Что может найти эксперт-криминалист в файле данных Outlook? Можно ли восстановить удалённые письма, контакты, вложения, встречи и прочее из Microsoft Outlook? Может ли эксперт-криминалист извлечь что-либо из файла Данных Outlook (PST/OST файлы)? Реально ли пользователю скрыть неудобные моменты из переписки, хранящейся в Microsoft Outlook?

Для примера, судья затребовал деловую переписку с компьютеров при разбирательстве в арбитраже или личную переписку в гражданском споре. Предприниматель или гражданин обязан предоставить компьютер или ноутбук в суд для экспертизы. Но перед передачей компьютера на экспертизу все подозрительные данные (письма, контакты, файлы и прочее) будут, вероятно, удалены из Microsoft Outlook, а точнее, из PST и OST файлов Microsoft Outlook. Все подозрительные и сомнительные упоминания будут найдены поиском и удалены из Личных Папок Microsoft Outlook. Сокрытию данных способствует то, что:

• Outlook не имеет TimeMachine, чтобы просмотреть старую версию данных.
• Папку «Удалённые» в Outlook можно почистить, а функции восстановления удалённых объектов нет.

Иными словами, простое удаление писем из файлов данных Microsoft Outlook скрывает все неудобные данные.

Чтобы восстановить удалённые данные, нужна специализированная программа, которая анализирует PST и/или OST файл(ы), выявляет удалённые данные и сохраняет их отдельно. Outlook Forensic Toolbox разработана именно с этой единственной целью: извлечения удалённых данных из хранилищ и Личных Папок Microsoft Outlook.

Как работает Outlook Forensic Toolbox

Outlook Forensic Toolbox делает несколько сканирований файла данных Outlook, анализирует и выявляет все объекты, имеющиеся в файле. Далее программа сортирует данные на те, которые видны в Outlook и те, которые не отображаются в Outlook.

ВАЖНО: при чтении исходного PST/OST файла не происходит его модификации или исправления. Исходный файл только читается и анализируется. Все данные сохраняются отдельно в виде PST-файла или файлов с расширениями MSG, EML, TXT, VCF.

Схема криминалистического анализа хранилища Microsoft Outlook выглядит так:

• Проход 1: чтение данных, которые видит обычный пользователь, открыв PST или OST файл в Microsoft Outlook.
• Проход 2: чтение остальных блоков и секторов данных, которые не используются Outlook в пункте 1.
• Проход 3: дешифровка и анализ данных из пункта 2.
• Проход 4: сборка объектов из разрозненных блоков данных выявленных в пункте 3.
• Проход 5: проверка и идентификация обнаруженных объектов (писем, контактов, файлов и прочего).
• Проход 6: проверка целостности данных перед отображением.

После анализа данных их можно визуализировать в программе в виде писем, контактов или файлов.

• Проход 7: сохранение вскрытых данных в новый PST файл.

Итог длительной работы Outlook Forensic Toolbox – это данные, которые есть в PST-файле, но которые не отображаются и не используются в Microsoft Outlook. Вскрытые таким способом данные могут иметь нормальный вид обычных писем или контактов, а могут быть только фрагментами данных: фрагменты писем, текстовые версии email, изображение, вложенный файл или служебный заголовок email.

Далее уже эксперт-криминалист должен заниматься своей работой, искать нужные для суда или следователя данные стандартным поиском Outlook, собирать цепочки данных и прочее.

Анализ извлечённых данных

Всё, что не видит обычный пользователь Outlook, но ранее было удалено, извлекается и сохраняется в один файл PST. Можно сохранить данные в отдельные файлы разного типа (MSG, EML, TXT, VCF и т. д.), но это не так удобно для последующей работы с ними. Далее этот PST файл нужно просто открыть в Outlook.

Если письмо, контакт или встречу удалось восстановить полностью и без потерь, то они будут сохранены в соответствующих папках:

• Recovered contacts
• Recovered journal items
• Recovered mail items
• Recovered sticky notes
• Recovered tasks

Все, что не прошло проверку на целостность данных, сохраняется в папке Recovered files в виде отдельных файлов с разными расширениями:

• Recovered files

Папка Recovered files, вероятно, самая ценная для работы криминалиста.

Чтобы удобно просмотреть восстановленные данные, полезно скорректировать настройки Microsoft Outlook. Нажмите на символ «…» в левом нижнем углу:

Далее кликните на пункт “Folders”:

Частично восстановленные данные

Очень часто восстановить объект полностью не удаётся, тогда он будет сохранен в папке Recovered files как отдельный файл с соответствующим расширением. Например, фрагменты писем будут сохранены как .htm или .txt файлы. Служебные заголовки писем / headers будут сохранены как текстовые файлы с расширением txt. Текстовая версия тела письма будет сохранена в файл с расширением txt.

Если письмо не получилось восстановить полностью, например, когда нет таких элементов email как адресатов письма (From, To, CC, BCC), нет служебных заголовков или темы письма, то такие письма сохраняются в виде .htm файлов. Такие письма выглядят как обычное письмо или даже как переписка по электронной почте (email conversation) с именами и адресами авторов и даже с датами писем.

Восстановленные файлы

Самое интересное можно найти в файлах, которые восстановит Outlook Forensic Toolbox. Обычный пользователь Microsoft Outlook не оперирует и не видит файлы, но когда информация обрывочная или частичная, то именно в файлы сохраняются такие данные.

Самой большой по размеру папкой обычно бывает папка с именем … (recovered files). В эту папку сохраняются все файлы, которые удалось извлечь из .PST файла, но которые не видит обычный пользователь. Это могут быть:

• вложенные файлы
• HTML представления обычных писем
• картинки, видео, презентации и так далее
• части писем в TXT формате (это обычно фрагмент письма в HTML формате)
• служебные заголовки email
• текстовые версии обычных писем

Удалённые письма

В папке Recovered mail items сохраняются удалённое письма, которые удалось восстановить полностью или пости полностью. У этих писем есть все атрибуты нормального электронного письма:

• Subject
• Поле Date from
• Поля From, To, CC, BCC
• Собственно, тело письма
• Служебные заголовки письма (headers)

Папки

К сожалению, восстановить папки или дерево папок с объектами в каждой папке в большинстве случаев не представляется возможным. Вторая причина, по которой в конечном PST файле с восстановленными письмами и контактами нет вложенных папок, это то, что сами папки не удаляются. Пользователи просто очищают эти папки от писем, файлов и контактов.

Заключение

Извлечь и прочитать из Microsoft Outlook удалённые пользователем данные можно. Но часть их будет утеряна или сам объект может состоять из нескольких отдельных файлов. Порой удаётся извлечь и сохранить так много данных, что просто просмотреть их становится сложно. И только функция поиска в Outlook поможет найти что-то в гигабайтах файлов и писем.