随着电子数据取证技术的日益成熟,以及越来越多的执法人员加入企业,从事合规调查、反欺诈调查、稽核监察等内部调查,该技术逐步被越来越多的国内外知名企业所接受,并用于企业的内部调查。而在繁琐的电子取证中,邮件分析恢复工作占据了很大的比重,如何有效、快速且精确的对邮件进行分析和处理便成为我们所关注的重点。
在选择所需工具之前,我们先要确认自己的实际需求及数据环境,从而有针对性的关注邮件分析及取证产品。
删除邮件的恢复
1.本地邮件删除
对于本地客户端内的删除邮件,使用高性价比的数据恢复工具就能帮助我们完成任务,如R-Studio恢复套件、Recover My files、Stellar的Email套件等。
如果遇到整体邮件客户端,以及邮件数据包被整体删除的情况,就需要使用专业取证工具,如FTK、EnCase、X-Ways、BlackBag等都可以更好地恢复数据并进行解析。
2.网络邮件删除
如果用户直接在网上服务器端的邮件删除,我们就很难在目标本地进行恢复了。
如果我们能够获取服务器的访问权限的话,因其一般涉及数据量较大,比较建议直接使用企业取证/数字发现系统,如Quin-C或AD FTK Lab/Enterprise类分布式取证工具。
邮件无法浏览或损坏
此类情况,除了比较专业的取证工具,一些小工具如Aid4Mail、Stellar邮件工具集等都可以帮助我们进行转化。
海量邮件筛查和串联分析
筛查海量邮件,并对筛查的邮件进行综合分析是企业取证和企业数据分析遇到的最主要工作之一。因海量的数据,专业的企业取证系统,如Quin-C或AD FTK Enterprise则是最佳选择,其中具有的法律向功能,能够更好的辅助律师行业人士进行辅助审阅。
邮件密码恢复
在处理分析中,邮件密码经常会被我们忽略,但是其重要性不可忽视。大体而言,邮件密码恢复主要有两种:
1.邮件客户端密码恢复
微软Mail、FoxMail等,其软件会自动记录邮箱的登录密码。使用如Elcomsoft、Passware邮件系统解密组件,可以帮助我们恢复客户端的密码。
2.网页邮件登录密码恢复
恢复此类密码,首先需要我们分析登录帐户的浏览器,在密码默认保存的情况下,可以通过较高级的取证工具进行恢复,如FTK、EnCase等。
同时若能够获取已经登录邮箱的设备(开机状态),我们也可以通过对电脑的实时内存进行获取并分析,如BlackLight、FTK、EnCase都有类似功能。
基于弘德网(www.hdw.top)在公共安全领域和司法鉴定领域的技术积累及多年丰富经验,弘德商城作为弘德网的旗下频道之一,目前已汇集多家电子取证类国际专业厂商,如 Elcomsoft、Blackbag、AccessData等,上线具有多种功能的邮件分析恢复工具。同时旗下还有技术协作频道,可提供邮件分析恢复、硬盘数据恢复等多种技术,弘德网旗下的检验鉴定频道还可根据用户需求提供司法鉴定服务。弘德网(www.hdw.top)致力于打造集“产品、技术、服务”一体的一站式平台,不断借助互联网提升行业水平和自身价值。
文章来源:互联网