Encase脚本库使用手册

1、Encase 脚本库使用手册 (1广东省公安厅网监处二OO五年三月一、 IE本部分脚本用于对微软 IE 浏览器进行分析。1、 IE History查找 IE 历史记录并进行解码,能解码 HTTP 头部信息。公 安部许剑卓编写。2、 IE 历史记录具备恢复残缺历史记录功能, 能对 IE 历史记录文件或恢复 的残缺历史记录进行解码,同时生成搜索文件(见搜索文件部 分内容 ,支持关键字。3、 根据搜索文件和关键字搜索 IE 历史记录根据搜索文件(见搜索文件部分内容和输入的关键字搜 索 IE 历史记录,并进行解码。4、 解码 Cookie 文件和残缺 Cookie 记录能对 Cookie 文件和恢复的

2、残缺 Cookie 记录进行解码。 二、 QQ5、 QQ 号码和好友 (FAT32版 针对 FAT 文件系统搜索本机使用过的 QQ 号码、 好友 QQ 号、 QQ 组信息。公安部许剑卓编写6、 残缺 QQ 号码目录 (FAT针对 FAT 文件系统搜索名称全部为数字的目录,很可能是 本机使用过的 QQ 号码,要求 QQ 号码长度不超过 10位。可用于在安装还原软件的网吧计算机查找嫌疑人 QQ 号码。7、 残缺 QQ 号码目录(NTFS 针对 NTFS 文件系统搜索名称全部为数字的目录, 很可能是 本机使用过的 QQ 号码。三、 查找恢复8、 FileFinder(v4查找恢复文件, 包括 AOL

3、 、 BMP 、 EMF 、 GIF 、 JPG 、 Photoshop 、 PNG 、 TIF 、 Word/Excel、 ZIP 、 GZIP 、 RAR 等类型,还能自定义 文件类型,可以指定搜索范围。9、 FileMounter(v4自动打开复合文档, 以便后期分析。 可打开 DBX 、 GZIP 、 PST 、 TAR 、 Thumbs.db 、 ZIP 等类型, 既可根据扩展名打开, 也可根据 文件签名打开。注:慎用,因打开大量复合文件需占用大量内 存,可能导致 Encase 运行非常缓慢甚至出错。10、 PartitionFinder(v4搜索 FAT 、 NTFS 、 EXT2

4、分区的首扇区,用于恢复分区。 11、 文本编码查询 v0.9生成文本的 UNICODE 、 GB 、 BIG5编码关键字。12、 查找 Excel 数字查找 Excel 中的数字,但只能查找 7至 9位整数(因其他 数字都是使用浮点数进行编码,在 Encase 脚本编程中无法实 现 。可指定搜索范围(XLS 文件、选中文件、复合文档、整个硬盘 。注意:具体位数取决于整数型变量的最大值,使用前应 先测试能否找到该数字。13、 查找残缺 Word 内容查找残缺 Word 文档,提取其中的内容(个别情况不能完整 提取 。可指定搜索范围(DOC 文件、选中文件、复合文档、未 分配空间、整个硬盘 。注意

5、:因纯英文内容(不包括任何全角 字符 的 Word 文档不是使用 UNOCIDE 编码存放, 而是使用 ASCII 码存放,对其按照 UNICODE 编码提取出来的内容不正确。 14、 查找多媒体 Exif 信息搜索并提取 RIFF 格式多媒体内容中 Exif 信息,可指定搜 索范围(RIFF 格式文件、选中文件、未分配空间、整个硬盘 , 支持关键字,可以根据特定信息查找多媒体文件。15、 查找数码相片搜索并提取 JPG 图片内容中 Exif 信息,可指定搜索范围 (JPG 后缀文件、选中文件、未分配空间、整个硬盘 ,支持关 键字,可以根据数码相机型号、拍摄时间等特定信息查找数码 相片。16、

6、 查找图片 Exif 信息搜索并提取图片内容中 Exif 信息 (包括 JPG 和 TIF 格式图 片 ,可指定搜索范围(JPG/TIF后缀文件、选中文件、未分配 空间、整个硬盘 ,支持关键字,可以根据数码相机型号、拍摄 时间等特定信息查找 EXIF 信息。17、 带关键字查找 Word 文档 v2.0根据关键字查找 /恢复 Word 文档,并将其内容导出成文本 文件,同时提取 Word 文档的编辑记录。可指定搜索范围。 18、 恢复 RM 文件搜索 RM 文件的开头部分,取其后 10兆内容生成 RM 文件。 19、 连续关键字搜索脚本先搜索第一个关键字,然后在指定的间隔内搜索第二 个 关 键

7、 字 , 如 果 搜 索 成 功 则 加 入 书 签 。 关 键 字 支 持 GB/UNICODE/UTF8/BASE64/QP等编码自动转换, 可指定搜索范围 (选中文件、未分配空间、 整个硬盘 。 注意:本脚本使用 GREP 语法则不进行编码转换,关键字大小写不敏感。20、 生成关键字各种编码本 脚 本 根 据 输 入 的 关 键 字 生 成 各 种 编 码 , 包 括 GB/BIG5/UNICODE/UTF8/BASE64/QP编码。生成的关键字文件名 为 keyword.txt ,可在 encase 中导入关键字。注意:本脚本不 支持 GREP 语法,关键字尽量不使用生僻字。四、 访问

8、记录21、 解析 LNK 文件能对最近访问的 LNK 文件(包括最近打开文件列表内 LNK 文件、最近运行程序列表内 LNK 文件、桌面上的 LNK 文件和 恢复的 LNK 文件进行解析。如果脚本无法判断系统是 NT/2000还是 9X ,会提示由用户选择。22、 注册表内访问记录(2000提取注册表内记录的最近访问的文件记录,还提取自动运 行程序、 “运行” 程序列表、 TypeURL 列表、 SVCHOST 服务、 SHELL 设臵、 HotFix 补丁等信息。提取信息写入文件中,文件中每个 空行代表一个新的注册表文件,第二行为注册表文件的路径, 其后紧跟着提取出来的内容。脚本运行后生成以

9、下文件:ComDlg32MRU.txt调用 ComDlg32打开保存文件对话框的全部记录, 包括程 序最后访问的目录,最近打开保存的文件路径等信息。 RecentDocs.txt最近打开的文件记录,与系统自动生成的 LNK 文件一一 对应。注:其中一些二进制的内容没有搞清楚,没有进 行解析。RecentFileList.txt一些应用软件的最近打开的文件列表。RunMRU.txt使用“开始 /运行”窗口运行的命令列表。TypedURLs.txt在 IE 浏览器输入的 URL 记录,也提取 IE 最近的下载、 保存路径。AutoRun.txt系统通过注册表自动运行的全部程序。可以用来查找自动启动

10、的木马。Svchost.txt使用 Svchost.exe 启动的全部服务,可结合后面的 “ windows 服务” 脚本查看具体的服务启动的 DLL 路径。 可以用来查找利用 Svchost.exe 启动的木马。HotFix.txt提取 Windows 系统安装的所有补丁。Shell.txt提取 Windows 系统的 shell 设臵, 包括 shell 文件路径、 Userinit 文件路径、 AppInit_DLLs路径、缺省用户名、 缺省密码等。 可以判断这些设臵是否被替换成木马程序。 FileOpen.txt提取全部文件的缺省打开程序。主要看 exe 文件和 txt 文件的打开程序

11、是否被替换成木马。五、 搜索文件本脚本库有多个脚本将恢复内容导出成文件时,在导出目 录下会生成文件 index.txt , 它就是搜索文件。 该文件记录了导 出文件内容在证据文件中的位臵。本部分脚本将根据搜索文件 记录的范围进行搜索,无需重新搜索硬盘,提高效率,大大节 省时间。23、 根据搜索文件的差别导出文件脚本根据 2个搜索文件的差别,导出源搜索文件中不包含在比较搜索文件中的内容,同时生成新的搜索文件。24、 根据搜索文件和关键字文件搜索网页根据搜索文件和关键字文件搜索网页,关键字文件路径为 c:program filesencase420keyword.txt,文件格式如下:搜索分类名

12、:关键字 :关键字 :.每行为一个搜索分类,分类内关键字由 ":"分隔,最多可以 搜索 9类,即脚本只会分析 keyword.txt 的前 9行,但每类的 关键字数不限。脚本根据该文件设臵对匹配的网页分类整理。 25、 根据搜索文件搜索 IP脚本根据搜索文件指定的范围搜索 IP 地址, 可以导出文件, 同时生成新的搜索文件。26、 根据搜索文件搜索 QQ脚本根据搜索文件指定的范围搜索 QQ ,可以导出文件,同 时生成新的搜索文件。27、 根据搜索文件搜索 Webmail脚本根据搜索文件指定的范围搜索 Webmail (要求搜索文件 的内容是网页 ,可以导出文件,同时生成新的

13、搜索文件。 28、 根据搜索文件搜索电话号码脚本根据搜索文件指定的范围搜索电话号码,可以导出文 件,同时生成新的搜索文件。29、 根据搜索文件搜索关键字脚本根据搜索文件指定的范围搜索关键字,可自动搜索 GB/BIG5/UNICODE/UTF8/BASE64/QP编码。脚本使用的关键字与 “生成关键字各种编码”脚本生成的关键字相同。可以导出文 件,同时生成新的搜索文件。脚本将搜索匹配的内容读出来显 示在书签里,能正确读取 GB 、 UNICODE 、 UTF8编码, BASE64和 QP 编码照原样显示,如何显示乱码则可能是 BIG5编码。注意:脚本不支持 GREP 语法 , 关键字尽量不使用生

14、僻字。30、 根据搜索文件搜索身份证号脚本根据搜索文件指定的范围搜索身份证号 (包括 15位和 18位 ,可以导出文件,同时生成新的搜索文件。31、 根据搜索文件搜索邮箱地址脚本根据搜索文件指定的范围搜索邮箱地址,可以导出文 件,同时生成新的搜索文件。六、 提取电子证据清单32、 V4_ExportFunction33、 对本地目录制作电子证据清单34、 对选中文件制作电子证据清单35、 根据搜索文件制作电子证据清单七、 网页36、 恢复残缺网页脚本尽量恢复残缺网页的内容,没有专门针对网页的 javascript 进行恢复。可以将恢复的网页导出成文件,同时生成搜索文件。脚本支持关键字。37、

15、在选中文件中搜索网页查找选中文件中的 HTML 网页, 主要用于在上网临时文件中 查找网页。八、 网站38、 读 Apache 配臵自动定位 Apache 网站服务器软件的配臵文件, 从中提取出 关心的内容,包括全部虚拟主机的设臵。39、 读 IIS5配臵自动定位 IIS 5.0的配臵文件,从中提取出关心的内容, 包括全部虚拟主机设臵。40、 恢复 IIS 日志九、 系统41、 Windows 案例初始化提取大量的 Windows 系统信息,包括 Windows 、证据文件、 网络、时区、帐户、安装软件、硬件、服务器、共享等内容。 42、 Windows 服务提取 Windows 系统服务,包

16、括自动启动、手动启动、禁止 的服务,支持关键字。能提取 svchost 服务的 DLL 文件路径。 43、 Windows 事件日志对 Windows 记录的系统日志、应用程序日志、安全日志进 行解析。44、 打印假脱机图片脚本 在 SPL 文件和未分配空间搜索 EMF 文件。 45、 读注册表（2000） 读取注册表匹配关键字的注册表项，支持精确匹配和模糊 匹配。 46、 回收站记录（2000） 在 INFO2 文件和未分配空间搜索 NT 回收站记录。 47、 回收站记录（9X） 在 INFO2 文件和未分配空间搜索 9X 回收站记录。因 NT 回 收站记录与 9X 回收站记录兼容，本脚本也

17、可以查找 NT 回收站 记录。 48、 预分析（2000 服务器） 查找与服务器有关的内容，为分析提供帮助。 49、 预分析（客户端） 查找与客户端有关的内容，为分析提供帮助。 十、 选中文件 本部分脚本的功能与“搜索文件”部分的脚本类似。 50、 在选中文件搜索 IP 51、 在选中文件搜索 QQ 52、 在选中文件搜索 Webmail 53、 在选中文件搜索电话号码 54、 在选中文件搜索关键字 脚本使用的关键字与“生成关键字各种编码”脚本生成的 关键字相同，运行机理与“根据搜索文件搜索关键字”脚本一 样。 55、 在选中文件搜索身份证号码 56、 在选中文件搜索手机号码 57、 在选中文

18、件搜索邮箱地址 十一、 邮件 58、 Base64 图片 搜索使用 base64 编码的图片（图片作为邮件附件） ，可指 定搜索范围（整个硬盘、未分配空间、BOX 文件、DBX 文件、MBX 文件） 。 59、 查找 Base64 编码 根据 Base64 编码的特征查找 Base64 编码，并把每个部分 都导出成 eml 文件，不将各部分根据 MIME 格式组合成邮件。脚 本在导出文件时自动生成搜索文件。 60、 恢复残缺邮件 根据 MIME 邮件格式特征恢复邮件。 尽量恢复整个完整邮件， 否则就把残缺的单个 MIME 部分导出成 eml 文件。 脚本在导出文 件时自动生成搜索文件。本脚本对使用 Foxmail 的情况效果完 美，使用 Outlook Express 的情况则有可能恢复不完整，原因 是 OE 在邮件中插入了一些特殊字符， 虽然脚本可以自动去掉这 些字符，但如果刚好在 MIME 格式的重要位置插入了特殊字符， 将影响脚本的恢复。 61、 邮箱文件内邮件 在