CN106850389B - 一种脱机邮件收发痕迹的提取方法 - Google Patents
一种脱机邮件收发痕迹的提取方法 Download PDFInfo
- Publication number
- CN106850389B CN106850389B CN201510884707.8A CN201510884707A CN106850389B CN 106850389 B CN106850389 B CN 106850389B CN 201510884707 A CN201510884707 A CN 201510884707A CN 106850389 B CN106850389 B CN 106850389B
- Authority
- CN
- China
- Prior art keywords
- data
- page
- file
- normal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L51/00—User-to-user messaging in packet-switching networks, transmitted according to store-and-forward or real-time protocols, e.g. e-mail
- H04L51/42—Mailbox-related aspects, e.g. synchronisation of mailboxes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Information Transfer Between Computers (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种脱机邮件收发痕迹的提取方法,属于电子数据取证领域,包括以下步骤:101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;102解析101中找到的邮件客户端程序存储的原始数据文件;103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;104根据103中的数据状态进行正常与删除邮件收发数据提取。采用本发明的方法可以达到以下效果:1.可以快速确定邮件的的记录存储文件;2.可以快速解析邮件痕迹文件数据;3.可以将正常与删除历史邮件痕迹数据进行提取。
Description
技术领域
本发明涉及电子数据取证领域,特别涉及一种脱机邮件收发痕迹的提取方法。
背景技术
在信息化迅速发展的21世纪,计算机技术日新月异,与人们的日常生活息息相关,电子信息是数据的主要载体,众多企事业单位、国家部门、个人都大量使用电子邮件作为信息传递的手段,正确的使用电子邮件当然是好的,但是也有一些人利用电子邮件的方便、快捷、传输信息直观,准确,特别是图片信息特点,使用电子邮件传递一些违法信息,在电子取证中遇到时,没有账号密码的情况下,现有技术是无法或者不能全部获取电子邮件传递的信息的。
电子邮件在传输过程中会在应用目录下生成脱机文件,但是这个文件的存储格式并不一致,在实际情况下无发准确的提取出传输的信息,使电子取证工作陷入僵局。
发明内容
本发明针对现有技术的不足,提供一种脱机邮件收发痕迹的提取方法,能够有效解决现有技术较难做到快速的提取磁盘中邮件痕迹信息,还有部分则很难完整、全面地提取邮件痕迹信息的问题。
为解决以上问题,本发明采用的技术方案如下:一种脱机邮件收发痕迹的提取方法,包括如下步骤:101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;
102解析101中找到的邮件客户端程序存储的原始数据文件;
103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;
104根据103中的数据状态进行正常与删除邮件收发数据提取;
105解析101中找到的邮件客户端程序存储的原始数据文件;
106根据105确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;
107根据106中的数据状态进行正常与删除邮件收发数据提取。
作为优选,所述102具体方法如下:
1021解析管理表,其中记录了任务开始的位置、任务的长度、已用空间、消息的开始位置、消息的长度、消息的使用长度和Index表的开始位置;
1022解析Index表,其中记录了用于检验Index表是否正确的信息、正常邮件信息条数和每条记录的记录单位;其中,记录单位中前四个字节是记录邮件痕迹数据从文件开始偏移值,此记录与正常条数一致,后面多余的即为删除数据的开始位置,根据此记录的值即可找到正常与删除的邮件痕迹开始位置的Message表;
1023解析Message表,其中在Message表中标记了邮件痕迹信息的数据特征、本数据在文件的开始偏移位置和本数据的长度。
作为优选,所述104的具体方法如下:104根据邮件历史记录排列顺序对二进制文件中的数据进行组合分类,进行正常数据与删除数据的提取。
作为优选,所述107的具体方法如下:107根据邮件历史记录排列顺序对sqlite数据库文件中的数据进行组合分类,进行正常数据与删除数据的提取。
采用本发明的方法可以达到以下效果:
1.可以快速确定邮件的的记录存储文件;
2.可以快速解析邮件痕迹文件数据;
3.可以将正常与删除历史邮件痕迹数据进行提取。
附图说明
图1为脱机邮件收发痕迹的提取主流程示意图。
具体实施方式
为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。
一种脱机邮件收发痕迹的提取方法,包括如下步骤:
101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;
102解析101中找到的邮件客户端程序存储的原始数据文件;
103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;
104根据103中的数据状态进行正常与删除邮件收发数据提取;
105解析101中找到的邮件客户端程序存储的原始数据文件;
106根据105确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;
107根据106中的数据状态进行正常与删除邮件收发数据提取。
进一步地,邮件收发痕迹的二进制文件存储是根据带有一定含义的字节按层次依次管理,每层都有带有含义的字节来描述相关的信息,一般邮件收发的二进制文件在开始会有管理表,管理表会记录使用空间、消息长度、任务与索引表,其中索引表又会记录正常邮件的位置,最后在根据指向找到邮件收发痕迹的数据,数据中也会有标记字节记录各种数据(收发件人、时间、主题等信息)的位置与长度。
下面以outlook express为例,在outlook express二进制文件中包含很多参数,所述102具体方法如下:
1021解析管理表,其中记录了任务开始的位置、任务的长度、已用空间、消息的开始位置、消息的长度、消息的使用长度和Index表的开始位置;
1022解析Index表,其中记录了用于检验Index表是否正确发信息、正常邮件信息条数和每条记录的记录单位;其中,记录单位中前四个字节是记录邮件痕迹数据从文件开始偏移值,此记录与正常条数一致,后面多余的即为删除数据的开始位置,根据此记录的值即可找到正常与删除的邮件痕迹开始位置的Message表;
1023解析Message表,其中在Message表中标记了邮件痕迹信息的数据特征、本数据在文件的开始偏移位置和本数据的长度。
进一步地,所述104的具体方法如下:根据邮件历史记录排列顺序对二进制文件中的数据进行组合分类,进行正常数据与删除数据的提取。
在Message表中有表记邮件痕迹信息的数据特征;有记录本数据在文件的开始偏移位置;有记录本数据的长度;Message表中开始一定字节数后紧跟数据属性与数据跳转位置,每条数据属性与数据跳转位置的长度。其中有固定值表明消息的含义,如:数据属性为;值为0x01邮件状态标记,0x02时间,0x05原始主题,0x06内容保存时间,0x07消息ID,0x08主题,0x0c发件人服务器类型,0x0d发件人,0x0e发件人邮箱,0x12消息创建时间,0x13接收人,0x14接收邮箱,0x15接收人服务器类型,0x1b邮件注册表key标记。
进一步地,所述107的具体方法如下:107根据邮件历史记录排列顺序对sqlite数据库文件中的数据进行组合分类,进行正常数据与删除数据的提取。
进一步地:sqlite文件历史记录提取:
1051邮件的收发文件是sqlite文件,其中正常数据可以直接使用sqlite浏览器直接查看;
1052针对删除的历史记录可以运用sqlite底层分析获取;
1053sqlite数据库文件结构,数据库的每一个表都是由多个B-Tree页组成。如果删除数据所在的页存在其他未删除数据,则删除数据区域只会变成一个FreeBlock块,其中的数据并没有真正删除,并且数据库文件大小不变。B-Tree页的树形结构,其中,根页和内部页主要用于导航,目的是找到存储于叶子页中的数据记录,其中包括已删除的数据;
1054重点分析提取出来的网页浏览记录的SQLite数据库(数据库名为:history)通过SQLite数据库查看工具,进行如下的操作:
(1)查找数据库文件头确定数据库文件中页的大小。分析该数据库文件头,可以知道B_Tree页的大小为0X1000;
(2)从SQLite_Matter表的rootpage字段找到表的根页,根页的起始地址=页的大小*(根页-1)。本例中存放浏览器的历史记录的数据表为urls;
(3)从urls表的根页开始,依次遍历所有urls表的页,判断页类型,若为表叶子页,则记录下该页页号;若为表内部页,则查找该内部页的所有叶子页,记录该内部页的页号及所有叶子页的页号。所有属于urls表的页都遍历完成后,返回所有的页号,并使页号在逻辑上形成B树;根据urls表的B树,依次取出页号,读取页内容。对于每个页,判断页类型,在位图上标记该页的未分配区、自由块、碎片。如果该页为表内部页,由于不存放数据,所以只做标记;如果是表叶子页对表叶子页的单元进行解析,若单元含有溢出页则对溢出页中的碎片数据进行标记,得到SQlite数据库的所有表信息;将解析出来的所有表信息存储,根据位图上的标记,再结合数据存储特征,就是邮件存储的关键字段名称与字段类型,根据名称与类型就可以在脱机文件未使用的区域中获取删除的数据。
进一步地:根据邮件历史记录排列顺序来对二进制文件中的数据进行组合分类,完成正常数据与删除数据的提取。
本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。
Claims (4)
1.一种脱机邮件收发痕迹的提取方法,其特征在于,包括如下步骤:
101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;
102解析101中找到的邮件客户端程序存储的原始数据文件;
103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;
104根据103中的数据状态进行正常与删除邮件收发数据提取;
105解析101中找到的邮件客户端程序存储的原始数据文件;
针对删除的历史记录运用sqlite底层分析获取;对提取出来的网页浏览记录的SQLite数据库,通过SQLite数据库查看工具,进行如下操作:
(1)查找数据库文件头确定数据库文件中页的大小;
(2)从SQLite_Matter表的rootpage字段找到表的根页,根页的起始地址=页的大小*(根页-1),获取存放浏览器的历史记录的数据表urls;
(3)从urls表的根页开始,依次遍历所有urls表的页,判断页类型,若为表叶子页,则记录下该页页号;若为表内部页,则查找该内部页的所有叶子页,记录该内部页的页号及所有叶子页的页号;
所有属于urls表的页都遍历完成后,返回所有的页号,并使页号在逻辑上形成B树;根据urls表的B树,依次取出页号,读取页内容;
对于每个页,判断页类型,在位图上标记该页的未分配区、自由块、碎片;
如果该页为表内部页,只做标记;如果是表叶子页,对表叶子页的单元进行解析,若单元含有溢出页则对溢出页中的碎片数据进行标记,得到SQlite数据库的所有表信息;
将解析出来的所有表信息存储,根据位图上的标记,再结合数据存储特征,即邮件存储的关键字段名称与字段类型,在脱机文件未使用的区域中获取删除的数据;
106根据105确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;
107根据106中的数据状态进行正常与删除邮件收发数据提取。
2.根据权利要求1所述的脱机邮件收发痕迹的提取方法,其特征在于,所述102具体方法如下:
1021解析管理表,其中记录了任务开始的位置、任务的长度、已用空间、消息的开始位置、消息的长度、消息的使用长度和Index表的开始位置;
1022解析Index表,其中记录了用于检验Index表是否正确的信息、正常邮件信息条数和每条记录的记录单位;其中,记录单位中前四个字节是记录邮件痕迹数据从文件开始偏移值,此记录与正常条数一致,后面多余的即为删除数据的开始位置,根据此记录的值即可找到正常与删除的邮件痕迹开始位置的Message表;
1023解析Message表,其中在Message表中标记了邮件痕迹信息的数据特征、本数据在文件的开始偏移位置和本数据的长度。
3.根据权利要求1或2所述的脱机邮件收发痕迹的提取方法,其特征在于,所述104的具体方法如下:104根据邮件历史记录排列顺序对二进制文件中的数据进行组合分类,进行正常数据与删除数据的提取。
4.根据权利要求1或2所述的脱机邮件收发痕迹的提取方法,其特征在于,所述107的具体方法如下:107根据邮件历史记录排列顺序对sqlite数据库文件中的数据进行组合分类,进行正常数据与删除数据的提取。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510884707.8A CN106850389B (zh) | 2015-12-04 | 2015-12-04 | 一种脱机邮件收发痕迹的提取方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510884707.8A CN106850389B (zh) | 2015-12-04 | 2015-12-04 | 一种脱机邮件收发痕迹的提取方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN106850389A CN106850389A (zh) | 2017-06-13 |
CN106850389B true CN106850389B (zh) | 2019-12-10 |
Family
ID=59150595
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510884707.8A Active CN106850389B (zh) | 2015-12-04 | 2015-12-04 | 一种脱机邮件收发痕迹的提取方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106850389B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101364955A (zh) * | 2008-09-28 | 2009-02-11 | 杭州电子科技大学 | 一种分析和提取电子邮件客户端证据的方法 |
CN102708152A (zh) * | 2012-04-18 | 2012-10-03 | 南京邮电大学 | 一种电子证据的综合管理方法 |
CN102842078A (zh) * | 2012-07-18 | 2012-12-26 | 南京邮电大学 | 一种基于社群特征分析的电子邮件取证分析方法 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20130246543A1 (en) * | 2012-03-19 | 2013-09-19 | Amperic Inc. | Networked sensor device |
-
2015
- 2015-12-04 CN CN201510884707.8A patent/CN106850389B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101364955A (zh) * | 2008-09-28 | 2009-02-11 | 杭州电子科技大学 | 一种分析和提取电子邮件客户端证据的方法 |
CN102708152A (zh) * | 2012-04-18 | 2012-10-03 | 南京邮电大学 | 一种电子证据的综合管理方法 |
CN102842078A (zh) * | 2012-07-18 | 2012-12-26 | 南京邮电大学 | 一种基于社群特征分析的电子邮件取证分析方法 |
Non-Patent Citations (2)
Title |
---|
电子邮件取证模型及关键技术研究;聂小尘;《中国优秀硕士学位论文全文数据库 信息科技辑》;20120715;全文 * |
电子邮件取证鉴定系统的研究与设计;林文芳;《中国优秀硕士学位论文全文数据库 信息科技辑》;20150615;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN106850389A (zh) | 2017-06-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102622592B (zh) | 一种基于云技术的名片识别方法 | |
WO2018036272A1 (zh) | 新闻内容的推送方法、电子装置及计算机可读存储介质 | |
CN102959578B (zh) | 取证系统、取证方法及取证程序 | |
US8719308B2 (en) | Method and system to process unstructured data | |
CN109062950B (zh) | 一种文本标注的方法及装置 | |
US9749273B2 (en) | Electronic mail data management systems and methods for generating a dataset for such systems | |
US20060277154A1 (en) | Data structure generated in accordance with a method for identifying electronic files using derivative attributes created from native file attributes | |
US8752204B2 (en) | Identifying and redacting privileged information | |
CN102834832A (zh) | 取证系统、取证方法及取证程序 | |
US20100030814A1 (en) | System, method, or apparatus relating to a data structure with a large number of entries | |
CN112262379A (zh) | 存储数据项并且标识存储的数据项 | |
CN112163072A (zh) | 基于多数据源的数据处理方法以及装置 | |
CN101630315A (zh) | 一种快速检索方法及系统 | |
US20120254166A1 (en) | Signature Detection in E-Mails | |
US7971135B2 (en) | Method and system for automatic data aggregation | |
CN107844960B (zh) | 一种自动化智能分析商业计划书的投资分析工具 | |
TWI575391B (zh) | 社群資料篩選系統、方法及其非揮發性電腦可讀取紀錄媒體 | |
CN106850389B (zh) | 一种脱机邮件收发痕迹的提取方法 | |
EP2757489A1 (en) | Data matching method and device | |
CN103139043A (zh) | 一种电子邮件真实性判断方法 | |
CN107169065B (zh) | 一种特定内容的去除方法和装置 | |
CN111079375B (zh) | 一种信息整理的方法、装置、计算机存储介质及终端 | |
Şentürk et al. | Image and file system support framework for a digital mobile forensics software | |
US20060277177A1 (en) | Identifying electronic files in accordance with a derivative attribute based upon a predetermined relevance criterion | |
CN111680072A (zh) | 基于社交信息数据的划分系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |