Инструментальные средства обеспечения безопасности


         

Реализация


Файлы данных службы AOL расположены в подкаталоге organize, который находится в инсталляционном каталоге (в данном случае, это каталог C:\Program Files\America Online 7.0a\organize) клиента AOL. После того как этот каталог был скопирован с компьютера подозреваемого и сохранен на судебном компьютере, вы открываете электронную почту с помощью клиента AOL.

Очевидно, клиент службы AOL должен быть установлен на судебном компьютере прежде, чем электронная почта подозреваемого может быть восстановлена. Вам не нужно получать правильную учетную запись службы AOL для восстановления электронной почты подозреваемого. Поэтому, при запуске клиента AOL, отменяйте любые навязчивые экраны с предложением подписаться, до тех пор, пока экран будет иметь следующий вид.


  1. Далее, скопируйте каталог organize на судебный компьютер.
  2. Найдите файлы, которые не имеют расширений. На следующей иллюстрации - это файлы fsorensics. Это имена account/screen, которые используются с клиентом AOL . Этот файл будет содержать данные, которые мы будем восстанавливать.


    увеличить изображение

  3. Переименуйте обнаруженный файл с расширением .pfc (в этом примере fsorensics.pfc). Это расширение делает файл личным файл-кабинетом (personal file cabinet), то есть типом файла, который могут открывать клиенты AOL.
  4. Выберите File/Open в клиенте AOL. Найдите файл, который был переименован в шаге 3, и откройте его.
  5. Повторите шаги 2-4 для каждого экранного имени, обнаруженного в каталоге organize.

После того как вы выполнили эти шаги, прокрутите экран вниз, чтобы найти почтовые папки. Следующий экран отображает почтовые папки для учетной записи fsorensics@aol.com.


увеличить изображение

Содержимое почтовой папки можно внимательно просмотреть, дважды щелкнув на отдельных почтовых заголовках.


Вы можете просматривать заголовки SMTP для полученной электронной почты, щелкая на кнопке Details (Подробно) сверху индивидуального почтового сообщения, как показано на следующем экране.


увеличить изображение

Интересное различие между AOL и другими доминирующими почтовыми программами заключается в том, что AOL может также сохранять избранные посещенные Web-сайты в том же самом наборе данных, который мы только что открыли. Поэтому надо не забывать просмотреть все Web-сайты, сохраненные в списке Favorites (Избранное).


Вы должны также обратить внимание на дополнительный каталог, расположенный под каталогом ниже organize, с именем CACHE, который может содержать более старые версии почтовых ящиков подозреваемого. Во многих расследованиях может оказаться ценной возможность анализа этих файлов, потому что, по мере добавления или удаления электронной почты на компьютере подозреваемого, изменения показываются, как снимки в каталоге CACHE. Используя описанные выше шаги, вы можете восстановить эти файлы.




Содержание  Назад  Вперед