一种脱机邮件收发痕迹的提取方法技术

技术编号:15652571 阅读:166 留言:0更新日期:2017-06-17 06:10
本发明专利技术公开了一种脱机邮件收发痕迹的提取方法,属于电子数据取证领域,包括以下步骤:101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;102解析101中找到的邮件客户端程序存储的原始数据文件;103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;104根据103中的数据状态进行正常与删除邮件收发数据提取。采用本发明专利技术的方法可以达到以下效果:1.可以快速确定邮件的记录存储文件;2.可以快速解析邮件痕迹文件数据;3.可以将正常与删除历史邮件痕迹数据进行提取。

【技术实现步骤摘要】
一种脱机邮件收发痕迹的提取方法
本专利技术涉及电子数据取证领域,特别涉及一种脱机邮件收发痕迹的提取方法。
技术介绍
在信息化迅速发展的21世纪,计算机技术日新月异,与人们的日常生活息息相关,电子信息是数据的主要载体,众多企事业单位、国家部门、个人都大量使用电子邮件作为信息传递的手段,正确的使用电子邮件当然是好的,但是也有一些人利用电子邮件的方便、快捷、传输信息直观,准确,特别是图片信息特点,使用电子邮件传递一些违法信息,在电子取证中遇到时,没有账号密码的情况下,现有技术是无法或者不能全部获取电子邮件传递的信息的。电子邮件在传输过程中会在应用目录下生成脱机文件,但是这个文件的存储格式并不一致,在实际情况下无发准确的提取出传输的信息,使电子取证工作陷入僵局。
技术实现思路
本专利技术针对现有技术的不足,提供一种脱机邮件收发痕迹的提取方法,能够有效解决现有技术较难做到快速的提取磁盘中邮件痕迹信息,还有部分则很难完整、全面地提取邮件痕迹信息的问题。为解决以上问题,本专利技术采用的技术方案如下:一种脱机邮件收发痕迹的提取方法,包括如下步骤:101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;102解析101中找到的邮件客户端程序存储的原始数据文件;103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;104根据103中的数据状态进行正常与删除邮件收发数据提取;105解析101中找到的邮件客户端程序存储的原始数据文件;106根据105确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;107根据106中的数据状态进行正常与删除邮件收发数据提取。作为优选,所述102具体方法如下:1021解析管理表,其中记录了任务开始的位置、任务的长度、已用空间、消息的开始位置、消息的长度、消息的使用长度和Index表的开始位置;1022解析Index表,其中记录了用于检验Index表是否的正确信息、正常邮件信息条数和每条记录的记录单位;其中,记录单位中前四个字节是记录邮件痕迹数据从文件开始偏移值,此记录与正常条数一致,后面多余的即为删除数据的开始位置,根据此记录的值即可找到正常与删除的邮件痕迹开始位置的Message表;1023解析Message表,其中在Message表中标记了邮件痕迹信息的数据特征、本数据在文件的开始偏移位置和本数据的长度。作为优选,所述104的具体方法如下:104根据邮件历史记录排列顺序对二进制文件中的数据进行组合分类,进行正常数据与删除数据的提取。作为优选,所述107的具体方法如下:107根据邮件历史记录排列顺序对sqlite数据库文件中的数据进行组合分类,进行正常数据与删除数据的提取。采用本专利技术的方法可以达到以下效果:1.可以快速确定邮件的的记录存储文件;2.可以快速解析邮件痕迹文件数据;3.可以将正常与删除历史邮件痕迹数据进行提取。附图说明图1为脱机邮件收发痕迹的提取主流程示意图。具体实施方式为使本专利技术的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本专利技术做进一步详细说明。一种脱机邮件收发痕迹的提取方法,包括如下步骤:101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;102解析101中找到的邮件客户端程序存储的原始数据文件;103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;104根据103中的数据状态进行正常与删除邮件收发数据提取;105解析101中找到的邮件客户端程序存储的原始数据文件;106根据105确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;107根据106中的数据状态进行正常与删除邮件收发数据提取。进一步地,邮件收发痕迹的二进制文件存储是根据带有一定含义的字节按层次依次管理,每层都有带有含义的字节来描述相关的信息,一般邮件收发的二进制文件在开始会有管理表,管理表会记录使用空间、消息长度、任务与索引表,其中索引表又会记录正常邮件的位置,最后在根据指向找到邮件收发痕迹的数据,数据中也会有标记字节记录各种数据(收发件人、时间、主题等信息)的位置与长度。下面以outlookexpress为例,在outlookexpress二进制文件中包含很多参数,所述102具体方法如下:1021解析管理表,其中记录了任务开始的位置、任务的长度、已用空间、消息的开始位置、消息的长度、消息的使用长度和Index表的开始位置;1022解析Index表,其中记录了用于检验Index表是否正确发信息、正常邮件信息条数和每条记录的记录单位;其中,记录单位中前四个字节是记录邮件痕迹数据从文件开始偏移值,此记录与正常条数一致,后面多余的即为删除数据的开始位置,根据此记录的值即可找到正常与删除的邮件痕迹开始位置的Message表;1023解析Message表,其中在Message表中标记了邮件痕迹信息的数据特征、本数据在文件的开始偏移位置和本数据的长度。进一步地,所述104的具体方法如下:根据邮件历史记录排列顺序对二进制文件中的数据进行组合分类,进行正常数据与删除数据的提取。在Message表中有表记邮件痕迹信息的数据特征;有记录本数据在文件的开始偏移位置;有记录本数据的长度;Message表中开始一定字节数后紧跟数据属性与数据跳转位置,每条数据属性与数据跳转位置的长度。其中有固定值表明消息的含义,如:数据属性为;值为0x01邮件状态标记,0x02时间,0x05原始主题,0x06内容保存时间,0x07消息ID,0x08主题,0x0c发件人服务器类型,0x0d发件人,0x0e发件人邮箱,0x12消息创建时间,0x13接收人,0x14接收邮箱,0x15接收人服务器类型,0x1b邮件注册表key标记。进一步地,所述107的具体方法如下:107根据邮件历史记录排列顺序对sqlite数据库文件中的数据进行组合分类,进行正常数据与删除数据的提取。进一步地:sqlite文件历史记录提取:1051邮件的收发文件是sqlite文件,其中正常数据可以直接使用sqlite浏览器直接查看;1052针对删除的历史记录可以运用sqlite底层分析获取;1053sqlite数据库文件结构,数据库的每一个表都是由多个B-Tree页组成。如果删除数据所在的页存在其他未删除数据,则删除数据区域只会变成一个FreeBlock块,其中的数据并没有真正删除,并且数据库文件大小不变。B-Tree页的树形结构,其中,根页和内部页主要用于导航,目的是找到存储于叶子页中的数据记录,其中包括已删除的数据;1054重点分析提取出来的网页浏览记录的SQLite数据库(数据库名为:history)通过SQLite数据库查看工具,进行如下的操作:(1)查找数据库文件头确定数据库文件中页的大小。分析该数据库文件头,可以知道B_Tree页的大小为0X1000;(2)从SQLite_Matter表的rootpage字段找到表的根页,根页的起始地址=页的大小*(根页-1)。本例中存放浏览器的历史记录的数据表为urls;(3本文档来自技高网...
一种脱机邮件收发痕迹的提取方法

【技术保护点】
一种脱机邮件收发痕迹的提取方法,其特征在于,包括如下步骤:101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;102解析101中找到的邮件客户端程序存储的原始数据文件;103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;104根据103中的数据状态进行正常与删除邮件收发数据提取;105解析101中找到的邮件客户端程序存储的原始数据文件;106根据105确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;107根据106中的数据状态进行正常与删除邮件收发数据提取。

【技术特征摘要】
1.一种脱机邮件收发痕迹的提取方法,其特征在于,包括如下步骤:101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;102解析101中找到的邮件客户端程序存储的原始数据文件;103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;104根据103中的数据状态进行正常与删除邮件收发数据提取;105解析101中找到的邮件客户端程序存储的原始数据文件;106根据105确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;107根据106中的数据状态进行正常与删除邮件收发数据提取。2.根据权利要求1所述的脱机邮件收发痕迹的提取方法,其特征在于,所述102具体方法如下:1021解析管理表,其中记录了任务开始的位置、任务的长度、已用空间、消息的开始位置、消息的长度、消息的使用长度和Index表的开...

【专利技术属性】
技术研发人员:梁效宁许超明赵飞
申请(专利权)人:四川效率源信息安全技术股份有限公司
类型:发明
国别省市:四川,51

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1