EnCase培训提升个人能力从而实现提高工作效率。学员必须掌握证据处理、证据文件结构、创建和使用案例、数据获取方法、硬件写保护、网络交叉线及盘到盘的证据获取。

一、课程简介
该课程主要为掌握计算机基本技能、电子数据取证基础及EnCase软件应用的调查人员设计。课程是基于DF120课程要求的技能，让调查员进一步学习的*功能，提升个人能力从而实现提高工作效率。学员必须掌握证据处理、证据文件结构、创建和使用案例、数据获取方法、硬件写保护、网络交叉线及盘到盘的证据获取。此外，学员还需掌握FAT文件系统的删除文件及文件夹的恢复、使用关键词对物理介质和逻辑介质进行搜索、创建和使用书签、文件签名和签名分析、搜索及解析各种Windows痕迹数据。
二、参加对象
该课程主要面向IT安全专家、法律诉讼支持专家及电子数据取证调查员。参加此课程要求学员已参加过DF120课程。
 
三、课程学习内容
恢复加密信息（如Windows BitLocker加密磁盘中加密数据的提取）
查找及恢复已删除分区
复合文件(Compound Files)的处理与分析
Windows注册表工作原理及数据分析
判断系统使用的时区，掌握在案例中正确调整时区的方法
创建及使用条件表达式(Conditions)实现高效搜索
证据处理器的配置与应用
FAT/exFAT/NTFS文件系统概述
关键词搜索技巧及GREP语法应用
逻辑证据文件及单一文件的创建与应用
识别Windows操作系统常见系统痕迹（如快捷方式文件、回收站及用户文件夹等）
回收站(Recycle Bin)的数据恢复
系统残留痕迹的恢复（如swap交换文件、文件残留区、打印机脱机文件等）
电子邮件及附件的搜索方法及技巧
上网记录及电子邮件相关痕迹的检验方法
USB移动设备的数据恢复