Реализация

Чтобы установить Outlook Express, вы должны сначала установить Internet Explorer. После того как он установлен на судебном компьютере, его больше не нужно конфигурировать. Аналитик просто импортирует интересующую его электронную почту в свою копию Outlook Express на судебном компьютере. Это можно выполнить с помощью следующих действий.

Откройте Outlook Express и выберите File/Import/Messages (Файл/Импорт/Сообщения).
В диалоговом окне Import (Импорт) программы Outlook Express выберите версию Outlook Express, которую вы хотите импортировать. Затем щелкните на Next (Далее).
Выберите Import Mail From an OE6 Store Directory (Импортировать почту из каталога OE6). Щелкните на OK.
Выберите местоположение каталога, который будет импортирован. Это может быть каталог, полученный при судебном дублировании или логическом копировании интересующей машины. Обычные места расположения этого каталога представлены в таблице 23.1. Щелкните на Next.
После того как Outlook Express обнаружил, что содержание каталога действительно является истинным хранилищем почты, он предлагает вам опцию выбора любой или всех доступных папок. Выберите соответствующую опцию (опции) и щелкните на Next (Далее).
После того как вы закончите импорт, новые сообщения должны расположиться в дереве папки.

Необходимо знать места хранения почтовых файлов для различных версий Windows. В таблице 23.1 показаны типичные места расположения этих файлов.

Таблица 23.1. Каталоги, предназначенные для хранения почты

Операционная системаТипичные места хранения почты Outlook Express

Windows 2000	C:\Documents and Settings\<имя пользователя>\Local Settings\Application Data\Identities\<уникальная длинная строка>\Microsoft\Outlook Express\
Windows NT	C:\winnt\profiles\<имя пользователя>\Local Settings\Application Data\Identities\<уникальная длинная строка>\Microsoft\Outlook Express\
Windows 95/98/Me	C:\Windows\Application Data\Identities\<уникальная длинная строка>\Microsoft\Outlook Express\

Информация должна быть скопирована из файла улик в новый каталог прежде, чем вы импортируете ее в Outlook Express, потому что для работы Outlook Express требуется такой доступ к данным, который позволяет чтение и запись, а файлы улик, обычно, запрещают запись.

После того как папки личных файлов подозреваемого найдены, вы можете открыть их, выбирая File/Open/Outlook Data File (Файл/Открыть/Файл данных Outlook).

После того как вы выбрали файл, он монтируется в дереве папок. Затем вы можете просмотреть электронную почту, календарь, задачи и контакты, содержащиеся в этих файлах, без вмешательства другой существующей в Outlook электронной почты. В следующем экранном снимке папка с названием "1 февраля 2002" является папкой личных файлов, открытой из файла, обнаруженного в нашем примере улик.

увеличить изображение

Примечание. Хотя почтовые папки и возможно импортировать, делать этого не рекомендуется, потому что очень легко перепутать сообщения электронной почты, неправильно выбирая целевые папки в процессе импорта. Кроме того, процесс импорта гораздо более сложен, чем простой выбор File/Open.

Первый шаг к использованию Netscape Messenger для импорта электронной почты заключается в нахождении каталогов, в которых он хранит электронную почту. В следующей таблице показаны пути к каталогам, в которых обычно сохраняются почтовые сообщения в Netscape.

Операционная система Типичное место хранения почты Netscape

Операционная системаТипичное место хранения почты Netscape

Windows 2000	C:\Documents и Settings\Application Data\Mozilla\profiles\<имя пользователя>\<уникальное имя файла>.slt\Mail\
Windows NT	C:\winnt\profiles\Application Data\Mozilla\profiles\<имя пользователя>\<уникальное имя файла>.slt\Mail\
Windows 95/98/Me	C:\Windows\Application Data\Mozilla\profiles\<имя пользователя>\<уникальное имя файла>.slt\Mail\

Следующий шаг в восстановлении почты Netscape состоит в создании правильной почтовой учетной записи в пределах любого профиля на судебном компьютере. Здесь мы будем использовать заданный по умолчанию профиль, который автоматически установлен приложением Netscape (если потребуется, вы можете взять на себя хлопоты по создания "реального" профиля вместо использования профиля, заданного по умолчанию в Netscape). Гораздо проще, однако, выбрать File/Import (Файл/Импорт), чтобы импортировать любую электронную почту приложения Outlook Express, которая уже существует на судебном компьютере. Мы выбираем для импортирования приложение Outlook Express, потому что оно установлено почти в каждой системе Windows. Мы делаем это не для того, чтобы действительно отыскать локальную электронную почту Outlook Express, а для создания необходимой структуры каталогов и изменения конфигурационных файлов в пределах Netscape, чтобы поставить себя в положение, пригодное для импорта электронной почты, обнаруженной в файле улик. Как только вы завершите этот процесс, не забудьте удалить любую электронную почту, которая была импортирована из Outlook Express, потому что она была импортирована локально, а не из файлов улик. Если вы не удалите эти локально импортированные данные, вы создадите риск смешивания интересующей вас электронной почты с электронной почтой судебного компьютера.

Файлы данных службы AOL расположены в подкаталоге organize, который находится в инсталляционном каталоге (в данном случае, это каталог C:\Program Files\America Online 7.0a\organize) клиента AOL. После того как этот каталог был скопирован с компьютера подозреваемого и сохранен на судебном компьютере, вы открываете электронную почту с помощью клиента AOL.

Очевидно, клиент службы AOL должен быть установлен на судебном компьютере прежде, чем электронная почта подозреваемого может быть восстановлена. Вам не нужно получать правильную учетную запись службы AOL для восстановления электронной почты подозреваемого. Поэтому, при запуске клиента AOL, отменяйте любые навязчивые экраны с предложением подписаться, до тех пор, пока экран будет иметь следующий вид.

Далее, скопируйте каталог organize на судебный компьютер.
Найдите файлы, которые не имеют расширений. На следующей иллюстрации - это файлы fsorensics. Это имена account/screen, которые используются с клиентом AOL . Этот файл будет содержать данные, которые мы будем восстанавливать.

увеличить изображение
Переименуйте обнаруженный файл с расширением .pfc (в этом примере fsorensics.pfc). Это расширение делает файл личным файл-кабинетом (personal file cabinet), то есть типом файла, который могут открывать клиенты AOL.
Выберите File/Open в клиенте AOL. Найдите файл, который был переименован в шаге 3, и откройте его.
Повторите шаги 2-4 для каждого экранного имени, обнаруженного в каталоге organize.

После того как вы выполнили эти шаги, прокрутите экран вниз, чтобы найти почтовые папки. Следующий экран отображает почтовые папки для учетной записи fsorensics@aol.com.

увеличить изображение

Содержимое почтовой папки можно внимательно просмотреть, дважды щелкнув на отдельных почтовых заголовках.

Вы можете просматривать заголовки SMTP для полученной электронной почты, щелкая на кнопке Details (Подробно) сверху индивидуального почтового сообщения, как показано на следующем экране.

увеличить изображение

Интересное различие между AOL и другими доминирующими почтовыми программами заключается в том, что AOL может также сохранять избранные посещенные Web-сайты в том же самом наборе данных, который мы только что открыли. Поэтому надо не забывать просмотреть все Web-сайты, сохраненные в списке Favorites (Избранное).

Вы должны также обратить внимание на дополнительный каталог, расположенный под каталогом ниже organize, с именем CACHE, который может содержать более старые версии почтовых ящиков подозреваемого. Во многих расследованиях может оказаться ценной возможность анализа этих файлов, потому что, по мере добавления или удаления электронной почты на компьютере подозреваемого, изменения показываются, как снимки в каталоге CACHE. Используя описанные выше шаги, вы можете восстановить эти файлы.

Файл электронной почты Unix обычно располагается в каталоге /var/spool/mail/username в Linux, и в каталоге /var/mail/username в системе FreeBSD. Другие разновидности Unix имеют подобный каталог и структуру именования файлов. Этот файл содержит всю электронную почту для определенного пользователя с именем username, и каждое сообщение подписывается в этот файл. Файл можно рассматривать с помощью стандартных средств просмотра текстов, потому что формат файла не запатентован.

Если почтовый файл содержит много вложений или если подозреваемый сохранил тысячи сообщений, пролистывание текстового файла в редакторе общего назначения (см. лекцию "Средства просмотра файлов и редакторы общего назначения") может быть неэффективным и даже непрактичным. Кроме того, без использования специализированных декодеров файловых вложений, аналитик, читающий полный текстовый файл в редакторе общего назначения первоначально, скорее всего, не сможет рассмотреть какие-либо вложенные файлы. Поэтому у аналитика должна быть возможность управлять электронной почтой в почтовой программе, чтобы полностью проанализировать содержание и увеличить эффективность.

Электронная почта может быть восстановлена с помощью следующих действий.

Скопируйте файл почтового ящика в каталог почты и смените имя файла на имя пользователя, который будет к нему обращаться. Это показывает следующий вывод.

forensic# ls -al Mailbox -rw-r--r-- 1 kjones 1000 15745 Mar 5 15:16 Mailbox forensic# cp Mailbox /var/mail/kjones
Переключите пользователя, используя команду su системы, на пользователя, почтовый ящик которого был скопирован. В данном случае, пользователь - kjones.
Используйте любую программу общего назначения, предназначенную для отправки почты, чтобы читать содержание электронной почты.

Примечание. Хотя программа "mail" установлена почти на каждой системе Unix, авторы любят использовать также программы mutt и pine, потому что они позволяют легко сохранять или просматривать вложенные файлы. Кроме того, они обеспечивают лучшие возможности для поиска.

После запуска IE History вы должны увидеть экран, подобный показанному ниже.

увеличить изображение

Щелкните на кнопке Open History File (Открыть файл истории), чтобы открыть окно просмотра, подобное показанному на следующей иллюстрации. Заметьте, что это окно просмотра отличается от типичных окон просмотра файлов в системе Windows, в которых файлы не переводятся в соответствии со спецификациями, заданными в файле desktop.ini. Это позволяет пользователю просматривать файлы истории локального диска, которые обычно переводятся в файловые страницы истории приложением Windows Explorer.

Инструмент IE History может обрабатывать много различных типов файлов, включая файлы истории деятельности в Internet Explorer и в Netscape Web. В таблице 23.2 суммированы места обычного расположения этих файлов.

Таблица 23.2. Места расположения файлов регистрации обращений к интернету

Операционная системаWeb-броузерПути к файлам

Windows 95/98/Me	Internet Explorer	\Windows\Temporary Internet Files\ Content.IE5\ \Windows\Cookies\ \Windows\History\History.IE5\ Любой файл index.dat является файлом истории.
Windows NT	Internet Explorer	\Winnt\Profiles\<имя пользователя>\Local Settings\Temporary Internet Files\Content.IE5\ \Winnt\Profiles\<имя пользователя>\Cookies\ \Winnt\Profiles\<имя пользователя>\Local Settings\History\History.IE5\ Любой файл index.dat является файлом истории.
Windows 2000	Internet Explorer	\Documents and Settings\<имя пользователя>\Local Settings\Temporary Internet Files\Content.IE5\ \Documents and Settings\<имя пользователя>\Cookies\ \Document and Settings\<имя пользователя>\Local Settings\History\History.IE5\ Любой файл index.dat является файлом истории.
Windows 95/98/Me	Netscape	\Windows\Application Data\Mozilla\Profiles\<название профиля>\<каталог профиля>\ Любой файл index.dat является файлом истории.
Windows NT	Netscape	\Documents and Settings\<имя пользователя>\Application Data\Mozilla\Profiles\<название профиля>\<каталог профиля>\ Любой файл index.dat является файлом истории.
Windows 2000	Netscape	\Winnt\Profiles\<имя пользователя>\Application Data\Mozilla\Profiles\<название профиля>\<каталог профиля>\ Любой файл index.dat является файлом истории.
Unix (Linux, BSD, etc.)	Netscape	~<имя пользователя>/.netscape/ Любой файл index.dat является файлом истории.

<

Содержание раздела