您的郵件安全嗎——使用mailbag擷取郵件内容

您的郵件安全嗎——使用mailbag擷取郵件内容

安天365團隊 simeon

   摘要 對于郵件内容的研究，也是應“安天365小組”（antian365.com）安全研究專題的安排，開始對郵件内容擷取方面的研究，本文就擷取的郵件檔案，通過一些軟體工具可以輕松擷取郵件的内容，從安全的角度本文研究有兩個意義，第一個主要用于安全驗證，從擷取的郵件檔案中提取有助于判定犯罪方有罪的證據；第二個就是友善失去密碼的使用者擷取信件内容，當然也有滿足一些有窺視欲望的人檢視他了郵件内容，^-^。

     （一）前言

   一個朋友通過嗅探的途徑，控制了一台計算機，出于興趣愛好，從該計算機中發現有郵件，是以将郵件所有檔案全部下載下傳回來，問我有無辦法打開。本着對技術的愛好我就如何擷取郵件的内容進行了研究，下面将我的一些研究方法和結果釋出，跟大家一起共享。

（二）恢複郵件的一些嘗試

1．重建Outlook Express。在本地安裝了Outlook Express，将擷取的檔案直接覆寫原來的老檔案，結果由于語言版本或者配置等原因，根本無法打開。Outlook Express郵件檔案一般位于以下目錄：

C:\Documents and Settings\simeon\Local Settings\Application Data\Identities

C:\Documents and Settings\simeon\Local Settings\Application Data\Identities\{A17F510D-109E-4006-B460-73E3EB971094} 或者

C:\Documents and Settings\simeon\Local Settings\Application Data\Identities\{A17F510D-109E-4006-B460-73E3EB971094}\Microsoft\Outlook Express

注意：

（1）在覆寫原有檔案前，一定要先對原有檔案進行備份，或者直接複制原有檔案到一個新檔案夾中，防止出現覆寫檔案後對原有系統的破壞。

（2）Simeon為計算機使用者名，計算機使用者應該跟這個一緻，如果使用者名為Administrator，在檔案對應位置應該為“C:\Documents and Settings\<b>Administrator</b>\Application Data\Identities\{4424572C-E99E-4523-B33D-A0AB0C29E874}”。

2.使用Outlook Express導入檔案進行恢複。打開Outlook Express程式，在檔案菜單中單擊“導入”-“郵件”，在“Outlook Express導入”中選擇要導入電子郵件的來源，如圖1所示，選擇“Microsoft Outlook Express 6”然後單擊“下一步”按鈕。

圖1 選擇要導入電子郵件的來源

說明：

Outlook Express 是預設安裝在系統中，如果在程式菜單中沒有Outlook Express ，則可以到“C:\Program Files\Outlook Express”目錄運作可執行檔案“msimn.exe”即可。

然後在郵件位置中選擇郵件檔案的路徑，如圖2所示。朋友給我的檔案在“我接收到的檔案中”，然後單擊确定。

圖2 選擇郵件檔案所在檔案夾

然後在單擊“确定”按鈕後卻出現了一個錯誤的警告提示，如圖3所示，說明Outlook Express不能識别這些檔案，後面我又重新安裝了Outlook的最新版本，重新導入檔案仍然失敗。

圖3 導入檔案失敗

我分析原因可能是因為語言版本的緣故，既然此方法不行，那就換一種思路，從網上搜尋看看是否存在直接恢複郵件的軟體。通過查詢，發現擷取郵件内容的軟體網上有很多，但通過測試，對比分析，感覺還是mailbag不錯。

（三）使用Mailbag Assistant恢複郵件内容

1.Mailbag Assistant簡介

2.安裝與設定Mailbag Assistant

将Mailbag Assistant下載下傳到本地直接運作，安裝過程非常簡單，按照提示即可。安裝完成後直接運作，運作後會彈出向導要求使用者進行設定，如圖4所示，可以取消，也可以根據提示進行設定。

圖4 設定Mailbag Assistant

在本例中直接從檔案菜單中選擇打開Mailbox，如圖5所示選擇Mail所在檔案夾，一共有9個檔案，依次選擇每一個檔案或者選中所有的檔案開啟。

圖5 選中mail檔案

說明

（1）Mailbag Assistant預設有31天免費使用期，是以我是在虛拟機中使用該軟體，在安裝完成後做了一個快照（snapshot），以後需要使用時，直接使用快照即可。

（2）在mail檔案夾中由于是繁體，是以顯示為一些亂碼。

3擷取郵件内容

如果郵件檔案沒有損壞，則可以在Mailbag Assistant主視窗中看到郵件的内容，裡面包含郵件時間，誰發送，郵件位址，主題，附件，檔案名稱等資訊，如6所示，使用滑鼠單擊并選中第一條記錄，Mailbag Assistant軟體下方視窗中會自動顯示郵件的内容，在本案例中可以看到擷取郵件中包含使用者的一個密碼資訊。

圖6 顯示郵件内容

     4.導出郵件附件

     在主視窗中選中有附件辨別的郵件記錄，然後右鍵單擊在彈出的菜單中選擇“Extract Attachments…”，如圖7所示，然後選擇一個導出的檔案夾。

圖7 選擇導出附件檔案夾

     如果沒有什麼意外，就會出現一個導出資訊，如圖8所示，表示有3個附件導出成功。

圖8 附件導出成功提示資訊

5.導出所有郵件

選中目前視窗中的所有郵件，在“File”菜單中選擇“Export Email As”-“EML files”，将郵件導出為eml檔案，如圖9，圖10所示。這些eml檔案可以直接使用OE打開，或者直接導入OE等其它郵件檢視軟體中。

圖9 導出郵件為eml檔案

圖10 導出成功的郵件

   在Mailbag Assistant中還可以将其導出為其它普通的mailbox。

（三）郵件内容防檢視防範措施

對于郵件内容的防範措施，首先是應該加強個人計算機安全，對于一些涉及個人敏感資訊的郵件應當妥善處理，可以另外儲存為加密檔案。對于一些賬号開通資訊，應當及時修改賬号密碼以及個人資料資訊，這樣可以防止入侵者或者他人擷取郵件内容後進行利用。

  （四）總結與體會

   本次研究應該是無意之舉，郵件内容擷取也應該算是安全研究的一個内容，通過本次實踐，使個人掌握了Outlook Express郵件檔案儲存的實體位置，知道如何來恢複或者擷取郵件内容，對于一些設定了保護郵件内容密碼的使用者，當忘記密碼後，不失為一種解決方案。本文也可以作為社會工程學攻擊的一個輔助技術手段，同時通過本文，普通使用者應該更加重視網絡和資訊安全，從意識上加強安全防範，從行動上落實安全，讓沖浪更加安全！

 本文轉自 simeon2005 51CTO部落格，原文連結:http://blog.51cto.com/simeon/125400