[发明专利]一种Outlook删除邮件的恢复方法

说明书

技术领域

本发明涉及计算机取证领域，具体地说，特别涉及到一种Outlook删除邮件的恢复方法。

背景技术

计算机取证（Computer Forensics）是指运用计算机辨析技术，对计算机犯罪行为进行分析以确认罪犯及计算机证据，并据此提起诉讼。也就是针对计算机入侵与犯罪，进行证据获取、保存、分析和出示。计算机证据指在计算机系统运行过程中产生的以其记录的内容来证明案件事实的电磁记录物。从技术上而言，计算机取证是一个对受侵计算机系统进行扫描和破解，以对入侵事件进行重建的过程。

在Outlook中，某些彻底删除的邮件无法通过客户端本身的操作来找回，特别是在取证中，被特意删除的邮件可能包含重要信息，恢复这些邮件具有重要意义。因此，特别需要一种Outlook删除邮件的恢复方法。

发明内容

本发明的目的在于提供一种Outlook删除邮件的恢复方法，通过分析Outlook产生的PST文件中邮件数据块的映射表来查找没被覆盖的数据块，然后根据数据邮件的特征进一步分析和提取，克服了传统技术中的不足，从而实现本发明的目的。

本发明所解决的技术问题可以采用以下技术方案来实现：

一种Outlook删除邮件的恢复方法，它包括如下步骤：

1）对Outlook客户端进行解析，获取PST文件；

2）通过扫描PST文件中找到尚未被覆盖的数据块；

3）对数据块进行分析，筛选出可疑的邮件数据块；

4）设置邮件数据块的特征过滤条件，找出所有未被覆盖的邮件；

5）邮件的各种属性及属性值都按规则存放在邮件数据块中，按正常邮件解析方法即可解析出邮件的完整内容。

在本发明的一个实施例中，所述PST文件存储于硬盘驱动器的个人存储文件夹中或邮箱服务器的数据库中。

在本发明的一个实施例中，所述步骤3）的筛选方法为首先设置判别标准，然后将PST文件中尚未被覆盖的数据块的与判别标准进行比较，筛选出可疑的邮件数据块。

在本发明的一个实施例中，所述步骤4）的具体方法为首先加载可疑的邮件数据块，将可疑的邮件数据块与特征过滤条件相比较，找出邮件数据块；然后分析邮件数据块的存储位图，找到存储位图中回收空间对应的比特位；然后通过将对比特位进行映射获取邮件数据块的具体位置，再根据比特位的位数计算出邮件数据块的大小。

在本发明的一个实施例中，所述方法包括判断邮件数据块完整性的方法，其具体步骤为将步骤4）中可疑的邮件数据块的大小与判别标准进行比较，若小于步骤3）中的大小，则为完整邮件。

本发明的有益效果在于：通过分析Outlook产生的PST文件中邮件数据块的映射表来查找没被覆盖的数据块，然后根据数据邮件的特征进一步分析和提取，能够恢复Outlook中彻底被删除的文件。

具体实施方式

为使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解，下面结合具体实施方式，进一步阐述本发明。

本发明所述的一种Outlook删除邮件的恢复方法，其原理如下：

在Outlook中所有邮件都处存放在一个PST文件中，PST文件一般存储于硬盘驱动器的个人存储文件夹中或邮箱服务器的数据库中，本方法通过对Outlook客户端进行解析，获取PST文件，然后通过扫描PST文件中找到尚未被覆盖的数据块，这些数据块就有可能是被删除的文件。

由于尚未被覆盖的数据块除了包含被删除邮件外，还有可能包含其他一些文件，因此，为了提高效率，有必要对其进行筛选，其具体方法为首先设置一个判别标准，然后将PST文件中所有尚未被覆盖的数据块的与判别标准进行比较，筛选出可疑的邮件数据块，判别标准可以为大小、属性、文件类别等。

邮件数据块筛选完毕后，加载可疑的邮件数据块，将可疑的邮件数据块与特征过滤条件相比较，找出邮件数据块；然后分析邮件数据块的存储位图，找到存储位图中回收空间对应的比特位；然后通过将对比特位进行映射获取邮件数据块的具体位置，再根据比特位的位数计算出邮件数据块的大小。

根据邮件数据块的具体位置和大小，即可获取邮件数据块的完整内容。邮件的各种属性及属性值都按规则存放在邮件数据块中，按正常邮件解析方法即可解析出邮件的完整内容。

本方法还能判别被恢复的邮件是否为完整邮件，可通过比特位的位数计算出邮件数据块的大小与筛选出来的邮件数据块大小进行比较，若前者小于后者，则为完整邮件。

本发明的具体方法如下：