Internet环境中电子邮件篡改与鉴别方法研究
发布时间:2014-09-12 08:53
【摘要】 自从上个世纪七十年代第一封电子邮件发出以来,电子邮件作为一种利用电子手段提供信息交换的通信方式,是互联网络中应用最广的服务之一,它允许人们以非常快速的方式,与世界上任何一个角落的网络用户联系,其内容可以是文字、图像、声音等各种形式。电子邮件的便捷高效、费用低廉使之成为企业和个人广泛采用的通信方式,已广泛应用在商业贸易、电子政务、远程教育以及人们的日常生活之中。由于传输速度快、操作简便、代价小等优点,电子邮件在很大程度上接替了传统纸质邮件的职能,其中像Windows Live Mail、OutlookExpress、Foxmail等采用SMTP和POP3协议的桌面邮件客户端凭借操作快捷、管理方便等优势,迅速得到普及。此外,使用简单、能够结合其他网页服务的Webmail也成为许多用户的选择。随之而来,涉及电子邮件鉴定的案件逐年增加,其中,以电子邮件真实性鉴定最为普遍。在司法鉴定实践中,电子邮件真实性鉴定在电子数据鉴定中占有很大比例,篡改、伪造邮件的情况也时有发生,委托人往往提出邮件是否真实存在、内容是否经过篡改、是否为当事人描述的时间发送/接收等具体要求。本文在详细研究和分析电子邮件传输协议及邮件特征的基础上,从WindowsLive Mail、Foxmail、网易闪电邮等典型电子邮件客户端电子邮件、网页端电子邮件、文件系统、服务器端等方面分别研究了电子邮件篡改痕迹和相应的检验方法,扩充了现有的电子邮件真实性鉴定手段。在这些检验方法中,邮件头分析作为单封邮件分析的基础,是电子邮件真实性鉴定的基本方法;邮件格式特征分析从邮件整体结构出发,鉴别其合理性与完整性;客户端特性分析研究不同邮件客户端的个性特征,与邮件特征相互印证;网页端电子邮件分析提出了网页端邮件的提取和保全方法;文件系统使用痕迹分析结合文件系统特征,从数据恢复、系统备份等角度确认邮件状态;杀毒软件及其他软件留存信息分析是利用杀毒软件及其他软件的运行痕迹判断篡改行为;服务器端信息分析则通过提取服务器端的日志、特殊标识等信息检验邮件真实性。在文章最后,将前述鉴定方法相互配合、综合应用于实际案例,证实其有效性。
【关键词】 电子邮件; 篡改; 真实性鉴定; 客户端;
第一章 绪论
第一节 选题意义
2012 年修订的《刑事诉讼法》和《民事诉讼法》将电子数据作为一种独立的证据形式提出。电子数据鉴定在证据种类中占据更加重要的地位。在电子数据鉴定中,电子邮件鉴定是其重要组成部分。
自从上个世纪七十年代第一封电子邮件发出以来,电子邮件作为一种利用电子手段提供信息交换的通信方式,是互联网络中应用最广的服务之一,它允许人们以非常快速的方式,与世界上任何一个角落的网络用户联系,其内容可以是文字、图像、声音等各种形式。电子邮件的便捷高效、费用低廉使之成为企业和个人广泛采用的通信方式,已广泛应用在商业贸易、电子政务、远程教育以及人们的日常生活之中。由于传输速度快、操作简便、代价小等优点,电子邮件在很大程度上接替了传统纸质邮件的职能,其中像 Windows Live Mail、OutlookExpress、Foxmail 等采用 SMTP 和 POP3 协议的桌面邮件客户端凭借操作快捷、管理方便等优势,迅速得到普及。此外,使用简单、能够结合其他网页服务的Webmail 也成为许多用户的选择。随之而来,涉及电子邮件鉴定的案件逐年增加,其中,以电子邮件真实性鉴定最为普遍。在司法鉴定实践中,电子邮件真实性鉴定在电子数据鉴定中占有很大比例,篡改、伪造邮件的情况也时有发生,委托人往往提出邮件是否真实存在、内容是否经过篡改、是否为当事人描述的时间发送/接收1等具体要求。研究电子邮件篡改与鉴别方法,有助于了解伪造篡改电子邮件的特点,准确迅速地发现电子邮件的伪造篡改痕迹,为司法实践提供充分的技术依据。
.............................
第二节 国内外研究进展
现有文献中,国外 Bob Radvanovsky2对伪造的电子邮件头进行了研究,Chorong Jeong3等对恢复被删除的电子邮件及 mbox、dbx 等文件格式进行了探讨,在电子邮件领域有非常成熟的关于垃圾邮件的研究如 John Dunagan4等,主要的电子邮件客户端软件如 Outlook5、Foxmail、Windows live mail 等都有相关标准格式。另外,作为电子邮件篡改与检验的上位学科,电子数据鉴定方面的著述均适用于此,如 National Institute of Justice (U.S.)发布的《Forensic examination of digitalevidence: a guide for law enforcement》6、Mohay G 的 Technical challenges anddirections for digital forensics7。国内学者在电子邮件的文件格式、存储方式、垃圾邮件过滤等方面均有较多阐述,聂小尘8、李岩9、蒋毅10、汪文生11、曾春溪12、周超波13、郭弘14、许榕生15、廖根为16等针对电子邮件取证问题有相关研究。
目前,国内外专门针对电子邮件的鉴定技术尚不系统,对一些专门问题,如电子邮件真实性鉴定的技术路线未见有较全面的研究,有关电子数据鉴定取证工具大多是一些综合性软件,对电子邮件的取证分析多有不够完善的地方,对基于IMAP 和 POP3 的电子邮件接收查看方式的有关电子邮件的鉴定技术和规范均处于空白状态,对相关鉴定结果的有效性和采信度及进一步的鉴定技术发展会产生不利的影响。即,目前关于电子邮件伪造、篡改后形成的特征以及鉴定方法,仍没有完整的研究和汇总。
第三节 本文的结构安排
本文以研究电子邮件的篡改与鉴别研究为主题,首先在第二章介绍与电子邮件相关的背景知识,包括电子邮件概念、电子邮件传输流程、电子邮件传输协议分析及电子邮件使用现状。然后展开电子邮件的检验角度,在第三章研究单封邮件的特征,包括邮件的消息格式规则、实际使用情况、针对不同的域的检验方式等。在第四章研究三个较为典型的电子邮件客户端,分别分析这些客户端的存储结构、软件特性、可能的篡改方式及相应的鉴定方法。在第五章研究网页端电子邮件的鉴定方法和可能的篡改手段,由于网页端邮件的特殊性,还分析了网页端邮件的提取保全方法。在完成针对电子邮件不同收发方式的鉴定方法研究后,第六章主要关注文件系统取证,从 NTFS 系统和 FAT 系统原理出发,考虑可能的电子邮件鉴定方法,包括杀毒软件及其他软件的使用痕迹也包含在内。第七章则展开对服务器端取证的研究,以一个电子邮件服务器为例,解释可能出现的篡改手段与取证的方法。在第八章则将之前七章的内容在一个案例中融会贯通,同时补充鉴定方法在实际鉴定中的执行标准。最后,第九章对全文进行了总结,并提出展望。
............................
第二章 背景知识
第一节 电子邮件概念及相关规则
一、概念
由全国科学技术名词审定委员会审定公布电子邮件定义为“一种通过网络实现相互传送和接收信息的现代化通信方式。”17在《GB-T5271.1-2000 信息技术词汇 第 1 部分:基本术语》中,电子邮件被定义为:“通过计算机网络在用户终端之间传送报文形式的信件。”在《GB-T5271.27-2001》中,电子邮件是“在计算机网络上用户终端之间以报文形式发送的信件。”在 6 年后的修订版《GB-T5271.32-2006 信息技术 词汇 第 32 部分电子邮件》中,电子邮件被定义为:“在计算机网络上,用户终端之间往来的信函。” 在《DA-T 32-2005 公务电子邮件归档与管理规则》中,电子邮件被定义为:“由电子计算机生成、处理,并通过电子邮件系统经由计算机网络发送和接收的电子信息。它包括信息文本本生及其附件。”在维基百科中,电子邮件被定义为“Electronic mail, most commonlyreferred to as email or e-mail, is a method of exchanging digital messages from anauthor to one or more recipients.”18
在各项定义中,笔者认为,以电子邮件鉴定实施规范中“电子邮件是通过网络在用户终端之间传送的信函。由邮件头和邮件内容组成。”较妥。首先,该定义说明了电子邮件是依托于网络存在的,网络除了包括因特网外,还包括其他广域网、局域网等;其次,该定义规定电子邮件的传输双方是用户终端,排除了服务端与用户端之间的指令信息。然后,该定义将电子邮件的主体规定为信函,涵盖了电子邮件中的邮件意义。最后,该定义将邮件头和邮件内容列为电子邮件的两个不可缺少的要件,将电子邮件与具备邮件格式的文档区分开来。
本文编号:8817
【关键词】 电子邮件; 篡改; 真实性鉴定; 客户端;
第一章 绪论
第一节 选题意义
2012 年修订的《刑事诉讼法》和《民事诉讼法》将电子数据作为一种独立的证据形式提出。电子数据鉴定在证据种类中占据更加重要的地位。在电子数据鉴定中,电子邮件鉴定是其重要组成部分。
自从上个世纪七十年代第一封电子邮件发出以来,电子邮件作为一种利用电子手段提供信息交换的通信方式,是互联网络中应用最广的服务之一,它允许人们以非常快速的方式,与世界上任何一个角落的网络用户联系,其内容可以是文字、图像、声音等各种形式。电子邮件的便捷高效、费用低廉使之成为企业和个人广泛采用的通信方式,已广泛应用在商业贸易、电子政务、远程教育以及人们的日常生活之中。由于传输速度快、操作简便、代价小等优点,电子邮件在很大程度上接替了传统纸质邮件的职能,其中像 Windows Live Mail、OutlookExpress、Foxmail 等采用 SMTP 和 POP3 协议的桌面邮件客户端凭借操作快捷、管理方便等优势,迅速得到普及。此外,使用简单、能够结合其他网页服务的Webmail 也成为许多用户的选择。随之而来,涉及电子邮件鉴定的案件逐年增加,其中,以电子邮件真实性鉴定最为普遍。在司法鉴定实践中,电子邮件真实性鉴定在电子数据鉴定中占有很大比例,篡改、伪造邮件的情况也时有发生,委托人往往提出邮件是否真实存在、内容是否经过篡改、是否为当事人描述的时间发送/接收1等具体要求。研究电子邮件篡改与鉴别方法,有助于了解伪造篡改电子邮件的特点,准确迅速地发现电子邮件的伪造篡改痕迹,为司法实践提供充分的技术依据。
.............................
第二节 国内外研究进展
现有文献中,国外 Bob Radvanovsky2对伪造的电子邮件头进行了研究,Chorong Jeong3等对恢复被删除的电子邮件及 mbox、dbx 等文件格式进行了探讨,在电子邮件领域有非常成熟的关于垃圾邮件的研究如 John Dunagan4等,主要的电子邮件客户端软件如 Outlook5、Foxmail、Windows live mail 等都有相关标准格式。另外,作为电子邮件篡改与检验的上位学科,电子数据鉴定方面的著述均适用于此,如 National Institute of Justice (U.S.)发布的《Forensic examination of digitalevidence: a guide for law enforcement》6、Mohay G 的 Technical challenges anddirections for digital forensics7。国内学者在电子邮件的文件格式、存储方式、垃圾邮件过滤等方面均有较多阐述,聂小尘8、李岩9、蒋毅10、汪文生11、曾春溪12、周超波13、郭弘14、许榕生15、廖根为16等针对电子邮件取证问题有相关研究。
目前,国内外专门针对电子邮件的鉴定技术尚不系统,对一些专门问题,如电子邮件真实性鉴定的技术路线未见有较全面的研究,有关电子数据鉴定取证工具大多是一些综合性软件,对电子邮件的取证分析多有不够完善的地方,对基于IMAP 和 POP3 的电子邮件接收查看方式的有关电子邮件的鉴定技术和规范均处于空白状态,对相关鉴定结果的有效性和采信度及进一步的鉴定技术发展会产生不利的影响。即,目前关于电子邮件伪造、篡改后形成的特征以及鉴定方法,仍没有完整的研究和汇总。
第三节 本文的结构安排
本文以研究电子邮件的篡改与鉴别研究为主题,首先在第二章介绍与电子邮件相关的背景知识,包括电子邮件概念、电子邮件传输流程、电子邮件传输协议分析及电子邮件使用现状。然后展开电子邮件的检验角度,在第三章研究单封邮件的特征,包括邮件的消息格式规则、实际使用情况、针对不同的域的检验方式等。在第四章研究三个较为典型的电子邮件客户端,分别分析这些客户端的存储结构、软件特性、可能的篡改方式及相应的鉴定方法。在第五章研究网页端电子邮件的鉴定方法和可能的篡改手段,由于网页端邮件的特殊性,还分析了网页端邮件的提取保全方法。在完成针对电子邮件不同收发方式的鉴定方法研究后,第六章主要关注文件系统取证,从 NTFS 系统和 FAT 系统原理出发,考虑可能的电子邮件鉴定方法,包括杀毒软件及其他软件的使用痕迹也包含在内。第七章则展开对服务器端取证的研究,以一个电子邮件服务器为例,解释可能出现的篡改手段与取证的方法。在第八章则将之前七章的内容在一个案例中融会贯通,同时补充鉴定方法在实际鉴定中的执行标准。最后,第九章对全文进行了总结,并提出展望。
............................
第二章 背景知识
第一节 电子邮件概念及相关规则
一、概念
由全国科学技术名词审定委员会审定公布电子邮件定义为“一种通过网络实现相互传送和接收信息的现代化通信方式。”17在《GB-T5271.1-2000 信息技术词汇 第 1 部分:基本术语》中,电子邮件被定义为:“通过计算机网络在用户终端之间传送报文形式的信件。”在《GB-T5271.27-2001》中,电子邮件是“在计算机网络上用户终端之间以报文形式发送的信件。”在 6 年后的修订版《GB-T5271.32-2006 信息技术 词汇 第 32 部分电子邮件》中,电子邮件被定义为:“在计算机网络上,用户终端之间往来的信函。” 在《DA-T 32-2005 公务电子邮件归档与管理规则》中,电子邮件被定义为:“由电子计算机生成、处理,并通过电子邮件系统经由计算机网络发送和接收的电子信息。它包括信息文本本生及其附件。”在维基百科中,电子邮件被定义为“Electronic mail, most commonlyreferred to as email or e-mail, is a method of exchanging digital messages from anauthor to one or more recipients.”18
在各项定义中,笔者认为,以电子邮件鉴定实施规范中“电子邮件是通过网络在用户终端之间传送的信函。由邮件头和邮件内容组成。”较妥。首先,该定义说明了电子邮件是依托于网络存在的,网络除了包括因特网外,还包括其他广域网、局域网等;其次,该定义规定电子邮件的传输双方是用户终端,排除了服务端与用户端之间的指令信息。然后,该定义将电子邮件的主体规定为信函,涵盖了电子邮件中的邮件意义。最后,该定义将邮件头和邮件内容列为电子邮件的两个不可缺少的要件,将电子邮件与具备邮件格式的文档区分开来。
本文编号:8817
本文链接:https://www.wllwen.com/shoufeilunwen/zaizhiyanjiusheng/8817.html
上一篇:没有了
下一篇:赵贞吉心学思想论述
下一篇:赵贞吉心学思想论述
教材专著