CN106845912A - 基于Foxmail客户端程序的脱机文件痕迹提取的方法 - Google Patents
基于Foxmail客户端程序的脱机文件痕迹提取的方法 Download PDFInfo
- Publication number
- CN106845912A CN106845912A CN201510889752.2A CN201510889752A CN106845912A CN 106845912 A CN106845912 A CN 106845912A CN 201510889752 A CN201510889752 A CN 201510889752A CN 106845912 A CN106845912 A CN 106845912A
- Authority
- CN
- China
- Prior art keywords
- file
- data
- foxmail
- vestige
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q10/00—Administration; Management
- G06Q10/10—Office automation; Time management
- G06Q10/107—Computer-aided management of electronic mailing [e-mailing]
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Human Resources & Organizations (AREA)
- Entrepreneurship & Innovation (AREA)
- Strategic Management (AREA)
- Marketing (AREA)
- Data Mining & Analysis (AREA)
- Economics (AREA)
- Computer Hardware Design (AREA)
- Operations Research (AREA)
- Quality & Reliability (AREA)
- Tourism & Hospitality (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Theoretical Computer Science (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本发明公开了一种基于Foxmail客户端程序的脱机文件痕迹提取的方法,涉及电子数据取证领域,包括以下步骤:S1定位文件位置,获取邮件客户端程序产生的原始数据,并从中抽取与邮件痕迹信息相关的数据;S2判断S1中抽取的数据是否符合邮件客户端程序产生的数据文件格式,若符合则跳至S3,不符合跳至S5;S3解析从邮件客户端产生的原始数据中抽取出的痕迹文件;S4根据解析出的痕迹文件的数据,即可提取出该磁盘中邮件痕迹的所有数据和信息。本发明的有益效果如下:采用本发明的方法可以快速判断磁盘数据是否包含邮件格式的数据;进一步提取出磁盘数据中有效的收发邮件的痕迹信息。
Description
技术领域
本发明涉及电子数据取证领域,特别涉及一种基于Foxmail客户端程序的脱机文件痕迹提取的方法。
背景技术
随着互联网技术的高速发展,人们通过互联网发送电子邮件,使得沟通交流变得更加容易、快捷。电子邮件也以其新型、快速、经济的特点已成为现代社会不可缺少的重要通信方式之一。与此同时,各种犯罪分子也开始普遍利用电子邮件从事各类违法犯罪活动,在很多计算机犯罪案件以及商业、民事纠纷中都涉及电子邮件。在电子邮件中蕴藏了丰富的各类有用信息,是进行计算机分析取证的重要内容之一,它能为案件侦破提供一些有力的线索。为提高使用效率,人们经常使用各类电子邮件客户端(如Foxmail、OutlookExpress、Microsoft Office Outlook)来处理邮件。因此,分析各类邮件客户端所保存的邮件数据文件是计算机分析取证的重要手段之一。
2011年,十一届全国人大常委会第二十三次会议初次审议了《中华人民共和国民事诉讼法修正案(草案)》。新修正的草案规定,将在第六十三条证据种类中新增“电子数据”。这意味着电子邮件、QQ聊天记录、微博等电子数据都将作为一种独立证据正式成为呈堂证供。其实随着信息技术的发展,在近年出现的不少继承纠纷、名誉权纠纷、合同纠纷等民事案件中,已经有很多客观事实正是通过电子证据反映出来的,其中,电子邮件证据尤为常见。因此,作为数字取证的一个重要分支,电子邮件取证的技术应用及相关法律法规问题成为当前研究和讨论的热点。
我国司法实践中广泛地使用电子证据这一概念,其涵盖的范畴包括任何以电子形式存储、处理、传输的证据。电子邮件作为一种重要的电子证据,在不少涉及电子邮件的案件中,争议较多的往往不是针对邮件内容本身,而是否认自己是邮件的收发者、邮件的收发时间等痕迹类型的信息。
各个邮件客户端应用程序的产生的数据文件都是采用厂商自定义的存储格式,传统的数据恢复技术无法应用到该类型的数据提取与恢复。
市面上现有技术较难做到快速的提取磁盘中邮件痕迹信息,还有部分则很难完整、全面地提取邮件痕迹信息;
本发明的方法主要是针对Foxmail邮件客户端产生的数据痕迹信息进行解析从而实现数据提取。
发明内容
本发明针对现有技术的不足,提供一种基于Foxmail客户端程序的脱机文件痕迹提取的方法,能够有效解决现有技术较难做到快速的提取磁盘中邮件痕迹信息,还有部分则很难完整、全面地提取邮件痕迹信息的问题。
为解决以上问题,本发明采用的技术方案如下:一种基于Foxmail客户端程序的脱机文件痕迹提取的方法,包括如下步骤:
S1定位文件位置,获取邮件客户端程序产生的原始数据,并从中抽取与邮件痕迹信息相关的数据;
S2判断S1中抽取的数据是否符合邮件客户端程序产生的数据文件格式,若符合则跳至S3,不符合跳至S4;
S3解析从邮件客户端产生的原始数据中抽取出的痕迹文件;
S4根据解析出的痕迹文件的数据,即可提取出该磁盘中邮件痕迹的所有数据和信息。
作为优选,所述的S1邮件客户端程序产生的原始数据文件存放的目录路径为:安装目录下的storage文件夹中的以邮箱地址为文件夹名称的文件夹内,在该文件夹下分门别类的存放着邮件相关的各项数据文件。
作为优选,所述的S2判断S1中抽取的数据是否符合邮件客户端应用程序产生的数据文件格式,判断的规则有如下两条:
规则一:在S1中描述的文件夹内包含mails文件夹,且在mails的目录下包含有名为index的文件;
规则二:在S1中描述的文件夹内含有box文件夹,且在box文件夹中含有后缀为.box的文件;
上述规则中若符合其中一条则跳至S3,否则跳至S4。
作为优选,S3解析从邮件客户端产生的原始数据中抽取出的痕迹文件,解析的主要信息包括邮件发送者、邮件接受者、邮件发送时间、邮件主题、邮件的状态信息。
作为优选,S4根据S3中描述的index文件结构,按照邮件类型分别读取邮件的痕迹信息,并按照对应的编码格式进行编码转换,并分别对各类型的邮件进行统计。
作为优选,S2中描述的规则一中涉及到的文件index文件为该邮件客户端程序记录所有邮件痕迹信息的存储文件,该文件的中包含了邮件客户端收发邮件的痕迹,index文件结构是文件头+邮件头*N的模式,其中N表示邮件头的总个数,index文件的文件头的特征标记为0x46584953,文件头数据长度为0x200,在相对头部起始地址偏移0x08处记录的值表示邮件头的总个数N,index文件中每个邮件头结构是相同的,且长度为0x200,针对上述表中邮件类型的区分,0x01080000表示发送的邮件,0x01200000表示垃圾邮件,0x010C0000表示草稿邮件,0x03000000表示已回复的邮件,其余的表示接收的邮件。
本发明的有益效果如下:采用本发明的方法可以快速判断磁盘数据是否包含邮件格式的数据;进一步提取出磁盘数据中有效的收发邮件的痕迹信息,包括邮件发送者、邮件接受者、邮件发送时间、邮件主题、邮件的状态等信息。
附图说明
图1为主流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
本发明提出一种针对Foxmail邮件客户端产生的数据文件进行快速解析的方法,而且提取的信息是完整全面的。
下面详细介绍Foxmail邮件客户端产生的数据文件的基本结构。为了更为方便的阐述本发明中的方法,本例使用Foxmail邮件客户端V7.2版本为例进行阐述,
本发明的恢复方法包括以下内容:
S1定位文件位置,获取邮件客户端程序产生的原始数据,并从中抽取与邮件痕迹信息相关的数据。具体地,邮件客户端程序产生的原始数据文件存放的目录路径为安装目录下的storage文件夹中的以邮箱地址为文件夹名称的文件夹内,在该文件夹下分门别类的存放着邮件相关的各项数据文件;
S2判断S1中抽取的数据是否符合邮件客户端应用程序产生的数据文件格式,判断的规则有如下两条:
规则一:在S1中描述的文件夹内包含mails文件夹,且在mails的目录下包含有名为index文件;
规则二:在S1中描述的文件夹内含有box文件夹,且在box文件夹中含有多个后缀为.box的文件;
上述规则中若符合其中一条则跳至S3,否则跳至S4;
S3解析从邮件客户端产生的原始数据中抽取出的痕迹文件,解析的主要信息包括邮件发送者、邮件接受者、邮件发送时间、邮件主题、邮件的状态的信息。在S2中描述的规则一中涉及到的文件index文件为该邮件客户端应用程序记录所有邮件痕迹信息的存储文件,该文件的中包含了邮件客户端收发邮件的痕迹,具体地,index文件结构是文件头+邮件头*N的模式,index文件的文件头的特征标记为0x46584953,文件头数据长度为0x200,在相对头部起始地址偏移0x08处记录的值表示邮件头的总个数N,index文件中每个邮件头结构是相同的,且长度为0x200,详细信息见下表;
针对上述表中邮件类型的区分,0x01080000表示发送的邮件,0x01200000表示垃圾邮件,0x010C0000表示草稿邮件,0x03000000表示已回复的邮件,其余的表示接收的邮件。
S4根据S3中描述的index文件结构,按照邮件类型分别读取邮件的痕迹信息,并按照对应的编码格式进行编码转换,并分别对各类型的邮件进行统计。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (6)
1.一种基于Foxmail客户端程序的脱机文件痕迹提取的方法,其特征在于,包括如下步骤:
S1定位文件位置,获取邮件客户端程序产生的原始数据,并从中抽取与邮件痕迹信息相关的数据;
S2判断S1中抽取的数据是否符合邮件客户端程序产生的数据文件格式,若符合则跳至S3,不符合跳至S4;
S3解析从邮件客户端产生的原始数据中抽取出的痕迹文件;
S4根据解析出的痕迹文件的数据,即可提取出该磁盘中邮件痕迹的所有数据和信息。
2.根据权利要求1所述的基于Foxmail邮件客户端应用程序的脱机文件痕迹提取检测的方法,其特征在于,所述的S1邮件客户端程序产生的原始数据文件存放的目录路径为:安装目录下的storage文件夹中的以邮箱地址为文件夹名称的文件夹内,在该文件夹下分门别类的存放着邮件相关的各项数据文件。
3.根据权利要求1或2所述的基于Foxmail邮件客户端应用程序的脱机文件痕迹提取检测的方法,其特征在于,所述的S2判断S1中抽取的数据是否符合邮件客户端应用程序产生的数据文件格式,判断的规则有如下两条:
规则一:在S1中描述的文件夹内包含mails文件夹,且在mails的目录下包含有名为index的文件;
规则二:在S1中描述的文件夹内含有box文件夹,且在box文件夹中含有后缀为.box的文件;
上述规则中若符合其中一条则跳至S3,否则跳至S4。
4.根据权利要求1或2所述的基于Foxmail邮件客户端应用程序的脱机文件痕迹提取检测的方法,其特征在于,S3解析从邮件客户端产生的原始数据中抽取出的痕迹文件,解析的主要信息包括邮件发送者、邮件接受者、邮件发送时间、邮件主题、邮件的状态信息。
5.根据权利要求1或2所述的基于Foxmail邮件客户端应用程序的脱机文件痕迹提取检测的方法,其特征在于,S4根据S3中描述的index文件结构,按照邮件类型分别读取邮件的痕迹信息,并按照对应的编码格式进行编码转换,并分别对各类型的邮件进行统计。
6.根据权利要求3所述的Foxmail邮件客户端应用程序的脱机文件痕迹提取检测的方法,其特征在于,S2中描述的规则一中涉及到的文件index文件为该邮件客户端程序记录所有邮件痕迹信息的存储文件,该文件的中包含了邮件客户端收发邮件的痕迹,index文件结构是文件头+邮件头*N的模式,其中N表示邮件头的总个数,index文件的文件头的特征标记为0x46584953,文件头数据长度为0x200,在相对头部起始地址偏移0x08处记录的值表示邮件头的总个数N,index文件中每个邮件头结构是相同的,且长度为0x200,针对上述表中邮件类型的区分,0x01080000表示发送的邮件,0x01200000表示垃圾邮件,0x010C0000表示草稿邮件,0x03000000表示已回复的邮件,其余的表示接收的邮件。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510889752.2A CN106845912A (zh) | 2015-12-07 | 2015-12-07 | 基于Foxmail客户端程序的脱机文件痕迹提取的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510889752.2A CN106845912A (zh) | 2015-12-07 | 2015-12-07 | 基于Foxmail客户端程序的脱机文件痕迹提取的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106845912A true CN106845912A (zh) | 2017-06-13 |
Family
ID=59151145
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510889752.2A Pending CN106845912A (zh) | 2015-12-07 | 2015-12-07 | 基于Foxmail客户端程序的脱机文件痕迹提取的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106845912A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101364955A (zh) * | 2008-09-28 | 2009-02-11 | 杭州电子科技大学 | 一种分析和提取电子邮件客户端证据的方法 |
| CN102842078A (zh) * | 2012-07-18 | 2012-12-26 | 南京邮电大学 | 一种基于社群特征分析的电子邮件取证分析方法 |
| CN103139043A (zh) * | 2011-11-25 | 2013-06-05 | 司法部司法鉴定科学技术研究所 | 一种电子邮件真实性判断方法 |
-
2015
- 2015-12-07 CN CN201510889752.2A patent/CN106845912A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101364955A (zh) * | 2008-09-28 | 2009-02-11 | 杭州电子科技大学 | 一种分析和提取电子邮件客户端证据的方法 |
| CN103139043A (zh) * | 2011-11-25 | 2013-06-05 | 司法部司法鉴定科学技术研究所 | 一种电子邮件真实性判断方法 |
| CN102842078A (zh) * | 2012-07-18 | 2012-12-26 | 南京邮电大学 | 一种基于社群特征分析的电子邮件取证分析方法 |
Non-Patent Citations (2)
| Title |
|---|
| 卢启萌: "常见电子邮件篡改及其鉴别研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
| 聂小尘: "电子邮件取证模型及关键技术研究", 《中国优秀硕士学位论文全文数据库信息科技辑》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109151078B (zh) | 一种分布式智能邮件分析过滤方法、系统及存储介质 | |
| CN103634420B (zh) | 简历邮件筛选系统及方法 | |
| CN101364955B (zh) | 一种分析和提取电子邮件客户端证据的方法 | |
| CN104573094B (zh) | 网络账号识别匹配方法 | |
| Ailon et al. | Threading machine generated email | |
| Chatzakou et al. | Detecting aggressors and bullies on Twitter | |
| CN104182549A (zh) | 一种电子邮件摘要生成方法及装置 | |
| CN103490979B (zh) | 电子邮件鉴定方法和系统 | |
| CN1889106B (zh) | 分离保存邮件附件的方法 | |
| CN107315799A (zh) | 一种互联网重复信息筛选方法及系统 | |
| CN1744123A (zh) | 一种过滤群发垃圾邮件的方法 | |
| CN106845912A (zh) | 基于Foxmail客户端程序的脱机文件痕迹提取的方法 | |
| CN104268214A (zh) | 一种基于微博用户关系的用户性别识别方法及系统 | |
| EP3143731B1 (en) | Digital messaging system | |
| CN107657020A (zh) | 一种海量小文件快速识别处理的方法及系统 | |
| Patidar et al. | A novel technique of email classification for spam detection | |
| CN101807365B (zh) | 一种数码安全线自我认证的防伪方法 | |
| CN103944810A (zh) | 一种垃圾电子邮件意图识别系统 | |
| CN110990570A (zh) | 一种基于深度学习的邮件落款提取方法 | |
| CN106845913A (zh) | outlook express收发痕迹的提取方法 | |
| CN105847122A (zh) | 广告邮件识别方法及装置 | |
| TWI287720B (en) | Junk mail filtering systems and methods based on abnormal features in e-mails | |
| CN103441921A (zh) | 通过整理电子邮件的联系人添加方法 | |
| CN106713108B (zh) | 一种结合用户关系与贝叶斯理论的邮件分类方法 | |
| Wan et al. | Spam detection using Sobel operators and OCR |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20170613 |
|
| WD01 | Invention patent application deemed withdrawn after publication |