随着信息技术的发展与Internet应用的普及,越来越多的企业网接入了Internet。人们的生活和工作越来越依赖于因特网,它方便了人们的生活,也带来了新问题。Web应用占据了整个网络应用的80%以上,几乎每个人都在使用电子邮件,有70 %的企业担忧电子邮件沦为泄密管道,致使机密资料误入他人之手。因此对电子邮件的内容进行监控显得尤为重要,它属于网络内容与监控系统的一部分。网络内容审计与监控系统属于应用层协议数据包分析、安全过滤类产品,主要面向的是网络的内容分析、还原。WebMail邮件内容及附件还原系统能在不影响网络性能的情况下对网络进行监测,检查网络中是否有机密信息泄露现象,一旦发现即可自动做出相应的处理,把泄密记录保存在硬盘上,从而可对安全部门的调查取证提供证据。目前,鉴于很多应用层协议(如POP3、SMTP、FTP、TELNET、HTTP)内容还原已有文献介绍,基于HTTP协议的Web邮件还没有相关的公开文献,本文对国内常用的网易邮件内容及附件还原方法进行了深入的研究,设计并实现了Web邮件内容及附件还原系统,并成功地还原出了PDF、DOC、EXCEL、RAR等附件文件。本文首先探讨了网络监听的基本原理,在两种不同的网络环境下进行监听的方法,介绍了伯克利包过滤器BPF(Berkeley Packet Filter),并深入分析了基于BPF的可运行于不同操作系统平台的捕获函数库Libpcap以及Windows平台下的Winpcap的体系结构。然后研究了TCP/IP协议模型,数据封装和分解的过程,以及数据链路层,网络层,传输层,HTTP应用层协议的数据包交互方式。最后编程实现系统,通过捕捉局域网内运行HTTP协议(80端口)的数据包,把这些数据包按照TCP/IP协议的层次结构重组,并对其通信内容进行分析,找出HTTP请求POST消息,分析Web邮件的传输格式,从而还原了WebMail的内容及附件。