Также перехватываются и сохраняются логины и пароли.

Для удобства существуют две версии программы - с графическим интерфейсом, IcqSnif и консольная версия, IcqDump. Ядро программы основано на драйверах, используемых в программе Ufasoft SnifMon (Icq Sniferwww.ufasoft.com/sniffer).

Принципы работы.
IcqDump и IcqSnif перехватывают все сообщения, которые доступны сетевому адаптеру. Также поддерживаются RAS-соединения

Перехваченные сообщения сохраняются в отдельном каталоге, который можно настроить (меню Tools|Options). По умолчанию это
%USERPROFILE%\Application Data\Ufasoft\IcqSnif

Краткая информация также выводится в окно программы или в стандартный вывод для icqdump.

Если ваша сеть построена с применением хабов, то в этом случае сетевому адаптеру видны все сообщения для всех компьютеров, подключенных к тому же
хабу. В случае, когда ваша сеть построена с применением свитчей (switch-hubs), то по умолчанию вы сможете видеть только адресованые вам сообщения. Для того, что бы сохранить возможность перехвата сообщений для других машин сети, мы включили технику arp-spoofing - вам достаточно выбрать машины из списка, сообщения для которых вы хотите перехватить.

ВНИМАНИЕ!
Использование техники ARP-spoofing может вызвать нарушения работы сети (особенно если в ней много машин, тогда ваш компьютер просто не справится с трафиком). При некорректном завершении программы во время ARP-spoofing-а сеть может "приходить в себя" в течении минуты.

Опции командой строки IcqDump.
icqdump [-D] [-a] [-i iface] [-r file] [expression]\n\n"
-a: включить arp-spoofing для всех машин сети
-h: вывести описание параметров
-D: список сетевых интерфейсов
-i: номер сетевого интерфейса для прослушивания из списка
(по умолчанию прослушиваются все сетевые интерфейсы
-r: читать пакеты из файла, пердварительно сохранненого программой
tcpdump с опцией -s
expression: BPF-Фильтр пакетов (так же как и в tcpdump)

Создаваемые файлы
ICQ-модуль
Для каждого IP-адреса создается файл вида icq.ip_address, куда записывются все сообщения, входящие для этого адреса и исходящие с этого адреса. Поэтому в ряде файлов сообщения могут
дублироваться.

В силу специфики протокола ICQ невозможно определить UIN и ник пользователя, если был пропущен этап подключения пользователя к серверу ICQ. В этом случае вместо UIN пишеться слово unknown. Перехватываются как сообщения типа клиент-сервер, так и типа клиент-клиент. В этом случае
будут видны сообщения, но IP адреса получателей могут различаться, так как возможен случай, когда сообщения идут к клиенту напрямую, а ответ приходит от сервера.

IRC-модуль
Сообщения записываются так-же как и для модуля ICQ.

Email-модуль
Сообщения записываются в формате Mozilla mailbox, он же формат unix mailbox (или в формате Eudora), в следующем виде:
email.Client_IP / Server_IP / Inbox - для POP3 сообщений
email.Client_IP / Server_IP / Outbox - для SMTP сообщений

SMB-модуль
Файлы записываются в подкаталогах вида <Каталог Журналов>\SMB\