CN103139043A - 一种电子邮件真实性判断方法 - Google Patents
一种电子邮件真实性判断方法 Download PDFInfo
- Publication number
- CN103139043A CN103139043A CN2011103801722A CN201110380172A CN103139043A CN 103139043 A CN103139043 A CN 103139043A CN 2011103801722 A CN2011103801722 A CN 2011103801722A CN 201110380172 A CN201110380172 A CN 201110380172A CN 103139043 A CN103139043 A CN 103139043A
- Authority
- CN
- China
- Prior art keywords
- information
- file
- envelope mail
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Landscapes
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种电子邮件真伪检测方法,其中,包括如下步骤:步骤a、于待检测的数据储存介质上定位数据文件,提取文件系统存储该文件的元数据信息,对比元数据信息与正常文件的元数据信息,并记录异常;步骤b、解析数据文件,提取每封邮件的存储位置信息,根据邮件客户端的特性对比每封邮件的存储位置信息与正常邮件的存储位置信息,并记录异常;步骤c、根据电子邮件标准格式解析单封邮件,呈现解析内容,检查邮件格式,对比邮件格式与电子邮件标准格式之间的差异,并记录异常。本发明的有益效果是:能够从系统的多个层面提取与邮件取证相关的细节痕迹;能够汇总已提取的邮件相关信息以供分析。
Description
技术领域
本发明涉及的是一种电子邮件分析方法,尤其是一种电子邮件真实性判断方法。
背景技术
随着社会的进步和现代电子信息技术的飞速发展,互联网络已逐步深入到人们日常工作和生活的各个方面,正发挥着越来越重要的作用。电子邮件作为一种利用电子手段提供信息交换的通信方式,是互联网络中应用最广的服务之一,它允许人们以非常快速的方式,与世界上任何一个角落的网络用户联系,其内容可以是文字、图像、声音等各种形式。电子邮件的便捷高效、费用低廉使之成为企业和个人广泛采用的通信方式,已广泛应用在商业贸易、电子政务、远程教育以及人们的日常生活之中。
伴随着电子邮件的广泛应用,大量问题也随之产生。在刑事案件和民事纠纷中,经常遇到与电子邮件相关的一系列问题,如提取电子邮件的有效信息、恢复被删除的电子邮件、判断电子邮件的来源、判断电子邮件是否被篡改等等。这些问题对电子数据鉴定技术提出了新的要求。
发明内容
针对电子邮件所存在的上述问题,本发明提供一种电子邮件真实性判断方法。
本发明解决技术问题所采用的技术手段为:
一种电子邮件真实性判断方法,其中,包括如下步骤:
步骤a、于待检测的数据储存介质上定位数据文件,提取文件系统存储该文件的元数据信息,对比元数据信息与正常文件的元数据信息,并记录异常;
步骤b、解析数据文件,提取每封邮件的存储位置信息,根据邮件客户端的特性对比每封邮件的存储位置信息与正常邮件的存储位置信息,并记录异常;
步骤c、根据电子邮件标准格式解析单封邮件,呈现解析内容,检查邮件格式,对比邮件格式与电子邮件标准格式之间的差异,并记录异常;
步骤d、通过路由信息检查步骤c得到的单封邮件的来源信息,比较所述单封邮件中路由信息的一致性,并记录异常;
步骤e、检查步骤c得到的单封邮件的时间信息,比较所述单封邮件中时间信息的一致性,并记录异常;
步骤f、汇总所有异常情况,形成检测报告。
上述电子邮件真实性判断方法,其中,所述步骤a中的所述待检测的数据储存介质为NTFS格式或者FAT32格式的磁盘。
上述电子邮件真实性判断方法,其中,所述步骤a中的元数据信息包括文件名、创建时间、修改时间、主文件表记录的修改时间、最后访问时间、文件长度和文件在磁盘上的簇分布情况。
上述电子邮件真实性判断方法,其中,所述步骤b中每封邮件的存储位置信息包括每封邮件在数据文件中的存储布局、分段数、段起始偏移量、长度以及每封邮件在数据文件中的存储顺序与每封邮件的接收时间之间的关系。
上述电子邮件真实性判断方法,其中,所述步骤c中的所述电子邮件标准为RFC822标准。
上述电子邮件真实性判断方法,其中,所述步骤d中的路由信息包括各Received域中邮件转发代理的主机名称、IP地址、地理位置以及Received时间。
本发明的有益效果是:
能够从系统的多个层面提取与邮件取证相关的细节痕迹;能够汇总已提取的邮件相关信息以供分析。
附图说明
图1是本发明一种电子邮件真实性判断方法的流程图。
具体实施方式
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
如图1所示,本发明一种电子邮件真实性判断方法,其中,包括如下步骤:
步骤a、于待检测的数据储存介质上定位数据文件,提取文件系统存储该文件的元数据信息,对比元数据信息与正常文件的元数据信息,并记录异常。待检测的数据储存介质可以是NTFS格式或者FAT32格式的磁盘,如果事先未知数据文件、邮件附件的位置,则首先搜索NTFS分区的主文件表或者FAT32分区的文件描述符表,根据文件名、时间戳等信息,发现数据文件在磁盘上的路径和所在簇。如果文件已经删除,则尝试恢复出已删除文件。文件系统存储该文件的元数据信息包括文件名、创建时间、修改时间、主文件表记录的修改时间(NTFS分区)、最后访问时间、文件长度、文件在磁盘上的簇分布情况等。搜索和恢复文件,均以只读方式由底层API直接访问磁盘数据。
如果数据文件在NTFS分区,检查改变日志(Change Journal)记录的更新序列号是否按照时间顺序递增;如果一条记录的更新序列号增加而时间倒退,则文件系统时间在这一时间点被篡改,在这一时间点以后的文件系统时间戳不再真实。
步骤b、解析数据文件,提取每封邮件的存储位置信息,根据邮件客户端的特性对比每封邮件的存储位置信息与正常邮件的存储位置信息,并记录异常。对步骤a得到的包含多封邮件的数据文件,按照客户端存放邮件的预定格式,从中解析出单封邮件。解析时,记录每封邮件在文件中的存储布局,包括分段数、段起始偏移量、长度等。对于特定的客户端,各封邮件在数据文件中的存储布局与收/发件的时间先后相关,可辅助判断邮件的真实性。例如Foxmail的in.INDX文件记录了每封邮件到达本地的时间,而in.BOX文件按照邮件收到本地的时间先后顺序存放邮件,所以如果in.INDX显示某封邮件到达本地的时间早于其他邮件,而在in.BOX中的位置却在其他邮件之后,则该邮件可能被伪造。在解析数据文件的过程中,如果发现文件结构不符合预定格式,则该文件可能已经篡改。
步骤c、根据电子邮件标准格式解析单封邮件,呈现解析内容,检查邮件格式,对比邮件格式与电子邮件标准格式之间的差异,并记录异常。对所述步骤b解析出的邮件,按照电子邮件格式标准RFC822标准解析邮件的头部、正文、附件等部分。如果邮件正文有纯文本形式的副本,则显示副本,以便与原邮件内容对比是否一致;如果存在附件,则显示附件,以便将其另存。如果Message ID和boundary字段含有时间戳形式的字符串,则还原成时间,例如将十进制Unix Time “1315469579”或者十六进制File Time“01CC6DFF.1EEF7780”转换成格林尼治标准时间“2011年9月8日星期四08:12:59”。如果在解析过程邮件中发现不符合标准格式的字段,则该邮件可能被伪造。
步骤d、通过路由信息检查步骤c得到的单封邮件的来源信息,比较所述单封邮件中路由信息的一致性,并记录异常。对步骤c得到的单封邮件,显示邮件经过的路由历史,包括各Received域中邮件转发代理(Mail Transfer Agent,MTA)的主机名称、IP地址、地理位置、Received时间等。特别地,具有相同收发地址、使用相同客户端产生的多封往来邮件,所经过的MTA在主机名称、IP地址、相邻Received时间间隔方面应该保持一致(当一个站点设置多个MTA用于负载均衡时,则这些MTA应属于相同或相邻的IP地址段)。如果一封邮件的路由信息与其他往来邮件的路由信息不一致,则该邮件可能被伪造。
步骤e、检查步骤c得到的单封邮件的时间信息,比较所述单封邮件中时间信息的一致性,并记录异常。对步骤c得到的单封邮件,整理相关的时间信息。这些时间信息包括:步骤a中提取的数据文件、邮件附件的文件系统时间;所述第四步中提取的Date字段、各Received字段、Message ID和boundary字段的时间;如果附件是Office文档,则提取文档元数据中记录的创建、保存时间。综合上述信息,将一封邮件从附件的创建和编辑、正文的编辑完成、在网络中经过多个MTA、到达本地、正文在本地被查看、附件在本地被查看和修改等一系列事件映射到相应的时间点。正常情况下,这些事件应该依次发生,满足一定的时间顺序。如果不满足这种时间顺序,则该邮件可能被伪造。
步骤f、汇总所有异常情况,形成检测报告。报告包括上述每一步检查的项目、结论、错误的严重程度、可能的解释、进一步取证操作的建议等。此外,操作的顺序也被记录下来,以供再现和回溯取证操作。
本发明针对本地计算机电子邮件的来源和真实性鉴定问题,在邮件本身、客户端软件、文件系统等多个层面上提取并组织与电子邮件取证相关的信息以供分析;检查不同层面上的信息是否满足基本的逻辑关系;将分析过程汇总成报告,说明发现的异常,建议后续措施。本发明提供的方法快速有效地发现、观察、分析邮件,提高取证效率。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的申请专利范围,所以凡运用本发明说明书及图示内容所作出的等效结构变化,均包含在本发明的保护范围内。
Claims (6)
1.一种电子邮件真实性判断方法,其特征在于,包括如下步骤:
步骤a、于待检测的数据储存介质上定位数据文件,提取文件系统存储该文件的元数据信息,对比元数据信息与正常文件的元数据信息,并记录异常;
步骤b、解析数据文件,提取每封邮件的存储位置信息,根据邮件客户端的特性对比每封邮件的存储位置信息与正常邮件的存储位置信息,并记录异常;
步骤c、根据电子邮件标准格式解析单封邮件,呈现解析内容,检查邮件格式,对比邮件格式与电子邮件标准格式之间的差异,并记录异常;
步骤d、通过路由信息检查步骤c得到的单封邮件的来源信息,比较所述单封邮件中路由信息的一致性,并记录异常;
步骤e、检查步骤c得到的单封邮件的时间信息,比较所述单封邮件中时间信息的一致性,并记录异常;
步骤f、汇总所有异常情况,形成检测报告。
2.如权利要求1所述电子邮件真实性判断方法,其特征在于,所述步骤a中的所述待检测的数据储存介质为NTFS格式或者FAT32格式的磁盘。
3.如权利要求1所述电子邮件真实性判断方法,其特征在于,所述步骤a中的元数据信息包括文件名、创建时间、修改时间、主文件表记录的修改时间、最后访问时间、文件长度和文件在磁盘上的簇分布情况。
4.如权利要求1所述电子邮件真实性判断方法,其特征在于,所述步骤b中每封邮件的存储位置信息包括每封邮件在数据文件中的存储布局、分段数、段起始偏移量、长度以及每封邮件在数据文件中的存储顺序与每封邮件的接收时间之间的关系。
5.如权利要求1所述电子邮件真实性判断方法,其特征在于,所述步骤c中的所述电子邮件标准为RFC822标准。
6.如权利要求1所述电子邮件真实性判断方法,其特征在于,所述步骤d中的路由信息包括各Received域中邮件转发代理的主机名称、IP地址、地理位置以及Received时间。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110380172.2A CN103139043B (zh) | 2011-11-25 | 2011-11-25 | 一种电子邮件真实性判断方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110380172.2A CN103139043B (zh) | 2011-11-25 | 2011-11-25 | 一种电子邮件真实性判断方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103139043A true CN103139043A (zh) | 2013-06-05 |
| CN103139043B CN103139043B (zh) | 2016-06-29 |
Family
ID=48498374
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110380172.2A Active CN103139043B (zh) | 2011-11-25 | 2011-11-25 | 一种电子邮件真实性判断方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103139043B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104579924A (zh) * | 2014-12-27 | 2015-04-29 | 北京奇虎科技有限公司 | 显示邮件的方法和邮件客户端 |
| CN106845912A (zh) * | 2015-12-07 | 2017-06-13 | 四川效率源信息安全技术股份有限公司 | 基于Foxmail客户端程序的脱机文件痕迹提取的方法 |
| CN108696422A (zh) * | 2017-04-12 | 2018-10-23 | 富士施乐株式会社 | 电子邮件处理装置和电子邮件处理方法 |
| CN109344579A (zh) * | 2018-11-01 | 2019-02-15 | 厦门市美亚柏科信息股份有限公司 | 一种时间可信度的判定方法及装置 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040068542A1 (en) * | 2002-10-07 | 2004-04-08 | Chris Lalonde | Method and apparatus for authenticating electronic mail |
| EP1898595A1 (en) * | 2006-09-08 | 2008-03-12 | Iconix, Inc. | Rapid identification of message authentication |
| US20080307226A1 (en) * | 2007-06-07 | 2008-12-11 | Alcatel Lucent | Verifying authenticity of e-mail messages |
| CN101364955A (zh) * | 2008-09-28 | 2009-02-11 | 杭州电子科技大学 | 一种分析和提取电子邮件客户端证据的方法 |
| CN101599920A (zh) * | 2009-06-30 | 2009-12-09 | 东北大学 | 可验证邮件用户源地址和真实性的电子邮件系统及方法 |
| CN102164096A (zh) * | 2010-02-09 | 2011-08-24 | 杭州债易网络科技有限公司 | 一种证据邮箱服务系统 |
-
2011
- 2011-11-25 CN CN201110380172.2A patent/CN103139043B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040068542A1 (en) * | 2002-10-07 | 2004-04-08 | Chris Lalonde | Method and apparatus for authenticating electronic mail |
| EP1898595A1 (en) * | 2006-09-08 | 2008-03-12 | Iconix, Inc. | Rapid identification of message authentication |
| US20080307226A1 (en) * | 2007-06-07 | 2008-12-11 | Alcatel Lucent | Verifying authenticity of e-mail messages |
| CN101364955A (zh) * | 2008-09-28 | 2009-02-11 | 杭州电子科技大学 | 一种分析和提取电子邮件客户端证据的方法 |
| CN101599920A (zh) * | 2009-06-30 | 2009-12-09 | 东北大学 | 可验证邮件用户源地址和真实性的电子邮件系统及方法 |
| CN102164096A (zh) * | 2010-02-09 | 2011-08-24 | 杭州债易网络科技有限公司 | 一种证据邮箱服务系统 |
Non-Patent Citations (3)
| Title |
|---|
| 刘浩阳: ""电子邮件的调查与取证"", 《辽宁警专学报》, 30 September 2007 (2007-09-30), pages 27 - 31 * |
| 李岩: ""计算机取证中关键技术研究"", 《中国优秀硕士学位论文全文数据库 信息科技辑》, 15 December 2010 (2010-12-15), pages 138 - 410 * |
| 杨永川,李岩: ""电子证据取证技术的研究"", 《中国人民公安大学学报(自然科学版)》, 30 March 2005 (2005-03-30), pages 66 - 69 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104579924A (zh) * | 2014-12-27 | 2015-04-29 | 北京奇虎科技有限公司 | 显示邮件的方法和邮件客户端 |
| CN106845912A (zh) * | 2015-12-07 | 2017-06-13 | 四川效率源信息安全技术股份有限公司 | 基于Foxmail客户端程序的脱机文件痕迹提取的方法 |
| CN108696422A (zh) * | 2017-04-12 | 2018-10-23 | 富士施乐株式会社 | 电子邮件处理装置和电子邮件处理方法 |
| US11132646B2 (en) | 2017-04-12 | 2021-09-28 | Fujifilm Business Innovation Corp. | Non-transitory computer-readable medium and email processing device for misrepresentation handling |
| CN108696422B (zh) * | 2017-04-12 | 2022-05-31 | 富士胶片商业创新有限公司 | 电子邮件处理装置和电子邮件处理方法 |
| CN109344579A (zh) * | 2018-11-01 | 2019-02-15 | 厦门市美亚柏科信息股份有限公司 | 一种时间可信度的判定方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103139043B (zh) | 2016-06-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10867034B2 (en) | Method for detecting a cyber attack | |
| CN111832002B (zh) | 使用事件日志检测异常账户 | |
| US8423616B2 (en) | Identifying and correlating electronic mail messages | |
| US20060259551A1 (en) | Detection of unsolicited electronic messages | |
| CN105138709B (zh) | 一种基于物理内存分析的远程取证系统 | |
| US10659486B2 (en) | Universal link to extract and classify log data | |
| JP2009075655A (ja) | ファイル管理システム、ファイル管理方法、およびファイル管理プログラム | |
| CN103294671A (zh) | 文档的检测方法及系统 | |
| CN103139043A (zh) | 一种电子邮件真实性判断方法 | |
| KR20080102505A (ko) | 파일 탐색 시스템 및 방법 | |
| CN103490979A (zh) | 电子邮件鉴定方法和系统 | |
| CN108683589A (zh) | 垃圾邮件的检测方法、装置及电子设备 | |
| JP2003216457A (ja) | エラーログ収集解析エージェントシステム | |
| Bagga et al. | Big data and its challenges: a review | |
| Moore et al. | Discovering phishing dropboxes using email metadata | |
| CN103077090B (zh) | 一种Outlook删除邮件的恢复方法 | |
| CN109218164A (zh) | 用于在邮件系统中进行邮件数据管理的方法以及装置 | |
| CN111212039A (zh) | 基于dns流量的主机挖矿行为检测方法 | |
| Van Dijk | Making Statistics on Human Trafficking Work | |
| CN112733187B (zh) | 一种基于时间属性的数字取证分析鉴别方法 | |
| JP5941823B2 (ja) | 整合性確認方法およびシステム | |
| CN115242500B (zh) | 检测目标网站的方法及装置、非易失性存储介质、处理器 | |
| JP2019128616A (ja) | 評価プログラム、評価方法及び情報処理装置 | |
| CN106850389B (zh) | 一种脱机邮件收发痕迹的提取方法 | |
| JP2012088857A (ja) | ログ情報収集システム、ログ情報収集方法、及びログ情報収集プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: No.1347, Guangfu West Road, Putuo District, Shanghai 200061 Patentee after: ACADEMY OF FORENSIC SCIENCE Address before: 200063 Guangfu West Road 1347, Putuo District, Shanghai Patentee before: INSTITUTE OF FORENSIC SCIENCE, MINISTRY OF JUSTICE PRC |
|
| CP03 | Change of name, title or address |