Op een Blackberry met hierop geinstalleerd Windows Live Messenger, troffen wij in het /Blackberry FS/Root/feeds een aantal genummerde XML files aan.
De bestandsnaam lijkt hierbij te zijn opgebouwd uit de “acid” en een volgnummer.
De aangetroffen versie van Windows Live Messenger betrof hier versie 2.5.63 en had als identifier: net.rim.device.apps.internal.qm.msn

De stuctuur van de aangetroffen XML files was als volgt:

<?xml version=”1.0″ encoding=”UTF-8″?>
<bf ver=”1.0.0″ >
<ac acid=”987654321″ adid=”9876543212345678900″ dn=”gebruikersnaam” un=”1234432A” mcnt=”100″ >
<tfm mid=”1331676262011″ cti=”1331676262011″ txt=”voorbeeldtext van een berichtje” udn=”een andere naam” uid=”-123456789″ puri=”-123456777″ turi=”null” >
<mc>
<![CDATA[null]]>
</mc>
</tfm>
Om zoveel mogelijk tekstdata boven water te krijgen kan gezocht worden middels Encase met het zoekwoord (grep aan):

<tfm mid=.[^>]{1,255}

De mid/cti tijden zijn middels Dcode eenvoudig te vertalen naar normale tijden:

blackberry-windows-live-messenger-decode

Blackberry Windows Live Messenger gesprekken zijn soms zelfs nadat het programma al verwijderd is, nog terug te vinden.