| 您当前的位置:首页 > 技术文章 |
数据取证:Outlook Forensic Toolbox,帮助访问已删除的邮件 |
| 时间:2024-12-07 15:32:24 |
取证专家可以在 Outlook 数据文件中找到什么?他们可以从 Microsoft Outlook 恢复已删除的电子邮件、联系人和约定信息吗?用户可以从 Outlook 中删除不需要的通信吗?在本文中,我们将演示专家如何从 Outlook 数据文件 (PST/OST) 中恢复有价值的信息,包括已删除的电子邮件、联系人、附件和约定信息。即使用户尝试擦除不需要的通信,痕迹也经常会保留在数据库中。使用正确的工具,专家可以提取和分析这些隐藏的数据以发现关键证据。
- 天津鸿萌科贸发展有限公司从事数据安全服务二十余年,致力于为各领域客户提供专业的数据恢复、数据备份解决方案与服务,并针对企业面临的数据安全风险,提供专业的相关数据安全培训。
- 天津鸿萌科贸发展有限公司是 ElcomSoft 系列数据取证及恢复软件的授权中国代理商。ElcomSoft 取证工具仅提供给取证机构及合法数据恢复任务。
点击输入图片描述(最多30字) 在仲裁或民事纠纷中,法院可以下令披露商业和个人通信,包括来自数字设备的证据。在提交设备进行检查之前,用户通常会从 Outlook PST 和 OST 文件中删除不需要的数据。Outlook 缺乏恢复已删除项目的功能,使最终用户可以轻松隐藏不需要的电子邮件。但是,Outlook Forensic Toolbox 等专门的第三方取证工具可以分析这些文件、恢复已删除的数据并将其单独保存。
有几个问题需要处理:首先,Microsoft Outlook 不维护数据的历史快照。一旦用户清理了已删除邮件文件夹,就没有简单的方法可以恢复已删除的数据。换句话说,只需从 Microsoft Outlook 中删除电子邮件并清理已删除邮件文件夹即可使数据消失。要访问此类已删除的数据,您将需要一个专门的第三方工具。
Outlook Forensic Toolbox 的工作原理
Outlook Forensic Toolbox 扫描和分析 Outlook 数据文件 (PST/OST),将数据分为两类:可见和隐藏。在此过程中不会修改源文件,所有恢复的数据都以 PST、MSG、EML、TXT 或 VCF 等格式单独保存。
点击输入图片描述(最多30字) 取证分析步骤
- 第 1 步:读取 Outlook 中最终用户可见的数据。
- 第 2 步:扫描最终用户无法访问的数据块。
- 第 3 步:分析第 2 步中的隐藏数据。
- 第 4 道工序:从碎片化数据中重建对象。
- 第 5 步:识别已恢复的对象(电子邮件、联系人等)。
- 第 6 道工序:验证数据完整性。
- 第 7 遍:将恢复的数据保存到新的 PST 文件。
分析提取的数据
所有已删除和隐藏的数据都提取到一个 PST 文件中,该文件可以在 Outlook 中打开以供查看。或者,可以将数据保存为一堆单独的文件,例如 MSG、EML、TXT、VCF 等。数据分为特定文件夹,例如:
- 恢复的联系人
- 已恢复的日记账项目
- 已恢复的邮件
- 恢复的便笺
- 已恢复的任务
点击输入图片描述(最多30字) 未通过完整性检查的项目将保存在 Recovered Files 文件夹中,其中包含具有各种扩展名的文件。这些可能包括不完整的电子邮件、.htm 或 .txt 格式的文本片段、作为.txt文件的服务标头,以及部分恢复的没有收件人或主题的电子邮件。
部分恢复的数据
某些数据可能不完整,并作为片段保存在 Recovered Files 文件夹中:
- 将片段作为 .htm 或 .txt 文件的电子邮件
- 服务标头作为 .txt 文件
- 部分恢复的电子邮件,没有收件人或主题另存为 .htm 文件
此文件夹包含有价值的数据,例如:
- 附件
- 电子邮件的 HTML 版本
- 图像、视频和演示文稿
- 电子邮件标题和文本片段
点击输入图片描述(最多30字) Recovered Files 文件夹可能是调查员最重要的部分。人们可能想要调整 Microsoft Outlook 设置以方便查看恢复的数据。单击左下角的 “...” 符号:
点击输入图片描述(最多30字) 接下来,点击 “Folders(文件夹)”:
点击输入图片描述(最多30字) 已删除的电子邮件
“恢复的邮件项目”文件夹包含已完全或几乎完全恢复的已删除电子邮件,包括其原始主题、日期、收件人、正文和标头。
文件夹
通常无法恢复文件夹结构,因为文件夹通常会清空但不会被删除。因此,最终的 PST 可能缺少原始文件夹树。
结论
Outlook Forensic Toolbox 是一个强大的工具,用于从 Microsoft Outlook PST 和 OST 文件中恢复已删除的数据。通过彻底分析和排序可访问和已删除的数据,它使取证专家能够检索电子邮件、联系人、附件和其他可能无法访问的关键信息。该工具在法律调查中非常宝贵,有助于发现证据,同时确保整个过程中的数据完整性。