本發(fā)明涉及電子數(shù)據(jù)取證領域，特別涉及一種基于Foxmail客戶端程序的脫機文件痕跡提取的方法。

背景技術：

隨著互聯(lián)網(wǎng)技術的高速發(fā)展,人們通過互聯(lián)網(wǎng)發(fā)送電子郵件,使得溝通交流變得更加容易、快捷。電子郵件也以其新型、快速、經(jīng)濟的特點已成為現(xiàn)代社會不可缺少的重要通信方式之一。與此同時,各種犯罪分子也開始普遍利用電子郵件從事各類違法犯罪活動,在很多計算機犯罪案件以及商業(yè)、民事糾紛中都涉及電子郵件。在電子郵件中蘊藏了豐富的各類有用信息,是進行計算機分析取證的重要內(nèi)容之一,它能為案件偵破提供一些有力的線索。為提高使用效率,人們經(jīng)常使用各類電子郵件客戶端(如Foxmail、Outlook Express、Microsoft Office Outlook)來處理郵件。因此,分析各類郵件客戶端所保存的郵件數(shù)據(jù)文件是計算機分析取證的重要手段之一。

2011年，十一屆全國人大常委會第二十三次會議初次審議了《中華人民共和國民事訴訟法修正案(草案)》。新修正的草案規(guī)定，將在第六十三條證據(jù)種類中新增“電子數(shù)據(jù)”。這意味著電子郵件、QQ聊天記錄、微博等電子數(shù)據(jù)都將作為一種獨立證據(jù)正式成為呈堂證供。其實隨著信息技術的發(fā)展，在近年出現(xiàn)的不少繼承糾紛、名譽權糾紛、合同糾紛等民事案件中，已經(jīng)有很多客觀事實正是通過電子證據(jù)反映出來的，其中，電子郵件證據(jù)尤為常見。因此，作為數(shù)字取證的一個重要分支，電子郵件取證的技術應用及相關法律法規(guī)問題成為當前研究和討論的熱點。

我國司法實踐中廣泛地使用電子證據(jù)這一概念，其涵蓋的范疇包括任何以電子形式存儲、處理、傳輸?shù)淖C據(jù)。電子郵件作為一種重要的電子證據(jù)，在不少涉及電子郵件的案件中，爭議較多的往往不是針對郵件內(nèi)容本身，而是否認自己是郵件的收發(fā)者、郵件的收發(fā)時間等痕跡類型的信息。

各個郵件客戶端應用程序的產(chǎn)生的數(shù)據(jù)文件都是采用廠商自定義的存儲格式，傳統(tǒng)的數(shù)據(jù)恢復技術無法應用到該類型的數(shù)據(jù)提取與恢復。

市面上現(xiàn)有技術較難做到快速的提取磁盤中郵件痕跡信息，還有部分則很難完整、全面地提取郵件痕跡信息；

本發(fā)明的方法主要是針對Foxmail郵件客戶端產(chǎn)生的數(shù)據(jù)痕跡信息進行解析從而實現(xiàn)數(shù)據(jù)提取。

技術實現(xiàn)要素：

本發(fā)明針對現(xiàn)有技術的不足，提供一種基于Foxmail客戶端程序的脫機文件痕跡提取的方法，能夠有效解決現(xiàn)有技術較難做到快速的提取磁盤中郵件痕跡信息，還有部分則很難完整、全面地提取郵件痕跡信息的問題。

為解決以上問題，本發(fā)明采用的技術方案如下：一種基于Foxmail客戶端程序的脫機文件痕跡提取的方法，包括如下步驟：

S1定位文件位置，獲取郵件客戶端程序產(chǎn)生的原始數(shù)據(jù)，并從中抽取與郵件痕跡信息相關的數(shù)據(jù)；

S2判斷S1中抽取的數(shù)據(jù)是否符合郵件客戶端程序產(chǎn)生的數(shù)據(jù)文件格式，若符合則跳至S3，不符合跳至S4；

S3解析從郵件客戶端產(chǎn)生的原始數(shù)據(jù)中抽取出的痕跡文件；

S4根據(jù)解析出的痕跡文件的數(shù)據(jù)，即可提取出該磁盤中郵件痕跡的所有數(shù)據(jù)和信息。

作為優(yōu)選,所述的S1郵件客戶端程序產(chǎn)生的原始數(shù)據(jù)文件存放的目錄路徑為：安裝目錄下的storage文件夾中的以郵箱地址為文件夾名稱的文件夾內(nèi)，在該文件夾下分門別類的存放著郵件相關的各項數(shù)據(jù)文件。

作為優(yōu)選,所述的S2判斷S1中抽取的數(shù)據(jù)是否符合郵件客戶端應用程序產(chǎn)生的數(shù)據(jù)文件格式，判斷的規(guī)則有如下兩條：

規(guī)則一：在S1中描述的文件夾內(nèi)包含mails文件夾，且在mails的目錄下包含有名為index的文件；

規(guī)則二：在S1中描述的文件夾內(nèi)含有box文件夾，且在box文件夾中含有后綴為.box的文件；

上述規(guī)則中若符合其中一條則跳至S3，否則跳至S4。

作為優(yōu)選,S3解析從郵件客戶端產(chǎn)生的原始數(shù)據(jù)中抽取出的痕跡文件，解析的主要信息包括郵件發(fā)送者、郵件接受者、郵件發(fā)送時間、郵件主題、郵件的狀態(tài)信息。

作為優(yōu)選,S4根據(jù)S3中描述的index文件結構，按照郵件類型分別讀取郵件的痕跡信息，并按照對應的編碼格式進行編碼轉換，并分別對各類型的郵件進行統(tǒng)計。

作為優(yōu)選,S2中描述的規(guī)則一中涉及到的文件index文件為該郵件客戶端程序記錄所有郵件痕跡信息的存儲文件，該文件的中包含了郵件客戶端收發(fā)郵件的痕跡，index文件結構是文件頭+郵件頭*N的模式，其中N表示郵件頭的總個數(shù)，index文件的文件頭的特征標記為0x46584953，文件頭數(shù)據(jù)長度為0x200，在相對頭部起始地址偏移0x08處記錄的值表示郵件頭的總個數(shù)N，index文件中每個郵件頭結構是相同的，且長度為0x200，針對上述表中郵件類型的區(qū)分，0x01080000表示發(fā)送的郵件，0x01200000表示垃圾郵件，0x010C0000表示草稿郵件，0x03000000表示已回復的郵件，其余的表示接收的郵件。

本發(fā)明的有益效果如下：采用本發(fā)明的方法可以快速判斷磁盤數(shù)據(jù)是否包含郵件格式的數(shù)據(jù)；進一步提取出磁盤數(shù)據(jù)中有效的收發(fā)郵件的痕跡信息，包括郵件發(fā)送者、郵件接受者、郵件發(fā)送時間、郵件主題、郵件的狀態(tài)等信息。

附圖說明

圖1為主流程示意圖。

具體實施方式

為使本發(fā)明的目的、技術方案及優(yōu)點更加清楚明白，以下參照附圖并舉實施例，對本發(fā)明做進一步詳細說明。

本發(fā)明提出一種針對Foxmail郵件客戶端產(chǎn)生的數(shù)據(jù)文件進行快速解析的方法，而且提取的信息是完整全面的。

下面詳細介紹Foxmail郵件客戶端產(chǎn)生的數(shù)據(jù)文件的基本結構。為了更為方便的闡述本發(fā)明中的方法，本例使用Foxmail郵件客戶端V7.2版本為例進行闡述，

本發(fā)明的恢復方法包括以下內(nèi)容：

S1定位文件位置，獲取郵件客戶端程序產(chǎn)生的原始數(shù)據(jù)，并從中抽取與郵件痕跡信息相關的數(shù)據(jù)。具體地，郵件客戶端程序產(chǎn)生的原始數(shù)據(jù)文件存放的目錄路徑為安裝目錄下的storage文件夾中的以郵箱地址為文件夾名稱的文件夾內(nèi)，在該文件夾下分門別類的存放著郵件相關的各項數(shù)據(jù)文件；

S2判斷S1中抽取的數(shù)據(jù)是否符合郵件客戶端應用程序產(chǎn)生的數(shù)據(jù)文件格式，判斷的規(guī)則有如下兩條：

規(guī)則一：在S1中描述的文件夾內(nèi)包含mails文件夾，且在mails的目錄下包含有名為index文件；

規(guī)則二：在S1中描述的文件夾內(nèi)含有box文件夾，且在box文件夾中含有多個后綴為.box的文件；

上述規(guī)則中若符合其中一條則跳至S3，否則跳至S4；

S3解析從郵件客戶端產(chǎn)生的原始數(shù)據(jù)中抽取出的痕跡文件，解析的主要信息包括郵件發(fā)送者、郵件接受者、郵件發(fā)送時間、郵件主題、郵件的狀態(tài)的信息。在S2中描述的規(guī)則一中涉及到的文件index文件為該郵件客戶端應用程序記錄所有郵件痕跡信息的存儲文件，該文件的中包含了郵件客戶端收發(fā)郵件的痕跡，具體地，index文件結構是文件頭+郵件頭*N的模式，index文件的文件頭的特征標記為0x46584953，文件頭數(shù)據(jù)長度為0x200，在相對頭部起始地址偏移0x08處記錄的值表示郵件頭的總個數(shù)N，index文件中每個郵件頭結構是相同的，且長度為0x200，詳細信息見下表；

針對上述表中郵件類型的區(qū)分，0x01080000表示發(fā)送的郵件，0x01200000表示垃圾郵件，0x010C0000表示草稿郵件，0x03000000表示已回復的郵件，其余的表示接收的郵件。

S4根據(jù)S3中描述的index文件結構，按照郵件類型分別讀取郵件的痕跡信息，并按照對應的編碼格式進行編碼轉換，并分別對各類型的郵件進行統(tǒng)計。

本領域的普通技術人員將會意識到，這里所述的實施例是為了幫助讀者理解本發(fā)明的實施方法，應被理解為本發(fā)明的保護范圍并不局限于這樣的特別陳述和實施例。本領域的普通技術人員可以根據(jù)本發(fā)明公開的這些技術啟示做出各種不脫離本發(fā)明實質(zhì)的其它各種具體變形和組合，這些變形和組合仍然在本發(fā)明的保護范圍內(nèi)。