Saturday, April 10, 2010

EnCase versão 6.16.1

Alguns dias após lançar a versão 6.16 do EnCase, a Guidance Software disponibiliza para download a versão 6.16.1.


A promessa de estabilidade não foi cumprida pela versão 6.16, com constantes travamentos. Em testes, o release 6.16.1 se mostrou bastante estável.

Uma das novidades desta versão é o utilitário de linha de comando WINACQ. WinAcq é um utilitário de linha de comando multi-threaded que realiza captura física e lógica de dispositivos. Projetado para funcionar em um sistema operacional Windows 2000 ou superior, o utilitário WinAcq permite que você especifique o dispositivo pela letra (C:\, D:\) ou por número (Disk0; Disk1). O WinAcq cria um arquivo de dados padrão EnCase (*. E01).

A Guidance destaca as segiuntes vantagens do utilitário:

  • Aquisição mais rápida devido a multi-threading.
  • Facilidade de uso: WinAcq exige um mínimo de treinamento para pesquisadores de campo.
  • Eliminação dos limites anteriores sobre o número de dispositivos EnCase pode visualizar.


Para executar WinAcq, abra um prompt de comando no computador de destino. Você deve ter privilégios de administrador na máquina. Uma vez que você abrir um prompt de comando, execute WinAcq usando a sintaxe abaixo. Você só pode adquirir um item de cada vez, que você pode armazenar em apenas um único caminho. Você não pode adquirir um dispositivo lógico e um dispositivo físico ao mesmo tempo, por exemplo.

O algorítimo utilizado na aquisição do WinAcq roda com um mínimo de três threads:

 Thread Reader permite a você controlar quantos threads estão lendo o dispositivo. Você pode especificar de um e cinco threads de leitura.
 Worker Threads permitem controlar os dados de cálculo de compressão. Você pode especificar de um a
20 worker threads.
 O Hashing thread executa a função hash, que foi separado para melhorar o desempenho do utilitário.


Existem três formas para fornecer as informações necessárias para WinAcq:

  • Utilizar as opções de linha de comando
  • Usando um arquivo de configuração
  • Respondendo as questões da console do utilitário



Exemplo de execução do utilitário WinAcq: O console pede os valores necessários se você não fornecê-los.


O processo de captura é dividido em quatro etapas:

  • Leitura de um número de setores a partir do dispositivo.
  • Compressão os setores que foram lidos.
  • Hashing dos setores que foram lidos.
  • Escrever os dados compactados para um arquivo de evidencia.

Como a compressão é o processo que leva mais tempo em uma aquisição, tendo processos independentes de leitura e compressão, há uma melhoria de performance significante no processo e se aproveita melhor o poder de processamento da máquina. Pode-se usar até cinco threads de leitura e até 20 threads de compressão, mas apenas uma thread para hash e outra para thread para gravação do arquivo de evidencia. Além disso, para tornar o processo ainda mais performático, você pode executar hashing pela thread própria ou pela thread de escrita. Hashing pela thread específica funciona melhor em máquinas mais rápidas, mas se você tem uma máquina mais lenta, executar hash na thread de escrita irá carregar menos o processamento da máquina

Além do utilitário de captura WinAcq, é válido também destacar o Enhanced Physical Drive Preview, que elimina a limitação de apenas 30 dispositívos para visualização.

Em um próximo artigo, irei detalhar melhor a ferramenta WinAcq. Até lá!

6 comments:

Jader Lima said...

Luiz, qual o link da versão 6.16.1 para download !!

Luiz Rabelo said...

Oi Jader! Para receber o link para download, é necessário primeiro registrar seu dongle. Assim, você receberá por e-mail uma notificação das atualizações com os links para download. Abraços!

Anonymous said...

Luiz,
preciso adquiri o Encase 6 qual empresa no Brasil que revende essa ferramenta?

Luiz Rabelo said...

Anônimo, para adquirir uma cópia do EnCase, a melhor revenda é a TechBiz. O contato que eu tenho é do Vilanova, ele pode encaminhar sua solicitação a um dos gerentes de contas da empresa: rodrigo.vilanova@techbiz.com.br

Obrigado!

Oscar said...

hay una version completa de prueba?

Luiz Rabelo said...

Hola Oscar. Lamentablemente no hay una versión de prueba disponible. consulte con su distribuidor local la posibilidad de una POC. ¡Gracias!

Post a Comment