简谈取证电子邮件侦查取证研究
更新时间:2024-03-07
点赞:28438
浏览:131211
作者:用户投稿
本站原创
【摘 要】本文通过对目的邮箱内电子邮件按照内容进行了归类,构建出了嫌疑人的通信人物关系图;通过对电子邮件头文件的分析,鉴定出了电子邮件的真伪,定位出了嫌疑电子邮件发送者的具体位置,从而形成了一套完整的电子邮件侦查取证的途径,以便提高民警在日益复杂的网络环境摘自:本科毕业论文范文www.618jyw.com
中打击违法犯罪的能力。
【关键词】邮件侦查 邮件取证 头文件分析 关联分析
1674-4810(2013)19-0192-02
一 绪论
随着科学技术的快速发展,电子邮件已逐渐代替了传统的纸质信件,成为了日常生活中进行交流沟通的一种重要途径。电子邮件通常是嫌疑人犯罪活动丰富的信息源,其中包含了犯罪嫌疑人大量的通信记录以及违法犯罪的事实。对疑犯的电子邮件进行深入的侦查取证,必将为我们的侦查取证工作提供一条崭新的思路。
邮件侦查主要是指在获得了犯罪嫌疑人或受害者终端上的电子邮件客户端以及曾登陆过的网页版电子邮件的历史记录从而获取邮件内容的一种侦查技术。
通过邮件源文件的存储格式,我们很快就可以得到嫌疑人电脑上电子邮件的全部内容。得到电子邮件的源文件存储位置之后,我们可以有以下操作:首先,在取证方计算机用Microsoft Outlook登陆取证方的邮箱,然后将目标.pst文件复制到取证方计算机中Microsoft Outlook的.pst文件的路径下,并覆盖原来的.pst文件。此时,取证方的邮箱中就能将目标对象的邮件信息读取出来。
Cookies用来存放用户网页上登录过的用户名以及,其中蕴含了大量网页登录的以及口令,可是Cookies中的Password并不是以明文的形式存储在我们的文件中。因此想要通过Cookies进入邮箱,我们还需进行更深入的剖析。
Web客户端向服务器发起连接请求,服务器接收到请求后,根据用户端提供的信息产生一个Set-Cookies Header并将其回传给Web客户端,建立一次会话连接。当Web客户端收到应答后,形成一个Cookies文本文件储存在客户端计算机的硬盘中或保存在客户端计算机的内存中。当Web客户端再次向服务器发起连接请求时,Web浏览器首先在本地计算机上寻找对应Cookies文本文件或在本地计算机的内存中寻找对应的Cookies内容。
在得知Cookies工作原理之后,我们可以在Web客户端上面提取并复制其中的Set_Cookie段,隐蔽的发起“再次连接请求”,从而通过旁路对服务器上的邮件内容进行访问。
电子邮件关联分析,是指从恢复的邮件文件中,进行邮件内容的检索和关联,通过分析,获得与侦查取证有关的线索。电子邮件关联分析包括邮件过滤、构建人物关系图等。
所经过的邮件服务器名称以及IP地址,其排列顺序与经过的路径呈倒序;With表明了邮件发送过程是使用客户端还是网页登录;Message-ID是邮件传输过程中的全局唯一编号。
通过分析邮件头,取证人员可以追查发件人使用计算机的IP地址、收/发件人的邮箱、邮件的发送时间等相关信息,从而可以通过与邮件服务商进行沟通,从而对电子邮件的源头进行定位。
五 总结
总之,在电子邮件通信飞速发展的今天,电子邮件犯罪呈现出不断攀升的局势,许多嫌疑人邮箱内部邮件数量极其庞大、杂乱,电子邮件伪造案件也屡见不鲜,对侦查人员的取证和分析带来了很大的烦恼。本文在邮件侦查技术的基础上,主要运用了邮件过滤、构建人物通信关系图等技术,解决了门在电子邮件侦查取证工作中面临海量邮件数据难以处理的难题,同时,通过对邮件头文件的分析,也为门对电子邮件真伪的鉴别和电子邮件犯罪嫌疑人的定位提供了技术支持。相信通过本文中相关技术的应用,电子邮件的侦查取证工作将逐渐开始变得易于操作,电子邮件犯罪案件的侦破效率也将显著提高。
参考文献
〔美〕Warren G.Kruse,Jay G.计算机取证:应急响应精要(段海新等译)[M].北京:人民邮电出版社,2003:27~30
陈龙、麦永浩、黄传河.计算机取证技术[M].武汉:武汉大学出版社,2007:145~160
[3]杨永川、蒋平、黄淑华.计算机犯罪侦查[M].北京:清华大学出版社,2006
[4]谢希仁.计算机网络技术[M].北京:电子工业出版社,2008:254~260
[5]李馥娟.基于Cookies的Web应用分析及其安全研究[J].网络安全技术与应用,2009(8)
[6]杨泽明、刘宝旭、许榕生.电子邮件取证技术[J].网络通信与技术,2011(2)
[7]郭秋香、包兵、罗永刚等.电子邮件取证模型的研究[J].计算机安全,2007(3)
[8]郭弘、金波.利用邮件头分析电子邮件的真伪[J].中国司法鉴定,2010(3)
〔责任编辑:肖薇〕
中打击违法犯罪的能力。
【关键词】邮件侦查 邮件取证 头文件分析 关联分析
1674-4810(2013)19-0192-02
一 绪论
随着科学技术的快速发展,电子邮件已逐渐代替了传统的纸质信件,成为了日常生活中进行交流沟通的一种重要途径。电子邮件通常是嫌疑人犯罪活动丰富的信息源,其中包含了犯罪嫌疑人大量的通信记录以及违法犯罪的事实。对疑犯的电子邮件进行深入的侦查取证,必将为我们的侦查取证工作提供一条崭新的思路。
邮件侦查主要是指在获得了犯罪嫌疑人或受害者终端上的电子邮件客户端以及曾登陆过的网页版电子邮件的历史记录从而获取邮件内容的一种侦查技术。
二、邮件侦查技术
1.获取客户端电子邮件内容
电子邮件客户端应用软件为用户提供了方便快捷的电子邮件服务,这些应用软件包括Microsoft Outlook、Foxmail、Outlook Express等。对客户端电子邮件进行取证,首先需要从目标计算机中获取邮件的原始数据,进而提取邮件的相关数据,为电子邮件的分析和取证提供条件。由于众多电子邮件客户端应用软件的事后侦查技术原理相似,因此本文仅以Microsoft Outlook为例,分析电子邮件的侦查取证过程。通过邮件源文件的存储格式,我们很快就可以得到嫌疑人电脑上电子邮件的全部内容。得到电子邮件的源文件存储位置之后,我们可以有以下操作:首先,在取证方计算机用Microsoft Outlook登陆取证方的邮箱,然后将目标.pst文件复制到取证方计算机中Microsoft Outlook的.pst文件的路径下,并覆盖原来的.pst文件。此时,取证方的邮箱中就能将目标对象的邮件信息读取出来。
2.获取网页版电子邮件内容
在客户端之外,许多用户喜欢在网页上使用免费的电子邮件,这为侦查取证带来了一定的难度。在Web-Email的内容获取途径中,主要包括网页上的历史记录、Internet的临时文件、网页缓存以及Cookies等,这些Web-Email的记录都涵盖在了Temporary Internet Files中。针对Temporary Internet Files,我们几乎可以找到在本主机上登录过的所有电子邮件的信息,以便于从中获取更多的电子邮件通信内容。Cookies用来存放用户网页上登录过的用户名以及,其中蕴含了大量网页登录的以及口令,可是Cookies中的Password并不是以明文的形式存储在我们的文件中。因此想要通过Cookies进入邮箱,我们还需进行更深入的剖析。
Web客户端向服务器发起连接请求,服务器接收到请求后,根据用户端提供的信息产生一个Set-Cookies Header并将其回传给Web客户端,建立一次会话连接。当Web客户端收到应答后,形成一个Cookies文本文件储存在客户端计算机的硬盘中或保存在客户端计算机的内存中。当Web客户端再次向服务器发起连接请求时,Web浏览器首先在本地计算机上寻找对应Cookies文本文件或在本地计算机的内存中寻找对应的Cookies内容。
在得知Cookies工作原理之后,我们可以在Web客户端上面提取并复制其中的Set_Cookie段,隐蔽的发起“再次连接请求”,从而通过旁路对服务器上的邮件内容进行访问。
三、电子邮件关联分析
在当前的电子邮件取证过程中,技术人员在完成对邮件文件的恢复后,往往忽视了对邮件内容的进一步关联与分析,导致在将数据转交给侦查人员时,侦查人员面对的是大量的、无关联的电子邮件,这就使得侦查人员无法快速及时地从电子邮件中获取案件线索与证据。为此,要加快电子邮件案件的侦破速度,增强技术人员与侦查人员的协同工作能力,就必须在电子邮件侦查取证过程中,增加电子邮件关联分析这一环节。电子邮件关联分析,是指从恢复的邮件文件中,进行邮件内容的检索和关联,通过分析,获得与侦查取证有关的线索。电子邮件关联分析包括邮件过滤、构建人物关系图等。
1.邮件过滤
在获取的电子邮件中,往往存在许多与侦查取证无关的邮件,干扰侦查人员,降低办案效率。通过对邮件中关键词、收件人等信息的分析与索引,将无关的邮件进行过滤,保留与侦查取证相关的邮件,加快案件的侦破过程。2.构建人物通信关系图
在网络通信发达的当今社会,计算机犯罪通常呈现出一对多、多对多的犯罪形势。因此,就必须对电子邮件的通信双方进行关联与分析,得到犯罪嫌疑人的通信网络等重要信息。如通过对邮箱名、各个邮箱的通信频率和通信内容的侦查分析,从通信网络中分析出嫌疑人同伙的邮箱或受害者的邮箱,从而确定整个犯罪团伙的规模或受害者的数量范围,构造出相关人物通信的关系图。在得出嫌疑人同伙的邮箱和所在的网络之后,就可以通过事前的监控手段,对其网络出口进行布控,扩大侦查范围,在其同伙进行下一次的犯罪行为时,及时的打击与抓捕。四、嫌疑人定位
当我们的侦查人员已整理和分析出电子邮箱中众多邮件的关联关系并找到敏感邮件时,此时我们就需要对邮件头文件进行分析,以便定位出嫌疑人的具体位置,电子邮件的头文件中蕴含了大量的信息,其中Received中from字段表明了邮件所经过的邮件服务器名称以及IP地址,其排列顺序与经过的路径呈倒序;With表明了邮件发送过程是使用客户端还是网页登录;Message-ID是邮件传输过程中的全局唯一编号。
通过分析邮件头,取证人员可以追查发件人使用计算机的IP地址、收/发件人的邮箱、邮件的发送时间等相关信息,从而可以通过与邮件服务商进行沟通,从而对电子邮件的源头进行定位。
五 总结
总之,在电子邮件通信飞速发展的今天,电子邮件犯罪呈现出不断攀升的局势,许多嫌疑人邮箱内部邮件数量极其庞大、杂乱,电子邮件伪造案件也屡见不鲜,对侦查人员的取证和分析带来了很大的烦恼。本文在邮件侦查技术的基础上,主要运用了邮件过滤、构建人物通信关系图等技术,解决了门在电子邮件侦查取证工作中面临海量邮件数据难以处理的难题,同时,通过对邮件头文件的分析,也为门对电子邮件真伪的鉴别和电子邮件犯罪嫌疑人的定位提供了技术支持。相信通过本文中相关技术的应用,电子邮件的侦查取证工作将逐渐开始变得易于操作,电子邮件犯罪案件的侦破效率也将显著提高。
参考文献
〔美〕Warren G.Kruse,Jay G.计算机取证:应急响应精要(段海新等译)[M].北京:人民邮电出版社,2003:27~30
陈龙、麦永浩、黄传河.计算机取证技术[M].武汉:武汉大学出版社,2007:145~160
[3]杨永川、蒋平、黄淑华.计算机犯罪侦查[M].北京:清华大学出版社,2006
[4]谢希仁.计算机网络技术[M].北京:电子工业出版社,2008:254~260
[5]李馥娟.基于Cookies的Web应用分析及其安全研究[J].网络安全技术与应用,2009(8)
[6]杨泽明、刘宝旭、许榕生.电子邮件取证技术[J].网络通信与技术,2011(2)
[7]郭秋香、包兵、罗永刚等.电子邮件取证模型的研究[J].计算机安全,2007(3)
[8]郭弘、金波.利用邮件头分析电子邮件的真伪[J].中国司法鉴定,2010(3)
〔责任编辑:肖薇〕
发表评论
共有3000条评论 快来参与吧~