Ontrack Now
================================================================================
■■ ■ ■ 豆知識 Vol.05-09
■ ■ ■ ■ ■ メール本文について
■ ■ ◆■■ ■■■ ■ ■ ■■◆ ■■ ■ ■ ■ ■
■ ■ ■ ■ ■ ■■ ■ ■ ■ ■■ ■■ ■ ■■ ■ ■ ■
■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■ ■■ ■ ■ ■■■■
■■ ■ ■ ■■ ■ ■■◆ ■■ ■ ■ ■ ■ ■■ ■ ■
=============================================================2007.09.26=========
今回も先月の続きでメール絡み・・・
編集子のメール・ソフトはずっと"EUDORA"で来ていますので、これから説明する内容は
ちと心許無いのですけれど・・・
"EUDORA"はメッセージ本体はフォルダを単位としたファイルにテキスト形式で持ち、
添付ファイルは"ATTACH"というフォルダに全て復号して元のファイル形式で持つので、
このファイル自体が破損しない限り外部のアプリケーションで自在に扱う事が出来ます。
"EUDORA"と複数のフォルダを同時に開いておけ、そのそれぞれの内容も参照出来る事、
複数のメール・サーバーを同時に接続出来る事がMSのメーラーにはないメリットで・・・
≪メーラーごとのメッセージ収納ファイルとその形態≫
| | ファイル | メール本体 | 添付ファイル |
|---|
| Outlook Express | 専用フォルダ単位(dbx) | テキスト型 | ファイルに内蔵 |
| Outlook | 専用データベース(pst) | バイナリー型 | データベースに内蔵 |
| Lotus Notes | 専用フォーマット(nsf) | バイナリー型 | ファイルに内蔵 |
| EUDORA | フォルダ単位(mbx) | 完全テキスト型 | 復号済み別フォルダ保管 |
| Almail32 | 単一メール(alm) | 完全テキスト型 | ファイルに内蔵 |
他に使われているものとしては、Becky!、Mozzila/Thunderbird、Shuriken等が
ありますが、これらは周りに使っている人がいないので、ファイルの手持ちが・・・
≪データ復旧・ファイル修復の可能性≫
| Outlook Express | EasyRecovery Professional/Final Data 2007/DbxRescue |
| Outlook | EasyRecovery Professional/Final Data 2007 |
| Lotus Notes | nsfについては、英語圏ではデータ回収ソフトが存在するようですが、日本語へは全く対応していないので、テストした際はつかえませんでした。 内部はバイナリーですので、現状ではまったく手に負えません。 |
| Eudora/Becky! | Final Data 2007 |
| Natscape/Mozilla | Final Data 2007 |
| Thunderbird | Final Data 2007 |
| Almail32 | 本文はテキストエディタ、添付ファイルはデコーダソフトなので、自分で復旧する以外ないようです。 |
EasyRecoveryは新たなDBX/PSTファイルを作りますが、他のソフトはemlという拡張子を
持つ個別メッセージファイルを作ります。 EasyRecoveryはDBXファイルを再生しますので、
インポートしてそのまま使用が可能です。
・ Ontrack EasyRecovery Professional
Final DataやDbxRescueが作るemlファイルは、全体ではなくメッセージ単位となります。
メッセージ+添付ファイル単位に分割されたもので、ダブルクリックするとOutlook
Expressで参照することが可能です。 添付ファイルも同じファイル内にありますので、
添付ファイル名をダブルクリックすれば開けます。
DBXは、基本はTEXTですが内部に独自のファイル構造を持っていますので、添付ファイル
まで再生したい場合は、これらを使う以外にないでしょう。 本文だけを参照したい
のであれば、“秀丸”などのテキストエディタ、“Bz”などのバイナリエディタでも
内容を見る事は可能です。
正常なDBX、開けなくなったDBXを個別のメッセージに分けたい場合、Dbx Rescueは結構
使えそうです。
DbxRescueのホーム・ページにはDBXの構造に関しての説明がありますので、ご興味の
ある方はご覧になってはいかがでしょうか。
・ DbxRescue
≪添付ファイル≫
メールに添付されるファイルは Base64/uuencoded/BinHex & xxencoded data 等で
エンコードされ、文字列化してメールに添付されます。 壊れたメールを扱う場合、
これを元に戻す復号化作業を行う必要があります。 先に挙げたソフトはこれらも
行ってくれますので、まずは使用しているメールにあったどれかでやってみる以外
ありません。
この複合化(デコード)を行うフリーのソフトはパッとしたものがないようです。
BASE64に関しては、フリーの Rafflesia というのが使えるようです。
このソフトはクリップボードの内容をデコードしてファイルに落とすという方式です。
添付ファイルですから仕方がない?
UNIX/Macの世界は敷居が高くて・・・BINHEX/UUENCODED系の変換ソフトは見つけて
おりません。
Rafflesiaを使ってBASE64を復号化するには、まず添付ファイルがついているメール
本文をテキストエディタで開きます。 Content-Transfer-Encoding : base64という
文字列を探し、その後ろを見てベタテキストがずらりと並んでいたら、これが切れる
ところまでが添付ファイルです。
その先頭は"0M8R4KGxGuE"という文字列を持っているはずです。 表記は異なりますが、
それぞれのメーラで添付されているファイルの種類を示す文字列等もついていますし、
ファイルの終わりを示すセパレータもテキストで入っていますので、これを見て、
添付ファイルの塊を判断して下さい。
この範囲を選択して、CTRL+Cを押してクリップボードに送り込みます。
添付ファイルはメールの中では以下のような形で入っているはずです。
同一のメールに関するものは、複数のパートに分かれていても、下線の様に同じIDを
持っていますので、その範囲は特定出来ます。
------=_NextPart_000_000E_01C74A24.81CCA8E0
Content-Type: application/vnd.ms-excel;
name="=?iso-2022-jpxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="=?iso-2022-jpxxxxxxxxxxxxxxxxxxxxxxxxxxxxx"
0M8R4KGxGuEAAAAAAAAAAAAAAAAAAAAAPgADAP7/CQAGAAAAAAAAAAAAAAABAAAAHwAAAAAAAAAA
EAAA/v///wAAAAD+////AAAAAB4AAAD/////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////////
////////////////////////////////////////////////////////////////////////////
:
:
dQBtAG0AYQByAHkASQBuAGYAbwByAG0AYQB0AGkAbwBuAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAKAACAQEAAAADAAAA/////wAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA4A
AAAAEAAAAAAAAAUARABvAGMAdQBtAGUAbgB0AFMAdQBtAG0AYQByAHkASQBuAGYAbwByAG0AYQB0
AGkAbwBuAAAAAAAAAAAAAAA4AAIB////////////////AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAAAAAAAAAAAAAAFgAAAAAQAAAAAAAA
------=_NextPart_000_000E_01C74A24.81CCA8E0--
"Rafflesia.exe"を起動すると結果の出力先を求めるダイアログが開きますので、
ここでファイル名とフォルダを指定してやれば、デコードされた結果が出力されます。
これで上手くいけば・・・テストでは、正常なものはちゃんとデコードしてくれました。
≪テキスト・エディタでの本文検索法≫
それぞれのメーラーにも検索機能はありますが、破損したファイルや複数のファイルを
一括して検索したい場合、テキスト・エディタを使って検索する事が出来ます。
エディタに実装されている"GREP"(Global Regular Expression search and Print)
機能を使えば、指定した文字列を含む行とファイル名、行数を指定範囲のフォルダ/
ファイルから抜きすことが出来ます。 検索結果とHit元のファイルとを両方開いて
行で確認し、本文内容を見るといった使い方をします。
テキスト・エディタには"秀丸"を使っています。GREPを使用するのは時折ですが、
重宝します。
Outlookに関しては、専用のソフトウェアを入手する以外ありません。
弊社で取扱っているオントラック社製のPowerControls等がこの目的を果たしてくれます。
・ Ontrack PowerControls
≪ファイルとして存在しないものを探したい場合どうするか?≫
データ復旧ソフトを使っても回収出来ない場合、最後の手段はディスク全体に対して
検索を掛けてみる以外にありません。 特定の文字列が指定出来るのであれば、その
文字列をキーとしてディスク全体を検索する手段が存在します。
UNIXが使える方はUNIXのコマンドラインでも実現出来るでしょうし、この種の作業に
使えるソースがいくつか公開されているようです。 Windowsの世界ではフリーウェアや
価格の安いレンジだと、それらしきものはほとんど存在しないようです。
唯一、力仕事でもよいからというのであれば、「ディスクダンプエディタ」という
ソフトが使えます。 セクターByセクターの全文字比較ですので時間は掛かりますが・・・
98文字の文字列で検索してみたのが下の図です。 何文字まで使えるかは?
最も原始的なメール関連のフォレンジクス的検証の方法は以上のようなものでしょうか。
余りお役に立ってはほしくないのですが、ネットワークの管理に携わるにはこんな知識も
必要になって来た昨今です。
以上
================================================================================
Ontrack Data Recovery Service--
======================================================豆知識===Vol.05-09=END====
