digital 千里眼

ABP フィルタ職人入門：aguse.jp を使いこなす

Adblock Plus

aguse.jp を使ってどうやって「クロ」と判定するかについてのヒントを書きます

フィルタの書き方については過去のエントリーを参照のこと

• Firefox で広告ブロックする方法（Adblock Plus 用ブロックリストの書き方）2009-08-10 版 - digital 千里眼
• Adblock Plus 1.1 で非表示要素の簡易記法が非推奨に変更された件とその他更新内容 - digital 千里眼
• Adblock Plus 1.4 では「速い」フィルタの書き方が変わる（予定） - digital 千里眼

ブラウザで対象サイトに直接アクセスせず、指定 URL を調査可能

調べたい URL を入力して使う

調査結果画面の見方（確認事項）

• リダイレクトしてないか
• 「Meta タグ情報」の「Description」でサイト概要
• 「検出されたマルウェア」は主にウィルスに反応するようだ（アドウェアには反応しない）

• 「サーバー証明書」の「取得者情報」で会社情報
• 「同一サーバ上の他のウェブサイト」のドメイン名から、他にどんなサービスを提供しているか推測

• 「外部と接続するオブジェクト」これ一番大事
  1. 「カテゴリ」を確認し「スクリプト」「iframe」のドメインを「調べる」ボタンで調査
  2. 外部サービスで調査（WOT, SiteAdvisor, Google Safe Browsing, URLVoid, robtex）
  3. 必要に応じて Wepawet や JSUNPACK でスクリプトを調査
  4. 判断つかない場合、JsDecoder, Javascript unpacker and beautifier, Format Javascript などで整形しスクリプトを読む...orz

「次の１０件を表示」のクリックが面倒なときはGreasemonkey スクリプト

スクリプトを gw.aguse.jp で表示すると....

• ドメイン情報を隠している場合は「クロ」である可能性が高い

• ブラックリストは残念ながらあてにならない

外部ツールを簡単に呼び出すコツ

「検索プラグイン」を追加して CTRL + K で使い倒す

まとめ

1. 調査したいサイトが見つかったら、とりあえず aguse しとけ
2. 調査対象は「外部と接続するオブジェクト」の「Script」「iframe」を中心に
3. ドメイン名に関連する会社情報も参考にすべし（会社のドメイン名とサービス提供用ドメイン名を分離しているケースも多い）

ツイートする

Permalink | コメント(0) | トラックバック(4) | 15:44