Logo
首页 产品 支持 联系 关于我们
arrow1 Forensic

电子邮件取证工具:在 PST、EML 和 MBOX 中搜索邮件证据

 

取证人员收到一份磁盘镜像、一台被扣押的笔记本电脑或一个导出的邮箱后,必须迅速回答一个问题:哪些邮件才是关键?证据分散在 PST 和 OST 归档、零散的 EML 和 MSG 文件以及 MBOX 备份之中 — 数以万计的邮件,往往没有关联任何 Outlook 配置文件。企业级取证套件能完成这项工作,但每个席位售价数千美元,还需要培训才能上手。

Mail Terrier 是一款轻量级的电子邮件取证工具,可按关键词、日期和参与人搜索硬盘上的每一个邮件归档 — 完全离线运行,且原始文件保持不动。几秒内即可找到相关邮件,并连同完整邮件头和元数据一起导出为 PDF 或 Excel,供您撰写报告。

快速解答:要执行电子邮件取证搜索,请在取证工作站上安装 Mail Terrier,将其指向存放 PST、OST、EML、MSG 或 MBOX 文件的文件夹或镜像挂载卷,然后用 AND/OR/NOT 规则按关键词搜索,并叠加日期或发件人过滤条件。它以只读方式读取文件,将每条命中结果连同完整元数据一并显示,并把结果导出为 PDF 或 Excel 用于证据报告 — 无需 Outlook,也无需联网。

什么是电子邮件取证?

电子邮件取证是为调查工作恢复、搜索和分析邮件证据的实践 — 涵盖应急响应、内部威胁案件、欺诈、人力资源事务以及诉讼支持。取证人员必须在多种混合归档格式中定位相关邮件,保留其元数据(发件人、收件人、时间戳、邮件 ID、附件),并就找到了什么、如何找到的,生成一份经得起质证的记录。

难点在于,邮件证据几乎从不以单一干净的格式出现。同一名当事人可能留下来自 Outlook 的 PST、一份 OST 缓存、一份来自 Gmail Takeout 的 MBOX,以及从网页邮箱导出的零散 EML 或 MSG 文件。用各自的原生客户端逐一打开 — 如果这种客户端确实存在的话 — 有篡改时间戳和已读标记的风险。取证搜索工具直接读取归档,无需邮件客户端,也不会修改源文件。

立即下载!

(含 30 天免费试用)

购买许可证

(仅需 $199.00)

如何分步搜索邮件证据

  • 第一步。挂载或复制证据。将 PST、OST、EML、MSG、MBOX 或 EMLX 文件放到您的取证工作站上(或以只读方式挂载磁盘镜像)。Mail Terrier 从不需要安装 Outlook 或 Thunderbird。
  • 第二步。将 Mail Terrier 指向文件夹。添加单个文件夹或整个驱动器。多个归档和多种格式可放入同一次搜索会话。
  • 第三步。构建查询。输入关键词,并用 AND、OR、NOT 组合它们。添加日期范围以匹配事件发生窗口,添加发件人或收件人过滤条件以聚焦于关注的当事人。
  • 第四步。审查命中结果。每封匹配邮件都会显示发件人、收件人、主题、日期、文件路径和内容预览,让您在导出前确认相关性。
  • 第五步。导出供报告使用。将匹配邮件保存为 PDF(保留完整邮件头)作为证物,或保存为 XLS 作为结构化索引。EML 和 MSG 导出会把邮件连同附件保留为独立文件。

每次搜索都会记录其确切的检索词、日期范围和过滤条件,因此一旦结论受到质疑,您可以复现并记录整个方法。

为什么选择 Mail Terrier 做电子邮件取证?

只读、完全离线

Mail Terrier 完全在本地工作站上运行,读取源归档而不向其回写。证据从不离开本机,也从不上传到任何云服务 — 这对证据保管链以及机密或受特权保护的材料至关重要。

保留元数据

结果携带完整的邮件头:发件人、收件人、主题、发送和接收时间戳以及附件名称。PDF 和 EML 导出会保留这些元数据,使证据在报告或证物中依然具有意义。

可复现的搜索

搜索历史会记录您运行过的每一条查询。当方法本身受到关注时,您可以精确展示哪些检索词找到了哪些文件,以及搜索是在何时执行的。

电子邮件取证工具 vs 企业级平台

功能企业级取证套件Mail Terrier
价格每席位每年数千美元$199 一次性(家用免费)
格式视产品而定PST、OST、EML、MSG、MBOX、EMLX
布尔关键词搜索支持支持(AND、OR、NOT、邻近搜索)
日期和当事人过滤支持支持
源文件被修改取决于工作流程否 — 只读
云依赖常常需要无 — 100% 本地
导出取决于平台PDF、XLS、DOC、TIFF、EML、MSG
部署数天到数周几分钟内安装并开始搜索

什么时候需要电子邮件取证工具?

应急响应。钓鱼攻击得手后,您需要在受影响的邮箱中找出来自某个恶意发件人、或带有某条已知主题行的每一封邮件。Mail Terrier 按发件人和关键词搜索导出的 PST 和 OST 文件,并导出命中结果用于事件报告。

内部威胁与数据外泄。受调查的员工可能已通过邮件将机密文件外发。在其归档中搜索附件名称、外部收件人和触发关键词,并叠加可疑时间段附近的日期范围。

内部及人力资源调查。一份投诉提到了具体的往来邮件。按关键词和参与人搜索相关邮箱,得到一组精确的相关邮件,而无需把此事暴露给额外的工作人员。

欺诈与合规。审计人员或调查人员要求提供涉及某笔交易、某个账户或某个对手方的往来邮件。Mail Terrier 扫描每一个归档邮箱,并导出结构化的 Excel 索引供审阅。

立即下载!

(含 30 天免费试用)

购买许可证

(仅需 $199.00)

电子邮件取证工具 — 常见问题 ▼

电子邮件取证工具能在多种归档格式中搜索和分析邮件证据,用于调查工作。Mail Terrier 直接从磁盘读取 PST、OST、EML、MSG、MBOX 和 EMLX 文件,按关键词、日期和参与人查找邮件,并连同完整元数据导出命中结果以供撰写报告。
在工作站上安装 Mail Terrier,并将其指向存放邮件文件的文件夹或挂载镜像。它自行解析 PST 和 OST 归档,无需 Outlook、Thunderbird 或任何邮件配置文件,并将每条命中结果连同发件人、收件人、日期和主题一并显示。
不会。Mail Terrier 读取源归档而不向其回写,因此时间戳和已读标记都得以保留。证据始终留在本机,从不上传,从而保持证据保管链的完整。
可以。用 AND、OR、NOT 组合关键词,用引号匹配精确短语,并用邻近搜索查找彼此靠近的词语。再叠加日期范围以及发件人或收件人过滤条件,即可聚焦于关注的当事人和事件窗口。
Mail Terrier 在单次会话中搜索 PST、OST、EML、MSG、MBOX 和 EMLX,因此对于同时拥有 Outlook PST、Gmail Takeout MBOX 和零散 EML 文件的当事人,无需先转换任何文件即可一并搜索。
将匹配邮件导出为 PDF(保留完整邮件头)作为证物,导出为 XLS 作为结构化索引或特权清单,或导出为 EML 和 MSG 以把每封邮件连同附件保留下来。每次搜索都会记录在案,方法可以复现。
Mail Terrier 供家庭个人使用免费。用于商业、取证、法律或合规工作时,许可证为一次性 199 美元,没有订阅费,也没有按席位收费。

 

立刻开始工作!

下载试用版,只需几分钟即可转换文件。
无需信用卡或电子邮件。

⬇ 下载试用版 Windows 7/8/10/11 • 104 MB

Support
邮件猎犬 Preview1
邮件猎犬 Preview2

最新消息

订阅新闻

不用担心,我们不发送垃圾邮件。


© 2026. 版权所有. CoolUtils File Converters

Cards