需要帮助?联系我们 
+1 (855) 418-2323
需要帮助?联系我们
+1 (855) 418-2323
取证人员收到一份磁盘镜像、一台被扣押的笔记本电脑或一个导出的邮箱后,必须迅速回答一个问题:哪些邮件才是关键?证据分散在 PST 和 OST 归档、零散的 EML 和 MSG 文件以及 MBOX 备份之中 — 数以万计的邮件,往往没有关联任何 Outlook 配置文件。企业级取证套件能完成这项工作,但每个席位售价数千美元,还需要培训才能上手。
Mail Terrier 是一款轻量级的电子邮件取证工具,可按关键词、日期和参与人搜索硬盘上的每一个邮件归档 — 完全离线运行,且原始文件保持不动。几秒内即可找到相关邮件,并连同完整邮件头和元数据一起导出为 PDF 或 Excel,供您撰写报告。
快速解答:要执行电子邮件取证搜索,请在取证工作站上安装 Mail Terrier,将其指向存放 PST、OST、EML、MSG 或 MBOX 文件的文件夹或镜像挂载卷,然后用 AND/OR/NOT 规则按关键词搜索,并叠加日期或发件人过滤条件。它以只读方式读取文件,将每条命中结果连同完整元数据一并显示,并把结果导出为 PDF 或 Excel 用于证据报告 — 无需 Outlook,也无需联网。
电子邮件取证是为调查工作恢复、搜索和分析邮件证据的实践 — 涵盖应急响应、内部威胁案件、欺诈、人力资源事务以及诉讼支持。取证人员必须在多种混合归档格式中定位相关邮件,保留其元数据(发件人、收件人、时间戳、邮件 ID、附件),并就找到了什么、如何找到的,生成一份经得起质证的记录。
难点在于,邮件证据几乎从不以单一干净的格式出现。同一名当事人可能留下来自 Outlook 的 PST、一份 OST 缓存、一份来自 Gmail Takeout 的 MBOX,以及从网页邮箱导出的零散 EML 或 MSG 文件。用各自的原生客户端逐一打开 — 如果这种客户端确实存在的话 — 有篡改时间戳和已读标记的风险。取证搜索工具直接读取归档,无需邮件客户端,也不会修改源文件。
每次搜索都会记录其确切的检索词、日期范围和过滤条件,因此一旦结论受到质疑,您可以复现并记录整个方法。
Mail Terrier 完全在本地工作站上运行,读取源归档而不向其回写。证据从不离开本机,也从不上传到任何云服务 — 这对证据保管链以及机密或受特权保护的材料至关重要。
结果携带完整的邮件头:发件人、收件人、主题、发送和接收时间戳以及附件名称。PDF 和 EML 导出会保留这些元数据,使证据在报告或证物中依然具有意义。
搜索历史会记录您运行过的每一条查询。当方法本身受到关注时,您可以精确展示哪些检索词找到了哪些文件,以及搜索是在何时执行的。
| 功能 | 企业级取证套件 | Mail Terrier |
|---|---|---|
| 价格 | 每席位每年数千美元 | $199 一次性(家用免费) |
| 格式 | 视产品而定 | PST、OST、EML、MSG、MBOX、EMLX |
| 布尔关键词搜索 | 支持 | 支持(AND、OR、NOT、邻近搜索) |
| 日期和当事人过滤 | 支持 | 支持 |
| 源文件被修改 | 取决于工作流程 | 否 — 只读 |
| 云依赖 | 常常需要 | 无 — 100% 本地 |
| 导出 | 取决于平台 | PDF、XLS、DOC、TIFF、EML、MSG |
| 部署 | 数天到数周 | 几分钟内安装并开始搜索 |
应急响应。钓鱼攻击得手后,您需要在受影响的邮箱中找出来自某个恶意发件人、或带有某条已知主题行的每一封邮件。Mail Terrier 按发件人和关键词搜索导出的 PST 和 OST 文件,并导出命中结果用于事件报告。
内部威胁与数据外泄。受调查的员工可能已通过邮件将机密文件外发。在其归档中搜索附件名称、外部收件人和触发关键词,并叠加可疑时间段附近的日期范围。
内部及人力资源调查。一份投诉提到了具体的往来邮件。按关键词和参与人搜索相关邮箱,得到一组精确的相关邮件,而无需把此事暴露给额外的工作人员。
欺诈与合规。审计人员或调查人员要求提供涉及某笔交易、某个账户或某个对手方的往来邮件。Mail Terrier 扫描每一个归档邮箱,并导出结构化的 Excel 索引供审阅。
Forensic
