隨著電子數(shù)據(jù)取證技術(shù)的日益成熟，以及越來(lái)越多的執(zhí)法人員加入企業(yè)，從事合規(guī)調(diào)查、反欺詐調(diào)查、稽核監(jiān)察等內(nèi)部調(diào)查，該技術(shù)逐步被越來(lái)越多的國(guó)內(nèi)外知名企業(yè)所接受，并用于企業(yè)的內(nèi)部調(diào)查。而在繁瑣的電子取證中，郵件分析恢復(fù)工作占據(jù)了很大的比重，如何有效、快速且精確的對(duì)郵件進(jìn)行分析和處理便成為我們所關(guān)注的重點(diǎn)。

在選擇所需工具之前，我們先要確認(rèn)自己的實(shí)際需求及數(shù)據(jù)環(huán)境，從而有針對(duì)性的關(guān)注郵件分析及取證產(chǎn)品。

刪除郵件的恢復(fù)

1.本地郵件刪除

對(duì)于本地客戶端內(nèi)的刪除郵件，使用高性價(jià)比的數(shù)據(jù)恢復(fù)工具就能幫助我們完成任務(wù)，如R-Studio恢復(fù)套件、Recover My files、Stellar的Email套件等。

如果遇到整體郵件客戶端，以及郵件數(shù)據(jù)包被整體刪除的情況，就需要使用專業(yè)取證工具，如FTK、EnCase、X-Ways、BlackBag等都可以更好地恢復(fù)數(shù)據(jù)并進(jìn)行解析。

2.網(wǎng)絡(luò)郵件刪除

如果用戶直接在網(wǎng)上服務(wù)器端的郵件刪除，我們就很難在目標(biāo)本地進(jìn)行恢復(fù)了。

如果我們能夠獲取服務(wù)器的訪問(wèn)權(quán)限的話，因其一般涉及數(shù)據(jù)量較大，比較建議直接使用企業(yè)取證/數(shù)字發(fā)現(xiàn)系統(tǒng)，如Quin-C或AD FTK Lab/Enterprise類分布式取證工具。

郵件無(wú)法瀏覽或損壞

此類情況，除了比較專業(yè)的取證工具，一些小工具如Aid4Mail、Stellar郵件工具集等都可以幫助我們進(jìn)行轉(zhuǎn)化。

海量郵件篩查和串聯(lián)分析

郵件密碼恢復(fù)

在處理分析中，郵件密碼經(jīng)常會(huì)被我們忽略，但是其重要性不可忽視。大體而言，郵件密碼恢復(fù)主要有兩種：

1.郵件客戶端密碼恢復(fù)

微軟Mail、FoxMail等，其軟件會(huì)自動(dòng)記錄郵箱的登錄密碼。使用如Elcomsoft、Passware郵件系統(tǒng)解密組件，可以幫助我們恢復(fù)客戶端的密碼。

2.網(wǎng)頁(yè)郵件登錄密碼恢復(fù)

恢復(fù)此類密碼，首先需要我們分析登錄帳戶的瀏覽器，在密碼默認(rèn)保存的情況下，可以通過(guò)較高級(jí)的取證工具進(jìn)行恢復(fù)，如FTK、EnCase等。

同時(shí)若能夠獲取已經(jīng)登錄郵箱的設(shè)備（開(kāi)機(jī)狀態(tài)），我們也可以通過(guò)對(duì)電腦的實(shí)時(shí)內(nèi)存進(jìn)行獲取并分析，如BlackLight、FTK、EnCase都有類似功能。