随着互联网的普及和广泛应用,海量信息给人们的生活和工作带来极大便利的同时也带来了隐患。公司人员泄密事件不断发生,给企业带来巨大的损失。当前,互联网上企业泄密主要是通过电子邮件和HTTP上传信息的方式。因此,迫切需要对进出企业网的电子邮件和在BBS、留言板、聊天室上发表的信息进行捕获和还原,以便进行监控。本文侧重POP3、SMTP、POST应用还原的研究和实现,所完成的工作主要集中在以下几个方面:分析了几种常见的捕获数据包方式。根据本系统特点和需求,采用WinPcap为网络接口捕获工具,利用Libnids的包捕获功能,通过设置BPF过滤规则实现了百兆级网络报文的获取。分析了POP3协议、SMTP协议、HTTP协议的POST请求,详细研究并归纳了电子邮件的分发和POST请求消息体的提取和解码问题。实践了两种不同的HASH算法。通过实验证实,CRC-32算法最适合本文对数据流的管理,并采用该算法,对100Mbps速率网络报文的流进行管理。采用Libnids为还原工具,利用其TCP数据流重组功能,研究并实现了多协议应用还原系统。本系统采用了很好的分层结构,在功能上是可扩展的。根据不同需要可以加入其它TCP应用层协议(FTP、TELNET)的应用还原模块。