毕业设计（论文）计算机取证可视化分析技术研究与应用.doc

《毕业设计（论文）计算机取证可视化分析技术研究与应用.doc》由会员分享，可在线阅读，更多相关《毕业设计（论文）计算机取证可视化分析技术研究与应用.doc（63页珍藏版）》请在三一办公上搜索。

1、 编 号： 审定成绩： 重庆邮电大学毕业设计（论文）设计（论文）题目：计算机取证可视化分析技术研究与应用学 院 名 称 ：计算机科学与技术学 生 姓 名 ：专 业 ：信息安全班 级 ：0441001学 号 ：2010212122指 导 教 师 ：答辩组 负责人 ：填表时间： 2014 年 6 月重庆邮电大学教务处制摘 要随着信息技术的广泛应用，计算机、手机等电子设备的大量普及，计算机、手机中涉及的电子数据成为一种新的证据形式电子证据。这些电子证据中蕴含的嫌疑人相关信息、人际关系也成为电子取证的分析关键。尤其是犯罪分子在一起进行预谋活动时通过电子邮件等高级的通信媒介进行联络，这样使取证人员必须通

2、过数据分析和调查软件对有效的数据进行关联分析并可视化显示。可见，计算机取证的可视化分析在计算机取证过程中有重要的意义。本文主要研究的是基于电子邮件取证的可视化分析，主要分为两个模块来完成。第一个模块为：首先从保存在特定路径的eml文件中提取IP地址并进行显示保存，然后从纯真数据库中提取出每个IP地址对应的物理位置并进行显示。第二个模块为：首先通过C#解析XML文件的方式，把提取到的IP地址与取证对象之间的关系通过树状结构进行显示；然后再利用百度地图API技术把IP地址所对应的物理位置在地图上进行可视化显示。本系统实现了基本的功能，当取证数据较少时为较好的使用系统，目前在测试时未遇到问题，如果对

3、其加以改进和完善，那么将在计算机取证的可视化分析方面会有比较好的贡献。【关键词】计算机取证 可视化 IP地址 纯真数据库 百度地图API技术 ABSTRACTWith the large popularity of wide application of information technology, computers, cell phones and other electronic devices are more and more popular. electronic data involved in mobile phone and computers has become a n

4、ew form of evidence - electronic evidence. These electronic evidences contain information about suspects, relationships have become critical analysis of electronic evidence. Especially when liaising together for premeditated criminal activities through e-mail and other advanced communication media,

5、such evidence must make through data analysis and survey software to effectively analyze and correlate data visualization. Visible, visual analysis of computer forensics has important significance in the computer forensics process.In this paper, the study is based on visual analysis of e-mail eviden

6、ce, mainly divided into two modules to complete. The first module is: first extracted from the IP address stored in the specified file path eml,stored and displayed, and then extracted from the database of each of the pure IP address corresponding to the physical location and displayed. The second m

7、odule is: first by C # XML file parsing way, the relationship between the extracted IP address and forensic between objects displayed by the tree; then use Baidu Maps API technology to the IP address corresponding to the physical location visualization displayed on the map. The system is relatively

8、simple to achieve functional, less forensic data when using the system for the better, is currently in the test did not encounter problems if its improvement and perfection, it will be in the visual analysis of computer forensics is better contribution.【Key words】Computer Forensics Visualization IP

9、addresses Pure database Baidu Maps API Technology目 录第一章 绪论1第一节 计算机取证技术的介绍1第二节 计算机取证可视化分析技术的研究背景1第三节 计算机取证可视化分析技术的研究现状2一、国外研究现状3二、国内研究现状3第四节 论文组织结构4第五节 本章小结4第二章 电子邮件取证综述5第一节 电子邮件取证的背景及意义5第二节 电子邮件介绍5一、电子邮件协议介绍5二、电子邮件的邮件头分析7第三节 纯真IP数据库的基本介绍8一、纯真IP数据库文件头的概述9二、纯真IP数据库记录区的分析9三、纯真IP数据库的索引区的介绍12第四节 本章小结12第三

10、章 电子邮件取证可视化分析方法13第一节 电子邮件取证可视化分析介绍13第二节 C#解析XML文件13第三节 百度地图API14第四节 本章小结16第四章 电子邮件取证可视化设计17第一节系统的设计概况17一、系统的需求分析17二、系统的运行环境17三、系统的功能描述17第二节系统的总体架构19一、邮件的IP地址及其对应的地理位置的提取模块21二、根据IP地址把邮件之间的关系进行可视化分析模块21第三节 邮件的IP地址及其地理位置的提取模块21第四节 根据IP地址将邮件关系进行可视化分析22第五节 本章小结23第五章 电子邮件取证可视化的实现24第一节 系统开发环境24第二节 电子邮件IP及其

11、地理位置的提取24一、电子邮件中IP地址的提取24二、IP地址的地理位置来源提取28第三节 依据IP对邮件之间关系的可视化显示31一、依据IP对邮件之间关系的显示31二、将IP对应的地理位置来源在地图上进行可视化显示33第四节 本章小结34第六章 全文总结35第一节 论文工作总结35第二节 本文下步研究工作展望35致 谢37参考文献38附 录39一、英文原文39二、英文翻译49第一章 绪论第一节 计算机取证技术的介绍在这个信息高速发展社会，计算机给人们带来方便的同时，同时给一些犯罪分子提供了更多犯罪的机会和空间。计算机违法犯罪包含三个方面的意义，即对计算机信息的侵害、利用计算机作为违法犯罪的工

12、具和违法犯罪过程中涉及计算机。作为取证侦查人员，在可疑计算机中获取与案件相关的蛛丝马迹是侦破案件的重要环节。因此，在科技普及的今天，取证人员在取证过程中运用计算机取证技术的重要意义。在计算机取证中运用到多方面的知识，在我国现在许多工作都是通过人手动工来实现，这样的明显降低了取证速度，同时取证结果也不一定可靠，因此，很多人致力于运用计算机取证技术研究计算机取证相关方面的软件，这样的话取代人工实现的相关工作，进而提高工作效率。计算机取证技术按不同的根据分类有很多种。在以证据线索的所存在的介质来进行分类时，计算机取证技术可以分为基于单机的和基于网络的取证 1。而本文着力于研究在网络上的进行计算机取证

13、时所用到的一些技术，也就是说要进行联网，从网上获取犯罪分子留下的痕迹从而得到相关方面的线索，进而进行取证，这方面的技术有很多，比如说对IP地址的提取技术 2、对电子邮件中的相关证据进行获取的技术等等。本文主要着力于对电子邮件的IP地址的获取以及进行追踪，即从电子邮件中获取证据。IP地址是Internet协议地址，在一个Internet包中都带有IP地址，每个ISP必须向有关组织申请一组IP地址，再动态分配给用户。在电子邮件中获取一些相关方面的证据时要知道存在于邮件协议中一些信息的具体存在位置。基于网页的HTTP协议将信息都是存到服务器上面的，但是我们可以自己下载到本地计算机上来进行识别与鉴定。

14、因此取证人员必须学会解读邮件的头文件，查看详细的头信息，从而进行识别鉴定。在对IP地址进行追踪时调查人员通过相关的追踪技术进行追溯，查找出嫌疑人的具体位置。第二节 计算机取证可视化分析技术的研究背景随着社会政治、经济环境的波动起伏，社会群体的和谐发展已经变得至关重要，因此，国家中长期科学和技术发展规划纲要3中已经在科技发展中强调了公共安全的重要性。在这个信息化的时代，人与社会的联系、人与人的关系变得更为复杂。作为犯罪的执行者，他们拥有很高的智商，他们通常在犯罪行为发生前进行一系列的预谋活动，不再是传统的聚在一起探讨作案方式，而是通过像电子邮件，手机等高科技工具进行谋划，而且他们所使用的通信媒介

15、不再是唯一的，这样使侦查人员必须通过数据分析和调查软件对有效的数据进行关联分析。计算机、手机中涉及到的电子数据作为一种新的电子证据电子证据4。这些电子证据中蕴含的嫌疑人相关信息、人际关系也成为电子取证的分析关键。而且， 2012年所提出的新刑事诉讼法和新民事诉讼法中正式认可“电子数据”，保证了电子证据在法庭上的合法性，因此研究电子数据取证具有重要的意义。电子取证已不能仅局限于获取“点”，而亟需扩展至对“面”、对“网”的分析。现有的取证分析软件大都着力于证据挖掘技术，而将获得的大量数据简陋地以列表方式呈现，取证员在获得证据数据后的大部分时间都消耗在对数据的辨识和关系的挖掘之上。如何在海量的数据中

16、抽丝剥茧发现关系，如何在冗长繁复的证据结果中找到关键，如何在错综复杂的关系网中寻找突破口，成为电子取证技术人员面临的难题，一直以来耗费了大量的人力、物力，甚至延误了破案的时机。进行可视化分析，以丰富的布局方式和分析工具直观地展现证据间的关系，敏捷地寻找到案件的突破口，是直观、根本地解决这一难题的有效手段，是电子取证平台提高效率的关键。可视化分析意味着广泛研究多类型证据源中蕴含的证据内容，广泛综合案件相关有效数据，深入研究先进的分析工具，深入剖析证据中的逻辑关系和社会关系，人性化地展现取证结果，敏捷地提高取证分析效率。第三节 计算机取证可视化分析技术的研究现状在像美国这样信息高速发展的一些国家，

17、计算机取证技术的发展已经发展了差不多三十年，他们拥有雄厚的技术，因此取证软件的研究较为成熟。在国外，计算机取证的可视化分析技术正处在兴盛阶段。随着网络犯罪的上升，以及计算机取证技术在成功取证案件中的使用，电子取证技术在我国也逐步得到重视，相关方面的研究也已逐渐得到应用。但计算机取证的可视化分析5作为计算机取证的一个至关重要的研究领域，在国内，这方面的研究还是比较欠缺。一、国外研究现状在国外，在计算机网络高速发展的情况下，以计算机网络作为媒介进行犯罪已经成为犯罪分子实施犯罪的重要渠道，造成的危害也变得愈来愈严重。因此打击计算机网络犯罪已成为各国政府值得重视的一部分。1984年，美国的 FBI和其

18、它相关的法律部门设立了专门进行计算机取证的实验室，从而为打击计算机网络相关的犯罪提供了有力的帮助。之后，许多国家也建立了专门的计算机取证部门，一些取证产品也逐渐产生并得到广泛地应用6,7。常用的几款取证软件为：Encase、FTK、X-Way 和 i2 Analysts Notebook 等，尤其是 i2 Analysts Notebook8 数据分析软件，具有非常强大的图形展示功能，是计算机取证可视化分析技术在计算机取证领域成功应用的典范。i2 Analysts Notebook是一种对各种数据信息进行可视化展现与分析的软件，它能够将取证人员所收集到的海量信息进行关联展现其关系。它帮助取证人

19、员把所获取的不同来源的证据信息进行整理、分析，以一种可视化的方式对数据进行关联，从而发现数据中所存在关键证据，寻找突破口。IBM i2 Analysts Notebook 的产生对计算机取证的可视化分析做出了很多贡献，同时为案件取证人员也带来了许多方便，在打击网络犯罪分子做出了很大的贡献。二、国内研究现状我国计算机取证的可视化分析技术方面的研究起步于90年代初。近年来，可视化技术已扩展到各个领域，比如像科学研究、医学、经济等方面。我国在这些领域应用目前都已取得了较为乐观的发展。但与国外的先进水平比起来整体上还是存在一定的差距，特别是在商业软件方面尤为欠缺。因此，致力于开发可视化取证的软件，并使

20、之得到广泛应用已经成为首要任务。自从2000年计算机取证技术概念从国外引入以后，国内的计算机取证技术得到了较好的发展。经过十几年的努力与追踪，如今计算机取证硬件方面的产品已经差不多跟上国外的步伐，但是在软件方面，毕竟技术相对国外还是比较落后，还是存在着一定的差距，特别是国内对取证结果进行可视化分析的产品还是很欠缺。在证据可视化关系分析领域，国内目前还没有学者运用相关布局算法对其进行研究。正是在这样的情况下，运用计算机取证的可视化分析技术研究出功能比较全面的相关取证软件已经显得十分必要。第四节 论文组织结构第一章为绪论，首先介绍了计算机取证技术，在此基础上介绍了计算机取证可视化分析技术的研究背景

21、以及在国内外的研究现状。第二章主要介绍电子邮件取证，首先对电子邮件取证的背景及意义进行介绍，然后再从电子邮件协议和邮件头两个方面电子邮件进行介绍，最后介绍了纯真IP数据库的格式。第三章是对电子邮件取证可视化分析方法的介绍，也就是本文要用到的方法进行介绍，即用到的C#解析XML文件和百度地图API两种方法。第四章主要是电子邮件取证可视化的设计，首先从系统的需求分析、运行环境、功能描述三个方面介绍了设计概况，然后通过流程图来说明系统的总体架构，最后分别对邮件的IP地址及其对应地理位置的提取和根据IP地址把邮件之间的关系进行可视化分析两个模块的设计过程进行展现。第五章是电子邮件取证可视化的实现，首先

22、介绍了系统开发环境，然后分别对两个模块实现通过代码进行实现，以及每个模块的实现界面进行展现。第六章是全文总结，首先对论文工作进行总结，然后提出本文的不足以及所要改进的地方。第五节 本章小结本章首先介绍了计算机取证的一些介绍及在案例中的成功应用，进而提出了电子证据的重要性。伴随着电子证据被很多国家的认可，相关方面的计算机取证技术也发展起来了，然后对计算机取证的相关技术进行了介绍。随着现在一些高智商犯罪分子的通过复杂的通信媒介进行通信，对数据的关联分析变得十分重要，此时提出了计算机取证的可视化分析技术，然后从其研究的背景以及国内外的研究现状两个方面进行介绍，从而对计算机取证的可视化分析技术有了更深

23、入的了解，最后对论文的组织结构进行概括。第二章 电子邮件取证综述第一节 电子邮件取证的背景及意义我们知道，在今天这个网络信息普及的时代，网络交流已成为人们日常生活中重要的一部分，同时通过电子邮件进行交流也当属其中。与其他网络沟通的工具相比，电子邮件具有方便，快捷，安全保密，功能强大等优点，使得很多人选择通过电子邮件进行通信。毫无疑问，电子邮件给很多人带来了很多好处，但是同时给一些违法犯罪分子提供了机会和空间。犯罪分子经常利用电子邮件对犯罪提前进行谋划组织，比如在震惊全国的马家爵杀人案中，刑侦人员在对马家爵使用的电脑（其硬盘已被马家爵多次格式化）进行技术处理后发现，他在出逃前三天搜索了大量关于海

24、南省的信息，从而判断他极有可能逃往海南，这为最后在三亚市将其抓获归案起到了巨大的作用。相反，忽视计算机的侦查与取证，就很可能错失摆在面前的线索，甚至“破坏现场”，使证据消失，给侦破案件带来困难。还有很多通过电子邮件来进行犯罪的案件，犯罪分子在利用电子邮件进行通信等活动时留下的蛛丝马迹在整个侦查案件中起着至关重要的作用。因此，从犯罪份子留下的证据中分析提取出有用的信息，为进一步侦查案件提供有力的支持，从而在法庭上提供有效的电子证据，是取证人员不能忽略的一部分。目前，对电子邮件的收发操作的形式主要有两种：一种是通过Outlook之类的邮件客户端软件进行收发电子邮件，另外一种直接通过网页进行操作，以

25、Web方式9直接登录邮箱，从而进行相关的操作。本文主要是对基于Web方式的电子邮件的研究，首先登录邮箱，然后把里面的收发邮件下载到本地，进而进行研究。本章以电子邮件取证为视角去讲述和实现一种计算机取证的可视化分析技术。第二节 电子邮件介绍一、 电子邮件协议介绍目前常见的电子邮件协议有SMTP、IMAP4、POP3这三种协议10，他们是属于TCP/IP协议簇，下面对它们分别介绍。1、SMTP协议SMTP的英文全称是“Simple Mail Transfer Protocol”，也就是简单邮件传输协议。它是一组当邮件从源地址传送到目的地址时在传输途中对邮件进行规定，也就是说在它规范了中转方式。SM

26、TP 的主要作用就是帮助从源地址发送过来的邮件找到其对应的下一个目的地址。SMTP 服务器必须在遵循SMTP协议的基础上来发送邮件，在进行SMTP认证时必须在知道用户名和密码时才能够登录SMTP 服务器，这样的话就阻碍了那些传播垃圾邮件的不法分子，添加认证功能使得用户避免受到干扰。因此，SMTP是核心，它的工作用是电子邮件从客户端发送到发送方的邮件服务器，以及从发送方的邮件服务器发送到接收方的邮件服务器，电子邮件从发件人的发送端到收件人的接收端是在中间会有像中继器等设备，这时域名服务系统(DNS)可以识别出邮件所要传输的下一跳IP地址。 SMTP当前是属于的Email传输的标准。SMTP协议起

27、初是基于纯ASCII文本的，后来逐渐开发了用来编码二进制文件的标准，如MIME。SMTP服务器基于域名服务DNS计划收件人的域名来路由电子邮件。SMTP服务器基于DNS中的MX记录来路由电子邮件，MX记录注册了域名和相关的SMTP中继主机，属于该域的电子邮件都应向该主机发送。2、POP协议POP的英文全称是“Post Office Protocol”，也可以叫做邮局协议，它的主要功能是用来接受电子邮件的，现在常见到的是它的第三个版本，因此它可简称为POP3。POP协议的所实现的功能是从邮件服务器中查找出电子邮件。我们常常希望存储在邮件服务器上的邮件能够在本地进行存储，这时POP3协议允许这一操

28、作，进而客户端可保存或删除在本子主机上的邮件。当用户对邮件进行预览时，POP要求所有的邮件信息不在服务器上保留而是将其下载到本地计算机上。POP采用Client/Server的工作模式，Client也就是客户端，比如像常用的电脑，Server端则是由网管人员进行管理的部分，它是唯一的离线协议。3、IMAP协议IMAP的英文全称是“Internet Mail Access Protocol”，即中文全称是互联网信息访问协议，它也能下载邮件，从邮件服务器删除或保存邮件，以及检测是否有新邮件，是一种优于POP的新协议。IMAP克服了POP的一些缺点，它不像POP那样只能下载全部邮件来读取部分内容，它

29、能够决定客户机请求邮件服务器提交所收到邮件的方式，请求下载自己所需要的邮件，比如客户机可预先阅读标题等信息进而来决定是否需要下载，同时在客户端所发生的操作就会同步到服务器上。 二、电子邮件的邮件头分析在这个网络交互的时代，电子邮件已经成为最重要的、最为广泛的网络应用之一。刚开始电子邮件主要是按照RFC 822标准来执行的，但是自从MIME即就是互联网扩展协议11产生之后，在前面的基础上对规范标准进行了扩展。不像以前那样电子邮件传输的只能是ASCII文本文件，在MIME的支持下，动画、声音，图像等多媒体文件可通过电子邮件传送，使得电子邮件的作用越来越强大。到目前为止，互联网上的电子邮件都是遵循M

30、IME技术规范的。一部完整的电子邮件包括两部分，即邮件头和邮件体。按照RFC 822所规定的邮件的标准格式规定，电子邮件完全由一行一行的文本组成，每行以回车符和换行符结束，在邮件头中不能允许有空行，空行作为邮件体和邮件头的区分。邮件头部中包含对其进行解析时所用到的各种参数，如时间、发件人、收件人、主题、IP地址来源、MIME版本等信息。也包括了邮件在传输过程中所产生的相关信息，比如在投递过程中的邮件服务器的一些信息。主体主要包含正文、正文格式、以及附件信息。电子邮件头中的每行信息可以称为一个域，域名的格式由“：”加信息内容组成，它所占的行数不进行限制。域的首行的左边不允许有空白字符，但是在续行

31、时必须以空白字符开始，而这个空白字符不算在信息中。电子邮件的邮件头中所常见的标准域名及含义如表1-1所示：表1-1电子邮件头常见的标准域名及含义域名含义From发件人地址To收件人地址Mime-VersionMIME版本Subject邮件主题Content-Transfer-Encoding内容的传输编码方式Date日期和时间Message-ID消息IDContent-Type邮件内容的类型对一些非标准自定义域名都以X-来开头，比如像本文研究的QQ邮件中的X-Originating-IP、X-Mailer等等。Email电子邮件的邮件头非标准域名及其含义如表1-2所示：表1-2 Email邮件

32、的邮件头中非标准域名及含义域名含义X-Originating-IP邮件发送者原始的IP地址X-Priority邮件的优先级X-Mailer发信客户端版本第三节 纯真IP数据库的基本介绍在网上有很多IP数据库，但是以纯真版的IP数据库最受欢迎，在纯真IP数据库中的IP记录似乎达到30000条，收集了包括中国电信、中国移动、中国联通、长城宽带、聚友宽带等 ISP 的最新准确 IP 地址数据。对于有些IP地址甚至能精确到楼层，它不仅记录的IP地址多，而且便捷又快速，不需要联网便可知IP地址的具体来源。一个QQWry.dat文件里面包含了所有记录，要想进行查询只需在程序中调用它。QQWry.dat12

33、文件从结构上来说可分为三个区域：文件头、记录区、索引区。在查找IP地址时，因为 QQWry.dat中采用了little-endian字节符，因此首先查找索引区，即就是首先查找索引区的纪录偏移，然后搜索记录区，从记录区读取信息。在记录区中直接搜索是不科学的，因为记录区的长度不是确定的，而且记录数较多，直接遍历会降低速度，为了提高效率，一般采用二分查找法查找，其速度比遍历高很多倍。QQWry.dat的文件结构如图1.1：图1.1 QQWry.dat的文件结构一、 纯真IP数据库文件头的概述 纯真IP数据库即就是QQWry.dat的文件头具有非常简单的结构，他只具有8个字节，前面的四个字节表示的是第

34、一个索引的绝对偏移，而后四个字节表示的是最后一个索引在整个文件头中的绝对偏移。二、 纯真IP数据库记录区的分析在记录区中的每个IP记录的组成是国家名加地区名。因此，对于一条最简单的记录它具有的格式应该是:IP地址详细地址。对于在详细地址重复的情况下把每条记录进行完整的名称拷贝是很不科学的，这时候我们可采用重定向方法，这样可节省空间资源。在得到详细地址时有两种方法：一是直接用字符串来标识国家名，另外一种就是用4字节来表示的结构，首字节标识进行重定向的模式，第二、三、四字节标识国家名称或地址名称的实际偏移位置。 一条IP记录的简单形式格式为：IP地址+国家名+地区名，具体格式如表1-3所示：表1-

35、3 一条IP记录的简单形式格式IP地址（4字节表示）国家名（字符串，以0结尾）地区名（字符串，以0结尾）对于重定向模式，如果IP地址后面的国家是重定向的，那么地区可分为有和没有两种情况，下面通过两种模式分别对其进行了解。第一种模式就是国家是重定向的，地区记录是没有的，它的记录和国家记录是一起的，在IP地址的后面是国家记录的四个字节，第一个字节用来标识重定向模式，标识字节为0x01，后面三个字节构成了一个指向国家名的指针，地址名紧跟其后。具体的形式如图1.2所示：图1.2 重定向模式一第二种模式和第一种模式唯一的区别是地区名没有紧跟着国家名一起，在IP地址之后的4个字节，首字节同样为重定向模式标

36、识，标识字节为0x01，后面三个构成指向国家名的指针，区别在于国家记录后面还有地区记录，具体形式如图1.3所示：图1.3 重定向模式二上面两个重定向模型是比较简单的模型，有时候会遇到比较复杂的重定向混合模型，当国家记录为第一种模式时，第一次重定向仍然为第一种模式的重定向，第二次重定向则发生了改变，变为第二种重定向模式。具体形式如图1.4所示：图1.4 重定向模式的混合模式一还有另外一种最复杂的混合模式情况，和上面那种较复杂的混合模式情况相比，主要的区别为地区记录也进行了重定向，具体形式如图1.5所示:图1.5 重定向模式的混合模式二综合以上情况，一条IP记录，即IP国家记录地区记录，国家记录的

37、表示由三种方式，简单的为字符串，第一种重定向模式和第二种重定向模式；地区记录的表示有两种形式，字符串和重定向模式。值得注意的是第一种模式的国家记录的后面不能跟地区记录。三、 纯真IP数据库的索引区的介绍在开始的头文件的介绍中，我们已经说明头文件包括两个指针，他们指向的是最前面一条和最后面一条索引的绝对偏移。也就是说从头文件开始就可以定位到索引区。而每个索引区是有7字节长度的，前四个当然为开始的IP地址，后三个紧接着为IP记录。 图1.6 文件详细结构第四节 本章小结本章首先对电子邮件取证的可视化分析的背景及意义进行了介绍，可看出在侦查案件过程中电子进行取证的重要性。要对电子邮件进行取证，就必须

38、对电子邮件进行了解，接下来便从电子邮件协议、电子邮件头格式进行了介绍，为提取IP地址做准备。因为本文研究的是追溯IP地理位置，而所采取的方法是从纯真IP数据库中提取出物理位置，因此便对纯真IP数据库的格式进行了了解，为代码实现提取作前提准备。第三章 电子邮件取证可视化分析方法第一节 电子邮件取证可视化分析介绍在计算机机取证过程中，从计算机中获取有价值的信息非常重要，同时把证据信息以特定的方式进行可视化展示同时也显得非常重要。前面我们从电子邮件中获取IP地址的过程以及在纯真IP数据库中提取IP地址所对应的物理地址都是获取证据的过程，也就是获取证据及其与相关联的证据信息的获取。毫无疑问，获取证据的

39、过程至关重要，但是对证据进行分析的过程不容忽略。就拿电子邮件来说，我们虽然获取到了邮件发送者原始的IP地址以及其所对应的大概的物理位置，确定IP地址的大概来源但是不能知道其所在的详细的地理位置，这对侦查案件有时候会造成一定的困扰。要想把获得的证据信息进行精准地分析，就得根据IP地址把发送者的物理位置具体定位到具体某一点，这样才具有说服力以及准确性。因此，根据IP定位物理位置在取证过程中已显得十分重要。在虚拟的网络社会中通过电子邮件的进行沟通时，我们只能获取对方的IP来进行精确定位到其位置。在互联上，IP也只是一个简单的数字标识符号，通过IP定位地理位置就显得比较困难。尤其是对IP地址进行追踪时

40、，由于网络中IP地址信息中只包含路由信息，并不包含它所对应的地理位置，而且有些服务器比如像代理服务器对IP地址进行了隐藏13，因此，追踪起来特别困难。虽然目前流行很多IP数据库可以提取到它所对应的地理位置，但是查询结果不精确。从既不用联网又获得精确地地理位置两个方面考虑，本文利用纯真数据库获取地理位置并通过C#解析XML文件，展现IP地址之间的关系，然后利用百度地图的API对准确定位到的位置在百度地图上进行可视化展示。第二节 C#解析XML文件XML也就是所谓的可扩展标记语言，它使得用户可根据自己的需求来定义自己的标记语言。随着XML的诞生，它的应用越来越广泛，同时操作XML文件以及从中读取想

41、要的信息成为XML成为研究的主要内容。XML文档其实是文本文件，如果要对XML文档中获取想要的数据及其相关的数据，就首先得解析XML文档，也就是将XML文档通过树形结构来表示数据。常见的解析方式主要有两种：一种是DOM解析，一种是SAX解析。DOM是W3C组织通过采用IDL来进行定义DOM中的接口。DOM主要针对的是节点，它将XML文档的每一个元素都当作是节点，整个文档存储时采用树形结构进行存储，整棵树就可看作是一个节点，而对于每个节点又可看作是一棵树，这样的话可以访问树中节点来读取XML文档中的信息。SAX是一种通过事件来驱动的模型，进行解析XML文档时会触发一系列事件，并且激活与之对应的事

42、件处理程序，但是这些处理程序必须我们得自己编写，这样会造成很大的麻烦。由于.NET Framework支持XML DOM模式，由于本文采用的是C#编程，因此本文采用这种模式，C#解析XML文件时常见的方法有：生成XML文件，对XML文件中的节点信息进行访问，修改某些节点信息，追加相关的节点信息，删除某些特定的节点信息。第三节 百度地图API所谓的百度地图API15即就是免费提供给开发者的一套关于百度地图的应用接口，也就是第三方网站可通过调用它来实现对百度地图网站数据库的信息。它所实现的主要功能是实现基本地图展示，搜索想要的地理位置，根据某一信息进行定位，以及路线规划等功能。它包括JavaScr

43、ipt API、Web服务API、定位SDK、Android SDK、OS SDK、LBS、车联网API等多种服务和开发工具。不论是在Windows、Mac、还是Linux等多种操作系统可利用其进行开发，因此其应用十分广泛。 百度地图API提供了网络服务所提供的全部功能， 比如说显示地图、在地图上标注地理位置、搜索位置、地图操作、对地图进行编辑、在地图上的查询等等。像我们大多数用户可能对百度地图的内部处理逻辑不是很了解，而百度API在实现将应用开发平台绑定到信息数据库时，百度地图API对复杂的底层逻辑进行隐藏和封装，这样的话带来的好处就是用户不必了解它的底层所具体用到的那些技术，可直接建立基础

44、地理地图，进而可以实现像查询之类的网络地图服务功能，从而开发按自己需求的功能齐全的应用程序。可以利用浏览器、数据服务器和应用服务器这三层B/S结构通过百度地图API技术来进行搭建网络地图服务平台。其中浏览器主要是把向服务器端发送访问和查询请求16，比较常见的功能是实现地图的加载、地图的查看以及在地图上的查询操作。数据服务器主要是在一个数据库存储各类空间数据及其属性详细信息，把空间坐标和地图服务器进行了连接，并对查询指令作相应的处理。应用服务器主要是处理浏览器端发送过来的指令，以PHP、JSP等来拓展百度地图API，实现对数据库端的访问。对于浏览器，无论是IE还是Firefox甚至其他的百度地图

45、API都能兼容，因此在进行开发时带来很多便利。 百度地图API的技术很有特色，又有很好的平台优势，在网站中构建丰富，而且交互性很强。它提供了大量的空间数据及地理信息，而且内存方面开销小，地图应用进行了控件化，用户可以随便自己定义。百度地图API常用的技术及控件如表3-1和表3-2所示。表3-1 百度地图API常用的技术技术代码创建地图var map = new BMap.Map(divid)创建坐标点var point = new BMap.Point(经度,纬度)设置视图中心点map.centerAndZoom(point,size)激活滚轮调整大小功能map.enableScrollWhe

46、elZoom()添加控件map.addControl(new BMap.Xxx()添加覆盖物map.addOverlay()表3-2 百度地图API的主要控件介绍控件解释NavigationControl对地图进行缩放的控件，默认位置在左上角OverviewMapControl地图的缩略图的控件，默认位置在右下方ScaleControl地图显示比例的控件，默认位置在左下方MapTypeControl地图展示类型控件，默认位置在右上方第四节 本章小结本章主要是在前一章的基础上对提取的电子邮件中的IP地址进行地理位置的定位的前提准备。首先是从电子邮件的IP地址进行定位的意义作了介绍。由于本文采用的方法是通过C#解析XML文件，因此第二部分对解析的方法以及使用它的好处。最后是要把IP解析到的位置在百度地图17上进行显示，因此在第三章对百度地图API技术进行了了解，以及对它的结构路进行了介绍。第四章 电子邮件取证可视化设计第一节 系统的设计概况在通过前面理论知识理解的基础上，这章主要从系统的设计概况，也就是需求分析，运行环境，系统所实现的目标三个方面进行介绍，然后介绍了系统的总体架构，最后分别介绍系统所实现的两个模块，即电子邮件的I