소개

Mail Viewer는 MiTeC사에서 개발한 도구이며, 프리웨어이다. 최신 업데이트 일자는 2013년 1월 9일이며, 최신 버전은 1.8.5이다. 본 항에서는 최신버전인 1.8.5를 기반으로 보고서를 작성하였다.
Mail Viewer는 이메일 클라이언트 아티팩트 Viewer이다. 지원 운영체제는 Windows 2000, XP, 2003, Vista, 7, Server 2008이다. Mail Viewer는 설치할 필요 없이 압축을 풀어 실행파일을 실행시키면 된다. 대상이 되는 이메일 클라이언트는 Microsoft Outlook Express 4,5,6버전, Windows Vista Mail/Windows Live Mail, Mozilla Thunderbird이다. 분석 가능한 포맷을 정리하면 [표 1]와 같다.

[그림 1] Mail Viewer 실행 화면

Mail Viewer는 이메일 파일에서 본문, 수신자, 발신자, 첨부파일, 날짜와 시간, 참조 등을 파싱할 수 있다. 또한 이메일 파일에서 필터를 사용하여 검색할 수 있으며, 이메일 주소를 추출해주는 기능도 제공한다. [그림 1]는 Mail Viewer의 실행 화면이다.

사용법

[그림 2] Mail Viewer 분석 파일 선택 화면

Mail Viewer를 실행하면, 초기화면에서 분석할 대상을 선택할 수 있다. Outlook Express message database, Folder containing e-mail files(EML), Mozilla Thunderbird message database, Single EML file을 선택할 수 있으며, 현재 사용하고 있는 이메일 클라이언트 아티팩트를 선택할 수도 있다. 아티팩트 선택 화면은 [그림 2]과 같다.

[그림 3] Mail Viewer의 메일 상세 내용 보기

선택된 아티팩트를 분석하면, [그림 3]처럼 이메일의 목록을 얻을 수 있다. 이메일의 목록에서 한 레코드를 더블 클릭하면, 해당 이메일의 상세 내용을 볼 수 있다.

[그림 4] Mail Viewer의 Collect E-mail View

Mail Viewer에서는 Filter 기능을 지원한다. Filter는 Mail 목록에서 사용자가 원하는 내용을 검색해준다. 그리고 Collect E-mail View라는 기능을 지원한다. 이메일 목록에서 이메일 주소와 닉네임을 검색하여 프로그램 하단에 리스트를 출력해 준다. 만약 이메일 주소만 검색될 시에는 닉네임이 표기되지 않는다. 이는 [그림 4]와 같다.

도구 기능

Mail Viewer는 이메일 파일에서 본문, 수신자, 발신자, 첨부파일, 날짜와 시간, 참조 등을 볼 수 있다. 이는 평문, HTML, Source 상태로 볼 수 있다.
Mail Viewer에서 Filter는 검색 기능을 제공한다. 사용자가 입력한 검색이 포함되어 있는 메일 리스트를 보여준다. [표 2]는 Filter에 대한 옵션에 대해 정리한 것이다.

Collect E-mail View기능은 이메일 목록에서 이메일 주소와 연결되는 닉네임을 찾아주는 기능이다. 이를 상단 Messages메뉴에서 확인할 수 있으며, 프로그램이 자동적으로 이메일 주소와 닉네임을 하단에 보여준다.

제한사항

Mail Viewer는 이메일 클라이언트 아티팩트를 정상적인 레코드만 분석을 해준다. 이메일 내용에서 원하는 부분을 리포팅을 해주는 기능이나 삭제된 이메일 복구 기능과 같은 부가적인 기능이 없다.

수사 활용 방안

Mail Viewer는 리포팅이나 삭제된 이메일 복구 기능과 같은 부가 기능을 필요하지 않고, 정상적인 이메일 내용들을 확인할 때 유용하다. Mail Viewer는 포터블로 동작하기 때문에, 초기 수사 시 유용하게 사용할 수 있다.