产品简介：

EnCase Portable用于帮助专业和非专业取证人员在现场迅速电子数据取证和采集工作。该解决方案由现场调查和数据获取两部分组成。

现场调查功能允许专业和非专业取证人员一起实时快速的查看存储在现场计算机中的信息，但不会改变或破坏其中的数据。通过预先配置的分类搜索，用户可以快速浏览图片、查看互联网历史记录、查看正在使用计算机的人员等，使用现场调查功能的专业取证人员还可以在几分钟内现场创建新的分类搜索。

借助数据获取功能，任何人都可以成为计算机取证，事件响应或电子调查团队的外援，运行由专业取证人员预先配置的采集和搜索方案，任何人都可以使用EnCase Portable在现场进行司法取证工作。数据获取功能可用于磁盘镜像获取或根据特定情况采集所需数据，同时还可以对嫌疑计算机中的内存数据进行镜像获取，这其中可能包含与案件有关的宝贵信息。

通过EnCase Portable，专业取证人员可以从源头上解决案件积压问题，从而减少需要分析的电子证据总量。对于现场人员，用EnCase Portable可直接访问存储在计算机上的重要信息，而无需成为计算机取证专家。对于企业来说，EnCase Portable可以在不需要专业取证人员的情况下，便捷地收集分布在各地的办公室中的计算数据。现场调查和数据获取的结合使EnCase Portable成为处理计算机取证任务最强大、最灵活、最适用于现场的取证工具。

工作流程：

1.将EnCase Portable USB（以及需要的存储驱动器）插入目标计算机；

2.从USB设备运行EnCase Portable程序；

3.选择要执行的任务；

4. EnCase Portable运行选定的任务，采集数据或进行现场调查；

5.用户如果对已完成的分类结果或收集任务满意，即可关闭EnCase Portable；

6.收集到的数据可以提供给专业取证人员，根据需要进行全面分析；

默认任务：

每个EnCase Portable设备都包含默认现场调查和数据获取任务的组合，其中包括：

- 采集文档；

- 采集邮件；

- 采集图片；

- 采集磁盘和内存镜像；

- 创建网络事件报告；

- 现场调查或创建个人可识别信息（PII）报告；

- 现场调查图片；

任务创建：

- 支持创建新任务或编辑现有的任务以满足特定的案例需求；

- 可以使用EnCase Forensic司法分析软件创建新任务，也可在不使用EnCase Forensic司法分析软件的条件下在现场实时创建新任务；

- 一个任务完成后可迅速转移到下一个任务中；

获取的数据：

- 支持E01、L01、Ex01或Lx01等多种镜像格式，方便导入到EnCase Forensic司法分析软件中进行全面的数据处理和分析工作；

搜索和收集方法：

- 在搜索和收集过程中，不会更改重要的文件属性（元数据）和内容；

- 为收集的数据保留原始文件夹结构；

- 以EnCase证据文件格式（E01，L01，Ex01，Lx01）存储收集的数据；

- 可以加密收集到的数据；

分类选项：

搜索可能包含个人身份信息（PII）的文件：

- 信用卡（Visa，MasterCard，American Express，Discover）；

- 电话号码（带或不带区号）；

- 电子邮件地址；

- 美国社会安全号码；

在图库视图中查看图像：

- 根据文件扩展名（.jpg，.bmp，.png等）进行搜索；

- 根据文件签名进行搜索；

- 限制图像数量和/或最小图像文件大小；

根据哈希值匹配识别文件：

- 创建新的哈希集；

- 使用EnCase Forensic或EnCase Enterprise中提供的哈希集；

- 通过自定义创建入口条件以集中搜索；

根据元数据预览文件：

- 根据文件的任何属性（大小，类型，日期等）集中搜索；

- 输入特定的搜索条件作为入口条件；

- 可以立即查看匹配的文件；

找到并查看包含特定关键字的文件：

- 导入英文或其他语言关键字列表或手动添加关键字；

- 通过自定义创建入口条件以集中搜索；

- 查看可疑计算机上所有文件的关键字搜索结果；

报告和分析：

- 对收集的数据进行快速分析；

- 准备一份关于现场分类和收集结果的报告；

- 对收集的数据进行快速分析；

加密支持：

利用EnCase解密套件，支持以下加密产品：

- PGP全盘加密；

- Microsoft Bitlocker；

- Guardian Edge Encryption Plus，硬盘和任何地方的加密；

- Utimaco / Sophos Safeguard Easy；

- McAfee SafeBoot Offline（不支持挑战/响应）；

- WinMagic SecureDoc；

- 检查点/ PointSec全盘加密；

Collect的具体功能：

获取：

- 收集逻辑，物理和/或可移动驱动器；

- 获取计算机内存；

- 配置镜像任务以在收集时提示所需的驱动器；

获取配置：

- 设置段文件和块大小；

- 选择压缩和错误粒度设置；

- 查看计算出的MD5和/或SHA1获取哈希值；

快照信息：

- 计算当前正在运行的可执行文件的哈希值；

- 识别操作系统隐藏的进程；

- 收集当前加载的动态链接库（DLL）列表；

- 收集当前登录用户的信息；

- 检测任何网络接口的MAC地址是否被更改；

Internet历史记录：

- 收集访问过的网站的历史记录；

- 收集用户缓存和书签；

- 收集有关Cookie和下载文件的信息；

即时信息：

- 识别并解析计算机上留下的与即时消息相关的信息；

- 搜索即时消息痕迹可以包括硬盘的未分配空间；

- 支持AOL，MSN和Yahoo即时通讯客户端；

系统信息：

从痕迹相关的系统收集：

- 网络信息；

- 操作系统信息；

- 安装的软件；

- 安装的硬件；

- 用户/帐户信息；

- 共享/映射驱动器；

- 用户活动（仅限Linux）；

- 启动例程（仅限Linux）；

- 除Windows操作系统外，还支持Ubuntu 8 Fedora 8 Linux发行版；

Linux System日志：

- 收集和分析Linux系统日志文件和其系统信息；

Windows痕迹：

收集以下Windows系统文件：

- MFT事务日志；

- 链接文件；

- 回收站项目；

- 搜索windows痕迹可以包括硬盘的未分配空间；

Unix登录：

- 分析Unix系统WTWP和UTMP文件，保留所有的登录活动；

Windows事件日志：

- 分析并收集与系统日志中记录的Windows事件有关的信息，包括应用程序，系统和安全日志；

- 输入条件可用于根据输入属性定位搜索；

- 包含的EVT和/或EVTX条件可以进一步限制搜索和收集；

产品对象：

- 警务人员；

- 缓刑和假释官员；

- 民事调查员；

- 军事人员；

- 政府人员；

- IT专业人员；

- 律师事务所人员；

- 诉讼支持人员；

- 非技术人员；