EnCase におけるケースの構成要素は、以下の3つになります：

• ケースファイル : “Full case path”
  • New” 及び “Base case folder” に入力もしくは指定した情報を反映しています。
• Evidence Cache : “Primary evidence cache”
  • Use base case folder for primary evidence cache” にチェックを付けると、”Full case path” で指定したパス以下に Evidence Cache の格納場所が作成されます。
• 証拠データ : “Add Evidence” の操作で追加した証拠データ

 

EnCase で新規ケース作成時に、”ケースファイル” 及び “Evidence Cache” を必ず指定する必要があります。

 

ケース作成後も、[Case] > [Options] で確認することが出来ます。

 

“ケースファイル” 、”Evidence Cache” 、”証拠データ” は、格納場所を自由に移動させることが可能ですが（ケースを開いている最中は移動できません）、移動後の取り扱いに注意が必要です（下記参照）。

ケースを開く際、ケースデータと紐づく証拠データの格納場所が異なると、以下のエラーダイアログが表示されます。

 

また、”Evidence” タブの “View: Evidene” ビューに表示される証拠データにも、”削除された” ことを示すアイコンが表示されます。

 

この状態で証拠データを読み込もうとすると、以下のダイアログが表示されます。”はい” をクリックすることで、再度紐づけする証拠データの格納場所を指定します（”いいえ” では “View: Entry” ビューに遷移することは出来ません）。

 

上記のダイアログは、EnCase のバージョンによって表示されず、証拠データ内のコンテンツが表示されないまま “View: Entry” ビューが表示されます。ケースデータに再度証拠データを紐づけるには、以下の操作を実施します：

• “Evidence” タブの “View: Evidence” ビューにおいて、再度紐づけを行う証拠データにブルーチェックを付け、”Update Paths” をクリックします。

 

• ブルーチェックを付けず “Update Paths” をクリックすると、以下のエラーダイアログが表示されます。

 

• “Update Paths” をクリックして表示される “Update Paths” ダイアログの “New Paths” のフォームに、再度紐づけする証拠データの格納場所を指定します。

 

• 紐づけが正しく行われると、証拠データ内のコンテンツが表示されるようになります。

ケースを開く際、ケースデータと紐づく Evidence Cache の格納場所が異なると、以下のエラーダイアログが表示されます。

 

Evidence Cache が正しく紐づかなくても、証拠データ内のコンテンツを “View: Entry” ビューで表示することは可能です。但し、正しく処理済みであるにもかかわらず、以下の情報が表示されなくなっています（もしくは操作できなくなっています）。

• 算出されたハッシュ値、解析されたシグネチャー情報
• [View] > [Artifacts] タブで表示される全ての情報
• インデックス検索

 

ケースデータに再度証拠データを紐づけるには、以下の操作を実施します：

• “Evidence” タブの “View: Evidence” ビューにおいて、”Change Caches” をクリックします。
  • “Update Paths” と異なり、証拠データにブルーチェックを付ける必要はありません。

 

• “Primary evidence cache” で、正しい Evidence Cache のフルパスを指定します。
  • “Primary evidence cache” がグレーアウトしてパスの変更が出来ない場合、”Use base case folder for primary evidence cache” のチェックを外します。

 

• [次へ] > [完了] の順にクリックします。

 

• 紐づけが正しく行われると、処理済みの情報が正しく表示されます（インデックス検索も実施できるようになります）。