An examination into MSN Messenger 7 5 contact

$Conversation content l 程式的編譯是使用免費入口端Win 32系統的Unix dd版本 l 具有對系統整個實體記憶體進行檔案處理的能力。 l 用在RAM的圖像(Image)的命令列為dd if =\.$

Conversation content l l l l MSG [source_email_address] [source_screen_name] [length] MIME-Version: 1. 0 Content-Type:

Display picture l l l l Table 1 – Table of display image names

Messenger Plus! l l l Table 2 – Table of registry settings for a

Slides: 28

Download presentation

An examination into MSN Messenger 7. 5 contact identification Mike Dickson National Hi-Tech Crime Unit (Scotland), Scottish Crime and Drug Enforcement Agency, UK d i g i t a l inves t i ga t i o n 3 ( 2 0 0 6 ) 7 9 – 8 3 journal homepage: www. elsevier. com/locate/di i n

Results Conversation content

Conversation content l 程式的編譯是使用免費入口端Win 32系統的Unix dd版本 l 具有對系統整個實體記憶體進行檔案處理的能力。 l 用在RAM的圖像(Image)的命令列為dd if =\. Physical. Memory of = memory. dump conv =noerror bs =8192 l memory. dump是目標檔案的名稱。

Conversation content l l l l MSG [source_email_address] [source_screen_name] [length] MIME-Version: 1. 0 Content-Type: text/plain; charset ? UTF-8 X-MMS-IM-Format: FN ? MS%20 Shell%20 Dlg; EF ? ; CO ? 0; CS ? 0; PF ? 0 [message_text] l l l 所有進來的訊息被嵌入在RAM的左列格式中，分別代表幾種意涵： [source_email_address]: 發信者的MSN身份連繫的電子郵件位址，例如suspect@hotmail. co. uk [source_screen_name]: 發信者輸入他的MSN Messenger 在“type your name as you want others to see it”選項，使用URLencoding的內碼格式 [length]: 顯示字元的長度的小數，包括return和ine符號的字元。 [message_text]: 出現在包含訊息本體的末端。

Display picture l l l l Table 1 – Table of display image names created in the Internet cache Number Name File created 0 CA 74 M 3 FS. bin 06/03/2006 12: 53 1 CAQ 5 A 7 CJ. bin 06/03/2006 12: 53 2 CARFDZ 6 B. bin 06/03/2006 12: 54 3 CAS 38 R 83. bin 06/03/2006 12: 54 4 CAAOBXQN. bin 06/03/2006 12: 54 5 CA 87 IDC 1. bin 06/03/2006 12: 54 6 CAMJ 8305. bin 06/03/2006 12: 55 7 CA 9 F 8 RW 5. bin 06/03/2006 12: 55 8 CAIPSLI 1. bin 06/03/2006 12: 55 9 CA 0 WILRU. bin 06/03/2006 12: 55 左表顯示用來顯示圖片在我們的“受害者”系統的連續圖像(數字) ，所創造在“嫌疑犯”系統內的檔案名稱。 l 跟隨在“CA”連續檔案名後面的部分甚至沒有依照字母數字排序，沒有任何命名依據。 l 一張在嫌疑犯系統中的支票不會在cache資料夾索引之外顯示它的檔案名存在。 l

Messenger Plus! l l l Table 2 – Table of registry settings for a contact under Messenger Plus! Name Type Data Notes REG_SZ (value not set) Custom. Name REG_SZ This is the name of my victim Last. Chat REG_DWORD 0 x 43 e 30 d 2 b (1138953515) Last. Sign. In REG_DWORD 0 x 44191825 (1142495269) Last. Unknown. Offline REG_DWORD 0 x 43 df 9117 (1138725143) Special. Color REG_DWORD 0 x 0000 (0) Special. Format REG_DWORD 0 x 00000001 (1) Auto. Attach. Tag REG_DWORD 0 x 0000 (0) l l 對嫌疑犯的Windows登入金鑰放置在 SoftwarePatchouMsg. Plus 2[suspec t-MSNemail-address]Contacts作檢驗將進一步顯示以 @P_KUly 1 ipe 2_nlbqw. Kpj. DUolugliwew_ o. KUi命名的登錄金鑰。左表為此金鑰所具備的參考價值。 l Auto. Attach. Tag值設為 0 l Messenger Plus是設為不顯示用戶的真實名稱。 l 如果沒有格式化，Special. Format 值設為 0 l 若名稱顯示為黑體字， Special. Format值設為 1 l 如果顯示為斜體字， Special. Format值設為 2 l Last. Chat 是顯示與聯絡人上次的對話開始與結束 l Last. Signin顯示最後一次從用戶的Messenger帳戶登入 l Last. Unknown. Offline是當 Messenger Plus!被安裝後，由 Messenger Plus!所知聯絡人未上線的狀態。