数据取证:Outlook Forensic Toolbox,帮助访问已删除的邮件

首页 > 数据恢复软件

时间:2024-12-25

天津鸿萌科贸发展有限公司从事数据安全服务二十余年,致力于为各领域客户提供专业的数据恢复、数据备份解决方案与服务,并针对企业面临的数据安全风险,提供专业的相关数据安全培训。

天津鸿萌科贸发展有限公司是 ElcomSoft 系列数据取证及恢复软件的授权中国代理商。ElcomSoft 取证工具仅提供给取证机构及合法数据恢复任务。

取证专家可以在 Outlook 数据文件中找到什么?他们可以从 Microsoft Outlook 恢复已删除的电子邮件、联系人和约定信息吗?用户可以从 Outlook 中删除不需要的通信吗?在本文中,我们将演示专家如何从 Outlook 数据文件 (PST/OST) 中恢复有价值的信息,包括已删除的电子邮件、联系人、附件和约定信息。即使用户尝试擦除不需要的通信,痕迹也经常会保留在数据库中。使用正确的工具,专家可以提取和分析这些隐藏的数据以发现关键证据。

在仲裁或民事纠纷中,法院可以下令披露商业和个人通信,包括来自数字设备的证据。在提交设备进行检查之前,用户通常会从 Outlook PST 和 OST 文件中删除不需要的数据。Outlook 缺乏恢复已删除项目的功能,使最终用户可以轻松隐藏不需要的电子邮件。但是,Outlook Forensic Toolbox 等专门的第三方取证工具可以分析这些文件、恢复已删除的数据并将其单独保存。

有几个问题需要处理:首先,Microsoft Outlook 不维护数据的历史快照。一旦用户清理了已删除邮件文件夹,就没有简单的方法可以恢复已删除的数据。换句话说,只需从 Microsoft Outlook 中删除电子邮件并清理已删除邮件文件夹即可使数据消失。要访问此类已删除的数据,您将需要一个专门的第三方工具。

Outlook Forensic Toolbox 的工作原理

Outlook Forensic Toolbox 扫描和分析 Outlook 数据文件 (PST/OST),将数据分为两类:可见和隐藏。在此过程中不会修改源文件,所有恢复的数据都以 PST、MSG、EML、TXT 或 VCF 等格式单独保存。

取证分析步骤

  1. 第 1 步:读取 Outlook 中最终用户可见的数据。
  2. 第 2 步:扫描最终用户无法访问的数据块。
  3. 第 3 步:分析第 2 步中的隐藏数据。
  4. 第 4 道工序:从碎片化数据中重建对象。
  5. 第 5 步:识别已恢复的对象(电子邮件、联系人等)。
  6. 第 6 道工序:验证数据完整性。
  7. 第 7 遍:将恢复的数据保存到新的 PST 文件。

然后可以在 Microsoft Outlook 或与 PST 数据格式兼容的第三方取证工具中查看、搜索和分析恢复的数据,包括已删除的电子邮件、联系人和文件片段。

分析提取的数据

所有已删除和隐藏的数据都提取到一个 PST 文件中,该文件可以在 Outlook 中打开以供查看。或者,可以将数据保存为一堆单独的文件,例如 MSG、EML、TXT、VCF 等。数据分为特定文件夹,例如:

  • 恢复的联系人
  • 已恢复的日记账项目
  • 已恢复的邮件
  • 恢复的便笺
  • 已恢复的任务

未通过完整性检查的项目将保存在 Recovered Files 文件夹中,其中包含具有各种扩展名的文件。这些可能包括不完整的电子邮件、.htm 或 .txt 格式的文本片段、作为.txt文件的服务标头,以及部分恢复的没有收件人或主题的电子邮件。

部分恢复的数据

某些数据可能不完整,并作为片段保存在 Recovered Files 文件夹中:

  • 将片段作为 .htm 或 .txt 文件的电子邮件
  • 服务标头作为 .txt 文件
  • 部分恢复的电子邮件,没有收件人或主题另存为 .htm 文件

恢复的文件

此文件夹包含有价值的数据,例如:

  • 附件
  • 电子邮件的 HTML 版本
  • 图像、视频和演示文稿
  • 电子邮件标题和文本片段

Recovered Files 文件夹可能是调查员最重要的部分。人们可能想要调整 Microsoft Outlook 设置以方便查看恢复的数据。单击左下角的 “...” 符号:

接下来,点击 “Folders(文件夹)”:

已删除的电子邮件

“恢复的邮件项目”文件夹包含已完全或几乎完全恢复的已删除电子邮件,包括其原始主题、日期、收件人、正文和标头。

文件夹

通常无法恢复文件夹结构,因为文件夹通常会清空但不会被删除。因此,最终的 PST 可能缺少原始文件夹树。

结论

Outlook Forensic Toolbox 是一个强大的工具,用于从 Microsoft Outlook PST 和 OST 文件中恢复已删除的数据。通过彻底分析和排序可访问和已删除的数据,它使取证专家能够检索电子邮件、联系人、附件和其他可能无法访问的关键信息。该工具在法律调查中非常宝贵,有助于发现证据,同时确保整个过程中的数据完整性。

上一篇: 数据取证与恢复工具 R-Studio Technician,以及数据恢复工作站的搭建
下一篇: 返回列表