Encase腳本庫使用手冊

Encase,1,二,XX一、IE1、IEHistoryHTTP2、IE行解碼～同時(shí)生成搜索文件,見搜索文件部分內(nèi)容,～支持關(guān)鍵字。3IEIE～并進(jìn)行解碼。4CookieCookie二、QQ5、QQ(FAT32QQQQQQ許劍卓編寫6QQ(FAT)～QQ碼～QQ107QQ,NTFS,～QQ碼。三、查找恢復(fù)8、FileFinder(v4)查找恢復(fù)文件～AOL、BMP、EMF、GIF、JPG、Photoshop、PNG、TIF、、RAR～還能自定義文件類型～能夠指定搜索范圍。9、FileMounter(v4)自動(dòng)打開復(fù)合文檔～DBX、GZIP、PST、TAR、～既可依據(jù)擴(kuò)展名打開～也可依據(jù)文件簽名打開。注:慎用～因打開大量復(fù)合文件需占用大量內(nèi)存～可能導(dǎo)致Encase運(yùn)行格外緩慢甚至出錯(cuò)。10、PartitionFinder(v4)～用于恢復(fù)分區(qū)。11v0.912ExcelExcel～79進(jìn)行編碼～在Encase腳本編程中無法實(shí)現(xiàn),。可指定搜索范圍,XLS文件、選中文件、復(fù)合文檔、整個(gè)硬盤,。著重:～使用前應(yīng)先測試能否找到該數(shù)字。13WordWord～提取其中的內(nèi)容,個(gè)別情況不能完整提取,。可指定搜索WordUNOCIDE～而是使用ASCII～UNICODE14ExifRIFFExif～可指定搜索范圍,RIFF,～支持關(guān)鍵字～能夠依據(jù)特定信息查找多媒體文件。15、查找數(shù)碼相片JPGExif～可指定搜索范圍,JPG,～支持關(guān)鍵字～能夠依據(jù)數(shù)碼相機(jī)型號、拍攝時(shí)間等特定信息查找數(shù)碼相片。16ExifExifJPGTIF,～可指定搜索范,～支持關(guān)鍵字～能夠依據(jù)EXIF17Wordv2.0～并將其內(nèi)容導(dǎo)出成文本文件～Word文檔的編輯記錄。可指定搜索范圍。18RMRM19、連續(xù)關(guān)鍵字搜索～然后在指定的間隔內(nèi)搜索第二個(gè)關(guān)鍵字～假若搜索成功則加入書簽。關(guān)鍵字支持～可指定搜索范圍,選中文件、未GREP～關(guān)鍵字大小寫不敏感。20、生成關(guān)鍵字各種編碼本腳本依據(jù)輸入的關(guān)鍵字生成各種編碼～包括keyword.txtGREP～關(guān)鍵字盡量不使用生僻字。四、訪問記錄21LNKLNKLNKLNKNT/20009X～會提示由用戶選擇。22、注冊表內(nèi)訪問記錄,2000,提取注冊表內(nèi)記錄的最近訪問的文件記錄～還提取自動(dòng)運(yùn)行程序、“運(yùn)行”程TypeURLSVCHOSTSHELLHotFix～文件中每個(gè)空行代表一個(gè)新的注冊表文件～第二行為注冊表文件的路徑～其后緊跟著提取出來的內(nèi)容。腳本運(yùn)行后生成以下文件:,ComDlg32MRU.txt～包括程序最后訪問的名目～最近打開保存的文件路徑等信息。,RecentDocs.txt最近打開的文件記錄～與系統(tǒng)自動(dòng)生成的LNK文件一一對～沒有進(jìn)行解析。,RecentFileList.txt一些應(yīng)用軟件的最近打開的文件列表。,RunMRU.txt使用“開頭/運(yùn)行”窗口運(yùn)行的命令列表。,TypedURLs.txtIE路徑。,AutoRun.txt動(dòng)的木馬。,Svchost.txt～可結(jié)合后面的“windowsDLLSvchost.exe,HotFix.txt提取Windows系統(tǒng)安裝的所有補(bǔ)丁。,Shell.txtWindowsshell～shell省密碼等。能夠推斷這些設(shè)臵是否被替換成木馬程序。,FileOpen.txtexetxt的打開程序是否被替換成木馬。五、搜索文件本腳本庫有多個(gè)腳本將恢復(fù)內(nèi)容導(dǎo)出成文件時(shí)～在導(dǎo)出名目下會生成文件index.txt～它就是搜索文件。該文件記錄了導(dǎo)出文件內(nèi)容在證據(jù)文件中的位臵?！珶o需重新搜索硬盤～提升效率～大大節(jié)省時(shí)間。23、依據(jù)搜索文件的差別導(dǎo)出文件內(nèi)容～同時(shí)生成新的搜索文件。24、依據(jù)搜索文件和關(guān)鍵字文件搜索網(wǎng)頁依據(jù)搜索文件和關(guān)鍵字文件搜索網(wǎng)頁～關(guān)鍵字文件路徑為c:\programfiles\encase420\keyword.txt～文件格式如下:搜索分類名:關(guān)鍵字:關(guān)鍵字:......每行為一個(gè)搜索分類～分類內(nèi)關(guān)鍵字由":"分隔～9～即腳本只會分析keyword.txt的前9行～但每類的關(guān)鍵字?jǐn)?shù)不限。腳本依據(jù)該文件設(shè)臵對匹配的網(wǎng)頁分類整理。25IP～能夠?qū)С鑫募瑫r(shí)生成新的搜索文件。26QQ能夠?qū)С鑫募瑫r(shí)生成新的搜索文件。27WebmailWebmail,要求搜索文件的內(nèi)容是網(wǎng)頁,～能夠?qū)С鑫募瑫r(shí)生成新的搜索文件。28、依據(jù)搜索文件搜索電話號碼～能夠?qū)С鑫募瑫r(shí)生成新的搜索文件。29、依據(jù)搜索文件搜索關(guān)鍵字腳本依據(jù)搜索文件指定的范圍搜索關(guān)鍵字～可自動(dòng)搜索編碼”腳本生成的關(guān)鍵字相同。能夠?qū)С鑫募瑫r(shí)～能準(zhǔn)確讀取、UNICODE、UTF8～BASE64QP～如何顯示亂碼則可能是BIG5GREP30、依據(jù)搜索文件搜索身份證號1518,～能夠?qū)С鑫募瑫r(shí)生成新的搜索文件。31、依據(jù)搜索文件搜索郵箱地址～能夠?qū)С鑫募瑫r(shí)生成新的搜索文件。六、提取電子證據(jù)清單32V4_ExportFunction33、對本地名目制作電子證據(jù)清單34、對選中文件制作電子證據(jù)清單35七、網(wǎng)頁36、恢復(fù)殘缺網(wǎng)頁javascript能夠?qū)⒒謴?fù)的網(wǎng)頁導(dǎo)出成文件～同時(shí)生成搜索文件。腳本支持關(guān)鍵字。37、在選中文件中搜索網(wǎng)頁網(wǎng)頁。八、網(wǎng)站38Apache～從中提取出關(guān)懷的內(nèi)容～包括全部虛擬主機(jī)的設(shè)臵。39、讀IIS5～包括全部虛擬主機(jī)設(shè)臵。九、系統(tǒng)41、Windows～Windows、證據(jù)文件、網(wǎng)絡(luò)、時(shí)區(qū)、帳戶、安裝軟件、硬件、服務(wù)器、共享等內(nèi)容。42、Windows～支持關(guān)鍵svchostDLL43、Windows44、打印假脫機(jī)圖片腳本SPLEMF45、讀注冊表,2000,讀取注冊表匹配關(guān)鍵字的注冊表項(xiàng)～46記錄,2000,NT47、回收站記錄,9X,INFO29XNTNT48、預(yù)分析,2000～為分析提供協(xié)助。49、預(yù)分析,客戶端,～為分析提供協(xié)助。十、選中文件50IP51QQ52、在選中文件搜索Webmail5354、在選中文件搜索關(guān)鍵字腳本使用的關(guān)鍵字與“生成關(guān)鍵字各種編碼”腳本生成的關(guān)鍵字相同～55件搜索身份證號碼56、在選中文件搜索手機(jī)號碼57十一、郵件58、Base64,～可指定搜索范圍,整個(gè)硬BOXDBXMBX59Base64Base64～eml～MIME60、恢復(fù)殘缺郵件MIME～否則就把殘缺的單個(gè)MIME部分導(dǎo)出成eml文件。腳本在導(dǎo)出文件時(shí)自動(dòng)生成搜索文件。本腳本對使用Foxmail的情況效果完美～使用OutlookExpress的情況則有可能恢復(fù)不完整～雖然腳本能夠自動(dòng)去掉這些字符～但