電子郵件偵查取證的研究

【摘 要】本文通過對目的郵箱內(nèi)電子郵件按照內(nèi)容進(jìn)行了歸類，構(gòu)建出了嫌疑人的通信人物關(guān)系圖；通過對電子郵件頭文件的分析，鑒定出了電子郵件的真?zhèn)?，定位出了嫌疑電子郵件發(fā)送者的具體位置，從而形成了一套完整的電子郵件偵查取證的途徑，以便提高公安民警在日益復(fù)雜的網(wǎng)絡(luò)環(huán)境中打擊違法犯罪的能力。

【關(guān)鍵詞】郵件偵查 郵件取證 頭文件分析 關(guān)聯(lián)分析

【中圖分類號】DF793.2 【文獻(xiàn)標(biāo)識碼】A 【文章編號】1674-4810（2013）19-0192-02

一 緒論

隨著科學(xué)技術(shù)的快速發(fā)展，電子郵件已逐漸代替了傳統(tǒng)的紙質(zhì)信件，成為了日常生活中進(jìn)行交流溝通的一種重要途徑。電子郵件通常是嫌疑人犯罪活動豐富的信息源，其中包含了犯罪嫌疑人大量的通信記錄以及違法犯罪的事實(shí)。對疑犯的電子郵件進(jìn)行深入的偵查取證，必將為我們的偵查取證工作提供一條嶄新的思路。

郵件偵查主要是指在獲得了犯罪嫌疑人或受害者終端上的電子郵件客戶端以及曾登陸過的網(wǎng)頁版電子郵件的歷史記錄從而獲取郵件內(nèi)容的一種偵查技術(shù)。

二 郵件偵查技術(shù)

1.獲取客戶端電子郵件內(nèi)容

電子郵件客戶端應(yīng)用軟件為用戶提供了方便快捷的電子郵件服務(wù)，這些應(yīng)用軟件包括Microsoft Outlook、Foxmail、Outlook Express等。對客戶端電子郵件進(jìn)行取證，首先需要從目標(biāo)計算機(jī)中獲取郵件的原始數(shù)據(jù)，進(jìn)而提取郵件的相關(guān)數(shù)據(jù)，為電子郵件的分析和取證提供條件。由于眾多電子郵件客戶端應(yīng)用軟件的事后偵查技術(shù)原理相似，因此本文僅以Microsoft Outlook為例，分析電子郵件的偵查取證過程。

通過郵件源文件的存儲格式，我們很快就可以得到嫌疑人電腦上電子郵件的全部內(nèi)容。得到電子郵件的源文件存儲位置之后，我們可以有以下操作：首先，在取證方計算機(jī)用Microsoft Outlook登陸取證方的郵箱，然后將目標(biāo).pst文件復(fù)制到取證方計算機(jī)中Microsoft Outlook的.pst文件的路徑下，并覆蓋原來的.pst文件。此時，取證方的郵箱中就能將目標(biāo)對象的郵件信息讀取出來。

2.獲取網(wǎng)頁版電子郵件內(nèi)容

在客戶端之外，許多用戶喜歡在網(wǎng)頁上使用免費(fèi)的電子郵件，這為偵查取證帶來了一定的難度。在Web-Email的內(nèi)容獲取途徑中，主要包括網(wǎng)頁上的歷史記錄、Internet的臨時文件、網(wǎng)頁緩存以及Cookies等，這些Web-Email的記錄都涵蓋在了Temporary Internet Files中。針對Temporary Internet Files，我們幾乎可以找到在本主機(jī)上登錄過的所有電子郵件的信息，以便于從中獲取更多的電子郵件通信內(nèi)容。

Cookies用來存放用戶網(wǎng)頁上登錄過的用戶名以及密碼，其中蘊(yùn)含了大量網(wǎng)頁登錄的賬號以及口令，可是Cookies中的Password并不是以明文的形式存儲在我們的文件中。因此想要通過Cookies進(jìn)入郵箱，我們還需進(jìn)行更深入的剖析。

Web客戶端向服務(wù)器發(fā)起連接請求，服務(wù)器接收到請求后，根據(jù)用戶端提供的信息產(chǎn)生一個Set-Cookies Header并將其回傳給Web客戶端，建立一次會話連接。當(dāng)Web客戶端收到應(yīng)答后，形成一個Cookies文本文件儲存在客戶端計算機(jī)的硬盤中或保存在客戶端計算機(jī)的內(nèi)存中。當(dāng)Web客戶端再次向服務(wù)器發(fā)起連接請求時，Web瀏覽器首先在本地計算機(jī)上尋找對應(yīng)Cookies文本文件或在本地計算機(jī)的內(nèi)存中尋找對應(yīng)的Cookies內(nèi)容。

在得知Cookies工作原理之后，我們可以在Web客戶端上面提取并復(fù)制其中的Set_Cookie段，隱蔽的發(fā)起“再次連接請求”，從而通過旁路對服務(wù)器上的郵件內(nèi)容進(jìn)行訪問。

三 電子郵件關(guān)聯(lián)分析

在當(dāng)前的電子郵件取證過程中，技術(shù)人員在完成對郵件文件的恢復(fù)后，往往忽視了對郵件內(nèi)容的進(jìn)一步關(guān)聯(lián)與分析，導(dǎo)致在將數(shù)據(jù)轉(zhuǎn)交給偵查人員時，偵查人員面對的是大量的、無關(guān)聯(lián)的電子郵件，這就使得偵查人員無法快速及時地從電子郵件中獲取案件線索與證據(jù)。為此，要加快電子郵件案件的偵破速度，增強(qiáng)技術(shù)人員與偵查人員的協(xié)同工作能力，就必須在電子郵件偵查取證過程中，增加電子郵件關(guān)聯(lián)分析這一環(huán)節(jié)。

電子郵件關(guān)聯(lián)分析，是指從恢復(fù)的郵件文件中，進(jìn)行郵件內(nèi)容的檢索和關(guān)聯(lián)，通過分析，獲得與偵查取證有關(guān)的線索。電子郵件關(guān)聯(lián)分析包括郵件過濾、構(gòu)建人物關(guān)系圖等。

1.郵件過濾

在獲取的電子郵件中，往往存在許多與偵查取證無關(guān)的郵件，干擾偵查人員，降低辦案效率。通過對郵件中關(guān)鍵詞、收件人等信息的分析與索引，將無關(guān)的郵件進(jìn)行過濾，保留與偵查取證相關(guān)的郵件，加快案件的偵破過程。

2.構(gòu)建人物通信關(guān)系圖

在網(wǎng)絡(luò)通信發(fā)達(dá)的當(dāng)今社會，計算機(jī)犯罪通常呈現(xiàn)出一對多、多對多的犯罪形勢。因此，就必須對電子郵件的通信雙方進(jìn)行關(guān)聯(lián)與分析，得到犯罪嫌疑人的通信網(wǎng)絡(luò)等重要信息。如通過對郵箱名、各個郵箱的通信頻率和通信內(nèi)容的偵查分析，從通信網(wǎng)絡(luò)中分析出嫌疑人同伙的郵箱或受害者的郵箱，從而確定整個犯罪團(tuán)伙的規(guī)?；蚴芎φ叩臄?shù)量范圍，構(gòu)造出相關(guān)人物通信的關(guān)系圖。在得出嫌疑人同伙的郵箱和所在的網(wǎng)絡(luò)之后，就可以通過事前的監(jiān)控手段，對其網(wǎng)絡(luò)出口進(jìn)行布控，擴(kuò)大偵查范圍，在其同伙進(jìn)行下一次的犯罪行為時，及時的打擊與抓捕。

四 嫌疑人定位

當(dāng)我們的偵查人員已整理和分析出電子郵箱中眾多郵件的關(guān)聯(lián)關(guān)系并找到敏感郵件時，此時我們就需要對郵件頭文件進(jìn)行分析，以便定位出嫌疑人的具體位置，電子郵件的頭文件中蘊(yùn)含了大量的信息，其中Received中from字段表明了郵件

所經(jīng)過的郵件服務(wù)器名稱以及IP地址，其排列順序與經(jīng)過的路徑呈倒序；With表明了郵件發(fā)送過程是使用客戶端還是網(wǎng)頁登錄；Message-ID是郵件傳輸過程中的全局唯一編號。

通過分析郵件頭，取證人員可以追查發(fā)件人使用計算機(jī)的IP地址、收/發(fā)件人的郵箱、郵件的發(fā)送時間等相關(guān)信息，從而可以通過與郵件服務(wù)商進(jìn)行溝通，從而對電子郵件的源頭進(jìn)行定位。

五 總結(jié)

總之，在電子郵件通信飛速發(fā)展的今天，電子郵件犯罪呈現(xiàn)出不斷攀升的局勢，許多嫌疑人郵箱內(nèi)部郵件數(shù)量極其龐大、雜亂，電子郵件偽造案件也屢見不鮮，對偵查人員的取證和分析帶來了很大的煩惱。本文在郵件偵查技術(shù)的基礎(chǔ)上，主要運(yùn)用了郵件過濾、構(gòu)建人物通信關(guān)系圖等技術(shù)，解決了公安部門在電子郵件偵查取證工作中面臨海量郵件數(shù)據(jù)難以處理的難題，同時，通過對郵件頭文件的分析，也為公安部門對電子郵件真?zhèn)蔚蔫b別和電子郵件犯罪嫌疑人的定位提供了技術(shù)支持。相信通過本文中相關(guān)技術(shù)的應(yīng)用，電子郵件的偵查取證工作將逐漸開始變得易于操作，電子郵件犯罪案件的偵破效率也將顯著提高。

參考文獻(xiàn)

[1]〔美〕Warren G.Kruse，Jay G.計算機(jī)取證：應(yīng)急響應(yīng)精要（段海新等譯）[M].北京：人民郵電出版社，2003：27～30

[2]陳龍、麥永浩、黃傳河.計算機(jī)取證技術(shù)[M].武漢：武漢大學(xué)出版社，2007：145～160

[3]楊永川、蔣平、黃淑華.計算機(jī)犯罪偵查[M].北京：清華大學(xué)出版社，2006

[4]謝希仁.計算機(jī)網(wǎng)絡(luò)技術(shù)[M].北京：電子工業(yè)出版社，2008：254～260

[5]李馥娟.基于Cookies的Web應(yīng)用分析及其安全研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2009（8）

[6]楊澤明、劉寶旭、許榕生.電子郵件取證技術(shù)[J].網(wǎng)絡(luò)通信與技術(shù)，2011（2）

[7]郭秋香、包兵、羅永剛等.電子郵件取證模型的研究[J].計算機(jī)安全，2007（3）

[8]郭弘、金波.利用郵件頭分析電子郵件的真?zhèn)蝃J].中國司法鑒定，2010（3）

〔責(zé)任編輯：肖薇〕