EnCase Forensic主要功能

• 支持对计算机、智能手机、移动存储介质的证据获取、取证分析及报告，采用同一个软件或相同软件操作风格。
• 支持FAT12/16/32，NTFS，exFAT，HFS，HFS+，UFS，ZFS，Ext2/3，Reiser，BSD FSS，FreeBSD FFS2，UFS2，NSS，NWFS，JFS，CDFS，Joliet，DVD，UDF，ISO 9660以及Palm等多种文件系统格式；
• 支持智能手机的分析，支持iOS、Android、黑莓、Windows Mobile等主流智能手机系统，提取手机中的各种基本信息（短信、联系人、通话记录等）及各种主流应用程序数据。
• 支持对计算机的本地磁盘或远程计算机磁盘进行证据获取，可以快速将嫌疑硬盘、文件夹或文件以及内存中的数据获取为镜像文件（Ex01、Lx01），支持采用AES工业级加密算法对证据文件进行高强度加密。
• 支持将目标计算机的磁盘或磁盘镜像文件虚拟为本地物理磁盘，并可结合动态仿真系统进行系统的仿真模拟，将目标计算机的操作系统模拟运行，以所见即所得的场景展示，用于电子犯罪现场重现、特定的案件调查（如木马动态分析、Web服务器取证、数据库取证）等应用。
• 支持RAID 0/1/5阵列重组，Windows及Linux LVM/LVM2等动态磁盘的解析；
• 支持Bitlocker、BitLocker ToGo、MacAfee SafeBoot、Checkpoint、Utimaco SafeGuard、WinMagic SecureDoc、GuardianEdge、Sophos SafeGuard、PGP等加密磁盘的实时解密，并解析文件系统（需提供密钥信息或密钥文件）。
• 支持使用高级脚本做二次开发，用户可以使用预置的脚本或自行根据需要编写脚本实现特定功能，脚本必须提供各种开发接口（类、函数、参考程序代码），同时接口编程文档必须提供。
• 内置强大的文件查看器，无需安装第三方软件（如Office, Acrboat），支持400多种文件的查看和预览，支持按时间线和日历方式进行查看；
• 内置150多种功能强大的过滤器和容器，便于快速数据筛选；支持“与”和“或”逻辑运算，对过滤器进行重新组合；
• 支持删除文件、删除分区、磁盘格式化、闲散区域数据、隐藏文件、打印缓存以及其它文件的恢复；
• 快速分析嫌疑计算机中的上网行为、聊天记录、电子邮件、文档、图片、地址薄以及其它200多种文件；
• 支持关键词实时搜索，且支持GREP语法进行高级搜索，以模糊匹配的方式对磁盘底层数据执行特定的数据信息的搜索（如手机号码、银行卡号、身份证号、电子邮件地址等）。
• 支持对逻辑文件及磁盘残留区等进行索引，实现对各类文档（Office文档, PDF,文本文件，网页）中内容的搜索。
• 支持苹果系统的取证分析，支持加载Mac OS X逻辑盘，支持应用程序进行解析。
• 灵活的报告输出功能，用户可根据自己的需要灵活制定模板；