Опубликован: 20.02.2007 | Уровень: специалист | Доступ: платный
Лекция 23:

Инструментальные средства, помогающие реконструировать деятельность, связанную с интернетом

< Лекция 22 || Лекция 23: 12345 || Лекция 24 >

Клиент службы America Online

Служба America Online ( AOL ) широко используется, особенно для доступа в интернет из дома. Поэтому использование клиента службы America Online для восстановления электронной почты заслуживает отдельного раздела в этой лекции.

Служба AOL, как правило, является наиболее трудной для восстановления из всех почтовых программ. Отчасти так происходит потому, что восстановление зависит от версии данных AOL, найденных на машине подозреваемого, та же самая версия должна быть установлена на судебном компьютере. Поскольку все расследования прошлого года, с которыми мы столкнулись, содержали улики в 5-й версии клиента службы AOL или выше, то мы сконцентрируемся на более новых методах восстановления электронной почты.

Служба AOL использует термин profile (профиль) для предоставления различных входов в систему и адресов электронной почты, которые используются с клиентом AOL. Каждый, кто совместно пользуется домашним компьютером в семье, имеет собственный профиль; таким способом электронная почта каждого пользователя сохраняется отдельно и конфиденциально. Служба AOL сохраняет всю информацию для каждого профиля в одном большом файле. Поскольку отдельным компьютером могут использоваться несколько профилей, вы должны восстановить каждый файл, чтобы получить полную картину деятельности, проделанной в интернете с определенного компьютера.

Клиенты службы America Online могут быть расположены на сайте http://www.aol.com, который содержит почти все когда-либо распространяемые версии. Клиенты свободно доступны для загрузки.

Реализация

Файлы данных службы AOL расположены в подкаталоге organize, который находится в инсталляционном каталоге (в данном случае, это каталог C:\Program Files\America Online 7.0a\organize) клиента AOL. После того как этот каталог был скопирован с компьютера подозреваемого и сохранен на судебном компьютере, вы открываете электронную почту с помощью клиента AOL.

Очевидно, клиент службы AOL должен быть установлен на судебном компьютере прежде, чем электронная почта подозреваемого может быть восстановлена. Вам не нужно получать правильную учетную запись службы AOL для восстановления электронной почты подозреваемого. Поэтому, при запуске клиента AOL, отменяйте любые навязчивые экраны с предложением подписаться, до тех пор, пока экран будет иметь следующий вид.


  1. Далее, скопируйте каталог organize на судебный компьютер.
  2. Найдите файлы, которые не имеют расширений. На следующей иллюстрации - это файлы fsorensics. Это имена account/screen, которые используются с клиентом AOL. Этот файл будет содержать данные, которые мы будем восстанавливать.
  3. Переименуйте обнаруженный файл с расширением .pfc (в этом примере fsorensics.pfc). Это расширение делает файл личным файл-кабинетом (personal file cabinet), то есть типом файла, который могут открывать клиенты AOL.
  4. Выберите File/Open в клиенте AOL. Найдите файл, который был переименован в шаге 3, и откройте его.
  5. Повторите шаги 2-4 для каждого экранного имени, обнаруженного в каталоге organize.

После того как вы выполнили эти шаги, прокрутите экран вниз, чтобы найти почтовые папки. Следующий экран отображает почтовые папки для учетной записи fsorensics@aol.com.

Содержимое почтовой папки можно внимательно просмотреть, дважды щелкнув на отдельных почтовых заголовках.


Вы можете просматривать заголовки SMTP для полученной электронной почты, щелкая на кнопке Details (Подробно) сверху индивидуального почтового сообщения, как показано на следующем экране.

Интересное различие между AOL и другими доминирующими почтовыми программами заключается в том, что AOL может также сохранять избранные посещенные Web-сайты в том же самом наборе данных, который мы только что открыли. Поэтому надо не забывать просмотреть все Web-сайты, сохраненные в списке Favorites (Избранное).


Вы должны также обратить внимание на дополнительный каталог, расположенный под каталогом ниже organize, с именем CACHE, который может содержать более старые версии почтовых ящиков подозреваемого. Во многих расследованиях может оказаться ценной возможность анализа этих файлов, потому что, по мере добавления или удаления электронной почты на компьютере подозреваемого, изменения показываются, как снимки в каталоге CACHE. Используя описанные выше шаги, вы можете восстановить эти файлы.

< Лекция 22 || Лекция 23: 12345 || Лекция 24 >
Сергей Хлюкин
Сергей Хлюкин
Россия, Москва, Московский Государственный Открытый Университет, 2007
Игорь Касаткин
Игорь Касаткин
Россия, Москва