Cookie Policy Questo sito utilizza cookies. Continuando nella navigazione acconsenti all'uso dei cookies.

Continua Scopri di piu

Reality Net System Solutions

Analisi di Microsoft Outlook Express

Microsoft Outlook Express è il client di posta incluso in tutte le versioni di Microsoft Windows precedenti a Vista. In Vista è stato sostituito con Windows Mail, che utilizza un sistema di archiviazione dei messaggi e dei contatti completamente differente.

La disponibilità  immediata e gratuita di questo prodotto, lo ha reso molto popolare e utilizzato da parte di utenti di sistemi operativi Windows. Come tutti i programmi di posta elettronica mette a disposizione dell’utente funzionalità  di invio e ricezione di posta elettronica, gestione dei contatti, stampa e ricerca di messaggi, creazione di regole personalizzate, possibilità  di creare diverse identità , ecc.

L’analisi forense di Outlook Express riguarda prevalentemente due tipi di file:

  • File DBX, ovvero i file che contengono i messaggi di posta e che sono interpretati e gestiti da Outlook Express
  • File WAB, ovvero il file della rubrica

Una volta acquisita l’immagine dell’hard disk, la prima operazione da effettuare è quindi quella di localizzare questi file all’interno dell’albero delle cartelle.

Nel caso di un sistema operativo Windows XP, i file .DBX si trovano di default nella cartella

C:\Documents and Settings\%nomeutente%\Impostazioni locali\Dati applicazioni\Identities\%UID%\Microsoft\Outlook Express

mentre il file .WAB associato si trova in

C:\Documents and Settings\%username%\Dati applicazioni\Microsoft\Address Book

La posizione dei file può essere modificata facilmente dall’utente e impostata anche su una risorsa esterna o su una partizione differente rispetto a quella che contiene il sistema operativo (es. per esigenze di backup).

Si consiglia quindi di effettuare una ricera per tipo di file all’interno dell’intero supporto di memorizzazione.

Una volta estratti i file .DBX è necessario un programma per visualizzarli ed analizzarli.

Una soluzione praticabile potrebbe essere quella di utilizzare Outlook Express configurato su un client differente  in cui  importare i messaggi. Questa scelte è ad evitare poichè Outlook Express non considera i messaggi cancellati e non riesce a lavorare con  file danneggiati.

Esistono diverse soluzioni per l’analisi di file .DBX, sia commerciali sia gratuite. Di seguito si riporta un elenco (non esaustivo) dei prodotti disponibili su web:

Di seguito si riportano  brevi guide per l’analisi di file DBX con E-Mail Examiner, Final E-Mail e R-Mail

PARABEN E-MAIL EXAMINER

Paraben E-mail Examiner è uno dei programmi più noti per l’analisi forense, tra quelli sviluppati da Paraben Corporation.

Analogamente agli altri prodotti Paraben, può essere installato ed eseguito in modalità  demo completamente funzionante, per un massimo di 30 giorni e 23 esecuzioni complessive.

Ad ogni avvio compare una schermata che informa l’utente che il programma non è stato registrato e riporta i giorni e le esecuzioni residue.

Per proseguire è necessario fare clic sul tasto “OK“.

Appena caricato il programma, si avvia un Wizard automatico per l’analisi di un file o di una cartella.

Nel primo step si deve selezionare il programma di cui si vogliono analizzare i file. Nel caso specifico scegliere “Outlook Express 5/6” e fare clic sul tasto “Next” per proseguire.

Nel secondo step si deve selezionare la cartella contenente i file DBX da analizzare. Per proseguire fare clic sul tasto “Next“.

Nel terzo step si deve scegliere se si vogliono recuperare tutti i messaggi, tutti i messaggi compresi gli allegati, solo i messaggi cancellati oppure solo i messaggi cancellati con gli allegati. Per  avviare la ricerca  fare clic sul tasto “Finish“.

Il programma analizza la cartella selezionata e visualizza i messaggi contenuti in tutti i file DBX trovati.

Nel tab E-mail directory, selezionando un messaggio è possibile visualizzarne il contenuto.

Facendo clic sul tab “Message Header” si può visualizzare l’intestazione del messaggio, da cui si possono ricavare le informazioni relative ai server attraversati.

E-mail Examiner offre la possibilità  di effettuare ricerche all’interno degli archivi DBX  sia per contenuto sia per data.

àˆ possibile anche ottenere informazioni statistiche sull’intero archivio secondo:

  • Server mittenti
  • Mailer utilizzato
  • Indirizzi mittenti
  • Dominio mittente
  • Superdominio mittente (.com, .it, ecc.)

FINAL E-MAIL

Final E-Mail è un programma per il recupero dati da file .DBX, sviluppato da Final Data. Sul sito del produttore si può scaricare una versione demo che supporta l’analisi degli archivi ma non l’esportazione dei messaggi.

Avviato il programma, è sufficiente selezionare la voce “Open” del menu File per iniziare la procedura di recupero.

Nella schermata che compare, si deve selezionare il disco (o la cartella) che contiene i file DBX da analizzare e fare clic sul tasto “OK” per proseguire.

Il programma avvia la ricerca all’interno del disco o della cartella selezionata

Al termine della ricerca sono visualizzati nella schermata principale tutti i file .DBX trovati, con il relativo nome, dimensione e data di ultima modifica.

Facendo doppio clic su un file, questo  viene analizzato e viene visualizzata una schermata con l’elenco dei messaggi recuperabili.

Per recuperare un messaggio è necessario selezionarlo e fare clic sul tasto “Recover“. Questa funzionalità  non è disponibile nella versione demo.

Facendo nuovamente doppio clic su un messaggio si possono visualizzare il testo e i dettagli

R-MAIL

R-Mail è un programma per l’analisi di file .DBX, sviluppato da R-Tools Technology. Sul sito del produttore si può scaricare una versione demo che supporta l’analisi degli archivi ma non l’esportazione dei messaggi.

Per caricare un archivio .DBX si deve selezionare la voce “Add message base to Tree View“.

Si apre una finestra dove selezionare il disco o la cartella da analizzare.

I file trovati sono mostrati nella  finestra di sinistra (in stile Esplora Risorse). Facendo doppio clic su un file viene caricato nella finestra centrale l’elenco dei messaggi.