伟德(bv1946·BETVLCTOR认证)官网-Unique Platform

电子数据采集产品系列

消防勘查取证产品系列

【技术分享】Exchange邮件服务器取证固定详解
发布时间:2024-10-09
Exchange Server介绍

Exchange Server是微软公司开发的一款企业级邮件服务器软件,它集成了邮件处理、日历管理、任务安排、通讯录存储等功能,为企业提供了全面的邮件通信解决方案。它支持多种客户端访问方式,包括Outlook、OWA(Outlook Web Access)以及移动设备客户端等,方便用户随时随地访问邮件系统。


随着信息技术的飞速发展,电子邮箱已成为我们日常生活和工作中不可或缺的一部分。在涉及法律纠纷的案件中,电子邮箱中的信息往往成为关键证据。今天,我们将探讨如何从微软旗下的Exchange Server邮件服务中进行取证。

文章关键词:电子数据取证、云取证、邮件取证、手机取证、电子物证、介质取证

取证技战法


证据的发现

在实际现勘取证工作中首先要确定目标服务器中是否部署了Exchange Server邮件服务。那如何确认呢?需要通过SPN进行分析判断。SPNService Principal Names,服务主体名称)是服务实例的唯一标识符,它将服务实例与提供该服务的账户相关联。对于Exchange Server而言,SPN被注册在Active Directory中,用于指定哪些账户(通常是服务账户)有权代表特定的服务(如Exchange的各种服务组件)进行通信。在安装Exchange Server时,安装程序会自动在Active Directory中注册必要的SPN,SPN就被注册在活动目录中,在域环境中可以通过SPN来发现Exchange Server服务。如图1:

22e0054705c47f447fa77bc5d0828b6b.png

图1查看spn注册信息


证据的提取

1.获取Exchange Server服务器镜像

使用伟德betvlctor1946鹰眼介质快取系统对服务器进行免拆机进行提取,获取获取Exchange Server服务器镜像。如图2:

5947f3860e7879dc54acb7ad9883dfca.png

图2伟德betvlctor1946鹰眼介质快取系统


2.镜像仿真

获取Exchange Server服务器镜像,使用伟德betvlctor1946仿真取证系统对镜像进行仿真。如图3:

c80b26149fe03c8b267b212ea4589966.png

图3伟德betvlctor1946仿真取证系统


3.提取邮件数据首先要确保以下组件和服务处于启动状态,才能启动exchange邮件服务

(1).NETFramework

(2)ASP.NET

(3)Internet信息服务(lIS)

(4)World WideWebPublishing服务

(5)简单邮件传输协议(SMTP)服务

(6)网络新闻传输协议(NNTP)服务


4.Exchange Server邮件信息查询

在正常的PowerShell中,Exchange Server服务所属的命令是没有的,需要输入如下命令,将Exchange管理单元添加到当前会话中: add-pssnapin microsoft.exchange*。添加之后可以通过以下命令查询Exchange Server邮件信息.如图4-5:

d5340b6be28e6a152dbf71a7b76186f5.png

图4Exchange Server命令


80c08246993c8952be81d2cc53c07216.png

图5Exchange Server命令查询


5.查看指定用户的邮箱登录的最后时间

通过Exchange Server命令查看指定用户邮箱的最后登录时间。如图6-7:

3449f8fee55746cd2a13261fdb2448ad.png

图6登录时间查询命令

e252dd51f06aa2278c45e7c52c12e123.png

图7最后登录时间


6.导出邮件通讯组信息

查询邮件通讯组信息并全部导出成指定路径下的csv文件。如图8:

1f3d86cbbc501b327bdea09a088c482a.png

图8导出Exchange Server邮件通讯组信息


7.设置共享文件夹

不论使用哪种方式导出邮件,都需要将文件放置在UNC(Universal Naming Convention,通用命名规则,也称通用命名规范)路径下。类似于“\hostnamesharename”、“\ipaddresssharename”的网络路径下,sharename为网络共享名称。开启共享,将C盘shares文件夹设置为everyone可读写。如图9:

56cb923e440516eba671788959ac5aa1.png

图9设置共享文件夹


8.获取邮件数据

用户的电子邮箱目录一般为Inbox(收件箱)、SentItems(已发送邮件)、DeleteItems(已删除邮件)、Drafts(草稿)等。使用New-MailboxExportRequest命令将指定用户的邮件数据导出成pst文件。如图10:

e0e6d8404015c504d492938630a512ef.png

图10邮件数据导出


证据的查看

1.安装Outlook

将邮件数据导出成.pst文件之后我们又如何去看其中的邮件信息呢?如果要打开pst文件必须要安装Outlook软件,但是Outlook有很多不同的版本,每个版本导出的pst文件虽然后缀都相同,但是还是存在兼容性的问题。所以建议安装最新版本的Outlook,Windows的大多数软件都是向下兼容的。比如word 2003打不开word2007的文件,但是word2007可以打开word2003的文件。安装完之后就可以在程序里面找到了。如图11:

c206f60a896dfd15840f17a5052b6ece.jpg

图11 Outlook程序


2.导入pst文件到Outlook

点击左上角的文件按钮,选择打开和导入一栏,鼠标左键打开Outlook数据文件即可看到所需的邮件数据。如图12:

ffcba6af3f2b1082c1c37f24e41443c1.png

图12打开pst文件


3.查看邮件数据

导入完成之后就可看该文件内所有的邮件信息。如图13:

335dcfbb4500a207fb1e268afb8d8a95.png

图13查看邮件信息



取证技巧总结

针对Exchange Server邮箱数据的提取,我们首先要确保Exchange Server邮件服务依赖的各项系统服务处于启动状态,通过PowerShell命令导出存储邮件信息的pst文件,最终实现Outlook中所有邮件信息的查看。


取证产品推荐

LX-A303“鹰眼”介质快取系统(介质免拆机取证)

“鹰眼”介质快取系统是一款致力于为办案人员打造一体化、规范化的高效现场勘查综合取证设备,采用高速介质复制、批量快速取证、自动取证分析技术,提供符合司法有效性的取证功能,使得现场证据固定、电子数据取证分析工作简单快捷。

b037bbf30f2a937c672e74d38f958975.jpg

LX-A306仿真取证系统

LX-A306仿真取证系统是一款专门用于对计算机进行动态仿真取证的高科技产品。系统可在保证司法有效性的同时对 Windows、Linux、MacOS 及 Vmware Esxi等操作系统进行仿真。系统支持对物理磁盘和镜像文件两种介质存储方式的仿真,可绕过操作系统的登录密码,对设备进行仿真操作,调查人员的任何修改操作都不会影响原始设备。

14e974ab0ff6d9138f7b3e1e2d2bf7d0.jpg


如需详细了解更多技术解决方案

欢迎联系伟德bv1946官网各地销售

官方微信:longxintech2021