[原创]使用协议分析软件查看MSN聊天内容！

菜鸟人飞

当前，由于网络的不断发展，通过网络进行信息泄密的事件的不断增加，使得在一些保密性较高的网络中，对MSN信息进行监控也逐渐成了网络管理员必备的工作之一。
目前网络中对MSN分析的文章特别多，不过很多情况下，它们都只介绍了一种思路，并没有提供一种切实可行的方法，导致我们操作起来存在一些困难。在这种情况下，我们对MSN的通讯进行了分析，结果告诉我们可以通过协议分析软件来查看MSN的聊天内容，下面就是分析的简单过程。
。。。。。。

菜鸟人飞

使用协议分析软件查看MSN聊天内容

当前，由于网络的不断发展，通过网络进行信息泄密的事件的不断增加，使得在一些保密性较高的网络中，对MSN信息进行监控也逐渐成了网络管理员必备的工作之一。
目前网络中对MSN分析的文章特别多，不过很多情况下，它们都只介绍了一种思路，并没有提供一种切实可行的方法，导致我们操作起来存在一些困难。在这种情况下，我们对MSN的通讯进行了分析，结果告诉我们可以通过协议分析软件来查看MSN的聊天内容，下面就是分析的简单过程。
注意：本文仅提供一个思路，参照本文的思路进行的任何非法操作以及造成的任何不良后果，均与作者无关。
我用了网络中最常用的三种协议分析软件：Sniffer Pro, Omnipeek, 科来网络分析系统，首先定义一个过滤器，只捕获MSN协议的数据通讯。在Omnipeek和科来网络分析系统中，直接在协议过滤器中选择MSN，在Sniffer Pro中，没有找到MSN协议，不过由于MSN默认采用TCP 1863端口工作，所以我们定义一个1863端口的端口过滤即可。
设定好后，同时运行三个软件抓包，在本机上使用MSN测试。一会儿捕获到一些MSN的数据包，于是停止捕获并分析捕获到的数据包。
查阅其它资料可知，MSN在认证密码阶段是加密的，其它的所有信息都以都是非加密的，同时消息一般以“X-MMS-IM-Format”字段开头。
在三个中查找X-MMS-IM-Format信息，结果如下图。

菜鸟人飞

可以看到，三个软件捕获到的信息是完全一致的。图中高亮显示部份就是MSN的聊天内容，其对应的16进制数据如下：
4D 53 47 20 36 33 20 4E 20 31 36 36 0D 0A 4D 49 4D 45 2D 56 65 72 73 69 6F 6E 3A 20 31 2E 30 0D 0A 43 6F 6E 74 65 6E 74 2D 54 79 70 65 3A 20 74 65 78 74 2F 70 6C 61 69 6E 3B 20 63 68 61 72 73 65 74 3D 55 54 46 2D 38 0D 0A 58 2D 4D 4D 53 2D 49 4D 2D 46 6F 72 6D 61 74 3A 20 46 4E 3D 4D 69 63 72 6F 73 6F 66 74 25 32 30 53 61 6E 73 25 32 30 53 65 72 69 66 3B 20 45 46 3D 3B 20 43 4F 3D 38 30 30 30 3B 20 43 53 3D 38 36 3B 20 50 46 3D 32 32 0D 0A 0D 0A E6 B5 8B E8 AF 95 E4 B8 8B EF BC 8C E5 98 BF E5 98 BF E3 80 82 E4 B8 8D E7 94 A8 E5 9B 9E
对应的ASCI码数据如下：
MSG 63 N 166
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
X-MMS-IM-Format: FN=Microsoft%20Sans%20Serif; EF=; CO=8000; CS=86; PF=22…………………………….

从上面数据中，我们并不能知道具体的聊天内容（如果是英文或数字，从ASCI解码中可以直接查看，是中文则会不能直接显示），还需要将其格式进行转换，这里用到一个叫做SmartConvert的小工具（此工具为Vader原创），转换后的内容如下图，从图中我们清楚地看到了MSN的聊天内容。


同时，还有另外一种查看原始信息的方法，即从MIME-Version: 1.0可知这些数据采用了MIME格式，即邮件格式，所以将这个数据包导出（任意数据包格式均可），并将其格式改为eml，使用Outlook或Foxmail打开即可，如下图。


搞定，上面就是测试捕获并分析MSN的整个过程，通过上面的简单步骤，即可以全面透视网络中的MSN通讯。小心啊！

CSNA网络分析论坛　菜鸟人飞
2006-5-24

libin125_0

不是吧，这么厉害！！！！！

我学我学我学学学~~~~~~~

qq也能行么？我要试一下

菜鸟人飞

QQ的通讯是加密的，抓到的全部显示乱码，当前还没有找到具体的方法怎么查看其聊天的具体内容。
大家一起研究研究　：）

花花无缺

顶
楼主

我要学习
打包下载

hmsuccess

SmartConvert的软件有没？
共享跟大家
谢谢

菜鸟人飞

注意：该工具的所有权属于Vader，感谢Vader的共享．

enick

这东西很好的，想学啊！
楼主太历害了！

独倚斜阳

来试验一下...这东西不错...

liaohh

楼主太厉害了，我顶！

redfox

这东西不错，鼓励一下

js_wan

真是厉害，看来以后要注意！！！

wwwang

楼主太厉害了,我要学习学习!

xuefu

向版主学习！向版主致敬！

lengxue108

...这东西不错...

lengxue108

版主，能不能做个msn的过滤器，虽然你说了思路，但刚学还是不太会用sniffer。谢谢！redeagle110@hotmail.com

masinfo

真是厉害,下来试试，看来只能用QQ了

peterhu318

问题：
　　原理是没有问题的，但是怎么过滤出NMS消息来，而不是在包的汪洋大海中一个一个找吧？

另外，现在有很多可以直接解出MSN聊天内容的软件：如 IMBOSS, A_MSN_SNIFFER.EXE等，配合ARPSENDER,可以查看任何人的聊天内容。

呵，需要理论联系实际一下。

菜鸟人飞

文中不是首先设定了过滤器吗？
另外，文中还有下面这样一句话。
“同时消息一般以“X-MMS-IM-Format”字段开头，在三个中查找X-MMS-IM-Format信息，结果如下图。”
查找该关键字段即可。

当然，做MSN分析的方法各种各样而不局限于任意一种。

[ 本帖最后由 菜鸟人飞 于 2006-6-30 09:12 编辑 ]

pengyg

看看很不错
我下了

pengyg

楼主太厉害了,
向版主学习！向版主致敬！

ylxcowboy

厉害厉害，真厉害呀！

aiethac

看看很不错
我下了

goushi

高人





                学习

lliujunming

我用omnipeek过滤MSN,怎么抓不到聊天内容啊

klyy

HAO HAO HAO

heitd

感谢提供 ～～～ ！！！

longlyer

真是不错的应用呀.day day up

hongyun9527

好东西啊 ，谢谢了