- 相關推薦
計算機犯罪偵查中基于Email取證線索發(fā)現(xiàn)論文
論文導讀:電子郵件作為信息交換方式。取證主要是指分析電子郵件的來源和內容來作為證據(jù)、確定真正的發(fā)送者和接收者、以及發(fā)送的時間。打擊計算機犯罪技術也需要隨之不斷發(fā)展。
關鍵詞:電子郵件,取證,計算機犯罪
一、引言
近年來,伴隨著網(wǎng)絡與信息化的快速發(fā)展,電子郵件作為信息交換方式,以其新型、快速、經(jīng)濟的特點而成為人們通信和交流的重要方式。論文參考網(wǎng)。與此同時,各種犯罪分子也開始普遍利用電子郵件作為工具來實施其罪惡。
二、Email取證及相關問題:
2.1 Email取證及其現(xiàn)狀
Email取證主要是指分析電子郵件的來源和內容來作為證據(jù)、確定真正的發(fā)送者和接收者、以及發(fā)送的時間。在實際辦案過程中,一般的偵查人員和公訴人員缺乏相關的專門知識,在收集、提取、保全、審查、運用電子證據(jù)的時候往往困難重重:電子證據(jù)的刪除太快太容易,執(zhí)法部門機關在取證前,可能已經(jīng)被毀滅;目前在我國電子證據(jù)能否成為證據(jù)、電子證據(jù)成為證據(jù)的條件及合法性等問題存在廣泛爭議;這種偵查難、舉證難、定罪難的境況迫切要求適用的取證工具的產(chǎn)生與應用,而互聯(lián)網(wǎng)電子郵箱申請與真實身份并沒有掛鉤,一旦出現(xiàn)問題,通過Email偵查取證難度很大。
2.2 Email取證需了解的基本技術
一般來說,E-mail的收/發(fā)信方式分為兩種:通過ISP或免費郵箱服務商提供的SMTP發(fā)信服務器中轉的發(fā)信方式;通過本機建立SMTP發(fā)信服務器直接發(fā)送電子郵件的方式。
三、Web 電子郵件事件取證線索發(fā)現(xiàn)與分析
對電子郵件事件痕跡進行檢驗,發(fā)現(xiàn)線索是電子郵件取證的關鍵問題。Web電子郵件線索發(fā)現(xiàn)可以在兩個地方進行:服務器端和客戶機端。服務器端取證一般指通過在Internet關鍵節(jié)點部署郵件監(jiān)控系統(tǒng)進行取證。通過將電子郵件監(jiān)視軟件安裝的ISP的服務器上,來監(jiān)視可疑的電子郵件。論文參考網(wǎng)。客戶端取證是通過Web郵件用戶通過賬號和密碼登錄到郵件服務器上,進行相關的電子郵件活動是取得痕跡。,用戶查看電子郵件信息時,只要瀏覽過,就會在機器上流下蛛絲馬跡。目前,在我們國內用的最多的瀏覽器是Microsoft公司的InternetExplorer,這里主要研究在客戶端通過IE提取痕跡。
3.1 Web Email事件的線索發(fā)現(xiàn)
用戶利用IE收發(fā)、閱讀電子郵件的事件,使得IE瀏覽器把某些信息顯示出來并且放入緩存。因而,Web 電子郵件事件痕跡可以從一些相關的文件中找到,這些與Web Email痕跡相關的文件位置主要包括:收藏夾、Cookies、歷史記錄、瀏覽過的網(wǎng)頁的鏈接、Internet臨時文件、Autocompletion文件等。通過這些可以得到很多包括用戶的私人信息以及該用戶所在組織的信息等。
3.2 通過瀏覽器發(fā)現(xiàn)Email事件痕跡,尋找取證線索
利用Web瀏覽器來收、發(fā)、閱讀電子郵件時會在硬盤上留下大量的數(shù)據(jù)。在Web 瀏覽器的歷史記錄Index.dat文件和緩存記錄里,瀏覽器的歷史記錄和緩存記錄都在本地硬盤上保存,通過歷史記錄和緩存記錄查詢可以很容易的看到瀏覽器曾經(jīng)訪問過的網(wǎng)站的地址。
通過查看Index.dat文件和瀏覽器的緩存來尋找時間痕跡。
index.dat記錄著通過瀏覽器訪問過的網(wǎng)址、訪問時間、歷史記錄等信息。實際上它是一個保存了cookie、歷史記錄和IE臨時文件記錄的副本。系統(tǒng)為了保密是不會讓用戶直接看到index.dat文件。但進入IE的臨時文件夾“TemporaryInternet Files”,在其后面手工加上“Content.IE5”,可發(fā)現(xiàn)該文件夾下面另有文件夾和文件,其中包括index.dat,該文件被系統(tǒng)自身使用,無法通過常規(guī)方式刪除。通過查看本地硬盤的Index.dat,可以查出該機器曾經(jīng)造訪過哪些網(wǎng)站,是否在相應的時間訪問過與案件相關的SSH服務器、Proxy服務器或者其它與案件相關的IP地址。
IE使用緩存Cache來存放已訪問過的一些網(wǎng)站的信息來提高瀏覽速度。一般地,這些都存在Internet臨時文件夾里面,起到加速瀏覽網(wǎng)頁作用,可以通過查看緩存內容來發(fā)現(xiàn)Email事件的痕跡。
3.3 通過Web電子郵件的文件頭查找線索
Web電子郵件頭中除了標準的電子郵件頭部分,還包含許多其它的信息。有些利用內部局域網(wǎng)連接互聯(lián)網(wǎng)用戶認為他們處于防火墻之后,他們的真實身份不會通過瀏覽過的網(wǎng)站暴露出去,但事實并非如此。因為多數(shù)局域網(wǎng)內部用戶通過透明代理訪問外部的Web服務器,當用戶訪問外部的郵件服務器時,收發(fā)或閱讀郵件時,在局域網(wǎng)服務器端,可以通過Email的頭HTTP_X_FORWARDED_FOR來獲取代理服務器的服務器名以及端口,通過HTTP_VIA可以知道客戶的內部IP。
在現(xiàn)實中,發(fā)信者為掩蓋其發(fā)信信息,利用一些工具來掩蓋電子郵件的文件頭信息,例如使用Open-Relay、匿名E-mail、Open Proxy 、SSH通道等,在電子郵件頭中提供錯誤的接收者信息來發(fā)送信息。利用Open-Relay,郵件服務器不理會郵件發(fā)送者或郵件接受者是否為系統(tǒng)所設定的用戶,而對所有的入站郵件一律進行轉發(fā)(Relay)。發(fā)信者在發(fā)送電子郵件的時候,就會利用這種開放功能的郵件服務器作為中轉服務器,從而隱藏發(fā)送者的個人信息和IP地址。實際上通過open relay服務器發(fā)送的電子郵件中仍包含真正發(fā)送者的IP地址信息,對于使用Open Rely的Web電子郵件,可以從兩方面來取得線索:Web電子郵件的郵件頭中包含原始發(fā)信人的IP地址;Open Relay服務器的Open Relay日志文件里面也包含原始發(fā)信人的IP地址。
在匿名E-mail情況下,接受方?jīng)]有任何發(fā)件人信息,但可以從郵件信頭部分看到發(fā)信的時間,使用的郵件服務器等信。論文參考網(wǎng)。發(fā)信者使用匿名郵件轉發(fā)器轉發(fā)電子郵件,將郵件轉發(fā)到目的地,真正的發(fā)信人則被隱藏起來,相對來說,這種情況下的線索就顯得比較復雜。具體做法如下:首先可以通過電子郵件頭和Web電子郵件的日志文件來回溯到提供匿名發(fā)信服務的服務器(提供匿名發(fā)送的Web站點),然后查看其日志文件,確定發(fā)送被追查的Email發(fā)送的時刻,到底哪個Web電子郵件賬號連接到了匿名服務的Web服務器上,其IP地址是什么。
Open Proxy具有連接或重寄信息到其他系統(tǒng)服務器上的功能,作為一個Proxy,實際上也就是一個網(wǎng)絡信息傳遞的中間人,對于通過open Proxy發(fā)送的電子郵件,在轉發(fā)信息的過程中系統(tǒng)刪除了能確定流量源頭的原始信息,對這種電子郵件,發(fā)現(xiàn)線索的只能是通過電子郵件頭以及Web電子郵件的日志尋找其使用的Open Proxy的IP地址,然后在代理服務器的日志文件中來發(fā)現(xiàn)真正的發(fā)信人地址。
四、結束語:
隨著計算機網(wǎng)絡及其相關技術的發(fā)展,打擊計算機犯罪技術也需要隨之不斷發(fā)展,計算機勘察取證技術所面臨的問題將不斷增多。本文僅對Web電子郵件痕跡取證進行了初步的研究,如何針對這些Web電子郵件事件痕跡,設計一個綜合的Web電子郵件取證工具是下一步要繼續(xù)研究的內容。
【計算機犯罪偵查中基于Email取證線索發(fā)現(xiàn)論文】相關文章:
淺究大數(shù)據(jù)在職務犯罪偵查模式轉型中的應用12-09
基于vc與word、outlook對象模型的email實現(xiàn)03-18
基于JPEG雙量化效應的圖像盲取證03-17
淺談基于NetMeeting的計算機語言教學模式論文11-15
大規(guī)模IP網(wǎng)絡中基于SNMP的網(wǎng)絡拓撲發(fā)現(xiàn)方法分析11-30
審計取證中存在的題目及對策03-24