Encase是基于Windows平台按照法律实施人员的需求和规范的的基础上用C编写的用于数据获取和分析容量大约为1M的程序。Encase提供了简单的方法来管理大量计算机介质的调查并记录查找结果。随着计算机和其他数字证据在破案的过程中越来越重要，取证实验室中需要处理的数字证据越来越多，司法取证工具帮助成功破获许多当地室内犯罪—儿童色情、家庭暴力、折磨虐待、麻醉催眠、赌博和确认小偷一在不遗漏有价值的计算机证据的同时大大减少了调查员破获一个案件的时间。Encase司法取证工具由犯罪司法专家参与开发，因此在法庭上得到认可。

Encase的主要特点就是保持证据的原始性，Encase完全是非破坏性的，对证据硬盘操作时不改变其中的数据，使其具有着法律效力。它能够调查Windows，Macintosh，Anux，Unix或Dos机器的硬盘，把硬盘中的文件镜像或将证据文件设为只读。这样可以防止调查人员修改数据而使其成为无效的证据。此外，任何大小的硬盘可以被压缩和存储在可移动的介质上，使你可以随身携带。甚至被删除文件、隐藏和被改名了的文件也可以用Encase方便快捷的定位。

强大的处理能力为用户节省宝贵时间：调查员能够在Encase获取硬盘或其他数字媒介的同时查看数据。一旦镜像文件创建完成，调查员就可以同时进行搜索和分析多块硬盘和其他数字证据，使用关键词搜索、Hash值分析、文件签名分析、特殊文件过滤器和复合过滤器。Encase对硬盘驱动镜像后重新组织文件结构，采用Windows GUI显示文件的内容。允许调查员使用多个工具完成多个任务。解决了之前对计算机系统的调查，记录调查，复制证据管理过程冗长的矛盾。

司法有效获取：Encase取提供了行业最有效的媒介获取方式，对数据的获取方式多样、灵活、方便。通过二进制模式复制原始硬盘或媒介，这种复制时物理级别的复制，并非仅仅是逻辑层的复制。通过计算哈希值〔验证相关镜像文件，确保数据的完整性。另外，计算CRC校验值确定证据是否被改变。这种方式已通过验证并经受了法庭上的多次考验。

可扩充的灵活性满足调查员的需求：Encase内嵌Enscript编程器，编程语言基于Java和C++。用户可以定制Scripts进行搜索并分析特殊文档类型。

新的64位版本：改进的性能、增强的多线程和更有效利用内存的能力。Encase司法取证工具通过查看所有相关文件，包括“己删除”文件，文件碎片和未分配空间，帮助调查员轻松管理大量的计算机证据。支持同时搜索和分析不同的文件系统，可以查看Windows注册表、Outlook电子邮件文件及其附件和Zip文件等复合文件，对感兴趣的文件、文件段或图像文件做书签方便将来参考，并自动在最后生成的报告中包括所有书签。对整个案件使用任意多个搜索条件进行关键词搜索。·

概括地说，Encase具有三大功能：

获取证据功能—将目标存储介质固定

预览和获取是Encase的功能之一，主要特点是获取目标盘时可以避免对目标盘的擦写，保持原数据盘的完成性，遵循电子取证的最基本原则。获取的数据是逐个字节的物理获取，而非逻辑上的获取，为了保证数据的完整性，还提供了MD5的哈希值校验，确保拷贝的数据与原数据的一致性。

Encase的获取方式灵活多样，包括DOS下的获取、网络交叉电缆获取、并口电缆获取、FASTBLOC获取、驱动器对驱动器获取及对PDA和各种移动存储介质的获取等方式。可以应对各种复杂的取证环境。但是操作起来需要遵循一定的原则，讲究一定的操作方法。所有有着很强的原则性和技术性。

获取的前期需要创建DOS启动盘或网络启动盘。DOS版的Encase在获取的过程中有着非常重要的地位，几乎贯穿着取证过程始末。其中有一项功能是将计算机设置成服务器模式，这是网络获取和并口获取方式的必要前提。

预览和获取可以节省取证时间，提高取证效率。预览到证据盘的有用文件再进行获取，让获取更有针对性，改进了原来的冗余的全盘获取。

分析功能—多样化的手段，便于挖掘证据

在获取证据盘的基础上再进行进一步的分析证据是Encase的核心功能，主要由恢复删除文件、文件签名验证、解析复合文件、强劲的搜索引擎、残留区的搜索和内置的脚本开发平台等部分构成。

在分析证据前，Encase前期对一些全局设置做了必要的设置，如时区设置、恢复文件、签名分析、哈希分析、创建和导入哈希集等工作，这些工作不仅不会浪费调查时间，反而有利案件分析效率的提高。

时区设置：由于一些案件的的资料来源于不同的时区，通过全局的时间的设置，将时间统一成格林统治时间或统一转换成某一时区，避免的调查人员人工的换算时区时间容易出现错误。

文件恢复：在侦破案件时，目标盘中被删除的文件和未分配的簇中遗留下的痕迹往往是计算机犯罪勘查的重点，Encase因此在分析数据前期考虑把文件恢复最为一个必要的重要环节。进而达到有的放矢的目标。

文件签名验证：目前有数以千计的文件类型，一些已被标准化。国际标准化组织工和国际电气通信联盟、通信标准化部门一正在致力于标准化各种类型的电子数据。像JPEG这样典型的图形文件格式就已被这两个组织标准化了。当文件类型被标准化之后，程序可以通过辨别的签名或头部信息来识别文件。文件头与特定的文件扩展名是关联的。

文件扩展名指的的是文件名中“.”之后的字符。它们揭示了文件所代表的数据类型。如文件名中包含.TXT的扩展名，则预示着该文件的类型是文本。许多程序是依赖扩展名来反映相应的数据类型的。比如，Windows是靠文件扩展名关联特定的应用程序的。

把文件的真实类型隐藏起来的一种方法是重命名文件和扩展名。大多数图形程序都无法正确的识别一个使用错误扩展名（.DLL）的JPEG文件，因此，很有必要比较文件的签名和它的扩展名来辨别是否是被修改。Encase是在后台执行签名分析功能的。

哈希分析：Encase的哈希值计算，让调查人员为每个文件建立一个“数字指纹”—哈希值，从实际上讲，每个文件的哈希值是唯一的，一个文件的哈希值只会与它的副本文件的哈希值相等，Encase采用MD5算法创建哈希值，因此任意两个文件的哈希值相等的几率约等于0。Encase可以先创建哈希库，然后用它与来待检文件的哈希值作比较，看是否包含在哈希库当中。哈希值由文件的内容决定的，与文件的名字无关。因此，即便文件名被更改，Encase仍可以通过哈希库中的哈希值作对比将它找出来。哈希值的特性可以用来鉴别那些内容己知而且检查人员不用关心的文件，如操作系统文件和通用的应用程序。也可以鉴别那些被关心的应用程序。如已知的木马、RootKits、未授权的应用程序等。通过比对可以过滤掉一些不关心的文件，进一步的压缩搜索的范围，提高锁定目标的效率。

强劲的搜索引擎和残留区搜索：强大搜索引擎是Encase的特色之一，Encase的搜索功能可以定位于任何物理介质或逻辑介质中的证据信息，关键字保存于Encase全局目录下的一个初始化文件里，Encase可以从头到尾逐个字节地查找Encase的每个介质和逻辑文件。Encase V5可以支持外语关键字搜索。这可以使调查人员进行外语关键字查找，对于阿拉伯语的关键字可以用阿拉伯的字符进行搜索，对于日语关键字使用日语字符进行搜索，命中的关键字将会按指定的格式进行查看。其搜索范围不仅局限于磁盘的逻辑区，还可以是逻辑区间的部分和未分配的簇。

解析复合文档：Encase的一个非常强大的功能就是查看证据文件当中复合文件的组成成分，复合文件。

内置开发平台：Encase提供了一个专用于Enscripts脚本开发的环境，Enscripts是一个专用于Encase环境的程序语言和应用程序接口。尽管ANSIC++和标准的JAVA的表达式的兼容，但是Enscripts只是拥有其特征的一个子集，换言之，Enscripts使用C++一样的操作符和通用的语法，但是，类和函数是不同的。Enscripts允许调查人员和程序员可以利用开发工具进行自动取证工作。它们可以被编译，也可以与其它调查人员共享。有编程背景，并且理解面向对象的程序设计对开发Enscripts很有帮助。可以根据工作的实际需求，开发出一些强大实用的脚本程序，这也是Encase的强大功能体现。

生成报告—方便地将分析结果变成一份报告

法庭检查的最后阶段是提交裁决，应该用一种易于理解的可读形式来组织，并展示给特定的观众。调查人员就应该考虑如何规范和展示报告。Encase的设计帮助检查人员以一定的组织方式加注标签和输出裁决，以报告在检查完成以后迅速产生。Encase提供了几种方法产生最终报告。一些调查者在字处理程序内部将最终的报告分成几个子报告，用一个总结性的目录指示读者来看内容。另外一些调查者将这些报告刻录到光盘中，使用超级连接方式连接子报告和支持报告的证据文档及文件。Encase给调查者定制和组织最终报告的内容提供了很大的灵活性。