08/05/06 22:11:21 0IhObVgD0
■ ステルスSharebot特定 ■
903 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:2007/11/18(日) 07:52:25 ID:sdn7sF6C0
結構ややこしいけど、ステルスbot抽出はできるよ。
911 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:2007/11/18(日) 15:26:01 ID:sdn7sF6C0
まず今まで普通にShareやってたんならIPを変えて、葱を起動してから作業する事。
簡単な事だよ。まずShareを新規にインスコ。この時点ではまだ初期ノードを入れないで
クラスタの設定をする、フォルダなんかは適当な空フォルダでおk。クラスタは出来るだけ
マイナーな物を1つにする。出来ればハングルとか特殊文字のような誰も使ってないようなもの。
ここで初めて最新ノードをサイトから初期ノードにインポートして通信開始、しばらくはShareの
ノードタブの窓を肉眼で注視する。優先度0、方向Downばかりが目立つと思うが。
早ければ2、3分で既出IPのbotが食いついてくるが、これは無視してさらに注視を続けるうちに
UP接続(既出IP以外で)が繋がったら、怪しいIPとしてポートとともにメモしておく。
複数のプロバとかPCを持ってるならもう片方のPCのShareで怪しいIPとポートを初期ノードに
追加して繋がるかテストしてみる。繋がればお役御免。繋がらなければ(赤スリになれば)さらに
怪しいIPとしてメモ、これでもうほぼ確定。
912 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:2007/11/18(日) 15:41:42 ID:sdn7sF6C0
さらに確実にするには、keymgr.tmpとかに細工したりwiresharkでパケットを採ったり
すれば精度は上がるのだが普通は>>911で問題ないと思う。どうしても確認したければ
Shareを終了後、PG2を立ち上げて禁止IPを0.0.0.0-255.255.255.255にしておく。
しばらく放置してPGログ画面で送信先が自分のIP、ポートがShareで使っていたポート
めがけてくるIPだったらもう真っ黒。
915 名前:[名無し]さん(bin+cue).rar[sage] 投稿日:2007/11/18(日) 15:50:33 ID:sdn7sF6C0
もちろんポト0の可能性だってある。しかし1分未満で切れるポト0が長時間連続して
来るのはおかしいから除外した。ポート開放スレで悩んでる連中がそんなに粘るとも
思えないし。