Инструментальные средства обеспечения безопасности


         

Реализация


Файл электронной почты Unix обычно располагается в каталоге /var/spool/mail/username в Linux, и в каталоге /var/mail/username в системе FreeBSD. Другие разновидности Unix имеют подобный каталог и структуру именования файлов. Этот файл содержит всю электронную почту для определенного пользователя с именем username, и каждое сообщение подписывается в этот файл. Файл можно рассматривать с помощью стандартных средств просмотра текстов, потому что формат файла не запатентован.

Если почтовый файл содержит много вложений или если подозреваемый сохранил тысячи сообщений, пролистывание текстового файла в редакторе общего назначения (см. лекцию "Средства просмотра файлов и редакторы общего назначения") может быть неэффективным и даже непрактичным. Кроме того, без использования специализированных декодеров файловых вложений, аналитик, читающий полный текстовый файл в редакторе общего назначения первоначально, скорее всего, не сможет рассмотреть какие-либо вложенные файлы. Поэтому у аналитика должна быть возможность управлять электронной почтой в почтовой программе, чтобы полностью проанализировать содержание и увеличить эффективность.

Электронная почта может быть восстановлена с помощью следующих действий.

  1. Скопируйте файл почтового ящика в каталог почты и смените имя файла на имя пользователя, который будет к нему обращаться. Это показывает следующий вывод.

    forensic# ls -al Mailbox -rw-r--r-- 1 kjones 1000 15745 Mar 5 15:16 Mailbox forensic# cp Mailbox /var/mail/kjones

  2. Переключите пользователя, используя команду su системы, на пользователя, почтовый ящик которого был скопирован. В данном случае, пользователь - kjones.
  3. Используйте любую программу общего назначения, предназначенную для отправки почты, чтобы читать содержание электронной почты.
Примечание. Хотя программа "mail" установлена почти на каждой системе Unix, авторы любят использовать также программы mutt и pine, потому что они позволяют легко сохранять или просматривать вложенные файлы. Кроме того, они обеспечивают лучшие возможности для поиска.




Содержание  Назад  Вперед