ไขรหัสไม่ลับของแฟ้ม msg แบบ hard core

    จากบันทึกก่อนหน้านี้ ทำอย่างไรเมื่อเปิดอ่าน mail แล้วกลายเป็น .MSG เรายังคงสามารถเปิดอ่าน mail และแฟ้มที่แนบมาได้อยู่ถ้าข้อความไม่ถูกส่งต่อหลายๆ ต่อ โดยสามารถเปิดได้ด้วย webmail.psu.ac.th หรือจะแจ้งให้ผู้ส่งส่งมาใหม่อีกครั้ง 555

    แต่ถ้าไม่สามารถ ตามหาต้นฉบับของ mail ได้มีอีกวิธีที่ยุ่งยากพอสมควรที่จะทำ นั่นคือการถอดรหัสข้อมูลของแฟ้มแบบ msg ที่ส่งมาผมขอยกตัวอย่างแฟ้ม msg ที่ผมเก็บไว้อยู่ครับ http://share.psu.ac.th/file/sathaya.b/ServiceMan.msg เราสามารถมารถเปิดอ่านข้อมูลในแฟ้มนี้ได้ แต่ไม่สามารถเข้าใจความหมายได้เนื่องจากข้อมูลถูกเข้ารหัสอยู่ ถ้าเปิดด้วย Notepad จะพบว่าสามารถเปิดได้ เมื่อดูไปเรื่อยๆ จะพบว่าข้อความถูกเข้ารหัสแบบ base64

------=_NextPart_002_0118_01CE7680.60BF6310
Content-Type: text/plain;
    charset="windows-874"
Content-Transfer-Encoding: base64

จากการค้นหาใน google พบว่า base64 เป็นรูปแบบการเข้ารหัสอีกแบบหนึ่งซึ่งจะเข้ารหัสแฟ้มหลายๆแฟ้ม รวบเข้าด้วยกันเป็นข้อความคล้ายกับการเข้ารหัสแบบ uue ซึ่งผมเคยเขียนเล่นๆ ไว้ในบันทึกเกี่ยวกับความลับ ลองหาอ่านดูนะครับ base64 อ่านข้อมูลเพิ่มเติมได้จากที่นี่

     การถอดรหัส base64 สามารถใช้โปรแกรมถอดรหัสออกมาได้ครับ ยกตัวอย่างเช่น โปรแกรม base64 file encoder/decoder สามารถดาวน์โหลดได้จาก ที่นี่ โดยข้อมูลต่างๆ ที่ได้เข้ารหัสไว้ในแฟ้มแบบ msg จะมีการแยกไว้เป็นส่วนๆ ว่าแฟ้มไหนเป็นแฟ้มไหน และต้นฉบับชื่อแฟ้มว่าอย่างไร ผมยกตัวอย่างที่กลางๆ ของแฟ้มนะครับ

------=_NextPart_000_0116_01CE7680.60BF6310
Content-Type: application/pdf;
    name="=?windows-874?B?qLTLwdLC4KrUraHF2OjBw826qtSnqrnQ4MXUyCBLTyDBy9LH1LfC0sXR?=
    =?windows-874?B?wsqnosXSuaTD1Lm3w+wucGRm?="
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
    filename="=?windows-874?B?qLTLwdLC4KrUraHF2OjBw826qtSnqrnQ4MXUyCBLTyDBy9LH1LfC0sXR?=
    =?windows-874?B?wsqnosXSuaTD1Lm3w+wucGRm?="
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...

...

...

QjMzRUIzQjg5QkY0NDJBQTIyMjE4MTYwODQ2ODUwPl0gL1ByZXYgMjM5MjYw
L1hSZWZTdG0gMjM4Mjk4Pj4NCnN0YXJ0eHJlZg0KMjQ2MjgwDQolJUVPRg==

ซึ่งจะเป็นข้อความที่ค่อนข้างยาวขอลงไว้เพียงส่วนหนึ่งนะครับเราสามารถ Copy ข้อความตั้งแต่ VBERi0xLjUNCiW1tbW1DQoxIDAgb ไปจนสิ้นสุดที่ 

0KMjQ2MjgwDQolJUVPRg== จากนั้นก็นำไว้วางในโปรแกรม Text editor อย่าง Notepad แล้วบันทึกเป็นแฟ้มไว้ในชื่อที่ต้องการเช่น test.b64

     ในขั้นตอนของการถอดรหัสให้ดาวน์โหลดโปรแกรมจาก ที่นี่ มาครับท่านจะได้แฟ้ม b64util.zip ให้ทำการคลาย zip ออกมา โปรแกรมที่จะใช้ในการถอดรหัสจะชื่อ decb64.exe การถอดรหัสให้ทำการ run โปรแกรมด้วย Command line

decb64.exe ชื่อแฟ้มต้นฉบับ แฟ้มเอาท์พุท  เช่น

decb64.exe test.b64 test.pdf

เพราะจากข้อมูลเรารู้ว่าข้อมูลที่เข้ารหัสไว้จะเป็น pdf จากข้อความ

Content-Type: application/pdf;  

ทดลองทำแบบฝึกหัดให้โหลดแฟ้ม 003.b64 แล้วทดลองถอดรหัส

แฟ้มนี้ได้ตัดออกมาจาก ServiceMan.msg ซึ่งเป็นส่วนหนึ่งจากข้อความทั้งหมด

หากไม่ถนัด Command line เราสามารถสร้างชุดคำสั่งโดยใช้ Notepad ได้ครับ โดยสร้างชุดคำสั่งดังนี้

decb64.exe  003.b64 003.pdf

และบันทึกแฟ้มเป็น .bat เช่น test.bat ให้บันทึกไว้ที่เดียวกับที่เก็บโปรแกรม decb64.exe  และแฟ้ม 003.b64  จากนั้นดับเบิ้ลคลิกแฟ้ม test.bat เพื่อ run โปรแกรม ก็จะได้แฟ้มที่ถอดรหัสสำเร็จเป็น 003.b64.003.pdf ซึ่งสามารถเปิดได้ด้วยโปรแกรมอ่าน PDF ทั่วไป

    ด้วยวิธีการนี้เราสามารถแยกข้อมูลที่ไม่เข้าใจ อ่านไม่ออก โดยการตัดแบ่งออกเป็นท่อนๆ แล้วถอดรหัสกลับออกมาเป็นแฟ้มต้นฉบับได้ แต่ยุ่งยากมากๆ ใช่ไหมครับ จริงๆ แล้วก็มีโปรแกรมที่น่าจะง่ายกว่านี้แต่ผมยังโหลดมาใช้ไม่ได้ และส่วนใหญ่ก็ไม่ฟรี ไว้เจอตัวที่ใช้ง่ายๆ ฟรี จะมาแนะนำอีกทีนะครับ บันทึกนี้ก็ถือว่าป็นความรู้แล้วกันนะครับว่าเราสามารถถอดรหัสจากแฟ้ม msg ที่อ่านไม่เข้าใจ ให้กลับมาเป็นแฟ้มต้นฉบับที่ส่งมาได้ :)