Encase企业版软件在电子证据收集过程中的运用_周国平

admin管理员组

文章数量:1530842

2024年3月14日发(作者：)

2012

・

07

（中）

Encase

企业版软件在电子证据收集过程中的运用

周国平符一龙

摘要随着信息技术对人类生活的影响逐渐加深，与以计算机为主导电子设备相关的违法事件的明显增多。电子证据

在刑事、民事及行政等多种案件中发挥越来与重要的作用。在计算机证据取证调查过程中，美国许多法院早已认识到了运

用最佳工具的重要性。最佳工具的标准是基于调查环境及新技术的革新而不断改变的。通过分析电子证据收集过程中存

在的问题，并结合Encase软件的功能，对encase企业版软件在电子证据收集过程中的运用进行阐述。

关键词Encase电子证据收集

作者简介：周国平，重庆邮电大学法学院，研究生，主要从事诉讼法研究；符一龙，重庆邮电大学法学院。

中图分类号：D925文献标识码：A文章编号：1009-0592

(

2012

)

07-110-02

一、Encase企业版简介

Encase是GuidanceSoftware公司研发的取证产品，该公司

成立于1997年。Encase的开发团队多半拥有计算机取证学专家

的背景。该工具拥有强大的脚本功能，支持二次开发。可增强取

证分析的针对性，使个人技能得到较大程度的发挥，是政府执法

机构常用的取证工具，也被广泛的运用与司法、军队、公司监察等

部门。Encase分为单机版和企业版，本文重点讨论的是企业版即

EncaseEnterpriseEdition。Encase企业版是世界上第一个可以有

效执行远程企业紧急事件响应、审计、和发现任务的软件。计算

机紧急事件响应工作组和计算机调查员可以利用该软件即时通

过局域网或广域网识别、浏览、获取和分析远程的电子媒介。En-

case企业版与Encase单机版软件（以Encaseforensicssoftware著

称）都基于同样的代码和功能。Encase企业版从本质来说就是核

心的Encase单机产品，但其采用了高度兼容的网络启动模式，另

外基于实际考虑，在内部增加了相应的安全策略及功能增强的数

据库。

二、Encase企业版在电子证据收集过程中的运用

（一）在线进行证据收集相比单机离线收集的优势

Encase企业版主要针对公司企业内部基于局域网或广域网

的联网计算机的调查，在提倡举证主体多元化的今天，它不应仅

仅成为公司企业的监察工具，还应成为各种举证主体收集与保全

证据的有力武器。因此，在阐述Encase企业版在电子证据收集

过程中的运用前，首先我们必须了解在线进行证据收集的优势。

从证据效力及成本花费的立场来看，对现场计算机系统进行远程

镜像或司法搜查相比关闭系统或拆除设备进行离线单机分析更

具优势，主要原因如下：

1．通常关闭重要的计算机系统都会对企业正常经营或第三

方利益造成实质性损害。随着Encase企业版这类技术的出现，

要进行适当的计算机取证调查并不必然需要关闭运行的服务器。

2．关键证据通常在做出调查决定后，到调查员可以直接物理

访问涉嫌计算机期间灭失。因此，进行及时的远程调查比等待几

个小时甚至几天时间到达目标地点或者进行离线的单机调查来

基于以上原因，许多美国

及其他国家的执法机构在刑事调查中都采用Encase企业版以应

对以下情况：（1）环境状况不容许离线控制系统；（2）需要利用广

域网接入目标媒体以做出及时的调查；（3）有必要对连接到广域

网内众多计算机媒体进行调查。基于这三种情况，Encase企业版

就成为了调查取证的最佳工具。

要评价在电子证据收集过程中运用Encase企业版时证据的

准确性及可靠性的问题，首先必须了解其他经常被用于远程分析

及网络文件获取的程序存在的缺陷。例如，运用病毒检测工具或

者系统管理工具对常用文件进行远程分析，从证据效力的立场来

看存在几个问题：首先，这些应用程序可能会对被访问或调查的

文件造成实质性的改变；其次，这些应用程序会改变重要文件的

时间戳，包括最后访问时间以及最后修改时间；最后，通过操作系

统管理程序远程打开文件将很可能导致在被调查的目标设备中

生成缓存文件及其他衍生数据的结果。

Encase企业版在用于电子证据收集过程中时能很好的解决

以上的问题：Encase企业版在磁盘标准下运行，

说更为合适。随着Encase企业版这类技术的出现，前面的延迟

就变得不再合理。

3．当系统运行时，会产生大量的不稳定数据，如果系统被关

闭，这些数据将会灭失或无法获取。如运行进程、开放端口、内存

数据、连接的设备及当前打开的文件都是一些对取证调查非常重

要的实时数据，这些数据只有计算机在原生环境下运行时才可获

取。

以上因素在美国众多判例中得以体现，被作为评判计算机取

证调查过程中所采用方法是否适当的重要参考。

2012

・

07

（中）

数据，如时间戳、日戳及其他信息都不会发生改变。同样的，在这

个过程中也不会生成相应的备份文件或其它衍生数据。当然，因

为Encase企业版软件在现实环境下运行，完全“静态”的成像过

程是不可能的。只要计算机设备在原生环境下持续运行，该设备

就会在持续操作过程中发生变化，例如写入交换文件或其他系统

注册表。因此，Encase企业版控制端通过网络运行目标设备的控

制程序Servlet时，该程序会在目标设备写入注册表或系统的其

他部分。但Encase企业版软件控制端自身在调查过程中并不会

写入目标设备，通过Encase软件查看或获取文件时并不会对其

造成任何改变。

严格说来，运行Servlet控制程序时在目标设备写入注册表

或其他数据是存在争议的。公司监控通常做法是在网络突发事

件发生前即在目标设备内装入了Servlet，将该程序变成整个设备

系统的一部分.尽管运行时该程序依然会写入注册表等信息，但

美国众多法院都认可了Encase企业版软件的效力，如以下要提

到的Zubulake案。

法院为此提出了一项重要的建议性技术程序规范：“就某种程度

说来，律师与公司的所有利害关系人进行直接交流未必是可行

的，鉴于公司的规模或者诉讼的范围，律师必须更具创造性。可

通过网络在整个公司计算机系统运行关键字搜索，之后律师可以

保存每一命中结果的备份。这听上去似乎很繁琐，但事实上并不

会。律师没有必要审查这些命中的文件，他只要看到它们被保存

下来就够了。例如，律师可以建立一个足够广泛的搜索字词列

表，在有限的时间内运行搜索功能，然后隔离开命中响应的文件。”

虽然如此，随着科技的发展，笔者认识到这并不总是对的。

在对计算机涉案现场进行证据搜查前，往往没有任何根据表明现

场将会发现大量涉嫌计算机或相关设备。任意的搜查与扣押，容

易构成对公民权利的侵犯。因此，使用如Encase企业版这样的

网络取证分析工具来限制并细化搜查与扣押的过程就应该成为

一种义务。随着我国于2011年将电子数据作为证据写入刑事诉

讼草案，我国对电子证据的搜查与扣押应与传统证据区别开来并

加以严格控制。Encase等工具在国外司法取证中的流行对我们

具有重要的借鉴意义，我们在电子数据调查取证过程中，应根据

调查环境的实际情况与新技术的革新而采用最合理的调查方式

及调查工具。

并生

成一份详细的安全调查审计记录；最后，所有在Encase企业版环

境下传输的数据及生成的证据文件都采用128-bit的AES加密

技术进行加密，以确保数据传输的安全。此外，当创建证据文件

时，Encase企业版与单机取证版软件一样也会计算CRC及MD5

校验值，以确保获取的证据与目标设备的同一性。

（四）Encas企业版关键字搜索的运用

在美国具有里程碑意义的Zubulake系列案件，对于电子证

据取证调查研究具有重大的意义。它们是建立包含调查程序、政

策及普遍技术运用的程序性构架的开创性案件。在Zubulake案

中，某公司试图在一次大规模的调查中保全并收集计算机证据，

burgLLC，2004WL1620866at*8（.20，2004）.

burgLLC，2004WL1620866at*8（.20，2004）．

CouncilofEurope’sConventiononCybercrime，ExplanatoryReport，298.

注释：

本文标签： 证据企业调查收集