本发明专利技术公开了一种Outlook删除邮件的恢复方法,它首先对Outlook客户端进行解析,获取PST文件,然后通过扫描PST文件中找到尚未被覆盖的数据块;接着对数据块进行分析,筛选出可疑的邮件数据块;最后设置邮件数据块的特征过滤条件,找出所有未被覆盖的邮件;邮件的各种属性及属性值都按规则存放在邮件数据块中,按正常邮件解析方法即可解析出邮件的完整内容。本发明专利技术的有益效果在于:通过分析Outlook产生的PST文件中邮件数据块的映射表来查找没被覆盖的数据块,然后根据数据邮件的特征进一步分析和提取,能够恢复Outlook中彻底被删除的文件。
【技术实现步骤摘要】
本专利技术涉及计算机取证领域,具体地说,特别涉及到。
技术介绍
计算机取证(Computer Forensics)是指运用计算机辨析技术,对计算机犯罪行为进行分析以确认罪犯及计算机证据,并据此提起诉讼。也就是针对计算机入侵与犯罪,进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言,计算机取证是一个对受侵计算机系统进行扫描和破解,以对入侵事件进行重建的过程。在Outlook中,某些彻底删除的邮件无法通过客户端本身的操作来找回,特别是在取证中,被特意删除的邮件可能包含重要信息,恢复这些邮件具有重要意义。因此,特别需要。
技术实现思路
本专利技术的目的在于提供,通过分析Outlook产生的PST文件中邮件数据块的映射表来查找没被覆盖的数据块,然后根据数据邮件的特征进一步分析和提取,克服了传统技术中的不足,从而实现本专利技术的目的。本专利技术所解决的技术问题可以采用以下技术方案来实现,它包括如下步骤I)对Outlook客户端进行解析,获取PST文件;2)通过扫描PST文件中找到尚未被覆盖的数据块;3)对数据块进行分析,筛选出可疑的邮件数据块;4)设置邮件数据块的特征过滤条件,找出所有未被覆盖的邮件;5)邮件的各种属性及属性值都按规则存放在邮件数据块中,按正常邮件解析方法即可解析出邮件的完整内容。在本专利技术的一个实施例中,所述PST文件存储于硬盘驱动器的个人存储文件夹中或邮箱服务器的数据库中。在本专利技术的一个实施例中,所述步骤3)的筛选方法为首先设置判别标准,然后将PST文件中尚未被覆盖的数据块的与判别标准进行比较,筛选出可疑的邮件数据块。在本专利技术的一个实施例中,所述步骤4)的具体方法为首先加载可疑的邮件数据块,将可疑的邮件数据块与特征过滤条件相比较,找出邮件数据块;然后分析邮件数据块的存储位图,找到存储位图中回收空间对应的比特位;然后通过将对比特位进行映射获取邮件数据块的具体位置,再根据比特位的位数计算出邮件数据块的大小。在本专利技术的一个实施例中,所述方法包括判断邮件数据块完整性的方法,其具体步骤为将步骤4)中可疑的邮件数据块的大小与判别标准进行比较,若小于步骤3)中的大小,则为完整邮件。本专利技术的有益效果在于通过分析Outlook产生的PST文件中邮件数据块的映射表来查找没被覆盖的数据块,然后根据数据邮件的特征进一步分析和提取,能够恢复Outlook中彻底被删除的文件。具体实施例方式为使本专利技术实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体实施方式,进一步阐述本专利技术。本专利技术所述的,其原理如下在Outlook中所有邮件都处存放在一个PST文件中,PST文件一般存储于硬盘驱动器的个人存储文件夹中或邮箱服务器的数据库中,本方法通过对Outlook客户端进行解析,获取PST文件,然后通过扫描PST文件中找到尚未被覆盖的数据块,这些数据块就有可能是被删除的文件。由于尚未被覆盖的数据块除了包含被删除邮件外,还有可能包含其他一些文件,因此,为了提高效率,有必要对其进行筛选,其具体方法为首先设置一个判别标准,然后将PST文件中所有尚未被覆盖的数据块的与判别标准进行比较,筛选出可疑的邮件数据块,判别标准可以为大小、属性、文件类别等。邮件数据块筛选完毕后,加载可疑的邮件数据块,将可疑的邮件数据块与特征过滤条件相比较,找出邮件数据块;然后分析邮件数据块的存储位图,找到存储位图中回收空间对应的比特位;然后通过将对比特位进行映射获取邮件数据块的具体位置,再根据比特位的位数计算出邮件数据块的大小。根据邮件数据块的具体位置和大小,即可获取邮件数据块的完整内容。邮件的各种属性及属性值都按规则存放在邮件数据块中,按正常邮件解析方法即可解析出邮件的完整内容。本方法还能判别被恢复的邮件是否为完整邮件,可通过比特位的位数计算出邮件数据块的大小与筛选出来的邮件数据块大小进行比较,若前者小于后者,则为完整邮件。本专利技术的具体方法如下1、通过解析具体的文件系统得到相应的PST文件,该文件应具有读操作;2、加载PST文件,然后分析其存储位图,找到回收空间对应的比特位,即通过扫描PST文件中找到尚未被覆盖的数据块;3、通过对应比特位映射得到文件具体位置,再根据比特位的位数计算出对应数据块的大小。4、对上步得到的数据块进行分析,若符合邮件数据块的特征就可进行下一步分析。5、判断邮件数据块的完整性。通过邮件数据块的元数据可计算出邮件数据块的实际大小,如果小于第3步中初步估计的大小,则为完整邮件。6、完整邮件解析。邮件的各种属性及属性值都安规则存放在邮件数据快中,按正常邮件解析方法即可解析出各个属性。 本专利技术通过分析Outlook产生的PST文件中邮件数据块的映射表来查找没被覆盖的数据块,然后根据数据邮件的特征进一步分析和提取,能够恢复Outlook中彻底被删除的文件。以上显示和描述了本专利技术的基本原理和主要特征和本专利技术的优点。本行业的技术人员应该了解,本专利技术不受上述实施例的限制,上述实施例和说明书中描述的只是说明本专利技术的原理,在不脱离本专利技术精神和范围的前提下,本专利技术还会有各种变化和改进,这些变化和改进都落入要求保护的本专利技术范围内。本专利技术要求保护范围由所附的权利要求书及其等效物界定。本文档来自技高网...
【技术保护点】
一种Outlook删除邮件的恢复方法,其特征在于,它包括如下步骤:1)对Outlook客户端进行解析,获取PST文件;2)通过扫描PST文件中找到尚未被覆盖的数据块;3)对数据块进行分析,筛选出可疑的邮件数据块;4)设置邮件数据块的特征过滤条件,找出所有未被覆盖的邮件;5)邮件的各种属性及属性值都按规则存放在邮件数据块中,按正常邮件解析方法即可解析出邮件的完整内容。
【技术特征摘要】
1.一种Outlook删除邮件的恢复方法,其特征在于,它包括如下步骤: 1)对Outlook客户端进行解析,获取PST文件; 2)通过扫描PST文件中找到尚未被覆盖的数据块; 3)对数据块进行分析,筛选出可疑的邮件数据块; 4)设置邮件数据块的特征过滤条件,找出所有未被覆盖的邮件; 5)邮件的各种属性及属性值都按规则存放在邮件数据块中,按正常邮件解析方法即可解析出邮件的完整内容。2.根据权利要求1所述的Outlook删除邮件的恢复方法,其特征在于,所述PST文件存储于硬盘驱动器的个人存储文件夹中或邮箱服务器的数据库中。3.根据权利要求1所述的Outlook删除邮件的恢复方法,其特征在于,所述步骤3)的筛选方法为首先设置判别...
【专利技术属性】
技术研发人员:汤伟,陆道宏,
申请(专利权)人:盘石软件上海有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。