티스토리 뷰
Exchange, Lotus Domino, GroupWise와 같은 이메일서버의 메일박스를 조사할 경우
- 이메일 서버 제품군 종류
- 이메일 DB 백업 정책
- 서버군 종류
- 이메일 서버 Shutdown 가능여부
- RAID? Total Volume?
- 사안이 중요하며, 압수된 후 또는 채증된 후 어떤 조취를 취했는지 반드시 확인할 것
Exchange 서버의 경우, Exmerge라는 유틸을 이용하여 EDB와 STM의 내용을 PST로 뽑아주는 기능이 있지만, 고질적인 PST 2 MB limitation이 존재하며, MS에서 개발한 개별유틸이 이 제한을 능가하나 Exchange 5.5 with SP1에서만 작동가능.
Paraben Network Email Examiner를 이용하여 메일서버를 조사하는 것을 추천한다.
EnCase의 경우 Deleted Email을 identify 할 수 없음. NEMX can do.
http://www.forensicfocus.com/index.php?name=Forums&file=viewtopic&p=6530093
'Email Analysis' 카테고리의 다른 글
| GmailParser (0) | 2010.02.25 |
|---|
댓글