买专利,只认龙图腾
首页 专利交易 科技果 科技人才 科技服务 商标交易 会员权益 IP管家助手 需求市场 关于龙图腾
 /  免费注册
到顶部 到底部
清空 搜索

【发明授权】一种脱机邮件收发痕迹的提取方法_四川效率源信息安全技术股份有限公司_201510884707.8 

申请/专利权人:四川效率源信息安全技术股份有限公司

申请日:2015-12-04

公开(公告)日:2019-12-10

公开(公告)号:CN106850389B

主分类号:H04L12/58(20060101)

分类号:H04L12/58(20060101)

优先权:

专利状态码:有效-授权

法律状态:2019.12.10#授权;2017.07.07#实质审查的生效;2017.06.13#公开

摘要:本发明公开了一种脱机邮件收发痕迹的提取方法,属于电子数据取证领域,包括以下步骤:101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;102解析101中找到的邮件客户端程序存储的原始数据文件;103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;104根据103中的数据状态进行正常与删除邮件收发数据提取。采用本发明的方法可以达到以下效果:1.可以快速确定邮件的的记录存储文件;2.可以快速解析邮件痕迹文件数据;3.可以将正常与删除历史邮件痕迹数据进行提取。

主权项:1.一种脱机邮件收发痕迹的提取方法,其特征在于,包括如下步骤:101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;102解析101中找到的邮件客户端程序存储的原始数据文件;103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;104根据103中的数据状态进行正常与删除邮件收发数据提取;105解析101中找到的邮件客户端程序存储的原始数据文件;针对删除的历史记录运用sqlite底层分析获取;对提取出来的网页浏览记录的SQLite数据库,通过SQLite数据库查看工具,进行如下操作:1查找数据库文件头确定数据库文件中页的大小;2从SQLite_Matter表的rootpage字段找到表的根页,根页的起始地址=页的大小*根页-1,获取存放浏览器的历史记录的数据表urls;3从urls表的根页开始,依次遍历所有urls表的页,判断页类型,若为表叶子页,则记录下该页页号;若为表内部页,则查找该内部页的所有叶子页,记录该内部页的页号及所有叶子页的页号;所有属于urls表的页都遍历完成后,返回所有的页号,并使页号在逻辑上形成B树;根据urls表的B树,依次取出页号,读取页内容;对于每个页,判断页类型,在位图上标记该页的未分配区、自由块、碎片;如果该页为表内部页,只做标记;如果是表叶子页,对表叶子页的单元进行解析,若单元含有溢出页则对溢出页中的碎片数据进行标记,得到SQlite数据库的所有表信息;将解析出来的所有表信息存储,根据位图上的标记,再结合数据存储特征,即邮件存储的关键字段名称与字段类型,在脱机文件未使用的区域中获取删除的数据;106根据105确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;107根据106中的数据状态进行正常与删除邮件收发数据提取。

全文数据:一种脱机邮件收发痕迹的提取方法技术领域[0001]本发明涉及电子数据取证领域,特别涉及一种脱机邮件收发痕迹的提取方法。背景技术[0002]在信息化迅速发展的21世纪,计算机技术日新月异,与人们的日常生活息息相关,电子信息是数据的主要载体,众多企事业单位、国家部门、个人都大量使用电子邮件作为信息传递的手段,正确的使用电子邮件当然是好的,但是也有一些人利用电子邮件的方便、快捷、传输信息直观,准确,特别是图片信息特点,使用电子邮件传递一些违法信息,在电子取证中遇到时,没有账号密码的情况下,现有技术是无法或者不能全部获取电子邮件传递的信息的。[0003]电子邮件在传输过程中会在应用目录下生成脱机文件,但是这个文件的存储格式并不一致,在实际情况下无发准确的提取出传输的信息,使电子取证工作陷入僵局。发明内容[0004]本发明针对现有技术的不足,提供一种脱机邮件收发痕迹的提取方法,能够有效解决现有技术较难做到快速的提取磁盘中邮件痕迹信息,还有部分则很难完整、全面地提取邮件痕迹信息的问题。[0005]为解决以上问题,本发明采用的技术方案如下:一种脱机邮件收发痕迹的提取方法,包括如下步骤:101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;[0006]1〇2解析101中找到的邮件客户端程序存储的原始数据文件;[0007]103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;[0008]104根据103中的数据状态进行正常与删除邮件收发数据提取;[0009]1〇5解析101中找到的邮件客户端程序存储的原始数据文件;[0010]1〇6根据105确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;[0011]107根据1〇6中的数据状态进行正常与删除邮件收发数据提取。[0012]作为优选,所述1〇2具体方法如下:[0013]1021解析管理表,其中记录了任务开始的位置、任务的长度、已用空间、消息的开始位置、消息的长度、消息的使用长度和Index表的开始位置;[0014]1022解析Index表,其中记录了用于检验Index表是否的正确信息、正常邮件信息条数和每条记录的记录单位;其中,记录单位中前四个字节是记录邮件痕迹数据从文件开始偏移值,此记录与正常条数一致,后面多余的即为删除数据的开始位置,根据此记录的值即可找到正常与删除的邮件痕迹开始位置的Message表;[0015]1〇23解析Message表,其中在Message表中标记了邮件痕迹信息的数据特征、本数据在文件的开始偏移位置和本数据的长度。[0016]作为优选,所述104的具体方法如下:1〇4根据邮件历史记录排列顺序对二进制文件中的数据进行组合分类,进行正常数据与删除数据的提取。[0017]作为优选,所述107的具体方法如下:107根据邮件历史记录排列顺序对sqlite数据库文件中的数据进行组合分类,进行正常数据与删除数据的提取。[0018]采用本发明的方法可以达到以下效果:[0019]1.可以快速确定邮件的的记录存储文件;[0020]2.可以快速解析邮件痕迹文件数据;[0021]3.可以将正常与删除历史邮件痕迹数据进行提取。附图说明[0022]图1为脱机邮件收发痕迹的提取主流程示意图。具体实施方式[0023]为使本发明的目的、技术方案及优点更加清楚明白,以下参照附图并举实施例,对本发明做进一步详细说明。[0024]—种脱机邮件收发痕迹的提取方法,包括如下步骤:[0025]101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;[0026]102解析101中找到的邮件客户端程序存储的原始数据文件;[0027]103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;[0028]104根据103中的数据状态进行正常与删除邮件收发数据提取;[0029]105解析101中找到的邮件客户端程序存储的原始数据文件;[0030]106根据105确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;[0031]107根据106中的数据状态进行正常与删除邮件收发数据提取。[0032]进一步地,邮件收发痕迹的二进制文件存储是根据带有一定含义的字节按层次依次管理,每层都有带有含义的字节来描述相关的信息,一般邮件收发的二进制文件在开始会有管理表,管理表会记录使用空间、消息长度、任务与索引表,其中索引表又会记录正常邮件的位置,最后在根据指向找到邮件收发痕迹的数据,数据中也会有标记字节记录各种数据收发件人、时间、主题等信息的位置与长度。[0033]下面以outlookexpress为例,在outlookexpress二进制文件中包含很多参数,所述102具体方法如下:[0034]1021解析管理表,其中记录了任务开始的位置、任务的长度、已用空间、消息的开始位置、消息的长度、消息的使用长度和Index表的开始位置;[0035]1022解析Index表,其中记录了用于检验Index表是否正确发信息、正常邮件信息条数和每条记录的记录单位;其中,记录单位中前四个字节是记录邮件痕迹数据从文件开始偏移值,此记录与正常条数一致,后面多余的即为删除数据的开始位置,根据此记录的值即可找到正常与删除的邮件痕迹开始位置的Message表;[0035]1023解析Message表,其中在Message表中标记了邮件痕迹信息的数据特征、本数据在文件的开始偏移位置和本数据的长度。[0037]进一步地,所述104的具体方法如下:根据邮件历史记录排列顺序对二进制文件中的数据进行组合分类,进行正常数据与删除数据的提取。[0038]在Message表中有表记邮件痕迹信息的数据特征;有记录本数据在文件的开始偏移位置;有记录本数据的长度;Message表中开始一定字节数后紧跟数据属性与数据跳转位置,每条数据属性与数据跳转位置的长度。其中有固定值表明消息的含义,如:数据属性为;值为0x01邮件状态标记,0x02时间,0x05原始主题,0x06内容保存时间,0x07消息ID,0x08主题,0x0c发件人服务器类型,〇x〇d发件人,OxOe发件人邮箱,0x12消息创建时间,0x13接收人,0x14接收邮箱,0x15接收人服务器类型,Oxlb邮件注册表key标记。[0039]进一步地,所述107的具体方法如下:1〇7根据邮件历史记录排列顺序对sqlite数据库文件中的数据进行组合分类,进行正常数据与删除数据的提取。[0040]进一步地:sqlite文件历史记录提取:[°041]1051邮件的收发文件是sqlite文件,其中正常数据可以直接使用sqlite浏览器直接查看;[0042]1052针对删除的历史记录可以运用sqlite底层分析获取;[0043]1053sqlite数据库文件结构,数据库的每一个表都是由多个B-Tree页组成。如果删除数据所在的页存在其他未删除数据,则删除数据区域只会变成一个FreeBlock块,其中的数据并没有真正删除,并且数据库文件大小不变。B-Tree页的树形结构,其中,根页和内部页主要用于导航,目的是找到存储于叶子页中的数据记录,其中包括已删除的数据;[0044]1054重点分析提取出来的网页浏览记录的SQLite数据库数据库名为:history通过SQLite数据库查看工具,进行如下的操作:[0045]1查找数据库文件头确定数据库文件中页的大小。分析该数据库文件头,可以知道B_Tree页的大小为0X1000;[0046]2从SQLite_MaUe;r表的rootpage字段找到表的根页,根页的起始地址=页的大小*根页-1。本例中存放浏览器的历史记录的数据表为urls;[OO47]3从urls表的根页开始,依次遍历所有urls表的页,判断页类型,若为表叶子页,则记录下该页页号;若为表内部页,则查找该内部页的所有叶子页,记录该内部页的页号及所有叶子页的页号。所有属于urls表的页都遍历完成后,返回所有的页号,并使页号在逻辑上形成B树;根据urls表的B树,依次取出页号,读取页内容。对于每个页,判断页类型,在位图上标记该页的未分配区、自由块、碎片。如果该页为表内部页,由于不存放数据,所以只做标记;如果是表叶子页对表叶子页的单元进行解析,若单元含有溢出页则对溢出页中的碎片数据进行标记,得到SQ1ite数据库的所有表信息;将解析出来的所有表信息存储,根据位图上的标记,再结合数据存储特征,就是邮件存储的关键字段名称与字段类型,根据名称与类型就可以在脱机文件未使用的区域中获取删除的数据。[0048]进一步地:根据邮件历史记录排列顺序来对二进制文件中的数据进行组合分类,完成正常数据与删除数据的提取。[0049]本领域的普通技术人员将会意识到,这里所述的实施例是为了帮助读者理解本发明的实施方法,应被理解为本发明的保护范围并不局限于这样的特别陈述和实施例。本领域的普通技术人员可以根据本发明公开的这些技术启示做出各种不脱离本发明实质的其它各种具体变形和组合,这些变形和组合仍然在本发明的保护范围内。

权利要求:1.一种脱机邮件收发痕迹的提取方法,其特征在于,包括如下步骤:101解析文件系统获取邮件客户端程序存储的原始数据文件,判断其数据文件是二进制文件还是sqlite数据库文件,如果是二进制文件则跳至102,否则跳至105;102解析101中找到的邮件客户端程序存储的原始数据文件;103根据102确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;104根据103中的数据状态进行正常与删除邮件收发数据提取;105解析101中找到的邮件客户端程序存储的原始数据文件;106根据105确定邮件痕迹记录的正常收发痕迹和删除历史收发痕迹记录数据;107根据106中的数据状态进行正常与删除邮件收发数据提取。2.根据权利要求1所述的脱机邮件收发痕迹的提取方法,其特征在于,所述102具体方法如下:1021解析管理表,其中记录了任务开始的位置、任务的长度、己用空间、消息的开始位置、消息的长度、消息的使用长度和Index表的开始位置;1022解析Index表,其中记录了用于检验Index表是否的正确信息、正常邮件信息条数和每条记录的记录单位;其中,记录单位中前四个字节是记录邮件痕迹数据从文件开始偏移值,此记录与正常条数一致,后面多余的即为删除数据的开始位置,根据此记录的值即可找到正常与删除的邮件痕迹开始位置的Message表;1〇23解析Message表,其中在Message表中标记了邮件痕迹信息的数据特征、本数据在文件的开始偏移位置和本数据的长度。3.根据权利要求1或2所述的脱机邮件收发痕迹的提取方法,其特征在于,所述104的具体方法如下:104根据邮件历史记录排列顺序对二进制文件中的数据进行组合分类,进行正常数据与删除数据的提取。4.根据权利要求1或2所述的脱机邮件收发痕迹的提取方法,其特征在于,所述107的具体方法如下:107根据邮件历史记录排列顺序对sqlite数据库文件中的数据进行组合分类,进行正常数据与删除数据的提取。

百度查询: 四川效率源信息安全技术股份有限公司 一种脱机邮件收发痕迹的提取方法

免责声明
1、本报告根据公开、合法渠道获得相关数据和信息,力求客观、公正,但并不保证数据的最终完整性和准确性。
2、报告中的分析和结论仅反映本公司于发布本报告当日的职业理解,仅供参考使用,不能作为本公司承担任何法律责任的依据或者凭证。