電(diàn)子數據采集産(chǎn)品系列

消防勘查取證産(chǎn)品系列

《格物(wù)刊第四輯》

【技(jì )術分(fēn)享】Exchange郵件服務(wù)器取證固定詳解
發布時間:2024-10-09
Exchange Server介紹

Exchange Server是微軟公(gōng)司開發的一款企業級郵件服務(wù)器軟件,它集成了郵件處理(lǐ)、日曆管理(lǐ)、任務(wù)安(ān)排、通訊錄存儲等功能(néng),為(wèi)企業提供了全面的郵件通信解決方案。它支持多(duō)種客戶端訪問方式,包括Outlook、OWA(Outlook Web Access)以及移動設備客戶端等,方便用(yòng)戶随時随地訪問郵件系統。


随着信息技(jì )術的飛速發展,電(diàn)子郵箱已成為(wèi)我們日常生活和工(gōng)作(zuò)中(zhōng)不可(kě)或缺的一部分(fēn)。在涉及法律糾紛的案件中(zhōng),電(diàn)子郵箱中(zhōng)的信息往往成為(wèi)關鍵證據。今天,我們将探讨如何從微軟旗下的Exchange Server郵件服務(wù)中(zhōng)進行取證。

文(wén)章關鍵詞:電(diàn)子數據取證、雲取證、郵件取證、手機取證、電(diàn)子物(wù)證、介質(zhì)取證

取證技(jì )戰法


證據的發現

在實際現勘取證工(gōng)作(zuò)中(zhōng)首先要确定目标服務(wù)器中(zhōng)是否部署了Exchange Server郵件服務(wù)。那如何确認呢(ne)?需要通過SPN進行分(fēn)析判斷。SPNService Principal Names,服務(wù)主體(tǐ)名(míng)稱)是服務(wù)實例的唯一标識符,它将服務(wù)實例與提供該服務(wù)的賬戶相關聯。對于Exchange Server而言,SPN被注冊在Active Directory中(zhōng),用(yòng)于指定哪些賬戶(通常是服務(wù)賬戶)有(yǒu)權代表特定的服務(wù)(如Exchange的各種服務(wù)組件)進行通信。在安(ān)裝(zhuāng)Exchange Server時,安(ān)裝(zhuāng)程序會自動在Active Directory中(zhōng)注冊必要的SPN,SPN就被注冊在活動目錄中(zhōng),在域環境中(zhōng)可(kě)以通過SPN來發現Exchange Server服務(wù)。如圖1:

22e0054705c47f447fa77bc5d0828b6b.png

圖1查看spn注冊信息


證據的提取

1.獲取Exchange Server服務(wù)器鏡像

使用(yòng)龍信鷹眼介質(zhì)快取系統對服務(wù)器進行免拆機進行提取,獲取獲取Exchange Server服務(wù)器鏡像。如圖2:

5947f3860e7879dc54acb7ad9883dfca.png

圖2龍信鷹眼介質(zhì)快取系統


2.鏡像仿真

獲取Exchange Server服務(wù)器鏡像,使用(yòng)龍信仿真取證系統對鏡像進行仿真。如圖3:

c80b26149fe03c8b267b212ea4589966.png

圖3龍信仿真取證系統


3.提取郵件數據首先要确保以下組件和服務(wù)處于啓動狀态,才能(néng)啓動exchange郵件服務(wù)

(1).NETFramework

(2)ASP.NET

(3)Internet信息服務(wù)(lIS)

(4)World WideWebPublishing服務(wù)

(5)簡單郵件傳輸協議(SMTP)服務(wù)

(6)網絡新(xīn)聞傳輸協議(NNTP)服務(wù)


4.Exchange Server郵件信息查詢

在正常的PowerShell中(zhōng),Exchange Server服務(wù)所屬的命令是沒有(yǒu)的,需要輸入如下命令,将Exchange管理(lǐ)單元添加到當前會話中(zhōng): add-pssnapin microsoft.exchange*。添加之後可(kě)以通過以下命令查詢Exchange Server郵件信息.如圖4-5:

d5340b6be28e6a152dbf71a7b76186f5.png

圖4Exchange Server命令


80c08246993c8952be81d2cc53c07216.png

圖5Exchange Server命令查詢


5.查看指定用(yòng)戶的郵箱登錄的最後時間

通過Exchange Server命令查看指定用(yòng)戶郵箱的最後登錄時間。如圖6-7:

3449f8fee55746cd2a13261fdb2448ad.png

圖6登錄時間查詢命令

e252dd51f06aa2278c45e7c52c12e123.png

圖7最後登錄時間


6.導出郵件通訊組信息

查詢郵件通訊組信息并全部導出成指定路徑下的csv文(wén)件。如圖8:

1f3d86cbbc501b327bdea09a088c482a.png

圖8導出Exchange Server郵件通訊組信息


7.設置共享文(wén)件夾

不論使用(yòng)哪種方式導出郵件,都需要将文(wén)件放置在UNC(Universal Naming Convention,通用(yòng)命名(míng)規則,也稱通用(yòng)命名(míng)規範)路徑下。類似于“hostnamesharename”、“ipaddresssharename”的網絡路徑下,sharename為(wèi)網絡共享名(míng)稱。開啓共享,将C盤shares文(wén)件夾設置為(wèi)everyone可(kě)讀寫。如圖9:

56cb923e440516eba671788959ac5aa1.png

圖9設置共享文(wén)件夾


8.獲取郵件數據

用(yòng)戶的電(diàn)子郵箱目錄一般為(wèi)Inbox(收件箱)、SentItems(已發送郵件)、DeleteItems(已删除郵件)、Drafts(草(cǎo)稿)等。使用(yòng)New-MailboxExportRequest命令将指定用(yòng)戶的郵件數據導出成pst文(wén)件。如圖10:

e0e6d8404015c504d492938630a512ef.png

圖10郵件數據導出


證據的查看

1.安(ān)裝(zhuāng)Outlook

将郵件數據導出成.pst文(wén)件之後我們又(yòu)如何去看其中(zhōng)的郵件信息呢(ne)?如果要打開pst文(wén)件必須要安(ān)裝(zhuāng)Outlook軟件,但是Outlook有(yǒu)很(hěn)多(duō)不同的版本,每個版本導出的pst文(wén)件雖然後綴都相同,但是還是存在兼容性的問題。所以建議安(ān)裝(zhuāng)最新(xīn)版本的Outlook,Windows的大多(duō)數軟件都是向下兼容的。比如word 2003打不開word2007的文(wén)件,但是word2007可(kě)以打開word2003的文(wén)件。安(ān)裝(zhuāng)完之後就可(kě)以在程序裏面找到了。如圖11:

c206f60a896dfd15840f17a5052b6ece.jpg

圖11 Outlook程序


2.導入pst文(wén)件到Outlook

點擊左上角的文(wén)件按鈕,選擇打開和導入一欄,鼠标左鍵打開Outlook數據文(wén)件即可(kě)看到所需的郵件數據。如圖12:

ffcba6af3f2b1082c1c37f24e41443c1.png

圖12打開pst文(wén)件


3.查看郵件數據

導入完成之後就可(kě)看該文(wén)件内所有(yǒu)的郵件信息。如圖13:

335dcfbb4500a207fb1e268afb8d8a95.png

圖13查看郵件信息



取證技(jì )巧總結

針對Exchange Server郵箱數據的提取,我們首先要确保Exchange Server郵件服務(wù)依賴的各項系統服務(wù)處于啓動狀态,通過PowerShell命令導出存儲郵件信息的pst文(wén)件,最終實現Outlook中(zhōng)所有(yǒu)郵件信息的查看。


取證産(chǎn)品推薦

LX-A303“鷹眼”介質(zhì)快取系統(介質(zhì)免拆機取證)

“鷹眼”介質(zhì)快取系統是一款緻力于為(wèi)辦(bàn)案人員打造一體(tǐ)化、規範化的高效現場勘查綜合取證設備,采用(yòng)高速介質(zhì)複制、批量快速取證、自動取證分(fēn)析技(jì )術,提供符合司法有(yǒu)效性的取證功能(néng),使得現場證據固定、電(diàn)子數據取證分(fēn)析工(gōng)作(zuò)簡單快捷。

b037bbf30f2a937c672e74d38f958975.jpg

LX-A306仿真取證系統

LX-A306仿真取證系統是一款專門用(yòng)于對計算機進行動态仿真取證的高科(kē)技(jì )産(chǎn)品。系統可(kě)在保證司法有(yǒu)效性的同時對 Windows、Linux、MacOS 及 Vmware Esxi等操作(zuò)系統進行仿真。系統支持對物(wù)理(lǐ)磁盤和鏡像文(wén)件兩種介質(zhì)存儲方式的仿真,可(kě)繞過操作(zuò)系統的登錄密碼,對設備進行仿真操作(zuò),調查人員的任何修改操作(zuò)都不會影響原始設備。

14e974ab0ff6d9138f7b3e1e2d2bf7d0.jpg


如需詳細了解更多(duō)技(jì )術解決方案

歡迎聯系龍信科(kē)技(jì )各地銷售

官方微信:longxintech2021