計算機犯罪偵查中基于Email取證線(xiàn)索發(fā)現論文

　　論文導讀：電子郵件作為信息交換方式。取證主要是指分析電子郵件的來(lái)源和內容來(lái)作為證據、確定真正的發(fā)送者和接收者、以及發(fā)送的時(shí)間。打擊計算機犯罪技術(shù)也需要隨之不斷發(fā)展。

　　關(guān)鍵詞：電子郵件，取證，計算機犯罪

　　一、引言

　　近年來(lái)，伴隨著(zhù)網(wǎng)絡(luò )與信息化的快速發(fā)展，電子郵件作為信息交換方式，以其新型、快速、經(jīng)濟的特點(diǎn)而成為人們通信和交流的重要方式。論文參考網(wǎng)。與此同時(shí)，各種犯罪分子也開(kāi)始普遍利用電子郵件作為工具來(lái)實(shí)施其罪惡。

　　二、Email取證及相關(guān)問(wèn)題:

　　2.1 Email取證及其現狀

　　Email取證主要是指分析電子郵件的來(lái)源和內容來(lái)作為證據、確定真正的發(fā)送者和接收者、以及發(fā)送的時(shí)間。在實(shí)際辦案過(guò)程中，一般的偵查人員和公訴人員缺乏相關(guān)的專(zhuān)門(mén)知識，在收集、提取、保全、審查、運用電子證據的時(shí)候往往困難重重：電子證據的刪除太快太容易，執法部門(mén)機關(guān)在取證前，可能已經(jīng)被毀滅；目前在我國電子證據能否成為證據、電子證據成為證據的條件及合法性等問(wèn)題存在廣泛爭議；這種偵查難、舉證難、定罪難的境況迫切要求適用的取證工具的產(chǎn)生與應用，而互聯(lián)網(wǎng)電子郵箱申請與真實(shí)身份并沒(méi)有掛鉤，一旦出現問(wèn)題，通過(guò)Email偵查取證難度很大。

　　2.2 Email取證需了解的基本技術(shù)

　　一般來(lái)說(shuō)，E-mail的收/發(fā)信方式分為兩種：通過(guò)ISP或免費郵箱服務(wù)商提供的SMTP發(fā)信服務(wù)器中轉的發(fā)信方式；通過(guò)本機建立SMTP發(fā)信服務(wù)器直接發(fā)送電子郵件的方式。

　　三、Web 電子郵件事件取證線(xiàn)索發(fā)現與分析

　　對電子郵件事件痕跡進(jìn)行檢驗，發(fā)現線(xiàn)索是電子郵件取證的關(guān)鍵問(wèn)題。Web電子郵件線(xiàn)索發(fā)現可以在兩個(gè)地方進(jìn)行：服務(wù)器端和客戶(hù)機端。服務(wù)器端取證一般指通過(guò)在Internet關(guān)鍵節點(diǎn)部署郵件監控系統進(jìn)行取證。通過(guò)將電子郵件監視軟件安裝的ISP的服務(wù)器上，來(lái)監視可疑的電子郵件。論文參考網(wǎng)�？蛻�(hù)端取證是通過(guò)Web郵件用戶(hù)通過(guò)賬號和密碼登錄到郵件服務(wù)器上，進(jìn)行相關(guān)的電子郵件活動(dòng)是取得痕跡。，用戶(hù)查看電子郵件信息時(shí)，只要瀏覽過(guò)，就會(huì )在機器上流下蛛絲馬跡。目前，在我們國內用的最多的瀏覽器是Microsoft公司的InternetExplorer，這里主要研究在客戶(hù)端通過(guò)IE提取痕跡。

　　3.1 Web Email事件的線(xiàn)索發(fā)現

　　用戶(hù)利用IE收發(fā)、閱讀電子郵件的事件，使得IE瀏覽器把某些信息顯示出來(lái)并且放入緩存。因而，Web 電子郵件事件痕跡可以從一些相關(guān)的文件中找到，這些與Web Email痕跡相關(guān)的文件位置主要包括：收藏夾、Cookies、歷史記錄、瀏覽過(guò)的網(wǎng)頁(yè)的鏈接、Internet臨時(shí)文件、Autocompletion文件等。通過(guò)這些可以得到很多包括用戶(hù)的私人信息以及該用戶(hù)所在組織的信息等。

　　3.2 通過(guò)瀏覽器發(fā)現Email事件痕跡，尋找取證線(xiàn)索

　　利用Web瀏覽器來(lái)收、發(fā)、閱讀電子郵件時(shí)會(huì )在硬盤(pán)上留下大量的數據。在Web 瀏覽器的歷史記錄Index.dat文件和緩存記錄里，瀏覽器的歷史記錄和緩存記錄都在本地硬盤(pán)上保存，通過(guò)歷史記錄和緩存記錄查詢(xún)可以很容易的看到瀏覽器曾經(jīng)訪(fǎng)問(wèn)過(guò)的網(wǎng)站的地址。

　　通過(guò)查看Index.dat文件和瀏覽器的緩存來(lái)尋找時(shí)間痕跡。

　　index.dat記錄著(zhù)通過(guò)瀏覽器訪(fǎng)問(wèn)過(guò)的網(wǎng)址、訪(fǎng)問(wèn)時(shí)間、歷史記錄等信息。實(shí)際上它是一個(gè)保存了cookie、歷史記錄和IE臨時(shí)文件記錄的副本。系統為了保密是不會(huì )讓用戶(hù)直接看到index.dat文件。但進(jìn)入IE的臨時(shí)文件夾“TemporaryInternet Files”，在其后面手工加上“Content.IE5”，可發(fā)現該文件夾下面另有文件夾和文件，其中包括index.dat，該文件被系統自身使用，無(wú)法通過(guò)常規方式刪除。通過(guò)查看本地硬盤(pán)的Index.dat，可以查出該機器曾經(jīng)造訪(fǎng)過(guò)哪些網(wǎng)站，是否在相應的時(shí)間訪(fǎng)問(wèn)過(guò)與案件相關(guān)的SSH服務(wù)器、Proxy服務(wù)器或者其它與案件相關(guān)的IP地址。

　　IE使用緩存Cache來(lái)存放已訪(fǎng)問(wèn)過(guò)的一些網(wǎng)站的信息來(lái)提高瀏覽速度。一般地，這些都存在Internet臨時(shí)文件夾里面，起到加速瀏覽網(wǎng)頁(yè)作用，可以通過(guò)查看緩存內容來(lái)發(fā)現Email事件的痕跡。

　　3.3 通過(guò)Web電子郵件的文件頭查找線(xiàn)索

　　Web電子郵件頭中除了標準的電子郵件頭部分，還包含許多其它的信息。有些利用內部局域網(wǎng)連接互聯(lián)網(wǎng)用戶(hù)認為他們處于防火墻之后，他們的真實(shí)身份不會(huì )通過(guò)瀏覽過(guò)的網(wǎng)站暴露出去，但事實(shí)并非如此。因為多數局域網(wǎng)內部用戶(hù)通過(guò)透明代理訪(fǎng)問(wèn)外部的Web服務(wù)器，當用戶(hù)訪(fǎng)問(wèn)外部的郵件服務(wù)器時(shí)，收發(fā)或閱讀郵件時(shí)，在局域網(wǎng)服務(wù)器端，可以通過(guò)Email的頭HTTP_X_FORWARDED_FOR來(lái)獲取代理服務(wù)器的服務(wù)器名以及端口，通過(guò)HTTP_VIA可以知道客戶(hù)的內部IP。

　　在現實(shí)中，發(fā)信者為掩蓋其發(fā)信信息，利用一些工具來(lái)掩蓋電子郵件的文件頭信息，例如使用Open-Relay、匿名E-mail、Open Proxy 、SSH通道等，在電子郵件頭中提供錯誤的接收者信息來(lái)發(fā)送信息。利用Open-Relay，郵件服務(wù)器不理會(huì )郵件發(fā)送者或郵件接受者是否為系統所設定的用戶(hù)，而對所有的入站郵件一律進(jìn)行轉發(fā)（Relay）。發(fā)信者在發(fā)送電子郵件的時(shí)候，就會(huì )利用這種開(kāi)放功能的郵件服務(wù)器作為中轉服務(wù)器，從而隱藏發(fā)送者的個(gè)人信息和IP地址。實(shí)際上通過(guò)open relay服務(wù)器發(fā)送的電子郵件中仍包含真正發(fā)送者的IP地址信息，對于使用Open Rely的Web電子郵件，可以從兩方面來(lái)取得線(xiàn)索：Web電子郵件的郵件頭中包含原始發(fā)信人的IP地址；Open Relay服務(wù)器的Open Relay日志文件里面也包含原始發(fā)信人的IP地址。

　　在匿名E-mail情況下，接受方?jīng)]有任何發(fā)件人信息，但可以從郵件信頭部分看到發(fā)信的時(shí)間，使用的郵件服務(wù)器等信。論文參考網(wǎng)。發(fā)信者使用匿名郵件轉發(fā)器轉發(fā)電子郵件，將郵件轉發(fā)到目的地，真正的發(fā)信人則被隱藏起來(lái)，相對來(lái)說(shuō)，這種情況下的線(xiàn)索就顯得比較復雜。具體做法如下：首先可以通過(guò)電子郵件頭和Web電子郵件的日志文件來(lái)回溯到提供匿名發(fā)信服務(wù)的服務(wù)器（提供匿名發(fā)送的Web站點(diǎn)），然后查看其日志文件，確定發(fā)送被追查的Email發(fā)送的時(shí)刻，到底哪個(gè)Web電子郵件賬號連接到了匿名服務(wù)的Web服務(wù)器上，其IP地址是什么。

　　Open Proxy具有連接或重寄信息到其他系統服務(wù)器上的功能，作為一個(gè)Proxy，實(shí)際上也就是一個(gè)網(wǎng)絡(luò )信息傳遞的中間人，對于通過(guò)open Proxy發(fā)送的電子郵件，在轉發(fā)信息的過(guò)程中系統刪除了能確定流量源頭的原始信息，對這種電子郵件，發(fā)現線(xiàn)索的只能是通過(guò)電子郵件頭以及Web電子郵件的日志尋找其使用的Open Proxy的IP地址，然后在代理服務(wù)器的日志文件中來(lái)發(fā)現真正的發(fā)信人地址。

　　四、結束語(yǔ)：

　　隨著(zhù)計算機網(wǎng)絡(luò )及其相關(guān)技術(shù)的發(fā)展，打擊計算機犯罪技術(shù)也需要隨之不斷發(fā)展，計算機勘察取證技術(shù)所面臨的問(wèn)題將不斷增多。本文僅對Web電子郵件痕跡取證進(jìn)行了初步的研究，如何針對這些Web電子郵件事件痕跡，設計一個(gè)綜合的Web電子郵件取證工具是下一步要繼續研究的內容。

【計算機犯罪偵查中基于Email取證線(xiàn)索發(fā)現論文】相關(guān)文章：

淺究大數據在職務(wù)犯罪偵查模式轉型中的應用12-09

基于vc與word、outlook對象模型的email實(shí)現03-18

試論國際貿易理論演化中的哲學(xué)線(xiàn)索和歷史線(xiàn)索03-19

網(wǎng)絡(luò )環(huán)境中如何取證03-20

基于JPEG雙量化效應的圖像盲取證03-17

如何快速地從網(wǎng)頁(yè)中獲得Email地址12-25

基于ＳＮＭＰ的拓撲發(fā)現的研究03-03

淺談基于NetMeeting的計算機語(yǔ)言教學(xué)模式論文11-15

大規模IP網(wǎng)絡(luò )中基于SNMP的網(wǎng)絡(luò )拓撲發(fā)現方法分析11-30

審計取證中存在的題目及對策03-24