Tekniker och verktyg för kriminalteknisk undersökning av e-post

Forensisk undersökning av e-postmeddelanden avser att djupt studera källan och innehållet i e-postmeddelandena. Studien omfattar identifiering av den faktiska avsändaren och mottagaren av de berörda e-postmeddelandena, tidsstämpel för e-postöverföringen, avsikt med e-post, registrering av hela e-posttransaktionen. Undersökning av e-postmeddelanden visar sig vara användbar vid incidenter som e-postmissbruk, e-postnätfiske, e-postbedrägerier och sådana andra fall där e-postanvändning är förtal. Delar av e-postutredning inkluderar nyckelordssökning, metadataundersökning, skanning av port, etc.

Tekniker för e-postutredning

De olika teknikerna som används för att utföra en effektiv och sömlös e-postundersökning ges nedan:

1) Analys av e-posthuvud

Header analys görs för att extrahera informationen om avsändaren av posten och även vägen genom vilken mejlet har överförts. Vanligtvis lagras metadata för e-postmeddelanden i rubrikerna. Ibland kan dessa rubriker manipuleras för att dölja avsändarens sanna identitet.

2) Betestaktik

Det är processen att spåra IP-adressen till avsändaren av ett visst meddelande som undersöks. I denna teknik skickas ett e-postmeddelande som innehåller en http: "$lt;img src>"-tagg till den e-postadress som e-postmeddelandet har tagits emot från. Mottagaren i det här fallet är boven. När e-postmeddelandet öppnas fångas en logg som innehåller mottagarens IP-adress av e-postservern som är värd för bilden och mottagaren spåras. Om mottagaren använder en proxyserver, registreras proxyserverns adress.

3) Extraktion från server

Serverundersökning är praktisk när e-postmeddelanden som finns på avsändarens och mottagarsidan har rensats permanent. Eftersom servrar upprätthåller en logg över skickade och mottagna e-postmeddelanden, kommer loggundersökningen att generera alla raderade e-postmeddelanden. Dessutom kan loggarna ge information om källan från vilken e-postmeddelandena har genererats. Serverundersökning betyder inte att alla rensade e-postmeddelanden kan extraheras. Detta beror på att efter en viss lagringsperiod raderas e-postmeddelandena permanent från en server.

4) Undersökning av nätverkskällor

Denna undersökning väljs när serverloggarna inte genererar den information som krävs. Dessutom, om Internetleverantörerna inte ger åtkomst till servern, väljs undersökning av nätverkskällor. Loggarna som genereras av nätverkshubbar, routrar, brandväggar etc. ger information om ursprunget till e-postmeddelandet.

Populära verktyg som används för e-postutredning

Det finns ett antal e-postutredningsverktyg tillgängliga som hjälper till i hela utredningsprocessen. Dessa verktyg genererar automatiska rapporter om utredningen, identifierar ursprunget och destinationen för e-postmeddelanden och mycket mer. Några av verktygen som är en del av denna domän är:

1) EnCase

Innesluta gör det möjligt för utredarna att utföra avbildning av enheten och bevara den i E01-format, som kan utredas rättsmedicinskt och även kan presenteras i rätten som bevis.

2) FTK

Forensic Toolkit är ett omfattande utredningsverktyg känt för kriminalteknisk undersökning av e-postmeddelanden genom dekryptering i e-postmeddelanden.

3) MailXaminer

MailXaminer är ett avancerat e-postutredningsverktyg som stöder mer än 20 e-postformat och cirka 750 MIME-format. Verktyget är utrustat med fantastiska funktioner som:

• Förhandssökning efter nyckelord
• Länkanalys av mejl
• Hudtonsanalys
• Live Exchange Mailbox-analys och många fler.

Verktyget skär ut bevis på det mest effektiva sättet och genererar en komplett bevisrapport.

Slutsats

Rätt teknik och verktyg om de används i den rättsmedicinska utredningen av e-postmeddelanden tar fram potentiella bevis på mycket kort tid. Därför är det nödvändigt att använda rätt verktyg för att kunna utföra en avancerad e-postundersökning.