[发明专利]一种分析和提取电子邮件客户端证据的方法

说明书

技术领域

本发明属于信息安全与计算机应用技术领域，涉及一种Email(电子邮件)数据的取证方法，特别是一种对用户计算机中Email客户端数据的证据分析和提取方法。

背景技术

随着社会经济和技术的发展，高科技领域的计算机网络刑事犯罪和司法纠纷日渐突出，相关的司法取证工作已成为一个重要而又紧迫的课题。打击计算机犯罪的关键是找到充分可靠有说服力的电子证据，因此，涉及计算机、网络、通讯和法学等诸多领域的交叉综合性学科——计算机取证(computer forensics)受到了越来越多的关注。而这方面的基础研究和相应的技术手段是国际信息安全和司法界的热点问题。与此同时，计算机取证的实用技术得到了广泛应用。现在美国至少有70％的法律部门拥有自己的计算机取证实验室取证专家在实验室内分析从犯罪现场获取的计算机、外部设备和网络设施中，试图找出谁在什么时间从哪里怎样地进行了什么非法活动。而随着Internet的普及，Email由于其方便、快捷、低成本的特点逐渐取代了传统的通信方式，成为现代社会主要通讯方式之一和互联网上最重要、最普及的应用之一，大大方便了人们生活、工作和学习。与此同时，与Email相关的犯罪案件也与日俱增。许多民事和刑事案件都面临着电子邮件数据的取证问题。

目前，国内外在此领域的研究刚刚起步，早期的相关研究比较零散，如从Cache中提取数字证据，对原始二进制文件进行无损拷贝形成映像文件等，目前还没有形成一个较完备的体系。国际上比较著名的取证工具软件有Encase、FBI、FTK、TCT等，但都不够完善，还没有形成一个既可信度高又便于管理的通用平台。目前的取证软件主要是通用型的辅助工具，主要功能集中在磁盘取证分析。而其他分析工作几乎依赖于取证专家人工进行。而Email证据作为重要的数字证据之一，除了具有一般数字证据的特性(如易失性)还有其特殊性：(1)信息量大；(2)存储结构随应用程序的不同而变化，而且其附件可以携带各种复杂数据形式的文件，如图片、Word、Pdf、视频、音频和可执行程序等；(3)Email的头结构带有大量丰富的信息，但同时由于技术原因头信息很容易被伪造和篡改；(4)Email信息可以反映用户的社会角色特性，比如用户社会关系、行为习惯模式等。

据文献检索，目前Email分析技术主要集中在垃圾邮件分析、邮件自动分类和Email用户行为分析等方面。例如美国专利(专利号：6,832,244)：《Graphical e-mail contentan alyser and prioritizer includinghierarchical email classification system in an email》，该发明以用户自定义搜索参数和可能的值对接收到的Email进行识别、成组与分类。另外与一个专利(申请号：200410063953.9)，微软公司的《用于阻止垃圾邮件的源/目的地的特征和列表》。该发明包括一种易于从消息中提取用于垃圾邮件过滤的数据的系统和方法。所提取的数据可以是特征的形式，其能够与机器学习系统一同使用，以便建立和改进过滤器。示范性的特征包括一个email地址、IP地址、URL、指向URL的一个嵌入式图像、以及/或者其中的一部分。该发明的侧重点是垃圾邮件识别和过滤。

发明内容

本发明的目的是在于克服现有技术中的不足，针对计算机取证的独特性，提供一种Email数据的取证方法，特别是一种对用户计算机中Email客户端数据的证据分析和提取方法。能面向计算机勘查、侦破、取证工作的需要，对用户计算机中Email客户端数据进行分析、搜索，寻找犯罪的证据。

本发明的方法具体步骤如下：

步骤1：读取Email客户端数据文件，先根据计算机中的操作系统、Email客户端软件、以及待取证用户信息，获取Email客户端数据的存放位置，然后读取相应的Email数据文件；读取时，取证机构操作人员根据取证调查的具体需要，对指定的Email客户端程序和用户账号进行取证。

步骤2：对数据文件进行解析和预处理，将Email客户端存储数据文件进行解析，分离出每一封邮件，然后解析、解码出每封邮件的头部、邮件正文、内嵌资源和附件信息，并将得到的各个信息分别存放到邮件记录相应变量中；预处理时，对邮件中解析出来的文本信息，若为html格式则转化为Text格式；对邮件中解析出来的附件，若为压缩格式则先解压缩，若为Word、PDF和html格式文件则转化成text格式。