<div dir="ltr"><div class="gmail_default" style="font-family:tahoma,sans-serif;color:#666666">Hi everyone,</div><div class="gmail_default" style="font-family:tahoma,sans-serif;color:#666666">am new and not very sure about rules here,hope its not off-topic.</div><div class="gmail_default" style="font-family:tahoma,sans-serif;color:#666666">im master student researcher and i am working on  botnet detection.</div><div class="gmail_default" style="font-family:tahoma,sans-serif;color:#666666">it would be appreciated if anyone can help me with :</div><div class="gmail_default" style="font-family:tahoma,sans-serif;color:#666666">I. anyway to detect botnet trafic out of normal tor traffic?</div><div class="gmail_default" style="font-family:tahoma,sans-serif;color:#666666">II. is this solution possible to apply? </div><div class="gmail_default" style="font-family:tahoma,sans-serif;color:#666666">   to attach a script to botnet ( so we pass reverse engineering and no mess with codes of malware) and send it back to network,  let the relays and last node which is botmaster recieves the compromised botnet ,and the script report our detector machine of any time it been re-routed in tor network ( hidden service and relays and botmaster) about : ip address of receiver hosts (relays) and their computer information( os,...) and consider last hop as botmaster. after using this technic for few botnets, we can have a good view of how relays (and which relays) been used for attack bt botnet and who is botmaster : it can help tor admin to clean relays, remove that hidden service , blacklist botmaster ip address</div><div class="gmail_default" style="font-family:tahoma,sans-serif;color:#666666">thank you</div><div><div class="gmail_signature"><div dir="ltr"><font color="#000000" face="courier new, monospace"><span style="background-color:rgb(243,243,243)"><i><b>Ehsan Moshiri (Enkidu)</b></i></span></font><div><font face="courier new, monospace" color="#bf9000"><span style="background-color:rgb(243,243,243)"><i>Digital Forensic Student</i></span></font></div><div><font color="#000000" face="courier new, monospace"><span style="background-color:rgb(243,243,243)"><i>H/P:+96164953954 , +961124249769</i></span></font></div><div><font face="courier new, monospace"><span style="background-color:rgb(243,243,243)"><i><font color="#3d85c6">Linkedin</font><font color="#000000">: <a href="http://my.linkedin.com/pub/enkidu-moshiri/59/baa/90b/" target="_blank">http://my.linkedin.com/pub/enkidu-moshiri/59/baa/90b/</a></font><br></i></span></font></div><div><font face="courier new, monospace"><span style="background-color:rgb(243,243,243)"><i><font color="#0000ff">Facebook</font><font color="#000000">: Enkidu Mo Shi Ri</font></i></span></font></div><div><font face="courier new, monospace"><span style="background-color:rgb(243,243,243)"><i><font color="#6aa84f">wechat</font><font color="#000000">: Enkidu-Moshiri</font></i></span></font></div><div><font face="courier new, monospace"><span style="background-color:rgb(243,243,243)"><i><font color="#6aa84f">Line</font><font color="#000000">: Enkidu.Moshiri</font></i></span></font></div></div></div></div>
</div>