发布时间 : 星期五 文章计算机取证更新完毕开始阅读435f0746f01dc281e53af09b
《计算机取证报告》
摘 要
伴随着电子邮件在日常生活中的广泛应用,基于电子邮件的计算机犯罪日益严重。近年来,学术界对计算机犯罪的关注程度越来越高,各高校及研究机构对计算机取证技术的研究也层出不穷。
总体来看,现有研究方向主要偏向于取证模型和取证技术。但对于电子邮件取证而言,取证模型方向的研究大多基于计算机取证流程,取证技术方向的研究往往着眼于计算机主机或网络,均未考虑到电子邮件的特殊性质,难以取得良好的效果。因此,本文从电子邮件取证的实际需求出发,在现有计算机取证模型的基础上针对电子邮件进行创新,提出了电子邮件取证模型。同时,基于该模型进行如下关键技术的研究:
第一,在电子邮件取证模型的抽象层基础上,对不同邮件客户端的软件行为、文件存储格式以及字段生成格式进行研究,提出了电子邮件文件/信息提取方法;
第二,对所提取的电子邮件文件及其信息进一步分析,总结各类客户端所特有的格式特征。提出针对不同客户端的,以邮件格式为基础的电子邮件鉴定方法;
第三,为进一步对格式无法识别的邮件进行取证研究,将电子邮件取证技术与机器学习文本分类相关领域结合,研究通过作者写作风格的方式对邮件进行鉴定以作为证据补充;
第四,将电子邮件取证模型、电子邮件文件及信息提取方法、电子邮件鉴定方法应用于实际司法取证鉴定案例中,检验其取证效力。
关键词:电子邮件,计算机取证,取证模型
1电子邮件取证现状
作为计算机领域和法学领域的一门交叉科学—计算机取证(ComputerForensies)正逐渐成为人们研究与关注的焦点。计算机取证是指对能够为法庭接受的、足够可靠和有说服性的,存在于计算机和相关外设中的电子证据的确认、保护、提取和归档的过程。电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。
电子邮件作为一种利用电子手段提供信息交换的通信方式,是互联网络中应用最广的服务之一,它允许人们以快速的方式,与世界上任何一个角落的网络用户联系,其内容可以是文字、图像、声音等各种形式。电子邮件的便捷高效、费用低廉使之在企业和个人的通信领域上被广泛采用,并已更多的应用在商业贸易、电子政务、远程教育以及人们的日常生活之中。由于其传输速度快、操作简便、代价小等优点,电子邮件在一定程度上接替了传统纸质邮件的职能。其中像 Outlook、Outlook Express、Foxmail 等桌面邮件客户端凭借操作便捷、管理方便等优势,迅速得到普及。
目前,我国的计算机取证正处于蓬勃发展时期,各高校或研究机构均投入科研力量进行计算机取证相关的研究与实践。[1]但国内外专门针对电子邮件的鉴定技术尚不系统,对特定取证领域问题,如电子邮件真实性鉴定的技术路线也未见较全面的研究,有关电子数据鉴定取证工具大多是一些综合性软件,对电子邮件的取证分析多有不够完善的地方。
当前针对邮件取证的专门工具正在向专业化、商业化的方向发展,研发实力也从软件爱好者向企业规模发展,相关产品有:
1)邮件档案查看器(Mail extractor, converter 等)这类产品着眼于多种邮件客户端的存储文件,针对不同格式,进行导入并解析。这些产品能够解析出包括收/发件箱、草稿等内容;大部分都宣称具
有一定的删除恢复功能,即能恢复标注为“删除”而实际仍然存在于客户端文件中的邮件;有的查看器能够提供一定的信息搜索功能,比如支持多关键字组合搜索,按照联系人地址/日期等特征搜索。此外,对客户端的联系簿也有类似的解析功能。
2)磁盘数据恢复软件(WinHex,EasyRecovery,FinalData 等)这类产品着眼于文件系统和磁盘上的原始数据,借助其数据恢复方面的专业优势,能定位并恢复出被删除的邮件。在支持的客户端种类上,通常远远小于少于上述的邮件档案查看器。因为这些软件也支持其他类型文档的恢复,在邮件这一领域投入的精力十分有限。
3)专业级取证工具 (企业级产品,如 EnCase,FinalForensics,Nuix,ForensicsMatter 等)[2]这类产品着眼于文件系统和磁盘上的原数据,提供强大的查看、搜索和分析功能,有的(如 Nuix)能够解析特定客户端文件,也有一定的 Webmail 取证功能,但没有对中文常见客户端的支持,也没有单独为邮件的深度恢复提供支持。
4)人工取证服务
这类服务的提供者由计算机和司法鉴定方面的专家组成,具有电子取证的技术水平和资质认证,利用现有的软件、自行编写的工具,结合专业人员的逻辑推理,提供司法取证服务。经过以上分析可以总结出,现有技术的如下局限性:
1)缺乏多个深度层层递进的恢复功能。只专注与文件存储格式,或者文件系统/磁盘,却没有将它们整合起来。
2)缺乏对邮件取证的专门工具。邮件档案查看器支持多种客户端,却不支持深度恢复;深度数据恢复的软件支持的邮件客户端又较少;专门的取证工具偏向于“大而全”,单独对邮件方面的支持薄弱。
3)缺乏对我国用户常用的邮件客户端的支持。由于上述软件通常来自国外,支持的许多客户端,如 Eudora、AOL 等在我国使用不广泛;而它们对我国常见客户端 Foxmail的支持甚微,不适合我国的特殊情况。
4)缺乏自动的逻辑分析能力。依靠人工分析进行取证是必要的,