本发明涉及电子数据取证领域,特别涉及一种outlook express收发痕迹的提取方法。
背景技术:
在信息化迅速发展的21世纪,计算机技术日新月异,与人们的日常生活息息相关,电子信息是数据的主要载体,众多企事业单位、国家部门、个人都大量使用电子邮件作为信息传递的手段,正确的使用电子邮件当然是好的,但是也有一些人利用电子邮件的方便、快捷、传输信息直观,准确,特别是图片信息特点,使用电子邮件传递一些违法信息,在电子取证中遇到时,没有账号密码的情况下,现有技术是无法或者不能全部获取电子邮件传递的信息的。
电子邮件在传输过程中会在应用目录下生成脱机文件,但是这个文件的存储格式并不一致,在实际情况下无发准确的提取出传输的信息,使电子取证工作陷入僵局。
技术实现要素:
本发明针对现有技术的不足,提供一种outlook express收发痕迹的提取方法,能够有效解决现有技术较难做到快速的提取磁盘中邮件痕迹信息,还有部分则很难完整、全面地提取邮件痕迹信息的问题。
为解决以上问题,本发明采用的技术方案如下:一种outlook express收发痕迹的提取方法,包括如下步骤:
101解析文件系统获取邮件客户端程序存储的原始数据文件;
102解析101中找到的邮件客户端程序存储的原始数据文件;
103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;
104根据103中的数据状态进行正常与删除邮件收发数据提取。
作为优选,所述的101邮件客户端程序存储的原始数据文件存放的目录路径为:C:\Documents and Settings\用户名\Local Settings\Application\Data\Identities\{**************}\Microsoft\Out look Express。
作为优选,102具体入步骤如下:
1021打开文件开始,跳至管理表:
其中从文件开始偏移0x24长度为4个字节的值是任务开始的位置;
其中从文件开始偏移0x28长度为4个字节的值是任务的长度;
其中从文件开始偏移0x2c长度为4个字节的值是任务的已用空间;
其中从文件开始偏移0x3c长度为4个字节的值是消息的开始位置;
其中从文件开始偏移0x40长度为4个字节的值是消息的长度;
其中从文件开始偏移0x44长度为4个字节的值是消息的使用长度;
其中从文件开始偏移0xe0长度为4个字节的值是index表的开始;
1022根据1021解析参数跳至Index表:
其中从index表开始偏移0x44长度为4个字节是index的标记,用于检验index表的正确;
其中从index表开始偏移0x54长度为4个字节的值是正常邮件信息的条数;
其中从index表开始偏移0x5c后每个长度为12个字节是每条记录的记录 单位,其中前四个字节是记录邮件痕迹数据从文件开始偏移值,此记录与正常条数一致,后面多余的即为删除数据的开始,根据此记录的值即可找到正常与删除的邮件痕迹开始message表;
1023根据1022解析参数跳至Message表:
其中在message表中有0x60个字节标记邮件痕迹信息的数据特征;
其中在message表开始偏移0x04长度为4个字节是记录本数据在文件的开始偏移位置;
其中在message表开始偏移0x0c长度为2个字节是记录本数据的长度;
Message表中开始16字节后紧跟数据属性与数据跳转位置,每条数据属性与数据跳转位置的长度是4个字节,每个数据属性与数据跳转位置处4个字节的第一个字节是标记数据属性,后面3个字节是数据跳转值,其中数据跳转位置是等于开始16字节+84标记的4个字节+90标记的4个字节+91标记的4个字节+(01*4+02*4……1c*4);
数据属性:值为0x01邮件状态标记,0x02时间,0x05原始主题,0x06内容保存时间,0x07消息ID,0x08主题,0x0c发件人服务器类型,0x0d发件人,0x0e发件人邮箱,0x12消息创建时间,0x13接收人,0x14接收邮箱,0x15接收人服务器类型,0x1b邮件注册表key标记。
作为优选,104具体方法如下:根据102中解析的参数即可按照邮件痕迹原始格式还原出正常邮件痕迹与删除邮件痕迹。
本发明的有益效果如下:采用本发明的方法可以达到以下效果:
1.快速确定outlook express邮件的的记录存储文件;
2.快速解析outlook express邮件痕迹文件数据;
3.将正常与删除历史outlook express邮件痕迹数据进行提取。
附图说明
图1为outlook express收发痕迹的提取主流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
一种outlook express收发痕迹的提取方法,包括如下步骤:
101解析文件系统获取邮件记录存储文件;
102根据101中找到的outlook express邮件痕迹文件进行解析;
103根据102确定outlook express邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;
104根据103中的数据状态进行正常与删除邮件收发数据提取;
进一步地:
快速确定outlook express邮件痕迹文件位置:
outlook邮件痕迹位置是C:\Documents and Settings\用户名\Local Settings\Application\Data\Identities\{**************}\Microsoft\Out look Express;
邮件收发痕迹的二进制文件存储是根据带有一定含义的字节按层次管理,每层都有带有含义的字节来描述相关的信息,一般邮件收发的二进制文件在开始会有管理表,管理表会记录使用空间、消息长度、只向任务与索引表,其中索引表又会记录正常邮件的位置,最后在根据指向找到邮件收发痕迹的数据,数据中也会有标记字节记录各种数据(收发件人、时间、主题等信息)的位置与长度。
这里以outlook express的收件箱解析为例;
1021打开文件开始,跳至管理表:
其中从文件开始偏移0x24长度为4个字节的值是任务开始的位置;
其中从文件开始偏移0x28长度为4个字节的值是任务的长度;
其中从文件开始偏移0x2c长度为4个字节的值是任务的已用空间;
其中从文件开始偏移0x3c长度为4个字节的值是消息的开始位置;
其中从文件开始偏移0x40长度为4个字节的值是消息的长度;
其中从文件开始偏移0x44长度为4个字节的值是消息的使用长度;
其中从文件开始偏移0xe0长度为4个字节的值是index表的开始;
1022跳至Index表:
其中从index表开始偏移0x44长度为4个字节是index的标记,用于检验index表的正确;
其中从index表开始偏移0x54长度为4个字节的值记录的是正常邮件信息条数;
其中从index表开始偏移0x5c后每个长度为12个字节是每条记录的记录单位,其中前四个字节是记录邮件痕迹数据从文件开始偏移值,此记录与正常条数一致,后面多余的即为删除数据的开始,根据此记录的值可以快速找到正常与删除的邮件痕迹开始message表;
1023跳至Message表:
其中在message表中有0x60个字节标记邮件痕迹信息的数据特征;
其中在message表开始偏移0x04长度为4个字节是记录本数据在文件的开始偏移位置;
其中在message表开始偏移0x0c长度为2个字节是记录本数据的长度;
其中在message表中开始16字节后紧跟数据属性与数据跳转位置,每条 数据属性与数据跳转位置的长度是4个字节,每个数据属性与数据跳转位置处4个字节的第一个字节是标记数据属性,后面3个字节是数据跳转值,其中数据跳转位置是等于开始16字节+84标记的四个字节+90标记的4个字节+91标记的4个字节+(01*4+02*4……1c*4);
数据属性:值为0x01邮件状态标记,0x02时间,0x05原始主题,0x06内容保存时间,0x07消息ID,0x08主题,0x0c发件人服务器类型,0x0d发件人,0x0e发件人邮箱,0x12消息创建时间,0x13接收人,0x14接收邮箱,0x15接收人服务器类型,0x1b邮件注册表key标记;
1041根据102中解析的参数即可按照邮件痕迹原始格式还原出正常邮件痕迹与删除邮件痕迹。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。