MSN Contact identification

MSN Messenger veya Windows Live Messenger ile açılan oturumlarda bilgisayarınızda bir takım sayı isimleri taşıyan klasörler oluşur. Bu klasör isimleri nasıl oluşur bunula ilgili biraz araştırma yapmıştım. Forensic Focus sitesinde bu konuda yapılan tartışmaları okudum ve bir takım denemeler yaptım. Gördüğüm şu oldu. Oturum açıldığında elektronik posta adresiniz bir algoritmadan geçerek sayıya dönüşüyor ve bu isimde klasör oluşarak profilinizdeki bilgiler bu klasörde saklanıyor. Bunun anlamı şu;

Eğer bir elektronik posta adresini söz konusu algoritmadan geçirir ve elde edilen sayı değeri ile aynı isimde bir klasörü "Local Settings" veya "AppData..." klasörlerinin altında görürseniz o bilgisayarda msn veya wlm'de oturum açıldığını bulabilirsniz.


program:MSN Folder Number
Merak edenler için forensic focustan ilgili yazıları aşağıya koyuyorum.


Re: MSN contact identification
Posted: Fri Apr 27, 2012 1:56 am
Author: harryparsonage Location: Nottingham UK
Chris

Yes I imagine you could do that with an Enscript, I couldn't Wink

You could have my code for a VB program that I wrote to check the numbers but I can't find the code. The note I have is as follows -

The folder numbers are called PassportID numbers and are calculated by multiplying each decimal ASCII character value of the complete email address with 101. The address is always converted to complete lowercase first. The result of the calculation is always an unsigned long integer value ranging from 0 to 4294967295 (2^32).

Example:

Email address: a @ a.com

Decimal ASCII values: 97(a) ,64(@) ,97(a) ,46(.) ,99(c) ,111(o) ,109(m)

Calculation:

a(0 * 101) + 97 = 97
@(97 * 101) + 64 = 9861
a(9861 * 101) + 97 = 996058
.(996058 * 101) + 46 = 100601904
c(100601904* 101) + 99 = 10160792403

(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)

substract 2 times 2^32 = 1570857811

o(1570857811 * 101) + 111 = 158656639022

(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)

substract 32 times 2^32 = 4037816366

m(4037816366 * 101) + 109 = 407819453075

(unsigned long overflow here - subtract x times 4294967296 from the result until we have an unsigned long value)

substract 94 times 2^32 = 4092527251 and this is our magical PassportID.

The list of email addresses is in Mike's program in Settings, it is simply a list of well used free email addresses these could obviously be expanded further. His list -

@hotmail.co.uk
@hotmail.com

- - - Snip - - - -

@fastmail.com
@fastmail.co.uk
@madasafish.com
@ymail.com
@rocketmail.com

Last edited by harryparsonage on Fri Apr 27, 2012 7:42 am; edited 1 time in total