Intella Vs. Nuix Forensics Desktop 电子邮件分析工具简述

说到电子邮件分析，目前很多工具都声称具有电子邮件处理的功能。实际上，基本上说来，每个法证分析工具都多多少少支持电子邮件的解析。从我个人观点来看，目前在对电子邮件的处理方式上，所有法证软件基本采取了两种方式：

第一种方式，是对客户端邮箱进行拆解，就是将Outlook，Outlook express，Foxmail等电子邮件客户端软件的邮箱文件pst,dbx,box中的邮件解释出来，形成单独的文件进行察看。

目前Encase,X-ways Forensics, FinalForensics,Paraben Email Examiner都可以实现这一功能。邮件拆解后，可以通过各个软件的分析、过滤、搜索功能对邮件数据进行察看、搜索特定文字。至于搜索能力的强弱，就要看分析工具对语言的支持能力了。个人来说，我非常喜欢X-Ways的邮件拆析能力。毕竟它可以恢复出删除的电子邮件客户端，并从未分配空间中查找残留的邮件信息。此外，最新出现的Final Forensics 3.0也是一个非常好的工具，他已经闻名多年，且经过几年的不断增强提高，数据恢复能力不可小视。连其民用的恢复工具 FinalDATA 3.0版都增添了电子邮件的恢复功能，你说他对邮件的处理上实力如何？

第二种方式就是对邮件进行索引搜索。
目前典型的是Nuix Forensics Desktop(即fbi Desktop)，Intella和FTK。这种软件主要对邮件进行处理，多数不具备数据恢复能力。对于删除的邮件客户端文件的恢复，需要借助X-Ways Forensics或FinalData,FinalForensics了。但是，Nuix和Intella终究是专门对电子邮件的分析工具，在电子邮件的处理能力上别的软件真是无法比拟。这种软件基于对邮箱文件的解析，然后索引。索引的时间根据邮箱文件大小有所差别，可能会几十分钟或几个小时，但数据索引之后，即可快速地进行搜索，毋须等待。FTK这个软件我不想多评述，因为5年前我一直认为FTK是最好的电子邮件分析工具(对于英文邮件)，但2.0版实在是让人无法接受，索引速度，运行效率都是很不理想。据说AccessData目前已经意识到了这个问题，正在改进。等新版本推出的时候再说他吧。

峰会和香港培训年会后，很多朋友都询问 Nuix和Intella的差别，并且均对Intella报以极大的期望。这两个汉化和测试都是我做的，我本人对这两个软件的发展非常关注。这里我简单地对两个软件的差别和能力进行一下对比。

1.邮箱支持能力
从支持的邮箱种类来说，目前Nuix还是占上风的，支持的邮件种类多于Intella.
Nuix可以支持Outlook, Outlook Express, Lotus Notes, Exchange, Foxmail等等。
Intella目前可以支持Outlook, Outlook Express, Lotus Notes.中文版将支持Foxmail。

虽然支持种类有差别，但是，对于企业调查来说，主要需要的是Outlook和Notes，对于民间应用来说已经足够了。对于中国用户来说，都支持Foxmail，也没有什么差别。因此很多公司都对Intella有足够的兴趣。

2.索引能力
英文索引不用说了，这时他们开发邮件时的主要测试和日后的使用环境。对于中文索引来看，二者不分高下。目前ForensicsMatter官方网站只发布了支持英文索引的Intella测试版本，中文版我还在测试中，对外没有发布。但搜索中文能力非常好，中文用户完全可以放心。

3.搜索过滤方式
应该说后起之秀Intella主要的竞争目标就是Nuix Fornesics Desktop，所以在搜索方式上Intella进行了充分的优化。Intella可以通过左侧选单来进行所需的过滤操作。比如搜索发件人，收件人，通过时间段、通过元数据（如文档作者、制作公司）、文件类型等等，很方便。
而在Nuix中，这些需要在搜索栏中以语句的方式来实现。虽然结果可以实现，但终究复杂了一点。

4.图形化显示
两个软件都是图形化显示电子邮件关联的典型代表。
Nuix主要通过电子邮件的收发件人之间的联系显示邮件关系，即邮件地址之间的关系。显示出的关系图可以清楚地表明包含关键词的邮件之间的来往关系和次数。
Intella主要通过包含关键词的数据显示关键词之间的关系，即那些文件中包含了特定关键词，利用多个关键词的与、或关系生成的视图来快速定位所需关注的右键或数据。
举一个例子：如果对一个目录中的Office文件（不是邮件）进行索引分析，搜索的关键词后，Nuix将无法显示出图形关系，因为这些数据不是邮件，没有联络关系。而Intella仍然可以显示出图形和个关键词之间的关系。但是如果搜索的关键词在邮件的附件中，Nuix可以告诉你那封邮件中包含这个附件和关键词，并以图形显示出邮件的往来关系；而Intella同样可以告诉你这个关键词出现的次数和在那个邮件附件中，邮件的关系需要进一步查看才可以清楚。这就是两个软件的典型差别。

5.价格
两个软件都具有很强的邮件处理功能。那么选择哪个就需要看看性价比了。这也是为什么很多国外用户不选择Nuix而期待Intella的原因了。Nuix完全版要十多万，而Intella只需要三万多。有几个公司能够愿意花费十多万来购买一套软件？除非他的需求只有Nuix能够解决。当然对于需要分析企业的Exchang邮件和需要将分析结果和专用法律软件结合的用户来说，他们愿意使用Nuix。

Nuix为了降低软件使用门槛，特意推出了三邮箱和单邮箱版本。即一次只能够分析一个或三个邮箱。对于处理Outlook邮箱来说应该说足够了，所有邮件都在一个pst或ost文件中。但对于包含收件箱、发件箱、废件箱以及草稿箱的dbx文件或Foxmail来说，三邮箱版一样无法解决问题。

而Intella则没有邮箱数量的处理限制。你可以利用它处理任意多的数据。

总结：
以上简单评价的几个不同的电子邮件分析工具。我没有任何倾向性。这两个软件都非常不错。其实最好是结合起来一起使用。每个软件都有自己的优势，怎么说也不会有两个完全一模一样的软件。那样的话就要出现版权纠纷了。具体使用那个工具，要根据公司的需求，公司的资金和业务情况来选择。国外都需要软件分析结果能够被第三方软件的检验，几个工具同时使用，相互检验一下也是好的。