Россия, Москва, Московский Государственный Открытый Университет, 2007 |
Инструментальные средства, помогающие реконструировать деятельность, связанную с интернетом
При расследовании судебных экспертов часто просят восстановить действия подозреваемого в сети. Наиболее важные сетевые действия могут быть обобщены в двух категориях: электронная почта и привычки просмотра Web-сайтов. В этой лекции обсуждается комплект инструментальных средств, который должен использовать судебный аналитик для восстановления сетевой деятельности на машине подозреваемого. Здесь также распутываются некоторые зацепки, которые были обнаружены во время полевого испытания.
Outlook Express
Приложение Microsoft Outlook Express - обычный клиент электронной почты и новостей интернета. Оно устанавливается по умолчанию в операционных системах Windows вместе с приложением Internet Explorer. Поскольку оно легко доступно, многие пользователи выбирают его для использования в качестве заданного по умолчанию почтового клиента. Поэтому, судебный эксперт должен быть готов к восстановлению электронной почты, сгенерированной из этой программы. В этом разделе описано, как судебный аналитик может использовать Outlook Express несколько отличным от обычного пользователя способом, чтобы помочь установить направление дальнейшего расследования.
Реализация
Чтобы установить Outlook Express, вы должны сначала установить Internet Explorer. После того как он установлен на судебном компьютере, его больше не нужно конфигурировать. Аналитик просто импортирует интересующую его электронную почту в свою копию Outlook Express на судебном компьютере. Это можно выполнить с помощью следующих действий.
- Откройте Outlook Express и выберите File/Import/Messages (Файл/Импорт/Сообщения).
- В диалоговом окне Import (Импорт) программы Outlook Express выберите версию Outlook Express, которую вы хотите импортировать. Затем щелкните на Next (Далее).
- Выберите Import Mail From an OE6 Store Directory (Импортировать почту из каталога OE6). Щелкните на OK.
- Выберите местоположение каталога, который будет импортирован. Это может быть каталог, полученный при судебном дублировании или логическом копировании интересующей машины. Обычные места расположения этого каталога представлены в таблице 23.1. Щелкните на Next.
- После того как Outlook Express обнаружил, что содержание каталога действительно является истинным хранилищем почты, он предлагает вам опцию выбора любой или всех доступных папок. Выберите соответствующую опцию (опции) и щелкните на Next (Далее).
- После того как вы закончите импорт, новые сообщения должны расположиться в дереве папки.
Необходимо знать места хранения почтовых файлов для различных версий Windows. В таблице 23.1 показаны типичные места расположения этих файлов.
Операционная система | Типичные места хранения почты Outlook Express |
---|---|
Windows 2000 | C:\Documents and Settings\< имя пользователя >\Local Settings\Application Data\Identities\< уникальная длинная строка >\Microsoft\Outlook Express\ |
Windows NT | C:\winnt\profiles\< имя пользователя >\Local Settings\Application Data\Identities\< уникальная длинная строка >\Microsoft\Outlook Express\ |
Windows 95/98/Me | C:\Windows\Application Data\Identities\< уникальная длинная строка >\Microsoft\Outlook Express\ |
Информация должна быть скопирована из файла улик в новый каталог прежде, чем вы импортируете ее в Outlook Express, потому что для работы Outlook Express требуется такой доступ к данным, который позволяет чтение и запись, а файлы улик, обычно, запрещают запись.
Outlook
Приложение Outlook, устанавливаемое с комплектом Microsoft Office, часто встречается в корпоративных расследованиях. Электронную почту, созданную в Outlook, восстановить даже проще, чем электронную почту приложения Outlook Express. Файлы с расширением .pst называются "Папками личных файлов" и используются в Outlook для хранения электронной почты.
Реализация
После того как папки личных файлов подозреваемого найдены, вы можете открыть их, выбирая File/Open/Outlook Data File (Файл/Открыть/Файл данных Outlook ).
После того как вы выбрали файл, он монтируется в дереве папок. Затем вы можете просмотреть электронную почту, календарь, задачи и контакты, содержащиеся в этих файлах, без вмешательства другой существующей в Outlook электронной почты. В следующем экранном снимке папка с названием "1 февраля 2002" является папкой личных файлов, открытой из файла, обнаруженного в нашем примере улик.