출처 : http://forensic-proof.com/
(김진국강사님의 디지털포렌식 강의을 듣고 정리한 내용입니다.)
이메일 아티팩트
1. 파일구조
- 헤더
Return-Path: <example_from@dc.edu> X-SpamCatcher-Score: 1 [X] Received: from [136.167.40.119] (HELO dc.edu) by fe3.dc.edu (CommuniGate Pro SMTP 4.1.8) with ESMTP-TLS id 61258719 for example_to@mail.dc.edu; Mon, 23 Aug 2004 11:40:10 -0400 Message-ID: <4129F3CA.2020509@dc.edu> Date: Mon, 23 Aug 2005 11:40:36 -0400 From: Taylor Evans <example_from@dc.edu> User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.0.1) Gecko/20020823 Netscape/7.0 X-Accept-Language: en-us, en MIME-Version: 1.0 To: Jon Smith <example_to@mail.dc.edu> Subject: Business Development Meeting Content-Type: text/plain; charset=us-ascii; format=flowed Content-Transfer-Encoding: 7bitv |
- 바디 (메시지)
- 첨부파일 (텍스트 인코딩)
- 이메일 헤더 분석 시 고려 사항 (https://www.blackhat.com/presentations/bh-usa-03/bh-us-03-akin.pdf)
- Open Relay
- False Received From Header
- Anonymizer
- Open Proxy
- SSH Tunnel
2 .분석대상
- 로컬 이메일 클라이언트
- 웹 메일
- 스마트폰 동기화 또는 웹 메일 흔적
- PDA, Tablet PC 등 스마트기기 흔적
3. 분석범위
- 웹 메일, 이메일 스토리지 파일 내 아이템 분석
- 삭제된 웹 메일 아티팩트, 이메일 스토리지
- 복구이메일 스토리지 내 삭제된 아이템 복구
- 이메일 파일 변조 흔적
- 이메일 발신/수신 내역 조작 분석
4. 분석방법
1) MS Outlook
- .PST, .OST 파일 MS Office Outlook 또는 3rd party 도구 사용
- .DBX 파일 MS Outlook Express 또는 3rd party 도구 사용
2) MS Exchange Server
- MS SQL Server로 이메일 관리
- SQL 데이터 분석 & SQL 서버 아티팩트 분석
- SQL Server 관리자 인터페이스 또는 3rd party 도구 사용
3) Lotus Notes
- 서버 관리 프로그램을 이용해 분석
- .NSF 파일-> PST로 변환 3rd party 도구 사용
4) Thunderbird
- 서버 메일 디렉터리에 개별 메시지 분석 -> 텍스트 편집기, 정규 표현식 등
- 클라이언트는 mbox 형식으로 메일 저장
5) WebMail
- 웹 브라우저 히스토리를 이용해 웹 메일, 사내 메일 사용 흔적 분석
- 웹 브라우저 캐시를 이용해 캐시된 메일 흔적 분석
5. 도구
1) 이메일 아티팩트 분석 도구
- E-mail Examiner – Paraben
http://www.paraben.com/email-examiner.html
- Mailxaminer – SysTools
http://www.mailxaminer.com/product/
2) 이메일 스토리지 파일 내 메시지 복구 도구
- Phoenix® Outlook PST Repair – Stellar Information Systems
http://www.stellarinfo.com/outlook-pst-file-recovery.htm
- Recover My Email – GetData
http://www.recovermyemail.com/
'보안 > 포렌식' 카테고리의 다른 글
Windows Search 분석 프로그램 (Windows.edb) (0) | 2018.12.16 |
---|---|
리눅스 주요 로그 (0) | 2016.12.09 |
외장 저장장치 포렌식 (0) | 2016.12.09 |
이미지 파일을 VMWare에서 부팅하기 (0) | 2016.11.03 |
USB 사용기록 분석 (0) | 2016.11.03 |