技術(shù)特征:1.一種outlook express收發(fā)痕跡的提取方法�����,其特征在于,包括如下步驟:
101解析文件系統(tǒng)獲取郵件客戶端程序存儲(chǔ)的原始數(shù)據(jù)文件�����;
102解析101中找到的郵件客戶端程序存儲(chǔ)的原始數(shù)據(jù)文件���;
103根據(jù)102確定郵件痕跡記錄的正常收發(fā)痕跡和刪除歷史收發(fā)痕跡記錄數(shù)據(jù)�;
104根據(jù)103中的數(shù)據(jù)狀態(tài)進(jìn)行正常與刪除郵件收發(fā)數(shù)據(jù)提取�。
2.根據(jù)權(quán)利要求1所述的一種outlook express收發(fā)痕跡的提取方法�,其特征在于,所述的101郵件客戶端程序存儲(chǔ)的原始數(shù)據(jù)文件存放的目錄路徑為:
C:\Documents and Settings\用戶名\Local Settings\Application\Data\Identities\{**************}\Microsoft\Outl ook Express���。
3.根據(jù)權(quán)利要求1或2所述的脫機(jī)郵件收發(fā)痕跡的提取方法�����,其特征在于,
102具體入步驟如下:
1021打開文件開始���,跳至管理表:
其中從文件開始偏移0x24長(zhǎng)度為4個(gè)字節(jié)的值是任務(wù)開始的位置;
其中從文件開始偏移0x28長(zhǎng)度為4個(gè)字節(jié)的值是任務(wù)的長(zhǎng)度�;
其中從文件開始偏移0x2c長(zhǎng)度為4個(gè)字節(jié)的值是任務(wù)的已用空間;
其中從文件開始偏移0x3c長(zhǎng)度為4個(gè)字節(jié)的值是消息的開始位置�����;
其中從文件開始偏移0x40長(zhǎng)度為4個(gè)字節(jié)的值是消息的長(zhǎng)度��;
其中從文件開始偏移0x44長(zhǎng)度為4個(gè)字節(jié)的值是消息的使用長(zhǎng)度�����;
其中從文件開始偏移0xe0長(zhǎng)度為4個(gè)字節(jié)的值是index表的開始���;
1022根據(jù)1021解析參數(shù)跳至Index表:
其中從index表開始偏移0x44長(zhǎng)度為4個(gè)字節(jié)是index的標(biāo)記,用于檢驗(yàn) index表的正確;
其中從index表開始偏移0x54長(zhǎng)度為4個(gè)字節(jié)的值是正常郵件信息的條數(shù)����;
其中從index表開始偏移0x5c后每個(gè)長(zhǎng)度為12個(gè)字節(jié)是每條記錄的記錄單位,其中前四個(gè)字節(jié)是記錄郵件痕跡數(shù)據(jù)從文件開始偏移值��,此記錄與正常條數(shù)一致��,后面多余的即為刪除數(shù)據(jù)的開始����,根據(jù)此記錄的值即可找到正常與刪除的郵件痕跡開始message表;
1023根據(jù)1022解析參數(shù)跳至Message表:
其中在message表中有0x60個(gè)字節(jié)標(biāo)記郵件痕跡信息的數(shù)據(jù)特征��;
其中在message表開始偏移0x04長(zhǎng)度為4個(gè)字節(jié)是記錄本數(shù)據(jù)在文件的開始偏移位置�;
其中在message表開始偏移0x0c長(zhǎng)度為2個(gè)字節(jié)是記錄本數(shù)據(jù)的長(zhǎng)度;
Message表中開始16字節(jié)后緊跟數(shù)據(jù)屬性與數(shù)據(jù)跳轉(zhuǎn)位置�����,每條數(shù)據(jù)屬性與數(shù)據(jù)跳轉(zhuǎn)位置的長(zhǎng)度是4個(gè)字節(jié)�����,每個(gè)數(shù)據(jù)屬性與數(shù)據(jù)跳轉(zhuǎn)位置處4個(gè)字節(jié)的第一個(gè)字節(jié)是標(biāo)記數(shù)據(jù)屬性����,后面3個(gè)字節(jié)是數(shù)據(jù)跳轉(zhuǎn)值����,其中數(shù)據(jù)跳轉(zhuǎn)位置是等于開始16字節(jié)+84標(biāo)記的4個(gè)字節(jié)+90標(biāo)記的4個(gè)字節(jié)+91標(biāo)記的4個(gè)字節(jié)+(01*4+02*4……1c*4)���;
數(shù)據(jù)屬性:值為0x01郵件狀態(tài)標(biāo)記���,0x02時(shí)間,0x05原始主題�,0x06內(nèi)容保存時(shí)間,0x07消息ID��,0x08主題�����,0x0c發(fā)件人服務(wù)器類型�,0x0d發(fā)件人��,0x0e發(fā)件人郵箱�,0x12消息創(chuàng)建時(shí)間,0x13接收人����,0x14接收郵箱�����,0x15接收人服務(wù)器類型�����,0x1b郵件注冊(cè)表key標(biāo)記���。
4.根據(jù)權(quán)利要求1或2所述的脫機(jī)郵件收發(fā)痕跡的提取方法,其特征在于,104具體方法如下:根據(jù)102中解析的參數(shù)即可按照郵件痕跡原始格式還原出正常郵件痕跡與刪除郵件痕跡��。