JC3が教える！ Gozi/DreamBot 判別法 / analysis_JC3_checksite

Transcript

1. +$͕ڭ͑Δʂ
   (P[J%SFBN#PU
   ൑ผ๏ ͠Ύʔͱ !TIVUJOHS[

2. ஫ҙ఺ w +$
   ͷํʹฉ͍ͨΘ͚Ͱ͸ͳ͍ͷͰɺਪଌͰ͢
   w ຊ෺ͷ(P[J ผ໊
   6STOJG
   %SFBN#PU
   Ͱࢼͯ͠·ͤΜ
   w

3. +$ͬͯԿɻɻɻ w ೔ຊαΠόʔ൜ࡑରࡦηϯλʔͱ͸ɺαΠόʔۭؒͷڴҖ ʹ࢈׭ֶ࿈ܞͰରॲ͢Δ͜ͱΛ໨తͱͯ͠೔ຊͰઃཱ͞Ε ͨඇӦརஂମͷ໊শͰ͋Δ
 
 αΠόʔۭؒͷ҆શͷͨΊʹ৭ʑ΍ͬͯΔͱ͜ΖΈ͍ͨ

4. ͳͥ+$͕ڭ͑ͯ͘ΕΔͷʁ w ͦ͏͍͏νΣοΫαΠτ࡞͔ͬͨΒ

5. ಈ͖

6. νΣοΫͨ࣌͠ͷ௨৴ઌ IUUQTXXXKDPSKQJOGPEHDIFDLDIFDLIUNM
 IUUQTXXXKDPSKQJOGPEHDIFDLKRVFSZNJOKT
 IUUQTXXXKDPSKQJOGPEHDIFDLNBJOKT
 
 ͔͜͜ΒԼ͸ϦιʔεΆ͘ͳ͍಺༰ͩɾɾɾ
 
 IUUQTXXXKDPSKQJOGPEHDIFDLDIFDLDPN
 IUUQTEJSFDUKDPSKQDIFDLTNCDDPKQDIFDLJOEFYKTQIUNM
 IUUQTXXXKDPSKQJOGPEHDIFDLDIFDLNJ[VIPCBOLDPKQJOEFYIUNM


   IUUQTXXXKDPSKQJOGPEHDIFDL4ZTUFN$POUFOUT$*#.;4KT
 ҎԼུ ո͍͠

7. NBJOKT
   ͷத਎ WBS
   @YCE<aYaYBaYaYaYaYaYaYaY aYaYaYaYaYaYBaYGaYGaYaYaYaYaYaYaYFaYBaYaY aYFaYGaYaYFaYBaYaYGaYaYaYaYaYCaYFaYaYEaYaYaYFaYaYGaYFaYBaYaYGaYaYaYaYaYCa YGaYaYFaYaYaYaYFaYBaYaYaYFaYaYaYEaYD aYFaYGaYaYaYaYaYCaYFaYEaYaYBaYaYaYGaY aYaYFaYCaYFaYaYGaYFaYBaYaYGaYaYFaYaYaYaYFaYaYaYEaYD aYFaYGaYaYaYaYaYaYEaY aYGaYFaYaYaYFaYaYaYGaYaYaYaYEaYBaYaYaYaYFaYBaY

   aYFaYGaYaYGaYBaYaYGaYCaYaYa YGaYaYGaYEaYEaYGaYFaYFaYBaY aYaYaYaYaYaYBaYGaYGaYaYaYaYaYaYaYFaYBaYaYaYFaY GaYaYFaYBaYaYGaYaYaYaYaYCaYFaYaYEaYaYaYFaYaYGaYFaYBaYaYGaYaYaYaYaYDaYaYa YGaYaYGaYEaYFaYaYEaYaYaYFaYaYaYaYaYaYaYaYaYaYaYaYaYaYaYaYDaYaY aYa YaYaY aYFaYGaYFaYGaYaYaYFaYaYaYaYaYaYaYFaYaYaYEaYD aYFaYGaYaYFaYaYaYaYa YaYaYFaYaYaYEaYDaYG aYaYaYaYDaY aYaYaYaYaYaYFaYaYaYaYaYFaYaYaYaYGaYF aYaYaY aYCaYEaYFaYaYGaYFaYaYaYaYaYaYaYGaYaYaYaYaYaYaYaYaYFaYaYaYaY aYaYaYaYaYaY aYaYGaYFaYaYGaYDaY aYDaYGaY aYaYaYaYF aYaYaYaYaY aYaYFaY aYG aYaYaYaYGaY aYaYaYaYaYaYaYaYGaYF aYaYaYaYaY aYaYaYaY aYaYGaYaY aYDaYaYFaYaYaY aYaYaYaY aYaYaYaYaY> GVODUJPO @YBCB @YGB \WBS
   @YBCGVODUJPO @YBC \XIJMF @YBC \@YBCB<aYaYaYaY> @YBCB<aYaYaYaYaY> ^^@YBC @YGB ^ @YCE YFB WBS
   @YECGVODUJPO @YF @Y \@YF@YFYWBS
   @Y@YCE<@YF>SFUVSO
   @Y^WBS
   @YCGVODUJPO \WBS
   @YF<>SFUVSO
   GVODUJPO @YG @YC \WBS
   @YG@YF GVODUJPO \JG @YC \WBS
   @YFFB@YC<@YEC Y > @YG BSHVNFOUT @YCOVMMSFUVSO
   @YFFB^^GVODUJPO \^@YF<>SFUVSO
   @YG^^ WBS
   @YGD@YC UIJT GVODUJPO \WBS
   @YC'VODUJPO @YEC Y @YEC Y aYaYC WBS
   @YFGVODUJPO \^WBS
   @YDC@YC JG @YDC<aYaYGaYFaYaYGaYDaY> \@YDC<@YEC Y >GVODUJPO @YG \WBS
   @YGGB\^@YGGB<@YEC Y >@YG@YGGB<@YEC Y >@YG@YGGB<@YEC Y >@YG@YG GB<@YEC Y >@YG@YGGB<@YEC Y >@YG@YGGB<@YEC Y >@YG@YGGB<@YEC YB >@YGSFUVSO
   @YGGB^ @YF ^FMTF\@YDC<@YEC Y ><@YEC Y >@YF@YDC<@YEC Y > <@YEC Y >@YF@YDC<@YEC Y ><@YEC Y >@YF@YDC<@YEC Y > <@YEC Y >@YF@YDC<@YEC Y ><@YEC Y >@YF@YDC<@YEC Y > <@YEC Y >@YF@YDC<@YEC Y ><@YEC YB >@YF^^ @YGD GVODUJPO
   DIFDL @Y

8. ೉ಡԽղআޙ

9. ௨৴ൃੜઌ
    
 IUUQTXXXKDPSKQJOGPEHDIFDLDIFDLDPN
 ˠ
   ʁ
   
 IUUQTEJSFDUKDPSKQDIFDLTNCDDPKQDIFDLJOEFYKTQIUNM
 ˠ
   ࡾҪॅ༑ۜߦ
   4.#$μΠϨΫτ
   


   IUUQTXXXKDPSKQJOGPEHDIFDLDIFDLNJ[VIPCBOLDPKQ JOEFYIUNM
 ˠ
   Έͣ΄ۜߦ
   ۜߦτοϓϖʔδ
   

10. ௨৴ൃੜઌ
     
 IUUQTXXXKDPSKQJOGPEHDIFDL4ZTUFN$POUFOUT$*#.;4KT
 ˠ
    $*.#
    όϯΫ
    ϚϨʔγΞͷۜߦ
    ʁ
 
 IUUQTXXXKDPSKQJOGPEHDIFDL#KT,#"@$PNNPOKT
 ˠʁ
 


    IUUQTEJSFDUKDPSKQDIFDLKQCBOLKBQBOQPTUKQUQXFCQDBTEGEP 3FEJSFDU5PLFO
 ˠ
    Ώ͏ͪΐۜߦ
 
 IUUQTEJSFDUKDPSKQDIFDLTNCDDPKQTFSWMFU DPNTNCD4613FEJSFDU4FSWMFU
 ˠࡾҪॅ༑৴ୗۜߦʁ
 


11. ײછ͔ͨ͠ͷ൑ఆ w ֤ૹ৴ઌ63-ͷϋογϡʹ͸ɺ૝ఆ͢ΔԠ౴αΠζؚ͕· Ε͍ͯΔ
 \VDIFDLNJ[VIPCBOLDPKQJOEFYIUNM 

    `T`Y^
    
    ͜ͷ63-ͷԠ౴αΠζ͸
    
    CZUF
    w ֤ૹ৴ઌ63-
    ʹΞΫηεͯ͠Έͯɺ࣮ࡍͷԠ౴αΠζ͕૝ ఆ͢ΔԠ౴αΠζΛ্ճͬͨ৔߹ɺײછ͍ͯ͠Δͱ൑அ


    ˠ+$͸ɺײછͨ͠ࡍͷॻ͖׵͑ΒΕͨ63-ͷԠ౴͸
 ૝ఆ͞ΕͨԠ౴αΠζΑΓେ͖͘ͳΔͱߟ͍͑ͯΔ
    w

12. ٙ໰఺ w  
    ͷ஋ͬͯ࢖Θͳ͍ͷʁ
    w  
    ͷ஋ͬͯԿΛ͍ࣔͯ͠Δͷʁ
    w ͳΜͰ೉ಡԽͯ͠Δͷʁ

13. ͦͷଞ 4PQIPT
    ͷ7BXUSBL
    /FWFSRVFTU ͷղੳϨϙʔτʹ༗༻ͳ৘ใ͋Γ
 IUUQTXXXTPQIPTDPNFOVTNFEJBMJCSBSZ1%'TUFDIOJDBMQBQFSTTPQIPT WBXUSBLWTBIJOXZLFQEG MBFO
    ୭ͩ͜Ε࢖ͬͨ΍ͭ