Guidance Software hat Version 6.10 des Forensik-Werkzeugs EnCase veröffentlicht. Besonderes Augenmerk wurde diesmal anscheinend auf die Analyse von verschlüsselten Dateien und Festplatten gelegt. Die neue Version enthält folgende neuen Features:
- S/MIME Unterstützung: EnCase ermöglicht die Entschlüsselung von MBOX-, EST- und PST-formatierten S/MIME Mails (RSA PKCS7 verschlüsselt)
- Mit Credant® verschlüsselte Dateien werden erkannt und entschlüsselt (Verbindung zum Credant-Server muss aber vorhanden sein)
- Mit SafeBoot® 4 oder 5 verschlüsselte Festplatten werden erkannt und entschlüsselt (offline und online Modus). Hierfür muss aber rdas EDS-Modul installiert sein
- 64-Bit Utimaco Unterstützung: In der 64-bit Installation von EnCase kann SafeGuard Easy Version 4.50.0.1 und höher erkannt und analysiert werden.
- Es wird das Solaris 10 ZFS Dateisystem unterstützt (auch ZPool – Solaris Logical Volume Manager).
- Logical Volume Management (LVM and LVM2) Unterstützung bei AIX- und Linux-Images.
- Der neue Pfad und das geänderte Format der Thumbnail-Cache Dateien von Windows Vista werden nun unterstützt.
- Beim Einsatz der Enterprise Funktionalitäten wird das Auslesen des phyischen und logischen RAM besser unterstützt.
- Das Auslesemodul der Registry wurde überarbeitet: Nun können gelöscht Einträge und auch die Security Rights besser analysiert werden.
- Die bisher teilweise unzureichende Wiederherstellung von Internetspuren aus nicht-belegten Speicherbereichen ist verbessert worden
- Erweiterung der Filteranzeigen (kominierte Filtermöglichkeiten).
Hinweis: Entschlüsselung bedeutet nicht, dass man nicht die Zugangsdaten benötigt 😉
EnCase 6.11.2.20 Update veröffentlicht – mit neuer Version von winmem … mehr in den release-notes von guidancesoftware