随着电子数据取证技术的日益成熟,以及越来越多的执法人员加入企业,从事合规调查、反欺诈调查、稽核监察等内部调查,该技术逐步被越来越多的国内外知名企业所接受,并用于企业的内部调查。而在繁琐的电子取证中,邮件分析恢复工作占据了很大的比重,如何有效、快速且精确的对邮件进行分析和处理便成为我们所关注的重点。
在选择所需工具之前,我们先要确认自己的实际需求及数据环境,从而有针对性的关注邮件分析及取证产品。
删除邮件的恢复
1.本地邮件删除
对于本地客户端内的删除邮件,使用高性价比的数据恢复工具就能帮助我们完成任务,如R-Studio恢复套件、Recover My files、Stellar的Email套件等。
如果遇到整体邮件客户端,以及邮件数据包被整体删除的情况,就需要使用专业取证工具,如FTK、EnCase、X-Ways、BlackBag等都可以更好地恢复数据并进行解析。
2.网络邮件删除
如果用户直接在网上服务器端的邮件删除,我们就很难在目标本地进行恢复了。
如果我们能够获取服务器的访问权限的话,因其一般涉及数据量较大,比较建议直接使用企业取证/数字发现系统,如Quin-C或AD FTK Lab/Enterprise类分布式取证工具。
邮件无法浏览或损坏
此类情况,除了比较专业的取证工具,一些小工具如Aid4Mail、Stellar邮件工具集等都可以帮助我们进行转化。
海量邮件筛查和串联分析
邮件密码恢复
在处理分析中,邮件密码经常会被我们忽略,但是其重要性不可忽视。大体而言,邮件密码恢复主要有两种:
1.邮件客户端密码恢复
微软Mail、FoxMail等,其软件会自动记录邮箱的登录密码。使用如Elcomsoft、Passware邮件系统解密组件,可以帮助我们恢复客户端的密码。
2.网页邮件登录密码恢复
恢复此类密码,首先需要我们分析登录帐户的浏览器,在密码默认保存的情况下,可以通过较高级的取证工具进行恢复,如FTK、EnCase等。
同时若能够获取已经登录邮箱的设备(开机状态),我们也可以通过对电脑的实时内存进行获取并分析,如BlackLight、FTK、EnCase都有类似功能。