隨著電子數(shù)據(jù)取證技術的日益成熟��,以及越來越多的執(zhí)法人員加入企業(yè)���,從事合規(guī)調(diào)查�����、反欺詐調(diào)查����、稽核監(jiān)察等內(nèi)部調(diào)查��,該技術逐步被越來越多的國內(nèi)外知名企業(yè)所接受���,并用于企業(yè)的內(nèi)部調(diào)查。而在繁瑣的電子取證中���,郵件分析恢復工作占據(jù)了很大的比重����,如何有效、快速且精確的對郵件進行分析和處理便成為我們所關注的重點����。
在選擇所需工具之前,我們先要確認自己的實際需求及數(shù)據(jù)環(huán)境����,從而有針對性的關注郵件分析及取證產(chǎn)品。
刪除郵件的恢復
1.本地郵件刪除
對于本地客戶端內(nèi)的刪除郵件����,使用高性價比的數(shù)據(jù)恢復工具就能幫助我們完成任務,如R-Studio恢復套件�、Recover My files、Stellar的Email套件等�����。
如果遇到整體郵件客戶端�,以及郵件數(shù)據(jù)包被整體刪除的情況,就需要使用專業(yè)取證工具��,如FTK、EnCase�����、X-Ways����、BlackBag等都可以更好地恢復數(shù)據(jù)并進行解析。
2.網(wǎng)絡郵件刪除
如果用戶直接在網(wǎng)上服務器端的郵件刪除��,我們就很難在目標本地進行恢復了���。
如果我們能夠獲取服務器的訪問權限的話����,因其一般涉及數(shù)據(jù)量較大�,比較建議直接使用企業(yè)取證/數(shù)字發(fā)現(xiàn)系統(tǒng),如Quin-C或AD FTK Lab/Enterprise類分布式取證工具����。
郵件無法瀏覽或損壞
此類情況���,除了比較專業(yè)的取證工具�����,一些小工具如Aid4Mail����、Stellar郵件工具集等都可以幫助我們進行轉(zhuǎn)化。
海量郵件篩查和串聯(lián)分析
郵件密碼恢復
在處理分析中��,郵件密碼經(jīng)常會被我們忽略����,但是其重要性不可忽視。大體而言���,郵件密碼恢復主要有兩種:
1.郵件客戶端密碼恢復
微軟Mail����、FoxMail等��,其軟件會自動記錄郵箱的登錄密碼��。使用如Elcomsoft����、Passware郵件系統(tǒng)解密組件��,可以幫助我們恢復客戶端的密碼��。
2.網(wǎng)頁郵件登錄密碼恢復
恢復此類密碼�����,首先需要我們分析登錄帳戶的瀏覽器�����,在密碼默認保存的情況下��,可以通過較高級的取證工具進行恢復����,如FTK��、EnCase等����。
同時若能夠獲取已經(jīng)登錄郵箱的設備(開機狀態(tài)),我們也可以通過對電腦的實時內(nèi)存進行獲取并分析���,如BlackLight�����、FTK�����、EnCase都有類似功能��。
