專利名稱:對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種通過網(wǎng)絡(luò)自動(dòng)獲取指定用戶賬號(hào)的電子郵件的系統(tǒng)和方法�,該系 統(tǒng)和方法適用于現(xiàn)有的提供webmail郵件服務(wù)的郵件系統(tǒng),而不受其后臺(tái)郵件服務(wù)協(xié)議采 用P0P3或IMAP4或其他服務(wù)協(xié)議的局限�����。
背景技術(shù):
現(xiàn)有的郵件取證有下列幾種方法1��、通過本地操作和訪問�,直接從郵件服務(wù)器上獲取指定郵件賬號(hào)的郵件信息。即 通過本地訪問郵件服務(wù)器上的數(shù)據(jù)文件和數(shù)據(jù)庫(kù)數(shù)據(jù)來獲取特定郵件帳戶的郵件�����,從而實(shí) 現(xiàn)取證。該技術(shù)的缺陷在于如果無法直接控制和本地訪問郵件服務(wù)器��,就無法實(shí)施取證��。另 外�����,該技術(shù)只能針對(duì)特定郵件服務(wù)系統(tǒng)上注冊(cè)的郵件帳戶實(shí)施取證��,不具有普適性���。2>ffljl$5ftP0P3(Post Office Protocol) ^ IMAP4(Interactive mail access protocol)協(xié)議����,從支持P0P3或IMAP4協(xié)議的郵件服務(wù)器上獲取需要取證的郵件帳戶的郵 件��,例如使用現(xiàn)有的微軟的OUTLOOK軟件或F0XMAIL軟件���。該技術(shù)缺點(diǎn)在于只能針對(duì)支持 P0P3或IMAP4郵件協(xié)議的郵件系統(tǒng)取證�,而對(duì)webmail不具有普適性�。另外���,該技術(shù)在針 對(duì)P0P3郵件系統(tǒng)時(shí),會(huì)影響指定郵件帳戶的郵件的讀取狀態(tài)���,從而不符合事前取證的隱蔽 性要求�����。3��、通過直接使用瀏覽器訪問實(shí)施取證�����。對(duì)于提供webmail服務(wù)的郵件系統(tǒng)的郵件 帳號(hào),可以通過使用瀏覽器直接訪問郵件服務(wù)系統(tǒng)的主頁(yè)���,從而獲取指定郵件帳號(hào)的郵件 信息����。該技術(shù)存在的缺陷在于一是只能人工手動(dòng)訪問�,速度慢,效率低�;二是由于人工訪 問的時(shí)間差可能引起郵件讀取狀態(tài)的變化或恢復(fù)不及時(shí)�����,導(dǎo)致被被取證人發(fā)現(xiàn)�,從而導(dǎo)致 取證不能繼續(xù)實(shí)施�����。
發(fā)明內(nèi)容
本發(fā)明目的為提供一種對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證的系統(tǒng)和方法��,該系統(tǒng) 及方法能在不破壞��、不影響該用戶正常使用該郵件賬號(hào)的情況下����,達(dá)到隱蔽性取證的目的。本發(fā)明的技術(shù)方案如下一種對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證的系統(tǒng)���,包括取證前端子系統(tǒng)�����、存儲(chǔ)子系 統(tǒng)�、取證后端子系統(tǒng)����;所述取證前端子系統(tǒng)���,用于針對(duì)指定的郵件帳號(hào),定時(shí)����、自動(dòng)、批量下載對(duì)應(yīng)郵件 帳號(hào)存儲(chǔ)在互聯(lián)網(wǎng)上的郵件服務(wù)系統(tǒng)中的尚未取證的所有郵件�,存儲(chǔ)到本地存儲(chǔ)器中,并 保持郵件服務(wù)系統(tǒng)中的郵件狀態(tài)不發(fā)生變化��;所述存儲(chǔ)子系統(tǒng)���,對(duì)取證前端子系統(tǒng)下載的郵件分類按多層次目錄存儲(chǔ)����,同時(shí)存 儲(chǔ)下載郵件的索引�;所述取證后端子系統(tǒng)���,分析和呈現(xiàn)所有被取證郵件的內(nèi)容����,提供郵件的關(guān)鍵字搜 索、排序功能�,提供對(duì)取證前端子系統(tǒng)參數(shù)設(shè)置的功能。
4
所述取證前端子系統(tǒng)包括=Webmail訪問自學(xué)習(xí)模塊��、HTTP通信模塊���、web行為控 制模塊���;所述webmail訪問自學(xué)習(xí)模塊,通過記錄和學(xué)習(xí)人工在瀏覽器中訪問指定的郵件 服務(wù)系統(tǒng)的webmail帳號(hào)登錄��、打開郵件箱行為的通信過程和內(nèi)容�����,形成并記載該郵件服 務(wù)系統(tǒng)的訪問模式�����,該訪問模式用于后續(xù)對(duì)該郵件服務(wù)系統(tǒng)上的指定郵件帳號(hào)的自動(dòng)批量 郵件取證的通信過程���;所述HTTP通信模塊����,依據(jù)通過學(xué)習(xí)得到的訪問模式,完成定時(shí)自動(dòng) 登錄郵件帳號(hào)��、自動(dòng)打開郵件箱���、批量下載需取證郵件��、自動(dòng)恢復(fù)郵件狀態(tài)的HTTP通信過 程�;所述web行為控制模塊�,設(shè)置需HTTP通信模塊要取證的郵件帳號(hào)以及取證過程中的行 為特點(diǎn)(定時(shí)、循環(huán)取證�����、隨機(jī)延時(shí))��,更使得自動(dòng)取證過程具備智能適應(yīng)能力。所述存儲(chǔ)子系統(tǒng)包括郵件存儲(chǔ)模塊,本地郵件存儲(chǔ)器�,所述郵件存儲(chǔ)模塊負(fù)責(zé)郵 件的本地存儲(chǔ)或過渡存儲(chǔ)���;所有下載的郵件存儲(chǔ)到本地郵件存儲(chǔ)器中��,并建立相應(yīng)的索引��。所述取證后端子系統(tǒng)包括郵件內(nèi)容呈現(xiàn)模塊,郵件內(nèi)容解析模塊��,系統(tǒng)管理模 塊����;所述郵件內(nèi)容呈現(xiàn)模塊負(fù)責(zé)以圖形交互界面向用戶呈現(xiàn)存儲(chǔ)在本地郵件存儲(chǔ)器 中的被取證的所有郵件;所述郵件內(nèi)容解析模塊負(fù)責(zé)從郵件中解析提取出郵件的發(fā)件人�、收件人、發(fā)送時(shí) 間���、郵件標(biāo)題���、郵件正文、郵件附件���;所述系統(tǒng)管理模塊負(fù)責(zé)管理和設(shè)置下列內(nèi)容添加�����、修改���、刪除要取證的郵件帳 號(hào);設(shè)置行為控制選項(xiàng)值;整理本地郵件存儲(chǔ)器中存儲(chǔ)的郵件��;取證郵件的查找�、排序。所述存儲(chǔ)子系統(tǒng)采用標(biāo)準(zhǔn)格式.eml格式存儲(chǔ)文件�����,所述的郵件內(nèi)容解析模塊按 照標(biāo)準(zhǔn)定義的格式解析郵件���,解析得到的內(nèi)容中郵件正文和附件采用超文本格式��,其他部 分采用純文本格式����。一種對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證系統(tǒng)的取證方法����,取證方法如下1)利用webmail訪問自學(xué)習(xí)模塊進(jìn)行一次人工輔助學(xué)習(xí)取得webmail訪問模式;2)利用HTTP通信模塊按照webmail訪問自學(xué)習(xí)模塊學(xué)習(xí)到的訪問模式實(shí)現(xiàn)自動(dòng) 批量的郵件取證并自動(dòng)恢復(fù)郵件狀態(tài)實(shí)現(xiàn)(向被取證郵件帳戶的服務(wù)器端發(fā)送郵件狀態(tài) 恢復(fù)請(qǐng)求����,如把被取證郵件狀態(tài)由“已讀”修改為“未讀”)事前取證的隱蔽性;其中隨機(jī)延 時(shí)訪問防止郵件服務(wù)系統(tǒng)對(duì)被取證郵件的帳號(hào)臨時(shí)訪問禁止�����。所述webmail訪問自學(xué)習(xí)模塊學(xué)習(xí)方法如下步驟一在webmail訪問自學(xué)習(xí)模塊提供的瀏覽器引擎中��,輸入該郵件服務(wù)系統(tǒng)的 web訪問地址�,進(jìn)入該郵件服務(wù)系統(tǒng)的主頁(yè)面;步驟二在瀏覽器引擎顯示的主頁(yè)面中�,輸入測(cè)試用的郵件帳號(hào)和密碼,登錄該郵 件服務(wù)系統(tǒng)����,webmail訪問自學(xué)習(xí)模塊包含的HTTP協(xié)議分析器記載該登錄過程的網(wǎng)絡(luò)傳輸 內(nèi)容;步驟三登錄成功后���,依次打開收件箱����、草稿箱����、發(fā)件箱�、已刪除郵件箱����、垃圾箱����, webmail訪問自學(xué)習(xí)模塊包含的HTTP協(xié)議分析器記載上述操作過程的網(wǎng)絡(luò)傳輸內(nèi)容��;步驟四退出郵件服務(wù)系統(tǒng),webmail訪問自學(xué)習(xí)模塊包含的HTTP協(xié)議分析器記載 退出過程的網(wǎng)絡(luò)傳輸內(nèi)容�����;步驟五HTTP協(xié)議分析器分析上述記載的通信過程���,獲得針對(duì)該郵件服務(wù)系統(tǒng)的 HTTP訪問模式,存入訪問模式表���。
5
所述利用HTTP通信模塊實(shí)現(xiàn)自動(dòng)批量的郵件取證及自動(dòng)狀態(tài)恢復(fù)實(shí)現(xiàn)事前取證 的隱蔽性的方法如下步驟一接收TOB行為控制模塊指定的要取證的郵件帳號(hào)信息��;步驟二通過分析郵件帳號(hào)獲取對(duì)應(yīng)的郵件服務(wù)系統(tǒng)的域名��;步驟三從訪問模式表中取得對(duì)應(yīng)郵件服務(wù)系統(tǒng)的訪問模式;步驟四按照訪問模式填寫好登錄對(duì)應(yīng)郵件服務(wù)系統(tǒng)的HTTP通信報(bào)文�����,自動(dòng)登錄 郵件服務(wù)系統(tǒng)��;步驟五按照訪問模式表依次打開該郵件帳號(hào)的所有郵箱�,下載郵箱中未下載過的 每一封郵件,并在下載后向郵件服務(wù)器端發(fā)送狀態(tài)設(shè)置請(qǐng)求命令�,將該封郵件狀態(tài)重新設(shè) 置為原來的狀態(tài);由于頻繁快速下載郵件可能會(huì)導(dǎo)致某些服務(wù)器端暫時(shí)禁止該郵件帳戶的 訪問�����,因此軟件會(huì)在下載一封郵件后�����,隨機(jī)延時(shí)一段時(shí)間再下載下一封郵件���;下載過的郵件 通知web行為控制模塊建立索引����;步驟六按照訪問模式表填寫好退出對(duì)應(yīng)郵件服務(wù)系統(tǒng)的HTTP通信報(bào)文����,退出該 郵件服務(wù)系統(tǒng)。本發(fā)明的技術(shù)效果在于本發(fā)明上述方法和系統(tǒng)�����,既滿足了自動(dòng)批量對(duì)互聯(lián)網(wǎng)郵件實(shí)施取證的要求����,同時(shí) 由于其自動(dòng)化和智能化的訪問行為��,不影響被取證郵件用戶正常訪問其郵件系統(tǒng),滿足了 事前取證的隱蔽性要求。
圖1為本發(fā)明所述對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證的系統(tǒng)和方法結(jié)構(gòu)示意圖��。圖2為本發(fā)明所述系統(tǒng)流程圖����。
具體實(shí)施例方式以下結(jié)合附圖對(duì)本發(fā)明做進(jìn)一步說明�。如圖1所示���,本發(fā)明一種對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證的系統(tǒng),包括取證前 端子系統(tǒng)�、存儲(chǔ)子系統(tǒng)、取證后端子系統(tǒng)��;所述取證前端子系統(tǒng)包括^ebmail訪問自學(xué)習(xí) 模塊����、HTTP通信模塊、web行為控制模塊��;所述存儲(chǔ)子系統(tǒng)包括郵件存儲(chǔ)模塊�����,本地郵件存 儲(chǔ)器��,所述郵件存儲(chǔ)模塊負(fù)責(zé)郵件的本地存儲(chǔ)或過渡存儲(chǔ)�����;所有下載的郵件存儲(chǔ)到本地郵 件存儲(chǔ)器中�����,并建立相應(yīng)的索引���;所述取證后端子系統(tǒng)包括郵件內(nèi)容呈現(xiàn)模塊����,郵件內(nèi)容 解析模塊����,系統(tǒng)管理模塊。(系統(tǒng)運(yùn)行流程參見圖2) 1���、本發(fā)明實(shí)施需要至少以下硬件環(huán)境和設(shè)備的支持�����?���!?CPU IGHz 32 位(x86)或 64 位(x64) 內(nèi)存512MB系統(tǒng)內(nèi)存及以上 顯卡標(biāo)準(zhǔn)VGA���,24位真彩色 網(wǎng)卡10/100/1000Mbps 自適應(yīng) 網(wǎng)絡(luò)環(huán)境家庭寬帶/ADSL/企業(yè)網(wǎng)/校園網(wǎng)/無線網(wǎng) 其它光驅(qū)�����、鼠標(biāo)2�、本實(shí)施例所需要的軟件環(huán)境
操作系統(tǒng)Windows XP sp3 系統(tǒng)參開發(fā)支持環(huán)境 Microsoft. NET Framework 3. 5spl ;參開發(fā)環(huán)境Sharp Develop 3.23��、郵件帳號(hào)列表郵件帳號(hào)列表采用文本文件.txt存儲(chǔ)���。格式定義為用戶名�,密碼�����。如zhouzl2010igrnail. com,123456testl2010iyahoo. com,12345678每個(gè)郵件帳號(hào)獨(dú)占一行����。HTTP通信模塊處理郵件帳號(hào)時(shí),首先識(shí)別帳號(hào)中@符號(hào)后面的部分(如gamil. com, yahoo, com)�,以確定HTTP訪問連接的郵件服務(wù)系統(tǒng)的域名���。4���、行為控制選項(xiàng)采用.ini文件存儲(chǔ),每個(gè)選項(xiàng)獨(dú)占一行,格式定義為選項(xiàng)名=選項(xiàng)值��?��?刂七x項(xiàng) 包括TIMER = 0SLEEP = 10MIN = 10MAX = 25TEMIER用于配置郵件收取端是否定時(shí)自動(dòng)收取郵件��。0�,表示關(guān)閉定時(shí)啟動(dòng)功能����, 1,表示開啟定時(shí)啟動(dòng)功能����。SLEEP用于設(shè)置自上一次自動(dòng)收取郵件結(jié)束后,再次啟動(dòng)收取郵件的間隔時(shí)間���,該 時(shí)間以分鐘為單位��。MIN和MAX選項(xiàng)用于設(shè)置兩次下載郵件中間隨機(jī)延時(shí)的間隔����,以秒為單位���。為使既 能盡快下載郵件�,又不會(huì)因頻繁訪問而被某些郵件服務(wù)系統(tǒng)臨時(shí)禁止訪問,延時(shí)時(shí)間最好 設(shè)置在10到25秒之間�����。5����、已獲取郵件索引按照不同郵件服務(wù)系統(tǒng)分別索引,以郵件ID作為索引號(hào)�,以SQLite數(shù)據(jù)庫(kù)文件保存。6�����、TOB行為控制模塊WEB行為控制模塊執(zhí)行的步驟為步驟一打開郵件帳號(hào)列表文件.txt���、行為控制選項(xiàng)文件.ini���,根據(jù)控制選項(xiàng)設(shè)置 好全局控制變量值;將郵件帳號(hào)列表中的每一行的用戶名���、密碼存儲(chǔ)到待處理郵件帳號(hào)列 表變量中;步驟二傳遞帳號(hào)列表中的第一個(gè)郵件帳號(hào)給HTTP通信模塊,由HTTP通信模塊負(fù) 責(zé)完成對(duì)該郵件帳號(hào)的登錄��、郵件下載���、帳號(hào)退出等操作��,這些操作完成后����,HTTP通信模塊 通知WEB行為控制模塊�����;步驟三待一個(gè)郵件帳號(hào)處理完后�����,WEB行為控制模塊取郵件帳號(hào)列表變量中的下 一個(gè)郵件帳號(hào)傳遞給HTTP通信模塊����,繼續(xù)取證操作;步驟四如果郵件帳號(hào)列表中所有帳號(hào)都已經(jīng)處理完�,WEB行為控制模塊判斷 TIMER選項(xiàng)的值,如為0����,則結(jié)束取證操作�,退出�,如為1,則在計(jì)時(shí)等待由SLEEP選項(xiàng)指定的時(shí)間后��,再?gòu)泥]件列表變量中的第一個(gè)郵件帳號(hào)開始�,重復(fù)步驟二和步驟三;步驟五在循環(huán)模式下��,WEB行為控制模塊循環(huán)上述取證過程���,直到被強(qiáng)制停止結(jié)
束ο7����、webmai 1訪問自學(xué)習(xí)模塊當(dāng)針對(duì)某個(gè)郵件帳號(hào)取證的郵件服務(wù)系統(tǒng)是首次被取證時(shí)(即以前從未針對(duì)該 郵件服務(wù)系統(tǒng)的類似郵件帳號(hào)實(shí)施取證)��,或發(fā)現(xiàn)某次針對(duì)該郵件服務(wù)系統(tǒng)取證失敗時(shí) (失敗的原因可能是郵件服務(wù)系統(tǒng)更新升級(jí))�����,需要使用本模塊針對(duì)該郵件服務(wù)系統(tǒng)進(jìn)行 自學(xué)習(xí)過程�����。Webmail訪問自學(xué)習(xí)模塊由三部分構(gòu)成瀏覽器引擎、HTTP協(xié)議分析器和訪問模式表��。針對(duì)某個(gè)郵件服務(wù)系統(tǒng)的學(xué)習(xí)過程步驟為步驟一在本模塊提供的瀏覽器引擎中�����,輸入該郵件服務(wù)系統(tǒng)的web訪問地址�,進(jìn) 入該郵件服務(wù)系統(tǒng)的主頁(yè)面���。步驟二在瀏覽器引擎顯示的主頁(yè)面中�,輸入測(cè)試用的郵件帳號(hào)和密碼��,登錄該郵 件服務(wù)系統(tǒng)��。本模塊包含的HTTP協(xié)議分析器記載該登錄過程的網(wǎng)絡(luò)傳輸內(nèi)容�����。步驟三登錄成功后��,依次打開收件箱���、草稿箱��、發(fā)件箱�、已刪除郵件箱、垃圾箱���。本 模塊包含的HTTP協(xié)議分析器記載上述操作過程的網(wǎng)絡(luò)傳輸內(nèi)容�����。步驟四退出郵件服務(wù)系統(tǒng)��,本模塊包含的HTTP協(xié)議分析器記載退出過程的網(wǎng)絡(luò) 傳輸內(nèi)容�����。步驟五HTTP協(xié)議分析器分析上述記載的通信過程��,獲得針對(duì)該郵件服務(wù)系統(tǒng)的 HTTP訪問模式����,存入訪問模式表���。一次學(xué)習(xí)完成后�����,HTTP通信模塊就可以利用學(xué)習(xí)到的訪問模式在后續(xù)的取證過程 中自動(dòng)訪問該郵件服務(wù)系統(tǒng)����,收取郵件,而無須人工干預(yù)��。8��、HTTP通信模塊對(duì)于指定取證的郵件帳號(hào)����,HTTP通信模塊按照web自學(xué)習(xí)模塊學(xué)習(xí)到的訪問模 式�����,自動(dòng)通過HTTP協(xié)議訪問相應(yīng)的郵件服務(wù)系統(tǒng)�����,完成自動(dòng)批量郵件取證下載工作���。針對(duì)某個(gè)郵件帳號(hào)的HTTP通信模塊的實(shí)現(xiàn)步驟如下步驟一接收TOB行為控制模塊指定的要取證的郵件帳號(hào)信息��;步驟二通過分析郵件帳號(hào)獲取對(duì)應(yīng)的郵件服務(wù)系統(tǒng)的域名�;步驟三從訪問模式表中取得對(duì)應(yīng)郵件服務(wù)系統(tǒng)的訪問模式;步驟四按照訪問模式填寫好登錄對(duì)應(yīng)郵件服務(wù)系統(tǒng)的HTTP通信報(bào)文(包括郵件 帳號(hào)�����,密碼)�,自動(dòng)登錄郵件服務(wù)系統(tǒng);步驟五按照訪問模式表依次打開該郵件帳號(hào)的所有郵箱�,下載郵箱中未下載過的 每一封郵件。郵件下載后�,郵件服務(wù)器端會(huì)自動(dòng)將“未讀”郵件狀態(tài)設(shè)置成“已讀”,HTTP通 信模塊要向郵件服務(wù)器端服務(wù)軟件發(fā)送命令����,要求服務(wù)器端重新將該郵件狀態(tài)設(shè)置成“未 讀”,即可實(shí)現(xiàn)在下載后恢復(fù)該封郵件狀態(tài)為原來的“未讀”狀態(tài)�����。兩封連續(xù)的郵件下載中 間HTTP通信模塊要隨機(jī)產(chǎn)生一個(gè)延時(shí)時(shí)間(值處于行為控制選項(xiàng)的MIN和MAX之間)����,延 時(shí)后再繼續(xù)下載下一封郵件。下載過的郵件通知web行為控制模塊建立索引�;步驟六按照訪問模式表填寫好退出對(duì)應(yīng)郵件服務(wù)系統(tǒng)的HTTP通信報(bào)文,退出該
8郵件服務(wù)系統(tǒng)。9��、郵件存儲(chǔ)模塊和本地郵件存儲(chǔ)器郵件存儲(chǔ)模塊負(fù)責(zé)郵件的本地存儲(chǔ)或過渡存儲(chǔ)����。所有下載的郵件存儲(chǔ)到本地郵件 存儲(chǔ)器中,并建立相應(yīng)的索引�。郵件存儲(chǔ)時(shí),按照不同的郵件服務(wù)商����、郵件帳號(hào)����、郵箱三個(gè)層次分類存儲(chǔ)到不同的 本地存儲(chǔ)目錄中。每封郵件都存儲(chǔ)成標(biāo)準(zhǔn)的.eml格式的文件���。10�、郵件內(nèi)容解析模塊郵件存儲(chǔ)文件.eml格式是一種公開格式的標(biāo)準(zhǔn)����,按照標(biāo)準(zhǔn)定義的格式解析,即可 以從文件中提取出郵件的發(fā)件人�、收件人、發(fā)送時(shí)間、郵件標(biāo)題���、郵件正文��、郵件附件�。其中��, 郵件正文和附件允許是超文本格式�,其他部分為純文本格式。11��、郵件內(nèi)容呈現(xiàn)模塊本模塊負(fù)責(zé)以圖形交互界面向用戶呈現(xiàn)存儲(chǔ)在本地郵件存儲(chǔ)器中的被取證的所 有郵件�����。呈現(xiàn)步驟為步驟一由系統(tǒng)用戶指定本地郵件存儲(chǔ)器的目錄地址��;步驟二讀取指定的目錄地址中的內(nèi)容����,按照目錄下的所有郵件服務(wù)系統(tǒng)的類型建 立一級(jí)樹結(jié)點(diǎn),在圖形界面中顯示這些一級(jí)樹結(jié)點(diǎn)內(nèi)容�;步驟三讀取指定目錄地址中的內(nèi)容,按照目錄下各郵件服務(wù)系統(tǒng)下的郵件帳號(hào)建 立二級(jí)樹結(jié)點(diǎn)�,在圖形界面中顯示這些二級(jí)樹結(jié)點(diǎn)內(nèi)容�;步驟三讀取指定目錄地址中的內(nèi)容����,按照目錄下各郵件服務(wù)系統(tǒng)下的郵件帳號(hào)下 的郵箱建立三級(jí)樹結(jié)點(diǎn),在圖形界面中顯示這些三級(jí)樹結(jié)點(diǎn)內(nèi)容���;步驟四當(dāng)用戶點(diǎn)擊圖形界面中的一��、二級(jí)樹結(jié)點(diǎn)時(shí)��,展開下一級(jí)樹結(jié)點(diǎn)��;當(dāng)用戶點(diǎn) 擊圖形界面中三級(jí)樹結(jié)點(diǎn)時(shí)��,在圖形界面的列表中顯示本地存儲(chǔ)的對(duì)應(yīng)郵箱中的所有郵件 的摘要信息�。包括發(fā)件人�����、收件人�、發(fā)送時(shí)間��、郵件標(biāo)題�、是否有附件��;步驟四當(dāng)用戶點(diǎn)擊圖形界面中的列表中的某封郵件時(shí)�,彈出獨(dú)立的頁(yè)面�,在獨(dú)立 頁(yè)面中顯示該封郵件的所有摘要和正文內(nèi)容。12���、系統(tǒng)管理模塊系統(tǒng)管理模塊負(fù)責(zé)管理和設(shè)置下列內(nèi)容添加����、修改��、刪除要取證的郵件帳號(hào)����;設(shè) 置行為控制選項(xiàng)值;整理本地郵件存儲(chǔ)器中存儲(chǔ)的郵件�����;取證郵件的查找����、排序。本發(fā)明存在以下的特點(diǎn)1)普適性無論被取證郵件服務(wù)系統(tǒng)是采用P0P3�����、IMAP4還是其他協(xié)議,只要其郵 件服務(wù)系統(tǒng)提供WEB訪問方式的服務(wù)�����,就適用于本發(fā)明的方法和系統(tǒng)��?���;萌∽C過程自動(dòng)化、智能化���。設(shè)置好需取證的郵件帳戶后���,后續(xù)的取證過程無需人 工干預(yù),可以長(zhǎng)時(shí)間的循環(huán)自動(dòng)取證�。智能化地調(diào)整對(duì)同一個(gè)郵件帳戶的服務(wù)系統(tǒng)的訪問 頻度�����,避免了由于頻繁訪問而被臨時(shí)封鎖帳戶的可能�����。智能化地識(shí)別郵件帳號(hào)中的信箱的 數(shù)量,避免遺漏�����。智能化地識(shí)別未取證郵件和已取證郵件��,避免重復(fù)取證���。3)批量取證只要把要取證的所有郵件帳戶設(shè)置到郵件帳號(hào)列表中����,本發(fā)明的系 統(tǒng)就可以依次處理所有設(shè)置的帳戶��,自動(dòng)將帳戶中收件箱�、發(fā)件箱、垃圾箱等信箱中的未取 證郵件下載到本地存儲(chǔ)器中�。無需人工手動(dòng)自挨個(gè)郵件取證下載。
4)不影響被取證郵件帳戶用戶的正常使用��,隱蔽性好��。本發(fā)明的系統(tǒng)在自動(dòng)下載 郵件后�,若該封郵件下載后狀態(tài)發(fā)生變化����,即向郵件服務(wù)器端自動(dòng)發(fā)送郵件狀態(tài)修改請(qǐng)求 命令����,恢復(fù)郵件的原來狀態(tài),如從“已讀”恢復(fù)成“未讀”���,這種恢復(fù)操作間隔時(shí)間同人工操作 相比較��,幾乎可以忽略不計(jì)���。因此,即使在取證過程中�,被取證郵件帳戶的用戶正同時(shí)使用 瀏覽器登錄郵件服務(wù)器端訪問該郵件帳戶,瀏覽該郵件帳戶郵箱中的郵件�,也不能發(fā)現(xiàn)被 取證郵件的這種狀態(tài)上的瞬時(shí)變化,從而不會(huì)對(duì)取證過程有所察覺���。以上所述僅為本發(fā)明的較佳實(shí)施例而已���,并不用以限制本發(fā)明,凡在本發(fā)明的精 神和原則之內(nèi)所作的任何修改��、等同替換和改進(jìn)等��,均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)��。
權(quán)利要求
1.一種對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證的系統(tǒng)����,其特征在于包括取證前端子系 統(tǒng)、存儲(chǔ)子系統(tǒng)�、取證后端子系統(tǒng);所述取證前端子系統(tǒng)�,用于針對(duì)指定的郵件帳號(hào),定時(shí)��、自動(dòng)���、批量下載對(duì)應(yīng)郵件帳號(hào) 存儲(chǔ)在互聯(lián)網(wǎng)上的郵件服務(wù)系統(tǒng)中的尚未取證的所有郵件���,存儲(chǔ)到本地存儲(chǔ)器中,并保持 郵件服務(wù)系統(tǒng)中的郵件狀態(tài)不發(fā)生變化���;所述存儲(chǔ)子系統(tǒng)��,對(duì)取證前端子系統(tǒng)下載的郵件分類按多層次目錄存儲(chǔ)��,同時(shí)存儲(chǔ)下 載郵件的索引����;所述取證后端子系統(tǒng),分析和呈現(xiàn)所有被取證郵件的內(nèi)容����,提供郵件的關(guān)鍵字搜索、排 序功能�,提供對(duì)取證前端子系統(tǒng)參數(shù)設(shè)置的功能。
2.根據(jù)權(quán)利要求1所述的對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證的系統(tǒng)�,其特征在于所 述取證前端子系統(tǒng)包括^ebmail訪問自學(xué)習(xí)模塊、HTTP通信模塊����、web行為控制模塊;所述webmail訪問自學(xué)習(xí)模塊���,通過記錄和學(xué)習(xí)人工在瀏覽器中訪問指定的郵件服務(wù) 系統(tǒng)的webmail帳號(hào)登錄����、打開郵件箱行為的通信過程和內(nèi)容�,形成并記載該郵件服務(wù)系 統(tǒng)的訪問模式����,該訪問模式用于后續(xù)對(duì)該郵件服務(wù)系統(tǒng)上的指定郵件帳號(hào)的自動(dòng)批量郵件 取證的通信過程�����;所述HTTP通信模塊�����,依據(jù)通過學(xué)習(xí)得到的訪問模式��,完成定時(shí)自動(dòng)登錄郵件帳號(hào)����、自 動(dòng)打開郵件箱�、批量下載需取證郵件、自動(dòng)恢復(fù)郵件狀態(tài)的HTTP通信過程���;所述web行為控制模塊���,設(shè)置需HTTP通信模塊要取證的郵件帳號(hào)以及取證過程中的行 為特點(diǎn)。
3.根據(jù)權(quán)利要求1所述的對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證的系統(tǒng)����,其特征在于所 述存儲(chǔ)子系統(tǒng)包括郵件存儲(chǔ)模塊���,本地郵件存儲(chǔ)器,所述郵件存儲(chǔ)模塊負(fù)責(zé)郵件的本地存 儲(chǔ)或過渡存儲(chǔ)��;所有下載的郵件存儲(chǔ)到本地郵件存儲(chǔ)器中���,并建立相應(yīng)的索引�。
4.根據(jù)權(quán)利要求1所述的對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證的系統(tǒng)�,其特征在于所 述取證后端子系統(tǒng)包括郵件內(nèi)容呈現(xiàn)模塊,郵件內(nèi)容解析模塊����,系統(tǒng)管理模塊;所述郵件內(nèi)容呈現(xiàn)模塊負(fù)責(zé)以圖形交互界面向用戶呈現(xiàn)存儲(chǔ)在本地郵件存儲(chǔ)器中的 被取證的所有郵件�;所述郵件內(nèi)容解析模塊負(fù)責(zé)從郵件中解析提取出郵件的發(fā)件人、收件人�、發(fā)送時(shí)間、郵 件標(biāo)題�、郵件正文、郵件附件����;所述系統(tǒng)管理模塊負(fù)責(zé)管理和設(shè)置下列內(nèi)容添加����、修改����、刪除要取證的郵件帳號(hào);設(shè) 置行為控制選項(xiàng)值����;整理本地郵件存儲(chǔ)器中存儲(chǔ)的郵件��;取證郵件的查找�����、排序�。
5.根據(jù)權(quán)利要求3或4所述的對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證的系統(tǒng),其特征在于 所述存儲(chǔ)子系統(tǒng)采用標(biāo)準(zhǔn)格式.eml格式存儲(chǔ)文件��,所述的郵件內(nèi)容解析模塊按照標(biāo)準(zhǔn)定 義的格式解析郵件�,解析得到的內(nèi)容中郵件正文和附件采用超文本格式,其他部分采用純 文本格式���。
6.如權(quán)利要求1所述的一種對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證系統(tǒng)的取證方法�����,其特 征在于取證方法如下1)利用webmail訪問自學(xué)習(xí)模塊進(jìn)行一次人工輔助學(xué)習(xí)取得webmail訪問模式���;2)利用HTTP通信模塊按照webmail訪問自學(xué)習(xí)模塊學(xué)習(xí)到的訪問模式實(shí)現(xiàn)自動(dòng)批量 的郵件取證并自動(dòng)恢復(fù)郵件狀態(tài)實(shí)現(xiàn)事前取證的隱蔽性��;其中隨機(jī)延時(shí)訪問防止郵件服務(wù)系統(tǒng)對(duì)被取證郵件的帳號(hào)臨時(shí)訪問禁止���。
7.根據(jù)權(quán)利要求5所述的對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證系統(tǒng)的取證方法,其特征 在于所述webmail訪問自學(xué)習(xí)模塊學(xué)習(xí)方法如下步驟一在webmail訪問自學(xué)習(xí)模塊提供的瀏覽器引擎中��,輸入該郵件服務(wù)系統(tǒng)的web 訪問地址�����,進(jìn)入該郵件服務(wù)系統(tǒng)的主頁(yè)面���;步驟二在瀏覽器引擎顯示的主頁(yè)面中�����,輸入測(cè)試用的郵件帳號(hào)和密碼���,登錄該郵件服 務(wù)系統(tǒng)�����,webmail訪問自學(xué)習(xí)模塊包含的HTTP協(xié)議分析器記載該登錄過程的網(wǎng)絡(luò)傳輸內(nèi) 容�����;步驟三登錄成功后���,依次打開收件箱、草稿箱�、發(fā)件箱、已刪除郵件箱��、垃圾箱��,webmail 訪問自學(xué)習(xí)模塊包含的HTTP協(xié)議分析器記載上述操作過程的網(wǎng)絡(luò)傳輸內(nèi)容�����;步驟四退出郵件服務(wù)系統(tǒng)�,webmail訪問自學(xué)習(xí)模塊包含的HTTP協(xié)議分析器記載退出 過程的網(wǎng)絡(luò)傳輸內(nèi)容��;步驟五HTTP協(xié)議分析器分析上述記載的通信過程���,獲得針對(duì)該郵件服務(wù)系統(tǒng)的HTTP 訪問模式�,存入訪問模式表。
8.根據(jù)權(quán)利要求5所述的對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證系統(tǒng)的取證方法���,其特征 在于所述利用HTTP通信模塊實(shí)現(xiàn)自動(dòng)批量的郵件取證及自動(dòng)狀態(tài)恢復(fù)實(shí)現(xiàn)事前取證的 隱蔽性的方法如下步驟一接收WEB行為控制模塊指定的要取證的郵件帳號(hào)信息�����;步驟二通過分析郵件帳號(hào)獲取對(duì)應(yīng)的郵件服務(wù)系統(tǒng)的域名��;步驟三從訪問模式表中取得對(duì)應(yīng)郵件服務(wù)系統(tǒng)的訪問模式�����;步驟四按照訪問模式填寫好登錄對(duì)應(yīng)郵件服務(wù)系統(tǒng)的HTTP通信報(bào)文��,自動(dòng)登錄郵件 服務(wù)系統(tǒng)�����;步驟五按照訪問模式表依次打開該郵件帳號(hào)的所有郵箱�����,下載郵箱中未下載過的每一 封郵件�����,并在下載后恢復(fù)該封郵件狀態(tài)為原來的狀態(tài)���,下載過的郵件通知web行為控制模 塊建立索引�����;步驟六按照訪問模式表填寫好退出對(duì)應(yīng)郵件服務(wù)系統(tǒng)的HTTP通信報(bào)文����,退出該郵件 服務(wù)系統(tǒng)���。
全文摘要
本發(fā)明提供一種對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證的系統(tǒng)和方法����,包括取證前端子系統(tǒng)�����、存儲(chǔ)子系統(tǒng)���、取證后端子系統(tǒng)����,還提供一種對(duì)電子郵件實(shí)施自動(dòng)批量網(wǎng)絡(luò)取證系統(tǒng)的取證方法為1)利用webmail訪問自學(xué)習(xí)模塊進(jìn)行一次人工輔助學(xué)習(xí)取得webmail訪問模式��;2)利用HTTP通信模塊按照webmail訪問自學(xué)習(xí)模塊學(xué)習(xí)到的訪問模式實(shí)現(xiàn)自動(dòng)批量的郵件取證并自動(dòng)恢復(fù)郵件狀態(tài)實(shí)現(xiàn)事前取證的隱蔽性����;其中隨機(jī)延時(shí)訪問防止郵件服務(wù)系統(tǒng)對(duì)被取證郵件的帳號(hào)臨時(shí)訪問禁止,該系統(tǒng)及方法能在不破壞�����、不影響該用戶正常使用該郵件賬號(hào)的情況下���,達(dá)到隱蔽性取證的目的���。
文檔編號(hào)G06F17/30GK102130973SQ20111010848
公開日2011年7月20日 申請(qǐng)日期2011年4月28日 優(yōu)先權(quán)日2011年4月28日
發(fā)明者周振柳, 張楠, 曹福毅, 李卓玲, 楊弘平, 范嘉鵬 申請(qǐng)人:沈陽(yáng)工程學(xué)院