隨著電子數據取證技術的日益成熟����,以及越來越多的執法人員加入企業��,從事合規調查����、反欺詐調查��、稽核監察等內部調查��,該技術逐步被越來越多的國內外知名企業所接受�����,并用于企業的內部調查����。而在繁瑣的電子取證中����,郵件分析恢復工作占據了很大的比重���,如何有效����、快速且精確的對郵件進行分析和處理便成為我們所關注的重點���。
在選擇所需工具之前�����,我們先要確認自己的實際需求及數據環境��,從而有針對性的關注郵件分析及取證產品���。
刪除郵件的恢復
1.本地郵件刪除
對于本地客戶端內的刪除郵件����,使用高性價比的數據恢復工具就能幫助我們完成任務���,如R-Studio恢復套件��、Recover My files�����、Stellar的Email套件等��。
如果遇到整體郵件客戶端���,以及郵件數據包被整體刪除的情況��,就需要使用專業取證工具�,如FTK��、EnCase����、X-Ways��、BlackBag等都可以更好地恢復數據并進行解析����。
2.網絡郵件刪除
如果用戶直接在網上服務器端的郵件刪除�����,我們就很難在目標本地進行恢復了���。
如果我們能夠獲取服務器的訪問權限的話�����,因其一般涉及數據量較大�,比較建議直接使用企業取證/數字發現系統����,如Quin-C或AD FTK Lab/Enterprise類分布式取證工具��。
郵件無法瀏覽或損壞
此類情況��,除了比較專業的取證工具��,一些小工具如Aid4Mail��、Stellar郵件工具集等都可以幫助我們進行轉化����。
海量郵件篩查和串聯分析
郵件密碼恢復
在處理分析中���,郵件密碼經常會被我們忽略��,但是其重要性不可忽視��。大體而言�����,郵件密碼恢復主要有兩種:
1.郵件客戶端密碼恢復
微軟Mail���、FoxMail等���,其軟件會自動記錄郵箱的登錄密碼����。使用如Elcomsoft��、Passware郵件系統解密組件�,可以幫助我們恢復客戶端的密碼��。
2.網頁郵件登錄密碼恢復
恢復此類密碼���,首先需要我們分析登錄帳戶的瀏覽器��,在密碼默認保存的情況下����,可以通過較高級的取證工具進行恢復�,如FTK�、EnCase等���。
同時若能夠獲取已經登錄郵箱的設備(開機狀態)�,我們也可以通過對電腦的實時內存進行獲取并分析���,如BlackLight�、FTK�����、EnCase都有類似功能���。
