計算機犯罪偵查中基于Email取證線索發現論文

計算機犯罪偵查中基于Email取證線索發現論文

　　論文導讀：電子郵件作為信息交換方式。取證主要是指分析電子郵件的來源和內容來作為證據、確定真正的發送者和接收者、以及發送的時間。打擊計算機犯罪技術也需要隨之不斷發展。

　　關鍵詞：電子郵件，取證，計算機犯罪

　　一、引言

　　近年來，伴隨著網絡與信息化的快速發展，電子郵件作為信息交換方式，以其新型、快速、經濟的特點而成為人們通信和交流的重要方式。論文參考網。與此同時，各種犯罪分子也開始普遍利用電子郵件作為工具來實施其罪惡。

　　二、Email取證及相關問題:

　　2.1 Email取證及其現狀

　　Email取證主要是指分析電子郵件的來源和內容來作為證據、確定真正的發送者和接收者、以及發送的時間。在實際辦案過程中，一般的偵查人員和公訴人員缺乏相關的專門知識，在收集、提取、保全、審查、運用電子證據的時候往往困難重重：電子證據的刪除太快太容易，執法部門機關在取證前，可能已經被毀滅；目前在我國電子證據能否成為證據、電子證據成為證據的條件及合法性等問題存在廣泛爭議；這種偵查難、舉證難、定罪難的境況迫切要求適用的取證工具的產生與應用，而互聯網電子郵箱申請與真實身份并沒有掛鉤，一旦出現問題，通過Email偵查取證難度很大。

　　2.2 Email取證需了解的基本技術

　　一般來說，E-mail的收/發信方式分為兩種：通過ISP或免費郵箱服務商提供的SMTP發信服務器中轉的發信方式；通過本機建立SMTP發信服務器直接發送電子郵件的方式。

　　三、Web 電子郵件事件取證線索發現與分析

　　對電子郵件事件痕跡進行檢驗，發現線索是電子郵件取證的關鍵問題。Web電子郵件線索發現可以在兩個地方進行：服務器端和客戶機端。服務器端取證一般指通過在Internet關鍵節點部署郵件監控系統進行取證。通過將電子郵件監視軟件安裝的ISP的服務器上，來監視可疑的電子郵件。論文參考網。客戶端取證是通過Web郵件用戶通過賬號和密碼登錄到郵件服務器上，進行相關的電子郵件活動是取得痕跡。，用戶查看電子郵件信息時，只要瀏覽過，就會在機器上流下蛛絲馬跡。目前，在我們國內用的最多的瀏覽器是Microsoft公司的InternetExplorer，這里主要研究在客戶端通過IE提取痕跡。

　　3.1 Web Email事件的線索發現

　　用戶利用IE收發、閱讀電子郵件的事件，使得IE瀏覽器把某些信息顯示出來并且放入緩存。因而，Web 電子郵件事件痕跡可以從一些相關的文件中找到，這些與Web Email痕跡相關的文件位置主要包括：收藏夾、Cookies、歷史記錄、瀏覽過的網頁的鏈接、Internet臨時文件、Autocompletion文件等。通過這些可以得到很多包括用戶的私人信息以及該用戶所在組織的信息等。

　　3.2 通過瀏覽器發現Email事件痕跡，尋找取證線索

　　利用Web瀏覽器來收、發、閱讀電子郵件時會在硬盤上留下大量的數據。在Web 瀏覽器的歷史記錄Index.dat文件和緩存記錄里，瀏覽器的歷史記錄和緩存記錄都在本地硬盤上保存，通過歷史記錄和緩存記錄查詢可以很容易的看到瀏覽器曾經訪問過的網站的地址。

　　通過查看Index.dat文件和瀏覽器的緩存來尋找時間痕跡。

　　index.dat記錄著通過瀏覽器訪問過的網址、訪問時間、歷史記錄等信息。實際上它是一個保存了cookie、歷史記錄和IE臨時文件記錄的副本。系統為了保密是不會讓用戶直接看到index.dat文件。但進入IE的臨時文件夾“TemporaryInternet Files”，在其后面手工加上“Content.IE5”，可發現該文件夾下面另有文件夾和文件，其中包括index.dat，該文件被系統自身使用，無法通過常規方式刪除。通過查看本地硬盤的Index.dat，可以查出該機器曾經造訪過哪些網站，是否在相應的時間訪問過與案件相關的SSH服務器、Proxy服務器或者其它與案件相關的IP地址。

　　IE使用緩存Cache來存放已訪問過的一些網站的信息來提高瀏覽速度。一般地，這些都存在Internet臨時文件夾里面，起到加速瀏覽網頁作用，可以通過查看緩存內容來發現Email事件的痕跡。

　　3.3 通過Web電子郵件的文件頭查找線索

　　Web電子郵件頭中除了標準的電子郵件頭部分，還包含許多其它的信息。有些利用內部局域網連接互聯網用戶認為他們處于防火墻之后，他們的真實身份不會通過瀏覽過的網站暴露出去，但事實并非如此。因為多數局域網內部用戶通過透明代理訪問外部的Web服務器，當用戶訪問外部的郵件服務器時，收發或閱讀郵件時，在局域網服務器端，可以通過Email的頭HTTP_X_FORWARDED_FOR來獲取代理服務器的服務器名以及端口，通過HTTP_VIA可以知道客戶的內部IP。

　　在現實中，發信者為掩蓋其發信信息，利用一些工具來掩蓋電子郵件的文件頭信息，例如使用Open-Relay、匿名E-mail、Open Proxy 、SSH通道等，在電子郵件頭中提供錯誤的接收者信息來發送信息。利用Open-Relay，郵件服務器不理會郵件發送者或郵件接受者是否為系統所設定的用戶，而對所有的入站郵件一律進行轉發（Relay）。發信者在發送電子郵件的時候，就會利用這種開放功能的郵件服務器作為中轉服務器，從而隱藏發送者的個人信息和IP地址。實際上通過open relay服務器發送的電子郵件中仍包含真正發送者的IP地址信息，對于使用Open Rely的Web電子郵件，可以從兩方面來取得線索：Web電子郵件的郵件頭中包含原始發信人的IP地址；Open Relay服務器的Open Relay日志文件里面也包含原始發信人的IP地址。

　　在匿名E-mail情況下，接受方沒有任何發件人信息，但可以從郵件信頭部分看到發信的時間，使用的郵件服務器等信。論文參考網。發信者使用匿名郵件轉發器轉發電子郵件，將郵件轉發到目的地，真正的發信人則被隱藏起來，相對來說，這種情況下的線索就顯得比較復雜。具體做法如下：首先可以通過電子郵件頭和Web電子郵件的日志文件來回溯到提供匿名發信服務的服務器（提供匿名發送的Web站點），然后查看其日志文件，確定發送被追查的Email發送的時刻，到底哪個Web電子郵件賬號連接到了匿名服務的Web服務器上，其IP地址是什么。

　　Open Proxy具有連接或重寄信息到其他系統服務器上的功能，作為一個Proxy，實際上也就是一個網絡信息傳遞的中間人，對于通過open Proxy發送的電子郵件，在轉發信息的過程中系統刪除了能確定流量源頭的原始信息，對這種電子郵件，發現線索的只能是通過電子郵件頭以及Web電子郵件的日志尋找其使用的Open Proxy的IP地址，然后在代理服務器的日志文件中來發現真正的發信人地址。

　　四、結束語：

　　隨著計算機網絡及其相關技術的發展，打擊計算機犯罪技術也需要隨之不斷發展，計算機勘察取證技術所面臨的問題將不斷增多。本文僅對Web電子郵件痕跡取證進行了初步的研究，如何針對這些Web電子郵件事件痕跡，設計一個綜合的Web電子郵件取證工具是下一步要繼續研究的內容。

【計算機犯罪偵查中基于Email取證線索發現論文】相關文章：

淺究大數據在職務犯罪偵查模式轉型中的應用12-09

基于vc與word、outlook對象模型的email實現03-18

試論國際貿易理論演化中的哲學線索和歷史線索03-19

網絡環境中如何取證03-20

基于JPEG雙量化效應的圖像盲取證03-17

如何快速地從網頁中獲得Email地址12-25

基于ＳＮＭＰ的拓撲發現的研究03-03

淺談基于NetMeeting的計算機語言教學模式論文11-15

大規模IP網絡中基于SNMP的網絡拓撲發現方法分析11-30

審計取證中存在的題目及對策03-24