專(zhuān)利名稱(chēng):一種電子郵件真實(shí)性判斷方法
技術(shù)領(lǐng)域:
本發(fā)明涉及的是一種電子郵件分析方法��,尤其是一種電子郵件真實(shí)性判斷方法�。
背景技術(shù):
隨著社會(huì)的進(jìn)步和現(xiàn)代電子信息技術(shù)的飛速發(fā)展,互聯(lián)網(wǎng)絡(luò)已逐步深入到人們?nèi)粘9ぷ骱蜕畹母鱾€(gè)方面���,正發(fā)揮著越來(lái)越重要的作用。電子郵件作為一種利用電子手段提供信息交換的通信方式���,是互聯(lián)網(wǎng)絡(luò)中應(yīng)用最廣的服務(wù)之一�����,它允許人們以非?���?焖俚姆绞?,與世界上任何一個(gè)角落的網(wǎng)絡(luò)用戶(hù)聯(lián)系,其內(nèi)容可以是文字���、圖像���、聲音等各種形式�。電子郵件的便捷高效����、費(fèi)用低廉使之成為企業(yè)和個(gè)人廣泛采用的通信方式,已廣泛應(yīng)用在商業(yè)貿(mào)易�����、電子政務(wù)����、遠(yuǎn)程教育以及人們的日常生活之中。伴隨著電子郵件的廣泛應(yīng)用����,大量問(wèn)題也隨之產(chǎn)生。在刑事案件和民事糾紛中�,經(jīng)常遇到與電子郵件相關(guān)的一系列問(wèn)題,如提取電子郵件的有效信息�����、恢復(fù)被刪除的電子郵件����、判斷電子郵件的來(lái)源����、判斷電子郵件是否被篡改等等��。這些問(wèn)題對(duì)電子數(shù)據(jù)鑒定技術(shù)提出了新的要求�。
發(fā)明內(nèi)容
針對(duì)電子郵件所存在的上述問(wèn)題,本發(fā)明提供一種電子郵件真實(shí)性判斷方法����。本發(fā)明解決技術(shù)問(wèn)題所采用的技術(shù)手段為:
一種電子郵件真實(shí)性判斷方法���,其中�����,包括如下步驟:
步驟a�����、于待檢測(cè)的數(shù)據(jù)儲(chǔ)存介質(zhì)上定位數(shù)據(jù)文件��,提取文件系統(tǒng)存儲(chǔ)該文件的元數(shù)據(jù)信息�,對(duì)比元數(shù)據(jù)信息與正常文件的元數(shù)據(jù)信息,并記錄異常���;
步驟b�����、解析數(shù)據(jù)文件�,提取每封郵件的存儲(chǔ)位置信息�����,根據(jù)郵件客戶(hù)端的特性對(duì)比每封郵件的存儲(chǔ)位置信息與正常郵件的存儲(chǔ)位置信息��,并記錄異常����;
步驟c、根據(jù)電子郵件標(biāo)準(zhǔn)格式解析單封郵件�,呈現(xiàn)解析內(nèi)容,檢查郵件格式�����,對(duì)比郵件格式與電子郵件標(biāo)準(zhǔn)格式之間的差異�,并記錄異常���;
步驟d、通過(guò)路由信息檢查步驟c得到的單封郵件的來(lái)源信息�,比較所述單封郵件中路由信息的一致性,并記錄異常�����;
步驟e�、檢查步驟c得到的單封郵件的時(shí)間信息,比較所述單封郵件中時(shí)間信息的一致性����,并記錄異常;
步驟f�����、匯總所有異常情況��,形成檢測(cè)報(bào)告�。上述電子郵件真實(shí)性判斷方法���,其中�����,所述步驟a中的所述待檢測(cè)的數(shù)據(jù)儲(chǔ)存介質(zhì)為NTFS格式或者FAT32格式的磁盤(pán)����。上述電子郵件真實(shí)性判斷方法,其中�,所述步驟a中的元數(shù)據(jù)信息包括文件名、創(chuàng)建時(shí)間��、修改時(shí)間����、主文件表記錄的修改時(shí)間、最后訪(fǎng)問(wèn)時(shí)間�、文件長(zhǎng)度和文件在磁盤(pán)上的簇分布情況。上述電子郵件真實(shí)性判斷方法����,其中,所述步驟b中每封郵件的存儲(chǔ)位置信息包括每封郵件在數(shù)據(jù)文件中的存儲(chǔ)布局���、分段數(shù)�����、段起始偏移量�����、長(zhǎng)度以及每封郵件在數(shù)據(jù)文件中的存儲(chǔ)順序與每封郵件的接收時(shí)間之間的關(guān)系����。上述電子郵件真實(shí)性判斷方法,其中�,所述步驟c中的所述電子郵件標(biāo)準(zhǔn)為RFC822 標(biāo)準(zhǔn)。上述電子郵件真實(shí)性判斷方法�����,其中����,所述步驟d中的路由信息包括各Received域中郵件轉(zhuǎn)發(fā)代理的主機(jī)名稱(chēng)、IP地址�、地理位置以及Received時(shí)間�。本發(fā)明的有益效果是:
能夠從系統(tǒng)的多個(gè)層面提取與郵件取證相關(guān)的細(xì)節(jié)痕跡;能夠匯總已提取的郵件相關(guān)信息以供分析����。
圖1是本發(fā)明一種電子郵件真實(shí)性判斷方法的流程圖�����。
具體實(shí)施例方式下面結(jié)合附圖和具體實(shí)施例對(duì)本發(fā)明作進(jìn)一步說(shuō)明�,但不作為本發(fā)明的限定��。如圖1所示����,本發(fā)明一種電子郵件真實(shí)性判斷方法,其中�����,包括如下步驟:
步驟a�����、于待檢測(cè)的數(shù)據(jù)儲(chǔ)存介質(zhì)上定位數(shù)據(jù)文件��,提取文件系統(tǒng)存儲(chǔ)該文件的元數(shù)據(jù)信息���,對(duì)比元數(shù)據(jù)信息與正常文件的元數(shù)據(jù)信息����,并記錄異常。待檢測(cè)的數(shù)據(jù)儲(chǔ)存介質(zhì)可以是NTFS格式或者FAT32格式的磁盤(pán)�����,如果事先未知數(shù)據(jù)文件���、郵件附件的位置����,則首先搜索NTFS分區(qū)的主文件表或者FAT32分區(qū)的文件描述符表���,根據(jù)文件名����、時(shí)間戳等信息�,發(fā)現(xiàn)數(shù)據(jù)文件在磁盤(pán)上的路徑和所在簇。如果文件已經(jīng)刪除���,則嘗試恢復(fù)出已刪除文件���。文件系統(tǒng)存儲(chǔ)該文件的元數(shù)據(jù)信息包括文件名���、創(chuàng)建時(shí)間�����、修改時(shí)間��、主文件表記錄的修改時(shí)間(NTFS分區(qū))����、最后訪(fǎng)問(wèn)時(shí)間、文件長(zhǎng)度�、文件在磁盤(pán)上的簇分布情況等。搜索和恢復(fù)文件�����,均以只讀方式由底層API直接訪(fǎng)問(wèn)磁盤(pán)數(shù)據(jù)�����。如果數(shù)據(jù)文件在NTFS分區(qū),檢查改變?nèi)罩?Change Journal)記錄的更新序列號(hào)是否按照時(shí)間順序遞增��;如果一條記錄的更新序列號(hào)增加而時(shí)間倒退��,則文件系統(tǒng)時(shí)間在這一時(shí)間點(diǎn)被篡改,在這一時(shí)間點(diǎn)以后的文件系統(tǒng)時(shí)間戳不再真實(shí)��。步驟b���、解析數(shù)據(jù)文件���,提取每封郵件的存儲(chǔ)位置信息,根據(jù)郵件客戶(hù)端的特性對(duì)比每封郵件的存儲(chǔ)位置信息與正常郵件的存儲(chǔ)位置信息�����,并記錄異常����。對(duì)步驟a得到的包含多封郵件的數(shù)據(jù)文件,按照客戶(hù)端存放郵件的預(yù)定格式���,從中解析出單封郵件����。解析時(shí)��,記錄每封郵件在文件中的存儲(chǔ)布局�,包括分段數(shù)���、段起始偏移量、長(zhǎng)度等���。對(duì)于特定的客戶(hù)端,各封郵件在數(shù)據(jù)文件中的存儲(chǔ)布局與收/發(fā)件的時(shí)間先后相關(guān)�����,可輔助判斷郵件的真實(shí)性�����。例如Foxmail的in.1NDX文件記錄了每封郵件到達(dá)本地的時(shí)間�,而in.BOX文件按照郵件收到本地的時(shí)間先后順序存放郵件,所以如果in.1NDX顯示某封郵件到達(dá)本地的時(shí)間早于其他郵件,而在in.BOX中的位置卻在其他郵件之后��,則該郵件可能被偽造����。在解析數(shù)據(jù)文件的過(guò)程中,如果發(fā)現(xiàn)文件結(jié)構(gòu)不符合預(yù)定格式��,則該文件可能已經(jīng)篡改�。步驟c、根據(jù)電子郵件標(biāo)準(zhǔn)格式解析單封郵件,呈現(xiàn)解析內(nèi)容���,檢查郵件格式���,對(duì)比郵件格式與電子郵件標(biāo)準(zhǔn)格式之間的差異,并記錄異常���。對(duì)所述步驟b解析出的郵件��,按照電子郵件格式標(biāo)準(zhǔn)RFC822標(biāo)準(zhǔn)解析郵件的頭部�、正文�、附件等部分。如果郵件正文有純文本形式的副本��,則顯示副本��,以便與原郵件內(nèi)容對(duì)比是否一致���;如果存在附件�����,則顯示附件��,以便將其另存���。如果Message ID和boundary字段含有時(shí)間戳形式的字符串�,貝U還原成時(shí)間�,例如將十進(jìn)制Unix Time “ 1315469579”或者十六進(jìn)制File Time“01CC6DFF.1EEF7780”轉(zhuǎn)換成格林尼治標(biāo)準(zhǔn)時(shí)間“2011年9月8日星期四08:12:59”。如果在解析過(guò)程郵件中發(fā)現(xiàn)不符合標(biāo)準(zhǔn)格式的字段��,則該郵件可能被偽造��。步驟d��、通過(guò)路由信息檢查步驟c得到的單封郵件的來(lái)源信息�����,比較所述單封郵件中路由信息的一致性�����,并記錄異常�。對(duì)步驟c得到的單封郵件����,顯示郵件經(jīng)過(guò)的路由歷史�,包括各Received域中郵件轉(zhuǎn)發(fā)代理(Mail Transfer Agent, MTA)的主機(jī)名稱(chēng)��、IP地址�、地理位置、Received時(shí)間等���。特別地���,具有相同收發(fā)地址、使用相同客戶(hù)端產(chǎn)生的多封往來(lái)郵件���,所經(jīng)過(guò)的MTA在主機(jī)名稱(chēng)�����、IP地址��、相鄰Received時(shí)間間隔方面應(yīng)該保持一致(當(dāng)一個(gè)站點(diǎn)設(shè)置多個(gè)MTA用于負(fù)載均衡時(shí)����,則這些MTA應(yīng)屬于相同或相鄰的IP地址段)�。如果一封郵件的路由信息與其他往來(lái)郵件的路由信息不一致,則該郵件可能被偽造���。步驟e��、檢查步驟c得到的單封郵件的時(shí)間信息��,比較所述單封郵件中時(shí)間信息的一致性����,并記錄異常。對(duì)步驟c得到的單封郵件���,整理相關(guān)的時(shí)間信息。這些時(shí)間信息包括:步驟a中提取的數(shù)據(jù)文件�、郵件附件的文件系統(tǒng)時(shí)間;所述第四步中提取的Date字段�����、各Received字段���、Message ID和boundary字段的時(shí)間�;如果附件是Office文檔,貝U提取文檔元數(shù)據(jù)中記錄的創(chuàng)建�����、保存時(shí)間。綜合上述信息�����,將一封郵件從附件的創(chuàng)建和編輯���、正文的編輯完成��、在網(wǎng)絡(luò)中經(jīng)過(guò)多個(gè)MTA���、到達(dá)本地、正文在本地被查看���、附件在本地被查看和修改等一系列事件映射到相應(yīng)的時(shí)間點(diǎn)��。正常情況下���,這些事件應(yīng)該依次發(fā)生,滿(mǎn)足一定的時(shí)間順序���。如果不滿(mǎn)足這種時(shí)間順序�����,則該郵件可能被偽造�����。步驟f���、匯總所有異常情況����,形成檢測(cè)報(bào)告���。報(bào)告包括上述每一步檢查的項(xiàng)目����、結(jié)論�����、錯(cuò)誤的嚴(yán)重程度��、可能的解釋����、進(jìn)一步取證操作的建議等。此外�����,操作的順序也被記錄下來(lái)����,以供再現(xiàn)和回溯取證操作。本發(fā)明針對(duì)本地計(jì)算機(jī)電子郵件的來(lái)源和真實(shí)性鑒定問(wèn)題�����,在郵件本身�、客戶(hù)端軟件、文件系統(tǒng)等多個(gè)層面上提取并組織與電子郵件取證相關(guān)的信息以供分析��;檢查不同層面上的信息是否滿(mǎn)足基本的邏輯關(guān)系�����;將分析過(guò)程匯總成報(bào)告��,說(shuō)明發(fā)現(xiàn)的異常�����,建議后續(xù)措施。本發(fā)明提供的方法快速有效地發(fā)現(xiàn)��、觀察�、分析郵件,提高取證效率����。以上所述僅為本發(fā)明較佳的實(shí)施例,并非因此限制本發(fā)明的申請(qǐng)專(zhuān)利范圍�����,所以凡運(yùn)用本發(fā)明說(shuō)明書(shū)及圖示內(nèi)容所作出的等效結(jié)構(gòu)變化��,均包含在本發(fā)明的保護(hù)范圍內(nèi)�����。
權(quán)利要求
1.一種電子郵件真實(shí)性判斷方法���,其特征在于,包括如下步驟: 步驟a���、于待檢測(cè)的數(shù)據(jù)儲(chǔ)存介質(zhì)上定位數(shù)據(jù)文件����,提取文件系統(tǒng)存儲(chǔ)該文件的元數(shù)據(jù)信息,對(duì)比元數(shù)據(jù)信息與正常文件的元數(shù)據(jù)信息�,并記錄異常; 步驟b����、解析數(shù)據(jù)文件,提取每封郵件的存儲(chǔ)位置信息����,根據(jù)郵件客戶(hù)端的特性對(duì)比每封郵件的存儲(chǔ)位置信息與正常郵件的存儲(chǔ)位置信息,并記錄異常��; 步驟c���、根據(jù)電子郵件標(biāo)準(zhǔn)格式解析單封郵件���,呈現(xiàn)解析內(nèi)容,檢查郵件格式���,對(duì)比郵件格式與電子郵件標(biāo)準(zhǔn)格式之間的差異�,并記錄異常; 步驟d��、通過(guò)路由信息檢查步驟c得到的單封郵件的來(lái)源信息��,比較所述單封郵件中路由信息的一致性�����,并記錄異常�����; 步驟e���、檢查步驟c得到的單封郵件的時(shí)間信息���,比較所述單封郵件中時(shí)間信息的一致性,并記錄異常�����; 步驟f�、匯總所有異常情況,形成檢測(cè)報(bào)告���。
2.如權(quán)利要求1所述電子郵件真實(shí)性判斷方法�����,其特征在于���,所述步驟a中的所述待檢測(cè)的數(shù)據(jù)儲(chǔ)存介質(zhì)為NTFS格式或者FAT32格式的磁盤(pán)。
3.如權(quán)利要求1所述電子郵件真實(shí)性判斷方法��,其特征在于���,所述步驟a中的元數(shù)據(jù)信息包括文件名�、創(chuàng)建時(shí)間��、修改時(shí)間����、主文件表記錄的修改時(shí)間、最后訪(fǎng)問(wèn)時(shí)間��、文件長(zhǎng)度和文件在磁盤(pán)上的簇分布情況�����。
4.如權(quán)利要求1所述電子郵件真實(shí)性判斷方法,其特征在于�����,所述步驟b中每封郵件的存儲(chǔ)位置信息包括每封郵件在數(shù)據(jù)文件中的存儲(chǔ)布局�����、分段數(shù)�����、段起始偏移量����、長(zhǎng)度以及每封郵件在數(shù)據(jù)文件中的存儲(chǔ)順序與每封郵件的接收時(shí)間之間的關(guān)系。
5.如權(quán)利要求1所述電子郵件真實(shí)性判斷方法����,其特征在于,所述步驟c中的所述電子郵件標(biāo)準(zhǔn)為RFC822標(biāo)準(zhǔn)����。
6.如權(quán)利要求1所述電子郵件真實(shí)性判斷方法,其特征在于�����,所述步驟d中的路由信息包括各Received域中郵件轉(zhuǎn)發(fā)代理的主機(jī)名稱(chēng)、IP地址��、地理位置以及Received時(shí)間��。
全文摘要
本發(fā)明公開(kāi)了一種電子郵件真?zhèn)螜z測(cè)方法���,其中,包括如下步驟步驟a��、于待檢測(cè)的數(shù)據(jù)儲(chǔ)存介質(zhì)上定位數(shù)據(jù)文件����,提取文件系統(tǒng)存儲(chǔ)該文件的元數(shù)據(jù)信息,對(duì)比元數(shù)據(jù)信息與正常文件的元數(shù)據(jù)信息�,并記錄異常;步驟b�、解析數(shù)據(jù)文件,提取每封郵件的存儲(chǔ)位置信息�,根據(jù)郵件客戶(hù)端的特性對(duì)比每封郵件的存儲(chǔ)位置信息與正常郵件的存儲(chǔ)位置信息,并記錄異常���;步驟c�、根據(jù)電子郵件標(biāo)準(zhǔn)格式解析單封郵件,呈現(xiàn)解析內(nèi)容��,檢查郵件格式����,對(duì)比郵件格式與電子郵件標(biāo)準(zhǔn)格式之間的差異,并記錄異常����。本發(fā)明的有益效果是能夠從系統(tǒng)的多個(gè)層面提取與郵件取證相關(guān)的細(xì)節(jié)痕跡;能夠匯總已提取的郵件相關(guān)信息以供分析�。
文檔編號(hào)H04L12/58GK103139043SQ20111038017
公開(kāi)日2013年6月5日 申請(qǐng)日期2011年11月25日 優(yōu)先權(quán)日2011年11月25日
發(fā)明者施少培, 邱衛(wèi)東, 楊旭, 陳曉紅, 李巖 申請(qǐng)人:司法部司法鑒定科學(xué)技術(shù)研究所