EnCase Forensic では、以下の4つのタブを基本形式として構成されています。

1. 「ツリー」ペイン : ケースに追加した証拠データのツリー構造が表示されます。
2. 「テーブル」ペイン : 「ツリー」ペインで選択したフォルダー（ディレクトリ）直下に格納されているファイルやサブフォルダー等のアイテムが表示されます。
3. 「コンテンツ」ペイン : 「テーブル」ペインで選択したファイル等のアイテムの内容が表示されます。
4. 「フィルター」ペイン : 「Condition」「Filter」といった絞り込み、バイナリ（16進数値）のデコーディング、EnScript等の機能が利用できます。

以下は、「コンテンツ」ペインにおける各タブについて説明します。

• 「Field」タブ、「Report」タブ : 「テーブル」ペインで選択したファイル、フォルダーなどのアイテムの、以下のような情報が表示されます。
  • ファイル名
  • 格納場所（フルパス）
  • 日時情報（作成日時、最終更新日時、最終アクセス日時）
  • ファイルサイズ

• 「File Extents」タブ : 「テーブル」ペインで選択したファイル、フォルダーなどのアイテムについて、以下のようなストレージにおけるデータの記録状況を表示します。
  • 「Start Sector」: 対象ファイル、フォルダーの実データの記録の開始位置となるセクター
  • 「Sectors」: 対象ファイル、フォルダーの実データの総セクター数
  • 「Start Cluster」: 対象ファイル、フォルダーの実データの記録の開始位置となるクラスター

• 「Permissions」タブ : 「テーブル」ペインで選択したファイル、フォルダーなどのアイテムの所有権やアクセス権限を表示します。

• 「Attributes」タブ : 「テーブル」ペインで選択したファイル、フォルダーなどのアイテムの以下の情報を表示します。
  • 「EFS」: （対象ファイル、フォルダーがEFS暗号化されている場合）暗号化した時のユーザーなどの情報
  • 「Sequence ID」: 対象ファイル、フォルダーにおける、NTFSファイルシステムのシーケンス番号
  • 「Link Data」: （対象ファイルがLNKファイルの場合）リンク先のファイル、ボリュームなどの情報

• 「Text」タブ : 「テーブル」ペインで選択したファイル、フォルダーなどのアイテムを、テキスト形式で表示します。

• 「Hex」タブ : 「テーブル」ペインで選択したファイル、フォルダーなどのアイテムを、テキスト及びHex（16進数値）形式で表示します。

• 「Doc」タブ : 「テーブル」ペインで選択したファイルのうち、以下のような形式のファイルについて、（Microsoft Office等の）アプリケーションを使用した場合と同様の形態で表示します。
  • Microsoft Office (Word / Excel / PowerPoint)
  • PDF

• 「Transcript」タブ : 「テーブル」ペインで選択したファイル内に含まれる文字・単語が表示されます。

• 「Picture」タブ : 「テーブル」ペインで選択したファイルのうち、画像ファイル (JPEG, GIF, PNG 等) を表示します。

メニューバーの「Case」から「Save」を押下して、ケースを保存します。

EnCase Forensic の既存ケースを開く際は、EnCase Forensic 起動後、「Recent cases」に表示される最近使用したケースを押下することで、ケースを開くことが出来ます。

「Recent cases」のリストに開きたいケースが無い場合、メニューバーの「Case」から「Open」を押下、もしくは「Case File」の「Open」をクリックしてケースを開きます。

ケースが保存された場所へ移動し、拡張子が「.Case」であるケースファイルを選択し、ケースを開きます。