Opus技术恢复邮箱从崩溃的交换服务器，恢复电子邮件连接

• 2020年7月23日
• 打印
• 下载

Digital Evidence Ventures从退役服务器中恢复邮件，用于法医分析和对抗公司诉讼

Digital Evidence Ventures (DEV)是一家位于加州萨克拉门托的数字取证和电子发现公司。它为计算机和手机取证领域的律师事务所和企业提供数字取证服务和诉讼支持。DEV由前联邦调查局特工和非执业律师领导，他们帮助律师和企业收集和分析数据，以获得证据来解决诉讼或帮助企业做出明智的决定。

Digital Evidence Ventures的一位客户在一起公司诉讼中需要帮助，他们需要保存一台退役服务器邮箱里的所有电子邮件。客户组织需要从退役服务器的归档EDB文件中提取邮箱，以便进行取证分析。

主要挑战

关键的“技术”挑战是在没有原始服务器设置和AD配置的情况下恢复退役服务器的邮箱。同时，客户组织急需恢复邮件，以便及时回复订单。

以下部分总结了DEV取证专家面临的主要挑战:

• 恢复已退役的服务器

当服务器退役时，它将要求团队使用Exchange和域控制器重新构建域，以便挂载数据库和恢复邮箱。但是，这个标准恢复过程不能保证成功，因为事务日志文件丢失，AD不可用。此外，强制挂载数据库可能会影响邮箱数据，并使其作为证据无效。

• 时间不足

恢复已退役的服务器是一个耗时的过程。恢复已退役的服务器并提取邮件数据进行分析可能需要几个小时到几个星期的时间。然而，客户需要尽可能早地保存信息和证据，以便进行诉讼和对抗。

业务需求

以下是主要的业务需求:

• 从已停用的Exchange服务器恢复并保留邮箱
• 在最短的时间内收集所需的信息和证据

邮箱恢复尝试

由于无法挂载EDB文件，唯一的解决方案是从EDB文件中提取邮箱，以一种可以作为法医证据的方式。

开发团队尝试使用Parabens®和Access Data®的取证工具包提取邮箱。Paraben Forensic Toolkit支持EDB (Exchange database)文件，支持将邮件导出到PST。但是，它无法提取所需的信息，也无法显示所需的电子邮件、电子邮件内容以及存储在EDB文件中的邮件的保管人。此外，导出到PST时删除的邮件项目没有单独标记，导致难以区分导出的电子邮件。该团队在访问数据取证工具包中遇到了类似的问题。

解决方案

在评估了几个取证工具包后，开发团队发现了Stellar Toolkit for Exchange;这是一个软件套件，可以“转换”离线和托管的EDB文件，并在不拆卸数据库的情况下提取邮箱。该工具可以从退役或非活动服务器的EDB文件中提取邮箱，包括已删除的电子邮件。

该团队从Stellar下载了Exchange工具包的免费试用版，并使用它来扫描从退役Exchange服务器复制的存档EDB文件。该工具能够扫描所有的邮箱和预览邮箱内容，包括电子邮件正文文本，附件，联系人，日历等。它还可以找到并预览已删除的邮件。

在验证邮箱数据后，团队决定激活该软件并在PST文件中提取所需的邮件。

结果

该工具包允许提取所需的邮箱数据，并提供诉讼所需的托管人信息。它有助于保存客户组织为进一步调查所需的电子邮件和其他邮箱数据。

关键好处

Stellar Toolkit for Exchange帮助Digital Evidence Ventures为其客户组织找到并保存了邮箱。工具包将所需的邮箱保存到具有原始完整性的PST文件中，并使用Preview特性进行了验证。该软件作为一个有效的解决方案，提取邮箱在给定的时间跨度。

• 2020年7月23日
• 打印
• 下载