本發(fā)明涉及電子數(shù)據(jù)取證領(lǐng)域,特別涉及一種outlook express收發(fā)痕跡的提取方法��。
背景技術(shù):
在信息化迅速發(fā)展的21世紀(jì)����,計算機(jī)技術(shù)日新月異,與人們的日常生活息息相關(guān)����,電子信息是數(shù)據(jù)的主要載體,眾多企事業(yè)單位�����、國家部門����、個人都大量使用電子郵件作為信息傳遞的手段,正確的使用電子郵件當(dāng)然是好的����,但是也有一些人利用電子郵件的方便、快捷��、傳輸信息直觀����,準(zhǔn)確,特別是圖片信息特點����,使用電子郵件傳遞一些違法信息,在電子取證中遇到時�,沒有賬號密碼的情況下,現(xiàn)有技術(shù)是無法或者不能全部獲取電子郵件傳遞的信息的����。
電子郵件在傳輸過程中會在應(yīng)用目錄下生成脫機(jī)文件,但是這個文件的存儲格式并不一致�,在實際情況下無發(fā)準(zhǔn)確的提取出傳輸?shù)男畔ⅲ闺娮尤∽C工作陷入僵局���。
技術(shù)實現(xiàn)要素:
本發(fā)明針對現(xiàn)有技術(shù)的不足�,提供一種outlook express收發(fā)痕跡的提取方法,能夠有效解決現(xiàn)有技術(shù)較難做到快速的提取磁盤中郵件痕跡信息���,還有部分則很難完整��、全面地提取郵件痕跡信息的問題�����。
為解決以上問題��,本發(fā)明采用的技術(shù)方案如下:一種outlook express收發(fā)痕跡的提取方法���,包括如下步驟:
101解析文件系統(tǒng)獲取郵件客戶端程序存儲的原始數(shù)據(jù)文件;
102解析101中找到的郵件客戶端程序存儲的原始數(shù)據(jù)文件�����;
103根據(jù)102確定郵件痕跡記錄的正常收發(fā)痕跡和刪除歷史收發(fā)痕跡記錄數(shù)據(jù)����;
104根據(jù)103中的數(shù)據(jù)狀態(tài)進(jìn)行正常與刪除郵件收發(fā)數(shù)據(jù)提取。
作為優(yōu)選,所述的101郵件客戶端程序存儲的原始數(shù)據(jù)文件存放的目錄路徑為:C:\Documents and Settings\用戶名\Local Settings\Application\Data\Identities\{**************}\Microsoft\Out look Express。
作為優(yōu)選,102具體入步驟如下:
1021打開文件開始�����,跳至管理表:
其中從文件開始偏移0x24長度為4個字節(jié)的值是任務(wù)開始的位置��;
其中從文件開始偏移0x28長度為4個字節(jié)的值是任務(wù)的長度���;
其中從文件開始偏移0x2c長度為4個字節(jié)的值是任務(wù)的已用空間;
其中從文件開始偏移0x3c長度為4個字節(jié)的值是消息的開始位置��;
其中從文件開始偏移0x40長度為4個字節(jié)的值是消息的長度�����;
其中從文件開始偏移0x44長度為4個字節(jié)的值是消息的使用長度����;
其中從文件開始偏移0xe0長度為4個字節(jié)的值是index表的開始;
1022根據(jù)1021解析參數(shù)跳至Index表:
其中從index表開始偏移0x44長度為4個字節(jié)是index的標(biāo)記�����,用于檢驗index表的正確����;
其中從index表開始偏移0x54長度為4個字節(jié)的值是正常郵件信息的條數(shù)�����;
其中從index表開始偏移0x5c后每個長度為12個字節(jié)是每條記錄的記錄 單位�,其中前四個字節(jié)是記錄郵件痕跡數(shù)據(jù)從文件開始偏移值�,此記錄與正常條數(shù)一致,后面多余的即為刪除數(shù)據(jù)的開始��,根據(jù)此記錄的值即可找到正常與刪除的郵件痕跡開始message表��;
1023根據(jù)1022解析參數(shù)跳至Message表:
其中在message表中有0x60個字節(jié)標(biāo)記郵件痕跡信息的數(shù)據(jù)特征����;
其中在message表開始偏移0x04長度為4個字節(jié)是記錄本數(shù)據(jù)在文件的開始偏移位置;
其中在message表開始偏移0x0c長度為2個字節(jié)是記錄本數(shù)據(jù)的長度�����;
Message表中開始16字節(jié)后緊跟數(shù)據(jù)屬性與數(shù)據(jù)跳轉(zhuǎn)位置�,每條數(shù)據(jù)屬性與數(shù)據(jù)跳轉(zhuǎn)位置的長度是4個字節(jié),每個數(shù)據(jù)屬性與數(shù)據(jù)跳轉(zhuǎn)位置處4個字節(jié)的第一個字節(jié)是標(biāo)記數(shù)據(jù)屬性�,后面3個字節(jié)是數(shù)據(jù)跳轉(zhuǎn)值,其中數(shù)據(jù)跳轉(zhuǎn)位置是等于開始16字節(jié)+84標(biāo)記的4個字節(jié)+90標(biāo)記的4個字節(jié)+91標(biāo)記的4個字節(jié)+(01*4+02*4……1c*4)�;
數(shù)據(jù)屬性:值為0x01郵件狀態(tài)標(biāo)記,0x02時間,0x05原始主題�����,0x06內(nèi)容保存時間�,0x07消息ID,0x08主題��,0x0c發(fā)件人服務(wù)器類型����,0x0d發(fā)件人�,0x0e發(fā)件人郵箱,0x12消息創(chuàng)建時間�����,0x13接收人��,0x14接收郵箱��,0x15接收人服務(wù)器類型���,0x1b郵件注冊表key標(biāo)記�����。
作為優(yōu)選���,104具體方法如下:根據(jù)102中解析的參數(shù)即可按照郵件痕跡原始格式還原出正常郵件痕跡與刪除郵件痕跡�。
本發(fā)明的有益效果如下:采用本發(fā)明的方法可以達(dá)到以下效果:
1.快速確定outlook express郵件的的記錄存儲文件�;
2.快速解析outlook express郵件痕跡文件數(shù)據(jù);
3.將正常與刪除歷史outlook express郵件痕跡數(shù)據(jù)進(jìn)行提取���。
附圖說明
圖1為outlook express收發(fā)痕跡的提取主流程示意圖�����。
具體實施方式
為使本發(fā)明的目的�、技術(shù)方案及優(yōu)點更加清楚明白��,以下參照附圖并舉實施例����,對本發(fā)明做進(jìn)一步詳細(xì)說明。
一種outlook express收發(fā)痕跡的提取方法����,包括如下步驟:
101解析文件系統(tǒng)獲取郵件記錄存儲文件���;
102根據(jù)101中找到的outlook express郵件痕跡文件進(jìn)行解析;
103根據(jù)102確定outlook express郵件痕跡記錄的正常收發(fā)痕跡和刪除歷史收發(fā)痕跡記錄數(shù)據(jù)����;
104根據(jù)103中的數(shù)據(jù)狀態(tài)進(jìn)行正常與刪除郵件收發(fā)數(shù)據(jù)提取�����;
進(jìn)一步地:
快速確定outlook express郵件痕跡文件位置:
outlook郵件痕跡位置是C:\Documents and Settings\用戶名\Local Settings\Application\Data\Identities\{**************}\Microsoft\Out look Express����;
郵件收發(fā)痕跡的二進(jìn)制文件存儲是根據(jù)帶有一定含義的字節(jié)按層次管理,每層都有帶有含義的字節(jié)來描述相關(guān)的信息�,一般郵件收發(fā)的二進(jìn)制文件在開始會有管理表�����,管理表會記錄使用空間����、消息長度、只向任務(wù)與索引表����,其中索引表又會記錄正常郵件的位置�,最后在根據(jù)指向找到郵件收發(fā)痕跡的數(shù)據(jù)��,數(shù)據(jù)中也會有標(biāo)記字節(jié)記錄各種數(shù)據(jù)(收發(fā)件人���、時間����、主題等信息)的位置與長度����。
這里以outlook express的收件箱解析為例;
1021打開文件開始�,跳至管理表:
其中從文件開始偏移0x24長度為4個字節(jié)的值是任務(wù)開始的位置;
其中從文件開始偏移0x28長度為4個字節(jié)的值是任務(wù)的長度��;
其中從文件開始偏移0x2c長度為4個字節(jié)的值是任務(wù)的已用空間�����;
其中從文件開始偏移0x3c長度為4個字節(jié)的值是消息的開始位置���;
其中從文件開始偏移0x40長度為4個字節(jié)的值是消息的長度����;
其中從文件開始偏移0x44長度為4個字節(jié)的值是消息的使用長度;
其中從文件開始偏移0xe0長度為4個字節(jié)的值是index表的開始�;
1022跳至Index表:
其中從index表開始偏移0x44長度為4個字節(jié)是index的標(biāo)記,用于檢驗index表的正確���;
其中從index表開始偏移0x54長度為4個字節(jié)的值記錄的是正常郵件信息條數(shù)�����;
其中從index表開始偏移0x5c后每個長度為12個字節(jié)是每條記錄的記錄單位���,其中前四個字節(jié)是記錄郵件痕跡數(shù)據(jù)從文件開始偏移值,此記錄與正常條數(shù)一致�,后面多余的即為刪除數(shù)據(jù)的開始,根據(jù)此記錄的值可以快速找到正常與刪除的郵件痕跡開始message表���;
1023跳至Message表:
其中在message表中有0x60個字節(jié)標(biāo)記郵件痕跡信息的數(shù)據(jù)特征;
其中在message表開始偏移0x04長度為4個字節(jié)是記錄本數(shù)據(jù)在文件的開始偏移位置�����;
其中在message表開始偏移0x0c長度為2個字節(jié)是記錄本數(shù)據(jù)的長度�;
其中在message表中開始16字節(jié)后緊跟數(shù)據(jù)屬性與數(shù)據(jù)跳轉(zhuǎn)位置�,每條 數(shù)據(jù)屬性與數(shù)據(jù)跳轉(zhuǎn)位置的長度是4個字節(jié)�����,每個數(shù)據(jù)屬性與數(shù)據(jù)跳轉(zhuǎn)位置處4個字節(jié)的第一個字節(jié)是標(biāo)記數(shù)據(jù)屬性��,后面3個字節(jié)是數(shù)據(jù)跳轉(zhuǎn)值�����,其中數(shù)據(jù)跳轉(zhuǎn)位置是等于開始16字節(jié)+84標(biāo)記的四個字節(jié)+90標(biāo)記的4個字節(jié)+91標(biāo)記的4個字節(jié)+(01*4+02*4……1c*4)�;
數(shù)據(jù)屬性:值為0x01郵件狀態(tài)標(biāo)記,0x02時間�����,0x05原始主題���,0x06內(nèi)容保存時間�����,0x07消息ID����,0x08主題,0x0c發(fā)件人服務(wù)器類型���,0x0d發(fā)件人����,0x0e發(fā)件人郵箱����,0x12消息創(chuàng)建時間,0x13接收人�����,0x14接收郵箱�,0x15接收人服務(wù)器類型,0x1b郵件注冊表key標(biāo)記�����;
1041根據(jù)102中解析的參數(shù)即可按照郵件痕跡原始格式還原出正常郵件痕跡與刪除郵件痕跡����。
本領(lǐng)域的普通技術(shù)人員將會意識到�����,這里所述的實施例是為了幫助讀者理解本發(fā)明的實施方法,應(yīng)被理解為本發(fā)明的保護(hù)范圍并不局限于這樣的特別陳述和實施例����。本領(lǐng)域的普通技術(shù)人員可以根據(jù)本發(fā)明公開的這些技術(shù)啟示做出各種不脫離本發(fā)明實質(zhì)的其它各種具體變形和組合,這些變形和組合仍然在本發(fā)明的保護(hù)范圍內(nèi)�����。