O EnCase é um sistema integrado de análise forense baseado no ambiente Windows. Ele é muito utilizado por oficiais da lei e profissionais da segurança de computadores em todo o mundo. O processo utilizado pelo EnCase começa com a criação das imagens dos discos (disquetes, Zips, Jaz, CD-ROMs e discos rígidos) relacionados ao caso investigado. Depois da criação das imagens, chamadas de EnCase Evidence Files, pode-se adicioná-las a um único caso (case file) e conduzir a análise em todas elas simultaneamente. O ambiente Windows não é considerado apropriado por muitos profissionais da área para a prática forense, uma vez que ele rotineiramente altera os dados e escreve no disco rígido sempre que é acessado. Mas, o EnCase não opera na mídia original ou discos espelhados, ele monta os Evidence Files como discos virtuais protegidos contra escritas. Então, o EnCase (não o sistema operacional) reconstrói o sistema de arquivos contido em cada Evidence File, permitindo ao investigador visualizar, ordenar e analisar os dados, através de uma interface gráfica.