【文章內(nèi)容簡介】 ，它是唯一的離線協(xié)議。IMAP 協(xié)議IMAP 的英文全稱是“Inter Mail Access Protocol”，即中文全稱是互聯(lián)網(wǎng)信息訪問協(xié)議，它也能下載郵件，從郵件服務(wù)器刪除或保存郵件，以及檢測是否有新郵件，是一種優(yōu)于 POP 的新協(xié)議。重慶郵電大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 8 IMAP 克服了 POP 的一些缺點(diǎn)，它不像 POP 那樣只能下載全部郵件來讀取部分內(nèi)容，它能夠決定客戶機(jī)請(qǐng)求郵件服務(wù)器提交所收到郵件的方式，請(qǐng)求下載自己所需要的郵件，比如客戶機(jī)可預(yù)先閱讀標(biāo)題等信息進(jìn)而來決定是否需要下載，同時(shí)在客戶端所發(fā)生的操作就會(huì)同步到服務(wù)器上。 二、電子郵件的郵件頭分析在這個(gè)網(wǎng)絡(luò)交互的時(shí)代，電子郵件已經(jīng)成為最重要的、最為廣泛的網(wǎng)絡(luò)應(yīng)用之一。剛開始電子郵件主要是按照 RFC 822 標(biāo)準(zhǔn)來執(zhí)行的，但是自從MIME 即就是互聯(lián)網(wǎng)擴(kuò)展協(xié)議 [11]產(chǎn)生之后，在前面的基礎(chǔ)上對(duì)規(guī)范標(biāo)準(zhǔn)進(jìn)行了擴(kuò)展。不像以前那樣電子郵件傳輸?shù)闹荒苁?ASCII 文本文件，在 MIME 的支持下，動(dòng)畫、聲音，圖像等多媒體文件可通過電子郵件傳送，使得電子郵件的作用越來越強(qiáng)大。到目前為止，互聯(lián)網(wǎng)上的電子郵件都是遵循 MIME 技術(shù)規(guī)范的。一部完整的電子郵件包括兩部分，即郵件頭和郵件體。按照 RFC 822 所規(guī)定的郵件的標(biāo)準(zhǔn)格式規(guī)定，電子郵件完全由一行一行的文本組成，每行以回車符和換行符結(jié)束，在郵件頭中不能允許有空行，空行作為郵件體和郵件頭的區(qū)分。郵件頭部中包含對(duì)其進(jìn)行解析時(shí)所用到的各種參數(shù)，如時(shí)間、發(fā)件人、收件人、主題、IP 地址來源、MIME 版本等信息。也包括了郵件在傳輸過程中所產(chǎn)生的相關(guān)信息，比如在投遞過程中的郵件服務(wù)器的一些信息。主體主要包含正文、正文格式、以及附件信息。電子郵件頭中的每行信息可以稱為一個(gè)域，域名的格式由“：”加信息內(nèi)容組成，它所占的行數(shù)不進(jìn)行限制。域的首行的左邊不允許有空白字符，但是在續(xù)行時(shí)必須以空白字符開始，而這個(gè)空白字符不算在信息中。電子郵件的郵件頭中所常見的標(biāo)準(zhǔn)域名及含義如表 11 所示：表 11 電子郵件頭常見的標(biāo)準(zhǔn)域名及含義域名 含義From 發(fā)件人地址To 收件人地址MimeVersion MIME 版本Subject 郵件主題ContentTransferEncoding 內(nèi)容的傳輸編碼方式重慶郵電大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 9 Date 日期和時(shí)間MessageID 消息 IDContentType 郵件內(nèi)容的類型對(duì)一些非標(biāo)準(zhǔn)自定義域名都以 X來開頭，比如像本文研究的 郵件中的 XOriginatingIP、XMailer 等等。Email 電子郵件的郵件頭非標(biāo)準(zhǔn)域名及其含義如表 12 所示：表 12 Email 郵件的郵件頭中非標(biāo)準(zhǔn)域名及含義域名 含義XOriginatingIP 郵件發(fā)送者原始的 IP 地址XPriority 郵件的優(yōu)先級(jí)XMailer 發(fā)信客戶端版本第三節(jié) 純真 IP 數(shù)據(jù)庫的基本介紹在網(wǎng)上有很多 IP 數(shù)據(jù)庫，但是以純真版的 IP 數(shù)據(jù)庫最受歡迎，在純真IP 數(shù)據(jù)庫中的 IP 記錄似乎達(dá)到 30000 條，收集了包括中國電信、中國移動(dòng)、中國聯(lián)通、長城寬帶、聚友寬帶等 ISP 的最新準(zhǔn)確 IP 地址數(shù)據(jù)。對(duì)于有些IP 地址甚至能精確到樓層，它不僅記錄的 IP 地址多，而且便捷又快速，不需要聯(lián)網(wǎng)便可知 IP 地址的具體來源。一個(gè) 文件里面包含了所有記錄，要想進(jìn)行查詢只需在程序中調(diào)用它。[12]文件從結(jié)構(gòu)上來說可分為三個(gè)區(qū)域：文件頭、記錄區(qū)、索引區(qū)。在查找 IP 地址時(shí)，因?yàn)? 中采用了 littleendian 字節(jié)符，因此首先查找索引區(qū)，即就是首先查找索引區(qū)的紀(jì)錄偏移，然后搜索記錄區(qū)，從記錄區(qū)讀取信息。在記錄區(qū)中直接搜索是不科學(xué)的，因?yàn)橛涗泤^(qū)的長度不是確定的，而且記錄數(shù)較多，直接遍歷會(huì)降低速度，為了提高效率，一般采用二分查找法查找，其速度比遍歷高很多倍。 的文件結(jié)構(gòu)如圖 ：重慶郵電大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 10 文件頭記錄區(qū)索引區(qū)文件頭大小 8 字節(jié)記錄區(qū)不定長索引區(qū)大小由文件頭決定圖 的文件結(jié)構(gòu)一、 純真 IP 數(shù)據(jù)庫文件頭的概述 純真 IP 數(shù)據(jù)庫即就是 的文件頭具有非常簡單的結(jié)構(gòu)，他只具有 8 個(gè)字節(jié)，前面的四個(gè)字節(jié)表示的是第一個(gè)索引的絕對(duì)偏移，而后四個(gè)字節(jié)表示的是最后一個(gè)索引在整個(gè)文件頭中的絕對(duì)偏移。二、 純真 IP 數(shù)據(jù)庫記錄區(qū)的分析在記錄區(qū)中的每個(gè) IP 記錄的組成是國家名加地區(qū)名。因此，對(duì)于一條最簡單的記錄它具有的格式應(yīng)該是:[IP 地址][詳細(xì)地址]。對(duì)于在詳細(xì)地址重復(fù)的情況下把每條記錄進(jìn)行完整的名稱拷貝是很不科學(xué)的，這時(shí)候我們可采用重定向方法，這樣可節(jié)省空間資源。在得到詳細(xì)地址時(shí)有兩種方法：一是直接用字符串來標(biāo)識(shí)國家名，另外一種就是用 4 字節(jié)來表示的結(jié)構(gòu)，首字節(jié)標(biāo)識(shí)進(jìn)行重定向的模式，第二、三、四字節(jié)標(biāo)識(shí)國家名稱或地址名稱的實(shí)際偏移位置。 一條 IP 記錄的簡單形式格式為：IP 地址+國家名+地區(qū)名，具體格式如表 13 所示：表 13 一條 IP 記錄的簡單形式格式IP 地址（4 字節(jié)表示）國家名（字符串，以 0 結(jié)尾）重慶郵電大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 11 地區(qū)名（字符串，以 0 結(jié)尾）對(duì)于重定向模式，如果 IP 地址后面的國家是重定向的，那么地區(qū)可分為有和沒有兩種情況，下面通過兩種模式分別對(duì)其進(jìn)行了解。第一種模式就是國家是重定向的，地區(qū)記錄是沒有的，它的記錄和國家記錄是一起的，在 IP 地址的后面是國家記錄的四個(gè)字節(jié)，第一個(gè)字節(jié)用來標(biāo)識(shí)重定向模式，標(biāo)識(shí)字節(jié)為 0x01，后面三個(gè)字節(jié)構(gòu)成了一個(gè)指向國家名的指針，地址名緊跟其后。具體的形式如圖 所示：I P 地址 （ 4 字節(jié) ） 0 ~ 4重定向模式標(biāo)識(shí) ： 0 x 0 1 4 ~ 5 絕對(duì)偏移 ： 0 x X X X X X X 5 ~ 8國家名稱 （ 字符串 ， 0 結(jié)尾 ）地區(qū)名稱 （ 字符串 ， 0 結(jié)尾 ）圖 重定向模式一第二種模式和第一種模式唯一的區(qū)別是地區(qū)名沒有緊跟著國家名一起，在 IP 地址之后的 4 個(gè)字節(jié)，首字節(jié)同樣為重定向模式標(biāo)識(shí)，標(biāo)識(shí)字節(jié)為0x01，后面三個(gè)構(gòu)成指向國家名的指針，區(qū)別在于國家記錄后面還有地區(qū)記錄，具體形式如圖 所示：重慶郵電大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 12 I P 地址 （ 4 字節(jié) ） 0 ~ 4重定向模式標(biāo)識(shí) ： 0 x 0 2 4 ~ 5 絕對(duì)偏移 ： 0 x X X X X X X 5 ~ 8國家名稱 （ 字符串 ， 以 0 結(jié)尾 ）地區(qū)名稱 （ 字符串 ， 以 0 結(jié)尾 ）圖 重定向模式二上面兩個(gè)重定向模型是比較簡單的模型，有時(shí)候會(huì)遇到比較復(fù)雜的重定向混合模型，當(dāng)國家記錄為第一種模式時(shí)，第一次重定向仍然為第一種模式的重定向，第二次重定向則發(fā)生了改變，變?yōu)榈诙N重定向模式。具體形式如圖 所示：I P 地址 （ 4 字節(jié) ） 0 ~ 4重定向模式標(biāo)識(shí) ： 0 x 0 1 4 ~ 5 絕對(duì)偏移 ： 0 x X X X X X X 5 ~ 8重定向模式 ： 0 x 0 2絕對(duì)偏移 ： 0 x X X X X X X地區(qū)名稱 （ 字符串 ， 以 0 結(jié)尾 ）國家名稱 （ 字符串 ， 以 0 結(jié)尾 ）圖 重定向模式的混合模式一還有另外一種最復(fù)雜的混合模式情況，和上面那種較復(fù)雜的混合模式情況相比，主要的區(qū)別為地區(qū)記錄也進(jìn)行了重定向，具體形式如圖 所示:重慶郵電大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 13 I P 地址 （ 4 字節(jié) ） 0 ~ 4重定向模式標(biāo)識(shí) ： 0 x 0 1 4 ~ 5 絕對(duì)偏移 ： 0 x X X X X X X 5 ~ 8重定向模式 ： 0 x 0 2絕對(duì)偏移 ： 0 x X X X X X X重定向 : 0 x 0 1 / 0 x 0 2國家名稱 （ 字符串 ， 以 0 結(jié)尾 ）絕對(duì)偏移 ： 0 x X X X X X X 地區(qū)名稱 （ 字符串 ， 以 0 結(jié)尾 ）圖 重定向模式的混合模式二綜合以上情況，一條 IP 記錄，即[IP][國家記錄][地區(qū)記錄]，國家記錄的表示由三種方式，簡單的為字符串，第一種重定向模式和第二種重定向模式；地區(qū)記錄的表示有兩種形式，字符串和重定向模式。值得注意的是第一種模式的國家記錄的后面不能跟地區(qū)記錄。三、 純真 IP 數(shù)據(jù)庫的索引區(qū)的介紹在開始的頭文件的介紹中，我們已經(jīng)說明頭文件包括兩個(gè)指針，他們指向的是最前面一條和最后面一條索引的絕對(duì)偏移。也就是說從頭文件開始就可以定位到索引區(qū)。而每個(gè)索引區(qū)是有 7 字節(jié)長度的，前四個(gè)當(dāng)然為開始的IP 地址，后三個(gè)緊接著為 IP 記錄。 重慶郵電大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 14 第一條索引偏移 ： 0 x X X X X X X 0 ~ 4最后一條索引偏移 ： 0 x X X X X X X 4 ~ 8起始 I P ， 4 個(gè)字節(jié) I P 紀(jì)錄偏移 ， 3 個(gè)字節(jié)中間的很多索引起始 I P ， 4 個(gè)字節(jié) I P 紀(jì)錄偏移 ， 3 個(gè)字節(jié)第一條 I P 記錄中間的很多 I P 記錄最后一條 I P 記錄文件頭索引區(qū)記錄區(qū)圖 文件詳細(xì)結(jié)構(gòu)第四節(jié) 本章小結(jié)本章首先對(duì)電子郵件取證的可視化分析的背景及意義進(jìn)行了介紹，可看出在偵查案件過程中電子進(jìn)行取證的重要性。要對(duì)電子郵件進(jìn)行取證，就必須對(duì)電子郵件進(jìn)行了解，接下來便從電子郵件協(xié)議、電子郵件頭格式進(jìn)行了介紹，為提取 IP 地址做準(zhǔn)備。因?yàn)楸疚难芯康氖亲匪?IP 地理位置，而所采取的方法是從純真 IP 數(shù)據(jù)庫中提取出物理位置，因此便對(duì)純真 IP 數(shù)據(jù)庫的格式進(jìn)行了了解，為代碼實(shí)現(xiàn)提取作前提準(zhǔn)備。重慶郵電大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 15 第三章 電子郵件取證可視化分析方法第一節(jié) 電子郵件取證可視化分析介紹在計(jì)算機(jī)機(jī)取證過程中，從計(jì)算機(jī)中獲取有價(jià)值的信息非常重要，同時(shí)把證據(jù)信息以特定的方式進(jìn)行可視化展示同時(shí)也顯得非常重要。前面我們從電子郵件中獲取 IP 地址的過程以及在純真 IP 數(shù)據(jù)庫中提取 IP 地址所對(duì)應(yīng)的物理地址都是獲取證據(jù)的過程，也就是獲取證據(jù)及其與相關(guān)聯(lián)的證據(jù)信息的獲取。毫無疑問，獲取證據(jù)的過程至關(guān)重要，但是對(duì)證據(jù)進(jìn)行分析的過程不容忽略。就拿電子郵件來說，我們雖然獲取到了郵件發(fā)送者原始的 IP 地址以及其所對(duì)應(yīng)的大概的物理位置，確定 IP 地址的大概來源但是不能知道其所在的詳細(xì)的地理位置，這對(duì)偵查案件有時(shí)候會(huì)造成一定的困擾。要想把獲得的證據(jù)信息進(jìn)行精準(zhǔn)地分析，就得根據(jù) IP 地址把發(fā)送者的物理位置具體定位到具體某一點(diǎn)，這樣才具有說服力以及準(zhǔn)確性。因此，根據(jù) IP 定位物理位置在取證過程中已顯得十分重要。在虛擬的網(wǎng)絡(luò)社會(huì)中通過電子郵件的進(jìn)行溝通時(shí)，我們只能獲取對(duì)方的IP 來進(jìn)行精確定位到其位置。在互聯(lián)上，IP 也只是一個(gè)簡單的數(shù)字標(biāo)識(shí)符號(hào)，通過 IP 定位地理位置就顯得比較困難。尤其是對(duì) IP 地址進(jìn)行追蹤時(shí)，由于網(wǎng)絡(luò)中 IP 地址信息中只包含路由信息，并不包含它所對(duì)應(yīng)的地理位置，而且有些服務(wù)器比如像代理服務(wù)器對(duì) IP 地址進(jìn)行了隱藏 [13]，因此，追蹤起來特別困難。雖然目前流行很多 IP 數(shù)據(jù)庫可以提取到它所對(duì)應(yīng)的地理位置，但是查詢結(jié)果不精確。從既不用聯(lián)網(wǎng)又獲得精確地地理位置兩個(gè)方面考慮，本文利用純真數(shù)據(jù)庫獲取地理位置并通過 C解析 XML 文件，展現(xiàn) IP 地址之間的關(guān)系，然后利用百度地圖的 API 對(duì)準(zhǔn)確定位到的位置在百度地圖上進(jìn)行可視化展示。第二節(jié) C解析 XML 文件XML 也就是所謂的可擴(kuò)展標(biāo)記語言，它使得用戶可根據(jù)自己的需求來定義自己的標(biāo)記語言。隨著 XML 的誕生，它的應(yīng)用越來越廣泛，同時(shí)操作XML 文件以及從中讀取想要的信息成為 XML 成為研究的主要內(nèi)容。重慶郵電大學(xué)本科畢業(yè)設(shè)計(jì)（論文） 16 XML 文檔其實(shí)是文本文件，如果要對(duì) XML 文檔中獲取想要的數(shù)據(jù)及其相關(guān)的數(shù)據(jù)，就首先得解析 XML 文檔，也就是將 XML 文檔通過樹形結(jié)構(gòu)來表示數(shù)據(jù)。常見的解析方式主要有兩種：一種是 DOM 解析，一種是 SAX 解析。DOM 是 W3C 組織通過采用 IDL 來進(jìn)行定義 DOM 中的接口。DOM 主要針對(duì)的是節(jié)點(diǎn)，它將 XML 文檔的每一個(gè)元素都當(dāng)作是節(jié)點(diǎn)，整個(gè)文檔存儲(chǔ)時(shí)采用樹形結(jié)構(gòu)進(jìn)行存儲(chǔ)，整棵樹就可看作是一個(gè)節(jié)點(diǎn)，而對(duì)于每個(gè)節(jié)點(diǎn)又可看作是一棵樹，這樣的話可以訪問樹中節(jié)點(diǎn)來讀取 XML 文檔中的信息。SAX 是一種通過事件來驅(qū)動(dòng)的模型，進(jìn)行解析 XML 文檔時(shí)會(huì)觸發(fā)一系列事件，并且激活與之對(duì)應(yīng)的事件處理程序，但是這些處理程序必須我們得自己編寫，這樣會(huì)造成很大的麻煩。 Framework 支持 XML DOM 模式，由于本文采用的是 C編程，因此本文采用這種模式，C解析 XML 文件時(shí)常見的方法有：生成 XML 文件，對(duì) XML 文件中的節(jié)點(diǎn)信息進(jìn)行訪問，修改某些節(jié)點(diǎn)信息，追加相關(guān)的節(jié)點(diǎn)信息，刪除某些特定的節(jié)點(diǎn)信息。第三節(jié) 百度地圖 API所謂的百度地圖 API[15]即就是免費(fèi)提供給開發(fā)者的一套關(guān)于百度地圖的應(yīng)用接口，也就是第三方