說到電子郵件分析,目前很多工具都聲稱具有電子郵件處理的功能。實際上,基本上說來,每個法證分析工具都多多少少支持電子郵件的解析。從我個人觀點來看,目前在對電子郵件的處理方式上,所有法證軟件基本採取了兩種方式:
第一種方式,是對客戶端郵箱進行拆解,就是將Outlook,Outlook express,Foxmail等電子郵件客戶端軟件的郵箱文件pst,dbx,box中的郵件解釋出來,形成單獨的文件進行察看。
目 前Encase,X-ways Forensics, FinalForensics,Paraben Email Examiner都可以實現這一功能。郵件拆解後,可以通過各個軟件的分析、過濾、搜索功能對郵件數據進行察看、搜索特定文字。至於搜索能力的強弱,就要 看分析工具對語言的支持能力了。個人來說,我非常喜歡X-Ways的郵件拆析能力。畢竟它可以恢復出刪除的電子郵件客戶端,並從未分配空間中查找殘留的郵 件信息。此外,最新出現的Final Forensics 3.0也是一個非常好的工具,他已經聞名多年,且經過幾年的不斷增強提高,數據恢復能力不可小視。連其民用的恢復工具 FinalDATA 3.0版都增添了電子郵件的恢復功能,你說他對郵件的處理上實力如何?
第二種方式就是對郵件進行索引搜索。
目 前典型的是Nuix Forensics Desktop(即fbi Desktop),Intella和FTK。這種軟件主要對郵件進行處理,多數不具備數據恢復能力。對於刪除的郵件客戶端文件的恢復,需要借助X- Ways Forensics或FinalData,FinalForensics了。但是,Nuix和Intella終究是專門對電子郵件的分析工具,在電子郵件 的處理能力上別的軟件真是無法比擬。這種軟件基於對郵箱文件的解析,然後索引。索引的時間根據郵箱文件大小有所差別,可能會幾十分鐘或幾個小時,但數據索 引之後,即可快速地進行搜索,毋須等待。FTK這個軟件我不想多評述,因為5年前我一直認為FTK是最好的電子郵件分析工具(對於英文郵件),但2.0版 實在是讓人無法接受,索引速度,運行效率都是很不理想。據說AccessData目前已經意識到了這個問題,正在改進。等新版本推出的時候再說他吧。
峰會和香港培訓年會後,很多朋友都詢問 Nuix和Intella的差別,並且均對Intella報以極大的期望。這兩個漢化和測試都是我做的,我本人對這兩個軟件的發展非常關注。這裡我簡單地對兩個軟件的差別和能力進行一下對比。
1.郵箱支持能力
從支持的郵箱種類來說,目前Nuix還是佔上風的,支持的郵件種類多於Intella.
Nuix可以支持Outlook, Outlook Express, Lotus Notes, Exchange, Foxmail等等。
Intella目前可以支持Outlook, Outlook Express, Lotus Notes.中文版將支持Foxmail。
雖然支持種類有差別,但是,對於企業調查來說,主要需要的是Outlook和Notes,對於民間應用來說已經足夠了。對於中國用戶來說,都支持Foxmail,也沒有什麼差別。因此很多公司都對Intella有足夠的興趣。
2.索引能力
英文索引不用說了,這時他們開發郵件時的主要測試和日後的使用環境。對於中文索引來看,二者不分高下。目前ForensicsMatter官方網站只發佈 了支持英文索引的Intella測試版本,中文版我還在測試中,對外沒有發佈。但搜索中文能力非常好,中文用戶完全可以放心。
3.搜索過濾方式
應該說後起之秀Intella主要的競爭目標就是Nuix Fornesics Desktop,所以在搜索方式上Intella進行了充分的優化。Intella可以通過左側選單來進行所需的過濾操作。比如搜索發件人,收件人,通過 時間段、通過元數據(如文檔作者、製作公司)、文件類型等等,很方便。
而在Nuix中,這些需要在搜索欄中以語句的方式來實現。雖然結果可以實現,但終究複雜了一點。
4.圖形化顯示
兩個軟件都是圖形化顯示電子郵件關聯的典型代表。
Nuix主要通過電子郵件的收發件人之間的聯繫顯示郵件關係,即郵件地址之間的關係。顯示出的關係圖可以清楚地表明包含關鍵詞的郵件之間的來往關係和次數。
Intella主要通過包含關鍵詞的數據顯示關鍵詞之間的關係,即那些文件中包含了特定關鍵詞,利用多個關鍵詞的與、或關係生成的視圖來快速定位所需關注的右鍵或數據。
舉一個例子:如果對一個目錄中的Office文件(不是郵件)進行索引分析,搜索的關鍵詞後,Nuix將無法顯示出圖形關係,因為這些數據不是郵件,沒有 聯絡關係。而Intella仍然可以顯示出圖形和個關鍵詞之間的關係。但是如果搜索的關鍵詞在郵件的附件中,Nuix可以告訴你那封郵件中包含這個附件和 關鍵詞,並以圖形顯示出郵件的往來關係;而Intella同樣可以告訴你這個關鍵詞出現的次數和在那個郵件附件中,郵件的關係需要進一步查看才可以清楚。 這就是兩個軟件的典型差別。
5.價格
兩個軟件都具有很強的郵件處理功能。那麼選擇哪個就需要 看看性價比了。這也是為什麼很多國外用戶不選擇Nuix而期待Intella的原因了。Nuix完全版要十多萬,而Intella只需要三萬多。有幾個公 司能夠願意花費十多萬來購買一套軟件?除非他的需求只有Nuix能夠解決。當然對於需要分析企業的Exchang郵件和需要將分析結果和專用法律軟件結合 的用戶來說,他們願意使用Nuix。
Nuix為了降低軟件使用門檻,特意推出了三郵箱和單郵箱版本。即一次只能夠分析一個或三個郵箱。對 於處理Outlook郵箱來說應該說足夠了,所有郵件都在一個pst或ost文件中。但對於包含收件箱、發件箱、廢件箱以及草稿箱的dbx文件或 Foxmail來說,三郵箱版一樣無法解決問題。
而Intella則沒有郵箱數量的處理限制。你可以利用它處理任意多的數據。
總結:
以上簡單評價的幾個不同的電子郵件分析工具。我沒有任何傾向性。這兩個軟件都非常不錯。其實最好是結合起來一起使用。每個軟件都有自己的優勢,怎麼說也不 會有兩個完全一模一樣的軟件。那樣的話就要出現版權糾紛了。具體使用那個工具,要根據公司的需求,公司的資金和業務情況來選擇。國外都需要軟件分析結果能 夠被第三方軟件的檢驗,幾個工具同時使用,相互檢驗一下也是好的。
轉自計算機取證技術
0 意見: