毕业设计（论文）-计算机取证可视化分析技术研究与应用.doc

编编 号：号： 审定成绩：审定成绩： 重庆邮电大学重庆邮电大学 毕业设计（论文）毕业设计（论文） 设计（论文）题目：设计（论文）题目： 计算机取证可视化分析技术研究与应用计算机取证可视化分析技术研究与应用 学学 院院 名名 称称 ：计算机科学与技术计算机科学与技术 学学 生生 姓姓 名名 ： 专专 业业 ：信息安全信息安全 班班 级级 ：0441001 学学 号号 ：2010212122 指指 导导 教教 师师 ： 答辩组答辩组 负责人负责人 ： 填表时间：填表时间： 2014 年年 6 月月 重庆邮电大学教务处制重庆邮电大学教务处制 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - i - 摘摘 要要 随着信息技术的广泛应用，计算机、手机等电子设备的大量普及，计算机、手机中涉及 的电子数据成为一种新的证据形式电子证据。这些电子证据中蕴含的嫌疑人相关信息、 人际关系也成为电子取证的分析关键。尤其是犯罪分子在一起进行预谋活动时通过电子邮件 等高级的通信媒介进行联络，这样使取证人员必须通过数据分析和调查软件对有效的数据进 行关联分析并可视化显示。可见，计算机取证的可视化分析在计算机取证过程中有重要的意 义。 本文主要研究的是基于电子邮件取证的可视化分析，主要分为两个模块来完成。第一个 模块为：首先从保存在特定路径的 eml 文件中提取 ip 地址并进行显示保存，然后从纯真数 据库中提取出每个 ip 地址对应的物理位置并进行显示。第二个模块为：首先通过 c#解析 xml 文件的方式，把提取到的 ip 地址与取证对象之间的关系通过树状结构进行显示；然后 再利用百度地图 api 技术把 ip 地址所对应的物理位置在地图上进行可视化显示。本系统实 现了基本的功能，当取证数据较少时为较好的使用系统，目前在测试时未遇到问题，如果对 其加以改进和完善，那么将在计算机取证的可视化分析方面会有比较好的贡献。 【关键词关键词】计算机取证 可视化 ip 地址 纯真数据库 百度地图 api 技术 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - ii - abstract with the large popularity of wide application of information technology, computers, cell phones and other electronic devices are more and more popular. electronic data involved in mobile phone and computers has become a new form of evidence - electronic evidence. these electronic evidences contain information about suspects, relationships have become critical analysis of electronic evidence. especially when liaising together for premeditated criminal activities through e-mail and other advanced communication media, such evidence must make through data analysis and survey software to effectively analyze and correlate data visualization. visible, visual analysis of computer forensics has important significance in the computer forensics process. in this paper, the study is based on visual analysis of e-mail evidence, mainly divided into two modules to complete. the first module is: first extracted from the ip address stored in the specified file path eml,stored and displayed, and then extracted from the database of each of the pure ip address corresponding to the physical location and displayed. the second module is: first by c # xml file parsing way, the relationship between the extracted ip address and forensic between objects displayed by the tree; then use baidu maps api technology to the ip address corresponding to the physical location visualization displayed on the map. the system is relatively simple to achieve functional, less forensic data when using the system for the better, is currently in the test did not encounter problems if its improvement and perfection, it will be in the visual analysis of computer forensics is better contribution. 【key words】computer forensics visualization ip addresses pure database baidu maps api technology 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - iii - 目目 录录 第一章 绪论1 第一节 计算机取证技术的介绍.1 第二节 计算机取证可视化分析技术的研究背景.1 第三节 计算机取证可视化分析技术的研究现状.2 一、国外研究现状.3 二、国内研究现状.3 第四节 论文组织结构 .4 第五节 本章小结 .4 第二章 电子邮件取证综述5 第一节 电子邮件取证的背景及意义.5 第二节 电子邮件介绍 .5 一、电子邮件协议介绍 5 二、电子邮件的邮件头分析.7 第三节 纯真 ip 数据库的基本介绍8 一、 纯真 ip 数据库文件头的概述.9 二、 纯真 ip 数据库记录区的分析.9 三、 纯真 ip 数据库的索引区的介绍.12 第四节 本章小结 .12 第三章 电子邮件取证可视化分析方法13 第一节 电子邮件取证可视化分析介绍.13 第二节 c#解析 xml 文件13 第三节 百度地图 api14 第四节 本章小结 .16 第四章 电子邮件取证可视化设计17 第一节 系统的设计概况 17 一、系统的需求分析.17 二、系统的运行环境.17 三、系统的功能描述.17 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - iv - 第二节 系统的总体架构 19 一、邮件的 ip 地址及其对应的地理位置的提取模块 .21 二、根据 ip 地址把邮件之间的关系进行可视化分析模块 .21 第三节 邮件的 ip 地址及其地理位置的提取模块21 第四节 根据 ip 地址将邮件关系进行可视化分析22 第五节 本章小结 .23 第五章 电子邮件取证可视化的实现24 第一节 系统开发环境 .24 第二节 电子邮件 ip 及其地理位置的提取24 一、电子邮件中 ip 地址的提取 .24 二、ip 地址的地理位置来源提取28 第三节 依据 ip 对邮件之间关系的可视化显示31 一、依据 ip 对邮件之间关系的显示.31 二、将 ip 对应的地理位置来源在地图上进行可视化显示 .33 第四节 本章小结 .34 第六章 全文总结35 第一节 论文工作总结 .35 第二节 本文下步研究工作展望.35 致 谢37 参考文献38 附 录39 一、英文原文 39 二、英文翻译 49 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 1 - 第一章第一章 绪论绪论 第一节第一节 计算机取证技术的介绍计算机取证技术的介绍 在这个信息高速发展社会，计算机给人们带来方便的同时，同时给一些 犯罪分子提供了更多犯罪的机会和空间。计算机违法犯罪包含三个方面的意 义，即对计算机信息的侵害、利用计算机作为违法犯罪的工具和违法犯罪过 程中涉及计算机。作为取证侦查人员，在可疑计算机中获取与案件相关的蛛 丝马迹是侦破案件的重要环节。因此，在科技普及的今天，取证人员在取证 过程中运用计算机取证技术的重要意义。 在计算机取证中运用到多方面的知识，在我国现在许多工作都是通过人 手动工来实现，这样的明显降低了取证速度，同时取证结果也不一定可靠， 因此，很多人致力于运用计算机取证技术研究计算机取证相关方面的软件， 这样的话取代人工实现的相关工作，进而提高工作效率。 计算机取证技术按不同的根据分类有很多种。在以证据线索的所存在的 介质来进行分类时，计算机取证技术可以分为基于单机的和基于网络的取证 1。而本文着力于研究在网络上的进行计算机取证时所用到的一些技术，也 就是说要进行联网，从网上获取犯罪分子留下的痕迹从而得到相关方面的线 索，进而进行取证，这方面的技术有很多，比如说对 ip 地址的提取技术 2、 对电子邮件中的相关证据进行获取的技术等等。 本文主要着力于对电子邮件的 ip 地址的获取以及进行追踪，即从电子邮 件中获取证据。ip 地址是 internet 协议地址，在一个 internet 包中都带有 ip 地 址，每个 isp 必须向有关组织申请一组 ip 地址，再动态分配给用户。在电子 邮件中获取一些相关方面的证据时要知道存在于邮件协议中一些信息的具体 存在位置。基于网页的 http 协议将信息都是存到服务器上面的，但是我们 可以自己下载到本地计算机上来进行识别与鉴定。因此取证人员必须学会解 读邮件的头文件，查看详细的头信息，从而进行识别鉴定。在对 ip 地址进行 追踪时调查人员通过相关的追踪技术进行追溯，查找出嫌疑人的具体位置。 第二节第二节 计算机取证可视化分析技术的研究背景计算机取证可视化分析技术的研究背景 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 2 - 随着社会政治、经济环境的波动起伏，社会群体的和谐发展已经变得至 关重要，因此， 国家中长期科学和技术发展规划纲要3中已经在科技发展 中强调了公共安全的重要性。 在这个信息化的时代，人与社会的联系、人与人的关系变得更为复杂。 作为犯罪的执行者，他们拥有很高的智商，他们通常在犯罪行为发生前进行 一系列的预谋活动，不再是传统的聚在一起探讨作案方式，而是通过像电子 邮件，手机等高科技工具进行谋划，而且他们所使用的通信媒介不再是唯一 的，这样使侦查人员必须通过数据分析和调查软件对有效的数据进行关联分 析。 计算机、手机中涉及到的电子数据作为一种新的电子证据电子证据4。 这些电子证据中蕴含的嫌疑人相关信息、人际关系也成为电子取证的分析关 键。而且， 2012 年所提出的新刑事诉讼法和新民事诉讼法中正式认 可“电子数据” ，保证了电子证据在法庭上的合法性，因此研究电子数据取证 具有重要的意义。电子取证已不能仅局限于获取“点”，而亟需扩展至对“面”、 对“网”的分析。现有的取证分析软件大都着力于证据挖掘技术，而将获得的 大量数据简陋地以列表方式呈现，取证员在获得证据数据后的大部分时间都 消耗在对数据的辨识和关系的挖掘之上。如何在海量的数据中抽丝剥茧发现 关系，如何在冗长繁复的证据结果中找到关键，如何在错综复杂的关系网中 寻找突破口，成为电子取证技术人员面临的难题，一直以来耗费了大量的人 力、物力，甚至延误了破案的时机。 进行可视化分析，以丰富的布局方式和分析工具直观地展现证据间的关 系，敏捷地寻找到案件的突破口，是直观、根本地解决这一难题的有效手段， 是电子取证平台提高效率的关键。可视化分析意味着广泛研究多类型证据源 中蕴含的证据内容，广泛综合案件相关有效数据，深入研究先进的分析工具， 深入剖析证据中的逻辑关系和社会关系，人性化地展现取证结果，敏捷地提 高取证分析效率。 第三节第三节 计算机取证可视化分析技术的研究现状计算机取证可视化分析技术的研究现状 在像美国这样信息高速发展的一些国家，计算机取证技术的发展已经发 展了差不多三十年，他们拥有雄厚的技术，因此取证软件的研究较为成熟。 在国外，计算机取证的可视化分析技术正处在兴盛阶段。随着网络犯罪的上 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 3 - 升，以及计算机取证技术在成功取证案件中的使用，电子取证技术在我国也 逐步得到重视，相关方面的研究也已逐渐得到应用。但计算机取证的可视化 分析5作为计算机取证的一个至关重要的研究领域，在国内，这方面的研究 还是比较欠缺。 一、国外研究现状一、国外研究现状 在国外，在计算机网络高速发展的情况下，以计算机网络作为媒介进行 犯罪已经成为犯罪分子实施犯罪的重要渠道，造成的危害也变得愈来愈严重。 因此打击计算机网络犯罪已成为各国政府值得重视的一部分。1984 年，美国 的 fbi 和其它相关的法律部门设立了专门进行计算机取证的实验室，从而为 打击计算机网络相关的犯罪提供了有力的帮助。之后，许多国家也建立了专 门的计算机取证部门，一些取证产品也逐渐产生并得到广泛地应用6,7。常用 的几款取证软件为：encase、ftk、x-way 和 i2 analysts notebook 等，尤 其是 i2 analysts notebook8 数据分析软件，具有非常强大的图形展示功能， 是计算机取证可视化分析技术在计算机取证领域成功应用的典范。 i2 analysts notebook 是一种对各种数据信息进行可视化展现与分析的软 件，它能够将取证人员所收集到的海量信息进行关联展现其关系。它帮助取 证人员把所获取的不同来源的证据信息进行整理、分析，以一种可视化的方 式对数据进行关联，从而发现数据中所存在关键证据，寻找突破口。ibm i2 analysts notebook 的产生对计算机取证的可视化分析做出了很多贡献，同时 为案件取证人员也带来了许多方便，在打击网络犯罪分子做出了很大的贡献。 二、国内研究现状二、国内研究现状 我国计算机取证的可视化分析技术方面的研究起步于 90 年代初。近年来， 可视化技术已扩展到各个领域，比如像科学研究、医学、经济等方面。我国 在这些领域应用目前都已取得了较为乐观的发展。但与国外的先进水平比起 来整体上还是存在一定的差距，特别是在商业软件方面尤为欠缺。因此，致 力于开发可视化取证的软件，并使之得到广泛应用已经成为首要任务。 自从 2000 年计算机取证技术概念从国外引入以后，国内的计算机取证技 术得到了较好的发展。经过十几年的努力与追踪，如今计算机取证硬件方面 的产品已经差不多跟上国外的步伐，但是在软件方面，毕竟技术相对国外还 是比较落后，还是存在着一定的差距，特别是国内对取证结果进行可视化分 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 4 - 析的产品还是很欠缺。在证据可视化关系分析领域，国内目前还没有学者运 用相关布局算法对其进行研究。正是在这样的情况下，运用计算机取证的可 视化分析技术研究出功能比较全面的相关取证软件已经显得十分必要。 第四节第四节 论文组织结构论文组织结构 第一章为绪论，首先介绍了计算机取证技术，在此基础上介绍了计算机 取证可视化分析技术的研究背景以及在国内外的研究现状。 第二章主要介绍电子邮件取证，首先对电子邮件取证的背景及意义进行 介绍，然后再从电子邮件协议和邮件头两个方面电子邮件进行介绍，最后介 绍了纯真 ip 数据库的格式。 第三章是对电子邮件取证可视化分析方法的介绍，也就是本文要用到的 方法进行介绍，即用到的 c#解析 xml 文件和百度地图 api 两种方法。 第四章主要是电子邮件取证可视化的设计，首先从系统的需求分析、运 行环境、功能描述三个方面介绍了设计概况，然后通过流程图来说明系统的 总体架构，最后分别对邮件的 ip 地址及其对应地理位置的提取和根据 ip 地 址把邮件之间的关系进行可视化分析两个模块的设计过程进行展现。 第五章是电子邮件取证可视化的实现，首先介绍了系统开发环境，然后 分别对两个模块实现通过代码进行实现，以及每个模块的实现界面进行展现。 第六章是全文总结，首先对论文工作进行总结，然后提出本文的不足以 及所要改进的地方。 第五节第五节 本章小结本章小结 本章首先介绍了计算机取证的一些介绍及在案例中的成功应用，进而提 出了电子证据的重要性。伴随着电子证据被很多国家的认可，相关方面的计 算机取证技术也发展起来了，然后对计算机取证的相关技术进行了介绍。随 着现在一些高智商犯罪分子的通过复杂的通信媒介进行通信，对数据的关联 分析变得十分重要，此时提出了计算机取证的可视化分析技术，然后从其研 究的背景以及国内外的研究现状两个方面进行介绍，从而对计算机取证的可 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 5 - 视化分析技术有了更深入的了解，最后对论文的组织结构进行概括。 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 6 - 第二章第二章 电子邮件取证综述电子邮件取证综述 第一节第一节 电子邮件取证的背景及意义电子邮件取证的背景及意义 我们知道，在今天这个网络信息普及的时代，网络交流已成为人们日常 生活中重要的一部分，同时通过电子邮件进行交流也当属其中。与其他网络 沟通的工具相比，电子邮件具有方便，快捷，安全保密，功能强大等优点， 使得很多人选择通过电子邮件进行通信。 毫无疑问，电子邮件给很多人带来了很多好处，但是同时给一些违法犯 罪分子提供了机会和空间。犯罪分子经常利用电子邮件对犯罪提前进行谋划 组织，比如在震惊全国的马家爵杀人案中，刑侦人员在对马家爵使用的电脑 （其硬盘已被马家爵多次格式化）进行技术处理后发现，他在出逃前三天搜 索了大量关于海南省的信息，从而判断他极有可能逃往海南，这为最后在三 亚市将其抓获归案起到了巨大的作用。相反，忽视计算机的侦查与取证，就 很可能错失摆在面前的线索，甚至“破坏现场” ，使证据消失，给侦破案件带 来困难。还有很多通过电子邮件来进行犯罪的案件，犯罪分子在利用电子邮 件进行通信等活动时留下的蛛丝马迹在整个侦查案件中起着至关重要的作用。 因此，从犯罪份子留下的证据中分析提取出有用的信息，为进一步侦查案件 提供有力的支持，从而在法庭上提供有效的电子证据，是取证人员不能忽略 的一部分。 目前，对电子邮件的收发操作的形式主要有两种：一种是通过 outlook 之类的邮件客户端软件进行收发电子邮件，另外一种直接通过网页进行操作， 以 web 方式9直接登录邮箱，从而进行相关的操作。本文主要是对基于 web 方式的电子邮件的研究，首先登录邮箱，然后把里面的收发邮件下载到本地， 进而进行研究。本章以电子邮件取证为视角去讲述和实现一种计算机取证的 可视化分析技术。 第二节第二节 电子邮件介绍电子邮件介绍 一、一、电子邮件协议介绍电子邮件协议介绍 目前常见的电子邮件协议有 smtp、imap4、pop3 这三种协议10，他们 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 7 - 是属于 tcp/ip 协议簇，下面对它们分别介绍。 1、smtp 协议协议 smtp 的英文全称是“simple mail transfer protocol” ，也就是简单邮件传 输协议。它是一组当邮件从源地址传送到目的地址时在传输途中对邮件进行 规定，也就是说在它规范了中转方式。smtp 的主要作用就是帮助从源地址 发送过来的邮件找到其对应的下一个目的地址。smtp 服务器必须在遵循 smtp 协议的基础上来发送邮件，在进行 smtp 认证时必须在知道用户名和 密码时才能够登录 smtp 服务器，这样的话就阻碍了那些传播垃圾邮件的不 法分子，添加认证功能使得用户避免受到干扰。 因此，smtp 是核心，它的工作用是电子邮件从客户端发送到发送方的 邮件服务器，以及从发送方的邮件服务器发送到接收方的邮件服务器，电子 邮件从发件人的发送端到收件人的接收端是在中间会有像中继器等设备，这 时域名服务系统(dns)可以识别出邮件所要传输的下一跳 ip 地址。 smtp 当 前是属于的 email 传输的标准。smtp 协议起初是基于纯 ascii 文本的，后 来逐渐开发了用来编码二进制文件的标准，如 mime。 smtp 服务器基于域名服务 dns 计划收件人的域名来路由电子邮件。 smtp 服务器基于 dns 中的 mx 记录来路由电子邮件，mx 记录注册了域名 和相关的 smtp 中继主机，属于该域的电子邮件都应向该主机发送。 2、pop 协议协议 pop 的英文全称是“post office protocol” ，也可以叫做邮局协议，它的主 要功能是用来接受电子邮件的，现在常见到的是它的第三个版本，因此它可 简称为 pop3。 pop 协议的所实现的功能是从邮件服务器中查找出电子邮件。我们常常 希望存储在邮件服务器上的邮件能够在本地进行存储，这时 pop3 协议允许 这一操作，进而客户端可保存或删除在本子主机上的邮件。当用户对邮件进 行预览时，pop 要求所有的邮件信息不在服务器上保留而是将其下载到本地 计算机上。 pop 采用 client/server 的工作模式，client 也就是客户端，比如像常用的 电脑，server 端则是由网管人员进行管理的部分，它是唯一的离线协议。 3、imap 协议协议 imap 的英文全称是“internet mail access protocol” ，即中文全称是互联 网信息访问协议，它也能下载邮件，从邮件服务器删除或保存邮件，以及检 测是否有新邮件，是一种优于 pop 的新协议。 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 8 - imap 克服了 pop 的一些缺点，它不像 pop 那样只能下载全部邮件来读 取部分内容，它能够决定客户机请求邮件服务器提交所收到邮件的方式，请 求下载自己所需要的邮件，比如客户机可预先阅读标题等信息进而来决定是 否需要下载，同时在客户端所发生的操作就会同步到服务器上。 二、电子邮件的邮件头分析二、电子邮件的邮件头分析 在这个网络交互的时代，电子邮件已经成为最重要的、最为广泛的网络 应用之一。刚开始电子邮件主要是按照 rfc 822 标准来执行的，但是自从 mime 即就是互联网扩展协议11产生之后，在前面的基础上对规范标准进行 了扩展。不像以前那样电子邮件传输的只能是 ascii 文本文件，在 mime 的 支持下，动画、声音，图像等多媒体文件可通过电子邮件传送，使得电子邮 件的作用越来越强大。到目前为止，互联网上的电子邮件都是遵循 mime 技 术规范的。 一部完整的电子邮件包括两部分，即邮件头和邮件体。按照 rfc 822 所 规定的邮件的标准格式规定，电子邮件完全由一行一行的文本组成，每行以 回车符和换行符结束，在邮件头中不能允许有空行，空行作为邮件体和邮件 头的区分。 邮件头部中包含对其进行解析时所用到的各种参数，如时间、发件人、 收件人、主题、ip 地址来源、mime 版本等信息。也包括了邮件在传输过程 中所产生的相关信息，比如在投递过程中的邮件服务器的一些信息。主体主 要包含正文、正文格式、以及附件信息。电子邮件头中的每行信息可以称为 一个域，域名的格式由“：”加信息内容组成，它所占的行数不进行限制。 域的首行的左边不允许有空白字符，但是在续行时必须以空白字符开始，而 这个空白字符不算在信息中。电子邮件的邮件头中所常见的标准域名及含义 如表 1-1 所示： 表 1-1 电子邮件头常见的标准域名及含义 域名含义 from发件人地址 to收件人地址 mime-versionmime 版本 subject邮件主题 content-transfer-encoding内容的传输编码方式 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 9 - date日期和时间 message-id消息 id content-type邮件内容的类型 对一些非标准自定义域名都以 x-来开头，比如像本文研究的 qq 邮件中 的 x-originating-ip、x-mailer 等等。email 电子邮件的邮件头非标准域名及其 含义如表 1-2 所示： 表 1-2 email 邮件的邮件头中非标准域名及含义 域名含义 x-originating-ip邮件发送者原始的 ip 地址 x-priority邮件的优先级 x-mailer发信客户端版本 第三节第三节 纯真纯真 ipip 数据库的基本介绍数据库的基本介绍 在网上有很多 ip 数据库，但是以纯真版的 ip 数据库最受欢迎，在纯真 ip 数据库中的 ip 记录似乎达到 30000 条，收集了包括中国电信、中国移动、 中国联通、长城宽带、聚友宽带等 isp 的最新准确 ip 地址数据。对于有些 ip 地址甚至能精确到楼层，它不仅记录的 ip 地址多，而且便捷又快速，不需 要联网便可知 ip 地址的具体来源。一个 qqwry.dat 文件里面包含了所有记录， 要想进行查询只需在程序中调用它。 qqwry.dat12文件从结构上来说可分为三个区域：文件头、记录区、索 引区。在查找 ip 地址时，因为 qqwry.dat 中采用了 little-endian 字节符，因 此首先查找索引区，即就是首先查找索引区的纪录偏移，然后搜索记录区， 从记录区读取信息。在记录区中直接搜索是不科学的，因为记录区的长度不 是确定的，而且记录数较多，直接遍历会降低速度，为了提高效率，一般采 用二分查找法查找，其速度比遍历高很多倍。 qqwry.dat 的文件结构如图 1.1： 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 10 - 文件头 记录区 索引区 文件头大小8字节 记录区不定长 索引区大小由文件头决定 图 1.1 qqwry.dat 的文件结构 一、一、 纯真纯真 ipip 数据库文件头的概述数据库文件头的概述 纯真 ip 数据库即就是 qqwry.dat 的文件头具有非常简单的结构，他只 具有 8 个字节，前面的四个字节表示的是第一个索引的绝对偏移，而后四个 字节表示的是最后一个索引在整个文件头中的绝对偏移。 二、二、 纯真纯真 ipip 数据库记录区的分析数据库记录区的分析 在记录区中的每个 ip 记录的组成是国家名加地区名。因此，对于一条最 简单的记录它具有的格式应该是:ip 地址详细地址。对于在详细地址重复的 情况下把每条记录进行完整的名称拷贝是很不科学的，这时候我们可采用重 定向方法，这样可节省空间资源。在得到详细地址时有两种方法：一是直接 用字符串来标识国家名，另外一种就是用 4 字节来表示的结构，首字节标识 进行重定向的模式，第二、三、四字节标识国家名称或地址名称的实际偏移 位置。 一条 ip 记录的简单形式格式为：ip 地址+国家名+地区名，具体格式 如表 1-3 所示： 表 1-3 一条 ip 记录的简单形式格式 ip 地址（4 字节表示） 国家名（字符串，以 0 结尾） 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 11 - 地区名（字符串，以 0 结尾） 对于重定向模式，如果 ip 地址后面的国家是重定向的，那么地区可分为 有和没有两种情况，下面通过两种模式分别对其进行了解。 第一种模式就是国家是重定向的，地区记录是没有的，它的记录和国家 记录是一起的，在 ip 地址的后面是国家记录的四个字节，第一个字节用来标 识重定向模式，标识字节为 0x01，后面三个字节构成了一个指向国家名的指 针，地址名紧跟其后。具体的形式如图 1.2 所示： ip地址（4字节） 04 重定向模式标识：0x01 45 绝对偏移：0xxxxxxx 58 国家名称（字符串，0结尾） 地区名称（字符串，0结尾） 图 1.2 重定向模式一 第二种模式和第一种模式唯一的区别是地区名没有紧跟着国家名一起， 在 ip 地址之后的 4 个字节，首字节同样为重定向模式标识，标识字节为 0x01，后面三个构成指向国家名的指针，区别在于国家记录后面还有地区记 录，具体形式如图 1.3 所示： 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 12 - ip地址（4字节） 04 重定向模式标识：0x02 45 绝对偏移：0xxxxxxx 58 国家名称（字符串，以0结尾） 地区名称（字符串，以0结尾） 图 1.3 重定向模式二 上面两个重定向模型是比较简单的模型，有时候会遇到比较复杂的重定 向混合模型，当国家记录为第一种模式时，第一次重定向仍然为第一种模式 的重定向，第二次重定向则发生了改变，变为第二种重定向模式。具体形式 如图 1.4 所示： ip地址（4字节） 04 重定向模式标识：0x01 45 绝对偏移：0xxxxxxx 58 重定向模式：0x02 绝对偏移：0xxxxxxx 地区名称（字符串，以0结尾） 国家名称（字符串，以0结尾） 图 1.4 重定向模式的混合模式一 还有另外一种最复杂的混合模式情况，和上面那种较复杂的混合模式情 况相比，主要的区别为地区记录也进行了重定向，具体形式如图 1.5 所示: 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 13 - ip地址（4字节） 04 重定向模式标识：0x01 45 绝对偏移：0xxxxxxx 58 重定向模式：0x02 绝对偏移：0xxxxxxx 重定向:0x01/0x02 国家名称（字符串，以0结尾） 绝对偏移：0xxxxxxx地区名称（字符串，以0结尾） 图 1.5 重定向模式的混合模式二 综合以上情况，一条 ip 记录，即ip国家记录地区记录，国家记录的 表示由三种方式，简单的为字符串，第一种重定向模式和第二种重定向模式； 地区记录的表示有两种形式，字符串和重定向模式。值得注意的是第一种模 式的国家记录的后面不能跟地区记录。 三、三、 纯真纯真 ipip 数据库的索引区的介绍数据库的索引区的介绍 在开始的头文件的介绍中，我们已经说明头文件包括两个指针，他们指 向的是最前面一条和最后面一条索引的绝对偏移。也就是说从头文件开始就 可以定位到索引区。而每个索引区是有 7 字节长度的，前四个当然为开始的 ip 地址，后三个紧接着为 ip 记录。 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 14 - 第一条索引偏移：0xxxxxxx 04 最后一条索引偏移：0xxxxxxx 48 起始ip，4个字节 ip纪录偏移，3个字节 中间的很多索引 起始ip，4个字节 ip纪录偏移，3个字节 第一条ip记录 中间的很多ip记录 最后一条ip记录 文件头 索引区 记录区 图 1.6 文件详细结构 第四节第四节 本章小结本章小结 本章首先对电子邮件取证的可视化分析的背景及意义进行了介绍，可看 出在侦查案件过程中电子进行取证的重要性。要对电子邮件进行取证，就必 须对电子邮件进行了解，接下来便从电子邮件协议、电子邮件头格式进行了 介绍，为提取 ip 地址做准备。因为本文研究的是追溯 ip 地理位置，而所采 取的方法是从纯真 ip 数据库中提取出物理位置，因此便对纯真 ip 数据库的 格式进行了了解，为代码实现提取作前提准备。 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 15 - 第三章第三章 电子邮件取证可视化分析方法电子邮件取证可视化分析方法 第一节第一节 电子邮件取证可视化分析介绍电子邮件取证可视化分析介绍 在计算机机取证过程中，从计算机中获取有价值的信息非常重要，同时 把证据信息以特定的方式进行可视化展示同时也显得非常重要。前面我们从 电子邮件中获取 ip 地址的过程以及在纯真 ip 数据库中提取 ip 地址所对应的 物理地址都是获取证据的过程，也就是获取证据及其与相关联的证据信息的 获取。毫无疑问，获取证据的过程至关重要，但是对证据进行分析的过程不 容忽略。就拿电子邮件来说，我们虽然获取到了邮件发送者原始的 ip 地址以 及其所对应的大概的物理位置，确定 ip 地址的大概来源但是不能知道其所在 的详细的地理位置，这对侦查案件有时候会造成一定的困扰。要想把获得的 证据信息进行精准地分析，就得根据 ip 地址把发送者的物理位置具体定位到 具体某一点，这样才具有说服力以及准确性。因此，根据 ip 定位物理位置在 取证过程中已显得十分重要。 在虚拟的网络社会中通过电子邮件的进行沟通时，我们只能获取对方的 ip 来进行精确定位到其位置。在互联上，ip 也只是一个简单的数字标识符号， 通过 ip 定位地理位置就显得比较困难。尤其是对 ip 地址进行追踪时，由于 网络中 ip 地址信息中只包含路由信息，并不包含它所对应的地理位置，而且 有些服务器比如像代理服务器对 ip 地址进行了隐藏13，因此，追踪起来特别 困难。虽然目前流行很多 ip 数据库可以提取到它所对应的地理位置，但是查 询结果不精确。从既不用联网又获得精确地地理位置两个方面考虑，本文利 用纯真数据库获取地理位置并通过 c#解析 xml 文件，展现 ip 地址之间的关 系，然后利用百度地图的 api 对准确定位到的位置在百度地图上进行可视化 展示。 第二节第二节 c#解析解析 xml 文件文件 xml 也就是所谓的可扩展标记语言，它使得用户可根据自己的需求来定 义自己的标记语言。随着 xml 的诞生，它的应用越来越广泛，同时操作 xml 文件以及从中读取想要的信息成为 xml 成为研究的主要内容。 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 16 - xml 文档其实是文本文件，如果要对 xml 文档中获取想要的数据及其 相关的数据，就首先得解析 xml 文档，也就是将 xml 文档通过树形结构来 表示数据。常见的解析方式主要有两种：一种是 dom 解析，一种是 sax 解 析。dom 是 w3c 组织通过采用 idl 来进行定义 dom 中的接口。dom 主 要针对的是节点，它将 xml 文档的每一个元素都当作是节点，整个文档存储 时采用树形结构进行存储，整棵树就可看作是一个节点，而对于每个节点又 可看作是一棵树，这样的话可以访问树中节点来读取 xml 文档中的信息。 sax 是一种通过事件来驱动的模型，进行解析 xml 文档时会触发一系列事 件，并且激活与之对应的事件处理程序，但是这些处理程序必须我们得自己 编写，这样会造成很大的麻烦。 由于.net framework 支持 xml dom 模式，由于本文采用的是 c#编程， 因此本文采用这种模式，c#解析 xml 文件时常见的方法有：生成 xml 文件， 对 xml 文件中的节点信息进行访问，修改某些节点信息，追加相关的节点信 息，删除某些特定的节点信息。 第三节第三节 百度地图百度地图 apiapi 所谓的百度地图 api15即就是免费提供给开发者的一套关于百度地图的 应用接口，也就是第三方网站可通过调用它来实现对百度地图网站数据库的 信息。它所实现的主要功能是实现基本地图展示，搜索想要的地理位置，根 据某一信息进行定位，以及路线规划等功能。它包括 javascript api、web 服 务 api、定位 sdk、android sdk、os sdk、lbs、车联网 api 等多种服务 和开发工具。不论是在 windows、mac、还是 linux 等多种操作系统可利用其 进行开发，因此其应用十分广泛。 百度地图 api 提供了网络服务所提供的全部功能， 比如说显示地图、 在地图上标注地理位置、搜索位置、地图操作、对地图进行编辑、在地图上 的查询等等。像我们大多数用户可能对百度地图的内部处理逻辑不是很了解， 而百度 api 在实现将应用开发平台绑定到信息数据库时，百度地图 api 对复 杂的底层逻辑进行隐藏和封装，这样的话带来的好处就是用户不必了解它的 底层所具体用到的那些技术，可直接建立基础地理地图，进而可以实现像查 询之类的网络地图服务功能，从而开发按自己需求的功能齐全的应用程序。 可以利用浏览器、数据服务器和应用服务器这三层 b/s 结构通过百度地 图 api 技术来进行搭建网络地图服务平台。其中浏览器主要是把向服务器端 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 17 - 发送访问和查询请求16，比较常见的功能是实现地图的加载、地图的查看以 及在地图上的查询操作。数据服务器主要是在一个数据库存储各类空间数据 及其属性详细信息，把空间坐标和地图服务器进行了连接，并对查询指令作 相应的处理。应用服务器主要是处理浏览器端发送过来的指令，以 php、jsp 等来拓展百度地图 api，实现对数据库端的访问。对于浏览器，无论是 ie 还 是 firefox 甚至其他的百度地图 api 都能兼容，因此在进行开发时带来很多便 利。 百度地图 api 的技术很有特色，又有很好的平台优势，在网站中构建丰 富，而且交互性很强。它提供了大量的空间数据及地理信息，而且内存方面 开销小，地图应用进行了控件化，用户可以随便自己定义。百度地图 api 常 用的技术及控件如表 3-1 和表 3-2 所示。 表 3-1 百度地图 api 常用的技术 技术代码 创建地图var map = new bmap.map(“divid“) 创建坐标点var point = new bmap.point(“经度“,“纬度“) 设置视图中心 点 map.centerandzoom(point,size) 激活滚轮调整 大小功能 map.enablescrollwheelzoom() 添加控件map.addcontrol(new bmap.xxx() 添加覆盖物map.addoverlay() 表 3-2 百度地图 api 的主要控件介绍 控件解释 navigationcontrol对地图进行缩放的控件，默认位置在左上角 overviewmapcontrol地图的缩略图的控件，默认位置在右下方 scalecontrol地图显示比例的控件，默认位置在左下方 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 18 - maptypecontrol地图展示类型控件，默认位置在右上方 第四节第四节 本章小结本章小结 本章主要是在前一章的基础上对提取的电子邮件中的 ip 地址进行地理位 置的定位的前提准备。首先是从电子邮件的 ip 地址进行定位的意义作了介绍。 由于本文采用的方法是通过 c#解析 xml 文件，因此第二部分对解析的方法 以及使用它的好处。最后是要把 ip 解析到的位置在百度地图17上进行显示， 因此在第三章对百度地图 api 技术进行了了解，以及对它的结构路进行了介 绍。 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 19 - 第四章第四章 电子邮件取证可视化设计电子邮件取证可视化设计 第一节第一节 系统的设计概况系统的设计概况 在通过前面理论知识理解的基础上，这章主要从系统的设计概况，也就 是需求分析，运行环境，系统所实现的目标三个方面进行介绍，然后介绍了 系统的总体架构，最后分别介绍系统所实现的两个模块，即电子邮件的 ip 地 址提取模块和对 ip 地址之间关系的展现以及每个 ip 地址在百度地图的可视 化显示模块。 一、系统的需求分析一、系统的需求分析 本系统的是设计主要分两部分进行，第一部分主要实现的是对电子邮件 的 ip 地址进行及所对应的来源进行提取。在这部分中，首先实现的针对基于 web 的电子邮件通过浏览器下载下来，并保存在本地主机上，放在特定的目 录，然后对放在特定目录的 eml 文件18中的 ip 地址进行提取并显示保存，再 根据 ip 地址从纯真 ip 数据库中提取出其来源。第二部分是通过解析 xml 文 件，显示 ip 地址之间的关系，并对每个 ip 的详细物理位置在百度地图上可 视化显示。这部分首先是利用 c#解析 xml 文件，将 ip 地址的关系及其详细 信息通过树状结果展现，然后利用百度地图 api 技术在地图上把每个 ip 地址 对应的物理地址进行可视化显示。 二、系统的运行环境二、系统的运行环境 操作系统：microsoft windows 7 支持的环境：visual studio 2010，.net framework 4 三、系统的功能描述三、系统的功能描述 1、对电子邮件的、对电子邮件的 ip 地址以及来源的提取地址以及来源的提取 这部分的功能主要是把特定路径的 eml 格式文件中的 ip 地址提取出来并 显示在文本框中，并且可把提取出来的所有的 ip 保存在 txt 文本中，以便于 查看。然后可以根据 ip 地址从纯真 ip 数据库中提取出其来源，可把自己想 重庆邮电大学本科毕业设计（论文）重庆邮电大学本科毕业设计（论文） - 20 - 要的 ip 地址及其所对应的来源整理记录到一起，即放在文本中，然后可对文 本进行查看，显示文本全部信息，如果数据太多，要想查看某一个 ip 及其来 源的信息，只要选中一个 ip 地址即可显示其来源。主界面如图 4.1 所示： 图 4.1 电子邮件的 ip 地址以及来源的提取 2、根据、根据 ip 对发件人之间关系及其地理位置的可视化显示对发件人之间关系及其地理位置的可视化显示 该模块主要是根据前面提取到的 ip 地址之间的关系及其信息进行展示并 在百度地图上进行可视化显示每个 ip 地址对应的物理地址。首先通过 c#解 析 xml 文件，对 ip 地址间的关联信息进行展现，然后利用百度地图 api 技 术将 ip 地址对应的地理位置在百度地