聊天、電子郵件和網際網路文物

網際網路文物是證據興趣的主要領域之一，它可以用來識別個人之間的通訊，證明誰訪問了計算機，或者顯示他們訪問了哪些網站。在網際網路使用量增長之前，這些資訊，尤其是電子郵件或聊天等通訊，通常儲存在本地安裝的程式中（例如，郵件程式）。這些程式的資料庫和日誌檔案通常包含已知的格式，並且可以輕鬆地從已知位置提取資訊。最近，許多此類活動已轉移到網上，這使得恢復此類資訊變得更加複雜。

例如，以前 MSN Live Messenger（本地安裝的程式）是聊天記錄的常見來源。今天，Facebook聊天很普遍，完全在瀏覽器中進行。必須從未分配的空間或其他快取檔案中恢復記錄。

本節詳細介紹了查詢與瀏覽器相關的文物、網際網路歷史記錄和聊天時的一些注意事項。

當透過網際網路瀏覽器進行活動時，許多資訊儲存在與程式關聯的本地快取中。這通常會受到高度的“波動”，並且會定期刪除和覆蓋。其他儲存的資訊可能包括網際網路歷史記錄（即訪問了哪些網站）和書籤。主要的瀏覽器（Internet Explorer、Mozilla Firefox、Opera 和 Google Chrome）都將快取、歷史記錄和書籤儲存在不同的檔案格式中。

網頁快取通常包含大量資訊，包括使用者訪問的網頁的儲存副本（通常還包括這些網頁上的影像）。不同的瀏覽器可以快取不同型別的資料。幾乎所有現代產品都會臨時快取訪問網站的所有文字和影像，通常為幾個星期或更長時間。此外，大多數產品會將條目“快取”到表單欄位中（以提供自動完成功能）。

Google Chrome 瀏覽器儲存訪問網站的縮圖，這是一種不尋常的快取檔案形式，具有很高的證據價值；它證明了計算機使用者在瀏覽網站時在螢幕上確切地看到了什麼。

快取檔案往往是易失性的，有時它們會儲存很長時間。在其他情況下，它們會在幾個小時內被刪除，有時是使用者手動刪除的。幸運的是，網頁快取往往包含大量檔案，通常可以恢復或搜尋所有或部分已刪除的材料。這可能是一個“命中或未命中”過程，並不總是能夠恢復所有已刪除的網頁，但關鍵字搜尋通常會找到它們的大部分內容。

預設情況下，所有瀏覽器都會儲存某種形式的網際網路歷史記錄（使用者通常會忘記關閉它），其內容具有很大的證據價值。特別是因為大多數瀏覽器還會為每個條目儲存時間戳，這在構建任何活動的事件時間軸方面很有用。

所有瀏覽器都以不同的方式儲存網際網路歷史記錄。例如，Internet Explorer 將歷史記錄儲存在每個使用者的應用程式資料資料夾中的專有 .dat 檔案中。Firefox 在類似的位置儲存資料，但採用 SQLite 資料庫形式。

與快取檔案一樣，歷史記錄往往會受到重大波動的影響。有時你可能會幸運地找到儲存了 6 個月的完整歷史記錄，而其他時候你可能只會得到過去一週的零星條目。但是，與快取檔案不同，歷史記錄（至少是 Internet Explorer 檔案）往往採用已知的格式，可以在已刪除的磁碟空間中對其進行搜尋。存在幾個免費軟體和商業工具可以在證據中執行並從已刪除的空間中提取網際網路歷史記錄資料。

網際網路聊天在計算機使用者中非常普遍，尤其是年輕一代。這種交流的證據價值巨大，因為它可以幫助證明任何行為的意圖。除了對別人的供詞之外，與犯罪相關的聊天最常見的用途是

• 誘騙未成年人
• 組織犯罪活動
• 騷擾/網路跟蹤

在過去幾年中，MSN Live Messenger 是最常用的聊天程式，最近已被 Facebook 即時聊天取代。Yahoo 聊天目前排名第三。恢復聊天記錄，特別是從 MSN 恢復，是一個“命中或未命中”的嘗試。通常它們不會被儲存任何時間（如果有的話）。

除了實際的記錄之外，聊天程式還會儲存其他日誌，這些日誌可能有用。例如，狀態更新可以幫助證明計算機何時線上。並且大多數聊天程式都會儲存可讀的聯絡人列表。

MSN 預設情況下不會儲存聊天日誌，但是相當數量的使用者會開啟此功能。有一個名為 Messenger Plus 的附加元件，通常會被安裝，它會將通訊記錄到 HTML 檔案中。程式本身和 Messenger Plus 都會在已知位置建立日誌，並帶有特定的標題，如果被刪除，通常可以恢復。但是，如果沒有開啟日誌記錄，恢復 MSN 聊天並不常見。

Facebook 聊天完全透過 Facebook 網站上的網路瀏覽器執行。雖然沒有實際的本地日誌記錄，但瀏覽器傳送和接收的聊天訊息通常會在相當長的一段時間內被快取。訊息也以非常特殊的格式傳輸，很容易在已刪除的空間中搜索。

今天，大多數計算機至少可以恢復一些快取的 Facebook 聊天訊息！