本发明涉及电子数据取证领域,特别涉及一种基于Foxmail客户端程序的脱机文件痕迹提取的方法。
背景技术:
随着互联网技术的高速发展,人们通过互联网发送电子邮件,使得沟通交流变得更加容易、快捷。电子邮件也以其新型、快速、经济的特点已成为现代社会不可缺少的重要通信方式之一。与此同时,各种犯罪分子也开始普遍利用电子邮件从事各类违法犯罪活动,在很多计算机犯罪案件以及商业、民事纠纷中都涉及电子邮件。在电子邮件中蕴藏了丰富的各类有用信息,是进行计算机分析取证的重要内容之一,它能为案件侦破提供一些有力的线索。为提高使用效率,人们经常使用各类电子邮件客户端(如Foxmail、Outlook Express、Microsoft Office Outlook)来处理邮件。因此,分析各类邮件客户端所保存的邮件数据文件是计算机分析取证的重要手段之一。
2011年,十一届全国人大常委会第二十三次会议初次审议了《中华人民共和国民事诉讼法修正案(草案)》。新修正的草案规定,将在第六十三条证据种类中新增“电子数据”。这意味着电子邮件、QQ聊天记录、微博等电子数据都将作为一种独立证据正式成为呈堂证供。其实随着信息技术的发展,在近年出现的不少继承纠纷、名誉权纠纷、合同纠纷等民事案件中,已经有很多客观事实正是通过电子证据反映出来的,其中,电子邮件证据尤为常见。因此,作为数字取证的一个重要分支,电子邮件取证的技术应用及相关法律法规问题成为当前研究和讨论的热点。
我国司法实践中广泛地使用电子证据这一概念,其涵盖的范畴包括任何以电子形式存储、处理、传输的证据。电子邮件作为一种重要的电子证据,在不少涉及电子邮件的案件中,争议较多的往往不是针对邮件内容本身,而是否认自己是邮件的收发者、邮件的收发时间等痕迹类型的信息。
各个邮件客户端应用程序的产生的数据文件都是采用厂商自定义的存储格式,传统的数据恢复技术无法应用到该类型的数据提取与恢复。
市面上现有技术较难做到快速的提取磁盘中邮件痕迹信息,还有部分则很难完整、全面地提取邮件痕迹信息;
本发明的方法主要是针对Foxmail邮件客户端产生的数据痕迹信息进行解析从而实现数据提取。
技术实现要素:
本发明针对现有技术的不足,提供一种基于Foxmail客户端程序的脱机文件痕迹提取的方法,能够有效解决现有技术较难做到快速的提取磁盘中邮件痕迹信息,还有部分则很难完整、全面地提取邮件痕迹信息的问题。
为解决以上问题,本发明采用的技术方案如下:一种基于Foxmail客户端程序的脱机文件痕迹提取的方法,包括如下步骤:
S1定位文件位置,获取邮件客户端程序产生的原始数据,并从中抽取与邮件痕迹信息相关的数据;
S2判断S1中抽取的数据是否符合邮件客户端程序产生的数据文件格式,若符合则跳至S3,不符合跳至S4;
S3解析从邮件客户端产生的原始数据中抽取出的痕迹文件;
S4根据解析出的痕迹文件的数据,即可提取出该磁盘中邮件痕迹的所有数据和信息。
作为优选,所述的S1邮件客户端程序产生的原始数据文件存放的目录路径为:安装目录下的storage文件夹中的以邮箱地址为文件夹名称的文件夹内,在该文件夹下分门别类的存放着邮件相关的各项数据文件。
作为优选,所述的S2判断S1中抽取的数据是否符合邮件客户端应用程序产生的数据文件格式,判断的规则有如下两条:
规则一:在S1中描述的文件夹内包含mails文件夹,且在mails的目录下包含有名为index的文件;
规则二:在S1中描述的文件夹内含有box文件夹,且在box文件夹中含有后缀为.box的文件;
上述规则中若符合其中一条则跳至S3,否则跳至S4。
作为优选,S3解析从邮件客户端产生的原始数据中抽取出的痕迹文件,解析的主要信息包括邮件发送者、邮件接受者、邮件发送时间、邮件主题、邮件的状态信息。
作为优选,S4根据S3中描述的index文件结构,按照邮件类型分别读取邮件的痕迹信息,并按照对应的编码格式进行编码转换,并分别对各类型的邮件进行统计。
作为优选,S2中描述的规则一中涉及到的文件index文件为该邮件客户端程序记录所有邮件痕迹信息的存储文件,该文件的中包含了邮件客户端收发邮件的痕迹,index文件结构是文件头+邮件头*N的模式,其中N表示邮件头的总个数,index文件的文件头的特征标记为0x46584953,文件头数据长度为0x200,在相对头部起始地址偏移0x08处记录的值表示邮件头的总个数N,index文件中每个邮件头结构是相同的,且长度为0x200,针对上述表中邮件类型的区分,0x01080000表示发送的邮件,0x01200000表示垃圾邮件,0x010C0000表示草稿邮件,0x03000000表示已回复的邮件,其余的表示接收的邮件。
本发明的有益效果如下:采用本发明的方法可以快速判断磁盘数据是否包含邮件格式的数据;进一步提取出磁盘数据中有效的收发邮件的痕迹信息,包括邮件发送者、邮件接受者、邮件发送时间、邮件主题、邮件的状态等信息。
附图说明
图1为主流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
本发明提出一种针对Foxmail邮件客户端产生的数据文件进行快速解析的方法,而且提取的信息是完整全面的。
下面详细介绍Foxmail邮件客户端产生的数据文件的基本结构。为了更为方便的阐述本发明中的方法,本例使用Foxmail邮件客户端V7.2版本为例进行阐述,
本发明的恢复方法包括以下内容:
S1定位文件位置,获取邮件客户端程序产生的原始数据,并从中抽取与邮件痕迹信息相关的数据。具体地,邮件客户端程序产生的原始数据文件存放的目录路径为安装目录下的storage文件夹中的以邮箱地址为文件夹名称的文件夹内,在该文件夹下分门别类的存放着邮件相关的各项数据文件;
S2判断S1中抽取的数据是否符合邮件客户端应用程序产生的数据文件格式,判断的规则有如下两条:
规则一:在S1中描述的文件夹内包含mails文件夹,且在mails的目录下包含有名为index文件;
规则二:在S1中描述的文件夹内含有box文件夹,且在box文件夹中含有多个后缀为.box的文件;
上述规则中若符合其中一条则跳至S3,否则跳至S4;
S3解析从邮件客户端产生的原始数据中抽取出的痕迹文件,解析的主要信息包括邮件发送者、邮件接受者、邮件发送时间、邮件主题、邮件的状态的信息。在S2中描述的规则一中涉及到的文件index文件为该邮件客户端应用程序记录所有邮件痕迹信息的存储文件,该文件的中包含了邮件客户端收发邮件的痕迹,具体地,index文件结构是文件头+邮件头*N的模式,index文件的文件头的特征标记为0x46584953,文件头数据长度为0x200,在相对头部起始地址偏移0x08处记录的值表示邮件头的总个数N,index文件中每个邮件头结构是相同的,且长度为0x200,详细信息见下表;
针对上述表中邮件类型的区分,0x01080000表示发送的邮件,0x01200000表示垃圾邮件,0x010C0000表示草稿邮件,0x03000000表示已回复的邮件,其余的表示接收的邮件。
S4根据S3中描述的index文件结构,按照邮件类型分别读取邮件的痕迹信息,并按照对应的编码格式进行编码转换,并分别对各类型的邮件进行统计。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。