計(jì)算機(jī)犯罪偵查中基于Email取證線(xiàn)索發(fā)現(xiàn)論文

　　論文導(dǎo)讀：電子郵件作為信息交換方式。取證主要是指分析電子郵件的來(lái)源和內(nèi)容來(lái)作為證據(jù)、確定真正的發(fā)送者和接收者、以及發(fā)送的時(shí)間。打擊計(jì)算機(jī)犯罪技術(shù)也需要隨之不斷發(fā)展。

　　關(guān)鍵詞：電子郵件，取證，計(jì)算機(jī)犯罪

　　一、引言

　　近年來(lái)，伴隨著網(wǎng)絡(luò)與信息化的快速發(fā)展，電子郵件作為信息交換方式，以其新型、快速、經(jīng)濟(jì)的特點(diǎn)而成為人們通信和交流的重要方式。論文參考網(wǎng)。與此同時(shí)，各種犯罪分子也開(kāi)始普遍利用電子郵件作為工具來(lái)實(shí)施其罪惡。

　　二、Email取證及相關(guān)問(wèn)題:

　　2.1 Email取證及其現(xiàn)狀

　　Email取證主要是指分析電子郵件的來(lái)源和內(nèi)容來(lái)作為證據(jù)、確定真正的發(fā)送者和接收者、以及發(fā)送的時(shí)間。在實(shí)際辦案過(guò)程中，一般的偵查人員和公訴人員缺乏相關(guān)的專(zhuān)門(mén)知識(shí)，在收集、提取、保全、審查、運(yùn)用電子證據(jù)的時(shí)候往往困難重重：電子證據(jù)的刪除太快太容易，執(zhí)法部門(mén)機(jī)關(guān)在取證前，可能已經(jīng)被毀滅；目前在我國(guó)電子證據(jù)能否成為證據(jù)、電子證據(jù)成為證據(jù)的條件及合法性等問(wèn)題存在廣泛爭(zhēng)議；這種偵查難、舉證難、定罪難的境況迫切要求適用的取證工具的產(chǎn)生與應(yīng)用，而互聯(lián)網(wǎng)電子郵箱申請(qǐng)與真實(shí)身份并沒(méi)有掛鉤，一旦出現(xiàn)問(wèn)題，通過(guò)Email偵查取證難度很大。

　　2.2 Email取證需了解的基本技術(shù)

　　一般來(lái)說(shuō)，E-mail的收/發(fā)信方式分為兩種：通過(guò)ISP或免費(fèi)郵箱服務(wù)商提供的SMTP發(fā)信服務(wù)器中轉(zhuǎn)的發(fā)信方式；通過(guò)本機(jī)建立SMTP發(fā)信服務(wù)器直接發(fā)送電子郵件的方式。

　　三、Web 電子郵件事件取證線(xiàn)索發(fā)現(xiàn)與分析

　　對(duì)電子郵件事件痕跡進(jìn)行檢驗(yàn)，發(fā)現(xiàn)線(xiàn)索是電子郵件取證的關(guān)鍵問(wèn)題。Web電子郵件線(xiàn)索發(fā)現(xiàn)可以在兩個(gè)地方進(jìn)行：服務(wù)器端和客戶(hù)機(jī)端。服務(wù)器端取證一般指通過(guò)在Internet關(guān)鍵節(jié)點(diǎn)部署郵件監(jiān)控系統(tǒng)進(jìn)行取證。通過(guò)將電子郵件監(jiān)視軟件安裝的ISP的服務(wù)器上，來(lái)監(jiān)視可疑的電子郵件。論文參考網(wǎng)。客戶(hù)端取證是通過(guò)Web郵件用戶(hù)通過(guò)賬號(hào)和密碼登錄到郵件服務(wù)器上，進(jìn)行相關(guān)的電子郵件活動(dòng)是取得痕跡。，用戶(hù)查看電子郵件信息時(shí)，只要瀏覽過(guò)，就會(huì)在機(jī)器上流下蛛絲馬跡。目前，在我們國(guó)內(nèi)用的最多的瀏覽器是Microsoft公司的InternetExplorer，這里主要研究在客戶(hù)端通過(guò)IE提取痕跡。

　　3.1 Web Email事件的線(xiàn)索發(fā)現(xiàn)

　　用戶(hù)利用IE收發(fā)、閱讀電子郵件的事件，使得IE瀏覽器把某些信息顯示出來(lái)并且放入緩存。因而，Web 電子郵件事件痕跡可以從一些相關(guān)的文件中找到，這些與Web Email痕跡相關(guān)的文件位置主要包括：收藏夾、Cookies、歷史記錄、瀏覽過(guò)的網(wǎng)頁(yè)的鏈接、Internet臨時(shí)文件、Autocompletion文件等。通過(guò)這些可以得到很多包括用戶(hù)的私人信息以及該用戶(hù)所在組織的信息等。

　　3.2 通過(guò)瀏覽器發(fā)現(xiàn)Email事件痕跡，尋找取證線(xiàn)索

　　利用Web瀏覽器來(lái)收、發(fā)、閱讀電子郵件時(shí)會(huì)在硬盤(pán)上留下大量的數(shù)據(jù)。在Web 瀏覽器的歷史記錄Index.dat文件和緩存記錄里，瀏覽器的歷史記錄和緩存記錄都在本地硬盤(pán)上保存，通過(guò)歷史記錄和緩存記錄查詢(xún)可以很容易的看到瀏覽器曾經(jīng)訪(fǎng)問(wèn)過(guò)的網(wǎng)站的地址。

　　通過(guò)查看Index.dat文件和瀏覽器的緩存來(lái)尋找時(shí)間痕跡。

　　index.dat記錄著通過(guò)瀏覽器訪(fǎng)問(wèn)過(guò)的網(wǎng)址、訪(fǎng)問(wèn)時(shí)間、歷史記錄等信息。實(shí)際上它是一個(gè)保存了cookie、歷史記錄和IE臨時(shí)文件記錄的副本。系統(tǒng)為了保密是不會(huì)讓用戶(hù)直接看到index.dat文件。但進(jìn)入IE的臨時(shí)文件夾“TemporaryInternet Files”，在其后面手工加上“Content.IE5”，可發(fā)現(xiàn)該文件夾下面另有文件夾和文件，其中包括index.dat，該文件被系統(tǒng)自身使用，無(wú)法通過(guò)常規(guī)方式刪除。通過(guò)查看本地硬盤(pán)的Index.dat，可以查出該機(jī)器曾經(jīng)造訪(fǎng)過(guò)哪些網(wǎng)站，是否在相應(yīng)的時(shí)間訪(fǎng)問(wèn)過(guò)與案件相關(guān)的SSH服務(wù)器、Proxy服務(wù)器或者其它與案件相關(guān)的IP地址。

　　IE使用緩存Cache來(lái)存放已訪(fǎng)問(wèn)過(guò)的一些網(wǎng)站的信息來(lái)提高瀏覽速度。一般地，這些都存在Internet臨時(shí)文件夾里面，起到加速瀏覽網(wǎng)頁(yè)作用，可以通過(guò)查看緩存內(nèi)容來(lái)發(fā)現(xiàn)Email事件的痕跡。

　　3.3 通過(guò)Web電子郵件的文件頭查找線(xiàn)索

　　Web電子郵件頭中除了標(biāo)準(zhǔn)的電子郵件頭部分，還包含許多其它的信息。有些利用內(nèi)部局域網(wǎng)連接互聯(lián)網(wǎng)用戶(hù)認(rèn)為他們處于防火墻之后，他們的真實(shí)身份不會(huì)通過(guò)瀏覽過(guò)的網(wǎng)站暴露出去，但事實(shí)并非如此。因?yàn)槎鄶?shù)局域網(wǎng)內(nèi)部用戶(hù)通過(guò)透明代理訪(fǎng)問(wèn)外部的Web服務(wù)器，當(dāng)用戶(hù)訪(fǎng)問(wèn)外部的郵件服務(wù)器時(shí)，收發(fā)或閱讀郵件時(shí)，在局域網(wǎng)服務(wù)器端，可以通過(guò)Email的頭HTTP_X_FORWARDED_FOR來(lái)獲取代理服務(wù)器的服務(wù)器名以及端口，通過(guò)HTTP_VIA可以知道客戶(hù)的內(nèi)部IP。

　　在現(xiàn)實(shí)中，發(fā)信者為掩蓋其發(fā)信信息，利用一些工具來(lái)掩蓋電子郵件的文件頭信息，例如使用Open-Relay、匿名E-mail、Open Proxy 、SSH通道等，在電子郵件頭中提供錯(cuò)誤的接收者信息來(lái)發(fā)送信息。利用Open-Relay，郵件服務(wù)器不理會(huì)郵件發(fā)送者或郵件接受者是否為系統(tǒng)所設(shè)定的用戶(hù)，而對(duì)所有的入站郵件一律進(jìn)行轉(zhuǎn)發(fā)（Relay）。發(fā)信者在發(fā)送電子郵件的時(shí)候，就會(huì)利用這種開(kāi)放功能的郵件服務(wù)器作為中轉(zhuǎn)服務(wù)器，從而隱藏發(fā)送者的個(gè)人信息和IP地址。實(shí)際上通過(guò)open relay服務(wù)器發(fā)送的電子郵件中仍包含真正發(fā)送者的IP地址信息，對(duì)于使用Open Rely的Web電子郵件，可以從兩方面來(lái)取得線(xiàn)索：Web電子郵件的郵件頭中包含原始發(fā)信人的IP地址；Open Relay服務(wù)器的Open Relay日志文件里面也包含原始發(fā)信人的IP地址。

　　在匿名E-mail情況下，接受方?jīng)]有任何發(fā)件人信息，但可以從郵件信頭部分看到發(fā)信的時(shí)間，使用的郵件服務(wù)器等信。論文參考網(wǎng)。發(fā)信者使用匿名郵件轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)電子郵件，將郵件轉(zhuǎn)發(fā)到目的地，真正的發(fā)信人則被隱藏起來(lái)，相對(duì)來(lái)說(shuō)，這種情況下的線(xiàn)索就顯得比較復(fù)雜。具體做法如下：首先可以通過(guò)電子郵件頭和Web電子郵件的日志文件來(lái)回溯到提供匿名發(fā)信服務(wù)的服務(wù)器（提供匿名發(fā)送的Web站點(diǎn)），然后查看其日志文件，確定發(fā)送被追查的Email發(fā)送的時(shí)刻，到底哪個(gè)Web電子郵件賬號(hào)連接到了匿名服務(wù)的Web服務(wù)器上，其IP地址是什么。

　　Open Proxy具有連接或重寄信息到其他系統(tǒng)服務(wù)器上的功能，作為一個(gè)Proxy，實(shí)際上也就是一個(gè)網(wǎng)絡(luò)信息傳遞的中間人，對(duì)于通過(guò)open Proxy發(fā)送的電子郵件，在轉(zhuǎn)發(fā)信息的過(guò)程中系統(tǒng)刪除了能確定流量源頭的原始信息，對(duì)這種電子郵件，發(fā)現(xiàn)線(xiàn)索的只能是通過(guò)電子郵件頭以及Web電子郵件的日志尋找其使用的Open Proxy的IP地址，然后在代理服務(wù)器的日志文件中來(lái)發(fā)現(xiàn)真正的發(fā)信人地址。

　　四、結(jié)束語(yǔ)：

　　隨著計(jì)算機(jī)網(wǎng)絡(luò)及其相關(guān)技術(shù)的發(fā)展，打擊計(jì)算機(jī)犯罪技術(shù)也需要隨之不斷發(fā)展，計(jì)算機(jī)勘察取證技術(shù)所面臨的問(wèn)題將不斷增多。本文僅對(duì)Web電子郵件痕跡取證進(jìn)行了初步的研究，如何針對(duì)這些Web電子郵件事件痕跡，設(shè)計(jì)一個(gè)綜合的Web電子郵件取證工具是下一步要繼續(xù)研究的內(nèi)容。

【計(jì)算機(jī)犯罪偵查中基于Email取證線(xiàn)索發(fā)現(xiàn)論文】相關(guān)文章：

淺究大數(shù)據(jù)在職務(wù)犯罪偵查模式轉(zhuǎn)型中的應(yīng)用12-09

基于vc與word、outlook對(duì)象模型的email實(shí)現(xiàn)03-18

試論國(guó)際貿(mào)易理論演化中的哲學(xué)線(xiàn)索和歷史線(xiàn)索03-19

網(wǎng)絡(luò)環(huán)境中如何取證03-20

基于JPEG雙量化效應(yīng)的圖像盲取證03-17

如何快速地從網(wǎng)頁(yè)中獲得Email地址12-25

基于ＳＮＭＰ的拓?fù)浒l(fā)現(xiàn)的研究03-03

淺談基于NetMeeting的計(jì)算機(jī)語(yǔ)言教學(xué)模式論文11-15

大規(guī)模IP網(wǎng)絡(luò)中基于SNMP的網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)方法分析11-30

審計(jì)取證中存在的題目及對(duì)策03-24