IRC 프로토콜 분석
http://irchelp.org/irchelp/rfc/rfc.html
최초 로긴 시 USER command
USER <username> <hostname> <servername> ;<real name>
내가 보낸 채팅은
PRIVMSG #<채널명> <채팅내용> 으로 전달되는데
다른 사람이 쓴 채팅이 나한테 올때는
::<NICKNAME>!~<서버명>@<IP> PRIVMSG #<채널명> <채팅내용> 으로 앞에 누가 보낸 글인지가 붙여져서 나온다.
따라서 IRC 봇넷을 탐지할 때 좀비 PC들은 C&C서버로 부터 명령을 기다리기 때문에 다른사람이 쓴 채팅 형식의 payload를 파싱해서 분석해야 한다.