que se copia y recupera. Copiar muestra el nmero de archivos que se van a copiar y recuperar, as como el nmero total de bytes que ocupan el o los archivos que se crean con la operacin de copia y recuperacin. Ruta contiene la ruta y el nombre de archivo, en el sistema de archivos del equipo del investigador, del archivo o los archivos que crea la operacin de copia y recuperacin.
Dividir archivos por encima de contiene la longitud mxima, que no puede superar los 2.000 MB, del archivo que crea la operacin de copia y recuperacin. Si el nmero total de bytes que ocupa un archivo de salida supera este valor, la salida adicional se dirige a un nuevo archivo y contina en l. Reemplace el primer carcter de los archivos FAT eliminados por determina qu carcter se utilizar para sustituir el primer carcter del nombre de los archivos eliminados en el sistema de archivos FAT. Copiar slo archivos seleccionados en cada carpeta: cuando se seleccionan archivos individuales en la carpeta o carpetas seleccionadas, esta configuracin determina si se copian y recuperan slo los archivos seleccionados o bien todos los archivos de la carpeta seleccionada. Mostrar errores: si esta opcin est seleccionada, la aplicacin no consulta al usuario cuando se producen errores. Esto permite la ejecucin desatendida de la operacin de copia y recuperacin.
Copia y recuperacin de archivos

Es posible recuperar uno o ms archivos seleccionados. La recuperacin produce una copia.
10
Copia y recuperacin de archivos
Para copiar y recuperar un archivo:
11
1.
2. 3.
4.
5.
6.
En el panel de rbol, resalte la carpeta que contenga los archivos que se van a recuperar. El contenido de la carpeta se mostrar en el panel de tabla. En el panel de tabla, resalte el archivo o seleccione los archivos que desee recuperar. Haga clic con el botn derecho en el archivo resaltado y, a continuacin, en la opcin de copia y recuperacin. Se mostrar la pgina de seleccin de archivos del asistente de copia y recuperacin. Complete la pgina de seleccin de archivos del asistente de copia y recuperacin y haga clic en Siguiente. Se mostrar la pgina de opciones del asistente de copia y recuperacin. Complete la pgina de opciones del asistente de copia y recuperacin y haga clic en Siguiente. Se mostrar la pgina de destino del asistente de copia y recuperacin. Complete la pgina de destino del asistente de copia y recuperacin y haga clic en la opcin para finalizar. De esta forma, se ejecuta la operacin de copia y recuperacin. Los archivos resultantes se guardarn en el directorio especificado en la pgina de destino.
Finalizacin de la pgina de seleccin de archivos del asistente de copia y recuperacin

(
Note:
) La pgina de seleccin de archivos es la primera pgina del asistente de copia y recuperacin. Para completar la pgina de seleccin de archivos del asistente de copia y recuperacin: 1. Si se han seleccionado varios archivos en el panel de tabla antes de abrir el asistente, determine si los el archivo o los archivos resaltados se van a copiar y recuperar y, a continuacin, haga clic en Archivo resaltado o Todos los archivos seleccionados. 2. Si se han seleccionado varios archivos en el panel de tabla antes de abrir el asistente, determine si desea obtener un conjunto de archivos o un nico archivo como resultado de la operacin de copia y
12
3.
4.
recuperacin y, a continuacin, haga clic en Varios archivos o en Fusionar en un archivo. Si desea utilizar un carcter diferente al de subrayado como sustituto del indicador de archivos eliminados del sistema de archivos FAT, introduzca dicho carcter en el campo Reemplace el primer carcter de los archivos FAT eliminados por. Haga clic en la opcin Siguiente. Se mostrar la pgina de opciones del asistente de copia y recuperacin.
Finalizacin de la pgina de opciones del asistente de copia y recuperacin

(
Note:
) La pgina de opciones es la segunda pgina del asistente de copia y recuperacin. Para completar la pgina de opciones del asistente de copia y recuperacin: 1. Determine el alcance de los elementos que se van a copiar y recuperar, y haga clic en el control correspondiente a dicho alcance. 2. Determine el tipo de mscara que desea emplear durante la operacin de copia y recuperacin, y haga clic en el control que garantice el uso de la mscara adecuada. 3. Decida si desea que la operacin de copia y recuperacin se detenga al detectar un error o si proseguir a pesar de hallar errores, lo cual equivale a preguntarle si desea que la operacin de copia y recuperacin se ejecute sin supervisin. Para este tipo de ejecucin, seleccione Mostrar errores; en caso contrario, desactive Mostrar errores. 4. Haga clic en la opcin Siguiente. Se mostrar la pgina de destino del asistente de copia y recuperacin.
Finalizacin de la pgina de destino del asistente de copia y recuperacin

La pgina de destino es la ltima pgina del asistente de copia y recuperacin. Para completar la pgina de destino del asistente de copia y recuperacin:
13
1.
2. 3. 4.
Si lo desea, proporcione una ruta y un nombre de archivo para guardar los resultados de la operacin de copia y recuperacin. Si lo desea, cambie el valor de Dividir archivos por encima de. Si la opcin Utilizar tamao inicializado se encuentra disponible y desea utilizarla, seleccinela. Haga clic en la opcin para finalizar. Se iniciar la operacin de copia y recuperacin. Durante su ejecucin, la lnea de estado de subprocesos mostrar el progreso de la operacin. Una vez completado el subproceso, se mostrar un cuadro de dilogo de resultados. Los resultados se guardarn en la carpeta correspondiente del sistema y, si as se solicita, los archivos de resultados se grabarn en el disco en el directorio especificado o predeterminado. La lnea de estado de subprocesos mostrar el progreso de la operacin.
Copia y recuperacin de marcadores

(
Note: Tambin es posible copiar y recuperar archivos marcados. Independientemente de que se copien uno o ms marcadores, el proceso no vara. Si se ha eliminado el archivo y ste se encuentra en un espacio sin asignar, el asistente de copia y recuperacin intentar copiar todo este espacio, dado que los datos pertenecientes al archivo residen en l.
) Para copiar y recuperar archivos marcados: 1. En el panel del rbol de marcadores, seleccione la carpeta de marcadores que desee. 2. En el panel de tabla, seleccione los marcadores que desee. 3. En el panel de tabla, haga clic con el botn derecho y, a continuacin, seleccione Marcar archivos seleccionados. Se seleccionarn los archivos asociados a los marcadores eliminados y se mostrarn todos en el panel de la tabla de entradas. 4. Desplcese hasta el panel de entradas y, en el panel de tabla, haga clic con el botn derecho en uno de los archivos seleccionados y, a continuacin, haga clic en Copia y recuperacin. Se mostrar la pgina de seleccin de archivos del asistente de copia y recuperacin.
14
5.
Contine con el proceso de copia y recuperacin por el paso 4 de Copia y recuperacin de archivos. Se copiarn y recuperarn los archivos asociados con los marcadores seleccionados.
Copia de carpetas
(
Note:
Copia y recuperacin de carpetas completas
Para copiar carpetas: 1. En el panel de rbol, seleccione las carpetas que se copiarn y recuperarn y, a continuacin, si lo desea, desactive en el panel de tabla cada uno de los archivos que no desee copiar ni recuperar. 2. En el panel de tabla, haga clic con el botn derecho y, a continuacin, seleccione Copiar carpetas. Se mostrar el cuadro de dilogo Copiar carpetas. 3. Modifique la configuracin de este cuadro de dilogo de acuerdo con sus preferencias. Si desea obtener ms informacin, consulte Cuadro de dilogo Copiar. Se iniciar la operacin de copia. Durante su ejecucin, la lnea de estado de subprocesos mostrar el progreso de la operacin. Una vez completado el subproceso, se mostrar un cuadro
15
de dilogo de resultados. Los resultados se guardaron en la correspondiente carpeta del sistema. La lnea de estado de subprocesos mostrar el progreso de la operacin. El proceso puede detenerse en la lnea de estado de subprocesos.
16
Visores de archivos
(
Note:
) En ocasiones, un investigador encontrar tipos de archivos para los que las aplicaciones EnCase no disponen de utilidades incorporadas para su visualizacin o bien desea ver un tipo de archivo que no es compatible con las aplicaciones EnCase con un programa o una herramienta de terceros. En estos casos, es necesario Agregar un visor de archivos a la aplicacin EnCase. Consulte Cmo agregar visores de archivos a la aplicacin EnCase. Asociar los tipos de archivo del visor con ste. Consulte Asociacin del tipo de archivo del visor de archivos con el visor.
Caractersticas de visor de archivos

(
Note:
) Las aplicaciones EnCase proporcionan las siguientes caractersticas de visor de archivos: Cuadro de dilogo Nuevo visor de archivos Cuadro de dilogo Ver tipo de archivo
Cuadro de dilogo Nuevo visor de archivos

(
Note:
) El cuadro de dilogo Nuevo visor de archivos se utiliza para agregar visores de archivos a la aplicacin EnCase.
17
Cuadro de dilogo Nuevo visor de archivos
Nombre contiene el nombre del visor de archivos. Maximizar cuadro de dilogo de visualizacin determina si el visor de archivos se abre en una ventana nueva maximizada. Ruta de la aplicacin contiene la ruta y el nombre de archivo del ejecutable del visor. Lnea de comandos contiene una referencia al ejecutable y cualquier parmetro utilizado para personalizar la ejecucin del visor.

(
Note:
) El cuadro de dilogo Tipo de archivo de visor asocia tipos de archivos con visores.
18
Descripcin contiene la descripcin del tipo de archivo que se va a asociar con el visor de archivos. Extensiones contiene una lista de tipos de archivo que se van a asociar con el visor de archivos. Imagen determina si el archivo se muestra como una imagen en el panel de galera. Visor contiene la configuracin para determinar el tipo del visor y, en el caso de visores instalados, el visor especfico asociado con el tipo de archivo que se define. EnCase determina si se asocia el visor EnCase incorporado con el tipo de archivo que se define. Windows determina si se asocia Windows con el tipo de archivo que se define. Visor instalado determina si se asocia un visor instalado con el tipo de archivo y permite utilizar el rbol de visores instalados para seleccionar el visor especfico que se utilizar con el tipo de archivo que se define. El rbol de visores instalados contiene los visores de archivos que actualmente conoce la aplicacin EnCase y proporciona los medios para seleccionar el visor de archivos que se asociar con el tipo de archivo que se define.
19
Panel de visualizacin
(
Note:
) El panel de visualizacin permite mostrar el contenido de un archivo como texto caracteres hexadecimales un documento una transcripcin una imagen El panel de texto permite visualizar los archivos como texto en formato ASCII y Unicode. El panel de formato hexadecimal permite ver los archivos directamente en formato hexadecimal. El panel de documentos permite ver los archivos en los formatos nativos compatibles con la tecnologa Outside In. El panel de transcripcin muestra los mismos formatos que el panel de documentos, aunque utiliza filtros para eliminar el formato y el ruido, lo que permite visualizar archivos que no es posible ver correctamente en el panel de documentos. Los paneles de documentos y transcripcin emplean tecnologa Outside In para mostrar los archivos en su formato nativo. Para acceder a una lista de los formatos admitidos, haga clic en el enlace de formatos admitidos que se encuentra en la direccin http://www.stellent.com/en/products/outside_in/viewer_tech/index.htm .
20
Visualizacin de archivos compuestos

(
Note:
) Las aplicaciones EnCase permiten ver los componentes individuales de los archivos compuestos de un archivo de evidencia. Esto se consigue mediante la visualizacin de la estructura de archivos. Consulte Visualizacin de la estructura de archivos. Por lo general, los archivos compuestos son archivos que constan de varias capas que contienen otros archivos. Entre los archivos compuestos que se pueden ver con la aplicacin EnCase se incluyen los siguientes: Archivos de registro Archivos OLE Archivos comprimidos Lotus Notes MS Exchange Correo electrnico de Outlook Express Correo electrnico de MS Outlook Windows Thumbs.db Archivos ART de American Online Documentos de Office en coreano Hangul Archivos PAX de Macintosh Adems, el programa EnScript File Mounter (montador de archivos) permite al examinador seleccionar un tipo de archivo (DBX, GZip, PST, Tar, Thumbs.db o Zip) y, siempre que tengan una firma vlida, montarlos automticamente. Consulte File Mounter (Montador de archivos).
Visualizacin de la estructura de archivos

(
Note: Una vez que los archivos forman parte del caso, es posible visualizarlos en diversos formatos de salida. Los archivos compuestos, aqullos que contienen otros archivos, tienen una estructura. La visualizacin de la estructura de archivos de un archivo compuesto muestra su contenido y permite consultar dichos archivos.
21
Abra un caso y habilite la visualizacin de archivos sueltos. Se mostrar el rbol de entradas en el panel de entradas, y la tabla de entradas. Los archivos que se deseen visualizar debern haberse movido a la tabla de entidades del panel de tabla.
Visualizacin de la estructura de archivos
Para visualizar un archivo compuesto: 1. Desplcese hasta el archivo compuesto que desee visualizar tal y como aparece en el panel de tabla. 2. Haga clic con el botn derecho en el archivo compuesto que desee visualizar y, a continuacin, haga clic en la opcin de visualizacin de estructura de archivos. Se mostrar el cuadro de mensaje de visualizacin de la estructura de archivos. 3. Haga clic en S. El archivo compuesto mostrado se sustituir en los paneles de vista y tabla por una carpeta, un icono de volumen compuesto. Se mostrar la estructura de archivos del archivo compuesto, y los archivos que lo componen se mostrarn en la vista seleccionada.
Visualizacin de archivos de registro

(
Note:
22
El registro de Windows contiene valiosos datos que proporcionan una gran cantidad de informacin sobre la configuracin de los equipos objeto. Es posible montar los archivos de registro de Windows 95, 98, ME, NT 4.0, 2000 y XP. Los equipos con Windows 95, 98 y ME tienen dos archivos de registro. stos se encuentran en la carpeta raz del sistema, que suele ser C:\Windows. El nombre de los archivos es system.dat y user.dat. Windows NT 4.0, 2000 y XP dividen el registro en cuatro archivos diferentes, denominados "security", "software", "SAM" y "system". Estos archivos se almacenan en C:\%SYSTEMROOT%\system32\config\.
Visualizacin de archivos de registro
Para visualizar o montar archivos de registro: 1. Desplcese hasta el archivo de registro que desee visualizar o montar. 2. Realice el procedimiento de Visualizacin de la estructura de archivos a partir del paso 2. Se mostrar la estructura de archivos del archivo de registro, y las capas o los archivos que lo componen en la carpeta de volumen se pueden abrir y mostrar en la vista que desee.
Visualizacin de archivos OLE

(
Note:
23
OLE es la tecnologa de incrustacin y vinculacin de objetos de Microsoft en la que se basa el paquete Office de productos de Microsoft. La tecnologa OLE permite incrustar sin problemas una hoja de clculo de Excel en un documento de Word. Los documentos de Microsoft Office que utilizan esta tecnologa son archivos compuestos en capas.
Visualizacin de archivos OLE
Para visualizar o montar archivos OLE: 1. Desplcese hasta el archivo OLE que desee visualizar o montar. 2. Realice el procedimiento de Visualizacin de la estructura de archivos a partir del paso 2. Se mostrar la estructura de archivos del archivo OLE, y las capas o los archivos que lo componen en la carpeta de volumen se pueden abrir y mostrar en la vista que desee.
Visualizacin de archivos comprimidos

(
Note:
) Las aplicaciones EnCase pueden montar archivos comprimidos, entre los que se incluyen archivos WinZip (.zip), GZip (.gz) y archivos de cinta Unix (.tar). El contenido se muestra siempre que el contenedor no est protegido por contrasea.
24
En los archivos .gz y .tar slo se muestra la fecha y hora de modificacin, ya que el proceso de compresin no almacena ninguna otra fecha u hora. La etiqueta de los archivos GZip no corresponde al nombre, sino slo al tipo de archivo que contienen y una extensin .gz. Por ejemplo, al descomprimir el archivo documento.doc.gz se muestra el archivo .doc sin descomprimido.
Visualizacin de archivos comprimidos
Para visualizar o montar archivos comprimidos: 1. Desplcese hasta el archivo comprimido que desee visualizar o montar. 2. Realice el procedimiento de Visualizacin de la estructura de archivos a partir del paso 2. Se mostrar la estructura de archivos del archivo comprimido, y las capas o los archivos que lo componen en la carpeta de volumen se pueden abrir y mostrar en la vista que desee.
Visualizacin de archivos de Lotus Notes

(
Note:
) Las versiones 5, 6, 6.5 y 7 de Lotus Notes son compatibles con el formato NSF, lo que permite la visualizacin de entradas de diario, citas y correo electrnico. Para visualizar archivos de Lotus Notes: 1. Desplcese hasta el archivo .NFS que desee visualizar o montar.
25
2.
Segn sea necesario, seleccione la opcin de clculo del espacio sin asignar, a continuacin, la de bsqueda de contenido eliminado y contine con el procedimiento de Visualizacin de la estructura de archivos a partir del paso 2. Se mostrar la estructura del archivo de correo electrnico (.NSF), y las capas o los archivos que lo componen en la carpeta de volumen se pueden abrir y mostrar en la vista que desee. Fjese en que el icono del archivo de correo electrnico compuesto parece una unidad de disco y que no se agrega al icono ningn indicador de volumen compuesto despus del anlisis.
Visualizacin de archivos de MS Exchange

(
Note:
) La compatibilidad con el formato .edb de MS Exchange 2000/2003 permite la visualizacin de buzones y correos electrnicos. Para visualizar archivos de MS Exchange: 1. Desplcese hasta el archivo .EDB que desee visualizar o montar. 2. Segn sea necesario, seleccione la opcin de clculo del espacio sin asignar, a continuacin, la de bsqueda de contenido eliminado y contine con el procedimiento de Visualizacin de la estructura de archivos a partir del paso 2. Se mostrar la estructura del archivo de correo electrnico (.EDB), y las capas o los archivos que lo componen en la carpeta de volumen se pueden abrir y mostrar en la vista que desee. Fjese en que el icono del archivo de correo electrnico compuesto parece una unidad de disco y que no se agrega al icono ningn indicador de volumen compuesto despus del anlisis.
Visualizacin de correo electrnico de Outlook Express

(
Note:
26
Las aplicaciones EnCase pueden leer archivos .DBX de Outlook Express. Una vez analizada la estructura de archivos, la tabla de entradas y la tabla de registros que aparecen en el panel de tabla muestran la lnea de asunto de cada uno de los correos electrnicos. Los documentos adjuntos se muestran en el panel de la tabla de registros. El panel de visualizacin muestra el contenido de los documentos adjuntos o los mensajes de correo electrnico seleccionados. Los documentos adjuntos y los correos electrnicos se pueden recuperar desde los clsteres no asignados.
Visualizacin de correo electrnico de Outlook Express
Desplcese hasta el archivo de correo electrnico (.DBX) que desee visualizar o montar. 1. Desplcese hasta el archivo .DBX que desee visualizar o montar. 2. Segn sea necesario, seleccione la opcin de clculo del espacio sin asignar, a continuacin, la de bsqueda de contenido eliminado y contine con el
27
procedimiento de Visualizacin de la estructura de archivos a partir del paso 2. Se mostrar la estructura del archivo de correo electrnico (.DBX), y las capas o los archivos que lo componen en la carpeta de volumen se pueden abrir y mostrar en la vista que desee. Fjese en que el icono del archivo de correo electrnico compuesto parece una unidad de disco y que no se agrega al icono ningn indicador de volumen compuesto despus del anlisis.
Visualizacin de correo electrnico de MS Outlook

(
Note:
) El proceso de montaje de archivos .PST de Outlook es idntico al de Outlook Express descrito con anterioridad. Cuando las aplicaciones EnCase montan un archivo .PST de Outlook, haga clic en el archivo PR_Body y seleccione el panel de texto del panel de visualizacin para consultar los mensajes. Dado que probablemente el texto utilice Unicode, aplique un estilo de texto de Unicode para facilitar su lectura. Cuando se ampla, el nivel superior (o raz) del directorio de archivos .PST contiene varias carpetas, entre las que se incluyen Propiedades de la bandeja de entrada Ubicacin de almacenamiento de mensajes (almacenamiento, que incluye el archivo PR_PST_PASSWORD y otras ID) Asignacin de nombres a ID Carpeta raz La carpeta raz contiene los elementos siguientes: Raz de bsqueda (reservada para su uso en un futuro) Nivel superior de carpetas personales, que incluye la bandeja entrada, los elementos enviados y los elementos eliminados Cada archivo de mensaje de correo electrnico PST se muestra como una carpeta con todas las propiedades del mensaje dentro de la carpeta, as como cualquier archivo adjunto asociado al mensaje de correo electrnico.
28
Muchos de los campos de la carpeta de correo .PST estn duplicados, lo cual es una caracterstica del formato .PST. Si una palabra clave coincide en un campo concreto, se duplicar tambin en el campo secundario. Los mensajes de correo electrnico definen las fechas de creacin, escritura y modificacin. Las aplicaciones del calendario definen las entradas de calendario de Outlook (fechas de creacin, escritura y modificacin).
Visualizacin de correo electrnico de MS Outlook
Para visualizar o montar un correo electrnico de MS Outlook: 1. Desplcese hasta el archivo .PST que desee visualizar o montar. 2. Segn sea necesario, seleccione la opcin de clculo del espacio sin asignar, a continuacin, la de bsqueda de contenido eliminado y contine con el procedimiento de Visualizacin de la estructura de archivos a partir del paso 2. Se mostrar la estructura de archivos del archivo de correo electrnico, y las capas o los archivos que lo componen en la carpeta de volumen se pueden abrir y mostrar en la vista que desee. Fjese en que el icono del archivo de correo electrnico compuesto se muestra como un volumen despus de su montaje.
29
Visualizacin de archivos Thumbs.db de Windows

(
Note:
) Las aplicaciones EnCase admiten el anlisis de los archivos thumbs.db de cach de imgenes de Windows. Una vez montados, aparecen el volumen de la cach de vistas en miniatura y la versin. Las vistas en miniatura V2 estn en formato de mapa de bits, mientras que las versiones posteriores son archivos .png modificados. La carpeta de entrada raz contiene el archivo de catlogo con el nombre de las miniaturas almacenadas en cach, la ruta completa y las propias imgenes almacenadas en la cach. Thumbs.db tambin incluye un registro de la fecha en la que se modific la imagen por ltima vez.
Visualizacin de archivos Thumbs.db de Windows
Para visualizar o montar un archivo thumbs.db de Windows: 1. Desplcese hasta el archivo que desee de thumbs.db. 2. Haga clic con el botn derecho en el archivo y, a continuacin, haga clic en la opcin de visualizacin de estructura de archivos.
30
3.
En funcin de sus necesidades, seleccione la opcin de clculo del espacio sin asignar y contine con el procedimiento de Visualizacin de la estructura de archivos a partir del paso 2. Se mostrar la estructura de archivos del archivo de correo electrnico (.PST), y las capas o los archivos que lo componen en la carpeta de volumen se pueden abrir y mostrar en la vista que desee. El indicador de volumen compuesto se agrega a la carpeta thumbs.db una vez analizada.
Visualizacin de documentos de Office en hangul (coreano)

(
Note:
) Es posible analizar los documentos de Office escritos en el alfabeto hangul (coreano) mediante la visualizacin de la estructura de archivos. Para visualizar documentos de Office en hangul (coreano): 1. Desplcese hasta el archivo .HWP que desee visualizar o montar. 2. Segn sea necesario, seleccione la opcin de clculo del espacio sin asignar, a continuacin, la de bsqueda de contenido eliminado y contine con el procedimiento de Visualizacin de la estructura de archivos a partir del paso 2. Se mostrar la estructura del archivo de correo electrnico (.HWP), y las capas o los archivos que lo componen en la carpeta de volumen se pueden abrir y mostrar en la vista que desee. Fjese en que el icono del archivo de correo electrnico compuesto parece una unidad de disco y que no se agrega al icono ningn indicador de volumen compuesto despus del anlisis.
31
Visualizacin de archivos codificados mediante Base64 y UUE

(
Note:
) Las aplicaciones EnCase muestran automticamente archivos adjuntos codificados mediante Base64 y UUE al montar el archivo de correo. Para estas codificaciones, puede realizar una bsqueda de palabras clave correspondiente a Base64 o UUE, o bien conocer que se ha aplicado esta codificacin al archivo.
32
Visualizacin de archivos codificados
Para visualizar archivos codificados mediante Base64 y UUE: 1. Resalte el archivo en el panel de tabla, de modo que el contenido del mismo se muestre en el panel de texto del panel de visualizacin; resalte el primer carcter, haga clic con el botn derecho y, a continuacin, haga clic en la opcin de datos del marcador. Se mostrar el cuadro de dilogo de datos del marcador.
33
2.
En la seccin de tipo de datos, seleccione Imagen codificada mediante Base64 o Imagen codificada mediante UUE. La imagen se procesar en el panel de contenido.
34
Archivos NTFS comprimidos

(
Note:
) EnCase descomprime, visualiza y busca archivos NTFS comprimidos en tiempo real o al momento, ya que detecta cuando se ha comprimido un archivo y automticamente lo descomprime para facilitar el anlisis. La funcin de bsqueda en archivos y carpetas comprimidos ha mejorado en gran medida. Los datos de los archivos se muestran en formato descomprimido en los diferentes paneles del panel de visualizacin. El investigador tambin puede ver datos del archivo sin comprimir en el panel de disco del panel de tabla.
35
Panel de galera
(
Note:
) El panel de galera proporciona un mtodo rpido y sencillo para ver imgenes almacenadas en el medio objeto. Esto incluye todas las imgenes grabadas intencionadamente as como las imgenes descargadas involuntariamente de la Web. Se puede acceder a todas las imgenes de una carpeta resaltada, de un volumen resaltado o de todo el caso. Si una carpeta est resaltada en el panel de rbol, se muestran en el panel de rbol todos los archivos incluidos en ella. Al hacer clic en la opcin de elementos incluidos en el conjunto de una carpeta, se seleccionan todos los archivos de dicha carpeta y los archivos de sus subcarpetas. Una vez seleccionados en el panel de tabla, en el panel de galera se muestran las imgenes de los archivos seleccionados. En el panel de galera se pueden asignar marcadores a las imgenes para mostrarlas en el informe. El panel de galera muestra de forma predeterminada los archivos segn su extensin de archivo. Por ejemplo, si la extensin de un archivo .png se ha cambiado a .dll, NO se mostrar en el panel de galera hasta que se haya ejecutado un anlisis de firma. Una vez que el anlisis de firma haya reconocido que se ha cambiado el nombre del archivo y que de hecho se trata de una imagen, se mostrar en el panel de galera. Las aplicaciones EnCase incluyen proteccin contra bloqueos incorporada, que impide la aparicin de imgenes grficas daadas en los paneles de galera o de imagen. Las imgenes daadas se almacenan en la memoria cach; de esta forma se reconocen la prxima vez que se accede a ellas y no se muestran. Estas imgenes se almacenan en la memoria cach en el nivel de caso, por lo que no se volver a intentar mostrarlas en dicho archivo de cado hasta que se haya ejecutado un anlisis de firma.
36
La memoria cach se puede borrar. Esta opcin slo aparece en el men contextual si se encuentra una imagen daada. El tiempo asignado al subproceso que intenta leer un archivo de imagen daado, con un valor predeterminado de 12 segundos, se puede modificar en el panel Global del cuadro de dilogo Opciones.
Marcado de una imagen

(
Note:
) Se pueden marcar las imgenes en el panel de galera del panel de tabla.
Marcar una o varias imgenes
Para marcar una imagen 1. Seleccione las imgenes que desee. 2. Haga clic con el botn derecho en la imagen resaltada y, a continuacin, en la opcin de archivo de marcador. Se mostrar el cuadro de dilogo de archivos del marcador. 3. Modifique la configuracin si es necesario y haga clic en Aceptar. Las imgenes se han marcado. Las podr ver en el panel de tabla cuando se muestre el rbol de marcadores.
37
Borrado de la cach de imgenes no vlidas

(
Note:
) El programa incorpora proteccin contra bloqueos, lo que impide que aparezcan en la vista de galera o imagen archivos grficos que estn daados. Las imgenes daadas se almacenan en la cach de modo que EnCase las reconozca la prxima vez que se acceda a ellas, y no intenta mostrarlas. Estas imgenes se almacenan en la memoria cach en el nivel de casos, de modo que las imgenes no se mostrarn de nuevo en dicho archivo de caso. Para poder borrar la memoria cach, es necesario que el rbol de casos se muestre en el panel de casos del panel de rbol. Y esta operacin slo puede realizarse si se halla una imagen daada. 1. En el rbol de casos, haga clic en el objeto raz de casos. 2. Haga clic en la opcin para borrar la cach de imgenes no vlidas.
Anlisis y bsqueda de archivos

Anlisis y bsqueda de archivos ................... 1 Anlisis de firma .................................................. 1
Firmas de archivo ........................................... 2 Visualizacin del directorio de firmas de archivos ................................................... 2 Visualizacin del directorio de firmas de archivos ................................................... 2 Adicin de una firma nueva ................... 3 Adicin de una firma nueva ................... 3 Edicin de una firma .............................. 4 Edicin de una firma .............................. 4 Realizacin de un anlisis de firma ............. 4 Visualizacin de resultados de anlisis de firma ......................................................... 5 Leyenda del anlisis de firma ........ 6
Lenguaje de programacin EnScript ............ 7 Se incluyen los componentes EnScript ....... 8 Tipos de EnScript ............................................... 8 Aplicacin de un algoritmo hash a archivos ...
9
Hash de nuevos casos ................................ 10 Hash de nuevos casos ........................ 10 Hash de nuevos casos ........................ 10
Anlisis hash ...................................................... 11 Conjuntos hash ................................................. 12

Creacin de un conjunto hash .................... 13 Creacin de un conjunto hash .................... 13 Reconstruccin de una biblioteca hash ..... 15 Reconstruccin de una biblioteca hash ..... 15 Visualizacin de los resultados de la bsqueda de hash .......................................................... 16 Visualizacin de los resultados de la bsqueda de hash .......................................................... 16
Bsquedas de palabras clave ...................... 16

Creacin de palabras clave globales ......... 17 Creacin de palabras clave globales ......... 17 Adicin de palabras clave .................. 18
Adicin de palabras clave .................. 18 Creacin de palabras clave internacionales

.................................................................. 21
Creacin de palabras clave internacionales

.................................................................. 21
Probador de palabras clave ................ 21 Probador de palabras clave ................ 21 Palabras clave locales ................................. 23 Palabras clave locales ................................. 23 Importacin de palabras clave .................... 23 Importacin de palabras clave .................... 23 Exportacin de palabras clave ................... 24 Exportacin de palabras clave ................... 24 Bsqueda de entradas para correo electrnico y aplicaciones de Internet ........................... 25 Bsqueda de entradas para correo electrnico y aplicaciones de Internet ........................... 25 Bsquedas en Internet ................................ 27 Realizacin de bsquedas .......................... 27 Opciones de bsqueda ........................ 28 Visualizacin de aciertos de bsqueda de registros ................................................. 29 Visualizacin de aciertos de bsqueda ...
3 0
Exclusin de archivos .......................... 31 Exclusin de archivos .......................... 31 Visualizacin de archivos excluidos

.......................................................... 32
Visualizacin de archivos excluidos

.......................................................... 32
Eliminacin de archivos ............................... 33 Eliminacin de archivos ............................... 33 Visualizacin de archivos eliminados ....
3 3 4 4
Visualizacin de archivos eliminados ....
Indizacin ............................................................ 34
Creacin de un ndice .................................. 35 Creacin de un ndice .................................. 35 Reglas generales para la indizacin de casos
.......................................................................... 35
Reglas generales para la indizacin de casos

.......................................................................... 35
Indizacin de un caso creado recientemente

.......................................................................... 38

.......................................................................... 38
Ejecucin de un ndice ................................ 39 Ejecucin de un ndice ................................ 39
Bsqueda de correo electrnico .................. 40

Analizador de correo Web ........................... 41 Analizador de correo Web ........................... 41
Descriptores de aplicacin ............................ 43

Creacin manual descriptores de aplicaciones
.......................................................................... 44

.......................................................................... 44
Creacin de un descriptor de aplicacin mediante un programa EnScript ................. 45 Creacin de un descriptor de aplicacin mediante un programa EnScript ................. 45

(
Note: El objetivo del software EnCase Enterprise Forensic Field Intelligence Model es localizar, aplicar un algoritmo hash a los archivos y analizarlos. Se ha mejorado el motor de bsqueda del software con respecto a versiones anteriores para hacerlo ms slido, rpido y eficaz. En este captulo se incluye informacin relativa a las caractersticas.
) En el software se incluyen los anlisis de firma, visualizacin y uso de resultados, creacin y uso de conjuntos hash y anlisis de resultados de hash.
Anlisis de firma
(
Note: Existen miles de tipos de archivos, algunos de los cuales estn estandarizados. La Organizacin Internacional de Normalizacin (ISO) y el Sector de normalizacin de las telecomunicaciones de la Unin Internacional de las Telecomunicaciones (ITU-T) trabajan en la normalizacin de distintos tipos de datos electrnicos.
) Estas organizaciones han convertido en estndar los formatos de archivo de grficos ms utilizados, como los JPEG (Joint Photographic Experts Group). Cuando se estandariza un tipo de archivo, antes de los datos se incluye una firma o encabezado que reconoce el programa. Los encabezados de archivo se asocian a extensiones de archivo concretas. La comparacin de los encabezados y las extensiones de archivo se realiza a travs del anlisis de firma de archivos.
Firmas de archivo
(
Note: Las extensiones de archivo son caracteres (tres por lo general) que siguen al punto en un nombre de archivo. Indican el tipo de datos que representa el archivo. Por ejemplo, se supone que el archivo con una extensin .TXT es un archivo de texto. Los encabezados de archivo contienen informacin de identificacin denominada firma. Todos los tipos de archivo iguales tienen el mismo encabezado. Por ejemplo, los archivos grficos .png utilizan BM8 como firma.
) Una tctica de ocultacin de datos para disfrazar la verdadera naturaleza de un archivo consiste en cambiar su extensin. Un archivo de imagen JPEG con una extensin DLL no se suele reconocer como imagen en la mayora de los programas. As, una comparacin entre la firma de un archivo y su extensin identifica los archivos que se han modificado deliberadamente. Cuando se selecciona la opcin de anlisis de firma, el software la ejecuta en segundo plano.
Visualizacin del directorio de firmas de archivos

(
Note: Para visualizar la tabla de firmas de archivos de un caso, realice el procedimiento siguiente:
) Abra un caso y un archivo de evidencia.
1.
Seleccione el men de visualizacin de firmas de archivos. Se mostrar un directorio de archivos de caso.
2.
Haga clic en la opcin de elementos incluidos en el conjunto. En el panel de tabla se mostrar una lista de todas las firmas de archivos.
En la lista que se muestra, agregue firmas nuevas o edite las ya existentes.
Adicin de una firma nueva

(
Note: En ocasiones, puede que una firma de archivos no se encuentre en la tabla. Realice el procedimiento siguiente para agregar una:
) 1. 2.
Haga clic en Ver Firmas de archivos . Haga clic con el botn derecho en el panel de tabla y seleccione Nuevo. Se mostrar el cuadro de dilogo para agregar una firma de archivos nueva.
3.
Complete los campos y haga clic en Aceptar. La expresin de bsqueda es el encabezado o firma del archivo. El nombre es cualquier ttulo descriptivo. La opcin para distinguir entre maysculas y minsculas permite filtrar la bsqueda y realizarla tal y como aparece en el campo de expresin de bsqueda. GREP es la expresin normal que se selecciona e introduce en el campo de expresin de bsqueda. Ver muestra la representacin en formato hexadecimal.
Edicin de una firma

(
Note: Este procedimiento permite editar una firma de archivos existente.
) 1. 2.
3.
Haga clic en Ver Firmas de archivos . Haga clic con el botn derecho en una firma y seleccione Editar. Se mostrar un formulario de edicin del nombre de la firma seleccionada. Cambie los campos de acuerdo con sus preferencias y haga clic en Aceptar.
Realizacin de un anlisis de firma

(
Note: Para iniciar un anlisis de firma, haga clic en el botn de bsqueda situado en la barra de herramientas superior.
Cuadro de dilogo de bsqueda para el anlisis de archivos
Active la opcin de verificacin de firmas de archivos de la seccin de opciones adicionales situada en la parte inferior derecha y, a continuacin, haga clic en el botn de inicio. Los anlisis de firma se ejecutan en segundo plano hasta su finalizacin.
Visualizacin de resultados de anlisis de firma

(
Note: Haga clic en la opcin de elementos incluidos en el conjunto del panel de rbol para mostrar todos los archivos del caso.
Vista de rbol con la opcin de elementos incluidos en el conjunto seleccionada
En este nivel, la opcin de elementos incluidos en el conjunto permite seleccionar todos los archivos de evidencia. 1. Organice las columnas del panel de tabla de modo que las columnas de nombre, extensiones y firma se siten una junto a otra. 2. Ordene las columnas por firma primero, despus por extensin de archivo y, por ltimo, por nombre. Para examinar las firmas, desplcese hacia arriba o hacia abajo mientras visualiza la columna de firmas.
Anlisis de firma representativo
Leyenda del anlisis de firma (

Note: El proceso de anlisis de firma identifica y organiza las firmas en relacin a la informacin encontrada en la tabla de firmas, el encabezado de archivo y su extensin, tal y como se muestran en el archivo de evidencia.
) Coincidencia indica que coinciden el encabezado de archivo, la extensin y la tabla de firmas de archivos. Alias indica que el encabezado se encuentra en la tabla de firmas de archivos pero que la extensin de archivo es incorrecta. Esto indica que se ha modificado la extensin del archivo. El nombre que se muestra junto al asterisco es el tipo de archivo indicado en la firma de archivo. Los alias van precedidos por un asterisco, como ocurre en *AOL ART. Desconocido indica que ni el encabezado ni la extensin de archivo se encuentra en la tabla de firmas de archivos.
Firma incorrecta indica que la extensin de archivo incluye una firma de encabezado mostrada en la tabla de firmas de archivos, pero que el encabezado de archivo del caso no coincide con la tabla de firmas de archivos en lo que a dicha extensin se refiere. En la tabla se muestran algunos de los posibles resultados del anlisis de firma.
Lenguaje de programacin EnScript

(
Note: EnScript es un lenguaje de programacin y una interfaz de programa de aplicacin (API) diseado para operar dentro del entorno del software EnCase. Aunque es similar a ANSI C++ y Java, no todas sus funciones estn disponibles en el lenguaje EnScript. Las clases y las variables y funciones que se incluyen se encuentran en el panel de tipos de EnScript en el panel de rbol.
) El lenguaje EnScript utiliza los mismos operadores y la sintaxis general que C++, aunque las clases y las funciones son distintas. Si desea obtener una explicacin ms profunda del lenguaje de programacin EnScript, consulte la seccin Lenguaje de programacin EnScript de este manual. Nuestro panel de mensajes en https://messageboards.guidancesoaftware.com/forumdisplay.php?f=11 tambin ofrece informacin adicional sobre este lenguaje.
Se incluyen los componentes EnScript

(
Note: Adems de poder crear nuevos programas EnScript, en el software se incluyen una serie de programas EnScript.
) La aplicacin de instalacin de EnCase colocar estos programas en la carpeta EnCase de forma predeterminada. La ruta es, por lo general, C:\Program Files\EnCase\EnScript. Esta carpeta, a su vez, contiene cuatro subcarpetas: Examples Forensic Include Main En cada carpeta se incluye una recopilacin de programas EnScript tiles.
Tipos de EnScript
(
Note: Los tipos de EnScript hacen referencia a recursos que contienen clases de lenguaje EnScript. El anlisis de estos tipos ofrece informacin sobre las funciones y clases de EnCase.
Para ver los tipos de EnScript, seleccione Ver Tipos de EnScript. El panel de rbol contiene una lista de las clases. Si selecciona el panel de informes del panel de tabla, aparecer una descripcin de slo lectura de la clase seleccionada.
10
Aplicacin de un algoritmo hash a archivos

(
Note: La caracterstica Hash del programa crea un valor hash nico para cada archivo. La aplicacin de un algoritmo hash crea lo que se denomina una huella digital de un archivo. Esta identificacin se utiliza para identificar archivos cuyo contenido no es de inters, tales como archivos de sistemas operativos y los programas de aplicacin ms comunes.
) El programa EnCase utiliza un algoritmo hash MD5, cuyo valor se guarda en los archivos de evidencia. El algoritmo MD5 utiliza un valor de 128 bits. Esto aumenta la posibilidad de que dos archivos tengan el mismo valor en 3,40282 1038. A todos los archivos, particiones o unidades montadas se les puede aplicar el algoritmo hash. El valor hash resultante se puede validar y utilizar en el programa. Si se crea una biblioteca de valores hash, la aplicacin se utilizar para comprobar la existencia de datos con un valor hash incluidos en la biblioteca hash. El contenido del archivo determinar el valor hash. El valor hash es independiente del nombre del archivo, de manera que el programa lo calcular e identificar como coincidente con uno de los valores de la biblioteca hash aunque se haya cambiado el nombre del archivo.
Hash de nuevos casos

(
Note: Cuando se crea inicialmente un caso, no se aplica a ste el algoritmo hash. Antes de comparar los datos del caso con una biblioteca de archivos destacados o conocidos, aplique el algoritmo hash al caso.
) Realice el procedimiento siguiente para aplicar el algoritmo hash a los archivos de un caso:
Hash de nuevos casos

(
Note: Cuando se crea inicialmente un caso, no se aplica a ste el algoritmo hash. Antes de comparar los datos del caso con una biblioteca de archivos destacados o conocidos, aplique el algoritmo hash al caso. El panel de tabla presentar la apariencia siguiente:
11
) Abra un caso al que sea necesario aplicar un algoritmo hash y muestre su contenido. El proceso de aplicacin de algoritmos hash a un archivo tambin se trata en el captulo sobre bsquedas de este manual. 1. Haga clic en el panel de bsqueda. Se abrir el cuadro de dilogo de bsqueda. 2. Elija las opciones que desee y, a continuacin, seleccione los valores necesarios en el rea Opciones de hash del cuadro de dilogo y haga clic en Inicio.
El contenido del panel de tabla cambiar para mostrar los valores hash recientemente creados para los archivos.
12
Anlisis hash
(
Note: Una funcin hash es un mtodo de creacin de una huella digital desde los datos. La funcin sustituye o transpone los datos para crear lo que se denomina un valor hash. El anlisis hash compara los valores hash de un archivo de caso con valores hash conocidos que se encuentren almacenados.
) El valor hash se representa, por lo general, como una cadena de datos binarios que parecen aleatorios, escritos en notacin hexadecimal. Si se calcula un valor hash para un dato, y se cambia un bit de ese dato, una funcin hash con una gran capacidad de mezcla, por lo general, producir un valor hash totalmente distinto. Una propiedad fundamental de todas las funciones hash es que si dos valores hash (segn la misma funcin) son distintos, las dos entradas sern distintas en cierto modo. Por otro lado, si los valores hash coinciden, es muy probable que las dos entradas sean similares.
13
Conjuntos hash
(
Note: Los conjuntos hash son recopilaciones de valores hash (que representan archivos nicos) que pertenecen al mismo grupo. Por ejemplo, se podra crear un conjunto hash de todos los archivos del sistema operativo Windows y asignarle el nombre Archivos de sistema de Windows. Cuando se ejecuta un anlisis hash en un archivo de evidencia, el software identifica todos los archivos incluidos en dicho conjunto hash. Estos archivos lgicos pueden posteriormente ser excluidos de bsquedas y exmenes ulteriores, lo que reduce el tiempo en las bsquedas de palabras clave y otras funciones de anlisis.
Creacin de un conjunto hash

(
Note: El anlisis de los archivos mediante la identificacin y correspondencia del valor hash MD5 exclusivo de cada uno de los archivos constituye una parte importante de los procesos de anlisis forenses informticos. La biblioteca hash permite al investigador importar una biblioteca de conjuntos hash, o bien crear una personalizada, lo que permite la oportuna identificacin de cualquier correspondencia existente en la evidencia examinada.
) Con frecuencia, los analistas forenses informticos crean diferentes conjuntos hash de software que no cumple la normativa, herramientas de piratera informtica e imgenes no aprobadas o que se sabe que son ilegales para aislar rpidamente cualquier archivo de una investigacin incluido en dicho conjunto. A la hora de crear conjuntos hash para la identificacin de software sospechoso, como software sin licencia, utilidades de falsificacin o esteganografa, es importante que el identificador tenga sumo cuidado en su creacin para evitar falsos positivos. Los conjuntos hash, una vez creados, se conservan indefinidamente y se agregan con cada nuevo caso. Esta continua adicin de archivos permite ahorrar tiempo y esfuerzos en posteriores investigaciones. Para crear un conjunto hash, previsualice un equipo o abra un archivo de evidencia que contenga los archivos que se incluirn en el nuevo conjunto hash. 1. Abra el caso y haga clic en la opcin de bsqueda. Se abrir el cuadro de dilogo de bsqueda.
14
2.
3. 4.
En Opciones de hash, seleccione Calcular valores hash. De esta forma se crean los valores hash para todo el caso. Para aplicar el algoritmo hash a algunos archivos solamente, seleccinelos en el panel de entradas y, en el cuadro de dilogo de bsqueda, seleccione Slo las entradas seleccionadas. Seleccione los archivos que se incluirn en el conjunto hash una vez que se complete la bsqueda. Haga clic con el botn derecho en el panel de tabla y, en el men, seleccione la opcin para crear conjuntos hash. Se mostrar el cuadro de dilogo de creacin de un conjunto hash.
15
Creacin del nombre y la categora del conjunto hash
5.
Introduzca el nombre y la categora del conjunto y haga clic en Aceptar. De esta forma se crea un conjunto hash. Tenga en cuenta que, aunque es posible asignar cualquier valor a la entrada de categora, los dos estndares de la industria son "conocido" y "destacado"; a ste ltimo se asignan los valores hash que resultan de inters para el investigador.
Reconstruccin de una biblioteca hash

(
Note: Para seleccionar un conjunto hash utilizado en un caso, reconstruya la biblioteca. Para ello,
) es necesario haber construido un conjunto hash con anterioridad. 1. Seleccione Ver Conjuntos hash . Se mostrar una lista de conjuntos hash.
2. 3.
Seleccione el conjunto hash que desee. Haga clic con el botn derecho y, en el men que aparece, seleccione la opcin de reconstruccin de la biblioteca. Cuando se complete la reconstruccin, se mostrar un mensaje en el que se detalla el nmero de bibliotecas que se han reconstruido.
16
Visualizacin de los resultados de la bsqueda de hash

(
Note: Cuando se aplica un algoritmo hash a los archivos de un caso, stos se comparan con los de la biblioteca y se vuelven a completar las columnas de categora y conjuntos hash.
) Despus de reconstruir la biblioteca y aplicar un algoritmo hash a los archivos de caso, consulte los resultados en el panel de tabla. Para ello, realice el procedimiento siguiente: 1. Seleccione la vista Casos Entradas Pgina principal . 2. Ordene la lista por conjunto o categora hash. 3. Desplcese por el panel de tabla para consultar los datos de hash.
Archivos a los que se ha aplicado un algoritmo y mostrados en el panel de tabla del panel de tabla
Si hay un archivo con el mismo valor de hash en la biblioteca hash, se completan sus columnas.
17
Bsquedas de palabras clave

(
Note: Las aplicaciones EnCase cuentan con un motor de bsqueda muy potente para localizar informacin en cualquier ubicacin de un medio fsico o lgico, en un caso abierto actualmente. Las palabras clave globales se pueden utilizar para cualquier caso, o se pueden designar como especficas de un caso, de manera que se puedan utilizar slo dentro del caso existente.
) Una palabra clave en una bsqueda es una palabra que se utiliza para encontrar entradas de caso que coincidan. Se obtienen mejores resultados de bsqueda si se eligen y se buscan slo algunas palabras claves . El motor de bsqueda de EnCase acepta un nmero de opciones y es especialmente potente en la bsqueda de expresiones regulares con una palabra clave con formato GREP. Se puede limitar la bsqueda, no slo para que busque informacin GREP, sino tambin para que distinga entre maysculas y minsculas y seleccione slo pginas de cdigos determinadas. Las pginas de cdigos son conjuntos alfabticos de varios conjuntos de caracteres latinos y no latinos, tales como rabes, cirlicos y thai. Las palabras clave que se incluyen en el software ofrecen al investigador la posibilidad de buscar Direcciones de correo electrnico Direcciones Web Direcciones IP Nmeros de tarjetas de crdito Nmeros de telfono Fechas con aos de cuatro dgitos
Creacin de palabras clave globales

(
Note: Las listas de palabras clave globales se deben disear cuidadosamente antes de asignarlas a carpetas diferenciadas. A estas carpetas se puede acceder desde cualquier caso.
) Para crear una carpeta de palabras clave globales: 1. En el panel de rbol, haga clic en Palabras clave. El rbol de palabras clave se muestra en el panel de rbol. Se mostrar el men siguiente:
18
2.
Haga clic con el botn derecho en el icono de palabras clave del panel de rbol y haga clic en la opcin para crear una carpeta nueva. El panel de rbol del panel de palabras clave cambia para mostrar una carpeta adicional.
3.
Asigne a la carpeta el nombre que desee.
Adicin de palabras clave

(
Note: Las palabras clave se agregan directamente a una carpeta nueva, a una carpeta existente o a la carpeta raz.
) Abra el panel de rbol desde el panel de palabras clave. 1. En el panel del rbol, haga clic con el botn derecho en una entrada de palabras clave. Se mostrar este men si se selecciona el icono de palabras clave principal. Si se selecciona una subcarpeta, el men tendr una apariencia ligeramente diferente, aunque las funciones no varan.
19
2.
Haga clic en la opcin Nuevo. Se mostrar el cuadro de dilogo de nueva palabra clave.
3.
Complete el cuadro de dilogo tal y como se describe a continuacin: La expresin de bsqueda es el texto real objeto de la bsqueda. El nombre es el nombre con el que la expresin de bsqueda se muestra en la carpeta. La opcin para distinguir entre maysculas y minscula permite buscar la palabra clave exactamente con las maysculas y minsculas especificadas. GREP emplea la sintaxis GREP para realizar la bsqueda.
20
La opcin ANSI Latn - 1 se denominaba pgina de cdigos activa con anterioridad. Dado que la pgina de cdigos activa que se ejecutaba en el equipo Examiner modificaba la pgina de cdigos activa, sta se ha reemplazado por ANSI Latn 1 para garantizar que el resultado de la bsqueda sea coherente. ANSI Latn - 1 es la pgina de cdigos predeterminada que se utilizar. Busca documentos mediante la pgina de cdigos ANSI Latn - 1. Se deber seleccionar Unicode si investiga un sistema operativo Unicode. El estndar Unicode intenta proporcionar un nmero de codificacin exclusivo para cada carcter, con independencia de las plataformas, los programas informticos o el idioma. El estndar Unicode emplea 16 bits para representar cada carcter. Unicode en los equipos basados en Intel se conoce como little-endian. La opcin Unicode busca exclusivamente las palabras clave que aparecen en formato Unicode. Si desea obtener ms informacin sobre Unicode, consulte el sitio http://www.unicode.org. Unicode big-endian se selecciona si investiga un sistema operativo Unicode big-endian (como un Macintosh basado en Motorola). Unicode big-endian emplea un esquema de formato de datos ajeno a Intel. Los sistemas operativos big-endian toman primero los nmeros ms importantes a la hora de trabajar con los datos. La opcin UTF-8 permite satisfacer los requisitos de los sistemas basados en ASCII y orientados a bytes; UTF-8 se define mediante el estndar Unicode. Cada carcter se representa en UTF-8 como una secuencia de hasta cuatro bytes, donde el primer byte indica el nmero de bytes que habr en una secuencia de varios bytes. UTF-8 se utiliza ampliamente en Internet y en la transmisin Web. UTF-7 codifica todo el repertorio de mapas de bits exclusivamente a travs de octetos con el bit de orden superior vaco (valores US-ASCII de 7 bits, [US-ASCII]). Est considerado como un sistema de codificacin de seguridad para correo. UTF-7 ha quedado prcticamente obsoleto y se utiliza para buscar antiguo contenido de Internet.
21
Creacin de palabras clave internacionales

(
Note: Es posible realizar bsquedas de palabras clave internacionales que utilicen un conjunto de caracteres diferente al del ingls. Esto permite al investigador introducir, buscar y localizar palabras clave escritas en japons o rabe, por ejemplo. Tanto los aciertos de las palabras clave como el documento se mostrarn en el idioma correspondiente.
) Para crear palabras clave internacionales, realice el procedimiento siguiente: 1. En el cuadro de dilogo de nueva palabra clave, seleccione el panel de pgina de cdigos. A continuacin, se muestra un ejemplo con la pgina de cdigos rabe seleccionada.
2. 3.
Regrese al panel de expresin de bsqueda del cuadro de dilogo e introduzca la contrasea. Realice una bsqueda de la forma habitual. Los resultados de una bsqueda en el idioma rabe tendrn la apariencia siguiente:
Probador de palabras clave

(
Note: Para probar una cadena de bsqueda con un archivo conocido, haga clic en el panel del probador de palabras clave. Introduzca una
22
expresin en el campo de expresiones de bsqueda; no olvide seleccionar las opciones de palabra clave correspondientes.
) 1. 2.
Agregue una palabra clave nueva tal y como se describe con anterioridad. Agregue una expresin y asigne un nombre a la palabra clave. En este caso, se ha introducido una palabra clave GREP diseada para capturar nmeros de telfono.
3.
4.
Seleccione las opciones que desee como, por ejemplo, GREP o para distinguir entre maysculas y minsculas. Seleccione el panel del probador de palabras clave.
Cuadro de dilogo del probador de palabras clave
5.
Escriba la direccin de un archivo de evidencia o localice uno que contenga la cadena de bsqueda, introdzcala en el campo de datos de prueba y, a continuacin, haga clic en la opcin de carga.
23
La bsqueda se realizar en el archivo de evidencia y se mostrar en la parte inferior del formulario del probador de prueba. Los aciertos se resaltan en las vistas de texto y hexadecimal.
Palabras clave locales

(
Note: Una palabra clave local se asocia a un caso exclusivo y slo se puede buscar cuando dicho caso est abierto. Si se crea una palabra clave local en un caso y se abre otro, la palabra clave dejar de estar disponible.
) Abra un caso y prepare una lista de palabras clave exclusivas de ese caso. 1. Seleccione Ver Subfichas de casos Palabras clave . El panel de rbol se abrir con una apariencia similar a la siguiente. La pantalla muestra la carpeta de palabras clave locales y la adicin de una nueva carpeta.
Con excepcin del paso 1 anterior, los procesos de creacin, adicin, eliminacin y edicin de palabras clave locales coinciden exactamente con los descritos.
Importacin de palabras clave

(
24
Note: Es posible importar palabras clave y listas de palabras clave de otros usuarios. Para importar una lista de palabras clave, realice el procedimiento siguiente:
) 1.
En el panel del rbol, haga clic con el botn derecho en una carpeta de palabras clave. 2. Seleccione la opcin de importacin. 3. Introduzca la ruta del archivo deseado o desplcese hasta l y haga clic en Aceptar. 4. Introduzca la ruta del archivo deseado o desplcese hasta l y haga clic en Aceptar. La lista importada se mostrar en el panel del rbol.
Exportacin de palabras clave

(
Note: Las palabras clave se exportan en formato TXT. Es posible exportar de una vez todas las palabras clave, o bien crear una lista con una seleccin de las mismas.
) 1. 2.
En el panel de tabla, haga clic con el botn derecho en una palabra clave. Seleccione la opcin de exportacin. Complete el cuadro de dilogo que se muestra.
3.
Seleccione el rbol de exportacin (para importacin) y haga clic en Aceptar. Si desea obtener un archivo TXT para exportarlo a Excel, no seleccione el rbol de exportacin.
25
Bsqueda de entradas para correo electrnico y aplicaciones de Internet

(
Note: Los registros se crean al realizar bsquedas de correo electrnico o en el historial de Internet.
A continuacin se explica el procedimiento necesario para crear un registro. 1. Haga clic en la opcin de bsqueda. Se mostrar un cuadro de dilogo de bsqueda.
26
2.
Seleccione las opciones que desee y, a continuacin, haga clic en Inicio. 3. Una vez finalizada la bsqueda, haga clic en Ver Subfichas de casos Registros . Se mostrarn en el panel de tabla los registros recientemente creados. Los registros se visualizan de la misma forma que las entradas. En el panel de rbol se muestra el tipo de registro y en el panel de tabla se muestran los archivos incluidos en dicho registro. Si existen detalles adicionales en relacin a un archivo del panel de tabla, en el panel de rbol, haga clic en Campos adicionales para visualizar distintos fragmentos de informacin en funcin del archivo seleccionado.
27
Bsqueda de registros
Bsquedas en Internet
(
Note: El motor de bsqueda es capaz de buscar archivos de evidencias para distintos tipos de aplicaciones Web. La caracterstica para realizar bsquedas en Internet puede buscar en Internet Explorer, Mozilla/Firefox, Opera y Safari.
) Las bsquedas en Internet se realizan a travs del cuadro de dilogo de bsqueda, y los resultados se muestran en el panel de registros. Si desea obtener ms informacin sobre este procedimiento, consulte las secciones Bsqueda de entradas para correo electrnico y aplicaciones de Internet y Bsqueda de registros.
Realizacin de bsquedas
(
Note: Es posible realizar bsquedas en todo un caso, todo un dispositivo, o bien en un archivo o carpeta concretos. Por ejemplo, al buscar informacin en un espacio sin asignar, como un encabezado de archivo, seleccione los clsteres no asignados para evitar tener que realizar la bsqueda en todo el caso.
) 1.
Para iniciar la bsqueda, en la barra de herramientas, haga clic en el botn de bsqueda. Se mostrar el formulario de bsqueda.
28
2.
Complete el cuadro de dilogo y haga clic en el botn de inicio. Las opciones de bsqueda contienen informacin que le resultar de utilidad a la hora de completar el cuadro de dilogo de bsqueda.
Opciones de bsqueda
(
Note: Una bsqueda de palabras clave incluye una serie de opciones que permiten su personalizacin.
Slo las entradas seleccionadas ejecuta exclusivamente una bsqueda de las entradas seleccionadas y slo busca en los archivos, carpetas y dispositivos seleccionados. Slo los registros seleccionados realiza exclusivamente una bsqueda de los registros seleccionados. Buscar cada entrada para las palabras clave realiza una bsqueda en cada una de las entradas de un caso. Buscar cada registro para las palabras clave realiza una bsqueda en los registros de un caso. Slo las palabras clave seleccionadas realiza una bsqueda de las palabras clave seleccionadas.
29
Buscar en el espacio muerto de los archivos realiza una bsqueda en el espacio muerto situado entre el final de los archivos lgicos y el final de sus respectivos archivos fsicos. Utilizar tamao inicializado realiza exclusivamente una bsqueda del tamao inicializado de una entrada (en oposicin a su tamao lgico o fsico). El archivo inicializado slo es aplicable a los sistemas de archivos NTFS; al abrir un archivo, si el tamao inicializado es inferior al tamao lgico, el espacio a continuacin del tamao inicializado se ajusta a cero. Por tanto, al buscar el tamao inicializado slo se buscan los datos que un usuario vera en un archivo. Restaurar archivos antes de buscar restaura los archivos eliminados antes de realizar la bsqueda. Buscar slo en el espacio muerto de los archivos de la biblioteca hash se emplea junto con un anlisis hash. Verificar firmas de archivos realiza un anlisis de las firmas durante la bsqueda. Calcular valor hash realiza un anlisis de hash durante la bsqueda. Volver a calcular valor hash vuelve a generar los valores hash previamente calculados. Buscar correo electrnico activa el cuadro de dilogo de opciones de bsqueda de correo electrnico. Recuperar elementos eliminados permite acceder al correo electrnico eliminado. Lista de tipos de correo electrnico proporciona diferentes opciones correspondientes al correo electrnico que se puede recuperar. Verificar firmas realiza un anlisis de las firmas durante la bsqueda. Determina si la extensin de un archivo coincide con la firma asignada a dicho archivo de tipo. Identificar pginas de cdigos intenta detectar la pgina de cdigos de un archivo. Buscar historial de Internet recupera los datos de la Web almacenados en el archivo de historial Web.
Visualizacin de aciertos de bsqueda de registros

(
Note: Los registros son archivos virtuales creados al realizar bsquedas de correo electrnico o en el historial de Internet.
) La bsqueda de registros es muy sencilla.
30
1.
Haga clic en la opcin de registros
al finalizar la bsqueda. 2. Seleccione la opcin de elementos incluidos en el conjunto. 3. Seleccione un registro que muestre un acierto de bsqueda. 4. En el panel de filtro, seleccione la opcin de aciertos. 5. Haga clic en cada una de las carpetas de palabras clave para ver los aciertos de bsqueda. Se mostrarn los registros creados recientemente.
Bsqueda de registros
Visualizacin de aciertos de bsqueda

(
Note: Despus de realizar una bsqueda, es posible consultar las coincidencias mediante la visualizacin de los aciertos de la bsqueda.
31
Los aciertos de bsqueda se organizan de acuerdo con las palabras clave que se muestran en el panel de rbol. Los aciertos de bsqueda de cada palabra clave se muestran en el panel de tabla.
Vistas de paneles y enlaces de palabra clave
Para visualizar los aciertos de bsqueda: En la barra de mens, haga clic en Visualizar aciertos de bsqueda, o bien haga clic en Ver Subfichas de casos Aciertos de bsqueda .
Exclusin de archivos
(
Note: Con frecuencia, los resultados de una bsqueda de palabras clave incluyen tantos archivos que el informe carece de utilidad. Excluya los archivos para ocultarlos.
) Ejecute y consulte una bsqueda de palabras clave. En el panel de tabla, consulte el informe de aciertos de bsqueda antes de excluirlos del informe. 1. Seleccione los archivos que se van a excluir, haga clic con el botn derecho en la vista y seleccione Excluir o Excluir todos los archivos seleccionados.
32
2.
Seleccione la opcin correspondiente y haga clic en Aceptar. Los archivos seleccionados desaparecern de la vista.
Visualizacin de archivos excluidos (

Note: Los archivos excluidos no se eliminan. Simplemente se ocultan a la vista. Para verlos de nuevo, seleccione la funcin para mostrar archivos excluidos.
) Para visualizar los archivos excluidos, realice el procedimiento siguiente: 1. Seleccione la opcin para mostrar archivos excluidos. Los archivos excluidos se volvern a mostrar en las vistas de tabla e informes.
33
Eliminacin de archivos
(
Note: Los archivos se eliminan de forma semipermanente mientras el archivo se encuentra abierto. Una vez cerrado un archivo, los resultados de la bsqueda eliminados se eliminan de forma permanente de la pantalla y el informe.
) Ejecute y consulte una bsqueda de palabras clave. Este proceso es similar al de exclusin de archivos. En el panel de tabla, consulte el informe de aciertos de bsqueda antes de excluirlos del informe. 1. Seleccione los archivos que se van a excluir, haga clic con el botn derecho en la vista y seleccione Eliminar o Eliminar todos los archivos seleccionados.
34
2.
Seleccione la opcin correspondiente y haga clic en Aceptar. Los archivos seleccionados se eliminarn temporalmente. El informe muestra los resultados concatenados.
Visualizacin de archivos eliminados

(
Note: Los archivos excluidos no se eliminan. Simplemente se ocultan a la vista. Para verlos de nuevo, seleccione la funcin para mostrar archivos excluidos.
) Los archivos eliminados se almacenan en un bfer temporal hasta que se cierran, y el bfer y los archivos eliminados se borran. Se han excluido algunos archivos. Si es necesario consultar archivos excluidos: 1. Haga clic en la opcin para mostrar archivos excluidos. Los archivos eliminados se volvern a mostrar en los paneles de tabla e informes.
35
Indizacin
(
Note: La indizacin de archivos forma parte del motor de bsqueda mejorado de este programa. La creacin de un ndice genera una lista de palabras a partir del contenido de un archivo de evidencia. Estas entradas contienen punteros a su ubicacin en el archivo de evidencia.
Creacin de un ndice
Al crear un ndice, ste se almacena en una carpeta de un equipo. Esta carpeta se puede seleccionar en dos ocasiones: 1. Al crear un caso. 2. En un caso ya existente. Ambos procesos resultan bastante similares, as que este captulo se dividir en diversas secciones. 1. Reglas generales para la creacin de un ndice. 2. Creacin de un ndice en un caso nuevo. El tamao del archivo de caso y, por consiguiente, el tamao del ndice resultante son de vital importancia a la hora de generar un ndice. Si se intenta indizar archivos de evidencia muy grandes, el rendimiento del equipo podra verse seriamente afectado. Se obtienen mejores resultados si se selecciona para su indizacin un nmero limitado de archivos. No es posible identificar ningn tamao de datos especfico; el tamao de la indizacin depender de la configuracin del equipo.
Reglas generales para la indizacin de casos

(
Note: Las instrucciones de esta seccin se aplican a la creacin del ndice de un caso, ya sea nuevo o no.
) Estos pasos le permitirn crear un ndice para un caso ya existente. 1. Seleccione los archivos para su indizacin.
36
2.
Seleccione Herramientas GSI Indizar caso .
De forma predeterminada, los ndices se crean en la carpeta EnCase6\Index. Esta ubicacin se puede cambiar pero, en ese caso, cambie el campo Carpeta de ndice del panel de la ruta de almacenamiento del cuadro de dilogo de opciones.
3.
Haga clic en Siguiente, seleccione la opcin que desee en el asistente de opciones de indizacin de casos y haga clic en Siguiente de nuevo.
37
4.
En el asistente de opciones de indizacin de casos, seleccione un mtodo de indizacin. Indizar todos los archivos crea un ndice a partir de todos los archivos del caso. Indizar todos los archivos excepto las coincidencias de la biblioteca hash excluye los archivos organizados en bibliotecas hash. Indizar la mayora de archivos excluye las carpetas y los archivos internos, de intercambio, sin asignar, cifrados y sobrescritos. Indizar los archivos seleccionados indiza exclusivamente los archivos seleccionados en el panel de tabla. Espere a que se muestre la pantalla de resumen del proceso de indizacin del asistente y haga clic en la opcin para finalizar.
38
Se mostrar el estado del ndice en el panel de informes.
De esta forma se crea el ndice. El icono correspondiente se mostrar en la carpeta de salida que haya designado.

(
Note: Al crear un caso se ofrece la posibilidad de configurar el software para crear una carpeta en la que almacenar los archivos de ndice del mismo. En esta seccin se describe cmo realizar esta tarea.
) Abra el programa y empiece a crear un caso nuevo. En dicha seccin de este manual encontrar instrucciones detalladas para la creacin de un caso.
39
Cree un caso de la forma habitual y, cuando se muestre el asistente de opciones del caso, compltelo.
1.
2.
3. 4.
Preste especial atencin al ltimo campo de este asistente. La carpeta predeterminada para los ndices de archivo de evidencia es C:\Archivos de programa\Encase6\Index. Deje la ruta predeterminada o introduzca una nueva para los archivos de ndice y haga clic en la opcin para finalizar. Siga los pasos que se muestran para continuar con el proceso de creacin del caso. Cree un ndice tal y como se describe en la seccin Reglas generales para la indizacin de casos de este manual.
Ejecucin de un ndice
(
Note:
) Indice un archivo seleccionado. Las condiciones se ejecutan en los archivos indizados. 1. Cree una condicin. Aunque hay ms informacin disponible en la seccin de condiciones de este manual, algunos elementos sintcticos son exclusivos de la creacin de una condicin de ndice. Al crear la funcin en la opcin de nuevo trmino, seleccione la propiedad El cuerpo contiene. Es
40
2.
3.
necesario realizar bsquedas compuestas para buscar argumentos de palabras clave adicionales. Slo se permite una palabra clave por funcin. Si se requiere cualquier lgica adicional, cree una condicin nueva para cada palabra clave. Seleccione los elementos incluidos en el conjunto raz. El pentgono verde permite seleccionar todos los archivos. Ejecute la condicin. Una vez haya terminado, el panel de tabla muestra los archivos que cumplen los requisitos relacionados con las condiciones.
4.
La columna de nombre muestra el nombre del archivo mientras que la columna de filtro muestra la condicin ejecutada. Haga clic en la ficha Transcripcin situada sobre el panel de informes para consultar los resultados de la condicin. En este caso, el filtro de bsqueda de bomba contiene la instruccin Si el cuerpo contiene == bomba.
41
Bsqueda de correo electrnico

(
Note: El motor de bsqueda del programa puede buscar diferentes tipos de elementos de correo electrnico. Entre ellos se incluye el correo de los siguientes programas:
) Outlook (PST) (Outlook 2000 y 2003) Outlook Express (DBX) Exchange (EDB) (2000 y 2003) Lotus Notes (NSF) (5, 6, 6.5 y 7) AOL MBox Para iniciar la bsqueda de correo electrnico, se inicia una bsqueda, se seleccionan las opciones deseadas en el cuadro de dilogo y se pulsa la opcin de inicio.
Adems, si se hace clic en Herramientas GSI Analizador de correo Web , se busca especficamente correo Web de Netscape, Hotmail y Yahoo.
Analizador de correo Web

(
Note: Es posible realizar de forma especfica bsquedas en correo Web, incluido el de Netscape, Hotmail y Yahoo.
42
) Abra un caso que pudiera contener correo Web. 1. Seleccione Heramientas GSI Analizador de correo Web .
Se mostrar el cuadro de dilogo de opciones del analizador de correo Web.
2.
Seleccione los tipos de correo Web para su recopilacin. Adems, es posible ejecutar la bsqueda exclusivamente en los archivos seleccionados. El estado de la bsqueda se muestra en la barra de estado.
3.
Haga clic en el panel de registros. En el panel de rbol se muestra una lista de los archivos descubiertos.
4.
Abra una carpeta para mostrar su contenido en el panel de tabla.
43
5.
Para visualizar los datos en el panel de informes, seleccione un archivo y haga clic en Informe. Se mostrar el contenido del archivo.
El informe se puede guardar o exportar como desee.
44
Descriptores de aplicacin
(
Note: A un nivel muy bsico, los descriptores de aplicacin son archivos de hash de los archivos SYS y EXE de un equipo. Funcionan junto con perfiles de equipo y se utilizan para identificar software no deseado o no permitido en el disco duro de un equipo. Son especialmente tiles para detectar virus y otros programas maliciosos y para garantizar que una imagen de disco especfica no se cambie.
) EnCase es capaz de identificar programas maliciosos mediante un anlisis de hash. Permite comparar la identificacin digital nica de una aplicacin, y su valor hash calculado, conocido y guardado con los datos capturados durante una snapshot. Cuando los valores hash coinciden, el programa devuelve el nombre de proceso, su valor hash y el perfil de equipo donde corresponda. El descriptor de aplicacin clasifica los archivos ejecutables segn su valor hash para permitir una identificacin positiva de los archivos ejecutables que se estn ejecutando en un sistema. Los descriptores de aplicacin funcionan junto con perfiles de equipo. Los perfiles son inventarios de los elementos que se deberan ejecutar en un equipo determinado. De forma conjunta, el perfil de equipo y el descriptor de aplicacin permiten que un examinador sepa qu elementos se deberan ejecutar y cules se estn ejecutando realmente en un equipo determinado.

(
Note: En esta seccin se describe la creacin manual de descriptores de aplicaciones.
) Para obtener informacin sobre su creacin automtica, consulte la seccin Creacin de descriptores de aplicaciones con un programa EnScript que se muestra a continuacin. Para ello, es necesario crear un perfil de equipo para su utilizacin, as como conocer el valor hash del archivo que se desea procesar. 1. Haga clic en Ver Descriptores de aplicaciones para abrir una lista de descriptores de aplicaciones.
45
2.
Haga clic con el botn derecho en una carpeta del panel de rbol o en un archivo del panel de tabla y haga clic en Nuevo. Se mostrar el cuadro de dilogo del nuevo descriptor de aplicaciones. 3. Complete los campos de la forma siguiente: Nombre es un campo obligatorio que corresponde normalmente al nombre del archivo de trabajo. Comentarios es un campo opcional destinado a que el investigador introduzca los comentarios que desee. Valor hash es obligatorio y se debe introducir manualmente. Esta campo contiene el valor hash del archivo seleccionado. 4. Seleccione el perfil de equipo en el que desee ubicar el nuevo descriptor de aplicaciones y haga clic en Aceptar. Este mtodo requiere la introduccin manual del valor hash de todos y cada uno de los nuevos descriptores de aplicaciones. Evidentemente, no se trata de un mtodo eficaz. Un mtodo mucho mejor y ms eficaz consiste en utilizar un programa EnScript.
Creacin de un descriptor de aplicacin mediante un programa EnScript

(
Note: Rapidez, eficacia y precisin. Estas palabras describen la creacin de un descriptor de aplicacin mediante un programa EnScript incorporado.
) Las secuencias de comandos que permiten realizar esta operacin son Scan Local Machine (Explorar equipo local) y Case Processor (Procesador de casos).
46
1.
Ejecute un programa EnScript como Scan Local Machine (Explorar equipo local). Se mostrar un asistente de opciones.
2.
3.
Complete los campos y haga clic en la opcin para finalizar. Nombre de carpeta de marcador es el nombre de la carpeta del rea de marcadores. Comentario de carpeta es un campo opcional en el que el investigador escribe las notas que desea. Datos de Snapshot es una casilla de verificacin que se debe seleccionar. Procesos hash es una casilla de verificacin seleccionada de forma predeterminada. Seleccione el mdulo del descriptor de aplicacin y haga doble clic en l para seleccionar un archivo de salida. Si no se muestra ninguna carpeta, cree una nueva.
47
4.
5.
6.
La seleccin de un estado del proceso es opcional. Si se selecciona una de las opciones Crear descriptores de aplicacin para todos los archivos .EXE y .SYS o Crear descriptores de aplicacin para todos los binarios ELF, las opciones de Seleccionar proceso local no se encontrarn disponibles. Ejecute el programa EnScript seleccionado. Una vez completada la secuencia de comandos, se encontrarn disponibles los descriptores de aplicacin recientemente creados. Para modificar la informacin mostrada en pantalla, realice el procedimiento siguiente: 1. Haga clic en Marcadores. 2. Haga doble clic en el nuevo marcador del panel de rbol. 3. En el panel de tabla, haga clic en Snapshots. 4. El panel de Snapshots. 5. El panel de procesos. 6. El panel de pgina principal. En el panel de tabla, seleccione la opcin para incluir todos para visualizar los datos correspondientes al nombre, el valor hash y el descriptor de aplicacin de los archivos.
Marcado de elementos
Marcadores .......................................................... 1
Tipos de marcadores ..................................... 1 Marcadores de datos resaltados .......... 3 Marcadores de notas ............................. 3 Marcadores de informacin/estructura de carpetas ................................................... 3 Marcadores de archivo destacado ....... 4 Marcadores de grupo de archivos ........ 4 Marcadores de Snapshot ...................... 4 Marcadores de registro .......................... 5 Marcas de datos ..................................... 5 Funciones de marcador ................................. 5 Cuadro de dilogo Datos de marcador para marcadores de datos resaltados .......... 6 Tipos de datos de contenido marcado
............................................................ 7 Texto ........................................ 7 Imagen ..................................... 7 Nmeros enteros .................... 8 Fechas ..................................... 8 Windows .................................. 9 Estilos ....................................... 9
Cuadro de dilogo Agregar marcador de nota .......................................................... 9 Cuadro de dilogo Informacin/estructura de carpeta de marcadores .................. 10 Cuadro de dilogo Datos de marcador para archivos ................................................ 11 Utilizacin de marcadores ........................... 13 Creacin de un marcador .................... 13 Creacin de un marcador de datos resaltado ........................................ 14 Creacin de un marcador de notas
.......................................................... 14
Creacin de un marcador de informacin o estructura de carpetas

.......................................................... 15
Creacin de un marcador de archivo destacado ...................................... 16 Creacin de un marcador de grupo de archivos .................................... 17 Creacin de un marcador de registro
.......................................................... 18
Creacin de un marcador de Snapshot ........................................ 19 Edicin de marcadores ........................ 21 Edicin de marcadores ................ 21 Cuadros de dilogo de edicin de marcadores ................................... 22 Cuadro de dilogo Editar marcadores de datos resaltados
.................................................. 23
Cuadro de dilogo Editar marcadores de nota .............. 24 Cuadro de dilogo Editar marcadores de informacin/estructura de carpetas ................................. 25 Cuadro de dilogo Editar marcadores de archivo destacado .............................. 25 Cuadro de dilogo Editar marcadores de Snapshot ..... 26 Cuadro de dilogo Editar marcadores de registro ........ 27 Cuadro de dilogo Editar marcas de datos ................................. 27 Cuadros de dilogo Editar carpeta de marcadores ................................... 28 Cuadro de dilogo Editar carpeta
.................................................. 28
Uso de una carpeta para organizar un informe de marcadores ........................ 30 Organizacin de marcadores ...... 31 Copia de una entrada de tabla en una carpeta ............................ 31 Cmo mover una entrada de tabla a una carpeta mediante el mtodo de hacer clic con el botn derecho y arrastrar .............. 32 Cmo mover una carpeta o entrada de tabla a una carpeta mediante el mtodo de arrastrar
.................................................. 33
Informes de marcadores y generacin de informes ................................................. 34 Personalizacin de un informe .... 34
Marcadores
(
Note:
) Las aplicaciones EnCase permiten marcar y guardar archivos, carpetas o secciones de un archivo para conseguir una referencia sencilla. Estas marcas se denominan marcadores. Todos los marcadores se almacenan en su archivo de caso asociado. Los marcadores se pueden ver en cualquier momento si se selecciona la subficha Marcadores en Casos, que aparece en el panel de marcadores del panel de rbol. Los marcadores pueden crearse a partir de los datos o carpetas existentes. Cuando se escribe inicialmente un archivo en un CD multisesin, se le asigna un desfase. Cuando se modifica ese mismo archivo, se vuelve a escribir en el CD como un nuevo archivo en la nueva sesin, pero con el mismo desfase. A todas las revisiones que se realicen del archivo inicial se les asigna el mismo desfase. Es posible ver el archivo y sus revisiones. Dado que el desfase se utiliza para asociar marcadores a la entidad marcada, los marcadores de contenido de los CD multisesin vuelven a montar el primer archivo que se encuentre con este desfase al volver a abrir el caso.
Tipos de marcadores
(
Note:
) La aplicacin proporciona los siguientes tipos de marcadores: Marcadores de datos resaltados Marcadores de notas Marcadores de informacin/estructura de carpetas Marcadores de archivo destacado Marcadores de grupo de archivos Marcadores de Snapshot Marcadores de registro Marcadores de marca de datos Marcadores de configuracin de hora del caso Marcadores de resumen de bsqueda
Los marcadores de datos resaltados anotan datos seleccionados. Estos marcadores tambin se conocen como marcadores de barrido. Consulte Marcadores de datos resaltados. Los marcadores de notas permiten al usuario escribir comentarios adicionales en el informe. Existen algunas funciones de formato de texto disponibles. Estos marcadores no son marcadores de evidencia. Consulte Marcadores de notas. Los marcadores de informacin de carpetas anotan la estructura de rbol de una carpeta o la informacin de dispositivo de medios especficos. En este tipo de marcador no existe la caracterstica de comentario. Entre las opciones se incluyen mostrar informacin del dispositivo, como la geometra de la unidad, y el nmero de columnas que se utilizarn en la estructura de rbol. Consulte Marcadores de informacin/estructura de carpetas . Los marcadores de archivo destacado anotan archivos individuales. Estos marcadores son totalmente personalizables. Consulte Marcadores de archivo destacado. Los marcadores de grupo de archivos anotan grupos de archivos seleccionados. En este tipo de marcador no existe ningn comentario. Consulte Marcadores de grupo de archivos . Los marcadores de Snapshot contienen los resultados de una Snapshot de sistema de datos dinmicos para la respuesta a incidentes y la auditora de seguridad. Consulte Marcadores de Snapshot. Los marcadores de registro contienen resultados de programas EnScript de anlisis del registro Consulte Marcadores de registro. Los marcadores de marca de datos contienen los resultados de programas EnScript de anlisis del registro de Windows. Consulte Marcadores de marca de datos. Los marcadores de configuracin de hora del caso indican si se utiliza el horario de verano en el archivo de evidencia y si las fechas se deben convertir a una nica zona horaria. Los marcadores de configuracin de hora del caso y de resumen de bsqueda se crean automticamente. Los marcadores de resumen de bsqueda contienen resultados, horas y palabras clave de bsqueda de un caso determinado.
Marcadores de datos resaltados

(
Note:
) El marcador de datos resaltados, tambin conocido como marcador de barrido o marcador de fragmento de texto, se puede utilizar para mostrar una expansin mayor de texto. Este tipo de marcador se crea al hacer clic y arrastrar contenido de texto, hexadecimal, documentacin o transcripcin en el panel de visualizacin. Estos marcadores tambin se conocen como marcadores de barrido.
Marcadores de notas
(
Note:
) El marcador de notas proporciona al investigador una gran flexibilidad a la hora de agregar comentarios al informe. Este marcador incluye un campo reservado nicamente para texto de comentario que puede incluir hasta mil caracteres. Tambin cuenta con opciones de formato, incluidas cursiva, negrita, cambio del tamao de la fuente y cambio del sangrado del texto.
Marcadores de informacin/estructura de carpetas

(
Note:
) Los marcadores de informacin de carpetas se utilizan para marcar estructuras de carpetas o dispositivos. Al marcar una estructura de carpetas, toda la estructura de directorios de dicha carpeta y sus elementos secundarios se puede mostrar en el informe o marcar para su anlisis posterior. Tambin se pueden marcar dispositivos, volmenes y discos fsicos individuales. De esta forma se mostrar la informacin importante especfica del dispositivo en el informe final. Este tipo de marcador resulta til para marcar directorios que contienen documentos, imgenes y aplicaciones no autorizados. Tambin constituye un mtodo idneo para mostrar informacin especfica sobre el tipo de medios del caso.
Marcadores de archivo destacado

(
Note:
) Los marcadores de archivo destacado se utilizan para marcar archivos individuales. Estos marcadores proporcionan un medio para centrar la atencin del investigador en archivos especficos.
Marcadores de grupo de archivos

(
Note:
) Los marcadores de grupo de archivos anotan una coleccin de archivos individuales seleccionados como un grupo. La asignacin de marcadores a una coleccin de archivos ayuda al investigador a organizar la evidencia.
Marcadores de Snapshot
(
Note:
) Los marcadores de Snapshot incluyen una amplia variedad de datos voltiles resultado de la ejecucin de los diferentes programas EnScript. En EnCase Forensic, el programa Scan Local Machine (Explorar equipo local) crea marcadores de Snapshot. El resultado del programa siempre tiene marcadores asignados. Tras ejecutar Scan Local Machine, se muestra una barra de herramientas de marcadores que contiene la ficha de pgina principal y la ficha de Snapshot. La ficha de Snapshot incluye una barra de herramientas asociada. Esta barra de herramientas muestra un comando de ficha para cada tipo de marcador de Snapshot creado por uno de los programas EnScript. Cada tipo de marcador de Snapshot incluye un panel de rbol y un panel de tabla asociados. Cada tabla muestra datos especficos de la clase del componente de sistema cuyos datos se muestran en el panel de tabla. Los marcadores de Snapshot incluyen Snapshot de equipos en la ficha de pgina principal Puertos abiertos Procesos Archivos abiertos Interfaces de red
Usuarios de red Archivos DLL
Marcadores de registro
(
Note:
) Estos marcadores se crean cuando se envan mensajes de consola y de cuadros de dilogo de estado a un registro. La adquisicin de un dispositivo es uno de los procesos que pueden enviar sus resultados a un registro y generar un marcador de registro.
Marcas de datos
(
Note:
) Los programas EnScript o los mdulos de programa EnScript que ejecutan el mtodo para agregar marcas de datos crean una marca de datos. Cuando se crea una marca de datos en una carpeta de marcadores, la marca se puede utilizar como marcador. Cada marca de datos incluye una ficha asociada. Esta ficha se muestra cuando se selecciona la marca de datos en la tabla de marcadores, en el panel de marcadores del panel de rbol.
Marcas de datos creadas por medio de un programa o mdulo EnScript
Funciones de marcador
(
Note:
) Entre las funciones que se utilizan al trabajar con marcadores se incluyen las siguientes: Cuadro de dilogo Datos de marcador para marcadores de datos resaltados Cuadro de dilogo Agregar marcador de nota Cuadro de dilogo Editar marcadores de informacin/estructura de carpetas Cuadro de dilogo Datos de marcador para archivos
Cuadro de dilogo Datos de marcador para marcadores de datos resaltados

(
Note:
) El cuadro de dilogo Datos de marcador se utiliza al crear manualmente un marcador. El cuadro de dilogo proporciona los medios para agregar comentarios al marcador, determinar el tipo de datos del marcador y seleccionar una carpeta de destino donde se almacenar el marcador.
Cuadro de dilogo Datos de marcador para contenido resaltado
Comentario contiene texto que describe el contenido marcado. Tipo de datos: este panel muestra el tipo de datos del contenido marcado.
rbol de tipos: este rbol contiene objetos que representan los distintos formatos que se pueden utilizar al visualizar contenido marcado. En Tipos de datos de contenido marcado se describen detalles sobre el contenido de este rbol. Carpeta de destino determina la ruta a la carpeta donde se guarda el marcador. Contenido muestra el contenido del marcador con el formato seleccionado. Tipos de datos de contenido marcado (
Note:
) El rbol de tipos del cuadro de dilogo Datos del marcador para datos resaltados muestra una lista de los tipos de datos compatibles. Los tipos de datos se organizan en objetos primarios, que representan cada una de las clases de tipos de datos compatibles. Cada tipo de dato especfico est representado por un objeto secundario. Los formatos interpretan el contenido subyacente. Los formatos cambian la forma en la que se marcan los datos. Si el contenido marcado se debe procesar como una imagen, seleccione este tipo de formato para que se muestre como una imagen.
Texto
El texto es un objeto primario con objetos secundarios que representan el formato que se puede utilizar al mostrar el contenido marcado como texto. No mostrar oculta el contenido del marcador. Acta en todos los tipos de datos subyacentes. ASCII alto muestra el texto en ASCII de 256 bits. ASCII bajo muestra el texto en ASCII de 128 bits. Hexadecimal muestra el texto como dgitos hexadecimales en lugar de caracteres. Unicode muestra el texto con codificacin Unicode. Codificacin ROT 13 descodifica el texto codificado como ROT 13 en texto ASCII. HTML muestra HTML como aparecera en un explorador. HTML (Unicode) muestra HTML como aparecera en un explorador con codificacin Unicode.
Imagen
Una imagen es un objeto primario que contiene objetos que representan los diferentes formatos de archivo que se pueden utilizar al visualizar contenido marcado.
Imagen muestra el contenido marcado como formatos de archivo JPG, GIF, EMF, TIFF, BMP, AOL ART o PSD en funcin de la extensin de archivo o de la firma de archivo del archivo que inclua el contenido marcado. Imagen con codificacin Base64 muestra el contenido marcado en formato Base64 (Unicode). Imagen con codificacin UUE muestra el contenido marcado en formato UUE.
Nmeros enteros
(
Note:
) Los nmeros enteros son objetos primarios que contienen los objetos secundarios que representan las codificaciones de nmeros enteros que se pueden utilizar al visualizar contenido marcado. 8 bits muestra el contenido marcado como nmeros enteros de 8 bits. 16 bits muestra el contenido marcado como nmeros enteros de 16 bits Little-Endian. 16 bits Big Endian muestra el contenido marcado como nmeros enteros de 16 bits Big-Endian. 32 bits muestra el contenido marcado como nmeros enteros de 32 bits Little-Endian. 32 bits Big Endian muestra el contenido marcado como nmeros enteros de 32 bits Big-Endian. 64 bits muestra el contenido marcado como nmeros enteros de 64 bits Little-Endian. 64 bits Big Endian muestra el contenido marcado como nmeros enteros de 64 bits Big-Endian.
Fechas
Una fecha es un objeto primario que contiene los objetos que representan los diferentes formatos de archivo que se pueden utilizar al visualizar contenido marcado. Fecha DOS muestra un valor de 16 bits empaquetado que especifica el mes, el da, el ao y la hora del da de la ltima vez que se escribi en un archivo DOS. Fecha DOS (GMT) muestra un valor de 16 bits empaquetado que especifica la parte de la hora de la fecha DOS en formato GMT. Fecha UNIX muestra una marca de hora Unix en segundos basada en el formato estndar de Unix: 01/01/1970 a las 00:00:00 GMT.
Fecha de texto UNIX muestra una marca de hora Unix en segundos como texto basada en el formato estndar de Unix: 01/01/1970 a las 00:00:00 GMT. Fecha HFS+ muestra un valor numrico en Power Macintosh que especifica el mes, el da, el ao y la hora de la ltima vez que se escribi en el archivo. Fecha/Hora Windows muestra un valor numrico en los sistemas Windows que especifica el mes, el da, el ao y la hora de la ltima vez que se escribi en el archivo. Fecha Lotus muestra una fecha de un archivo de base de datos de Lotus Notes.
Windows
Windows es un objeto primario que contiene los objetos que representan las diferentes interpretaciones de archivo que se pueden utilizar al visualizar contenido marcado. Entrada de particin muestra el contenido del marcador como caracteres compatibles con el formato de encabezado de una entrada de particin de Windows. Entrada de directorio DOS muestra el contenido del marcador como caracteres compatibles con el formato de encabezado de una entrada de directorio DOS. Registro de archivo INFO de Win95 muestra el contenido del marcador como caracteres compatibles con la definicin de estructura de datos INFO. Registro de archivo INFO de Win2000 muestra el contenido del marcador como caracteres compatibles con la definicin de estructura de datos INFO2. GUID muestra el contenido del marcador como cadenas compatibles con el formato GUID (identificador nico global de Windows). SID muestra el contenido del marcador con el formato SID (identificador de seguridad).
Estilos
(
Note:
) Estos estilos de texto se utilizan cuando se trabaja con idiomas extranjeros. Si desea obtener ms informacin, consulte Trabajo con idiomas extranjeros.
Cuadro de dilogo Agregar marcador de nota

(
Note:
10
El cuadro de dilogo Agregar marcador de nota permite introducir la nota o el texto contenido en un marcador de nota. Un marcador de nota puede contener hasta 1000 caracteres. El contenido del marcador se puede formatear como un conjunto. Un marcador de nota puede anotar otro marcador existente o agregar descripciones de eventos que desee incluir en un informe.
Agregar marcador de nota
Notas contiene un mximo de 1000 caracteres. Mostrar en informe: cuando se selecciona, el contenido del marcador de nota aparecer en el panel Informe del panel de tabla. Formato incluye los controles de formato para asignar formato a todos los caracteres que conforman el contenido de la nota. Negrita cambia a negrita todo el contenido de la nota. Cursiva cambia a cursiva todo el contenido de la nota. Aumentar tamao de fuente establece el tamao de la fuente que utiliza el contenido de la nota. Aumentar sangrado de texto establece el sangrado de todos los bloques de texto que constituyen la nota.
Cuadro de dilogo Informacin/estructura de carpeta de marcadores

(
Note:
11
El cuadro de dilogo Estructura de carpeta de marcadores se utiliza para determinar si en el marcador de estructura de carpetas que se crea se incluye informacin del dispositivo y cunta informacin se incluye.
Cuadro de dilogo Estructura de carpeta de marcadores
Incluir informacin del dispositivo: cuando se selecciona, en el marcador que se crea se incluye informacin sobre la estructura de carpetas. Columnas determina el nmero de columnas de informacin sobre la estructura de las carpetas que se incluyen en el marcador. Carpeta de destino: muestra el rbol de marcadores, que permite desplazarse a la carpeta de destino.
Cuadro de dilogo Datos de marcador para archivos

(
Note:
) El cuadro de dilogo Datos de marcador para archivos se utiliza al crear marcadores de archivos destacados y grupos de archivos. El cuadro de dilogo permite agregar un breve comentario al marcador, crear una carpeta o agregar un comentario de carpeta.
12
Cuadro de dilogo Datos de marcador para archivos
Marcar elementos seleccionados: slo aparece cuando existen varios archivos seleccionados en el panel de tabla. Cuando se elige esta opcin los archivos seleccionados se marcan como uno o varios marcadores de grupo de archivos y se desactiva el campo de comentario de carpeta, ya que el comentario no se puede aplicar a todos los archivos que constituyen un marcador de grupo de archivos. Cuando se muestra pero no est seleccionada y slo existe un archivo resaltado en el panel de tabla, este nico archivo se marca como archivo destacado y los dems archivos seleccionados no se marcan. Crear nueva carpeta de marcadores: determina si se crea una nueva carpeta y si se muestran Nombre de carpeta y Comentario de carpeta. Nombre de carpeta: si se muestra, indique el nombre de archivo de la nueva carpeta de marcadores. Comentario de carpeta: si se muestra, introduzca el comentario que describa los archivos marcados que incluir la nueva carpeta.
13
Comentario: contiene un breve comentario si en este cuadro de dilogo se crea un marcador de archivo destacado. Carpeta de destino: muestra el rbol de marcadores, que permite seleccionar la carpeta de destino.
Utilizacin de marcadores
(
Note:
) Los marcadores se pueden crear en entradas y en registros. Los marcadores permiten realizar las siguientes operaciones: Creacin, consulte Creacin de marcadores. Edicin, consulte Edicin de marcadores. Ampliacin mediante la agregacin de un marcador de nota. Consulte Creacin de un marcador de notas que, al igual que la edicin, se puede llevar a cabo en cualquier marcador. Organizacin en carpetas. Consulte Uso de carpetas para organizar un informe de marcadores. Los informes pueden contener marcadores y campos con atributos de marcador: Determinacin de las entradas de tabla que deben aparecer en un informe. Consulte Visualizacin de marcadores en la ficha de informe del panel de tabla. Determinacin de los campos de entrada que deben aparecer en un informe. Consulte Personalizacin de un informe.
Creacin de un marcador
(
Note:
) Se pueden crear los siguientes tipos de marcadores segn sea necesario: Marcador de datos resaltados Marcador de notas Marcador de estructura de carpetas Marcador de archivo destacado Marcador de grupo de archivos Marcador de registro Los programas EnScript crean los siguientes tipos de marcadores:
14
Marcador de Snapshot Marcador de marcas de datos Las aplicaciones EnCase crean los siguientes tipos de marcadores como resultado de la adquisicin de un dispositivo: Configuracin de hora del caso Resumen de bsqueda Creacin de un marcador de datos resaltado (
Note: Es posible seleccionar y marcar cualquier contenido que se muestre en el panel de visualizacin.
) Para poder crear un marcador de datos resaltado, es necesario que se muestre el contenido en un panel del panel de visualizacin. Creacin de un marcador de datos resaltado
Para marcar contenido resaltado y mostrado en el panel de visualizacin: 1. En el panel de visualizacin, seleccione el contenido que desee. 2. En el contenido resaltado, haga clic con el botn derecho en la opcin de datos del marcador. Se mostrar el cuadro de dilogo de datos del marcador correspondiente a los datos resaltados. 3. Seleccione el tipo de datos adecuado en el rbol de tipos. 4. Introduzca los comentarios que desee. 5. Haga clic en Aceptar. Los comentarios se mostrarn en la columna de comentarios de la tabla de marcadores del panel de marcadores del panel de tabla. Creacin de un marcador de notas (
Note: Una nota puede incluir un mximo de 1.000 caracteres. Las notas permiten introducir anotaciones en los marcadores.
15
Para poder crear un marcador de notas, es necesario haber creado el marcador deseado y que se muestre en la tabla de marcadores del panel de tabla. Creacin de un marcador de notas
Para crear un marcador de notas: 1. En la tabla de marcadores del panel de tabla, haga clic con el botn derecho en el marcador que desee y, a continuacin, haga clic en la opcin de adicin de notas. Se mostrar el cuadro de dilogo de adicin de marcadores de nota. 2. Introduzca el texto de la nota, aplique al texto el formato que desee y, a continuacin, modifique el valor de mostrar en informe de acuerdo con sus preferencias y haga clic en Aceptar. La nota se agregar a la tabla de marcadores del panel de marcadores del panel de tabla. Creacin de un marcador de informacin o estructura de carpetas (
Note: Un marcador de estructura de carpetas permite marcar una carpeta o un dispositivo.
) Para poder crear un marcador de estructura de carpetas, es necesario que se muestre el rbol de entradas en el panel de entradas del panel de rbol.
16
Creacin de un marcador de estructura de carpetas
Para crear un marcador de estructura de carpetas: 1. Haga clic con el botn derecho en el dispositivo o carpeta que se va a marcar y, a continuacin, haga clic en la opcin de datos del marcador. Se mostrar el cuadro de dilogo Estructura de carpeta de marcadores. 2. Acepte la configuracin predeterminada, o bien introduzca los valores que desee y, a continuacin, haga clic en Aceptar. Los marcadores de estructura de carpetas se pueden visualizar en la tabla de marcadores del panel de marcadores del panel de tabla. Creacin de un marcador de archivo destacado (
Note: Cuando se marca un solo archivo, se crea un marcador de archivo destacado.
) Para poder crear un marcador de archivo destacado, es necesario que se cumpla uno de los requisitos siguientes: Es necesario que se muestre el rbol de entradas en el panel de entradas del panel de rbol. Es necesario que se muestre el rbol de registros en el panel de registros del panel de rbol.
17
Creacin de un marcador de archivo destacado
Para crear un marcador de archivo destacado: 1. Para marcar el archivo, seleccione el dispositivo en el que se encuentra el archivo. 2. En la tabla de entradas del panel de entradas del panel de tabla o en la tabla de registros del panel de registros del panel de tabla, seleccione la fila que describe el archivo, haga clic con el botn derecho en ella y, a continuacin, haga clic en la opcin de datos del marcador. Se mostrar el cuadro de dilogo de datos del marcador correspondiente a los archivos. 3. Acepte los valores predeterminados o modifique los mostrados en el cuadro de dilogo de datos del marcador y, a continuacin, haga clic en Aceptar. Los marcadores de archivo destacado se colocan en la tabla de marcadores del panel de marcadores del panel de tabla. Creacin de un marcador de grupo de archivos (
Note: Si se selecciona ms de un archivo en la entrada de tablas, se crear un marcador de grupo de archivos.
) Para poder crear un marcador de grupo de archivos, es necesario que se cumpla uno de los requisitos siguientes: Es necesario que se muestre el rbol de entradas en el panel de entradas del panel de rbol. Es necesario que se muestre el rbol de registros en el panel de registros del panel de rbol.
18
Creacin de un marcador de grupo de archivos
Para crear marcadores de grupo de archivos: 1. Resalte el dispositivo o la carpeta primaria que contenga los archivos que se van a marcar. 2. En la tabla de entradas o en la tabla de registros del panel de tabla, seleccione los archivos que se van a marcar y, a continuacin, haga clic en la opcin de datos del marcador. Se mostrar el cuadro de dilogo de datos del marcador correspondiente a los archivos. 3. Acepte los valores predeterminados o modifique los mostrados en el cuadro de dilogo de datos del marcador y, a continuacin, haga clic en Aceptar. Los marcadores de grupo de archivos se colocan en la tabla de marcadores del panel de marcadores del panel de tabla. Creacin de un marcador de registro (
Note:
) Los marcadores de registro se crean a travs de un cuadro de dilogo de estado de procesos que permite guardar su contenido en un registro. El cuadro de dilogo de resultados de la bsqueda de la adquisicin es uno de estos cuadros de dilogo. Para poder crear un marcador de registro, es necesario que se muestre un cuadro de dilogo de resultados de un proceso.
19
Creacin de un marcador de registro
Para crear un marcador de registro: 1. En el cuadro de dilogo de resultados de un proceso, seleccione Registro. 2. Haga clic en Aceptar. Se mostrar una entrada de registro en la tabla de marcadores del panel de marcadores del panel de tabla. Creacin de un marcador de Snapshot Los marcadores de Snapshot se crean mediante diferentes programas EnScript. Para poder crear un marcador de Snapshot, es necesario que se muestre el panel EnScript en el panel de filtro.
20
Creacin de un marcador de Snapshot
Para crear un marcador de Snapshot: 1. En el rbol EnScript, expanda el objeto Enterprise y haga doble clic en el programa EnScript que desee. En el rbol EnScript, expanda el objeto Forensic y haga doble clic en Scan Local Machine (Explorar equipo local). Se mostrar la pgina de opciones del asistente de EnScript. 2. Introduzca un nombre de carpeta de marcador, seleccione los mdulos que desee y haga clic en Finalizado. Se mostrar un cuadro de dilogo especfico del programa EnScript utilizado. 3. Complete el cuadro de dilogo especfico del programa EnScript y haga clic en Aceptar.
21
4.
La lnea de estado de subprocesos mostrar el estado del programa EnScript en ejecucin. Una vez completado el programa, se mostrarn los resultados en el panel de marcadores del panel de rbol. Para visualizar los marcadores resultantes, expanda la carpeta de marcadores especificada en el paso 2.
Edicin de marcadores
(
Note:
) Una vez creados los marcadores, se pueden editar. Los diferentes tipos de marcadores se editan de la misma forma. Consulte Edicin de un marcador. Las diferencias en el proceso de edicin se basan en el tipo de marcador ya que, al hacer clic en la opcin de edicin se muestra un cuadro de dilogo de edicin especfico del tipo. Cada cuadro de dilogo de edicin contiene un subconjunto de los controles mostrados al crear el marcador. En los marcadores creados por el sistema, los cuadros de dilogo de edicin son nicos. Si es la aplicacin la que genera el marcador, la edicin es el nico medio de que dispone un investigador para realizar sus propios comentarios. Edicin de marcadores (
Note: Es posible editar la mayora de marcadores. El editor que se muestre vara en funcin del tipo de marcador que se edite. Consulte cada uno de los cuadros de dilogo de edicin para obtener informacin especfica sobre el marcador. Las instrucciones de esta seccin se aplican a la edicin de cualquier marcador, con excepcin de los marcadores de grupo de archivos, que no se pueden editar.
) Para poder editar un marcador, es necesario que ya exista y que se muestre en la tabla de marcadores del panel de marcadores del panel de tabla. El contenido de la tabla de marcadores viene determinado por el objeto seleccionado en el panel de rbol.
22
Edicin de cualquier marcador
Para editar un marcador: 1. En el panel de marcadores del panel de tabla, haga clic con el botn derecho en el marcador que desee y, a continuacin, haga clic en Editar. Se mostrar el cuadro de dilogo para editar correspondiente. 2. Edite el contenido mostrado en el cuadro de dilogo de edicin y, a continuacin, haga clic en Aceptar. Cuadros de dilogo de edicin de marcadores (
Note:
) Los cuadros de dilogo de edicin de marcadores permiten la edicin de la misma informacin introducida al crear los marcadores. En los marcadores creados sin entrada del usuario, la edicin de la informacin ser la nica oportunidad para que el usuario introduzca o modifique estos datos. Los marcadores de grupo de archivos no se pueden editar. Estos editores no son necesariamente los que se utilizan para modificar los datos de las columnas en la tabla de marcadores del panel de marcadores del panel de tabla. Los cuadros de dilogo de edicin de marcadores incluyen los siguientes: Cuadro de dilogo Editar marcadores de datos resaltados Cuadro de dilogo Editar marcadores de nota
23
Cuadro de dilogo Editar marcadores de informacin/estructura de carpetas Cuadro de dilogo Editar marcadores de archivo destacado Cuadro de dilogo Editar marcadores de Snapshot Cuadro de dilogo Editar marcadores de registro Cuadro de dilogo Editar marcadores de marca de datos Las carpetas que contienen marcadores se editan con el cuadro de dilogo Editar carpeta.
Cuadro de dilogo Editar marcadores de datos resaltados
(
Note:
) marcadores, edicin de marcadores de datos resaltados edicin de marcadores de datos resaltados Este cuadro de dilogo se utiliza para editar marcadores de datos resaltados.
Cuadro de dilogo Editar datos resaltados
Comentario contiene texto que describe el contenido marcado.
24
Tipo de datos muestra el tipo de datos del contenido marcado. La seleccin de un tipo de datos diferente no modificar el contenido del marcador. Cambiar el tipo de datos seleccionado, por lo que el tipo de datos original ya no se indicar en el tipo mostrado. Contenido contiene los datos resaltados marcados. El contenido de este campo no se puede editar.
Cuadro de dilogo Editar marcadores de nota
(
Note:
) marcadores, edicin de marcadores de nota edicin de marcadores de nota Este cuadro de dilogo se utiliza para editar marcadores de notas.
Cuadro de dilogo Editar marcadores de nota
Notas contiene texto que describe el contenido marcado. Puede incluir un mximo de 1.000 caracteres. Mostrar en informe: cuando se selecciona, el contenido del marcador de nota aparecer en la ficha de informe del panel de tabla. Formato incluye los controles de formato para asignar formato a todos los caracteres que conforman el contenido de la nota. Negrita cambia a negrita todo el contenido de la nota. Cursiva cambia a cursiva todo el contenido de la nota. Aumentar tamao de fuente establece el tamao de la fuente que utiliza el contenido de la nota. Aumentar sangrado de texto establece el sangrado de todos los bloques de texto que constituyen la nota.
25
Cuadro de dilogo Editar marcadores de informacin/estructura de carpetas
(
Note:
) edicin de marcadores de estructura de carpetas edicin de estructura de carpetas marcadores edicin de marcadores de informacin de carpetas edicin de informacin de carpetas marcadores Este cuadro de dilogo se utiliza para editar marcadores de informacin o estructura de carpetas.
Cuadro de dilogo Editar marcadores de informacin/estructura de carpetas
Incluir informacin del dispositivo incluye la estructura de carpetas en el marcador que se crea. Columnas determina el nmero de columnas de informacin sobre la estructura de las carpetas que se incluyen en el marcador.
Cuadro de dilogo Editar marcadores de archivo destacado
(
Note:
) marcadores, marcadores de archivo destacado Este cuadro de dilogo se utiliza para editar marcadores de archivo destacado.
26
Cuadro de dilogo Editar marcadores de archivo destacado
Comentario contiene un mximo de 1.000 caracteres.

Cuadro de dilogo Editar marcadores de Snapshot
(
Note:
) marcadores, edicin de marcadores de Snapshot edicin de marcadores de Snapshot Este cuadro de dilogo se utiliza para editar marcadores de Snapshot.
Cuadro de dilogo Editar marcadores de Snapshot
Nombre contiene el nombre del marcador capturado. Un programa EnScript proporcion este valor de nombre al crear el marcador. La edicin permite al investigador indicar un nombre con ms significado. Comentario contiene texto que describe el contenido marcado. Un programa EnScript proporcion este texto al crear el marcador. La edicin permite al investigador indicar comentarios con ms significado.
27
Cuadro de dilogo Editar marcadores de registro
(
Note:
) marcadores, edicin de marcadores de registro edicin de marcadores de registro Este cuadro de dilogo se utiliza para editar marcadores de registro.
Cuadro de dilogo Editar marcadores de registro
Nombre contiene el nombre del marcador de registro. La aplicacin EnCase proporcion este valor de nombre al crear el marcador. La edicin permite indicar un nombre con ms significado. Comentario contiene texto que describe el contenido marcado. No se proporcion texto al crear el marcador. La edicin permite al investigador indicar un comentario.
Cuadro de dilogo Editar marcas de datos
(
Note:
) Este cuadro de dilogo se utiliza para editar marcas de datos cuando aparecen como entradas de tabla. Las marcas de datos se pueden utilizar como marcadores si se crean en la carpeta de marcadores.
28
Cuadro de dilogo Editar marcas de datos
Nombre contiene el nombre del marcador capturado. El programa EnScript que cre la marca de datos proporcion este valor de nombre al crearlo. La edicin permite al investigador indicar un nombre con ms significado. Comentario contiene texto que describe el contenido marcado. El programa EnScript que cre la marca de datos proporcion este valor de nombre al crearlo. La edicin permite al investigador indicar comentarios con ms significado. Cuadros de dilogo Editar carpeta de marcadores (
Note:
) Las carpetas aparecen en el rbol de marcadores y en la taba de marcadores. Estas carpetas contienen metadatos y formato para los paneles de informe que aparecen en los paneles de tabla y de visualizacin. La raz del rbol de marcadores es una carpeta. El mismo cuadro de dilogo, consulte la siguiente seccin, Editar carpeta, se utiliza para editar la carpeta raz de marcadores y otras carpetas del rbol y de la tabla de marcadores. La carpeta raz de marcadores contiene formato de informes predeterminado, en tanto que las otras carpetas no lo incluyen.
Cuadro de dilogo Editar carpeta
(
Note:
29
Este cuadro de dilogo se utiliza para modificar metadatos de carpeta y para mostrar contenido del informe generado a partir de las entradas de la carpeta. Este cuadro de dilogo funciona con cualquier carpeta de los paneles de rbol o tabla. Cuando la carpeta es la carpeta raz de un rbol, en el campo Formato se proporciona formato predeterminado. Este cuadro de dilogo se utiliza para personalizar el informe generado para el contenido de la carpeta. Cada carpeta de un rbol dispone de su propio informe sobre el contenido. Cada carpeta define su propio informe.
Cuadro de dilogo Editar carpeta iniciado desde la raz del rbol de marcadores
Mostrar en informe determina si el contenido de la carpeta aparecer en el informe. Mostrar imgenes determina si las imgenes de la carpeta aparecern en el informe. Comentario contiene texto que describe el contenido marcado. Formato contiene etiquetas, ya sea proporcionadas por la aplicacin o introducidas por el usuario, y los campos seleccionados en Campos. La etiqueta "Comentario:" aparecer textualmente en el informe. Los corchetes contienen un campo. El carcter ")" es un literal, como en otra etiqueta. Todo lo que no son campos, son etiquetas. Campos contiene la lista de los campos que se pueden incluir en el informe. Esta lista vara segn la entrada.
30
Tablas determina si las listas de detalle mostradas aparecern de forma individual en el informe.
Uso de una carpeta para organizar un informe de marcadores

(
Note: Cuando se crean varios marcadores, stos aparecen en el informe de marcadores de acuerdo con lo seleccionado en la columna de elementos incluidos en el informe de las filas de entrada de marcador de la tabla de marcadores. El uso de carpetas permite seleccionar subconjuntos de marcadores para su inclusin en el informe de marcadores.
) Para poder utilizar carpetas para organizar un informe de marcadores, es necesario haber creado los marcadores que se desean organizar, que el rbol de marcadores aparezca en el panel de marcadores del panel de rbol y que la carpeta de destino se haya agregado al rbol de marcadores.
Uso de carpetas para organizar un informe de marcadores
Para utilizar carpetas para organizar marcadores: 1. Realice una de las tareas siguientes: Para mover un marcador y quitarlo del objeto marcador de origen, arrastre hasta la carpeta de destino el marcador que desee incluir en el informe. Para copiar un marcador desde el objeto marcador de origen, haga clic con el botn derecho en el marcador, arrstrelo hasta la carpeta de destino y, por ltimo, seleccione Copiar aqu. El marcador se encuentra ahora en la carpeta de destino, de modo que su entrada se mostrar en la tabla de marcadores asociada a la carpeta de
31
2.
3.
destino. La tabla de marcadores se mostrar en el panel de marcadores del panel de tabla. Seleccione la carpeta de destino en el rbol de marcadores. Los marcadores incluidos en la carpeta se mostrarn en la tabla de marcadores. En el panel de tabla, haga clic en la opcin de informe. Los marcadores incluidos en la carpeta se mostrarn en el informe.
Organizacin de marcadores (
Note:
) En el panel de rbol, los marcadores se pueden organizar en carpetas. Estas carpetas aparecen en el panel de tabla, pero una entrada de la tabla no se puede arrastrar a otras entradas de tabla. Puede arrastrar la entrada de tabla a una carpeta del rbol de marcadores, como se describe en Uso de carpetas para organizar un informe de marcadores. La organizacin de marcadores implica las siguientes tareas: Copia de una entrada de tabla a una carpeta Desplazamiento de una entrada de tabla a una carpeta
Copia de una entrada de tabla en una carpeta
(
Note: Es posible copiar una entrada del panel de tabla en una carpeta del panel de rbol. La copia de la entrada la mantiene en la tabla y crea una copia en el rbol.
) Antes de poder copiar una entrada en una carpeta, el marcador que constituye la entrada de tabla ya existe y aparece en la tabla de marcadores del panel de marcadores del panel de tabla, al igual que la carpeta de destino, que se ha agregado al rbol de marcadores del panel de tabla.
32
Copia de entradas y marcadores en una carpeta
Para copiar una entrada de tabla en una carpeta: 1. Haga clic con el botn derecho en la entrada que desee y arrstrela hasta la carpeta correspondiente. 2. Suelte la entrada en la carpeta y seleccione la opcin para copiar aqu. La entrada se ubicar en la carpeta.
Cmo mover una entrada de tabla a una carpeta mediante el mtodo de hacer clic con el botn derecho y arrastrar
(
Note: Es posible hacer clic con el botn derecho y arrastrar para mover una entrada de tabla a una carpeta. Al mover la entrada de tabla, sta se elimina de la tabla y se incluye en el rbol.
) Antes de poder mover una entrada a una carpeta, el marcador que constituye la entrada de tabla ya existe y aparece en la tabla de marcadores del panel de marcadores del panel de tabla, al igual que la carpeta de destino, que existe en el rbol de marcadores del panel de marcadores del panel de rbol.
33
Cmo mover una entrada de tabla a una carpeta mediante el mtodo de hacer clic con el botn derecho y arrastrar
Para mover una entrada de tabla a una carpeta mediante el mtodo de hacer clic con el botn derecho y arrastrar 1. Haga clic con el botn derecho en la entrada que desee y arrstrela hasta la carpeta del rbol correspondiente. 2. Suelte la entrada en la carpeta y haga clic en la opcin para mover aqu. La entrada se mover a la carpeta del rbol y se eliminar de la tabla.
Cmo mover una carpeta o entrada de tabla a una carpeta mediante el mtodo de arrastrar
(
Note: Es posible arrastrar una entrada de tabla para moverla a una carpeta. Al mover la entrada de tabla, sta se elimina de la tabla y se incluye en el rbol.
) Antes de poder mover una entrada a una carpeta, el marcador que constituye la entrada de tabla ya existe y aparece en la tabla de marcadores del panel de marcadores del panel de tabla, al igual que la carpeta de destino, que existe en el rbol de marcadores del panel de marcadores del panel de rbol.
34
Cmo mover una carpeta o entrada de tabla a una carpeta mediante el mtodo de arrastrar
Para mover una carpeta o entrada de tabla a una carpeta mediante el mtodo de arrastrar 1. Arrastre la carpeta o entrada que desee a la nueva carpeta primaria del rbol. 2. Suelte la entrada o carpeta en la nueva carpeta primaria. La entrada se mover a la carpeta del rbol y se eliminar de la tabla.
Informes de marcadores y generacin de informes

(
Note:
) El contenido de los informes de marcadores se puede definir En el panel de tablas, segn se describe en Visualizacin de un marcador en el panel de informes de tablas En el editor de carpetas, segn se describe en Personalizacin de un informe Personalizacin de un informe (
Note: El cuadro de dilogo de Editar carpeta de marcadores permite personalizar los informes.
35
Para poder personalizar un informe de marcadores, debern existir los marcadores que vayan a aparecer en el informe y se deber mostrar el rbol de marcadores del panel de marcadores del panel de rbol. Los marcadores que vayan a aparecer en el informe debern encontrarse en la misma carpeta del rbol de marcadores. Personalizacin de un informe
Para personalizar un informe: 1. En la carpeta que contenga las entradas que se utilizarn para la generacin del informe, haga clic con el botn derecho y seleccione Editar. Se mostrar el cuadro de dilogo Editar carpeta. 2. Mediante la lista de campos, en el orden en el que desea que aparezcan los campos en el informe, haga doble clic en cada uno de los campos que desee agregar. Los campos se movern a la lista de formato. 3. Escriba las etiquetas de texto necesarias en el lugar en el que aparecern en el informe. El texto se mostrar en la lista de formato.
36
4.
5.
Corte y pegue el texto y los campos segn sea necesario y, una vez que el contenido de la lista formato sea el correcto, haga clic en Aceptar. Con la carpeta objeto del informe seleccionada, en el panel de tabla, haga clic en la opcin de informe. Se mostrar el informe con el contenido personalizado.
Generacin de informes
Informes ................................................................ 1
Creacin de informes ..................................... 1 Exportacin de un informe ............................ 1 Exportacin de un informe ............................ 1 Panel de campos adicionales ....................... 3 Informe de marcadores ................................. 4 Informe de marcadores ................................. 4 Visualizacin de un informe de marcadores
.................................................................... 4
Visualizacin de un informe de marcadores

.................................................................... 4
Activacin de la inclusin de datos en informes ................................................... 5 Activacin de la inclusin de datos en informes ................................................... 5 Informes sobre un solo archivo ..... 5 Informes sobre un solo archivo ..... 5 Informes sobre varios archivos ..... 6 Informes sobre varios archivos ..... 6
Informe de correo electrnico ......................... 8 Informe de correo electrnico ......................... 8 Informe de Internet ............................................. 9 Informe de Internet ............................................. 9 Informe de correo Web ................................... 10 Informe de correo Web ................................... 10 Informe alternativo ........................................... 11 Informe de aciertos de bsqueda ................ 12 Informe de aciertos de bsqueda ................ 12 Un rpido informe de entradas ..................... 17 Un rpido informe de entradas ..................... 17
Informes
(
Note: La fase final de un examen forense consiste en realizar informes sobre los resultados. El informe se debe organizar y presentar en un formato legible que pueda entender el pblico objetivo. Al recibir la evidencia, se deben considerar el formato y la presentacin del informe. El software EnCase est diseado para ayudar al investigador a marcar y exportar los resultados, de forma que el informe final se genere rpidamente.
) El software proporciona varios mtodos para generar el informe final. Algunos investigadores prefieren dividir el informe final en varios subinformes dentro de un programa de tratamiento de texto, con un documento de informe resumen que dirija al lector a su contenido. Otros crean informes informatizados en un disco compacto, con un resumen de hiperenlaces a los subinformes y a la documentacin y archivos de apoyo. El programa EnCase proporciona al investigador la flexibilidad necesaria para personalizar y organizar el contenido del informe final.
Creacin de informes
(
Note: La creacin de informes suele ser una de las ltimas tareas que se realizan al investigar un caso. EnCase Enterprise Forensic Field Intelligence Model permite crear informes basados en cualquier panel del panel de rbol.
) Algunos de los informes creados con ms frecuencia incluyen marcadores. Para crear un informe, realice el procedimiento siguiente: 1. En el panel de rbol, seleccione el panel de marcadores. 2. Seleccione el panel de informes del panel de tabla para visualizar el informe.
Exportacin de un informe
(
Note: Una vez generado un informe, es posible guardarlo en un archivo e imprimirlo o guardarlo.
Es necesario haber realizado una bsqueda y los resultados que se vayan a incluir en el informe exportado se debern mostrar en el panel de tabla. Coloque el cursor en el informe. 1. Haga clic con el botn derecho y seleccione la opcin de exportacin. Se mostrar el cuadro de dilogo de exportacin de informe que le solicitar la informacin de salida. 2. Seleccione el formato de salida adecuado e introduzca, o desplcese hasta, la ruta de salida que desee asignar al informe nuevo. De esta forma, el documento de informe recientemente creado se encontrar disponible para su utilizacin. A continuacin, se muestra una pgina Web generada a partir de la rutina de exportacin.
Panel de campos adicionales

(
Note: La opcin de campos adicionales aparece cuando se selecciona el panel de registros. Al elegirla, se muestra ms informacin sobre un elemento seleccionado.
) Cree un mensaje de correo electrnico o realice una bsqueda en el historial de Internet, seleccione un archivo del panel de tabla y, a continuacin seleccione el panel de campos adicionales del panel de rbol para ver los campos adicionales.
Visualizacin de la tabla de campos adicionales de correo electrnico
Visualizacin de la tabla de campos adicionales de Internet
Adems, el informe del panel de informes cambia para mostrar el campo del panel de tabla seleccionado. Por ejemplo, la siguiente figura muestra un informe generado con el campo de hora de creacin de un registro de correo electrnico.
Informe que muestra la hora de creacin
Informe de marcadores
(
Note: Una forma de obtener informes ms detallados sobre distintos archivos de un caso consiste en crear marcadores y generar el informe a partir de ellos.
) Abra un caso en el panel de tabla y los archivos sobre los que desee elaborar el informe. En la carpeta de marcadores se crear un informe con datos relativos a los archivos seleccionados. Para consultar el informe, seleccione la opcin de visualizacin del informe de marcadores.
Visualizacin de un informe de marcadores

Abra un caso en el panel de tabla. 1. Haga clic en el panel de marcadores. Se mostrar el informe.
Informe de marcadores en el que se muestra la primera entrada
El informe se conserva.
Activacin de la inclusin de datos en informes

(
Note: Para poder incluir los archivos en un informe formal, es necesario seleccionarlos para su inclusin.
) Abra un caso y muestre su contenido en el panel de tabla.
Fjese en que se muestran cinco archivos en la imagen. El de la fila 15 es el nico incluido en un informe. Informes sobre un solo archivo (
Note:
) Abra un caso y muestre su contenido en el panel de tabla. 1. Seleccione los archivos que sern objeto de un informe. Si lo desea, tambin puede realizar esta operacin mediante la activacin de la casilla situada junto al nmero de registro (542 en la ilustracin) .
2.
Coloque el cursor en cualquier lugar de la columna de elementos incluidos en el informe
y haga clic con el botn derecho para abrir el men.
3.
4.
Seleccione la opcin de elementos incluidos en el informe. Se establece un valor verdadero para la entrada de la columna de elementos incluidos en el informe del panel de tabla. Haga clic en el panel del informe para consultar su contenido.
Informes sobre varios archivos (

Note:
) Abra un caso y muestre su contenido en el panel de tabla.
1.
Active la casilla situada junto al nmero de registro de los archivos que van a ser objeto de un informe. (538, 539, etc., en la ilustracin).
2.
Coloque el cursor en cualquier lugar de la columna de elementos incluidos en el informe
y haga clic con el botn derecho para abrir el men.
3.
4.
Seleccione la opcin de inversin de elementos seleccionados del men de elementos incluidos en el informe. Los archivos seleccionados de la columna de elementos incluidos en el informe de la vista de tabla se muestran como verdaderos. Haga clic en la ficha del informe para consultar su contenido.
La seleccin del men es un operador XOR. Establece el estado opuesto de la columna de elementos incluidos en el informe.
Informe de correo electrnico

(
Note: Los registros de correo electrnico se crean al realizar bsquedas de correo electrnico.
) Realice una bsqueda de correo electrnico tal y como se describe en el captulo Creacin de registros. 1. Seleccione Ver Subfichas de casos Registros . Se mostrar una vista del panel de rbol y el panel de tabla. El panel de rbol muestra los registros mientras que el panel de tabla muestra el contenido de los mismos. En la figura se muestra el contenido de Hunter XP. La vista del panel de tabla cambiar si se selecciona otro registro.
2.
En el panel de rbol, seleccione un registro y, a continuacin, en el panel de informes haga clic en la opcin de informes. Al seleccionar una entrada en el panel de tabla se mostrar un informe como el siguiente:
10
Informe de Internet
(
Note: Cuando se ejecuta una bsqueda en Internet, se realiza un registro del informe del historial de Internet.
) Realice una bsqueda de correo electrnico tal y como se describe en el captulo Creacin de registros. 1. Seleccione Ver Subfichas de casos Registros . Se mostrarn los paneles de rbol y tabla. El panel de rbol muestra los registros mientras que el panel de tabla muestra el contenido de los mismos. Preste especial atencin a las subcarpetas, la cach y el historial.
2.
3.
Seleccione las opciones correspondientes a la cach o el historial para visualizar su contenido en el panel de tabla. En el panel de rbol, seleccione un registro y, a continuacin, en el panel de informes haga clic en la opcin de informes. El informe se mostrar en el panel de informes.
11
Informe de correo Web

(
Note:
) Complete el analizador de correo Web. 1. Seleccione la carpeta para mostrar su contenido en el panel de tabla. 2. Seleccione el archivo sobre el que desee realizar el informe y seleccione la ficha de informes del panel de informes. Se mostrar un informe.
Informe alternativo
(
Note: Tambin es posible generar un informe en el panel de tabla.
) 1. 2. 3.
Seleccione el archivo en el panel de tabla. Haga clic en la columna de elementos incluidos en el informe y agregue el elemento al informe. Haga clic en el panel de informes del panel de tabla para visualizar el informe.
12
13
Informe de aciertos de bsqueda

(
Note: La bsqueda de palabras clave requiere la obtencin inmediata de excelentes informes. En ocasiones, las palabras clave encontradas constituyen una parte importante de un caso. Existen diversas variantes para los informes de bsqueda de palabras clave.
) Ejecute una bsqueda de palabras clave estndar. 1. Haga clic en la opcin de aciertos de bsqueda. Los resultados de la bsqueda se muestran en una ventana de cuatro paneles.
14
Visualizacin de un informe de aciertos de bsqueda
2. 3.
Seleccione una palabra clave en la lista del panel de tabla. Haga clic en la opcin de informe. Los resultados de la palabra clave del panel de tabla seleccionada se muestran en el panel de informes.
15
Informe de fechas con aos de cuatro dgitos
4.
Seleccione un elemento en el panel de tabla. Se mostrar un informe que incluye la ubicacin y el nombre de archivo, as como el contenido de palabras clave del panel de rbol.
16
Informe del panel de visualizacin
5. 6.
Haga clic con el botn derecho en el panel de tabla. Complete el cuadro de dilogo que se muestra y haga clic en Aceptar. Active los campos que se mostrarn en el informe y designe un nombre de archivo y una ubicacin de salida en el campo correspondiente.
17
Cuadro de dilogo de diseo de informes
Se crea un archivo de texto delimitado. Guarde los informes de acuerdo con la poltica local.
18
Un rpido informe de entradas

(
Note: Con frecuencia se requiere un informe rpido con informacin relacionada con un archivo concreto de un caso. El procedimiento siguiente muestra cmo crearlo:
) Abra un caso y localice el archivo sobre el que desee elaborar el informe. 1. Seleccione el archivo sobre el que desee generar el informe.
2.
En el panel de visualizacin, haga clic en la opcin de informe. . Se mostrar un breve informe.
19
Informe de Bookmarks.HTML
Este informe se mostrar en el panel de informes del panel de tabla.
Trabajo con idiomas extranjeros

Trabajo con idiomas extranjeros .................... 1
Caractersticas de idioma extranjero ........... 1 Panel Fuente del cuadro de dilogo Opciones ................................................. 2 Fuentes Unicode .................................... 3 Estilos de texto ....................................... 4 Cuadro de dilogo Nuevos estilos de texto
.................................................................... 5
Cuadro de dilogo Nuevos estilos de texto: panel Atributos ..................... 5 Cuadro de dilogo Nuevos estilos de texto: panel Pgina de cdigos ..... 7 Configuracin de la compatibilidad con idiomas extranjeros ...................................................... 9 Configuracin de los elementos de la interfaz para visualizar caracteres en un idioma extranjero .................................... 9 Configuracin del teclado para un idioma extranjero concreto .............................. 10 Introduccin de contenido en un idioma extranjero sin haber asignado el teclado a dicho idioma .......................................... 11 Creacin y definicin de un nuevo estilo de texto. .............................................................. 12 Creacin de palabras clave en un idioma extranjero ...................................................... 14 Cmo probar una palabra clave en un idioma extranjero .................................. 16 Bsqueda de contenido en un idioma extranjero
.......................................................................... 17
Marcado de texto en un idioma extranjero ....

1 9
Visualizacin de archivos Unicode ............ 20 Visualizacin de archivos con una codificacin diferente a Unicode ...................................... 21 Uso de pginas de cdigos en los paneles de texto y formato hexadecimal ....................... 22

(
Note:
) nico a cada carcter, independientemente de la plataforma, el programa informtico o el idioma. A diferencia de ASCII, que utiliza 7 bits, Unicode utiliza 16 bits para representar cada carcter. Para consultar las tablas de cdigo completas de Unicode, vaya a www.unicode.org/charts . Las aplicaciones EnCase son compatibles con Unicode; esto significa que los investigadores pueden buscar y mostrar caracteres Unicode y, as, ser compatibles con ms idiomas. Tambin son compatibles con otras codificaciones adems de Unicode de 16 bits, para ocuparse de texto en idioma extranjero no Unicode. El trabajo con idiomas extranjeros suele implicar la realizacin de las siguientes tareas: Configuracin de la compatibilidad con idiomas extranjeros Creacin y definicin de un nuevo estilo de texto Creacin de trminos de bsqueda en un idioma extranjero Asignacin de marcadores a texto en un idioma extranjero Visualizacin de archivos Unicode Visualizacin de archivos con una codificacin diferente a Unicode Uso de pginas de cdigos en los paneles de texto y formato hexadecimal La aplicacin proporciona varias caractersticas de idioma extranjero. Si desea obtener ms informacin sobre ellas, consulte Caractersticas de idioma extranjero.
Caractersticas de idioma extranjero

(
Note:
) EnCase Forensic Enterprise Field Intelligence Model proporciona compatibilidad con idiomas extranjeros mediante diferentes caractersticas. Entre estas caractersticas se incluyen:
Ficha Fuente del cuadro de dilogo Opciones Fuentes Unicode Estilos de texto Cuadro de dilogo Nuevo estilo de texto Los rboles de estilos de texto se utilizan en los siguientes paneles: Panel de rbol Panel de filtros Los estilos de texto se definen en la ventana principal de EnCase. Al definirse, estos estilos de texto no se asocian con un caso. En el panel de filtros, se pueden crear o editar estilos de texto o bien aplicarlos al contenido del panel de visualizacin.
Panel Fuente del cuadro de dilogo Opciones

(
Note:
) Este panel contiene una lista de elementos de la interfaz de EnCase que se pueden configurar para admitir idiomas extranjeros. Cada uno de los elementos incluidos en la lista incluye parmetros de fuente asociados. Al hacer doble clic en un elemento, se abre el cuadro de dilogo Fuente, donde se selecciona la configuracin asociada.
Panel Fuente del cuadro de dilogo Opciones
Fuentes predeterminadas: contiene la lista de elementos de interfaz que se pueden configurar. Al hacer doble clic en estos elementos de interfaz, se abre el cuadro de dilogo Fuente; aqu, la seleccin de una fuente Unicode permitir utilizar texto en idioma extranjero en estos elementos.
Fuentes Unicode
(
Note:
) Los elementos de interfaz de EnCase muestran su contenido con fuentes Unicode. Las fuentes Unicode se seleccionan en el cuadro de dilogo Fuentes, al que se accede desde el cuadro de dilogo Opciones. Las fuentes especficas que aparecen en el cuadro de dilogo Fuentes son las instaladas en el propio Windows. MS Office proporciona fuentes Unicode. Si no se han instalado fuentes Unicode en el equipo, se pueden obtener de Microsoft.
En este manual, se ha utilizado Arial Unicode MS como fuente Unicode. Arial Unicode MS contiene muchos de los caracteres Unicode, lo que la convierte en la fuente idnea para las investigaciones en idioma extranjero. Unicode interpreta las fuentes como palabras de 16 bits. Cuando se seleccionan fuentes Unicode, los conjuntos de caracteres de 8 bits y el ASCII de 7 bits no se interpretan correctamente. Para texto en ingls, utilice Courier New y fuente de 8 bits. Los conjuntos de caracteres deben ser compatibles con la codificacin proporcionada por la fuente utilizada para mostrar texto en dicho conjunto de caracteres. Los conjuntos de caracteres y las fuentes se asocian con codificaciones especficas. Adems de Unicode, ahora son compatibles otras codificaciones especficas. En las aplicaciones EnCase, las codificaciones se denominan pginas de cdigos. Si el texto no se muestra correctamente, cambie la fuente o la pgina de cdigos, si se admite. Los caracteres no compatibles con la fuente o con la pgina de cdigos se muestran como caracteres predeterminados, generalmente un punto o un cuadrado. Si utiliza estilos de texto, puede modificar este carcter, por ejemplo en los paneles de texto o formato hexadecimal del panel de visualizacin.
Estilos de texto
(
Note:
) La visualizacin del contenido en idioma extranjero se controla mediante la fuente de texto utilizada en la presentacin del contenido o bien mediante el estilo de texto aplicado al contenido. Un estilo de texto es mucho ms rico que una fuente. Un estilo de texto puede aplicar diferentes atributos, entre los que se incluyen: Ajuste de lneas Longitud de lneas Carcter de sustitucin Direccin de lectura Color de fuente Clase de codificacin Codificacin especfica
Los estilos de texto se aplican en el panel de visualizacin. Consulte Visualizacin de archivos con una codificacin diferente a Unicode y Visualizacin de archivos Unicode. Adems de los estilos de texto que proporciona la aplicacin, puede crear y editar estilos de texto; consulte Creacin y definicin de un nuevo estilo de texto. Los estilos de texto se asocian con la aplicacin base. No se asocian con un caso especfico, pero se pueden aplicar a cualquier caso tras su definicin.
Cuadro de dilogo Nuevos estilos de texto

(
Note:
) Este cuadro de dilogo se utiliza para definir estilos de texto que se pueden aplicar a texto que se muestra en los paneles de texto o formato hexadecimal del panel de visualizacin. Este cuadro de dilogo consta de los siguientes paneles: Panel Atributos Panel Pgina de cdigos El cuadro de dilogo se describe en los temas de los paneles Atributos y Pgina de cdigos. Cuadro de dilogo Nuevos estilos de texto: panel Atributos (
Note:
) Este cuadro de dilogo se utiliza para definir estilos de texto que se pueden aplicar a texto que se muestra en los paneles de texto o formato hexadecimal del panel de visualizacin. La ficha Atributos captura la definicin del estilo de texto, con la excepcin de la pgina de cdigos.
Panel Atributos del cuadro de dilogo Nuevos estilos de texto
Nombre contiene el nombre del estilo de texto. Los estilos de texto se seleccionan por el nombre. Ajuste de lnea contiene los controles que determinan cmo aparecer el contenido en los paneles de texto y formato hexadecimal del panel de visualizacin. Ajustar a pgina: cuando se selecciona, no se utilizan saltos de lnea en el contenido que se muestra. Saltos de lnea: cuando se selecciona, los saltos de lnea incluidos en el aparecen en el texto mostrado y las lneas que no contienen saltos de lnea se ajustarn segn el valor establecido en Longitud de ajuste. Al seleccionar esta opcin, se puede introducir una Longitud de ajuste. Tamao mximo: cuando se selecciona, se omiten los saltos de lnea incluidos en el contenido y las lneas se ajustan segn el valor establecido en Longitud de ajuste. Al seleccionar esta opcin, se puede introducir una Longitud de ajuste. Longitud de ajuste contiene la longitud de lnea en caracteres donde se puede incluir un salto de lnea. Si la opcin Saltos de lnea est seleccionada, un salto de lnea se puede producir antes de alcanzar la longitud de ajuste. Si est seleccionada la opcin Tamao mximo, los saltos de lnea slo tienen lugar en el valor de este parmetro. Carcter predeterminado contiene el carcter que se utiliza para indicar que la codificacin o la pgina de cdigos no ha podido interpretar el valor subyacente como un carcter vlido. Cuando se interpreta 16- Unicode con la pgina de cdigos ASCII de 8 bits, cada segundo carcter se muestra como un carcter predeterminado.
Lectura de derecha a izquierda determina si el texto se muestra de forma que se pueda leer de derecha a izquierda o de izquierda a derecha. Elemento de color contiene una lista de elementos de texto que pueden tener un color asignado. Al hacer doble clic en un elemento de la lista, se abre un cuadro de dilogo de edicin que permite seleccionar el fondo y el primer plano del elemento. Desde el cuadro de dilogo de edicin se puede abrir una paleta de colores. Cuadro de dilogo Nuevos estilos de texto: panel Pgina de cdigos (
Note:
) Este cuadro de dilogo se utiliza para definir estilos de texto que se pueden aplicar a texto que se muestra en los paneles de texto o formato hexadecimal del panel de visualizacin. La ficha Pgina de cdigos proporciona un medio para seleccionar la pgina de cdigos del estilo de texto que se define.
Panel Pgina de cdigos del cuadro de dilogo Nuevos estilos de texto
Pgina de cdigos contiene la configuracin que determina el tipo de pgina de cdigos que se utiliza en el estilo de texto que se define. Unicode determina si se va a utilizar Unicode Little Endian. Si desea utilizar UTF-7 o UTF-8, active la opcin Otra en lugar de este parmetro. Unicode Big- Endian determina si se va a utilizar Unicode Big Endian. Otra permite seleccionar la pgina de cdigos adecuada en la lista Pginas de cdigos. La lista Pginas de cdigos contiene la lista de pginas de cdigos compatibles.
Configuracin de la compatibilidad con idiomas extranjeros

(
Note:
) La compatibilidad con idiomas extranjeros implica Configuracin de elementos individuales de la interfaz Creacin y definicin de estilos de texto utilizados en los paneles de texto y formato hexadecimal Creacin de palabras clave en un idioma extranjero Creacin de trminos de bsqueda en un idioma extranjero Asignacin de marcadores a texto en un idioma extranjero Visualizacin de archivos Unicode Utilizacin de pginas de cdigos
Configuracin de los elementos de la interfaz para visualizar caracteres en un idioma extranjero

(
Note:
) Esta versin de las aplicaciones EnCase admiten el uso, tanto en la interfaz como en los contenidos, de idiomas extranjeros.
Configuracin de los elementos de la interfaz de EnCase para visualizar caracteres en un idioma extranjero
Para configurar los elementos de la interfaz para visualizar caracteres en un idioma extranjero:
10
1.
2.
Haga clic en Herramientas Opciones Fuentes . Se mostrar el panel de fuentes del cuadro de dilogo de opciones. Para cada uno de los elementos de la interfaz mostrados en Fuentes predeterminadas para los que la visualizacin de texto en un idioma extranjero puede resultar de utilidad, realice el procedimiento siguiente: 1. Haga doble clic en el elemento de la interfaz. Se mostrar el cuadro de dilogo de fuentes. 2. Cambie la fuente a Arial Unicode MS y, a continuacin, haga clic en Aceptar. 3. Repita el paso 2 y haga clic en Aceptar hasta haber configurado todos los elementos de la interfaz. De esta forma, se configura la interfaz para visualizar contenido en un idioma extranjero. Todo el contenido de los elementos de la interfaz configurados que se encuentren en un idioma extranjero se mostrar correctamente.
Configuracin del teclado para un idioma extranjero concreto

(
Note:
) Windows permite configurar el teclado para un idioma extranjero concreto. Una vez configurado el teclado, necesitar un mapa de las teclas o familiarizarse con la disposicin del teclado correspondiente a dicho idioma. Las instrucciones siguientes corresponden a Windows XP. Windows 2000, NT y 2003 funcionan de forma similar.
11
Configuracin del teclado para un idioma extranjero concreto
Para configurar el teclado para un idioma concreto: 1. Haga clic en Inicio Panel de control Configuracin regional y de idioma . Aparecer el panel Opciones regionales del cuadro de dilogo Configuracin regional y de idioma. 2. En Estndares y formatos, seleccione el idioma que desee, y, a continuacin, haga clic en Opciones avanzadas. Se abrir la ficha Opciones avanzadas. 3. En Tablas de conversin de pginas de cdigo, seleccione la pgina de cdigo que desee y haga clic en Aceptar. Se modificar la asignacin del teclado para adaptarlo al idioma extranjero seleccionado.
Introduccin de contenido en un idioma extranjero sin haber asignado el teclado a dicho idioma
(
Note:
) Windows incluye el mapa de caracteres, que permite introducir cadenas en un idioma extranjero sin haber modificado la asignacin del teclado. Si el mapa de caracteres no se encuentra instalado, puede agregarlo mediante la funcin Agregar o quitar programas. Es posible que necesite el CD de instalacin de Windows.
12
Introduccin de contenido en un idioma extranjero sin haber asignado el teclado a dicho idioma
Para introducir contenido en un idioma extranjero mediante el mapa de caracteres: 1. Haga clic en Inicio Programas Accesorios Herramientas del sistema Mapa de caracteres . Se mostrar el mapa de caracteres. 2. Desplcese hasta el carcter que desee introducir y haga doble clic en l. El carcter se agregar a la cadena Caracteres para copiar. 3. Repita el paso 2 hasta haber seleccionado todos los caracteres y, a continuacin, haga clic en Copiar. 4. Pegue el valor en el control en el que se vaya a utilizar la cadena.
Creacin y definicin de un nuevo estilo de texto.

(
Note:
) Los estilos de texto determinan la forma en que se muestra el contenido de un archivo en los paneles de texto y formato hexadecimal del panel de visualizacin.
13
Creacin y definicin de un nuevo estilo de texto.
Para crear y definir un estilo de texto: 1. Haga clic en Ver Estilos de texto . Se mostrar el cuadro de dilogo de nuevo estilo de texto. 2. Asigne un nombre al nuevo estilo. 3. Si desea cambiar el carcter predeterminado que se utiliza en los paneles de texto y formato hexadecimal, introduzca el carcter deseado en Carcter predeterminado. 4. Si el idioma correspondiente se lee de derecha a izquierda, haga clic en De derecha a izquierda. 5. Si no va a utilizar la codificacin Unicode big-endian ni una codificacin que no sea Unicode, haga clic en Aceptar; en caso contrario, haga clic en Pgina de cdigos. Se mostrar el panel de pgina de cdigos. 6. Si va a utilizar la codificacin Unicode big-endian, en Pgina de cdigos, haga clic en Unicode big-endian y, a continuacin, haga clic en Aceptar.
14
De esta forma, se crea y define el nuevo estilo de texto. 7. Si va a utilizar una codificacin diferente a Unicode, realice el procedimiento siguiente: 1. En Pgina de cdigos, haga clic en Otra. 2. En la lista de codificaciones seleccione la codificacin que desee y haga clic en Aceptar. De esta forma, se crea y define el nuevo estilo de texto.
Creacin de palabras clave en un idioma extranjero

(
Note:
) Cuando se desea buscar contenido en un idioma extranjero, el primer paso es la creacin de palabras clave en dicho idioma.
Creacin de palabras clave en un idioma extranjero
Para crear una palabra clave en un idioma extranjero:
15
1.
2.
3.
4.
Haga clic con el botn derecho en el nivel raz del rbol de palabras clave y, a continuacin, haga clic en Nuevo. Se mostrar el cuadro de dilogo de nueva palabra clave. En el cuadro de dilogo de nueva palabra clave, realice el procedimiento siguiente: 1. Si se va a utilizar una expresin GREP, haga clic en GREP e introduzca la expresin correspondiente en el campo de expresin de bsqueda. 2. Si la distribucin del teclado no corresponde al idioma utilizado, consulte Configuracin del teclado para un idioma extranjero concreto y, a continuacin, utilice el mapa de caracteres para crear la cadena de bsqueda; consulte Introduccin de contenido en un idioma extranjero sin haber asignado el teclado a dicho idioma. 3. En caso contrario, introduzca la expresin de bsqueda que desee. 4. Seleccione las opciones que desee. 5. Realice una de las operaciones siguientes para probar las palabras clave; en caso contrario, haga clic en Aceptar. Si se va a utilizar una pgina de cdigos diferente a la seleccionada en la actualidad, haga clic en Pgina de cdigos, y realice el paso 3. Si va a probar las palabras clave, haga clic en el probador de palabras clave y, a continuacin, realice el paso 4. En caso contrario, haga clic Aceptar. Se cerrar el cuadro de dilogo. Realice el procedimiento siguiente: 1. En la lista de pginas de cdigos, seleccione todas las pginas de cdigos que desee. 2. Si desea probar las palabras clave, haga clic en el probador de palabras clave , en caso contrario, haga clic en Aceptar. El cuadro de dilogo se cerrar si no se prueban las palabras clave. Pruebe las palabras clave de acuerdo con las instrucciones proporcionadas en Cmo probar una palabra clave en un idioma extranjero y, cuando haya finalizado, haga clic en Aceptar. Se cerrar el cuadro de dilogo.
16
Cmo probar una palabra clave en un idioma extranjero

(
Note:
) El cuadro de dilogo de nueva palabra clave se encuentra abierto y se ha definido la palabra clave objeto de las pruebas.
Cmo probar una palabra clave en un idioma extranjero
Para probar una palabra clave en un idioma extranjero: 1. Introduzca la expresin de bsqueda en el campo de palabras clave. 2. Introduzca el archivo con el contenido en un idioma extranjero que se emplear para probar la palabra clave o desplcese hasta l y, a continuacin, haga clic en la opcin de carga. El texto se mostrar en el panel de textos. 3. Si el texto no se ha procesado correctamente con la codificacin actual, seleccione otras codificaciones hasta que su procesamiento sea correcto. Si la codificacin seleccionada finalmente no coincide con la seleccionada en un principio al definir la palabra
17
4.
5.
clave, en el campo de expresiones se mostrar un mensaje en el que se indica que la pgina de cdigos es errnea para la expresin. Para visualizar el contenido de la prueba en formato hexadecimal, haga clic en Hex. Los valores FF EE del encabezado del archivo indican que Unicode sera la codificacin adecuada. Se recomienda volver a definir la codificacin empleada para esta palabra clave. Se mostrar la representacin en formato hexadecimal del texto subyacente. Cuando haya probado la palabra clave, haga clic en Aceptar.
Bsqueda de contenido en un idioma extranjero

(
Note:
) Una vez definidas las condiciones de la bsqueda y creado un ndice, es posible utilizar condiciones para realizar bsquedas en archivos que pudieran incluir contenido en un idioma extranjero. Al realizar bsquedas en archivos en un idioma extranjero, se utiliza la funcin El cuerpo contiene en un trmino de bsqueda. La funcin El cuerpo contiene emplea un ndice. Es necesario crear dicho ndice antes de ejecutar la bsqueda que contenga el trmino El cuerpo contiene. Antes de buscar contenido en un idioma extranjero, es necesario indizar dicho contenido.
18
Creacin de trminos de bsqueda en un idioma extranjero
Antes de realizar una bsqueda, es necesario que existan las palabras claves incluidas en la misma. Para buscar contenido en un idioma extranjero 1. En el rbol de entradas del panel de entradas del panel de rbol y en el panel de entradas del panel de tabla, seleccione los archivos objeto de la bsqueda. 2. Para crear el ndice, en el panel de filtro, haga doble clic en el programa de indizacin de EnScript. 3. En el panel de condiciones del panel de filtro, seleccione la condicin raz y, a continuacin, haga clic en Nuevo. Se mostrar el cuadro de dilogo de nueva condicin. 4. En la condicin principal, haga clic con el botn derecho y seleccione Nuevo. Se mostrar el cuadro de dilogo de nuevo trmino. 5. Realice el procedimiento siguiente: 1. Seleccione El cuerpo contiene para hallar coincidencias en el contenido del archivo. 2. Introduzca la expresin de bsqueda en el campo de palabras clave. 3. Para encontrar palabras clave en el cuerpo del archivo de texto, Haga clic en El cuerpo contiene. 4. Seleccione, segn sea necesario, Diacrticos, Diresis o Reduccin de una palabra a su raz y, a continuacin, haga clic en Aceptar.
19
Marcado de texto en un idioma extranjero

(
Note:
) Una vez hallados los resultados de la bsqueda, es posible marcarlos. Los marcadores permiten asociar estilos de texto con el contenido marcado.
Marcado de texto en un idioma extranjero
Para marcar texto en un idioma extranjero: 1. Con el texto mostrado en el panel de visualizacin, arrastre el cursor o seleccione el texto que desee, a continuacin, haga clic con el botn derecho y seleccione la opcin de datos del marcador. Se mostrar el cuadro de dilogo de datos del marcador. 2. Introduzca sus comentarios. 3. Seleccione el estilo de texto que desee en Tipo de datos. El contenido se mostrar despus de aplicarle el estilo de texto seleccionado. Si el estilo de texto era un estilo de texto de lectura de derecha a izquierda, entonces el texto se mostrar de esa manera. 4. Haga clic en Aceptar. El texto se marcar y el cuadro de dilogo se cerrar.
20
Visualizacin de archivos Unicode

(
Note:
) De forma predeterminada, el programa muestra los caracteres en formato ANSI (8 bits) en los paneles de texto y formato hexadecimal en la fuente Courier New. La correcta visualizacin de archivos Unicode requiere modificar el formato (codificacin) y la fuente. En primer lugar, el archivo o documento debern identificarse como Unicode. Esto no es siempre sencillo. Los archivos de (.TXT) en Unicode comienzan por la firma hexadecimal Unicode \xFF\xFE. No obstante, no es tan fcil en el caso de los documentos creados mediante un procesador de textos. Normalmente, las aplicaciones de procesamiento de textos tienen firmas especficas para el documento, con lo que resulta ms complicada la identificacin del archivo como Unicode. La firma hexadecimal Unicode es \xFF\xFE. Los archivos se pueden mostrar con cualquier codificacin o pgina de cdigos ya definida. Consulte Creacin y definicin de un nuevo estilo de texto.
Visualizacin de archivos Unicode
Para poder visualizar archivos Unicode mediante la aplicacin de un estilo Unicode, el texto deber aparecer en los paneles de texto o formato hexadecimal del panel de visualizacin. Para visualizar archivos Unicode: 1. Haga clic en la opcin de estilos de texto. Se mostrar el panel de estilos de texto en el panel de filtro. Fjese en los caracteres predeterminados entre los caracteres ASCII. No es posible convertir
21
2.
los segundos 8 bits de la codificacin Unicode de 16 bits. Haga clic en el estilo de texto basado en Unicode que desee. El texto mostrado en los paneles de texto o formato hexadecimal se actualizar y reflejar la nueva codificacin.
Visualizacin de archivos con una codificacin diferente a Unicode

(
Note:
) Es posible ver un archivo con cualquier codificacin o pgina de cdigos ya definida. Consulte Creacin y definicin de un nuevo estilo de texto.
Visualizacin de archivos con una codificacin diferente a Unicode
Para visualizar archivos con una codificacin diferente a Unicode: 1. Con el texto mostrado en los paneles de texto o formato hexadecimal del panel de visualizacin, en el panel de filtro, haga clic en la opcin de estilos de texto. Se mostrar el panel de estilos de texto en el panel de filtro. 2. Haga clic en el estilo de texto no basado en Unicode que desee. El texto mostrado en los paneles de texto o formato hexadecimal se actualizar y reflejar la nueva codificacin.
22
Uso de pginas de cdigos en los paneles de texto y formato hexadecimal

(
Note:
) Para poder utilizar pginas de cdigos en los paneles de texto y formato hexadecimal del panel de visualizacin, es necesario haber creado trminos de bsqueda y palabras clave en un idioma extranjero, haberlos utilizado en una bsqueda con el parmetro Identificar pginas de cdigos y haber seleccionado un acierto de la bsqueda que se muestre en el panel de texto.
Uso de pginas de cdigos en los paneles de texto y formato hexadecimal
Para utilizar pginas de cdigos: 1. En el panel de tabla, haga clic en el archivo que desee consultar y, en la barra de herramientas del panel de visualizacin, seleccione Pgina de cdigos. El contenido del archivo seleccionado se mostrar en el panel de visualizacin con la pgina de cdigos aplicada. 2. Desactive Pgina de cdigos. El contenido del archivo seleccionado se mostrar en el panel de visualizacin con el estilo de fuente predeterminado aplicado.
23
Cuando no se utiliza ninguna pgina de cdigos, el valor de la pgina de cdigos correspondiente al archivo seleccionado equivale a cero.
Anlisis de EnScript
Anlisis de EnScript ........................................... 1
Cdigo EnScript forense ............................... 1 Case Processor (Procesador de casos)
.................................................................... 2
Mdulos de Case Processor ................. 4 File Mounter (Montador de archivos) ....

6
Indizacin de casos ................................ 8 Scan Local Machine (Explorar equipo local) ........................................................ 8 Cdigo EnScript de la carpeta COM ....
9
EnScript de inclusin ..................................... 9 Ayuda de EnScript ....................................... 10 Tipos EnScript .............................................. 10
Anlisis de EnScript
Anlisis de EnScript
(
Note: El lenguaje de EnScript es una interfaz de programa de aplicacin (API) y un dialecto de programacin diseado para operar dentro del entorno del software EnCase. Aunque es similar a ANSI C++ y Java, no todas sus funciones estn disponibles en el lenguaje EnScript. El lenguaje EnScript utiliza los mismos operadores y la sintaxis general que C++, aunque las clases y las funciones son distintas. Las clases y las variables y funciones que se incluyen se encuentran en el panel de tipos de EnScript en el panel de rbol.
) Los programas EnScript permiten a los investigadores y programadores desarrollar herramientas para automatizar y facilitar las investigaciones forenses. Los programas se pueden compilar y compartir con otros investigadores. Para poder codificar con el lenguaje EnScript, sera til contar con una formacin en programacin y una comprensin de la programacin orientada a objetos. El objetivo de este captulo es describir las caractersticas de los programas EnScript que se incluyen. Si desea obtener ms ayuda sobre programacin con lenguaje EnScript, puede asistir a un curso de formacin o consultar el panel de mensajes de EnScript.
Cdigo EnScript forense

(
Note: Para ver programas EnScript en el panel EnScript del panel de rbol, haga clic en la opcin de vista EnScript .
) Para ver componentes EnScript en el panel de filtro, haga clic en EnScripts para abrir el panel EnScript.
Anlisis de EnScript
Submen del componente de vista > EnScript
Abra una carpeta del objeto EnScript para ver las secuencias de comandos disponibles en el panel de tabla.
Contenido de la carpeta EnScript en el panel de rbol
Haga doble clic en la tabla para ejecutar una secuencia de comandos.
Case Processor (Procesador de casos)

(
Note: Case Processor permite al usuario ejecutar uno o varios mdulos EnScript en un caso abierto.
Anlisis de EnScript
Para ejecutar Case Processor, haga doble clic en el programa. Aparece un asistente de Case Processor con el nombre del caso abierto seleccionado.
1. 2. 3. 4.
Indique un nombre de carpeta de marcadores. Opcionalmente, indique un comentario de carpeta. El campo de ruta de exportacin incluye la ruta de exportacin predeterminada. Haga clic en Siguiente para mostrar el asistente de seleccin de mdulo.
Anlisis de EnScript
Asistente de seleccin de mdulo
Seleccione las opciones deseadas y haga clic en la opcin de finalizacin. Mdulos de Case Processor (
Note: Cada mdulo disponible en Case Processor proporciona diferente informacin.
Anlisis de EnScript
Mdulos de Case Processor (1 de 2)
Anlisis de EnScript
Mdulos de Case Processor (2 de 2)
File Mounter (Montador de archivos)

File Mounter es un programa EnScript que se utiliza para buscar y montar archivos compuestos, incluidos DBX, GZip, PST, TAR, Thumbs.db y Zip. Las bsquedas se pueden realizar por extensin, por firma o por ambos elementos. El montaje simultneo de varios archivos de gran tamao puede provocar la prdida de memoria del equipo.
Anlisis de EnScript
Los archivos protegidos con contrasea no se montan. Utilice File Mounter de la manera siguiente: 1. Haga doble clic en File Mounter. 2. Seleccione el mtodo de bsqueda de los archivos.
Cuadro de dilogo de opciones de File Mounter
3. 4.
Seleccione los tipos de archivo que desee y haga clic en Aceptar. Puede ver el progreso si hace clic en la ficha de consola del panel de visualizacin.
Panel de consola en el panel de visualizacin
Anlisis de EnScript
Indizacin de casos
(
Note: La indizacin de archivos forma parte del motor de bsqueda mejorado. El ndice es una lista de palabras del archivo de evidencia con punteros a su aparicin en la evidencia. El ndice tiene un tamao menor que el archivo de evidencia original, por lo que est optimizado para una bsqueda rpida.
) Si desea obtener ms informacin sobre la indizacin de casos, consulte las secciones de Anlisis y bsqueda.
Scan Local Machine (Explorar equipo local)

(
Note: Scan Local Machine (Explorar equipo local) es un programa EnScript que permite la ejecucin de mdulos en un equipo local.
) Haga doble clic en Scan Local Machine (Explorar equipo local). Scan Local Machine (Explorar equipo local) emplea muchos de los mdulos disponibles en Case Processor (Procesador de casos).
Pgina de opciones de Scan Local Machine (Explorar equipo local)
Scan Local Machine (Explorar equipo local) realiza bsquedas en el equipo Examiner local, pero no busca
Anlisis de EnScript
evidencias en el caso. Si desea buscar evidencias en el caso, emplee Case Processor (Procesador de casos). 1. Complete las opciones de acuerdo con sus preferencias y haga clic en la opcin para finalizar. En funcin de los mdulos seleccionados, puede que se muestren otros cuadros de dilogo para proporcionar detalles adicionales. Compltelos segn sea necesario.
Cdigo EnScript de la carpeta COM

(
Note: La carpeta COM contiene cdigo EnScript de ejemplo que utiliza la API COM como punto de integracin en otras aplicaciones como MS Office o el sistema de archivos de Windows. Los programadores utilizan estos archivos de inclusin para crear nuevos programas EnScript.
) La carpeta COM contiene los siguientes programas: Create Word Document (Crear documento de Word) File System (Sistema de archivos) Read Word Document (Leer documento de Word) Excel Create Workbook (Crear libro de trabajo de Excel) Outlook Read (Leer Outlook)
EnScript de inclusin
(
Note: La carpeta de inclusin contiene cdigo de programa comn compartido por otros componentes EnScript de nivel superior. Estas secuencias de comandos no se ejecutan de forma independiente; estn pensadas para su uso o inclusin en otras secuencias de comandos.
) En estos momentos, existen prcticamente 100 archivos de inclusin en este software. Se almacenan, de forma predeterminada, en C:\Program Files\EnCase\EnCase\EnScript\Include. Sin embargo, se pueden almacenar en otra carpeta de ...\EnScript\. O bien, un desarrollador de EnScript que cree nuevos archivos de inclusin para trabajar con un nuevo componente EnScript puede crear una nueva carpeta y colocar en ella los nuevos programas de inclusin. Una vez creada la nueva carpeta, se debe informar a las aplicaciones EnCase de su ubicacin. Para ello, 1. Haga clic en Herramientas Opciones EnScript para acceder al cuadro de dilogo de opciones.
10
Anlisis de EnScript
2.
Cambie la entrada del campo de ruta de inclusin para reflejar la nueva ubicacin de la carpeta de inclusin. Agregue slo el nombre de carpeta, no la ruta completa.
Ayuda de EnScript
(
Note: Actualmente existen dos fuentes de informacin sobre los programas EnScript.
Ayuda Ayuda de EnScript Ver Tipos EnScript
Tipos EnScript
(
Note: Los tipos EnScript hacen referencia a recursos que contienen clases de lenguaje EnScript. El anlisis de estos tipos ofrece informacin sobre las funciones y clases de EnCase.
Anlisis de EnScript
11
Para ver los tipos EnScript, seleccione la opcin para ver Tipos EnScript. El panel de rbol contiene una lista de las clases. Si selecciona el panel de informes del panel de tabla, aparecer una descripcin de slo lectura de la clase seleccionada.
Uso de herramientas en EnCase

Men de herramientas ...................................... 1 Men de herramientas ...................................... 1
Men de GSI ................................................... 2 Wipe Drive (Borrar unidad) ........................... 2 Wipe Drive (Borrar unidad) ........................... 2 Verificacin de archivos de evidencia ......... 5 Verificacin de archivos de evidencia ......... 5 Creacin de un disco de inicio ...................... 6 Creacin de un disco de inicio ...................... 6 Opciones ......................................................... 6 Opciones ......................................................... 6
Men de herramientas
(
Note: El men de herramientas se encuentra en la barra de men, en la parte superior de la interfaz de usuario de EnCase. Incluye comandos para ejecutar determinados programas de utilidades para, por ejemplo, borrar una unidad o crear un disco de inicio.
) Haga clic en la ficha de herramientas para mostrar el men de herramientas
Visualizacin bsica del men de herramientas
Men de GSI
(
Note:
Wipe Drive (Borrar unidad)

(
Note: Advertencia! Este procedimiento borra completamente el medio y sobrescribe su contenido con un carcter hexadecimal. Tenga precaucin al ejecutar Wipe Drive (Borrar unidad).
) Ejecute la utilidad Wipe Drive (Borrar unidad) para eliminar el rastro de cualquier archivo de evidencia de una unidad de almacenamiento. Para borrar completamente una unidad: 1. Haga clic en la opcin Wipe Drive (Borrar unidad) del men de herramientas. Se mostrar una ventana de seleccin de unidades.
2.
Seleccione las opciones iniciales y haga clic en Siguiente. Se mostrar una pantalla de seleccin de dispositivos.
3.
Seleccione el dispositivo que desee borrar completamente y, a continuacin, haga clic en Siguiente. Se mostrar una pantalla de opciones. En esta pgina hay otras dos opciones. La opcin de verificacin de sectores borrados se encuentra activada de forma predeterminada y el carcter de borrado hexadecimal es 00. Cuando esta casilla se encuentra activada, el programa Wipe Drive (Borrar unidad) lee todos los sectores para asegurarse de que los datos se han sobrescrito completamente con el carcter de borrado. Es posible introducir cualquier valor hexadecimal en el campo correspondiente al carcter de borrado.
4.
Haga clic en la opcin para finalizar. Se mostrar el cuadro de dilogo de mensajes sobre unidades.
5.
En Continuar, responda afirmativamente y haga clic en Aceptar. Se mostrar el cuadro de dilogo de estado de Wipe Drive (Borrar unidad). La unidad se borrar y sobrescribir completamente con la cadena hexadecimal introducida en el paso anterior. Se mostrar una ventana de estado con informacin sobre el disco y la operacin.
Ventana de visualizacin de estado de Wipe Drive (Borrar unidad)
Para utilizar esta unidad de nuevo, es necesario volver a formatearla.
Verificacin de archivos de evidencia

(
Note: La funcin de verificacin de archivos de evidencia comprueba los valores del control de redundancia cclica (CRC) de los archivos seleccionados. Se trata de una forma de garantizar que no se haya alterado la evidencia de ninguna manera.
) Para poder verificar uno o ms archivos de evidencia, es necesario haberlos adquirido. 1. Haga clic en Herramientas > Verificar archivos de evidencia. Se mostrar el explorador de archivos correspondiente al proceso de verificacin de archivos de evidencia.
2.
Seleccione uno o ms archivos de evidencia y haga clic en Abrir. Una vez verificados los archivos, se muestra un informe de estado.
Creacin de un disco de inicio

(
Note:
) Ha obtenido una copia de una distribucin Linux. Consulte Creacin de un disco de inicio de LinEn.
Opciones
(
Note: El cuadro de dilogo de opciones permite a los usuarios personalizar el software.
Consulte el captulo El cuadro de dilogo de opciones para obtener informacin detallada al respecto.
Glosario
Glosario ................................................................. 1
Glosario
Glosario
(
Note:
) ASCII ASCII ( American Standard Code for Information Interchange, cdigo americano estndar para el intercambio de informacin) es una codificacin de caracteres basada en el alfabeto ingls. El cdigo ASCII representa el texto en equipos informticos, equipos de comunicaciones y otros dispositivos que trabajan con texto. La mayora de los cdigos de caracteres modernos tienen su base histrica en ASCII. ASCII se public por primera vez como norma en 1967 y se actualiz por ltima vez en 1986. En la actualidad define cdigos para 33 caracteres de control no imprimibles, en su mayora obsoletos, que afectan a la forma en que se procesa el texto y para 96 caracteres imprimibles. Marcador Los marcadores proporcionan un medio para anotar la evidencia y los objetos de anlisis. Se pueden marcar archivos, carpetas, intervalos de direccin en archivos, colecciones de archivos o datos e incluso los propios marcadores. Cada caso administra su coleccin de marcadores. Grabar El proceso de registrar datos en un disco ptico, como un CD o DVD. Archivo de caso Archivo de texto que contiene informacin especfica de un caso. El archivo contiene punteros a uno o ms archivos de evidencia, dispositivos, marcadores, resultados de bsqueda, ordenaciones, resultados de anlisis hash y anlisis de firma. Suma de comprobacin Una forma de comprobacin de redundancia, una medida muy sencilla para proteger la integridad de los datos mediante la deteccin de errores en ellos. Funciona mediante la suma de los componentes bsicos de un mensaje, generalmente los bits sometidos a asercin, y el almacenamiento del valor resultante. Ms adelante, cualquier usuario puede realizar la misma operacin en los datos, comparar el resultado con la suma de comprobacin autntica y (suponiendo que las sumas
Glosario
coincidan), concluir que el mensaje no estaba daado. Un gran inconveniente de la suma de comprobacin consiste en que 1234 genera la misma comprobacin que 4321. Clster La menor cantidad de espacio de disco que se puede asignar para incluir un archivo. Pgina de cdigos Una pgina de cdigos es una codificacin. Una codificacin interpreta una serie de bits como un carcter. ASCII es un tipo de codificacin. Archivo compuesto Archivo que contiene otros tipos de archivo en l. Por ejemplo, un archivo de Microsoft Word puede contener archivos de texto, grficos y archivos de hoja de clculo. Anlisis forense informtico La aplicacin del mtodo cientfico a medios digitales para establecer informacin fctica para la revisin judicial. A menudo este proceso implica la investigacin de sistemas informticos para determinar si estn siendo utilizados o han sido utilizados en actividades ilegales o no autorizadas. Conexin La comunicacin entre el servlet y el cliente se produce mediante una conexin. Esta conexin puede implicar la comunicacin a travs del servidor SAFE. CRC Consulte Control de redundancia cclica. Control de redundancia cclica (CRC) CRC es una variedad de una suma de comprobacin. Su ventaja es que distingue el orden, por lo que 1234 produce una suma de comprobacin diferente de 4321. DCO Consulte Superposicin de configuracin de dispositivos. Superposicin de configuracin de dispositivos (DCO) La superposicin de configuracin de dispositivos, en ocasiones denominada superposicin de configuracin de disco, es similar a HPA. Es una caracterstica opcional de la norma ATA-6, compatible con la mayora de los discos duros. Al igual que HPA, tambin se puede utilizar para retirar una parte de la capacidad de la unidad de disco duro de la visualizacin por parte del sistema operativo o del sistema de archivos, generalmente con fines de diagnstico o restauracin. Espacio muerto del disco rea entre el final del volumen y el final del dispositivo.
Glosario
EnCase Forensic EnCase Forensic se reconoce como el software estndar de anlisis forense informtico utilizado por ms de 15.000 investigadores y 40 empresas incluidas en la lista Fortune 50. EnCase Forensic proporciona a los investigadores encargados del cumplimiento de la ley, gubernamentales y corporativos una tecnologa fiable y validada por los tribunales en la que se han basado agencias lderes de todo el mundo a lo largo de los ltimos siete aos. Cifrado Proceso de ocultacin de informacin de forma que no sea legible sin su descifrado. Lenguaje EnScript Lenguaje de programacin e interfaz de programacin de aplicaciones (API) diseado para su utilizacin en el entorno EnCase. Archivo de evidencia EnCase Examiner proporciona una solucin completa de avanzadas herramientas de investigacin en red. Examiner Carpeta de destino general para incluir datos copiados de la carpeta de evidencia. Consulte tambin Carpeta temporal. Carpeta de exportacin Carpeta de destino general para incluir datos copiados de la carpeta de evidencia. Consulte tambin Carpeta temporal. FastBloc FastBloc es una recopilacin de protectores de escritura de hardware y un protector de escritura de software. FAT Consulte Tabla de asignacin de archivos. Tabla de asignacin de archivos (FAT) Hace referencia a un sistema de archivos utilizado principalmente en los sistemas operativos DOS y Windows. Existen varios niveles diseados para ocuparse de dispositivos de mayor tamao. Generalmente FAT 12 se utiliza para medios extrables, en tanto que FAT 16 se utilizaba inicialmente en unidades de disco duro. FAT16 tiene un lmite de tamao de 2 GB, por lo que se introdujo FAT32 para unidades de disco duro mayores. FAT32 ha sido suplantado por el sistema de archivos de nueva tecnologa (consulte NTFS) y es el sistema de archivos recomendado para Windows 2000 y versiones posteriores. Firma de archivo
Glosario
Identificadores nicos publicados por la Organizacin Internacional de Normalizacin y el Sector de normalizacin de las telecomunicaciones de la Unin Internacional de las Telecomunicaciones, entre otros, para identificar tipos de archivo especficos. Espacio muerto del archivo rea entre el final de un archivo y el final del ltimo clster o sector utilizado por dicho archivo. Est rea constituye almacenamiento no utilizado, por lo que los sistemas de archivos que utilizan clsteres de menor tamao utilizan el espacio en disco de forma ms eficaz. Panel de filtros Parte de la interfaz de usuario del programa EnScript. Generalmente, el panel de filtros se encuentra en el cuadrante inferior derecho de la ventana de cuatro paneles. El panel de filtros proporciona acceso a programas EnScript, filtros, condiciones y consultas. Consulte tambin Panel de rbol, Panel de visualizacin y Panel de tabla. Fuente Conjunto coordinador de glifos diseado con unidad estilstica. Generalmente, un tipo de letra comprende un alfabeto de letras, nmeros y signos de puntuacin. Identificador nico global Un GUID es un nmero pseudoaleatorio utilizado en aplicaciones de software. Si bien no se garantiza que cada GUID generado sea nico, el nmero total de claves nicas (2128 o 3,402823661038) es tan grande que la probabilidad de que se genere el mismo nmero dos veces es extremadamente pequea. GREP Acrnimo ingls para una bsqueda (Globally for lines matching the Regular Expression, and Print them, global de lneas que coincidan con la expresin regular y su impresin). GREP es una utilidad de la lnea de comandos escrita originalmente para su uso con el sistema operativo Unix. El comportamiento predeterminado de GREP recupera una expresin regular de la lnea de comandos, lee una entrada estndar o una lista de archivos y genera la salida de las lneas que contienen coincidencias de la expresin regular. La implementacin de GREP en un programa EnCase incluye un pequeo subconjunto de operadores que GREP utilizaba en Unix. GUID Consulte Identificador nico global.
Glosario
Hash Mtodo utilizado para generar un identificador nico para los datos que representa el valor hash. Existen varios algoritmos hash estandarizados. El programa EnCase utiliza el algoritmo hash MD5 de 128 bits que cuenta con 2^128 valores nicos. Esto garantiza que las posibilidades de localizar un valor hash idntico utilizando un conjunto de datos diferente son excepcionalmente bajas. Conjuntos hash Colecciones de valores hash para grupos de archivos. Hexadecimal Sistema numrico con una raz o base de 16 que generalmente se escribe con los smbolos 0-9 y A-F o a-f. Por ejemplo, el nmero decimal 79, cuya representacin binaria es 01001111 se puede escribir como 4F en formato hexadecimal ((4 = 0100, F = 1111). rea protegida de host (HPA) rea de un disco diseada para permitir a los proveedores almacenar datos seguros ante el acceso del usuario, herramientas de diagnstico o de copia de seguridad. Si existe, el sistema operativo, la BIOS y el propio disco no pueden acceder a los datos almacenados en esta rea. HPA Consulte rea protegida de host. ndice Un ndice de EnCase es una caracterstica que permite el acceso rpido a los datos de un archivo de evidencia. Direccin de protocolo de Internet (IP) Nmero nico que utilizan los dispositivos para identificarse y comunicarse entre s en una red informtica mediante la norma de Protocolo de Internet. Los dispositivos de red que participen, incluidos enrutadores, equipos informticos, servidores horarios, impresores, mquinas de fax por Internet y algunos telfonos, deben disponer de su propia direccin nica. La direccin IP tambin se puede considerar como el equivalente a una direccin postal o un nmero de telfono. IPv4 especifica direcciones con cuatro nmeros decimales de ocho bits separados por un punto. Si se especifica un nmero de puerto, se utiliza el signo de dos puntos. IPv6 soluciona las limitaciones de IPv4 con respecto al nmero total de direcciones. Por lo general, IPv6 se escribe con ocho nmeros hexadecimales de 16 bits separados por un signo de dos puntos. Si se especifica un nmero de puerto, se utiliza un espacio. IP
Glosario
Consulte Direccin de protocolo de Internet. Investigador El usuario que utiliza el equipo informtico donde est instalado el programa. Palabra clave Cadena o expresin creada para realizar una bsqueda en la evidencia. Utilidad LinEn El cliente Linux EnCase se utiliza para la adquisiciones entre discos o por medio de un cable de paso. Archivo de evidencia lgica Forma especializada de un archivo de evidencia. Este archivo de evidencia incluye archivos seleccionables por el usuario, a diferencia de un archivo de evidencia tradicional, que contiene el contenido completo del dispositivo. Los archivos de evidencia lgica finalizan con .L01. Malware Software diseado para infiltrarse en o daar un sistema informtico sin el consentimiento informado del propietario. Montar, montaje Proceso que deja un sistema de archivos listo para su uso por parte del sistema operativo, por lo general mediante la lectura anticipada de determinadas estructuras de datos de ndice del almacenamiento en memoria. El trmino recuerda un periodo en la historia de la informtica en el que un operador tena que montar una cinta magntica o un disco duro en un cabezal antes de utilizarlos. rbol de red El rbol de red representa la organizacin jerrquica de la red y la estructura de archivos subyacentes. Sistema de archivos de nueva tecnologa El sistema de archivos estndar de Windows NT y sus versiones posteriores: Windows 2000, Windows XP, Windows Server 2003 y Windows Vista. Nodo Equipo donde est instalado el servlet. Marcadores de archivo destacado Marcadores utilizados para identificar archivos individuales que contienen informacin importante de un caso. NTFS Consulte Sistema de archivos de nueva tecnologa. Panel Caracterstica de la interfaz de usuario que se encuentra dentro de los cuatro paneles de la ventana principal y en
Glosario
cuadros de dilogo. Para acceder a los paneles se hace clic en la ficha situada en la parte superior del panel o en el men Ver. Panel - Los paneles son los cuatro cuadrantes de la interfaz. Los cuatro cuadrantes son panel de rbol, panel de tabla, panel de visualizacin y panel de filtros. Los paneles contienen otros paneles, que modifican la visualizacin de los datos en ellos. Se pueden cambiar de tamao. PDE Consulte Physical Disk Emulator. Physical Disk Emulator (Emulador de disco duro, PDE) El mdulo EnCase Physical Disk Emulator (Emulador de disco duro EnCase) permite a los examinadores montar evidencia informtica como una unidad lgica para su examen mediante el Explorador de Windows. Esta caracterstica permite a los examinadores un gran nmero de opciones en sus exmenes, incluido el uso de herramientas de terceros con evidencia proporcionada por EnCase. Puerto Conexin de datos virtual que pueden utilizar los programas para intercambiar datos directamente, en lugar de hacerlo a travs de un archivo o de otra ubicacin de almacenamiento temporal. Las conexiones ms habituales son los puertos TCP y UDP, que se utilizan para intercambiar datos entre equipos informticos en Internet. RAID Consulte Matriz redundante de discos independientes. Matriz redundante de discos independientes (RAID) Esquema de almacenamiento de datos que utiliza varias unidades de disco duro para compartir o replicar datos entre las unidades. En funcin de la configuracin de la matriz RAID (generalmente mencionada como nivel RAID), las ventajas de RAID pueden ser mayor integridad de datos, tolerancia a fallos, rendimiento o capacidad, en comparacin con unidades nicas. Expresin regular Cadena que describe o coincide con un conjunto de cadenas, de acuerdo con determinadas reglas de sintaxis. Las expresiones regulares se utilizan en muchos editores de texto y utilidades para buscar y manipular cuerpos de texto basndose en determinados patrones. Muchos lenguajes de programacin admiten las expresiones regulares para la manipulacin de cadenas. Consulte tambin GREP.
Glosario
Raz Base de una estructura de directorios de un sistema de archivos, el directorio primario de un directorio dado. SAFE SAFE (Secure Authentication For EnCase, autenticacin segura para EnCase) es un servidor con seguridad fsica y lgica que autentica a todos los usuarios y controla todo el acceso a los dispositivos de la red. Sector Subdivisin de una pista en un disco duro magntico o en un disco ptico. Un sector almacena una cantidad fija de datos. Un sector tpico contiene 512 bytes. Secure Authentication For EnCase (SAFE) Servidor con seguridad fsica y lgica que autentica a todos los usuarios y controla todo el acceso a los dispositivos de la red. Clave de seguridad Clave de hardware de programacin nica, en ocasiones conocida como dongle, que identifica un usuario en el software EnCase y le permite el acceso a sus caractersticas. Servlet Los servlets son servicios de EnCase que se ejecutan en estaciones de trabajo en red y servidores que proporcionan acceso de nivel de bit al equipo en el que se encuentran. Snapshot Representacin de un equipo en ejecucin, incluidos datos informticos voltiles como los usuarios conectados actualmente, la configuracin del registro, archivos abiertos y otros elementos. Objeto Equipo informtico o medio que el investigador est investigando. Firma Consulte Firma de archivo. Espacio muerto Consulte Espacio muerto del disco y Espacio muerto del archivo. Spyware Hace referencia a una amplia categora de software malintencionado diseado para interceptar o tomar el control parcial del funcionamiento de un equipo sin el consentimiento informado por parte del propietario o usuario legtimo de dicho equipo. Si bien el trmino sugiere literalmente software que supervisa
Glosario
subrepticiamente al usuario, ha pasado a hacer referencia de forma ms genrica a software que subvierte el funcionamiento del equipo para el beneficio de un tercero. Esteganografa El arte y la ciencia de escribir mensajes ocultos de tal forma que nadie adems del destinatario previsto conoce la existencia del mensaje; se diferencia de la criptografa en que en sta, no se oculta la existencia del propio mensaje, pero s su contenido. Archivo de intercambio Tcnica de administracin de la memoria en la que la memoria no contigua se presenta en un proceso de software como memoria contigua. Las pginas de memoria almacenadas en el almacenamiento primario se escriben en un almacenamiento secundario y liberan as con ms rapidez el almacenamiento primario para su uso por parte de otros procesos. El archivo de intercambio se conoce tambin como archivo de pgina. Panel de tabla Parte de la interfaz de usuario del programa. El panel de tabla se encuentra en el cuadrante superior derecho de la ventana de cuatro paneles. Carpeta temporal Carpeta que permite la segregacin y el control de los archivos temporales creados en el curso de una investigacin. Consulte tambin Carpeta de exportacin. Panel de rbol Parte de la interfaz de usuario del programa. El panel de rbol se encuentra en el cuadrante superior izquierdo de la ventana de cuatro paneles. Este panel muestra las carpetas y los archivos en una presentacin similar a un rbol. Unicode Estndar de la industria diseado para permitir la representacin y manipulacin coherente por parte de los sistemas informticos del texto y los smbolos de todos los sistemas de escritura del mundo. Unicode consta de un repertorio de caracteres, una metodologa de codificacin y conjunto de codificacin de caracteres estndar, un conjunto de grficos de cdigo para referencia visual, una enumeracin de propiedades de los caracteres como mayscula y minscula, un conjunto de archivos informticos de datos de referencia y reglas para la normalizacin, descomposicin, recopilacin y representacin. Consulte tambin Fuente. Panel de visualizacin
10
Glosario
Parte de la interfaz de usuario del programa. El panel de visualizacin se encuentra en el cuadrante inferior izquierdo de la ventana de cuatro paneles. VFS Consulte Virtual File System (Sistema de ficheros virtual). Virtual File System (Sistema de ficheros virtual, VFS) El mdulo EnCase Virtual File System (Sistema de ficheros virtual EnCase) permite a los examinadores montar evidencia informtica como una unidad de red sin conexin de slo lectura para su examen por medio del Explorador de Windows. El valor de esta caracterstica consiste en que permite a los examinadores disponer de varios opciones de examen, incluido el uso de herramientas de terceros con evidencia proporcionada por EnCase. Virtual Machine Software que crea un entorno virtual entre la plataforma informtica, de forma que el usuario final pueda utilizar el software. Varios entornos de ejecucin idnticos y distintos en un nico equipo, cada uno de los cuales ejecuta un sistema operativo. Esto permite ejecutar aplicaciones escritas para un sistema operativo en un equipo que ejecuta un sistema operativo diferente. VMWare Filial propiedad de EMC Corporation que proporciona gran parte del software de creacin de elementos virtuales disponible para equipos compatibles con x86. El software VMware se ejecuta en Windows y Linux. Protector de escritura Herramienta, ya sea hardware o software, que impide la escritura en un dispositivo objeto a la vez que permite a los investigadores leer en l de forma segura.

ES EF v6.1 User Manual

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ES EF v6.1 User Manual

Cargado por

Copyright:

Formatos disponibles

Guidance Software, Inc.

EnCase Forensic Version 6.1 User Manual

............................................................................................. ................................................................................... ..................................................................................

10 Analyzing and Searching Files

Acerca del manual

Acerca de Guidance Software

Acerca de los servicios profesionales

Europa, frica y Oriente Medio

Asia y Costa del Pacfico

Servicio de atencin al cliente

Caractersticas eliminadas ............................ 10

Compatibilidad con Outside In

Compatibilidad con EnCase de 64 bits

Visualizacin de archivos EDB de Exchange

Desinstalar y volver a instalar opciones

Compatibilidad con sistemas de archivos nuevos

Compatibilidad con documentos de Office en coreano

Compatibilidad adicional para formatos de archivo MAC

Nmero de serie del disco duro

Registro de productos EnCase

Opciones de bsqueda simplificada

Bsqueda mejorada de una pgina de cdigos en un idioma extranjero

Anlisis de NTFS mejorado

Se han movido los ID de seguridad al panel de almacenamiento seguro

Proporcionar un destino alternativo durante las adquisiciones

Mostrar una lista de valores hash incluidos en conjuntos hash

Cambios en la licencia de LinEn

se incluye en el programa LinEn. Si desea obtener ms detalles, revise el acuerdo de licencia.

Compatibilidad de archivos del caso

Instalacin de EnCase Forensic

Panel Color del cuadro de dilogo Opciones

Panel Fuentes del cuadro de dilogo Opciones

Panel EnScript del cuadro de dilogo Opciones

Opciones de ruta de almacenamiento ....... 19

Instalacin de EnCase Forensic

Introduccin a la instalacin de Examiner

Instalacin de EnCase Enterprise

Instalacin de EnCase Forensic

) Cuando comience la instalacin y aparezca el asistente,

Instalacin de EnCase Forensic

Lea y acepte el acuerdo de licencia de EnCase. Haga clic en la opcin Siguiente.

Asistente de instalacin de ayuda

Instalacin de EnCase Forensic

Instalacin de EnCase Forensic

Haga clic en la opcin Siguiente.

Icono de escritorio EnCase

Instalacin de EnCase Forensic

Instalacin de EnCase Forensic

Seleccione la opcin de desinstalacin.

Instalacin de EnCase Forensic

Instalacin de EnCase Forensic

Instalacin de claves de seguridad

Instalacin de EnCase Forensic

Resolucin de problemas relacionados con las claves de seguridad

Instalacin de EnCase Forensic

Instalacin de EnCase Forensic

Cuadro de dilogo Opciones

) El cuadro de dilogo Opciones permite configurar la aplicacin EnCase segn se desee.

Instalacin de EnCase Forensic

Cuadro de dilogo Opciones

Panel Opciones del caso del cuadro de dilogo Opciones

Instalacin de EnCase Forensic

El panel Opciones del caso del cuadro de dilogo Opciones

Panel Global del cuadro de dilogo Opciones