邮件文件系统的恢复取证技术预测分析与验证

摘要

电子信息媒体在取证方面起到重要的作用，但是存在的困难是:嫌疑人员往往采取删除等行为销毁证据，导致难以获得有效的证据。特别是电子邮件信息中包含的信息与证据更加丰富。本文主要是通过NTFS文件系统的整体结构，实现了一套通用的文件恢复的接口。此方法主要是通过NTFS中MET文件描述项来进行恢复的。然后再分析邮件文件的内容格式，在通用文件恢复接口的基础上，对邮件文件进行恢复。这种方法在文件描述项被删除的情况下，只要文件内容没有被覆写，也可以将文件恢复出来。
　　在基于MFT文件描述项恢复的方案中，我们通过扫描系统的$MFT元文件，获取到每一个文件的MFT项，然后判断它描述的是否是邮件文件，是否被删除等信息。最后根据扫描的结果逐一将文件从磁盘上读取出来并写入新的文件中。
　　在全盘扫描中，我们判断邮件文件的依据是文件头格式。我们依次读取磁盘上的每一个簇，将之首部与邮件文件文件头进行对比。将符合的簇信息保存起来。再根据元文件$BITMAP上对每一个簇的描述信息判断它的后续簇链。恢复方法类同与数据属性($DATA)簇流列表。
　　程序用C++实现，界面用MFT框架写的对话框界面。为了能同时进行多项操作，在主界面线程中，我们开辟新的线程来进行搜索和恢复操作，采用多线程技术。
　　最后我们使用一款十六进制的磁盘编辑工具——Winhex，来对我们的恢复系统进行测试，结果表明，两种恢复方案都能正确的恢复出被删除后的邮件文件，并且没有发生什么重大的错误，两种恢复方案都是可行的。

目录

声明

摘要

1 绪论

1．1 课题背景与意义

1．2 国内外研究现状

1．3 论文主要研究内容

1．4 本文的安排与组织结构

2 相关技术分析

2．1 数据挖掘理论概述

2．1．1 数据挖掘的概念

2．1．2 数据挖掘与传统分析方法的区别

2．1．3 数据挖掘中的知识发现过程

2．2 客户细分概述

2．3 本章小结

3 保险公司客户流失预测模型与验证评估

3．1 保险公司的客户流失预测

3．1．1 保险公司业务分析

3．1．2 保险公司客户流失的原因剖析

3．1．3 客户流失预测对保险公司的必要性

3．1．4 客户流失预测的关键指标

3．2 数据预处理

3．2．1 数据挖掘工具选取

3．2．2 数据收集

3．2．3 数据集成

3．2．4 数据清洗

3．2．5 数据转换

3．3 保险客户流失管理模型设计

3．3．1 决策树挖掘算法分析与改进

3．3．2 客户流失预测模型的构建思想

3．3．3 基于决策树的保险客户流失建模分析

3．3．4 建立客户流失模型

3．4 模型评估

3．4．1 模型评估的内容

3．4．2 实验数据分析

3．6 本章小结

4 保险公司客户流失预测系统实现与应用

4．1 系统总体框架设计

4．1．1 系统实现目标

4．1．2 系统总体框架设计

4．2 系统主要功能代码实现

4．2．1 ．NET调用Clementine接口

4．2．2 决策树规则集

4．3 系统功能模块实现

4．4 保险客户流失预测系统应用分析

4．5 保险客户流失预测模型结果分析

4．5．1 保险客户流失预测的对策建议

4．5．2 控制保险客户流失的具体举措

4．6 本章小结

5 总结与展望

5．1 全文总结

5．2 课题展望

参考文献

致谢