計(jì)算機(jī)犯罪偵查中基于Email取證線索發(fā)現(xiàn)論文

　　論文導(dǎo)讀：電子郵件作為信息交換方式。取證主要是指分析電子郵件的來源和內(nèi)容來作為證據(jù)、確定真正的發(fā)送者和接收者、以及發(fā)送的時(shí)間。打擊計(jì)算機(jī)犯罪技術(shù)也需要隨之不斷發(fā)展。

　　關(guān)鍵詞：電子郵件，取證，計(jì)算機(jī)犯罪

　　一、引言

　　近年來，伴隨著網(wǎng)絡(luò)與信息化的快速發(fā)展，電子郵件作為信息交換方式，以其新型、快速、經(jīng)濟(jì)的特點(diǎn)而成為人們通信和交流的重要方式。論文參考網(wǎng)。與此同時(shí)，各種犯罪分子也開始普遍利用電子郵件作為工具來實(shí)施其罪惡。

　　二、Email取證及相關(guān)問題:

　　2.1 Email取證及其現(xiàn)狀

　　Email取證主要是指分析電子郵件的來源和內(nèi)容來作為證據(jù)、確定真正的發(fā)送者和接收者、以及發(fā)送的時(shí)間。在實(shí)際辦案過程中，一般的偵查人員和公訴人員缺乏相關(guān)的專門知識(shí)，在收集、提取、保全、審查、運(yùn)用電子證據(jù)的時(shí)候往往困難重重：電子證據(jù)的刪除太快太容易，執(zhí)法部門機(jī)關(guān)在取證前，可能已經(jīng)被毀滅；目前在我國電子證據(jù)能否成為證據(jù)、電子證據(jù)成為證據(jù)的條件及合法性等問題存在廣泛爭議；這種偵查難、舉證難、定罪難的境況迫切要求適用的取證工具的產(chǎn)生與應(yīng)用，而互聯(lián)網(wǎng)電子郵箱申請(qǐng)與真實(shí)身份并沒有掛鉤，一旦出現(xiàn)問題，通過Email偵查取證難度很大。

　　2.2 Email取證需了解的基本技術(shù)

　　一般來說，E-mail的收/發(fā)信方式分為兩種：通過ISP或免費(fèi)郵箱服務(wù)商提供的SMTP發(fā)信服務(wù)器中轉(zhuǎn)的發(fā)信方式；通過本機(jī)建立SMTP發(fā)信服務(wù)器直接發(fā)送電子郵件的方式。

　　三、Web 電子郵件事件取證線索發(fā)現(xiàn)與分析

　　對(duì)電子郵件事件痕跡進(jìn)行檢驗(yàn)，發(fā)現(xiàn)線索是電子郵件取證的關(guān)鍵問題。Web電子郵件線索發(fā)現(xiàn)可以在兩個(gè)地方進(jìn)行：服務(wù)器端和客戶機(jī)端。服務(wù)器端取證一般指通過在Internet關(guān)鍵節(jié)點(diǎn)部署郵件監(jiān)控系統(tǒng)進(jìn)行取證。通過將電子郵件監(jiān)視軟件安裝的ISP的服務(wù)器上，來監(jiān)視可疑的電子郵件。論文參考網(wǎng)。客戶端取證是通過Web郵件用戶通過賬號(hào)和密碼登錄到郵件服務(wù)器上，進(jìn)行相關(guān)的電子郵件活動(dòng)是取得痕跡。，用戶查看電子郵件信息時(shí)，只要瀏覽過，就會(huì)在機(jī)器上流下蛛絲馬跡。目前，在我們國內(nèi)用的最多的瀏覽器是Microsoft公司的InternetExplorer，這里主要研究在客戶端通過IE提取痕跡。

　　3.1 Web Email事件的線索發(fā)現(xiàn)

　　用戶利用IE收發(fā)、閱讀電子郵件的事件，使得IE瀏覽器把某些信息顯示出來并且放入緩存。因而，Web 電子郵件事件痕跡可以從一些相關(guān)的文件中找到，這些與Web Email痕跡相關(guān)的文件位置主要包括：收藏夾、Cookies、歷史記錄、瀏覽過的網(wǎng)頁的鏈接、Internet臨時(shí)文件、Autocompletion文件等。通過這些可以得到很多包括用戶的私人信息以及該用戶所在組織的信息等。

　　3.2 通過瀏覽器發(fā)現(xiàn)Email事件痕跡，尋找取證線索

　　利用Web瀏覽器來收、發(fā)、閱讀電子郵件時(shí)會(huì)在硬盤上留下大量的數(shù)據(jù)。在Web 瀏覽器的歷史記錄Index.dat文件和緩存記錄里，瀏覽器的歷史記錄和緩存記錄都在本地硬盤上保存，通過歷史記錄和緩存記錄查詢可以很容易的看到瀏覽器曾經(jīng)訪問過的網(wǎng)站的地址。

　　通過查看Index.dat文件和瀏覽器的緩存來尋找時(shí)間痕跡。

　　index.dat記錄著通過瀏覽器訪問過的網(wǎng)址、訪問時(shí)間、歷史記錄等信息。實(shí)際上它是一個(gè)保存了cookie、歷史記錄和IE臨時(shí)文件記錄的副本。系統(tǒng)為了保密是不會(huì)讓用戶直接看到index.dat文件。但進(jìn)入IE的臨時(shí)文件夾“TemporaryInternet Files”，在其后面手工加上“Content.IE5”，可發(fā)現(xiàn)該文件夾下面另有文件夾和文件，其中包括index.dat，該文件被系統(tǒng)自身使用，無法通過常規(guī)方式刪除。通過查看本地硬盤的Index.dat，可以查出該機(jī)器曾經(jīng)造訪過哪些網(wǎng)站，是否在相應(yīng)的時(shí)間訪問過與案件相關(guān)的SSH服務(wù)器、Proxy服務(wù)器或者其它與案件相關(guān)的IP地址。

　　IE使用緩存Cache來存放已訪問過的一些網(wǎng)站的信息來提高瀏覽速度。一般地，這些都存在Internet臨時(shí)文件夾里面，起到加速瀏覽網(wǎng)頁作用，可以通過查看緩存內(nèi)容來發(fā)現(xiàn)Email事件的痕跡。

　　3.3 通過Web電子郵件的文件頭查找線索

　　Web電子郵件頭中除了標(biāo)準(zhǔn)的電子郵件頭部分，還包含許多其它的信息。有些利用內(nèi)部局域網(wǎng)連接互聯(lián)網(wǎng)用戶認(rèn)為他們處于防火墻之后，他們的真實(shí)身份不會(huì)通過瀏覽過的網(wǎng)站暴露出去，但事實(shí)并非如此。因?yàn)槎鄶?shù)局域網(wǎng)內(nèi)部用戶通過透明代理訪問外部的Web服務(wù)器，當(dāng)用戶訪問外部的郵件服務(wù)器時(shí)，收發(fā)或閱讀郵件時(shí)，在局域網(wǎng)服務(wù)器端，可以通過Email的頭HTTP_X_FORWARDED_FOR來獲取代理服務(wù)器的服務(wù)器名以及端口，通過HTTP_VIA可以知道客戶的內(nèi)部IP。

　　在現(xiàn)實(shí)中，發(fā)信者為掩蓋其發(fā)信信息，利用一些工具來掩蓋電子郵件的文件頭信息，例如使用Open-Relay、匿名E-mail、Open Proxy 、SSH通道等，在電子郵件頭中提供錯(cuò)誤的接收者信息來發(fā)送信息。利用Open-Relay，郵件服務(wù)器不理會(huì)郵件發(fā)送者或郵件接受者是否為系統(tǒng)所設(shè)定的用戶，而對(duì)所有的入站郵件一律進(jìn)行轉(zhuǎn)發(fā)（Relay）。發(fā)信者在發(fā)送電子郵件的時(shí)候，就會(huì)利用這種開放功能的郵件服務(wù)器作為中轉(zhuǎn)服務(wù)器，從而隱藏發(fā)送者的個(gè)人信息和IP地址。實(shí)際上通過open relay服務(wù)器發(fā)送的電子郵件中仍包含真正發(fā)送者的IP地址信息，對(duì)于使用Open Rely的Web電子郵件，可以從兩方面來取得線索：Web電子郵件的郵件頭中包含原始發(fā)信人的IP地址；Open Relay服務(wù)器的Open Relay日志文件里面也包含原始發(fā)信人的IP地址。

　　在匿名E-mail情況下，接受方?jīng)]有任何發(fā)件人信息，但可以從郵件信頭部分看到發(fā)信的時(shí)間，使用的郵件服務(wù)器等信。論文參考網(wǎng)。發(fā)信者使用匿名郵件轉(zhuǎn)發(fā)器轉(zhuǎn)發(fā)電子郵件，將郵件轉(zhuǎn)發(fā)到目的地，真正的發(fā)信人則被隱藏起來，相對(duì)來說，這種情況下的線索就顯得比較復(fù)雜。具體做法如下：首先可以通過電子郵件頭和Web電子郵件的日志文件來回溯到提供匿名發(fā)信服務(wù)的服務(wù)器（提供匿名發(fā)送的Web站點(diǎn)），然后查看其日志文件，確定發(fā)送被追查的Email發(fā)送的時(shí)刻，到底哪個(gè)Web電子郵件賬號(hào)連接到了匿名服務(wù)的Web服務(wù)器上，其IP地址是什么。

　　Open Proxy具有連接或重寄信息到其他系統(tǒng)服務(wù)器上的功能，作為一個(gè)Proxy，實(shí)際上也就是一個(gè)網(wǎng)絡(luò)信息傳遞的中間人，對(duì)于通過open Proxy發(fā)送的電子郵件，在轉(zhuǎn)發(fā)信息的過程中系統(tǒng)刪除了能確定流量源頭的原始信息，對(duì)這種電子郵件，發(fā)現(xiàn)線索的只能是通過電子郵件頭以及Web電子郵件的日志尋找其使用的Open Proxy的IP地址，然后在代理服務(wù)器的日志文件中來發(fā)現(xiàn)真正的發(fā)信人地址。

　　四、結(jié)束語：

　　隨著計(jì)算機(jī)網(wǎng)絡(luò)及其相關(guān)技術(shù)的發(fā)展，打擊計(jì)算機(jī)犯罪技術(shù)也需要隨之不斷發(fā)展，計(jì)算機(jī)勘察取證技術(shù)所面臨的問題將不斷增多。本文僅對(duì)Web電子郵件痕跡取證進(jìn)行了初步的研究，如何針對(duì)這些Web電子郵件事件痕跡，設(shè)計(jì)一個(gè)綜合的Web電子郵件取證工具是下一步要繼續(xù)研究的內(nèi)容。

【計(jì)算機(jī)犯罪偵查中基于Email取證線索發(fā)現(xiàn)論文】相關(guān)文章：

淺究大數(shù)據(jù)在職務(wù)犯罪偵查模式轉(zhuǎn)型中的應(yīng)用12-09

基于vc與word、outlook對(duì)象模型的email實(shí)現(xiàn)03-18

試論國際貿(mào)易理論演化中的哲學(xué)線索和歷史線索03-19

網(wǎng)絡(luò)環(huán)境中如何取證03-20

基于JPEG雙量化效應(yīng)的圖像盲取證03-17

如何快速地從網(wǎng)頁中獲得Email地址12-25

基于ＳＮＭＰ的拓?fù)浒l(fā)現(xiàn)的研究03-03

淺談基于NetMeeting的計(jì)算機(jī)語言教學(xué)模式論文11-15

大規(guī)模IP網(wǎng)絡(luò)中基于SNMP的網(wǎng)絡(luò)拓?fù)浒l(fā)現(xiàn)方法分析11-30

審計(jì)取證中存在的題目及對(duì)策03-24