【IT168 专稿】你最常用的即时聊天工具是什么呢？恐怕绝大多数读者都会回答是MSN和QQ。不过你可能不知道使用MSN聊天会泄密，聊天内容可以被网络中任意一台计算机所获取。即使是最新的MSN7也未能解决这个缺陷。今天我们就随着softer一起体验一把MSN聊天的攻防战。

    环境描述：softer所在的公司对考勤和人员办公管理非常严格，公司封锁了QQ等国内即时聊天软件的端口，只能使用MSN和客户进行交流，而且在上班时间禁止员工通过MSN谈论工作以外的事情。

    一、百密一疏聊天内容泄密：

    俗话说“初生牛犊不怕虎”，softer刚刚来到公司，他还带着侥幸的心理无所顾及的使用MSN和同学聊天。谁知道一个神秘的眼睛正在监视他的一举一动，每句聊天内容都被记录了下来。这个神秘眼睛是谁呢？他就是大名鼎鼎的sniffer。

    由于技术主管的计算机与softer的电脑处在同一个子网中，所以他可以使用sniffer这个强大的抓包及监测工具对整个子网中传输的数据包进行分析。由于MSN在聊天内容上是以明文进行传输的，所以只要有点经验的网管就可以通过sniffer查看到聊天内容。

    第一步：技术主管在自己的计算机上安装了sniffer,启动该软件对整个子网进行监控。（如图1）

图1

    第二步：选择sniffer界面上方功能按钮中的“matrix”对数据包的传输进行监测。（如图2）

图2

    第三步：打开matrix调试界面后选择菜单中的“capture->start”启动监测。（如图3）

图3

    第四步：启动监测功能后sniffer将通过技术主管计算机的本地网卡收集子网中的数据包。收集过程中将打开数据包分析窗口。我们在数据包分析窗口的左下角找到“objects”标签，点该标签才能看到所有数据包信息。（如图4）

图4

    第五步：收集检测一段时间后我们就可以点菜单中的“capture->stop and display”来停止收集工作，并显示出收集到的数据包信息。

    第六步：sniffer会打开“收集窗口”显示收集到的数据包信息。这里假设softer使用的计算机IP地址为192.168.0.112，那么技术主管只需要在数据包信息中找到出现该地址的数据包进行查看即可。（如图5）

图5

    第七步：在“收集窗口”下方点“DECODE”标签对收集到的数据包进行解封包来查看里头的真实内容。因为以太网的封包方式都是固定的，所以不管传输什么数据我们都可以通过这个“DECODE”标签来查看真实的内容。

    第八步：进入“DECODE”窗口后技术主管就开始一个个的分析来自192.168.0.112这台计算机的数据包了。在第一个数据包中就能看到softer的MSN号码，证实这个确实是来自softer的数据包。（如图6）

图6

    第九步：继续查看数据包，在分析第三个数据包时候发现了另外一个MSN号码，这个就是softer通过MSN聊天的对象。这下聊天双方的号码都已经记录在案了，唯一要做的就是查看聊天内容了。（如图7）

图7

    小提示：在图7中左边显示的代码是16进制的代码，而右边是软件自身解码出来的内容。

    第十步：继续往下查看，到第五个数据包时就出现了久违的聊天内容，在数据包内容154字节的最后出现了“wo kao ni niu”的字样。这个就是softer通过MSN与别人交谈的内容。（如图8）

图8

    小提示：在检测到的数据内容中可能会出现很多个字符，例如“charset=utf-8”，这个说明MSN交谈内容使用的是UTF-8编码。

    第十一步：继续查看交谈内容，出现了很多乱码。（如图9）

图9

    第十二步：这些乱码其实是中文聊天内容，只是在sniffer中无法将其正确还原而已。要想看到中文内容需要我们进行如下的操作。首先将数据包左边的十六进制代码全部复制出来，只复制十六进制代码不复制右边的乱码。

    第十三步：下载一个解码工具，这里推荐使用WINHEX，他是一个很不错的16进制文件编辑与磁盘编辑软件，该软件文件小、速度快的特点非常适合大众使用。

    WINHEX小档案：

    软件版本：  V12.3 SR2 汉化版
    软件大小：  1003 KB
    软件语言：  简体中文
    软件类别：  免费版
    应用平台：  Win9x/NT/2000/XP
    下载地址：
http://count.skycn.com/softdownload.php?id=3688&url=http://xjrx-http.skycn.com:8181/down/hap_winhex12.3sr-2.rar

    第十四步：启动WINHEX后选择建立一个新的十六进制文本文件。然后将上面复制的代码复制到这个新文件中。复制的代码如下——
4d 53 47 20 35 37 20 4e 20 31 36 30 0d 0a 4d 49 4d 45 2d 56 65 72 73 69 6f 6e 3a 20 31 2e 30 0d 0a 43 6f 6e 74 65 6e 74 2d 54 79 70 65 3a 20 74 65 78 74 2f 70 6c 61 69 6e 3b 20 63 68 61 72 73 65 74 3d 55 54 46 2d 38 0d 0a 58 2d 4d 4d 53 2d 49 4d 2d 46 6f 72 6d 61 74 3a 20 46 4e 3d 25 45 35 25 41 45 25 38 42 25 45 34 25 42 44 25 39 33 3b 20 45 46 3d 3b 20 43 4f 3d 30 3b 20 43 53 3d 38 36 3b 20 50 46 3d 30 0d 0a 0d 0a e5 92 b1 e4 bb ac e5 ba 94 e8 af a5 e6 89 be e6 97 b6 e9 97 b4 e5 8d 95 e8 81 9a 20 e6 89 be e7 8b bc

    第十五步：在复制时WINHEX会提示我们选择复制文本的格式，由于上面我们已经分析到MSN交谈内容使用的是UTF-8编码，所以选择“ASCII HEX”编码即可。（如图10）

图10

    第十六步：将复制了代码的文本文件另存为txt格式的文件，例如保存为111.txt。然后将111.txt打开就可以看到恢复出来的中文聊天内容了，原来softer和别人交谈的内容是——“咱们应该找时间单聚 找狼”。（如图11）

图11

    技术主管掌握了softer的聊天内容后，对softer进行了严厉的惩罚。一脸雾水的softer怎么也不会想到鼎鼎有名的微软公司MSN居然如此容易的就将聊天内容泄露出去。