專利名稱:一種Outlook刪除郵件的恢復(fù)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機取證領(lǐng)域��,具體地說���,特別涉及到一種Outlook刪除郵件的恢
復(fù)方法��。
背景技術(shù):
計算機取證(Computer Forensics)是指運用計算機辨析技術(shù)����,對計算機犯罪行為進行分析以確認罪犯及計算機證據(jù)�,并據(jù)此提起訴訟����。也就是針對計算機入侵與犯罪�,進行證據(jù)獲取、保存����、分析和出示。計算機證據(jù)指在計算機系統(tǒng)運行過程中產(chǎn)生的以其記錄的內(nèi)容來證明案件事實的電磁記錄物�����。從技術(shù)上而言���,計算機取證是一個對受侵計算機系統(tǒng)進行掃描和破解���,以對入侵事件進行重建的過程。在Outlook中���,某些徹底刪除的郵件無法通過客戶端本身的操作來找回�,特別是在取證中�,被特意刪除的郵件可能包含重要信息,恢復(fù)這些郵件具有重要意義。因此�,特別需要一種Outlook刪除郵件的恢復(fù)方法。
發(fā)明內(nèi)容
本發(fā)明的目的在于提供一種Outlook刪除郵件的恢復(fù)方法�����,通過分析Outlook產(chǎn)生的PST文件中郵件數(shù)據(jù)塊的映射表來查找沒被覆蓋的數(shù)據(jù)塊��,然后根據(jù)數(shù)據(jù)郵件的特征進一步分析和提取�����,克服了傳統(tǒng)技術(shù)中的不足�,從而實現(xiàn)本發(fā)明的目的����。本發(fā)明所解決的技術(shù)問題可以采用以下技術(shù)方案來實現(xiàn)一種Outlook刪除郵件的恢復(fù)方法,它包括如下步驟I)對Outlook客戶端進行解析��,獲取PST文件��;2)通過掃描PST文件中找到尚未被覆蓋的數(shù)據(jù)塊�����;3)對數(shù)據(jù)塊進行分析����,篩選出可疑的郵件數(shù)據(jù)塊�;4)設(shè)置郵件數(shù)據(jù)塊的特征過濾條件�,找出所有未被覆蓋的郵件;5)郵件的各種屬性及屬性值都按規(guī)則存放在郵件數(shù)據(jù)塊中���,按正常郵件解析方法即可解析出郵件的完整內(nèi)容���。在本發(fā)明的一個實施例中,所述PST文件存儲于硬盤驅(qū)動器的個人存儲文件夾中或郵箱服務(wù)器的數(shù)據(jù)庫中��。在本發(fā)明的一個實施例中�,所述步驟3)的篩選方法為首先設(shè)置判別標準,然后將PST文件中尚未被覆蓋的數(shù)據(jù)塊的與判別標準進行比較�����,篩選出可疑的郵件數(shù)據(jù)塊��。在本發(fā)明的一個實施例中��,所述步驟4)的具體方法為首先加載可疑的郵件數(shù)據(jù)塊�����,將可疑的郵件數(shù)據(jù)塊與特征過濾條件相比較,找出郵件數(shù)據(jù)塊���;然后分析郵件數(shù)據(jù)塊的存儲位圖�,找到存儲位圖中回收空間對應(yīng)的比特位�;然后通過將對比特位進行映射獲取郵件數(shù)據(jù)塊的具體位置,再根據(jù)比特位的位數(shù)計算出郵件數(shù)據(jù)塊的大小��。在本發(fā)明的一個實施例中�,所述方法包括判斷郵件數(shù)據(jù)塊完整性的方法,其具體步驟為將步驟4)中可疑的郵件數(shù)據(jù)塊的大小與判別標準進行比較��,若小于步驟3)中的大小���,則為完整郵件。本發(fā)明的有益效果在于通過分析Outlook產(chǎn)生的PST文件中郵件數(shù)據(jù)塊的映射表來查找沒被覆蓋的數(shù)據(jù)塊�,然后根據(jù)數(shù)據(jù)郵件的特征進一步分析和提取,能夠恢復(fù)Outlook中徹底被刪除的文件��。
具體實施例方式為使本發(fā)明實現(xiàn)的技術(shù)手段��、創(chuàng)作特征���、達成目的與功效易于明白了解��,下面結(jié)合具體實施方式
����,進一步闡述本發(fā)明。本發(fā)明所述的一種Outlook刪除郵件的恢復(fù)方法���,其原理如下在Outlook中所有郵件都處存放在一個PST文件中���,PST文件一般存儲于硬盤驅(qū)動器的個人存儲文件夾中或郵箱服務(wù)器的數(shù)據(jù)庫中,本方法通過對Outlook客戶端進行解析�����,獲取PST文件���,然后通過掃描PST文件中找到尚未被覆蓋的數(shù)據(jù)塊����,這些數(shù)據(jù)塊就有可能是被刪除的文件�。由于尚未被覆蓋的數(shù)據(jù)塊除了包含被刪除郵件外,還有可能包含其他一些文件�����,因此,為了提高效率�����,有必要對其進行篩選���,其具體方法為首先設(shè)置一個判別標準�,然后將PST文件中所有尚未被覆蓋的數(shù)據(jù)塊的與判別標準進行比較����,篩選出可疑的郵件數(shù)據(jù)塊,判別標準可以為大小���、屬性�、文件類別等�。郵件數(shù)據(jù)塊篩選完畢后�����,加載可疑的郵件數(shù)據(jù)塊���,將可疑的郵件數(shù)據(jù)塊與特征過濾條件相比較����,找出郵件數(shù)據(jù)塊;然后分析郵件數(shù)據(jù)塊的存儲位圖�,找到存儲位圖中回收空間對應(yīng)的比特位;然后通過將對比特位進行映射獲取郵件數(shù)據(jù)塊的具體位置���,再根據(jù)比特位的位數(shù)計算出郵件數(shù)據(jù)塊的大小����。根據(jù)郵件數(shù)據(jù)塊的具體位置和大小�����,即可獲取郵件數(shù)據(jù)塊的完整內(nèi)容����。郵件的各種屬性及屬性值都按規(guī)則存放在郵件數(shù)據(jù)塊中,按正常郵件解析方法即可解析出郵件的完整內(nèi)容�。本方法還能判別被恢復(fù)的郵件是否為完整郵件,可通過比特位的位數(shù)計算出郵件數(shù)據(jù)塊的大小與篩選出來的郵件數(shù)據(jù)塊大小進行比較���,若前者小于后者�����,則為完整郵件���。本發(fā)明的具體方法如下1��、通過解析具體的文件系統(tǒng)得到相應(yīng)的PST文件���,該文件應(yīng)具有讀操作;2���、加載PST文件�,然后分析其存儲位圖�����,找到回收空間對應(yīng)的比特位�����,即通過掃描PST文件中找到尚未被覆蓋的數(shù)據(jù)塊����;3、通過對應(yīng)比特位映射得到文件具體位置���,再根據(jù)比特位的位數(shù)計算出對應(yīng)數(shù)據(jù)塊的大小�����。4��、對上步得到的數(shù)據(jù)塊進行分析���,若符合郵件數(shù)據(jù)塊的特征就可進行下一步分析。5��、判斷郵件數(shù)據(jù)塊的完整性����。通過郵件數(shù)據(jù)塊的元數(shù)據(jù)可計算出郵件數(shù)據(jù)塊的實際大小,如果小于第3步中初步估計的大小��,則為完整郵件��。6�����、完整郵件解析。郵件的各種屬性及屬性值都安規(guī)則存放在郵件數(shù)據(jù)快中���,按正常郵件解析方法即可解析出各個屬性�。 本發(fā)明通過分析Outlook產(chǎn)生的PST文件中郵件數(shù)據(jù)塊的映射表來查找沒被覆蓋的數(shù)據(jù)塊��,然后根據(jù)數(shù)據(jù)郵件的特征進一步分析和提取�,能夠恢復(fù)Outlook中徹底被刪除的文件。以上顯示和描述了本發(fā)明的基本原理和主要特征和本發(fā)明的優(yōu)點�。本行業(yè)的技術(shù)人員應(yīng)該了解,本發(fā)明不受上述實施例的限制�,上述實施例和說明書中描述的只是說明本發(fā)明的原理,在不脫離本發(fā)明精神和范圍的前提下�,本發(fā)明還會有各種變化和改進,這些變化和改進都落入要求保護的本發(fā)明范圍內(nèi)�����。本發(fā)明要求保護范圍由所附的權(quán)利要求書及其等效物界定����。
權(quán)利要求
1.一種Outlook刪除郵件的恢復(fù)方法,其特征在于��,它包括如下步驟: 1)對Outlook客戶端進行解析,獲取PST文件�; 2)通過掃描PST文件中找到尚未被覆蓋的數(shù)據(jù)塊; 3)對數(shù)據(jù)塊進行分析�,篩選出可疑的郵件數(shù)據(jù)塊����; 4)設(shè)置郵件數(shù)據(jù)塊的特征過濾條件,找出所有未被覆蓋的郵件��; 5)郵件的各種屬性及屬性值都按規(guī)則存放在郵件數(shù)據(jù)塊中��,按正常郵件解析方法即可解析出郵件的完整內(nèi)容�。
2.根據(jù)權(quán)利要求1所述的Outlook刪除郵件的恢復(fù)方法,其特征在于�,所述PST文件存儲于硬盤驅(qū)動器的個人存儲文件夾中或郵箱服務(wù)器的數(shù)據(jù)庫中。
3.根據(jù)權(quán)利要求1所述的Outlook刪除郵件的恢復(fù)方法�����,其特征在于�,所述步驟3)的篩選方法為首先設(shè)置判別標準,然后將PST文件中尚未被覆蓋的數(shù)據(jù)塊的與判別標準進行比較��,篩選出可疑的郵件數(shù)據(jù)塊�����。
4.根據(jù)權(quán)利要求1所述的Outlook刪除郵件的恢復(fù)方法,其特征在于�����,所述步驟4)的具體方法為首先加載可疑的郵件數(shù)據(jù)塊���,將可疑的郵件數(shù)據(jù)塊與特征過濾條件相比較�,找出郵件數(shù)據(jù)塊����;然后分析郵件數(shù)據(jù)塊的存儲位圖,找到存儲位圖中回收空間對應(yīng)的比特位����;然后通過將對比特位進行映射獲取郵件數(shù)據(jù)塊的具體位置,再根據(jù)比特位的位數(shù)計算出郵件數(shù)據(jù)塊的大小����。
5.根據(jù)權(quán)利要求4所述的Outlook刪除郵件的恢復(fù)方法,其特征在于��,所述方法包括判斷郵件數(shù)據(jù)塊完整性的方法����,其具體步驟為將步驟4)中可疑的郵件數(shù)據(jù)塊的大小與判別標準進行比較�����,若小于步驟 3)中的大小���,則為完整郵件���。
全文摘要
本發(fā)明公開了一種Outlook刪除郵件的恢復(fù)方法�����,它首先對Outlook客戶端進行解析����,獲取PST文件��,然后通過掃描PST文件中找到尚未被覆蓋的數(shù)據(jù)塊�;接著對數(shù)據(jù)塊進行分析,篩選出可疑的郵件數(shù)據(jù)塊���;最后設(shè)置郵件數(shù)據(jù)塊的特征過濾條件��,找出所有未被覆蓋的郵件�;郵件的各種屬性及屬性值都按規(guī)則存放在郵件數(shù)據(jù)塊中,按正常郵件解析方法即可解析出郵件的完整內(nèi)容�。本發(fā)明的有益效果在于通過分析Outlook產(chǎn)生的PST文件中郵件數(shù)據(jù)塊的映射表來查找沒被覆蓋的數(shù)據(jù)塊,然后根據(jù)數(shù)據(jù)郵件的特征進一步分析和提取����,能夠恢復(fù)Outlook中徹底被刪除的文件。
文檔編號G06F11/00GK103077090SQ20121058635
公開日2013年5月1日 申請日期2012年12月28日 優(yōu)先權(quán)日2012年12月28日
發(fā)明者湯偉, 陸道宏 申請人:盤石軟件(上海)有限公司