[发明专利]一种分析和提取电子邮件客户端证据的方法

摘要

本发明涉及一种分析和提取电子邮件客户端证据的方法。目前还没有完备的分析和提取电子邮件客户端证据的方法。本发明方法具体步骤：首先读取Email客户端数据文件，对指定的Email客户端程序和用户账号进行取证；对数据文件进行解析和预处理，将Email客户端存储数据文件进行解析；利用邮件的会话内容等进行成组分类；利用关键词进行智能搜索；对相关的邮件、邮件线程和涉及的用户进行内容分析；生成最终Email取证报告供用户浏览。本发明运行速度快，并且能够搜索匹配出调查员输入的敏感关键词及其各种变形相关的邮件、邮件线索和涉及用户，对原始证据访问采用只读方式，不破坏现场。

主权项

1.一种分析和提取电子邮件客户端证据的方法，其特征在于该方法包括以下步骤：步骤(1)读取电子邮件客户端数据文件，先根据计算机中的操作系统、电子邮件客户端软件、以及待取证用户信息，获取电子邮件客户端数据的存放位置，然后读取相应的电子邮件数据文件；读取时，取证机构操作人员根据取证调查的具体需要，对指定的电子邮件客户端程序和用户账号进行取证；步骤(2)对数据文件进行解析和预处理，将电子邮件客户端存储数据文件进行解析，分离出每一封邮件，然后解析、解码出每封邮件的头部、邮件正文、内嵌资源和附件信息，并将得到的各个信息分别存放到邮件记录相应变量中；预处理时，对邮件中解析出来的文本信息，若为html格式则转化为Text格式；对邮件中解析出来的附件，若为压缩格式则先解压缩，若为Word、PDF和html格式文件则转化成text格式；步骤(3)利用邮件的会话内容、相互回复与引用关系进行成组分类，就是以Message-ID、In-Reply-To、References、Subject以及邮件内容引用的信息构建邮件会话线程；步骤(4)利用取证人员输入的关键词进行智能搜索相关邮件，采用智能搜索算法搜索匹配出敏感关键词及其变形；步骤(5)对相关的邮件、邮件线程和涉及的用户进行内容分析，根据步骤(4)中智能搜索得到的结果，根据匹配的位置和次数对相关邮件进行相关程度计算，并按与敏感关键词的相关程度进行排序；根据线程中与敏感关键词相关的邮件个数、比率、以及涉及邮件的相关程度，计算邮件会话线程与关键词的相关程度，并按与敏感关键词的相关程度对线程进行排序；对相关的用户，根据该用户涉及的匹配邮件数量、比率、以及参与程度等信息进行相关程度计算，并按与敏感关键词的相关程度对涉及用户进行排序；步骤(6)生成最终电子邮件取证报告供用户浏览；生成的电子邮件取证报告包括按相关程度排序的电子邮件、电子邮件线程和涉及的用户。