您的邮件安全吗——使用mailbag获取邮件内容
安天365团队 simeon
摘要 对于邮件内容的研究,也是应“安天365小组”(antian365.com)安全研究专题的安排,开始对邮件内容获取方面的研究,本文就获取的邮件文件,通过一些软件工具可以轻松获取邮件的内容,从安全的角度本文研究有两个意义,第一个主要用于安全取证,从获取的邮件文件中提取有助于判定犯罪方有罪的证据;第二个就是方便失去密码的用户获取信件内容,当然也有满足一些有窥视欲望的人查看他了邮件内容,^-^。
(一)前言
一个朋友通过嗅探的途径,控制了一台计算机,出于兴趣爱好,从该计算机中发现有邮件,因此将邮件所有文件全部下载回来,问我有无办法打开。本着对技术的爱好我就如何获取邮件的内容进行了研究,下面将我的一些研究方法和结果发布,跟大家一起共享。
(二)恢复邮件的一些尝试
1.重建Outlook Express。在本地安装了Outlook Express,将获取的文件直接覆盖原来的老文件,结果由于语言版本或者配置等原因,根本无法打开。Outlook Express邮件文件一般位于以下目录:
C:\Documents and Settings\simeon\Local Settings\Application Data\Identities
C:\Documents and Settings\simeon\Local Settings\Application Data\Identities\{A17F510D-109E-4006-B460-73E3EB971094} 或者
C:\Documents and Settings\simeon\Local Settings\Application Data\Identities\{A17F510D-109E-4006-B460-73E3EB971094}\Microsoft\Outlook Express
注意:
(1)在覆盖原有文件前,一定要先对原有文件进行备份,或者直接复制原有文件到一个新文件夹中,防止出现覆盖文件后对原有系统的破坏。
(2)Simeon为计算机用户名,计算机用户应该跟这个一致,如果用户名为Administrator,在文件对应位置应该为“C:\Documents and Settings\Administrator\Application Data\Identities\{4424572C-E99E-4523-B33D-A0AB0C29E874}”。
2.使用Outlook Express导入文件进行恢复。打开Outlook Express程序,在文件菜单中单击“导入”-“邮件”,在“Outlook Express导入”中选择要导入电子邮件的来源,如图1所示,选择“Microsoft Outlook Express 6”然后单击“下一步”按钮。
图1 选择要导入电子邮件的来源
说明:
Outlook Express 是默认安装在系统中,如果在程序菜单中没有Outlook Express ,则可以到“C:\Program Files\Outlook Express”目录运行可执行文件“msimn.exe”即可。
然后在邮件位置中选择邮件文件的路径,如图2所示。朋友给我的文件在“我接收到的文件中”,然后单击确定。
图2 选择邮件文件所在文件夹
然后在单击“确定”按钮后却出现了一个错误的警告提示,如图3所示,说明Outlook Express不能识别这些文件,后面我又重新安装了Outlook的最新版本,重新导入文件仍然失败。
图3 导入文件失败
我分析原因可能是因为语言版本的缘故,既然此方法不行,那就换一种思路,从网上搜索看看是否存在直接恢复邮件的软件。通过查询,发现获取邮件内容的软件网上有很多,但通过测试,对比分析,感觉还是mailbag不错。
(三)使用Mailbag Assistant恢复邮件内容
1.Mailbag Assistant简介
Mailbag Assistant最新版本是3.99,可以到[url]http://fookes.com/mailbag/index.php[/url]下载。它可以同时打开Eudora,Netscape Messenger,Outlook Express 4,Pegasus,The Bat!,FoxMail,Calypso,以及Agent等等不同邮件软件中的email。开启邮件之后,还可以依照寄件人、收件人、标题、日期等等条件排列邮件,是个很好用的电子邮件管理软件。另外,虽然Mailbag Assistant软件的说明并没有提到可以打开Outlook Express 5的邮件,但是我们试用后,发现Mailbag Assistant还是可以打开的!
2.安装与设置Mailbag Assistant
将Mailbag Assistant下载到本地直接运行,安装过程非常简单,按照提示即可。安装完成后直接运行,运行后会弹出向导要求用户进行设置,如图4所示,可以取消,也可以根据提示进行设置。
图4 设置Mailbag Assistant
在本例中直接从文件菜单中选择打开Mailbox,如图5所示选择Mail所在文件夹,一共有9个文件,依次选择每一个文件或者选中所有的文件开启。
图5 选中mail文件
说明
(1)Mailbag Assistant默认有31天免费使用期,因此我是在虚拟机中使用该软件,在安装完成后做了一个快照(snapshot),以后需要使用时,直接使用快照即可。
(2)在mail文件夹中由于是繁体,因此显示为一些乱码。
3获取邮件内容
如果邮件文件没有损坏,则可以在Mailbag Assistant主窗口中看到邮件的内容,里面包含邮件时间,谁发送,邮件地址,主题,附件,文件名称等信息,如6所示,使用鼠标单击并选中第一条记录,Mailbag Assistant软件下方窗口中会自动显示邮件的内容,在本案例中可以看到获取邮件中包含用户的一个密码信息。
图6 显示邮件内容
4.导出邮件附件
在主窗口中选中有附件标识的邮件记录,然后右键单击在弹出的菜单中选择“Extract Attachments…”,如图7所示,然后选择一个导出的文件夹。
图7 选择导出附件文件夹
如果没有什么意外,就会出现一个导出信息,如图8所示,表示有3个附件导出成功。
图8 附件导出成功提示信息
5.导出所有邮件
选中当前窗口中的所有邮件,在“File”菜单中选择“Export Email As”-“EML files”,将邮件导出为eml文件,如图9,图10所示。这些eml文件可以直接使用OE打开,或者直接导入OE等其它邮件查看软件中。
图9 导出邮件为eml文件
图10 导出成功的邮件
说明:
在Mailbag Assistant中还可以将其导出为其它普通的mailbox。
(三)邮件内容防查看防范措施
对于邮件内容的防范措施,首先是应该加强个人计算机安全,对于一些涉及个人敏感信息的邮件应当妥善处理,可以另外保存为加密文件。对于一些账号开通信息,应当及时修改账号密码以及个人资料信息,这样可以防止入侵者或者他人获取邮件内容后进行利用。
(四)总结与体会
本次研究应该是无意之举,邮件内容获取也应该算是安全研究的一个内容,通过本次实践,使个人掌握了Outlook Express邮件文件保存的物理位置,知道如何来恢复或者获取邮件内容,对于一些设置了保护邮件内容密码的用户,当忘记密码后,不失为一种解决方案。本文也可以作为社会工程学攻击的一个辅助技术手段,同时通过本文,普通用户应该更加重视网络和信息安全,从意识上加强安全防范,从行动上落实安全,让冲浪更加安全!
本文转自 simeon2005 51CTO博客,原文链接:http://blog.51cto.com/simeon/125400
