REVIEW PAPER

HAYADI HAMUDA
Towards Comprehensive and Collaborative
Forensics on Email Evidence
Justin Paglierani, Mike Mabey and Gail-Joon Ahn
Arizona State University
{jpaglier,mmabey,gahn}@asu.edu

1. Latar Belakang
Komunikasi terhubung satu sama lain melalui internet, untuk memberikan suara sistematis
dan forensik ini untuk menemukan, penggalian dan menganalisis bukti dari email yang berada
melalui teknologi, diperkenalkan ketika pusat-pusat penyelidikan sekitar analisis berbagai
sumber email dan lebih jauh lagi pemeriksaan sederhana tidak membantu pemeriksa dalam
mendeteksi kehadiran email yang tidak disimpan secara lokal. Pendekatan kami memiliki
beberapa sifat unik untuk mendukung forensik email Saat ini, ada ada sedikit dukungan untuk
menemukan, memperoleh, dan menganalisis web email berbasis, meskipun digunakan secara
luas pada mendeteksi keberadaan account email, mengambil data dari penyedia layanan,
Akibatnya, pengembang dan organisasi dapat kolaboratif membuat dan menggunakan alat-alat
analisis yang dapat menganalisis bukti email dari sumber dengan cara yang sama.
Menggunakan berbagai metode komunikasi, termasuk email disimpan secara lokal dan
rekening webmail, hanya secara lokal disimpan atau cache email akan langsung tersedia dan
rekening webmail akan tetap belum ditemukan tanpa upaya manual substansial. Ini bagian
yang hilang dari data yang bisa menyebabkan laporan investigasi lengkap, bahkan jika bukti,
ada kemungkinan bahwa pemeriksa akan membutuhkan alat yang terpisah dan metode untuk
menganalisis masing-masing.
2. Masalah
a. Pertimbangkan skenario sebuah komputer telah dikomunikasikan dengan berbagai pihak
menggunakan metode komunikasi, termasuk email disimpan secara lokal dan rekening
webmail.
b. Kapan pemeriksa hard drive, hanya secara lokal disimpan atau cache email akan langsung
tersedia dan rekening webmail akan tetap belum ditemukan tanpa upaya manual
substansial. Ini bagian yang hilang dari data yang bisa menyebabkan laporan investigasi
lengkap sehubungan dengan yang diduga bertindak. Bahkan jika bukti berada lokal di
beragam format, ada kemungkinan bahwa pemeriksa akan membutuhkan alat yang terpisah
dan metode untuk menganalisis data.
3. Hipotesa
Untuk memberikan suara yang sistematis dan forensik untuk menemukan, penggalian, dan
menganalisis bukti dari email yang berada melalui teknologi muncul. Pendekatan kami
memiliki beberapa sifat unik untuk mendukung forensik email pendekatan terdiri dari
menganalisis bukti email. dapat melakukan forensik lebih efisien dan efektif dengan
mengurangi jumlah kasus.
4. Pengumpulan Data
Setiap pemeriksa memiliki kemampuan yang berbeda, alur kerja proses melakukan
forensik tugas lebih efisien dan efektif dengan mengurangi jumlah kasus dan format data
proprietary yang telah hambatan penting untuk mereka berkolaborasi dengan satu sama lain.
Oleh karena itu, kami memperkenalkan diperpanjang format berbasis XML untuk mewakili
bukti email dengan seragam dan interoperable wadah bukti kolaboratif forensik email. Kami
berharap bahwa dengan bantuan pendekatan kami, masyarakat forensik digital dapat mulai
membangun terbaik berlatih standar untuk memperoleh, proses, mengotentikasi dan
menganalisis.

Tabel . Lintas email harian 2012- 2016

5. Metodologi
Analisis metode yang tersedia untuk bukti berbasis disk, untuk memasukkan semua
bentuk bukti digital yang lebih tradisional menjadi bagian dari penyelidikan, bukan hanya
hard drive. untuk bukti berbasis web seperti email. untuk akuisisi dan penyimpanan merek
bukti secara online tersedia sarana dimana alat analisis dapat menangani dan menganalisis
bukti-bukti tersebut. menemukan identitasnya secara online dari bukti yang diperoleh,
pemetaan kredensial untuk mereka layanan yang sesuai, penggalian bukti dari setiap layanan,
otentikasi dan pengolahan bukti menjadi standar Format representasi, dan kemudian
melakukan analisis yang sebenarnya.

Gambar 1. Alur kerja forensik tradisional yang dikombinasikan dengan pendekatan email
a. Akusisi awal
Untuk memperoleh "copy forensik," yang tujuan adalah duplikat yang tepat dari aslinya.
Forensik salinan berfungsi sebagai perlindungan.
 b. Bukti Penemuan
Sehubungan dengan format di mana data tersebut disimpan atau jenis layanan sementara
seperti jejak, Sidik jari dan "profil. yaitu. Untuk mendeteksi kredensial disimpan dalam
sepotong bukti yang pemeriksa dapat digunakan untuk memulihkan bukti tambahan untuk
penyelidikan memiliki kelemahan yang tidak cerdas atau efisien Cari file yang diketahui
teratur menyimpan seperti database dan entri registry.

6. Analisa
Memperoleh, pengolahan, dan otentikasi bukti ini adalah untuk melakukan analisis
forensik yang akan informatif untuk keperluan penyelidikan. menyediakan suatu proses untuk
akuisisi dan Penyimpanan bukti tambahan, pelaksanaan baru alat analisis adalah di luar
layanan online, memperoleh data dari layanan, dan pengolahan data ke dalam format standar
semua dilakukan secara otomatis, menghemat waktu sambil memberikan meningkat luasnya
untuk laporan kejadian. penyimpanan data harus memiliki cara yang digunakan untuk
memvalidasi strukturnya. Tiga manfaat timbul dari persyaratan ini:
1) Data dalam format divalidasi memberikan pengembang alat kepercayaan dalam struktur
dan jenis data
2) Mungkin untuk mengkonversi bukti untuk format yang digunakan dalam proses, membuat
alat yang lebih dapat digunakan kembali
3) Untuk mengevaluasi kinerja, menemukan, mengumpulkan, dan menganalisis bukti
disimpan oleh layanan online.

Gambar 2. Kerangka Pugse Framework

menentukan untuk tulang punggung PlugsE yang nama modul, jenis data (file DFXML, Google
cookies, file yang keyring, dll) bagaimana mengakses modul dari sudut pandang program. Vektor
akses bisa, misalnya, baris perintah eksekusi atau layanan tersedia melalui prosedur Call Jarak
Jauh (RPC) antarmuka seperti sebagai REST. PlugsE menyimpan file untuk setiap langkah dalam
Proses forensik dan mem-parsing mereka untuk membuat tabel vektor yang menggunakan untuk
memetakan berbagai jenis data itu disajikan dengan untuk implementasi penggunaan proses
forensik, baik menerima sebagai masukan dan kembali sebagai output JavaScript Object
Notation (JSON) representasi dari data yang ditindaklanjuti ditambah dengan penebangan
informasi (start/end kali, checksum, nama modul dan versi), yang membantu dalam memberikan
representasi umum dari data dalam sistem. Proses forensik dapat diturunkan ke remote server
melalui RPC untuk modul yang disediakan oleh organisasi lain dalam SOA fashion, dengan
tulang punggung dan pemeriksa yang menyadari lokasi atau pelaksanaan geografis rincian web
layanan.
7. Kesimpulan
Untuk melaksanakan forensik email dan menunjukkan bukti dari konsep implementasi dengan
hasil evaluasi. Memperluas definisi kredensial, metode untuk menemukan identitasnya, dan
telah menunjukkan penemuan credential untuk akun Gmail, metode untuk membangun
kembali sesi Gmail yang ada, langkah-langkah yang diperlukan untuk melaksanakan akuisisi
tambahan, dan bukti selesai Tahap pengolahan menghasilkan kedua sebuah mbox menengah
mewakili keadaan resentation bukti email dan diusulkan EFXML / EFRDF.
8. Referensi
Fox News, "Petraeus resigns after affair with biographer turned up in fbi probe, fox news
confirms," http://www.foxnews.com/, November 2012.
B. Nelson, A. Phillips, F. Enfinger, dan C. Steuart, Panduan untuk komputer forensik dan
investigasi. Boston, Mass: Thomson Course Technology, 2008.
K. Ashton, "Itu Internet of Things 'Thing," RFID Journal, vol. 22, pp. 97-114, Juli 2009.
R. Littlehale. (2013, Maret) Mendengar pada ECPA bagian 1: akses Lawful ke disimpan
konten, kesaksian tertulis dari Richard Littlehale. http: // peradilan.
house.gov/hearmgs/113th/03192013_2/Littlehale%2003192013.pdf. Sepuluh- nessee Biro
Investigasi. Radicati Group, Inc., "Email Market, 2012-2016,"
http://www.radicati.com/wp/wp-content/uploads/2012/10/Email-Market-2012-2016-
Executive-Summary.pdf, Oktober 2012.