数据包嗅探Outlook - >使用MAPI交换

我试图实施数据包嗅探从Outlook客户端到Exchange服务器的流量。就我所知，此通信通过HTTPS（任意位置的Outlook）使用MAPI。我不认为我通过RPC使用MAPI。数据包嗅探Outlook - >使用MAPI交换

流量出现TLS，我可以在wireshark中解码，因为我已经加载了相应的证书。我无法查看我在测试期间发送的邮件的原始内容，但它仍然是编码的。

如何解码消息，以便我可以读取纯文本的原始内容？

我正在为处理的每个流创建临时文件，并将它们存储为unchunked和ssl解码。下面的例子。如果我认为说少文件，他们似乎是二进制的：

处理

DONE

X-开始时间：星期五，2016年12月16日23时17分12秒GMT

X- ElapsedTime：5

^@^@^@^@^@^@^@^@^@^@^@^@^@^B^@^@^@^@^@^E^@ < 9B>^B^A^E < 80> < 9F>^@^d^d^C^A^@^@^@^A^A^Ctestets）^ @小号^ @ Y 1 @^Q^@ H^@^V^@ p 1 @^@^A^@^Q^@^B^A^@^E^@^@^o^B^A ^C^@^@ 9^C^@ = O^C^@^E9^^@^X^@^X^@^@：^ C^@问：^ B^A^@^@为^ U^d^A =^C^@^X^A^^ @ 8^@^X^@ X^@^A`^^@频率^ A^A^d^@^@>^d ^ F^@^H^@^@^@^@/O = ExchangeLabs/OU〜^ @ Administra^@^@^@^@略去组（FYDIBOHF23SPDLT ）/ CN =^@^@^@ Recipientsi^@ cfb4ddc8c1ba4733a3d23^@^@^@^@ 4e1321845da-shayne.civi^@小号^ @ H^@一个^ @ Y 1 @ X为^ U^@ N^| E^@^@ C 1-4 @ I^@ v^X^@吨< 98>^7 R < 88>^@小号^ X^@^@（^ @^^A < 80>。^ @ C 1-4 @^^A^Q^@^@ < 9D> 0^@^@^^^^^^ܧ@ B^P^Z^H^@ +/< 82> *^K^@^@ O^GH < 9D>^d^d < 82>^A^@ < 80>^P^A^@@ < 87> ^沃顿^ @瓦特（^ @^@^ZD^@克（^ @）^ ATX^@ o^@ k^@ < 89> ^敖^ @米@^B？^ B^^A^M ^ M^A^@^P^@ &^_^ON < 98> H5^GZ]瓦特< 83>〜^ @^B^@^W^R^K5 ^柯^ C^F^M/8^@ =^| E^@ X < 88>^@ < 89>^BNZ^ALH^@ B8^A^@ú^ @i^@ A^@@ ^ Bm < 88>^Cn^X^@ s^Br^@ tX^@ v^@ Gx^@^ApX^@（^ @ F^@ Y^@ D^@ @ I^@乙^ @ o^@ BESC^EEHh^@ 2^@ 3X^GP < 98>^@ L^@ T^@）（^ CC8^B =^@ R 1 AI^Fp的^ X^@ < 99> ^的Et^B^@ C 1-4 @频率< 88>^D4GU^CDX^@ 8^X^@ 1X^@一个< 88>^@ 7H^B3H^@ 3^@^B4^A18^@ 2 （^ @ 8H^@ 5^@一个^ @ - X^B^E < 8F>^A^@^@^P^@^@^g < 93> ^ W^@^Vs的升< 82>/< 8A> MR] O^SX^@^@^DUB^V^@^@^L^@^@^@^@^A^C^@^@^A^@^@^@^@

我已阅读关于这些协议的所有文档https://msdn.microsoft.com/en-us/library/cc425499(v=exchg.80).aspx我可以找到。

编辑：

与使用程序调用小提琴手的，它的办公室督察，具体MAPIInspector，我能看到几乎我所需要的所有信息。

https://github.com/OfficeDev/Office-Inspectors-for-Fiddler

我可以查看纯文本：主题，收件人列表，发件人，附件文件名，文件附件内容以及更多，但我仍然无法找到该邮件的正文。

相信这个消息被保存在： ExecuteRequestBody-> ROPBuffer-> Payload-> ROPList-> ROPWriteStreamRequest->数据。

我相信ROPWriteStreamRequest是我所需要的。

内容被加密和/或混淆。我能够找到XOR 0xA5 RPC的混淆算法，但我不确定这是在压缩之前还是之后完成的。我怀疑压缩算法是LZ77。