技術領域

本發明涉及計算機取證領域，具體地說，特別涉及到一種Outlook刪除郵件的恢復方法。

背景技術

計算機取證（Computer?Forensics）是指運用計算機辨析技術，對計算機犯罪行為進行分析以確認罪犯及計算機證據，并據此提起訴訟。也就是針對計算機入侵與犯罪，進行證據獲取、保存、分析和出示。計算機證據指在計算機系統運行過程中產生的以其記錄的內容來證明案件事實的電磁記錄物。從技術上而言，計算機取證是一個對受侵計算機系統進行掃描和破解，以對入侵事件進行重建的過程。

在Outlook中，某些徹底刪除的郵件無法通過客戶端本身的操作來找回，特別是在取證中，被特意刪除的郵件可能包含重要信息，恢復這些郵件具有重要意義。因此，特別需要一種Outlook刪除郵件的恢復方法。

發明內容

本發明的目的在于提供一種Outlook刪除郵件的恢復方法，通過分析Outlook產生的PST文件中郵件數據塊的映射表來查找沒被覆蓋的數據塊，然后根據數據郵件的特征進一步分析和提取，克服了傳統技術中的不足，從而實現本發明的目的。

本發明所解決的技術問題可以采用以下技術方案來實現：

一種Outlook刪除郵件的恢復方法，它包括如下步驟：

1）對Outlook客戶端進行解析，獲取PST文件；

2）通過掃描PST文件中找到尚未被覆蓋的數據塊；

3）對數據塊進行分析，篩選出可疑的郵件數據塊；

4）設置郵件數據塊的特征過濾條件，找出所有未被覆蓋的郵件；

5）郵件的各種屬性及屬性值都按規則存放在郵件數據塊中，按正常郵件解析方法即可解析出郵件的完整內容。

在本發明的一個實施例中，所述PST文件存儲于硬盤驅動器的個人存儲文件夾中或郵箱服務器的數據庫中。

在本發明的一個實施例中，所述步驟3）的篩選方法為首先設置判別標準，然后將PST文件中尚未被覆蓋的數據塊的與判別標準進行比較，篩選出可疑的郵件數據塊。

在本發明的一個實施例中，所述步驟4）的具體方法為首先加載可疑的郵件數據塊，將可疑的郵件數據塊與特征過濾條件相比較，找出郵件數據塊；然后分析郵件數據塊的存儲位圖，找到存儲位圖中回收空間對應的比特位；然后通過將對比特位進行映射獲取郵件數據塊的具體位置，再根據比特位的位數計算出郵件數據塊的大小。

在本發明的一個實施例中，所述方法包括判斷郵件數據塊完整性的方法，其具體步驟為將步驟4）中可疑的郵件數據塊的大小與判別標準進行比較，若小于步驟3）中的大小，則為完整郵件。

本發明的有益效果在于：通過分析Outlook產生的PST文件中郵件數據塊的映射表來查找沒被覆蓋的數據塊，然后根據數據郵件的特征進一步分析和提取，能夠恢復Outlook中徹底被刪除的文件。

具體實施方式

為使本發明實現的技術手段、創作特征、達成目的與功效易于明白了解，下面結合具體實施方式，進一步闡述本發明。

本發明所述的一種Outlook刪除郵件的恢復方法，其原理如下：

在Outlook中所有郵件都處存放在一個PST文件中，PST文件一般存儲于硬盤驅動器的個人存儲文件夾中或郵箱服務器的數據庫中，本方法通過對Outlook客戶端進行解析，獲取PST文件，然后通過掃描PST文件中找到尚未被覆蓋的數據塊，這些數據塊就有可能是被刪除的文件。

由于尚未被覆蓋的數據塊除了包含被刪除郵件外，還有可能包含其他一些文件，因此，為了提高效率，有必要對其進行篩選，其具體方法為首先設置一個判別標準，然后將PST文件中所有尚未被覆蓋的數據塊的與判別標準進行比較，篩選出可疑的郵件數據塊，判別標準可以為大小、屬性、文件類別等。

郵件數據塊篩選完畢后，加載可疑的郵件數據塊，將可疑的郵件數據塊與特征過濾條件相比較，找出郵件數據塊；然后分析郵件數據塊的存儲位圖，找到存儲位圖中回收空間對應的比特位；然后通過將對比特位進行映射獲取郵件數據塊的具體位置，再根據比特位的位數計算出郵件數據塊的大小。

根據郵件數據塊的具體位置和大小，即可獲取郵件數據塊的完整內容。郵件的各種屬性及屬性值都按規則存放在郵件數據塊中，按正常郵件解析方法即可解析出郵件的完整內容。

本方法還能判別被恢復的郵件是否為完整郵件，可通過比特位的位數計算出郵件數據塊的大小與篩選出來的郵件數據塊大小進行比較，若前者小于后者，則為完整郵件。

本發明的具體方法如下：