Effektiviteten av en handbok för EnScript

Teveldal, Adam, Larsson, Kennie, Lago, Mikael

January 2014

With the increase in IT related crimes the IT forensics has more work ahead of them and it is constantly rising. The analysis software called EnCase is widely used by IT forensics all around the globe and with it comes an internal programming language called EnScript. This paper is designed to examine whether a manual for the programming language EnScript can make a difference in how efficiently the work is.A study between two groups has been made and an evaluation of the results between the two groups. The manual provided aims to introduce the reader to EnScript as a programming language and also to provide a solid foundation to build on in further work with EnScript

Handbok

EnScript

Undersökning

EnCase

Scripting

Hur forensiska verktyg påverkar integriteten på mobiltelefoner

Aronsson, John, Bolmér, Percy

January 2016

Användandet av mobiltelefoner och andra mobila enheter är stort i samhället vilket gör att de förekommer allt oftare vid brott och brottsutredningar. Information i dessa enheter måste kunna utvinnas och integriteten på det utvinna materialet säkerställas. Syftet med detta arbete är att undersöker om de forensiska verktygen Xry och Encase påverkar materialet vid utvinning från mobiltelefoner. För att ta reda på detta har en litteraturstudie, en intervju och två experiment utförts. Resultatet från experimenten visade på att det fanns filer vars innehåll ändrades mellan utvinningar. En analys av resultatet visade att det var systemet själv samt processer som skedde innan utvinningen som förändrat innehållet. Slutsatsen blev att verktygen inte påverkar materialet under utvinningsprocessen / The rising use of smartphones and other mobile devices in society today has resulted in a higher prevalence of these in crimes and crime investigations. The information in these devices must be extracted and the integrity of the extracted information assured. The goal of this project is to determine whether the two forensic software programs Xry and Encase tamper with the extracted data. To answer this, a literary study together with an interview and two experiments were performed. The result from the experiments determined that data changes occured between extractions. Further analysis explained the changes to be caused by the devices themselves, and as a consequence of rooting. The conclusion drawn from the result was that the softwares programs did not tamper with the material during the extraction-process.

Mobil

Forensik

Utvinningar

Android

Encase

Xry

Detektering av misstänkt grooming

Gärdström, Ewa, Öncü, Devran

January 2015

Examensarbetets primära innehåll behandlar detekteringav grooming via experiment på två olika program. Experimenten utgår från två olika ordlistor och utförs på ett textanalysverktyg -Overview, och på ett IT-forensiskt verktyg -EnCase. Då de två verktygen använder sigav olika metoder vid sökningar och är utformade för olika syften så går studien även igenom olika metoderav data miningoch forensiska metoder. Dataset i form av chattkonversationer har samlats in inför studiens experiment, och har därefter kategoriserats efter harmfull och harmlös data. Harmfull data representerar chattkonversationer med innehåll av grooming, och harmlös data är chattkonversationer som innehåller allmänna konversationer om vardagliga ting. De två ordlistorna som har använts vid sökningarna är av olika innehåll, där den ena baseras på ord av sexuell karaktär och där den andra är skapad utifrån en frekvensordanalys.Andra delar av uppsatsen tar upp intressanta aspekter kring grooming, hur dess process ser ut och lagstiftningen i Sverige kring brottet. Resultatet av studien påvisar att båda verktygen till lika hög grad kunde detektera misstänkt grooming i chattkonversationer. Vissa skillnader fanns i resultatet i form av ord som inte detekterades fullt ut av Overview. Andra påfallande skillnader mellan verktygen var deras arbetstid och dokumentationsmöjligheter, där Overview var det verktyg som jobbade snabbt, och EnCase det verktyg som hade bra dokumentationsmöjligheter. Enligt gjord studie vore en kombination av data mining och IT-forensiska metoder samt en väl genomförd ordlista en metod att föredra vid detekteringav grooming.

grooming

EnCase

Computer and Information Sciences

Data- och informationsvetenskap

En Jämförelse mellan EnCase och BackTrack : Examensarbete på programmet IT-forensik och informationssäkerhet, 120 hp.

Wernebjer Cervinus, Daniel, Brorsson, Patrik

January 2010

<p>Denna rapporten är en jämförelse av forensiska verktyg, i detta fallet är verktygen EnCase och BackTrack. Vi kommer i den här rapporten att jämföra vissa utvalda verktyg som representeras i båda programmen, och analysera resultatet av detta. Analysen och jämförelsen kommer därefter ligga till grund för om man kan få fram lika bra resultat med ett open-source program som med ett program man betalar för. Vi kommer att utföra analysen genom att använda en bevisfil och utföra tester på den i både BackTrack och EnCase. Resultatet kommer att diskuteras och presenteras i denna rapport.För att få fram bästa möjliga resultat kommer vi även att intervjua vissa utvalda personer med erfarenhet utav att arbeta med dessa program, för att få fram deras synpunkter</p>

EnCase

BackTrack

forensik

IT-forensik

Computer engineering

Datorteknik

Utvinning och analys av positionsdatafrån GPS-enheter : Jämförelse av metoder och program

Johansson, Sebastian, Sundström, Peter

January 2011

In the field of IT-forensics you may often get to analyze different types of digital devices. One ofthese devices is the GPS navigation system. Nowadays GPS technology is getting more and morepopular and is included more frequently in different types of devices. With this article we want topresent the differenent obstacles and possibilites that a forensic investigator is presented with in thistype of investigation. We will be comparing different software suites and make use of forensic toolssuch as EnCase.The reader should get some understanding of the methods there are for analyzing one of these devicesand what problems that may occur in the investigation process.The article presents how the investigator can use different methods to gain information such as recentroutes, favourite destinations and other information that may be stored on the device. The amountof information stored on the device depends purely on the device modell that is being analyzed.We will present the process of how to aquire and analyse data from four different GPS devices, twomodels from Garmin and two models from TomTom. The data we have aquired is saved favourites,traveled routes and history from phone calls. We have also done a comparison between two softwaresuites, EnCase and Blackthorn2. Our results have varied between the softwares, with both positiveand negative results. The devices from Garmin gave us the best results in this study.

GPS

forensik

tomtom

garmin

encase

positionsdata

Computer Engineering

Datorteknik

En Jämförelse mellan EnCase och BackTrack : Examensarbete på programmet IT-forensik och informationssäkerhet, 120 hp.

Wernebjer Cervinus, Daniel, Brorsson, Patrik

January 2010

Denna rapporten är en jämförelse av forensiska verktyg, i detta fallet är verktygen EnCase och BackTrack. Vi kommer i den här rapporten att jämföra vissa utvalda verktyg som representeras i båda programmen, och analysera resultatet av detta. Analysen och jämförelsen kommer därefter ligga till grund för om man kan få fram lika bra resultat med ett open-source program som med ett program man betalar för. Vi kommer att utföra analysen genom att använda en bevisfil och utföra tester på den i både BackTrack och EnCase. Resultatet kommer att diskuteras och presenteras i denna rapport.För att få fram bästa möjliga resultat kommer vi även att intervjua vissa utvalda personer med erfarenhet utav att arbeta med dessa program, för att få fram deras synpunkter

EnCase

BackTrack

forensik

IT-forensik

Computer Engineering

Datorteknik

Carving och innehållssökning av komplexa dokument : En jämförelse av verktyg

Wendt, Michael, Kadar Rosengren, Robin

January 2016

File carving är konsten att återskapa raderade filer utan hjälp av filsystemsinformation. Speciellt viktigt skulle detta kunna vara vid utredning av ekonomisk brottslighet som utgör en vital del inom bekämpning av prioriterade områden som organiserad brottslighet och terrorism. I detta arbete presenteras ett nytt verktyg för att utföra file carving som även jämförs mot andra verktyg på marknaden med tyngdpunkt på processtid och minnesanvändning. Dessutom riktas fokus på egenskapen att snabbt kunna söka efter nyckelord i de framtagna filerna. Detta är något som kan vara mycket användbart när det finns behov av att snabbt hitta relevant information i en brottsutredning. Då filformaten .docx samt .pdf hör till de vanligaste typerna av textfiler har testerna valts att göras på dessa. I arbetet har det även undersökts hur polisen arbetar med file carving och sökning i textdokument idag. EnCase är det absolut mest använda programmet hos polisen, men testerna visade att det är både långsamt och resurskrävande. Verktyget Autopsy visade sig vara ett snabbare alternativ, men det nykomna verktyget Alice var mindre, snabbare och resurssnålare än båda alternativ. EnCase kunde inte heller visa resultaten av en textsökning på ett lika överskådligt sätt som Autopsy och Alice.

forensik

encase

programmering

Computer Systems

Datorsystem

Other Computer and Information Science

Annan data- och informationsvetenskap

Detektering av krypterade filer

Barkman, Linus

January 2011

In contemporary encryption the vast amount of text subject to cracking has brought about the demand for methods distinguish files more likely to be encrypted. The encryption software Truecrypt can encrypt files that are not possible to identify with a file signature. To solve the detection problem, an algorithm sensitive to the absence of structure in the very code of files was developed. The program was written in the programming language EnScript which is built into the forensic software suite EnCase. The essential part of the algorithm therefore deployes the statistic of a chi-square test for deviance from a uniform distribution to distinguish files with contents that appear to be random. The program managed to detect encrypted files that were created with Truecrypt. Test results indicate that the newly developed program is nearly double as fast and has at least the same accuracy in the detection as other pro- grams. The software is licensed under open source standard GNU GPL. The procedure developed will drastically facilitate for computer forensic experts to detect if any existing encrypted file is located on the hard drive.

Encrypted files

encrypted volumes

Computer forensic

EnCase

EnScript

Truecrypt

encrypted storage media

Krypterade filer

krypterade volymer

IT-forensik

EnCase

EnScript

Truecrypt

krypterad lagringsmedia

Information Systems

Information Systems

IT-forensisk analys av Windows 8

Kellgren, Christelle, Fransén, Martin

January 2013

En fallstudie tillämpades för att undersöka de inbyggda apparna, Internet Explorer 10, den nya utforskaren File Explorer och reparationsverktyget ”Återställ datorn utan att ta bort filer” i Windows 8. Analysen visade att apparna E-post, Kontakter och Meddelanden sparade större delar av användarens Facebook-profil lokalt på datorns hårddisk. När bildfiler öppnades upp med appen Foton sparades miniatyrbilder av originalet på hårddisken. När videofiler spelades upp med appen Video sparades filnamnet i filer. Databasfilen index.dat som i tidigare versioner av Internet Explorer sparade webbhistorik har tagits bort och ersatts av ESE-databasen WebCacheV01.dat. Precis som föregångaren i Windows 7 sparar File Explorer både snabblistor, genvägsfiler och miniatyrbilder.  Digitala spår från det tidigare operativsystemet lämnades kvar efter reparation med ”Återställ datorn utan att ta bort filer” i foldern Windows.old.

IT-forensik

EnCase 7

Windows 8

Appar

E-post

Kontakter

Meddelanden

Foton

Video

File Explorer

Utforskaren

Extensible Storage Engine

ESE-databas

WebCacheV01.dat

WebCahceV24.dat

livecomm.edb