کد مقاله کد نشریه سال انتشار مقاله انگلیسی نسخه تمام متن
10225799 1701216 2018 23 صفحه PDF دانلود رایگان
عنوان انگلیسی مقاله ISI
Navigating the Windows Mail database
ترجمه فارسی عنوان
مرور پایگاه داده‌ای ویندوز میل
کلمات کلیدی
ویندوز میل، ایمیل، پیام، قرار ملاقات، تقویم، ESE ،پایگاه داده‌ای،store.vol ،unistore ، ESECarve
فهرست مطالب مقاله
چکیده

کلمات کلیدی

1.مقدمه

2. روش

3. جداول پایگاه داده‌ای و فایل‌ها

1.3. رابطه‌ی پوشه‌ها با جداول

جدول 1: ساب‌دایرکتوری‌ها:  ساب‌دایرکتوری‌های شماره‌گذاری‌شده که به جدوال store.vol مربوط هستند

2.3. محتوای فایل

شکل 1: نقشه‌برداری شناسه‌های سطر پایگاه داده‌ها به نام فایل‌ها

جدول 2: استفاده از فایل. چهار کاراکتر کم‌اهمیتِ نام فایل تگی است که نشان‌دهنده‌ی استفاده از فایل است؛ لزوما رمزگذاری داده‌ها را نشان نمی‌دهد.

جدول 3: انواع دارایی این جدول انواع خاصیت غالب مورد استفاده در پایگاه داده store.vol را لیست می کند.

4. پراپرتی 

5. سوابق پایگاه داده‌ای ویندوز میل 

1.5. سوابق پیام

شکل 2: فیلدهای منتخب از جدول پیام.

شکل 3: نگاشت پیام به پوشه‌ها و استور

2.5. پوشه‌ها و استورهای پیام 

3.5. گیرندگان پیام و پیوست‌ها

شکل 4: نگاشت پیام به پیوست و گیرنده

جدول 5: کدهای نوع گیرنده

4.5.  قرارهای ملاقات

شکل 5: فیلدهای منتخب از جدول قرارهای ملاقات با پیام‌های مرتبط 

6. نتیجه‌گیری

پیوست A. پراپرتی‌های store.vol تشخیص‌داده‌شده



 
ترجمه چکیده
برنامه‌ی ویندوز میل در ویندوز 10 برای ذخیره پیام‌ها، قرار ملاقات‌ها و داده‌های مرتبط از یک پایگاه داده ESE استفاده می‌کند؛ باوجوداین، نام‌های فیلد (ستونی)، که برای شناسایی این سوابق استفاده می‌شوند، تگ‌های پراپرتی هگزادسیمال هستند که بسیاری از آنها بدون اسناد می‌باشند. برای پشتیبانی از تجزیه و تحلیل پزشکی قانونی (و یا جرم‌یابی قانونی)، برای تشخیص عملکرد این تگ‌ها یک سری آزمایشات انجام و این کار به یافتن مجموعه‌ای از اطلاعات مرتبط با برنامه‌ی میل منجر شد. این مقاله با ارائه‌ی اسناد تگ‌های پراپرتی را به اثبات می‌رساند که تا کنون شناسایی شده‌اند و نحوه‌ی تفسیرِ بازیابی آثار ویندوز میل از پایگاه داده‌ای ESE store.vol را ارائه ‌می‌کند که می‌توان به نحوه‌ی ثبتِ مسیر پرونده‌ها توسط سیستم میل اشاره کرد که از سوابق پایگاه‌ داده‌ای به‌دست می‌آیند. همچنین نامه‌های الکترونیکی و آرشیو قرارهای ملاقات را ارائه می‌دهیم که در تفسیر آرشیو پیام‌ها و قرارهای ملاقات می‌توانند مسائل پزشکی قانونی را شرح و نشان دهند که چگونه می‌توان با ایجاد پیوند بین این آرشیوها و سایر اطلاعات در پایگاه داده‌ای ESE به اطلاعات بیشتری دست یافت.
موضوعات مرتبط
مهندسی و علوم پایه مهندسی کامپیوتر شبکه های کامپیوتری و ارتباطات
پیش نمایش مقاله
مرور پایگاه داده‌ای ویندوز میل
چکیده انگلیسی
The Extensible Storage Engine (ESE) database is used to support many forensically important applications in the Windows operating system, and a study of how ESE is used in one application provides wider insights into data storage in other current and future applications. In Windows 10, Windows Mail uses an ESE database to store messages, appointments and related data; however, field (column) names used to identify these records are hexadecimal property tags, many of which are undocumented. To support forensic analysis a series of experiments were carried out to identify the function of these tags, and this work resulted in a body of related information about the Mail application. This paper documents property tags that have been mapped, and presents how Windows Mail artifacts recovered from the ESE store.vol database can be interpreted, including how the paths of files recorded by the Mail system are derived from database records. We also present examples that illustrate forensic issues in the interpretation of email messages and appointment records, and show how additional information can be obtained by associating these records with other information in the ESE database.
ناشر
Database: Elsevier - ScienceDirect (ساینس دایرکت)
Journal: Digital Investigation - Volume 26, September 2018, Pages 92-99
نویسندگان
,