聊天、电子邮件和互联网文物

互联网文物是证据兴趣的主要领域之一，它可以用来识别个人之间的通信，证明谁访问了计算机，或者显示他们访问了哪些网站。在互联网使用量增长之前，这些信息，尤其是电子邮件或聊天等通信，通常存储在本地安装的程序中（例如，邮件程序）。这些程序的数据库和日志文件通常包含已知的格式，并且可以轻松地从已知位置提取信息。最近，许多此类活动已转移到网上，这使得恢复此类信息变得更加复杂。

例如，以前 MSN Live Messenger（本地安装的程序）是聊天记录的常见来源。今天，Facebook聊天很普遍，完全在浏览器中进行。必须从未分配的空间或其他缓存文件中恢复记录。

本节详细介绍了查找与浏览器相关的文物、互联网历史记录和聊天时的一些注意事项。

当通过互联网浏览器进行活动时，许多信息存储在与程序关联的本地缓存中。这通常会受到高度的“波动”，并且会定期删除和覆盖。其他存储的信息可能包括互联网历史记录（即访问了哪些网站）和书签。主要的浏览器（Internet Explorer、Mozilla Firefox、Opera 和 Google Chrome）都将缓存、历史记录和书签存储在不同的文件格式中。

网页缓存通常包含大量信息，包括用户访问的网页的存储副本（通常还包括这些网页上的图像）。不同的浏览器可以缓存不同类型的數據。几乎所有现代产品都会临时缓存访问网站的所有文本和图像，通常为几个星期或更长时间。此外，大多数产品会将条目“缓存”到表单字段中（以提供自动完成功能）。

Google Chrome 浏览器存储访问网站的缩略图，这是一种不寻常的缓存文件形式，具有很高的证据价值；它证明了计算机用户在浏览网站时在屏幕上确切地看到了什么。

缓存文件往往是易失性的，有时它们会存储很长时间。在其他情况下，它们会在几个小时内被删除，有时是用户手动删除的。幸运的是，网页缓存往往包含大量文件，通常可以恢复或搜索所有或部分已删除的材料。这可能是一个“命中或未命中”过程，并不总是能够恢复所有已删除的网页，但关键字搜索通常会找到它们的大部分内容。

默认情况下，所有浏览器都会存储某种形式的互联网历史记录（用户通常会忘记关闭它），其内容具有很大的证据价值。特别是因为大多数浏览器还会为每个条目存储时间戳，这在构建任何活动的事件时间轴方面很有用。

所有浏览器都以不同的方式存储互联网历史记录。例如，Internet Explorer 将历史记录存储在每个用户的应用程序数据文件夹中的专有 .dat 文件中。Firefox 在类似的位置存储数据，但采用 SQLite 数据库形式。

与缓存文件一样，历史记录往往会受到重大波动的影响。有时你可能会幸运地找到保存了 6 个月的完整历史记录，而其他时候你可能只会得到过去一周的零星条目。但是，与缓存文件不同，历史记录（至少是 Internet Explorer 文件）往往采用已知的格式，可以在已删除的磁盘空间中对其进行搜索。存在几个免费软件和商业工具可以在证据中运行并从已删除的空间中提取互联网历史记录数据。

互联网聊天在计算机用户中非常普遍，尤其是年轻一代。这种交流的证据价值巨大，因为它可以帮助证明任何行为的意图。除了对别人的供词之外，与犯罪相关的聊天最常见的用途是

• 诱骗未成年人
• 组织犯罪活动
• 骚扰/网络跟踪

在过去几年中，MSN Live Messenger 是最常用的聊天程序，最近已被 Facebook 实时聊天取代。Yahoo 聊天目前排名第三。恢复聊天记录，特别是从 MSN 恢复，是一个“命中或未命中”的尝试。通常它们不会被存储任何时间（如果有的话）。

除了实际的记录之外，聊天程序还会存储其他日志，这些日志可能有用。例如，状态更新可以帮助证明计算机何时在线。并且大多数聊天程序都会存储可读的联系人列表。

MSN 默认情况下不会存储聊天日志，但是相当数量的用户会打开此功能。有一个名为 Messenger Plus 的附加组件，通常会被安装，它会将通信记录到 HTML 文件中。程序本身和 Messenger Plus 都会在已知位置创建日志，并带有特定的标题，如果被删除，通常可以恢复。但是，如果没有打开日志记录，恢复 MSN 聊天并不常见。

Facebook 聊天完全通过 Facebook 网站上的网络浏览器运行。虽然没有实际的本地日志记录，但浏览器发送和接收的聊天消息通常会在相当长的一段时间内被缓存。消息也以非常特殊的格式传输，很容易在已删除的空间中搜索。

今天，大多数计算机至少可以恢复一些缓存的 Facebook 聊天消息！