論文導讀:電子郵件作爲資訊交換方式。取證主要是指分析電子郵件的來源和內容來作爲證據、確定真正的發送者和接收者、以及發送的時間。打擊計算機犯罪技術也需要隨之不斷髮展。
關鍵詞:電子郵件,取證,計算機犯罪
一、引言
近年來,伴隨着網絡與資訊化的快速發展,電子郵件作爲資訊交換方式,以其新型、快速、經濟的特點而成爲人們通信和交流的重要方式。論文參考網。與此同時,各種犯罪分子也開始普遍利用電子郵件作爲工具來實施其罪惡。
二、Email取證及相關問題:
2.1 Email取證及其現狀
Email取證主要是指分析電子郵件的來源和內容來作爲證據、確定真正的發送者和接收者、以及發送的時間。在實際辦案過程中,一般的偵查人員和公訴人員缺乏相關的專門知識,在收集、提取、保全、審查、運用電子證據的時候往往困難重重:電子證據的刪除太快太容易,執法部門機關在取證前,可能已經被毀滅;目前在我國電子證據能否成爲證據、電子證據成爲證據的條件及合法性等問題存在廣泛爭議;這種偵查難、舉證難、定罪難的境況迫切要求適用的取證工具的產生與應用,而互聯網電子郵箱申請與真實身份並沒有掛鉤,一旦出現問題,透過Email偵查取證難度很大。
2.2 Email取證需瞭解的基本技術
一般來說,E-mail的收/發信方式分爲兩種:透過ISP或免費郵箱服務商提供的SMTP發信服務器中轉的發信方式;透過本機建立SMTP發信服務器直接發送電子郵件的方式。
三、Web 電子郵件事件取證線索發現與分析
對電子郵件事件痕跡進行檢驗,發現線索是電子郵件取證的關鍵問題。Web電子郵件線索發現可以在兩個地方進行:服務器端和客戶機端。服務器端取證一般指透過在Internet關鍵節點部署郵件監控系統進行取證。透過將電子郵件監視軟件安裝的ISP的服務器上,來監視可疑的電子郵件。論文參考網。客戶端取證是透過Web郵件用戶透過賬號和密碼登入到郵件服務器上,進行相關的電子郵件活動是取得痕跡。,用戶檢視電子郵件資訊時,只要瀏覽過,就會在機器上流下蛛絲馬跡。目前,在我們國內用的最多的瀏覽器是Microsoft公司的InternetExplorer,這裏主要研究在客戶端透過IE提取痕跡。
3.1 Web Email事件的線索發現
用戶利用IE收發、閱讀電子郵件的事件,使得IE瀏覽器把某些資訊顯示出來並且放入快取。因而,Web 電子郵件事件痕跡可以從一些相關的檔案中找到,這些與Web Email痕跡相關的檔案位置主要包括:收藏夾、Cookies、歷史記錄、瀏覽過的網頁的連結、Internet臨時檔案、Autocompletion檔案等。透過這些可以得到很多包括用戶的私人資訊以及該用戶所在組織的資訊等。
3.2 透過瀏覽器發現Email事件痕跡,尋找取證線索
利用Web瀏覽器來收、發、閱讀電子郵件時會在硬盤上留下大量的數據。在Web 瀏覽器的歷史記錄檔案和快取記錄裏,瀏覽器的歷史記錄和快取記錄都在本地硬盤上儲存,透過歷史記錄和快取記錄查詢可以很容易的看到瀏覽器曾經訪問過的網站的地址。
透過檢視檔案和瀏覽器的快取來尋找時間痕跡。
記錄着透過瀏覽器訪問過的網址、訪問時間、歷史記錄等資訊。實際上它是一個儲存了cookie、歷史記錄和IE臨時檔案記錄的副本。系統爲了保密是不會讓用戶直接看到檔案。但進入IE的臨時檔案夾“TemporaryInternet Files”,在其後面手工加上“5”,可發現該檔案夾下面另有檔案夾和檔案,其中包括,該檔案被系統自身使用,無法透過常規方式刪除。透過檢視本地硬盤的,可以查出該機器曾經造訪過哪些網站,是否在相應的時間訪問過與案件相關的SSH服務器、Proxy服務器或者其它與案件相關的IP位址。
IE使用快取Cache來存放已訪問過的一些網站的資訊來提高瀏覽速度。一般地,這些都存在Internet臨時檔案夾裏面,起到加速瀏覽網頁作用,可以透過檢視快取內容來發現Email事件的痕跡。
3.3 透過Web電子郵件的檔案頭查找線索
Web電子郵件頭中除了標準的電子郵件頭部分,還包含許多其它的資訊。有些利用內部局域網連接互聯網用戶認爲他們處於防火牆之後,他們的真實身份不會透過瀏覽過的網站暴露出去,但事實並非如此。因爲多數局域網內部用戶透過透明代理訪問外部的Web服務器,當用戶訪問外部的郵件服務器時,收發或閱讀郵件時,在局域網服務器端,可以透過Email的頭HTTP_X_FORWARDED_FOR來獲取代理服務器的服務器名以及端口,透過HTTP_VIA可以知道客戶的內部IP。
在現實中,發信者爲掩蓋其發信資訊,利用一些工具來掩蓋電子郵件的檔案頭資訊,例如使用Open-Relay、匿名E-mail、Open Proxy 、SSH通道等,在電子郵件頭中提供錯誤的接收者資訊來發送資訊。利用Open-Relay,郵件服務器不理會郵件發送者或郵件接受者是否爲系統所設定的用戶,而對所有的入站郵件一律進行轉發(Relay)。發信者在發送電子郵件的時候,就會利用這種開放功能的'郵件服務器作爲中轉服務器,從而隱藏發送者的個人資訊和IP位址。實際上透過open relay服務器發送的電子郵件中仍包含真正發送者的IP位址資訊,對於使用Open Rely的Web電子郵件,可以從兩方面來取得線索:Web電子郵件的郵件頭中包含原始發信人的IP位址;Open Relay服務器的Open Relay日誌檔案裏面也包含原始發信人的IP位址。
在匿名E-mail情況下,接受方沒有任何發件人資訊,但可以從郵件信頭部分看到發信的時間,使用的郵件服務器等信。論文參考網。發信者使用匿名郵件轉發器轉發電子郵件,將郵件轉發到目的地,真正的發信人則被隱藏起來,相對來說,這種情況下的線索就顯得比較複雜。具體做法如下:首先可以透過電子郵件頭和Web電子郵件的日誌檔案來回溯到提供匿名發信服務的服務器(提供匿名發送的Web站點),然後檢視其日誌檔案,確定發送被追查的Email發送的時刻,到底哪個Web電子郵件賬號連接到了匿名服務的Web服務器上,其IP位址是什麼。
Open Proxy具有連接或重寄資訊到其他系統服務器上的功能,作爲一個Proxy,實際上也就是一個網絡資訊傳遞的中間人,對於透過open Proxy發送的電子郵件,在轉發資訊的過程中系統刪除了能確定流量源頭的原始資訊,對這種電子郵件,發現線索的只能是透過電子郵件頭以及Web電子郵件的日誌尋找其使用的Open Proxy的IP位址,然後在代理服務器的日誌檔案中來發現真正的發信人地址。
四、結束語:
隨着計算機網絡及其相關技術的發展,打擊計算機犯罪技術也需要隨之不斷髮展,計算機勘察取證技術所面臨的問題將不斷增多。本文僅對Web電子郵件痕跡取證進行了初步的研究,如何針對這些Web電子郵件事件痕跡,設計一個綜合的Web電子郵件取證工具是下一步要繼續研究的內容。