본문 바로가기
보안/포렌식

이메일 아티팩트

모아이모아이 2016. 12. 9. 22:38

출처 : http://forensic-proof.com/  

(김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.)



이메일 아티팩트


1. 파일구조


- 헤더


Return-Path: <example_from@dc.edu>

X-SpamCatcher-Score: 1 [X]

Received: from [136.167.40.119] (HELO dc.edu)

by fe3.dc.edu (CommuniGate Pro SMTP 4.1.8)

with ESMTP-TLS id 61258719 for example_to@mail.dc.edu; Mon, 23 Aug 2004 11:40:10 -0400

Message-ID: <4129F3CA.2020509@dc.edu>

Date: Mon, 23 Aug 2005 11:40:36 -0400

From: Taylor Evans <example_from@dc.edu>

User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.0.1) Gecko/20020823 Netscape/7.0

X-Accept-Language: en-us, en

MIME-Version: 1.0

To: Jon Smith <example_to@mail.dc.edu>

Subject: Business Development Meeting

Content-Type: text/plain; charset=us-ascii; format=flowed

Content-Transfer-Encoding: 7bitv 


- 바디 (메시지)

- 첨부파일 (텍스트 인코딩)

- 이메일 헤더 분석 시 고려 사항 (https://www.blackhat.com/presentations/bh-usa-03/bh-us-03-akin.pdf)

   - Open Relay

   - False Received From Header

   - Anonymizer

   - Open Proxy

   - SSH Tunnel


2 .분석대상


- 로컬 이메일 클라이언트

- 웹 메일

- 스마트폰 동기화 또는 웹 메일 흔적

- PDA, Tablet PC 등 스마트기기 흔적



3. 분석범위


- 웹 메일, 이메일 스토리지 파일 내 아이템 분석

- 삭제된 웹 메일 아티팩트, 이메일 스토리지 

- 복구이메일 스토리지 내 삭제된 아이템 복구

- 이메일 파일 변조 흔적

- 이메일 발신/수신 내역 조작 분석



4. 분석방법


1) MS Outlook

 - .PST, .OST 파일  MS Office Outlook 또는 3rd party 도구 사용

 - .DBX 파일  MS Outlook Express 또는 3rd party 도구 사용


2) MS Exchange Server

 - MS SQL Server로 이메일 관리

 - SQL 데이터 분석 & SQL 서버 아티팩트 분석

 - SQL Server 관리자 인터페이스 또는 3rd party 도구 사용


3) Lotus Notes

 - 서버 관리 프로그램을 이용해 분석

 - .NSF 파일-> PST로 변환 3rd party 도구 사용


4) Thunderbird

 - 서버 메일 디렉터리에 개별 메시지 분석 -> 텍스트 편집기, 정규 표현식 등

 - 클라이언트는 mbox 형식으로 메일 저장


5) WebMail

 - 웹 브라우저 히스토리를 이용해 웹 메일, 사내 메일 사용 흔적 분석

 - 웹 브라우저 캐시를 이용해 캐시된 메일 흔적 분석



5. 도구


1) 이메일 아티팩트 분석 도구


 - E-mail Examiner – Paraben

   http://www.paraben.com/email-examiner.html

 - Mailxaminer – SysTools

   http://www.mailxaminer.com/product/


2) 이메일 스토리지 파일 내 메시지 복구 도구


- Phoenix® Outlook PST Repair – Stellar Information Systems

  http://www.stellarinfo.com/outlook-pst-file-recovery.htm


 - Recover My Email – GetData

   http://www.recovermyemail.com/

저작자표시

'보안 > 포렌식' 카테고리의 다른 글

Windows Search 분석 프로그램 (Windows.edb)  (0) 2018.12.16
리눅스 주요 로그  (0) 2016.12.09
외장 저장장치 포렌식  (0) 2016.12.09
이미지 파일을 VMWare에서 부팅하기  (0) 2016.11.03
USB 사용기록 분석  (0) 2016.11.03

'보안/포렌식' Related Articles

티스토리툴바