多くのフォレンジックツールでは処理結果を「ケース」という単位で特定のフォルダーにまとめて管理します。
EnCase Forensic でケースを作成するには、EnCase Forensic  起動後、ホームタブの「New Case」を押下します。

「Options」ダイアログが表示されます。以下の情報を入力し、ケースを作成します。

• 「Name」: ケース名を指定します（入力必須）。
• 「Base case folder」: ケースを保存する場所を指定します（入力必須）。
• 「Evidence cache locations」: ハッシュ値の算出やシグネチャー解析などの結果を、キャッシュとして保存する場所を指定します（入力必須）。
  「Use base case folder for primary evidence cache」: ケースの保存場所と同じ場所にキャッシュを保存するように指定します。
  「Primary / Secondary evidence cache」: 任意のキャッシュの保存場所を指定します（「Primary」は必ず指定する必要があります）。
• 「Backup settings」: ケースのバックアップの実施、及びバックアップの場所を指定します。
  「Backup every」: チェックを付けることで、ケースのバックアップが作成されます（同時に、バックアップを定期的に作成する際の間隔、バックアップとして保存される最大容量を指定します）。
  「Backup location」: バックアップの保存場所を指定します（定期的なバックアップを作成しない場合でも、保存場所は必ず指定します）。

「OK」を押下し、ケースが作成されます。

ケースが作成されると、ホームタブは下図に移ります。証拠データ追加のため、「Add Evidence」を押下します。

証拠データを追加します。

※ ここでは、デュプリケーターで取得した Windows の物理イメージファイル (拡張子 .E01) を追加する場合を例に説明するため、「Add Evidence File」を押下します。

解析対象の E01ファイルを選択します。イメージファイルが複数のファイルにセグメント分けされている場合でも、先頭の E01 イメージのみ表示されます。先頭の E01 を指定すれば自動的に連続する複数ファイルを読み込みます。

解析対象のイメージファイルを選択後、「開く」を押下します。自動的にケースにイメージファイルが追加されます。

ケースに追加された証拠データの「Name」に表示されている証拠データ名は、クリックすることが出来ます。クリックすると、証拠データ内に含まれるファイル等を表示することが出来ます。

• フォルダー（ディレクトリ）のツリー構造
• フォルダー（ディレクトリ）内のファイル一覧
• ファイルの内容