Intella Vs. Nuix Forensics Desktop 电子邮件分析工具简述

说到电子邮件分析，目前很多工具都声称具有电子邮件处理的功能。实际上，基本上说来，每个法证分析工具都多多少少支持电子邮件的解析。从我个人观点来看，目前在对电子邮件的处理方式上，所有法证软件基本采取了两种方式：

第一种方式，是对客户端邮箱进行拆解，就是将Outlook，Outlook express，Foxmail等电子邮件客户端软件的邮箱文件pst,dbx,box中的邮件解释出来，形成单独的文件进行察看。

目前Encase,X-ways Forensics, FinalForensics,Paraben Email Examiner都可以实现这一功能。邮件拆解后，可以通过各个软件的分析、过滤、搜索功能对邮件数据进行察看、搜索特定文字。至于搜索能力的强弱，就要看分析工具对语言的支持能力了。个人来说，我非常喜欢X-Ways的邮件拆析能力。毕竟它可以恢复出删除的电子邮件客户端，并从未分配空间中查找残留的邮件信息。此外，最新出现的Final Forensics 3.0也是一个非常好的工具，他已经闻名多年，且经过几年的不断增强提高，数据恢复能力不可小视。连其民用的恢复工具 FinalDATA 3.0版都增添了电子邮件的恢复功能，你说他对邮件的处理上实力如何？

第二种方式就是对邮件进行索引搜索。
目前典型的是Nuix Forensics Desktop(即fbi Desktop)，Intella和FTK。这种软件主要对邮件进行处理，多数不具备数据恢复能力。对于删除的邮件客户端文件的恢复，需要借助X-Ways Forensics或FinalData,FinalForensics了。但是，Nuix和Intella终究是专门对电子邮件的分析工具，在电子邮件的处理能力上别的软件真是无法比拟。这种软件基于对邮箱文件的解析，然后索引。索引的时间根据邮箱文件大小有所差别，可能会几十分钟或几个小时，但数据索引之后，即可快速地进行搜索，毋须等待。FTK这个软件我不想多评述，因为5年前我一直认为FTK是最好的电子邮件分析工具(对于英文邮件)，但2.0版实在是让人无法接受，索引速度，运行效率都是很不理想。据说AccessData目前已经意识到了这个问题，正在改进。等新版本推出的时候再说他吧。

峰会和香港培训年会后，很多朋友都询问 Nuix和Intella的差别，并且均对Intella报以极大的期望。这两个汉化和测试都是我做的，我本人对这两个软件的发展非常关注。这里我简单地对两个软件的差别和能力进行一下对比。

1.邮箱支持能力
从支持的邮箱种类来说，目前Nuix还是占上风的，支持的邮件种类多于Intella.
Nuix可以支持Outlook, Outlook Express, Lotus Notes, Exchange, Foxmail等等。
Intella目前可以支持Outlook, Outlook Express, Lotus Notes.中文版将支持Foxmail。

虽然支持种类有差别，但是，对于企业调查来说，主要需要的是Outlook和Notes，对于民间应用来说已经足够了。对于中国用户来说，都支持Foxmail，也没有什么差别。因此很多公司都对Intella有足够的兴趣。

2.索引能力
英文索引不用说了，这时他们开发邮件时的主要测试和日后的使用环境。对于中文索引来看，二者不分高下。目前ForensicsMatter官方网站只发布了支持英文索引的Intella测试版本，中文版我还在测试中，对外没有发布。但搜索中文能力非常好，中文用户完全可以放心。

3.搜索过滤方式
应该说后起之秀Intella主要的竞争目标就是Nuix Fornesics Desktop，所以在搜索方式上Intella进行了充分的优化。Intella可以通过左侧选单来进行所需的过滤操作。比如搜索发件人，收件人，通过时间段、通过元数据（如文档作者、制作公司）、文件类型等等，很方便。
而在Nuix中，这些需要在搜索栏中以语句的方式来实现。虽然结果可以实现，但终究复杂了一点。

4.图形化显示
两个软件都是图形化显示电子邮件关联的典型代表。
Nuix主要通过电子邮件的收发件人之间的联系显示邮件关系，即邮件地址之间的关系。显示出的关系图可以清楚地表明包含关键词的邮件之间的来往关系和次数。
Intella主要通过包含关键词的数据显示关键词之间的关系，即那些文件中包含了特定关键词，利用多个关键词的与、或关系生成的视图来快速定位所需关注的右键或数据。
举一个例子：如果对一个目录中的Office文件（不是邮件）进行索引分析，搜索的关键词后，Nuix将无法显示出图形关系，因为这些数据不是邮件，没有联络关系。而Intella仍然可以显示出图形和个关键词之间的关系。但是如果搜索的关键词在邮件的附件中，Nuix可以告诉你那封邮件中包含这个附件和关键词，并以图形显示出邮件的往来关系；而Intella同样可以告诉你这个关键词出现的次数和在那个邮件附件中，邮件的关系需要进一步查看才可以清楚。这就是两个软件的典型差别。

5.价格
两个软件都具有很强的邮件处理功能。那么选择哪个就需要看看性价比了。这也是为什么很多国外用户不选择Nuix而期待Intella的原因了。Nuix完全版要十多万，而Intella只需要三万多。有几个公司能够愿意花费十多万来购买一套软件？除非他的需求只有Nuix能够解决。当然对于需要分析企业的Exchang邮件和需要将分析结果和专用法律软件结合的用户来说，他们愿意使用Nuix。

Nuix为了降低软件使用门槛，特意推出了三邮箱和单邮箱版本。即一次只能够分析一个或三个邮箱。对于处理Outlook邮箱来说应该说足够了，所有邮件都在一个pst或ost文件中。但对于包含收件箱、发件箱、废件箱以及草稿箱的dbx文件或Foxmail来说，三邮箱版一样无法解决问题。

而Intella则没有邮箱数量的处理限制。你可以利用它处理任意多的数据。

总结：
以上简单评价的几个不同的电子邮件分析工具。我没有任何倾向性。这两个软件都非常不错。其实最好是结合起来一起使用。每个软件都有自己的优势，怎么说也不会有两个完全一模一样的软件。那样的话就要出现版权纠纷了。具体使用那个工具，要根据公司的需求，公司的资金和业务情况来选择。国外都需要软件分析结果能够被第三方软件的检验，几个工具同时使用，相互检验一下也是好的。

Belkasoft Forensic IM Analyzer 即时聊天记录分析工具

俄罗斯Belkasoft公司CEO Yuri Gubanov先生给我来信，推荐他们研制的Forensic IM Analyzer工具。使用了一下，发现这个软件非常地简单，可对计算机中各种即时通讯工具进行检测，并直接读取聊天纪录，效果非常不错。该软件目前可以支持ICQ (97a 至ICQ6各版本), Microsoft MSN/LiveMessenger, Skype, Yahoo! Messenger, MySpace IM, &RQ, Miranda, SIM, QIP, Google Hello, Trillian, QQ 和 AIM，适应面很广。利用该软件，可自动搜索硬盘中保存的历史纪录，且无需口令既可打开。配合Smart Mount等工具，可以直接加载磁盘镜像，并对镜像文件中的数据进行分析。



从这些工具来看，世界各国的计算机法证专家们真是努力呀。以前不知道俄罗斯在计算机法证方面的进展，现在看来他们的确还是有一些积累的，除了密码破解方面是强项，法证技术方面也一样不逊色。

测试版可从以下地址下载：http://belkasoft.com/bfia/en/download.asp

了解软件使用方法，可观看视频讲解：http://belkasoft.com/bfia/en/How_To_Use_Product.asp

这个视频中的故事大概是这样的：

大家好！我是一名 Neverland 警署的计算机法证调查官。我正在调查的是一起非常复杂的案件。案件是这样的：一家最大的糖果制造厂被抢劫了，我们找到了嫌疑犯，名字叫做Sweetieslover。但是，没有明确的证据证明他参加了这起抢劫案，我们只知道他的名字。通过对他的计算机中的文档、电子邮件进行检查，发现他似乎是完全无辜的。我最后的希望就是对他的聊天纪录进行分析了，其他法证专家们推荐我使用Belkasoft公司研制的 Forensic IM Analyzer聊天记录分析工具。

现在看看我是怎么利用这个软件工作的。左边窗口，可以看到三个选项，已安装的聊天工具、发现的聊天工具和搜索结果。'已安装的聊天工具' 似乎对我这起案件没有什么用处，因为我需要做的是对一块证据硬盘进行分析，获取的硬盘被通过Encase加载后，以网络硬盘的方式连接在我的计算机上。

首先，我要判定嫌疑人究竟使用了那种聊天工具。通过对Program Files目录进行分析，发现里面包含 Yahoo! Messenger。好，那就看看里面有什么记录信息吧。嗯...看来仅仅通过察看目录和文件发现不了什么有用的东西。不过没关系，我手里有处理即时通讯记录的专业工具。

我从新回到IM Analyzer聊天记录分析工具，找到“发现的聊天工具”中的“Yahoo messenger”，点击鼠标右键，选择'打开此聊天软件历史记录'。然后，通过浏览器找到Program Files文件夹。

好了，加入了历史记录，这时只要使用“读取历史记录”，就可以直接察看记录了。哈哈，不少记录呀！需要看的东西可真不少呀！ 能不能缩小查看的范围呢？当然能，可以将那些没有聊天记录的信息隐藏掉。选择右键，“隐藏没有聊天记录的联系人”。再看看，记录仍然不少。在导出聊天记录的空闲时间里，还是先来杯咖啡吧！

察看了2个小时了
真是见鬼，还没有什么重要的线索。只是从他老婆的聊天记录中得知，老婆对她老公不是那么全心全意的，不过这是其他的事情，与本案无关吧。

是不是有些东西通过我的手动分析没有发现呢？还是让 Belkasoft Forensic IM Analyzer软件搜索为我搜索一下历史记录吧！从菜单中，我使用了'搜索IM记录'选项。

这个工具可以使用多种选项。可以搜索硬盘、移动设备、光盘和网络驱动器。但由于我搜索的网络驱动器，因此我需要使用“搜索网络驱动器”选项。我需要看看有没有其他的聊天软件，各种格式的聊天记录都可能会有用。根据硬盘大小不同，搜索的时间可能是几秒钟，或者是二、三十分钟。

看看，软件果然帮我发现到了我没有注意到的，QQ 聊天记录。QQ 聊天工具在中国非常普及，有些Neverlandiands人也使用它。

狡猾的嫌疑犯将QQ 聊天记录保存到了一个其它的位置，但是分析工具自动找到了他。QQ 历史记录总是加密的，IM Analyzer在这里就非常有用了。

现在搜索这个新的历史记录，看看有什么内容与sweets有关。通过察看历史记录可以看到，有些联系人的聊天记录比Yahoo中的纪录还要多。

首先，搜索一下"cookies"这个词，这可以通过菜单中的“搜索历史记录”来实现。这个人似乎喜欢cookies，有很多的搜索结果。接下来，搜索一下'sweets'，嗯，还是很多结果。比如，她的总是说“Hi, sweetie”。但这些结果对我的调查没有什么帮助。还有什么词能与"sweets"相近呢？软件允许我调用“关键词列表”。我有一个词库包含许多词汇的近义词。通过搜索，发现'candies'这个词在聊天记录中被使用过。但是搜索结果还是很多。我是不是该使用'steal candies'这个词呢？这可能是嫌疑人可能会说、会做的。但搜索这个词后，没有任何结果。对了，这两个词可能并不是连续出现的，如果Steal这个词与candies这个词之间有其他字符呢？可能中间有4、5、6个单词呢？

可以利用软件提供的“通过正则表达式搜索”功能。先输入steal，然后后面可能会有几个数字、符号或空格，最后是candies.

真棒，找到了一个记录。发送者是Mr. Sweetieslover ，接收者是Mr. Evil。就是他。

好了，调查分析结束了，我该把这些发现结果提供给其他部门的伙伴了。他们不是计算机的专家，但都是证据和文字分析的专家。我只需要把这些记录导出为Html格式，刻录到光盘上就可以了。我只想导出和Mr. Evil的聊天记录，通过点击“选择的联系人”，然后选择目标文件夹，导出。导出的数据里包含聊天对象和聊天时间。

好了，我的工作结束了。如果没有这个软件，我真不知道我怎么才能完成这个案件的调查。谢谢Belkssoft.

专业的iPhone 法证分析工具

香港HTCIA培训年会中，Sixth Legion公司为我演示了他们最新开发的iPhone Forensics工具。这个软件叫
WOLF，是一个专门针对iPhone手机中的数据进行获取和分析的工具，运行于苹果机MacOS系统下。WOLF可以获取当前所有iPhone手机信息中的数据，包括：手机内数据，如联系人，呼叫纪录，短信息，上网纪录，照片，音乐和视频。据该公司CEO介绍，WOLF 还是目前唯一可以获取加密保护的iPhone手机中的工具。

目前WOLF可以支持iPhone 2G 和 iPhone 3G - 固件版本 1.0, 1.0.1, 1.0.2, 1.1.1, 1.1.2, 1.1.3, 1.1.4, 2.0, 2.0.1, 2.0.2, 2.1)




此外，WOLF还可以分析硬盘中保存的iPhone同步纪录。这些记录通常是被加密的，无法利用其他工具察看。利用此工具，iPhone的法证分析将不再是问题。

Intella 最新的电子邮件分析工具

澳大利亚ForensicsMatter公司CEO Peter Mercer先生在第四届计算机法证技术峰会和香港Htcia培训年会期间，向世界同步展示了其最新研发的苹果/PC取证工具OSI和Intella电子邮件分析工具，可见他对中国市场的重视程度。



参加研习会的听众无不对其快速的索引技术和中文电子邮件的快速分析、过滤、检索能力而感叹。
Intella支持Outlook,Outlook Express, Lotus Notes。可以进行中文字符索引，搜索，效果理想。我已经向Peter提出加入对Foxmail邮箱的支持，并即将开始对Intella进行汉化。不用几个月，国内就可以得到中文版的Intella。


需要试用该软件（此下载版本不支持中文索引。2周左右即会有新版本出现），请访问http://www.vound-software.com/download.php

关于计算机法证研究会的情况

我一直希望计算机法证技术峰会能够成为一个平台，为国内计算机法证爱好者提供一些新的信息和知识。所以坚信需要把这个会坚持下去，并取得更多专家和学者的支持。今年的峰会，许榕生老师非常支持，不仅亲自进行演讲，还让更多的相关行业的朋友积极地参与，非常感动。许老师是计算机法证行业的前辈，他对国内外的发展现状和趋势非常地了解，并针对此行业在国内的发展做出了很大的努力，不愧为大学者，领军人物。

有些朋友想加入取证组。我把取证组的情况在此说明：

中国计算机取证技术研究组成立于2005年。
2008年正式在香港注册，并更名为中国计算机法证技术研究会。

本研究会是专注于计算机法证领域研究的技术研究民间团体，宗旨是：推动中国计算机法证技术与国际接轨、融合及广泛交流，促进相关领域技术发展和知识普及。

中国计算机法证技术研究会坚持以非商业化的方式、从中立的角度致力于国内计算机法证相关领域的建设和完善，并为与计算机法证相关的专业人员、司法界人士以及技术爱好者提供学习和讨论的专业平台，推动国内计算机法证相关技术、方法、法律、法规和标准等方面的全面进步和发展。

中国计算机法证技术峰会是中国计算机法证技术研究会的主要活动之一，自2005年起创办至今，已成功举办了四届。该峰会是高层次、新视角的国际学术、技术交流年度盛会，旨在推动国内外计算机法证先进技术的发展，推广技术经验和促进计算机法证人员、司法界以及相关行业专业人士之间的相互交流。峰会围绕计算机法证的相关技术、法律法规、数据恢复、数据分析与处理、取证勘察等方面展开议题，取得了很大成功。参会人员除国内相关执法部门、司法界人士外，还吸纳了律师行、会计行、金融业、教育行业、咨询调查机构、IT信息安全人士以及更多国家和地区的专家学者，峰会已经逐步由国内的专业会议转变为国际性的会议。参加研习培训人员有机会学习到各种世界最先进的计算机法证软、硬件使用技巧，掌握更多的高水平实际应用技能，并与国际专业讲师进行直接地交流。峰会在一定程度上推动了国内外计算机法证先进技术的研究与发展。


研究会将对发展会员情况进行探讨，决定之后再行公布。 敬请将来关注官方网站：http://www.china-forensic.com