计算机犯罪侦查中基于Email取证线索发现论文
论文导读:电子邮件作为信息交换方式。取证主要是指分析电子邮件的来源和内容来作为证据、确定真正的发送者和接收者、以及发送的时间。打击计算机犯罪技术也需要随之不断发展。
关键词:电子邮件,取证,计算机犯罪
一、引言
近年来,伴随着网络与信息化的快速发展,电子邮件作为信息交换方式,以其新型、快速、经济的特点而成为人们通信和交流的重要方式。论文参考网。与此同时,各种犯罪分子也开始普遍利用电子邮件作为工具来实施其罪恶。
二、Email取证及相关问题:
2.1 Email取证及其现状
Email取证主要是指分析电子邮件的来源和内容来作为证据、确定真正的发送者和接收者、以及发送的时间。在实际办案过程中,一般的侦查人员和公诉人员缺乏相关的专门知识,在收集、提取、保全、审查、运用电子证据的时候往往困难重重:电子证据的删除太快太容易,执法部门机关在取证前,可能已经被毁灭;目前在我国电子证据能否成为证据、电子证据成为证据的条件及合法性等问题存在广泛争议;这种侦查难、举证难、定罪难的境况迫切要求适用的取证工具的产生与应用,而互联网电子邮箱申请与真实身份并没有挂钩,一旦出现问题,通过Email侦查取证难度很大。
2.2 Email取证需了解的基本技术
一般来说,E-mail的收/发信方式分为两种:通过ISP或免费邮箱服务商提供的SMTP发信服务器中转的发信方式;通过本机建立SMTP发信服务器直接发送电子邮件的方式。
三、Web 电子邮件事件取证线索发现与分析
对电子邮件事件痕迹进行检验,发现线索是电子邮件取证的关键问题。Web电子邮件线索发现可以在两个地方进行:服务器端和客户机端。服务器端取证一般指通过在Internet关键节点部署邮件监控系统进行取证。通过将电子邮件监视软件安装的ISP的服务器上,来监视可疑的电子邮件。论文参考网。客户端取证是通过Web邮件用户通过账号和密码登录到邮件服务器上,进行相关的电子邮件活动是取得痕迹。,用户查看电子邮件信息时,只要浏览过,就会在机器上流下蛛丝马迹。目前,在我们国内用的最多的浏览器是Microsoft公司的InternetExplorer,这里主要研究在客户端通过IE提取痕迹。
3.1 Web Email事件的线索发现
用户利用IE收发、阅读电子邮件的事件,使得IE浏览器把某些信息显示出来并且放入缓存。因而,Web 电子邮件事件痕迹可以从一些相关的文件中找到,这些与Web Email痕迹相关的文件位置主要包括:收藏夹、Cookies、历史记录、浏览过的网页的链接、Internet临时文件、Autocompletion文件等。通过这些可以得到很多包括用户的私人信息以及该用户所在组织的信息等。
3.2 通过浏览器发现Email事件痕迹,寻找取证线索
利用Web浏览器来收、发、阅读电子邮件时会在硬盘上留下大量的数据。在Web 浏览器的历史记录Index.dat文件和缓存记录里,浏览器的历史记录和缓存记录都在本地硬盘上保存,通过历史记录和缓存记录查询可以很容易的看到浏览器曾经访问过的网站的地址。
通过查看Index.dat文件和浏览器的缓存来寻找时间痕迹。
index.dat记录着通过浏览器访问过的网址、访问时间、历史记录等信息。实际上它是一个保存了cookie、历史记录和IE临时文件记录的副本。系统为了保密是不会让用户直接看到index.dat文件。但进入IE的临时文件夹“TemporaryInternet Files”,在其后面手工加上“Content.IE5”,可发现该文件夹下面另有文件夹和文件,其中包括index.dat,该文件被系统自身使用,无法通过常规方式删除。通过查看本地硬盘的Index.dat,可以查出该机器曾经造访过哪些网站,是否在相应的时间访问过与案件相关的SSH服务器、Proxy服务器或者其它与案件相关的IP地址。
IE使用缓存Cache来存放已访问过的一些网站的信息来提高浏览速度。一般地,这些都存在Internet临时文件夹里面,起到加速浏览网页作用,可以通过查看缓存内容来发现Email事件的痕迹。
3.3 通过Web电子邮件的文件头查找线索
Web电子邮件头中除了标准的电子邮件头部分,还包含许多其它的信息。有些利用内部局域网连接互联网用户认为他们处于防火墙之后,他们的真实身份不会通过浏览过的网站暴露出去,但事实并非如此。因为多数局域网内部用户通过透明代理访问外部的Web服务器,当用户访问外部的邮件服务器时,收发或阅读邮件时,在局域网服务器端,可以通过Email的头HTTP_X_FORWARDED_FOR来获取代理服务器的服务器名以及端口,通过HTTP_VIA可以知道客户的内部IP。
在现实中,发信者为掩盖其发信信息,利用一些工具来掩盖电子邮件的文件头信息,例如使用Open-Relay、匿名E-mail、Open Proxy 、SSH通道等,在电子邮件头中提供错误的接收者信息来发送信息。利用Open-Relay,邮件服务器不理会邮件发送者或邮件接受者是否为系统所设定的用户,而对所有的入站邮件一律进行转发(Relay)。发信者在发送电子邮件的时候,就会利用这种开放功能的'邮件服务器作为中转服务器,从而隐藏发送者的个人信息和IP地址。实际上通过open relay服务器发送的电子邮件中仍包含真正发送者的IP地址信息,对于使用Open Rely的Web电子邮件,可以从两方面来取得线索:Web电子邮件的邮件头中包含原始发信人的IP地址;Open Relay服务器的Open Relay日志文件里面也包含原始发信人的IP地址。
在匿名E-mail情况下,接受方没有任何发件人信息,但可以从邮件信头部分看到发信的时间,使用的邮件服务器等信。论文参考网。发信者使用匿名邮件转发器转发电子邮件,将邮件转发到目的地,真正的发信人则被隐藏起来,相对来说,这种情况下的线索就显得比较复杂。具体做法如下:首先可以通过电子邮件头和Web电子邮件的日志文件来回溯到提供匿名发信服务的服务器(提供匿名发送的Web站点),然后查看其日志文件,确定发送被追查的Email发送的时刻,到底哪个Web电子邮件账号连接到了匿名服务的Web服务器上,其IP地址是什么。
Open Proxy具有连接或重寄信息到其他系统服务器上的功能,作为一个Proxy,实际上也就是一个网络信息传递的中间人,对于通过open Proxy发送的电子邮件,在转发信息的过程中系统删除了能确定流量源头的原始信息,对这种电子邮件,发现线索的只能是通过电子邮件头以及Web电子邮件的日志寻找其使用的Open Proxy的IP地址,然后在代理服务器的日志文件中来发现真正的发信人地址。
四、结束语:
随着计算机网络及其相关技术的发展,打击计算机犯罪技术也需要随之不断发展,计算机勘察取证技术所面临的问题将不断增多。本文仅对Web电子邮件痕迹取证进行了初步的研究,如何针对这些Web电子邮件事件痕迹,设计一个综合的Web电子邮件取证工具是下一步要继续研究的内容。
【计算机犯罪侦查中基于Email取证线索发现论文】相关文章: