EnCase چیست و چه قابلیت‌هایی دارد؟

EnCase چیست و چه قابلیت‌هایی دارد؟

Encase یکی از محبوب‌ترین ابزارها برای جرم‌یابی سایبری (فارنزیک) است. برای آشنایی با قابلیت‌ها و امکانات Encase و آموزش گرفتن Image از دیسک سخت با استفاده از EnCase Forensic این مقابله را بخوانید.

یکی از مؤلفه‌های مهم امنیت سایبری که معمولا مورد غفلت سازمان‌ها قرار می‌گیرد، فارنزیک (Forensics) یا جرم‌یابی سایبری است که یکی از اقدامات مهم در پاسخ به حوادث (Incident Response) محسوب می‌شود. همه ما وقتی از اینترنت و دستگاه‌های الکترونیکی مثل گوشی‌های موبایل و رایانه‌ها استفاده می‌کنیم، ردپاهایی دیجیتالی مثل فایل فرگمنت‌ها (file fragments)، لاگ‌ها، برچسب‌های زمانی (timestamps)، متادیتا و... از خودمان به جای می‌گذاریم. هکرها نیز از این قاعده مستثنی نیستند و پس از هر حمله سایبری، ردپاهایی از خودشان به جای می‌گذارند. علم فارنزیک به رهگیری این رد پاها برای پیدا کردن منشاء حمله و اقدامات حقوقی و قضایی متعاقب کمک می‌کند. البته پیدا کردن منشاء حمله حتی اگر منجر به شناسایی و اقدامات قانونی علیه هکرها نشود با فراهم آوردن اطلاعاتی در رابطه با ابزارها و روش‌های مورد استفاده هکرها در حملات سایبری به پیشگیری از حملات بعدی کمک می‌کند.

یکی از ابزارهای محبوب و پرکاربرد در فارنزیک، EnCase Cybersecurity نام دارد که می‌توان آن را مهم‌ترین ابزار پاسخ به تهدیدات نقطه پایانی و یکی از بهترین نرم‌افزارهای بازرسی دیتا (data auditing) دانست شرکت Guidance Software در سال ۱۹۹۸ آن را با هدف کاهش هزینه‌ها و پیچیدگی‌های مرتبط با فرایند پاسخ به تهدیدات و کاهش ریسک یا سرقت داده‌های حساس، منتشر کرد. در سال ۲۰۱۷ شرکت OpenText با خرید سهام شرکت Guidance Software ادامه پروژه EnCase را در دست گرفت. در این مقاله برای شما توضیح می‌دهیم که EnCase چیست و چه کاربردهایی در فارنزیک و پاسخ به تهدیدات دارد. همچنین در این مقاله طریقه گرفتن Image از دیسک سخت با استفاده از EnCase را آموزش خواهیم داد. با سایبرنو همراه باشید.

در این مقاله می‌خوانید:

۱- EnCase چیست؟

۲- EnCase چه قابلیت‌هایی دارد؟

۳- آموزش گرفتن Image از دیسک سخت با EnCase

 

EnCase چیست؟

EnCase Endpoint Security نوعی نرم‌افزار جرم‌یابی سایبری است که امکان تحقیق، شناسایی و اولویت‌بندی ردپاهای سایبری در رایانه‌ها و دستگاه‌های تلفن همراه را برای پیدا کردن منشاء حمله و ثبت مدارک جرائم سایبری، فراهم می‌آورد.  این نرم‌افزار زمانی حداکثر قابلیت‌های خودش را نشان می‌دهد که با ابزارهای هشدار و مدیریت حادثه (SIEM) مورد استفاده سازمان شما یکپارچه شود. در این صورت، به محض اینکه هشدار یا رویدادی رخ دهد، پاسخ آنی EnCase به صورت خودکار اطلاعات نقطه پایانی را پیش از اینکه فرصت ناپدید شدن و پاک کردن رد پاهایش را پیدا کند، ثبت می‌کند و این اطلاعات را در اختیار شما قرار می‌دهد تا به سرعت و به دقت مشخص شود که چه اتفاقی رخ داده است. 

 

encase چیست 101

 

این ابزار فارنزیک از بررسی اولیه تا اولویت‌بندی برای رسیدگی به حوادث سایبری، به طور کامل به تهدیدات نقطه پایانی پاسخ می‌دهد و سازمان‌های دولتی، مؤسسه‌های مالی، شرکت‌های بزرگ خرده‌فروشی و سازمان‌های رسانه‌ای از آن به صورت یکپارچه با سیستم‌های هشدار یا مدیریت رویداد خود برای پاسخ آنی به تهدیدات استفاده می‌کنند.

این نرم‌افزار که بر اساس نرم‌افزار مطرح و دارای استاندارد طلایی EnCase Forensic ساخته شده است، تهدیدات ناشناخته، بدافزارهای مرتبط با حوادث سایبری و داده‌های حساس موجود در نقاط پایانی را شناسایی می‌کند.
از شناخته‌شده‌ترین مشتریان EnCase می‌توان به موارد زیر اشاره کرد:

  • Oracle corporation
  • NBC Sports
  • U.S Bancorp
  • Kaiser Permanente
  • و ...

اکثر مشتریان نرم‌افزار EnCase شرکت‌های فعال در حوزه امنیت سایبری هستند و پس از آن‌ها، شرکت‌های صنعتی و مهندسی و شرکت‌های فعال در حوزه فناوری اطلاعات در جایگاه‌های بعدی قرار دارند. کشورهای ایالات متحده، انگلستان، هند، استرالیا، سنگاپور و ایتالیا نیز به ترتیب مورد اشاره، بیشترین مشتریان EnCase را دارند.

 

EnCase چه قابلیت‌هایی دارد؟

از مهم‌ترین قابلیت‌های EnCase می‌توان به موارد زیر اشاره کرد:

 

قابلیت های encase 101

 

آموزش گرفتن Image از دیسک سخت با استفاده از EnCase Forensic 

برای گرفتن Image از دیسک سخت (یا درایوهای آن) با استفاده از EnCase ابتدا نرم‌افزار EnCase Acquisition را باز کنید تا با پنجره‌ای همانند شکل زیر روبرو شوید:

 

آموزش encase 101

 

حال به منوی File بروید و گزینه New Case را انتخاب کنید. در پنجره باز شده که همانند شکل زیر است نام Case (پرونده) و نام خود را وارد و روی دکمه Finish کلیک کنید.

 

گرفتن image از دیسک سخت 101

 

در پنجره بعدی EnCase از شما می‌پرسد که قصد گرفتن Image‌ از چه چیزی را دارید؟ با توجه به اینکه ما می‌خواهیم از محتوای دیسک سخت Image بگیریم، لذا گزینه Local Drives را انتخاب و روی گزینه Next کلیک می‌کنیم.

 

گرفتن image از هارد دیسک با encase 101

 

در پنجره بعدی به شما لیست درایوها و دیسک‌های سخت موجود را نمایش می‌دهد. تیک درایو یا دیسک سخت مد نظر خود را بزنید و روی کلید Next کلیک کنید.

 

گرفتن فایل image از هارد دیسک با encase 101

 

در پنجره بعدی پارتیشن‌ها و فایل‌های درون دیسک سخت مورد بررسی قرار خواهد گرفت (این عملیات ممکن است زمانبر باشد). شما می‌توانید با کلیک بر روی دکمه Finish این Wizard را ببندید تا دیسک شما به Case افزوده شود. در این مرحله چنانچه License معتبری داشته باشید، لیست فایل‌های درون درایو نیز به شما نمایش داده خواهد شد.

 

گرفتن image با encase از هارد دیسک 101

 

حال از منوی Edit گزینه Acquire را انتخاب کنید. در این پنجره گزینه Do not add‌ (تا Image به طور خودکار بعد از ساخته‌شدن به Case افزوده نشود) و سپس، گزینه Next را انتخاب کنید. 

 

گرفتن image با encase از دیسک سخت 101

 

حال در پنجره بعدی می‌توانید تنظیمات مربوط به گرفتن Image‌ را اعمال کنید. همانطور که می‌دانید Imageهای گرفته‌شده توسط نرم‌افزار EnCase دارای فرمت .e01 هستند. بعد از اعمال تنظیمات مد نظر خود بر روی کلید Finish کلیک کنید تا عملیات گرفتن Image‌ از محتوای دیسک سخت آغاز شود. به محض شروع عملیات، EnCase به پنجره اصلی خود می‌گردد و میزان پیشرفت فرآیند را در بخش پایینی، سمت راست پنجره نمایش داده می‌شود.

 

آموزش گرفتن image از هارد دیسک با encase 101

 

بعد از اتمام فرآیند ساخت Image، پنجره زیر به شما نمایش داده می‌شود. اگر می‌خواهید محتوای Image‌ را نیز بررسی کنید می‌توانید آن را به Case خود اضافه کنید. در غیر این صورت می‌توانید نرم‌افزار EnCase را ببندید و رایانه را خاموش کنید.

 

نحوه گرفتن image از هارد دیسک با encase 101

 

جمع‌بندی

در این مقاله گفتیم که EnCase چیست و چه قابلیت‌هایی دارد. همانطور که گفته شد، نرم‌افزار EnCase را می‌توان مهم‌ترین ابزار جرم‌یابی برای پاسخ به تهدیدات در دنیای امنیت سایبری و امنیت شبکه دانست. این نرم‌افزار قابلیت‌های متعددی در اختیار شما قرار می‌دهد. نسخه EnCase Endpoint Security این نرم‌افزار با یکپارچه شدن با سامانه‌های هشدار و مدیریت رویداد (SIEM) سازمان شما، پیش از اینکه هکرها ردپای خودشان را پاک کنند، داده‌های حساس‌ را گردآوری می‌کند و امکان تحلیل آن‌ها برای متخصصان فارنزیک فراهم می‌آورد. 
 

تاریخ انتشار: 1402/01/27
تاریخ بروزرسانی: 1402/12/21
user avatar
نویسنده: امیر ظاهری مدیر تولید محتوا سایبرنو
امیر ظاهری در سال ۱۳۹۴ از دانشگاه «تربیت مدرس» در مقطع کارشناسی ارشد رشته «بیوفیزیک» فارغ‌التحصیل شد. او که به فناوری، امنیت سایبری، رمزنگاری و بلاک‌چین علاقه داشت، نویسندگی در این حوزه‌ها را شروع کرد و در سال ۱۳۹۸ به عضویت هیئت تحریریه «زومیت»، پربازدیدترین مجله تخصصی فناوری ایران، درآمد. او سابقه همکاری به عنوان کارشناس تولید محتوا با استارت‌آپ «جاب ویژن» نیز دارد. در سال ۱۴۰۰ همکاری خودش را با سایبرنو شروع کرد و از آن زمان تاکنون به صورت تخصصی در حوزه امنیت سایبری فعالیت دارد.
برچسب‌های مرتبط
این مطلب را با دوستان خود به اشتراک بگذارید
نظرات کاربران

برای دریافت خبرنامه و اخبار

آدرس پست الکترونیکی خود را وارد کنید

تمامی حقوق مادی و معنوی این سایت متعلق به شرکت مهندسی دنیای فناوری امن ویرا (سایبرنو) می‌باشد.